1.3. 새로운 기능 및 개선 사항


이 릴리스에는 다음 구성 요소 및 개념과 관련된 개선 사항이 추가되었습니다.

1.3.1. RHCOS(Red Hat Enterprise Linux CoreOS)

1.3.1.1. Fabrics 보다 NVMe 에 대한 지원 개선

OpenShift Container Platform 4.11에는 NVMe 장치를 관리하기 위한 인터페이스를 제공하는 nvme-cli 패키지가 도입되었습니다.

1.3.1.2. kdump를 사용하여 AMD64 머신에서 커널 충돌 조사

RHCOS는 OpenShift Container Platform 4.11에서 x86_64 아키텍처에 대한 kdump를 지원합니다. 다른 아키텍처에서 kdump에 대한 지원은 기술 프리뷰로 남아 있습니다.

1.3.1.3. kdump를 사용하여 ARM64 시스템에서 커널 충돌 조사 (기술 프리뷰)

RHCOS는 이제 OpenShift Container Platform 4.11의 arm64 아키텍처에 대한 kdump를 기술 프리뷰로 지원합니다.

1.3.1.4. RHCOS에서 RHEL 8.6 사용

RHCOS는 OpenShift Container Platform 4.11 이상에서 RHEL (Red Hat Enterprise Linux) 8.6 패키지를 사용합니다. 이를 통해 최신 수정 사항, 기능 및 향상된 기능은 물론 최신 하드웨어 지원 및 드라이버 업데이트를 받을 수 있습니다.

1.3.1.5. 업데이트된 RHCOS 레지스트리 URL

RHCOS 부팅 이미지를 다운로드하는 리디렉션 프로그램 호스트 이름이 이제 rhcos.mirror.openshift.com 입니다. 부트 이미지에 대한 액세스 권한을 부여하도록 방화벽을 구성해야 합니다. 자세한 내용은 OpenShift Container Platform의 방화벽 구성을 참조하십시오.

1.3.2. 설치 및 업그레이드

1.3.2.1. OpenShift 설치 프로그램에 대한 RHEL 9 지원

OpenShift 설치 프로그램(openshift-install)과 함께 RHEL(Red Hat Enterprise Linux) 9 사용이 지원됩니다.

자세한 내용은 플랫폼에 대한 설치 설명서의 "설치 프로그램 받기" 섹션을 참조하십시오.

1.3.2.2. 단일 노드에 OpenShift Container Platform을 설치하기 위한 새로운 최소 시스템 요구 사항

이번 릴리스에서는 단일 노드에 OpenShift Container Platform을 설치하기 위한 최소 시스템 요구 사항이 업데이트됩니다. 단일 노드에 OpenShift Container Platform을 설치할 때 최소 16GB의 RAM을 구성해야 합니다. 특정 워크로드 요구 사항은 추가 RAM이 필요할 수 있습니다. 지원되는 플랫폼의 전체 목록은 베어 메탈, vSphere, RHOSP(Red Hat OpenStack Platform) 및 Red Hat Virtualization 플랫폼을 포함하도록 업데이트되었습니다. 모든 경우에 openshift-installer 바이너리가 단일 노드 OpenShift를 설치하는 데 사용되는 경우 install-config.yaml 구성 파일에서 platform.none: {} 매개 변수를 지정해야 합니다.

1.3.2.3. ARM의 OpenShift Container Platform

OpenShift Container Platform 4.11은 이제 ARM 아키텍처 기반 AWS 사용자 프로비저닝 인프라 및 베어 메탈 설치 관리자 프로비저닝 인프라에서 지원됩니다. 인스턴스 가용성 및 설치 설명서에 대한 자세한 내용은 다른 플랫폼에서 지원되는 설치 방법을 참조하십시오.

ARM의 OpenShift Container Platform에서 지원되는 기능은 다음과 같습니다.

  • 연결이 해제된 설치 지원
  • AWS용 EBS(Elastic File System)
  • 베어 메탈의 로컬 스토리지 Operator
  • 베어 메탈의 경우 iSCSI(Internet Small Computer Systems Interface)

다음 Operator는 ARM의 OpenShift Container Platform에서 지원됩니다.

  • SRO(Special Resource Operator)

1.3.2.4. AWS에 설치 중 부트스트랩 오류 문제 해결

이제 설치 프로그램에서 AWS의 부트스트랩 및 컨트롤 플레인 호스트에서 직렬 콘솔 로그를 수집합니다. 이 로그 데이터는 표준 부트스트랩 로그 번들에 추가됩니다.

자세한 내용은 설치 문제 해결을 참조하십시오.

1.3.2.5. Microsoft Hyper-V generation 버전 2에 대한 지원

기본적으로 설치 프로그램은 이제 Hyper-V generation 버전 2 VM(가상 머신)을 사용하여 Microsoft Azure 클러스터를 배포합니다. 설치 프로그램에서 VM에 대해 선택한 인스턴스 유형이 버전 2를 지원하지 않는 것을 탐지하는 경우 배포에 버전 1을 사용합니다.

1.3.2.6. 기본 AWS 및 VMware vSphere 컴퓨팅 노드 리소스

기본적으로 OpenShift Container Platform 4.11부터 설치 프로그램은 이제 4개의 vCPU 및 16GB의 가상 RAM을 사용하여 AWS 및 VMware vSphere 컴퓨팅 노드를 배포합니다.

1.3.2.7. AWS SC2S 리전 지원

OpenShift Container Platform 4.11에서는 AWS Secret Commercial Cloud Services (SC2S) 리전을 지원합니다. 이제 us-isob-east-1 SC2S 리전에 OpenShift Container Platform 클러스터를 설치하고 업데이트할 수 있습니다.

자세한 내용은 시크릿 또는 최상위 시크릿 리전에 AWS의 클러스터 설치를 참조하십시오.

1.3.2.8. 설치 관리자 프로비저닝 인프라를 사용하여 Nutanix에 클러스터 설치

OpenShift Container Platform 4.11에서는 설치 관리자 프로비저닝 인프라를 사용하여 Nutanix에 클러스터를 설치할 수 있도록 지원합니다. 이러한 유형의 설치를 통해 설치 프로그램이 프로비저닝하고 클러스터가 유지보수하는 인프라에 클러스터를 배포할 수 있습니다.

자세한 내용은 Nutanix에 클러스터 설치를 참조하십시오.

1.3.2.9. Azure Ultra SSD를 사용하여 OpenShift Container Platform 설치

Azure에 OpenShift Container Platform을 설치할 때 Ultra SSD 스토리지를 활성화할 수 있습니다. 이 기능을 사용하려면 OpenShift Container Platform을 설치하는 Azure 리전 및 영역 모두 Ultra 스토리지를 제공해야 합니다.

자세한 내용은 추가 Azure 구성 매개변수를 참조하십시오.

1.3.2.10. bootstrapExternalStaticIP 및 bootstrapExternalStaticGateway 구성 설정에 대한 지원 추가

설치 프로그램이 프로비저닝한 OpenShift Container Platform 클러스터를 고정 IP 주소가 있고 baremetal 네트워크의 DHCP 서버가 없는 베어 메탈에 배포하는 경우 부트스트랩 VM의 고정 IP 주소 및 부트스트랩 VM의 게이트웨이의 고정 IP 주소를 지정해야 합니다. OpenShift Container Platform 4.11에서는 배포 전에 install-config.yaml 파일에서 설정할 수 있는 bootstrapExternalStaticIPbootstrapExternalStaticGateway 구성 설정을 제공합니다. 이러한 설정을 도입하면 OpenShift Container Platform 4.10 릴리스의 DHCP 서버가 없는 베어 메탈 네트워크의 IP 주소로 부트스트랩 VM 할당 절차가 교체됩니다.

자세한 내용은 install-config.yaml 파일 구성추가 install-config 매개변수를 참조하십시오.

1.3.2.11. Fujitsu 하드웨어 구성

OpenShift Container Platform 4.11에서는 Fujitsu 하드웨어를 사용하여 베어 메탈에 OpenShift Container Platform을 설치할 때 컨트롤 플레인 노드의 BIOS 및 RAID 어레이를 구성할 수 있습니다. OpenShift Container Platform 4.10에서는 Fujitsu 하드웨어에서 BIOS 및 RAID 어레이를 구성하는 작업이 작업자 노드로 제한되었습니다.

자세한 내용은 BIOS 구성RAID 구성을 참조하십시오.

1.3.2.12. oc-mirror CLI 플러그인으로 연결이 끊긴 미러링을 사용할 수 있습니다.

oc-mirror OpenShift CLI(oc) 플러그인을 사용하여 연결이 끊긴 환경의 이미지를 미러링할 수 있습니다. 이 기능은 이전에 OpenShift Container Platform 4.10에서 기술 프리뷰로 소개되었으며 현재 OpenShift Container Platform 4.11에서 일반적으로 사용할 수 있습니다.

oc-mirror 플러그인의 이번 릴리스에는 다음과 같은 새로운 기능이 포함되어 있습니다.

  • 대상 미러 레지스트리에서 이미지 정리
  • Operator 패키지 및 OpenShift Container Platform 릴리스의 버전 범위 지정
  • OpenShift Update Service (OSUS) 사용에 대한 지원 아티팩트 생성
  • 초기 이미지 세트 구성에 대한 템플릿 가져오기
중요

OpenShift Container Platform 4.10용 oc-mirror 플러그인의 기술 프리뷰 버전을 사용한 경우 미러 레지스트리를 OpenShift Container Platform 4.11로 마이그레이션할 수 없습니다. 새 oc-mirror 플러그인을 다운로드하고 새 스토리지 백엔드를 사용하고 대상 미러 레지스트리에서 새로운 최상위 네임스페이스를 사용해야 합니다.

자세한 내용은 oc-mirror 플러그인을 사용하여 연결이 끊긴 설치의 이미지 미러링을 참조하십시오.

1.3.2.13. 사용자 관리 암호화 키를 사용하여 Azure에 클러스터 설치

OpenShift Container Platform 4.11에서는 사용자 관리 디스크 암호화를 사용하여 Azure에 클러스터를 설치할 수 있도록 지원합니다.

자세한 내용은 Azure에 대한 사용자 관리 암호화 활성화를 참조하십시오.

1.3.2.14. 기본적으로 활성화된 Azure용 가속화 네트워킹

Azure의 OpenShift Container Platform 4.11은 컨트롤 플레인 및 컴퓨팅 노드에 대한 가속화 네트워킹을 제공합니다. 가속화 네트워킹은 설치 관리자가 프로비저닝한 인프라 설치에서 지원되는 인스턴스 유형에 대해 기본적으로 활성화됩니다.

자세한 내용은 Azure의 Openshift 4 - 가속화 네트워킹을 참조하십시오.

1.3.2.15. AWS VPC 엔드 포인트 및 제한된 설치

AWS에 제한된 OpenShift Container Platform 클러스터를 설치할 때 더 이상 AWS VPC 엔드 포인트를 설정할 필요가 없습니다. VPC 엔드 포인트를 구성하는 동안 VPC 엔드 포인트없이 프록시를 구성하거나 VPC 엔드 포인트로 프록시를 구성하도록 선택할 수도 있습니다.

자세한 내용은 VPC 사용 요구사항을 참조하십시오.

1.3.2.16. OpenShift Container Platform을 설치할 때 추가 사용자 정의

OpenShift Container Platform 4.11을 사용하면 baremetalmarketplace Operator의 설치와 openshift 네임스페이스에 저장된 openshift-samples 콘텐츠를 비활성화할 수 있습니다. 설치 전에 baselineCapabilitySetadditionalEnabledCapabilities 매개변수를 install-config.yaml 구성 파일에 추가하여 이러한 기능을 비활성화할 수 있습니다. 설치 중에 이러한 기능을 비활성화하면 클러스터를 설치한 후 활성화할 수 있습니다. 기능을 활성화한 후에는 다시 비활성화할 수 없습니다.

자세한 내용은 플랫폼에 대한 설치 문서의 "설치 구성 매개변수" 섹션을 참조하십시오.

1.3.2.17. Azure Marketplace 오퍼링

OpenShift Container Platform은 Azure Marketplace에서 사용할 수 있습니다. Azure Marketplace 제품은 북미 및 EMEA에서 OpenShift Container Platform을 구매한 고객에게 제공됩니다.

자세한 내용은 Azure Marketplace를 사용하여 OpenShift 설치를 참조하십시오.

1.3.2.18. AWS Marketplace 오퍼링

OpenShift Container Platform은 이제 AWS Marketplace에서 사용할 수 있습니다. AWS Marketplace 제품은 북미에서 OpenShift Container Platform을 구매한 고객이 사용할 수 있습니다.

자세한 내용은 AWS Marketplace를 사용하여 OpenShift 설치를 참조하십시오.

1.3.2.19. vSphere 클러스터에 CSI 드라이버 설치

vSphere에서 실행되는 클러스터에 CSI 드라이버를 설치하려면 다음 구성 요소가 설치되어 있어야 합니다.

  • 가상 하드웨어 버전 15 이상
  • vSphere 버전 7.0 업데이트 2 이상, 버전 8을 포함하지만 포함하지 않습니다. vSphere 8은 지원되지 않습니다.
  • VMware ESXi 버전 7.0 업데이트 2 이상

위의 버전보다 이전 버전이 있는 구성 요소는 더 이상 사용되지 않거나 제거됩니다. 더 이상 사용되지 않는 버전은 여전히 완전하게 지원되지만 Red Hat은 ESXi 7.0 Update 2 이상 및 vSphere 7.0 업데이트 2를 버전 8을 포함하지만 제외하는 것이 좋습니다. vSphere 8은 지원되지 않습니다.

자세한 내용은 더 이상 사용되지 않고 삭제된 기능을 참조하십시오.

1.3.3. 설치 후 구성

1.3.3.1. 클러스터 기능

클러스터 관리자는 클러스터 기능을 활성화하여 설치 전이나 설치 후에 하나 이상의 선택적 구성 요소를 선택하거나 선택 취소할 수 있습니다.

자세한 내용은 클러스터 기능을 참조하십시오.

1.3.3.2. 다중 아키텍처 컴퓨팅 머신이 있는 OpenShift Container Platform 클러스터 (기술 프리뷰)

OpenShift Container Platform 4.11에는 기술 프리뷰에서 Azure 설치 관리자 프로비저닝 인프라를 사용하여 다중 아키텍처 컴퓨팅 머신이 지원하는 클러스터가 도입되었습니다. 이 기능은 Day-two 작업으로 다중 아키텍처 설치 관리자 바이너리로 프로비저닝된 설치 관리자인 기존 x86_64 Azure 클러스터에 fabric 64 컴퓨팅 노드를 추가할 수 있는 기능을 제공합니다. 수동으로 생성된 ARM64 부팅 이미지를 사용하는 사용자 정의 Azure 머신 세트를 생성하여 collect 64 컴퓨팅 노드를 클러스터에 추가할 수 있습니다. arm64 아키텍처의 컨트롤 플레인은 현재 지원되지 않습니다. 자세한 내용은 다중 아키텍처 클러스터 구성을 참조하십시오.

참고

release image-pullsec 을 사용하여 클러스터를 최신 다중 아키텍처 릴리스 이미지로 수동으로 업그레이드할 수 있습니다. 자세한 내용은 다중 아키텍처 컴퓨팅 머신 업그레이드를 참조하십시오.

1.3.4. 웹 콘솔

1.3.4.1. 개발자 화면

  • 이번 업데이트를 통해 개발자 화면에서 파이프라인을 포함하는 GitHub 리포지토리를 OpenShift Container Platform 클러스터에 추가할 수 있습니다. 이제 푸시 또는 가져오기 요청과 같은 관련 Git 이벤트가 트리거되면 클러스터의 GitHub 리포지토리에서 파이프라인 및 작업을 실행할 수 있습니다.

    • 관리자 화면에서 파이프라인을 코드로 사용하도록 OpenShift 클러스터를 사용하여 GitHub 애플리케이션을 구성할 수 있습니다. 이 구성을 사용하면 빌드 배포에 필요한 작업 세트를 실행할 수 있습니다.
  • 이번 업데이트를 통해 고유한 큐레이션 작업 세트를 사용하여 사용자 지정 파이프라인을 생성할 수 있습니다. 개발자 콘솔에서 작업을 직접 검색, 설치 및 업그레이드할 수 있습니다.
  • 이번 업데이트를 통해 웹 터미널에 여러 개의 탭이 있고 bash 기록을 볼 수 있으며 웹 터미널은 브라우저 창 또는 탭을 닫을 때까지 계속 열린 상태로 유지됩니다.
  • 이번 업데이트를 통해 개발자 화면의 Add+ 페이지에서 프로젝트에 사용자를 추가하거나 제거할 수 있는 프로젝트 및 Helm 차트 리포지터리를 공유하는 새 메뉴가 추가되었습니다.

1.3.4.2. 동적 플러그인 업데이트

이번 업데이트를 통해 새 console.openshift.io/use-i18 next 주석을 사용하여 ConsolePlugin에 현지화 리소스가 포함되어 있는지 확인할 수 있습니다. 주석이 "true" 로 설정된 경우 동적 플러그인 다음에 이름이 지정된 i18n 네임스페이스의 지역화 리소스가 로드됩니다. 주석이 다른 값으로 설정되거나 ConsolePlugin 리소스에서 누락된 경우 현지화 리소스가 로드되지 않습니다.

자세한 내용은 동적 플러그인 개요를 참조하십시오.

1.3.4.3. 다크 모드 주제 지원

OpenShift Container Platform 웹 콘솔은 이제 다크 모드 주제를 지원합니다. 사용자 환경 설정 페이지에서 원하는 주제를 선택하여 웹 콘솔을 확인합니다.

1.3.4.4. 설치된 Operator 페이지에 있는 모든 관리 네임스페이스의 피연산자 인스턴스 표시

이번 업데이트를 통해 Operator 설치된 Operator 페이지에 모든 네임스페이스의 모든 Operator가 표시됩니다. 프로젝트 선택기 내에서 선택한 네임스페이스의 인스턴스만 볼 수 있습니다. 피연산자 인스턴스를 볼 때 새 전환 컨트롤을 사용하면 모든 네임스페이스의 모든 피연산자 인스턴스 또는 현재 네임스페이스만 표시할 수 있습니다.

1.3.4.5. 조건부 업데이트

이번 업데이트를 통해 조건부 업데이트가 제공되는 경우 업데이트 클러스터 모달의 Select new version 드롭다운에서 Include supported but not recommended versions를 활성화하여 드롭다운 목록을 조건부 업데이트로 채울 수 있습니다. Supported but not recommended 버전이 선택되면 버전에 잠재적인 문제가 표시되는 드롭다운 메뉴에 경고가 표시됩니다.

1.3.4.6. PDB(Pod 중단 예산)

이번 업데이트에서는 OpenShift Container Platform 웹 콘솔에 대한 PDB(Pod 중단 예산)를 지원합니다. 워크로드 PodDisruptionBudgets에서 Pod 리소스에 대한 PDB를 생성할 수 있습니다. 가용성 요구 사항 목록에서 maxUnavailableminAvailable을 선택하고 실행 중인 Pod 값을 설정할 수 있습니다. 또는 pod controller resources 목록 및 세부 정보 페이지에서 Pod 중단 예산을 생성할 수 있습니다. 예를 들어 워크로드 배포에서 Add PodDisruptionBudget을 클릭합니다.

자세한 내용은 Pod 선점 및 기타 스케줄러 설정을 참조하십시오.

1.3.5. OpenShift CLI(oc)

1.3.5.1. OpenShift CLI(oc)에 대한 RHEL 9 지원

OpenShift CLI(oc)와 함께 RHEL(Red Hat Enterprise Linux) 9 사용이 지원됩니다.

참고

RHEL(Red Hat Enterprise Linux) 9의 RPM으로 OpenShift CLI(oc)를 설치할 수 없습니다. 바이너리를 다운로드하여 RHEL 9용 OpenShift CLI를 설치해야 합니다.

자세한 내용은 OpenShift CLI 설치를 참조하십시오.

1.3.6. IBM Z 및 LinuxONE

이 릴리스에서 IBM Z 및 LinuxONE은 이제 OpenShift Container Platform 4.11과 호환됩니다. z/VM 또는 RHEL KVM을 사용하여 설치할 수 있습니다. 설치 지침은 다음 설명서를 참조하십시오.

주요 개선 사항

OpenShift Container Platform 4.11을 사용하는 IBM Z 및 LinuxONE에서 지원되는 새로운 기능은 다음과 같습니다.

  • 대체 인증 공급자
  • 로컬 스토리지 Operator를 통한 자동 장치 검색
  • CSI 볼륨

    • 복제
    • 확장
    • 스냅샷
  • File Integrity Operator
  • 사용자 정의 프로젝트 모니터링
  • Operator API
  • OC CLI 플러그인
지원되는 기능

다음 기능은 IBM Z 및 LinuxONE에서도 지원됩니다.

  • 현재 다음 Operator가 지원됩니다.

    • Cluster Logging Operator
    • Compliance Operator
    • Local Storage Operator
    • NFD Operator
    • NMState Operator
    • OpenShift Elasticsearch Operator
    • Service Binding Operator
    • Vertical Pod Autoscaler Operator
  • 다음 Multus CNI 플러그인이 지원됩니다.

    • Bridge
    • Host-device
    • IPAM
    • IPVLAN
  • etcd에 저장된 데이터 암호화
  • Helm
  • 수평 Pod 자동 스케일링
  • 다중 경로
  • iSCSI를 사용하는 영구 스토리지
  • 로컬 볼륨을 사용하는 영구저장장치(Local Storage Operator)
  • hostPath를 사용하는 영구 스토리지
  • 파이버 채널을 사용하는 영구 스토리지
  • Raw Block을 사용하는 영구 스토리지
  • IPsec 암호화를 포함한 OVN-Kubernetes
  • 다중 네트워크 인터페이스 지원
  • 3-노드 클러스터 지원
  • SCSI 디스크의 z/VM Emulated FBA 장치
  • 4K FCP 블록 장치

이러한 기능은 IBM Z의 OpenShift Container Platform 및 4.11용 LinuxONE에서만 사용할 수 있습니다.

  • FICON의 ECKD 스토리지에 연결된 가상 머신에 대해 IBM Z 및 LinuxONE에서 HyperPAV 활성화
제한 사항

다음 제한 사항은 IBM Z 및 LinuxONE의 OpenShift Container Platform에 영향을 미칩니다.

  • 다음 OpenShift Container Platform 기술 프리뷰 기능은 지원되지 않습니다.

    • PTP(Precision Time Protocol) 하드웨어
  • 다음 OpenShift Container Platform 기능은 지원되지 않습니다 :

    • 시스템 상태 점검으로 손상된 시스템 자동 복구
    • Red Hat OpenShift Local
    • 노드에서 오버 커밋 제어 및 컨테이너 밀도 관리
    • FIPS 암호화
    • NVMe
    • OpenShift Metering
    • OpenShift Virtualization
    • OpenShift Container Platform 배포 시 Tang 모드 디스크 암호화
  • 컴퓨팅 노드는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행
  • 영구 공유 스토리지는 Red Hat OpenShift Data Foundation 또는 기타 지원되는 스토리지 프로토콜을 사용하여 프로비저닝해야 합니다.
  • 영구 비공유 스토리지는 iSCSI, FC와 같은 로컬 스토리지를 사용하거나 DASD, FCP 또는 EDEV/FBA 함께 LSO를 사용하여 프로비저닝해야 합니다.

1.3.7. IBM Power

이 릴리스에서 IBM Power는 이제 OpenShift Container Platform 4.11과 호환됩니다. 설치 지침은 다음 설명서를 참조하십시오.

주요 개선 사항

OpenShift Container Platform 4.11을 사용하는 IBM Power에서 지원되는 새로운 기능은 다음과 같습니다.

  • 대체 인증 공급자
  • CSI 볼륨

    • 복제
    • 확장
    • 스냅샷
  • File Integrity Operator
  • IPv6
  • 사용자 정의 프로젝트 모니터링
  • Operator API
  • OC CLI 플러그인
지원되는 기능

다음 기능은 IBM Power에서도 지원됩니다.

  • 현재 다음 Operator가 지원됩니다.

    • Cluster Logging Operator
    • Compliance Operator
    • Local Storage Operator
    • NFD Operator
    • NMState Operator
    • OpenShift Elasticsearch Operator
    • SR-IOV 네트워크 Operator
    • Service Binding Operator
    • Vertical Pod Autoscaler Operator
  • 다음 Multus CNI 플러그인이 지원됩니다.

    • Bridge
    • Host-device
    • IPAM
    • IPVLAN
  • etcd에 저장된 데이터 암호화
  • Helm
  • 수평 Pod 자동 스케일링
  • 다중 경로
  • Multus SR-IOV
  • IPsec 암호화를 포함한 OVN-Kubernetes
  • iSCSI를 사용하는 영구 스토리지
  • 로컬 볼륨을 사용하는 영구저장장치(Local Storage Operator)
  • hostPath를 사용하는 영구 스토리지
  • 파이버 채널을 사용하는 영구 스토리지
  • Raw Block을 사용하는 영구 스토리지
  • 다중 네트워크 인터페이스 지원
  • Power10 지원
  • 3-노드 클러스터 지원
  • 4K 디스크 지원
제한 사항

IBM Power의 OpenShift Container Platform에 영향을 미치는 제한 사항은 다음과 같습니다.

  • 다음 OpenShift Container Platform 기술 프리뷰 기능은 지원되지 않습니다.

    • PTP(Precision Time Protocol) 하드웨어
  • 다음 OpenShift Container Platform 기능은 지원되지 않습니다 :

    • 시스템 상태 점검으로 손상된 시스템 자동 복구
    • Red Hat OpenShift Local
    • 노드에서 오버 커밋 제어 및 컨테이너 밀도 관리
    • FIPS 암호화
    • OpenShift Metering
    • OpenShift Virtualization
    • OpenShift Container Platform 배포 시 Tang 모드 디스크 암호화
  • 컴퓨팅 노드는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행
  • 영구 스토리지는 로컬 볼륨, Red Hat OpenShift Data Foundation, NFS(Network File System) 또는 CSI(Container Storage Interface)를 사용하는 Filesystem 유형이어야 합니다.

1.3.8. 보안 및 컴플라이언스

1.3.8.1. 감사 로그에서 OAuth 서버 감사 이벤트 포함

이제 로그인 이벤트 주석이 추가된 OAuth 서버 감사 이벤트가 감사 로그의 메타데이터 수준에서 기록됩니다. 로그인 이벤트에는 실패한 로그인 시도가 포함됩니다.

자세한 내용은 감사 로그 정책 프로필 정보를 참조하십시오.

1.3.9. 네트워킹

1.3.9.1. 보조 네트워크에 대한 Pod 수준 본딩

Pod 수준의 본딩은 고가용성과 처리량이 필요한 Pod 내부의 워크로드를 활성화하는 데 중요합니다. Pod 수준 본딩을 사용하면 커널 모드 인터페이스에서 여러 개의 SR-IOV(root I/O Virtualization) 가상 기능 인터페이스에서 본딩 인터페이스를 생성할 수 있습니다. SR-IOV 가상 기능은 Pod에 전달되고 커널 드라이버에 연결됩니다.

Pod 수준 본딩이 필요한 시나리오에는 다양한 물리적 기능의 여러 SR-IOV 가상 함수에서 본딩 인터페이스 생성이 포함됩니다. 호스트에서 두 가지 물리적 함수에서 본딩 인터페이스를 생성하여 Pod 수준에서 고가용성을 실현할 수 있습니다.

자세한 내용은 두 개의 SR-IOV 인터페이스에서 본딩 인터페이스구성을 참조하십시오.

1.3.9.2. 호스트 네트워크 엔드포인트를 사용하는 Ingress 컨트롤러의 새 옵션

이번 업데이트에서는 hostnetwork 엔드포인트 전략을 사용하여 Ingress 컨트롤러에 대한 새 옵션이 도입되었습니다. httpPort,httpsPortstatsPort 바인딩 포트를 사용하여 동일한 작업자 노드에서 여러 Ingress 컨트롤러를 호스팅할 수 있습니다.

1.3.9.3. 컨트롤 플레인 및 작업자 노드에 대한 다중 노드 구성

클러스터의 여러 베어 메탈, 설치 관리자 프로비저닝 인프라 노드에 단일 구성을 동시에 적용할 수 있습니다. 단일 구성을 여러 노드에 적용하면 단일 프로비저닝 프로세스로 인한 구성 오류의 위험이 줄어듭니다.

이 메커니즘은 install-config 파일이 사용되는 초기 배포에만 사용할 수 있습니다.

1.3.9.4. AWS에서 Classic Load Balancer(CLB) 시간 제한 구성 지원

Ingress 컨트롤러에서 AWS Classic Load Balancer(CLB)에 대한 유휴 연결 시간 제한을 구성할 수 있습니다.

자세한 내용은 클래식 로드 밸런서 시간 구성을 참조하십시오.

1.3.9.5. HAProxy 2.2.24로 업데이트

OpenShift Container Platform이 HAProxy 2.2.24로 업데이트되었습니다.

1.3.9.6. HAProxy 프로세스에 대한 최대 연결 수 구성 지원

Ingress 컨트롤러의 HAProxy 프로세스별로 설정할 수 있는 최대 동시 연결 수를 2000에서 2,000,000 사이의 값으로 설정할 수 있습니다.

자세한 내용은 Ingress 컨트롤러 구성 매개변수를 참조하십시오.

1.3.9.7. Ingress 컨트롤러 상태 점검 간격 설정

이번 업데이트를 통해 클러스터 관리자는 상태 점검 간격을 설정하여 연속된 두 상태 점검 간에 라우터가 대기하는 시간을 정의할 수 있습니다. 이 값은 모든 경로에 대한 기본값으로 전역적으로 적용됩니다. 기본값은 5초입니다.

자세한 내용은 Ingress 컨트롤러 구성 매개변수를 참조하십시오.

1.3.9.8. 인터페이스 수준의 안전 네트워크 sysctl 구성 지원

새로운 tuning-cni 메타 플러그인을 사용하여 특정 인터페이스에만 적용되는 인터페이스 수준 안전한 네트워크 sysctl을 설정합니다. 예를 들어 tuning-cni 플러그인을 구성하여 특정 네트워크 인터페이스에서 accept_redirects 의 동작을 변경할 수 있습니다. 설정할 수 있는 인터페이스별 안전한 sysclts의 전체 목록은 설명서에서 확인할 수 있습니다.

이 향상된 기능 외에도 net.ipv4.ping_group_rangenet.ipv4.ip_unprivileged_port_start를 지원하기 위해 설정할 수 있는 시스템 전체의 안전한 sysctl 세트가 증가했습니다.

tuning-cni 플러그인 구성에 대한 자세한 내용은 인터페이스 수준 네트워크 sysctl 설정을 참조하십시오.

새로 지원되는 인터페이스 수준 네트워크 안전 sysclts 및 지원되는 시스템 전체 안전 sysclts 목록 업데이트에 대한 자세한 내용은 컨테이너에서 sysctl 사용을 참조하십시오.

1.3.9.9. TLS를 통해 DNS 요청을 전달하는 CoreDNS 지원

고도로 규제된 환경에서 작업하는 경우 추가 DNS 트래픽 및 데이터 개인 정보를 보장할 수 있도록 요청을 업스트림 해석기로 전달할 때 DNS(Domain Name System) 트래픽을 보호할 수 있는 기능이 필요할 수 있습니다. 클러스터 관리자는 전달된 DNS 쿼리에 대해 TLS(전송 계층 보안)를 구성할 수 있습니다. 이 기능은 Machine Config Operator에서 관리하는 CoreDNS 인스턴스가 아닌 DNS Operator에만 적용됩니다.

자세한 내용은 DNS 전달 사용을 참조하십시오.

1.3.9.10. OVN-Kubernetes 내부 트래픽 지원

클러스터 관리자는 OVN-Kubernetes CNI(Container Network Interface) 클러스터 네트워크 공급자를 사용하는 경우 Kubernetes 서비스 오브젝트에 internalTrafficPolicy=Local를 구성할 수 있습니다. 이 기능을 통해 클러스터 관리자는 트래픽이 시작된 노드와 동일한 노드의 엔드포인트로 트래픽을 라우팅할 수 있습니다. 로컬 노드 엔드포인트가 없으면 트래픽이 삭제됩니다.

자세한 내용은 서비스 내부 트래픽 정책을 참조하십시오.

1.3.9.11. AWS Load Balancer Operator 지원 (기술 프리뷰)

클러스터 관리자는 OpenShift Container Platform 웹 콘솔 또는 CLI를 사용하여 OperatorHub에서 AWS Load Balancer Operator를 설치할 수 있습니다. AWS Load Balancer Operator는 기술 프리뷰에 있습니다.

자세한 내용은 AWS Load Balancer Operator 설치를 참조하십시오.

1.3.9.12. 라우트 API 기능 개선

이전에는 경로의 하위 도메인을 지정할 수 없어 호스트 이름을 설정하는 데 spec.host 필드가 필요했습니다. 이제 spec.subdomain 필드를 지정하고 경로의 spec.host 필드를 생략할 수 있습니다. 경로를 노출하는 라우터 배포는 spec.subdomain 값을 사용하여 호스트 이름을 결정합니다.

이 향상된 기능을 사용하여 경로를 노출하는 각 라우터 배포에서 결정된 서로 다른 여여러 고유 호스트 이름을 경로에 사용할 수 있도록 설정하여 라우팅을 단순화할 수 있습니다.

1.3.9.13. 외부 DNS Operator

OpenShift Container Platform 4.11에서 외부 DNS Operator는 AWS Route53, Azure DNS, GCP DNS 및 GA (일반 가용성) 상태에서 Infoblox에서 사용할 수 있습니다. 외부 DNS Operator는 여전히 GovCloud의 BlueCat 및 AWS Route53에 대한 TP(기술 프리뷰) 상태입니다. 이번 업데이트를 통해 외부 DNS Operator는 다음과 같은 향상된 기능을 제공합니다.

  • Infoblox의 DNS 영역에서 DNS 레코드를 만들 수 있습니다.
  • 기본적으로 External DNS Operator는 네임스페이스 external-dns-operator 에 피연산자를 생성합니다. 설치하기 전에 피연산자 및 역할 기반 액세스 제어(RBAC)에 대한 네임스페이스를 수동으로 만들 필요가 없습니다.
  • 경로 상태를 사용하여 DNS FQDN 이름을 검색할 수 있습니다.
  • 이제 BlueCat DNS 공급자에 대한 프록시 지원을 사용할 수 있습니다.
  • BlueCat DNS 공급자를 사용하는 동안 자동 DNS 구성 배포를 활성화할 수 있습니다.

TP에서 GA로 마이그레이션했는지 확인합니다. OpenShift Container Platform 4.11의 ExternalDNS 업스트림 버전은 v0.12.0이며 TP의 경우 v0.10.2입니다. 자세한 내용은 외부 DNS Operator 정보를 참조하십시오.

1.3.9.14. 듀얼 NIC 경계 클럭에 대한 PTP 지원

각 NIC 채널의 PtpConfig 프로필을 사용하여 이중 네트워크 인터페이스(NIC)를 경계 클럭으로 구성할 수 있습니다.

자세한 내용은 듀얼 NIC 하드웨어에서 PTP 사용을 참조하십시오.

1.3.9.15. PTP 이벤트 개선 사항

새로운 PTP 이벤트 API 엔드포인트를 사용할 수 있습니다. api/cloudNotifications/v1/publishers. 이 엔드포인트를 사용하면 클러스터 노드에 대한 PTP os-clock-sync-state,ptp-clock-class-changelock-state 세부 정보를 가져올 수 있습니다.

자세한 내용은 DU 애플리케이션을 PTP 이벤트 REST API 참조에 구독에서 확인하십시오.

1.3.9.16. PensandoECDHE 카드에 대한 SR-IOV 지원

이제 Pensando DSC 카드에서 SR-IOV 지원을 사용할 수 있습니다. OpenShift SR-IOV는 지원되지만 SR-IOV를 사용할 때 SR-IOV CNI 구성 파일을 사용하여 고정 VF(가상 기능) 미디어 액세스 제어(MAC) 주소를 설정해야 합니다.

1.3.9.17. Mellanox MT2892 카드에 대한 SR-IOV 지원

Mellanox MT2892 카드에 SR-IOV 지원을 사용할 수 있습니다.

1.3.9.18. 네트워크의 OpenShift Container Platform CIDR 범위

클러스터 설치 후에는 네트워크의 CIDR 범위를 조정할 수 없습니다. Red Hat은 생성된 POD 수를 신중하게 고려해야 하므로 범위를 결정하는 방법에 대한 직접적인 지침을 제공하지 않습니다.

1.3.9.19. OVN-Kubernetes 네트워크 공급자: 런타임 시 IPsec 활성화

OVN-Kubernetes 클러스터 네트워크 공급자를 사용하는 경우 클러스터 설치 후 IPsec 암호화를 활성화할 수 있습니다. IPsec 활성화 방법에 대한 자세한 내용은 IPsec 암호화 구성을 참조하십시오.

1.3.9.20. 추가 MetalLB CRD 지원 및 로깅 세부 정보 표시 제어

더 복잡한 구성을 지원하기 위해 추가 MetalLB CRD(사용자 정의 리소스 정의)가 추가되었습니다.

다음 CRD가 추가되었습니다.

  • IPAddressPools
  • L2Advertisement
  • BGPAdvertisement
  • Community

이러한 개선 사항을 통해 더 복잡한 구성에 Operator를 사용할 수 있습니다. 예를 들어 기능 향상을 사용하여 노드를 분리하거나 네트워크를 분할할 수 있습니다. 또한 FRRouting (FRR) 로깅 구성 요소의 개선 사항을 통해 생성된 로그의 상세 수준을 제어할 수 있습니다.

참고

OpenShift Container Platform 4.10에 설명된 CRD와 MetalLB 및 MetalLB Operator에 설명된 대로 MetalLB를 구성하는 기존 방법은 계속 지원되지만 더 이상 사용되지 않습니다. AddressPool 구성은 더 이상 사용되지 않습니다.

4.10에서는 AddressPool을 사용하는 계층 2 및 BGP IP 주소가 다른 주소 풀에서 할당되었습니다. OpenShift Container Platform 4.11에서 계층 2 및 BGP IP 주소는 동일한 주소 풀에서 할당할 수 있습니다.

자세한 내용은 Metal LB 및 MetalLB Operator 정보를 참조하십시오.

1.3.9.21. Ingress 주석의 대상 CA 인증서를 사용하여 경로를 생성하는 기능

이제 Ingress 오브젝트에서 route.openshift.io/destination-ca-certificate-secret 주석을 사용하여 사용자 정의 인증서(CA)로 경로를 정의할 수 있습니다.

자세한 내용은 Ingress 주석에서 대상 CA 인증서를 사용하여 경로 생성을 참조하십시오.

1.3.9.22. 호스트된 컨트롤 플레인(기술 프리뷰)

OpenShift Container Platform의 호스트된 컨트롤 플레인을 사용하면 규모에 따라 클러스터를 호스팅하여 관리 비용을 줄이고, 클러스터 배포 시간을 최적화하며 관리 및 워크로드 관련 문제를 분리할 수 있습니다. Kubernetes Operator 버전 2.0의 다중 클러스터 엔진을 설치할 때 이 배포 모델을 기술 프리뷰 기능으로 활성화할 수 있습니다. 자세한 내용은 호스팅되는 컨트롤 플레인 개요(기술 프리뷰)를 참조하십시오.

OVN(Open Virtual Network)은 클러스터의 컨트롤 플레인과 데이터 저장소를 호스팅하도록 설계되었습니다. OVN은 호스팅된 컨트롤 플레인을 사용하여 분할 컨트롤 플레인을 지원합니다.

1.3.9.23. OVN-Kubernetes 클러스터 네트워크 공급자가 있는 사용자 프로비저닝 베어 메탈 인프라에서 IPv6 단일 및 듀얼 스택 지원

사용자 프로비저닝 베어 메탈 인프라의 클러스터의 경우 OVN-Kubernetes 클러스터 네트워크 공급자는 IPv4 및 IPv6 주소 제품군을 모두 지원합니다.

1.3.9.24. RHOSP에서 OVS 하드웨어 오프로드

RHOSP에서 실행되는 클러스터의 경우 OVS(Open vSwitch) 하드웨어 오프로드를 일반적으로 사용할 수 있습니다.

자세한 내용은 OVS 하드웨어 오프로드 활성화를 참조하십시오.

1.3.9.25. RHOSP에서 NFV 사용자 개선 사항

RHOSP에서 실행되는 클러스터의 경우 네트워크 기능 가상화 배포 환경이 향상됩니다. 이 릴리스의 변경 사항은 다음과 같습니다.

  • 구성 드라이브가 아닌 메타데이터 서비스 URL에서 가져오는 네트워크 데이터
  • 검색된 모든 장치에 대해 no-IOMMU를 사용한 자동 VFIO 로드
  • DPDK vHost 사용자 포트

이러한 변경 사항은 간단한 설치 후 및 네트워크 구성 설명서에 반영됩니다.

1.3.9.26. Red Hat OpenStack Platform, VMware vSphere 또는 oVirt에 설치할 때 유니캐스트를 기본값으로 사용하여 keepalived를 구성합니다.

RHOSP(Red Hat OpenStack Platform), VMware vSphere 또는 oVirt에 OpenShift Container Platform 설치 관리자 프로비저닝 설치 프로그램의 경우 keepalived가 멀티 캐스트 대신 기본적으로 유니캐스트로 구성됩니다. 더 이상 멀티 캐스트 트래픽을 허용할 필요가 없습니다. 모든 노드가 동시에 마이그레이션해야 하므로 클러스터 업그레이드가 완료된 후 몇 분 후에 유니캐스트 마이그레이션이 수행됩니다. 동시에 멀티 캐스트 및 유니캐스트 클러스터를 동시에 보유하면 keepalived가 유니캐스트 및 멀티 캐스트를 완전히 분리하므로 문제가 발생하지 않습니다.

1.3.10. 스토리지

1.3.10.1. Microsoft Azure File CSI Driver Operator를 사용하는 영구 스토리지 사용 가능

OpenShift Container Platform은 Azure 파일의 CSI(Container Storage Interface) 드라이버를 사용하여 PV(영구 볼륨)를 프로비저닝할 수 있습니다. 이 기능은 이전에 OpenShift Container Platform 4.10에서 기술 프리뷰 기능으로 소개되었으며 OpenShift Container Platform 4.11에서 일반적으로 사용 가능하며 기본적으로 활성화되어 있습니다.

자세한 내용은 Azure File CSI Driver Operator 를 참조하십시오.

1.3.10.2. OpenStack Cinder용 자동 CSI 마이그레이션은 일반적으로 사용 가능

OpenShift Container Platform 4.8부터 동등한 CSI(Container Storage Interface) 드라이버로 in-tree 볼륨 플러그인에 대한 자동 마이그레이션이 기술 프리뷰 기능으로 사용 가능하게 되었습니다. Cinder에 대한 지원은 OpenShift Container Platform 4.8에서 이 기능을 통해 제공되며 OpenShift Container Platform 4.11에서는 일반적으로 사용 가능한 Cinder에 대한 자동 마이그레이션을 지원합니다. Cinder용 CSI 마이그레이션이 기본적으로 활성화되어 있으며 관리자가 조치를 취할 필요가 없습니다.

이 기능은 in-tree 오브젝트를 해당하는 CSI 표현으로 자동 변환하므로 사용자에게 완전히 투명해야 합니다. 번역된 오브젝트는 디스크에 저장되지 않으며 사용자 데이터는 마이그레이션되지 않습니다.

in-tree 스토리지 플러그인에 대한 스토리지 클래스가 계속 작동하지만 기본 스토리지 클래스를 CSI 스토리지 클래스로 전환하는 것이 좋습니다.

자세한 내용은 CSI 자동 마이그레이션 을 참조하십시오.

1.3.10.3. Microsoft Azure Disk의 자동 CSI 마이그레이션은 일반적으로 사용 가능합니다.

OpenShift Container Platform 4.8부터 동등한 CSI(Container Storage Interface) 드라이버로 in-tree 볼륨 플러그인에 대한 자동 마이그레이션이 기술 프리뷰 기능으로 사용 가능하게 되었습니다. Azure Disk에 대한 지원은 OpenShift Container Platform 4.9에서 이 기능을 통해 제공되며 OpenShift Container Platform 4.11은 이제 일반적으로 사용 가능한 Azure Disk에 대한 자동 마이그레이션을 지원합니다. Azure Disk 용 CSI 마이그레이션이 기본적으로 활성화되므로 관리자가 작업을 수행할 필요가 없습니다.

이 기능은 in-tree 오브젝트를 해당하는 CSI 표현으로 자동 변환하므로 사용자에게 완전히 투명해야 합니다. 번역된 오브젝트는 디스크에 저장되지 않으며 사용자 데이터는 마이그레이션되지 않습니다.

in-tree 스토리지 플러그인에 대한 스토리지 클래스가 계속 작동하지만 기본 스토리지 클래스를 CSI 스토리지 클래스로 전환하는 것이 좋습니다.

자세한 내용은 CSI 자동 마이그레이션 을 참조하십시오.

1.3.10.4. CSI 볼륨 확장 사용 가능

OpenShift Container Platform 4.3부터 이미 기술 프리뷰 기능으로 출시된 후 CSI(Container Storage Interface) 스토리지 볼륨이 확장되었으며 OpenShift Container Platform 4.11에서 일반적으로 사용할 수 있습니다.

자세한 내용은 CSI 볼륨 확장 을 참조하십시오.

1.3.10.5. CSI 일반 임시 볼륨 지원

OpenShift Container Platform 4.11은 일반적으로 사용 가능한 CSI(Container Storage Interface) 일반 임시 볼륨을 지원합니다. 일반 임시 볼륨은 영구 볼륨 및 동적 프로비저닝을 지원하는 모든 스토리지 드라이버에서 제공할 수 있는 임시 볼륨의 유형입니다.

자세한 내용은 일반 임시 볼륨을 참조하십시오.

1.3.10.6. VMware vSphere에서 크기 조정 및 스냅샷 지원

OpenShift Container Platform 4.11은 다음과 같은 제한 사항이 있는 vSphere CSI(Container Storage Interface) Driver Operator의 볼륨 크기 조정 및 스냅샷을 지원합니다.

  • 스냅샷:

    • vSphere 버전 7.0 업데이트 3 이상이 필요합니다. 버전 8을 포함하되는 안 됩니다. vSphere 8은 vCenter Server 및 ESXi 모두에서 지원되지 않습니다.
    • fileshare 볼륨을 지원하지 않습니다.
  • 크기 조정:

    • 오프라인 볼륨 확장: 필요한 최소 vSphere 버전은 6.7 업데이트 3 P06입니다.
    • 온라인 볼륨 확장: 필요한 최소 vSphere 버전은 7.0 업데이트 2입니다.

자세한 내용은 OpenShift Container Platform에서 지원하는 CSI 드라이버 를 참조하십시오.

1.3.11. 레지스트리

1.3.11.1. 가용성 영역에 대한 이미지 레지스트리 Operator 배포

이제 이미지 레지스트리 Operator의 기본 구성에서 모든 Pod가 영향을 받는 전체 영역 실패의 경우 지연된 복구 시간을 방지하기 위해 이미지 레지스트리 Pod를 토폴로지 영역에 분배합니다.

자세한 내용은 가용성 영역 간 이미지 레지스트리 Operator 배포를 참조하십시오.

1.3.11.2. Red Hat OpenShift Data Foundation 레지스트리 스토리지

OpenShift Container Platform 4.11에서 지원되는 Red Hat OpenShift Data Foundation 레지스트리 스토리지

OpenShift Data Foundation은 다음을 포함하여 내부 이미지 레지스트리와 함께 사용할 수 있는 여러 스토리지 유형을 통합합니다.

  • 온-프레미스 오브젝트 스토리지가 있는 공유 및 분산 파일 시스템인 Ceph
  • Multicloud Object Gateway를 제공하는 NooBaa

1.3.12. Operator 라이프사이클

1.3.12.1. 파일 기반 카탈로그 형식

파일 기반 카탈로그 형식의 OpenShift Container Platform 4.11 릴리스에 대한 기본 Red Hat 제공 Operator 카탈로그입니다. OpenShift Container Platform 4.6 through 4.10은 SQLite 데이터베이스 형식으로 릴리스되었습니다. 파일 기반 카탈로그는 OLM(Operator Lifecycle Manager) 카탈로그 형식의 최신 버전입니다. JSON 또는 YAML의 일반 텍스트 기반 파일이며 이전 SQLite 데이터베이스 형식의 선언적 구성 진화입니다. 클러스터 관리자와 사용자는 새 카탈로그 형식을 사용하여 설치 워크플로 및 Operator 소비에 대한 변경 사항을 볼 수 없습니다.

자세한 내용은 파일 기반 카탈로그를 참조하십시오.

1.3.13. Operator 개발

1.3.13.1. Java 기반 Operator(기술 프리뷰)

OpenShift Container Platform 4.11에서 기술 프리뷰 기능으로부터 Operator SDK에는 Java 기반 Operator를 개발하는 툴 및 라이브러리가 포함되어 있습니다. Operator 개발자는 Operator SDK에서 Java 프로그래밍 언어 지원을 활용하여 Java 기반 Operator를 빌드하고 라이프사이클을 관리할 수 있습니다.

자세한 내용은 Java 기반 Operator용 Operator SDK 시작하기를 참조하십시오.

1.3.13.2. 파일 기반 카탈로그에 대한 Operator SDK 지원

OpenShift Container Platform 4.11부터 run bundle 명령은 기본적으로 Operator 카탈로그의 파일 기반 카탈로그 형식을 지원합니다. Operator 카탈로그의 더 이상 사용되지 않는 SQLite 데이터베이스 형식은 계속 지원되지만 향후 릴리스에서 제거됩니다.

자세한 내용은 번들 이미지 작업을 참조하십시오.

1.3.13.3. Operator 번들 검증

Operator 작성자는 Operator SDK에서 bundle validate 명령을 실행하여 Operator 번들의 콘텐츠 및 형식을 검증할 수 있습니다. 기본 테스트 외에도 선택적 검증기를 실행하여 빈 CRD 설명 또는 지원되지 않는 OLM(Operator Lifecycle Manager) 리소스와 같은 번들의 문제를 테스트할 수 있습니다.

자세한 내용은 Operator 번들 유효성 검사에서 참조하십시오. 이전 버전의 OpenShift Container Platform에서 Performance Addon Operator는 애플리케이션에 대한 짧은 대기 시간 성능 튜닝을 제공합니다. OpenShift Container Platform 4.11에서 이러한 함수는 Node Tuning Operator의 일부입니다. Node Tuning Operator는 OpenShift Container Platform 4.11의 표준 설치의 일부입니다. OpenShift Container Platform 4.11로 업그레이드하는 경우 Node Tuning Operator는 시작 시 Performance Addon Operator 및 모든 관련 아티팩트를 제거합니다.

자세한 내용은 Node Tuning Operator를 참조하십시오.

1.3.14. Jenkins

  • 이번 개선된 기능에는 FIPS 노드에서 JVM이 작동하는 방식을 제어하는 새로운 Jenkins 환경 변수 JAVA_FIPS_OPTIONS가 추가되었습니다. 자세한 내용은 OpenJDK 지원 문서 (BZ#2066019)를 참조하십시오.

1.3.15. 머신 API

1.3.15.1. Amazon EC2 인스턴스 메타데이터 서비스에 대한 구성 옵션

이제 머신 세트를 사용하여 특정 버전의 Amazon EC2 Instance Metadata Service(IMDS)를 사용하는 컴퓨팅 머신을 생성할 수 있습니다. 머신 세트는 IMDSv1 및 IMDSv2 또는 IMDSv2를 사용해야 하는 컴퓨팅 머신을 생성할 수 있습니다.

자세한 내용은 Amazon EC2 인스턴스 메타데이터 서비스에 대한 머신 세트 옵션을 참조하십시오.

1.3.15.2. Azure Ultra Disk에 대한 머신 API 지원

Azure에서 실행되는 머신 세트를 생성하여 대규모 디스크가 있는 머신을 배포할 수 있습니다. 울트라 디스크가 있는 머신을 데이터 디스크로 배포하거나 트리 내 또는 CSI(Container Storage Interface) PVC를 사용하는 PVC(영구 볼륨 클레임)를 사용하여 배포할 수 있습니다.

자세한 내용은 다음 항목을 참조하십시오.

1.3.15.3. Google Cloud Platform 영구 디스크 유형의 구성 옵션

GCP(Google Cloud Platform) Compute Engine의 pd-balanced 영구 디스크 유형이 지원됩니다. 자세한 내용은 머신 세트를 사용하여 영구 디스크 유형 구성을 참조하십시오.

1.3.15.4. Nutanix 클러스터에 대한 머신 API 지원

Nutanix 클러스터에 대한 새로운 플랫폼 지원에는 Machine API 머신 세트를 사용하여 머신을 관리하는 기능이 포함되어 있습니다. 자세한 내용은 Nutanix에서 머신 세트 생성을 참조하십시오.

1.3.15.5. 클러스터 API로 머신 관리 (기술 프리뷰)

OpenShift Container Platform 4.11에서는 OpenShift Container Platform에 통합된 업스트림 Cluster API를 AWS 및 GCP 클러스터의 기술 프리뷰로 사용하여 머신을 관리할 수 있는 기능을 도입했습니다. 이 기능은 Machine API를 사용하여 머신 관리하는 것에 대한 대안이나 추가 기능입니다. 자세한 내용은 클러스터 API를 사용하여 시스템 관리를 참조하십시오.

1.3.16. Machine Config Operator

1.3.16.1. MCO는 영역 및 기간 별로 노드를 업데이트합니다.

MCO(Machine Config Operator)는 topology.kubernetes.io/zone 레이블을 기반으로 영역별로 영향을 받는 노드를 사전순으로 업데이트합니다. 영역에 둘 이상의 노드가 있으면 가장 오래된 노드가 먼저 업데이트됩니다. 베어 메탈 배포에서와 같이 영역을 사용하지 않는 노드의 경우 노드가 사용 기간으로 업그레이드되며 가장 오래된 노드가 먼저 업데이트됩니다. 이전에는 MCO에서 영역 또는 노드 기간을 고려하지 않았습니다.

자세한 내용은 머신 구성 개요를 참조하십시오.

1.3.16.2. 인증서 갱신 시 일시 중지된 머신 구성 풀에 대한 알림 기능 개선

일시 중지된 MCP(머신 구성 풀)에서 MCO가 만료된 kube-apiserver-to-kubelet-signer CA 인증서를 갱신하려고 하면 OpenShift Container Platform 웹 콘솔의 알림 UI에 경고가 표시됩니다. MCP가 일시 중지되면 MCO가 새로 교체된 인증서를 해당 노드로 푸시할 수 없으므로 오류가 발생할 수 있습니다.

자세한 내용은 머신 구성 풀 일시 중지를 참조하십시오.

1.3.17. 노드

1.3.17.1. Poison Pill Operator를 Self Node Remediation Operator로 대체

OpenShift Container Platform 4.11에는 Poison Pill Operator를 대체하는 Self Node Remediation Operator가 도입되었습니다.

Self Node Remediation Operator는 다음과 같은 향상된 기능을 제공합니다.

  • 수정 전략에 따라 별도의 수정 템플릿을 도입합니다.
  • 수정에 실패한 경우 마지막 오류 메시지를 캡처합니다.
  • 매개변수에 대한 최소 값을 제공하여 Self Node Remediation Operator의 구성 매개변수에 대한 메트릭을 개선합니다.

자세한 내용은 Self Node Remediation Operator를 사용하여 노드 수정을 참조하십시오.

1.3.17.2. 단일 노드 OpenShift 클러스터의 작업자 노드

이제 단일 노드 OpenShift 클러스터에 작업자 노드를 추가할 수 있습니다. 이는 리소스가 제한적인 환경이나 클러스터에 용량을 추가해야 하는 경우 네트워크 에지에 배포하는데 유용합니다.

자세한 내용은 단일 노드 OpenShift 클러스터의 작업자 노드를 참조하십시오.

1.3.17.3. 디스케줄러는 기본적으로 Pod 제거 시뮬레이션으로 설정됨

기본적으로 디스케줄러는 이제 예측 모드에서 실행되므로 Pod 제거만 시뮬레이션합니다. 디스케줄러 지표를 검토하여 제거할 Pod에 대한 세부 정보를 확인할 수 있습니다.

제거 시뮬레이션을 수행하는 대신 Pod를 제거하려면 디스케줄러 모드를 자동으로 변경합니다.

자세한 내용은 디스케줄러를 사용하여 Pod 제거를 참조하십시오.

1.3.17.4. 새 디스케줄러 사용자 정의

이번 릴리스에서는 디스케줄러에 대해 다음과 같은 사용자 지정이 도입되었습니다.

  • 우선순위 임계값 필터링: 클래스 이름(thresholdPriorityClassName) 또는 숫자 값(thresholdPriority)에 따라 우선순위 임계값을 설정하거나 우선 순위가 해당 값보다 크거나 같은 Pod를 제거하지 않도록 합니다.
  • 네임스페이스 필터링: 디스케줄러 작업을 포함하거나 제외하도록 사용자 생성 네임스페이스 목록을 설정합니다. 보호된 네임스페이스(openshift-*, kube-system,hypershift)는 항상 제외됩니다.
  • LowNodeUtilization 전략의 임계값: LowNodeUtilization 전략에 대한 과소 활용 및 과다 활용에 대한 실험 임계값을 설정합니다.

자세한 내용은 디스케줄러를 사용하여 Pod 제거를 참조하십시오.

1.3.17.5. 노드 유지보수 Operator 기능 개선 사항

Node Maintenance Operator는 다음과 같은 향상된 기능을 제공합니다.

  • NodeMaintenance CR 작업의 상태와 관련하여 추가 피드백, drainProgresslastUpdate가 제공됩니다.
  • 베어 메탈 노드가 있는 클러스터의 경우 이제 웹 콘솔에서 노드를 유지 관리 모드로 전환하고 유지 관리 모드에서 노드를 재개할 수 있는 더 쉬운 방법을 사용할 수 있습니다.

자세한 내용은 Node Maintenance Operator를 사용하여 노드를 유지 관리 모드로 설정을 참조하십시오.

1.3.18. 로깅

1.3.18.1. RHV 로깅 시 Red Hat OpenShift (기술 프리뷰)

OpenShift Container Platform 4.11에는 클러스터의 모든 설치 및 oVirt 구성 요소에 대해 자동화된 로그 메시지를 추가하는 RHV API의 새로운 커넥터가 도입되었습니다.

1.3.19. 모니터링

이 릴리스의 모니터링 스택에는 다음과 같은 새로운 수정된 기능이 포함되어 있습니다.

1.3.19.1. 모니터링 스택 구성 요소 및 종속 항목에 대한 업데이트

모니터링 스택 구성 요소 및 종속 항목에 대한 업데이트에는 다음이 포함됩니다.

  • Alertmanager - 0.24.0
  • kube-state-metrics - 2.5.0
  • Prometheus - 2.36.2
  • Prometheus operator - 0.57.0
  • Thanos - 0.26.0

1.3.19.2. 경고 규칙 변경

참고

Red Hat은 규칙 또는 경고 규칙에 대한 이전 버전과의 호환성을 보장하지 않습니다.

  • 새로운 사항

    • KubePersistentVolumeInodesFillingUp 경고가 추가되어 기존 KubePersistentVolumeFillingUp 경고와 유사하게 작동하지만 볼륨 공간이 아닌 inode에 적용됩니다.
    • PrometheusScrapeBodySizeLimitHit 경고를 추가하여 대상이 본문 크기 제한에 도달한 것을 감지합니다.
    • 샘플 제한에 도달한 대상을 탐지하기 위해 PrometheusScrapeSampleLimitHit 경고가 추가되었습니다.
  • 변경 사항

    • kube-state-metrics에서 업데이트된 지표 kube_daemonset_status_updated_number_scheduled을 사용하도록 KubeDaemonSetRolloutStuck 경고를 수정했습니다.
    • KubeJobCompletion 경고를 KubeJobNotCompleted로 교체했습니다. 새 KubeJobNotCompleted 경고는 이전 작업이 실패했지만 가장 최근 작업이 성공했을 때 false positive를 방지합니다.
    • 경고 표현식에서 tunbr 인터페이스를 제외하도록 NodeNetworkInterfaceFlapping 경고를 업데이트했습니다.

1.3.19.3. 사용자 워크로드 모니터링에 대한 경고 라우팅 활성화

이제 클러스터 관리자가 사용자 워크로드 모니터링에 대한 경고 라우팅을 활성화하여 개발자와 기타 사용자가 사용자 정의 프로젝트에 대한 사용자 정의 경고 및 경고 라우팅을 구성할 수 있습니다.

1.3.19.4. 사용자 정의 경고에 대해 전용 Alertmanager 인스턴스 활성화

이제 사용자 정의 프로젝트에 대한 경고만 전송하기 위해 Alertmanager 전용의 별도의 인스턴스를 활성화할 수 있는 옵션이 있습니다. 이 기능을 사용하면 기본 플랫폼 Alertmanager 인스턴스의 부하를 줄이는 데 도움이 되며 기본 플랫폼 경고와 사용자 정의 경고를 더 잘 분리할 수 있습니다.

1.3.19.5. 원격 쓰기 구성에 추가 인증 설정 사용

이제 AWS 서명 버전 4, 사용자 지정 권한 부여 헤더 및 OAuth 2.0과 같은 인증 방법을 사용하여 원격 쓰기 엔드포인트에 액세스할 수 있습니다. 이 릴리스 이전에는 TLS 클라이언트 및 기본 인증만 사용할 수 있었습니다.

1.3.19.6. 웹 콘솔에서 PromQL 쿼리 생성, 검색 및 관리

OpenShift Container Platform 웹 콘솔의 Observe Metrics 페이지의 쿼리 브라우저에는 PromQL 쿼리를 생성, 검색 및 관리할 수 있는 다양한 개선 사항이 추가되었습니다. 예를 들어 관리자는 기존 쿼리를 복제하고 쿼리를 작성하고 편집할 때 자동 완성 제안을 사용할 수 있습니다.

1.3.19.7. 단일 노드 배포에서 ServiceMonitor의 스크랩 간격 두 배로 늘어남

단일 노드 OpenShift Container Platform 배포에서 모든 CCMO(Cluster Monitoring Operator) 제어 ServiceMonitor에 대해 스크랩 간격이 두 배가로 늘어났습니다. 최대 간격은 이제 2분입니다.

1.3.19.8. 플랫폼 모니터링 메트릭을 기반으로 경고 규칙 생성 (기술 프리뷰)

이 릴리스에서는 관리자가 기존 플랫폼 모니터링 메트릭을 기반으로 경고 규칙을 생성할 수 있는 기술 프리뷰 기능이 도입되었습니다. 이 기능을 통해 관리자는 자신의 환경에 맞는 새로운 경고 규칙을 보다 빠르고 쉽게 생성할 수 있습니다.

1.3.19.9. 원격 쓰기 스토리지에 클러스터 ID 레이블 추가

이제 원격 쓰기 스토리지로 전송되는 지표에 클러스터 ID 레이블을 추가할 수 있습니다. 그런 다음 이러한 레이블을 쿼리하여 지표에 대한 소스 클러스터를 식별하고 지표 데이터를 다른 클러스터에서 보낸 유사한 지표 데이터와 구분할 수 있습니다.

1.3.19.10. 사용자 워크로드 모니터링에 대한 페더레이션 엔드포인트를 사용하여 쿼리 지표

이제 Prometheus /federate 엔드포인트를 사용하여 클러스터 외부의 네트워크 위치에서 사용자 정의 지표를 스크랩할 수 있습니다. 이번 릴리스 이전에는 페더레이션 엔드포인트에만 액세스하여 기본 플랫폼 모니터링에서 메트릭을 스크랩할 수 있었습니다.

1.3.19.11. 기본 플랫폼 모니터링에 대한 지표 스크랩에 대한 본문 크기 제한 활성화

기본 플랫폼 모니터링에 대해 enforcedBodySizeLimit 구성 맵 옵션을 설정하여 메트릭 스크랩에 대한 본문 크기 제한을 활성화할 수 있습니다. 이 설정은 구성된 enforcedBodySizeLimit 보다 큰 응답 본문으로 하나 이상의 Prometheus 스크랩 대상 응답이 있는 경우 새 PrometheusScrapeBodySizeLimitHit 경고를 트리거합니다. 설정을 사용하면 악의적인 대상이 Prometheus 구성 요소와 클러스터 전체에 미치는 영향을 제한할 수 있습니다.

1.3.19.12. 메트릭 스토리지에 대한 보존 크기 설정 구성

이제 기본 플랫폼 모니터링과 사용자 워크로드 모니터링 모두에 대해 보유된 메트릭 스토리지에 예약된 최대 디스크 공간을 구성할 수 있습니다. 이 릴리스 이전에는 이 설정을 구성할 수 없었습니다.

1.3.19.13. 사용자 정의 프로젝트에서 Thanos Ruler의 보존 기간 구성

사용자 정의 프로젝트에서 Thanos Ruler 데이터에 대한 보존 기간을 구성할 수 있습니다. 이 릴리스 이전에는 기본값 24h를 변경할 수 없었습니다.

1.3.20. Network Observability Operator

관리자는 이제 Network Observability Operator를 설치하여 콘솔에서 OpenShift Container Platform 클러스터의 네트워크 트래픽을 관찰할 수 있습니다. 다른 그래픽 표현에서 네트워크 트래픽 데이터를 보고 모니터링할 수 있습니다. Network Observability Operator는 eBPF 기술을 사용하여 네트워크 흐름을 생성합니다. 네트워크 흐름은 OpenShift Container Platform 정보로 보강되고 로키에 저장됩니다. 자세한 문제 해결 및 분석을 위해 네트워크 트래픽 정보를 사용할 수 있습니다.

자세한 내용은 네트워크 관찰 기능을 참조하십시오.

1.3.21. 확장 및 성능

1.3.21.1. Node Tuning Operator의 워크로드 팁

OpenShift Container Platform 4.11은 다양한 산업 환경의 요구를 충족하기 위해 PerformanceProfile 을 조정할 수 있는 Node Tuning Operator의 힌트 메커니즘을 지원합니다. 이번 릴리스에서는 높은PowerConsumption (출력 소비 증가 시 대기 시간이 짧은 대기 시간) 및 실시간 (최적화 대기 시간으로 지정된 우선순위)에 대해 워크로드 힌트를 사용할 수 있습니다. 이러한 힌트에 대한 true/false 설정의 조합을 사용하여 애플리케이션별 워크로드 프로필 및 요구 사항을 처리할 수 있습니다.

1.3.21.2. etcd 클러스터의 확장 작업 기능 개선

Raft 알고리즘을 사용하면 새로운 learner 상태를 사용하여 etcd 멤버를 확장할 수 있습니다. 결과적으로 클러스터 쿼럼을 유지 관리하고, 새 멤버를 추가 및 제거하고, 클러스터 작업을 중단하지 않고 learners에게 발생하는 작업을 승격합니다.

OpenShift Container Platform 4.11에는 AgentServiceConfig 사용자 정의 리소스의 일부로 imageStorage 옵션이 도입되었습니다. 이 옵션을 사용하면 사용자가 이미지 서비스와 함께 사용할 영구 스토리지 클레임 세부 정보를 지정할 수 있으므로 애플리케이션 성능이 향상됩니다.

ClusterImageSet 사용자 정의 리소스의 releaseImage 매개변수에서 이제 운영 체제 이미지 버전 확인을 지원합니다. 검색 ISO는 운영 체제 이미지 버전을 releaseImage로 기반으로 하거나 지정된 버전을 사용할 수 없는 경우 최신 버전을 기반으로 합니다.

AgentServiceConfig CR(사용자 정의 리소스)의 openshiftVersion 매개변수는 이제 "x.y"(major.minor) 또는 "x.y.z"(major.minor.patch) 형식을 지원합니다.

1.3.21.3. Ingress 컨트롤러(라우터) 활성 상태, 준비 및 시작 프로브 구성

OpenShift Container Platform 4.11에서는 OpenShift Container Platform 인그레스 Operator가 관리하는 라우터 배포를 위해 kubelet의 활성 상태, 준비 상태 및 시작 프로브에 대한 시간 초과 값을 구성할 수 있습니다. 더 큰 시간 초과 값을 설정하는 기능을 사용하면 1초의 짧은 기본 시간 초과로 인해 발생하는 불필요한 재시작 위험을 줄일 수 있습니다.

자세한 내용은 Ingress 컨트롤러 (라우터) 활성 상태, 준비 및 시작 프로브 구성을 참조하십시오.

1.3.21.4. 새로운 전원 감소 CPU 기능

성능 프로필의 offlined 필드에 CPU를 지정하여 Node Tuning Operator를 통해 전력 소비를 줄일 수 있습니다. 자세한 내용은 오프 라인 CPU를 사용하여 전원 소비 감소를 참조하십시오.

1.3.21.5. Node Observability Operator (기술 프리뷰)

OpenShift Container Platform 4.11에는 노드 Observability Operator가 기술 프리뷰에 도입되었습니다.

Node Observability Operator는 다음을 수행할 수 있는 기능을 제공합니다.

  • 작업자 노드에 노드 Observability 에이전트를 배포합니다.
  • CRIO-O 및 Kubelet 프로파일링을 트리거합니다.
  • 추가 분석을 위해 프로파일링 데이터 파일을 사용할 수 있도록 합니다.

자세한 내용은 노드 Observability Operator를 사용하여 CRI-O 및 Kubelet 프로파일링 데이터 요청을 참조하십시오.

1.3.21.6. Performance Addon Operator 기능이 Node Tuning Operator로 이동

이전 버전의 OpenShift Container Platform에서 Performance Addon Operator는 애플리케이션에 대한 짧은 대기 시간 성능 튜닝을 제공합니다. OpenShift Container Platform 4.11에서 이러한 함수는 Node Tuning Operator의 일부입니다. Node Tuning Operator는 OpenShift Container Platform 4.11의 표준 설치의 일부입니다. OpenShift Container Platform 4.11로 업그레이드하는 경우 Node Tuning Operator는 시작 시 Performance Addon Operator 및 모든 관련 아티팩트를 제거합니다.

자세한 내용은 Node Tuning Operator를 참조하십시오.

참고

must-gather 명령을 Performance Profile Creator로 실행할 때 performance-addon-operator-must-gather 이미지를 계속 사용해야 합니다. 자세한 내용은 must-gather를 사용하여 클러스터에 대한 데이터 수집을 참조하십시오.

1.3.21.7. 짧은 대기 시간 튜닝 설명서 업데이트

이전 버전의 OpenShift Container Platform에서 대기 시간이 짧은 튜닝 설명서에 Performance Addon Operator에 대한 참조가 포함되어 있습니다. Node Tuning Operator는 이제 짧은 지연 시간 조정을 제공하므로 문서 제목이 "낮은 지연 시간 노드를 위한 Performance Addon Operator"에서 "짧은 대기 시간 조정"으로 변경되었으며 이에 따라 이 문서에 대한 여러 상호 참조가 업데이트되었습니다. 자세한 내용은 짧은 대기 시간 조정을 참조하십시오.

1.3.21.8. Hub 및 spoke 클러스터 지원

spoke-of-tree 드라이버 지원이 필요한 허브 및 스포크 배포의 경우 허브 클러스터에 배포된 Special Resource Operator (SRO)를 사용하여 하나 이상의 관리 클러스터에 필요한 커널 모듈 배포를 관리할 수 있습니다. 이는 RHACM(Red Hat Advanced Cluster Management)을 사용하며 더 이상 NFD(Node Feature Discovery)를 사용할 필요가 없습니다. 자세한 내용은 hub-and-spoke 토폴로지를 위한 simple-kmod SpecialResource 빌드 및 실행을 참조하십시오.

1.3.21.9. SRO 클러스터 업그레이드 지원 개선

특수 리소스가 관리되는 클러스터를 업그레이드할 때 사전 업그레이드 사용자 정의 리소스를 실행하여 커널 업데이트를 지원하는 새 드라이버 컨테이너가 있는지 확인할 수 있습니다. 이를 통해 관리 대상 특수 리소스의 잠재적인 중단을 방지할 수 있습니다. 이 기능에 대한 문서는 현재 사용할 수 없으며 나중에 릴리스될 예정입니다.

1.3.21.10. SRO의 디버깅 및 로깅 기능 개선

SRO(Special Resource Operator)에는 문제 해결을 위한 메시지 세부 정보가 포함된 일관된 로그 출력 형식이 포함되어 있습니다.

1.3.21.11. 외부 레지스트리 지원

이번 업데이트 이전에는 SRO가 연결이 끊긴 환경의 레지스트리에 대한 연결을 지원하지 않았습니다. 이 릴리스에서는 드라이버 컨테이너가 OpenShift Container Platform 클러스터 외부의 레지스트리에서 호스팅되는 연결이 끊긴 환경을 지원합니다.

1.3.22. Insights Operator

1.3.22.1. Insights Operator 데이터 수집 기능 개선 사항

OpenShift Container Platform 4.11에서 Insights Operator는 다음과 같은 추가 정보를 수집합니다.

  • images.config.openshift.io 리소스 정의
  • kube-controller-manager 컨테이너는 "Internal error occurred: error resolving resource" 또는 "syncing garbage collector with updated resources from discovery" 오류 메시지가 있는 경우 기록함
  • storageclusters.ocs.openshift.io/v1 리소스

Red Hat은 이러한 추가 정보를 통해 OpenShift Container Platform 기능을 개선하고 Insights Advisor 권장 사항을 향상시킵니다.

1.3.23. 인증 및 권한 부여

1.3.23.1. 지원되는 추가 OIDC 공급자

이제 OpenShift Container Platform에서 다음 OpenID Connect (OIDC) 공급자를 테스트하고 지원합니다.

  • Windows Server용 Active Directory Federation Services

    참고

    현재 사용자 정의 클레임을 사용할 때 OpenShift Container Platform과 함께 Windows Server용 Active Directory Federation Services를 사용할 수 없습니다.

  • Microsoft ID 플랫폼(Azure Active Directory v2.0)

    참고

    현재는 그룹 이름을 동기화해야 하는 경우 Microsoft ID 플랫폼을 사용하는 것은 지원되지 않습니다.

OIDC 공급자의 전체 목록은 지원되는 OIDC 공급자를 참조하십시오.

1.3.23.2. Pod 보안 승인

OpenShift Container Platform에서 Pod 보안 승인이 활성화됩니다.

Pod 승인은 Pod 보안 및 SCC(보안 컨텍스트 제약 조건) 허용에 모두 적용됩니다. Pod 보안 승인은 privilegedrestricted 감사 로깅 및 API 경고와 함께 전 세계적으로 실행됩니다.

컨트롤러는 사용자가 생성한 네임스페이스에서 서비스 계정의 SCC 관련 권한을 모니터링하고 Pod 보안 승인 warnaudit 라벨을 사용하여 이러한 네임스페이스에 자동으로 레이블을 지정합니다.

restricted Pod 보안 프로필에 따라 워크로드 보안을 개선하기 위해 이 릴리스에서는 새로운 Pod 보안 허용 제어에 따라 Pod 보안을 적용하는 SCC를 도입합니다. 이러한 SCC는 다음과 같습니다.

  • restricted-v2
  • hostnetwork-v2
  • nonroot-v2

이름이 지정된 이전 SCC에 해당하지만 다음과 같은 향상된 기능이 있습니다.

  • ALL 기능은 컨테이너에서 삭제됩니다. 이전에는 KILL,MKNOD,SETUIDSETGID 기능만 삭제되었습니다.
  • 이제 NET_BIND_SERVICE 기능을 명시적으로 추가할 수 있습니다.
  • 설정되지 않은 경우 seccompProfileruntime/default로 설정됩니다. 이전 릴리스에서는 이 필드가 비어 있어야 했습니다.
  • 보안 컨텍스트에서 allowPrivilegeEscalation을 설정하지 않거나 false로 설정해야 합니다. 이전에는 true 값이 허용되었습니다.

OpenShift Container Platform 4.11에서 restricted -v2 SCC는 제한된 SCC 대신 새 설치에 사용할 수 있는 기본 SCC가 부여되었습니다. 새 클러스터에서 restricted -v2 SCC는 제한된 SCC 대신 인증된 모든 사용자에게 사용됩니다. 액세스 권한이 명시적으로 부여되지 않는 한 restricted SCC는 새 클러스터의 사용자에게 더 이상 사용할 수 없습니다. OpenShift Container Platform 4.10 또는 이전 버전에 원래 설치된 클러스터에서 인증된 모든 사용자는 OpenShift Container Platform 4.11 이상으로 업그레이드할 때 제한된 SCC를 사용할 수 있습니다. 이렇게 하면 OpenShift Container Platform의 기본 보안 권한이 보안 단위로 유지되며 업스트림 Kubernetes 프로젝트의 Pod 보안 승인 및 Pod 보안 표준에 맞게 조정되며 업그레이드된 클러스터의 권한은 이전 상태와 일치하도록 유지합니다.

대부분의 네임스페이스에 대한 동기화를 활성화하고 모든 네임스페이스에 대한 동기화를 비활성화할 수 있습니다.

이번 릴리스에서는 openshift- 접두사가 있는 네임스페이스에는 적용이 제한되지 않습니다. 이러한 네임스페이스에 대한 제한된 적용은 향후 릴리스에 포함될 예정입니다.

자세한 내용은 Pod 보안 승인 이해 및 관리를 참조하십시오.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.