1.4. 주요 기술 변경 사항
OpenShift Container Platform 4.12에는 다음과 같은 주요 기술 변경 사항이 추가되었습니다.
AWS 보안 토큰 서비스 지역 엔드 포인트
이제 Cloud Credential Operator 유틸리티(ccoctl
)에서 AWS STS(AWS Security Token Service) 에 리전 끝점을 사용하는 시크릿을 생성합니다. 이 접근 방식은 AWS 권장 모범 사례와 일치합니다.
Cert-manager Operator 일반 가용성
cert-manager Operator는 일반적으로 OpenShift Container Platform 4.12에서 사용할 수 있습니다.
Cloud Credential Operator 유틸리티를 사용하여 GCP 리소스를 삭제하는 데 필요한 인증 정보 요청 디렉터리 매개변수
이번 릴리스에서는 Cloud Credential Operator 유틸리티를 사용하여 GCP 리소스를 삭제 할 때 구성 요소 CredentialsRequest
오브젝트에 대한 파일이 포함된 디렉터리를 지정해야 합니다.
Pod 보안 허용에 대한 향후 제한 적용
현재 Pod 보안 위반은 경고로 표시되고 감사 로그에 기록되지만 Pod가 거부되지 않습니다.
Pod 보안 승인에 대한 글로벌 제한 적용은 현재 OpenShift Container Platform의 다음 마이너 릴리스에 대해 계획되어 있습니다. 이 제한된 적용이 활성화되면 Pod 보안 위반이 있는 Pod가 거부됩니다.
향후 변경 사항을 준비하려면 워크로드가 적용되는 Pod 보안 승인 프로필과 일치하는지 확인합니다. 전역 또는 네임스페이스 수준에서 정의된 적용된 보안 표준에 따라 구성되지 않은 워크로드는 거부됩니다. restricted-v2
SCC는 제한된 Kubernetes 정의에 따라 워크로드를 허용합니다.
Pod 보안 위반이 발생하는 경우 다음 리소스를 참조하십시오.
- Pod 보안 위반을 유발하는 워크로드를 찾는 방법에 대한 정보는 Pod 보안 위반 식별 을 참조하십시오.
Pod 보안 승인 레이블 동기화가 수행되는 시기를 확인하려면 Pod 보안 표준과의 보안 컨텍스트 제약 조건 동기화를 참조하십시오. Pod 보안 승인 레이블은 다음과 같은 특정 상황에서 동기화되지 않습니다.
-
워크로드는 시스템이 생성한 네임스페이스에서 실행되고 있으며, 이 네임스페이스에
openshift-
. - 워크로드는 Pod 컨트롤러없이 직접 생성된 Pod에서 실행되고 있습니다.
-
워크로드는 시스템이 생성한 네임스페이스에서 실행되고 있으며, 이 네임스페이스에
-
필요한 경우
pod-security.kubernetes.io/enforce
라벨을 설정하여 네임스페이스 또는 Pod에서 사용자 정의 승인 프로필을 설정할 수 있습니다.
카탈로그 소스 및 제한된 Pod 보안 승인 시행
SQLite 기반 카탈로그 형식과 OpenShift Container Platform 4.11 전에 릴리스된 opm
CLI 툴 버전을 사용하여 빌드된 카탈로그 소스는 제한된 Pod 보안 적용에서 실행할 수 없습니다.
OpenShift Container Platform 4.12에서 네임스페이스는 기본적으로 Pod 보안 시행을 제한하지 않으며 기본 카탈로그 소스 보안 모드는 기존
로 설정됩니다.
제한된 Pod 보안 시행에서 SQLite 기반 카탈로그 소스 Pod를 실행하지 않으려면 OpenShift Container Platform 4.12에서 카탈로그 소스를 업데이트할 필요가 없습니다. 그러나 향후 OpenShift Container Platform 릴리스에서 카탈로그 소스를 실행하려면 제한된 Pod 보안 적용에서 실행되도록 카탈로그 소스를 업데이트해야 합니다.
카탈로그 작성자는 다음 작업 중 하나를 완료하여 제한된 Pod 보안 시행과 호환성을 활성화할 수 있습니다.
- 카탈로그를 파일 기반 카탈로그 형식으로 마이그레이션합니다.
-
OpenShift Container Platform 4.11 이상에서 릴리스된
opm
CLI 툴 버전으로 카탈로그 이미지를 업데이트합니다.
SQLite 데이터베이스 카탈로그 이미지를 업데이트하거나 카탈로그를 파일 기반 카탈로그 형식으로 마이그레이션하지 않으려면 승격된 권한으로 실행되도록 카탈로그를 구성할 수 있습니다.
자세한 내용은 카탈로그 소스 및 Pod 보안 허용 을 참조하십시오.
Operator SDK 1.25.4
OpenShift Container Platform 4.12는 Operator SDK 1.25.4를 지원합니다. 이 최신 버전을 설치하거나 업데이트하려면 Operator SDK CLI 설치를 참조하십시오.
Operator SDK 1.25.4는 Kubernetes 1.25를 지원합니다.
자세한 내용은 Kubernetes 1.25 에서 제거된 베타 API 및 Kubernetes 1.25 에서 제거된 API의 번들 매니페스트를 참조하십시오.
Operator SDK 1.22.2를 사용하여 이전에 생성되거나 유지 관리되는 Operator 프로젝트가 있는 경우 Operator SDK 1.25.4와의 호환성을 유지하도록 프로젝트를 업데이트합니다.
LVM Operator를 Logical Volume Manager Storage라고 합니다.
이전에 Red Hat OpenShift Data Foundation과 함께 제공된 LVM Operator를 사용하려면 OpenShift Data Foundation을 통해 설치해야 합니다. OpenShift Container Platform v4.12에서 LVM Operator의 이름이 Logical Volume Manager Storage 로 변경되었습니다. 이제 OpenShift Operator 카탈로그에서 독립 실행형 Operator로 설치합니다. 논리 볼륨 관리자 스토리지는 제한된 단일 리소스 단일 노드 OpenShift 클러스터에서 블록 스토리지의 동적 프로비저닝을 제공합니다.
RHOSP 16.1 지원 종료
OpenShift Container Platform은 더 이상 RHOSP 16.1을 배포 대상으로 지원하지 않습니다. 자세한 내용은 Red Hat OpenStack Platform 지원 매트릭스 를 참조하십시오.