6장. File Integrity Operator
6.1. File Integrity Operator 릴리스 정보
OpenShift Container Platform용 File Integrity Operator는 RHCOS 노드에서 파일 무결성 검사를 지속적으로 실행합니다.
이 릴리스 노트에서는 OpenShift Container Platform에서 File Integrity Operator의 개발을 추적합니다.
File Integrity Operator에 대한 개요는 File Integrity Operator 이해를 참조하십시오.
최신 릴리스에 액세스하려면 File Integrity Operator 업데이트를 참조하십시오.
6.1.1. OpenShift File Integrity Operator 1.2.1
OpenShift File Integrity Operator 1.2.1에서 다음 권고를 사용할 수 있습니다.
- RHBA-2023:1684 OpenShift File Integrity Operator 버그 수정 업데이트
- 이 릴리스에는 업데이트된 컨테이너 종속성이 포함되어 있습니다.
6.1.2. OpenShift File Integrity Operator 1.2.0
OpenShift File Integrity Operator 1.2.0에서 다음 권고를 사용할 수 있습니다.
6.1.2.1. 새로운 기능 및 개선 사항
-
이제 File Integrity Operator CR(사용자 정의 리소스)에 첫 번째 AIDE 무결성 검사를 시작하기 전에 대기할 시간(초)을 지정하는
initialDelay
기능이 포함되어 있습니다. 자세한 내용은 FileIntegrity 사용자 정의 리소스 생성을 참조하십시오. -
File Integrity Operator가 이제 안정되어 릴리스 채널이
stable
으로 업그레이드되었습니다. 향후 릴리스에서는 Semantic Versioning 을 따릅니다. 최신 릴리스에 액세스하려면 File Integrity Operator 업데이트를 참조하십시오.
6.1.3. OpenShift File Integrity Operator 1.0.0
OpenShift File Integrity Operator 1.0.0에서 다음 권고를 사용할 수 있습니다.
6.1.4. OpenShift File Integrity Operator 0.1.32
OpenShift File Integrity Operator 0.1.32에서는 다음 권고를 사용할 수 있습니다.
6.1.4.1. 버그 수정
- 이전에는 File Integrity Operator에서 발행한 경고가 네임스페이스를 설정하지 않아 경고가 발생한 네임스페이스를 이해하기 어려웠습니다. 이제 Operator에서 적절한 네임스페이스를 설정하여 경고에 대한 자세한 정보를 제공합니다. (BZ#2112394)
- 이전에는 File Integrity Operator가 Operator 시작 시 메트릭 서비스를 업데이트하지 않아 지표 대상에 연결할 수 없었습니다. 이번 릴리스에서는 File Integrity Operator에서 Operator 시작 시 지표 서비스가 업데이트되었는지 확인합니다. (BZ#2115821)
6.1.5. OpenShift File Integrity Operator 0.1.30
OpenShift File Integrity Operator 0.1.30에서 다음 권고를 사용할 수 있습니다.
6.1.5.1. 새로운 기능 및 개선 사항
File Integrity Operator가 다음 아키텍처에서 지원됩니다.
- IBM Power
- IBM Z 및 LinuxONE
6.1.5.2. 버그 수정
- 이전에는 File Integrity Operator에서 발행한 경고가 네임스페이스를 설정하지 않아 경고가 발생한 위치를 이해하기 어려웠습니다. 이제 Operator에서 적절한 네임스페이스를 설정하여 경고를 더 잘 이해할 수 있습니다. (BZ#2101393)
6.1.6. OpenShift File Integrity Operator 0.1.24
OpenShift File Integrity Operator 0.1.24에서는 다음 권고를 사용할 수 있습니다.
6.1.6.1. 새로운 기능 및 개선 사항
-
config.maxBackups
특성을 사용하여FileIntegrity
사용자 정의 리소스(CR)에 저장된 최대 백업 수를 구성할 수 있습니다. 이 속성은 노드를 유지하기 위해다시
시작 프로세스에서 남은 AIDE 데이터베이스 및 로그 백업 수를 지정합니다. 구성된 수를 초과하는 이전 백업은 자동으로 정리됩니다. 기본값은 5 개의 백업으로 설정됩니다.
6.1.6.2. 버그 수정
-
이전 버전에서는 Operator를 0.1.21 이전 버전에서 0.1.22로 업그레이드하면
re-init
기능이 실패할 수 있었습니다. 이는 Operator에서configMap
리소스 레이블을 업데이트하지 못한 결과입니다. 이제 최신 버전으로 업그레이드하면 리소스 레이블이 수정되었습니다. (BZ#2049206) -
이전 버전에서는 기본
configMap
스크립트 콘텐츠를 실행할 때 잘못된 데이터 키가 비교되었습니다. 이로 인해 Operator 업그레이드 후aide-reinit
스크립트가 올바르게 업데이트되지 않아re-init
프로세스가 실패했습니다. 이제daemonSets
가 완료될 때까지 실행되고 AIDE 데이터베이스다시 시작 프로세스가
성공적으로 실행됩니다. (BZ#2072058)
6.1.7. OpenShift File Integrity Operator 0.1.22
OpenShift File Integrity Operator 0.1.22에는 다음 권고를 사용할 수 있습니다.
6.1.7.1. 버그 수정
-
이전에는 File Integrity Operator가 설치된 시스템에서
/etc/kubernetes/aide.reinit
파일로 인해 OpenShift Container Platform 업데이트가 중단될 수 있었습니다. 이는/etc/kubernetes/aide.reinit
파일이 있는 경우 발생했지만 나중에ostree
검증 전에 제거되었습니다. 이번 업데이트를 통해/etc/kubernetes/aide.reinit
가 OpenShift Container Platform 업데이트와 충돌하지 않도록/run
디렉터리로 이동합니다. (BZ#2033311)
6.1.8. OpenShift File Integrity Operator 0.1.21
OpenShift File Integrity Operator 0.1.21에서는 다음 권고를 사용할 수 있습니다.
6.1.8.1. 새로운 기능 및 개선 사항
-
FileIntegrity
검사 결과 및 처리 지표와 관련된 메트릭은 웹 콘솔의 모니터링 대시보드에 표시됩니다. 결과에는file_integrity_operator_
접두사로 레이블이 지정됩니다. -
노드에 1초 이상 무결성 장애가 있는 경우 Operator 네임스페이스에 제공되는 기본
PrometheusRule
에 경고가 표시됩니다. 다음과 같은 동적 Machine Config Operator 및 Cluster Version Operator 관련 filepaths는 노드 업데이트 중 잘못된 긍정을 방지하는 데 도움이 되도록 기본 AIDE 정책에서 제외됩니다.
- /etc/machine-config-daemon/currentconfig
- /etc/pki/ca-trust/extracted/java/cacerts
- /etc/cvo/updatepayloads
- /root/.kube
- AIDE 데몬 프로세스에는 v0.1.16에 비해 안정성이 개선되었으며 AIDE 데이터베이스가 초기화될 때 발생할 수 있는 오류에 탄력적으로 개선됩니다.
6.1.8.2. 버그 수정
- 이전 버전에서는 Operator가 자동으로 업그레이드되면 오래된 데몬 세트가 제거되지 않았습니다. 이번 릴리스에서는 자동 업그레이드 중에 오래된 데몬 세트가 제거됩니다.