1.4. 주요 기술 변경 사항
OpenShift Container Platform 4.15에는 다음과 같은 주요 기술 변경 사항이 추가되었습니다.
클러스터 메트릭 포트 보안
이번 릴리스에서는 Cluster Machine Approver Operator 및 Cluster Cloud Controller Manager Operator에 대한 지표를 제공하는 포트에서 추가 보안을 위해 TLS(Transport Layer Security) 프로토콜을 사용합니다. (OCPCLOUD-2272, OCPCLOUD-2271)
1.4.1. Google Cloud Platform용 클라우드 컨트롤러 관리자
Kubernetes 커뮤니티는 클라우드 컨트롤러 관리자를 사용하기 위해 Kubernetes 컨트롤러 관리자 사용을 중단하여 기본 클라우드 플랫폼과 상호 작용할 계획입니다. 따라서 새 클라우드 플랫폼에 대한 Kubernetes 컨트롤러 관리자 지원을 추가할 계획이 없습니다.
이번 릴리스에서는 Google Cloud Platform용 클라우드 컨트롤러 관리자를 사용하는 일반 가용성이 도입되었습니다.
클라우드 컨트롤러 관리자에 대한 자세한 내용은 Kubernetes Cloud Controller Manager 설명서 를 참조하십시오.
클라우드 컨트롤러 관리자 및 클라우드 노드 관리자 배포 및 라이프사이클을 관리하려면 Cluster Cloud Controller Manager Operator를 사용합니다.
자세한 내용은 Cluster Operators 참조 의 Cluster Cloud Controller Manager Operator 항목을 참조하십시오.
1.4.2. Pod 보안 승인에 대한 향후 제한 적용
현재 Pod 보안 위반으로 인해 Pod가 거부되지 않고 감사 로그에 경고가 표시됩니다.
Pod 보안 승인에 대한 글로벌 제한된 적용은 현재 OpenShift Container Platform의 다음 마이너 릴리스에 대해 예정되어 있습니다. 이 제한된 적용이 활성화되면 Pod 보안 위반이 있는 Pod가 거부됩니다.
향후 변경 사항을 준비하려면 워크로드가 적용되는 Pod 보안 승인 프로필과 일치하는지 확인합니다. 전역적으로 또는 네임스페이스 수준에서 정의된 강제 보안 표준에 따라 구성되지 않은 워크로드는 거부됩니다. restricted-v2 SCC는 제한된 Kubernetes 정의에 따라 워크로드를 허용합니다.
Pod 보안 위반을 수신하는 경우 다음 리소스를 참조하십시오.
- Pod 보안 위반 을 유발하는 워크로드를 찾는 방법에 대한 정보는 Pod 보안 위반을 참조하십시오.
Pod 보안 승인 라벨 동기화가 수행되는 시기를 이해하려면 Pod 보안 승인 동기화 정보를 참조하십시오. Pod 보안 승인 레이블은 다음과 같은 특정 상황에서 동기화되지 않습니다.
-
워크로드는
openshift-접두사가 붙은 시스템에서 생성된 네임스페이스에서 실행되고 있습니다. - 워크로드는 Pod 컨트롤러 없이 직접 생성된 Pod에서 실행되고 있습니다.
-
워크로드는
-
필요한 경우
pod-security.kubernetes.io/enforce레이블을 설정하여 네임스페이스 또는 Pod에서 사용자 정의 승인 프로필을 설정할 수 있습니다.
