9.2. cert-manager Operator for Red Hat OpenShift 릴리스 정보

이전에는 Red Hat OpenShift용 cert-manager Operator가 충분하지 않은 RBAC 권한으로 인해 cert-manager-tokenrequest 역할을 생성하지 못했습니다. 이로 인해 RoleCreateFailed 오류 및 성능이 저하된 static-resource 컨트롤러가 생성되었습니다. 이번 릴리스에서는 필요한 serviceaccounts/token create create 권한을 RBAC 구성에 추가하여 문제가 해결됩니다. 결과적으로 cert-manager-tokenrequest 역할 및 역할 바인딩이 성공적으로 생성되고 Operator 로그에 RoleCreateFailed 오류가 더 이상 표시되지 않습니다. (OCPBUGS-56758)

연결이 끊긴 환경 지원

이번 릴리스에서는 cert-manager Operator for Red Hat OpenShift가 연결이 끊긴 환경에 미러링되고 설치된 것으로 확인되었습니다.

Operator는 ACME, CA, Self-signed, Vault 등 연결이 끊긴 환경에서 다음과 같은 발행자 유형에서도 작동하도록 검증되었습니다. 특히 Let's Encrypt 또는 기타 공개 ACME 서비스는 연결이 끊긴 환경에서 사용할 수 없는 옵션이 없기 때문에 개인 또는 자체 호스팅 ACME 서버가 검증되었습니다. oc-mirror 플러그인은 Operator 이미지를 미러링하는 기본 방법입니다. 자세한 내용은 oc-mirror 플러그인을 사용하여 연결이 끊긴 설치의 이미지 미러링 을 참조하십시오.

확장 피연산자 메트릭 지원

이번 릴리스에서는 cert-manager webhook 및 cainjector 피연산자가 /metrics 서비스 끝점을 통해 기본적으로 포트 9402에 Prometheus 지표를 노출합니다. 기본 제공 사용자 워크로드 모니터링 스택을 활성화하여 모든 cert-manager 피연산자에서 지표를 수집하도록 OpenShift Monitoring을 구성할 수 있습니다. 자세한 내용은 Monitoring cert-manager Operator for Red Hat OpenShift 에서 참조하십시오.

스트리밍 목록 활성화

이번 릴리스에서는 cert-manager Operator for Red Hat OpenShift에서 새로운 업스트림 WatchListClient 기능을 사용합니다. 이렇게 하면 Kubernetes API 서버의 Streaming Lists 기능을 사용할 수 있으므로 API 서버의 로드가 줄어듭니다. cert-manager 구성 요소를 시작할 때 최대 메모리 사용은 OpenShift Container Platform 4.14 이상에서 최적화됩니다.

cert-manager 버전 1.16.0의 사용자 이름 및 암호 인증에 Venafi 발행자를 사용하는 경우 기본 클라이언트 ID는 cert-manager.io 로 하드 코딩되며 사용자 정의할 수 없습니다. 이러한 제한은 Venafi 플랫폼에서 인증을 위해 특정 클라이언트 ID를 요구하는 사용자에게 영향을 미칠 수 있습니다.

cert-manager Operator for Red Hat OpenShift with Istio-CSR (기술 프리뷰)

cert-manager Operator for Red Hat OpenShift에서 이제 Istio-CSR을 지원합니다. 이 통합을 통해 cert-manager Operator의 발행자가 상호 TLS(mTLS) 통신을 위해 인증서를 발행, 서명 및 갱신할 수 있습니다. Red Hat OpenShift Service Mesh 및 Istio 는 이제 cert-manager Operator에서 이러한 인증서를 직접 요청할 수 있습니다.

자세한 내용은 cert-manager Operator with Istio-CSR 의 통합을 참조하십시오.

cert-manager Operator for Red Hat OpenShift에 대한 예약 덮어쓰기

이번 릴리스에서는 cert-manager 컨트롤러, Webhook, CA 인젝터를 포함하여 cert-manager Operator for Red Hat OpenShift에 대한 예약 덮어쓰기를 구성할 수 있습니다.

Google CAS 발행자

cert-manager Operator for Red Hat OpenShift는 이제 Google CAS(인증 기관 서비스) 발행자를 지원합니다. google-cas-issuer 는 CAS 관리 개인 인증 기관과 함께 발급 및 갱신을 포함하여 인증서 라이프사이클 관리를 자동화하는 cert-manager의 외부 발행자입니다.

기본 installMode 가 AllNamespaces로 업데이트됨

버전 1.15.0부터 기본 및 권장 OLM(Operator Lifecycle Manager) installMode 는 AllNamespaces 입니다. 이전에는 기본값이 SingleNamespace 였습니다. 이러한 변경 사항은 다중 네임스페이스 Operator 관리를 위한 모범 사례와 일치합니다. 자세한 내용은 OCPBUGS-23406 을 참조하십시오.

중복 kube-rbac-proxy 사이드카 제거

Operator에는 더 이상 중복 kube-rbac-proxy 사이드카 컨테이너가 포함되어 있지 않으므로 리소스 사용량과 복잡성이 줄어듭니다. 자세한 내용은 CM-436 을 참조하십시오.

중복 kube-rbac-proxy 사이드카 제거

Operator에는 더 이상 중복 kube-rbac-proxy 사이드카 컨테이너가 포함되어 있지 않으므로 리소스 사용량과 복잡성이 줄어듭니다. 자세한 내용은 CM-436 을 참조하십시오.

FIPS 컴플라이언스 지원

이번 릴리스에서는 cert-manager Operator for Red Hat OpenShift에 대해 FIPS 모드가 자동으로 활성화됩니다. FIPS 모드에서 OpenShift Container Platform 클러스터에 설치하면 cert-manager Operator for Red Hat OpenShift는 클러스터의 FIPS 지원 상태에 영향을 미치지 않고 호환성을 보장합니다.

NCM issuer

cert-manager Operator for Red Hat OpenShift는 이제 Nokia NetGuard Certificate Manager (NCM) 발행자를 지원합니다. ncm-issuer 는 인증서 요청에 서명하기 위해 Kubernetes 컨트롤러를 사용하여 NCM PKI 시스템과 통합된 cert-manager 외부 발행자입니다. 이 통합은 애플리케이션에 대한 자체 서명된 인증서를 가져오는 프로세스를 간소화하고 유효성을 보장하며 업데이트되도록 합니다.