2.2. 서비스 메시 릴리스 노트
2.2.1. 보다 포괄적 수용을 위한 오픈 소스 용어 교체
Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 용어를 교체하기 위해 최선을 다하고 있습니다. 먼저 마스터(master), 슬레이브(slave), 블랙리스트(blacklist), 화이트리스트(whitelist) 등 네 가지 용어를 교체하고 있습니다. 이러한 변경 작업은 작업 범위가 크므로 향후 여러 릴리스에 걸쳐 점차 구현할 예정입니다. 자세한 내용은 CTO Chris Wright의 메시지를 참조하십시오.
2.2.2. Red Hat OpenShift Service Mesh 버전 2.6.2
이번 Red Hat OpenShift Service Mesh 릴리스는 Red Hat OpenShift Service Mesh Operator 버전을 2.6.2로 업데이트하고 다음 ServiceMeshControlPlane
리소스 버전 업데이트( 2.6.2, 2.5.5 및 2.4.11)를 포함합니다.
이번 릴리스에서는 CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.14 이상에서 지원됩니다.
Red Hat OpenShift Service Mesh Operator의 최신 버전은 지원되는 모든 Service Mesh 버전에서 사용할 수 있습니다. Service Mesh 버전은 ServiceMeshControlPlane
리소스를 사용하여 지정합니다.
Red Hat에서 제공하는 Kiali Operator의 최신 버전은 지원되는 모든 Red Hat OpenShift Service Mesh 버전에서 사용할 수 있습니다. Service Mesh 버전은 ServiceMeshControlPlane
리소스를 사용하여 지정합니다. Service Mesh 버전은 호환되는 Kiali 버전을 자동으로 확인합니다.
2.2.2.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.20.8 |
Envoy 프록시 | 1.28.7 |
Kiali 서버 | 1.73.15 |
2.2.2.2. 새로운 기능
- cert-manager Operator for Red Hat OpenShift는 IBM Power, IBM Z 및 IBM® LinuxONE에서 지원됩니다.
2.2.2.3. 해결된 문제
- OSSM-8099 이전 버전에서는 끝점이 드레이닝 단계에 있을 때 영구 세션 레이블을 지원하는 데 문제가 있었습니다. 이제 상태 저장 헤더 세션에 대한 끝점 드레이닝을 처리하는 방법이 있습니다.
-
이전에 OSSM-8001
runAsUser
및runAsGroup
이 Pod의 동일한 값으로 설정된 경우 프록시 GID가 컨테이너의 GID와 일치하도록 잘못 설정되어 Istio CNI에서 적용한 iptables 규칙에 대한 트래픽 인터셉션 문제가 발생했습니다. 이제 컨테이너에 runAsUser 및 runAsGroup에 동일한 값이 있을 수 있으며 iptables 규칙이 올바르게 적용될 수 있습니다. -
OSSM-8074 이전에 서비스 메시에 숫자 전용 네임스페이스(예:
12345
)가 있는 경우 Kiali Operator가 Kiali 서버를 설치하지 못했습니다. 이제 숫자만 있는 네임스페이스가 올바르게 작동합니다.
2.2.3. Red Hat OpenShift Service Mesh 버전 2.5.5
이번 Red Hat OpenShift Service Mesh 릴리스는 Red Hat OpenShift Service Mesh Operator 2.6.2에 포함되어 있으며 OpenShift Container Platform 4.14 이상에서 지원됩니다.
2.2.3.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.18.7 |
Envoy 프록시 | 1.26.8 |
Kiali 서버 | 1.73.15 |
2.2.3.2. 해결된 문제
-
이전에는
runAsUser
및runAsGroup
매개변수가 Pod의 동일한 값으로 설정된 경우 프록시 GID가 컨테이너의 GID와 일치하도록 잘못 설정되어 Istio CNI에서 적용한 iptables 규칙에 대한 트래픽 인터셉션 문제가 발생했습니다. https://issues.redhat.com/browse/OSSM-8001 이제 컨테이너에runAsUser
및runAsGroup
매개변수에 동일한 값이 있을 수 있으며 iptables 규칙이 올바르게 적용됩니다. -
OSSM-8074 이전에 서비스 메시에 숫자 전용 네임스페이스(예:
12345
)가 있는 경우 Red Hat에서 제공하는 Kiali Operator가 Kiali 서버를 설치하지 못했습니다. 이제 숫자만 있는 네임스페이스가 올바르게 작동합니다.
2.2.4. Red Hat OpenShift Service Mesh 버전 2.4.11
이번 Red Hat OpenShift Service Mesh 릴리스는 Red Hat OpenShift Service Mesh Operator 2.6.2에 포함되어 있으며 OpenShift Container Platform 4.14 이상에서 지원됩니다.
2.2.4.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.12 |
Kiali 서버 | 1.65.16 |
2.2.4.2. 해결된 문제
-
이전에는
runAsUser
및runAsGroup
매개변수가 Pod의 동일한 값으로 설정된 경우 프록시 GID가 컨테이너의 GID와 일치하도록 잘못 설정되어 Istio CNI에서 적용한 iptables 규칙에 대한 트래픽 인터셉션 문제가 발생했습니다. https://issues.redhat.com/browse/OSSM-8001 이제 컨테이너에runAsUser
및runAsGroup
매개변수에 동일한 값이 있을 수 있으며 iptables 규칙이 올바르게 적용됩니다. -
OSSM-8074 이전에 서비스 메시에 숫자 전용 네임스페이스(예:
12345
)가 있는 경우 Red Hat에서 제공하는 Kiali Operator가 Kiali 서버를 설치하지 못했습니다. 이제 숫자만 있는 네임스페이스가 올바르게 작동합니다.
2.2.5. Red Hat OpenShift Service Mesh 버전 2.6.1
이번 Red Hat OpenShift Service Mesh 릴리스에는 2.6.1, 2.5.4 및 2.4.10이 포함되어 있습니다. CVE(Common Vulnerabilities and Exposures)에는 버그 수정 사항이 포함되어 있으며 OpenShift Container Platform 4.14 이상에서 지원됩니다.
Red Hat에서 제공하는 Kiali Operator의 최신 버전은 지원되는 모든 Red Hat OpenShift Service Mesh 버전에서 사용할 수 있습니다. Service Mesh 버전은 ServiceMeshControlPlane
리소스를 사용하여 지정합니다. Service Mesh 버전은 호환되는 Kiali 버전을 자동으로 확인합니다.
2.2.5.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.20.8 |
Envoy 프록시 | 1.28.5 |
Kiali 서버 | 1.73.14 |
2.2.5.2. 해결된 문제
- OSSM-6766 이전 버전에서는 사용자가 네임스페이스(예: 삽입 활성화 또는 비활성화)를 업데이트하거나 Istio 오브젝트(예: 트래픽 정책 생성)를 생성하려는 경우 OSSM-6766이 실패했습니다. 이제 사용자가 네임스페이스를 업데이트하거나 Istio 오브젝트를 생성하는 경우 OpenShift Service Mesh Console(OSSMC) 플러그인이 실패하지 않습니다.
2.2.6. Red Hat OpenShift Service Mesh 버전 2.5.4
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)를 처리하고 OpenShift Container Platform 4.14 이상에서 지원됩니다.
2.2.6.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.18.7 |
Envoy 프록시 | 1.26.8 |
Kiali 서버 | 1.73.14 |
2.2.7. Red Hat OpenShift Service Mesh 버전 2.4.10
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)를 처리하고 OpenShift Container Platform 4.14 이상에서 지원됩니다.
2.2.7.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.12 |
Kiali 서버 | 1.65.15 |
2.2.8. Red Hat OpenShift Service Mesh 버전 2.6.0
이번 Red Hat OpenShift Service Mesh 릴리스에는 2.5.3 및 2.4.9 버전이 포함되어 있으며 새로운 기능이 추가되고 CVE(Common Vulnerabilities and Exposures)가 포함되어 있으며 OpenShift Container Platform 4.14 이상에서 지원됩니다.
이번 릴리스에서는 Red Hat OpenShift Service Mesh 버전 2.3에 대한 유지 관리 지원이 종료됩니다. Service Mesh 버전 2.3을 사용하는 경우 지원되는 버전으로 업데이트해야 합니다.
Red Hat OpenShift Service Mesh는 FIPS용으로 설계되었습니다. 서비스 메시는 x86_64, ppc64le, s390x 아키텍처의 FIPS 140-2/140-3 Validation에 대해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다. NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 유효성 검사 프로그램을 참조하십시오. 검증을 위해 제출된 개별 RHEL 암호화 라이브러리의 최신 NIST 상태는 규정 준수 활동 및 정부 표준을 참조하십시오.
2.2.8.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.20.8 |
Envoy 프록시 | 1.28.5 |
Kiali | 1.73.9 |
2.2.8.2. Istio 1.20 지원
서비스 메시 2.6은 Istio 1.20을 기반으로 하며 다음을 포함하여 새로운 기능 및 제품 개선 사항을 제공합니다.
네이티브 사이드카는 OpenShift Container Platform 4.16 이상에서 지원됩니다.
ServiceMeshControlPlane
리소스 예apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane metadata: name: basic spec: runtime: components: pilot: container: env: ENABLE_NATIVE_SIDECARS: "true"
- Istio 1.20의 트래픽 미러링은 이제 여러 대상을 지원합니다. 이 기능을 사용하면 트래픽을 다양한 엔드포인트로 미러링할 수 있으므로 다양한 서비스 버전 또는 구성에서 동시에 관찰할 수 있습니다.
Red Hat OpenShift Service Mesh는 많은 Istio 1.20 기능을 지원하지만 다음 예외에 유의하십시오.
- 앰비언트 메시는 지원되지 않습니다.
- Istio의 QAT(QuickAssist Technology) PrivateKeyProvider는 지원되지 않습니다.
2.2.8.3. Istio 및 Kiali 번들 이미지 이름 변경
이번 릴리스에서는 Istio 번들 이미지 이름 및 Kiali 번들 이미지 이름이 업데이트되어 Red Hat 이름 지정 규칙에 더 적합합니다.
-
Istio 번들 이미지 이름:
openshift-service-mesh/istio-operator-bundle
-
Kiali 번들 이미지 이름:
openshift-service-mesh/kiali-operator-bundle
2.2.8.4. Red Hat OpenShift distributed tracing Platform (Tempo) 및 Red Hat build of OpenTelemetry와 통합
이번 릴리스에서는 Red Hat OpenShift distributed tracing Platform (Tempo) 및 Red Hat build of OpenTelemetry의 추적 확장 공급자를 일반적으로 통합할 수 있습니다.
ServiceMehControlPlane
리소스의 spec.meshConfig.extensionProviders
사양에 이름이 지정된 요소와 opentelemetry
공급자를 추가하여 Red Hat OpenShift distributed tracing platform(Tempo)에 추적 데이터를 노출할 수 있습니다. 그런 다음 Telemetry 사용자 정의 리소스는 추적 범위를 수집하여 OpenTelemetry 수집기 끝점으로 전송하도록 Istio 프록시를 구성합니다.
메시 네임스페이스에 OpenTelemetry 인스턴스의 Red Hat 빌드를 생성하고 추적 데이터를 추적 플랫폼 백엔드 서비스에 전송하도록 구성할 수 있습니다.
Red Hat OpenShift distributed tracing platform (Tempo) Stack은 IBM Z에서 지원되지 않습니다.
2.2.8.5. Red Hat OpenShift distributed tracing platform (Jaeger) 기본 설정 변경
이번 릴리스에서는 ServiceMeshControlPlane
리소스의 새 인스턴스에 대해 기본적으로 Red Hat OpenShift distributed tracing Platform (Jaeger)을 비활성화합니다.
ServiceMeshControlPlane
리소스의 기존 인스턴스를 Red Hat OpenShift Service Mesh 버전 2.6로 업데이트할 때 분산 추적 플랫폼(Jaeger)은 기본적으로 활성화되어 있습니다.
Red Hat OpenShift Service Mesh 2.6은 Red Hat OpenShift distributed tracing Platform (Jaeger) 및 OpenShift Elasticsearch Operator에 대한 지원이 포함된 마지막 릴리스입니다. 다음 릴리스에서 분산 추적 플랫폼(Jaeger) 및 OpenShift Elasticsearch Operator가 모두 제거됩니다. 현재 분산 추적 플랫폼(Jaeger) 및 OpenShift Elasticsearch Operator를 사용하는 경우 Red Hat OpenShift distributed tracing Platform (Tempo) 및 Red Hat build of OpenTelemetry로 전환해야 합니다.
2.2.8.6. 게이트웨이 API 사용은 일반적으로 Red Hat OpenShift Service Mesh 클러스터 전체 배포에서 사용 가능
이번 릴리스에서는 Red Hat OpenShift Service Mesh 2.6에서 Kubernetes Gateway API 버전 1.0.0을 사용하기 위한 일반 가용성이 도입되었습니다. 이 API 사용은 Red Hat OpenShift Service Mesh로 제한됩니다. Gateway API CRD(사용자 정의 리소스 정의)는 지원되지 않습니다.
이제 클러스터 전체 모드가 활성화된 경우 게이트웨이 API가 기본적으로 활성화됩니다(spec.mode: ClusterWide
). CRD(사용자 정의 리소스 정의)가 클러스터에 설치되지 않은 경우에도 활성화할 수 있습니다.
다중 테넌트 메시 배포를 위한 게이트웨이 API는 여전히 기술 프리뷰로 되어 있습니다.
사용 중인 OpenShift Service Mesh 버전으로 설치해야 하는 게이트웨이 API 버전을 확인하려면 다음 표를 참조하십시오.
서비스 메시 버전 | Istio 버전 | 게이트웨이 API 버전 | 참고 |
---|---|---|---|
2.6 | 1.20.x | 1.0.0 | 해당 없음 |
2.5.x | 1.18.x | 0.6.2 |
|
2.4.x | 1.16.x | 0.5.1 | 다중 테넌트 메시 배포의 경우 모든 게이트웨이 API CRD가 있어야 합니다. 실험적인 브랜치를 사용합니다. |
PILOT_ENABLE_GATEWAY_API
를 false
로 설정하여 이 기능을 비활성화할 수 있습니다.
apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane metadata: name: basic spec: runtime: components: pilot: container: env: PILOT_ENABLE_GATEWAY_API: "false"
2.2.8.7. 해결된 문제
- OSSM-6754 이전에 OpenShift Container Platform 4.15에서 사용자가 서비스 세부 정보 페이지로 이동하여 Service Mesh 탭을 클릭하고 페이지를 새로 고칠 때 활성 탭이 기본 세부 정보 탭인 경우에도 서비스 메시 세부 정보 페이지가 서비스 메시 콘텐츠 정보에 남아 있었습니다. 이제 새로 고침 후 사용자는 문제 없이 서비스 세부 정보 페이지의 다른 탭을 탐색할 수 있습니다.
-
OSSM-2101 이전에 Istio Operator는 더 이상 필요하지 않은
istio-cni-node
DaemonSet 및 기타 CNI 리소스를 삭제하지 않았습니다. 이제 Operator를 업그레이드한 후 클러스터에 하나 이상의 SMCP가 설치되어 있는 경우 Operator는 이 SMCP를 조정한 다음 사용되지 않은 모든 CNI 설치(v2.0 이전 CNI 버전까지)를 삭제합니다.
2.2.8.8. Kiali의 확인된 문제
OSSM-6099 OpenShift Service Mesh Console(OSSMC) 플러그인 설치는 IPv6 클러스터에서 실패합니다.
해결방법: IPv4 클러스터에 OSSMC 플러그인을 설치합니다.
2.2.9. Red Hat OpenShift Service Mesh 버전 2.5.3
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)를 사용하며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
2.2.9.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.18.7 |
Envoy 프록시 | 1.26.8 |
Kiali | 1.73.9 |
2.2.10. Red Hat OpenShift Service Mesh 버전 2.4.9
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)를 사용하며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
2.2.10.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.12 |
Kiali | 1.65.11 |
2.2.11. Red Hat OpenShift Service Mesh 버전 2.5.2
이번 Red Hat OpenShift Service Mesh 릴리스에는 2.4.8 및 2.3.12 버전이 포함되어 있으며 CVE(Common Vulnerabilities and Exposures)를 처리하고 버그 수정이 포함되어 있습니다.
이 릴리스는 OpenShift Container Platform 4.12 이상에서 지원됩니다.
2.2.11.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.18.7 |
Envoy 프록시 | 1.26.8 |
Kiali | 1.73.8 |
2.2.11.2. 해결된 문제
-
OSSM-6331 이전에
smcp.general.logging.componentLevels
사양에서 잘못된LogLevel
값을 허용했으며ServiceMeshControlPlane
리소스가 계속 생성되었습니다. 이제 잘못된 값이 사용되고 컨트롤 플레인이 생성되지 않은 경우 터미널에 오류 메시지가 표시됩니다. -
OSSM-6290 이전 버전에서는 Istio Config 목록 페이지의 프로젝트 필터 드롭다운이 제대로 작동하지 않았습니다. 드롭다운 메뉴에서 특정 프로젝트를 선택한 경우에도 모든 네임스페이스에서 모든
istio 구성
항목이 표시되었습니다. 이제 필터 드롭다운에서 선택한 프로젝트에 속하는istio 구성
항목만 표시됩니다. - OSSM-6298 이전에 OSSM-6298 OpenShift Service Mesh Console(OSSMC) 플러그인 내에서 항목 참조를 클릭하면 원하는 페이지를 열기 전에 콘솔에서 여러 리디렉션을 수행하는 경우가 있습니다. 그 결과 콘솔에서 열려 있는 이전 페이지로 돌아가면 웹 브라우저가 잘못된 페이지를 열 수 있었습니다. 이제 이러한 리디렉션이 발생하지 않으며 웹 브라우저에서 Back 을 클릭하면 올바른 페이지가 열립니다.
- OSSM-6299 이전에 OpenShift Container Platform 4.15에서 트래픽 그래프 내의 노드 그래프 메뉴 옵션을 클릭하면 노드 그래프가 표시되지 않았습니다. 대신 동일한 트래픽 그래프로 페이지를 새로 고칩니다. 이제 Node graph 메뉴 옵션을 클릭하면 노드 그래프가 올바르게 표시됩니다.
2.2.12. Red Hat OpenShift Service Mesh 버전 2.4.8
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
Red Hat OpenShift Service Mesh Operator의 최신 버전은 지원되는 모든 Service Mesh 버전에서 사용할 수 있습니다. Service Mesh 버전은 ServiceMeshControlPlane
을 사용하여 지정합니다.
2.2.12.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.12 |
Kiali | 1.65.11 |
2.2.13. Red Hat OpenShift Service Mesh 버전 2.3.12
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
Red Hat OpenShift Service Mesh Operator의 최신 버전은 지원되는 모든 Service Mesh 버전에서 사용할 수 있습니다. Service Mesh 버전은 ServiceMeshControlPlane
리소스를 사용하여 지정합니다.
2.2.13.1. 구성 요소 업데이트
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.11 |
Kiali | 1.57.14 |
2.2.14. 이전 릴리스
이러한 이전 릴리스에는 기능 및 개선 사항이 추가되었습니다.
2.2.14.1. Red Hat OpenShift Service Mesh 버전 2.5.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
2.2.14.1.1. Red Hat OpenShift Service Mesh 버전 2.5.1의 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.18.7 |
Envoy 프록시 | 1.26.8 |
Kiali | 1.73.7 |
2.2.14.2. Red Hat OpenShift Service Mesh 버전 2.5 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스에는 새로운 기능이 추가되고, CVE(Common Vulnerabilities and Exposures)에는 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
이번 릴리스에서는 OpenShift Service Mesh 버전 2.2에 대한 유지 관리 지원이 종료됩니다. OpenShift Service Mesh 버전 2.2를 사용하는 경우 지원되는 버전으로 업데이트해야 합니다.
2.2.14.2.1. Red Hat OpenShift Service Mesh 버전 2.5의 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.18.7 |
Envoy 프록시 | 1.26.8 |
Kiali | 1.73.4 |
2.2.14.2.2. Istio 1.18 지원
서비스 메시 2.5는 Istio 1.18을 기반으로 하며 새로운 기능 및 제품 개선 사항을 제공합니다. Red Hat OpenShift Service Mesh는 많은 Istio 1.18 기능을 지원하지만 다음 예외 사항은 다음과 같습니다.
- 앰비언트 메시는 지원되지 않습니다.
- Istio의 QAT(QuickAssist Technology) PrivateKeyProvider는 지원되지 않습니다.
2.2.14.2.3. cluster-Wide 메시 마이그레이션
이번 릴리스에서는 다중 테넌트 메시에서 클러스터 전체 메시로 마이그레이션하기 위한 문서가 추가되었습니다. 자세한 내용은 다음 설명서를 참조하십시오.
- "클러스터 전체 메시로 마이그레이션에 대한 정보"
- "클러스터 전체 메시에서 네임스페이스 제외"
- "클러스터 메시에서 사이드카 삽입을 수신하는 네임스페이스 정의"
- "클러스터 전체 메시에서 개별 Pod 제외"
2.2.14.2.4. ARM 기반 클러스터의 Red Hat OpenShift Service Mesh Operator
이번 릴리스에서는 ARM 기반 클러스터의 Red Hat OpenShift Service Mesh Operator가 일반적으로 사용 가능한 기능으로 제공됩니다.
2.2.14.2.5. Red Hat OpenShift distributed tracing Platform (Tempo) Stack과의 통합
이 릴리스에서는 추적 확장 공급자의 일반적으로 사용 가능한 통합이 도입되었습니다. 이름이 지정된 요소 및 zipkin
공급자를 spec.meshConfig.extensionProviders
사양에 추가하여 Red Hat OpenShift distributed tracing platform(Tempo) 스택에 추적 데이터를 노출할 수 있습니다. 그런 다음 Telemetry 사용자 정의 리소스는 추적 범위를 수집하여 Tempo 배포자 서비스 엔드포인트로 전송하도록 Istio 프록시를 구성합니다.
Red Hat OpenShift distributed tracing platform (Tempo) Stack은 IBM Z에서 지원되지 않습니다.
2.2.14.2.6. OpenShift Service Mesh 콘솔 플러그인
이번 릴리스에서는 일반적으로 사용 가능한 OpenShift Service Mesh Console(OSSMC) 플러그인이 도입되었습니다.
OSSMC 플러그인은 서비스 메시에 대한 가시성을 제공하는 OpenShift 콘솔의 확장입니다. OSSMC 플러그인이 설치된 경우 새 Service Mesh 메뉴 옵션은 웹 콘솔의 탐색 창과 기존 워크로드 및 서비스 콘솔 페이지를 개선하는 새 서비스 메시 탭에서 사용할 수 있습니다.
OSSMC 플러그인의 기능은 독립 실행형 Kiali 콘솔의 기능과 매우 유사합니다. OSSMC 플러그인은 Kiali 콘솔을 대체하지 않으며 OSSMC 플러그인을 설치한 후에도 독립 실행형 Kiali 콘솔에 계속 액세스할 수 있습니다.
2.2.14.2.7. Istio OpenShift Routing (IOR) 기본 설정 변경
Istio OpenShift Routing (IOR)의 기본 설정이 변경되었습니다. 이번 릴리스에서는 ServiceMeshControlPlane
리소스의 새 인스턴스에 대해 자동 경로가 기본적으로 비활성화되어 있습니다.
ServiceMeshControlPlane
리소스의 새 인스턴스의 경우 ServiceMeshControlPlane
리소스의 gateways.openshiftRoute
사양에서 enabled
필드를 true
로 설정하여 자동 경로를 사용할 수 있습니다.
ServiceMeshControlPlane
리소스 예
apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane spec: gateways: openshiftRoute: enabled: true
ServiceMeshControlPlane
리소스의 기존 인스턴스를 Red Hat OpenShift Service Mesh 버전 2.5로 업데이트할 때 자동 경로는 기본적으로 활성화되어 있습니다.
2.2.14.2.8. Istio 프록시 동시성 구성 개선 사항
networking.istio
API의 concurrency
매개변수는 Istio 프록시가 실행되는 작업자 스레드 수를 구성합니다.
배포 간 일관성을 위해 이제 Istio는 프록시 컨테이너에 할당된 CPU 제한에 따라 동시성
매개변수를 구성합니다. 예를 들어, 2500m의 제한은 concurrency
매개변수를 3
으로 설정합니다. concurrency
매개변수를 다른 값으로 설정하면 Istio는 해당 값을 사용하여 CPU 제한을 사용하는 대신 프록시가 실행되는 스레드 수를 구성합니다.
이전에는 매개변수의 기본 설정은 2
입니다.
2.2.14.2.9. 게이트웨이 API CRD 버전
OpenShift Container Platform Gateway API 지원은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
이제 Gateway API CRD(사용자 정의 리소스 정의)의 새 버전을 사용할 수 있습니다. 사용 중인 OpenShift Service Mesh 버전으로 설치해야 하는 게이트웨이 API 버전을 확인하려면 다음 표를 참조하십시오.
서비스 메시 버전 | Istio 버전 | 게이트웨이 API 버전 | 참고 |
---|---|---|---|
2.5.x | 1.18.x | 0.6.2 |
|
2.4.x | 1.16.x | 0.5.1 | 다중 테넌트 메시 배포의 경우 모든 게이트웨이 API CRD가 있어야 합니다. 실험적인 브랜치를 사용합니다. |
2.2.14.3. Red Hat OpenShift Service Mesh 버전 2.4.7 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
2.2.14.3.1. Red Hat OpenShift Service Mesh 버전 2.4.7의 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.12 |
Kiali | 1.65.11 |
2.2.14.4. Red Hat OpenShift Service Mesh 버전 2.4.6 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
2.2.14.4.1. Red Hat OpenShift Service Mesh 버전 2.4.6의 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.12 |
Kiali | 1.65.11 |
2.2.14.5. Red Hat OpenShift Service Mesh 버전 2.4.5 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.11 이상 버전에서 지원됩니다.
2.2.14.5.1. Red Hat OpenShift Service Mesh 버전 2.4.5에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.12 |
Kiali | 1.65.11 |
2.2.14.6. Red Hat OpenShift Service Mesh 버전 2.4.4 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.11 이상 버전에서 지원됩니다.
2.2.14.6.1. Red Hat OpenShift Service Mesh 버전 2.4.4에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.12 |
Jaeger | 1.47.0 |
Kiali | 1.65.10 |
2.2.14.7. Red Hat OpenShift Service Mesh 버전 2.4.3 새 기능
- Red Hat OpenShift Service Mesh Operator는 이제 ARM 기반 클러스터에서 기술 프리뷰 기능으로 사용할 수 있습니다.
-
gRPC API를 사용하여 외부 인증 공급자를 구성하는 데 사용되는
envoyExtAuthzGrpc
필드가 추가되었습니다. - CVE(Common Vulnerabilities and Exposures)가 해결되었습니다.
- 이 릴리스는 OpenShift Container Platform 4.10 및 최신 버전에서 지원됩니다.
2.2.14.7.1. Red Hat OpenShift Service Mesh 버전 2.4.3에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.10 |
Jaeger | 1.42.0 |
Kiali | 1.65.8 |
2.2.14.7.2. Red Hat OpenShift Service Mesh operator to ARM 기반 클러스터
Red Hat OpenShift Service Mesh operator to ARM 기반 클러스터는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
이번 릴리스에서는 ARM 기반 클러스터에서 Red Hat OpenShift Service Mesh Operator를 기술 프리뷰 기능으로 사용할 수 있습니다. 이미지는 Istio, Envoy, Prometheus, Kiali, Grafana에서 사용할 수 있습니다. Jaeger에서 이미지를 사용할 수 없으므로 Jaeger를 서비스 메시 애드온으로 비활성화해야 합니다.
2.2.14.7.3. 외부 인증 구성에 대한 원격 프로시저 호출(gRPC) API 지원
이번 개선된 기능에는 gRPC API를 사용하여 외부 권한 부여 공급자를 구성하기 위해 envoyExtAuthzGrpc
필드가 추가되었습니다.
2.2.14.8. Red Hat OpenShift Service Mesh 버전 2.4.2 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.8.1. Red Hat OpenShift Service Mesh 버전 2.4.2에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.16.7 |
Envoy 프록시 | 1.24.10 |
Jaeger | 1.42.0 |
Kiali | 1.65.7 |
2.2.14.9. Red Hat OpenShift Service Mesh 버전 2.4.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.9.1. Red Hat OpenShift Service Mesh 버전 2.4.1에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.16.5 |
Envoy 프록시 | 1.24.8 |
Jaeger | 1.42.0 |
Kiali | 1.65.7 |
2.2.14.10. Red Hat OpenShift Service Mesh 버전 2.4 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.10.1. Red Hat OpenShift Service Mesh 버전 2.4에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.16.5 |
Envoy 프록시 | 1.24.8 |
Jaeger | 1.42.0 |
Kiali | 1.65.6 |
2.2.14.10.2. 클러스터 전체 배포
이번 개선된 기능에는 일반적으로 사용 가능한 클러스터 전체 배포 버전이 도입되었습니다. 클러스터 전체 배포에는 전체 클러스터의 리소스를 모니터링하는 서비스 메시 컨트롤 플레인이 포함되어 있습니다. 컨트롤 플레인은 모든 네임스페이스에서 단일 쿼리를 사용하여 메시 구성에 영향을 주는 각 Istio 또는 Kubernetes 리소스를 모니터링합니다. 컨트롤 플레인이 클러스터 전체 배포에서 수행하는 쿼리 수를 줄이면 성능이 향상됩니다.
2.2.14.10.3. 검색 선택기 지원
이번 개선된 기능에는 meshConfig.discoverySelectors
필드의 일반적으로 사용 가능한 버전이 도입되어 클러스터 전체 배포에서 서비스 메시 컨트롤 플레인에서 검색할 수 있는 서비스를 제한할 수 있습니다.
spec: meshConfig discoverySelectors: - matchLabels: env: prod region: us-east1 - matchExpressions: - key: app operator: In values: - cassandra - spark
2.2.14.10.4. cert-manager istio-csr과의 통합
이번 업데이트를 통해 Red Hat OpenShift Service Mesh는 cert-manager
컨트롤러 및 istio-csr
에이전트와 통합됩니다. cert-manager
는 인증서 및 인증서 발행자를 Kubernetes 클러스터에서 리소스 유형으로 추가하고 해당 인증서를 획득, 갱신 및 사용하는 프로세스를 단순화합니다. cert-manager
는 Istio의 중간 CA 인증서를 제공하고 순환합니다. istio-csr
과의 통합을 통해 사용자는 Istio 프록시에서 인증서 요청을 cert-manager
에 위임할 수 있습니다. ServiceMeshControlPlane
v2.4에서는 cert-manager
에서 cacerts
시크릿으로 제공하는 CA 인증서를 허용합니다.
cert-manager
및 istio-csr
과의 통합은 IBM Power®, IBM Z® 및 IBM® LinuxONE에서 지원되지 않습니다.
2.2.14.10.5. 외부 권한 부여 시스템과 통합
이번 개선된 기능에는 AuthorizationPolicy
리소스의 action: CUSTOM
필드를 사용하여 Red Hat OpenShift Service Mesh를 외부 권한 부여 시스템과 통합하는 데 일반적으로 사용 가능한 방법이 도입되었습니다. envoyExtAuthzHttp
필드를 사용하여 액세스 제어를 외부 권한 부여 시스템에 위임합니다.
2.2.14.10.6. 외부 Prometheus 설치와 통합
이번 개선된 기능에는 일반적으로 사용 가능한 Prometheus 확장 공급자 버전이 도입되었습니다. spec.meshConfig
사양에서 extensionProviders
필드의 값을 prometheus
로 설정하여 OpenShift Container Platform 모니터링 스택 또는 사용자 정의 Prometheus 설치에 지표를 노출할 수 있습니다. Telemetry 오브젝트는 트래픽 지표를 수집하도록 Istio 프록시를 구성합니다. 서비스 메시는 Prometheus 지표에 대한 Telemetry API만 지원합니다.
spec: meshConfig: extensionProviders: - name: prometheus prometheus: {} --- apiVersion: telemetry.istio.io/v1alpha1 kind: Telemetry metadata: name: enable-prometheus-metrics spec: metrics: - providers: - name: prometheus
2.2.14.10.7. 단일 스택 IPv6 지원
이번 개선된 기능을 통해 단일 스택 IPv6 클러스터를 일반적으로 지원하여 광범위한 IP 주소에 대한 액세스를 제공합니다. 듀얼 스택 IPv4 또는 IPv6 클러스터는 지원되지 않습니다.
IBM Power®, IBM Z® 및 IBM® LinuxONE에서는 단일 스택 IPv6 지원을 사용할 수 없습니다.
2.2.14.10.8. OpenShift Container Platform Gateway API 지원
OpenShift Container Platform Gateway API 지원은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
이번 개선된 기능에는 OpenShift Container Platform Gateway API의 업데이트된 기술 프리뷰 버전이 도입되었습니다. 기본적으로 OpenShift Container Platform Gateway API는 비활성화되어 있습니다.
2.2.14.10.8.1. OpenShift Container Platform Gateway API 활성화
OpenShift Container Platform Gateway API를 활성화하려면 ServiceMeshControlPlane
리소스의 techPreview.gatewayAPI
사양에서 enabled
필드의 값을 true
로 설정합니다.
spec: techPreview: gatewayAPI: enabled: true
이전에는 환경 변수를 사용하여 Gateway API를 활성화했습니다.
spec: runtime: components: pilot: container: env: PILOT_ENABLE_GATEWAY_API: "true" PILOT_ENABLE_GATEWAY_API_STATUS: "true" PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER: "true"
2.2.14.10.9. 인프라 노드에 컨트롤 플레인 배포
OpenShift 인프라 노드에서 서비스 메시 컨트롤 플레인 배포가 지원 및 문서화됩니다. 자세한 내용은 다음 설명서를 참조하십시오.
- 인프라 노드에서 실행되도록 모든 Service Mesh Control Plane 구성 요소 구성
- 인프라 노드에서 실행되도록 개별 Service Mesh Control Plane 구성 요소 구성
2.2.14.10.10. Istio 1.16 지원
Service Mesh 2.4는 Istio 1.16을 기반으로 하며 새로운 기능 및 제품 개선 사항을 제공합니다. 많은 Istio 1.16 기능이 지원되지만 다음 예외가 표시되어야 합니다.
- 사이드카의 HBONE 프로토콜은 지원되지 않는 실험 기능입니다.
- ARM64 아키텍처의 서비스 메시는 지원되지 않습니다.
- OpenTelemetry API는 기술 프리뷰 기능으로 유지됩니다.
2.2.14.11. Red Hat OpenShift Service Mesh 버전 2.3.11 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
2.2.14.11.1. Red Hat OpenShift Service Mesh 버전 2.3.11의 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.11 |
Kiali | 1.57.14 |
2.2.14.12. Red Hat OpenShift Service Mesh 버전 2.3.10 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.12 이상에서 지원됩니다.
2.2.14.12.1. Red Hat OpenShift Service Mesh 버전 2.3.10의 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.11 |
Kiali | 1.57.14 |
2.2.14.13. Red Hat OpenShift Service Mesh 버전 2.3.9 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.11 이상 버전에서 지원됩니다.
2.2.14.13.1. Red Hat OpenShift Service Mesh 버전 2.3.9에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.11 |
Jaeger | 1.47.0 |
Kiali | 1.57.14 |
2.2.14.14. Red Hat OpenShift Service Mesh 버전 2.3.8 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.11 이상 버전에서 지원됩니다.
2.2.14.14.1. Red Hat OpenShift Service Mesh 버전 2.3.8에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.11 |
Jaeger | 1.47.0 |
Kiali | 1.57.13 |
2.2.14.15. Red Hat OpenShift Service Mesh 버전 2.3.7 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.15.1. Red Hat OpenShift Service Mesh 버전 2.3.7에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.6 |
Envoy 프록시 | 1.22.11 |
Jaeger | 1.42.0 |
Kiali | 1.57.11 |
2.2.14.16. Red Hat OpenShift Service Mesh 버전 2.3.6 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.16.1. Red Hat OpenShift Service Mesh 버전 2.3.6에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.11 |
Jaeger | 1.42.0 |
Kiali | 1.57.10 |
2.2.14.17. Red Hat OpenShift Service Mesh 버전 2.3.5 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.17.1. Red Hat OpenShift Service Mesh 버전 2.3.5에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.9 |
Jaeger | 1.42.0 |
Kiali | 1.57.10 |
2.2.14.18. Red Hat OpenShift Service Mesh 버전 2.3.4 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.18.1. Red Hat OpenShift Service Mesh 버전 2.3.4에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.6 |
Envoy 프록시 | 1.22.9 |
Jaeger | 1.42.0 |
Kiali | 1.57.9 |
2.2.14.19. Red Hat OpenShift Service Mesh 버전 2.3.3 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.19.1. Red Hat OpenShift Service Mesh 버전 2.3.3에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.9 |
Jaeger | 1.42.0 |
Kiali | 1.57.7 |
2.2.14.20. Red Hat OpenShift Service Mesh 버전 2.3.2 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.20.1. Red Hat OpenShift Service Mesh 버전 2.3.2에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.7 |
Jaeger | 1.39 |
Kiali | 1.57.6 |
2.2.14.21. Red Hat OpenShift Service Mesh 버전 2.3.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스에는 새로운 기능이 도입되고, CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.21.1. Red Hat OpenShift Service Mesh 버전 2.3.1에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.5 |
Envoy 프록시 | 1.22.4 |
Jaeger | 1.39 |
Kiali | 1.57.5 |
2.2.14.22. Red Hat OpenShift Service Mesh 버전 2.3 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스에는 새로운 기능이 도입되고, CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.22.1. Red Hat OpenShift Service Mesh 버전 2.3에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.14.3 |
Envoy 프록시 | 1.22.4 |
Jaeger | 1.38 |
Kiali | 1.57.3 |
2.2.14.22.2. 새로운 CNI(Container Network Interface) DaemonSet 컨테이너 및 ConfigMap
openshift-operators
네임스페이스에는 새 istio CNI DaemonSet istio-cni-node-v2-3
및 새 ConfigMap
리소스 istio-cni-config-v2-3
이 포함됩니다.
Service Mesh Control Plane 2.3으로 업그레이드할 때 기존 istio-cni-node
DaemonSet은 변경되지 않으며 새 istio-cni-node-v2-3
DaemonSet이 생성됩니다.
이 이름 변경은 이전 릴리스 또는 이전 릴리스를 사용하여 배포된 Service Mesh Control Plane과 연결된 istio-cni-node
CNI DaemonSet에는 영향을 미치지 않습니다.
2.2.14.22.3. 게이트웨이 삽입 지원
이 릴리스에서는 게이트웨이 삽입을 일반적으로 지원합니다. 게이트웨이 구성은 서비스 워크로드와 함께 실행되는 사이드카 Envoy 프록시 대신 메시의 에지에서 실행되는 독립 실행형 Envoy 프록시에 적용됩니다. 이를 통해 게이트웨이 옵션을 사용자 지정할 수 있습니다. 게이트웨이 삽입을 사용하는 경우 게이트웨이 프록시를 실행하려는 네임스페이스에 다음 리소스를 생성해야 합니다( Service
,Deployment
,Role
, RoleBinding
).
2.2.14.22.4. Istio 1.14 지원
서비스 메시 2.3은 Istio 1.14를 기반으로 하며 새로운 기능과 제품 개선 사항을 제공합니다. 많은 Istio 1.14 기능이 지원되지만 다음 예외가 표시되어야 합니다.
- ProxyConfig API는 image 필드를 제외하고 지원됩니다.
- Telemetry API는 기술 프리뷰 기능입니다.
- SPIRE 런타임은 지원되는 기능이 아닙니다.
2.2.14.22.5. OpenShift Service Mesh 콘솔
OpenShift Service Mesh Console은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
이번 릴리스에서는 Kiali 인터페이스를 OpenShift 웹 콘솔에 직접 통합하는 OpenShift Container Platform Service Mesh 콘솔의 기술 프리뷰 버전이 도입되었습니다. 자세한 내용은 OpenShift Service Mesh 콘솔 소개 (기술 프리뷰)를 참조하십시오.
2.2.14.22.6. 클러스터 전체 배포
클러스터 전체 배포는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
이번 릴리스에서는 클러스터 전체 배포가 기술 프리뷰 기능으로 도입되었습니다. 클러스터 전체 배포에는 전체 클러스터의 리소스를 모니터링하는 Service Mesh Control Plane이 포함되어 있습니다. 컨트롤 플레인은 모든 네임스페이스에서 단일 쿼리를 사용하여 메시 구성에 영향을 주는 각 Istio 또는 Kubernetes 리소스 유형을 모니터링합니다. 반대로 다중 테넌트 접근 방식은 각 리소스 유형에 대해 네임스페이스당 쿼리를 사용합니다. 컨트롤 플레인이 클러스터 전체 배포에서 수행하는 쿼리 수를 줄이면 성능이 향상됩니다.
이 클러스터 전체 배포 문서는 SMCP v2.3을 사용하여 배포된 컨트롤 플레인에만 적용됩니다. SMCP v2.3을 사용하여 생성된 클러스터 전체 배포는 SMCP v2.4를 사용하여 생성된 클러스터 전체 배포와 호환되지 않습니다.
2.2.14.22.6.1. 클러스터 전체 배포 구성
다음 예제 ServiceMeshControlPlane
오브젝트는 클러스터 전체 배포를 구성합니다.
클러스터 전체 배포에 사용할 SMCP를 생성하려면 사용자가 cluster-admin
ClusterRole에 속해야 합니다. SMCP가 클러스터 전체 배포에 대해 구성된 경우 클러스터에서 유일한 SMCP여야 합니다. 컨트롤 플레인 모드를 다중 테넌트에서 클러스터 전체(또는 클러스터 전체)에서 다중 테넌트로 변경할 수 없습니다. 다중 테넌트 컨트롤 플레인이 이미 있는 경우 이를 삭제하고 새 컨트롤 플레인을 생성합니다.
이 예제에서는 클러스터 전체 배포를 위해 SMCP를 구성합니다.
apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
name: cluster-wide
namespace: istio-system
spec:
version: v2.3
techPreview:
controlPlaneMode: ClusterScoped 1
- 1
- Istiod는 각 개별 네임스페이스를 모니터링하지 않고 클러스터 수준에서 리소스를 모니터링할 수 있습니다.
또한 클러스터 전체 배포를 위해 SMMR을 구성해야 합니다. 이 예에서는 클러스터 전체 배포를 위해 SMMR을 구성합니다.
apiVersion: maistra.io/v1
kind: ServiceMeshMemberRoll
metadata:
name: default
spec:
members:
- '*' 1
- 1
- 나중에 생성하는 네임스페이스를 포함하여 메시에 모든 네임스페이스를 추가합니다. 다음 네임스페이스는 mesh의 일부가 아닙니다( kube, openshift, kube-* 및 openshift-*).
2.2.14.23. Red Hat OpenShift Service Mesh 버전 2.2.12 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.11 이상 버전에서 지원됩니다.
2.2.14.23.1. Red Hat OpenShift Service Mesh 버전 2.2.12에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.47.0 |
Kiali | 1.48.11 |
2.2.14.24. Red Hat OpenShift Service Mesh 버전 2.2.11 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.11 이상 버전에서 지원됩니다.
2.2.14.24.1. Red Hat OpenShift Service Mesh 버전 2.2.11에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.47.0 |
Kiali | 1.48.10 |
2.2.14.25. Red Hat OpenShift Service Mesh 버전 2.2.10 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.25.1. Red Hat OpenShift Service Mesh 버전 2.2.10에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.42.0 |
Kiali | 1.48.8 |
2.2.14.26. Red Hat OpenShift Service Mesh 버전 2.2.9 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.26.1. Red Hat OpenShift Service Mesh 버전 2.2.9에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.42.0 |
Kiali | 1.48.7 |
2.2.14.27. Red Hat OpenShift Service Mesh 버전 2.2.8 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.27.1. Red Hat OpenShift Service Mesh 버전 2.2.8에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.42.0 |
Kiali | 1.48.7 |
2.2.14.28. Red Hat OpenShift Service Mesh 버전 2.2.7 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 대한 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.10 이상 버전에서 지원됩니다.
2.2.14.28.1. Red Hat OpenShift Service Mesh 버전 2.2.7에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.42.0 |
Kiali | 1.48.6 |
2.2.14.29. Red Hat OpenShift Service Mesh 버전 2.2.6 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.29.1. Red Hat OpenShift Service Mesh 버전 2.2.6에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.39 |
Kiali | 1.48.5 |
2.2.14.30. Red Hat OpenShift Service Mesh 버전 2.2.5 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.30.1. Red Hat OpenShift Service Mesh 버전 2.2.5에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.39 |
Kiali | 1.48.3 |
2.2.14.31. Red Hat OpenShift Service Mesh 버전 2.2.4 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.31.1. Red Hat OpenShift Service Mesh 버전 2.2.4에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.36.14 |
Kiali | 1.48.3 |
2.2.14.32. Red Hat OpenShift Service Mesh 버전 2.2.3 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures), 버그 수정 및 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.32.1. Red Hat OpenShift Service Mesh 버전 2.2.3에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.9 |
Envoy 프록시 | 1.20.8 |
Jaeger | 1.36 |
Kiali | 1.48.3 |
2.2.14.33. Red Hat OpenShift Service Mesh 버전 2.2.2 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures), 버그 수정 및 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.33.1. Red Hat OpenShift Service Mesh 버전 2.2.2에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.7 |
Envoy 프록시 | 1.20.6 |
Jaeger | 1.36 |
Kiali | 1.48.2-1 |
2.2.14.33.2. 경로 레이블 복사
이 향상된 기능을 통해 주석을 복사하는 것 외에도 OpenShift 경로에 대한 특정 레이블을 복사할 수 있습니다. Red Hat OpenShift Service Mesh는 Istio Gateway 리소스에 있는 모든 레이블 및 주석( kubectl.kubernetes.io로 시작하는 주석을 제외) 관리 OpenShift Route 리소스에 복사합니다.
2.2.14.34. Red Hat OpenShift Service Mesh 버전 2.2.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures), 버그 수정 및 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.34.1. Red Hat OpenShift Service Mesh 버전 2.2.1에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.7 |
Envoy 프록시 | 1.20.6 |
Jaeger | 1.34.1 |
Kiali | 1.48.2-1 |
2.2.14.35. Red Hat OpenShift Service Mesh 2.2 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스에는 새로운 기능 및 개선 사항이 추가되었으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.35.1. Red Hat OpenShift Service Mesh 버전 2.2에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.12.7 |
Envoy 프록시 | 1.20.4 |
Jaeger | 1.34.1 |
Kiali | 1.48.0.16 |
2.2.14.35.2. WasmPlugin
API
이 릴리스에는 WasmPlugin
API에 대한 지원이 추가되어 ServiceMeshExtension
API를 더 이상 사용하지 않습니다.
2.2.14.35.3. ROSA 지원
이번 릴리스에서는 다중 클러스터 페더레이션을 포함하여 AWS(ROSA)의 Red Hat OpenShift에 대한 서비스 메시 지원이 도입되었습니다.
2.2.14.35.4. Istio-node
DaemonSet의 이름 변경
이번 릴리스에서는 istio-node
DaemonSet의 이름이 업스트림 Istio의 이름과 일치하도록 istio-cni-node
로 이름이 변경되었습니다.
2.2.14.35.5. Envoy 사이드카 네트워킹 변경
Istio 1.10은 기본적으로 lo
가 아닌 eth0
을 사용하여 트래픽을 애플리케이션 컨테이너로 전송하도록 Envoy를 업데이트했습니다.
2.2.14.35.6. 서비스 메시 컨트롤 플레인 1.1
이번 릴리스에서는 모든 플랫폼의 Service Mesh 1.1을 기반으로 Service Mesh Control Plane에 대한 지원이 종료됩니다.
2.2.14.35.7. Istio 1.12 지원
서비스 메시 2.2는 Istio 1.12를 기반으로 하며 새로운 기능 및 제품 개선 사항을 제공합니다. 많은 Istio 1.12 기능이 지원되지만 지원되지 않는 기능은 다음과 같습니다.
- AuthPolicy Dry Run은 기술 프리뷰 기능입니다.
- gRPC Proxyless Service Mesh는 기술 프리뷰 기능입니다.
- Telemetry API는 기술 프리뷰 기능입니다.
- 검색 선택기는 지원되는 기능이 아닙니다.
- 외부 컨트롤 플레인은 지원되는 기능이 아닙니다.
- 게이트웨이 삽입은 지원되는 기능이 아닙니다.
2.2.14.35.8. Kubernetes Gateway API
Kubernetes Gateway API는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
Kubernetes Gateway API는 기본적으로 비활성화되어 있는 기술 프리뷰 기능입니다. Kubernetes API 배포 컨트롤러가 비활성화된 경우 수신 게이트웨이를 생성된 Gateway 오브젝트에 수동으로 배포하고 연결해야 합니다.
Kubernetes API 배포 컨트롤러가 활성화되면 수신 게이트웨이는 Gateway 오브젝트가 생성될 때 자동으로 배포됩니다.
2.2.14.35.8.1. 게이트웨이 API CRD 설치
게이트웨이 API CRD는 기본적으로 OpenShift 클러스터에 사전 설치되지 않습니다. SMCP에서 게이트웨이 API 지원을 활성화하기 전에 CRD를 설치합니다.
$ kubectl get crd gateways.gateway.networking.k8s.io || { kubectl kustomize "github.com/kubernetes-sigs/gateway-api/config/crd?ref=v0.4.0" | kubectl apply -f -; }
2.2.14.35.8.2. Kubernetes 게이트웨이 API 활성화
기능을 활성화하려면 ServiceMeshControlPlane
에서 Istiod
컨테이너에 대해 다음 환경 변수를 설정합니다.
spec: runtime: components: pilot: container: env: PILOT_ENABLE_GATEWAY_API: "true" PILOT_ENABLE_GATEWAY_API_STATUS: "true" # and optionally, for the deployment controller PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER: "true"
SameNamespace
또는 All
설정을 사용하여 게이트웨이 API 리스너에서 경로 연결을 제한할 수 있습니다. Istio는 listeners.allowedRoutes.namespaces
의 라벨 선택기 사용을 무시하고 기본 동작(SameNamespace
)으로 되돌립니다.
2.2.14.35.8.3. 기존 게이트웨이를 게이트웨이 리소스에 수동으로 연결
Kubernetes API 배포 컨트롤러가 비활성화된 경우 수동으로 배포된 다음 수신 게이트웨이를 생성된 게이트웨이 리소스에 연결해야 합니다.
apiVersion: gateway.networking.k8s.io/v1alpha2 kind: Gateway metadata: name: gateway spec: addresses: - value: ingress.istio-gateways.svc.cluster.local type: Hostname
2.2.14.36. Red Hat OpenShift Service Mesh 2.1.6 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.36.1. Red Hat OpenShift Service Mesh 버전 2.1.6에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.5 |
Jaeger | 1.36 |
Kiali | 1.36.16 |
2.2.14.37. Red Hat OpenShift Service Mesh 2.1.5.2 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)에 버그 수정이 포함되어 있으며 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.37.1. Red Hat OpenShift Service Mesh 버전 2.1.5.2에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.5 |
Jaeger | 1.36 |
Kiali | 1.24.17 |
2.2.14.38. Red Hat OpenShift Service Mesh 2.1.5.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures), 버그 수정 및 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.38.1. Red Hat OpenShift Service Mesh 버전 2.1.5.1에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.5 |
Jaeger | 1.36 |
Kiali | 1.36.13 |
2.2.14.39. Red Hat OpenShift Service Mesh 2.1.5 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures), 버그 수정 및 OpenShift Container Platform 4.9 이상 버전에서 지원됩니다.
2.2.14.39.1. Red Hat OpenShift Service Mesh 버전 2.1.5에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.1 |
Jaeger | 1.36 |
Kiali | 1.36.12-1 |
2.2.14.40. Red Hat OpenShift Service Mesh 2.1.4 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.40.1. Red Hat OpenShift Service Mesh 버전 2.1.4에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.1 |
Jaeger | 1.30.2 |
Kiali | 1.36.12-1 |
2.2.14.41. Red Hat OpenShift Service Mesh 2.1.3 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.41.1. Red Hat OpenShift Service Mesh 버전 2.1.3에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.1 |
Jaeger | 1.30.2 |
Kiali | 1.36.10-2 |
2.2.14.42. Red Hat OpenShift Service Mesh 2.1.2.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.42.1. Red Hat OpenShift Service Mesh 버전 2.1.2.1에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.1 |
Jaeger | 1.30.2 |
Kiali | 1.36.9 |
2.2.14.43. Red Hat OpenShift Service Mesh 2.1.2 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
이번 릴리스에서는 Red Hat OpenShift 분산 추적 플랫폼 (Jaeger) Operator가 기본적으로 openshift-distributed-tracing
네임스페이스에 설치됩니다. 이전에는 기본 설치가 openshift-operator
네임스페이스에 있었습니다.
2.2.14.43.1. Red Hat OpenShift Service Mesh 버전 2.1.2에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.1 |
Jaeger | 1.30.1 |
Kiali | 1.36.8 |
2.2.14.44. Red Hat OpenShift Service Mesh 2.1.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
이 릴리스에서는 네트워크 정책 자동 생성을 비활성화하는 기능도 추가되었습니다.
2.2.14.44.1. Red Hat OpenShift Service Mesh 버전 2.1.1에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.9 |
Envoy 프록시 | 1.17.1 |
Jaeger | 1.24.1 |
Kiali | 1.36.7 |
2.2.14.44.2. 네트워크 정책 비활성화
Red Hat OpenShift Service Mesh는 Service Mesh Control Plane 및 애플리케이션 네임스페이스에서 여러 NetworkPolicies
리소스를 자동으로 생성하고 관리합니다. 이는 애플리케이션과 컨트롤 플레인이 서로 통신할 수 있도록 하기 위한 것입니다.
예를 들어 회사 보안 정책을 적용하기 위해 NetworkPolicies
리소스의 자동 생성 및 관리를 비활성화하려면 그렇게 할 수 있습니다. ServiceMeshControlPlane
을 편집하여 spec.security.manageNetworkPolicy
설정을 false
로 설정할 수 있습니다.
spec.security.manageNetworkPolicy
Red Hat OpenShift Service Mesh를 비활성화하면 NetworkPolicy
오브젝트가 생성되지 않습니다. 시스템 관리자는 네트워크를 관리하고 이로 인해 발생할 수 있는 문제를 해결할 책임이 있습니다.
프로세스
-
OpenShift Container Platform 웹 콘솔에서 Operator
설치된 Operator를 클릭합니다. -
프로젝트 메뉴에서 Service Mesh Control Plane을 설치한 프로젝트(예:
istio-system
)를 선택합니다. -
Red Hat OpenShift Service Mesh Operator를 클릭합니다. Istio Service Mesh Control Plane 열에서
ServiceMeshControlPlane
의 이름을 클릭합니다(예:basic-install
). -
ServiceMeshControlPlane 세부 정보 만들기 페이지에서
YAML
을 클릭하여 구성을 수정합니다. 이 예와 같이
ServiceMeshControlPlane
필드spec.security.manageNetworkPolicy
를false
로 설정합니다.apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane spec: security: trust: manageNetworkPolicy: false
- 저장을 클릭합니다.
2.2.14.45. Red Hat OpenShift Service Mesh 2.1 새 기능 및 개선 사항
이번 Red Hat OpenShift Service Mesh 릴리스에는 새로운 기능 및 개선 사항과 함께 OpenShift Container Platform 4.6 EUS, 4.7, 4.8, 4.9의 Istio 1.9.8, Envoy Proxy 1.17.1, Jaeger 1.24.1, Kiali 1.36.5에 대한 지원이 추가되었습니다.
2.2.14.45.1. Red Hat OpenShift Service Mesh 버전 2.1에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.9.6 |
Envoy 프록시 | 1.17.1 |
Jaeger | 1.24.1 |
Kiali | 1.36.5 |
2.2.14.45.2. 서비스 메시 페더레이션
서비스 메시 병합을 지원하기 위해 새로운 CRD(Custom Resource Definitions)가 추가되었습니다. 서비스 메시는 동일한 클러스터 또는 다른 OpenShift 클러스터 내에서 통합될 수 있습니다. 이러한 새로운 리소스에는 다음이 포함됩니다.
-
ServiceMeshPeer
- 게이트웨이 구성, 루트 신뢰 인증서 구성 및 상태 필드를 포함하여 별도의 서비스 메시로 페더레이션을 정의합니다. 한 쌍의 페더레이션 메시에서 각 메시는 별도의ServiceMeshPeer
리소스를 정의합니다. -
ExportedServiceMeshSet
- 피어 메시가 가져올 수 있는 지정된ServiceMeshPeer
의 서비스를 정의합니다. -
ImportedServiceSet
- 지정된ServiceMeshPeer
에 대한 서비스를 피어 메시에서 가져옵니다. 이러한 서비스는 피어의ExportedServiceMeshSet
리소스에서 사용할 수도 있어야 합니다.
Service Mesh Federation은 AWS(ROSA), Azure Red Hat OpenShift(ARO) 또는 OpenShift Dedicated(OSD)의 Red Hat OpenShift Service의 클러스터 간에는 지원되지 않습니다.
2.2.14.45.3. 일반적으로 사용 가능한 OVN-Kubernetes CNI(Container Network Interface)
OVN-Kubernetes CNI(Container Network Interface)는 이전에 Red Hat OpenShift Service Mesh 2.0.1에서 기술 프리뷰 기능으로 소개되었으며 현재 OpenShift Container Platform 4.7.32, OpenShift Container Platform 4.8.12 및 OpenShift Container Platform 4.9에서 사용하기 위해 Red Hat OpenShift Service Mesh 2.1 및 2.0.x에서 일반적으로 사용할 수 있습니다.
2.2.14.45.4. 서비스 메시 WebAssembly(WASM) 확장
이제 2.0에 기술 프리뷰로 처음 도입된 ServiceMeshExtensions
CRD(Custom Resource Definitions)를 일반적으로 사용할 수 있습니다. CRD를 사용하여 자체 플러그인을 빌드할 수 있지만 Red Hat은 생성한 플러그인을 지원하지 않습니다.
Mixer는 Service Mesh 2.1에서 완전히 제거되었습니다. Mixer가 활성화된 경우 Service Mesh 2.0.x 릴리스에서 2.1으로 업그레이드가 차단됩니다. Mixer 플러그인은 WebAssembly Extensions로 이식해야 합니다.
2.2.14.45.5. 3scale WebAssembly 어댑터(WASM)
이제 Mixer가 공식적으로 제거되면 OpenShift Service Mesh 2.1에서 3scale mixer 어댑터를 지원하지 않습니다. Service Mesh 2.1으로 업그레이드하기 전에 Mixer 기반 3scale 어댑터 및 추가 Mixer 플러그인을 제거하십시오. 그런 다음 ServiceMeshExtension
리소스를 사용하여 Service Mesh 2.1+를 사용하여 새 3scale WebAssembly 어댑터를 수동으로 설치하고 구성합니다.
3scale 2.11은 WebAssembly
를 기반으로 업데이트된 서비스 메시 통합을 도입합니다.
2.2.14.45.6. Istio 1.9 지원
서비스 메시 2.1은 Istio 1.9를 기반으로 하며, 이는 많은 수의 새로운 기능 및 제품 개선 사항을 제공합니다. 대부분의 Istio 1.9 기능이 지원되지만 다음 예외가 표시되어야 합니다.
- 가상 머신 통합은 아직 지원되지 않습니다.
- Kubernetes Gateway API는 아직 지원되지 않음
- WebAssembly HTTP 필터의 원격 가져오기 및 로드는 아직 지원되지 않습니다.
- Kubernetes CSR API를 사용한 사용자 정의 CA 통합은 아직 지원되지 않습니다.
- 트래픽 모니터링에 대한 요청 분류는 기술 프리뷰 기능입니다.
- 인증 정책의 CUSTOM 작업을 통해 외부 인증 시스템과의 통합은 기술 프리뷰 기능입니다.
2.2.14.45.7. 서비스 메시 Operator 성능 개선
Red Hat OpenShift Service Mesh가 모든 ServiceMeshControlPlane
조정이 끝날 때 이전 리소스를 정리하는 데 사용하는 시간이 단축되었습니다. 이로 인해 ServiceMeshControlPlane
배포 속도가 빨라지고 기존 SMCP에 변경 사항이 적용되어 더 신속하게 적용할 수 있습니다.
2.2.14.45.8. Kiali 업데이트
Kiali 1.36에는 다음과 같은 기능 및 개선 사항이 포함되어 있습니다.
서비스 메시 문제 해결 기능
- 컨트롤 플레인 및 게이트웨이 모니터링
- 프록시 동기화 상태
- Envoy 구성 보기
- Envoy 프록시 및 애플리케이션 로그를 함께 표시하는 통합 보기
- 페더레이션 서비스 메시 뷰를 지원하는 네임스페이스 및 클러스터 boxing
- 새로운 검증, 마법사 및 분산 추적 기능 개선
2.2.14.46. Red Hat OpenShift Service Mesh 2.0.11.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures), 버그 수정 및 OpenShift Container Platform 4.9 이상에서 지원됩니다.
2.2.14.46.1. Red Hat OpenShift Service Mesh 버전 2.0.11.1에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.6.14 |
Envoy 프록시 | 1.14.5 |
Jaeger | 1.36 |
Kiali | 1.24.17 |
2.2.14.47. Red Hat OpenShift Service Mesh 2.0.11 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures), 버그 수정 및 OpenShift Container Platform 4.9 이상에서 지원됩니다.
2.2.14.47.1. Red Hat OpenShift Service Mesh 버전 2.0.11에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.6.14 |
Envoy 프록시 | 1.14.5 |
Jaeger | 1.36 |
Kiali | 1.24.16-1 |
2.2.14.48. Red Hat OpenShift Service Mesh 2.0.10 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.48.1. Red Hat OpenShift Service Mesh 버전 2.0.10에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.6.14 |
Envoy 프록시 | 1.14.5 |
Jaeger | 1.28.0 |
Kiali | 1.24.16-1 |
2.2.14.49. Red Hat OpenShift Service Mesh 2.0.9 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.49.1. Red Hat OpenShift Service Mesh 버전 2.0.9에 포함된 구성 요소 버전
Component | 버전 |
---|---|
Istio | 1.6.14 |
Envoy 프록시 | 1.14.5 |
Jaeger | 1.24.1 |
Kiali | 1.24.11 |
2.2.14.50. Red Hat OpenShift Service Mesh 2.0.8 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 버그 수정을 해결합니다.
2.2.14.51. Red Hat OpenShift Service Mesh 2.0.7.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures)를 제공합니다.
2.2.14.51.1. Red Hat OpenShift Service Mesh가 URI 조각을 처리하는 방법 변경
Red Hat OpenShift Service Mesh에는 원격으로 악용 가능한 취약점 CVE-2021-39156 이 포함되어 있습니다. 여기서 URI 경로에 조각이 있는 HTTP 요청(# 문자로 시작하는 섹션)은 Istio URI 경로 기반 권한 부여 정책을 우회할 수 있습니다. 예를 들어 Istio 권한 부여 정책은 URI 경로 /user/profile
으로 전송된 요청을 거부합니다. 취약한 버전에서 URI 경로 /user/profile#section1
을 포함하는 요청은 거부 정책 및 경로(정규화된 URI path /user/profile%23section1
사용)를 우회하여 보안 문제로 이어질 수 있습니다.
DENY 작업 및 operation.paths
또는 ALLOW 작업 및 operation.notPaths
와 함께 권한 부여 정책을 사용하는 경우 이 취약점의 영향을 받습니다.
완화 기능을 사용하면 요청 URI의 조각 부분이 권한 부여 및 라우팅 전에 제거됩니다. 이렇게 하면 URI에 조각이 있는 요청이 조각 부분 없이 URI를 기반으로 하는 권한 부여 정책을 바이패스하지 않습니다.
완화 방법의 새로운 동작에서 옵트아웃하려면 URI의 조각 섹션이 유지됩니다. URI 조각을 유지하도록 ServiceMeshControlPlane
을 구성할 수 있습니다.
새 동작을 비활성화하면 위에서 설명한 대로 경로가 정규화되고 안전하지 않은 것으로 간주됩니다. URI 조각을 유지하기 전에 모든 보안 정책에서 이를 수용했는지 확인하십시오.
ServiceMeshControlPlane
수정 예
apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane metadata: name: basic spec: techPreview: meshConfig: defaultConfig: proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"
2.2.14.51.2. 권한 부여 정책에 필요한 업데이트
Istio는 호스트 이름 자체와 일치하는 모든 포트에 대한 호스트 이름을 생성합니다. 예를 들어 "httpbin.foo"라는 호스트의 가상 서비스 또는 게이트웨이는 "httpbin.foo 및 httpbin.foo:*"와 일치하는 구성을 생성합니다. 그러나 권한 부여 정책과 정확히 일치하면 hosts
또는 notHosts
필드에 지정된 정확한 문자열만 일치합니다.
호스트 또는 notHosts를 결정하기 위해 규칙에 대해 정확한 문자열 비교를 사용하는 AuthorizationPolicy
리소스가 있는 경우 클러스터가 영향을 받습니다.
정확히 일치하는 대신 접두사 일치를 사용하도록 권한 부여 정책 규칙을 업데이트해야 합니다. 예를 들어 첫 번째 AuthorizationPolicy
예제에서 hosts: ["httpbin.com"]
을 hosts: ["httpbin.com:*"]
로 바꿉니다.
접두사 일치를 사용한 AuthorizationPolicy의 첫 번째 예
apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: httpbin namespace: foo spec: action: DENY rules: - from: - source: namespaces: ["dev"] to: - operation: hosts: [“httpbin.com”,"httpbin.com:*"]
접두사 일치를 사용한 AuthorizationPolicy의 두 번째 예
apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: httpbin namespace: default spec: action: DENY rules: - to: - operation: hosts: ["httpbin.example.com:*"]
2.2.14.52. Red Hat OpenShift Service Mesh 2.0.7 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.53. Red Hat OpenShift Dedicated 및 Microsoft Azure Red Hat OpenShift의 Red Hat OpenShift Service Mesh
Red Hat OpenShift Service Mesh는 이제 Red Hat OpenShift Dedicated 및 Microsoft Azure Red Hat OpenShift를 통해 지원됩니다.
2.2.14.54. Red Hat OpenShift Service Mesh 2.0.6 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.55. Red Hat OpenShift Service Mesh 2.0.5 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.56. Red Hat OpenShift Service Mesh 2.0.4 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
CVE-2021-29492 및 CVE-2021-31920 문제를 해결하려면 수동 단계가 완료되어야 합니다.
2.2.14.56.1. CVE-2021-29492 및 CVE-2021-31920에서 필요한 수동 업데이트
Istio에는 경로 기반 권한 부여 규칙이 사용될 때 여러 슬래시 또는 이스케이프된 슬래시 문자(%2F
또는 %5C
)가 있는 HTTP 요청 경로가 잠재적으로 Istio 권한 부여 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.
예를 들어 Istio 클러스터 관리자가 경로 /admin
에 있는 요청을 거부하도록 권한 부여 DENY 정책을 정의한다고 가정합니다. //admin
URL 경로에 전송된 요청이 권한 부여 정책에서 거부되지 않습니다.
RFC 3986에 따르면 여러 개의 슬래시가 있는 //admin
경로는 기술적으로 /admin
과 다른 경로로 처리되어야 합니다. 그러나 일부 백엔드 서비스는 여러 슬래시를 단일 슬래시로 병합하여 URL 경로를 정규화하도록 선택합니다. 이로 인해 권한 부여 정책( //admin
이 /admin
과 일치하지 않음)을 우회할 수 있으며 사용자는 백엔드의 /admin
경로에 있는 리소스에 액세스할 수 있습니다. 결과적으로 이는 보안 문제로 나타날 수 있습니다.
ALLOW action + notPaths
필드 또는 DENY action + paths field
경로 필드 패턴을 사용하는 권한 부여 정책이 있는 경우 클러스터는 이 취약점의 영향을 받습니다. 이러한 패턴은 예기치 않은 정책 우회에 취약합니다.
다음과 같은 경우 클러스터는 이 취약점의 영향을 받지 않습니다.
- 권한 부여 정책이 없습니다.
-
권한 부여 정책은
paths
또는notPaths
필드를 정의하지 않습니다. -
권한 부여 정책은
ALLOW action + paths
필드 또는DENY action + notPaths
필드 패턴을 사용합니다. 이러한 패턴은 정책 우회 대신 예기치 않은 거부를 유발할 수 있습니다. 이러한 경우 업그레이드는 선택 사항입니다.
경로 정규화를 위한 Red Hat OpenShift Service Mesh 구성 위치는 Istio 구성과 다릅니다.
2.2.14.56.2. 경로 정규화 구성 업데이트
Istio 권한 부여 정책은 HTTP 요청의 URL 경로를 기반으로 할 수 있습니다. URI 정규화라고도 하는 경로 정규화는 들어오는 요청의 경로를 수정 및 표준화하여 정규화된 경로를 표준 방식으로 처리할 수 있도록 합니다. 구문적으로 경로 정규화 후에는 다른 경로가 동일할 수 있습니다.
Istio는 권한 부여 정책에 대해 평가하고 요청을 라우팅하기 전에 요청 경로에서 다음 정규화 체계를 지원합니다.
옵션 | 설명 | 예제 | 참고 |
---|---|---|---|
| 정규화는 수행되지 않습니다. Envoy가 수신한 모든 항목은 정확히 그대로 모든 백엔드 서비스에 전달됩니다. |
| 이 설정은 CVE-2021-31920에 취약합니다. |
|
현재 이는 Istio의 기본 설치에 사용되는 옵션입니다. 이로 인해 Envoy 프록시에 |
| 이 설정은 CVE-2021-31920에 취약합니다. |
| BASE 정규화 후 슬래시가 병합됩니다. |
| CVE-2021-31920을 완화하려면 이 설정으로 업데이트합니다. |
|
기본적으로 모든 트래픽을 허용할 때 가장 엄격한 설정입니다. 이 설정은 권한 부여 정책 경로를 철저하게 테스트해야 한다는 경고와 함께 권장됩니다. 백분율로 인코딩된 슬래시 및 백슬래시 문자 ( |
| CVE-2021-31920을 완화하려면 이 설정으로 업데이트합니다. 이 설정은 더 안전하지만 애플리케이션이 중단될 수도 있습니다. 프로덕션에 배포하기 전에 애플리케이션을 테스트합니다. |
정규화 알고리즘은 다음 순서로 수행됩니다.
-
백분율로 디코딩된
%2F
,%2f
,%5C
및%5c
. -
Envoy의
normalize_path
옵션에 의해 구현된 RFC 3986 및 기타 정규화입니다. - 슬래시를 병합합니다.
이러한 정규화 옵션은 HTTP 표준 및 일반적인 업계 관행의 권장 사항을 나타내지만 애플리케이션은 원하는 방식으로 URL을 해석할 수 있습니다. 거부 정책을 사용할 때 애플리케이션이 작동하는 방식을 이해해야 합니다.
2.2.14.56.3. 경로 정규화 구성 예
Envoy는 백엔드 서비스의 기대치와 일치하도록 요청 경로를 표준화하여 시스템 보안에 매우 중요합니다. 다음 예제는 시스템을 구성하기 위한 참조로 사용할 수 있습니다. 정규화된 URL 경로 또는 NONE
이 선택된 경우 원래 URL 경로는 다음과 같습니다.
- 권한 부여 정책을 확인하는 데 사용됩니다.
- 백엔드 애플리케이션으로 전달됩니다.
애플리케이션 조건 | 선택… |
---|---|
프록시를 사용하여 정규화를 수행합니다. |
|
RFC 3986을 기반으로 요청 경로를 정규화하고 슬래시를 병합하지 않습니다. |
|
RFC 3986을 기반으로 요청 경로를 정규화하고 슬래시를 병합하지만 백분율로 인코딩된 슬래시를 디코딩하지는 않습니다. |
|
RFC 3986을 기반으로 요청 경로를 표준화하고, 백분율로 인코딩된 슬래시를 디코딩하고, 슬래시를 병합합니다. |
|
프로세스는 RFC 3986과 호환되지 않는 방식으로 요청 경로를 처리합니다. |
|
2.2.14.56.4. 경로 정규화를 위해 SMCP 구성
Red Hat OpenShift Service Mesh에 대한 경로 정규화를 구성하려면 ServiceMeshControlPlane
에서 다음을 지정합니다. 시스템 설정을 결정하는 데 도움이 되도록 구성 예제를 사용합니다.
SMCP v2 pathNormalization
spec: techPreview: global: pathNormalization: <option>
2.2.14.56.5. 케이스 정규화를 위한 설정
일부 환경에서는 대/소문자를 구분하지 않는 권한 부여 정책의 경로를 사용하는 것이 유용할 수 있습니다. 예를 들어 https://myurl/get
및 https://myurl/GeT
을 동일한 방법으로 처리합니다. 이 경우 아래에 표시된 EnvoyFilter
를 사용할 수 있습니다. 이 필터는 비교에 사용되는 경로와 애플리케이션에 제공되는 경로를 모두 변경합니다. 이 예에서 istio-system
은 Service Mesh Control Plane 프로젝트의 이름입니다.
EnvoyFilter
를 파일에 저장하고 다음 명령을 실행합니다.
$ oc create -f <myEnvoyFilterFile>
apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: ingress-case-insensitive namespace: istio-system spec: configPatches: - applyTo: HTTP_FILTER match: context: GATEWAY listener: filterChain: filter: name: "envoy.filters.network.http_connection_manager" subFilter: name: "envoy.filters.http.router" patch: operation: INSERT_BEFORE value: name: envoy.lua typed_config: "@type": "type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua" inlineCode: | function envoy_on_request(request_handle) local path = request_handle:headers():get(":path") request_handle:headers():replace(":path", string.lower(path)) end
2.2.14.57. Red Hat OpenShift Service Mesh 2.0.3의 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
또한 이 릴리스에는 다음과 같은 새로운 기능이 있습니다.
-
지정된 Service Mesh 컨트롤 플레인 네임스페이스에서 정보를 수집하는
must-gather
데이터 수집 툴에 옵션을 추가했습니다. 자세한 내용은 OSSM-351을 참조하십시오. - 수백 개의 네임스페이스를 사용하여 서비스 메시 컨트롤 플레인의 성능 개선
2.2.14.58. Red Hat OpenShift Service Mesh 2.0.2 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스에는 IBM Z® 및 IBM Power® Systems에 대한 지원이 추가되었습니다. 또한 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.59. Red Hat OpenShift Service Mesh 2.0.1 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스는 CVE(Common Vulnerabilities and Exposures) 및 버그 수정을 제공합니다.
2.2.14.60. Red Hat OpenShift Service Mesh 2.0 새 기능
이번 Red Hat OpenShift Service Mesh 릴리스에는 Istio 1.6.5, Jaeger 1.20.0, Kiali 1.24.2, 3scale Istio Adapter 2.0 및 OpenShift Container Platform 4.6에 대한 지원이 추가되었습니다.
또한 이 릴리스에는 다음과 같은 새로운 기능이 있습니다.
- Service Mesh Control Plane의 설치, 업그레이드 및 관리를 단순화합니다.
- Service Mesh Control Plane의 리소스 사용량과 시작 시간을 줄입니다.
네트워크를 통한 상호 컨트롤 플레인 통신을 줄임으로써 성능을 향상시킵니다.
- Envoy의 SDS(Secret Discovery Service)에 대한 지원을 추가합니다. SDS는 Envoy 사이드 카 프록시에 시크릿을 전달하기 위한 보다 안전하고 효율적인 메커니즘입니다.
- 잘 알려진 보안 위험이 있는 Kubernetes Secrets를 사용할 필요가 없습니다.
새 인증서를 인식하기 위해 프록시를 다시 시작할 필요가 없으므로 인증서 순환 중에 성능이 향상됩니다.
- WebAssembly 확장을 사용하여 구축된 Istio의 Telemetry v2 아키텍처에 대한 지원이 추가되었습니다. 이 새로운 아키텍처는 상당한 성능 향상을 가져왔습니다.
- Service Mesh Control Plane을 더 쉽게 관리할 수 있도록 간소화된 구성으로 ServiceMeshControlPlane 리소스를 v2로 업데이트합니다.
- WebAssembly 확장을 기술 프리뷰 기능으로 도입합니다.
2.2.15. 기술 프리뷰
이 릴리스의 일부 기능은 현재 기술 프리뷰 단계에 있습니다. 이러한 실험적 기능은 프로덕션용이 아닙니다.
기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
2.2.16. 사용되지 않거나 삭제된 기능
이전 릴리스에서 사용 가능하던 일부 기능이 더 이상 사용되지 않거나 삭제되었습니다.
더 이상 사용되지 않는 기능은 여전히 OpenShift Container Platform에 포함되어 있으며 계속 지원됩니다. 그러나 이 기능은 향후 릴리스에서 제거될 예정이므로 새로운 배포에는 사용하지 않는 것이 좋습니다.
제거된 기능은 더 이상 제품에 존재하지 않습니다.
2.2.16.1. Red Hat OpenShift Service Mesh 2.5에서 더 이상 사용되지 않거나 삭제된 기능
v2.2 ServiceMeshControlPlane
리소스는 더 이상 지원되지 않습니다. 고객은 ServiceMeshControlPlane
리소스의 이후 버전을 사용하도록 메시 배포를 업데이트해야 합니다.
Red Hat OpenShift distributed tracing Platform (Jaeger) Operator에 대한 지원은 더 이상 사용되지 않습니다. 추적 범위를 수집하려면 Red Hat OpenShift distributed tracing Platform (Tempo) Stack을 사용합니다.
OpenShift Elasticsearch Operator 지원은 더 이상 사용되지 않습니다.
Istio는 타사 JSON 웹 토큰(JWT)에 대한 지원을 제거합니다. Istio는 여전히 타사 JWT를 지원합니다.
2.2.16.2. Red Hat OpenShift Service Mesh 2.4에서 더 이상 사용되지 않거나 삭제된 기능
v2.1 ServiceMeshControlPlane
리소스는 더 이상 지원되지 않습니다. 고객은 ServiceMeshControlPlane
리소스의 이후 버전을 사용하도록 메시 배포를 업그레이드해야 합니다.
Istio OpenShift Routing (IOR)에 대한 지원은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Grafana에 대한 지원은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.
Red Hat OpenShift Service Mesh 2.3에서 더 이상 사용되지 않는 다음 암호화 제품군에 대한 지원은 클라이언트와 서버 측의 TLS 협상에 사용되는 기본 암호 목록에서 제거되었습니다. 이러한 암호화 제품군 중 하나가 필요한 서비스에 액세스해야 하는 애플리케이션은 프록시에서 TLS 연결을 시작할 때 연결할 수 없습니다.
- ECDHE-ECDSA-AES128-SHA
- ECDHE-RSA-AES128-SHA
- AES128-GCM-SHA256
- AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-RSA-AES256-SHA
- AES256-GCM-SHA384
- AES256-SHA
2.2.16.3. Red Hat OpenShift Service Mesh 2.3에서 더 이상 사용되지 않거나 삭제된 기능
다음 암호화 제품군에 대한 지원은 더 이상 사용되지 않습니다. 향후 릴리스에서는 클라이언트와 서버 측의 TLS 협상에 사용되는 기본 암호 목록에서 제거됩니다.
- ECDHE-ECDSA-AES128-SHA
- ECDHE-RSA-AES128-SHA
- AES128-GCM-SHA256
- AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-RSA-AES256-SHA
- AES256-GCM-SHA384
- AES256-SHA
Red Hat OpenShift Service Mesh 버전 2.2에서 더 이상 사용되지 않는 ServiceMeshExtension
API가 Red Hat OpenShift Service Mesh 버전 2.3에서 제거되었습니다. ServiceMeshExtension
API를 사용하는 경우 WebAssembly 확장을 계속 사용하려면 WasmPlugin
API로 마이그레이션해야 합니다.
2.2.16.4. Red Hat OpenShift Service Mesh 2.2에서 더 이상 사용되지 않는 기능
ServiceMeshExtension
API는 릴리스 2.2에서 더 이상 사용되지 않으며 향후 릴리스에서 제거될 예정입니다. ServiceMeshExtension
API는 릴리스 2.2에서 계속 지원되지만 고객은 새로운 WasmPlugin
API로 전환해야 합니다.
2.2.16.5. Red Hat OpenShift Service Mesh 2.2에서 제거된 기능
이번 릴리스에서는 모든 플랫폼의 Service Mesh 1.1을 기반으로 Service Mesh Control Plane에 대한 지원 종료가 표시됩니다.
2.2.16.6. Red Hat OpenShift Service Mesh 2.1에서 제거된 기능
Service Mesh 2.1에서는 Mixer 구성 요소가 제거됩니다. 버그 수정 및 지원은 Service Mesh 2.0 라이프 사이클 종료를 통해 제공됩니다.
Mixer 플러그인이 활성화된 경우 Service Mesh 2.0.x 릴리스에서 2.1으로 업그레이드되지 않습니다. Mixer 플러그인은 WebAssembly 확장으로 이식해야 합니다.
2.2.16.7. Red Hat OpenShift Service Mesh 2.0에서 더 이상 사용되지 않는 기능
Mixer 구성 요소는 릴리스 2.0에서 더 이상 사용되지 않으며 릴리스 2.1에서 제거될 예정입니다. Mixer를 사용한 확장 구현은 릴리스 2.0에서 계속 지원되지만, 확장은 새로운 WebAssembly 메커니즘으로 마이그레이션되어야 합니다.
다음 리소스 유형은 Red Hat OpenShift Service Mesh 2.0에서 더 이상 지원되지 않습니다.
Policy
(authentication.istio.io/v1alpha1)은 더 이상 지원되지 않습니다. 정책 리소스의 특정 구성에 따라 동일한 효과를 달성하기 위해 여러 리소스를 구성해야 할 수 있습니다.-
RequestAuthentication
(security.istio.io/v1beta1) 사용 -
PeerAuthentication
(security.istio.io/v1beta1) 사용
-
ServiceMeshPolicy
(maistra.io/v1)는 더 이상 지원되지 않습니다.-
위에서 언급한 대로
RequestAuthentication
또는PeerAuthentication
을 사용하지만 Service Mesh Control Plane 네임스페이스에 배치합니다.
-
위에서 언급한 대로
RbacConfig
(rbac.istio.io/v1alpha1)는 더 이상 지원되지 않습니다.-
RbacConfig
,ServiceRole
, 및ServiceRoleBinding
을 포함하는AuthorizationPolicy
(security.istio.io/v1beta1)로 대체됩니다.
-
ServiceMeshRbacConfig
(maistra.io/v1)는 더 이상 지원되지 않습니다.-
위처럼
AuthorizationPolicy
를 사용하지만 Service Mesh Control Plane 네임스페이스에 배치합니다.
-
위처럼
-
ServiceRole
(rbac.istio.io/v1alpha1)은 더 이상 지원되지 않습니다. -
ServiceRoleBinding
(rbac.istio.io/v1alpha1)은 더 이상 지원되지 않습니다. -
Kiali에서는
login
및LDAP
전략이 더 이상 사용되지 않습니다. 향후 버전에서는 OpenID 공급자를 사용한 인증을 도입할 예정입니다.
2.2.17. 확인된 문제
이러한 제한 사항은 Red Hat OpenShift Service Mesh에 있습니다.
- Red Hat OpenShift Service Mesh는 아직 IPv6 를 완전히 지원하지 않습니다. 결과적으로 Red Hat OpenShift Service Mesh는 듀얼 스택 클러스터를 지원하지 않습니다.
- 그래프 레이아웃 - 애플리케이션 아키텍처 및 표시할 데이터(그래프 노드 및 상호 작용 수)에 따라 Kiali 그래프의 레이아웃이 다르게 렌더링됩니다. 모든 상황에 적합하게 렌더링되는 단일 레이아웃을 만드는 것이 불가능하지는 않지만 어렵기 때문에 Kiali는 다양한 레이아웃 옵션을 제공합니다. 다른 레이아웃을 선택하려면 그래프 설정 메뉴에서 다른 레이아웃 스키마를 선택할 수 있습니다.
- Kiali 콘솔에서 분산 추적 플랫폼(Jaeger) 및 Grafana와 같은 관련 서비스에 처음 액세스하는 경우 인증서를 수락하고 OpenShift Container Platform 로그인 인증 정보를 사용하여 다시 인증해야 합니다. 이것은 프레임워크가 콘솔에 포함된 페이지를 표시하는 방법에 문제가 있기 때문입니다.
- Bookinfo 샘플 애플리케이션은 IBM Power®, IBM Z® 및 IBM® LinuxONE에 설치할 수 없습니다.
- WebAssembly 확장은 IBM Power®, IBM Z® 및 IBM® LinuxONE에서 지원되지 않습니다.
- LuaJIT는 IBM Power®, IBM Z® 및 IBM® LinuxONE에서 지원되지 않습니다.
- IBM Power®, IBM Z® 및 IBM® LinuxONE에서는 단일 스택 IPv6 지원을 사용할 수 없습니다.
2.2.17.1. 서비스 메시의 알려진 문제
이는 Red Hat OpenShift Service Mesh에서 알려진 문제입니다. * OSSM-6267 은 Grafana에서 데이터 소스를 올바르게 구성한 후 데이터 쿼리에서 인증 오류를 반환합니다. 사용자는 Istio 서비스 및 Istio 워크로드 대시보드에서 데이터를 볼 수 없습니다. 현재 이 문제에 대한 해결방법이 없습니다.
istio-system 레이블이 검색 선택기와 일치하지 않으면 OSSM-5556 게이트웨이를 건너뜁니다.
해결방법: 게이트웨이 구성을 건너뛰지 않도록 컨트롤 플레인 네임스페이스의 레이블을 검색 선택기와 일치시킵니다.
ServiceMeshControlPlane
리소스 예apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane metadata: name: basic namespace: istio-system spec: mode: ClusterWide meshConfig: discoverySelectors: - matchLabels: istio-discovery: enabled gateways: ingress: enabled: true
그런 다음 명령줄에서 다음 명령을 실행합니다.
oc label namespace istio-system istio-discovery=enabled
OSSM-3890 다중 테넌트 메시 배포에서 Gateway API를 사용하도록 시도하면 다음과 유사한 오류 메시지가 생성됩니다.
2023-05-02T15:20:42.541034Z error watch error in cluster Kubernetes: failed to list *v1alpha2.TLSRoute: the server could not find the requested resource (get tlsroutes.gateway.networking.k8s.io) 2023-05-02T15:20:42.616450Z info kube controller "gateway.networking.k8s.io/v1alpha2/TCPRoute" is syncing...
다중 테넌트 메시 배포에서 게이트웨이 API를 지원하려면 모든 게이트웨이 API CRD(Custom Resource Definition) 파일이 클러스터에 있어야 합니다.
다중 테넌트 메시 배포에서 CRD 검사가 비활성화되고 Istio는 클러스터에 있는 CRD를 검색할 수 없습니다. 결과적으로 Istio는 지원되는 모든 게이트웨이 API CRD를 확인하려고 하지만 일부 CRD가 없는 경우 오류가 생성됩니다.
서비스 메시 2.3.1 이상 버전은
v1alpha2
및v1beta1
CRD를 모두 지원합니다. 따라서 게이트웨이 API를 지원하기 위해 다중 테넌트 메시 배포에 두 CRD 버전이 모두 있어야 합니다.해결방법: 다음 예에서
kubectl get
작업은v1alpha2
및v1beta1
CRD를 설치합니다. URL에는 추가experimental
세그먼트가 포함되어 있으며 그에 따라 기존 스크립트를 업데이트합니다.$ kubectl get crd gateways.gateway.networking.k8s.io || { kubectl kustomize "github.com/kubernetes-sigs/gateway-api/config/crd/experimental?ref=v0.5.1" | kubectl apply -f -; }
OSSM-2042
default
라는 SMCP 배포가 실패합니다. SMCP 오브젝트를 생성하고 버전 필드를 v2.3으로 설정하는 경우 오브젝트 이름은default
일 수 없습니다. 이름이default
인 경우 컨트롤 플레인이 배포되지 않고 OpenShift에서 다음 메시지와 함께Warning
이벤트를 생성합니다.Error processing component mesh-config: error: [mesh-config/templates/telemetryv2_1.6.yaml: Internal error occurred: failed calling webhook "rev.validation.istio.io": Post "https://istiod-default.istio-system.svc:443/validate?timeout=10s": x509: certificate is valid for istiod.istio-system.svc, istiod-remote.istio-system.svc, istio-pilot.istio-system.svc, not istiod-default.istio-system.svc, mesh-config/templates/enable-mesh-permissive.yaml
OSSM-1655 Kiali 대시보드는
SMCP
에서 mTLS를 활성화한 후 오류를 표시합니다.SMCP에서
spec.security.controlPlane.mtls
설정을 활성화한 후 Kiali 콘솔에No subsets defined
라는 오류 메시지가 표시됩니다.OSSM-1505 이 문제는 OpenShift Container Platform 4.11에서
ServiceMeshExtension
리소스를 사용하는 경우에만 발생합니다. OpenShift Container Platform 4.11에서ServiceMeshExtension
을 사용하면 리소스가 준비되지 않습니다.oc describe ServiceMeshExtension
을 사용하여 문제를 검사하는 경우stderr: Error creating mount namespace before pivot: function not implemented
라는 오류가 표시됩니다.해결방법:
ServiceMeshExtension
이 서비스 메시 2.2에서 더 이상 사용되지 않습니다.ServiceMeshExtension
에서WasmPlugin
리소스로 마이그레이션합니다. 자세한 내용은ServiceMeshExtension
에서WasmPlugin
리소스로 마이그레이션을 참조하십시오.-
OSSM-1396
ServiceMeshControlPlane
을 업데이트할 때 게이트웨이 리소스에spec.externalIPs
설정이 포함된 경우 게이트웨이가 제거되고 다시 생성되지 않습니다. - OSSM-1168 서비스 메시 리소스가 단일 YAML 파일로 생성되면 Envoy 프록시 사이드카가 Pod에 안정적으로 삽입되지 않습니다. SMCP, SMMR 및 Deployment 리소스가 개별적으로 생성되면 배포가 예상대로 작동합니다.
OSSM-1115
spec.proxy
API의concurrency
필드가 istio-proxy로 전달되지 않았습니다.ProxyConfig
로 설정할 때concurrency
필드가 작동합니다.concurrency
필드는 실행할 작업자 스레드 수를 지정합니다. 필드가0
으로 설정된 경우 사용 가능한 작업자 스레드 수는 CPU 코어 수와 동일합니다. 필드가 설정되지 않은 경우 사용 가능한 작업자 스레드 수는 기본적으로2
입니다.다음 예에서
concurrency
필드는0
으로 설정됩니다.apiVersion: networking.istio.io/v1beta1 kind: ProxyConfig metadata: name: mesh-wide-concurrency namespace: <istiod-namespace> spec: concurrency: 0
OSSM-1052 Service Mesh Control Plane에서 ingressgateway에 대한 서비스
ExternalIP
를 구성할 때 서비스가 생성되지 않습니다. SMCP의 스키마에 서비스에 대한 매개변수가 누락되어 있습니다.해결방법: SMCP 사양에서 게이트웨이 생성을 비활성화하고 게이트웨이 배포를 완전히 수동으로 관리합니다(서비스, 역할 및 RoleBinding 포함).
OSSM-882 이는 서비스 메시 2.1 및 이전 버전에 적용됩니다. namespace는 accessible_namespace 목록에 있지만 Kiali UI에는 표시되지 않습니다. 기본적으로 Kiali는 일반적으로 메시의 일부가 아닌 내부 용도로만 사용되므로 "kube"로 시작하는 네임스페이스를 표시하지 않습니다.
예를 들어 'akube-a'라는 네임스페이스를 생성하여 Service Mesh 멤버 롤에 추가하는 경우 Kiali UI에서 네임스페이스를 표시하지 않습니다. 정의된 제외 패턴의 경우 소프트웨어는 패턴으로 시작하거나 패턴을 포함하는 네임스페이스를 제외합니다.
해결방법: 설정 접두사(^)를 사용하도록 Kiali 사용자 정의 리소스 설정을 변경합니다. 예를 들면 다음과 같습니다.
api: namespaces: exclude: - "^istio-operator" - "^kube-.*" - "^openshift.*" - "^ibm.*" - "^kiali-operator"
-
MAISTRA-2692 Mixer를 제거하면 Service Mesh 2.0.x에 정의된 사용자 정의 메트릭은 2.1에서 사용할 수 없습니다. 사용자 정의 메트릭은
EnvoyFilter
를 사용하여 구성할 수 있습니다. Red Hat은 명시적으로 문서화된 경우를 제외하고EnvoyFilter
구성을 지원할 수 없습니다. 이는 기본 Envoy API와 밀접하게 결합되므로 이전 버전과의 호환성을 유지할 수 없습니다. - MAISTRA-2648 서비스 메시 확장은 현재 IBM Z®에 배포된 메시와 호환되지 않습니다.
MAISTRA-1959 2.0으로 마이그레이션 mTLS가 활성화된 경우 Prometheus 스크래핑(
spec.addons.prometheus.scrape
를true
로 설정)이 작동하지 않습니다. 또한 Kiali는 mTLS가 비활성화되면 관련 없는 그래프 데이터를 표시합니다.이 문제는 프록시 구성에서 포트 15020을 제외하여 해결할 수 있습니다. 예를 들면 다음과 같습니다.
spec: proxy: networking: trafficControl: inbound: excludedPorts: - 15020
-
MAISTRA-453 새 프로젝트를 생성하고 즉시 pod를 배포하면 사이드카 삽입이 발생하지 않습니다. pod가 생성되기 전에 Operator에서
maistra.io/member-of
를 추가하지 못하므로 사이드카 삽입을 수행하려면 pod를 삭제하고 다시 생성해야 합니다. - MAISTRA-158 동일한 호스트 이름을 참조하는 여러 게이트웨이를 적용하면 모든 게이트웨이가 작동을 중지합니다.
2.2.17.2. Kiali의 확인된 문제
Kiali의 새로운 문제는 OpenShift Service Mesh 프로젝트에서 생성되어야 하며 Component
가 Kiali
로 설정되어야 합니다.
다음은 Kiali에서 알려진 문제입니다.
- OSSM-6299 OpenShift Container Platform 4.15에서 트래픽 그래프 내의 모든 노드 메뉴의 노드 그래프 메뉴 옵션을 클릭하면 노드 그래프가 표시되지 않습니다. 대신 동일한 트래픽 그래프로 페이지를 새로 고칩니다. 현재 이 문제에 대한 해결방법이 없습니다.
- OSSM-6298 특정 서비스와 관련된 워크로드 링크와 같은 OpenShift Service Mesh Console(OSSMC) 플러그인 내에서 항목 참조를 클릭하면 콘솔에서 원하는 페이지를 열기 전에 여러 리디렉션을 수행하는 경우가 있습니다. 웹 브라우저에서 Back 을 클릭하면 이전 페이지 대신 다른 콘솔 페이지가 열립니다. 해결 방법으로 뒤로 두 번 클릭하여 이전 페이지로 이동합니다.
-
OSSM-6290 OpenShift Container Platform 4.15의 경우 Istio Config 목록 페이지의 프로젝트 필터가 제대로 작동하지 않습니다. 드롭다운에서 특정 프로젝트를 선택하더라도 모든
istio
항목이 표시됩니다. 현재 이 문제에 대한 해결방법이 없습니다.
- KIALI-2206 처음으로 Kiali 콘솔에 액세스했을 때 Kiali에 대해 캐시된 브라우저 데이터가 없는 경우 Kiali 서비스 상세 정보 페이지의 Metrics 탭에 있는 ‘Grafana에서 보기’ 링크가 잘못된 위치로 리디렉션됩니다. 이 문제가 발생하는 유일한 상황은 Kiali에 처음 액세스하는 경우입니다.
- KIALI-507 Kiali는 Internet Explorer 11을 지원하지 않습니다. 기본 프레임워크가 Internet Explorer를 지원하지 않기 때문입니다. Kiali 콘솔에 액세스하려면 Chrome, Edge, Firefox 또는 Safari 브라우저의 두 가지 최신 버전 중 하나를 사용하십시오.
2.2.18. 해결된 문제
이전 릴리스에서 다음 문제가 해결되었습니다.
2.2.18.1. 서비스 메시의 수정된 문제
-
OSSM-6177 이전에
ServiceMeshControlPlane
(SMCP)에서 검증 메시지가 활성화되면GatewayAPI
지원이 활성화되지 않은 경우istiod
가 지속적으로 충돌했습니다. 이제 검증 메시지가 활성화되었지만GatewayAPI
지원이 아닌 경우istiod
가 지속적으로 충돌하지 않습니다. OSSM-6163 다음 문제를 해결합니다.
- 이전에는 불안정한 Prometheus 이미지가 SMCP(Service Mesh Control Plane) v2.5에 포함되었으며 사용자가 Prometheus 대시보드에 액세스할 수 없었습니다. 이제 Service Mesh operator 2.5.1에서 Prometheus 이미지가 업데이트되었습니다.
-
이전에는 SMCP(Service Mesh Control Plane)에서 Grafana 데이터 소스에서 기본 인증 암호를 자동으로 설정할 수 없어 사용자가 Grafana 메시 대시보드의 Prometheus에서 메트릭을 볼 수 없었습니다. 이제 Grafana 데이터 소스 암호가
secureJsonData
필드에 구성됩니다. 대시보드에 메트릭이 올바르게 표시됩니다.
- 이전에 OSSM-6148 은 사용자가 트래픽 그래프 페이지의 모든 노드 메뉴에서 옵션을 클릭했을 때 OSSM-6148 (OSSMC) 플러그인이 응답하지 않았습니다. 이제 플러그인은 해당 세부 정보 페이지로 리디렉션하여 메뉴에서 선택한 옵션에 응답합니다.
- OSSM-6099 이전에는 OpenShift Service Mesh Console(OSSMC) 플러그인이 IPv6 클러스터에서 올바르게 로드되지 않았습니다. 이제 OSSMC 플러그인 구성이 수정되어 IPv6 클러스터에서 올바르게 로드됩니다.
- OSSM-5960 이전 버전에서는 OSMC(OpenShift Service Mesh Console) 플러그인은 백엔드 오류 또는 Istio 검증과 같은 알림 메시지를 표시하지 않았습니다. 이제 이러한 알림이 플러그인 페이지 상단에 올바르게 표시됩니다.
- OSSM-5959 이전에는 OpenShift Service Mesh Console(OSSMC) 플러그인에서 개요 페이지에 TLS 및 Istio 인증 정보를 표시하지 않았습니다. 이제 이 정보가 올바르게 표시됩니다.
- OSSM-5902 이전에 OpenShift Service Mesh Console(OSSMC) 플러그인이 개요 페이지에서 Istio 구성 상태 기호를 클릭했을 때 "검색되지 않음" 오류로 리디렉션되었습니다. 이제 플러그인이 올바른 Istio 구성 세부 정보 페이지로 리디렉션됩니다.
- 이전에는 Istio Operator Pod가 일부 재시작 조건에서 리더 리스를 기다릴 수 있습니다. 이제 이 문제를 방지하기 위해 리더 선택 구현이 개선되었습니다.
OSSM-1397 이전에 네임스페이스에서
maistra.io/member-of
레이블을 제거한 경우 Service Mesh Operator가 네임스페이스에 레이블을 자동으로 다시 적용하지 않았습니다. 그 결과 네임스페이스에서 사이드카 삽입이 작동하지 않았습니다.ServiceMeshMember
오브젝트를 변경할 때 Operator가 네임스페이스에 레이블을 다시 적용하여 이 멤버 오브젝트의 조정을 트리거했습니다.이제 네임스페이스를 변경하면 멤버 오브젝트 조정도 트리거됩니다.
OSSM-3647 이전에 SMCP(Service Mesh Control Plane) v2.2(Istio 1.12)에서 WasmPlugins는 인바운드 리스너에만 적용되었습니다. SMCP v2.3 (Istio 1.14)부터 WasmPlugins는 기본적으로 인바운드 및 아웃 바운드 리스너에 적용되어 3scale WasmPlugin 사용자에게 회귀 문제가 도입되었습니다. 이제 환경 변수
APPLY_WASM_PLUGINS_TO_INBOUND_ONLY
가 추가되어 SMCP v2.2에서 v2.3 및 v2.4로 안전하게 마이그레이션할 수 있습니다.SMCP 구성에 다음 설정을 추가해야 합니다.
spec: runtime: components: pilot: container: env: APPLY_WASM_PLUGINS_TO_INBOUND_ONLY: "true"
안전한 마이그레이션을 위해 다음 단계를 수행합니다.
-
SMCP v2.2에서
APPLY_WASM_PLUGINS_TO_INBOUND_ONLY
를 설정합니다. - 2.4로 업그레이드합니다.
-
WasmPlugins에서
spec.match[].mode: SERVER
를 설정합니다. - 이전에 추가한 환경 변수를 제거합니다.
-
SMCP v2.2에서
-
OSSM-4851 이전 버전에서는
runAsGroup
,runAsUser
또는fsGroup
매개변수가nil
였을 때 메시 내부의 네임스페이스에 새 Pod를 배포하는 Operator에서 오류가 발생했습니다. 이제nil
값을 방지하기 위해 yaml 검증이 추가되었습니다. -
OSSM-3771 이전에는 SMCP(Service Mesh Control Plane)에 정의된 추가 수신 게이트웨이에 대해 OpenShift 경로를 비활성화할 수 없었습니다. 이제 각
additionalIngress
게이트웨이에routeConfig
블록을 추가할 수 있으므로 각 게이트웨이에 대해 OpenShift 경로 생성을 활성화하거나 비활성화할 수 있습니다. OSSM-4197 이전에 'ServiceMeshControlPlane' 리소스의 v2.2 또는 v2.1을 배포한 경우
/etc/cni/multus/net.d/
디렉터리가 생성되지 않았습니다. 결과적으로istio-cni
Pod가 준비되지 않았으며istio-cni
pod 로그에 다음 메시지가 포함되었습니다.$ error Installer exits with open /host/etc/cni/multus/net.d/v2-2-istio-cni.kubeconfig.tmp.841118073: no such file or directory
이제 'ServiceMeshControlPlane' 리소스의 v2.2 또는 v2.1을 배포하면
/etc/cni/multus/net.d/
디렉터리가 생성되고istio-cni
Pod가 준비됩니다.-
OSSM-3993 이전 버전에서는 Kiali는
443
의 표준 HTTPS 포트에서 프록시를 통해 OpenShift OAuth만 지원했습니다. 이제 Kiali는 비표준 HTTPS 포트를 통해 OpenShift OAuth를 지원합니다. 포트를 활성화하려면spec.server.web_port
필드를 Kiali CR에서 프록시의 비표준 HTTPS 포트로 설정해야 합니다. -
OSSM-3936 이전에는
injection_label_rev
및injection_label_name
속성의 값이 하드 코딩되었습니다. 이로 인해 Kiali CRD(Custom Resource Definition)에서 사용자 정의 구성이 적용되지 않았습니다. 이제 속성 값이 하드 코딩되지 않습니다.spec.istio_labels
사양에서injection_label_rev
및injection_label_name
속성 값을 사용자 지정할 수 있습니다. - OSSM-3644 이전에 페더레이션 egress-gateway가 네트워크 게이트웨이 끝점의 잘못된 업데이트를 수신하여 추가 엔드포인트 항목을 생성했습니다. 이제 페더레이션 회귀 게이트웨이가 서버 측에서 업데이트되어 올바른 네트워크 게이트웨이 끝점을 수신합니다.
-
OSSM-3595 이전 버전에서는 SELinux에서 유틸리티
iptables-restore
가/tmp
디렉토리에서 파일을 열 수 없기 때문에 RHEL에서istio-cni
플러그인이 실패하는 경우가 있습니다. 이제 SELinux는 파일을 통해 대신stdin
입력 스트림을 통해iptables-restore
를 전달합니다. - OSSM-3586 이전 버전에서는 GCP(Google Cloud Platform) 메타데이터 서버를 사용할 수 없는 경우 Istio 프록시가 시작 속도가 느렸습니다. Istio 1.14.6으로 업그레이드할 때 메타데이터 서버를 사용할 수 없는 경우에도 Istio 프록시는 GCP에서 예상대로 시작됩니다.
- OSSM-3025 Istiod가 준비되지 않는 경우가 있습니다. 메시에 멤버 네임스페이스가 포함된 경우 Istiod Pod가 Istiod 내의 교착 상태로 인해 준비되지 않은 경우가 있었습니다. 이제 교착 상태가 해결되어 Pod가 예상대로 시작됩니다.
-
OSSM-2493 기본
nodeSelector
및 SMCP의tolerations
가 Kiali로 전달되지 않았습니다.SMCP.spec.runtime.defaults
에 추가하는nodeSelector
및tolerations
가 Kiali 리소스에 전달됩니다. -
OSSM-2492 SMCP의 기본 허용 오차가 Jaeger로 전달되지 않습니다.
SMCP.spec.runtime.defaults
에 추가하는nodeSelector
및tolerations
가 Jaeger 리소스로 전달됩니다. -
OSSM-2374
ServiceMeshMember
리소스 중 하나를 삭제한 경우 Service Mesh Operator가ServiceMeshMemberRoll
을 삭제했습니다. 이 동작은 마지막ServiceMeshMember
를 삭제할 때 예상되는 동작이지만 삭제된 멤버 외에 멤버가 포함된 경우 Operator는ServiceMeshMemberRoll
을 삭제하지 않아야 합니다. 이 문제는 해결되어 Operator는 마지막ServiceMeshMember
리소스가 삭제될 때만 ServiceMeshMemberRoll을 삭제합니다. OSSM-2373 로그인 시 OAuth 메타데이터를 가져오는 동안 오류가 발생했습니다. 클러스터 버전을 가져오려면
system:anonymous
계정이 사용됩니다. 클러스터의 기본 번들 ClusterRoles 및 ClusterRoleBinding을 사용하면 익명 계정에서 버전을 올바르게 가져올 수 있습니다.system:anonymous
계정에 클러스터 버전을 가져올 수 있는 권한이 손실되면 OpenShift 인증을 사용할 수 없게 됩니다.이 문제는 Kiali SA를 사용하여 클러스터 버전을 가져와서 해결되었습니다. 이로 인해 클러스터의 보안도 개선할 수 있습니다.
- OSSM-2371 Kiali가 "보기 전용"으로 구성되었지만 사용자는 워크로드 세부 정보 탭의 kebab 메뉴를 통해 프록시 로깅 수준을 변경할 수 있습니다. 이 문제는 Kiali가 "view-only"로 구성될 때 " Proxy Log Level 설정" 아래의 옵션이 비활성화되도록 수정되었습니다.
- OSSM-2344 Istiod 재시작으로 Kiali는 포트 전달 요청을 사용하여 CRI-O를 플러드합니다. 이 문제는 Kiali가 Istiod에 연결할 수 없고 Kiali가 istiod에 많은 요청을 동시에 발행한 경우 발생했습니다. Kiali는 이제 istiod로 보내는 요청 수를 제한합니다.
- OSSM-2335 추적 차트 플롯을 통해 마우스 포인터를 드레이닝하면 Kiali 콘솔이 동시 백엔드 요청으로 인해 응답하지 않는 경우가 있었습니다.
OSSM-2221 이전 버전에서는
ignore-namespace
레이블이 기본적으로 네임스페이스에 적용되었기 때문에ServiceMeshControlPlane
네임스페이스의 게이트웨이 삽입을 수행할 수 없었습니다.v2.4 컨트롤 플레인을 생성할 때 네임스페이스에 더 이상
ignore-namespace
레이블이 적용되고 게이트웨이 삽입이 가능합니다.다음 예에서
oc label
명령은 기존 배포의 네임스페이스에서ignore-namespace
레이블을 제거합니다.$ oc label namespace istio-system maistra.io/ignore-namespace-
다음과 같습니다.
- istio_system
-
ServiceMeshControlPlane
네임스페이스의 이름을 지정합니다.
OSSM-2053 Red Hat OpenShift Service Mesh Operator 2.2 또는 2.3을 사용하여 SMCP 조정 중에
SMMR.status.configuredMembers
에서 멤버 네임스페이스를 제거했습니다. 이로 인해 멤버 네임스페이스의 서비스를 몇 분 동안 사용할 수 없게 되었습니다.Red Hat OpenShift Service Mesh Operator 2.2 또는 2.3을 사용하면 SMMR 컨트롤러가 더 이상
SMMR.status.configuredMembers
에서 네임스페이스를 제거하지 않습니다. 대신 컨트롤러는SMMR.status.pendingMembers
에 네임스페이스를 추가하여 최신 상태가 아님을 나타냅니다. 조정 중에 각 네임스페이스가 SMCP와 동기화되므로 네임스페이스는SMMR.status.pendingMembers
에서 자동으로 제거됩니다.-
OSSM-1962 페더레이션 컨트롤러에서
EndpointSlices
를 사용합니다. 페더레이션 컨트롤러는 이제EndpointSlices
를 사용하여 대규모 배포의 확장성 및 성능을 향상시킵니다. PILOT_USE_ENDPOINT_SLICE 플래그는 기본적으로 활성화되어 있습니다. 플래그를 비활성화하면 페더레이션 배포 사용을 방지할 수 있습니다. -
OSSM-1668 새 필드
spec.security.jwksResolverCA
가 버전 2.1SMCP
에 추가되었지만 2.2.0 및 2.2.1 릴리스에서 누락되었습니다. 이 필드가 있는 Operator 버전에서 이 필드가 누락된 Operator 버전에서 업그레이드할 때SMCP
에서는.spec.security.jwksResolverCA
필드를 사용할 수 없었습니다. -
OSSM-1325 istiod pod가 충돌하여
fatal error: concurrent map iteration 및 map write
이라는 오류 메시지가 표시됩니다. OSSM-1211 페일오버를 위한 Federated 서비스 메시 구성이 예상대로 작동하지 않습니다.
Istiod pilot 로그에 다음과 같은 오류가 표시됩니다.
envoy connection [C289] TLS 오류: 337047686:SSL routines:tls_process_server_certificate verify failed
-
OSSM-1099 Kiali 콘솔에 다음과 같은 오류 메시지가 표시됩니다.
Sorry, there was a problem. Try a refresh or navigate to a different page.
- SMCP에 정의된 OSSM-1074 Pod 주석은 Pod에 삽입되지 않습니다.
- OSSM-999 Kiali 보존이 예상대로 작동하지 않았습니다. 대시보드 그래프에서 일정 시간이 회색으로 표시되었습니다.
-
OSSM-797 Kiali Operator Pod는 Operator를 설치하거나 업데이트하는 동안
CreateContainerConfigError
를 생성합니다. -
kube
로 시작하는 OSSM-722 네임스페이스는 Kiali에서 숨겨집니다. -
OSSM-569 Prometheus
istio-proxy
컨테이너에 대한 CPU 메모리 제한이 없습니다. Prometheusistio-proxy
사이드카는 이제spec.proxy.runtime.container
에 정의된 리소스 제한을 사용합니다. -
OSSM-535 Support validationMessages in SMCP. Service Mesh Control Plane의
ValidationMessages
필드를True
로 설정할 수 있습니다. 이렇게 하면 리소스 상태에 대한 로그를 작성합니다. 이 로그는 문제를 해결할 때 유용할 수 있습니다. - OSSM-449 VirtualService 및 Service로 인해 "도메인에 대한 고유한 값만 허용됩니다. 도메인 중복 항목이 허용됩니다."
- OSSM-419 이름이 유사한 네임스페이스는 서비스 메시 멤버 역할에 네임스페이스를 정의할 수 없는 경우에도 Kiali 네임스페이스 목록에 모두 표시됩니다.
- OSSM-296 Kiali 사용자 지정 리소스(CR)에 상태 구성을 추가할 때 Kiali configmap에 복제되지 않습니다.
- OSSM-291 Kiali 콘솔의 애플리케이션, 서비스 및 워크로드 페이지에서 ‘필터에서 레이블 삭제’ 기능이 작동하지 않습니다.
- OSSM-289 Kiali 콘솔에는 ‘istio-ingressgateway’ 및 ‘jaeger-query’ 서비스에 대한 서비스 세부 정보 페이지에 표시되는 추적이 없습니다. 추적은 Jaeger에 있습니다.
- OSSM-287 Kiali 콘솔에는 그래프 서비스에 표시되는 추적이 없습니다.
OSSM-285 Kiali 콘솔에 액세스하려고 할 때 “Error trying to get OAuth Metadata”와 같은 오류 메시지가 표시됩니다.
해결방법: Kiali pod를 다시 시작합니다.
MAISTRA-2735 SMCP를 Red Hat OpenShift Service Mesh 버전 2.1에서 변경한 경우 Service Mesh Operator가 삭제하는 리소스입니다. 이전에는 Operator에서 다음 라벨을 사용하여 리소스를 삭제했습니다.
-
maistra.io/owner
-
app.kubernetes.io/version
이제 Operator에서
app.kubernetes.io/managed-by=maistra-istio-operator
레이블을 포함하지 않는 리소스를 무시합니다. 자체 리소스를 생성하는 경우app.kubernetes.io/managed-by=maistra-istio-operator
레이블을 추가해서는 안 됩니다.-
-
MAISTRA-2687 Red Hat OpenShift Service Mesh 2.1 페더레이션 게이트웨이는 외부 인증서를 사용할 때 전체 인증서 체인을 보내지 않습니다. Service Mesh 페더레이션 송신 게이트웨이는 클라이언트 인증서만 전송합니다. 페더레이션 수신 게이트웨이는 루트 인증서에 대해서만 알고 있기 때문에 루트 인증서를 페더레이션 가져오기
ConfigMap
에 추가하지 않으면 클라이언트 인증서를 확인할 수 없습니다. -
MAISTRA-2635 더 이상 사용되지 않는 Kubernetes API를 대체합니다. OpenShift Container Platform 4.8과 계속 호환되도록
apiextensions.k8s.io/v1beta1
API는 Red Hat OpenShift Service Mesh 2.0.8에서 더 이상 사용되지 않습니다. -
MAISTRA-2631 WASM 기능은 nsenter 바이너리가 존재하지 않기 때문에 podman이 작동하지 않기 때문에 작동하지 않습니다. Red Hat OpenShift Service Mesh는 다음과 같은 오류 메시지를 생성합니다:
Error: error: error configuration CNI network plugin exec: "nsenter": executable file not found in $PATH
. 이제 컨테이너 이미지에 nsenter가 포함되어 WASM이 예상대로 작동합니다. - MAISTRA-2534 istiod에서 JWT 규칙에 지정된 발급자에 대한 JWKS를 가져오기를 시도하면 발급자 서비스가 502로 응답했습니다. 이로 인해 프록시 컨테이너가 준비되지 않아 배포가 중단되었습니다. 커뮤니티 버그 수정이 Service Mesh 2.0.7 릴리스에 포함되어 있습니다.
MAISTRA-2411 Operator가
ServiceMeshControlPlane
에서spec.gateways.additionaIngress
를 사용하여 새 수신 게이트웨이를 생성하면 Operator는 기본 istio-ingressgateway에 대한 추가 수신 게이트웨이에 대한NetworkPolicy
를 생성하지 않습니다. 이로 인해 새 게이트웨이 경로에서 503 응답이 발생합니다.해결방법:
istio-system
네임스페이스에서NetworkPolicy
를 수동으로 생성합니다.MAISTRA-2401 CVE-2021-3586 servicemesh-operator: NetworkPolicy 리소스가 인그레스 리소스에 대해 포트를 잘못 지정했습니다. Red Hat OpenShift Service Mesh에 설치된 NetworkPolicy 리소스가 액세스할 수 있는 포트를 올바르게 지정하지 않았습니다. 이로 인해 모든 pod에서 이러한 리소스의 모든 포트에 액세스할 수 있었습니다. 다음 리소스에 적용되는 네트워크 정책은 영향을 받습니다.
- Galley
- Grafana
- Istiod
- Jaeger
- Kiali
- Prometheus
- Sidecar injector
-
MAISTRA-2378 클러스터가
ovs-multitenant
와 함께 OpenShift SDN을 사용하도록 구성되고 메시에 다수의 네임스페이스(200+)가 포함된 경우 OpenShift Container Platform 네트워킹 플러그인은 네임스페이스를 빠르게 구성할 수 없습니다. 서비스 메시의 시간이 초과되어 서비스 메시에서 네임스페이스가 지속적으로 드롭된 다음 다시 나열됩니다. - MAISTRA-2370 listerInformer에서 tombstones를 처리합니다. 업데이트된 캐시 코드베이스는 네임스페이스 캐시에서 집계된 캐시로 이벤트를 변환할 때 tombstones를 처리하지 않아 go 루틴에서 패닉이 발생했습니다.
MAISTRA-2117 operator에 선택적
ConfigMap
마운트를 추가합니다. CSV에는smcp-templates
ConfigMap
이 있는 경우 마운트되는 선택적ConfigMap
볼륨 마운트가 포함되어 있습니다.smcp-templates
ConfigMap
이 없으면 마운트된 디렉터리가 비어 있습니다.ConfigMap
을 생성할 때 디렉터리는ConfigMap
의 항목으로 채워지고SMCP.spec.profiles
에서 참조할 수 있습니다. Service Mesh Operator를 다시 시작할 필요가 없습니다.smcp-templates ConfigMap을 마운트하기 위해 수정된 CSV가 있는 2.0 Operator를 사용하는 고객은 Red Hat OpenShift Service Mesh 2.1으로 업그레이드할 수 있습니다. 업그레이드 후 CSV를 편집하지 않고도 기존 ConfigMap과 포함된 프로필을 계속 사용할 수 있습니다. 이전에 다른 이름의 ConfigMap을 사용한 고객은 업그레이드 후 ConfigMap의 이름을 변경하거나 CSV를 업데이트해야 합니다.
-
MAISTRA-2010 AuthorizationPolicy는
request.regex.headers
필드를 지원하지 않습니다.validatingwebhook
는 필드가 있는 모든 AuthorizationPolicy를 거부하며, 이를 비활성화한 경우에도 Pilot은 동일한 코드를 사용하여 유효성을 검사하려고 시도하지만 작동하지 않습니다. MAISTRA-1979 2.0으로 마이그레이션 변환 Webhook는
SMCP.status
를 v2에서 v1로 변환할 때 다음과 같은 중요한 필드를 삭제합니다.- conditions
- components
- observedGeneration
annotations
Operator를 2.0으로 업그레이드하면 리소스의 maistra.io/v1 버전을 사용하여 SMCP 상태를 판독하는 클라이언트 툴이 중단될 수 있습니다.
또한
oc get servicemeshcontrolplanes.v1.maistra.io
를 실행할 때 READY 및 STATUS 열이 비어 있습니다.
ServiceMeshExtensions에 대한 MAISTRA-1947 기술 프리뷰 업데이트는 적용되지 않습니다.
해결방법:
ServiceMeshExtensions
를 제거하고 다시 생성합니다.-
MAISTRA-1983 2.0으로 마이그레이션 기존의 유효하지 않은
ServiceMeshControlPlane
을 사용하여 2.0.0으로 업그레이드하면 쉽게 복구할 수 없습니다.ServiceMeshControlPlane
리소스의 유효하지 않은 항목으로 인해 복구할 수 없는 오류가 발생했습니다. 수정으로 오류를 복구할 수 있습니다. 유효하지 않은 리소스를 삭제하고 새 리소스로 교체하거나 리소스를 편집하여 오류를 수정할 수 있습니다. 리소스 편집에 대한 자세한 내용은 [Red Hat OpenShift Service Mesh 설치 구성]을 참조하십시오. - MAISTRA-1502 버전 1.0.10의 CVE가 수정되어 Grafana의 홈 대시보드 메뉴에서 Istio 대시보드 를 사용할 수 없습니다. Istio 대시보드에 액세스하려면 탐색 패널에서 대시보드 메뉴를 클릭하고 관리 탭을 선택합니다.
- MAISTRA-1399 Red Hat OpenShift Service Mesh는 더 이상 지원되지 않는 CNI 프로토콜을 설치할 수 없습니다. 지원되는 네트워크 구성은 변경되지 않았습니다.
- MAISTRA-1089 2.0으로 마이그레이션 비 컨트롤 플레인 네임스페이스에서 생성된 게이트웨이는 자동으로 삭제됩니다. SMCP 사양에서 게이트웨이 정의를 제거한 후 이러한 리소스를 수동으로 삭제해야 합니다.
MAISTRA-858 Istio 1.1.x와 관련된 더 이상 사용하지 않는 옵션 및 구성을 설명하는 다음과 같은 Envoy 로그 메시지가 예상됩니다.
- [2019-06-03 07:03:28.943][19][warning][misc] [external/envoy/source/common/protobuf/utility.cc:129] Using deprecated option 'envoy.api.v2.listener.Filter.config'. 이 구성은 곧 Envoy에서 삭제될 예정입니다.
- [2019-08-12 22:12:59.001][13][warning][misc] [external/envoy/source/common/protobuf/utility.cc:174] Using deprecated option 'envoy.api.v2.Listener.use_original_dst' from file lds.proto. 이 구성은 곧 Envoy에서 삭제될 예정입니다.
MAISTRA-806 제거된 Istio Operator pod로 인해 메시 및 CNI가 배포되지 않습니다.
해결방법: 제어 창을 배포하는 동안
istio-operator
pod가 제거되면 제거된istio-operator
Pod를 삭제합니다.- MAISTRA-681 Service Mesh Control Plane에 네임스페이스가 많은 경우 성능 문제가 발생할 수 있습니다.
- MAISTRA-193 citadel에 대해 상태 확인이 활성화되면 예기치 않은 콘솔 정보 메시지가 표시됩니다.
- Bugzilla 1821432 OpenShift Container Platform 사용자 정의 리소스 세부 정보 페이지의 토글 제어가 CR을 올바르게 업데이트하지 않습니다. OpenShift Container Platform 웹 콘솔의 SMCP(Service Mesh Control Plane) 개요 페이지의 UI 토글 제어가 리소스에서 잘못된 필드를 업데이트하는 경우가 있습니다. SMCP를 업데이트하려면 토글 제어를 클릭하는 대신 YAML 콘텐츠를 직접 편집하거나 명령줄에서 리소스를 업데이트합니다.