9.2. Red Hat OpenShift 릴리스 노트용 cert-manager Operator

Red Hat OpenShift용 cert-manager Operator와 Istio-CSR 통합(일반적으로 사용 가능)

이번 릴리스에서는 이전에 기술 미리 보기 기능으로 제공되었던 Red Hat OpenShift용 cert-manager Operator와 Istio-CSR의 통합이 완벽하게 지원됩니다. 이 기능은 Red Hat OpenShift Service Mesh 또는 Istio 환경 내에서 워크로드와 제어 플레인 구성 요소의 보안에 대한 향상된 지원을 제공합니다. Red Hat OpenShift에서 관리하는 Istio-CSR 에이전트용 cert-manager Operator를 활용하면 Istio는 mTLS(상호 TLS)에 필요한 인증서를 획득, 서명, 전달 및 갱신할 수 있습니다. 자세한 내용은 cert-manager Operator with Istio-CSR 의 통합을 참조하십시오.

Red Hat OpenShift 피연산자를 위한 cert-manager 연산자에 대한 복제본 수 구성

이 릴리스를 사용하면 Red Hat OpenShift 컨트롤러 , webhook 및 cainjector 피연산자에 대한 cert-manager 연산자의 기본 복제본 수를 재정의할 수 있습니다. 이러한 값을 구성하려면 CertManager 사용자 정의 리소스에서 새 overrideReplicas 필드를 지정합니다. 이 향상된 기능을 사용하면 특정 운영 요구 사항에 따라 고가용성(HA)을 구성하고 피연산자를 확장할 수 있습니다. 자세한 내용은 cert-manager 구성 요소에 대한 CertManager CR의 공통 구성 가능 필드를 참조하세요.

루트 파일 시스템은 Red Hat OpenShift 컨테이너용 cert-manager Operator에 대해 읽기 전용입니다.

이 릴리스에서는 보안을 강화하기 위해 Red Hat OpenShift용 cert-manager 연산자와 모든 피연산자의 readOnlyRootFilesystem 보안 컨텍스트가 기본적으로 true 로 설정되었습니다. 이러한 강화 기능은 컨테이너를 강화하고 잠재적인 공격자가 컨테이너 루트 파일 시스템의 내용을 수정하는 것을 방지합니다.

이제 Red Hat OpenShift 구성 요소용 cert-manager Operator에 대한 네트워크 정책 강화가 가능합니다.

이번 릴리스에서는 Red Hat OpenShift용 cert-manager Operator에 미리 정의된 NetworkPolicy 리소스가 포함되어 구성 요소의 수신 및 송신 트래픽을 제어하여 보안을 강화합니다. 이러한 정책은 메트릭 및 웹훅 서버로의 수신, OpenShift API 및 DNS 서버로의 송신 등 내부 트래픽을 포괄합니다.

기본적으로 이 기능은 업그레이드 중 연결 문제를 방지하기 위해 비활성화되어 있습니다. CertManager 사용자 정의 리소스에서 명시적으로 활성화해야 합니다. 자세한 내용은 Red Hat OpenShift용 cert-manager Operator에 대한 네트워크 정책 구성을 참조하세요.

ACME HTTP‑01 솔버 포드에 대한 리소스 요청 및 제한 구성 지원

이 릴리스에서는 Red Hat OpenShift용 cert-manager Operator가 ACME HTTP‑01 솔버 포드에 대한 CPU 및 메모리 리소스 요청과 제한을 구성하는 것을 지원합니다. CertManager 사용자 정의 리소스(CR)에서 다음과 같은 재정의 가능한 인수를 사용하여 CPU 및 메모리 리소스 요청과 제한을 구성할 수 있습니다.

자세한 내용은 cert‑manager 구성 요소에 대한 재정의 가능한 인수를 참조하세요.

이전에는 Red Hat OpenShift용 cert-manager Operator가 RBAC 권한이 부족하여 cert-manager-tokenrequest 역할을 생성하지 못했습니다. 이로 인해 RoleCreateFailed 오류가 발생하고 정적 리소스 컨트롤러가 저하되었습니다. 이 릴리스에서는 RBAC 구성에 필요한 serviceaccounts/token 생성 권한을 추가하여 문제가 해결되었습니다. 결과적으로 cert-manager-tokenrequest 역할과 역할 바인딩이 성공적으로 생성되었고 RoleCreateFailed 오류는 더 이상 운영자 로그에 나타나지 않습니다. (OCPBUGS-62913)

연결 해제된 환경 지원

이번 릴리스에서는 Red Hat OpenShift용 cert-manager Operator가 연결이 끊긴 환경에 미러링되고 설치될 수 있음이 확인되었습니다.

이 운영자는 또한 연결이 끊긴 환경에서 ACME, CA, 자체 서명 및 Vault와 같은 발급자 유형과 함께 작동하도록 검증되었습니다. 구체적으로, 개인 또는 자체 호스팅 ACME 서버는 검증되었으며, Let's Encrypt나 기타 공개 ACME 서비스는 연결이 끊긴 환경에서 실행 가능한 옵션이 아닙니다. oc-mirror 플러그인 v2는 Operator 이미지를 미러링하는 데 선호되는 방법입니다. 자세한 내용은 oc-mirror 플러그인을 사용하여 연결이 끊긴 설치의 이미지 미러링을 참조하십시오.

확장된 피연산자 메트릭 지원

이 릴리스에서는 cert-manager 웹훅과 cainjector 피연산자가 이제 기본적으로 /metrics 서비스 엔드포인트를 통해 포트 9402에서 Prometheus 메트릭을 노출합니다. 기본 제공 사용자 워크로드 모니터링 스택을 활성화하여 모든 cert-manager 피연산자에서 메트릭을 수집하도록 OpenShift Monitoring을 구성할 수 있습니다. 자세한 내용은 Red Hat OpenShift용 cert-manager Operator 모니터링을 참조하세요.

스트리밍 목록 활성화

이 릴리스를 통해 Red Hat OpenShift용 cert-manager Operator는 이제 새로운 업스트림 WatchListClient 기능을 사용합니다. 이를 통해 Kubernetes API 서버의 스트리밍 목록 기능을 사용할 수 있어 API 서버의 부하가 줄어듭니다. OpenShift Container Platform 4.14 이상에서는 cert-manager 구성 요소가 시작될 때의 최대 메모리 사용량이 최적화되었습니다.

cert-manager 버전 1.16.0에서 사용자 이름 및 비밀번호 인증을 사용하는 Venafi 발급자를 사용할 때 기본 클라이언트 ID는 cert-manager.io 로 하드코딩되어 있으며 사용자 정의가 불가능합니다. 이러한 제한은 Venafi 플랫폼에서 인증을 위해 특정 클라이언트 ID가 필요한 사용자에게 영향을 미칠 수 있습니다.

cert-manager Operator for Red Hat OpenShift with Istio-CSR (기술 프리뷰)

cert-manager Operator for Red Hat OpenShift에서 이제 Istio-CSR을 지원합니다. 이 통합을 통해 cert-manager Operator의 발행자가 상호 TLS(mTLS) 통신을 위해 인증서를 발행, 서명 및 갱신할 수 있습니다. Red Hat OpenShift Service Mesh 및 Istio 는 이제 cert-manager Operator에서 이러한 인증서를 직접 요청할 수 있습니다.

자세한 내용은 cert-manager Operator with Istio-CSR 의 통합을 참조하십시오.

cert-manager Operator for Red Hat OpenShift에 대한 예약 덮어쓰기

이번 릴리스에서는 cert-manager 컨트롤러, Webhook, CA 인젝터를 포함하여 cert-manager Operator for Red Hat OpenShift에 대한 예약 덮어쓰기를 구성할 수 있습니다.

Google CAS issuer

cert-manager Operator for Red Hat OpenShift는 이제 Google CAS(인증 기관 서비스) 발행자를 지원합니다. google-cas-issuer 는 CAS 관리 개인 인증 기관과 함께 발급 및 갱신을 포함하여 인증서 라이프사이클 관리를 자동화하는 cert-manager의 외부 발행자입니다.

기본 installMode 가 AllNamespaces로 업데이트됨

버전 1.15.0부터 기본 및 권장 OLM(Operator Lifecycle Manager) installMode 는 AllNamespaces 입니다. 이전에는 기본값이 SingleNamespace 였습니다. 이러한 변경 사항은 다중 네임스페이스 Operator 관리를 위한 모범 사례와 일치합니다. 자세한 내용은 OCPBUGS-23406 을 참조하십시오.

중복 kube-rbac-proxy 사이드카 제거

Operator에는 더 이상 중복 kube-rbac-proxy 사이드카 컨테이너가 포함되어 있지 않으므로 리소스 사용량과 복잡성이 줄어듭니다. 자세한 내용은 BZ#1988324에서 참조하십시오.