Red Hat Summit7.2. 보안 프로필 운영자 릴리스 노트
보안 프로필 운영자는 보안 컴퓨팅( seccomp ) 및 SELinux 프로필을 사용자 정의 리소스로 정의하고 지정된 네임스페이스의 모든 노드에 프로필을 동기화하는 방법을 제공합니다.
이 릴리스 노트는 OpenShift Container Platform의 Security Profiles Operator 개발 과정을 추적합니다.
보안 프로필 운영자에 대한 개요는 보안 프로필 운영자 개요를 참조하세요.
7.2.1. 보안 프로필 운영자 0.9.0
다음 권고 사항은 Security Profiles Operator 0.9.0에 대해 제공됩니다. RHBA-2025:15655 - OpenShift Security Profiles Operator 업데이트
이 업데이트는 네임스페이스 리소스가 아닌 클러스터 전체 리소스로 보안 프로필을 관리합니다. Security Profiles Operator를 0.8.6 이후 버전으로 업데이트하려면 수동 마이그레이션이 필요합니다. 마이그레이션 지침은 Security Profiles Operator 0.9.0 업데이트 마이그레이션 가이드를 참조하세요.
7.2.1.1. 버그 수정
-
이 업데이트 이전에는 semanage 구성 파일을 구문 분석하는 중 오류로 인해 spod pod가 시작되지 않고
CrashLoopBackOff상태에 들어갈 수 있었습니다. 이 문제는 OpenShift Container Platform 4.19부터 RHEL 9 이미지 명명 규칙이 변경되어 발생합니다. ( OCPBUGS-55829 ) -
이 업데이트 이전에는 보안 프로필 운영자가 조정자 유형 불일치 오류로 인해 새로 추가된 노드에
RawSelinuxProfile을적용하지 못했습니다. 이 업데이트를 통해 운영자는 이제RawSelinuxProfile객체를 올바르게 처리하고 정책이 예상대로 모든 노드에 적용됩니다. ( OCPBUGS-33718 )
7.2.2. 보안 프로필 운영자 0.8.6
다음 권고 사항은 Security Profiles Operator 0.8.6에 대해 제공됩니다.
이 업데이트에는 기본 이미지의 업그레이드된 종속성이 포함되어 있습니다.
7.2.3. 보안 프로필 운영자 0.8.5
다음 권고 사항은 Security Profiles Operator 0.8.5에 대해 제공됩니다.
7.2.3.1. 버그 수정
- 웹 콘솔에서 Security Profile Operator를 설치하려고 할 때, 네임스페이스에 대해 Operator가 권장하는 클러스터 모니터링을 활성화하는 옵션을 사용할 수 없었습니다. 이 업데이트를 통해 이제 네임스페이스에서 운영자가 권장하는 클러스터 모니터링을 활성화할 수 있습니다. (OCPBUGS-37794)
- 이전에는 Security Profiles Operator가 OperatorHub에 간헐적으로 표시되지 않아 웹 콘솔을 통해 Operator를 설치하는 데 제한이 있었습니다. 이 업데이트를 통해 Security Profiles Operator가 OperatorHub에 추가되었습니다.
7.2.4. 보안 프로필 운영자 0.8.4
다음 권고 사항은 Security Profiles Operator 0.8.4에 대해 제공됩니다.
이 업데이트는 기본 종속성의 CVE를 해결합니다.
7.2.4.1. 새로운 기능 및 개선 사항
-
이제 와일드카드를 설정하여
ProfileBinding개체의이미지속성에 기본 보안 프로필을 지정할 수 있습니다. 자세한 내용은 ProfileBindings를 사용하여 워크로드를 프로파일에 바인딩(SELinux) 및 ProfileBindings를 사용하여 워크로드를 프로파일에 바인딩(Seccomp)을 참조하세요.
7.2.5. 보안 프로필 운영자 0.8.2
다음 권고 사항은 Security Profiles Operator 0.8.2에 대해 제공됩니다.
7.2.5.1. 버그 수정
-
이전에는
SELinuxProfile객체가 동일한 네임스페이스에서 사용자 정의 속성을 상속하지 않았습니다. 이 업데이트를 통해 문제가 해결되었고SELinuxProfile개체 속성이 예상대로 동일한 네임스페이스에서 상속됩니다. (OCPBUGS-17164) -
이전에는 RawSELinuxProfiles가 생성 프로세스 중에 중단되어
설치됨상태에 도달하지 못했습니다. 이 업데이트를 통해 문제가 해결되었고 RawSELinuxProfiles가 성공적으로 생성되었습니다. (OCPBUGS-19744) -
이전에는
enableLogEnricher를true로 패치하면seccompProfilelog-enricher-trace포드가보류상태에 갇혔습니다. 이 업데이트를 통해log-enricher-trace포드가 예상대로설치됨상태에 도달합니다. (OCPBUGS-22182) 이전에는 Security Profiles Operator가 높은 카디널리티 메트릭을 생성하여 Prometheus Pod가 많은 양의 메모리를 사용하게 했습니다. 이 업데이트를 통해 다음 메트릭은 더 이상 Security Profiles Operator 네임스페이스에 적용되지 않습니다.
-
rest_client_request_duration_seconds -
rest_client_request_size_bytes rest_client_response_size_bytes
-
7.2.6. 보안 프로필 운영자 0.8.0
다음 권고 사항은 Security Profiles Operator 0.8.0에 대해 제공됩니다.
7.2.6.1. 버그 수정
- 이전에는 연결이 끊긴 클러스터에 Security Profiles Operator를 설치하려고 했을 때 SHA 재레이블링 문제로 인해 제공된 보안 해시가 올바르지 않았습니다. 이 업데이트를 통해 SHA가 연결이 끊긴 환경에서도 일관되게 작동합니다. (OCPBUGS-14404)
7.2.7. Security Profiles Operator Cryostat.1
Security Profiles Operator Cryostat.1에 대해 다음 권고를 사용할 수 있습니다.
7.2.7.1. 새로운 기능 및 개선 사항
이제 SPO(Security Profiles Operator)가 RHEL 8 및 9 기반 RHCOS 시스템에 적합한
selinuxd이미지를 자동으로 선택합니다.중요연결이 끊긴 환경에 대한 이미지를 미러링하는 사용자는 Security Profiles Operator가 제공한 두
selinuxd이미지를 모두 미러링해야 합니다.이제
spod데몬 내에서 메모리 최적화를 활성화할 수 있습니다. 자세한 내용은 spod 데몬에서 메모리 최적화 활성화를 참조하세요.참고SPO 메모리 최적화는 기본적으로 활성화되어 있지 않습니다.
- 이제 데몬 리소스 요구 사항을 구성할 수 있습니다. 자세한 내용은 데몬 리소스 요구 사항 사용자 정의를 참조하세요.
-
우선 순위 클래스 이름을 이제
spod구성에서 구성할 수 있습니다. 자세한 내용은 spod 데몬 Pod에 대한 사용자 정의 우선 순위 클래스 이름 설정을 참조하세요.
7.2.7.2. 사용되지 않거나 삭제된 기능
-
기본
nginx-1.19.1seccomp 프로필은 이제 Security Profiles Operator 배포에서 제거되었습니다.
7.2.7.3. 버그 수정
- 이전에는 SPO(Security Profiles Operator) SELinux 정책이 컨테이너 템플릿에서 저수준 정책 정의를 상속하지 않았습니다. net_container와 같은 다른 템플릿을 선택하면 컨테이너 템플릿에만 존재하는 저수준 정책 정의가 필요하기 때문에 정책이 작동하지 않습니다. 이 문제는 SPO SELinux 정책이 SELinux 정책을 SPO 사용자 지정 형식에서 CIL(Common Intermediate Language) 형식으로 변환하려고 시도할 때 발생했습니다. 이 업데이트를 사용하면 컨테이너 템플릿이 SPO에서 CIL로 변환이 필요한 모든 SELinux 정책에 추가됩니다. 또한 SPO SELinux 정책은 지원되는 모든 정책 템플릿에서 저수준 정책 정의를 상속할 수 있습니다. (OCPBUGS-12879)
7.2.7.4. 알려진 문제
-
Security Profiles Operator를 제거해도
MutatingWebhookConfiguration개체는 삭제되지 않으므로 수동으로 제거해야 합니다. 해결 방법으로, Security Profiles Operator를 제거한 후MutatingWebhookConfiguration객체를 삭제합니다. 이러한 단계는 Security Profiles Operator 제거 에 정의되어 있습니다. (OCPBUGS-4687)
7.2.8. 보안 프로필 운영자 0.5.2
다음 권고 사항은 Security Profiles Operator 0.5.2에 대해 제공됩니다.
이 업데이트는 기본 종속성의 CVE를 해결합니다.
7.2.8.1. 알려진 문제
-
Security Profiles Operator를 제거해도
MutatingWebhookConfiguration개체는 삭제되지 않으므로 수동으로 제거해야 합니다. 해결 방법으로, Security Profiles Operator를 제거한 후MutatingWebhookConfiguration객체를 삭제합니다. 이러한 단계는 Security Profiles Operator 제거 에 정의되어 있습니다. (OCPBUGS-4687)
7.2.9. 보안 프로필 운영자 0.5.0
다음 권고 사항은 Security Profiles Operator 0.5.0에 대해 제공됩니다.
7.2.9.1. 알려진 문제
-
Security Profiles Operator를 제거해도
MutatingWebhookConfiguration개체는 삭제되지 않으므로 수동으로 제거해야 합니다. 해결 방법으로, Security Profiles Operator를 제거한 후MutatingWebhookConfiguration객체를 삭제합니다. 이러한 단계는 Security Profiles Operator 제거 에 정의되어 있습니다. (OCPBUGS-4687)
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}