9.2. cert-manager Operator for Red Hat OpenShift 릴리스 정보

Red Hat OpenShift 용 cert-manager Operator와 Istio-CSR 통합 (일반 사용 가능)

이번 릴리스에서는 이전에 기술 프리뷰 기능으로 제공된 Istio-CSR과 cert-manager Operator for Red Hat OpenShift의 통합이 완전히 지원됩니다. 이 기능은 Red Hat OpenShift Service Mesh 또는 Istio 환경 내의 워크로드 및 컨트롤 플레인 구성 요소를 보호하기 위한 향상된 지원을 제공합니다. Red Hat OpenShift 관리 Istio-CSR 에이전트를 위한 cert-manager Operator를 사용하면 Istio는 상호 TLS(mTLS)에 필요한 인증서를 취득, 서명, 제공 및 갱신할 수 있습니다. 자세한 내용은 cert-manager Operator with Istio-CSR 의 통합을 참조하십시오.

cert-manager Operator for Red Hat OpenShift 피연산자의 복제본 수 구성

이번 릴리스에서는 Red Hat OpenShift 컨트롤러,웹 후크 및 cainjector 피연산자에 대한 cert-manager Operator의 기본 복제본 수를 덮어쓸 수 있습니다. 이러한 값을 구성하려면 CertManager 사용자 정의 리소스에서 새 overrideReplicas 필드를 지정합니다. 이번 개선된 기능을 통해 특정 운영 요구 사항에 따라 HA(고가용성) 및 스케일 피연산자를 구성할 수 있습니다. 자세한 내용은 cert-manager 구성 요소에 대한 CertManager CR의 공통 구성 가능한 필드를 참조하십시오.

루트 파일 시스템은 Red Hat OpenShift 컨테이너용 cert-manager Operator에 대해 읽기 전용입니다.

이번 릴리스에서는 보안을 개선하기 위해 cert-manager Operator for Red Hat OpenShift 및 모든 피연산자에는 기본적으로 readOnlyRootFilesystem 보안 컨텍스트가 true 로 설정되어 있습니다. 이번 개선된 기능을 통해 컨테이너가 강화되고 잠재적인 공격자가 컨테이너 루트 파일 시스템의 내용을 수정하지 못하도록 합니다.

cert-manager Operator for Red Hat OpenShift 구성 요소에 네트워크 정책 강화 가능

이번 릴리스에서는 Red Hat OpenShift용 cert-manager Operator에 사전 정의된 NetworkPolicy 리소스가 포함되어 구성 요소에 대한 수신 및 송신 트래픽을 제어하여 보안을 강화합니다. 이러한 정책은 메트릭 및 웹 후크 서버에 대한 수신과 같은 내부 트래픽을 처리하고 OpenShift API 및 DNS 서버로의 송신을 포함합니다.

기본적으로 이 기능은 업그레이드 중에 연결 문제가 발생하지 않도록 비활성화되어 있습니다. CertManager 사용자 정의 리소스에서 명시적으로 활성화해야 합니다. 자세한 내용은 cert-manager Operator for Red Hat OpenShift에 대한 네트워크 정책 구성 을 참조하십시오.

ACME HTTP-01 솔버 Pod에 대한 리소스 요청 및 제한 구성 지원

이번 릴리스에서는 cert-manager Operator for Red Hat OpenShift에서 ACME HTTP-01 솔버 Pod에 대한 CPU 및 메모리 리소스 요청 및 제한 구성을 지원합니다. CertManager CR(사용자 정의 리소스)에서 다음과 같이 덮어쓸 수 있는 인수를 사용하여 CPU 및 메모리 리소스 요청 및 제한을 구성할 수 있습니다.

자세한 내용은 cert-manager 구성 요소에 대한 덮어쓰기 가능 인수를 참조하십시오.