Red Hat Summit릴리스 노트
초록
Red Hat 문서에 관한 피드백 제공
피드백을 제공하거나 HCIDOCS 프로젝트에 대한 Jira 문제를 생성하여 피드백을 제공하거나 오류를 보고할 수 있습니다. 여기서 피드백의 진행 상황을 추적할 수 있습니다. Red Hat Jira 계정이 있어야 하며 로그인해야 합니다.
- Create Issue 양식을 시작합니다.
요약,설명 및 보고자 필드를 완료합니다.
설명 필드에 문서 URL, 장 또는 섹션 번호, 문제에 대한 자세한 설명을 포함합니다.
- 생성을 클릭합니다.
1장. 릴리스 정보
이 릴리스 노트에서는 Red Hat OpenShift Container Platform 4.16과 함께 OpenShift 샌드박스 컨테이너 1.7의 개발을 추적합니다.
OpenShift Container Platform은 FIPS용으로 설계되었습니다. FIPS 모드에서 부팅된 RHEL(Red Hat Enterprise Linux CoreOS) 또는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행하는 경우 OpenShift Container Platform 코어 구성 요소는 x86_64,ppc64le, s390x 아키텍처에서만 FIPS 140-2/140-3 Validation에 대해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 유효성 검사 프로그램을 참조하십시오. 검증을 위해 제출된 개별 RHEL 암호화 라이브러리의 최신 NIST 상태는 규정 준수 활동 및 정부 표준을 참조하십시오.
2장. 새로운 기능 및 개선 사항
이 섹션에서는 OpenShift 샌드박스 컨테이너 1.7에 도입된 새로운 기능 및 개선 사항에 대해 설명합니다.
2.1. 퍼블릭 클라우드
AWS 및 Azure 클라우드 공급자 인증 정보가 자동으로 검색됨
사용자가 AWS 또는 Azure 클라우드 공급자 인증 정보를 명시적으로 설정하지 않는 한 Operator는 기본적으로 OpenShift 클러스터의 클라우드 공급자 인증 정보를 사용합니다.
Jira:KATA-2216
3장. 버그 수정
이 섹션에서는 OpenShift 샌드박스 컨테이너 1.7에서 수정된 버그에 대해 설명합니다.
3.1. 성능 및 확장
리소스 요청 주석이 시스템 리소스와 일치하지 않으면 피어 Pod가 실패합니다.
io.katacontainers.config.hypervisor.default_vcpus 및 io.katacontainers.config.hypervisor.default_memory 주석의 값은 피어 Pod에 다음과 같은 제한 사항이 있는 QEMU의 의미 체계를 따릅니다.
io.katacontainers.config.hypervisor.default_memory를256미만으로 설정하면 다음 오류가 표시됩니다.Failed to create pod sandbox: rpc error: code = Unknown desc = CreateContainer failed: Memory specified in annotation io.katacontainers.config.hypervisor.default_memory is less than minimum required 256, please specify a larger value: unknown
Failed to create pod sandbox: rpc error: code = Unknown desc = CreateContainer failed: Memory specified in annotation io.katacontainers.config.hypervisor.default_memory is less than minimum required 256, please specify a larger value: unknownCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
io.katacontainers.config.hypervisor.default_memory를256으로,io.katacontainers.config.hypervisor.default_vcpus를1로 설정하면 가장 작은 인스턴스 유형 또는 인스턴스 크기가 목록에서 시작됩니다. -
io.katacontainers.config.hypervisor.default_vcpus를0으로 설정하면 모든 주석이 무시되고 기본 인스턴스가 시작됩니다.
해결방법: io.katacontainers.config.hypervisor.machine_type 을 구성 맵에 지정된 기본 AWS 인스턴스 유형 또는 구성 맵에 지정된 Azure 인스턴스 크기로 설정하여 유연한 Pod VM 크기를 활성화합니다.
Jira:KATA-2575, Jira:KATA-2577, Jira:KATA-2578
4장. 확인된 문제
이 섹션에서는 OpenShift 샌드박스 컨테이너 1.7의 알려진 문제에 대해 설명합니다.
4.1. 샌드박스 컨테이너
OpenShift 샌드박스 컨테이너 1.7.0은 OpenShift Container Platform 4.14 및 이전 버전에서 작동하지 않습니다.
OpenShift 샌드박스 컨테이너 Operator를 설치하거나 업그레이드하기 전에 OpenShift Container Platform 4.15 이상으로 업그레이드해야 합니다. 자세한 내용은 OpenShift 샌드박스 컨테이너 Operator 1.7을 사용할 수 없으며 OSC 1.7.0으로 업그레이드하여 KnowledgeBase에서 Peer Pod를 ContainerCreating 상태로 실행합니다.
4.2. 성능 및 확장
CPU가 오프라인 상태인 경우 컨테이너 CPU 리소스 제한 증가
요청된 CPU가 오프라인 상태인 경우 컨테이너 CPU 리소스 제한을 사용하여 Pod에 사용 가능한 CPU 수를 늘리십시오. 기능을 사용할 수 있는 경우 oc rsh <pod> 명령을 실행하여 Pod 에 액세스한 다음 lscpu 명령을 실행하여 CPU 리소스 문제를 진단할 수 있습니다.
lscpu
$ lscpu출력 예:
CPU(s): 16 On-line CPU(s) list: 0-12,14,15 Off-line CPU(s) list: 13
CPU(s): 16
On-line CPU(s) list: 0-12,14,15
Off-line CPU(s) list: 13오프라인 CPU 목록은 예측할 수 없으며 실행 시 실행으로 변경될 수 있습니다.
해결방법: 다음 예와 같이 Pod 주석을 사용하여 추가 CPU를 요청합니다.
metadata:
annotations:
io.katacontainers.config.hypervisor.default_vcpus: "16"
metadata:
annotations:
io.katacontainers.config.hypervisor.default_vcpus: "16"sizeLimit 을 늘리면 임시 볼륨이 확장되지 않습니다.
볼륨 크기 기본값이 샌드박스 컨테이너에 할당된 메모리의 50%이므로 Pod 사양에서 sizeLimit 매개변수를 사용하여 임시 볼륨을 확장할 수 없습니다.
해결방법: 볼륨을 다시 마운트하여 크기를 변경합니다. 예를 들어 샌드박스 컨테이너에 할당된 메모리가 6GB이고 임시 볼륨이 /var/lib/containers 에 마운트된 경우 다음 명령을 실행하여 기본적으로 이 볼륨의 크기를 3GB 이상으로 늘릴 수 있습니다.
mount -o remount,size=4G /var/lib/containers
$ mount -o remount,size=4G /var/lib/containers5장. 기술 프리뷰
이 섹션에서는 OpenShift 샌드박스 컨테이너 1.7에서 사용할 수 있는 모든 기술 프리뷰 목록을 제공합니다.
자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
Microsoft Azure Cloud Computing Services, IBM Z 및 IBM LinuxONE의 기밀 컨테이너
기밀 컨테이너는 클라우드 네이티브 애플리케이션에 대한 향상된 보안을 제공하여 사용 중인 경우에도 컨테이너와 해당 데이터를 보호하는 TEE(신뢰할 수 있는 실행 환경)라는 보안 및 격리된 환경에서 실행할 수 있습니다.
다음 제한 사항을 확인합니다.
- CVM(비밀 가상 머신) 루트 파일 시스템(rootfs)의 암호화 및 무결성 보호 없음: CVM은 TEE 내에서 실행되며 컨테이너 워크로드를 실행합니다. rootfs의 암호화 및 무결성 보호 부족으로 인해 악의적인 관리자가 rootfs에 기록된 중요한 데이터를 추출하거나 rootfs 데이터를 변조할 수 있습니다. rootfs에 대한 무결성 보호 및 암호화는 현재 진행 중입니다. 모든 애플리케이션 쓰기가 메모리에 있는지 확인해야 합니다.
- 암호화된 컨테이너 이미지 지원 없음: 서명된 컨테이너 이미지 지원만 현재 사용할 수 있습니다. 암호화된 컨테이너 이미지 지원이 진행 중입니다.
- Kata shim과 CVM 내부의 에이전트 구성 요소 간의 통신에는 변조가 적용됩니다. CVM 내부의 에이전트 구성 요소는 OpenShift 작업자 노드에서 실행되는 Kata shim에서 Kubernetes API 명령을 실행해야 합니다. CVM에서 컨테이너의 Kubernetes exec 및 로그 API를 해제하는 에이전트 정책을 사용하여 Kubernetes API를 통한 중요한 데이터 유출을 방지합니다. 그러나 이는 완료되지 않으며 shim과 에이전트 구성 요소 간의 통신 채널을 강화하기 위한 추가 작업이 진행 중입니다. 에이전트 정책은 Pod 주석을 사용하여 런타임 시 재정의할 수 있습니다. 현재 Pod의 런타임 정책 주석은 인증 프로세스에서 확인하지 않습니다.
- 암호화된 pod-to-pod 통신에 대한 기본 지원이 없습니다. Pod-to-pod 통신은 암호화되지 않습니다. 모든 pod-to-pod 통신에 대해 애플리케이션 수준에서 TLS를 사용해야 합니다.
- 작업자 노드와 CVM 내부에서 이미지를 이중 가져오기: 컨테이너 이미지가 TEE 내에서 실행되는 CVM에서 다운로드 및 실행됩니다. 그러나 현재 이미지는 작업자 노드에도 다운로드됩니다.
- 기밀 컨테이너를 위한 CVM 이미지를 빌드하려면 클러스터에서 OpenShift 샌드박스 컨테이너 Operator를 사용할 수 있어야 합니다.
Jira:KATA-2416
IBM Z 및 IBM LinuxONE에 대한 피어 Pod 지원
IBM Z® 및 IBM® LinuxONE(s390x 아키텍처)에서 피어 Pod를 사용하여 중첩된 가상화 없이 OpenShift 샌드박스 컨테이너 워크로드를 배포할 수 있습니다.
Jira:KATA-2030
6장. 비동기 에라타 업데이트
OpenShift 샌드박스 컨테이너의 보안, 버그 수정 및 개선 사항 업데이트는 Red Hat Network를 통해 비동기 에라타로 릴리스됩니다.
Red Hat OpenShift Container Platform 4.16 에라타는 Red Hat Customer Portal 을 통해 제공됩니다.
비동기 에라타에 대한 자세한 내용은 OpenShift Container Platform 라이프 사이클 을 참조하십시오.
Red Hat 서브스크립션 관리 설정에서 에라타 이메일 알림을 활성화할 수 있습니다. 등록된 시스템 및 OpenShift Container Platform 인타이틀먼트가 있는 Red Hat 고객 포털 계정이 있어야 합니다.
이 섹션은 향후 OpenShift 샌드박스 컨테이너의 비동기 에라타 릴리스의 개선 사항 및 버그 수정에 대한 정보 제공을 위해 지속적으로 업데이트됩니다.
6.1. RHBA-2024:6709 - OpenShift 샌드박스 컨테이너 1.7.0 이미지 릴리스, 버그 수정 및 개선 권고
출시 날짜: 2024-09-18
OpenShift 샌드박스 컨테이너 릴리스 1.7.0이 공개되었습니다. 이 권고에는 개선 사항 및 버그 수정이 포함된 OpenShift 샌드박스 컨테이너 업데이트를 포함합니다.
업데이트에 포함된 버그 수정 목록은 RHBA-2024:6709 권고에 설명되어 있습니다.
부록 A. 구성 요소별 티켓 목록
이 문서에는 Bugzilla 및 JIRA 티켓이 기재되어 있습니다. 링크는 티켓을 설명하는 이 문서의 릴리스 노트로 이어집니다.
| Component | 티켓 |
|---|---|
|
| |
|
| |
|
| |
|
|
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}