2장. 새로운 기능 및 개선 사항

OpenShift 샌드박스 컨테이너에 대한 Google Cloud 지원

이제 Google Cloud에서 OpenShift 샌드박스 컨테이너 워크로드를 실행할 수 있습니다. OpenShift 샌드박스 컨테이너는 높은 권한이 필요한 CI와 같은 워크로드에 대해 향상된 격리를 제공합니다.

기밀 컨테이너를 위한 initdata

기밀 컨테이너는 이제 런타임 시 피어 Pod를 구성하기 위한 initdata 사양을 지원하므로 피어 Pod 가상 머신 이미지에 중요한 데이터를 포함할 필요가 없습니다. 이 기능을 통해 기밀 정보의 노출을 줄이고 사용자 정의 이미지 빌드를 제거하여 유연성을 향상시킵니다. initdata 구성을 전역적으로 또는 특정 Pod에 적용할 수 있습니다.

사용자 정의 피어 Pod VM 이미지 지원

OpenShift 샌드박스 컨테이너 및 기밀 컨테이너는 이제 피어 Pod에 대한 사용자 정의 가상 머신 이미지를 지원합니다. 이 기능을 사용하면 워크로드 요구 사항에 맞는 이미지를 선택할 수 있습니다. 사용자 정의 이미지는 Pod 매니페스트에 주석을 추가하여 참조되며 피어 Pod 구성 맵에 지정된 기본 이미지를 덮어씁니다.

Kata 에이전트 정책 사용자 정의

Kata 에이전트 정책은 Kata 런타임으로 실행되는 Pod에 대한 에이전트 API 요청을 제어하는 보안 메커니즘입니다. 이 정책은 허용 또는 거부되는 작업을 결정합니다. 피어 Pod 매니페스트에 주석을 추가하여 테스트 또는 개발을 위한 사용자 정의 정책으로 기본 정책을 덮어쓸 수 있습니다. 프로덕션 환경에서 initdata 를 사용하여 정책을 변경합니다.

기본 클러스터 인증 정보 덮어쓰기

버전 1.7부터 OpenShift 샌드박스 컨테이너는 기본적으로 Cloud Credentials Operator 에서 제공하는 OpenShift Container Platform 클러스터의 인증 정보를 사용합니다. 클라우드 공급자 인증 정보를 지정하는 피어 Pod 시크릿을 생성하여 기본 인증 정보를 덮어쓸 수 있습니다. Cloud Credentials Operator를 설치 제거하는 경우 피어 Pod 시크릿을 생성해야 합니다.