4.18. 컨테이너
새로운 podman RHEL System Role 사용 가능
Podman 4.2부터 podman System Role을 사용하여 Podman 컨테이너를 실행하는 Podman 구성, 컨테이너 및 systemd 서비스를 관리할 수 있습니다.
Jira:RHELPLAN-118698
Podman에서 감사 이벤트 지원
Podman v4.4부터 단일 이벤트 및 journald 항목에서 컨테이너에 대한 모든 관련 정보를 직접 수집할 수 있습니다. Podman 감사를 활성화하려면 container.conf 구성 파일을 수정하고 events_container_create_inspect_data=true 옵션을 [engine] 섹션에 추가합니다. 데이터는 podman container inspect 명령과 동일하게 JSON 형식입니다. 자세한 내용은 Podman 4.4의 새 컨테이너 이벤트 및 감사 기능을 사용하는 방법을 참조하십시오.
Jira:RHELPLAN-136601
컨테이너 도구 패키지 업데이트
Podman, Buildah, Skopeo, crun 및 runc 툴이 포함된 업데이트된 컨테이너 툴 패키지를 사용할 수 있습니다. 이번 업데이트에서는 이전 버전에 비해 일련의 버그 수정 및 개선 사항을 적용합니다.
Podman v4.4의 주요 변경 사항은 다음과 같습니다.
- Podman을 사용하여 systemd 서비스를 쉽게 생성하고 유지 관리하는 새로운 systemd 생성기인 Quadlet을 소개합니다.
-
컨테이너 및 포드의 네트워크를 업데이트하는 새로운 명령
podman network update가 추가되었습니다. -
buildah
버전을 표시하는 새 명령 podman buildx버전 이 추가되었습니다. - 컨테이너는 이제 시작 상태 점검을 통해 일반 상태 점검을 활성화하기 전에 컨테이너를 완전히 시작하기 위해 명령을 실행할 수 있습니다.
-
podman --dns명령을 사용하여 사용자 지정 DNS 서버 선택을 지원합니다. - Fulcio 및 Rekor를 사용하여 sigstore 서명을 생성 및 확인할 수 있습니다.
- Docker와의 호환성 개선(새 옵션 및 별칭).
-
Podman의 Kubernetes 통합 개선 -
podman kube generate및podman kube play명령을 사용할 수 있으며podman generate kube및podman play kube명령을 교체합니다.podman generate kube및podman play kube명령을 계속 사용할 수 있지만 새로운podman kube명령을 사용하는 것이 좋습니다. -
podman kube play명령으로 생성된 systemd 관리 포드가 이제 io.containers.sdnotify 주석(또는 특정 컨테이너의io.containers.sdnotify/$name -
podman kube 플레이에서생성한 systemd 관리 포드는 이제io.containers.auto-update주석(또는 특정 컨테이너의io.containers.auto-update/$name)을 사용하여 자동 업데이트할 수 있습니다.
주목할 만한 변경 사항에 대한 자세한 내용은 podman이 버전 4.4로 업그레이드되어 업스트림 릴리스 노트를 참조하십시오.
Jira:RHELPLAN-136608
Aardvark 및 Netavark가 사용자 정의 DNS 서버 선택을 지원
Aardvark 및 Netavark 네트워크 스택은 이제 호스트의 기본 DNS 서버가 아닌 컨테이너에 대한 사용자 정의 DNS 서버 선택을 지원합니다. 사용자 정의 DNS 서버를 지정하는 두 가지 옵션이 있습니다.
-
containers.conf구성 파일에dns_servers필드를 추가합니다. -
새로운
--dnsPodman 옵션을 사용하여 DNS 서버의 IP 주소를 지정합니다.
--dns 옵션은 container.conf 파일의 값을 덮어씁니다.
Jira:RHELPLAN-138025
Skopeo에서 sigstore 키 쌍 생성을 지원
skopeo generate-sigstore-key 명령을 사용하여 sigstore 공용/개인 키 쌍을 생성할 수 있습니다. 자세한 내용은 skopeo-generate-sigstore-key man 페이지를 참조하십시오.
Jira:RHELPLAN-151481
Toolbox를 사용할 수 있음
toolbox 유틸리티를 사용하면 시스템에 직접 문제 해결 툴을 설치하지 않고도 컨테이너화된 명령줄 환경을 사용할 수 있습니다. Toolbox는 OCI의 Podman 및 기타 표준 컨테이너 기술을 기반으로 합니다. 자세한 내용은 toolbx 를 참조하십시오.
Jira:RHELPLAN-150266
이미지에 서명하기 위한 신뢰할 수 있는 여러 GPG 키의 기능을 사용할 수 있습니다.
/etc/containers/policy.json 파일은 신뢰할 수 있는 키가 포함된 파일 목록을 수락하는 새로운 keyPaths 필드를 지원합니다. 이로 인해 Red Hat의 일반 가용성 및 베타 GPG 키로 서명된 컨테이너 이미지가 이제 기본 구성에서 허용됩니다.
예를 들면 다음과 같습니다.
"registry.redhat.io": [
{
"type": "signedBy",
"keyType": "GPGKeys",
"keyPaths": ["/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release", "/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta"]
}
]Jira:RHELPLAN-118470
RHEL 8 Extended Update Support
RHEL Container Tools는 RHEL 8 EUS (Extended Update Support) 릴리스에서 지원됩니다. Red Hat Enterprise Linux EUS에 대한 자세한 내용은 Container Tools AppStream - Content Availability,Red Hat Enterprise Linux (RHEL) Extended Update Support (EUS) 개요 에서 확인할 수 있습니다.
Jira:RHELPLAN-151121
sigstore 서명 사용 가능
Podman 4.2부터 컨테이너 이미지 서명의 sigstore 형식을 사용할 수 있습니다. sigstore 서명은 이미지 서명을 저장하기 위해 별도의 서명 서버가 없어도 컨테이너 이미지와 함께 컨테이너 레지스트리에 저장됩니다.
Jira:RHELPLAN-75165
Podman에서 pre-execution 후크 지원
/usr/libexec/podman/pre-exec-hooks 및 /etc/containers/pre-exec-hooks 디렉터리에 있는 root-owned 플러그인 스크립트는 특히 인증되지 않은 작업을 차단하여 컨테이너 작업에 대한 세부 제어를 정의합니다.
/etc/containers/podman_preexec_hooks.txt 파일은 관리자가 생성해야 하며 비어 있을 수 있습니다. /etc/containers/podman_preexec_hooks.txt 가 없으면 플러그인 스크립트가 실행되지 않습니다. 플러그인 스크립트에서 0 값을 반환하면 podman 명령이 실행됩니다. 그러지 않으면 podman 명령이 상속된 종료 코드로 종료됩니다.
Red Hat은 다음 이름 지정 규칙을 사용하여 스크립트를 올바른 순서로 실행하는 것이 좋습니다. DDD-plugin_name.lang (예: 010-check-group.py ). 플러그인 스크립트는 생성 시 유효합니다. 플러그인 스크립트 이전에 생성된 컨테이너는 영향을 받지 않습니다.
Bugzilla:2119200
