4.16. 컨테이너
Podman은 zstd로 압축된 이미지 가져오기 및 푸시 지원
zstd 형식으로 압축된 이미지를 가져와서 푸시할 수 있습니다. zstd 압축은 gzip보다 더 효율적이고 빠릅니다. 이미지 가져오기 및 푸시와 관련된 네트워크 트래픽 및 스토리지 양을 줄일 수 있습니다.
Jira:RHELPLAN-154313[1]
Podman의 Quadlet 사용 가능
Podman v4.6부터 Quadlet을 사용하여 컨테이너 설명에서 systemd 서비스 파일을 자동으로 생성할 수 있습니다. 설명은 systemd 에서 컨테이너 실행의 기술적 복잡성 없이 관련 컨테이너 세부 정보에 중점을 두고 있기 때문에 Quadlets를 podman generate systemd 명령보다 더 쉽게 사용할 수 있습니다. Quadlets는 rootful 컨테이너에서만 작동합니다.
자세한 내용은 Quadlet 업스트림 문서 및 Quadlet 을 사용하여 Podman에 대한 systemd를 더 잘 만드는 방법을 참조하십시오.
Jira:RHELPLAN-154431[1]
컨테이너 툴 패키지가 업데이트됨
Podman, Buildah, Skopeo, crun, runc 툴이 포함된 업데이트된 컨테이너 툴 패키지를 사용할 수 있습니다. 이번 업데이트에서는 이전 버전에 비해 일련의 버그 수정 및 개선 사항이 적용됩니다.
Podman v4.6에서 주요 변경 사항은 다음과 같습니다.
-
이제
podman kube play명령에서--configmap= <path> 옵션을 지원하여 Pod 컨테이너 내에서 사용되는 환경 변수를 Kubernetes YAML 파일에 제공합니다. -
podman kube play명령에서--configmap옵션에 대해 여러 Kubernetes YAML 파일을 지원합니다. -
podman kube play명령에서는 활성 프로브 내에서 containerPort 이름 및 포트 번호를 지원합니다. -
이제
podman kube play명령에서 ctrName을 Pod 네트워크에 별칭으로 추가합니다. -
podman kube 플레이및podman kube generate명령에서 SELinux filetype 레이블 및 ulimit 주석을 지원합니다. -
지정된 이름의
시크릿이 존재하는지 확인하는 새 명령인 podmansecret이 추가되었습니다. -
podman create,podman run,podman pod create,podman pod clone명령에서 새 옵션인--shm-size-systemd를 지원하여 systemd 관련 마운트에 대해 tmpfs 크기를 제한할 수 있습니다. -
podman create및 podman run 명령에서 이제 제한된 컨테이너 내에서 SELinux 레이블을 지정할 수 있는 새로운 옵션--security-opt label=nested를 지원합니다. - Podman은 이제 Pod 내에서 실행되는 컨테이너에 대한 자동 업데이트를 지원합니다.
-
이제 Podman은 안정성 향상을 위해 SQLite 데이터베이스를 백엔드로 사용할 수 있습니다. 기본값은 BoltDB 데이터베이스로 유지됩니다.
containers.conf파일에서database_backend필드를 설정하여 데이터베이스를 선택할 수 있습니다. -
Podman은 이제 Quadlets를 지원하여 컨테이너 설명에서
systemd서비스 파일을 자동으로 생성합니다. 설명은 관련 컨테이너 세부 사항에 중점을 두고 있으며systemd에서 실행 중인 컨테이너의 기술적 복잡성을 숨깁니다.
주요 변경 사항에 대한 자세한 내용은 업스트림 릴리스 노트를 참조하십시오.
Jira:RHELPLAN-154443[1]
Podman에서 Podmansh 로그인 쉘 지원
Podman v4.6부터 Podmansh 로그인 쉘을 사용하여 사용자 액세스 및 제어를 관리할 수 있습니다. CGroups v2로 전환하려면 systemd.unified_cgroup_hierarchy=1 을 커널 명령줄에 추가합니다. /usr/bin/podmansh 명령을 표준 쉘 명령(예: /usr/bin/bash ) 대신 로그인 쉘로 사용하도록 사용자 설정을 구성합니다. 사용자가 시스템 설정에 로그인하면 podmansh 명령은 podmansh 라는 Podman 컨테이너에서 사용자의 세션을 실행합니다. 사용자가 로그인하는 컨테이너는 /etc/containers/systemd/users/ 디렉터리에 생성된 Quadlet 파일을 사용하여 정의됩니다. 이러한 파일에서 [Container] 섹션의 ContainerName 필드를 podmansh 로 설정합니다. systemd는 사용자 세션이 시작될 때 podmansh 를 자동으로 시작하고 모든 사용자 세션이 종료될 때까지 계속 실행됩니다.
자세한 내용은 Podman v4.6.0 Introduces Podmansh: A#159ary Login Shell 을 참조하십시오.
Jira:RHELPLAN-163002[1]
Fulcio 및 Rekor를 사용한 sigstore 서명용 클라이언트를 사용할 수 있습니다.
Fulcio 및 Rekor 서버를 사용하면 개인 키를 수동으로 관리하는 대신 OpenID Connect(OIDC) 서버 인증을 기반으로 단기 인증서를 사용하여 서명을 생성할 수 있습니다. 이전에는 Fulcio 및 Rekor를 사용하는 sigstore 서명용 클라이언트는 이전에 기술 프리뷰로 사용할 수 있으며 이제 완전히 지원됩니다. 이 추가된 기능은 클라이언트 측 지원일 뿐이며 Fulcio 또는 Rekor 서버를 포함하지 않습니다.
policy.json 파일에 fulcio 섹션을 추가합니다. 컨테이너 이미지에 서명하려면 podman push --sign-by-sigstore=file.yml 또는 skopeo copy --sign-by-sigstore=file.yml 명령을 사용합니다. 여기서 file.yml 은 sigstore 서명 매개 변수 파일입니다.
서명을 확인하려면 policy.json 파일에 fulcio 섹션과 rekorPublicKeyPath 또는 rekorPublicKeyData 필드를 추가합니다. 자세한 내용은 containers-policy.json 도움말 페이지를 참조하십시오.
Jira:RHELPLAN-160659[1]
