4.23. 컨테이너
Podman에서 보안 짧은 이름 지원
[aliases] 테이블에 있는 registries.conf 파일에서 이미지의 단축 별칭을 구성할 수 있습니다. 짧은 이름 모드는 다음과 같습니다.
-
강제: 이미지 가져오기 중에 일치하는 별칭을 찾을 수 없는 경우 Podman은 사용자에게 unqualified-search 레지스트리 중 하나를 선택하라는 메시지를 표시합니다. 선택한 이미지를 성공적으로 가져오면 Podman은
$HOME/.cache/containers/short-name-aliases.conf파일(rootless 사용자) 및/var/cache/containers/short-name-aliases.conf(root user)에 자동으로 새로운 단축 별칭을 기록합니다. 사용자에게 메시지를 표시할 수 없는 경우 (예: stdin 또는 stdout는 TTY가 아님) Podman은 실패합니다. 둘 다 동일한 별칭을 지정하는 경우short-name-aliases.conf파일이registries.conf파일보다 우선합니다. - 허용: 강제 모드와 유사하지만, 사용자에게 메시지를 표시할 수 없는 경우 Podman은 실패하지 않습니다. 대신 Podman은 지정된 순서로 모든 정규화되지 않은 레지스트리에서 검색합니다. 별칭은 기록되지 않습니다.
예제:
unqualified-search-registries=["registry.fedoraproject.org", "quay.io"] [aliases] "fedora"="registry.fedoraproject.org/fedora"
(JIRA:RHELPLAN-74542)
container-tools 모듈의 변경 사항
container-tools 모듈에는 Podman, Buildah, Skopeo, runc 툴이 포함되어 있습니다. RHEL 8에서 container-tools:rhel8 스트림으로 표시되는 롤링 스트림 이름은 RHEL 9에서 container-tools:latest 라고 합니다. RHEL 8과 마찬가지로 안정적인 버전의 컨테이너 툴은 번호가 지정된 스트림(예: 3.0)에서 사용할 수 있습니다.
컨테이너 툴 애플리케이션 스트림에 대한 자세한 내용은 Container Tools AppStream - Content Availability 를 참조하십시오.
(JIRA:RHELPLAN-73678)
containers-common 패키지를 사용할 수 있습니다.
container-common 패키지가 container-tools:latest 모듈에 추가되었습니다. containers-common 패키지에는 Podman, Buildah, Skopeo와 같은 컨테이너 툴 에코시스템에 대한 일반적인 구성 파일과 문서가 포함되어 있습니다.
(JIRA:RHELPLAN-77549)
새 패키지로 컨테이너 이미지 업데이트
예를 들어 최신 패키지로 registry.access.redhat.com/rhel9 컨테이너 이미지를 업데이트하려면 다음 명령을 사용합니다.
# podman run -it registry.access.redhat.com/rhel9 # dnf update -y && rm -rf /var/cache/dnf
특정 <package> 를 설치하려면 다음을 입력합니다.
# dnf install <package>
자세한 내용은 실행 중인 UBI 컨테이너에 소프트웨어 추가를 참조하십시오.
RHEL 9의 경우 이미지에서 새 패키지를 업데이트하거나 설치하려면 권한이 부여된 호스트에서 실행해야 합니다. 개인용 Red Hat Enterprise Linux 개발자 서브스크립션을 사용하여 무료로 제공되는 저장소에 액세스할 수 있습니다.
자세한 내용은 대부분의 Red Hat Enterprise Linux 개별 개발자 서브스크립션을 참조하십시오. FAQ.
(JIRA:RHELPLAN-84168)
container-tools meta-package가 업데이트됨
Podman, Buildah, Skopeo 및 runc 툴을 포함하는 container-tools RPM meta-package를 사용할 수 있습니다. 이번 업데이트에서는 이전 버전에 비해 버그 수정 및 개선 사항 목록을 제공합니다.
(JIRA:RHELPLAN-118914)
podman-py 패키지를 사용할 수 있습니다.
podman-py 패키지가 container-tools:3.0 의 안정적인 모듈 스트림과 container-tools:latest 모듈에 추가되었습니다. podman-py 패키지는 Podman의 RESTful API를 사용하기 위한 바인딩 라이브러리입니다.
컨트롤 그룹 버전 2 사용 가능
이전 버전의 제어 그룹인 cgroups 버전 1(cgroups v1)으로 인해 다양한 애플리케이션에서 성능 문제가 발생했습니다. 제어 그룹의 최신 릴리스인 cgroups 버전 2(cgroups v2)를 사용하면 시스템 관리자가 성능 문제를 유발하지 않고도 모든 애플리케이션의 리소스를 제한할 수 있습니다.
이 새 버전의 제어 그룹인 cgroups v2는 RHEL 8에서 활성화될 수 있으며 RHEL 9에서는 기본적으로 활성화되어 있습니다.
(JIRA:RHELPLAN-73697)
container-tools meta-package를 사용할 수 있습니다.
container-tools RPM 메타 패키지에는 Podman, Buildah, Skopeo, CRIU, Udica 및 필요한 모든 라이브러리가 RHEL 9에서 사용할 수 있습니다. RHEL 9에서는 stable 스트림을 사용할 수 없습니다. Podman, Buildah, Skopeo 등에 대한 안정적인 액세스 권한을 받으려면 RHEL EUS 서브스크립션을 사용합니다.
container-tools meta-package를 설치하려면 다음을 입력합니다.
# dnf install container-tools
(BZ#2000871)
커널에서 기본 오버레이 파일 시스템 지원 사용 가능
오버레이 파일 시스템 지원은 이제 커널 5.11에서 사용할 수 있습니다. 루트가 아닌 사용자는 rootless를 실행할 때(사용자로) 기본 오버레이 성능을 갖습니다. 따라서 이 향상된 기능은 바인딩 마운트 없이 overlayfs를 사용하려는 루트가 아닌 사용자에게 더 나은 성능을 제공합니다.
(JIRA:RHELPLAN-99892)
NFS 스토리지를 사용할 수 있음
파일 시스템에 xattr 지원이 있는 경우 NFS 파일 시스템을 컨테이너 및 이미지의 백엔드 스토리지로 사용할 수 있습니다.
(JIRA:RHELPLAN-74543)
container-tools meta-package가 업데이트됨
container-tools meta-package에는 Podman, Buildah, Skopeo, CRIU, Udica 및 모든 필수 라이브러리가 포함되어 있습니다. 이번 업데이트에서는 이전 버전에 비해 버그 수정 및 개선 사항 목록을 제공합니다.
주요 변경 사항은 다음과 같습니다.
- 네트워크 스택의 변경으로 인해 Podman v3 및 이전 버전에서 생성된 컨테이너는 Podman v4.0에서 사용할 수 없습니다.
- 기본 오버레이 파일 시스템을 rootless 사용자로 사용할 수 있습니다.
- NFS 스토리지가 컨테이너 내에서 지원됨
- 제어 그룹 버전 2(cgroup v2)는 기본적으로 활성화되어 있습니다.
- 모든 컨테이너가 제거되고 다시 생성되지 않는 한 Podman v4에서 v3로 다운그레이드하는 것은 지원되지 않습니다.
Podman의 주요 변경 사항에 대한 자세한 내용은 업스트림 릴리스 노트 를 참조하십시오.
(JIRA:RHELPLAN-99889)
crun 컨테이너 런타임이 기본값입니다.
crun 컨테이너 런타임은 이제 기본 런타임입니다. crun 컨테이너 런타임은 컨테이너가 rootless 사용자의 추가 그룹에 액세스할 수 있는 주석을 지원합니다. setgid가 설정된 디렉터리 또는 사용자에게 그룹 액세스 권한만 있는 디렉터리의 볼륨 마운트에 유용합니다. crun 및 runc 런타임 모두 cgroup v2 를 완전히 지원합니다.
(JIRA:RHELPLAN-99890)
이제 제어 그룹 버전 2 사용 가능
이전 버전의 제어 그룹인 cgroup 버전 1(cgroup v1)으로 인해 다양한 애플리케이션의 성능 문제가 발생했습니다. cgroup 버전 2(cgroup v2)의 최신 제어 그룹 릴리스를 통해 시스템 관리자는 성능 문제가 발생하지 않고 애플리케이션의 리소스를 제한할 수 있습니다.
RHEL 9에서는 cgroup v2가 기본적으로 활성화되어 있습니다.
(JIRA:RHELPLAN-75322)
Docker Hub에서 Universal Base Images를 사용할 수 있습니다.
이전에는 Universal Base Images를 Red Hat 컨테이너 카탈로그에서만 사용할 수 있었습니다. 이번 개선된 기능을 통해 Docker Hub에서 Verified Publisher 이미지로 도 Universal Base Images를 사용할 수 있습니다.
(JIRA:RHELPLAN-100032)
openssl 컨테이너 이미지를 사용할 수 있습니다.
openssl 이미지는 OpenSSL crypto 라이브러리의 다양한 기능을 사용하기 위한 openssl 명령줄 툴을 제공합니다. OpenSSL 라이브러리를 사용하여 개인 키를 생성하고, 인증서 서명 요청(CSR)을 생성하고, 인증서 정보를 표시할 수 있습니다.
openssl 컨테이너 이미지는 다음 리포지토리에서 사용할 수 있습니다.
- registry.redhat.io/rhel9/openssl
- registry.access.redhat.com/ubi9/openssl
(JIRA:RHELPLAN-100034)
Netavark 네트워크 스택 사용 가능
Netavark 스택은 컨테이너의 네트워크 구성 툴입니다. RHEL 9에서는 Netavark 스택이 완전히 지원되며 기본적으로 활성화됩니다.
이 네트워크 스택에는 다음과 같은 기능이 있습니다.
- 브리지 및 MACVLAN 인터페이스를 포함한 네트워크 인터페이스 생성, 관리 및 제거
- NAT(네트워크 주소 변환) 및 포트 매핑 규칙과 같은 방화벽 설정 구성
- IPv4 및 IPv6
- 여러 네트워크에서 컨테이너의 기능 개선
(JIRA:RHELPLAN-101141)
Podman은 YAML 파일을 사용하여 자동 빌드 및 자동 실행 Pod 지원
podman play kube 명령은 YAML 파일을 사용하여 Pod에서 여러 컨테이너가 있는 여러 Pod를 자동으로 빌드하고 실행합니다.
(JIRA:RHELPLAN-108830)
Podman은 이제 IdM에서 subUID 및 하위GID 범위를 소싱할 수 있습니다.
이제 subUID 및 subGID 범위를 IdM에서 관리할 수 있습니다. 모든 호스트에 동일한 /etc/subuid 및 /etc/subgid 파일을 배포하는 대신 단일 중앙 스토리지에 범위를 정의할 수 있습니다. /etc/nsswitch.conf 파일을 수정하고 sss s를 서비스 맵 라인에 추가해야 합니다. services: files sss.
자세한 내용은 IdM 문서의 하위 ID 범위 관리 섹션을 참조하십시오.
(JIRA:RHELPLAN-100020)
