第 2 章 新功能及功能增强

Google Cloud 支持 OpenShift 沙盒容器

现在，您可以在 Google Cloud 上运行 OpenShift 沙盒容器工作负载。OpenShift 沙盒容器为需要提升特权的工作负载（如 CI）提供增强的隔离功能。

保密容器的 initdata

机密容器现在支持在运行时配置对等 pod 的 initdata 规格，从而避免需要在对等 pod 虚拟机镜像中嵌入敏感数据。此功能通过减少机密信息暴露并通过删除自定义镜像构建来提高灵活性来增强安全性。您可以在全局范围内或特定 pod 应用 initdata 配置。

自定义对等 pod 虚拟机镜像支持

OpenShift 沙盒容器和机密容器现在支持对等 pod 的自定义虚拟机镜像。通过此功能，您可以选择根据您的工作负载要求量身定制的镜像。自定义镜像通过向 pod 清单添加注解来引用，它会覆盖对等 pod 配置映射中指定的默认镜像。

Kata 代理策略自定义

Kata 代理策略是一种安全机制，用于控制使用 Kata 运行时运行的 pod 的代理 API 请求。此策略决定了哪些操作被允许或拒绝。您可以通过向对等 pod 清单添加注解，使用自定义策略覆盖默认策略 以进行测试 或开发。在生产环境中，使用 initdata 更改策略。

覆盖默认集群凭证

自 1.7 版本开始，OpenShift 沙盒容器使用 OpenShift Container Platform 集群的凭证，默认由 Cloud Credentials Operator 提供。您可以通过创建一个指定云供应商凭证的对等 pod secret 来覆盖默认凭证。如果卸载 Cloud Credentials Operator，您必须创建一个对等 pod secret。