7.2. Security Profiles Operator 发行注记
Security Profiles Operator 提供了将安全计算 (seccomp) 和 SELinux 配置集定义为自定义资源,将配置集同步到给定命名空间中的每个节点。
本发行注记介绍了 OpenShift Container Platform 中 Security Profiles Operator 的开发。
有关 Security Profiles Operator 的概述,请参阅 xref:[Security Profiles Operator Overview]。
7.2.1. Security Profiles Operator 0.8.6
以下公告可用于 Security Profiles Operator 0.8.6 :
在这个版本中,底层基础镜像中的升级的依赖项包括。
7.2.2. Security Profiles Operator 0.8.5
以下公告可用于 Security Profiles Operator 0.8.5:
7.2.2.1. 程序错误修复
- 当尝试从 web 控制台安装 Security Profile Operator 时,启用 Operator 推荐集群监控的选项对命名空间不可用。在这个版本中,您可以在命名空间中启用 Operator-recommend 集群监控。(OCPBUGS-37794)
- 在以前的版本中,Security Profiles Operator 在 OperatorHub 中可以会出现间歇性不可见的情况,这会限制通过 Web 控制台安装 Operator。在这个版本中,OperatorHub 中存在 Security Profiles Operator。
7.2.3. Security Profiles Operator 0.8.4
以下公告可用于 Security Profiles Operator 0.8.4 :
这个版本解决了底层依赖项中的 CVE。
7.2.3.1. 新功能及功能增强
-
现在,您可以通过设置通配符,在
ProfileBinding
对象的image
属性中指定默认安全配置集。如需更多信息,请参阅使用 ProfileBindings (SELinux)将工作负载绑定到配置集,以及使用 ProfileBindings (Seccomp)将工作负载绑定到配置集。
7.2.4. Security Profiles Operator 0.8.2
以下公告可用于 Security Profiles Operator 0.8.2:
7.2.4.1. 程序错误修复
-
在以前的版本中,
SELinuxProfile
对象不会从同一命名空间中继承自定义属性。在这个版本中,这个问题已被解决,SELinuxProfile
对象属性会从与预期相同的命名空间继承。(OCPBUGS-17164) -
在以前的版本中,RawSELinuxProfiles 会在创建过程中挂起,且不会达到
Installed
状态。在这个版本中,这个问题已被解决,RawSELinuxProfiles 已被成功创建。(OCPBUGS-19744) -
在以前的版本中,将
enableLogEnricher
应用到true
会导致seccompProfile
log-enricher-trace
pod 处于Pending
状态。在这个版本中,log-enricher-trace
pod 会如预期到达Installed
状态。(OCPBUGS-22182) 在以前的版本中,Security Profiles Operator 生成高卡性指标,从而导致 Prometheus pod 使用大量内存。在这个版本中,以下指标将不再在 Security Profiles Operator 命名空间中应用:
-
rest_client_request_duration_seconds
-
rest_client_request_size_bytes
rest_client_response_size_bytes
-
7.2.5. Security Profiles Operator 0.8.0
以下公告可用于 Security Profiles Operator 0.8.0:
7.2.5.1. 程序错误修复
- 在以前的版本中,当试图在断开连接的集群中安装 Security Profiles Operator 时,因为 SHA 重新标记问题,提供的安全哈希值不正确。在这个版本中,SHA 与断开连接的环境保持一致。(OCPBUGS-14404)
7.2.6. Security Profiles Operator 0.7.1
以下公告可用于 Security Profiles Operator 0.7.1:
7.2.6.1. 新功能及功能增强
Security Profiles Operator (SPO) 现在会自动为 RHEL 8 和 9 的 RHCOS 系统选择适当的
selinuxd
镜像。重要为断开连接的环境镜像镜像必须镜像 Security Profiles Operator 提供的
selinuxd
镜像。现在,您可以在
spod
守护进程中启用内存优化。如需更多信息,请参阅 spod 守护进程中启用内存优化。注意默认情况下不启用 SPO 内存优化。
- 守护进程资源要求现在可以配置。如需更多信息,请参阅自定义守护进程资源要求。
-
优先级类名称现在可以在
spod
配置中配置。如需更多信息,请参阅为 spod 守护进程 pod 设置自定义优先级类名称。
7.2.6.2. 弃用和删除的功能
-
现在,默认的
nginx-1.19.1
seccomp 配置集已从 Security Profiles Operator 部署中删除。
7.2.6.3. 程序错误修复
- 在以前的版本中,Security Profiles Operator (SPO) SELinux 策略不会继承容器模板的低级别策略定义。如果您选择了另一个模板,如 net_container,策略将无法正常工作,因为它只需要仅存在于容器模板中的低级别策略定义。当 SPO SELinux 策略试图将 SELinux 策略从 SPO 自定义格式转换为通用中间语言 (CIL) 格式时,会发生此问题。在这个版本中,容器模板会附加到需要从 SPO 转换到 CIL 的任何 SELinux 策略中。另外,SPO SELinux 策略可以从任何支持的策略模板中继承低级策略定义。(OCPBUGS-12879)
已知问题
-
卸载 Security Profiles Operator 时,
MutatingWebhookConfiguration
对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除MutatingWebhookConfiguration
对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)
7.2.7. Security Profiles Operator 0.5.2
以下公告可用于 Security Profiles Operator 0.5.2:
这个版本解决了底层依赖项中的 CVE。
已知问题
-
卸载 Security Profiles Operator 时,
MutatingWebhookConfiguration
对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除MutatingWebhookConfiguration
对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)
7.2.8. 安全配置集 Operator 0.5.0
以下公告可用于 Security Profiles Operator 0.5.0 :
已知问题
-
卸载 Security Profiles Operator 时,
MutatingWebhookConfiguration
对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除MutatingWebhookConfiguration
对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)