7.2. Security Profiles Operator 发行注记


Security Profiles Operator 提供了将安全计算 (seccomp) 和 SELinux 配置集定义为自定义资源,将配置集同步到给定命名空间中的每个节点。

本发行注记介绍了 OpenShift Container Platform 中 Security Profiles Operator 的开发。

有关 Security Profiles Operator 的概述,请参阅 xref:[Security Profiles Operator Overview]。

7.2.1. Security Profiles Operator 0.8.6

以下公告可用于 Security Profiles Operator 0.8.6 :

在这个版本中,底层基础镜像中的升级的依赖项包括。

7.2.2. Security Profiles Operator 0.8.5

以下公告可用于 Security Profiles Operator 0.8.5:

7.2.2.1. 程序错误修复

  • 当尝试从 web 控制台安装 Security Profile Operator 时,启用 Operator 推荐集群监控的选项对命名空间不可用。在这个版本中,您可以在命名空间中启用 Operator-recommend 集群监控。(OCPBUGS-37794)
  • 在以前的版本中,Security Profiles Operator 在 OperatorHub 中可以会出现间歇性不可见的情况,这会限制通过 Web 控制台安装 Operator。在这个版本中,OperatorHub 中存在 Security Profiles Operator。

7.2.3. Security Profiles Operator 0.8.4

以下公告可用于 Security Profiles Operator 0.8.4 :

这个版本解决了底层依赖项中的 CVE。

7.2.3.1. 新功能及功能增强

7.2.4. Security Profiles Operator 0.8.2

以下公告可用于 Security Profiles Operator 0.8.2:

7.2.4.1. 程序错误修复

  • 在以前的版本中,SELinuxProfile 对象不会从同一命名空间中继承自定义属性。在这个版本中,这个问题已被解决,SELinuxProfile 对象属性会从与预期相同的命名空间继承。(OCPBUGS-17164)
  • 在以前的版本中,RawSELinuxProfiles 会在创建过程中挂起,且不会达到 Installed 状态。在这个版本中,这个问题已被解决,RawSELinuxProfiles 已被成功创建。(OCPBUGS-19744)
  • 在以前的版本中,将 enableLogEnricher 应用到 true 会导致 seccompProfile log-enricher-trace pod 处于 Pending 状态。在这个版本中,log-enricher-trace pod 会如预期到达 Installed 状态。(OCPBUGS-22182)
  • 在以前的版本中,Security Profiles Operator 生成高卡性指标,从而导致 Prometheus pod 使用大量内存。在这个版本中,以下指标将不再在 Security Profiles Operator 命名空间中应用:

    • rest_client_request_duration_seconds
    • rest_client_request_size_bytes
    • rest_client_response_size_bytes

      (OCPBUGS-22406)

7.2.5. Security Profiles Operator 0.8.0

以下公告可用于 Security Profiles Operator 0.8.0:

7.2.5.1. 程序错误修复

  • 在以前的版本中,当试图在断开连接的集群中安装 Security Profiles Operator 时,因为 SHA 重新标记问题,提供的安全哈希值不正确。在这个版本中,SHA 与断开连接的环境保持一致。(OCPBUGS-14404)

7.2.6. Security Profiles Operator 0.7.1

以下公告可用于 Security Profiles Operator 0.7.1:

7.2.6.1. 新功能及功能增强

  • Security Profiles Operator (SPO) 现在会自动为 RHEL 8 和 9 的 RHCOS 系统选择适当的 selinuxd 镜像。

    重要

    为断开连接的环境镜像镜像必须镜像 Security Profiles Operator 提供的 selinuxd 镜像。

  • 现在,您可以在 spod 守护进程中启用内存优化。如需更多信息,请参阅 spod 守护进程中启用内存优化

    注意

    默认情况下不启用 SPO 内存优化。

  • 守护进程资源要求现在可以配置。如需更多信息,请参阅自定义守护进程资源要求
  • 优先级类名称现在可以在 spod 配置中配置。如需更多信息,请参阅为 spod 守护进程 pod 设置自定义优先级类名称

7.2.6.2. 弃用和删除的功能

  • 现在,默认的 nginx-1.19.1 seccomp 配置集已从 Security Profiles Operator 部署中删除。

7.2.6.3. 程序错误修复

  • 在以前的版本中,Security Profiles Operator (SPO) SELinux 策略不会继承容器模板的低级别策略定义。如果您选择了另一个模板,如 net_container,策略将无法正常工作,因为它只需要仅存在于容器模板中的低级别策略定义。当 SPO SELinux 策略试图将 SELinux 策略从 SPO 自定义格式转换为通用中间语言 (CIL) 格式时,会发生此问题。在这个版本中,容器模板会附加到需要从 SPO 转换到 CIL 的任何 SELinux 策略中。另外,SPO SELinux 策略可以从任何支持的策略模板中继承低级策略定义。(OCPBUGS-12879)
已知问题
  • 卸载 Security Profiles Operator 时,MutatingWebhookConfiguration 对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除 MutatingWebhookConfiguration 对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)

7.2.7. Security Profiles Operator 0.5.2

以下公告可用于 Security Profiles Operator 0.5.2:

这个版本解决了底层依赖项中的 CVE。

已知问题
  • 卸载 Security Profiles Operator 时,MutatingWebhookConfiguration 对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除 MutatingWebhookConfiguration 对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)

7.2.8. 安全配置集 Operator 0.5.0

以下公告可用于 Security Profiles Operator 0.5.0 :

已知问题
  • 卸载 Security Profiles Operator 时,MutatingWebhookConfiguration 对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除 MutatingWebhookConfiguration 对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.