3.3. 마이그레이션 고려 사항

OpenShift Container Platform 3.11에서 OpenShift Container Platform 4로 전환하는 데 영향을 줄 수 있는 변경 사항 및 기타 고려 사항을 검토하십시오.

3.3.1. 스토리지 고려 사항

OpenShift Container Platform 3.11에서 OpenShift Container Platform 4.12로 전환할 때 고려할 다음 스토리지 변경 사항을 검토하십시오.

로컬 볼륨 영구저장장치

로컬 스토리지는 OpenShift Container Platform 4.12에서 Local Storage Operator를 사용하는 경우에만 지원됩니다. OpenShift Container Platform 3.11의 로컬 프로비저닝 방법은 사용할 수 없습니다.

자세한 내용은 로컬 볼륨을 사용한 영구저장장치를 참조하십시오.

FlexVolume 영구저장장치

FlexVolume 플러그인 위치가 OpenShift Container Platform 3.11에서 변경되었습니다. OpenShift Container Platform 4.12의 새 위치는 /etc/kubernetes/kubelet-plugins/volume/exec 입니다. 연결 가능한 FlexVolume 플러그인은 더 이상 지원되지 않습니다.

자세한 내용은 FlexVolume을 사용한 영구저장장치를 참조하십시오.

CSI(Container Storage Interface) 영구저장장치

CSI(Container Storage Interface)를 사용하는 영구저장장치는 OpenShift Container Platform 3.11의 기술 프리뷰였습니다. OpenShift Container Platform 4.12에는 여러 CSI 드라이버가 포함되어 있습니다. 자체 드라이버를 설치할 수도 있습니다.

자세한 내용은 CSI(Container Storage Interface)를 사용한 영구저장장치를 참조하십시오.

Red Hat OpenShift Data Foundation

OpenShift Container Platform 3.11에서 사용할 수 있는 OpenShift Container Storage 3에서는 Red Hat Gluster Storage를 백업 스토리지로 사용합니다.

OpenShift Container Platform 4에서 사용할 수 있는 Red Hat OpenShift Data Foundation 4는 Red Hat Ceph Storage를 백업 스토리지로 사용합니다.

자세한 내용은 Red Hat OpenShift Data Foundation을 사용한 영구저장장치상호 운용 목록 문서를 참조하십시오.

영구저장장치 옵션 지원 중단

OpenShift Container Platform 3.11의 다음 영구 스토리지 옵션에 대한 지원이 OpenShift Container Platform 4.12에서 변경되었습니다.

  • GlusterFS는 더 이상 지원되지 않습니다.
  • 독립 실행형 CephFS는 더 이상 지원되지 않습니다.
  • 독립 실행형 Ceph RBD는 더 이상 지원되지 않습니다.

OpenShift Container Platform 3.11에서 이 중 하나를 사용한 경우 OpenShift Container Platform 4.12에서 완벽하게 지원하려면 다른 영구저장장치 옵션을 선택해야 합니다.

자세한 내용은 영구 스토리지 이해를 참조하십시오.

CSI 드라이버로 인트리 볼륨 마이그레이션

OpenShift Container Platform 4는 인트리(in-tree) 볼륨 플러그인을 CSI(Container Storage Interface)로 마이그레이션하고 있습니다. OpenShift Container Platform 4.12에서 CSI 드라이버는 다음 인트리(in-tree) 볼륨 유형의 새로운 기본값입니다.

  • AWS(Amazon Web Services) EBS(Elastic Block Storage)
  • Azure Disk
  • GCP PD(Google Cloud Platform Persistent Disk)
  • OpenStack Cinder

생성, 삭제, 마운트 및 마운트 해제와 같은 볼륨 라이프사이클의 모든 측면은 CSI 드라이버에 의해 처리됩니다.

자세한 내용은 CSI 자동 마이그레이션 을 참조하십시오.

3.3.2. 네트워킹 고려 사항

OpenShift Container Platform 3.11에서 OpenShift Container Platform 4.12로 전환할 때 고려할 다음 네트워킹 변경 사항을 검토하십시오.

네트워크 격리 모드

OpenShift Container Platform 3.11의 기본 네트워크 격리 모드는 ovs-subnet이지만 사용자는 ovn-multitenant를 사용하도록 자주 전환했습니다. OpenShift Container Platform 4.12의 기본 네트워크 격리 모드는 네트워크 정책에서 제어합니다.

OpenShift Container Platform 3.11 클러스터가 ovs-subnet 또는 ovs-multitenant 모드를 사용한 경우 OpenShift Container Platform 4.12 클러스터의 네트워크 정책으로 전환하는 것이 좋습니다. 네트워크 정책은 업스트림에서 지원되며 보다 유연하고 ovs-multitenant의 기능을 제공합니다. OpenShift Container Platform 4.12에서 네트워크 정책을 사용하는 동안 ovs-multitenant 동작을 유지하려면 단계에 따라 네트워크 정책을 사용하여 다중 테넌트 격리를 구성합니다.

자세한 내용은 네트워크 정책 정보를 참조하십시오.

Red Hat OpenShift Networking에서 기본 네트워킹 플러그인으로 OVN-Kubernetes

OpenShift Container Platform 3.11에서 OpenShift SDN은 Red Hat OpenShift Networking의 기본 네트워킹 플러그인이었습니다. OpenShift Container Platform 4.12에서 OVN-Kubernetes는 이제 기본 네트워킹 플러그인입니다.

OpenShift SDN에서 OVN-Kubernetes로 마이그레이션하는 방법에 대한 자세한 내용은 OpenShift SDN 네트워크 플러그인에서 마이그레이션을 참조하십시오.

3.3.3. 로깅 고려 사항

OpenShift Container Platform 3.11에서 OpenShift Container Platform 4.12로 전환할 때 고려할 다음 로깅 변경 사항을 검토하십시오.

OpenShift Logging 배포

OpenShift Container Platform 4는 클러스터 로깅 사용자 정의 리소스를 사용하여 OpenShift 로깅을 위한 간단한 배포 메커니즘을 제공합니다.

자세한 내용은 OpenShift 로깅 설치를 참조하십시오.

집계된 로깅 데이터

OpenShift Container Platform 3.11에서 새로운 OpenShift Container Platform 4 클러스터로 집계 로깅 데이터를 전환할 수 없습니다.

자세한 내용은 OpenShift 로깅 정보를 참조하십시오.

지원되지 않는 로깅 구성

OpenShift Container Platform 3.11에서 사용 가능한 일부 로깅 구성은 OpenShift Container Platform 4.12에서 더 이상 지원되지 않습니다.

명시적으로 지원되지 않는 로깅 사례에 대한 자세한 내용은 로깅 지원 설명서 를 참조하십시오.

3.3.4. 보안 고려 사항

OpenShift Container Platform 3.11에서 OpenShift Container Platform 4.12로 전환할 때 고려할 다음 보안 변경 사항을 검토하십시오.

검색 끝점에 인증되지 않은 액세스

OpenShift Container Platform 3.11에서 인증되지 않은 사용자는 검색 끝점(예: /api/*/apis/* )에 액세스할 수 있습니다. 보안상의 이유로 검색 끝점에 대해 인증되지 않은 액세스는 더 이상 OpenShift Container Platform 4.12에서 허용되지 않습니다. 인증되지 않은 액세스를 허용해야 하는 경우 필요에 따라 RBAC 설정을 구성할 수 있습니다. 그러나 내부 클러스터 구성 요소가 외부 네트워크에 노출될 수 있으므로 보안 관련 사항을 고려해야 합니다.

ID 공급자

다음과 같이 눈에 띄는 변경 사항을 포함하여 OpenShift Container Platform 4의 ID 공급자 구성이 변경되었습니다.

  • OpenShift Container Platform 4.12의 요청 헤더 ID 공급자에는 상호 TLS가 필요하지만 OpenShift Container Platform 3.11에서는 그렇지 않습니다.
  • OpenShift Container Platform 4.12에서는 OpenID Connect ID 공급자의 구성이 간소화되었습니다. 이제 공급자의 /.well-known/openid-configuration 끝점에서 이전에 OpenShift Container Platform 3.11에 지정했던 데이터를 가져옵니다.

자세한 내용은 ID 공급자 구성 이해를 참조하십시오.

OAuth 토큰 스토리지 형식

새로 생성된 OAuth HTTP 전달자 토큰이 더 이상 OAuth 액세스 토큰 오브젝트의 이름과 일치하지 않습니다. 이제 오브젝트 이름은 전달자 토큰의 해시이며 더 이상 민감하지 않습니다. 이렇게 하면 민감한 정보가 유출될 위험이 줄어 듭니다.

기본 보안 컨텍스트 제약 조건

OpenShift Container Platform 4의 restricted SCC(보안 컨텍스트 제약 조건)는 OpenShift Container Platform 3.11에서 restricted SCC로 인증된 사용자가 더 이상 액세스할 수 없습니다. 이제 restricted SCC보다 더 제한적인 restricted-v2 SCC에 인증된 광범위한 액세스 권한이 부여됩니다. restricted SCC는 여전히 존재합니다. 이 태그를 사용하려는 사용자에게는 특별히 해당 SCC를 수행할 권한이 부여되어야 합니다.

자세한 내용은 보안 컨텍스트 제약 조건 관리를 참조하십시오.

3.3.5. 모니터링 고려 사항

OpenShift Container Platform 3.11에서 OpenShift Container Platform 4.12로 전환할 때 다음 모니터링 변경 사항을 검토하십시오. Hawkular 구성 및 메트릭을 Prometheus로 마이그레이션할 수 없습니다.

인프라 가용성 모니터링을 위한 경고

OpenShift Container Platform 3.11에서는 모니터링 구조의 가용성을 보장하기 위해 트리거되는 기본 경고를 DeadMansSwitch라고 합니다. OpenShift Container Platform 4에서는 이름이 Watchdog으로 변경되었습니다. OpenShift Container Platform 3.11에서 이 경고와 함께 PagerDuty 통합을 설정한 경우 OpenShift Container Platform 4에서 Watchdog 경고에 대한 PagerDuty 통합을 설정해야 합니다.

자세한 내용은 사용자 정의 Alertmanager 구성 적용을 참조하십시오.