2.5. Red Hat Windows Machine Config Operator 3.1.0 릴리스 노트

출시 날짜: 2021-09-21

이제 버그 수정 및 새로운 기능으로 WMCO 3.1.0을 사용할 수 있습니다. WMCO의 구성 요소는 RHBA-2021:3215 로 출시되었습니다.

2.5.1. 새로운 기능

2.5.1.1. Browser-your-Own-Host (B¢H) Windows 인스턴스 사용

이제 기존 Windows 인스턴스를 OpenShift Container Platform 클러스터에 컴퓨팅 노드로 추가할 수 있습니다. 이를 위해서는 WMCO 네임스페이스에 구성 맵을 생성해야 합니다.

BœH Windows 인스턴스는 다음 플랫폼의 설치 관리자 프로비저닝 인프라에서 지원됩니다.

  • AWS(Amazon Web Services)
  • Microsoft Azure
  • VMware vSphere

BœH Windows 인스턴스는 다음 플랫폼의 install-config.yaml 파일에는 platform: none 필드가 설정된 경우에만 사용자 프로비저닝 인프라에서 지원됩니다.

  • VMware vSphere
  • 베어 메탈

B¢H Windows 인스턴스 구성 방법에 대한 자세한 내용은 BH Windows 인스턴스 구성을 참조하십시오.

2.5.2. 버그 수정

  • VMware vSphere에 설치된 클러스터의 경우 WMCO는 삭제 단계 알림 이벤트를 무시하고 windows-exporter 지표 끝점에 잘못된 노드 정보를 남겨 둡니다. 이로 인해 Prometheus 지표 끝점에 대한 잘못된 매핑이 발생했습니다. 이 버그가 수정되었습니다. 이제 WMCO가 삭제 단계 알림 이벤트를 인식하고 Prometheus 지표 끝점을 적절하게 매핑합니다. (BZ#1995341)

2.5.3. 확인된 문제

  • 구성 맵의 DNS 이름 항목을 사용하여 BœH Windows 인스턴스를 설치할 때 WMCO는 인스턴스를 Ready 노드로 표시하기 전에 인스턴스를 두 번 구성합니다. 이 문제는 향후 WMCO 릴리스에서 해결될 예정입니다. (BZ#2005360)

  • Linux 기반 포드의 보안 컨텍스트에 RunAsUser 권한이 설정된 경우 예상 파일에는 컨테이너 사용자 소유권을 포함하여 올바른 권한이 설정되어 있습니다. 그러나 Windows와 동등한 RunAsUsername 권한이 Windows Pod에 설정된 경우 kubelet은 예상 볼륨의 파일에 올바른 소유권을 설정하지 못합니다. 모범 사례가 따르지 않는 hostPath 볼륨 과 함께 사용하면 이 문제가 발생할 수 있습니다. 예를 들어 Pod에서 C:\var\lib\kubelet\pods\pods\ 폴더에 대한 액세스 권한을 부여하면 Pod가 다른 Pod의 서비스 계정 토큰에 액세스할 수 있습니다.

    기본적으로 이 예제와 같이 예상된 파일은 다음과 같은 소유권을 갖게 됩니다. Windows 예상 볼륨 파일은 다음과 같습니다. 

    Path   : Microsoft.PowerShell.Core\FileSystem::C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt
Owner  : BUILTIN\Administrators
Group  : NT AUTHORITY\SYSTEM
Access : NT AUTHORITY\SYSTEM Allow  FullControl
         BUILTIN\Administrators Allow  FullControl
         BUILTIN\Users Allow  ReadAndExecute, Synchronize
Audit  :
Sddl   : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)

    이는 ContainerAdministrator 역할과 같은 모든 관리자 사용자에게 읽기, 쓰기, 실행 액세스 권한이 있음을 나타내지만 관리자 이외의 사용자는 읽기 및 실행 액세스 권한을 갖습니다.

    중요

    OpenShift Container Platform은 운영 체제와 관계없이 RunAsUser 보안 컨텍스트를 모든 Pod에 적용합니다. 즉, Windows Pod에는 보안 컨텍스트에 자동으로 RunAsUser 권한이 적용됩니다.

    또한 기본 RunAsUser 권한이 설정된 예상 볼륨으로 Windows Pod가 생성되면 Pod는 ContainerCreating 단계에 남아 있습니다.

    이러한 문제를 처리하기 위해 OpenShift Container Platform은 Pod의 보안 컨텍스트에 설정된 예상 서비스 계정 볼륨에서 파일 권한을 Windows에서 예상 볼륨에 대해 처리하지 않도록 강제 적용합니다. Windows Pod에 대한 이 동작은 OpenShift Container Platform 4.7 이전의 모든 Pod 유형에서 작동하는 데 사용되는 파일 권한 처리 방법입니다. (BZ#1971745)