7.2. Security Profiles Operator 发行注记

Security Profiles Operator 提供了将安全计算 (seccomp) 和 SELinux 配置集定义为自定义资源,将配置集同步到给定命名空间中的每个节点。

本发行注记介绍了 OpenShift Container Platform 中 Security Profiles Operator 的开发。

如需 Security Profiles Operator 的概述,请参阅安全配置集 Operator 概述

7.2.1. Security Profiles Operator 0.7.1

以下公告可用于 Security Profiles Operator 0.7.1:

7.2.1.1. 新功能及功能增强

  • Security Profiles Operator (SPO) 现在会自动为 RHEL 8 和 9 的 RHCOS 系统选择适当的 selinuxd 镜像。

    重要

    为断开连接的环境镜像镜像必须镜像 Security Profiles Operator 提供的 selinuxd 镜像。

  • 现在,您可以在 spod 守护进程中启用内存优化。如需更多信息,请参阅 spod 守护进程中启用内存优化

    注意

    默认情况下不启用 SPO 内存优化。

  • 守护进程资源要求现在可以配置。如需更多信息,请参阅自定义守护进程资源要求
  • 优先级类名称现在可以在 spod 配置中配置。如需更多信息,请参阅为 spod 守护进程 pod 设置自定义优先级类名称

7.2.1.2. 弃用和删除的功能

  • 现在,默认的 nginx-1.19.1 seccomp 配置集已从 Security Profiles Operator 部署中删除。

7.2.1.3. 程序错误修复

  • 在以前的版本中,Security Profiles Operator (SPO) SELinux 策略不会继承容器模板的低级别策略定义。如果您选择了另一个模板,如 net_container,策略将无法正常工作,因为它只需要仅存在于容器模板中的低级别策略定义。当 SPO SELinux 策略试图将 SELinux 策略从 SPO 自定义格式转换为通用中间语言 (CIL) 格式时,会发生此问题。在这个版本中,容器模板会附加到需要从 SPO 转换到 CIL 的任何 SELinux 策略中。另外,SPO SELinux 策略可以从任何支持的策略模板中继承低级策略定义。(OCPBUGS-12879)
已知问题
  • 卸载 Security Profiles Operator 时,MutatingWebhookConfiguration 对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除 MutatingWebhookConfiguration 对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)

7.2.2. Security Profiles Operator 0.5.2

以下公告可用于 Security Profiles Operator 0.5.2:

这个版本解决了底层依赖项中的 CVE。

已知问题
  • 卸载 Security Profiles Operator 时,MutatingWebhookConfiguration 对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除 MutatingWebhookConfiguration 对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)

7.2.3. 安全配置集 Operator 0.5.0

以下公告可用于 Security Profiles Operator 0.5.0 :

已知问题
  • 卸载 Security Profiles Operator 时,MutatingWebhookConfiguration 对象不会被删除,必须手动删除。作为临时解决方案,在卸载 Security Profiles Operator 后删除 MutatingWebhookConfiguration 对象。这些步骤在卸载安全配置集 Operator 中定义。(OCPBUGS-4687)