Red Hat OpenShift 4.20: 가상화 및 엔터프라이즈 AI 혁신 가속화

Red Hat OpenShift 4.20이 정식 출시되었습니다. 이 릴리스는 쿠버네티스 1.33 및 CRI-O 1.33을 기반으로 하며, Red Hat OpenShift Platform Plus와 함께 신뢰할 수 있고, 포괄적이며, 일관된 애플리케이션 플랫폼을 제공하겠다는 Red Hat의 약속을 강조합니다. OpenShift에서는 AI 워크로드, 컨테이너, 가상화가 원활하게 공존하므로 기업은 보안을 저해하지 않고 하이브리드 클라우드 전반에서 더 빠르게 혁신할 수 있습니다.

자체 관리형 또는 완전 관리형 클라우드 서비스 에디션으로 제공되는 OpenShift는 클라우드 네이티브, AI, 가상 및 기존 워크로드 모두를 위한 완전한 통합 툴 및 서비스 세트를 갖춘 애플리케이션 플랫폼을 제공합니다. 이 문서에서는 OpenShift 4.20의 최신 혁신 사항과 주요 개선 사항을 중점적으로 살펴봅니다. 전체 업데이트 및 개선 사항 목록은 OpenShift 4.20 릴리스 노트를 참조하세요.

이 최신 릴리스는 LeaderWorkerSet, Gateway API 추론 확장, 런타임 Open Container Initiative(OCI) 이미지 볼륨 소스의 정식 출시를 통해 AI 워크로드를 위한 플랫폼의 기능을 강화합니다. 또한 핵심 기능을 강화하여 사용자 정의 외부 Identity 공급업체, Zero Trust Workload Identity Manager, 사용자 네임스페이스, External Secrets Operator for Red Hat OpenShift, BGP(Border Gateway Protocol) 지원과 같은 중요한 개선 사항을 도입합니다. 또한 OpenShift 4.20은 CPU 부하 인식 리밸런싱과 더 빠른 실시간 마이그레이션 등 가상화의 주요 개선 사항을 통해 다양한 컴퓨팅 요구 사항을 충족하는 더욱 강력하고 다재다능한 플랫폼을 제공합니다.

OpenShift 4.20은 이제 PQC(post-quantum cryptography)에 대한 지원을 추가하는 여정의 일환으로 Go 1.24 릴리스를 통해 X25519MLKEM768 하이브리드 키 교환 메커니즘을 활성화합니다. 이를 통해 API 서버, kubelet, 스케줄러, 컨트롤러 관리자와 같은 핵심 쿠버네티스 컨트롤 플레인 구성 요소 간의 TLS 통신이 강화되어 양자 기반 공격으로부터 보호할 수 있습니다.

Red Hat의 최신 릴리스인 Trusted Artifact Signer 1.3 및 Trusted Profile Analyzer 2.2는 암호화 서명 기능과 고급 공급망 분석의 강력한 조합을 제공합니다.

LeaderWorkerSet 및 JobSet를 사용하여 AI/ML 워크로드 배포 및 확장

OpenShift 4.20은 복잡한 분산형 AI 워크로드의 배포를 간소화합니다. 정식 출시된 LeaderWorkerSet을 통해 플랫폼 팀은 단일 포드의 용량을 초과하는 AI 모델을 효율적으로 배포하고 확장할 수 있으며, 리더 포드를 사용하여 작업자 포드 전반의 통신을 원활하게 오케스트레이션할 수 있습니다. 유연한 스케줄링과 내결함성을 통해 분산된 작업을 그룹화하고 관리하는 기술 프리뷰로 제공되는 JobSet와 함께, 팀은 가장 까다로운 머신 러닝 워크플로우에서도 익숙한 GitOps, 역할 기반 액세스 제어(RBAC) 및 모니터링 패턴을 활용할 수 있습니다. 이 두 플랫폼을 함께 사용하면 훈련(JobSet)과 추론(LeaderWorkerSet) 워크로드의 엔드 투 엔드 오케스트레이션을 대규모로 지원하여 OpenShift 내에서 강력하고 확장 가능하며 효율적인 AI/ML 라이프사이클 관리를 제공합니다.

Red Hat OpenShift AI 3를 통한 네이티브 AI 라우팅

AI와 머신 러닝 워크로드에는 고유한 과제가 있어 라운드 로빈과 같은 기존의 부하 분산 전략은 적합하지 않습니다. Red Hat OpenShift AI 3는 llm-d를 통한 분산 추론으로 이러한 문제를 해결하며, 이 과정에서 쿠버네티스 Gateway API Inference Extensions (GIE)를 활용합니다. OpenShift 4.20에는 쿠버네티스 Gateway API를 기반으로 구축된 GIE가 포함되어 있어 AI/ML 워크로드에 특화된 라우팅 및 트래픽 관리를 제공합니다. 애플리케이션에 이미 쿠버네티스 Gateway API를 사용하고 있다면 이제 AI 모델 서빙에 동일한 선언적 접근 방식을 적용할 수 있습니다.

GIE는 InferencePool 리소스가 생성될 때 OpenShift 4.20에서 자동으로 사용할 수 있습니다. InferencePool 리소스는 AI 또는 머신 러닝 추론 포드 세트와 특수 라우팅 로직을 포함하는 "엔드포인트 선택기"를 나타냅니다. Red Hat OpenShift AI 3의 일부인 llm-d 추론 스케줄러는 모델 서버 프로토콜을 사용하여 vLLM에서 노출된 텔레메트리 데이터를 캡처함으로써, 특정 시점에 사용 가능한 최적의 모델 인스턴스를 기반으로 스마트한 라우팅 의사 결정을 지원하는 엔드포인트 선택기 역할을 합니다.

GIE는 OpenShift Service Mesh 3.2를 통해 Envoy 프록시가 지원하는 Istio의 게이트웨이 구현을 사용하여 구현됩니다. 현재는 Red Hat OpenShift AI 3에서만 지원됩니다. GIE를 사용하면 동일한 GitOps 파이프라인과 RBAC 정책을 통해 AI 워크로드를 관리할 수 있습니다. 단일 모델을 서빙하든 복잡한 다중 모델 추론 파이프라인을 오케스트레이션하든 GIE는 한때 전문화된 AI 인프라를 클러스터의 또 다른 경로로 전환합니다.

포드를 건드리지 않고 AI 모델 업데이트

LLM과 ML 모델은 10GB를 초과하는 경우가 많아 컨테이너 재구축 속도가 느리고 스토리지를 많이 사용하게 됩니다. 더 이상 AI 모델이 업데이트될 때마다 컨테이너를 다시 빌드할 필요가 없습니다. OpenShift 4.20에서는 컨테이너 레지스트리에서 볼륨으로 직접 모델 가중치를 마운트할 수 있으므로 데이터 사이언티스트는 모델 서빙 컨테이너를 변경하지 않고도 새 모델 버전을 레지스트리에 푸시할 수 있습니다. 포드 사양에서 OCI 이미지를 참조하기만 하면 OpenShift에서 나머지를 처리합니다. 이제 모델은 코드와 별도로 버전 관리가 가능한 아티팩트가 되고, 익숙한 레지스트리 인증을 사용하여 온디맨드로 풀링되며, 성능을 위해 로컬로 캐시되고, 배포에 영향을 주지 않고 업데이트됩니다.

자연어를 사용하여 OpenShift 또는 쿠버네티스 클러스터와 채팅

OpenShift 및 Kubernetes용 쿠버네티스 Model Context Protocol (MCP) 서버의 개발자 프리뷰를 발표하게 되어 기쁩니다. 쿠버네티스 MCP 서버는 VS Code, Microsoft Copilot, Cursor와 같은 AI 어시스턴트를 OpenShift 및 Kubernetes 환경과 연결하여 인프라 관리를 혁신합니다. 포괄적인 CRUD 작업, 고급 포드 관리, Helm 통합, 교차 플랫폼 배포 기능을 갖춘 쿠버네티스 MCP 서버는 자연어 쿼리를 통해 클러스터 관리와 트러블슈팅을 혁신합니다.

또한 MCP를 통해 OpenShift Lightspeed에 인시던트 감지 기능을 통합했습니다. 이를 통해 인시던트 분석을 대화형 인터페이스로 직접 가져와 클러스터 문제를 탐색하고 해결하는 방식을 바꿉니다.

NVIDIA Bluefield DPU로 AI 워크로드 가속화

기술 프리뷰로 제공되는 Red Hat OpenShift와 NVIDIA Bluefield DPU는 AI, 통신 및 엔터프라이즈 워크로드를 위한 보안, 라우팅, 스토리지 솔루션 배포에 대한 간소화된 접근 방식을 제공합니다. 이 솔루션은 인프라 및 애플리케이션 워크로드에 대한 하드웨어 가속화와 보안 격리를 강조하여 리소스 활용도를 높이고 서버 용량을 극대화합니다. Bluefield 데이터 처리 장치(DPU)는 NVIDIA의 Spectrum-X 및 AI 공장 설계에 필수적이며, 향후 OpenShift 릴리스는 NVIDIA의 Spectrum-X 솔루션 및 AI 공장 설계를 원활하게 배포하고 오케스트레이션할 수 있도록 지원할 예정입니다.

네이티브 OIDC 지원으로 Identity 관리 간소화

이제 OpenShift 4.20에서 외부 OpenID Connect(OIDC) ID 공급업체와 직접 통합하여 인증을 위한 토큰을 발급할 수 있으므로 인증 시스템을 더 효과적으로 제어할 수 있습니다. 외부 OIDC 공급업체와 직접 통합하면 기본 제공 OAuth 서버의 기능으로 제한되는 대신 선호하는 OIDC 공급업체의 고급 기능을 활용할 수 있습니다. 조직은 단일 인터페이스에서 사용자와 그룹을 관리하는 동시에 여러 클러스터와 하이브리드 환경에서 인증을 간소화할 수 있습니다.

OpenShift에서 제로 트러스트로 워크로드 Identity 관리

Zero Trust Workload Identity Manager는 몇 주 내에 OpenShift 4.20에서 정식 출시될 예정입니다. Zero Trust Workload Identity Manager는 모든 워크로드에 대해 런타임에서 입증되고 암호화 방식으로 검증 가능한 Identity를 제공합니다. SPIFFE/SPIRE를 기반으로 구축된 Zero Trust Workload Identity Manager는 워크로드 자동 등록, 하이브리드 및 멀티클라우드 환경 전반의 보편적인 신뢰를 위한 SPIRE-to-SPIRE Federation, 기존 엔터프라이즈 Identity 시스템과의 통합을 위한 OIDC Federation, 그리고 Hashicorp Vault 통합을 통한 시크릿리스 인증과 같은 핵심 기능을 제공합니다.

Zero Trust Workload Identity Manager는 보편적인 신뢰를 구축하고, 정적 비밀 정보를 제거하며, 보안 중심의 워크로드 간 통신을 위해 단기적이고 검증 가능한 Identity를 지원합니다. 이 플랫폼은 기존 서비스에서 이머징 에이전틱 AI 시스템에 이르기까지 모든 클라우드 네이티브 워크로드에 일관된 런타임 증명 Identity를 제공하여 모든 워크로드 작업에 대한 책임성과 추적성을 보장하고 전체 애플리케이션 환경에서 Zero Trust 아키텍처의 기반을 형성합니다. Zero Trust Workload Identity Manager를 두 개 이상의 클러스터에서 사용하는 경우 크로스 클라우드 워크로드 Identity 관리를 활성화하려면 OpenShift Platform Plus, Red Hat Advanced Cluster Security for Kubernetes 또는 Red Hat Advanced Cluster Management 서브스크립션이 필요합니다. 

External Secrets Operator로 암호 관리 간소화

OpenShift 4.20에서 이제 ESO(External Secrets Operator for Red Hat OpenShift)가 정식 출시되었습니다. ESO는 외부 암호 관리 시스템에서 가져온 비밀 정보에 대한 라이프사이클 관리를 제공하는 클러스터 전체 서비스입니다. ESO는 AWS Secrets Manager, HashiCorp Vault, Azure Key Vault와 같은 외부 암호 관리 시스템과 통합하여 클러스터 내에서 암호 가져오기, 새로 고침, 프로비저닝을 수행함으로써, 민감한 암호가 애플리케이션이 직접 개입하지 않고도 워크로드로 더 안전하고 효율적으로 흐르도록 보장합니다.

사용자 네임스페이스로 컨테이너 권한 상승 리스크 제거

OpenShift 4.20에서 사용자 네임스페이스가 정식 출시됨에 따라 Red Hat은 향상된 격리 상태에서 워크로드를 실행하는 동시에 개발자가 현대적인 애플리케이션을 구축하는 데 필요한 유연성을 유지하도록 지원합니다. OpenShift의 사용자 네임스페이스는 컨테이너 사용자를 호스트 사용자로부터 격리하고, 권한 에스컬레이션 공격의 위험을 줄이며, 컨테이너가 호스트에서 루트가 아닌 사용자로 실행되는 동시에 작업을 위한 내부 루트 권한을 유지함으로써 보안을 크게 강화합니다. 이를 통해 멀티테넌트 환경을 더욱 안전하게 보호하고 엔터프라이즈 보안 표준에 대한 컴플라이언스를 강화할 수 있습니다.

Istio의 앰비언트 모드를 사용하여 사이드카가 없는 서비스 메쉬

OpenShift Service Mesh 3.2는 Istio의 앰비언트 모드를 통해 사이드카 없는 서비스 메쉬를 정식으로 지원합니다. 이는 Istio를 위한 완전히 새로운 데이터 플레인으로, 두 가지 수준의 프록시를 사용하여 추가 리소스 사용량을 최소화하면서 필요에 따라 서비스 메쉬 기능을 활성화합니다. 

첫 번째 프록시는 계층 4 상호 TLS 암호화, 텔레메트리, 기본 권한 부여 정책을 제공하는 노드 수준의 ztunnel('제로 트러스트를 위한 Z')입니다. 노드 프록시이지만 각 포드의 고유한 네트워크 네임스페이스 내에서 트래픽을 리디렉션하여 트래픽이 포드 수준에서 격리되고 암호화되도록 합니다. 다음 프록시는 애플리케이션 지향 웨이포인트로, HTTP 요청 유형 또는 헤더와 같은 애플리케이션 세부 사항을 기반으로 하는 정책 및 텔레메트리와 같은 레이어 7 메쉬 기능을 제공하기 위해 선택적으로 배포할 수 있습니다. 

이 아키텍처는 특히 포드 간 mTLS 암호화와 같이 ztunnel 프록시만 필요한 기능의 경우 서비스 메쉬를 실행하는 데 드는 리소스 비용을 크게 줄입니다. 자세한 내용은 OpenShift Service Mesh 3로 트래픽 및 관측성 최적화를 참조하세요. 

OpenShift Networking의 네이티브 BGP 지원

Red Hat OpenShift Networking은 이제 기본 네트워크 플러그인인 OVN-Kubernetes 내에서 네이티브 Border Gateway Protocol(BGP) 라우팅 기능을 제공합니다. 이 개선 사항은 MetalLB(외부 서비스 부하 분산) 및 Cluster Network Operator(레이어 3 네트워크 패브릭, 멀티 호밍, 링크 이중화, 빠른 수렴)에서 이전에 지원했던 네트워킹 활용 사례를 크게 확장합니다. 

OpenShift 4.20부터 BGP를 사용하면 클러스터 범위 포드 및 가상 머신(VM) 네트워크를 외부 네트워크의 BGP 라우터를 통해 BGP 지원 프로바이더 네트워크에 직접 알릴 수 있습니다. 반대로 프로바이더 네트워크에서 BGP를 통해 학습한 경로는 기본 포드 네트워크 또는 지정된 UDN(사용자 정의 네트워크)으로 다시 OVN-Kubernetes로 가져올 수 있습니다. 이러한 양방향 통합을 통해 OpenShift와 외부 네트워크 패브릭 간에 원활한 경로 교환이 가능합니다. 처음에는 베어 메탈 플랫폼에 대한 지원이 제공되며, 클라우드 플랫폼 지원은 후속 릴리스를 목표로 합니다.

확장성을 개선하기 위해 클러스터와 외부 네트워크 간에 경로 리플렉터를 선택적으로 배포할 수 있습니다. BGP 기반 경로 알림의 동적 특성과 이점을 보여주는 일반적인 예는 VM 마이그레이션 또는 페일오버 이벤트입니다. VM이 다른 노드로 이동할 때 VM은 정적 IP 주소를 유지하고, BGP 테이블은 해당 VM의 네트워크에 대해 알려진 경로를 자동으로 신속하게 업데이트하여 중단을 최소화하면서 지속적인 연결을 보장합니다.

클러스터를 업데이트하기 전에 문제 파악

OpenShift 4.20에서는 두 가지 새로운 명령을 사용하여 업데이트 전과 업데이트 중에 잠재적인 업데이트 문제를 파악할 수 있습니다. 이제 oc adm upgrade recommend<1> 및 oc adm upgrade status 명령이 정식 출시되었습니다. 

업데이트를 시작하기 전에 oc adm upgrade recommend에서 클러스터에 알려진 경고가 있는지 분석합니다. PodDisruptionBudget 한도에 도달했거나, 사용할 수 없는 클러스터 오퍼레이터 또는 노드 드레인을 지연시킬 수 있는 경고와 같이 문제를 일으키는 경고를 표시합니다. 업데이트 채널에서 사용할 수 있는 버전, 해당 릴리스의 알려진 문제, 그리고 더 중요한 것은 일반적인 클러스터 동작과 비교하여 실제로 문제가 되는 조건을 확인할 수 있습니다.

$ oc adm upgrade recommend
Failing=True:
Reason: ClusterOperatorNotAvailable
Message: Cluster operator monitoring is not available
The following conditions found no cause for concern in updating this cluster to later releases: recommended/NodeAlerts (AsExpected), recommended/PodImagePullAlerts (AsExpected)
The following conditions found cause for concern in updating this cluster to later releases: recommended/PodDisruptionBudgetAlerts/PodDisruptionBudgetAtLimit/1
recommended/PodDisruptionBudgetAlerts/PodDisruptionBudgetAtLimit/1=False:
Reason: Alert: firing
Message: warning alert PodDisruptionBudgetAtLimit firing, which might slow node drains. Namespace=openshift-monitoring, PodDisruptionBudget-prometheus-k8s. The pod disruption budget is preventing further disruption to pods. The alert description is: The pod disruption budget is at the minimum disruptions allowed level. The number of current healthy pods is equal to the desired healthy pods.
https://github.com/openshift/runbooks/blob/master/alerts/cluster-kube-controller-manager-operator/PodDisruptionBudgetAtLimit.md
Upstream update service: https://api.integration.openshift.com/api/upgrades_info/graph
Channel: candidate-4.18 (available channels: candidate-4.18, candidate-4.19, candidate-4.18, eus-4.18, fast-4.18, fast-4.19, stable-4.18, stable-4.19)
Updates to 4.18:
VERSION    ISSUES
4.18.32    no known issues relevant to this cluster
4.18.30    no known issues relevant to this cluster
And 2 older 4.18 updates you can see with '--show-outdated-releases' or '--version VERSION'.

업데이트 후 oc adm upgrade status는 컨트롤 플레인 및 작업자 노드 진행 상황, 완료율, 예상 시간, 문제 발생 시 경고 등 현재 상황을 사용자에게 실시간으로 표시합니다. 두 명령 모두 읽기 전용이며 OpenShift 클러스터에서 아무것도 변경하지 않습니다. 자세한 내용은 CLI를 사용하여 클러스터 업데이트를 참조하세요.

2노드 OpenShift로 엣지 배포 최적화

아비터 기능이 있는 2노드 OpenShift로 엣지 배포를 간소화하세요. 이는 표준 3노드 OpenShift 클러스터와 동일한 고가용성 특성을 제공하며, 쿼럼을 위한 경량 아비터 노드로 보완되는 두 개의 전체 크기 서버만 필요로 합니다. 

Arbiter 노드는 2개의 vCPU와 8GB 메모리만으로 쿼럼을 위한 세 번째 etcd 인스턴스로 실행됩니다. 한편, 두 개의 전체 크기 노드는 모든 실제 워크로드를 처리하고, 소규모 아비터는 클러스터가 가용성을 유지하면서 단일 노드 장애를 허용할 수 있도록 합니다. 두 개의 베어 메탈 서브스크립션만 필요하며, Arbiter 노드는 라이센싱 비용에 영향을 주지 않습니다. 자세한 내용은 Red Hat OpenShift와 Portworx/Pure Storage가 제공하는 효율적인 2노드 엣지 인프라에서 자세히 알아보세요.

Red Hat OpenShift Virtualization 4.20의 부하 인식 리밸런싱 및 더 빠른 VM 마이그레이션

이제 Red Hat OpenShift Virtualization 4.20의 CPU 압력을 기반으로 한 부하 인식 리밸런싱도 정식 출시되었습니다. 이렇게 하면 노드의 실시간 리소스 사용률을 동적으로 고려하고 과도하게 사용된 노드에서 가용 용량이 있는 노드로 VM을 마이그레이션하여 클러스터 노드 전반의 워크로드 분산을 개선합니다.

또한 OpenShift Virtualization은 멀티클러스터 기능을 통해 VM 관리를 간소화하고, 주요 스토리지 벤더 솔루션의 스토리지 오프로딩 기능을 갖춘 가상화를 위한 마이그레이션 툴킷을 통해 OpenShift로의 마이그레이션 속도를 향상하며, 특정 노드로의 실시간 마이그레이션 및 확장된 Arm 지원을 제공합니다. L2 사용자 정의 네트워크를 위한 BGP와 같은 네트워킹 개선 사항은 가상화된 워크로드의 효율성과 유연성을 더욱 향상합니다.

Oracle Cloud Infrastructure에서 가상화 워크로드 확장

이제 Oracle Cloud Infrastructure의 베어 메탈 인스턴스 기반 OpenShift Virtualization이 정식 출시되었습니다. 따라서 공동 고객은 OCI의 분산 클라우드를 통해 어느 위치에서나 VM 워크로드를 실행할 수 있는 유연성을 확보할 수 있습니다. 자세한 내용은 OCI에서 규모에 따른 가상화의 실현을 참조하세요.

OpenShift를 Oracle 소버린 클라우드로 확장

마지막으로, OpenShift는 Oracle Cloud Infrastructure에 대한 지원을 확장하며, 특히 Oracle EU Sovereign Cloud, Oracle US Government Cloud, Oracle Cloud for UK Government & Defence, Oracle Cloud 격리 지역, Oracle Alloy와 같은 소버린 클라우드를 강조합니다. 이러한 개선 사항을 통해 조직은 OpenShift를 클라우드에 배포할 때 데이터 주권, 규제 컴플라이언스, 보안 강화와 같은 전문화된 클라우드 환경 내의 중요한 요구 사항을 해결할 수 있도록 더 큰 유연성과 선택권을 확보합니다. 자세한 내용은 확장된 Oracle Cloud Infrastructure Support에서 확인하세요.

지금 바로 Red Hat OpenShift 4.20 체험하기

지금 바로 Red Hat Hybrid Cloud Console을 시작하고 OpenShift의 최신 기능과 개선 사항을 활용하세요. 다음 단계에 대해 자세히 알아보려면 다음 리소스를 확인하세요:

• Red Hat OpenShift의 새로운 기능 및 다음 단계
• Red Hat OpenShift 4.20의 새로운 기능
• 새로운 OpenShift 4.20 인터랙티브 데모 체험하기
• 클라우드 환경
• OpenShift YouTube 채널
• OpenShift 블로그
• OpenShift Commons
• Red Hat 개발자 블로그
• Red Hat 포트폴리오 아키텍처 센터
• 검증된 패턴

Red Hat OpenShift 4.20 업데이트의 전체 목록은 OpenShift 4.20 릴리스 노트에서 확인할 수 있습니다. Red Hat 연락처를 통해 피드백을 보내거나 GitHub에서 이슈를 생성하세요.