Red Hat OpenShift 4.16: 알아야 할 사항

Red Hat OpenShift 4.16이 현재 상용화되었습니다. 쿠버네티스 1.29 및 CRI-O 1.29를 기반으로 하는 OpenShift 4.16은 통신 및 엣지 컴퓨팅을 위한 핵심, 보안, 가상화, 기능에 중점을 둡니다. Red Hat OpenShift는 신뢰할 수 있고 포괄적이며 일관된 플랫폼을 통해 하이브리드 클라우드 전반에서 규모에 따라 현대적인 애플리케이션 개발 및 제공을 가속화하는 것을 목표로 합니다.

Red Hat OpenShift 4.14 이상에 대한 3년 라이프사이클

애드온 서브스크립션으로 제공되는 Red Hat OpenShift 4.14 및 이후의 모든 짝수 릴리스에 대해 추가 12개월 연장 업데이트 지원(EUS) 기간을 선택적으로 이용할 수 있습니다. 이를 통해 Red Hat OpenShift의 EUS 릴리스에 사용할 수 있는 전체 라이프사이클이 이전 6개월의 EUS 기간에서 연장된 3년으로 단축됩니다. 자세한 내용은 Red Hat OpenShift Container Platform 라이프사이클 정책을 참조하세요.

Red Hat Advanced Cluster Security Cloud Service로 보안 강화를 앞당기고 확장

Red Hat Advanced Cluster Security Cloud Service는 현재 제한된 가용성에서 일반 가용성으로 승격되었습니다. Red Hat Advanced Cluster Security Cloud Service는 Red Hat OpenShift는 물론 Amazon EKS, Google GKE, Microsoft AKS 등 Red Hat 이외의 쿠버네티스 플랫폼을 모두 지원하는 전체 관리형 쿠버네티스 네이티브 보안 클라우드 서비스입니다. 이 클라우드 서비스를 사용하면 기본 쿠버네티스 플랫폼에 관계없이 하이브리드 클라우드 전반에서 클라우드 네이티브 애플리케이션을 규모에 맞게 빌드, 배포, 유지 관리하는 보안 중심 접근 방식을 취할 수 있습니다.

AWS의 자체 관리형 호스팅 컨트롤 플레인으로 비용 절감 및 클러스터 배포 시간 최적화

호스팅된 컨트롤 플레인은 버전 2.4부터 쿠버네티스 오퍼레이터의 MCE(Multicluster Engine)에서 기본적으로 활성화되었습니다. 호스팅 컨트롤 플레인이 일반적으로 Red Hat OpenShift 4.16과 함께 제공됩니다.  

호스팅된 컨트롤 플레인을 사용하면 여러 OpenShift 클러스터를 규모에 따라 더 효율적이고 경제적으로 관리할 수 있습니다. 컨트롤 플레인 관리를 중앙 집중화하여 리소스 활용도를 높이고 유지 관리를 간소화할 수 있습니다. 호스팅된 컨트롤 플레인을 사용하면 인프라 오버헤드와 관리 오버헤드를 줄이고, 클러스터 배포 시간을 최적화하고, 관리와 워크로드 간 문제를 분리하여 애플리케이션에 집중할 수 있습니다.

호스팅된 컨트롤 플레인이 있는 Red Hat OpenShift on AWS의 외부 인증 서버

이제 고유한 OpenID Connect(OIDC) 솔루션을 호스팅된 컨트롤 플레인을 통해 Red Hat OpenShift Service on AWS(ROSA)에 가져와 쿠버네티스 API 서버에서 직접 사용자와 그룹을 인증할 수 있습니다. ROSA 클러스터는 AWS Security Token Service(STS) 및 OIDC를 사용하여 클러스터 내 운영자에게 필요한 AWS 리소스에 대한 액세스 권한을 부여합니다. 외부 OIDC를 사용하여 ROSA 클러스터에 대한 액세스 간소화에서 자세히 알아보세요.

관리 네트워크 정책으로 OpenShift 클러스터 네트워킹 보안 유지

차세대 쿠버네티스 네트워크 정책은 이제 네트워킹에 OVN-쿠버네티스를 사용하는 OpenShift 배포에서 완전하게 지원됩니다. 관리 네트워크 정책 (글로벌 네트워크 정책이라고도 함)은 업스트림의 이전 네트워크 정책 구현에 대한 개선 사항을 제공합니다. 가장 많이 요청된 기능은 다음과 같습니다.

• 네임스페이스 관리자 및 개발자가 재정의할 수 없는 관리자 권한 전용 네트워크 보안 정책
• 클러스터 전체 범위. 예를 들어, 송신(egress) 정책은 한 곳에서 한 번만 정의하여 모든 클러스터 트래픽에 적용 가능
• 검증된 특정 보안 정책을 네임스페이스 관리자 및 개발자에게 위임하여 애플리케이션 개발에 필요한 네트워크 정책 유연성 확보

관리 네트워크 정책을 사용하면 다음을 수행할 수 있습니다.

• 관리자 권한 제어로 클러스터 내 테넌트 격리
• 항상 유동해야 하는 트래픽에 대한 명확한 허용 목록 생성
• 모든 클러스터 송신 트래픽에 대해 변경할 수 없는 정책 지정. 예를 들어, 검사를 위해 게이트웨이 장치를 통해 모든 트래픽을 강제로 실행할 수 있습니다.
• 특히 민감한 네임스페이스를 오가는 고도로 선택적인 트래픽 패턴에 대한 미세 분석으로 네트워크 트래픽 정책 정의

인증되지 않은 사용자 또는 그룹 액세스 감소

OpenShift 4.16부터system:anonymous 사용자 및 system:unauthenticated 그룹에 제공되는 권한에 제한이 있습니다. 기본적으로 두 개의 역할만 허용됩니다.

• system:openshift:public-info-viewer: OIDC 워크플로에 필요
• system:public-info-viewer: 클러스터에 대한 중요하지 않은 정보에 대한 읽기 전용 액세스

이는 새 클러스터에만 적용됩니다. 업그레이드된 클러스터는 영향을 받지 않습니다.

익명 액세스가 필요한 사용 사례의 경우 클러스터 관리자가 해당 권한을 명시적으로 추가해야 합니다. 예를 들어 HTTP를 통한 인증 토큰 전송을 지원하지 않는 외부 시스템(예: GitHub)에서 BuildConfigs에 웹후크를 사용하는 경우 system:webhook 권한을 명시적으로 추가해야 합니다. 이러한 시나리오에서는 clusterrole 바인딩 대신 로컬 역할 바인딩을 사용하는 것이 좋습니다. 클러스터 관리자는 관련 위험 및 이점을 평가한 후 필요에 따라 익명 사용자에 대해 ClusterRoleBinding을 다시 추가할 수 있습니다.

oc adm upgrade status로 더 쉬운 OpenShift 업데이트 문제 해결

Red Hat OpenShift 4.16에는 기술 프리뷰로 제공되는 새로운 oc adm upgrade status 명령이 포함되어 있습니다. 이 명령은 클러스터 업데이트 진행률을 표시하여 관련 없는 노이즈를 제거하고, 업데이트가 잘 진행되고 있는지 또는 사용자가 개입해야 하는지 여부를 관리자에게 보여줍니다. 업데이트 문제가 발생하는 경우 명령은 관련 리소스(예: Red Hat 설명서 또는 기술 자료 문서)에 대한 지침 및 링크와 함께 현재 상황에 대한 정보를 반환합니다.

# oc adm upgrade status
An update is in progress for 55m7s: Working towards 4.16.0: 198 of 951 done (20% complete)
= Control Plane =
Assessment:      Progressing
Completion:      97%
Duration:        55m6.974951563s
Operator Status: 36 Total, 36 Available, 1 Progressing, 0 Degraded
= Worker Upgrade =
= Worker Pool =
Worker Pool:     worker
Assessment:      Progressing
Completion:      7%
Worker Status:   42 Total, 22 Available, 20 Progressing, 39 Outdated, 19 Draining, 0 Excluded, 0 Degraded
Worker Pool Node(s)
NAME                                       ASSESSMENT    PHASE      VERSION       EST    MESSAGE
build0-gstfj-ci-builds-worker-b-25ptt      Progressing   Draining   4.16.0-ec.3   +30m   
build0-gstfj-ci-longtests-worker-b-ppxvc   Progressing   Draining   4.16.0-ec.3   +30m   
build0-gstfj-ci-prowjobs-worker-b-gvthg    Progressing   Draining   4.16.0-ec.3   +30m   
build0-gstfj-ci-tests-worker-b-7hvhq       Progressing   Draining   4.16.0-ec.3   +30m   
...
Omitted additional 32 Total, 3 Completed, 22 Available, 10 Progressing, 29 Outdated, 9 Draining, 0 Excluded, and 0 Degraded nodes.
Pass along --details to see all information.
= Update Health =
SINCE   LEVEL   IMPACT   MESSAGE
55m7s   Info    None     Upgrade is proceeding well

Microsoft Entra Workload ID로의 인플레이스 마이그레이션

자체 관리형 Red Hat OpenShift on Azure를 사용하는 경우 이제 최소한의 다운타임으로 Microsoft Entra Workload ID(이전 명칭: Azure AD Workload Identity)로 마이그레이션할 수 있습니다. Microsoft Entra Workload ID 지원은 Red Hat OpenShift 4.14에 추가되었습니다. 이 지원을 통해 고객은 제한된 임시 자격 증명을 사용하여 Red Hat OpenShift 클러스터를 생성하고 관리할 수 있습니다. 이제 새 클러스터로 다시 시작하지 않고도 Microsoft Entra Workload ID를 도입할 수 있습니다. 자세한 내용은 Microsoft Entra Workload ID를 사용하여 OpenShift 구성을 참조하십시오.

etcd 튜닝 매개 변수로 클러스터 성능 최적화

이제 etcd를 업데이트하여 클러스터에서 etcd 멤버 간 대기 시간 감소를 허용할 수 있습니다. 이 작업을 수행하려면 하트비트 간격 및 리더 선택 시간 제한에 대한 대기 시간 매개 변수를 성능을 최적화하고 대기 시간을 줄이는 값으로 설정합니다. 가능한 값은 다음과 같습니다.

• "" (the default is blank))
• Standard
• Slower

이를 통해 느리지만 허용 가능한 디스크 또는 OpenShift 성능 및 확장성 모범 사례에 해당하는 확장된 클러스터가 있을 수 있는 시나리오를 수용할 수 있습니다.

자세한 내용은 etcd 사양을 참조하십시오.

워크로드 요구 사항에 따라 클러스터 자동 확장 최적화

클러스터 자동 확장기에서 이제 LeastWast, Priority 및 Random 확장기 전략을 사용합니다. 클러스터를 확장할 때 시스템 집합 선택에 영향을 주도록 이러한 확장기를 구성합니다.

• Random: 동종(homogeneous) 클러스터에서 노드 그룹이 유사한 리소스를 제공할 때 워크로드를 균등하게 분산하는 데 적합
• LeastWast: 리소스 낭비 최소화와 효율성이 중요한 클러스터에 적합하며, 빠른 확장과 유연성이 중요한 동적 워크로드에 최적
• Priority: 사용자 정의 우선순위 기반의 정교한 확장이 필요한 경우 적합하며, 다양한 노드 그룹을 포함한 복잡한 클러스터에 유용

온프레미스 배포를 위한 자체 로드 밸런서 사용

Red Hat OpenShift 4.16을 사용하면 모든 온프레미스 인프라(베어 메탈, VMware vSphere, Red Hat OpenStack Platform, Nutanix 등)에서 클러스터와 함께 자체 사용자 관리 로드 밸런서를 사용할 수 있습니다. 이 구성의 경우 클러스터의 install-config.yaml 파일에 loadBalancer.type:UserManaged를 지정합니다. 이 기능에 대한 자세한 내용은 사용자 관리 로드 밸런서의 서비스를 참조하십시오.

고급 모니터링 및 트러블슈팅으로 클러스터 관측성 향상

Red Hat OpenShift 4.16에서는 관측성 기능이 크게 개선되어 클러스터 모니터링, 문제 해결, 최적화를 위한 향상된 툴을 제공합니다. Prometheus, Thanos 및 새로운 경고 규칙과 같은 클러스터 내 모니터링 스택 구성 요소가 업데이트되었습니다. 새로운 Metrics Server는 지표 수집을 간소화하고, 새로운 monitoring-alertmanager-view 역할은 보안과 협업을 강화합니다. 이러한 기능은 관측성을 설치하고 관리하기 위한 단일 진입점 연산자 역할을 하는 Cluster Observability Operator 버전 0.3.0에 포함되어 있습니다. 또한 이 릴리스에서는 OpenTelemetry에 대한 개선 사항과 향상된 클러스터 로깅 API 기능을 추가합니다.

클러스터 관측성 오퍼레이터는 관측성 신호의 상관 관계를 지정하는 관측성 신호 상관 관계의 새 버전, 중요한 경고의 우선 순위를 지정하는 인시던트 감지, 모놀리식 배포에 대한 Tempo 오퍼레이터 지원을 통해 분산 추적에 대한 개선 사항을 도입합니다. 이제 OpenShift 콘솔에 분산 추적 시각화가 표시됩니다.

관측성 신호 상관 관계 및 인시던트 감지는 모두 개발자 프리뷰에서 사용할 수 있습니다.기술 프리뷰에 사용할 수 있는 파워 모니터링에서 이제 개발자 UI(사용자 인터페이스) 통합을 제공하고 데이터 정확도를 개선합니다.

Red Hat OpenShift Virtualization으로 인프라 관리 현대화

Red Hat OpenShift Virtualization에서 Red Hat OpenShift Data Foundation에 배포된 스토리지를 사용하고, Red Hat Advanced Cluster Management for Kubernetes(RHACM)를 통해 관리하는 가상 머신(VM)을 위한 메트로 재해 복구의 일반 제공(general availability)을 발표하게 되어 기쁩니다.

여러 가지 VM 개선 사항이 추가되었습니다. 이제 실행 중인 VM에 선언적 방식으로 vCPU 리소스를 추가할 수 있습니다. 안전한 메모리 과다 할당으로 메모리 밀도가 향상되었으며, CPU 핫플러그를 사용하여 VM을 더 쉽게 확장할 수 있습니다.

이제 RHACM을 사용하여 다중 클러스터 VM을 모니터링할 수 있습니다. RHACM Hub에서 여러 OpenShift 클러스터의 모든 VM을 볼 수 있습니다. 모든 VM에 대한 보고서를 수집하고 신속하게 구축할 수 있습니다. 글로벌 허브 검색을 사용하는 RHACM 글로벌 허브에서는 여러 허브의 모든 VM을 볼 수 있습니다.

에코시스템은 하드웨어 파트너, 스토리지 및 네트워크 인프라 파트너, 제3사 데이터 보호 제공업체와 함께 지속적으로 성장하고 있습니다. Veeam Kasten, Trilio, Storaware 외에도 Cohesity, Commvault, Rubrik, Veritas의 향후 기능이 출시될 예정입니다.

라이프사이클 에이전트를 사용하는 단일 노드 OpenShift 클러스터의 이미지 기반 업데이트

Red Hat의 통신 파트너는 단일 노드 OpenShift에 솔루션을 배포하면서 무선 액세스 네트워크(RAN)용 컨테이너를 사용하도록 전환하고 있습니다. Red Hat OpenShift 4.16은 이미지 기반 업데이트 (IBU)를 사용하는 "쉬프트 레프트(shift left)" 접근 방식을 제공합니다. IBU는 단일 노드 OpenShift 클러스터를 업데이트하는 대체 방법을 제공합니다. 단일 노드 OpenShift 사용자는 업데이트 프로세스의 상당 부분을 사전 프로덕션 환경으로 이동하여 프로덕션 사이트에서 업데이트하는 데 소요되는 시간을 줄입니다.

IBU를 사용하면 z-stream 업데이트, 마이너 버전 업데이트는 물론 임시 버전을 건너뛰는 EUS-to-EUS 업데이트를 수행할 수 있습니다. 이 업데이트 방법은 라이프사이클 에이전트를 활용하여 타겟 단일 노드 OpenShift 클러스터에 새 ostree stateroot로 설치된 전용 시드 클러스터에서 OCI 이미지를 생성합니다. 시드 클러스터는 대상 OpenShift Container Platform 버전, 배포된 운영자 및 모든 대상 클러스터에 공통적인 구성을 사용하여 배포된 단일 노드 OpenShift 클러스터입니다. 그런 다음 시드 이미지를 사용하여 시드 클러스터와 동일한 하드웨어, 운영자 및 클러스터 구성 조합이 있는 단일 노드 OpenShift 클러스터에서 플랫폼 버전을 업데이트합니다.

또한 업데이트가 실패하거나 애플리케이션이 작동 상태로 돌아가지 않으면 업데이트 전 상태로 롤백할 수 있습니다. 참고: 이는 단일 노드 OpenShift 클러스터에만 적용됩니다. 이렇게 하면 업데이트 성공 또는 실패 시나리오에서 서비스가 최대한 빨리 복원됩니다. IBU는 Red Hat OpenShift GitOps 및 Red Hat Advanced Cluster Management를 사용하는 제로 터치 프로비저닝 플로우에 원활하게 통합됩니다.

스케일에 따라 자체 포함된 OpenShift 어플라이언스 구축

자체 포함(self-contained)된 OpenShift로 사용자 정의된 턴키 어플라이언스를 구축하고 규정된 하드웨어에 규모에 따라 서비스를 추가하려는 파트너는 이제 기술 프리뷰를 통해 제공되는 OpenShift 기반 어플라이언스 빌더를 사용하여 이를 수행할 수 있습니다. OpenShift 기반 어플라이언스 빌더는 여러 OpenShift 클러스터를 설치하는 데 사용되는 에이전트 기반 설치 프로그램을 포함하는 디스크 이미지를 빌드하는 컨테이너 기반 유틸리티입니다. 자세한 내용은 OpenShift 기반 어플라이언스 빌더 사용자 가이드를 참조하십시오.

MicroShift에 대한 향상된 네트워킹, GitOps 관리, 원활한 EUS 업데이트

MicroShift의 Red Hat 빌드에 대하여, 최신 릴리스는 엣지 관리 향상을 위한 세 가지 업데이트를 소개합니다.

1. 여러 네트워크 인터페이스를 포드에 연결 Multus CNI for MicroShift: Multus를 사용하면 쿠버네티스 포드가 여러 네트워크에 연결되도록 지원하며, SR-IOV 또는 복잡한 VLAN 구성이 필요한 경우 유용합니다. MicroShift에서 Multus가 활성화되면 CNI 플러그인인 bridge, macvlan 또는 ipvlan을 사용하여 포드에 여러 인터페이스를 쉽게 추가할 수 있습니다.
2. GitOps for MicroShift로 인프라 및 애플리케이션 관리 자동화: GitOps for MicroShift를 사용하면 클러스터 및 개발 라이프사이클 전반에서 쿠버네티스 기반 인프라와 애플리케이션을 일관되게 구성하고 배포할 수 있습니다. GitOps with Argo CD for MicroShift는 Red Hat OpenShift GitOps 오퍼레이터에서 파생된 경량의 선택적 애드온 컨트롤러입니다. GitOps for MicroShift는 Argo CD 커맨드라인 인터페이스를 사용하여 선언적 GitOps 엔진 역할을 하는 GitOps 컨트롤러와 상호 작용합니다.
3. MicroShift에 대해 직접 EUS 업데이트: MicroShift는 이제 한 번의 재부팅으로 확장 사용자 지원(EUS) 버전 4.14에서 버전 4.16으로 직접 업데이트합니다(버전 4.16에는 Red Hat Enterprise Linux 9.4 필요) 

지금 Red Hat OpenShift 4.16 체험하기

지금 바로 Red Hat Hybrid Cloud Console을 시작하고 OpenShift의 최신 기능과 개선 사항을 활용하세요. 다음 자료를 확인하여 향후 계획을 세워보세요.

• Red Hat OpenShift의 새로운 기능 및 차세대 기능
• OpenShift YouTube 채널
• OpenShift 블로그
• OpenShift Commons
• Red Hat 개발자 블로그
• Red Hat Portfolio Architecture Center

Red Hat OpenShift 4.16 업데이트의 전체 목록은 Red Hat OpenShift 4.16 릴리스 노트에 있습니다. Red Hat 담당자에게 피드백을 주시거나, OpenShift Commons slack으로 메시지를 보내 주세요. GitHub에서 이슈 생성을 하셔도 좋습니다.