2.8.9. RHBA-2019:0636: OpenShift Container Platform 3.11.98 バグ修正および機能拡張の更新
発行日: 2019-04-11
OpenShift Container Platform リリース 3.11.98 が公開されました。この更新に含まれるパッケージおよびバグ修正は、RHBA-2019:0636 アドバイザリーにまとめられています。この更新に含まれるコンテナーイメージは、RHBA-2019:0637 アドバイザリーで提供されています。
アドバイザリーでは、このリリースすべてのバグ修正および機能拡張に関する説明は除外されています。アップグレードについての注記およびこのリリースに含まれるバグ修正および機能拡張の詳細については、以下のセクションを参照してください。
2.8.9.1. バグ修正
-
管理ユーザーは、パーミッションが適切に定義されていなかったためにクラスターのエンドポイントにアクセスできませんでした。適切なパーミッションが定義されることにより、管理ユーザーは
_catエンドポイントを使用できるようになりました。(BZ#1548640) - イメージのガべージコレクションは、イメージにタグが 1 つのみあり、複数のリポジトリーがイメージに関連付けられている場合にイメージを正常に削除できませんでした。これは解決され、ガべージコレクションは正常に実行できるようになりました。(BZ#1647348)
-
dockerレジストリーのヘルスチェックは、バケットが AWS S3 環境で空になっている場合にPathNotFoundメッセージを返して失敗しました。PathNotFoundが成功として処理され、ヘルスチェックが空のバケットでも予想通り機能するようになりました。(BZ#1655641) - Playbook は特定バージョンのタグを持つイメージがディスクに存在するかどうかを確認するためにチェックを実行しましたが、ディスク上のバージョンがリポジトリー内のタグ付けされたイメージに対して更新されているかどうかを確認しないため、z-stream のイメージプルが省略され、z-stream のアップグレードが失敗しました。オンディスク (on-disk) チェックが削除され、イメージのプルが効率的に実行できるようになったため、ダウンロード前にイメージがディスクに存在するかどうかをチェックする必要がなくなりました。(BZ#1658387)
-
ヘルスチェック Playbook は、実行呼び出しでコンテナーが指定されないために
Elasticsearchのチェックに失敗しました。この呼び出しは、出力に適切にフォーマットされていない JSON テキストが含まれていたために失敗しました。今回のリリースでは、ターゲットコンテナーがexec呼び出しに含まれ、ヘルスチェックが適切に実行されるようになりました。(BZ#1660956) -
glusterfsPod のマウントポイントのエラーにより、gluster-blockが使用できませんでした。そのため、プロビジョナーはデバイスの作成に失敗しました。マウントポイントは更新され、プロビジョニングプロセスは予想通りに機能するようになりました。(BZ#1662312) -
openshift-ansibleパッケージはetcd-servers-overridesの値が有効なパスであるかについてのチェックを適切に実行しませんでした。一部の値はopenshift-ansible-3.11.51-2.git.0.51c90a3.el7.noarchパッケージによって無効であると見なされました。今回のリリースではetcd-servers-overridesにパスが含まれず、パスのチェック時に無視されるようになりました。(BZ#1666491) -
etcdのマスター以外のホストノードはアップグレードから除外されました。今回のリリースで、etcdホストノードをアップグレードできるようになりました。(BZ#1668317) -
Ansible 変数
openshift_master_image_policy_allowed_registries_for_importの解析が適切に実行されず、master-config.yamlファイルの破損が生じました。openshift_master_image_policy_allowed_registries_for_import変数が正常に解析され、単純なレジストリーイメージポリシーを予想通りに設定できるようになりました。(BZ#1670473) - ルーター証明書を再デプロイするための Playbook および手動設定の手順はサービス提供証明書シークレットに置き換えられました。これにより、ルーターのワイルド証明書が上書きされたり、除外されたりすることがあり、これにより適切ではない証明書が再デプロイされることにより証明書のエラーが生じました。Playbook および手動のデプロイ手順では、ルーターの証明書シークレットが上書きされなくなりました。ルーター証明書は、指定されるサブドメインまたはお客様の証明書に基づいて再デプロイされるようになりました。(BZ#1672011)
-
BuildConfigエディターに使用されるImageStreamには編集プロパティーがないため、BuildConfigエディターでランタイムエラーが生じました。エディターは、ImageStreamにBuildConfigがない場合や、ユーザーにこれを使用するための適切なパーミッションがない場合でもタグおよびオブジェクトを初期化できるようになりました。(BZ#1672904) - マスター Pod はワーカーノードのタイムゾーンに一致せず、これによりロギングタイムスタンプのエラーが生じました。ホストのタイムゾーン設定はコントロールプレーン Pod にマウントされるようになりました。(BZ#1674170)
- クラスターのインストール時に、ループバック kubeconfig のユーザー名はマスターのホスト名と同じでした。今回のリリースで、Playbook の変数は異なる値に変更されました。(BZ#1675133)
-
Ansible のヘルスチェック Playbook は、
curatorステータスのチェック時に失敗しました。これは、ヘルスチェックがcuratorはcronjobではなくDeploymentConfigであると仮定し、その結果チェックが失敗するために生じました。ヘルスチェックは、DeploymentConfigではなくcronjobについて適切に評価できるようになりました。(BZ#1676720) -
一部の namespace は、1,000 を超えるプロジェクトが一覧表示される場合に
oc get projectsプロジェクトの一覧に表示されませんでした。今回のリリースで、大規模なリソース一覧を参照する際にすべての項目が適切に表示されるようになりました。(BZ#1677545) -
ネットワークの問題または
Elasticsearchのメモリーが十分に割り当てられない問題により、KibanaとElasticsearch間にはネットワークの高い待機時間が確認されました。そのため、Kibanaはゲートウェイのタイムアウトにより使用不可になりました。しかし、変更がKibanaバージョン 6 からバックポートされることにより、ping タイムアウトへの変更が可能になりました。管理者は、ELASTICSEARCH_REQUESTTIMEOUT環境変数を設定してデフォルトpingTimeoutの 3000ms を上書きできるようになりました。Kibanaは根本的なネットワークの問題またはメモリーが十分に割り当てられていない状況が解決されるまで機能するようになりました。(BZ#1679159) -
Kibana設定エントリーのdeafultIndexは null であるため、シードプロセスが失敗し、ユーザーには white screen が表示されました。defaultIndex値が評価され、null 値がある場合にはデフォルト画面に戻されるようになり、Kibanaシードプロセスは正常に実行されるようになりました。(BZ#1679613) -
以前のバージョンでは、
CRI-OのアップグレードプロセスはCRI-Oのみを実行するように設定されたノードでdockerの停止を試行し、これにより Playbook が失敗しました。今回のリリースより、Playbook はCRI-O操作用にのみ設定されたノードでもdockerを停止しなくなり、アップグレードが正常に実行されるようになりました。(BZ#1685072) -
MERGE_JSON_LOG=trueを使用すると、レコードにフィールドが作成されました。これにより、構文の違反が生じ、Elasticsearchにフィールドが過剰に作成されるため、深刻なパフォーマンスの問題が生じました。今回のリリースで、この問題に直面していたユーザーは、fluentdを調整して、エラーやElasticsearchのパフォーマンス低下なしに、ルゴレコードのフィールドに対応できるようになりました。(BZ#1685243) - SSL および TLS サービスが Diffie-Hellman グループを使用する際の強度は十分ではありませんでした (キーサイズは 2048 未満)。その結果として、キーは脆弱になりました。今回のリリースでは、キーの強度および証明書のセキュリティーが強化されました。(BZ#1685618)
-
fluentddaemonset にはtolerate everything容認が含まれていませんでした。ノードにテイントのマークが付けられると、fluentdPod はエビクトされました。tolerate everythingの容認が追加され、fluentdPod はエビクトされなくなりました。(BZ#1685970) -
アップグレード Playbook は、再起動後または他の理由によってすぐに利用可能にならない可能性のあるリソースエイリアスを使用する複数の
ocコマンドを実行しました。ocのコマンドスイートは、失敗の可能性を防ぐためにリソースの完全修飾名を使用するようになりました。(BZ#1686590) -
ログローテーション機能を実装したファイルは正しい
fluentdディレクトリーにコピーされませんでした。その結果、ログのローテーションは実行されませんでした。今回のリリースでは、コンテナービルドがfluentdgem でファイルのインストール場所を検査できるように変更されました。ログローテーションを実装するファイルはfluentdの使用に適したディレクトリーにコピーされるようになりました。(BZ#1686941)
