2.4. 主な技術上の変更点
OpenShift Container Platform 3.11 では、主に以下のような技術的な変更が加えられています。
subjectaccessreviews.authorization.openshift.io および resourceaccessreviews.authorization.openshift.io は cluster スコープのみに対応します。
subjectaccessreviews.authorization.openshift.io および resourceaccessreviews.authorization.openshift.io は cluster スコープのみに対応します。namespace スコープの要求が必要な場合には、localsubjectaccessreviews.authorization.openshift.io および localresourceaccessreviews.authorization.openshift.io を使用します。
新規 SCC オプション
新規 privs フラグなし
SCC (Security Context Constraints) には、 コンテナーが新規の権限を取得するのを防ぐために (Docker) no_new_privs フラグの使用を管理するための 2 つの新規オプションがあります。
-
AllowPrivilegeEscalationフラグは、ユーザーがコンテナーのセキュリティーコンテキストを設定できるかどうかを制御します。 -
DefaultAllowPrivilegeEscalationフラグは、allowPrivilegeEscalationオプションのデフォルトを設定します。
下位互換性を確保するために、 AllowPrivilegeEscalation フラグはデフォルトで allowed に設定されます。この動作が適切でない場合には、 Pod が allowPrivilegeEscalation を明示的に要求することを依然として許可する一方で、このフィールドでデフォルトを disallow に設定することができます。
禁止される安全ではない sysctl オプション
SCC (Security Context Constraints) には、Pod 仕様で定義できる sysctl オプションを制御するための 2 つの新規オプションがあります。
-
forbiddenSysctlsオプションは、特定の sysctl を除外します。 -
allowedUnsafeSysctlsオプションは、高パフォーマンスやリアルタイムのアプリケーションチューニングなどの特定ニーズを管理します。
すべての安全な sysctl はデフォルトで有効にされています。 すべての安全でない sysctl はデフォルトでは無効にされており、クラスター管理者が手動で許可する必要があります。
OC deploy コマンドの削除
oc deploy コマンドは OpenShift Container Platform 3.7 で非推奨にされています。oc rollout コマンドがこれに置き換わりました。
oc env および oc volume コマンドの削除
非推奨の oc env および oc volume コマンドが削除されました。代わりに oc set env および oc set volume を使用してください。
oc ex config patch コマンドの削除
oc ex config patch コマンドは今後のリリースで削除され、oc patch コマンドがこれに置き換わります。
oc export が非推奨になる
oc export コマンドは OpenShift Container Platform 3.10 で非推奨になります。このコマンドは今後のリリースで削除され、oc get --export コマンドがこれに置き換わります。
oc types が非推奨になる
OpenShift Container Platform 3.11 では、oc types が非推奨になりました。このコマンドは今後のリリースで削除されます。代わりに公式ドキュメントを使用してください。
Pipeline プラグインが非推奨になる
OpenShift Container Platform Pipeline プラグインは非推奨になりましたが、バージョン 3.11 までの OpenShift Container Platform バージョンで引き続き使用できます。その後のバージョンの OpenShift Container Platform については、oc バイナリーを Jenkins パイプラインから直接使用するか、または OpenShift Container Platform Client プラグインを使用します。
ロギング:Elasticsearch 5
キュレーターは Elasticsearch 5 で動作します。
詳細情報は、Aggregating Container Logs を参照してください。
Hawkular が非推奨になる
Hawkular が非推奨になり、今後のリリースで削除されます。
Red Hat イメージの新規レジストリーソース
OpenShift Container Platform では、バージョン 3.11 のイメージのソースとして、registry.access.redhat.com の代わりに registry.redhat.io を使用するようになりました。registry.redhat.io では、アクセスするのに認証情報が必要です。詳細は、Authentication Enabled Red Hat Registry を参照してください。
新規ストレージドライバーについての推奨事項
デバイスマッパーの代わりに oerlayFS ストレージドライバーを使用することが 強く推奨されます。パフォーマンスを強化するために、Docker エンジンには overlayfs2 を使用し、CRI-O には overlayFS を使用します。以前のバージョンでは、デバイスマッパーの使用が推奨されていました。
