第5章 GitOps
5.1. Red Hat OpenShift GitOps リリースノート
Red Hat OpenShift GitOps は、クラウドネイティブアプリケーションの継続的デプロイメントを実装するための宣言的な方法です。Red Hat OpenShift GitOps は、異なる環境 (開発、ステージ、実稼働環境など) の異なるクラスターにアプリケーションをデプロイする場合に、アプリケーションの一貫性を確保します。Red Hat OpenShift GitOps は、以下のタスクを自動化する上で役立ちます。
- クラスターに設定、モニタリングおよびストレージについての同様の状態があることの確認。
- クラスターを既知の状態からのリカバリーまたは再作成。
- 複数の OpenShift Container Platform クラスターに対する設定変更を適用するか、これを元に戻す。
- テンプレート化された設定の複数の異なる環境への関連付け。
- ステージから実稼働環境へと、クラスター全体でのアプリケーションのプロモート。
Red Hat OpenShift GitOps の概要については、OpenShift GitOps について を参照してください。
5.1.1. 互換性およびサポート表
現在、今回のリリースに含まれる機能には テクノロジープレビュー のものがあります。これらの実験的機能は、実稼働環境での使用を目的としていません。
以下の表では、機能は以下のステータスでマークされています。
- TP: テクノロジープレビュー機能
- GA: 一般公開機能
- NA: 該当なし
OpenShift Container Platform 4.13 では、stable
チャネルが削除されました。OpenShift Container Platform 4.13 にアップグレードする前に、すでに stable
チャネルを使用している場合は、適切なチャネルを選択してそれに切り替えます。
OpenShift GitOps | コンポーネントのバージョン | OpenShift のバージョン | ||||||
---|---|---|---|---|---|---|---|---|
バージョン |
| Helm | Kustomize | Argo CD | ApplicationSet | Dex | RH SSO | |
1.8.0 | 0.0.47 TP | 3.10.0 GA | 4.5.7 GA | 2.6.3 GA | NA | 2.35.1 GA | 7.5.1 GA | 4.10 - 4.13 |
1.7.0 | 0.0.46 TP | 3.10.0 GA | 4.5.7 GA | 2.5.4 GA | NA | 2.35.1 GA | 7.5.1 GA | 4.10 - 4.12 |
1.6.0 | 0.0.46 TP | 3.8.1 GA | 4.4.1 GA | 2.4.5 GA | 一般提供され、ArgoCD コンポーネントに含まれています | 2.30.3 GA | 7.5.1 GA | 4.8-4.11 |
1.5.0 | 0.0.42 TP | 3.8.0 GA | 4.4.1 GA | 2.3.3 GA | 0.4.1 TP | 2.30.3 GA | 7.5.1 GA | 4.8-4.11 |
1.4.0 | 0.0.41 TP | 3.7.1 GA | 4.2.0 GA | 2.2.2 GA | 0.2.0 TP | 2.30.0 GA | 7.4.0 GA | 4.7-4.10 |
1.3.0 | 0.0.40 TP | 3.6.0 GA | 4.2.0 GA | 2.1.2 GA | 0.2.0 TP | 2.28.0 GA | 7.4.0 GA | 4.7 - 4.9、4.6 (限定的な GA サポート) |
1.2.0 | 0.0.38 TP | 3.5.0 GA | 3.9.4 GA | 2.0.5 GA | 0.1.0 TP | NA | 7.4.0 GA | 4.8 |
1.1.0 | 0.0.32 TP | 3.5.0 GA | 3.9.4 GA | 2.0.0 GA | NA | NA | NA | 4.7 |
-
kam
は、Red Hat OpenShift GitOps Application Manager コマンドラインインターフェイス (CLI) です。 - RH SSO は、Red Hat SSO の略です。
5.1.1.1. テクノロジープレビューの機能
次の表に記載されている機能は、現在テクノロジープレビュー (TP) です。これらの実験的機能は、実稼働環境での使用を目的としていません。
機能 | Red Hat OpenShift GitOps バージョンの TP | Red Hat OpenShift GitOps バージョンの GA |
---|---|---|
ApplicationSet プログレッシブロールアウト戦略 | 1.8.0 | NA |
アプリケーションの複数のソース | 1.8.0 | NA |
コントロールプレーン以外の namespace の Argo CD アプリケーション | 1.7.0 | NA |
Argo CD 通知コントローラー | 1.6.0 | NA |
OpenShift Container Platform Web コンソールの Developer パースペクティブの Red Hat OpenShift GitOps Environments ページ | 1.1.0 | NA |
5.1.2. 多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。
5.1.3. Red Hat OpenShift GitOps 1.8.4 のリリースノート
Red Hat OpenShift GitOps 1.8.4 が OpenShift Container Platform 4.10、4.11、4.12、および 4.13 で利用できるようになりました。
5.1.3.1. 新機能
現在のリリースでは、以下の改善点が追加されました。
- 今回の更新により、同梱の Argo CD がバージョン 2.6.13 に更新されました。
5.1.3.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
- この更新前は、namespace とアプリケーションが増えると、Argo CD が応答しなくなることがありました。リソースを獲得するために機能が競合するため、デッドロックが発生しました。この更新では、デッドロックを削除することで問題を修正します。現在は、namespace やアプリケーションが増えても、クラッシュや応答不能は発生しません。GITOPS-3192
- この更新前は、アプリケーションを再同期するときに Argo CD アプリケーションコントローラーリソースが突然動作を停止することがありました。今回の更新では、クラスターキャッシュのデッドロックを防ぐロジックを追加することで問題を修正しました。これで、アプリケーションは正常に再同期されるはずです。GITOPS-3052
-
この更新前は、
argocd-ssh-known-hosts-cm
config map 内の既知のホストの RSA キーが一致しませんでした。今回の更新では、RSA キーをアップストリームプロジェクトと一致させることで問題を修正しました。現在は、デフォルトのデプロイメントでデフォルトの RSA キーを使用できます。GITOPS-3144 -
この更新の前は、Red Hat OpenShift GitOps Operator をデプロイするときに古い Redis イメージバージョンが使用されていたため、脆弱性が発生していました。この更新では、Redis を
registry.redhat.io/rhel-8/redis-6
イメージの最新バージョンにアップグレードすることで、Redis の脆弱性を修正します。GITOPS-3069 -
この更新が行われる前は、ユーザーは Operator によってデプロイメントされた Argo CD を介して Microsoft Team Foundation Server (TFS) タイプの Git リポジトリーに接続できませんでした。この更新では、Operator の Git バージョンを 2.39.3 に更新することで問題が修正されます。リポジトリー設定中に
Force HTTP basic auth
フラグを設定して、TFS タイプの Git リポジトリーに接続できるようになりました。GITOPS-1315
5.1.3.3. 既知の問題
現在、Red Hat OpenShift GitOps 1.8.4 は、OpenShift Container Platform 4.10 および 4.11 の
latest
チャネルでは利用できません。latest
チャネルは GitOps 1.9.z によって採用されており、これは OpenShift Container Platform 4.12 以降のバージョンでのみリリースされます。回避策として、
gitops-1.8
チャネルに切り替えて新しい更新を入手します。GITOPS-3158
5.1.4. Red Hat OpenShift GitOps 1.8.3 のリリースノート
Red Hat OpenShift GitOps 1.8.3 が OpenShift Container Platform 4.10、4.11、4.12、および 4.13 で利用できるようになりました。
5.1.4.1. エラータの更新
5.1.4.1.1. RHBA-2023:3206 および RHSA-2023:3229 - Red Hat OpenShift GitOps 1.8.3 セキュリティー更新アドバイザリー
発行日: 2023-05-18
このリリースに含まれるセキュリティー修正のリストは、次のアドバイザリーに記載されています。
Red Hat OpenShift GitOps Operator をインストールしている場合は、次のコマンドを実行して、このリリースのコンテナーイメージを表示します。
$ oc describe deployment gitops-operator-controller-manager -n openshift-operators
5.1.4.2. 修正された問題
-
この更新前は、
Autoscale
が有効になっており、水平 Pod オートスケーラー (HPA) コントローラーがサーバーデプロイメントのレプリカ設定を編集しようとすると、オペレーターがそれを上書きしていました。さらに、autoscaler パラメーターに指定された変更はクラスター上の HPA に正しく伝播されませんでした。今回の更新でこの問題が修正されています。Operator は、Autoscale
が無効で HPA パラメーターが正しく更新された場合にのみ、レプリカドリフトで調整されるようになりました。GITOPS-2629
5.1.5. Red Hat OpenShift GitOps 1.8.2 のリリースノート
Red Hat OpenShift GitOps 1.8.2 は、OpenShift Container Platform 4.10、4.11、4.12、4.13 で利用できるようになりました。
5.1.5.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
この更新の前に、
.spec.dex
パラメーターを使用して Dex を設定し、LOG IN VIA OPENSHIFT オプションを使用して Argo CD UI にログインしようとすると、ログインできませんでした。今回の更新でこの問題が修正されています。重要ArgoCD CR の
spec.dex
パラメーターは非推奨です。Red Hat OpenShift GitOps v1.9 の将来のリリースでは、ArgoCD CR のspec.dex
パラメーターを使用した Dex の設定は削除される予定です。代わりに.spec.sso
パラメーターの使用を検討してください。.spec.sso を使用した Dex の有効化または無効化を参照してください。GITOPS-2761-
今回の更新前は、OpenShift Container Platform 4.10 クラスターに Red Hat OpenShift GitOps v1.8.0 を新規インストールすると、クラスターおよび
kam
CLI Pod の起動に失敗していました。今回の更新で問題が修正され、すべての Pod が期待どおりに動作するようになりました。GITOPS-2762
5.1.6. Red Hat OpenShift GitOps 1.8.1 のリリースノート
Red Hat OpenShift GitOps 1.8.1 が OpenShift Container Platform 4.10、4.11、4.12、および 4.13 で利用できるようになりました。
5.1.6.1. エラータの更新
5.1.6.1.1. RHSA-2023:1452 - Red Hat OpenShift GitOps 1.8.1 セキュリティー更新アドバイザリー
発行: 2023-03-23
このリリースに含まれるセキュリティー修正のリストは RHSA-2023:1452 アドバイザリーに記載されています。
Red Hat OpenShift GitOps Operator をインストールしている場合は、次のコマンドを実行して、このリリースのコンテナーイメージを表示します。
$ oc describe deployment gitops-operator-controller-manager -n openshift-operators
5.1.7. Red Hat OpenShift GitOps 1.8.0 のリリースノート
Red Hat OpenShift GitOps 1.8.0 が OpenShift Container Platform 4.10、4.11、4.12、および 4.13 で利用できるようになりました。
5.1.7.1. 新機能
現在のリリースでは、以下の改善点が追加されました。
今回の更新では、ApplicationSet プログレッシブロールアウト戦略機能のサポートを追加できます。この機能を使用すると、ArgoCD ApplicationSet リソースを拡張して、ApplicationSet 仕様またはアプリケーションテンプレートを変更した後に、漸進的なアプリケーションリソース更新のロールアウト戦略を組み込むことができます。この機能を有効にすると、アプリケーションは同時にではなく、宣言された順序で更新されます。GITOPS-956
重要ApplicationSet プログレッシブロールアウト戦略は、テクノロジープレビュー機能です。
-
今回の更新では、OpenShift Container Platform Web コンソールの Developer パースペクティブの Application environments ページは、Red Hat OpenShift GitOps Application Manager コマンドラインインターフェイス (CLI) の
kam
から切り離されます。環境が OpenShift Container Platform Web コンソールの Developer パースペクティブに表示されるように、kam
CLI を使用して、Application Environment マニフェストを生成する必要はありません。独自のマニフェストを使用できますが、環境は引き続き namespace で表す必要があります。さらに、特定のラベルとアノテーションが必要です。GITOPS-1785 今回の更新では、Red Hat OpenShift GitOps Operator および
kam
CLI が OpenShift Container Platform の ARM アーキテクチャーで使用できるようになりました。GITOPS-1688重要spec.sso.provider: keycloak
は ARM ではまだサポートされていません。-
今回の更新では、
.spec.monitoring.enabled
フラグの値をtrue
に設定すると、特定の Argo CD インスタンスのワークロード監視を有効にすることができます。その結果、Operator は各 Argo CD コンポーネントのアラートルールを含むPrometheusRule
オブジェクトを作成します。これらのアラートルールは、対応するコンポーネントのレプリカ数が一定時間望ましい状態から逸脱した場合にアラートをトリガーします。Operator は、ユーザーがPrometheusRule
オブジェクトに加えた変更を上書きしません。GITOPS-2459 今回の更新では、Argo CD CR を使用して、コマンド引数をリポジトリーサーバーのデプロイに渡すことができます。GITOPS-2445
以下に例を示します。
apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd spec: repo: extraRepoCommandArgs: - --max.combined.directory.manifests.size - 10M
5.1.7.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
今回の更新の前は、
ARGOCD_GIT_MODULES_ENABLED
環境変数を設定できるのは、openshift-gitops-repo-server
Pod のみであり、ApplicationSet Controller
Pod では、設定できませんでした。その結果、Git ジェネレーターを使用すると、変数がApplicationSet Controller
環境にないため、子アプリケーションの生成中に Git サブモジュールが複製されました。さらに、これらのサブモジュールのクローンを作成するために必要な認証情報が ArgoCD で設定されていない場合、アプリケーションの生成は失敗しました。今回の更新で問題が修正されました。Argo CD CR を使用して、ArgoCD_GIT_MODULES_ENABLED
などの環境変数をApplicationSet Controller
Pod に追加できるようになりました。その後、ApplicationSet Controller
Pod は、複製されたリポジトリーから子アプリケーションを正常に生成し、その過程でサブモジュールは複製されません。GITOPS-2399以下に例を示します。
apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd labels: example: basic spec: applicationSet: env: - name: ARGOCD_GIT_MODULES_ENABLED value: "true"
-
今回の更新の前は、Red Hat OpenShift GitOps Operator v1.7.0 のインストール中に、Dex を認証するために作成されたデフォルトの
argocd-cm.yml
config map ファイルには、base64 でエンコードされたクライアントシークレットがkey:value
ペアの形式で含まれていました。今回の更新では、デフォルトのargocd-cm.yml
config map ファイルにクライアントシークレットを保存しないことで、この問題が修正されています。代わりに、クライアントシークレットはargocd-secret
オブジェクト内にあり、設定マップ内でシークレット名として参照できます。GITOPS-2570
5.1.7.3. 既知の問題
-
kam
CLI を使用せずに、マニフェストを使用して、アプリケーションをデプロイし、OpenShift Container Platform Web コンソールの Developer パースペクティブの Application environments ページでアプリケーションを表示すると、カード内の Argo CD アイコンから期待どおりに該当アプリケーションの Argo CD URL がページを読み込まないという問題がありました。GITOPS-2736
5.1.8. Red Hat OpenShift GitOps 1.7.4 のリリースノート
Red Hat OpenShift GitOps 1.7.4 が OpenShift Container Platform 4.10、4.11、および 4.12 で利用できるようになりました。
5.1.8.1. エラータの更新
5.1.8.1.1. RHSA-2023:1454 - Red Hat OpenShift GitOps 1.7.4 セキュリティー更新アドバイザリー
発行: 2023-03-23
このリリースに含まれるセキュリティー修正のリストは RHSA-2023:1454 アドバイザリーに記載されています。
Red Hat OpenShift GitOps Operator をインストールしている場合は、次のコマンドを実行して、このリリースのコンテナーイメージを表示します。
$ oc describe deployment gitops-operator-controller-manager -n openshift-operators
5.1.9. Red Hat OpenShift GitOps 1.7.3 のリリースノート
Red Hat OpenShift GitOps 1.7.3 は、OpenShift Container Platform 4.10、4.11、および 4.12 で利用できるようになりました。
5.1.9.1. エラータの更新
5.1.9.1.1. RHSA-2023:1454 - Red Hat OpenShift GitOps 1.7.3 セキュリティー更新アドバイザリー
発行: 2023-03-23
このリリースに含まれるセキュリティー修正のリストは RHSA-2023:1454 アドバイザリーに記載されています。
Red Hat OpenShift GitOps Operator をインストールしている場合は、次のコマンドを実行して、このリリースのコンテナーイメージを表示します。
$ oc describe deployment gitops-operator-controller-manager -n openshift-operators
5.1.10. Red Hat OpenShift GitOps 1.7.1 のリリースノート
Red Hat OpenShift GitOps 1.7.1 は、OpenShift Container Platform 4.10、4.11、および 4.12 で利用できるようになりました。
5.1.10.1. エラータの更新
5.1.10.1.1. RHSA-2023:0467 - Red Hat OpenShift GitOps 1.7.1 セキュリティー更新アドバイザリー
発行日: 2023-01-25
このリリースに含まれるセキュリティー修正のリストは、RHSA-2023:0467 アドバイザリーに記載されています。
Red Hat OpenShift GitOps Operator をインストールしている場合は、次のコマンドを実行して、このリリースのコンテナーイメージを表示します。
$ oc describe deployment gitops-operator-controller-manager -n openshift-operators
5.1.11. Red Hat OpenShift GitOps 1.7.0 のリリースノート
Red Hat OpenShift GitOps 1.7.0 は、OpenShift Container Platform 4.10、4.11、および 4.12 で利用できるようになりました。
5.1.11.1. 新機能
現在のリリースでは、以下の改善点が追加されました。
- 今回の更新により、環境変数を Notifications コントローラーに追加できるようになりました。GITOPS-2313
-
今回の更新により、デフォルトの nodeSelector
"kubernetes.io/os": "linux"
キーと値のペアがすべてのワークロードに追加され、Linux ノードでのみスケジュールが設定されるようになりました。さらに、任意のカスタムノードセレクターがデフォルトに追加され、同じキーを持つ場合に優先されます。GITOPS-2215 -
今回の更新により、
GitopsService
カスタムリソースを編集することで、Operator ワークロードにカスタムノードセレクターを設定できるようになりました。GITOPS-2164 -
今回の更新により、RBAC ポリシーマッチャーモードを使用して、
glob
(デフォルト) およびregex
のオプションから選択できるようになりました。GITOPS-1975 今回の更新では、次の追加のサブキーを使用してリソースの動作をカスタマイズできます。
サブキー キーフォーム argocd-cm のマップされたフィールド resourceHealthChecks
resource.customizations.health.<group_kind>
resource.customizations.health
resourceIgnoreDifferences
resource.customizations.ignoreDifferences.<group_kind>
resource.customizations.ignoreDifferences
resourceActions
resource.customizations.actions.<group_kind>
resource.customizations.actions
注記将来のリリースでは、サブキーではなく resourceCustomization のみを使用してリソースの動作をカスタマイズする古い方法を廃止する可能性があります。
- 今回の更新で、1.7 より前の Red Hat OpenShift GitOps バージョンと OpenShift Container Platform 4.15 以降を使用している場合は、Developer パースペクティブで Environments ページを使用するには、アップグレードする必要があります。GITOPS-2415
今回の更新により、同じクラスター内の任意の namespace で同じコントロールプレーンの Argo CD インスタンスによって管理されるアプリケーションを作成できるようになりました。管理者として以下のアクションを実行し、この更新を有効にします。
-
アプリケーションを管理するクラスタースコープの Argo CD インスタンスの
.spec.sourceNamespaces
属性に namespace を追加します。 アプリケーションに関連付けられた
AppProject
カスタムリソースの.spec.sourceNamespaces
属性に namespace を追加します。
-
アプリケーションを管理するクラスタースコープの Argo CD インスタンスの
コントロールプレーン以外の namespace の Argo CD アプリケーションはテクノロジープレビュー機能としてのみご利用いただけます。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
今回の更新により、Argo CD は Server-Side Apply 能をサポートするようになりました。この機能は、ユーザーが以下のタスクを実行するのに役立ちます。
- 許容されるアノテーションサイズ (262144 バイト) に対して大きすぎる巨大なリソースの管理
Argo CD によって管理またはデプロイされていない既存のリソースへのパッチ適用
この機能は、アプリケーションまたはリソースレベルで設定できます。GITOPS-2340
5.1.11.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前に、Red Hat OpenShift GitOps リリースは、
anyuid
SCC が Dex サービスアカウントに割り当てられたときにCreateContainerConfigError
エラーで Dex Pod が失敗するという問題の影響を受けていました。この更新プログラムでは、デフォルトのユーザー ID を Dex コンテナーに割り当てることで、この問題を修正しています。GITOPS-2235 -
この更新の前は、Red Hat OpenShift GitOps は Dex に加えて OIDC を介して RHSSO (Keycloak) を使用していました。ただし、最近のセキュリティー修正により、有名な認証局のいずれかによって署名されていない証明書で設定されている場合は、RHSSO の証明書を検証できませんでした。この更新で問題が修正されました。カスタム証明書を提供して、通信中に KeyCloak の TLS 証明書を検証できるようになりました。さらに、
rootCA
を Argo CD カスタムリソース.spec.keycloak.rootCA
フィールドに追加できます。Operator はそのような変更を調整し、oidc.config in argocd-cm
設定マップを PEM エンコードされたルート証明書で更新します。GITOPS-2214
Keycloak 設定の Argo CD の例:
apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd spec: sso: keycloak: rootCA: '<PEM encoded root certificate>' provider: keycloak ....... .......
-
この更新の前は、ライブネスプローブが応答しないため、アプリケーションコントローラーが複数回再起動していました。この更新は、アプリケーションコントローラーの
statefulset
アプリケーションで liveness プローブを削除することにより、問題を修正します。GITOPS-2153
5.1.11.3. 既知の問題
-
この更新の前に、Operator はリポジトリーサーバーの
mountsatoken
とServiceAccount
の設定を調整しませんでした。これは修正されていますが、サービスアカウントを削除してもデフォルトに戻りません。GITOPS-1873 -
回避策:
spec.repo.serviceaccountfield to thedefault
サービスアカウントを手動で設定します。GITOPS-2452
5.1.12. Red Hat OpenShift GitOps 1.6.7 のリリースノート
Red Hat OpenShift GitOps 1.6.7 が OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.12.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- この更新が行われる前は、v0.5.0 以降の Argo CD Operator のすべてのバージョンに情報漏えいの欠陥が存在しました。その結果、権限のないユーザーが API エラーメッセージを検査してアプリケーション名を列挙し、発見されたアプリケーション名を別の攻撃の開始点として使用する可能性があります。たとえば、攻撃者はアプリケーション名に関する知識を利用して、管理者に高い権限を付与するよう説得する可能性があります。この更新により、CVE-2022-41354 エラーが修正されます。GITOPS-2635、CVE-2022-41354
5.1.13. Red Hat OpenShift GitOps 1.6.6 のリリースノート
Red Hat OpenShift GitOps 1.6.6 が OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.13.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- この更新が行われる前は、v0.5.0 以降の Argo CD Operator のすべてのバージョンに情報漏えいの欠陥が存在しました。その結果、権限のないユーザーが API エラーメッセージを検査してアプリケーション名を列挙し、発見されたアプリケーション名を別の攻撃の開始点として使用する可能性があります。たとえば、攻撃者はアプリケーション名に関する知識を利用して、管理者に高い権限を付与するよう説得する可能性があります。この更新により、CVE-2022-41354 エラーが修正されます。GITOPS-2635、CVE-2022-41354
5.1.14. Red Hat OpenShift GitOps 1.6.4 のリリースノート
Red Hat OpenShift GitOps 1.6.4 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.14.1. 修正された問題
- この更新の前は、Argo CD v1.8.2 以降のすべてのバージョンは、不適切な認証バグに対して脆弱でした。その結果、Argo CD はクラスターへのアクセスを目的としていない可能性のあるオーディエンスのトークンを受け入れていました。この問題は修正されています。CVE-2023-22482
5.1.15. Red Hat OpenShift GitOps 1.6.2 のリリースノート
Red Hat OpenShift GitOps 1.6.2 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.15.1. 新機能
-
このリリースでは、
openshift-gitops-operator
CSV ファイルからDISABLE_DEX
環境変数が削除されています。その結果、Red Hat OpenShift GitOps の新規インストールの実行時にこの環境変数は設定されなくなりました。GITOPS-2360
5.1.15.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
- この更新の前は、プロジェクトに 5 つを超える Operator がインストールされていると、InstallPlan が欠落しているため、サブスクリプションのヘルスチェックは degraded とマークされていました。今回の更新でこの問題が修正されています。GITOPS-2018
- この更新の前は、Red Hat OpenShift GitOps Operator は、Argo CD インスタンスが非推奨のフィールドを使用していることを検出すると、非推奨通知の警告をクラスターに送信していました。今回の更新でこの問題が修正され、フィールドを検出したインスタンスごとに警告イベントが 1 つだけ表示されるようになりました。GITOPS-2230
- OpenShift Container Platform 4.12 以降、コンソールのインストールはオプションです。この修正により、Red Hat OpenShift GitOps Operator が更新され、コンソールがインストールされていない場合に Operator でエラーが発生するのを防ぐことができます。GITOPS-2352
5.1.16. Red Hat OpenShift GitOps 1.6.1 のリリースノート
Red Hat OpenShift GitOps 1.6.1 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.16.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前は、ライブネスプローブが応答しないため、多数のアプリケーションでアプリケーションコントローラーが複数回再起動されていました。この更新は、アプリケーションコントローラーの
StatefulSet
オブジェクトで liveness プローブを削除することにより、問題を修正します。GITOPS-2153 この更新の前は、証明機関によって署名されていない証明書を使用してセットアップされていると、RHSSO 証明書を検証できませんでした。今回の更新で問題が修正され、通信時に Keycloak の TLS 証明書を検証する際に使用されるカスタム証明書を提供できるようになりました。
rootCA
を Argo CD カスタムリソース.spec.keycloak.rootCA
フィールドに追加できます。Operator はこの変更を調整し、argocd-cm
ConfigMap
のoidc.config
フィールドを PEM エンコードされたルート証明書で更新します。GITOPS-2214注記.spec.keycloak.rootCA
フィールドを更新した後、Argo CD サーバー Pod を再起動します。以下に例を示します。
apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd labels: example: basic spec: sso: provider: keycloak keycloak: rootCA: | ---- BEGIN CERTIFICATE ---- This is a dummy certificate Please place this section with appropriate rootCA ---- END CERTIFICATE ---- server: route: enabled: true
- この更新の前は、Argo CD に管理されていた namespace が終了すると、ロールの作成や他の管理された namespace のその他の設定がブロックされていました。今回の更新でこの問題は修正されています。GITOPS-2277
-
この更新の前は、
anyuid
の SCC が DexServiceAccount
リソースに割り当てられている場合、Dex Pod はCreateContainerConfigError
で開始できませんでした。この更新プログラムでは、デフォルトのユーザー ID を Dex コンテナーに割り当てることで、この問題を修正しています。GITOPS-2235
5.1.17. Red Hat OpenShift GitOps 1.6.0 のリリースノート
Red Hat OpenShift GitOps 1.6.0 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.17.1. 新機能
現在のリリースでは、以下の改善点が追加されました。
-
以前は、Argo CD
ApplicationSet
コントローラーはテクノロジープレビュー (TP) 機能でした。この更新により、これは一般提供 (GA) 機能になります。GITOPS-1958 -
今回の更新により、Red Hat OpenShift GitOps の最新リリースが
latest
のバージョンベースのチャネルで利用できるようになりました。これらのアップグレードを取得するには、Subscription
オブジェクト YAML ファイルのchannel
パラメーターを更新します。値をstable
からlatest
またはgitops-1.6
などのバージョンベースのチャンネルに変更します。GITOPS-1791 -
今回の更新により、keycloak 設定を制御する
spec.sso
フィールドのパラメーターが.spec.sso.keycloak
に移動されるようになりました。.spec.dex
フィールドのパラメーターが.spec.sso.dex
に追加されました。.spec.sso.provider
の使用を開始して、Dex を有効または無効にします。.spec.dex
パラメーターは非推奨であり、キークローク設定のDISABLE_DEX
および.spec.sso
フィールドとともに、バージョン 1.9 で削除される予定です。GITOPS-1983 -
今回の更新により、Argo CD カスタムリソースの
.spec.notifications.enabled
パラメーターを使用して有効または無効にできるオプションのワークロードとして、Argo CD 通知コントローラーが利用できるようになりました。Argo CD 通知コントローラーは、テクニカルプレビュー機能として利用できます。GITOPS-1917
Argo CD Notifications コントローラーはテクノロジープレビュー機能のみです。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
- 今回の更新により、Tekton パイプライン実行およびタスク実行のリソース除外がデフォルトで追加されました。Argo CD は、デフォルトでこれらのリソースを削除します。これらのリソースの除外は、OpenShift Container Platform から作成された新しい Argo CD インスタンスに追加されます。インスタンスが CLI から作成された場合、リソースは追加されません。GITOPS-1876
-
今回の更新で、Operand の仕様に
resourceTrackingMethod
パラメーターを設定して、Argo CD が使用する追跡方法を選択できるようになりました。GITOPS-1862 -
今回の更新により、Red Hat OpenShift GitOps Argo CD カスタムリソースの
extraConfig
フィールドを使用して、argocd-cm
configMap にエントリーを追加できるようになりました。指定されたエントリーは、検証なしでライブconfig-cm
configMap に調整されます。GITOPS-1964 - 今回の更新により、OpenShift Container Platform 4.11 では、Red Hat OpenShift GitOps Developer パースペクティブの Red Hat OpenShift GitOps Environments ページに、アプリケーション環境の成功したデプロイメントの履歴と、各デプロイメントのリビジョンへのリンクが表示されます。GITOPS-1269
- 今回の更新により、Operator によってテンプレートリソースまたはソースとしても使用されている Argo CD を使用してリソースを管理できるようになりました。GITOPS-982
- 今回の更新により、Operator は Kubernetes 1.24 に対して有効にされた Pod Security Admission に対応するために、適切なパーミッションで Argo CD ワークロードを設定するようになりました。GITOPS-2026
- 今回の更新により、Config Management Plugins 2.0 がサポートされるようになりました。Argo CD カスタムリソースを使用して、リポジトリーサーバーのサイドバーコンテナーを指定できます。GITOPS-776
- 今回の更新により、Argo CD コンポーネントと Redis キャッシュ間のすべての通信は、最新の TLS 暗号化を使用して適切に保護されます。GITOPS-720
- Red Hat OpenShift GitOps のこのリリースでは、IBM Z および IBM Power on OpenShift Container Platform 4.10 のサポートが追加されています。現在、制限された環境でのインストールは、IBM Z および IBM Power ではサポートされていません。
5.1.17.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前に、
system:serviceaccount:argocd:gitops-argocd-application-controller
は、namespacewebapps-dev
の API グループmonitoring.coreos.com
でリソース prometheusrules を作成できません。今回の更新でこの問題が修正され、Red Hat OpenShift GitOps はmonitoring.coreos.com
API グループからすべてのリソースを管理できるようになりました。GITOPS-1638 -
この更新の前に、クラスターのアクセス許可を調整しているときに、シークレットがクラスター設定インスタンスに属している場合、それは削除されていました。今回の更新でこの問題は修正されています。現在は、シークレットの代わりにシークレットの
namespaces
フィールドが削除されています。GITOPS-1777 -
今回の更新以前は、Operator を使用して Argo CD の HA バリアントをインストールした場合、Operator は
podAntiAffinity
ルールではなく、podAffinity
ルールで RedisStatefulSet
オブジェクトを作成していました。今回の更新によりこの問題は修正され、Operator はpodAntiAffinity
ルールで RedisStatefulSet
を作成するようになりました。GITOPS-1645 -
今回の更新以前は、Argo CD ApplicationSet で
ssh
Zombie プロセスが多すぎていました。今回の更新でこの問題が修正され、プロセスを生成してゾンビを刈り取る単純な init デーモンである tini が ApplicationSet コントローラーに追加されます。これにより、SIGTERM
シグナルが実行中のプロセスに適切に渡されるようになり、zombie プロセスを防ぐことができます。GITOPS-2108
5.1.17.3. 既知の問題
Red Hat OpenShift GitOps Operator は、Dex に加えて、OIDC を介して RHSSO (KeyCloak) を利用できます。ただし、最新のセキュリティー修正が適用されると、一部のシナリオで RHSSO の証明書は検証できません。GITOPS-2214
回避策として、ArgoCD 仕様で OIDC (Keycloak/RHSSO) エンドポイントの TLS 検証を無効にします。
spec: extraConfig: oidc.tls.insecure.skip.verify: "true" ...
5.1.18. Red Hat OpenShift GitOps 1.5.9 のリリースノート
Red Hat OpenShift GitOps 1.5.9 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.18.1. 修正された問題
- この更新の前は、Argo CD v1.8.2 以降のすべてのバージョンは、不適切な認証バグに対して脆弱でした。その結果、Argo CD はクラスターへのアクセスを許可されていない可能性のあるユーザーのトークンを受け入れていました。この問題は修正されています。CVE-2023-22482
5.1.19. Red Hat OpenShift GitOps 1.5.7 のリリースノート
Red Hat OpenShift GitOps 1.5.7 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.19.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- OpenShift Container Platform 4.12 以降、コンソールのインストールはオプションです。この修正により、Red Hat OpenShift GitOps Operator が更新され、コンソールがインストールされていない場合に Operator でエラーが発生するのを防ぐことができます。GITOPS-2353
5.1.20. Red Hat OpenShift GitOps 1.5.6 のリリースノート
Red Hat OpenShift GitOps 1.5.6 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.20.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前は、ライブネスプローブが応答しないため、多数のアプリケーションでアプリケーションコントローラーが複数回再起動されていました。この更新は、アプリケーションコントローラーの
StatefulSet
オブジェクトで liveness プローブを削除することにより、問題を修正します。GITOPS-2153 この更新の前は、証明機関によって署名されていない証明書を使用してセットアップされていると、RHSSO 証明書を検証できませんでした。今回の更新で問題が修正され、通信時に Keycloak の TLS 証明書を検証する際に使用されるカスタム証明書を提供できるようになりました。
rootCA
を Argo CD カスタムリソース.spec.keycloak.rootCA
フィールドに追加できます。Operator はこの変更を調整し、argocd-cm
ConfigMap
のoidc.config
フィールドを PEM エンコードされたルート証明書で更新します。GITOPS-2214注記.spec.keycloak.rootCA
フィールドを更新した後、Argo CD サーバー Pod を再起動します。以下に例を示します。
apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd labels: example: basic spec: sso: provider: keycloak keycloak: rootCA: | ---- BEGIN CERTIFICATE ---- This is a dummy certificate Please place this section with appropriate rootCA ---- END CERTIFICATE ---- server: route: enabled: true
- この更新の前は、Argo CD に管理されていた namespace が終了すると、ロールの作成や他の管理された namespace のその他の設定がブロックされていました。今回の更新でこの問題は修正されています。GITOPS-2278
-
この更新の前は、
anyuid
の SCC が DexServiceAccount
リソースに割り当てられている場合、Dex Pod はCreateContainerConfigError
で開始できませんでした。この更新プログラムでは、デフォルトのユーザー ID を Dex コンテナーに割り当てることで、この問題を修正しています。GITOPS-2235
5.1.21. Red Hat OpenShift GitOps 1.5.5 のリリースノート
Red Hat OpenShift GitOps 1.5.5 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.21.1. 新機能
現在のリリースでは、以下の改善点が追加されました。
- この更新により、同梱の Argo CD がバージョン 2.3.7 に更新されました。
5.1.21.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前は、より制限的な SCC がクラスターに存在する場合、ArgoCD インスタンスの
redis-ha-haproxy
Pod が失敗していました。この更新プログラムは、ワークロードのセキュリティーコンテキストを更新することで問題を修正します。GITOPS-2034
5.1.21.3. 既知の問題
Red Hat OpenShift GitOps Operator は、OIDC および Dex で RHSSO (KeyCloak) を使用できます。ただし、最近のセキュリティー修正が適用されているため、Operator は一部のシナリオで RHSSO 証明書を検証できません。GITOPS-2214
回避策として、ArgoCD 仕様で OIDC (Keycloak/RHSSO) エンドポイントの TLS 検証を無効にします。
apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd spec: extraConfig: "admin.enabled": "true" ...
5.1.22. Red Hat OpenShift GitOps 1.5.4 リリースノート
Red Hat OpenShift GitOps 1.5.4 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.22.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前は、Red Hat OpenShift GitOps は古いバージョンの REDIS 5 イメージタグを使用していました。この更新により、問題が修正され、
rhel8/redis-5
イメージタグがアップグレードされます。GITOPS-2037
5.1.23. Red Hat OpenShift GitOps 1.5.3 のリリースノート
Red Hat OpenShift GitOps 1.5.3 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.23.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- この更新の前に、Argo CD v1.0.0 以降のパッチが適用されていないすべてのバージョンは、クロスサイトスクリプティングのバグに対して脆弱でした。その結果、許可されていないユーザーが UI に JavaScript リンクを挿入できる可能性があります。この問題は修正されています。CVE-2022-31035
- この更新の前に、Argo CD v0.11.0 以降のすべてのバージョンは、Argo CD CLI または UI から SSO ログインが開始されたときに、複数の攻撃に対して脆弱でした。この問題は修正されています。CVE-2022-31034
- この更新の前に、Argo CD v0.7 以降のパッチが適用されていないすべてのバージョンは、メモリー消費のバグに対して脆弱でした。その結果、許可されていないユーザーが Argo CD のリポジトリーサーバーをクラッシュさせる可能性があります。この問題は修正されています。CVE-2022-31016
- この更新の前に、Argo CD v1.3.0 以降のパッチが適用されていないすべてのバージョンは、symlink-following バグに対して脆弱でした。その結果、リポジトリーの書き込みアクセスのある権限のないユーザーが、Argo CD の repo-server から機密の YAML ファイルを漏洩する可能性がありました。この問題は修正されています。CVE-2022-31036
5.1.24. Red Hat OpenShift GitOps 1.5.2 のリリースノート
Red Hat OpenShift GitOps 1.5.2 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.24.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前は、
redhat-operator-index
によって参照されるイメージがありませんでした。この問題は修正されています。GITOPS-2036
5.1.25. Red Hat OpenShift GitOps 1.5.1 のリリースノート
Red Hat OpenShift GitOps 1.5.1 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.25.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- この更新の前は、Argo CD の匿名アクセスが有効になっている場合、認証されていないユーザーが JWT トークンを作成し、Argo CD インスタンスへのフルアクセスを取得できました。この問題は修正されています。CVE-2022-29165
- この更新の前は、認証されていないユーザーは、SSO が有効になっているときにログイン画面にエラーメッセージを表示できました。この問題は修正されています。CVE-2022-24905
- この更新の前に、Argo CD v0.7.0 以降のパッチが適用されていないすべてのバージョンは、symlink-following バグに対して脆弱でした。その結果、レポジトリへの書き込みアクセスを持つ許可されていないユーザーが、機密ファイルを Argo CD のレポサーバーから漏えいする可能性があります。この問題は修正されています。CVE-2022-24904
5.1.26. Red Hat OpenShift GitOps 1.5.0 のリリースノート
Red Hat OpenShift GitOps 1.5.0 は、OpenShift Container Platform 4.8、4.9、4.10、および 4.11 で利用できるようになりました。
5.1.26.1. 新機能
現在のリリースでは、以下の改善点が追加されました。
- 今回の機能拡張により、Argo CD がバージョン 2.3.3 にアップグレードされました。GITOPS-1708
- この拡張機能により、Dex がバージョン 2.30.3 にアップグレードされます。GITOPS-1850
- 今回の機能拡張により、Helm がバージョン 3.8.0 にアップグレードされました。GITOPS-1709
- この機能拡張により、Kustomize がバージョン 4.4.1 にアップグレードされます。GITOPS-1710
- この機能拡張により、アプリケーションセットがバージョン 0.4.1 にアップグレードされます。
- この更新では、Red Hat OpenShift GitOps の最新リリースを提供する latest という名前の新しいチャネルが追加されました。GitOps v1.5.0 の場合、Operator は gitops-1.5、latest チャネル、および既存の stable チャネルにプッシュされます。GitOps v1.6 以降、すべての最新リリースは latest チャネルにのみプッシュされ、stable チャネルにはプッシュされません。GITOPS-1791
-
この更新により、新しい CSV は
olm.skipRange: '>=1.0.0 <1.5.0'
アノテーションを追加します。その結果、以前のリリースバージョンはすべてスキップされます。Operator は v1.5.0 に直接アップグレードします。GITOPS-1787 この更新により、Operator は Red Hat Single Sign-On (RH-SSO) をバージョン v7.5.1 に更新します。これには以下の機能拡張が含まれます。
-
kube:admin
クレデンシャルを含む OpenShift クレデンシャルを使用して Argo CD にログインできます。 - RH-SSO は、OpenShift グループを使用したロールベースアクセスコントロール (RBAC) 用の Argo CD インスタンスをサポートおよび設定します。
RH-SSO は、
HTTP_Proxy
環境変数を尊重します。RH-SSO は、プロキシーの背後で実行されている Argo CD の SSO として使用できます。
-
今回の更新により、Argo CD オペランドの
.status
フィールドに新しい.host
フィールドが追加されました。ルートまたは入力がルートに優先順位を付けて有効になっている場合、新しい URL フィールドにルートが表示されます。ルートまたは入力から URL が提供されていない場合、.host
フィールドは表示されません。ルートまたは入力が設定されているが、対応するコントローラーが適切に設定されておらず、
Ready
状態にないか、その URL を伝播しない場合、オペランドの.status.host
フィールドの値は、URL を表示する代わりにPending
と表示します。これは、Available
ではなくPending
にすることで、オペランドの全体的なステータスに影響します。GITOPS-654
5.1.26.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
- この更新の前は、AppProjects に固有の RBAC ルールでは、ロールのサブジェクトフィールドにコンマを使用できないため、LDAP アカウントへのバインドが防止されていました。この更新により問題が修正され、AppProject 固有の RBAC ルールで複雑なロールバインディングを指定できるようになりました。GITOPS-1771
-
この更新の前は、
DeploymentConfig
リソースが0
にスケーリングされると、Argo CD は、"replication controller is waiting for pods to run" という可用性ステータスメッセージとともに progressing の状態でリソースを表示しました。この更新により、エッジケースが修正され、可用性チェックでDeploymentConfig
リソースの正しい可用性ステータスが報告されるようになりました。GITOPS-1738 -
この更新の前に、
argocd-tls-certs-cm
設定マップの TLS 証明書は、証明書がArgoCD
CR 仕様のtls.initialCerts
フィールドで設定されていない限り、Red Hat OpenShift GitOps によって削除されていました。この問題は修正されています。GITOPS-1725 -
この更新の前は、
managed-by
ラベルを使用して namespace を作成しているときに、新しい namespace に多くのRoleBinding
リソースを作成していました。この更新により問題が修正され、Red Hat OpenShift GitOps は以前のバージョンで作成された無関係なRole
およびRoleBinding
リソースを削除します。GITOPS-1550 -
この更新の前は、パススルーモードのルートの TLS 証明書には CA 名がありませんでした。その結果、Firefox 94 以降はエラーコード SEC_ERROR_BAD_DER で Argo CD UI に接続できませんでした。今回の更新でこの問題が修正されています。
<openshift-gitops-ca>
シークレットを削除して、再作成する必要があります。次に、<openshift-gitops-tls>
シークレットを削除する必要があります。Red Hat OpenShift GitOps がそれを再作成した後、Firefox から Argo CD UI に再びアクセスできます。GITOPS-1548
5.1.26.3. 既知の問題
-
OpenShift クラスターで
Route
リソースの代わりにIngress
リソースが使用されている場合、Argo CD.status.host
フィールドは更新されません。GITOPS-1920
5.1.27. Red Hat OpenShift GitOps 1.4.13 のリリースノート
Red Hat OpenShift GitOps 1.4.13 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用できるようになりました。
5.1.27.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- OpenShift Container Platform 4.12 以降、コンソールのインストールはオプションです。この修正により、Red Hat OpenShift GitOps Operator が更新され、コンソールがインストールされていない場合に Operator でエラーが発生するのを防ぐことができます。GITOPS-2354
5.1.28. Red Hat OpenShift GitOps 1.4.12 のリリースノート
Red Hat OpenShift GitOps 1.4.12 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用できるようになりました。
5.1.28.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前は、ライブネスプローブが応答しないため、多数のアプリケーションでアプリケーションコントローラーが複数回再起動されていました。この更新は、アプリケーションコントローラーの
StatefulSet
オブジェクトで liveness プローブを削除することにより、問題を修正します。GITOPS-2153 この更新の前は、証明機関によって署名されていない証明書を使用してセットアップされていると、RHSSO 証明書を検証できませんでした。今回の更新で問題が修正され、通信時に Keycloak の TLS 証明書を検証する際に使用されるカスタム証明書を提供できるようになりました。
rootCA
を Argo CD カスタムリソース.spec.keycloak.rootCA
フィールドに追加できます。Operator はこの変更を調整し、argocd-cm
ConfigMap
のoidc.config
フィールドを PEM エンコードされたルート証明書で更新します。GITOPS-2214注記.spec.keycloak.rootCA
フィールドを更新した後、Argo CD サーバー Pod を再起動します。以下に例を示します。
apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd labels: example: basic spec: sso: provider: keycloak keycloak: rootCA: | ---- BEGIN CERTIFICATE ---- This is a dummy certificate Please place this section with appropriate rootCA ---- END CERTIFICATE ---- server: route: enabled: true
- この更新の前は、Argo CD に管理されていた namespace が終了すると、ロールの作成や他の管理された namespace のその他の設定がブロックされていました。今回の更新でこの問題は修正されています。GITOPS-2276
-
この更新の前は、
anyuid
の SCC が DexServiceAccount
リソースに割り当てられている場合、Dex Pod はCreateContainerConfigError
で開始できませんでした。この更新プログラムでは、デフォルトのユーザー ID を Dex コンテナーに割り当てることで、この問題を修正しています。GITOPS-2235
5.1.29. Red Hat OpenShift GitOps 1.4.11 のリリースノート
Red Hat OpenShift GitOps 1.4.11 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用できるようになりました。
5.1.29.1. 新機能
現在のリリースでは、以下の改善点が追加されました。
- この更新により、同梱の Argo CD がバージョン 2.2.12 に更新されました。
5.1.29.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
この更新の前は、より制限的な SCC がクラスターに存在する場合、ArgoCD インスタンスの
redis-ha-haproxy
Pod が失敗していました。この更新プログラムは、ワークロードのセキュリティーコンテキストを更新することで問題を修正します。GITOPS-2034
5.1.29.3. 既知の問題
Red Hat OpenShift GitOps Operator は、OIDC および Dex で RHSSO (KeyCloak) を使用できます。ただし、最近のセキュリティー修正が適用されているため、Operator は一部のシナリオで RHSSO 証明書を検証できません。GITOPS-2214
回避策として、ArgoCD 仕様で OIDC (Keycloak/RHSSO) エンドポイントの TLS 検証を無効にします。
apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd spec: extraConfig: "admin.enabled": "true" ...
5.1.30. Red Hat OpenShift GitOps 1.4.6 のリリースノート
Red Hat OpenShift GitOps 1.4.6 は OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用可能になりました。
5.1.30.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- OpenSSL のリンクの不具合を回避するために、ベースイメージが最新バージョンに更新されています: (CVE-2022-0778)。
Red Hat OpenShift GitOps 1.4 の現在のリリースをインストールし、製品ライフサイクル中にさらに更新を受け取るには、GitOps-1.4 チャネルに切り替えます。
5.1.31. Red Hat OpenShift GitOps 1.4.5 のリリースノート
Red Hat OpenShift GitOps 1.4.5 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用できるようになりました。
5.1.31.1. 修正された問題
Red Hat OpenShift GitOps v1.4.3 から Red Hat OpenShift GitOps v1.4.5 に直接アップグレードする必要があります。実稼働環境では、Red Hat OpenShift GitOps v1.4.4 を使用しないでください。Red Hat OpenShift GitOps v1.4.4 に影響のある主な問題は、Red Hat OpenShift GitOps 1.4.5 で修正されました。
以下の問題は、現在のリリースで解決されています。
-
今回の更新以前は、Argo CD Pod は
ErrImagePullBackOff
状態のままでした。以下のエラーメッセージが表示されまました。
reason: ErrImagePull message: >- rpc error: code = Unknown desc = reading manifest sha256:ff4ad30752cf0d321cd6c2c6fd4490b716607ea2960558347440f2f370a586a8 in registry.redhat.io/openshift-gitops-1/argocd-rhel8: StatusCode: 404, <HTML><HEAD><TITLE>Error</TITLE></HEAD><BODY>
この問題は修正されています。GITOPS-1848
5.1.32. Red Hat OpenShift GitOps 1.4.3 のリリースノート
Red Hat OpenShift GitOps 1.4.3 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用できるようになりました。
5.1.32.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
今回の更新以前は、証明書が ArgoCD CR 仕様
tls.initialCerts
フィールドで設定されていない限り、argocd-tls-certs-cm
設定マップの TLS 証明書は Red Hat OpenShift GitOps によって削除されました。今回の更新でこの問題は修正されています。GITOPS-1725
5.1.33. Red Hat OpenShift GitOps 1.4.2 のリリースノート
Red Hat OpenShift GitOps 1.4.2 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用できるようになりました。
5.1.33.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
今回の更新以前は、ルートに複数の
Ingress
が割り当てられると、Route リソースはProgressing
Health ステータスのままになりました。今回の更新により、ヘルスチェックが修正され、Route リソースの正しいヘルスステータスを報告するようになりました。GITOPS-1751
5.1.34. Red Hat OpenShift GitOps 1.4.1 のリリースノート
Red Hat OpenShift GitOps 1.4.1 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用できるようになりました。
5.1.34.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
Red Hat OpenShift GitOps Operator v1.4.0 では、以下の CRD の
spec
から説明フィールドを削除するリグレッションが導入されました。-
argoproj.io_applications.yaml
-
argoproj.io_appprojects.yaml
argoproj.io_argocds.yaml
今回の更新以前は、
kubectl create
を使用してAppProject
リソースを作成した場合、同期に失敗していました。今回の更新により、前述の CRD に欠落している説明フィールドが復元されるようになりました。GITOPS-1721
-
5.1.35. Red Hat OpenShift GitOps 1.4.0 のリリースノート
Red Hat OpenShift GitOps 1.4.0 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.10 で利用できるようになりました。
5.1.35.1. 新機能
現在のリリースでは、以下の改善点が追加されました。
-
この機能強化により、Red Hat OpenShift GitOps Application Manager CLI (
kam
) がバージョン 0.0.41 にアップグレードされます。GITOPS-1669 - 今回の機能拡張により、Argo CD がバージョン 2.2.2 にアップグレードされました。GITOPS-1532
- 今回の機能拡張により、Helm がバージョン 3.7.1 にアップグレードされました。GITOPS-1530
-
今回の機能拡張により、
DeploymentConfig
、Route
、およびOLM Operator
アイテムのヘルスステータスが Argo CD Dashboard および OpenShift Container Platform Web コンソールに追加されました。この情報は、アプリケーションの全体的なヘルスステータスをモニターする上で役立ちます。GITOPS-655、GITOPS-915、GITOPS-916、GITOPS-1110 -
今回の更新により、Argo CD カスタムリソースに
.spec.server.replicas
属性および.spec.repo.replicas
属性をそれぞれ設定して、argocd-server
およびargocd-repo-server
コンポーネントの必要なレプリカ数を指定できるようになりました。argocd-server
コンポーネントの Horizontal Pod Autoscaler (HPA) を設定する場合には、Argo CD カスタムリソース属性よりも優先されます。GITOPS-1245 管理ユーザーとして、
argocd.argoproj.io/managed-by
ラベルを使用して Argo CD に namespace へのアクセスを許可すると、namespace-admin 権限が引き継がれます。これらの権限は、開発チームなどの非管理者に namespace を提供する管理者にとって問題となります。なぜなら、権限によって非管理者がネットワークポリシーなどのオブジェクトを変更できるからです。今回の更新により、管理者はすべてのマネージド namespace に共通のクラスターロールを設定できるようになりました。Argo CD アプリケーションコントローラーのロールバインディングでは、Operator は
CONTROLLER_CLUSTER_ROLE
環境変数を参照します。Argo CD サーバーのロールバインディングでは、Operator はSERVER_CLUSTER_ROLE
環境変数を参照します。これらの環境変数にカスタムロールが含まれる場合、Operator はデフォルトの管理者ロールを作成しません。代わりに、すべてのマネージド namespace に既存のカスタムロールを使用します。GITOPS-1290-
今回の更新により、OpenShift Container Platform Developer パースペクティブの Environment ページには、パフォーマンスが低下したリソースを示す破損したハートのアイコンが表示されます (ステータスが
Progressing
、Missing
、およびUnknown
のリソースは除きます)。コンソールには、同期していないリソースを示す黄色の yield 記号のアイコンが表示されます。GITOPS-1307
5.1.35.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
今回の更新の前は、URL にパスを指定せずに、Red Hat OpenShift GitOps Application Manager CLI (
kam
) へのルートにアクセスすると、役立つ情報が何もないデフォルトページがユーザーに表示されていました。今回の更新で問題が修正され、デフォルトページにkam
CLI のダウンロードリンクが表示されるようになりました。GITOPS-923 - 今回の更新以前は、Argo CD カスタムリソースの namespace にリソースクォータを設定すると、Red Hat SSO (RH SSO) インスタンスのセットアップが失敗する可能性がありました。今回の更新では、RH SSO デプロイメント Pod の最小リソース要求を設定することで、この問題を修正しています。GITOPS-1297
-
今回の更新以前は、
argocd-repo-server
ワークロードのログレベルを変更すると、Operator はこの設定を調整しませんでした。回避策は、デプロイメントリソースを削除して、Operator が新しいログレベルでリソースを再作成するようにすることでした。今回の更新により、ログレベルは既存のargocd-repo-server
ワークロードに対して適切に調整されるようになりました。GITOPS-1387 -
今回の更新以前は、Operator が
argocd-secret
Secret に.data
フィールドがない Argo CD インスタンスを管理すると、そのインスタンスの Operator がクラッシュしていました。今回の更新により問題が修正され、.data
フィールドがない場合に Operator がクラッシュしなくなりました。代わりに、シークレットが再生成され、gitops-operator-controller-manager
リソースが再デプロイされます。GITOPS-1402 -
今回の更新以前は、
gitopsservice
サービスには、内部オブジェクトとしてのアノテーションが付けられていました。今回の更新によりアノテーションが削除され、デフォルトの Argo CD インスタンスを更新または削除し、UI を使用してインフラストラクチャーノードで GitOps ワークロードを実行できるようになりました。GITOPS-1429
5.1.35.3. 既知の問題
現行リリースの既知の問題は以下のとおりです。
Dex 認証プロバイダーから Keycloak プロバイダーに移行すると、Keycloak でログインの問題が発生する可能性があります。
この問題を防ぐには、移行時に Argo CD カスタムリソースから
.spec.dex
セクションを削除して Dex をアンインストールします。Dex が完全にアンインストールするまで数分待ちます。次に、.spec.sso.provider: keycloak
を Argo CD カスタムリソースに追加して Keycloak をインストールします。回避策として、
.spec.sso.provider: keycloak
を削除して Keycloak をアンインストールします。次に、再インストールします。GITOPS-1450、GITOPS-1331
5.1.36. Red Hat OpenShift GitOps 1.3.7 のリリースノート
Red Hat OpenShift GitOps 1.3.7 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.6 (GA サポートに制限あり) で利用できるようになりました。
5.1.36.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- この更新の前に、OpenSSL に不具合が見つかりました。この更新では、OpenSSL の不具合を回避するために、ベースイメージを最新バージョンに更新することで問題を修正しています。(CVE-2022-0778).
Red Hat OpenShift GitOps 1.3 の現在のリリースをインストールし、製品ライフサイクル中にさらに更新を受け取るには、GitOps-1.3 チャネルに切り替えます。
5.1.37. Red Hat OpenShift GitOps 1.3.6 のリリースノート
Red Hat OpenShift GitOps 1.3.6 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.6 (GA サポートに制限あり) で利用できるようになりました。
5.1.37.1. 修正された問題
以下の問題は、現在のリリースで解決されています。
- Red Hat OpenShift GitOps では、不適切なアクセス制御により管理者の権限昇格が許可されます (CVE-2022-1025)。今回の更新でこの問題が修正されています。
- パストラバーサルの欠陥により、範囲外のファイルが漏洩する可能性があります (CVE-2022-24731)。今回の更新でこの問題が修正されています。
- パストラバーサルの欠陥と不適切なアクセス制御により、範囲外のファイルが漏洩する可能性があります (CVE-2022-24730)。今回の更新でこの問題が修正されています。
5.1.38. Red Hat OpenShift GitOps 1.3.2 のリリースノート
Red Hat OpenShift GitOps 1.3.2 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.6 (GA サポートに制限あり) で利用できるようになりました。
5.1.38.1. 新機能
以下のセクションでは、修正および安定性の面での改善点に加え、Red Hat OpenShift GitOps 1.3.2 の主な新機能について説明します。
- Argo CD をバージョン 2.1.8 にアップグレード
- Dex をバージョン 2.30.0 にアップグレード
5.1.38.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
以前のバージョンでは、Infrastructure Features セクションの OperatorHub UI で、
Disconnected
でフィルタリングした場合、Red Hat OpenShift GitOps Operator は 検索結果に表示されませんでした。これは、Operator の CSV ファイルに関連するアノテーションが設定されていないことが原因でした。今回の更新により、Disconnected Cluster
アノテーションがインフラストラクチャー機能として Red Hat OpenShift GitOps Operator に追加されました。GITOPS-1539 Namespace-scoped
Argo CD インスタンス (例: クラスターの All Namepsaces にスコープされていない Argo CD インスタンス) を使用する場合、Red Hat OpenShift GitOps は管理対象の namespace の一覧を動的に維持します。これらの namespace にはargocd.argoproj.io/managed-by
ラベルが含まれます。この namespace の一覧は、Argo CDSettings Clusters "in-cluster" NAMESPACES のキャッシュに保存されます。今回の更新以前は、これらの namespace のいずれかを削除すると、Operator はそれを無視し、namespace はリストに残りました。この動作はクラスター設定の CONNECTION STATE を破損し、すべての同期の試みがエラーになりました。以下に例を示します。 Argo service account does not have <random_verb> on <random_resource_type> in namespace <the_namespace_you_deleted>.
このバグは修正されています。GITOPS-1521
- 今回の更新により、Red Hat OpenShift GitOps Operator には Deep Insights 機能レベルのアノテーションが付けられています。GITOPS-1519
-
以前のバージョンでは、Argo CD Operator は
resource.exclusion
フィールドを独自に管理していましたが、resource.inclusion
フィールドを無視していました。これにより、Argo CD
CR に設定されたresource.inclusion
フィールドがargocd-cm
設定マップで生成できませんでした。このバグは修正されています。GITOPS-1518
5.1.39. Red Hat OpenShift GitOps 1.3.1 のリリースノート
Red Hat OpenShift GitOps 1.3.1 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.6 (GA サポートに制限あり) で利用できるようになりました。
5.1.39.1. 修正された問題
- v1.3.0 にアップグレードする場合、Operator は環境変数の順序付けられたスライスを返しません。その結果、リコンサイラーが失敗し、プロキシーの背後で実行される OpenShift Container Platform クラスターでの Argo CD Pod の再作成が頻繁に生じます。今回の更新によりこの問題を修正し、Argo CD Pod が再作成されなくなりました。GITOPS-1489
5.1.40. Red Hat OpenShift GitOps 1.3 のリリースノート
Red Hat OpenShift GitOps 1.3 は、OpenShift Container Platform 4.7、4.8、4.9、および 4.6 (GA サポートに制限あり) で利用できるようになりました。
5.1.40.1. 新機能
以下のセクションでは、修正および安定性の面での改善点に加え、Red Hat OpenShift GitOps 1.3.0 の主な新機能について説明します。
-
v1.3.0 の新規インストールでは、Dex が自動的に設定されます。OpenShift または
kubeadmin
認証情報を使用して、openshift-gitops
namespace のデフォルトの Argo CD インスタンスにログインできます。管理者は、Operator のインストール後に Dex インストールを無効にすることができます。これにより、openshift-gitops
namespace から Dex デプロイメントが削除されます。 - Operator によってインストールされるデフォルトの Argo CD インスタンスおよび付随するコントローラーは、単純な設定の切り替えを設定することで、クラスターのインフラストラクチャーノードで実行できるようになりました。
- Argo CD の内部通信は、TLS および OpenShift クラスター証明書を使用して保護できるようになりました。Argo CD ルートは、cert-manager などの外部証明書マネージャーの使用に加えて、OpenShift クラスター証明書を使用できるようになりました。
- コンソール 4.9 の Developer パースペクティブの改善された Environments ページを使用して、Git Ops 環境への洞察を得ます。
-
OLM を使用してインストールされた
DeploymentConfig
リソース、Route
リソース、および Operator の Argo CD のカスタムヘルスチェックにアクセスできるようになりました。 GitOps Operator は、最新の Operator-SDK で推奨される命名規則に準拠するようになりました。
-
接頭辞
gitops-operator-
がすべてのリソースに追加されます。 -
サービスアカウントの名前が
gitops-operator-controller-manager
に変更されました。
-
接頭辞
5.1.40.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
- 以前のバージョンでは、新規 namespace が Argo CD の新規インスタンスによって管理されるように設定される場合、Operator が新規 namespace を管理するために作成する新規ロールおよびバインディングにより、すぐに 非同期 になっていました。この動作は修正されています。GITOPS-1384
5.1.40.3. 既知の問題
Dex 認証プロバイダーから Keycloak プロバイダーに移行する際に、Keycloak でログイン問題が発生する可能性があります。GITOPS-1450
上記の問題を防ぐには、移行時に Argo CD カスタムリソースにある
.spec.dex
セクションを削除して Dex をアンインストールします。Dex が完全にアンインストールされるまで数分待機してから、.spec.sso.provider: keycloak
を Argo CD カスタムリソースに追加して Keycloak のインストールに進みます。回避策として、
.spec.sso.provider: keycloak
を削除して Keycloak をアンインストールしてから、再インストールします。
5.1.41. Red Hat OpenShift GitOps 1.2.2 のリリースノート
Red Hat OpenShift GitOps 1.2.2 を OpenShift Container Platform 4.8 でご利用いただけるようになりました。
5.1.41.1. 修正された問題
現在のリリースでは、次の問題が解決されました。
- Argo CD のすべてのバージョンは、Helm チャートで使用される任意の値を渡すことを可能にするパストラバーサルバグに対して脆弱です。今回の更新により、Helm 値ファイルを渡す際の CVE-2022-24348 gitops エラー、パストラバーサル、およびシンボリックリンクの逆参照が修正されました。GITOPS-1756
5.1.42. Red Hat OpenShift GitOps 1.2.1 のリリースノート
Red Hat OpenShift GitOps 1.2.1 を OpenShift Container Platform 4.8 でご利用いただけるようになりました。
5.1.42.1. サポート表
現在、今回のリリースに含まれる機能にはテクノロジープレビューのものがあります。これらの実験的機能は、実稼働環境での使用を目的としていません。
以下の表では、機能は以下のステータスでマークされています。
- TP: テクノロジープレビュー機能
- GA: 一般公開機能
これらの機能に関しては、Red Hat カスタマーポータルの以下のサポート範囲を参照してください。
機能 | Red Hat OpenShift GitOps 1.2.1 |
---|---|
Argo CD | GA |
Argo CD ApplicationSet | TP |
Red Hat OpenShift GitOps Application Manager CLI ( | TP |
5.1.42.2. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
以前のバージョンでは、起動時にアプリケーションコントローラーでメモリーが大幅に急増していました。アプリケーションコントローラーのフラグ
--kubectl-parallelism-limit
は、デフォルトで 10 に設定されますが、この値は Argo CD CR 仕様に.spec.controller.kubeParallelismLimit
の数字を指定して上書きできます。GITOPS-1255 -
最新の Triggers APIs により、
kam bootstrap
コマンドの使用時に kustomization.yaml のエントリーが重複していることが原因で、Kubernetes のビルドが失敗しました。この問題に対処するために、Pipelines および Tekton トリガーコンポーネントが v0.24.2 および v0.14.2 にそれぞれ更新されました。GITOPS-1273 - ソース namespace から Argo CD インスタンスが削除されると、永続的な RBAC ロールおよびバインディングがターゲット namespace から自動的に削除されるようになりました。GITOPS-1228
- 以前のバージョンでは、Argo CD インスタンスを namespace にデプロイする際に、Argo CD インスタンスは "managed-by" ラベルを独自の namespace に変更していました。今回の修正により、namespace のラベルが解除されると同時に、namespace に必要な RBAC ロールおよびバインディングが作成され、削除されるようになりました。GITOPS-1247
- 以前のバージョンでは、Argo CD ワークロードのデフォルトのリソース要求制限 (特に repo-server およびアプリケーションコントローラーの制限) が、非常に厳しかったことがわかりました。現在は、既存のリソースクォータが削除され、リポジトリーサーバーのデフォルトのメモリー制限が 1024M に増えました。この変更は新規インストールにのみ影響することに注意してください。既存の Argo CD インスタンスのワークロードには影響はありません。GITOPS-1274
5.1.43. Red Hat OpenShift GitOps 1.2 のリリースノート
Red Hat OpenShift GitOps 1.2 を OpenShift Container Platform 4.8 でご利用いただけるようになりました。
5.1.43.1. サポート表
現在、今回のリリースに含まれる機能にはテクノロジープレビューのものがあります。これらの実験的機能は、実稼働環境での使用を目的としていません。
以下の表では、機能は以下のステータスでマークされています。
- TP: テクノロジープレビュー機能
- GA: 一般公開機能
これらの機能に関しては、Red Hat カスタマーポータルの以下のサポート範囲を参照してください。
機能 | Red Hat OpenShift GitOps 1.2 |
---|---|
Argo CD | GA |
Argo CD ApplicationSet | TP |
Red Hat OpenShift GitOps Application Manager CLI ( | TP |
5.1.43.2. 新機能
以下のセクションでは、修正および安定性の面での改善点に加え、Red Hat OpenShift GitOps 1.2 の主な新機能について説明します。
-
openshift-gitops namespace への読み取りまたは書き込みアクセスがない場合、GitOps Operator で
DISABLE_DEFAULT_ARGOCD_INSTANCE
環境変数を使用でき、値をTRUE
に設定し、デフォルトの Argo CD インスタンスがopenshift-gitops
namespace で開始されないようにすることができます。 -
リソース要求および制限は Argo CD ワークロードで設定されるようになりました。リソースクォータは
openshift-gitops
namespace で有効になっています。そのため、openshift-gitops namespace に手動でデプロイされる帯域外ワークロードは、リソース要求および制限で設定し、リソースクォータを増やす必要がある場合があります。 Argo CD 認証は Red Hat SSO と統合され、クラスターの OpenShift 4 アイデンティティープロバイダーに自動的に設定されるようになりました。この機能はデフォルトで無効にされています。Red Hat SSO を有効にするには、以下に示すように
ArgoCD
CR に SSO 設定を追加します。現在、keycloak
が唯一サポートされているプロバイダーです。apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd labels: example: basic spec: sso: provider: keycloak server: route: enabled: true
ルートラベルを使用してホスト名を定義して、ルーターのシャード化をサポートするようになりました。
server
(argocd サーバー)、grafana
ルートおよびprometheus
ルートに対するラベルの設定のサポートが利用可能になりました。ルートにラベルを設定するには、ArgoCD
CR のサーバーのルート設定にlabels
を追加します。argocd サーバーにラベルを設定する
ArgoCD
CR YAML の例apiVersion: argoproj.io/v1alpha1 kind: ArgoCD metadata: name: example-argocd labels: example: basic spec: server: route: enabled: true labels: key1: value1 key2: value2
-
GitOps Operator は、ラベルを適用してターゲット namespace のリソースを管理するために Argo CD インスタンスへのパーミッションを自動的に付与するようになりました。ユーザーは、ターゲット namespace に
argocd.argoproj.io/managed-by: <source-namespace>
のラベルを付けます。source-namespace
は、argocd インスタンスがデプロイされる namespace に置き換えます。
5.1.43.3. 修正された問題
以下の問題は、現在のリリースで解決されています。
-
以前のバージョンでは、ユーザーが openshift-gitops namespace のデフォルトのクラスターインスタンスで管理される Argo CD の追加のインスタンスを作成した場合は、新規の Argo CD インスタンスに対応するアプリケーションが
OutOfSync
ステータスのままになる可能性がありました。この問題は、所有者の参照をクラスターシークレットに追加することで解決されています。GITOPS-1025
5.1.43.4. 既知の問題
これらは Red Hat OpenShift GitOps 1.2 の既知の問題です。
-
Argo CD インスタンスがソース namespace から削除されると、ターゲット namespace の
argocd.argoproj.io/managed-by
ラベルは削除されません。GITOPS-1228 リソースクォータが Red Hat OpenShift GitOps 1.2 の openshift-gitops namespace で有効になっています。これは、手動でデプロイされる帯域外ワークロードおよび
openshift-gitops
namespace のデフォルトの Argo CD インスタンスによってデプロイされるワークロードに影響を及ぼします。Red Hat OpenShift GitOpsv1.1.2
からv1.2
にアップグレードする場合は、このようなワークロードをリソース要求および制限で設定する必要があります。追加のワークロードがある場合は、openshift-gitops namespace のリソースクォータを増やす必要があります。openshift-gitops
namespace の現在のリソースクォータ。リソース 要求 制限 CPU
6688m
13750m
メモリー
4544Mi
9070Mi
以下のコマンドを使用して CPU 制限を更新できます。
$ oc patch resourcequota openshift-gitops-compute-resources -n openshift-gitops --type='json' -p='[{"op": "replace", "path": "/spec/hard/limits.cpu", "value":"9000m"}]'
以下のコマンドを使用して CPU 要求を更新できます。
$ oc patch resourcequota openshift-gitops-compute-resources -n openshift-gitops --type='json' -p='[{"op": "replace", "path": "/spec/hard/cpu", "value":"7000m"}]
上記のコマンドのパスは、
cpu
からmemory
を置き換えてメモリーを更新できます。
5.1.44. Red Hat OpenShift GitOps 1.1 のリリースノート
Red Hat OpenShift GitOps 1.1 を OpenShift Container Platform 4.7 でご利用いただけるようになりました。
5.1.44.1. サポート表
現在、今回のリリースに含まれる機能にはテクノロジープレビューのものがあります。これらの実験的機能は、実稼働環境での使用を目的としていません。
以下の表では、機能は以下のステータスでマークされています。
- TP: テクノロジープレビュー機能
- GA: 一般公開機能
これらの機能に関しては、Red Hat カスタマーポータルの以下のサポート範囲を参照してください。
機能 | Red Hat OpenShift GitOps 1.1 |
---|---|
Argo CD | GA |
Argo CD ApplicationSet | TP |
Red Hat OpenShift GitOps Application Manager CLI ( | TP |
5.1.44.2. 新機能
以下のセクションでは、修正および安定性の面での改善点に加え、Red Hat OpenShift GitOps 1.1 の主な新機能について説明します。
-
ApplicationSet
機能が追加されました (テクノロジープレビュー)。ApplicationSet
機能は、多数のクラスターまたはモノリポジトリー内で Argo CD アプリケーションを管理する際に、自動化およびより大きな柔軟性を可能にします。また、マルチテナント Kubernetes クラスターでセルフサービスを使用できるようにします。 - Argo CD はクラスターロギングスタックおよび OpenShift Container Platform Monitoring およびアラート機能に統合されるようになりました。
- Argo CD 認証が OpenShift Container Platform に統合されるようになりました。
- Argo CD アプリケーションコントローラーが水平的なスケーリングをサポートするようになりました。
- Argo CD Redis サーバーが高可用性 (HA) をサポートするようになりました。
5.1.44.3. 修正された問題
以下の問題は、現在のリリースで解決されています。
- 以前のバージョンでは、Red Hat OpenShift GitOps は、アクティブなグローバルプロキシー設定のあるプロキシーサーバー設定で予想通りに機能しませんでした。この問題は修正され、Argo CD は Pod の完全修飾ドメイン名 (FQDN) を使用して Red Hat OpenShift GitOps Operator によって設定され、コンポーネント間の通信を有効にできるようになりました。GITOPS-703
-
Red Hat OpenShift GitOps バックエンドは、Red Hat OpenShift GitOps URL の
?ref=
クエリーパラメーターを使用して API 呼び出しを行います。以前のバージョンでは、このパラメーターは URL から読み取られず、バックエンドでは常にデフォルトの参照が考慮されました。この問題は修正され、Red Hat OpenShift GitOps バックエンドは Red Hat OpenShift GitOps URL から参照クエリーパラメーターを抽出し、入力参照が指定されていない場合にのみデフォルトの参照を使用します。GITOPS-817 -
以前のバージョンでは、Red Hat OpenShift GitOps バックエンドは有効な GitLab リポジトリーを見つけることができませんでした。これは、Red Hat OpenShift GitOps バックエンドが GitLab リポジトリーの
master
ではなく、ブランチ参照としてmain
の有無を確認していたためです。この問題は修正されています。GITOPS-768 -
OpenShift Container Platform Web コンソールの Developer パースペクティブの Environments ページには、アプリケーションのリストおよび環境の数が表示されるようになりました。このページには、すべてのアプリケーションをリスト表示する Argo CD Applications ページに転送する Argo CD リンクも表示されます。Argo CD Applications ページには、選択したアプリケーションのみをフィルターできる LABELS (例:
app.kubernetes.io/name=appName
) があります。GITOPS-544
5.1.44.4. 既知の問題
これらは Red Hat OpenShift GitOps 1.1 の既知の問題です。
- Red Hat OpenShift GitOps は Helm v2 および ksonnet をサポートしません。
- Red Hat SSO (RH SSO) Operator は、非接続クラスターではサポートされません。そのため、Red Hat OpenShift GitOps Operator および RH SSO 統合は非接続クラスターではサポートされません。
- OpenShift Container Platform Web コンソールから Argo CD アプリケーションを削除すると、Argo CD アプリケーションはユーザーインターフェイスで削除されますが、デプロイメントは依然としてクラスターに残ります。回避策として、Argo CD コンソールから Argo CD アプリケーションを削除します。GITOPS-830
5.1.44.5. 互換性を破る変更
5.1.44.5.1. Red Hat OpenShift GitOps v1.0.1 からのアップグレード
Red Hat OpenShift GitOps v1.0.1
から v1.1
にアップグレードすると、Red Hat OpenShift GitOps Operator は openshift-gitops
namespace で作成されたデフォルトの Argo CD インスタンスの名前を argocd-cluster
から openshift-gitops
に変更します。
これは互換性を破る変更であり、アップグレード前に以下の手順を手動で実行する必要があります。
OpenShift Container Platform Web コンソールに移動し、
openshift-gitops
namespace のargocd-cm.yml
設定マップファイルの内容をローカルファイルにコピーします。コンテンツの例を以下に示します。argocd 設定マップ YAML の例
kind: ConfigMap apiVersion: v1 metadata: selfLink: /api/v1/namespaces/openshift-gitops/configmaps/argocd-cm resourceVersion: '112532' name: argocd-cm uid: f5226fbc-883d-47db-8b53-b5e363f007af creationTimestamp: '2021-04-16T19:24:08Z' managedFields: ... namespace: openshift-gitops labels: app.kubernetes.io/managed-by: argocd-cluster app.kubernetes.io/name: argocd-cm app.kubernetes.io/part-of: argocd data: "" 1 admin.enabled: 'true' statusbadge.enabled: 'false' resource.exclusions: | - apiGroups: - tekton.dev clusters: - '*' kinds: - TaskRun - PipelineRun ga.trackingid: '' repositories: | - type: git url: https://github.com/user-name/argocd-example-apps ga.anonymizeusers: 'false' help.chatUrl: '' url: >- https://argocd-cluster-server-openshift-gitops.apps.dev-svc-4.7-041614.devcluster.openshift.com "" 2 help.chatText: '' kustomize.buildOptions: '' resource.inclusions: '' repository.credentials: '' users.anonymous.enabled: 'false' configManagementPlugins: '' application.instanceLabelKey: ''
-
デフォルトの
argocd-cluster
インスタンスを削除します。 -
新規の
argocd-cm.yml
設定マップファイルを編集して、data
セクション全体を手動で復元します。 設定マップエントリーの URL の値を、新規インスタンス名
openshift-gitops
に置き換えます。たとえば、前述の例では、URL の値を以下の URL の値に置き換えます。url: >- https://openshift-gitops-server-openshift-gitops.apps.dev-svc-4.7-041614.devcluster.openshift.com
- Argo CD クラスターにログインし、直前の設定が存在することを確認します。