検索
サポートコンソール開発者トライアルの開始お問い合わせ

1.8. 既知の問題

download PDF

  • OpenShift Container Platform 4.1 では、匿名ユーザーは検出エンドポイントにアクセスできました。後のリリースでは、一部の検出エンドポイントは集約された API サーバーに転送されるため、このアクセスを無効にして、セキュリティーの脆弱性の可能性を減らすことができます。ただし、既存のユースケースに支障がで出ないように、認証されていないアクセスはアップグレードされたクラスターで保持されます。

    OpenShift Container Platform 4.1 から 4.10 にアップグレードされたクラスターのクラスター管理者の場合、認証されていないアクセスを無効にするか、これを引き続き許可することができます。特定の必要がなければ、認証されていないアクセスを無効にすることが推奨されます。認証されていないアクセスを引き続き許可する場合は、それに伴ってリスクが増大することに注意してください。

    警告

    認証されていないアクセスに依存するアプリケーションがある場合、認証されていないアクセスを取り消すと HTTP 403 エラーが生じる可能性があります。

    以下のスクリプトを使用して、検出エンドポイントへの認証されていないアクセスを無効にします。 

    ## Snippet to remove unauthenticated group from all the cluster role bindings
$ for clusterrolebinding in cluster-status-binding discovery system:basic-user system:discovery system:openshift:discovery ;
do
### Find the index of unauthenticated group in list of subjects
index=$(oc get clusterrolebinding ${clusterrolebinding} -o json | jq 'select(.subjects!=null) | .subjects | map(.name=="system:unauthenticated") | index(true)');
### Remove the element at index from subjects array
oc patch clusterrolebinding ${clusterrolebinding} --type=json --patch "[{'op': 'remove','path': '/subjects/$index'}]";
done

    このスクリプトは、認証されていないサブジェクトを以下のクラスターロールバインディングから削除します。

    • cluster-status-binding
    • discovery
    • system:basic-user
    • system:discovery
    • system:openshift:discovery

    (BZ#1821771)

  • oc annotate コマンドは、等号 (=) が含まれる LDAP グループ名では機能しません。これは、コマンドがアノテーション名と値の間に等号を区切り文字として使用するためです。回避策として、oc patch または oc edit を使用してアノテーションを追加します。(BZ#1917280)
  • 現在、コンテナーは、空でない継承可能な Linux プロセス機能で開始します。この問題を回避するには、capsh (1) などのユーティリティーを使用してコンテナーのエントリーポイントを変更し、プライマリープロセスが開始する前に継承可能な機能を削除します。(BZ#2076265)

  • OpenShift Container Platform 4.10 にアップグレードする場合、Cluster Version Operator は、前提条件チェックに失敗している間、アップグレードを約 5 分間ブロックします。It may not be safe to apply this update エラーテキストは、誤解を招く可能性があります。このエラーは、1 つまたは複数の前提条件チェックが失敗した場合に発生します。状況によっては、これらの前提条件チェックは、etcd バックアップ中など、短期間しか失敗しない場合があります。このような状況では、Cluster Version Operator と対応する Operator は、設計上、失敗した前提条件チェックを自動的に解決し、CVO はアップグレードを正常に開始します。

    ユーザーは、クラスターオペレーターのステータスと条件を確認する必要があります。Cluster Version Operator により It may not be safe to apply this update エラーが表示される場合は、これらのステータスと条件により、メッセージの重大度に関する詳細情報が提供されます。詳細については、BZ#1999777BZ#2061444BZ#2006611 を参照してください。

  • EgressIP 機能を持つコントロールプレーンノードへの egress IP アドレスの割り当ては、Amazon Web Services (AWS) でプロビジョニングされるクラスターではサポートされません。(BZ#2039656)
  • 以前のリリースでは、Red Hat OpenStack Platform (RHOSP) 認証情報シークレットの作成と kube-controller-manager の起動には競合状態がありました。その結果、Red Hat OpenStack Platform(RHOSP) クラウドプロバイダーは RHOSP の認証情報で設定されず、LoadBalancer サービスの Octavia ロードバランサーの作成時にサポートが破損していました。これを回避するには、マニフェストから Pod を手動で削除して kube-controller-manager Pod を再起動する必要があります。回避策を使用する場合、kube-controller-manager Pod が再起動され、RHOSP 認証情報が適切に設定されます。(BZ#2004542)
  • delete all operands オプションを使用して Web コンソールからオペランドを削除する機能は現在無効にされています。これは OpenShift Container Platform の今後のバージョンで再度有効になります。詳細は、BZ#2012120 および BZ#2012971 を参照してください。

  • 本リリースには、Jenkins の既知の問題が含まれています。OpenShift OAuth ルートのホスト名および証明書をカスタマイズする場合、Jenkins は OAuth サーバーエンドポイントを信頼しなくなりました。そのため、ユーザーは、アイデンティティーおよびアクセスを管理する OpenShift OAuth 統合に依存する場合に、Jenkins コンソールにログインできません。

    回避策: Red Hat ナレッジベースソリューション Deploy Jenkins on OpenShift with Custom OAuth Server URL を参照してください。(BZ#1991448)

  • 本リリースには、Jenkins の既知の問題が含まれています。XML ファイルの検証またはクエリーに必要な xmlstarlet コマンドラインツールキットは、この RHEL ベースのイメージに含まれていません。この問題は、認証に OpenShift OAuth を使用しないデプロイメントに影響します。OpenShift OAuth はデフォルトで有効になっていますが、ユーザーは無効にすることができます。

    回避策: 認証に OpenShift OAuth を使用します。(BZ#2055653)

  • インスタンスグループ名が 64 文字を超えると、Google Cloud Platform (GCP) UPI のインストールに失敗します。"-instance-group" 接尾辞を追加した後に、命名プロセスで制限されています。接尾辞を -ig に短縮し、文字数を減らします。(BZ#1921627)
  • RHOSP で実行され、Kuryr を使用するクラスターの場合、Octavia の OVN プロバイダードライバーのバグにより、ロードバランサーリスナーが PENDING_UPDATE 状態でスタックし、接続されているロードバランサーが active 状態のままになる可能性があります。その結果、kuryr-controller Pod がクラッシュする可能性があります。この問題を解決するには、RHOSP をバージョン 16.1.9 (BZ#2019980) またはバージョン 16.2.4 (BZ#2045088) に更新します。
  • 正しくないネットワークが vSphere install-config.yaml ファイルに指定されている場合、Terraform からのエラーメッセージはしばらく後に生成されます。マニフェストの作成時にチェックを追加して、ネットワークが無効な場合にユーザーに通知します。(BZ#1956776)
  • Special Resource Operator (SRO) は、ソフトウェア定義ネットワークポリシーにより、Google Cloud Platform へのインストールに失敗する可能性があります。その結果、simple-kmod Pod は作成されません。(BZ#1996916)
  • 現時点で、ステートフルセットにマップされるサービスに対して oc idle を実行すると、ステートフルセットのアイドリングはサポートされていません。現時点では、既知の回避策はありません。(BZ#1976894)
  • Alibaba Cloud International Portal アカウントの中国 (南京) および UAE (Dubai) の地域は、インストーラーでプロビジョニングされるインフラストラクチャー (IPI) のインストールをサポートしません。Alibaba Cloud International Portal アカウントを使用している場合、中国 (広州) および中国 (ウランチャブ) の地域は Server Load Balancer (SLB) をサポートしません。(BZ#2048062)
  • Alibaba Cloud の韓国 (ソウル) ap-northeast-2 リージョンは、インストーラープロビジョニングインフラストラクチャー (IPI) のインストールをサポートしていません。韓国 (ソウル) リージョンは Server Load Balancer (SLB) をサポートしていないため、IPI インストールもサポートしていません。このリージョンで OpenShift Container Platform を使用する場合は、Alibaba Cloud にお問い合わせください。(BZ#2062525)
  • 現時点で、Knative Serving: Revision CPU、Memory、および Network usage および Knative Serving: Revision Queue proxy Metrics ダッシュボードは、Knative サービスを持たないものを含め、すべての namespace に表示されます。(BZ#2056682)
  • 現在、Developer パースペクティブでは、Observe ダッシュボードが Topology ビューで選択したワークロードではなく、最近表示されるワークロードに対して開きます。この問題は、セッションが URL のクエリーパラメーターではなく Redux ストアを使用するために発生します。(BZ#2052953)
  • 現時点で、ProjectHelmChartRepository カスタムリソース (CR) は、この CR の API スキーマがクラスターで初期化されていないため、クラスターには表示されません。(BZ#2054197)
  • 現在、大量のパイプラインログを実行している間、自動スクロール機能は機能せず、古いメッセージを表示するログが停止します。この問題は、大量のパイプラインログを実行して scrollIntoView メソッドへの多数の呼び出しを生成するために発生します。(BZ#2014161)
  • 現在、Git からインポートフォームを使用してプライベート Git リポジトリーをインポートすると、正しいインポートタイプとビルダーイメージが識別されません。この問題は、プライベートリポジトリーの詳細をフェッチするシークレットがデコードされないために発生します。(BZ#2053501)
  • モニタリングスタックのアップグレード中、Prometheus および Alertmanager が一時的に利用できない可能性があります。短時間が経過するとコンポーネントが利用可能になるため、回避策は必要ありません。ユーザーの介入は必要ありません。(BZ#203059)
  • 本リリースでは、モニタリングスタックコンポーネントが、メトリクス収集に TLS 認証を使用するように更新されています。ただし、Prometheus は、新規認証情報が提供された後にも、期限切れの TLS 認証情報を使用してメトリックターゲットへの HTTP 接続を開放しようとすることがあります。その後、認証エラーが発生し、一部のメトリックターゲットが利用できなくなります。この問題が発生すると、TargetDown アラートが実行されます。この問題を回避するには、down として報告される Pod を再起動します。(BZ#2033575)
  • 本リリースでは、モニタリングスタックの Alertmanager レプリカの数が 3 から 2 に削減されました。ただし、削除された 3 番目のレプリカの Persistent Volume Claim (永続ボリューム要求、PVC) は、アップグレードプロセスの一環として自動的に削除されません。アップグレード後に、管理者は Cluster Monitoring Operator からこの PVC を手動で削除できます。(BZ#2040131)
  • 以前のバージョンでは、oc adm must-gather ツールは、複数の --image 引数が指定される場合にパフォーマンス固有のデータを収集しませんでした。操作の完了時に、ノードおよびパフォーマンス関連のファイルを含むファイルは欠落していました。この問題は、4.7 から 4.10 までの OpenShift Container Platform バージョンに影響します。この問題は、イメージごとに oc adm must-gather 操作を 2 回実行して解決できます。その結果、予想されるファイルをすべて収集できます。(BZ#2018159)
  • Technology Preview oc-mirror CLI プラグインを使用する場合、更新されたイメージセットをミラーレジストリーにミラーリングした後にクラスターを更新するときに発生する可能性がある既知の問題があります。以前のバージョンの Operator を削除してから新しいバージョンに置き換えることにより、新しいバージョンの Operator がチャネルに公開された場合は、oc-mirror プラグインから生成された Catalog Source ファイルを適用するときにエラーが発生する可能性があります。これはカタログは無効と見なされるためです。回避策として、ミラーレジストリーから以前のカタログイメージを削除し、新しい差分イメージセットを生成して公開してから、Catalog Source ファイルをクラスターに適用します。この問題が解決されるまで、新しい差分イメージセットを公開するたびに、この回避策に従う必要があります。(BZ#2060837)
  • GitOps ZTP フロー中の StoragePVC カスタムリソースの処理では、ユーザーがその値を含めない場合は、volume.beta.kubernetes.io/storage-class アノテーションが除外されません。このアノテーションにより、spec.storageClassName フィールドは無視されます。これを回避するには、StoragePVCカスタムリソースを使用するときに、PolicyGenTemplate 内の volume.beta.kubernetes.io/storage-class アノテーションで目的の StorageClass 名を設定します。(BZ#2060554)
  • ボーダーゲートウェイプロトコル (BGP) ピアリソースで有効になっている双方向フォワーディング検出 (BFD) カスタムプロファイルを削除しても、BFD は無効になりません。代わりに、BGP ピアはデフォルトの BFD プロファイルの使用を開始します。BGP ピアリソースから BFD をディセーブルにするには、BGP ピア設定を削除し、BFD プロファイルなしで再作成します。(BZ#2050824)
  • RHOSP で実行され、シングルルート I/O 仮想化設定 (SR-IOV) の一部として Mellanox NIC を使用するクラスターの場合は、pod を起動してから SR-IOV デバイスプラグインを再起動して pod を停止すると、Pod を作成できない場合があります。この問題の回避策はありません。
  • OpenShift Container Platform は、DHCP サーバーなしでインストーラーがプロビジョニングしたクラスターのデプロイをサポートします。ただし、DHCP サーバーがないと、ブートストラップ VM は baremetal ネットワークの外部 IP アドレスを受け取りません。i ブートストラップ VM に IP アドレスを割り当てるには、Assigning a bootstrap VM an IP address on the baremetal network without a DHCP server を参照してください。(BZ#2048600)
  • OpenShift Container Platform は、DHCP サーバーのない環境のbaremetal ネットワーク上で、静的 IP アドレスを使用してインストーラーでプロビジョニングされたクラスターのデプロイをサポートします。DHCP サーバーが存在する場合、ノードは再起動時に DHCP サーバーから IP アドレスを取得する可能性があります。DHCP が再起動時にノードに IP アドレスを割り当てないようにするには、Preventing DHCP from assigning an IP address on node reboot を参照してください。(BZ#2036677)
  • RHCOS カーネルは、Netfilter モジュールのバグによりソフトロックアップを起こし、最終的にパニックに陥ります。この問題は、OpenShift Container Platform の今後の z-stream リリースで修正され、解決される予定です。(BZ#2061445)
  • 一部のイメージインデックスに古いイメージが含まれているため、oc adm catalog mirror および oc image mirror を実行すると、error: unable to retrieve source image エラーが発生する場合があります。一時的な回避策として、--skip-missing オプションを使用してエラーを回避し、イメージインデックスのダウンロードを続行できます。詳細は、Service Mesh Operator mirroring failed を参照してください。
  • 仮想機能 (VF) がすでに存在する場合、Physical Fundtion (PF) で macvlan を作成することはできません。この問題は、Intel E810 NIC に影響します。(BZ#2120585)
  • ZTP 経由でデプロイされたクラスターに準拠していないポリシーがあり、ClusterGroupUpdates オブジェクトが存在しない場合は、TALM Pod を再起動する必要があります。TALM を再起動すると、適切な ClusterGroupUpdates オブジェクトが作成され、ポリシーへの準拠が強制されます。(OCPBUGS-4065)
  • 現在、非常に多くのファイルを含む永続ボリューム (PV) を使用すると、Pod が起動しないか、起動に過度に時間がかかる場合があります。詳細は、ナレッジベースアーティクル を参照してください。(BZ1987112)
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.