1.4. 主な技術上の変更点
OpenShift Container Platform 4.12 では、主に以下のような技術的な変更点が加えられています。
AWS Security Token Service のリージョンエンドポイント
Cloud Credential Operator ユーティリティー (ccoctl) は、AWS Security Token Service (AWS STS) のリージョンエンドポイントを使用するシークレットを作成するようになりました。このアプローチは、AWS の推奨のベストプラクティスに準拠しています。
cert-manager Operator の一般提供
cert-manager Operator は OpenShift Container Platform 4.12 で一般提供されます。
Cloud Credential Operator ユーティリティーを使用して GCP リソースを削除する認証情報要求ディレクトリーパラメーター
今回のリリースでは Cloud Credential Operator ユーティリティーを使用して GCP リソースを削除する ときに、コンポーネントの CredentialsRequest オブジェクトのファイルを含むディレクトリーを指定する必要があります。
Pod セキュリティーアドミッションの今後の限定的な適用
現在、Pod のセキュリティー違反は警告として表示され、監査ログに記録されますが、Pod が拒否されることはありません。
現在、OpenShift Container Platform の次のマイナーリリースでは、Pod のセキュリティーアドミッションに対するグローバルな制限付きの適用が計画されています。この制限付きの適用が有効になっている場合、Pod セキュリティー違反のある Pod は拒否されます。
この今後の変更に備えて、ワークロードが適用される Pod セキュリティーアドミッションプロファイルと一致していることを確認してください。グローバルまたはネームスペースレベルで定義された強制セキュリティー基準に従って設定されていないワークロードは拒否されます。restricted-v2 SCC は、制限付き Kubernetes の定義に従ってワークロードを許可します。
Pod のセキュリティー違反が発生している場合は、次のリソースを参照してください。
- Pod のセキュリティー違反の原因となっているワークロードを見つける方法の詳細は、Pod のセキュリティー違反の特定 を参照してください。
Pod セキュリティーアドミッションラベルの同期のタイミングに関する詳細は、Pod セキュリティー標準との Security Context Constraint の同期 を参照してください。Pod セキュリティーアドミッションラベルは、次のような特定の状況では同期されません。
-
ワークロードは、
openshift-で始まるシステム作成の namespace で実行されています。 - ワークロードは、Pod コントローラーなしで直接作成された Pod で実行されています。
-
ワークロードは、
-
必要に応じて、
pod-security.kubernetes.io/enforceラベルを設定して、namespace または Pod にカスタムアドミッションプロファイルを設定できます。
カタログソースと制限付き Pod セキュリティーアドミッションの適用
SQLite ベースのカタログ形式と、OpenShift Container Platform 4.11 より前にリリースされたバージョンの opm CLI ツールを使用してビルドされたカタログソースは、制限付き Pod セキュリティーの適用下では実行できません。
OpenShift Container Platform 4.12 では、デフォルトで namespace には制限付き Pod セキュリティーが適用されず、カタログソースのデフォルトセキュリティーモードは legacy に設定されています。
制限付き Pod セキュリティー適用下で SQLite ベースのカタログソース Pod を実行したくない場合は、OpenShift Container Platform 4.12 でカタログソースを更新する必要はありません。ただし、今後の OpenShift Container Platform リリースでカタログソースが確実に実行されるようにするには、カタログソースを更新して、制限付き Pod セキュリティーの適用下で実行する必要があります。
カタログの作成者は、次のいずれかのアクションを実行することで、制限付き Pod セキュリティー適用との互換性を有効にできます。
- カタログをファイルベースのカタログ形式に移行します。
-
OpenShift Container Platform 4.11 以降でリリースされたバージョンの
opmCLI ツールでカタログイメージを更新します。
SQLite データベースカタログイメージを更新したり、カタログをファイルベースのカタログ形式に移行したりしたくない場合は、昇格されたパーミッションで実行するようにカタログを設定できます。
詳細は、カタログソースと Pod セキュリティーアドミッション を参照してください。
Operator SDK 1.25.4
OpenShift Container Platform 4.12 は Operator SDK 1.25.4 をサポートします。この最新バージョンのインストール、または最新バージョンへの更新は、Operator SDK CLI のインストール を参照してください。
Operator SDK 1.25.4 は Kubernetes 1.25 をサポートします。
詳細は Kubernetes 1.25 から削除されたベータ API および Kubernetes 1.25 から削除された API のバンドルマニフェストの検証 を参照してください。
以前に Operator SDK 1.22.2 で作成または管理されている Operator プロジェクトがある場合は、Operator SDK 1.25.4 との互換性を維持するためにプロジェクトを更新してください。
LVM Operator の名称を Logical Volume Manager Storage に変更
これまで Red Hat OpenShift Data Foundation で提供されていた LVM Operator は、OpenShift Data Foundation を介してインストールする必要があります。OpenShift Container Platform v4.12 では、LVM Operator の名称が Logical Volume Manager Storage に変更されました。今後は、OpenShift Operator カタログからスタンドアロン Operator としてインストールします。Logical Volume Manager Storage は、単一の限られたリソースのシングルノード OpenShift クラスターで、ブロックストレージの動的なプロビジョニングを提供します。
RHOSP 16.1 のサポート終了
OpenShift Container Platform は RHOSP 16.1 をデプロイメントターゲットとしてサポートしなくなりました。詳細は、OpenShift Container Platform on Red Hat OpenStack Platform Support Matrix を参照してください。
