7.2. Security Profiles Operator リリースノート
Security Profiles Operator は、セキュアコンピューティング (seccomp) および SELinux プロファイルをカスタムリソースとして定義し、特定の namespace 内のすべてのノードにプロファイルを同期する方法を提供します。
これらのリリースノートは、OpenShift Container Platform での Security Profiles Operator の開発を追跡します。
Security Profiles Operator の概要については、xref:[Security Profiles Operator の概要] を参照してください。
7.2.1. Security Profiles Operator 0.8.2
Security Profiles Operator 0.8.2 については、次のアドバイザリーを利用できます。
7.2.1.1. バグ修正
-
これまで、
SELinuxProfileオブジェクトは同じ namespace からカスタム属性を継承しませんでした。今回の更新でこの問題は解決され、SELinuxProfileオブジェクト属性が期待どおりに同じ namespace から継承されるようになりました。(OCPBUGS-17164) -
以前は、RawSELinuxProfiles の作成プロセス中にハングし、
Installed状態に到達しませんでした。今回の更新でこの問題は解決され、RawSELinuxProfiles が正常に作成されるようになりました。(OCPBUGS-19744) -
以前は、パッチを適用して
enableLogEnricherをtrueにすると、seccompProfilelog-enricher-tracePod がPending状態でスタックしていました。今回の更新では、log-enricher-tracePod の状態は期待どおりにInstalledになります。(OCPBUGS-22182) 以前は、Security Profiles Operator は高カーディナリティーメトリクスを生成し、そのため Prometheus Pod が大量のメモリーを使用していました。今回の更新により、次のメトリクスは Security Profiles Operator namespace に適用されなくなります。
-
rest_client_request_duration_seconds -
rest_client_request_size_bytes rest_client_response_size_bytes
-
7.2.2. Security Profiles Operator 0.8.0
Security Profiles Operator 0.8.0 については、次のアドバイザリーを利用できます。
7.2.2.1. バグ修正
- 以前は、非接続クラスターに Security Profiles Operator をインストールしようとすると、SHA による再ラベル付が問題となり、セキュアなハッシュが間違っていました。この更新により、提供された SHA は非接続環境でも一貫して動作するようになりました。(OCPBUGS-14404)
7.2.3. Security Profiles Operator 0.7.1
Security Profiles Operator 0.7.1 については、次のアドバイザリーを利用できます。
7.2.3.1. 新機能および機能拡張
Security Profiles Operator (SPO) は、RHEL 8 および 9 ベースの RHCOS システムに適切な
selinuxdイメージを自動的に選択するようになりました。重要非接続環境のイメージをミラーリングするユーザーは、Security Profiles Operator によって提供される両方の
selinuxdイメージをミラーリングする必要があります。spodデーモン内でメモリー最適化を有効にできるようになりました。詳細は、spod デーモンでのメモリー最適化の有効化 を参照してください。注記デフォルトで SPO メモリーの最適化は有効になっていません。
- デーモンリソース要件を設定できるようになりました。詳細は、デーモンリソース要件のカスタマイズ を参照してください。
-
優先クラス名を
spod設定で指定できるようになりました。詳細は、spod デーモン Pod のカスタム優先クラス名の設定 を参照してください。
7.2.3.2. 非推奨および削除された機能
-
デフォルトの
nginx-1.19.1seccomp プロファイルが Security Profiles Operator デプロイメントから削除されました。
7.2.3.3. バグ修正
- これまで、Security Profiles Operator (SPO) SELinux ポリシーはコンテナーテンプレートから低レベルのポリシー定義を継承しませんでした。net_container などの別のテンプレートを選択した場合、コンテナーテンプレートにのみ存在する低レベルのポリシー定義が必要となるため、ポリシーは機能しません。この問題は、SPO SELinux ポリシーが SELinux ポリシーを SPO カスタム形式から 共通中間言語 (CIL) 形式に変換しようとすると発生しました。今回の更新により、SPO から CIL への変換を必要とする SELinux ポリシーにコンテナーテンプレートが追加されます。さらに、SPO SELinux ポリシーは、サポートされている任意のポリシーテンプレートから低レベルのポリシー定義を継承できます。(OCPBUGS-12879)
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfigurationオブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfigurationオブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
7.2.4. Security Profiles Operator 0.5.2
Security Profiles Operator 0.5.2 については、次のアドバイザリーを利用できます。
この更新プログラムは、基になる依存関係の CVE に対処します。
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfigurationオブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfigurationオブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
7.2.5. Security Profiles Operator 0.5.0
Security Profiles Operator 0.5.0 については、次のアドバイザリーを利用できます。
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfigurationオブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfigurationオブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
