Red Hat Summit9.2. cert-manager Operator for Red Hat OpenShift リリースノート
cert-manager Operator for Red Hat OpenShift は、アプリケーション証明書のライフサイクル管理を提供するクラスター全体のサービスです。
以下のリリースノートは、cert-manager Operator for Red Hat OpenShift の開発履歴を記録したものです。
詳細は、cert-manager Operator for Red Hat OpenShift について を参照してください。
9.2.1. cert-manager Operator for Red Hat OpenShift 1.13.1
発行日: 2024 年 5 月 15 日
cert-manager Operator for Red Hat OpenShift 1.13.1 については、次のアドバイザリーが利用できます。
cert-manager Operator for Red Hat OpenShift のバージョン 1.13.1 は、アップストリームの cert-manager バージョン v1.13.6 をベースにしています。詳細は、cert-manager project release notes for v1.13.6 を参照してください。
9.2.1.1. CVE
9.2.2. cert-manager Operator for Red Hat OpenShift 1.13.0
発行日: 2024 年 1 月 16 日
cert-manager Operator for Red Hat OpenShift 1.13.0 については、次のアドバイザリーが利用できます。
cert-manager Operator for Red Hat OpenShift のバージョン 1.13.0 は、アップストリームの cert-manager バージョン v1.13.3 をベースにしています。詳細は、cert-manager project release notes for v1.13.0 を参照してください。
9.2.2.1. 新機能および機能拡張
- cert-manager Operator for Red Hat OpenShift を使用して、API サーバーと Ingress コントローラーの証明書を管理できるようになりました。詳細は、発行者による証明書の設定 を参照してください。
-
このリリースでは、以前は AMD64 アーキテクチャー上の OpenShift Container Platform に限定されていた cert-manager Operator for Red Hat OpenShift の範囲が拡張され、IBM Z® (
s390x)、IBM Power® (ppc64le)、ARM64 アーキテクチャー上で稼働する OpenShift Container Platform 上での証明書管理も対象に含まれるようになりました。 -
このリリースでは、ACME DNS-01 チャレンジ認証中にセルフチェックを実行するために DNS over HTTPS (DoH) を使用できるようになりました。DNS セルフチェック方式は、コマンドラインフラグ
--dns01-recursive-nameservers-onlyおよび--dns01-recursive-nameserversを使用して制御できます。詳細は、cert-manager Operator API からの引数をオーバーライドして cert-manager をカスタマイズする を参照してください。
9.2.2.2. CVE
9.2.3. Red Hat OpenShift 1.12.1 の cert-manager Operator のリリースノート
発行日: 2023 年 11 月 15 日
以下のアドバイザリーは、Red Hat OpenShift 1.12.1 の cert-manager Operator で利用できます。
cert-manager Operator for Red Hat OpenShift のバージョン 1.12.1 は、アップストリームの cert-manager バージョン v1.12.5 に基づいています。詳細は、cert-manager project release notes for v1.12.5 を参照してください。
9.2.3.1. バグ修正
- これまで、マルチアーキテクチャー環境では、無効なノードアフィニティー設定が原因で、cert-manager Operator Pod に障害が発生する傾向がありました。この修正により、cert-manager Operator Pod を実行しても、このような障害は発生しなくなりました。(OCPBUGS-19446)
9.2.3.2. CVE
9.2.4. Red Hat OpenShift 1.12.0 の cert-manager Operator のリリースノート
発行日: 2023-10-02
以下のアドバイザリーは、cert-manager Operator for Red Hat OpenShift 1.12.0 で利用できます。
cert-manager Operator for Red Hat OpenShift のバージョン 1.12.0 は、アップストリームの cert-manager バージョン v1.12.4 に基づいています。詳細は、cert-manager project release notes for v1.12.4 を参照してください。
9.2.4.1. バグ修正
- 以前は、cert-manager コントローラー、CA インジェクター、Webhook などの cert-manager コンポーネントの CPU およびメモリーの要求と制限を設定できませんでした。コマンドラインインターフェイス (CLI) を使用して、cert-manager コンポーネントの CPU およびメモリーの要求と制限を設定できるようになりました。詳細は、cert-manager コンポーネントの CPU およびメモリー制限のオーバーライド を参照してください。(OCPBUGS-13830)
-
以前は、
ClusterIssuerオブジェクトを更新すると、cert-manager Operator for Red Hat OpenShift はクラスター発行者の変更を検証して更新できませんでした。現在は、ClusterIssuerオブジェクトを変更すると、cert-manager Operator for Red Hat OpenShift が ACME アカウントの登録を検証し、変更を更新します。(OCPBUGS-8210) -
以前は、cert-manager Operator for Red Hat OpenShift は
--enable-certificate-owner-refフラグの有効化をサポートしていませんでした。現在は、cert-manager Operator for Red Hat OpenShift は、clusterオブジェクトにspec.controllerConfig.overrideArgsフィールドを追加することで--enable-certificate-owner-refフラグを有効化することをサポートするようになりました。--enable-certificate-owner-refフラグを有効にすると、cert-manager はCertificateリソースがクラスターから削除される際にシークレットを自動削除できます。--enable-certificate-owner-refフラグを有効にして TLS シークレットを自動削除する方法の詳細は、証明書を削除する際に TLS シークレットを自動的に削除する (CM-98) を参照してください。 -
以前は、cert-manager Operator for Red Hat OpenShift は
jetstack-cert-manager-container-v1.12.4-1イメージをプルできませんでした。cert-manager コントローラー、CA インジェクター、および Webhook Pod がImagePullBackOff状態のままになっていました。現在は、cert-manager Operator for Red Hat OpenShift はjetstack-cert-manager-container-v1.12.4-1イメージをプルして、cert-manager コントローラー、CA インジェクター、および Webhook Pod を正常に実行できるようになりました。(OCPBUGS-19986)
9.2.5. Red Hat OpenShift 1.11.5 の cert-manager Operator のリリースノート
発行日: 2023 年 11 月 15 日
以下のアドバイザリーは、Red Hat OpenShift 1.11.5 の cert-manager Operator で利用できます。
Common Vulnerabilities and Exposures (CVE) を修正するために、Golang バージョンが 1.20.10 に更新されました。cert-manager Operator for Red Hat OpenShift のバージョン 1.11.5 は、アップストリームの cert-manager バージョン v1.11.5 に基づいています。詳細は、cert-manager project release notes for v1.11.5 を参照してください。
9.2.5.1. バグ修正
- これまで、マルチアーキテクチャー環境では、無効なノードアフィニティー設定が原因で、cert-manager Operator Pod に障害が発生する傾向がありました。この修正により、cert-manager Operator Pod を実行しても、このような障害は発生しなくなりました。(OCPBUGS-19446)
9.2.5.2. CVE
9.2.6. Red Hat OpenShift 1.11.4 の cert-manager Operator のリリースノート
発行日: 2023-07-26
以下のアドバイザリーは、Red Hat OpenShift 1.11.4 の cert-manager Operator で利用できます。
Golang バージョンは、共通脆弱性および露出 (CVE) を修正するためにバージョン 1.19.10 に更新されました。cert-manager Operator for Red Hat OpenShift のバージョン 1.11.4 は、アップストリームの cert-manager バージョン v1.11.4 に基づいています。詳細は、cert-manager project release notes for v1.11.4 を参照してください。
9.2.6.1. バグ修正
- 以前は、cert-manager Operator for Red Hat OpenShift では、古いバージョンの cert-manager Operator for Red Hat OpenShift をインストールできませんでした。Web コンソールまたはコマンドラインインターフェイス (CLI) を使用して、Red Hat OpenShift の古いバージョンの cert-manager Operator をインストールできるようになりました。Web コンソールを使用して古いバージョンをインストールする方法の詳細は、cert-manager Operator for Red Hat OpenShift のインストール を参照してください。(OCPBUGS-16393)
9.2.7. Red Hat OpenShift 1.11.1 の cert-manager Operator のリリースノート
発行日: 2023 年 6 月 21 日
以下のアドバイザリーは、Red Hat OpenShift 1.11.1 の cert-manager Operator で利用できます。
cert-manager Operator for Red Hat OpenShift のバージョン 1.11.1 は、アップストリームの cert-manager バージョン v1.11.1 に基づいています。詳細は、v1.11.1 の cert-manager プロジェクトリリースノート を参照してください。
9.2.7.1. 新機能および拡張機能
これは、cert-manager Operator for Red Hat OpenShift の一般提供 (GA) リリースです。
9.2.7.1.1. Red Hat OpenShift の cert-manager および cert-manager Operator のログレベル設定
- Red Hat OpenShift の cert-manager および cert-manager Operator に関する問題をトラブルシューティングするために、Red Hat OpenShift の cert-manager および cert-manager Operator のログレベルを設定してログの詳細レベルを設定できるようになりました。詳細は、Red Hat OpenShift の cert-manager および cert-manager Operator のログレベル設定 を参照してください。
9.2.7.1.2. AWS を使用する cert-manager Operator for Red Hat OpenShift 認証
- Security Token Service (STS) を使用して、または STS を使用せずに、AWS クラスター上の cert-manager Operator for Red Hat OpenShift クラウド認証情報を設定できるようになりました。詳細は、AWS Security Token Service 上での cert-manager Operator for Red Hat OpenShift 認証 および AWS 上での cert-manager Operator for Red Hat OpenShift 認証 を参照してください。
9.2.7.1.3. GCP を使用する cert-manager Operator for Red Hat OpenShift 認証
- Workload Identity を使用して、または使用せずに、GCP クラスター上の cert-manager Operator for Red Hat OpenShift クラウド認証情報を設定できるようになりました。詳細は、GCP Workload Identity を使用した cert-manager Operator for Red Hat OpenShift 認証 および GCP を使用した cert-manager Operator for Red Hat OpenShift 認証 を参照してください。
9.2.7.2. バグ修正
-
以前は、
cm-acme-http-solverPod は、公開されている最新の Red Hat イメージregistry.redhat.io/cert-manager/jetstack-cert-manager-acmesolver-rhel9を使用しませんでした。今回のリリースにより、cm-acme-http-solverPod は、公開されている最新の Red Hat イメージregistry.redhat.io/cert-manager/jetstack-cert-manager-acmesolver-rhel9を使用するようになりました。(OCPBUGS-10821) - これまで cert-manager Operator for Red Hat OpenShift は、コントローラー、CA インジェクター、Webhook Pod などの cert-manager Pod のラベル変更をサポートしていませんでした。今回のリリースにより、cert-manager Pod にラベルを追加できるようになりました。(OCPBUGS-8466)
-
これまで、cert-manager Operator for Red Hat OpenShift ではログの詳細レベルを更新できませんでした。しかし、サブスクリプションリソースで環境変数
OPERATOR_LOG_LEVELを使用して、ログの詳細レベルを更新できるようになりました。(OCPBUGS-9994) - これまで、cert-manager Operator for Red Hat OpenShift をアンインストールする際に、OpenShift Container Platform Web コンソールで Delete all operand instances for this operator チェックボックスを選択すると、Operator が適切にアンインストールされませんでした。cert-manager Operator for Red Hat OpenShift が適切にアンインストールできるようになりました。(OCPBUGS-9960)
- 以前は、cert-manager Operator for Red Hat OpenShift は、Google Workload Identity フェデレーションのワークロード ID フェデレーションの使用をサポートしていませんでした。cert-manager Operator for Red Hat OpenShift は、Google Workload Identity フェデレーションの使用をサポートするようになりました。(OCPBUGS-9998)
9.2.7.3. 既知の問題
-
cert-manager Operator for Red Hat OpenShift をインストールした後、OpenShift Container Platform Web コンソールで Operators
Installed Operators に移動して Operator details を選択すると、すべての namespace で作成された cert-manager リソースが表示されません。回避策として、Home API Explorer に移動して、cert-manager リソースを表示できます。(OCPBUGS-11647) -
Web コンソールを使用して cert-manager Operator for Red Hat OpenShift をアンインストールした後、cert-manager Operator for Red Hat OpenShift は
cert-managernamespace から cert-manager コントローラー、CA インジェクター、Webhook Pod を自動的に削除しません。回避策として、cert-managernamespace にある cert-manager コントローラー、CA インジェクター、Webhook Pod デプロイメントを手動で削除できます。(OCPBUGS-13679)
9.2.8. Red Hat OpenShift 1.10.3 の cert-manager Operator のリリースノート
発行日: 2023 年 8 月 8 日
以下のアドバイザリーは、Red Hat OpenShift 1.10.3 の cert-manager Operator で利用できます。
cert-manager Operator for Red Hat OpenShift のバージョン 1.10.3 は cert-manager アップストリームバージョン v1.10.2 に基づいています。このリリースでは、cert-manager Operator for Red Hat OpenShift のバージョンは 1.10.3 ですが、cert-manager オペランドのバージョンは 1.10.2 です。詳細は、v1.10.2 の cert-manager プロジェクトリリースノート を参照してください。
9.2.8.1. CVE
9.2.9. Red Hat OpenShift 1.10.2 の cert-manager Operator のリリースノート
発行: 2023-03-23
以下のアドバイザリーは、Red Hat OpenShift 1.10.2 の cert-manager Operator で利用できます。
cert-manager Operator for Red Hat OpenShift のバージョン 1.10.2 は、アップストリームの cert-manager バージョン v1.10.2 に基づいています。詳細は、v1.10.2 の cert-manager プロジェクトリリースノート を参照してください。
Red Hat OpenShift 用の cert-manager Operator のテクノロジープレビューバージョンを使用した場合は、Red Hat OpenShift 用の cert-manager Operator のこのバージョンをインストールする前に、アンインストールし、テクノロジープレビューバージョンのすべての関連リソースを削除する必要があります。
詳細は、cert-manager Operator for Red Hat OpenShift のアンインストール を参照してください。
9.2.9.1. 新機能および拡張機能
これは、cert-manager Operator for Red Hat OpenShift の一般提供 (GA) リリースです。
次の発行者タイプがサポートされています。
- 自動証明書管理環境 (ACME)
- 認証局 (CA)
- 自己署名
次の ACME チャレンジタイプがサポートされています。
- DNS-01
- HTTP-01
ACME 発行者の次の DNS-01 プロバイダーがサポートされています。
- Amazon Route 53
- Azure DNS
- Google Cloud DNS
- cert-manager Operator for Red Hat OpenShift は、カスタム CA 証明書の挿入とクラスター全体のエグレスプロキシー環境変数の伝達をサポートするようになりました。
- 環境変数と引数をオーバーライドすることで、cert-manager Operator for Red Hat OpenShift API のフィールドをカスタマイズできます。詳細は、cert-manager Operator API フィールドのカスタマイズ を参照してください。
- サービスモニターを使用してカスタムメトリクスのスクレイピングを実行することで、cert-manager Operator for Red Hat OpenShift のモニタリングとメトリクス収集を有効にできます。cert-manager Operator for Red Hat OpenShift のモニタリングを有効にすると、OpenShift Container Platform Web コンソールを使用してそのメトリクスをクエリーできます。詳細は、cert-manager Operator for Red Hat OpenShift のモニタリングを有効化 を参照してください。
9.2.9.2. バグ修正
以前は、
unsupportedConfigOverridesフィールドは、ユーザー提供の引数を追加せず、置き換えていました。現在、unsupportedConfigOverridesフィールドは、ユーザー提供の引数を適切に追加します。(CM-23)警告unsupportedConfigOverridesセクションを使用して Operator の設定を変更することはサポートされておらず、クラスターのアップグレードをブロックする可能性があります。- 以前は、cert-manager Operator for Red Hat OpenShift がクラスター Operator としてインストールされていました。今回のリリースでは、cert-manager Operator for Red Hat OpenShift が OLM Operator として適切にインストールされるようになりました。(CM-35)
9.2.9.3. 既知の問題
-
Routeオブジェクトの使用は完全にはサポートされていません。現在、Routesで Red Hat OpenShift に cert-manager Operator を使用するには、Ingress-to-Route Controller によってRouteオブジェクトに変換されるIngressオブジェクトを作成する必要があります。(CM-16) - cert-manager Operator for Red Hat OpenShift は、Azure Active Directory (Azure AD) Pod ID を使用して、マネージド ID を Pod に割り当てることをサポートしていません。回避策として、サービスプリンシパルを使用して、マネージド ID を割り当てることができます。(OCPBUGS-8665)
- cert-manager Operator for Red Hat OpenShift は、Google ワークロード ID フェデレーションの使用をサポートしていません。(OCPBUGS-9998)
- cert-manager Operator for Red Hat OpenShift をアンインストールする場合は、OpenShift Container Platform Web コンソールで Delete all operand instances for this operator チェックボックスを選択すると、Operator が適切にアンインストールされません。回避策として、cert-manager Operator for Red Hat OpenShift をアンインストールする際、このチェックボックスを選択しないでください。(OCPBUGS-9960)
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}