第1章 リリースノート
1.1. Logging 5.9
Logging は、コアの OpenShift Container Platform とは異なるリリースサイクルで、インストール可能なコンポーネントとして提供されます。Red Hat OpenShift Container Platform ライフサイクルポリシー は、リリースの互換性を概説しています。
stable チャネルは、Logging の最新リリースを対象とする更新のみを提供します。以前のリリースの更新を引き続き受信するには、サブスクリプションチャネルを stable-x.y に変更する必要があります。x.y
は、インストールしたログのメジャーバージョンとマイナーバージョンを表します。たとえば、stable-5.7 です。
1.1.1. Logging 5.9.10
このリリースには、RHSA-2024:10990 が含まれます。
1.1.1.1. バグ修正
-
今回の更新以前は、
openshift
またはkube
を含む namespace はインフラストラクチャー namespace として処理されていました。今回の更新により、以下の namespace のみがインフラストラクチャー namespace として処理されます。デフォルト
、kube
、openshift
、およびopenshift-
で始まる namespace。(LOG-6044)
- この更新前は、Loki はログメッセージのレベルを検出しようとしたため、コレクターがログレベルも検出し、さまざまな結果が生成されると混乱が発生していました。今回の更新により、Loki の自動ログレベル検出が無効になります。(LOG-6321)
-
今回の更新以前は、
ClusterLogForwarder
カスタムリソースがtls.insecureSkipVerify: true
をtype: http
および HTTP URL と組み合わせて定義した場合、証明書の検証はスキップされませんでした。これの設定が間違っていると、コレクターは、設定があっても証明書の検証を試行したため、失敗していました。今回の更新により、tls.insecureSkipVerify: true
が設定されると、URL が HTTPS についてチェックされます。HTTP URL は誤設定エラーの原因になります。(LOG-6376) この更新の前は、
ClusterLogForwarder
カスタムリソースのアプリケーション入力でインフラストラクチャー namespace が指定された場合、間違ったlog_type: application
タグでログが生成されていました。今回の更新により、アプリケーション入力にインフラストラクチャー namespace が指定されている場合、ログは正しいlog_type: infrastructure
タグで生成されるようになりました。(LOG-6377)重要Red Hat OpenShift 5.9.10 の Logging に更新する際に、アプリケーション入力にインフラストラクチャー namespace を
ClusterLogForwarder
カスタムリソースに追加した場合は、インフラストラクチャー namespace からログを収集するためのパーミッションを追加する必要があります。詳細は、ログコレクションの設定を参照してください。
1.1.1.2. CVE
1.1.2. Logging 6.0.2
このリリースには RHBA-2024:10051 が含まれています。
1.1.2.1. バグ修正
1.1.2.2. CVE
1.1.3. Logging 6.0.2
このリリースには、OpenShift Logging バグ修正リリース 6.0.1 が含まれています。
1.1.3.1. バグ修正
-
この更新前は、Loki Operator はすべての
AlertingRule
リソースにデフォルトのnamespace
ラベルを追加できなかったため、User-Workload-Monitoring Alertmanager がこれらのアラートのルーティングをスキップしていました。この更新では、すべてのアラートルールおよび記録ルールにルール namespace がラベルとして追加されます。これにより問題が解決され、Alertmanager での適切なアラートルーティングが復元されます。(LOG-6402) - この更新前は、LokiStack ルーラーコンポーネントビューが適切に初期化されず、ルーラーコンポーネントが無効になっているときに無効フィールドエラーが発生しました。この更新により、コンポーネントビューが空の値で初期化されるようになり、問題は解決されます。(LOG-6402)
-
今回の更新以前は、ES 認証設定の下にある
vector.toml
ファイルの LF 文字が原因で、コレクター Pod がクラッシュしていました。この更新により、ユーザー名とパスワードのフィールドから改行文字が削除され、問題が解決されました。(LOG-6402) -
今回の更新以前は、
ClusterLogForwarder
カスタムリソースの.containerLimit.maxRecordsPerSecond
パラメーターを0
に設定できました。これにより、Vector の起動中に例外が発生する可能性がありました。今回の更新により、適用される前に設定が検証され、無効な値(ゼロ以下)は拒否されます。(LOG-6402)
1.1.3.2. CVE
1.1.4. Logging 6.0.2
このリリースには、OpenShift Logging バグ修正リリース 6.0.1 が含まれています。
1.1.4.1. バグ修正
-
今回の更新以前は、Fluentd がコレクタータイプとして使用された場合に
clusterlogforwarder.spec.outputs.http.timeout
パラメーターは Fluentd 設定に適用されず、HTTP タイムアウトが誤って設定されていました。今回の更新により、clusterlogforwarder.spec.outputs.http.timeout
パラメーターが正しく適用され、Fluentd が指定されたタイムアウトを受け入れ、ユーザーの設定に応じて HTTP 接続を処理するようになりました。(LOG-6402) -
この更新の前は、ブローカー URL スキーマを検証せずに TLS セクションが追加され、URL が
tls
で開始されなかった場合に SSL 接続エラーが発生していました。今回の更新により、ブローカー URL がtls
で始まる場合にのみ TLS セクションが追加され、SSL 接続エラーが発生しなくなりました。(LOG-6402)
1.1.4.2. CVE
Red Hat のセキュリティー評価の詳細は、重大度評価 を参照してください。
1.1.5. Logging 5.9.6
このリリースには、OpenShift ロギングバグ修正リリース 5.9.6 が含まれています。
1.1.5.1. バグ修正
- この更新前は、コレクターのデプロイメントでシークレットの変更が無視され、レシーバーがログを拒否していました。この更新により、シークレット値の変更時にシステムが新しい Pod をロールアウトし、コレクターが更新されたシークレットをリロードするようになりました。(LOG-5525)
-
この更新前は、Vector が 1 つのドル記号 (
$
) を含むフィールド値を正しく解析できませんでした。この更新により、1 つのドル記号を含むフィールド値が自動的に 2 つのドル記号 ($$
) に変更され、Vector により適切に解析されるようになりました。(LOG-5602) -
この更新前は、ドロップフィルターが文字列以外の値 (例:
.responseStatus.code: 403
) を処理できませんでした。この更新により、ドロップフィルターがこれらの値を適切に扱うようになりました。(LOG-5815) - この更新前は、コレクターが出力レシーバーからのバックロードを処理せずに、デフォルト設定を使用して監査ログを収集していました。この更新により、監査ログを収集するプロセスが改善され、ファイル処理とログの読み取り効率がより適切に管理されるようになりました。(LOG-5866)
-
この更新前は、Azure Resource Manager (ARM) や PowerPC などの AMD64 以外のアーキテクチャーのクラスターで、
must-gather
ツールが失敗していました。この更新により、ツールが実行時にクラスターアーキテクチャーを検出し、アーキテクチャーに依存しないパスと依存関係を使用するようになりました。この検出により、must-gather
が ARM や PowerPC などのプラットフォームでスムーズに実行できるようになります。(LOG-5997) - この更新前は、不明確な構造化キーワードと非構造化キーワードの組み合わせを使用してログレベルが設定されていました。この更新により、ログレベルが構造化キーワードから始まる、ドキュメントのとおりの明確な順序に従うようになりました。(LOG-6016)
-
この更新前は、
ClusterLogForwarder
のデフォルト出力に書き込む複数の名前のないパイプラインによって、自動生成された名前が重複するため、検証エラーが発生していました。この更新により、パイプライン名が重複せずに生成されるようになりました。(LOG-6033) -
この更新前は、コレクター Pod に
PreferredScheduling
アノテーションがありませんでした。この更新により、コレクターのデーモンセットにPreferredScheduling
アノテーションが追加されました。(LOG-6023)
1.1.5.2. CVE
1.1.6. Logging 5.9.5
このリリースには OpenShift ロギングバグ修正リリース 5.9.5 が含まれています。
1.1.6.1. バグ修正
- この更新の前は、LokiStack リソースステータスの重複条件により、Loki Operator からのメトリクスが無効になっていました。この更新により、Operator はステータスから重複した条件を削除します。(LOG-5855)
- この更新の前は、Loki Operator は検証の失敗によりログイベントをドロップしたときにアラートをトリガーしませんでした。この更新では、Loki Operator に、検証の失敗により Loki がログイベントをドロップした場合にアラートをトリガーする新しいアラート定義が含まれるようになりました。(LOG-5895)
- この更新の前は、Loki Operator が LokiStack Route リソース上のユーザーアノテーションを上書きし、カスタマイズが削除されていました。この更新により、Loki Operator は Route アノテーションを上書きしなくなり、問題が修正されました。(LOG-5945)
1.1.6.2. CVE
なし。
1.1.7. Logging 5.9.4
このリリースには、OpenShift Logging バグ修正リリース 5.9.4 が含まれています。
1.1.7.1. バグ修正
- この更新の前は、タイムアウト設定の形式が正しくなかったために OCP プラグインがクラッシュしていました。この更新では、検証によってクラッシュが回避され、ユーザーに誤った設定が通知されます。(LOG-5373)
-
この更新の前は、ラベルに
-
が含まれるワークロードにより、ログエントリーを正規化するときにコレクターでエラーが発生しました。この更新では、設定の変更により、コレクターが正しい構文を使用するようになります。(LOG-5524) - この更新の前は、ログが生成された場合でも、存在しなくなった Pod を選択できないという問題がありました。この更新ではこの問題が修正され、このような Pod を選択できるようになりました。(LOG-5697)
-
この更新の前は、
cloud-credentials-operator
のない環境でCredentialRequest
仕様が登録されると、Loki Operator がクラッシュしていました。この更新により、CredentialRequest
仕様は、cloud-credentials-operator
が有効になっている環境にのみ登録されます。(LOG-5701) - この更新の前は、Logging Operator はクラスター全体のすべての config map を監視および処理していました。この更新により、ダッシュボードコントローラーはログ記録ダッシュボードの config map のみを監視するようになりました。(LOG-5702)
-
この更新の前は、
ClusterLogForwarder
によって、RFC3164
仕様に準拠しないメッセージペイロードに余分なスペースが導入されていました。この更新により、余分なスペースが削除され、問題が修正されました。(LOG-5707) -
この更新の前は、(LOG-5308) の一部として
grafana-dashboard-cluster-logging
のシードを削除すると、ダッシュボードのない新しいグリーンフィールドデプロイメントが壊れていました。この更新により、Logging Operator は最初にダッシュボードをシードし、変更に応じて更新し続けます。(LOG-5747) -
この更新の前は、LokiStack に Volume API のルートがなく、
404 not found
エラーが発生しました。この更新により、LokiStack は Volume API を公開し、問題を解決しました。(LOG-5749)
1.1.7.2. CVE
1.1.8. Logging 5.9.3
このリリースには、OpenShift Logging バグ修正リリース 5.9.3 が含まれています。
1.1.8.1. バグ修正
-
この更新前は、Loki Operator が
1x.demo
サイズのログ先行書き込みreplay_memory_ceiling
を 0 バイトに設定していたため、LokiStack
を設定するときに Ingester の再起動に遅延が発生していました。この更新により、遅延を回避するためにreplay_memory_ceiling
に使用される最小値が増加されました。(LOG-5614) - この更新の前は、Vector コレクターの出力バッファーの状態を監視することはできませんでした。この更新により、Vector コレクターの出力バッファーサイズの監視とアラートが可能になり、観測機能が向上し、システムを最適に実行し続けることができるようになります。(LOG-5586)
1.1.8.2. CVE
1.1.9. Logging 5.9.2
このリリースには、OpenShift Logging バグ修正リリース 5.9.2 が含まれています。
1.1.9.1. バグ修正
-
この更新前は、ロギング Operator への変更により、
ClusterLogForwarder
CR の設定が正しくなかったためにエラーが発生しました。その結果、logging へのアップグレードによりデーモンセットコレクターが削除されました。この更新により、Logging Operator は、Not authorized to collect
エラーが発生した場合を除き、コレクターデーモンセットを再作成します。(LOG-4910) - この更新前は、Vector ログコレクターの設定が正しくなかったため、一部のシナリオでは、ローテーションされたインフラストラクチャーログファイルがアプリケーションインデックスに送信されていました。この更新により、Vector ログコレクター設定では、ローテーションされたインフラストラクチャーログファイルの収集が回避されます。(LOG-5156)
-
この更新前は、Logging Operator は
grafana-dashboard-cluster-logging
config map の変更を監視していませんでした。この更新により、Logging Operator はConfigMap
オブジェクトの変更を監視し、システムが同期された状態を維持し、config map の変更に効果的に応答するようになります。(LOG-5308) - この更新前は、Logging Operator のメトリクス収集コードの問題により、古いテレメトリーメトリクスが報告されていました。この更新により、Logging Operator は古いテレメトリーメトリクスを報告しなくなりました。(LOG-5426)
-
この変更前は、Fluentd
out_http
プラグインはno_proxy
環境変数を無視していました。この更新により、Fluentd は ruby のHTTP#start
メソッドにパッチを適用してno_proxy
環境変数が使用されるようになりました。(LOG-5466)
1.1.9.2. CVE
1.1.10. Logging 5.9.1
このリリースには、OpenShift Logging バグ修正リリース 5.9.1 が含まれています。
1.1.10.1. 機能拡張
- この更新前は、Loki Operator は、廃止された Amazon Simple Storage Service (S3) に対してパスベースのスタイルのアクセスを使用するように Loki を設定していました。この更新により、Loki Operator は、ユーザーが設定を変更しなくても、デフォルトで仮想ホストスタイルになります。(LOG-5401)
-
この更新前は、Loki Operator はストレージシークレットで使用される Amazon Simple Storage Service (S3) エンドポイントを検証していませんでした。この更新により、検証プロセスによって S3 エンドポイントが有効な S3 URL であることが保証され、
LokiStack
ステータスが更新されて無効な URL が示されるようになります。(LOG-5395)
1.1.10.2. バグ修正
- この更新前は、LogQL 解析のバグにより、クエリーから一部の行フィルターが除外されていました。この更新により、元のクエリーが変更されることなく、すべての行フィルターが解析に含まれるようになりました。(LOG-5268)
-
この更新前は、
pruneFilterSpec
が定義されていないプルーニングフィルターによってセグメント違反が発生していました。この更新により、プルーニングフィルターにpuneFilterSpec
が定義されていない場合に検証エラーが発生します。(LOG-5322) -
この更新前は、
dropTestsSpec
が定義されていないドロップフィルターによってセグメント違反が発生していました。この更新により、プルーニングフィルターにpuneFilterSpec
が定義されていない場合に検証エラーが発生します。(LOG-5323) -
この更新前は、Loki Operator はストレージシークレットで使用される Amazon Simple Storage Service (S3) エンドポイント URL 形式を検証していませんでした。この更新により、S3 エンドポイント URL には、
LokiStack
のステータスを反映する検証手順が実施されるようになります。(LOG-5397) -
この更新前は、監査ログレコード内のタイムスタンプフィールドの形式が適切でなかったために、Red Hat OpenShift Logging Operator ログに
WARN
メッセージが表示されていました。この更新により、タイムスタンプフィールドが再マップ変換で適切にフォーマットされるようになります。(LOG-4672) -
この更新の前は、
ClusterLogForwarder
リソース名と namespace の検証中に出力されたエラーメッセージは、正しいエラーに対応していませんでした。この更新により、システムは同じ名前のClusterLogForwarder
リソースが同じ namespace に存在するかどうかを確認します。そうでない場合は、正しいエラーに対応します。(LOG-5062) - この更新前は、設計上 URL が必要ない Amazon CloudWatch や Google Cloud ロギングなどのサービスであっても、出力設定の検証機能には TLS URL が必要でした。この更新により、URL のないサービスの検証ロジックが改善され、エラーメッセージの情報がよりわかりやすくなりました。(LOG-5307)
- この更新前は、インフラストラクチャー入力タイプを定義しても、ログ記録ワークロードがコレクションから除外されませんでした。この更新により、フィードバックループを回避するために、コレクションからログサービスが除外されます。(LOG-5309)
1.1.10.3. CVE
CVE はありません。
1.1.11. Logging 5.9.0
このリリースには、OpenShift Logging バグ修正リリース 5.9.0 が含まれています。
1.1.11.1. 削除通知
Logging 5.9 リリースに、OpenShift Elasticsearch Operator の更新バージョンは含まれていません。以前のロギングリリースの OpenShift Elasticsearch Operator のインスタンスは、ロギングリリースの EOL までサポートされます。OpenShift Elasticsearch Operator を使用してデフォルトのログストレージを管理する代わりに、Loki Operator を使用できます。Logging のライフサイクルの日付の詳細は、Platform Agnostic Operator を参照してください。
1.1.11.2. 非推奨のお知らせ
- Logging 5.9 では、Fluentd および Kibana が非推奨となり、Logging 6.0 で削除される予定です。Logging 6.0 は、今後の OpenShift Container Platform リリースに同梱される見込みです。Red Hat は、現行リリースのライフサイクルにおいて、該当コンポーネントの「重大」以上の CVE に対するバグ修正とサポートを提供しますが、機能拡張は提供しません。Red Hat OpenShift Logging Operator が提供する Vector ベースのコレクターと、Loki Operator が提供する LokiStack は、ログの収集と保存に推奨される Operator です。Vector および Loki ログスタックは今後強化される予定であるため、すべてのユーザーに対しこのスタックの採用が推奨されます。
-
Logging 5.9 では、Splunk 出力タイプの
Fields
オプションが実装されていません。現在、このオプションは非推奨となっています。これは今後のリリースで削除されます。
1.1.11.3. 機能拡張
1.1.11.3.1. ログの収集
-
この機能拡張により、ワークロードのメタデータを使用して、その内容に基づいてログを
drop
またはprune
することで、ログ収集のプロセスを改善する機能が追加されます。さらに、ジャーナルログやコンテナーログなどのインフラストラクチャーログ、およびkube api
ログやovn
ログなどの監査ログを収集して、個々のソースのみを収集することもできます。(LOG-2155) - この機能拡張により、新しいタイプのリモートログレシーバーである syslog レシーバーが導入されます。これにより、ネットワーク経由でポートを公開するように設定し、外部システムが rsyslog などの互換性のあるツールを使用して syslog ログを送信することができます。(LOG-3527)
-
この更新により、
ClusterLogForwarder
API は Azure Monitor ログへのログ転送をサポートするようになり、ユーザーのモニタリング機能が向上します。この機能により、ユーザーは最適なシステムパフォーマンスを維持し、Azure Monitor のログ分析プロセスを合理化できるため、問題解決が迅速化され、運用効率が向上します。(LOG-4605) -
この機能拡張により、コレクターを 2 つのレプリカを持つデプロイメントとしてデプロイすることで、コレクターリソースの使用率が向上します。これは、すべてのノードでデーモンセットを使用するのではなく、
ClusterLogForwarder
カスタムリソース (CR) で定義されている唯一の入力ソースがレシーバー入力である場合に発生します。さらに、この方法でデプロイされたコレクターは、ホストファイルシステムをマウントしません。この機能拡張を使用するには、ClusterLogForwarder
CR に、logging.openshift.io/dev-preview-enable-collector-as-deployment
アノテーションを付ける必要があります。(LOG-4779) - この機能拡張により、サポートされているすべての出力にわたって、カスタムテナント設定の機能が導入され、ログレコードを論理的に整理できるようになります。ただし、管理対象ストレージのロギングに対するカスタムテナント設定は許可されません。(LOG-4843)
-
この更新により、
default
、openshift*
、kube*
などの 1 つ以上のインフラストラクチャー namespace を使用してアプリケーション入力を指定するClusterLogForwarder
CR には、collect-infrastructure-logs
ロールを持つサービスアカウントが必要になりました。(LOG-4943) -
この機能拡張により、圧縮、再試行期間、最大ペイロードなどの出力設定を、受信者の特性に合わせて調整する機能が導入されました。さらに、この機能には、管理者がスループットとログの耐久性を選択できる配信モードが含まれています。たとえば、
AtLeastOnce
オプションは、収集されたログのディスクバッファーリングを最小限に設定し、コレクターが再起動後にそれらのログを配信できるようにします。(LOG-5026) - この機能拡張により、Elasticsearch、Fluentd、Kibana の廃止についてユーザーに警告する 3 つの新しい Prometheus アラートが追加されました。(LOG-5055)
1.1.11.3.2. ログのストレージ
- LokiStack のこの機能拡張により、新しい V13 オブジェクトストレージ形式を使用し、デフォルトで自動ストリームシャーディングを有効にすることで、OTEL のサポートが向上します。これにより、コレクターは今後の機能拡張や設定にも備えることができます。(LOG-4538)
-
この機能拡張により、STS 対応の OpenShift Container Platform 4.14 以降のクラスターで、Azure および AWS ログストアにおける有効期間の短いトークンワークロードアイデンティティーフェデレーションのサポートが導入されます。ローカルストレージには、LokiStack CR の
spec.storage.secret
の下にCredentialMode: static
アノテーションを追加する必要があります。(LOG-4540) - この更新により、Azure ストレージシークレットの検証が拡張され、特定のエラー状態に対する早期警告が可能になりました。(LOG-4571)
- この更新により、Loki は、GCP ワークロードアイデンティティーフェデレーションメカニズムのアップストリームおよびダウンストリームサポートを追加するようになりました。これにより、対応するオブジェクトストレージサービスへの認証および承認されたアクセスが可能になります。(LOG-4754)
1.1.11.4. バグ修正
-
この更新前は、ロギングの must-gather は FIPS 対応のクラスターでログを収集できませんでした。この更新により、
cluster-logging-rhel9-operator
で新しいoc
クライアントが利用できるようになり、must-gather が FIPS クラスターで適切に動作するようになりました。(LOG-4403) - この更新前は、LokiStack ルーラー Pod は、Pod 間通信に使用される HTTP URL で IPv6 Pod IP をフォーマットできませんでした。この問題により、Prometheus と互換性のある API を介したルールとアラートのクエリーが失敗していました。この更新により、LokiStack ルーラー Pod は IPv6 Pod IP を角かっこでカプセル化し、問題を解決しています。現在、Prometheus と互換性のある API を介したルールとアラートのクエリーは、IPv4 環境の場合と同じように機能するようになりました。(LOG-4709)
- この修正前は、ロギングの must-gather からの YAML コンテンツが 1 行でエクスポートされていたため、判読不能でした。この更新により、YAML の空白が保持され、ファイルが適切にフォーマットされるようになります。(LOG-4792)
-
この更新前は、
ClusterLogForwarder
CR が有効になっていると、ClusterLogging.Spec.Collection
が nil のときに Red Hat OpenShift Logging Operator で nil ポインター例外が発生する可能性がありました。この更新により、この問題は Red Hat OpenShift Logging Operator で解決されました。(LOG-5006) -
この更新前は、特定のコーナーケースで、
ClusterLogForwarder
CR ステータスフィールドを置き換えると、Status
条件のタイムスタンプが変更されるため、resourceVersion
が常に更新されていました。この状況により、無限の調整ループが発生しました。この更新により、すべてのステータス条件が同期されるため、条件が同じであればタイムスタンプは変更されません。(LOG-5007) -
この更新前は、コレクターによるメモリー消費量の増加に対処するために、
drop_newest
で内部バッファーリング動作が行われ、大量のログ損失が発生していました。この更新により、動作はコレクターのデフォルトを使用するようになりました。(LOG-5123) -
この更新前は、
openshift-operators-redhat
namespace の Loki Operator のServiceMonitor
が、静的トークンと CA ファイルを認証に使用していました。そのため、ServiceMonitor
設定の User Workload Monitoring 仕様の Prometheus Operator でエラーが発生していました。この更新により、openshift-operators-redhat
namespace の Loki Operator のServiceMonitor
が、LocalReference
オブジェクトによってサービスアカウントトークンシークレットを参照するようになりました。このアプローチにより、Prometheus Operator の User Workload Monitoring 仕様が Loki Operator のServiceMonitor
を正常に処理できるようになり、Prometheus が Loki Operator メトリクスを収集できるようになりました。(LOG-5165) -
この更新前は、Loki Operator の
ServiceMonitor
の設定が多くの Kubernetes サービスと一致することがありました。その結果、Loki Operator のメトリクスが複数回収集されることがありました。この更新により、ServiceMonitor
の設定が専用のメトリクスサービスのみと一致するようになりました。(LOG-5212)
1.1.11.5. 既知の問題
なし。