7.2. Security Profiles Operator リリースノート


Security Profiles Operator は、セキュアコンピューティング (seccomp) および SELinux プロファイルをカスタムリソースとして定義し、特定の namespace 内のすべてのノードにプロファイルを同期する方法を提供します。

これらのリリースノートは、OpenShift Container Platform での Security Profiles Operator の開発を追跡します。

Security Profiles Operator の概要は、xref:[Security Profiles Operator の概要] を参照してください。

7.2.1. Security Profiles Operator 0.8.5

Security Profiles Operator 0.8.5 に関する次のアドバイザリーが利用できます。

7.2.1.1. バグ修正

  • Web コンソールから Security Profile Operator をインストールしようとすると、Operator 推奨のクラスターモニタリングを有効にするオプションが namespace で使用できませんでした。この更新により、namespace で Operator 推奨のクラスターモニタリングを有効にできるようになりました。(OCPBUGS-37794)
  • 以前は、Security Profiles Operator が OperatorHub に断続的に表示されず、Web コンソール経由で Operator をインストールするためのアクセスが制限されていました。この更新により、Security Profiles Operator が OperatorHub に存在します。

7.2.2. Security Profiles Operator 0.8.4

Security Profiles Operator 0.8.4 には、次のアドバイザリーを利用できます。

この更新は、基になる依存関係の CVE に対処します。

7.2.2.1. 新機能および機能拡張

7.2.3. Security Profiles Operator 0.8.2

Security Profiles Operator 0.8.2 には、次のアドバイザリーを利用できます。

7.2.3.1. バグ修正

  • これまで、SELinuxProfile オブジェクトは同じ namespace からカスタム属性を継承しませんでした。今回の更新でこの問題は解決され、SELinuxProfile オブジェクト属性が期待どおりに同じ namespace から継承されるようになりました。(OCPBUGS-17164)
  • 以前は、RawSELinuxProfiles の作成プロセス中にハングし、Installed 状態に到達しませんでした。今回の更新でこの問題は解決され、RawSELinuxProfiles が正常に作成されるようになりました。(OCPBUGS-19744)
  • 以前は、パッチを適用して enableLogEnrichertrue にすると、seccompProfile log-enricher-trace Pod が Pending 状態でスタックしていました。今回の更新では、log-enricher-trace Pod の状態は期待どおりに Installed になります。(OCPBUGS-22182)
  • 以前は、Security Profiles Operator は高カーディナリティーメトリクスを生成し、そのため Prometheus Pod が大量のメモリーを使用していました。今回の更新により、次のメトリクスは Security Profiles Operator namespace に適用されなくなります。

    • rest_client_request_duration_seconds
    • rest_client_request_size_bytes
    • rest_client_response_size_bytes

      (OCPBUGS-22406)

7.2.4. Security Profiles Operator 0.8.0

Security Profiles Operator 0.8.0 には、次のアドバイザリーを利用できます。

7.2.4.1. バグ修正

  • 以前は、非接続クラスターに Security Profiles Operator をインストールしようとすると、SHA による再ラベル付が問題となり、セキュアなハッシュが間違っていました。この更新により、提供された SHA は非接続環境でも一貫して動作するようになりました。(OCPBUGS-14404)

7.2.5. Security Profiles Operator 0.7.1

Security Profiles Operator 0.7.1 には、次のアドバイザリーを利用できます。

7.2.5.1. 新機能および機能拡張

  • Security Profiles Operator (SPO) は、RHEL 8 および 9 ベースの RHCOS システムに適切な selinuxd イメージを自動的に選択するようになりました。

    重要

    非接続環境のイメージをミラーリングするユーザーは、Security Profiles Operator によって提供される両方の selinuxd イメージをミラーリングする必要があります。

  • spod デーモン内でメモリー最適化を有効にできるようになりました。詳細は、spod デーモンでのメモリー最適化の有効化 を参照してください。

    注記

    デフォルトで SPO メモリーの最適化は有効になっていません。

  • デーモンリソース要件を設定できるようになりました。詳細は、デーモンリソース要件のカスタマイズ を参照してください。
  • 優先クラス名を spod 設定で指定できるようになりました。詳細は、spod デーモン Pod のカスタム優先クラス名の設定 を参照してください。

7.2.5.2. 非推奨の機能と削除された機能

  • デフォルトの nginx-1.19.1 seccomp プロファイルが Security Profiles Operator デプロイメントから削除されました。

7.2.5.3. バグ修正

  • これまで、Security Profiles Operator (SPO) SELinux ポリシーはコンテナーテンプレートから低レベルのポリシー定義を継承しませんでした。net_container などの別のテンプレートを選択した場合、コンテナーテンプレートにのみ存在する低レベルのポリシー定義が必要となるため、ポリシーは機能しません。この問題は、SPO SELinux ポリシーが SELinux ポリシーを SPO カスタム形式から共通中間言語 (CIL) 形式に変換しようとすると発生しました。今回の更新により、SPO から CIL への変換を必要とする SELinux ポリシーにコンテナーテンプレートが追加されます。さらに、SPO SELinux ポリシーは、サポートされている任意のポリシーテンプレートから低レベルのポリシー定義を継承できます。(OCPBUGS-12879)
既知の問題
  • Security Profiles Operator をアンインストールする場合、MutatingWebhookConfiguration オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後に MutatingWebhookConfiguration オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)

7.2.6. Security Profiles Operator 0.5.2

Security Profiles Operator 0.5.2 には、次のアドバイザリーを利用できます。

この更新プログラムは、基になる依存関係の CVE に対処します。

既知の問題
  • Security Profiles Operator をアンインストールする場合、MutatingWebhookConfiguration オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後に MutatingWebhookConfiguration オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)

7.2.7. Security Profiles Operator 0.5.0

Security Profiles Operator 0.5.0 には、次のアドバイザリーを利用できます。

既知の問題
  • Security Profiles Operator をアンインストールする場合、MutatingWebhookConfiguration オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後に MutatingWebhookConfiguration オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.