1.4. 主な技術上の変更点

OpenShift Container Platform 4.16 では、主に以下のような技術的な変更点が加えられています。

HAProxy バージョン 2.8

OpenShift Container Platform 4.16 は HAProxy 2.8 を使用します。

SHA-1 証明書が HAProxy での使用でサポートされなくなる

SHA-1 証明書は HAProxy での使用がサポートされなくなりました。OpenShift Container Platform 4.16 で SHA-1 証明書を使用する既存のルートと新しいルートの両方が拒否され、機能しなくなります。安全なルートの作成の詳細は、セキュリティー保護されたルート を参照してください。

etcd チューニングパラメーター

このリリースにより、etcd チューニングパラメーターを、次のようにパフォーマンスを最適化し、レイテンシーを短縮する値に設定できるようになりました。

認証されていないユーザーが一部のクラスターロールから削除される

このリリースにより、認証されていないユーザーは、特定の機能セットに必要な特定のクラスターロールにアクセスできなくなります。OpenShift Container Platform 4.16 より前では、認証されていないユーザーが特定のクラスターロールにアクセスできました。認証されていないユーザーに対するこのアクセスを変更すると、セキュリティーの層が追加されるため、必要な場合にのみ有効にする必要があります。この変更は新しいクラスターに対するものであり、以前のクラスターには影響しません。

認証されていないユーザーに対して、特定のクラスターロールのアクセス権の付与を推奨するユースケースがあります。認証されていないユーザーに、特定の機能に必要な特定のクラスターロールへのアクセスを付与するには、認証されていないグループをクラスターロールに追加する を参照してください。

RHCOS dasd イメージアーティファクトは、IBM Z(R) および IBM(R) LinuxONE (s390x) ではサポートされなくなりました。

このリリースにより、s390x アーキテクチャーの dasd イメージアーティファクトが OpenShift Container Platform イメージビルドパイプラインから削除されます。同一の、同じ機能を備えた metal4k イメージアーティファクトを引き続き使用できます。

ExternalTrafficPolicy=Local サービスに設定された EgressIP のサポート

以前は、EgressIP が選択された Pod が、externalTrafficPolicy が Local に設定されたサービスのバックエンドとしても機能することはサポートされていませんでした。この設定を試みると、Pod に到達するサービス Ingress トラフィックが、EgressIP をホストする Egress ノードに誤って再ルーティングされました。これは、着信サービストラフィック接続への応答の処理方法に影響し、externalTrafficPolicy が Local に設定されている場合に接続が切断され、サービスが利用できなくなったため、サービスが機能しなくなりました。

OpenShift Container Platform 4.16 では、OVN-Kubernetes は、選択された同じ Pod セットで、ExternalTrafficPolicy=Local サービスと EgressIP 設定を同時に使用できるようになりました。OVN-Kubernetes は、EgressIP Pod から発信されたトラフィックのみを Egress ノードに再ルーティングし、EgressIP Pod からの Ingress サービストラフィックへの応答を、Pod が配置されている同じノード経由でルーティングするようになりました。

従来のサービスアカウント API トークンシークレットは、サービスアカウントごとに生成されなくなりました。

OpenShift Container Platform 4.16 より前では、統合された OpenShift イメージレジストリーが有効になっているときに、クラスター内のすべてのサービスアカウントに対してレガシーサービスアカウント API トークンシークレットが生成されました。OpenShift Container Platform 4.16 以降では、統合された OpenShift イメージレジストリーが有効になっている場合、各サービスアカウントに対して従来のサービスアカウント API トークンシークレットが生成されなくなります。

さらに、統合された OpenShift イメージレジストリーが有効になっている場合、すべてのサービスアカウントに対して生成されるイメージプルシークレットは、従来のサービスアカウント API トークンを使用しなくなります。代わりに、イメージプルシークレットは、期限が切れる前に自動的に更新されるバインドされたサービスアカウントトークンを使用するようになりました。

詳細は、自動的に生成されたイメージプルシークレット を参照してください。

クラスターで使用されている従来のサービスアカウント API トークンシークレットを検出する方法、または不要な場合にそれらを削除する方法については、Red Hat ナレッジベースのアーティクル記事 Long-lived service account API tokens in OpenShift Container Platform を参照してください。

外部クラウド認証プロバイダーのサポート

このリリースでは、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、および Microsoft Azure クラスター上のプライベートレジストリーへの認証機能が、ツリー内プロバイダーから OpenShift Container Platform に同梱されるバイナリーに移動されました。この変更は、Kubernetes 1.29 で導入されたデフォルトの外部クラウド認証プロバイダーの動作をサポートします。

Build クラスター機能が無効な場合、builder サービスアカウントが作成されなくなる

このリリースにより、Build クラスター機能を無効にすると、builder サービスアカウントとそれに対応するシークレットは作成されなくなります。

詳細は、ビルド機能 を 参照してください。

デフォルトの OLM 1.0 アップグレード制約が従来の OLM セマンティクスに変更される (テクノロジープレビュー)

OpenShift Container Platform 4.16 では、Operator Lifecycle Manager (OLM) 1.0 のデフォルトのアップグレード制約がセマンティックバージョン管理 (semver) から従来の OLM セマンティクスに変更されます。

詳細は、OLM 1.0 でのレガシー OLM アップグレードエッジのサポート (テクノロジープレビュー) を参照してください。

OLM 1.0 からの RukPak Bundle API の削除 (テクノロジープレビュー)

OpenShift Container Platform 4.16 では、Operator Lifecycle Manager (OLM) 1.0 によって、RukPak コンポーネントによって提供されていた Bundle API が削除されます。RukPak BundleDeployment API はそのまま残っており、従来の Operator Lifecycle Manager (OLM) バンドル形式で編成された Kubernetes YAML マニフェストを展開するための registry+v1 バンドルをサポートしています。

詳細は、Rukpak (テクノロジープレビュー) を参照してください。

dal12 リージョンの追加

このリリースにより、dal12 リージョンが IBM Power® VS インストーラーに追加されました。

IBM Power (R) Virtual Server に追加されたリージョン

このリリースにより、新しい IBM Power® Virtual Server (VS) リージョン osa21、syd04、lon06、および sao01 にデプロイする機能が導入されました。

IBM Power (R) Virtual Server が Cluster API Provider IBM Cloud 0.8.0 を使用するように更新されました

このリリースでは、IBM Power® Virtual Server が更新され、Cluster API Provider IBM Cloud バージョン 0.8.0 を使用するようになりました。

ServiceInstanceNameToGUID の追加デバッグステートメント

このリリースでは、ServiceInstanceNameToGUID 関数にデバッグステートメントが追加されました。