7.2. Security Profiles Operator リリースノート
Security Profiles Operator は、セキュアコンピューティング (seccomp) および SELinux プロファイルをカスタムリソースとして定義し、特定の namespace 内のすべてのノードにプロファイルを同期する方法を提供します。
これらのリリースノートは、OpenShift Container Platform での Security Profiles Operator の開発を追跡します。
Security Profiles Operator の概要は、xref:[Security Profiles Operator の概要] を参照してください。
7.2.1. Security Profiles Operator 0.8.5
Security Profiles Operator 0.8.5 に関する次のアドバイザリーが利用できます。
7.2.1.1. バグ修正
- Web コンソールから Security Profile Operator をインストールしようとすると、Operator 推奨のクラスターモニタリングを有効にするオプションが namespace で使用できませんでした。この更新により、namespace で Operator 推奨のクラスターモニタリングを有効にできるようになりました。(OCPBUGS-37794)
- 以前は、Security Profiles Operator が OperatorHub に断続的に表示されず、Web コンソール経由で Operator をインストールするためのアクセスが制限されていました。この更新により、Security Profiles Operator が OperatorHub に存在します。
7.2.2. Security Profiles Operator 0.8.4
Security Profiles Operator 0.8.4 には、次のアドバイザリーを利用できます。
この更新は、基になる依存関係の CVE に対処します。
7.2.2.1. 新機能および機能拡張
-
ワイルドカードを設定することで、
ProfileBinding
オブジェクトのimage
属性にデフォルトのセキュリティープロファイルを指定できるようになりました。詳細は、ProfileBindings を使用してワークロードをプロファイルにバインドする (SELinux) および ProfileBindings を使用してワークロードをプロファイルにバインドする (Seccomp) を参照してください。
7.2.3. Security Profiles Operator 0.8.2
Security Profiles Operator 0.8.2 には、次のアドバイザリーを利用できます。
7.2.3.1. バグ修正
-
これまで、
SELinuxProfile
オブジェクトは同じ namespace からカスタム属性を継承しませんでした。今回の更新でこの問題は解決され、SELinuxProfile
オブジェクト属性が期待どおりに同じ namespace から継承されるようになりました。(OCPBUGS-17164) -
以前は、RawSELinuxProfiles の作成プロセス中にハングし、
Installed
状態に到達しませんでした。今回の更新でこの問題は解決され、RawSELinuxProfiles が正常に作成されるようになりました。(OCPBUGS-19744) -
以前は、パッチを適用して
enableLogEnricher
をtrue
にすると、seccompProfile
log-enricher-trace
Pod がPending
状態でスタックしていました。今回の更新では、log-enricher-trace
Pod の状態は期待どおりにInstalled
になります。(OCPBUGS-22182) 以前は、Security Profiles Operator は高カーディナリティーメトリクスを生成し、そのため Prometheus Pod が大量のメモリーを使用していました。今回の更新により、次のメトリクスは Security Profiles Operator namespace に適用されなくなります。
-
rest_client_request_duration_seconds
-
rest_client_request_size_bytes
rest_client_response_size_bytes
-
7.2.4. Security Profiles Operator 0.8.0
Security Profiles Operator 0.8.0 には、次のアドバイザリーを利用できます。
7.2.4.1. バグ修正
- 以前は、非接続クラスターに Security Profiles Operator をインストールしようとすると、SHA による再ラベル付が問題となり、セキュアなハッシュが間違っていました。この更新により、提供された SHA は非接続環境でも一貫して動作するようになりました。(OCPBUGS-14404)
7.2.5. Security Profiles Operator 0.7.1
Security Profiles Operator 0.7.1 には、次のアドバイザリーを利用できます。
7.2.5.1. 新機能および機能拡張
Security Profiles Operator (SPO) は、RHEL 8 および 9 ベースの RHCOS システムに適切な
selinuxd
イメージを自動的に選択するようになりました。重要非接続環境のイメージをミラーリングするユーザーは、Security Profiles Operator によって提供される両方の
selinuxd
イメージをミラーリングする必要があります。spod
デーモン内でメモリー最適化を有効にできるようになりました。詳細は、spod デーモンでのメモリー最適化の有効化 を参照してください。注記デフォルトで SPO メモリーの最適化は有効になっていません。
- デーモンリソース要件を設定できるようになりました。詳細は、デーモンリソース要件のカスタマイズ を参照してください。
-
優先クラス名を
spod
設定で指定できるようになりました。詳細は、spod デーモン Pod のカスタム優先クラス名の設定 を参照してください。
7.2.5.2. 非推奨の機能と削除された機能
-
デフォルトの
nginx-1.19.1
seccomp プロファイルが Security Profiles Operator デプロイメントから削除されました。
7.2.5.3. バグ修正
- これまで、Security Profiles Operator (SPO) SELinux ポリシーはコンテナーテンプレートから低レベルのポリシー定義を継承しませんでした。net_container などの別のテンプレートを選択した場合、コンテナーテンプレートにのみ存在する低レベルのポリシー定義が必要となるため、ポリシーは機能しません。この問題は、SPO SELinux ポリシーが SELinux ポリシーを SPO カスタム形式から共通中間言語 (CIL) 形式に変換しようとすると発生しました。今回の更新により、SPO から CIL への変換を必要とする SELinux ポリシーにコンテナーテンプレートが追加されます。さらに、SPO SELinux ポリシーは、サポートされている任意のポリシーテンプレートから低レベルのポリシー定義を継承できます。(OCPBUGS-12879)
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfiguration
オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfiguration
オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
7.2.6. Security Profiles Operator 0.5.2
Security Profiles Operator 0.5.2 には、次のアドバイザリーを利用できます。
この更新プログラムは、基になる依存関係の CVE に対処します。
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfiguration
オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfiguration
オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
7.2.7. Security Profiles Operator 0.5.0
Security Profiles Operator 0.5.0 には、次のアドバイザリーを利用できます。
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfiguration
オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfiguration
オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)