1.3. 新機能および機能拡張
今回のリリースでは、以下のコンポーネントおよび概念に関連する拡張機能が追加されました。
1.3.1. Cluster Resource Override Admission Operator
1.3.1.1. Cluster Resource Override Operator の移動
デフォルトでは、インストールプロセスによって、1 つのワーカーノードに Cluster Resource Override Operator Pod が 1 つ、複数のコントロールプレーンノードに Cluster Resource Override Pod が 2 つ作成されます。必要に応じて、これらの Pod をインフラストラクチャーノードなどの他のノードに移動できます。詳細は、Cluster Resource Override Operator Pod の移動 を参照してください。
1.3.1.2. Cluster Resource Override Operator Pod はデプロイメントオブジェクトが所有
Cluster Resource Override Operator Pod は、デプロイメントオブジェクトが所有するようになりました。この Operator は、以前はデーモンセットオブジェクトが所有していました。Operator のデプロイメントを使用すると、セキュリティーの追加やワーカーノードで Pod を実行する機能の追加など、さまざまな問題に対処できます。
1.3.2. 拡張機能 (OLM v1)
1.3.2.1. Operator Lifecycle Manager (OLM) v1 ドキュメントを新しい拡張機能ガイド (テクノロジープレビュー) に移動
OpenShift Container Platform 4.14 以降でテクノロジープレビューとなっている OLM v1 のドキュメントは、拡張機能 という別のガイドとなり、内容も改訂されました。以前は、OLM v1 ドキュメントは既存の OLM 機能セットを説明する Operator ガイドのサブセクションでした。
更新後のガイドの場所と名前は、より焦点を絞ったドキュメントエクスペリエンスを反映し、OLM v1 と既存の OLM を区別することを目的としています。
1.3.2.2. OLM v1 テクノロジープレビュー機能
OLM v1 のこのテクノロジープレビューフェーズでは、次の機能が導入されています。
- カスタムリソース定義 (CRD) アップグレードの安全性
クラスター拡張機能によって提供される CRD を更新すると、OLM v1 は CRD アップグレードの安全性事前チェックを実行し、その CRD の前バージョンとの下位互換性を確認するようになりました。CRD 更新は、クラスター上で変更が進行する前にその検証に合格する必要があります。
詳細は、カスタムリソース定義 (CRD) アップグレードの安全性 を参照してください。
- 単一オブジェクトによるクラスター拡張機能の所有
OLM v1 では、Kubernetes オブジェクトを所有できるのは一度に 1 つの
ClusterExtensionオブジェクトのみです。これにより、OpenShift Container Platform クラスター内のオブジェクトの管理が一貫し、同じオブジェクトを制御しようとする複数のクラスター拡張機能間の競合が防止されます。詳細は、オブジェクトによるクラスター拡張機能の所有 を参照してください。
- セキュリティー強化
OLM v1 では、クラスター拡張機能のインストール、更新、管理に専用のサービスアカウントが必要になりました。さらに、catalogd は HTTPS 暗号化を使用してカタログサーバーの応答を保護します。
詳細は、クラスター拡張機能の管理用サービスアカウントの作成 を参照してください。
- ステータス条件の改善
-
このリリースでは、OLM v1 の
ClusterExtensionAPI を介したステータス条件とエラーメッセージが改善されました。
1.3.2.3. OLM v1 でサポートされている拡張機能と既知の問題
現在、Operator Lifecycle Manager (OLM) v1 は、次のすべての条件を満たすクラスター拡張機能のインストールをサポートしています。
-
拡張機能は、既存の OLM で導入された
registry+v1バンドル形式を使用する必要があります。 -
拡張機能は、
AllNamespacesインストールモードによるインストールをサポートする必要があります。 - 拡張機能は Webhook を使用してはなりません。
拡張機能は、次に示すいずれかのファイルベースのカタログプロパティーを使用して依存関係を宣言してはなりません。
-
olm.gvk.required -
olm.package.required -
olm.constraint
-
OLM v1 は、インストールする拡張機能がこれらの制約を満たしているかどうかを確認します。インストールする拡張機能がこれらの制約を満たしていない場合、クラスター拡張機能の条件にエラーメッセージが出力されます。
Operator Lifecycle Manager (OLM) v1 は、既存の OLM で導入された OperatorConditions API をサポートしていません。
拡張機能が OperatorConditions API のみに依存して更新を管理している場合、拡張機能が正しくインストールされない可能性があります。この API に依存する拡張機能のほとんどは起動時に失敗しますが、一部は調整中に失敗する可能性があります。
回避策として、拡張機能を特定のバージョンに固定できます。拡張機能を更新する場合は、拡張機能のドキュメントを参照して、いつ拡張機能を新しいバージョンに固定すれば安全か確認してください。
現在、Operator Lifecycle Manager (OLM) v1 は、Red Hat が提供する Operator カタログなどのプライベートレジストリーを認証できません。これは既知の問題です。その結果、Red Hat Operators カタログがインストールされていることを前提とする OLM v1 の手順は機能しません。(OCPBUGS-36364)
1.3.3. エッジコンピューティング
1.3.3.1. GitOps ZTP によるホストファームウェア設定の管理
GitOps ZTP を使用してデプロイしたマネージドクラスターのホストファームウェア設定を行えるようになりました。ホストプロファイル YAML ファイルは、マネージドクラスターのデプロイに使用する SiteConfig カスタムリソース (CR) と一緒に保存します。GitOps ZTP は、デプロイ中にホストプロファイルを使用してマネージドクラスターホストのファームウェア設定を行います。ハブクラスターでは、FirmwareSchema CR を使用してマネージドクラスターのホストファームウェアスキーマを検出し、HostFirmwareSettings CR を使用してマネージドクラスターのファームウェア設定を取得できます。
詳細は、GitOps ZTP によるホストファームウェア設定の管理 を参照してください。
1.3.3.2. イメージベースのアップグレードの強化
このリリースでは、イメージベースのアップグレードによる次の機能強化が導入されました。
-
ハブに
ImageBasedGroupUpgradeAPI を追加することで、マネージドクラスターの大規模なグループのアップグレードプロセスを簡素化しました。 -
ImageBasedGroupUpgradeAPI を使用するときに、マネージドクラスターにアクション完了のラベルを付けます。 - シードイメージ生成前のシードクラスター検証を改善しました。
- マネージドクラスターの使用量が一定のしきい値に達した場合、コンテナーストレージディスクを自動的にクリーンアップします。
-
ImageBasedUpgradeCR の新しいstatus.historyフィールドに包括的なイベント履歴を追加します。
ImageBasedGroupUpgrade API の詳細は、ハブ上で ImageBasedGroupUpgrade CR を使用してイメージベースのアップグレードを大規模に管理する を参照してください。
1.3.3.3. TPM と PCR 保護によるディスク暗号化 (テクノロジープレビュー)
このリリースでは、Trusted Platform Module (TPM) と Platform Configuration Registers (PCR) の保護によるディスク暗号化を有効にできます。SiteConfig カスタムリソース (CR) の diskEncryption フィールドを使用して、ディスクの暗号化を設定できます。SiteConfig CR を設定すると、クラスターのインストール時にディスク暗号化が有効になります。
詳細は、TPM および PCR 保護によるディスク暗号化の有効化 を参照してください。
1.3.3.4. GitOps ZTP と SiteConfig リソースを使用したマルチノードクラスターの IPsec 暗号化
GitOps ZTP と Red Hat Advanced Cluster Management (RHACM) を使用してデプロイするマネージドマルチノードクラスターで、IPsec 暗号化を有効化できるようになりました。マネージドクラスターと、マネージドクラスター外の IPsec エンドポイント間のトラフィックを暗号化できます。OVN-Kubernetes クラスターネットワーク上のノード間のすべてのネットワークトラフィックが、Transport モードの IPsec で暗号化されます。
詳細は、GitOps ZTP および SiteConfig リソースを使用したマルチノードクラスターの IPsec 暗号化の設定 を参照してください。
1.3.3.5. シングルノード OpenShift クラスターのイメージベースのインストール
イメージベースのインストールにより、インストールとデプロイメントの時間が大幅に短縮され、シングルノード OpenShift クラスターのインストールとデプロイメントのプロセスが合理化されます。
イメージベースのワークフローを使用すると、ターゲットホストにシングルノード OpenShift のインスタンスをプリインストールできます。プリインストールされたホストは、最小限の介入で、非接続環境を含むネットワークの遠端に迅速に再設定してデプロイできます。
詳細は、シングルノード OpenShift クラスターのイメージベースのインストールとデプロイメント を参照してください。
1.3.4. IBM Z と IBM LinuxONE
このリリースにより、IBM Z® および IBM® LinuxONE は OpenShift Container Platform 4.17 と互換性を持つようになりました。z/VM、LPAR、または Red Hat Enterprise Linux (RHEL) カーネルベースの仮想マシン (KVM) を使用して、インストールを実行できます。インストール手順は、IBM Z および IBM LinuxONE へのインストールの準備 を参照してください。
コンピュートノードは、Red Hat Enterprise Linux CoreOS (RHCOS) を実行する必要があります。
IBM Z および IBM LinuxONE の主な機能拡張
OpenShift Container Platform 4.17 の IBM Z® および IBM® LinuxONE リリースでは、OpenShift Container Platform のコンポーネントと概念に、改良点と新機能が追加されました。
このリリースでは、IBM Z® および IBM® LinuxONE 上で次の機能がサポートされます。
- CPU マネージャー
- Multiarch Tuning Operator
- LPAR の Non-volatile memory express (NVMe) サポート
- Secondary Scheduler Operator
- etcd レイテンシー許容値の調整
1.3.5. IBM Power
IBM Power® は OpenShift Container Platform 4.17 と互換性を持つようになりました。インストール手順は、以下のドキュメントを参照してください。
コンピュートノードは、Red Hat Enterprise Linux CoreOS (RHCOS) を実行する必要があります。
IBM Power の主な機能拡張
OpenShift Container Platform 4.17 の IBM Power® リリースでは、OpenShift Container Platform コンポーネントに改良点と新機能が追加されました。
このリリースでは、IBM Power で次の機能がサポートされます。
- Multiarch Tuning Operator
- Secondary Scheduler Operator
- etcd レイテンシー許容値の調整
- IBM PowerVS の Installer Provisioned Infrastructure - CAPI への移行
IBM Power、IBM Z、IBM LinuxONE サポートマトリクス
OpenShift Container Platform 4.14 以降、Extended Update Support (EUS) は IBM Power® および IBM Z® プラットフォームに拡張されています。詳細は、OpenShift EUS の概要 を参照してください。
| 機能 | IBM Power® | IBM Z® および IBM® LinuxONE |
|---|---|---|
| 代替の認証プロバイダー | サポート対象 | サポート対象 |
| Agent-based Installer | サポート対象 | サポート対象 |
| Assisted Installer | サポート対象 | サポート対象 |
| ローカルストレージ Operator を使用した自動デバイス検出 | サポート対象外 | サポート対象 |
| マシンヘルスチェックによる障害のあるマシンの自動修復 | サポート対象外 | サポート対象外 |
| IBM Cloud® 向けクラウドコントローラーマネージャー | サポート対象 | サポート対象外 |
| オーバーコミットの制御およびノード上のコンテナーの密度の管理 | サポート対象外 | サポート対象外 |
| CPU マネージャー | サポート対象 | サポート対象 |
| Cron ジョブ | サポート対象 | サポート対象 |
| Descheduler | サポート対象 | サポート対象 |
| Egress IP | サポート対象 | サポート対象 |
| etcd に保存されるデータの暗号化 | サポート対象 | サポート対象 |
| FIPS 暗号 | サポート対象 | サポート対象 |
| Helm | サポート対象 | サポート対象 |
| Horizontal Pod Autoscaling | サポート対象 | サポート対象 |
| Hosted Control Plane | サポート対象 | サポート対象 |
| IBM Secure Execution | サポート対象外 | サポート対象 |
| IBM Power® Virtual Server の installer-provisioned infrastructure の有効化 | サポート対象 | サポート対象外 |
| 単一ノードへのインストール | サポート対象 | サポート対象 |
| IPv6 | サポート対象 | サポート対象 |
| ユーザー定義プロジェクトのモニタリング | サポート対象 | サポート対象 |
| マルチアーキテクチャーコンピュートノード | サポート対象 | サポート対象 |
| マルチアーキテクチャーコントロールプレーン | サポート対象 | サポート対象 |
| マルチパス化 | サポート対象 | サポート対象 |
| Network-Bound Disk Encryption - 外部 Tang サーバー | サポート対象 | サポート対象 |
| 不揮発性メモリーエクスプレスドライブ (NVMe) | サポート対象 | サポート対象外 |
| Power10 用の nx-gzip (ハードウェアアクセラレーション) | サポート対象 | サポート対象外 |
| oc-mirror プラグイン | サポート対象 | サポート対象 |
|
OpenShift CLI ( | サポート対象 | サポート対象 |
| Operator API | サポート対象 | サポート対象 |
| OpenShift Virtualization | サポート対象外 | サポート対象外 |
| IPsec 暗号化を含む OVN-Kubernetes | サポート対象 | サポート対象 |
| PodDisruptionBudget | サポート対象 | サポート対象 |
| Precision Time Protocol (PTP) ハードウェア | サポート対象外 | サポート対象外 |
| Red Hat OpenShift Local | サポート対象外 | サポート対象外 |
| スケジューラーのプロファイル | サポート対象 | サポート対象 |
| Secure Boot | サポート対象外 | サポート対象 |
| SCTP (Stream Control Transmission Protocol) | サポート対象 | サポート対象 |
| 複数ネットワークインターフェイスのサポート | サポート対象 | サポート対象 |
|
IBM Power® 上のさまざまな SMT レベルをサポートする | サポート対象 | サポート対象 |
| 3 ノードクラスターのサポート | サポート対象 | サポート対象 |
| Topology Manager | サポート対象 | サポート対象外 |
| SCSI ディスク上の z/VM Emulated FBA デバイス | サポート対象外 | サポート対象 |
| 4k FCP ブロックデバイス | サポート対象 | サポート対象 |
| 機能 | IBM Power® | IBM Z® および IBM® LinuxONE |
|---|---|---|
| iSCSI を使用した永続ストレージ | サポート対象 [1] | サポート対象 [1] [2] |
| ローカルボリュームを使用した永続ストレージ (LSO) | サポート対象 [1] | サポート対象 [1] [2] |
| hostPath を使用した永続ストレージ | サポート対象 [1] | サポート対象 [1] [2] |
| ファイバーチャネルを使用した永続ストレージ | サポート対象 [1] | サポート対象 [1] [2] |
| Raw Block を使用した永続ストレージ | サポート対象 [1] | サポート対象 [1] [2] |
| EDEV/FBA を使用する永続ストレージ | サポート対象 [1] | サポート対象 [1] [2] |
- 永続共有ストレージは、Red Hat OpenShift Data Foundation またはその他のサポートされているストレージプロトコルを使用してプロビジョニングする必要があります。
- 永続的な非共有ストレージは、iSCSI、FC などのローカルストレージを使用するか、DASD、FCP、または EDEV/FBA での LSO を使用してプロビジョニングする必要があります。
| 機能 | IBM Power® | IBM Z® および IBM® LinuxONE |
|---|---|---|
| cert-manager Operator for Red Hat OpenShift | サポート対象 | サポート対象 |
| Cluster Logging Operator | サポート対象 | サポート対象 |
| Cluster Resource Override Operator | サポート対象 | サポート対象 |
| Compliance Operator | サポート対象 | サポート対象 |
| Cost Management Metrics Operator | サポート対象 | サポート対象 |
| File Integrity Operator | サポート対象 | サポート対象 |
| HyperShift Operator | テクノロジープレビュー | テクノロジープレビュー |
| IBM Power® Virtual Server Block CSI Driver Operator | サポート対象 | サポート対象外 |
| Ingress Node Firewall Operator | サポート対象 | サポート対象 |
| Local Storage Operator | サポート対象 | サポート対象 |
| MetalLB Operator | サポート対象 | サポート対象 |
| Multiarch Tuning Operator | サポート対象 | サポート対象 |
| Network Observability Operator | サポート対象 | サポート対象 |
| NFD Operator | サポート対象 | サポート対象 |
| NMState Operator | サポート対象 | サポート対象 |
| OpenShift Elasticsearch Operator | サポート対象 | サポート対象 |
| Secondary Scheduler Operator | サポート対象 | サポート対象 |
| Vertical Pod Autoscaler Operator | サポート対象 | サポート対象 |
| 機能 | IBM Power® | IBM Z® および IBM® LinuxONE |
|---|---|---|
| ブリッジ | サポート対象 | サポート対象 |
| host-device | サポート対象 | サポート対象 |
| IPAM | サポート対象 | サポート対象 |
| IPVLAN | サポート対象 | サポート対象 |
| 機能 | IBM Power® | IBM Z® および IBM® LinuxONE |
|---|---|---|
| クローン | サポート対象 | サポート対象 |
| 拡張 | サポート対象 | サポート対象 |
| スナップショット | サポート対象 | サポート対象 |
1.3.6. Insights Operator
Insights Operator は、openshift- または kube- 接頭辞が付いた namespace から、より多くの OpenShift Container Platform コンテナーログデータを収集し、推奨事項をより速く生成するようになりました。また、サービスについて収集するデータの定義方法をより柔軟にする機能拡張も行われました。
1.3.6.1. Rapid Recommendations
このリリースでは、Rapid Recommendations と呼ばれる新しい機能が導入されました。この機能は、Insights Operator が収集するデータを決定するルールをリモートで設定する、より動的でバージョンに依存しないメカニズムを備えています。
Rapid Recommendations は、既存の条件付きデータ収集メカニズムを基盤としています。Insights Operator は、/console.redhat.com で実行されているセキュアなリモートエンドポイントサービスに接続し、Red Hat によってフィルタリングおよび収集されるコンテナーログメッセージを決定するルールを含む定義を取得します。
条件付きデータ収集の定義 (ルールとも呼ばれます) は、pod.yml 設定ファイルの conditionalGathererEndpoint という属性を通じて設定されます。
conditionalGathererEndpoint: https://console.redhat.com/api/gathering/v2/%s/gathering_rules
以前は、Insights Operator が収集するデータを決定するルールは、ハードコードされており、対応する OpenShift Container Platform バージョンに関連付けられていました。
事前設定済みのエンドポイント URL に、OpenShift Container Platform のターゲットバージョンを定義するためのプレースホルダー (%s) が追加されました。
1.3.6.2. 収集されるデータの増加と推奨事項の追加
Insights Operator は、以下の状況を検出するために、さらに多くのデータを収集するようになりました。このデータを他のアプリケーションで使用して、OpenShift Container Platform のデプロイメントをプロアクティブに管理するための修復推奨事項を生成できます。
- 非推奨の OpenShift SDN CNI プラグイン を使用している Pod と namespace を検出し、デプロイメントから収集されたデータに応じて、実行する必要があるアクションに関する推奨事項を生成します。
- RHOSP からカスタムリソース定義 (CRD) を収集します。
-
OCPBUGS-36687 で報告された問題と修復を検出するために、
haproxy_exporter_server_thresholdメトリクスを収集します。 -
openshift-monitoringnamespace に存在しないカスタムの Prometheus Alertmanager インスタンスを検出するためのデータを収集します。このようなインスタンスは、対応するリソースの管理に影響を与える可能性があるためです。 デフォルトの Ingress Controller 有効期限証明書の有効期限が近づいていることを検出します。このデータを他のアプリケーションやサービスで使用して、有効期限前に証明書を更新するための推奨事項を生成できます。
-
以前は、Insights Operator は、
NotBeforeおよびNotAfterの日付を含むすべての Ingress Controller 証明書に関する情報を収集していました。このデータは、クラスター全体の証明書の有効性をより簡単に監視できるように、aggregated/ingress_controllers_certs.jsonにあるJSONファイルにコンパイルされるようになりました。(OCPBUGS-35727)
-
以前は、Insights Operator は、
1.3.7. インストールおよび更新
1.3.7.1. GCP のユーザー定義ラベルとタグ
この更新により、Google Cloud Platform (GCP) のユーザー定義のラベルとタグが一般提供になりました。
詳細は、GCP のユーザー定義ラベルとタグの管理 を参照してください。
1.3.7.2. GPU を使用するコンピュートマシンを備えた Nutanix にクラスターをインストールする
今回の更新により、処理に GPU を使用するコンピュートマシンを備えた Nutanix にクラスターをインストールできるようになりました。install-config.yaml ファイルの compute.platform.nutanix.gpus パラメーターを使用して、コンピュートノードに GPU をアタッチします。
詳細は、Nutanix のインストール設定パラメーター を参照してください。
1.3.7.3. 複数のディスクを使用するコンピュートノードを備えた Nutanix にクラスターをインストールする
今回の更新により、複数のディスクがアタッチされているコンピュートマシンを備えた Nutanix にクラスターをインストールできるようになりました。install-config.yaml ファイルの compute.platform.nutanix.dataDisks パラメーターを使用して、複数のディスクをコンピュートノードにアタッチします。
詳細は、Nutanix のインストール設定パラメーター を参照してください。
1.3.7.4. 中央スペインリージョンの Azure にクラスターをインストールする
中央スペインリージョン (spaincentral) の Azure に OpenShift Container Platform クラスターをインストールできるようになりました。
詳細は、サポート対象の Azure リージョン を参照してください。
1.3.7.5. マルチアーキテクチャーコンピュートマシンの設定をサポートするクラスターのインストール
このリリースでは、マルチアーキテクチャーコンピュートマシンの設定をサポートする Amazon Web Services (AWS) クラスターと Google Cloud Platform (GCP) クラスターをインストールできます。クラスターのインストール時に、次の方法でコントロールプレーンとコンピュートマシンに異なる CPU アーキテクチャーを指定できます。
- 64 ビット x86 コンピュートマシンと 64 ビット ARM コントロールプレーンマシン
- 64 ビット ARM コンピュートマシンと 64 ビット x86 コントロールプレーンマシン
マルチアーキテクチャーコンピュートマシンを備えた OpenShift Container Platform クラスターは、さまざまなアーキテクチャーのコンピュートマシンをサポートします。詳細は、以下のドキュメントを参照してください。
1.3.7.6. Flow Virtual Networking を使用した Nutanix へのクラスターのインストール
OpenShift Container Platform 4.17 では、Flow Virtual Networking を有効にして Nutanix にクラスターをインストールできます。Flow Virtual Networking は、Nutanix AHV クラスター向けのソフトウェア定義ネットワークソリューションです。物理ネットワークとは別の VPC、サブネット、その他の仮想コンポーネントを使用して、マルチテナント分離、セルフサービスプロビジョニング、IP アドレスの保持を実現します。このインストールを実行するには、インストールする前に Nutanix AHV 環境で Flow Virtual Networking を有効にしてください。
詳細は、Flow Virtual Networking の概要 を参照してください。
1.3.7.7. Microsoft Azure インストールで Terraform を Cluster API に置き換え
OpenShift Container Platform 4.17 では、インストールプログラムは Terraform の代わりに Cluster API を使用して、Azure へのインストール中にクラスターインフラストラクチャーをプロビジョニングします。
Terraform の置き換えにより、権限が制限されたサービスプリンシパルを使用する場合は、次の権限が必要になります。
-
Microsoft.Network/loadBalancers/inboundNatRules/read -
Microsoft.Network/loadBalancers/inboundNatRules/write -
Microsoft.Network/loadBalancers/inboundNatRules/join/action -
Microsoft.Network/loadBalancers/inboundNatRules/delete -
Microsoft.Network/routeTables/read -
Microsoft.Network/routeTables/write -
Microsoft.Network/routeTables/join/action
必要な権限の詳細は、installer-provisioned infrastructure に必要な Azure 権限 を参照してください。
1.3.7.8. 既存のサービスアカウントを使用して Google Cloud Platform にクラスターをインストールする
この更新により、既存のサービスアカウントを使用して GCP にクラスターをインストールできるようになり、インストールプログラムが使用するサービスアカウントに付与する権限を最小限に抑えることができます。使用するサービスアカウントは、install-config.yaml ファイルの compute.platform.gcp.serviceAccount および controlPlane.platform.gcp.serviceAccount パラメーターで指定できます。詳細は、GCP で使用可能なインストール設定パラメーター を参照してください。
1.3.7.9. 既存の IAM プロファイルを使用して AWS にクラスターをインストールする
このリリースでは、既存のアイデンティティーおよびアクセス管理 (IAM) インスタンスプロファイルを使用して、Amazon Web Services (AWS) に OpenShift Container Platform をインストールできます。詳細は、オプションの AWS 設定パラメーター を参照してください。
1.3.7.10. N4 マシンシリーズを使用して GCP にクラスターをインストールする
このリリースでは、コンピュートまたはコントロールプレーンマシン用の N4 マシンシリーズ を使用して、GCP にクラスターをデプロイできます。N4 マシンシリーズでサポートされているディスクタイプは、hyperdisk-balanced です。詳細は、GCP のインストール設定パラメーター を参照してください。
1.3.7.11. Google Cloud Platform (GCP) インストールで Terraform を Cluster API に置き換え
このリリースでは、インストールプログラムは Terraform の代わりに Cluster API を使用して、GCP へのインストール中にクラスターインフラストラクチャーをプロビジョニングします。
1.3.7.12. RHOSP の 3 ノードクラスターサポート
installer-provisioned infrastructure への 3 ノードクラスターのデプロイが、Red Hat OpenStack Platform (RHOSP) でサポートされるようになりました。
詳細は、OpenStack に 3 ノードクラスターをインストールする を参照してください。
1.3.7.13. ローカルディスクにルートボリュームと etcd を備えた Red Hat OpenStack Platform (RHOSP) をデプロイする (一般提供)
この一般提供機能を使用して、Day 2 デプロイメントとして、etcd をルートボリューム (Cinder) から専用のエフェメラルローカルディスクに移動できるようになりました。
詳細は、ローカルディスク上の rootVolume および etcd を使用した OpenStack へのデプロイ を参照してください。
1.3.7.14. AWS パブリッククラウドにデプロイされたクラスターのコンピュートノードを AWS Outposts に拡張することの非推奨化
このリリースでは、AWS パブリッククラウドにデプロイされたクラスターのコンピュートノードを AWS Outposts に拡張することが非推奨となりました。インストール後にコンピュートノードを AWS Outposts にデプロイする機能 (パブリック AWS リージョンで稼働する既存の OpenShift Container Platform クラスターの拡張機能) は、OpenShift Container Platform バージョン 4.20 のリリースで削除されます。
詳細は、AWS VPC クラスターの AWS Outpost への拡張 を参照してください。
1.3.8. Operator ライフサイクル
1.3.8.1. Operator Lifecycle Manager (OLM) v1 の新しいガイドの場所とリリースノートのセクション (テクノロジープレビュー)
OpenShift Container Platform 4.17 以降の OLM v1 に関するリリースノート (およびこのリリースから使用する新しいガイドの場所) については、拡張機能 (OLM v1) の新機能と機能強化のセクションを参照してください。
この「Operator ライフサイクル」セクションでは、引き続き今後のリリースにおける既存 OLM の新機能と拡張機能を説明します。
1.3.8.2. 非推奨化された Operator に関する Web コンソールの警告
カタログ内の Operator に対して非推奨のパッケージ、チャネル、またはバージョンが定義されている場合、OpenShift Container Platform Web コンソールは、OperatorHub のインストール前のページとインストール後のページの両方で、カスタムの非推奨メッセージを含め、Operator の影響を受ける要素に対する警告バッジを表示するようになりました。
Operator カタログの非推奨スキーマの詳細は、Operator Framework パッケージ形式
1.3.9. Operator の開発
1.3.9.1. クラウドプロバイダー上の Operator のトークン認証: GCP Workload Identity
このリリースでは、Operator Lifecycle Manager (OLM) によって管理される Operator は、GCP Workload Identity 用に設定された Google Cloud Platform (GCP) クラスター上で実行される場合、トークン認証をサポートできます。Cloud Credential Operator (CCO) を更新すると、Operator の作成者が Operator による GCP Workload Identity のサポートを有効にしている場合に限り、特定の短期認証情報の半自動プロビジョニングが可能になります。
詳細は、GCP Workload Identity を使用した OLM 管理 Operator の CCO ベースのワークフロー を参照してください。
1.3.10. OpenShift CLI (oc)
1.3.10.1. oc-mirror に HyperShift KubeVirt CoreOS コンテナーを追加
このリリースでは、OpenShift Container Platform リリースペイロードのミラーリング時に、oc-mirror に HyperShift KubeVirt プロバイダーの Red Hat Enterprise Linux CoreOS (RHCOS) イメージが含まれるようになりました。
KubeVirt Container RHCOS を展開するには、imageSetConfig.yaml ファイルで、デフォルトで false に設定されている kubeVirtContainer フラグを true に設定する必要があります。これにより、ホストされたクラスターのノードとして機能する KubeVirt 仮想マシンに必要なイメージが組み込まれるため、非接続環境のサポートが保証されます。
1.3.11. Machine Config Operator
1.3.11.1. MCO でサポートされるコントロールプレーン TLS セキュリティープロファイル
Machine Config Operator (MCO) とマシン設定サーバーは、コントロールプレーンコンポーネント用に設定された TLS セキュリティープロファイルを使用するようになりました。詳細は、コントロールプレーンの TLS セキュリティープロファイルの設定 を参照してください。
1.3.11.2. AWS 用のブートイメージの更新をサポート (テクノロジープレビュー)
ブートイメージの更新が、Amazon Web Services (AWS) クラスターのテクノロジープレビュー機能としてサポートされるようになりました。この機能を使用すると、クラスターを更新するたびにノードのブートイメージが更新されるようにクラスターを設定できます。デフォルトでは、クラスター更新時にクラスター内のブートイメージは更新されません。詳細は、ブートイメージの更新 を参照してください。
1.3.11.3. GA にプロモートされた GCP クラスターのブートイメージの更新
Google Cloud Platform (GCP) クラスターの GA に、ブートイメージの更新がプロモートされました。詳細は、ブートイメージの更新 を参照してください。
1.3.11.4. node disruption policy が GA にプロモート
node disruption policy 機能が GA にプロモートされました。node disruption policy を使用すると、ワークロードをほとんど、またはまったく中断することなく、一連の Ignition 設定オブジェクトの変更を定義できます。詳細は、node disruption policy を使用してマシン設定の変更による停止を最小限に抑える を参照してください。
1.3.12. マシン管理
1.3.12.1. AWS プレイスメントグループパーティション番号のサポート
このリリースでは、Amazon Web Services (AWS) 上の OpenShift Container Platform の MachineSet の placementGroupPartition フィールドが導入されました。この機能を使用すると、既存のプレイスメントグループ内のパーティション番号を指定できるため、インスタンスの正確な割り当てが可能になり、フォールトトレランスが向上します。詳細は、マシンセットを使用して Elastic Fabric Adapter インスタンスのプレイスメントグループにマシンを割り当てる を参照してください。
1.3.12.2. マシンセットを使用した Capacity Reservation の設定
OpenShift Container Platform リリース 4.17 では、Microsoft Azure クラスター上の Capacity Reservation グループを使用したオンデマンド Capacity Reservation のサポートが導入されています。詳細は、コンピュート または コントロールプレーン マシーンセットに関する マシンセットを使用した Capacity Reservation の設定 を参照してください。
1.3.13. モニタリング
このリリースのクラスター内モニタリングスタックには、以下の新機能および修正された機能が含まれます。
1.3.13.1. モニタリングスタックコンポーネントおよび依存関係の更新
このリリースには、クラスター内モニタリングスタックコンポーネントと依存関係に関する以下のバージョン更新が含まれています。
- Alertmanager 0.27.0 への更新
- Prometheus Operator 0.75.2 への更新
- Prometheus 2.53.1 への更新
- kube-state-metrics 2.13.0 への更新
- node-exporter 1.8.2 への更新
- Thanos 0.35.1 への更新
1.3.13.2. アラートルールの変更
Red Hat は、記録ルールまたはアラートルールの後方互換性を保証しません。
-
PrometheusKubernetesListWatchFailuresアラートを追加しました。これは、サイレントサービスディスカバリーの失敗につながる可能性のある、到達不能 API や権限の問題などの Prometheus および Kubernetes API 障害をユーザーに警告します。
1.3.13.3. ユーザー定義プロジェクトのスクレイピング時のジッターを許容するように Prometheus を更新
この更新により、ユーザー定義プロジェクトを監視するための Prometheus 設定で、スクレイピング時のジッターが許容されるようになりました。この更新により、データストレージのチャンク圧縮が最適ではない監視デプロイメントのデータ圧縮が最適化され、これらのデプロイメントの時系列データベースによって使用されるディスク領域が削減されます。
1.3.13.4. Network Observability Operator
Network Observability Operator は、OpenShift Container Platform マイナーバージョンのリリースストリームとは独立して更新をリリースします。更新は、現在サポートされているすべての OpenShift Container Platform 4 バージョンでサポートされている単一のローリングストリームを介して使用できます。Network Observability Operator の新機能、機能拡張、バグ修正に関する情報は、Network Observability リリースノート を参照してください。
1.3.14. ノード
1.3.14.1. 新しい CRIO コマンドの動作
OpenShift Container Platform 4.17 以降では、ノードが再起動されると、crio wipe コマンドが CRI-O バイナリーが正常に終了したかどうかを確認します。正常に終了しなかったイメージは破損していると判断され、削除されます。この動作により、半分だけプルされたイメージやその他の同期されていないファイルが原因で CRI-O が起動に失敗することがなくなります。OpenShift Container Platform 4.15 および 4.16 では、ノードが再起動されると crio wipe コマンドがすべてのイメージを削除していました。crio wipe コマンドの新しい動作により、ノードの再起動時にイメージが破損するリスクを軽減しながら効率を高めることができます。
1.3.14.2. must-gather コマンドに新しいフラグを追加
OpenShift Container Platform リリース 4.17 では、収集される情報の期間を制限するために oc adm must-gather コマンドで使用する 2 つの新しいフラグが追加されました。一度に使用できるのは、次のフラグのうち 1 つだけです。プラグインはこれらのフラグをサポートすることが推奨されますが、必須ではありません。
-
--since: 5 秒、2 分、3 時間などの相対期間よりも新しいログのみを返します。デフォルトではすべてのログが返されます。 -
--since-time: RFC3339 形式で表される特定の日付以降のログのみを返します。デフォルトではすべてのログが返されます。
oc adm must-gather command で使用する全フラグのリストは、Must-gather フラグ を参照してください。
1.3.14.3. Pod で Linux ユーザー名前空間をサポート (テクノロジープレビュー)
OpenShift Container Platform リリース 4.17 では、Linux ユーザー名前空間への Pod とコンテナーのデプロイがサポートされるようになりました。Pod とコンテナーを個別のユーザー名前空間で実行すると、侵害されたコンテナーから他の Pod やノード自体に及ぶ可能性のあるいくつかの脆弱性を軽減できます。詳細は、Linux ユーザー名前空間での Pod の実行 を参照してください。
1.3.14.4. CRI-O メトリクスポートが TLS を使用
OpenShift Container Platform モニタリングでは、TLS でバックアップされたエンドポイントを使用して CRI-O コンテナーのランタイムメトリクスを取得するようになりました。これらの証明書は、ユーザーではなく、システムによって管理されます。OpenShift Container Platform モニタリングクエリーが新しいポートに更新されました。モニタリングで使用される証明書の詳細は、モニタリングおよび OpenShift Logging Operator コンポーネントの証明書 を参照してください。
1.3.14.5. オンプレミスクラスターへのコンピュートノードの追加
このリリースでは、OpenShift CLI (oc) を使用してコンピュートノードを追加し、ISO イメージを生成できます。その後、このイメージを使用して、ターゲットクラスター内の 1 つ以上のノードを起動できます。このプロセスは、クラスターのインストール方法に関係なく使用できます。
詳細は、オンプレミスクラスターへのワーカーノードの追加 を参照してください。
1.3.15. ネットワーク
1.3.15.1. PTP グランドマスタークロックとしての Dual-NIC Intel E810 Logan Beach
linuxptp サービスを、デュアル Intel E810 Logan Beach ネットワークインターフェイスコントローラー (NIC) のグランドマスタークロック (T-GM) として設定できるようになりました。次のデュアル E810 NIC の T-GM として linuxptp サービスを設定できます。
- Intel E810-XXVDA4T Westport Channel NIC
- Intel E810-CQDA2T Logan Beach NIC
ホストシステムクロックは、Global Navigation Satellite Systems (GNSS) タイムソースに接続された NIC から同期されます。2 つ目の NIC は、GNSS に接続されている NIC によって提供される 1PPS タイミングの出力に同期されます。詳細は、デュアル E810 NIC のグランドマスタークロックとして linuxptp サービスを設定する を参照してください。
1.3.15.2. 新しいクラスターのマスカレードサブネットの変更
OpenShift Container Platform 4.17 以降のバージョンでは、クラスターはデフォルトのマスカレードサブネットとして、IPv4 の場合は 169.254.0.0/17、IPv6 の場合は fd69::/112 を使用します。ユーザーはこれらの範囲を避ける必要があります。アップグレードされたクラスターの場合は、デフォルトのマスカレードサブネットに変更がありません。
1.3.15.3. SR-IOV ネットワークメトリクスエクスポーターを有効にする
このリリースでは、OpenShift Container Platform Web コンソールを使用して Single Root I/O Virtualization (SR-IOV) Virtual Function (VF) メトリクスをクエリーし、SR-IOV Pod のネットワークアクティビティーを監視できます。Web コンソールを使用して SR-IOV VF メトリクスをクエリーすると、SR-IOV ネットワークメトリクスエクスポーターは、VF が接続されている Pod の名前と namespace とともに、VF ネットワーク統計を取得して返します。
詳細は、SR-IOV ネットワークメトリクスエクスポーターの有効化 を参照してください。
1.3.15.4. Kubernetes NMState Operator 用の Microsoft Azure
Red Hat では、Microsoft Azure 上で Kubernetes NMState Operator を使用するためのサポートが提供されていますが、その機能は限られています。サポートは、インストール後のタスクとしてシステム上の DNS サーバーを設定することに限定されています。
詳細は、Kubernetes NMState Operator について を参照してください。
1.3.15.5. Kubernetes NMState Operator によって収集されたメトリクスの表示
Kubernetes NMState Operator である kubernetes-nmstate-operator は、kubernetes_nmstate_features_applied コンポーネントからメトリクスを収集し、すぐに使用できるメトリクスとして公開できます。これらのメトリクスは、Administrator および Developer パースペクティブを使用して表示できます。
詳細は、Kubernetes NMState Operator について を参照してください。
1.3.15.6. 新しい PTP 高速イベント REST API バージョン 2 が使用可能に
新しい PTP 高速イベント O-RAN リリース 3 準拠 REST API バージョン 2 が使用可能になりました。これで、PTP Operator が管理する Pod からホストハードウェア PTP イベントを直接受信する PTP イベントコンシューマーアプリケーションを開発できるようになりました。
PTP イベント REST API v1 および PTP イベントコンシューマーアプリケーションサイドカーは非推奨になりました。
O-RAN O-Cloud Notification API Specification for Event Consumers 3.0 では、リソースは通知を生成するサブシステムの階層パスとして定義されています。PTP イベント REST API v2 には、リソースパスに含まれるすべての下位階層リソースに対するグローバルサブスクリプションがありません。利用可能なさまざまなイベントタイプのコンシューマーアプリケーションを、個別にサブスクライブします。
詳細は、REST API v2 を使用した PTP イベントコンシューマーアプリケーションの開発 を参照してください。
1.3.15.7. PTP グランドマスタークロックの自動うるう秒処理
PTP Operator は、Global Positioning System (GPS) のアナウンスを使用して、うるう秒ファイルを自動的に更新するようになりました。
うるう秒情報は、openshift-ptp namespace の leap-configmap という名前の自動生成された ConfigMap リソースに保存されます。
詳細は、PTP グランドマスタークロックの動的うるう秒処理の設定 を参照してください。
1.3.15.8. SR-IOV デバイスの NIC パーティショニング (一般提供)
この更新により、インストール時に Single Root I/O Virtualization (SR-IOV) デバイスの NIC パーティション設定を有効にする機能が一般提供されました。
詳細は、SR-IOV デバイスの NIC パーティション設定 を参照してください。
1.3.15.9. SR-IOV VF のホストネットワーク設定 (一般提供)
この更新により、既存クラスター内の Single Root I/O Virtualization (SR-IOV) ネットワーク Virtual Function のホストネットワーク設定を更新する機能が一般提供されました。
詳細は、Virtual Function のノードネットワーク設定ポリシー を参照してください。
1.3.15.10. ユーザー定義のネットワークセグメンテーション (テクノロジープレビュー)
OpenShift Container Platform 4.17 では、UserDefinedNetwork (UDN) カスタムリソース定義 (CRD) のテクノロジープレビュー機能を使用して、複数のネットワークを作成し、それらをワークロードのプライマリーネットワークまたはセカンダリーネットワークとして宣言できます。UDN を使用すると、複雑なネットワークポリシーを設定および管理することなく、namespace を分離できます。
詳細は、ユーザー定義ネットワークについて を参照してください。
1.3.15.11. CoreDNS をバージョン 1.11.3 に更新
OpenShift Container Platform 4.17 には、CoreDNS バージョン 1.11.3 が含まれるようになりました。
1.3.15.12. eBPF manager Operator (テクノロジープレビュー)
テクノロジープレビュー機能である eBPF manager Operator を使用すると、eBPF プログラムを安全にデプロイおよび管理できます。これにより、OpenShift Container Platform クラスターで容易に eBPF プログラムを安全にロード、アンロード、変更、監視できます。bpfman Operator のデプロイの詳細は、eBPF Manager Operator について を参照してください。
1.3.15.13. Ingress Node Firewall Operator の eBPF プログラムサポート (テクノロジープレビュー)
テクノロジープレビュー機能として、Ingress Node Firewall Operator の eBPF プログラムを安全に管理できます。この機能を使用するには、動揺にテクノロジープレビュー機能として使用できる eBPF manager Operator をインストールする必要があります。詳細は、Ingress Node Firewall Operator の統合 を参照してください。
1.3.15.14. MetalLB の変更
この更新により、MetalLB はデフォルトのバックエンドとして FRR-K8s を使用します。以前は、これはテクノロジープレビューとして使用できるオプション機能でした。詳細は、MetalLB と FRR-K8s の統合設定 を参照してください。
MetalLB には、Border Gateway Protocol (BGP) ピアカスタムリソース (connectTime) の新しいフィールドも含まれています。このフィールドを使用して、近隣への接続の試行間隔として BGP が待機する時間を指定できます。詳細は、BGP ピアカスタムリソースについて を参照してください。
1.3.15.15. vfio-pci SR-IOV デバイスの MTU の公開
このリリースでは、vfio-pci ドライバーを使用する Virtual Function の最大転送単位 (MTU) が、ネットワークステータス Pod アノテーションとコンテナー内で使用可能になりました。
詳細は、vfio-pci SR-IOV デバイスの MTU を Pod に公開する を参照してください。
1.3.15.16. MetalLB メトリクス命名の更新
このリリースでは、MetalLB BGP および BFD メトリクスの命名規則が更新されました。
-
BGP メトリクスの命名は、
metallb_bgp_<metric_name>からfrrk8s_bgp_<metric_name>に更新されました。 -
BFD メトリクスの命名は、
metallb_bfd_<metric_name>からfrrk8s_bfd_<metric_name>に更新されました。
すべてのメトリクスを新しい形式で表示するには、BGP および BFD の MetalLB メトリクス を参照してください。
1.3.16. レジストリー
1.3.16.1. S3 レジストリーストレージの新しい chunkSizeMiB 設定パラメーター
S3 API 互換のバックエンドストレージを使用したデプロイメントで、新しいオプションの設定パラメーター chunkSizeMiB が利用できるようになりました。設定すると、S3 API のマルチパートアップロードチャンクのサイズが決まります。デフォルト値は 10 MiB で、最小値は 5 MiB です。
詳細は、AWS S3 の Image Registry Operator 設定パラメーター を参照してください。
1.3.17. Red Hat Enterprise Linux CoreOS (RHCOS)
1.3.17.1. RHCOS が RHEL 9.4 を使用
RHCOS は、OpenShift Container Platform 4.17 で Red Hat Enterprise Linux (RHEL) 9.4 パッケージを使用します。これらのパッケージにより、OpenShift Container Platform インスタンスが最新の修正、機能、機能拡張、ハードウェアサポート、およびドライバーの更新を確実に受け取ることができます。
1.3.17.2. DNF パッケージマネージャーのサポート
このリリースでは、DNF を使用して、カスタマイズされた Red Hat Enterprise Linux CoreOS (RHCOS) ビルドに追加のパッケージをインストールできるようになりました。詳細は、Red Hat Enterprise Linux CoreOS (RHCOS) イメージの階層化 を参照してください。
1.3.18. ストレージ
1.3.18.1. AWS EFS CSI ストレージ使用状況メトリクスの一般提供を開始
Amazon Web Services (AWS) Elastic File Service (EFS) の使用状況メトリクスを使用すると、EFS ボリュームが使用している容量を監視できます。この機能は一般提供されています。
これらのメトリクスをオンにすると、CSI ドライバーがボリューム全体を調べるため、パフォーマンスが低下する可能性があります。したがって、このオプションはデフォルトで無効になります。管理者は、この機能を明示的に有効にする必要があります。
詳細は、AWS EFS ストレージの CSI 使用状況メトリクス を参照してください。
1.3.18.2. 不正なボリュームモード変換の防止機能の一般提供を開始
以前は、スナップショットの作成元であるボリューム (ファイルシステムまたは raw ブロック) のモードが、新しく作成されたボリュームのモードと一致するか検証されていませんでした。そのためセキュリティーギャップが生じ、悪意のあるユーザーがホストオペレーティングシステムの未知の脆弱性を悪用できる可能性がありました。
ただし、一部のユーザーには、このような変換の実行を必要とする正当な理由があります。この機能を使用することで、クラスター管理者はそのための権限 (VolumeSnapshotContents objects に対して更新またはパッチ操作を実行する機能) を、バックアップベンダーなどの信頼済みユーザーまたはアプリケーションにのみ提供できます。
ボリュームモードを変換するには、認可済みユーザーがスナップショットソースの VolumeSnapshotContent の snapshot.storage.kubernetes.io/allow-volume-mode-change: "true" を変更する必要があります。
これは、一般提供された機能としてサポートされています。
1.3.18.3. GCP Filestore におけるリソースの自動削除機能の一般提供を開始
OpenShift Container Platform の以前のバージョンでは、クラスターを破棄しても、Google Compute Platform (GCP) Filestore Storage がそのクラスターに属するクラウドリソースをすべて削除することはありませんでした。そのため、クラスターを破棄する前に、Filestore ストレージクラスを使用していたすべての永続ボリューム要求 (PVC) を手動で削除する必要がありました。
OpenShift Container Platform 4.17 では、クラスターを破棄するときに、通常は OpenShift Container Platform インストーラーがそのクラスターに属するすべてのクラウドリソースを削除するため、PVC を手動で削除する必要はありません。ただし、Google Compute Platform (GCP) Filestore リソースの特殊な性質により、自動消去プロセスではすべてのリソースが削除されない場合がまれに発生します。これは、一般提供された機能としてサポートされています。
詳細は、クラスターと GCP Filestore の破棄 を参照してください。
1.3.18.4. Azure File CSI がスナップショットをサポート (テクノロジープレビュー)
OpenShift Container Platform 4.17 では、Microsoft Azure File Container Storage Interface (CSI) Driver Operator のボリュームスナップショットサポートが導入されました。これは、テクノロジープレビュー機能としてサポートされます。
詳細は、OpenShift Container Platform でサポートされる CSI ドライバー および CSI ボリュームスナップショット を参照してください。
1.3.18.5. vSphere CSI の複数の vCenter サポート (テクノロジープレビュー)
OpenShift Container Platform v4.17 では、複数の vSphere クラスター (vCenter) をまたいで OpenShift Container Platform をデプロイする機能が導入されました。これはテクノロジープレビュー機能としてサポートされています。
複数の vCenter は、インストール時にのみ設定できます。サポートされる vCenter クラスターの最大数は 3 です。
詳細は、vSphere CSI の複数の vCenter サポート および vSphere のインストール設定パラメーター を参照してください。
1.3.18.6. vSphere でのストレージの無効化と有効化 (テクノロジープレビュー)
場合によって、クラスター管理者は Day 2 運用として VMware vSphere Container Storage Interface (CSI) ドライバーを無効にし、vSphere CSI ドライバーが vSphere セットアップと接続されないようにする必要があります。この機能は、テクノロジープレビューレベルでサポートされています。
詳細は、vSphere でのストレージの無効化と有効化 を参照してください。
1.3.18.7. RWX/RWO SELinux Mount (開発者プレビュー)
ボリュームに多数のファイルが含まれている場合、Pod の起動に非常に長い時間がかかることがあります。SELinux の制限を維持しながら SELinux のラベル付け問題を回避するために、ReadWriteMany/ReadWriteOnce (RWX/RWO) SELinux Mount 機能を有効にできます。RWX/RWO SELinux Mount 機能は、開発者プレビュー機能であることに注意してください。Red Hat はこれをサポートしていません。実稼働環境や長期にわたって保守する予定のクラスターでこの機能セットを有効にしないでください。
RWX/RWO SELinux Mount は、開発者プレビュー機能としてのみ使用できます。開発者プレビュー機能は、Red Hat ではいかなる形でもサポートされていません。また、機能的には完全ではなく、実稼働環境に対応していません。本番環境またはビジネスクリティカルなワークロードには、開発者プレビュー機能を使用しないでください。開発者プレビュー機能は、Red Hat 製品オファリングに含まれる可能性がある前に、今後の製品機能への早期アクセスを提供し、お客様が機能をテストし、開発プロセス中にフィードバックを提供できるようにします。これらの機能にはドキュメントがない可能性があり、いつでも変更または削除される可能性があり、テストは制限されています。Red Hat は、関連する SLA なしで、開発者プレビュー機能に関するフィードバックを送信する方法を提供する場合があります。
RWX/RWO SELinux Mount 機能の詳細 (有効にする方法を含む) は、RWX/RWO SELinux Mount feature Knowledge Centered Service article を参照してください。
1.3.18.8. cns-migration を使用してデータストア間で CNS ボリュームを移行する (開発者プレビュー)
OpenShift Container Platform 4.17 では、現在のデータストアで容量が不足しつつある場合、またはよりパフォーマンスの高いデータストアに移行する場合は、データストア間でボリュームを移行できます。これは開発者プレビュー機能であることに注意してください。Red Hat ではサポートされていません。
データストア間での CNS ボリュームの移行は、開発者プレビュー機能としてのみ使用できます。開発者プレビュー機能は、Red Hat ではいかなる形でもサポートされていません。また、機能的には完全ではなく、実稼働環境に対応していません。本番環境またはビジネスクリティカルなワークロードには、開発者プレビュー機能を使用しないでください。開発者プレビュー機能は、Red Hat 製品オファリングに含まれる可能性がある前に、今後の製品機能への早期アクセスを提供し、お客様が機能をテストし、開発プロセス中にフィードバックを提供できるようにします。これらの機能にはドキュメントがない可能性があり、いつでも変更または削除される可能性があり、テストは制限されています。Red Hat は、関連する SLA なしで、開発者プレビュー機能に関するフィードバックを送信する方法を提供する場合があります。
cns-migration の詳細は、データストア間での CNS ボリュームの移動 を参照してください。
1.3.18.9. Google Secret Manager が Secrets Store CSI Driver Operator で使用可能に (テクノロジープレビュー)
Secrets Store CSI Driver Operator を使用して、Google Secret Manager から OpenShift Container Platform 上の Container Storage Interface (CSI) ボリュームにシークレットをマウントできるようになりました。Secrets Store CSI Driver Operator は、テクノロジープレビュー機能として利用できます。
使用可能なシークレットストアプロバイダーの完全なリストは、シークレットストアプロバイダー を参照してください。
Secrets Store CSI Driver Operator を使用して Google Secret Manager からシークレットをマウントする方法は、Google Secret Manager からシークレットをマウントする を参照してください。
1.3.19. スケーラビリティーおよびパフォーマンス
1.3.19.1. Kernel Module Management Operator
このリリースでは、ファームウェア検索パスが更新され、指定されたパスの内容を、worker.setFirmwareClassPath で指定されたパス (デフォルト: /var/lib/firmware) にコピーするようになりました。詳細は、Module CR の例 を参照してください。
1.3.19.2. etcd のノードスケーリング
このリリースでは、クラスターがベアメタルプラットフォームにインストールされている場合、インストール後のタスクとしてクラスターコントロールプレーンを最大 5 ノードまで拡張できます。etcd Operator は、追加のコントロールプレーンノードに応じてスケーリングします。詳細は、etcd によるノードのスケーリング を参照してください。
1.3.20. セキュリティー
1.3.20.1. 署名者証明書の自動ローテーション
このリリースでは、すべての etcd 証明書が新しい namespace openshift-etcd からのものです。新しい署名者証明書の有効期限が近づくと、次のアクションが発生します。
- 署名者証明書の自動ローテーションが有効になります。
- 証明書バンドルが更新されます。
- すべての証明書が、新しい署名者で再生成されます。
署名者証明書の手動ローテーションは、特定のシークレットを削除し、ステータス Pod のロールアウトが完了するまで待つことで引き続きサポートされます。
1.3.20.2. Sigstore 署名イメージ検証
このリリースでは、テクノロジープレビュークラスターは quay.io/openshift-release-dev/ocp-release リポジトリーを参照するプル仕様を使用して取得されたイメージを、Sigstore 署名を使用して検証します。
現在、イメージをミラーリングする場合は、quay.io/openshift-release-dev/ocp-release:<release_image_digest_with_dash>.sig Sigstore 署名もミラーリングしなければ、イメージ検証は成功しません。
1.3.21. Web コンソール
1.3.21.1. OpenShift Lightspeed Operator が Web コンソールで使用可能に
OpenShift Container Platform 4.16 以降では、OpenShift Lightspeed Operator を Web コンソールで使用できるようになりました。このリリースでは、OpenShift Lightspeed を見つけやすくするためのホバーボタンが追加されました。ホバーボタンをクリックすると、クラスターで OpenShift Lightspeed を有効にしてインストールする方法を説明するチャットウィンドウが表示されます。デフォルトのユーザー設定を変更すると、OpenShift Lightspeed ボタンを非表示にできます。
1.3.21.2. 管理者パースペクティブ
このリリースでは、Web コンソールの Administrator パースペクティブに次の更新が導入されています。
- 非推奨の Operator は、インストール前後に非推奨であることを示す警告と共に OperatorHub に表示されます。
-
MachineConfigオブジェクトの設定ファイルの内容は、手動で内容を取得しなくても確認できます。 - クラスターが Workload Identity Foundation (WIF) を備えた Google Cloud Platform (GCP) 上にある場合、Operator details ページと Operator installation ページにアラートが追加されました。
-
ShipWright
BuildStrategyのページが、ClusterBuildStrategyおよびBuildStrategyタブと併せて Shipwright ページに追加されました。
1.3.21.2.1. 動的プラグインを使用して Create project モーダルをカスタマイズ
このリリースでは新しい拡張ポイントが追加されたため、動的プラグインの作成者は、デフォルトの Create Project モーダルの代わりにレンダリングされるコンポーネントを渡すことができます。
OpenShift Container Platform コンソールの動的プラグイン SDK 拡張の詳細は、動的プラグイン拡張タイプ を参照してください。
1.3.21.2.2. Web コンソールで外部 OpenID Connect (OIDC) トークン発行者が機能可能に
この更新により、内部の oauth-server リソースと oauth-apiserver リソースが削除され、外部の OpenID Connect (OIDC) 発行者に置き換えられた場合でも、Web コンソールが期待どおりに動作するようになりました。
1.3.21.3. Developer パースペクティブ
このリリースでは、Web コンソールの 開発者 パースペクティブに次の更新が導入されています。
- いずれかの追加フローを使用して新しいデプロイメントを作成すると、Import from Git または Container images がサイドバーで自動的に開きます。
- OpenShift Container Platform がタイプを識別できない場合でも、リストを使用せずに目的の Git Type を容易に選択できます。
- Import from Git は、GitHub の代替であるオープンソースの GitEA をサポートします。
-
PodDisruptionBudget制限に達すると、Topology ページに警告が表示されます。 - Import from Git フローを使用してアプリケーションをインポートする場合、S2I、buildpack、buildah ストラテジーなどの Shipwright Build ストラテジーを使用してイメージをビルドできます。
