Red Hat Summit7.2. Security Profiles Operator リリースノート
Security Profiles Operator は、セキュアコンピューティング (seccomp) および SELinux プロファイルをカスタムリソースとして定義し、特定の namespace 内のすべてのノードにプロファイルを同期する方法を提供します。
以下のリリースノートは、OpenShift Container Platform の Security Profiles Operator の開発履歴を記録したものです。
Security Profiles Operator の概要については、Security Profiles Operator の概要 を参照してください。
7.2.1. Security Profiles Operator 0.8.6
Security Profiles Operator 0.8.6 については、次のアドバイザリーが利用できます。
この更新には、基礎となるベースイメージの依存関係のアップグレードが含まれています。
7.2.2. Security Profiles Operator 0.8.5
Security Profiles Operator 0.8.5 については、次のアドバイザリーが利用できます。
7.2.2.1. バグ修正
- Web コンソールから Security Profile Operator をインストールしようとすると、Operator 推奨のクラスターモニタリングを有効にするオプションが namespace で使用できませんでした。この更新により、namespace で Operator 推奨のクラスターモニタリングを有効にできるようになりました。(OCPBUGS-37794)
- 以前は、Security Profiles Operator が OperatorHub に断続的に表示されず、Web コンソール経由で Operator をインストールするためのアクセスが制限されていました。この更新により、Security Profiles Operator が OperatorHub に存在します。
7.2.3. Security Profiles Operator 0.8.4
Security Profiles Operator 0.8.4 には、次のアドバイザリーを利用できます。
この更新は、基になる依存関係の CVE に対処します。
7.2.3.1. 新機能および機能拡張
-
ワイルドカードを設定することで、
ProfileBindingオブジェクトのimage属性にデフォルトのセキュリティープロファイルを指定できるようになりました。詳細は、ProfileBindings を使用してワークロードをプロファイルにバインドする (SELinux) および ProfileBindings を使用してワークロードをプロファイルにバインドする (Seccomp) を参照してください。
7.2.4. Security Profiles Operator 0.8.2
Security Profiles Operator 0.8.2 には、次のアドバイザリーを利用できます。
7.2.4.1. バグ修正
-
これまで、
SELinuxProfileオブジェクトは同じ namespace からカスタム属性を継承しませんでした。今回の更新でこの問題は解決され、SELinuxProfileオブジェクト属性が期待どおりに同じ namespace から継承されるようになりました。(OCPBUGS-17164) -
以前は、RawSELinuxProfiles の作成プロセス中にハングし、
Installed状態に到達しませんでした。今回の更新でこの問題は解決され、RawSELinuxProfiles が正常に作成されるようになりました。(OCPBUGS-19744) -
以前は、パッチを適用して
enableLogEnricherをtrueにすると、seccompProfilelog-enricher-tracePod がPending状態でスタックしていました。今回の更新では、log-enricher-tracePod の状態は期待どおりにInstalledになります。(OCPBUGS-22182) 以前は、Security Profiles Operator は高カーディナリティーメトリクスを生成し、そのため Prometheus Pod が大量のメモリーを使用していました。今回の更新により、次のメトリクスは Security Profiles Operator namespace に適用されなくなります。
-
rest_client_request_duration_seconds -
rest_client_request_size_bytes rest_client_response_size_bytes
-
7.2.5. Security Profiles Operator 0.8.0
Security Profiles Operator 0.8.0 には、次のアドバイザリーを利用できます。
7.2.5.1. バグ修正
- 以前は、非接続クラスターに Security Profiles Operator をインストールしようとすると、SHA による再ラベル付が問題となり、セキュアなハッシュが間違っていました。この更新により、提供された SHA は非接続環境でも一貫して動作するようになりました。(OCPBUGS-14404)
7.2.6. Security Profiles Operator 0.7.1
Security Profiles Operator 0.7.1 には、次のアドバイザリーを利用できます。
7.2.6.1. 新機能および機能拡張
Security Profiles Operator (SPO) は、RHEL 8 および 9 ベースの RHCOS システムに適切な
selinuxdイメージを自動的に選択するようになりました。重要非接続環境のイメージをミラーリングするユーザーは、Security Profiles Operator によって提供される両方の
selinuxdイメージをミラーリングする必要があります。spodデーモン内でメモリー最適化を有効にできるようになりました。詳細は、spod デーモンでのメモリー最適化の有効化 を参照してください。注記デフォルトで SPO メモリーの最適化は有効になっていません。
- デーモンリソース要件を設定できるようになりました。詳細は、デーモンリソース要件のカスタマイズ を参照してください。
-
優先クラス名を
spod設定で指定できるようになりました。詳細は、spod デーモン Pod のカスタム優先クラス名の設定 を参照してください。
7.2.6.2. 非推奨の機能および削除された機能
-
デフォルトの
nginx-1.19.1seccomp プロファイルが Security Profiles Operator デプロイメントから削除されました。
7.2.6.3. バグ修正
- これまで、Security Profiles Operator (SPO) SELinux ポリシーはコンテナーテンプレートから低レベルのポリシー定義を継承しませんでした。net_container などの別のテンプレートを選択した場合、コンテナーテンプレートにのみ存在する低レベルのポリシー定義が必要となるため、ポリシーは機能しません。この問題は、SPO SELinux ポリシーが SELinux ポリシーを SPO カスタム形式から共通中間言語 (CIL) 形式に変換しようとすると発生しました。今回の更新により、SPO から CIL への変換を必要とする SELinux ポリシーにコンテナーテンプレートが追加されます。さらに、SPO SELinux ポリシーは、サポートされている任意のポリシーテンプレートから低レベルのポリシー定義を継承できます。(OCPBUGS-12879)
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfigurationオブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfigurationオブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
7.2.7. Security Profiles Operator 0.5.2
Security Profiles Operator 0.5.2 には、次のアドバイザリーを利用できます。
この更新は、基礎となる依存関係の CVE に対処するものです。
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfigurationオブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfigurationオブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
7.2.8. Security Profiles Operator 0.5.0
Security Profiles Operator 0.5.0 には、次のアドバイザリーを利用できます。
既知の問題
-
Security Profiles Operator をアンインストールする場合、
MutatingWebhookConfigurationオブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後にMutatingWebhookConfigurationオブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}