Red Hat Summit5.2. OADP リリースノート
5.2.1. OADP 1.5 リリースノート
OpenShift API for Data Protection (OADP) 1.5 のリリースノートには、新機能と機能強化、非推奨となった機能、製品に関する推奨事項、既知の問題、および解決済みの問題が記載されています。
OADP に関する詳細は、OpenShift API for Data Protection (OADP) FAQ を 参照してください。
5.2.1.1. OADP 1.5.5 リリースノート
OpenShift API for Data Protection (OADP) 1.5.5 のリリースノートには、解決済みの問題が記載されています。
5.2.1.1.1. 解決された問題
- OADP 1.5.5 では、以下の CVE が修正されています。
- シングルノードの OpenShift クラスターは、API 初期化前の CRD 同期が原因でクラッシュしなくなりました。
今回のアップデート以前は、OpenShift Container Platform のカスタムリソース定義 (CRD) が完全に初期化される前に不足していたため、イメージベースのアップグレード (IBU) 中にコントローラーがクラッシュしていました。その結果、この障害により、IBU アップグレード中の
データ保護アプリケーション(DPA) のリコンシリエーションが 8 分間遅延した。今回のリリースでは、シングルノードの OpenShift 上の IBU 環境において、コントローラーが起動する前に OpenShift Container Platform の CRD がロードされるまで待機するようにすることで、この問題を解決します。また、リーダー選出も無効にします。この変更により、DPA リコンシリエーションウィンドウが短縮され、シングルノードの OpenShift クラスターの全体的なアップグレード期間が改善されます。
5.2.1.2. OADP 1.5.4 リリースノート
OpenShift API for Data Protection (OADP) 1.5.4 は、コンテナーの健全性評価を更新するためにリリースされた、Container Grade Only (CGO) のリリースです。OADP 1.5.3 と比較して、製品自体のコードに変更はありません。OADP 1.5.4 では、既知の問題が導入され、いくつかの Common Vulnerabilities and Exposures (CVE) が修正されています。
5.2.1.2.1. 既知の問題
- 同じ
NonAdminBackupStorageLocationRequestオブジェクトへの同時更新は、リソースの競合を引き起こします。 OADP セルフサービスでのバックアップ作成中に、複数のコントローラーまたはプロセスが同じ
NonAdminBackupStorageLocationRequestオブジェクトを同時に更新すると、リソースの競合が発生します。その結果、リコンシリエーションの試行はオブジェクトが変更されましたというエラーで失敗します。既知の回避策はありません。
5.2.1.2.2. 解決された問題
- OADP 1.5.4 では、以下の CVE が修正されています。
5.2.1.3. OADP 1.5.3 リリースノート
OpenShift API for Data Protection (OADP) 1.5.3 は、コンテナーのヘルスグレードを更新するためにリリースされた Container Grade Only (CGO) リリースです。OADP 1.5.2 と比較して、製品自体のコードは変更されていません。
5.2.1.4. OADP 1.5.2 リリースノート
OpenShift API for Data Protection (OADP) 1.5.2 のリリースノートには、解決済みの問題が記載されています。
5.2.1.4.1. 解決された問題
- 内部イメージバックアップ用の自己署名証明書が、他の BSL の動作を妨げないようにすべきである
この更新前は、OADP がすべての Backup Storage Location (BSL) の中で最初に検出されたカスタム CA 証明書のみを処理し、それをグローバルに適用していました。この動作により、それぞれ異なる CA 証明書を持つ複数の BSL が正しく動作していませんでした。さらに、システムが信頼する証明書が含まれていなかったため、標準サービスへの接続時にエラーが発生しました。
この更新により、OADP が次のように動作するように変更されました。
- AWS BSL の一意の CA 証明書すべてを 1 つのバンドルに連結します。
- システムが信頼する証明書を自動的に取り込みます。
- それぞれ異なるカスタム CA 証明書を持つ複数の BSL を同時に動作させることができます。
- イメージバックアップが有効になっている場合にのみ CA 証明書を処理します (デフォルトの動作)。
この機能拡張により、特に自己署名証明書を使用して内部イメージを AWS S3 互換ストレージにバックアップする場合に、それぞれ異なる証明書が必要な複数のストレージプロバイダーを使用する環境の互換性が向上します。
5.2.1.5. OADP 1.5.1 リリースノート
OpenShift API for Data Protection (OADP) 1.5.1 のリリースノートには、新機能、解決済みの問題、既知の問題、および非推奨となった機能が記載されています。
5.2.1.5.1. 新機能
CloudStorageAPI は完全にサポートされていますこの更新の前にテクノロジープレビューとして利用可能だった
CloudStorageAPI 機能は、OADP 1.5.1 から完全にサポートされるようになりました。CloudStorageAPI は、オブジェクトストレージ用のバケットの作成を自動化します。- 新しい
DataProtectionTestカスタムリソースが利用可能になりました DataProtectionTest(DPT) は、OADP 設定を検証するためのフレームワークを提供するカスタムリソース (CR) です。DPT CR は次のパラメーターの情報をチェックし、報告します。
- オブジェクトストレージへのバックアップのアップロードパフォーマンス。
- 永続ボリューム要求に対する Container Storage Interface (CSI) スナップショットの準備状況。
- 暗号化やバージョン管理などのストレージバケットの設定。
DPT CR のこの情報を使用することで、データ保護環境が適切に設定され、指定された設定に従って動作していることを確認できます。
Azure 上の OADP で DPT を使用する場合は、
STORAGE_ACCOUNT_IDを設定する必要があることに注意してください。- 新しいノードエージェントのロードアフィニティー設定が利用可能になりました
-
ノードエージェントのロードアフィニティー:
DataProtectionApplication(DPA) カスタムリソース (CR) のspec.podConfig.nodeSelectorオブジェクトを使用して、特定のノードにノードエージェント Pod をスケジュールできます。DPA 仕様のnodeagent.loadAffinityオブジェクトを使用して、ノードエージェント Pod のスケジューリングにさらに制限を追加できます。 リポジトリーメンテナンスジョブのアフィニティー設定: バックアップリポジトリーとして Kopia を使用する場合にのみ、
DataProtectionApplication(DPA) カスタムリソース (CR) でリポジトリーメンテナンスジョブのアフィニティー設定を使用できます。すべてのリポジトリーに影響するグローバルレベルでロードアフィニティーを設定するか、リポジトリーごとに設定するかを選択できます。グローバル設定とリポジトリーごとの設定を組み合わせて使用することもできます。
-
Velero ロードアフィニティー:
podConfig.nodeSelectorオブジェクトを使用して、Velero Pod を特定のノードに割り当てることができます。velero.loadAffinityオブジェクトを設定して、Pod レベルのアフィニティーとアンチアフィニティーを指定することもできます。
-
ノードエージェントのロードアフィニティー:
- ノードエージェントの同時負荷が利用可能に
- この更新により、ユーザーはクラスター内の各ノードで同時に実行できるノードエージェント操作の最大数を制御できるようになります。また、リソース管理を改善し、バックアップと復元のワークフローを最適化することで、パフォーマンスの向上と、よりスムーズで効率的な利用体験を実現します。
5.2.1.5.2. 解決された問題
DataProtectionApplicationSpec がアノテーションの制限を超過したため、デプロイメントで設定ミスが発生する可能性があります。この更新前は、
DataProtectionApplicationSpecは非推奨のPodAnnotationsを使用していたため、アノテーション制限のオーバーフローが発生していました。これにより、デプロイメントが誤まって設定される可能性がありました。このリリースでは、Operator によってデプロイされた Pod 内のアノテーション用のPodConfigが追加され、アノテーションの一貫性が確保され、エンドユーザーの管理性が向上しました。その結果、デプロイメントの信頼性が向上し、管理が容易になります。- OADP コントローラーマネージャーのルートファイルシステムが読み取り専用に
-
この更新前は、
openshift-adp-controller-manager-*Pod のmanagerコンテナーは、書き込み可能なルートファイルシステムで実行されるように設定されていました。その結果、コンテナーのファイルシステムを改ざんしたり、外部の実行可能ファイルを書き込んだりできてしまう可能性がありました。このリリースでは、コンテナーのセキュリティーコンテキストが更新され、ルートファイルシステムが読み取り専用に設定されるとともに、Kopia キャッシュなどの書き込みアクセスを必要とする機能が引き続き正しく動作するようになりました。その結果、コンテナーは、潜在的な脅威に対して、セキュリティーが強化されました。 - 複数の DPA で
nonAdmin.enable: false を設定しても、調整の問題は発生しなくなりました。 この更新前は、ユーザーが、非管理者
DataProtectionApplication(DPA) がすでに存在するクラスターに 2 つ目を作成しようとすると、新しい DPA のリコンサイルに失敗しました。このリリースでは、非管理者コントローラーのインストールがクラスターごとに 1 つに限定されていた制限が削除されました。その結果、ユーザーはエラーなしにクラスター全体に複数の非管理者コントローラーをインストールできます。- OADP は自己署名証明書をサポートする
この更新前は、Minio などのストレージプロバイダーでバックアップイメージに自己署名証明書を使用すると、バックアッププロセス中に
x509: certificate signed by unknown authorityエラーが発生しました。このリリースでは、証明書の検証が更新され、OADP で自己署名証明書がサポートされるようになり、バックアップが確実に成功するようになりました。velero description には、defaultVolumesToFsBackupが含まれていますこの更新前は、
velero describeoutput コマンドでdefaultVolumesToFsBackupフラグが省略されていました。これにより、ユーザーに対するバックアップ設定の詳細の可視性に影響が出ました。このリリースでは、velero describe出力にdefaultVolumesToFsBackupフラグ情報が含まれるようになり、バックアップ設定の可視性が向上しました。s3Urlが保護されている場合、DPT CR は失敗しなくなりました。この更新前は、DPT CR に仕様フィールドで caCert をスキップまたは追加する機能がなかったため、証明書が検証されていないことが原因で
s3Urlが保護されているときにDataProtectionTest(DPT) の実行に失敗しました。その結果、証明書が検証されていないことが原因でデータのアップロードに失敗しました。このリリースでは、DPT CR が更新され、仕様フィールドで CA 証明書を受け入れてスキップするようになり、SSL 検証エラーが解決されました。その結果、セキュリティー保護されたs3Urlを使用するときに DPT が失敗しなくなりました。- 既存の backupLocation 名を使用した DPA への backupLocation の追加が拒否されない
この更新前は、
DataProtectionApplication(DPA) に同じ名前の 2 番目のbackupLocationを追加すると、OADP が無効な状態になり、Velero が Secret 認証情報を読み取ることができないためにバックアップと復元が失敗していました。その結果、バックアップと復元の操作は失敗しました。このリリースでは、DPA での重複したbackupLocation名が許可されなくなり、バックアップと復元の失敗を防ぐことができます。その結果、重複するbackupLocation名は拒否され、データをシームレスに保護できるようになります。
5.2.1.5.3. 既知の問題
- Cinder CSI ドライバーを使用して OpenStack 上で作成されたバックアップの復元が失敗する
Cinder Container Storage Interface (CSI) ドライバーを使用して OpenStack プラットフォーム上で作成されたバックアップの復元操作を開始すると、ソースアプリケーションを手動でスケールダウンしてからでないと、初期バックアップに成功しません。復元ジョブが失敗し、バックアップからアプリケーションのデータと状態を正常に復元できなくなります。既知の回避策はありません。
nodeAgent.loadAffinityパラメーターに多くの要素が含まれている場合、バックアップ中に Datamover Pod が予期しないノードにスケジュールされる。Velero 1.14 以降の問題が原因で、OADP ノードエージェントは
loadAffinity配列にある最初のnodeSelector要素しか処理しません。結果として、複数のnodeSelectorオブジェクトを定義すると、最初のオブジェクト以外のすべてのオブジェクトが無視され、バックアップ中に予期しないノードで datamover Pod がスケジュールされる可能性があります。この問題を回避するには、複数の
nodeSelectorオブジェクトから必要なmatchExpressionsをすべて最初のnodeSelectorオブジェクトに統合します。その結果、すべてのノードアフィニティールールが正しく適用され、datamover Pod が適切なノードにスケジュールされるようになります。- エイリアスコマンドで CA 証明書を使用すると OADP バックアップが失敗する
CA 証明書は、実行中の Velero コンテナーにファイルとして保存されません。その結果、Velero コンテナーに
caCertがないため、手動でのセットアップとダウンロードが必要となり、ユーザーエクスペリエンスが低下しました。この問題を回避するには、Velero デプロイメントに証明書を手動で追加します。手順は、velero デプロイメント経由でエイリアスされた velero コマンドで cacert を使用する を参照してください。nodeSelector仕様は、データムーバーの復元アクションではサポートされていません。nodeAgentパラメーターにnodeSelectorフィールドを設定して Data Protection Application (DPA) を作成すると、復元操作が完了する代わりに、Data Mover の復元が部分的に失敗します。既知の回避策はありません。- DPA が
caCertで設定されている場合に、イメージストリームのバックアップが部分的に失敗する。 DataProtectionApplication(DPA) のcaCertを使用してバックアップ中に S3 接続で検証されていない証明書があると、ocp-djangoアプリケーションのバックアップが部分的に失敗し、データが失われます。既知の回避策はありません。- Kopia はワーカーノード上のキャッシュを削除しない
ephemeral-storageパラメーターが設定され、ファイルシステムの復元が実行されている場合、キャッシュはワーカーノードから自動的に削除されません。その結果、バックアップの復元中に/varパーティションがオーバーフローし、ストレージ使用量が増加し、リソースが枯渇する可能性があります。この問題を回避するには、ノードエージェント Pod を再起動してキャッシュをクリアします。その結果、キャッシュが削除されます。- 無効なプロジェクト設定のため、Workload Identity で Google Cloud VSL バックアップが失敗する
Google Cloud Workload Identity で
volumeSnapshotLocation(VSL) バックアップを実行するときに、DataProtectionApplication(DPA) のsnapshotLocations設定でも Google Cloud プロジェクトが指定されていると、Velero Google Cloud プラグインによって無効な API リクエストが作成されます。その結果、Google Cloud API がRESOURCE_PROJECT_INVALIDエラーを返し、バックアップジョブがPartiallyFailedステータスで終了します。既知の回避策はありません。- STS を使用した AWS 上の
CloudStorageAPI の VSL バックアップが失敗する AZURE_RESOURCE_GROUPが VSL のDataProtectionApplication(DPA) 設定にすでに記載されていても、認証情報ファイルにAZURE_RESOURCE_GROUPパラメーターがないため、volumeSnapshotLocation(VSL) バックアップは失敗します。既知の回避策はありません。ImageStreamsを使用したアプリケーションのバックアップが Azure の STS で失敗するSTS を使用して Azure クラスター上のイメージストリームリソースを含むアプリケーションをバックアップする場合、OADP プラグインはコンテナーレジストリーのシークレットベースの認証情報を誤って検索しようとします。その結果、必要なシークレットが STS 環境で見つからず、
ImageStreamカスタムバックアップアクションが失敗します。この結果、全体的なバックアップステータスがPartiallyFailedとしてマークされます。既知の回避策はありません。CloudStorageRef設定の DPA リコンシリエーションが失敗しましたユーザーがバケットを作成し、
backupLocations.bucket.cloudStorageRef設定を使用する場合、バケットの認証情報はDataProtectionApplication(DPA) カスタムリソース (CR) に存在しません。その結果、バケット認証情報がCloudStorageCR に存在していても、DPA リコンシリエーションは失敗します。この問題を回避するには、DPA CR のbackupLocationsセクションに同じ認証情報を追加します。
5.2.1.5.4. 非推奨の機能
configuration.restic仕様フィールドが非推奨になるOADP 1.5.0 では、
configuration.restic仕様フィールドは非推奨になりました。kopiaまたはresticをuploaderTypeとして選択するには、uploaderTypeフィールドとともにnodeAgentセクションを使用します。Restic は OADP 1.5.0 では非推奨になっていることに注意してください。
5.2.1.6. OADP 1.5.0 リリースノート
OpenShift API for Data Protection (OADP) 1.5.0 のリリースノートには、新機能、解決済みの問題、既知の問題、非推奨となった機能、およびテクノロジープレビュー機能が記載されています。
5.2.1.6.1. 新機能
- OADP 1.5.0 には、新しい Self-Service 機能が導入されました。
OADP 1.5.0 では OADP Self-Service という名前の新しい機能が導入され、OpenShift Container Platform 上で namespace admin ユーザーがアプリケーションのバックアップおよび復元を実行できるようになりました。OADP の以前のバージョンでは、アプリケーションのバックアップと復元、Backup Storage Location の作成などの OADP 操作を実行するための cluster-admin ロールが必要でした。
OADP 1.5.0 以降では、バックアップおよび復元操作を実行するために cluster-admin ロールは必要ありません。namespace admin ロールで OADP を使用できます。namespace admin ロールには、ユーザーが割り当てられている namespace への管理者アクセスのみがあります。Self-Service 機能は、クラスター管理者が OADP Operator をインストールし、必要なパーミッションを付与した後にのみ使用できます。
must-gatherツールを使用したログの収集が Markdown 概要で改善されました。must-gatherツールを使用して、ログ、および OpenShift API for Data Protection (OADP) カスタムリソースに関する情報を収集できます。must-gatherデータはすべてのカスタマーケースに添付する必要があります。このツールは、must-gatherログクラスターディレクトリーにある収集された情報を含む Markdown 出力ファイルを生成します。dataMoverPrepareTimeoutおよびresourceTimeoutパラメーターが DPA 内のnodeAgentに追加されるData Protection Application (DPA) の
nodeAgentフィールドに、以下のパラメーターが含まれるようになりました。-
dataMoverPrepareTimeout:DataUploadまたはDataDownloadプロセスが待機する期間を定義します。デフォルト値は 30 分です。 -
resourceTimeout: 他の特定のタイムアウトパラメーターで処理されないリソースプロセスのタイムアウトを設定します。デフォルト値は 10 分です。
-
nodeAgentデーモンセットを設定するために DPA のspec.configuration.nodeAgentパラメーターを使用するVelero は、
nodeAgentデーモンセットの設定にnode-agent-configconfig map を使用しなくなりました。この更新により、nodeAgentデーモンセットを設定するには、Data Protection Application (DPA) で新しいspec.configuration.nodeAgentパラメーターを使用する必要があります。- バックアップリポジトリーの設定 config map を使用して DPA を設定できるようになる
Velero 1.15 以降では、リポジトリーごとのキャッシュの合計サイズを設定できるようになりました。これにより、一時ストレージ不足による Pod の削除が阻止されます。DPA の
NodeAgentConfigフィールドに追加された次の新しいパラメーターを参照してください。-
cacheLimitMB: ローカルデータキャッシュサイズの制限をメガバイトで設定します。 fullMaintenanceInterval: デフォルト値は 24 時間です。次のオーバーライドオプションを使用して、Kopia リポジトリーから削除された Velero バックアップの削除レートを制御します。-
normalGC: 24 hours -
fastGC: 12 hours -
eagerGC: 6 hours
-
-
- node-agent セキュリティーの強化
この更新により、以下の変更が追加されました。
-
DPA の
veleroフィールドに新しいconfigurationオプションが追加されました。 disableFsBackupパラメーターのデフォルト値はfalseまたはnon-existingです。この更新により、SecurityContextフィールドに以下のオプションが追加されました。-
Privileged: true -
AllowPrivilegeEscalation: true
-
disableFsBackupパラメーターをtrueに設定すると、node-agent から次のマウントが削除されます。-
host-pods -
host-plugins
-
- node-agent が常に root 以外のユーザーとして実行されるように変更します。
- root ファイルシステムを読み取り専用に変更します。
以下のマウントポイントを書き込みアクセスで更新します。
-
/home/velero -
tmp/credentials
-
-
SeccompProfileパラメーターにSeccompProfileTypeRuntimeDefaultオプションを使用します。
-
DPA の
- 並列アイテムバックアップの DPA サポートを追加
デフォルトでは、1 つのスレッドのみがアイテムブロックを処理します。Velero 1.16 は並列アイテムのバックアップをサポートしており、バックアップ内の複数のアイテムを並行して処理できます。
オプションの Velero サーバーパラメーター
--item-block-worker-countを使用して、追加のワーカースレッドを実行し、アイテムを並行して処理できます。OADP でこれを有効にするには、dpa.Spec.Configuration.Velero.ItemBlockWorkerCountパラメーターをゼロより大きい整数値に設定します。注記複数のフルバックアップを並行して実行することは、まだサポートされていません。
- OADP ログが JSON 形式で利用できるようになる
OADP 1.5.0 のリリースにより、ログを JSON 形式で利用できるようになりました。Elastic ログ管理システムに事前に解析されたデータがあると便利です。
oc get dpaコマンドがRECONCILEDステータスを表示するようになるこのリリースにより、ユーザーエクスペリエンスを向上させるために、
oc get dpaコマンドが、NAMEおよびAGEのみを表示する代わりに、RECONCILEDステータスを表示するようになりました。以下に例を示します。$ oc get dpa -n openshift-adp NAME RECONCILED AGE velero-sample True 2m51s
5.2.1.6.2. 解決された問題
- コンテナーが
terminationMessagePolicyにFallbackToLogsOnErrorを使用するようになる このリリースにより、
terminationMessagePolicyフィールドは、operator-manager、velero、node-agent、non-admin-controllerなどの OpenShift API for Data Protection (OADP) Operator コンテナーのFallbackToLogsOnError値を設定できるようになりました。この変更により、コンテナーがエラーで終了し、終了メッセージファイルが空の場合、OpenShift はコンテナーログの最後の部分を終了メッセージとして使用します。
- namespace admin が復元後にアプリケーションにアクセスできるようになる
以前は、名前空間管理者は復元操作後にアプリケーションを実行できませんでした。
実行は以下のエラーで失敗しました。
-
exec operation is not allowed because the pod’s security context exceeds your permissions -
unable to validate against any security context constraint -
not usable by user or serviceaccount, provider restricted-v2
この更新により、この問題は解決され、namespace admin は復元後にアプリケーションに正常にアクセスできるようになりました。
-
- アノテーションを使用して、個々のリソースインスタンスレベルでのステータス復元を指定できるようになりました
以前は、ステータスの復元は、
Restoreカスタムリソース (CR) のrestoreStatusフィールドを使用してリソースタイプでのみ設定されていました。このリリースにより、次のアノテーションを使用して、個々のリソースインスタンスレベルでステータスの復元を指定できるようになりました。
metadata: annotations: velero.io/restore-status: "true"excludedClusterScopedResourcesで復元が成功するようになる以前は、
excludedClusterScopedResourcesフィールドがstorageclasses、Namespaceパラメーターに設定されたアプリケーションのバックアップを実行すると、バックアップは成功していましたが、復元は部分的に失敗していました。この更新により、復元も成功するようになりました。waitingForPluginOperationsフェーズ中に再起動された場合でもバックアップが完了する以前は、以下のエラーメッセージが表示され、バックアップは failed とマークされていました。
failureReason: found a backup with status "InProgress" during the server starting, mark it as "Failed"この更新により、
waitingForPluginOperationsフェーズ中に再起動された場合、バックアップは完了します。- DPA で` disableFsbackup` パラメーターが
trueに設定されている場合のエラーメッセージが、以前よりわかりやすくなる 以前は、Data Protection Application (DPA) の
spec.configuration.velero.disableFsBackupフィールドがtrueに設定されている場合、バックアップが部分的に失敗し、エラーメッセージもわかりにくいものでした。この更新により、エラーメッセージがトラブルシューティングに役立つ内容になります。たとえば、
disableFsBackup: trueが DPA における問題であることを示すエラーメッセージや、非管理者ユーザーが DPA にアクセスできないことを示すエラーメッセージなどが表示されるようになります。- parseAWSSecret で AWS STS 認証情報を処理する
以前は、STS 認証を使用する AWS 認証情報が適切に検証されませんでした。
この更新により、
parseAWSSecret関数は STS 固有のフィールドを検出し、STS プロファイルを正しく処理できるようにensureSecretDataExists関数を更新します。repositoryMaintenanceジョブアフィニティー設定が可能となる以前は、リポジトリーメンテナンスジョブ Pod アフィニティーの新しい設定が DPA 仕様にはありませんでした。
この更新により、
BackupRepository識別子を設定にマッピングするためのrepositoryMaintenanceジョブアフィニティー設定を使用できるようになりました。- CR 仕様が正しくなると、
ValidationErrorsフィールドが消える 以前は、スケジュール CR が間違った
spec.schedule値で作成され、後で正しい値でパッチが適用された場合、ValidationErrorsフィールドが引き続き存在していました。その結果、仕様が正しい場合でも、ValidationErrorsフィールドに誤った情報が表示されました。この更新により、CR 仕様が正しくなると、
ValidationErrorsフィールドは自動的に消えるようになります。volumeSnapshotContentsカスタムリソースは、restoreSpecでincludedNamesapcesフィールドが使用されると復元されます以前は、復元仕様の
includedNamespaceフィールドで復元操作がトリガーされると、復元操作が正常に完了しましたが、volumeSnapshotContentsカスタムリソース (CR) が作成されず、PVC はPendingステータスになっていました。この更新により、
restoreSpecでincludedNamesapcesフィールドが使用されている場合でも、volumeSnapshotContentsCR が復元されるようになりました。その結果、復元後、アプリケーション Pod はRunning状態になります。- OADPOperator が AWS 上にバケットを正常に作成しました
以前は、コンテナーはセキュリティー目的で
readOnlyRootFilesystem: true設定で設定されていましたが、コードはos.CreateTemp()関数を使用して/tmpディレクトリーに一時ファイルを作成しようとしていました。そのため、Cloud Credential Operator (CCO) フローで AWS STS 認証を使用すると、OADP は次のエラーを表示し、AWS 認証情報の処理に必要な一時ファイルを作成できませんでした。ERROR unable to determine if bucket exists. {"error": "open /tmp/aws-shared-credentials1211864681: read-only file system"}この更新により、この問題に対応するために、以下の変更が追加されました。
-
tmp-dirという名前の新しいemptyDirボリュームがコントローラー Pod の仕様に追加されました。 -
このボリュームを
/tmpディレクトリーにマウントするためのボリュームマウントがコンテナーに追加されました。 -
セキュリティーのベストプラクティスには、
readOnlyRootFilesystem: trueが維持されます。 -
非推奨の
ioutil.TempFile()関数を推奨されるos.CreateTemp()関数に置き換えました。 -
不要な
io/ioutilインポートを削除しました。
-
このリリースで解決されたすべての問題のリストは、Jira の OADP 1.5.0 の解決済みの問題 を参照してください。
5.2.1.6.3. 既知の問題
- バックアップの有効期限が切れた後、Kopia がすべてのアーティファクトを削除しない
バックアップを削除した後でも、バックアップの有効期限が切れると、Kopia は S3 ロケーションの
${bucket_name}/kopia/$openshift-adpからボリュームアーティファクトを削除しません。期限切れおよび削除されたデータファイルに関する情報は、メタデータ内に残ります。OpenShift API for Data Protection (OADP) が正常に機能するように、データは削除されず、
/kopia/ディレクトリーにあります。以下に例を示します。-
kopia.repository: 暗号化、バージョン、その他の詳細などのメインリポジトリー形式の情報。 -
kopia.blobcfg: データ Blob の命名方法の設定。 -
kopia.maintenance: メンテナンスの所有者、スケジュール、最後に正常に実行されたビルドを追跡します。 -
log: ログ Blob
-
このリリースにおける既知の問題の完全なリストは、Jira の OADP 1.5.0 の既知の問題 のリストを参照してください。
5.2.1.6.4. 非推奨の機能
configuration.restic仕様フィールドが非推奨になるOpenShift API for Data Protection (OADP) 1.5.0 では、
configuration.restic仕様フィールドは非推奨になりました。kopiaまたはresticをuploaderTypeとして選択するには、uploaderTypeフィールドとともにnodeAgentセクションを使用します。OpenShift API for Data Protection (OADP) 1.5.0 では、Restic は非推奨となっていることに注意してください。
5.2.1.6.5. テクノロジープレビュー機能
- HyperShift がホストする OpenShift クラスターのサポートがテクノロジープレビューとして利用可能に
OADP は、テクノロジープレビューとして、HyperShift がホストする OpenShift クラスター内でのアプリケーションの移行をサポートおよび容易化できます。これにより、ホステッドクラスターのアプリケーションのシームレスなバックアップおよび復元操作が実現します。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}