Red Hat Summit1.6.16. ネットワーク
-
この更新前は、ベアメタルおよび複数ネットワークインターフェイスコントローラー (NIC) 環境における
NetworkManager-wait-online依存関係の問題が原因で、OpenShift Container Platform デプロイメントでNMStateサービスの障害が発生していました。その結果、不適切なネットワーク設定によりデプロイメントの失敗が発生していました。このリリースにより、ベアメタルデプロイメントのNetworkManager-wait-online依存関係が更新されました。これにより、デプロイメントの失敗が減り、NMStateサービスの安定性が確保されました。(OCPBUGS-61824) -
このリリースより前は、
cloud-event-proxyコンテナーまたは Pod が再起動した際、イベントデータがすぐには利用できませんでした。そのため、getCurrenState関数は誤ってclockclassを0として返していました。このリリースにより、getCurrentState関数は不正なclockclassを返さなくなり、代わりに HTTP400 Bad Requestまたは404 Not Found Errorを返すようになりました。(OCPBUGS-59969) -
この更新前は、
HorizontalPodAutoscalerオブジェクトは、istiod-openshift-gatewayデプロイメントを一時的に 2 つのレプリカにスケーリングしていました。テストでは 1 つのレプリカが想定されていたため、継続的インテグレーション (CI) が失敗しました。このリリースでは、HorizontalPodAutoscalerオブジェクトのスケーリングにより、デプロイメントを続行するためにistiod-openshift-gatewayリソースに少なくとも 1 つのレプリカがあるかどうかが検証されます。(OCPBUGS-59894) -
以前は、DNS Operator は、その設定またはそのオペランドの設定で、
readOnlyRootFilesystemパラメーターをtrueに設定していませんでした。その結果、DNS Operator とそのオペランドは、ルートファイルシステムへのwriteアクセス権を持っていました。このリリースでは、DNS Operator はreadOnlyRootFilesystemパラメーターをtrueに設定するようになり、DNS Operator とそのオペランドはルートファイルシステムへのread-onlyアクセスを持つようになりました。この更新により、クラスターのセキュリティーが強化されます。(OCPBUGS-59781) -
この更新前は、Gateway API 機能が有効になっていると、1 つの Pod レプリカと関連する
PodDisruptionBudgetが設定された Istio コントロールプレーンがインストールされていました。PodDisruptionBudget設定により、唯一の Pod レプリカの退避が阻止され、クラスターのアップグレードがブロックされていました。このリリースにより、Ingress Operator は、Istio コントロールプレーンにPodDisruptionBudgetの設定が行われるのを防ぐようになりました。クラスターのアップグレードは Pod レプリカによってブロックされなくなりました。(OCPBUGS-58358) -
この更新前は、
whereabouts-shimネットワークアタッチメントが有効になっている場合、クラスターのアップグレード中に Cluster Network Operator (CNO) が停止していました。この問題は、openshift-multusnamespace にrelease.openshift.io/versionアノテーションがないために発生しました。このリリースにより、不足していたアノテーションがクラスターに追加され、whereabouts-shimアタッチが有効になっている場合は、クラスターのアップグレード中に CNO が停止しなくなりました。クラスターのアップグレードは、期待どおりに続行できるようになりました。(OCPBUGS-57643) -
この更新前は、Ingress Operator は、リソースの CRD が存在しない場合でも、リソース (特にゲートウェイリソース) を Cluster Operator の
status.relatedObjectsパラメーターに追加していました。さらに、Ingress Operator は、istiosリソースとGatewayClass リソース (両方ともクラスター全体をスコープとするリソース) に対して、namespace を指定していました。これらの設定の結果、`relatedObjectsパラメーターに誤解を招く情報が含まれていました。このリリースにより、Ingress Operator のステータスコントローラーが更新され、コントローラーがこれらのリソースがすでに存在するかどうかを確認し、これらのリソースのいずれかをrelatedObjectsパラメーターに追加する前に、関連するフィーチャーゲートもチェックするようになりました。コントローラーは、GatewayClassおよびistioリソースの namespace を指定しなくなりました。この更新により、relatedObjectsパラメーターにGatewayClassおよびistioリソースの正確な情報が含まれるようになります。(OCPBUGS-57433) - この更新前は、クラスターのアップグレードにより、古いネットワークアドレス変換 (NAT) 処理が原因で、Egress IP アドレスの割り当てに一貫性がありませんでした。この問題は、Egress ノードの OVN-Kubernetes コントローラーがダウンしているときに Egress IP Pod を削除した場合にのみ発生しました。その結果、論理ルーターポリシーと Egress IP アドレスの使用が重複し、トラフィックフローの不一致と停止が発生しました。このリリースにより、Egress IP アドレス割り当てがクリーンアップされ、OpenShift Container Platform 4.20 クラスターでの一貫性のある信頼性の高い Egress IP アドレス割り当てが行われるようになりました。(OCPBUGS-57179)
-
以前は、オンプレミスの installer-provisioned infrastructure (IPI) デプロイメントで Cilium Container Network Interface (CNI) を使用した場合、トラフィックをロードバランサーにリダイレクトするファイアウォールルールが適用されませんでした。このリリースでは、Cilium CNI および
OVNKubernetesでルールが機能します。(OCPBUGS-57065) -
この更新前は、パーミッションがないために
keepalivedヘルスチェックスクリプトの 1 つが失敗していました。これにより、共有 Ingress サービスが使用されているときに、Ingress 仮想 IP が間違った場所に置かれる可能性がありました。このリリースでは、必要なパーミッションがコンテナーに再度追加されたため、ヘルスチェックが正しく機能するようになりました。(OCPBUGS-55681) -
この更新前は、
EgressFirewallCRD の対応する DNS ルールのaddress_setリストに、古い IP アドレスが存在していました。これらの古いアドレスは削除されるのではなく、address_setに追加され続け、メモリーリークの問題が発生しました。このリリースにより、IP アドレスの有効期間 (TTL) の有効期限に達すると、5 秒の猶予期間が経過した後に IP アドレスがaddress_setリストから削除されます。(OCPBUGS-38735) -
この更新前は、OpenShift Container Platform のノードと Pod の間で、大きなパケットを含む特定のトラフィックパターンが実行されると、OpenShift Container Platform ホストが Internet Control Message Protocol (ICMP) の needs frag を別の OpenShift Container Platform ホストに送信するという状況が発生していました。この状況により、クラスター内で実現可能な最大転送単位 (MTU) が低下していました。そのため、
ip route show cacheコマンドを実行すると、物理リンクよりも低い MTU を持つキャッシュルートが表示されていました。ホストは大きなパケットを含む Pod 間トラフィックを送信しないため、パケットがドロップされ、OpenShift Container Platform コンポーネントのパフォーマンスが低下していました。このリリースでは、nftablesルールにより、OpenShift Container Platform のノードがこれらのトラフィックパターンに反応して自身の MTU を引き下げることが防止されます。(OCPBUGS-37733) -
この更新前は、installer-provisioned infrastructure で実行されたデプロイメントのノード IP アドレス選択プロセスをオーバーライドできませんでした。この制限は、マシンネットワーク上で仮想 IP アドレスを使用しなかったユーザー管理のロードバランサーに影響し、複数の IP アドレスを持つ環境で問題が発生しました。このリリースでは、installer-provisioned infrastructure 上で実行されるデプロイメントで、`nodeip-configuration` systemd サービスの
NODEIP_HINTパラメーターがサポートされるようになりました。このサポート更新により、仮想 IP アドレスが同じサブネット上にない場合でも、正しいノード IP アドレスが使用されるようになります。(OCPBUGS-36859)
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}