9.2. cert-manager Operator for Red Hat OpenShift リリースノート

Istio-CSR と cert-manager Operator for Red Hat OpenShift の統合 (一般提供)

このリリースでは、以前はテクノロジープレビュー機能として提供されていた cert-manager Operator for Red Hat OpenShift と Istio-CSR の統合が完全にサポートされています。この機能は、Red Hat OpenShift Service Mesh または Istio 環境内のワークロードとコントロールプレーンコンポーネントの保護に対するサポートを強化します。cert-manager Operator for Red Hat OpenShift が管理する Istio-CSR エージェントを利用することで、Istio は相互 TLS (mTLS) に必要な証明書を取得、署名、配信、更新できます。詳細は、cert-manager Operator と Istio-CSR の統合 を参照してください。

cert-manager Operator for Red Hat OpenShift のレプリカ数設定

このリリースでは、cert-manager Operator for Red Hat OpenShift の controller、webhook、および cainjector オペランドのデフォルトのレプリカ数をオーバーライドできます。これらの値を設定するには、CertManager カスタムリソースの新しい overrideReplicas フィールドを指定します。この機能拡張により、特定の運用要件に基づいて、高可用性 (HA) を設定し、オペランドをスケーリングできるようになります。詳細は、cert-manager コンポーネントの CertManager CR における共通の設定可能フィールド を参照してください。

cert-manager Operator for Red Hat OpenShift コンテナーのルートファイルシステムは読み取り専用です

このリリースでは、セキュリティーを強化するために、cert-manager Operator for Red Hat OpenShift とそのすべてのオペランドの readOnlyRootFilesystem セキュリティーコンテキストが、デフォルトで true に設定されています。この機能拡張により、コンテナーのセキュリティーが強化され、潜在的な攻撃者によってコンテナーのルートファイルシステムの内容が改ざんされる可能性が防止されます。

cert-manager Operator for Red Hat OpenShift で、ネットワークポリシーによるセキュリティー強化が利用可能になりました

このリリースでは、cert-manager Operator for Red Hat OpenShift に事前定義済みの NetworkPolicy リソースが含まれてています。これは、コンポーネントの Ingress および Egress トラフィックを制御することでセキュリティーを強化するためのものです。これらのポリシーは、メトリクスや Webhook サーバーへの Ingress や、OpenShift API および DNS サーバーへの Egress などの内部トラフィックを対象としています。

この機能は、アップグレード中の接続の問題を防ぐために、デフォルトで無効になっています。CertManager カスタムリソースで明示的に有効にする必要があります。詳細は、cert-manager Operator for Red Hat OpenShift のネットワークポリシー設定 を参照してください。

ACME HTTP-01 ソルバー Pod のリソース要求と制限の設定をサポートする

このリリースでは、cert-manager Operator for Red Hat OpenShift は ACME HTTP-01 ソルバー Pod の CPU およびメモリーリソース要求と制限の設定をサポートします。CertManager カスタムリソース (CR) で次のオーバーライド可能な引数を使用して、CPU およびメモリーリソースの要求と制限を設定できます。

詳細は、cert‑manager コンポーネントのオーバーライド可能な引数 を参照してください。