7.2. Security Profiles Operator リリースノート

Security Profiles Operator は、セキュアコンピューティング (seccomp) と SELinux プロファイルをカスタムリソースとして定義し、特定の namespace 内のすべてのノードにプロファイルを同期する方法を提供します。

以下のリリースノートは、OpenShift Container Platform の Security Profiles Operator の開発履歴を記録したものです。

Security Profiles Operator の概要については、Security Profiles Operator の概要を参照してください。

Security Profiles Operator0.10.0 に関する以下の勧告が利用可能です: RHSA-2026:2852 - OpenShiftSecurity Profiles Operator の更新

Security Profiles Operator (SPO) 0.9.0 を OpenShift Container Platform バージョン 4.20 以降で使用した場合、SPO は プロファイル記録 リソースを作成しますが、ワークロードが失敗する場合があります。ワークロードの障害により、Operator を実行するために必要なコンテナーの作成ができませんでした。SPO 0.10.0 リリースでは、プロファイル記録 リソースが確実に作成されるため、Operator を実行するために必要なコンテナーも確実に作成されます。CMP-3537。
Security Profiles Operator (SPO) のバージョン 0.9.0 では、spod Pod が fsmount:fscontext:proc/: could not get mount id: operation not permitted という エラーメッセージで実行に失敗します。バージョン 0.10.0 のリリースにより、spod Pod は安定して動作するようになりました。CMP-4007
SPO 0.9.0 以前のリリースでは、SELinux の使用構文にバグがありました。今回の SPO のリリースでは、<policyName>_.process から <policyName>.process に変更されます。新しい構文ではアンダースコア (_) は省略されます。ドキュメント内の例文には、この更新された使用方法が示されています。CMP-4104

SPO v0.10.0 のリリースに伴い、Operator は Red Hat Enterprise Linux CoreOS(RHCOS)10 コンテナーをサポートするようになりました。CMP-4033
今回の Security Profiles Operator のリリースでは、高度な監査ロギングフレームワークが一般提供 (GA) 機能として利用可能になりました。Advanced Audit ロギング Framework は、Audit JSON Log Enricher を使用して、Red Hat Enterprise Linux CoreOS (RHCOS) コンテナー内の端末ベースのコマンドアクティビティー (oc rsh、oc exec、oc debug コマンドなど) をキャプチャーしてログに記録します。詳細は、高度な監査ロギングフレームワークを参照してください。