1.2. 新機能および改良された機能
今回のリリースでは、以下のコンポーネントおよび概念に関連する拡張機能が追加されました。
1.2.1. インストールおよびアップグレード
1.2.1.1. OpenShift Container Platform アップグレードの段階的ロールアウト
OpenShift Container Platform 4.1 で、Red Hat はクラスターに対する適切なアップグレードバージョンを推奨するアップグレードチャネルの概念を導入しました。アップグレードチャネルは、アップグレードストラテジーを切り分け、更新の頻度を制御するためにも使用されます。チャネルは OpenShift Container Platform のマイナーバージョンに関連付けられます。たとえば、OpenShift Container Platform 4.3 チャネルには 4.4 リリースへのアップグレードが含まれることはありません。これにより、管理者は OpenShift Container Platform の次のマイナーバージョンへのアップグレードに関して明確な決定を行うことができます。チャネルは更新のみを制御し、インストールするクラスターのバージョンには影響を与えません。 OpenShift Container Platform の特定のパッチレベルの openshift-install
バイナリーは、そのパッチレベルのインストールを常に実行します。
アップグレードする予定の OpenShift Container Platform バージョンに対応するアップグレードチャネルバージョンを選択する必要があります。OpenShift Container Platform 4.3 には、直前の 4.2 リリースからのアップグレードが含まれます。
更新のタイプおよびアップグレードチャネルについての詳細は、「OpenShift 4.x Upgrades phased roll out」を参照してください。
アップグレードは Red Hat Service Reliability Engineering (SRE) チームからのデータに基づいて段階的に展開される際にチャネルに公開されるため、初期リリースでバージョン 4.2.z から 4.3 への更新が利用できるという通知が Web コンソールですぐに表示されない可能性があります。
1.2.1.2. FIPS 暗号のサポート
FIPS で検証された暗号ライブラリー/IUT (Implementation Under Test) 暗号ライブラリーを使用する OpenShift Container Platform クラスターをインストールすることができます。OpenShift Container Platform は、それが使用するオペレーティングシステムのコンポーネント用に Red Hat Enterprise Linux (RHEL) および Red Hat CoreOS (RHCOS) 内の特定の FIPS で検証されたモジュール/IUT (Implementation Under Test) モジュールを使用します。詳細は、「FIPS 暗号のサポート」を参照してください。
1.2.1.3. プライベートクラスターの AWS、Azure、または GCP へのデプロイ
プライベートクラスターを以下にインストールできます。
- Amazon Web Services (AWS) 上の既存の VPC。
- Google Cloud Platform (GCP) 上の既存の VPC。
- Microsoft Azure 上の既存の Azure Virtual Network (VNet)
プライベートクラスターをこれらのクラウドプラットフォームに作成するには、クラスターをホストするための既存のプライベート VPC/VNet およびサブネットを指定する必要があります。インストールプログラムは、プライベートネットワークからのみアクセスできるように Ingress Operator および API サーバーを設定します。
サポートされる各クラウドプラットフォームへのプライベートクラスターのデプロイについての詳細は、AWS、Azure、および GCP のインストールガイドを参照してください。
1.2.2. セキュリティー
1.2.2.1. サービス提供証明書の CA のローテーションの自動化
本リリースの今後の z-stream 更新で、自動のサービス CA ローテーションが利用可能になります。以前のバージョンでは、サービス CA は自動的に更新されないためにサービスの中断が生じ、手動の介入が必要でした。サービス CA および署名するキーについて、有効期限が切れる前に自動ローテーションが行われるようになりました。これにより、管理者は環境について事前に計画し、サービス中断を防ぐことができます。
1.2.2.2. etcd に保存されるデータの暗号化
etcd に保存されているデータを暗号化できるようになりました。クラスターの etcd 暗号化を有効にすると、データセキュリティーの層が追加されます。
etcd の暗号化を有効にすると、以下の OpenShift API サーバーおよび Kubernetes API サーバーリソースが暗号化されます。
- シークレット
- ConfigMap
- Routes
- OAuth アクセストークン
- OAuth 承認トークン
1.2.3. クラスターモニタリング
1.2.3.1. Web コンソールでの PromQL クエリーブラウザーの強化
OpenShift Container Platform Web コンソールで使用される PromQL クエリーブラウザーについてパフォーマンスが強化されました。
1.2.3.2. KubeletTooManyPods アラートの Pod 容量メトリクスの使用
KubeletTooManyPods
アラートは、Pod の容量メトリクスを、固定数ではなくしきい値として使用するようになりました。
1.2.3.3. 独自のサービスの監視 (テクノロジープレビュー)
既存のモニタリングスタックは拡張できるため、独自のサービスに対してモニタリングを設定することができます。
1.2.3.4. Web コンソールでのメトリクスのクエリー (テクノロジープレビュー)
メトリクスのクエリーは、OpenShift Container Platform Web コンソール内の Developer パースペクティブで利用できます。
1.2.4. マシン API
1.2.4.1. マシンヘルスチェックで障害のあるマシンを自動的に修復
アウトバウンド管理 (out of band management) の対象外となり、削除されるマシンインスタンスは新規インスタンスの再作成を試行しなくなります。その代わりに、マシンの状態は failed フェーズになります。マシンヘルスチェックを設定し、デプロイして、マシンプールにある障害のあるマシンを自動的に修復できます。
MachineHealthCheck リソースを監視するコントローラーは、定義したステータスをチェックします。マシンがヘルスチェックに失敗した場合、これは自動的に検出され、新規マシンがこれに代わって作成されます。マシンが削除されると、machine deleted イベントが表示されます。マシンの削除による破壊的な影響を制限するために、コントローラーは 1 度に 1 つのノードのみをドレイン (解放) し、これを削除します。
チェックを停止するには、リソースを削除します。
1.2.5. ロギング
1.2.5.1. ログ転送 (テクノロジープレビュー)
ログ転送 API は、必ずしも OpenShift Container Platform クラスターロギングインフラストラクチャーによって管理されている訳ではない宛先に対してコンテナーおよびノードのログを送る方法を提供します。宛先エンドポイントは、OpenShift Container Platform クラスターでオンまたはオフにすることができます。ログ転送により、クラスターを Unmanaged に設定せずにログを転送でき、Fluentd プラグインを使用する場合よりもログ転送が容易になります。詳細は、「Forwarding logs using the Log Forwarding API」を参照してください。
1.2.6. 開発者のエクスペリエンス
1.2.6.1. OpenShift Do の拡張機能
OpenShift Do (odo) には、アプリケーションデプロイメントのユーザーエクスペリエンスに焦点を当てたいくつかの拡張機能が含まれています。
-
PushTimeout
が設定可能な待機パラメーターとして追加されています。 - サービスカタログおよびコンポーネント作成の両方が、拡張された出力および情報プロンプトと共に強化されています。
- アーキテクチャーのサポートが IBM Z および Power プラットフォームに拡張され、インストールで利用可能なバイナリーが提供されています。
1.2.6.2. Helm (テクノロジープレビュー)
Helm は、Kubernetes および OpenShift Container Platform アプリケーションのパッケージマネージャーです。これは Helm チャートと呼ばれるパッケージ形式を使用し、アプリケーションやサービスの定義、インストールおよびアップグレードを単純化します。
Helm CLI は OpenShift Container Platform でビルドされ、これに同梱されており、Web コンソールの CLI メニューでダウンロードすることができます。
1.2.7. Web コンソール
1.2.7.1. 新規の Project ダッシュボード
新規の Project ダッシュボードは、Administrator および Developer パースペクティブから利用できるようになりました。このダッシュボードは、プロジェクトについての以下の情報を提供します。
- ステータス/正常性
- 外部リンク
- インベントリー
- 使用状況
- リソースクォータ
- アクティビティーおよび上位コンシューマー
1.2.7.2. ConsoleLink カスタムリソース定義 (Custom Resource Definition/CRD) の新たな NamespaceDashboard オプション
ConsoleLink カスタムリソース定義の新たな場所オプション NamespaceDashboard
により、プロジェクト固有のリンクをプロジェクトダッシュボードに追加できます。
1.2.7.3. クラスター全体でのサードパーティーのユーザーインターフェースの提供
クラスター全体でのサードパーティーのユーザーインターフェースを統合し、Operator でバックアップするサービスを ConsoleLink カスタムリソース定義で開発し、管理し、設定できるようになりました。
1.2.7.4. 新規 ConsoleYAML サンプルカスタムリソース定義
新規 ConsoleYAMLSample
カスタムリソース定義は、YAML サンプルを Kubernetes リソースにいつでも動的に追加できる機能を提供します。
詳細は、「Customizing the web console」を参照してください。
1.2.7.5. Web コンソールからのサポートケースの作成
Web コンソールのヘルプメニューから Red Hat サポートケースを作成することができるようになりました。
1.2.7.6. セキュリティー脆弱性の表示
Web コンソールのダッシュボードからコンテナーの脆弱性を確認できるようになりました。これには、オンプレミスおよび外部 Quay レジストリーの両方をサポートする Quay Operator を活用します。セキュリティー脆弱性は Quay が管理するイメージについてのみ報告されます。
1.2.7.7. 新規のユーザー管理セクション
すべてのユーザー管理リソースは、User Resource ナビゲーションセクションで利用可能になりました。
ユーザーの権限を借用する機能も追加されました。これにより、コンソールをナビゲートする際にユーザーに表示されるのと同じ内容を表示することができます。
1.2.7.8. アラートレシーバーの作成
アラートレシーバーを作成して、クラスターの状態についての通知を受信できるようになりました。PagerDuty および Webhook アラートタイプを作成できます。
1.2.7.9. Developer パースペクティブ
Developer パースペクティブを使用して以下を実行できるようになりました。
- サーバーレスアプリケーションおよびリビジョンを作成し、リビジョン間のトラフィックを分割する。
- アプリケーションとそのすべてのコンポーネントを削除する。
- プロジェクト内のユーザーに RBAC パーミッションを割り当てる。
- バインディングコネクターを使用してサービスでアプリケーションをバインドする。
1.2.7.10. CSI プロビジョナーがストレージクラス作成ページに表示される
Container Storage Interface (CSI) プロビジョナーがストレージクラスの作成ページに表示されるようになりました。ストレージクラスはユーザーインターフェースでハードコーディングされます。CSI ベースのストレージクラスは動的であり、静的な名前を持ちません。ユーザーはストレージクラス作成ページで、CSI ベースのプロビジョナーを一覧表示し、かつプロビジョナーを作成できるようになりました。
1.2.8. ネットワーク
1.2.8.1. ネットワークポリシーの設定
Kubernetes v1
NetworkPolicy 機能は、Egress ポリシータイプおよび IPBlock 以外は OpenShift Container Platform で利用できます。
IPBlock は、制限付きの NetworkPolicy でサポートされています。これは、except
節なしで IPBlock をサポートします。except
節を含む ipBlock
セクションのあるポリシーを作成する場合、SDN Pod は警告をログに記録し、そのポリシーの ipBlock
セクション全体は無視されます。
1.2.8.2. Red Hat OpenStack Platform (RHOSP) でサポートされる Kuryr CNI サポート
Kuryr SDN を使用する RHOSP 13 および 16 にカスタマイズされたクラスターをインストールできます。Kuryr を使用して OpenStack にクラスターをインストールする方法については、インストールガイドを参照することができます。
1.2.9. スケーリング
1.2.9.1. クラスターの最大数
OpenShift Container Platform 4.3 のクラスターの最大値に関するガイダンスが更新されました。
ご使用の環境のクラスター制限を見積もるには、OpenShift Container Platform Limit Calculator を使用します。
1.2.10. ストレージ
1.2.10.1. OpenShift Container Storage 4.2
Red Hat OpenShift Container Storage 4.2 クラスターのデプロイ、管理、監視、移行を実行できるようになりました。詳細は、『Red Hat OpenShift Container Storage 4.2 リリースノート』を参照してください。
1.2.10.2. iSCSI を使用した永続ストレージ
iSCSI を使用した永続ボリューム (以前はテクノロジープレビュー) は OpenShift Container Platform 4.3 で完全にサポートされるようになりました。
1.2.10.3. raw ブロックボリュームのサポート
テクノロジープレビューとして提供された iSCSI raw ブロックボリュームは OpenShift Container Platform 4.3 で完全にサポートされるようになりました。
Cinder を使用した raw ブロックボリュームはテクノロジープレビューとしてご利用いただけます。
1.2.10.4. CSI ボリューム拡張
Container Storage Interface (CSI) を使用して、作成後にストレージボリュームを拡張することができます。この機能は、テクノロジープレビュー機能としてデフォルトで有効にされます。
1.2.10.5. ローカルストレージ Operator での容認 (toleration) の使用
ローカルストレージ Operator はノードテイントを許容するようになり、テイントされたノードからローカルボリュームをプロビジョニングできるようになりました。
1.2.11. Operator
1.2.11.1. Samples Operator
Samples Operator はインストール時にクラスターアーキテクチャーを自動的に認識し、互換性のない x86_64 コンテンツを Power および Z アーキテクチャーにインストールしません。
また、Samples Operator は Prometheus メトリクスを使用してインポートに失敗したイメージストリームや、Samples Operator に無効な設定があるかどうかについての情報を収集します。アラートは、イメージストリームがインポートに失敗した場合や、Samples Operator に無効な設定がある場合に送信されます。
1.2.11.2. イメージレジストリー Operator
以下の拡張機能がイメージレジストリー Operator で利用可能になりました。
-
レジストリーの管理状態は、ベアメタル、vSphere、および Red Hat Virtualization プラットフォームで
Removed
として設定されるため、他のストレージプロバイダーを設定できます。新規インストールでは、ストレージのプロビジョニングに加えてレジストリーの状態をManaged
に設定する必要があります。 - アラートは、レジストリーストレージが変更される際に送信されます。この変更により、データ損失が発生する可能性があるためです。
1.2.11.3. OperatorHub の単純化されたミラーリング
接続されていないクラスターと oc adm
コマンドが実行されるワークステーションの両方で利用できるレジストリーが非接続環境で実行されている場合、以下の 3 つの手順を実行して OperatorHub をミラーリングできるようになりました。
-
oc adm catalog build
を使用し、コンテナーイメージに対して Operator カタログをミラーリングし、接続されていないレジストリーにプッシュします。 -
oc adm catalog mirror
を使用して参照される Operator およびアプリのイメージを解析し、接続されていないレジストリーにプッシュします。 -
oc apply -f ./manifests
を使用して、ミラーカタログを接続されていないクラスターで有効にします。
詳細は、「ネットワークが制限された環境での Operator Lifecycle Manager の使用」を参照してください。
1.2.11.4. Operator Telemetry およびアラート
Lifecycle Operator Manager (OLM) がインストールされた Operator 情報を報告するようになりました。たとえば、OLM は失敗状態に移行する Operator についてのアラートを送信します。