1.7. 既知の問題
Day 2 のプロキシーサポート対応に関して Machine Config Operator (MCO) で問題が生じます。既存のプロキシーされていないクラスターがプロキシーを使用するように再設定されるタイミングが記述されます。MCO は設定マップの新たに設定されたプロキシー CA 証明書を RHCOS 信頼バンドルに適用する必要がありますが、これが正常に機能しません。回避策として、プロキシー CA 証明書を信頼バンドルに手動で追加してから、信頼バンドルを更新する必要があります。
$ cp /opt/registry/certs/<my_root_ca>.crt /etc/pki/ca-trust/source/anchors/ $ update-ca-trust extract $ oc adm drain <node> $ systemctl reboot
-
自己署名の Red Hat OpenStack Platform (RHOSP) 16 クラスターを使用する場合には、内部イメージレジストリーからプルまたはこれにプッシュすることはできません。回避策として、
configs.imageregistry/clusterリソースでspec.disableRedirectをtrueに設定する必要があります。これにより、クライアントは Swift からの直接のリンクからではなく、イメージレジストリーからイメージ階層をプルできるようになります。(BZ#1810461) クラスタープロキシー設定
HTTP_PROXYは OpenShift Container Platform コンポーネントでのみ利用でき、ユーザーアプリケーションでは使用できません。回避策として、以下のコマンドを実行してユーザーアプリケーションのクラスタープロキシー設定を有効にする必要があります。$ oc set env dc/jenkins \ http_proxy=$(oc get proxy cluster -o jsonpath='{.status.httpProxy}') \ https_proxy=$(oc get proxy cluster -o jsonpath='{.status.httpsProxy}') \ no_proxy=$(oc get proxy cluster -o jsonpath='{.status.noProxy}')-
HTTPS プロキシーを通過する
git clone操作は失敗します。HTTP プロキシーは問題なく使用できます。(BZ#1750650) -
ソース URI が
git://またはssh://スキームを使用する場合、すべてのgit clone操作はプロキシーの背後で実行されているビルドで失敗します。(BZ#1751738) - ミラーを使用してイメージをビルドする際に、ミラーレジストリーのプルシークレットがビルダーのサービスアカウントにのみリンクする場合はビルドに失敗します。プルシークレットもビルド設定オブジェクトにリンクする必要があります。(BZ#1810904)
-
Kuryr を使用する Red Hat OpenStack Platform (RHOSP) 13 では、FIPS が無効にされている場合、サービスカタログを有効にすることはできません。Service Catalog のコントローラーマネージャーおよび API サーバーコンポーネントの Pod は
CrashLoopBackOffのステータスを表示します。これは、https://etcd.openshift-etcd.svc.cluster.local:2379URL が常に解決しないためです。OpenShift Container Platform 4 で etcd クラスター URL を取得する新たな手法を使用できます。(BZ#1821589) -
Kuryr を使用した RHOSP 16 のインストールは、初期設定後の
ovn_controllerのクラッシュにより機能しません。(BZ#1812009, BZ#1818844) -
Red Hat Virtualization (RHV) マシンの
instance-stateアノテーションおよびproviderStatus.instanceStateステータスは常に一致しているとは限りません。この不一致がある場合、クライアントは失敗するか、または RHV マシンのステータスに誤ったパッチを適用します。(BZ#1815394) -
RHV でマシンセットをスケールアップする場合、新規マシンは
Provisionedフェーズで終了できません。これにより、マシンは実行されなくなります。(BZ#1815435, BZ#1817853) - クラスターリソースの計算エラーにより、RHV での OpenShift Container Platform クラスターの自動スケーリングは失敗します。(BZ#1822118)
- Firefox ブラウザーを使用して Topology ビューでノードまたはノードのグループを選択すると、関連するすべてのラベルとノードの背景が透過的になります。(BZ#1822337)
-
Topology ビューで、ユーザーがノードまたはワークロードを選択し、サイドパネルで Monitoring
View monitoring dashboard をクリックすると、ユーザーには特定のワークロードのモニタリングダッシュボードが表示されます。このフィルターされたワークロードダッシュボードビューには明確に名前が付けられていないため、すべてのワークロードのメトリクスを表示する汎用ダッシュボードと混乱する場合があります。(BZ#1822331) -
ピリオド (
.) などの無効な文字が Developer パースペクティブから serverless トラフィック分散タグに入力される場合、トラフィック分散機能は機能を停止します。タグに使用できない文字の入力を防ぐエラーメッセージは表示されません。(BZ#1822344) - アイデンティティープロバイダー (IDP) によるユーザーの認証に 60 秒を超える時間がかかると、他の IDP を試行する前に認証が失敗する可能性があります。回避策として、問題のある IDP を IDP の一覧から削除し、ユーザーが正常な IDP を使用して認証できるようにできます。(BZ#1826484)
-
クラスターロギングをバージョン 4.3 から 4.4 に更新する場合、Elasticsearch Pod は
CrashLoopBackOffステータスのままになる可能性があります。この問題の回避策として、Elasticsearch デプロイメントを順番に削除することができます。(BZ#1824006) - OpenShift Container Platform 4.4 には v.4.4 メータリング Operator が同梱されていません。V.4.3 メータリング Operator を OpenShift Container Platform 4.4 クラスターにインストールするか、または引き続き実行できます。(BZ#1829035)
OpenShift Container Platform クラスターをバージョン 4.3 から 4.4 に更新する場合、etcd Operator は動作が低下した状態のためにアップグレードに失敗することがあります。これは、
InstallerPodの失敗によって生じます。回避策として、InstallerPodの失敗を解決できるように etcd で新規リビジョンを強制的に実行する必要があります。これにより、etcd Operator をリカバリーできます。etcd で新規リビジョンを強制的に実行します。
$ oc patch etcd cluster -p='{"spec": {"forceRedeploymentReason": "recovery-'"$( date --rfc-3339=ns )"'"}}' --type=mergeノードが最新のリビジョンにあることを確認します。
$ oc get etcd '-o=jsonpath={range .items[0].status.conditions[?(@.type=="NodeInstallerProgressing")]}{.reason}{"\n"}{.message}{"\n"}'
-
Web コンソールダウンロードのデプロイメントは、
ipv6.disable=1で設定されるノードで失敗します。(BZ1795325) Topology Manager の問題により、Guaranteed QoS Pod が同じノードで同時に作成されると、NUMA リソースが同じ NUMA ノードに配置されない可能性がありました。その結果、Pod 仕様で要求されるリソースが NUMA で配置されない可能性があります。
4.4 でこの問題を回避するには、ノード上の Guaranteed QoS を持つ複数の Pod を同時にスピンアップしないでください。
この問題が発生する場合には、Pod を削除してから再作成します。(BZ#1834979)
-
runStrategy属性がManualに設定されている仮想マシンは仮想マシンが実行中か、または停止しているかどうかを示さず、Web コンソールは仮想マシンが実行していると誤って想定します。この問題を回避するには、Web コンソールで仮想マシンを使用する際にrunStrategyをManualに設定しないでください。代わりに、running属性を使用するか、またはrunStrategyをAlways、RerunOnFailure、またはHaltedに設定します。(BZ#1834717) - 新規 OpenShift Container Platform z-stream リリースにアップグレードする場合、ノードがアップグレードされると API サーバーへの接続が中断され、API 要求が失敗する可能性があります。(BZ#1791162)
- 新規 OpenShift Container Platform z-stream リリースにアップグレードする場合、ルーター Pod が更新されているためにルーターへの接続が中断される可能性があります。アップグレードの期間中、一部のアプリケーションには常に到達できなくなる可能性があります。(BZ#1809665)
- OAuth トークンの期限切れに関連する問題が原因で、Kibana コンソールに security_exception エラーが表示され、Kibana インデックスにアクセスできなくなる可能性があります。このエラーが表示された場合、Kibana コンソールからログアウトしてから再度ログインします。これにより OAuth トークンが更新され、インデックスにアクセスできるはずです。(BZ#1791837)
- HTTPS プロキシーを通過する git clone 操作は失敗します。非 TLS (HTTP) プロキシーは問題なく使用できます。(BZ#1750650)
-
ソース URI が
git://またはssh://スキームを使用する場合、git clone 操作はプロキシーの背後で実行されているビルドで失敗します。(BZ#1751738) OpenShift Container Platform 4.1 では、匿名ユーザーは検出エンドポイントにアクセスできました。後のリリースでは、一部の検出エンドポイントは集約された API サーバーに転送されるため、このアクセスを無効にして、セキュリティーの脆弱性の可能性を減らすことができます。ただし、既存のユースケースに支障がで出ないように、認証されていないアクセスはアップグレードされたクラスターで保持されます。
OpenShift Container Platform 4.1 から 4.4 にアップグレードされたクラスターのクラスター管理者の場合、認証されていないアクセスを無効にするか、またはこれを引き続き許可することができます。特定の必要がなければ、認証されていないアクセスを無効にすることが推奨されます。認証されていないアクセスを引き続き許可する場合は、それに伴ってリスクが増大することに注意してください。
警告認証されていないアクセスに依存するアプリケーションがある場合、認証されていないアクセスを取り消すと HTTP
403エラーが生じる可能性があります。以下のスクリプトを使用して、検出エンドポイントへの認証されていないアクセスを無効にします。
## Snippet to remove unauthenticated group from all the cluster role bindings $ for clusterrolebinding in cluster-status-binding discovery system:basic-user system:discovery system:openshift:discovery ; do ### Find the index of unauthenticated group in list of subjects index=$(oc get clusterrolebinding ${clusterrolebinding} -o json | jq 'select(.subjects!=null) | .subjects | map(.name=="system:unauthenticated") | index(true)'); ### Remove the element at index from subjects array oc patch clusterrolebinding ${clusterrolebinding} --type=json --patch "[{'op': 'remove','path': '/subjects/$index'}]"; doneこのスクリプトは、認証されていないサブジェクトを以下のクラスターロールバインディングから削除します。
-
cluster-status-binding -
discovery -
system:basic-user -
system:discovery -
system:openshift:discovery
-
