第6章 File Integrity Operator
6.1. File Integrity Operator リリースノート
OpenShift Container Platform のファイル整合性オペレーターは、RHCOS ノードでファイル整合性チェックを継続的に実行します。
これらのリリースノートは、OpenShift Container Platform での File Integrity Operator の開発を追跡します。
File Integrity Operator の概要については、File Integrity Operator について を参照してください。
6.1.1. OpenShift File Integrity Operator 0.1.30
OpenShift File Integrity Operator 0.1.30 については、以下のアドバイザリーを利用できます。
6.1.1.1. バグ修正
- 以前は、File Integrity Operator が発行したアラートでは namespace が設定されていなかったため、アラートの発生場所を理解することが困難でした。現在、Operator は適切な namespace を設定し、アラートが理解できるように改善されています。(BZ#2101393)
6.1.2. OpenShift File Integrity Operator 0.1.24
OpenShift File Integrity Operator 0.1.24 については、以下のアドバイザリーを利用できます。
6.1.2.1. 新機能および機能拡張
-
config.maxBackups
属性を使用して、FileIntegrity
カスタムリソース (CR) に保存されるバックアップの最大数を設定できるようになりました。この属性は、ノードに保持するためにre-init
プロセスから残された AIDE データベースおよびログのバックアップの数を指定します。設定された数を超える古いバックアップは自動的にプルーニングされます。デフォルトは 5 つのバックアップに設定されています。
6.1.2.2. バグ修正
-
以前は、Operator を 0.1.21 より古いバージョンから 0.1.22 にアップグレードすると、
re-init
機能が失敗する可能性がありました。これは、オペレーターがconfigMap
リソースラベルの更新に失敗した結果です。現在、最新バージョンにアップグレードすると、リソースラベルが修正されます。(BZ#2049206) -
以前は、デフォルトの
configMap
スクリプトの内容を適用するときに、間違ったデータキーが比較されていました。これにより、Operator のアップグレード後にaide-reinit
スクリプトが適切に更新されず、re-init
プロセスが失敗することがありました。これで、daemonSets
が完了するまで実行され、AIDE データベースのre-init
プロセスが正常に実行されます。(BZ#2072058)
6.1.3. OpenShift File Integrity Operator 0.1.22
OpenShift File Integrity Operator 0.1.22 については、以下のアドバイザリーを利用できます。
6.1.3.1. バグ修正
-
以前は、File Integrity Operator がインストールされているシステムが、
/etc/kubernetes/aid.reinit
ファイルが原因で、OpenShift Container Platform の更新を中断する可能性がありました。これは、/etc/kubernetes/aide.reinit
ファイルが存在したが、後でostree
検証の前に削除された場合に発生しました。今回の更新では、/etc/kubernetes/aide.reinit
が/run
ディレクトリーに移動し、OpenShift Container Platform の更新と競合しないようになっています。(BZ#2033311)
6.1.4. OpenShift File Integrity Operator 0.1.21
OpenShift File Integrity Operator 0.1.21 については、以下のアドバイザリーを利用できます。
6.1.4.1. 新機能および機能拡張
-
FileIntegrity
スキャン結果および処理メトリックに関連するメトリックは、Web コンソールの監視ダッシュボードに表示されます。結果には、file_integrity_operator_
の接頭辞が付けられます。 -
ノードの整合性障害が 1 秒を超えると、Operator の namespace で提供されるデフォルトの
PrometheusRule
が警告を発します。 次の動的な Machine Config Operator および Cluster Version Operator 関連のファイルパスは、ノードの更新中の誤検知を防ぐために、デフォルトの AIDE ポリシーから除外されています。
- /etc/machine-config-daemon/currentconfig
- /etc/pki/ca-trust/extracted/java/cacerts
- /etc/cvo/updatepayloads
- /root/.kube
- AIDE デーモンプロセスは v0.1.16 よりも安定性が向上しており、AIDE データベースの初期化時に発生する可能性のあるエラーに対する耐性が高くなっています。
6.1.4.2. バグ修正
- 以前は、Operator が自動的にアップグレードしたときに、古いデーモンセットは削除されませんでした。このリリースでは、自動アップグレード中に古いデーモンセットが削除されます。