2.5. Red Hat Windows Machine Config Operator 3.1.0 リリースノート
発行日: 2021-09-21
WMCO 3.1.0 がバグ修正および新機能と共に利用できるようになりました。WMCO のコンポーネントは RHBA-2021:3215 でリリースされました。
2.5.1. 新機能
2.5.1.1. BYOH (Bring-Your-Own-Host) Windows インスタンスの使用
既存の Windows インスタンスをコンピュートノードとして OpenShift Container Platform クラスターに追加できるようになりました。これには、WMCO namespace で設定マップを作成する必要があります。
BYOH Windows インスタンスは、以下のプラットフォームのインストーラーでプロビジョニングされるインフラストラクチャーでサポートされます。
- Amazon Web Services (AWS)
- Microsoft Azure
- VMware vSphere
次のプラットフォームの場合、BYOH Windows インスタンスは、install-config.yaml
ファイルに platform: none
フィールドが設定されている場合にのみ、ユーザーがプロビジョニングしたインフラストラクチャーでサポートされます。
- VMware vSphere
- ベアメタル
BYOH Windows インスタンスの設定方法の詳細は、Configuring BYOH Windows instance を参照してください。
2.5.2. バグ修正
-
VMware vSphere にインストールされているクラスターの場合、WMCO は
Deleting
フェーズ通知イベントを無視し、正しくないノード情報をwindows-exporter
メトリクスエンドポイントに残します。これにより、Prometheus メトリクスエンドポイントに無効なマッピングが生じました。このバグは修正されています。WMCO はDeleting
phase 通知イベントを認識し、Prometheus メトリクスエンドポイントを適切にマップするようになりました。(BZ#1995341)
2.5.3. 既知の問題
-
設定マップで DNS 名エントリーを使用して BYOH Windows インスタンスをインストールする場合、WMCO はこれを
Ready
ノードとしてマークする前にインスタンスを 2 回設定します。これは WMCO の今後のリリースで修正されます。(BZ#2005360) RunAsUser
パーミッションが Linux ベースの Pod のセキュリティーコンテキストに設定されている場合、Projected ファイルには、コンテナーユーザー所有権を含む適切なパーミッションが設定されます。ただし、Windows の同等のRunAsUsername
パーミッションが Windows Pod に設定されている場合、kubelet は Projected ボリュームのファイルに正しい所有権を設定できなくなります。この問題は、ベストプラクティスに従わない hostPath ボリューム と組み合わせて使用すると悪化する可能性があります。たとえば、Pod にC:\var\lib\kubelet\pods\
フォルダーへのアクセス権限を付与すると、Pod が他の Pod からサービスアカウントトークンにアクセスできるようになります。デフォルトでは、この例では Windows の Projected ボリュームファイルに示されるように、projected ファイルに以下の所有者が設定されます。
Path : Microsoft.PowerShell.Core\FileSystem::C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt Owner : BUILTIN\Administrators Group : NT AUTHORITY\SYSTEM Access : NT AUTHORITY\SYSTEM Allow FullControl BUILTIN\Administrators Allow FullControl BUILTIN\Users Allow ReadAndExecute, Synchronize Audit : Sddl : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)
これは、
ContainerAdministrator
ロールを持つユーザーなどのすべての管理者ユーザーに対して読み取り、書き込み、実行アクセスがある一方で、管理者以外のユーザーが読み取りおよび実行アクセスを持っていることを示しています。重要OpenShift Container Platform は、オペレーティングシステムに関係なく、
RunAsUser
セキュリティーコンテキストをすべての Pod に適用します。これは、Windows Pod のRunAsUser
パーミッションがセキュリティーコンテキストに自動的に適用されることを意味します。さらに、Windows Pod がデフォルトの
RunAsUser
パーミッションセットで Projected ボリュームで作成される場合、Pod はContainerCreating
フェーズで停止します。これらの問題に対応するため、OpenShift Container Platform は Pod のセキュリティーコンテキストで設定される Projected サービスアカウントボリュームでのファイルパーミッションの処理を Windows の projected ボリュームに反映しないように強制します。Windows Pod のこの動作は、OpenShift Container Platform 4.7 より前のすべての Pod タイプでどのように機能するかについて使用されるファイルパーミッションの処理であることに注意してください。(BZ#1971745)