Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

リリースノート

OpenShift sandboxed containers 1.7

Red Hat Customer Content Services

概要

このリリースノートには、すべての新機能と拡張機能、注目すべき技術的変更、以前のバージョンからの主要な修正、および一般提供時の既知のバグがまとめられています。

Red Hat ドキュメントへのフィードバック (英語のみ)
リンクのコピー

HCIDOCS プロジェクトの Jira 問題を作成してフィードバックを提供したり、エラーを報告したりすることができ、そこでは、フィードバックの進捗状況を追跡できます。Red Hat Jira アカウントがあり、ログインしている必要があります。

  1. Create Issue フォームを起動します。

  2. Summary フィールド、Description フィールド、および Reporter フィールドに入力します。

    Description フィールドに、ドキュメントの URL、章またはセクション番号、および問題の詳しい説明を入力します。

  3. Create をクリックします。

第1章 このリリースについて
リンクのコピー

これらのリリースノートは、Red Hat OpenShift Container Platform 4.16 とともに OpenShift サンドボックスコンテナー 1.7 の開発を追跡します。

OpenShift Container Platform は FIPS 用に設計されています。FIPS モードでブートされた Red Hat Enterprise Linux (RHEL) または Red Hat Enterprise Linux CoreOS (RHCOS) を実行する場合、OpenShift Container Platform コアコンポーネントは、x86_64ppc64le、および s390x アーキテクチャーのみで、FIPS 140-2/140-3 検証のために NIST に提出された RHEL 暗号化ライブラリーを使用します。

NIST の検証プログラムの詳細は、Cryptographic Module Validation Program を参照してください。検証のために提出された RHEL 暗号化ライブラリーの個別バージョンの最新の NIST ステータスについては、政府の標準規格 を参照してください。

第2章 新機能および機能拡張
リンクのコピー

このセクションでは、OpenShift sandboxed containers 1.7 で導入された新機能と拡張機能を説明します。

2.1. Public cloud
リンクのコピー

AWS および Azure クラウドプロバイダーの認証情報が自動的に取得される

ユーザーが AWS または Azure クラウドプロバイダーの認証情報を明示的に設定しない限り、Operator はデフォルトで OpenShift クラスターのクラウドプロバイダーの認証情報を使用します。

Jira:KATA-2216

第3章 バグ修正
リンクのコピー

このセクションでは、OpenShift Sandboxed Containers 1.7 で修正されたバグを説明します。

3.1. パフォーマンスとスケーリング
リンクのコピー

リソース要求のアノテーションがシステムリソースと一致しない場合にピア Pod に問題が発生する

io.katacontainers.config.hypervisor.default_vcpus アノテーションおよび io.katacontainers.config.hypervisor.default_memory アノテーションの値は QEMU のセマンティクスに従いますが、ピア Pod には次の制限があります。

  • io.katacontainers.config.hypervisor.default_memory256 未満の値に設定すると、次のエラーが表示されます。 

    Failed to create pod sandbox: rpc error: code = Unknown desc = CreateContainer failed: Memory specified in annotation io.katacontainers.config.hypervisor.default_memory is less than minimum required 256, please specify a larger value: unknown
    Copy to Clipboard Toggle word wrap
  • io.katacontainers.config.hypervisor.default_memory256 に設定し、io.katacontainers.config.hypervisor.default_vcpus1 に設定すると、リストから最小のインスタンスタイプまたはインスタンスサイズが起動されます。
  • io.katacontainers.config.hypervisor.default_vcpus0 に設定すると、すべてのアノテーションが無視され、デフォルトのインスタンスが起動されます。

回避策: 柔軟な Pod 仮想マシンサイズを有効にするには、io.katacontainers.config.hypervisor.machine_type を、config map で指定されたデフォルトの AWS インスタンスタイプまたは Azure インスタンスサイズに設定します。

Jira:KATA-2575、Jira:KATA-2577、Jira:KATA-2578

第4章 既知の問題
リンクのコピー

このセクションでは、OpenShift Sandboxed Containers 1.7 の既知の問題を説明します。

4.1. Sandboxed Containers
リンクのコピー

OpenShift sandboxed containers 1.7.0 は、OpenShift Container Platform 4.14 以前のバージョンでは動作しません。

OpenShift sandboxed containers Operator をインストールまたはアップグレードする前に、OpenShift Container Platform 4.15 以降にアップグレードする必要があります。詳細は、ナレッジベースの OpenShift sandboxed containers operator 1.7 is not available および Upgrade to OSC 1.7.0 put running Peer Pods into ContainerCreating status を参照してください。

Jira:KATA-3193, Jira:KATA-3155

4.2. パフォーマンスとスケーリング
リンクのコピー

CPU がオフラインの場合、コンテナーの CPU リソース制限を増やせない

要求された CPU がオフラインの場合に、コンテナーの CPU リソース制限を使用して Pod で使用可能な CPU の数を増やすと失敗します。この機能が利用可能な場合は、oc rsh <pod> コマンドを実行して Pod にアクセスし、次に lscpu コマンドを実行することで、CPU リソースの問題を診断できます。 

$ lscpu
Copy to Clipboard Toggle word wrap

出力例: 

CPU(s):                                16
On-line CPU(s) list:             0-12,14,15
Off-line CPU(s) list:            13
Copy to Clipboard Toggle word wrap

オフライン CPU のリストは予測不可能で、実行ごとにリストが異なる可能性があります。

回避策: 次の例のように、Pod アノテーションを使用して追加の CPU をリクエストします。 

metadata:
  annotations:
    io.katacontainers.config.hypervisor.default_vcpus: "16"
Copy to Clipboard Toggle word wrap

Jira:KATA-1376

sizeLimit を増やしても一時ボリュームは拡張されない

ボリュームサイズはデフォルトで、sandboxed container に割り当てられたメモリーの 50% であるため、Pod 仕様の sizeLimit パラメーターを使用して一時ボリュームを拡張できません。

回避策: ボリュームを再マウントしてサイズを変更します。たとえば、sandboxed container に割り当てられたメモリーが 6 GB で、一時ボリュームが /var/lib/containers にマウントされている場合、次のコマンドを実行して、このボリュームのサイズをデフォルトの 3 GB より大きくすることができます。 

$ mount -o remount,size=4G /var/lib/containers
Copy to Clipboard Toggle word wrap

Jira:KATA-2579

第5章 テクノロジープレビュー
リンクのコピー

このセクションでは、OpenShift sandboxed containers 1.7 で利用可能なすべてのテクノロジープレビューのリストを示します。

詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

Microsoft Azure Cloud Computing Services、IBM Z、および IBM LinuxONE 上の Confidential Containers

Confidential Containers は、クラウドネイティブアプリケーションのセキュリティーを強化し、Trusted Execution Environments (TEE) と呼ばれる安全で分離された環境でアプリケーションを実行できるようにします。これにより、使用中でもコンテナーとそのデータが保護されます。

以下の制限事項に注意してください。

  • 機密仮想マシン (CVM) ルートファイルシステム (rootfs) の暗号化と整合性保護はありません。CVM は TEE 内で実行され、コンテナーワークロードを実行します。rootfs の暗号化と整合性保護が不十分な場合、悪意のある管理者が rootfs に書き込まれた機密データを盗み出したり、rootfs データを改ざんしたりする可能性があります。rootfs の整合性保護と暗号化は現在進行中です。アプリケーションのすべての書き込みがメモリー内に確実に保存されるようにする必要があります。
  • 暗号化されたコンテナーイメージはサポートされていません。現在、署名されたコンテナーイメージのサポートのみが利用可能です。暗号化されたコンテナーイメージのサポートの提供に向けて作業を進行しています。
  • Kata shim と CVM 内のエージェントコンポーネント間の通信は改ざんされる可能性があります。CVM 内のエージェントコンポーネントは、OpenShift ワーカーノードで実行されている Kata shim から Kubernetes API コマンドを実行します。Kubernetes API 経由での機密データの流出を防ぐために、コンテナーの Kubernetes exec および log API をオフにするエージェントポリシーを CVM で使用します。ただし、これはまだ完了しておらず、シムとエージェントコンポーネント間の通信チャネルを強化するために、さらなる作業が進行中です。エージェントポリシーは、Pod アノテーションを使用して実行時にオーバーライドできます。現在、Pod 内のランタイムポリシーアノテーションは、アテステーションプロセスによって検証されていません。
  • 暗号化された Pod 間通信はネイティブでサポートされていません。Pod 間通信は暗号化されていません。すべての Pod 間通信には、アプリケーションレベルで TLS を使用する必要があります。
  • ワーカーノードと CVM 内でのイメージのダブルプル: コンテナーイメージは、TEE 内で実行される CVM にダウンロードされ、実行されます。ただし、現在はイメージはワーカーノードにもダウンロードされます。
  • Confidential Containers の CVM イメージを構築するには、クラスターで OpenShift sandboxed containers Operator が使用可能である必要があります。

Jira:KATA-2416

IBM Z および IBM LinuxONE のピア Pod サポート

IBM Z® および IBM® LinuxONE (s390x アーキテクチャー) 上のピア Pod を使用することで、ネストされた仮想化なしで OpenShift サンドボックスコンテナーワークロードをデプロイできます。

Jira:KATA-2030

第6章 非同期エラータの更新
リンクのコピー

OpenShift Sandboxed Containers のセキュリティー、バグ修正、および拡張機能の更新は、Red Hat Network を通じて非同期エラータとして発表されます。

Red Hat OpenShift Container Platform 4.16 のエラータは Red Hat カスタマーポータル で提供されています。

非同期エラータについては、OpenShift Container Platform ライフサイクル を参照してください。

Red Hat Subscription Management 設定でエラータのメール通知を有効化できます。Red Hat カスタマーポータルアカウントがあり、システムの登録が済んでおり、OpenShift Container Platform のエンタイトルメントが付与されている必要があります。

以下のセクションは、これからも継続して更新され、今後の OpenShift sandboxed containers の非同期リリースで発表されるエラータの拡張機能およびバグ修正に関する情報を追加していきます。

発行日: 2024-09-18

OpenShift Sandboxed Containers リリース 1.7.0 が利用可能になりました。このアドバイザリーには、機能強化とバグ修正を含む OpenShift Sandboxed Containers の更新が含まれています。

更新に含まれるバグ修正のリストは、RHBA-2024:6709 アドバイザリーに記載されています。

付録A コンポーネント別のチケットリスト
リンクのコピー

参考のために、Bugzilla および JIRA チケットのリストをこのドキュメントに記載します。リンクをクリックすると、チケットを説明したこのドキュメントのリリースノートにアクセスできます。

Expand
コンポーネントチケット

Performance / Scaling

Jira:KATA-1376, Jira:KATA-2579, Jira:KATA-2575

Public cloud

Jira:KATA-2216

Sandboxed Containers

Jira:KATA-3193

kata-containers

Jira:KATA-3193

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る