Red Hat Summitリリースノート
概要
Red Hat ドキュメントへのフィードバック (英語のみ)
HCIDOCS プロジェクトの Jira 問題を作成してフィードバックを提供したり、エラーを報告したりすることができ、そこでは、フィードバックの進捗状況を追跡できます。Red Hat Jira アカウントがあり、ログインしている必要があります。
- Create Issue フォームを起動します。
Summary フィールド、Description フィールド、および Reporter フィールドに入力します。
Description フィールドに、ドキュメントの URL、章またはセクション番号、および問題の詳しい説明を入力します。
- Create をクリックします。
第1章 このリリースについて
これらのリリースノートは、Red Hat OpenShift Container Platform 4.16 とともに OpenShift サンドボックスコンテナー 1.7 の開発を追跡します。
OpenShift Container Platform は FIPS 用に設計されています。FIPS モードでブートされた Red Hat Enterprise Linux (RHEL) または Red Hat Enterprise Linux CoreOS (RHCOS) を実行する場合、OpenShift Container Platform コアコンポーネントは、x86_64、ppc64le、および s390x アーキテクチャーのみで、FIPS 140-2/140-3 検証のために NIST に提出された RHEL 暗号化ライブラリーを使用します。
NIST の検証プログラムの詳細は、Cryptographic Module Validation Program を参照してください。検証のために提出された RHEL 暗号化ライブラリーの個別バージョンの最新の NIST ステータスについては、政府の標準規格 を参照してください。
第2章 新機能および機能拡張
このセクションでは、OpenShift sandboxed containers 1.7 で導入された新機能と拡張機能を説明します。
2.1. Public cloud
AWS および Azure クラウドプロバイダーの認証情報が自動的に取得される
ユーザーが AWS または Azure クラウドプロバイダーの認証情報を明示的に設定しない限り、Operator はデフォルトで OpenShift クラスターのクラウドプロバイダーの認証情報を使用します。
Jira:KATA-2216
第3章 バグ修正
このセクションでは、OpenShift Sandboxed Containers 1.7 で修正されたバグを説明します。
3.1. パフォーマンスとスケーリング
リソース要求のアノテーションがシステムリソースと一致しない場合にピア Pod に問題が発生する
io.katacontainers.config.hypervisor.default_vcpus アノテーションおよび io.katacontainers.config.hypervisor.default_memory アノテーションの値は QEMU のセマンティクスに従いますが、ピア Pod には次の制限があります。
io.katacontainers.config.hypervisor.default_memoryを256未満の値に設定すると、次のエラーが表示されます。Failed to create pod sandbox: rpc error: code = Unknown desc = CreateContainer failed: Memory specified in annotation io.katacontainers.config.hypervisor.default_memory is less than minimum required 256, please specify a larger value: unknown
Failed to create pod sandbox: rpc error: code = Unknown desc = CreateContainer failed: Memory specified in annotation io.katacontainers.config.hypervisor.default_memory is less than minimum required 256, please specify a larger value: unknownCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
io.katacontainers.config.hypervisor.default_memoryを256に設定し、io.katacontainers.config.hypervisor.default_vcpusを1に設定すると、リストから最小のインスタンスタイプまたはインスタンスサイズが起動されます。 -
io.katacontainers.config.hypervisor.default_vcpusを0に設定すると、すべてのアノテーションが無視され、デフォルトのインスタンスが起動されます。
回避策: 柔軟な Pod 仮想マシンサイズを有効にするには、io.katacontainers.config.hypervisor.machine_type を、config map で指定されたデフォルトの AWS インスタンスタイプまたは Azure インスタンスサイズに設定します。
Jira:KATA-2575、Jira:KATA-2577、Jira:KATA-2578
第4章 既知の問題
このセクションでは、OpenShift Sandboxed Containers 1.7 の既知の問題を説明します。
4.1. Sandboxed Containers
OpenShift sandboxed containers 1.7.0 は、OpenShift Container Platform 4.14 以前のバージョンでは動作しません。
OpenShift sandboxed containers Operator をインストールまたはアップグレードする前に、OpenShift Container Platform 4.15 以降にアップグレードする必要があります。詳細は、ナレッジベースの OpenShift sandboxed containers operator 1.7 is not available および Upgrade to OSC 1.7.0 put running Peer Pods into ContainerCreating status を参照してください。
4.2. パフォーマンスとスケーリング
CPU がオフラインの場合、コンテナーの CPU リソース制限を増やせない
要求された CPU がオフラインの場合に、コンテナーの CPU リソース制限を使用して Pod で使用可能な CPU の数を増やすと失敗します。この機能が利用可能な場合は、oc rsh <pod> コマンドを実行して Pod にアクセスし、次に lscpu コマンドを実行することで、CPU リソースの問題を診断できます。
lscpu
$ lscpu出力例:
CPU(s): 16 On-line CPU(s) list: 0-12,14,15 Off-line CPU(s) list: 13
CPU(s): 16
On-line CPU(s) list: 0-12,14,15
Off-line CPU(s) list: 13オフライン CPU のリストは予測不可能で、実行ごとにリストが異なる可能性があります。
回避策: 次の例のように、Pod アノテーションを使用して追加の CPU をリクエストします。
metadata:
annotations:
io.katacontainers.config.hypervisor.default_vcpus: "16"
metadata:
annotations:
io.katacontainers.config.hypervisor.default_vcpus: "16"sizeLimit を増やしても一時ボリュームは拡張されない
ボリュームサイズはデフォルトで、sandboxed container に割り当てられたメモリーの 50% であるため、Pod 仕様の sizeLimit パラメーターを使用して一時ボリュームを拡張できません。
回避策: ボリュームを再マウントしてサイズを変更します。たとえば、sandboxed container に割り当てられたメモリーが 6 GB で、一時ボリュームが /var/lib/containers にマウントされている場合、次のコマンドを実行して、このボリュームのサイズをデフォルトの 3 GB より大きくすることができます。
mount -o remount,size=4G /var/lib/containers
$ mount -o remount,size=4G /var/lib/containers第5章 テクノロジープレビュー
このセクションでは、OpenShift sandboxed containers 1.7 で利用可能なすべてのテクノロジープレビューのリストを示します。
詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
Microsoft Azure Cloud Computing Services、IBM Z、および IBM LinuxONE 上の Confidential Containers
Confidential Containers は、クラウドネイティブアプリケーションのセキュリティーを強化し、Trusted Execution Environments (TEE) と呼ばれる安全で分離された環境でアプリケーションを実行できるようにします。これにより、使用中でもコンテナーとそのデータが保護されます。
以下の制限事項に注意してください。
- 機密仮想マシン (CVM) ルートファイルシステム (rootfs) の暗号化と整合性保護はありません。CVM は TEE 内で実行され、コンテナーワークロードを実行します。rootfs の暗号化と整合性保護が不十分な場合、悪意のある管理者が rootfs に書き込まれた機密データを盗み出したり、rootfs データを改ざんしたりする可能性があります。rootfs の整合性保護と暗号化は現在進行中です。アプリケーションのすべての書き込みがメモリー内に確実に保存されるようにする必要があります。
- 暗号化されたコンテナーイメージはサポートされていません。現在、署名されたコンテナーイメージのサポートのみが利用可能です。暗号化されたコンテナーイメージのサポートの提供に向けて作業を進行しています。
- Kata shim と CVM 内のエージェントコンポーネント間の通信は改ざんされる可能性があります。CVM 内のエージェントコンポーネントは、OpenShift ワーカーノードで実行されている Kata shim から Kubernetes API コマンドを実行します。Kubernetes API 経由での機密データの流出を防ぐために、コンテナーの Kubernetes exec および log API をオフにするエージェントポリシーを CVM で使用します。ただし、これはまだ完了しておらず、シムとエージェントコンポーネント間の通信チャネルを強化するために、さらなる作業が進行中です。エージェントポリシーは、Pod アノテーションを使用して実行時にオーバーライドできます。現在、Pod 内のランタイムポリシーアノテーションは、アテステーションプロセスによって検証されていません。
- 暗号化された Pod 間通信はネイティブでサポートされていません。Pod 間通信は暗号化されていません。すべての Pod 間通信には、アプリケーションレベルで TLS を使用する必要があります。
- ワーカーノードと CVM 内でのイメージのダブルプル: コンテナーイメージは、TEE 内で実行される CVM にダウンロードされ、実行されます。ただし、現在はイメージはワーカーノードにもダウンロードされます。
- Confidential Containers の CVM イメージを構築するには、クラスターで OpenShift sandboxed containers Operator が使用可能である必要があります。
Jira:KATA-2416
IBM Z および IBM LinuxONE のピア Pod サポート
IBM Z® および IBM® LinuxONE (s390x アーキテクチャー) 上のピア Pod を使用することで、ネストされた仮想化なしで OpenShift サンドボックスコンテナーワークロードをデプロイできます。
Jira:KATA-2030
第6章 非同期エラータの更新
OpenShift Sandboxed Containers のセキュリティー、バグ修正、および拡張機能の更新は、Red Hat Network を通じて非同期エラータとして発表されます。
Red Hat OpenShift Container Platform 4.16 のエラータは Red Hat カスタマーポータル で提供されています。
非同期エラータについては、OpenShift Container Platform ライフサイクル を参照してください。
Red Hat Subscription Management 設定でエラータのメール通知を有効化できます。Red Hat カスタマーポータルアカウントがあり、システムの登録が済んでおり、OpenShift Container Platform のエンタイトルメントが付与されている必要があります。
以下のセクションは、これからも継続して更新され、今後の OpenShift sandboxed containers の非同期リリースで発表されるエラータの拡張機能およびバグ修正に関する情報を追加していきます。
6.1. RHBA-2024:6709 - OpenShift sandboxed containers 1.7.0 イメージのリリース、バグ修正、および機能強化のアドバイザリー
発行日: 2024-09-18
OpenShift Sandboxed Containers リリース 1.7.0 が利用可能になりました。このアドバイザリーには、機能強化とバグ修正を含む OpenShift Sandboxed Containers の更新が含まれています。
更新に含まれるバグ修正のリストは、RHBA-2024:6709 アドバイザリーに記載されています。
付録A コンポーネント別のチケットリスト
参考のために、Bugzilla および JIRA チケットのリストをこのドキュメントに記載します。リンクをクリックすると、チケットを説明したこのドキュメントのリリースノートにアクセスできます。
| コンポーネント | チケット |
|---|---|
|
| |
|
| |
|
| |
|
|
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}