第3章 既知の問題

Confidential Containers on Azure で、セキュアブートがデフォルトで無効になる

Confidential Containers on Azure で、セキュアブートがデフォルトで無効になっています。これはセキュリティー上のリスクです。この問題を回避するには、ピア Pod config map を更新する ときに ENABLE_SECURE_BOOT を true に設定します。

CPU がオフラインの場合、コンテナーの CPU リソース制限を増やせない

要求された CPU がオフラインの場合に、コンテナーの CPU リソース制限を使用して Pod で使用可能な CPU の数を増やすと失敗します。この機能が利用可能な場合は、oc rsh <pod> コマンドを実行して Pod にアクセスし、次に lscpu コマンドを実行することで、CPU リソースの問題を診断できます。

sizeLimit を増やしても一時ボリュームは拡張されない

ボリュームサイズはデフォルトで、sandboxed container に割り当てられたメモリーの 50% であるため、Pod 仕様の sizeLimit パラメーターを使用して一時ボリュームを拡張できません。

OpenShift Sandboxed Containers 1.7 以降は、OpenShift Container Platform 4.14 以前のバージョンでは動作しません。

OpenShift sandboxed containers Operator をインストールまたはアップグレードする前に、OpenShift Container Platform 4.15 以降にアップグレードする必要があります。詳細は、ナレッジベースの OpenShift sandboxed containers operator 1.7 is not available および Upgrade to OSC 1.7.0 put running Peer Pods into ContainerCreating status を参照してください。

AWS 上の Podvm Image Builder はスナップショットを残します

Podvm Image Builder はスナップショットから AMI イメージを作成しますが、適切なアンインストールプロセス中に AMI は削除されますが、スナップショット自体は削除されず、手動で削除する必要があります。

クラスターを廃止する前に kataconfig を適切に削除しないと、アクティブな Pod 仮想マシンが実行したままになる可能性があります。

ピア Pod 機能がなければ、OSC Operator をアンインストールせずにクラスターを廃止できますが、ピア Pod を使用すると、Pod はクラスターワーカーノードの外部 (ピア Pod ごとに作成された podvm インスタンス上) で実行され、クラスターをシャットダウンする前に適切な kataconfig 削除が実行されないと、これらの podvm インスタンスは放棄され、終了されません。