リリースノート

Red Hat Advanced Cluster Management for Kubernetes 2.13

新機能、Red Hat Advanced Cluster Management のサポートマトリックス、エラータの更新について説明します。既知の問題と制限、非推奨と削除、GDPR および FIPS への対応に関する情報を提供します。

概要

新機能、エラータの更新、既知の問題、非推奨と削除、GDPR および FIPS への対応に関する製品の考慮事項の詳細を説明します。

第1章 Red Hat Advanced Cluster Management のリリースノート

Red Hat Advanced Cluster Management の新機能と機能拡張、サポート、非推奨、削除、およびエラータバグ修正について説明します。

重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノートを参照してください。

Red Hat Advanced Cluster Management の新機能
Red Hat Advanced Cluster Management のエラータ更新
Red Hat Advanced Cluster Management の既知の問題と制限
Red Hat Advanced Cluster Management の非推奨と削除
GDPR に対応するための Red Hat Advanced Cluster Management for Kubernetes での考慮事項
FIPS readiness
可観測性のサポート

重要: このドキュメントに、OpenShift Container Platform のリリースノートは含まれていません。OpenShift Container Platform クラスターは、OpenShift Container Platform リリースノートを参照してください。

非推奨: Red Hat Advanced Cluster Management 2.8 以前のバージョンはサポートされなくなりました。ドキュメントはそのまま利用できますが、エラータやその他の更新は提供されません。

ベストプラクティス: 最新バージョンにアップグレードします。

ドキュメント内のコンポーネントが OpenShift Container Platform の特定のバージョンのみで作成およびテストされていない限り、ドキュメントではサポートされている最も古い Red Hat OpenShift Container Platform バージョンを参照します。
完全なサポート情報は、Red Hat Advanced Cluster Management サポートマトリックスと、Red Hat Advanced Cluster Management for Kubernetes のライフサイクルと更新ポリシーを参照してください。
現在サポートされているリリースのいずれか、製品ドキュメントで問題が発生した場合は、Red Hat サポートにアクセスして、トラブルシューティングを行ったり、ナレッジベースの記事を表示したり、サポートチームに連絡したり、ケースを開いたりすることができます。認証情報でログインする必要があります。
Red Hat Customer Portal FAQ で、カスタマーポータルのドキュメントの詳細を確認することもできます。

1.1. Red Hat Advanced Cluster Management の新機能

Red Hat Advanced Cluster Management for Kubernetes では、可観測性を提供し、ビルトインされたガバナンス、クラスターおよびアプリケーションライフサイクル管理で、Kubernetes ドメイン全体を可視化します。

Red Hat Advanced Cluster Management バージョン 2.13 は、クラスターライフサイクル管理用の multicluster engine Operator バージョン 2.8 とともにリリースされています。multicluster engine Operator を使用したクラスターライフサイクルのリリースノートを参照してください。

Red Hat Advanced Cluster Management サポートマトリックスにアクセスして、ハブクラスターとマネージドクラスターの要件と各コンポーネントのサポートを確認してください。ライフサイクルの情報は、Red Hat OpenShift Container Platform ライフサイクルポリシーを参照してください。

重要: Red Hat Advanced Cluster Management は、Cloud Native Computing Foundation (CNCF) Kubernetes Conformance Program を通じて認定されたすべてのプロバイダーをサポートしています。ハイブリッドクラウドマルチクラスター管理には、CNFC が認定したベンダーを選択してください。

CNFC プロバイダーの使用は、次の情報を参照してください。

Certified Kubernetes Conformance で CNFC プロバイダーがどのように認定されるかを学びます。
CNFC サードパーティープロバイダーに関する Red Hat サポート情報は、サードパーティーコンポーネントに関する Red Hat サポートを参照するか、Red Hat サポートへのお問い合わせを参照してください。
独自の CNFC 適合認定クラスターを使用する場合は、OpenShift Container Platform CLI の oc コマンドを Kubernetes CLI コマンドの kubectl に変更する必要があります。

1.1.1. コンポーネントの新機能と機能拡張

Red Hat Advanced Cluster Management 内のコンポーネントの新機能に関する具体的な詳細を確認します。

インストール
コンソール
クラスター
Multicluster Global Hub
ガバナンス
ビジネス継続性

一部の機能およびコンポーネントはテクノロジープレビューとして指定され、リリースされます。

1.1.2. インストール

Red Hat Advanced Cluster Management バージョン 2.11 以降、Red Hat Advanced Cluster Management の奇数バージョンで、レベルスキップアップグレードを実行できるようになりました。ハブクラスターのアップグレードを参照してください。
Red Hat Advanced Cluster Management の詳細設定の一部として、インストール中に multiclusterhub-operator によって edge-manager-preview コンポーネントがデプロイされるようになりました。edge-manager-preview コンポーネントは、デフォルトでは無効になっており、ハブクラスターにデプロイされる MultiClusterHub カスタムリソースから有効にできます。ドキュメントの MultiClusterHub の詳細設定で、Red Hat Advanced Cluster Management の詳細設定オプションを参照してください。

1.1.3. コンソール

検索機能を含む Red Hat Advanced Cluster Management 統合コンソールの新機能について説明します。

ハブクラスターに Red Hat Advanced Cluster Management Observability がインストールされている場合は、Red Hat Advanced Cluster Management コンソールの Observability フィールドで仮想マシンのメトリクスを表示できます。可観測性フィールドによる仮想マシンのメトリクスの表示を参照してください。

コンソールの詳細は、Web コンソールを参照してください。

1.1.4. クラスター

テクノロジープレビュー: スケーラブルでシンプル、かつ安全なデバイス管理を提供する最新バージョンの Red Hat Edge Manager を使用してエッジデバイスを管理できるようになりました。Red Hat Edge Manager を使用すると、デバイス群全体にアプリケーションを簡単にデプロイして監視できます。GitOps 対応の宣言型 API と、管理を容易にするコンソールを使用して、デバイスとアプリケーションの両方を管理できます。Red Hat Edge Manager の詳細は、Red Hat Edge Manager (テクノロジープレビュー) を参照してください。

multicluster engine Operator に特に関連する新機能については、ドキュメントの クラスター セクションの multicluster engine Operator を使用したクラスターライフサイクルの新機能を参照してください。

その他のクラスタータスクとサポート情報については、multicluster engine Operator を使用したクラスターライフサイクルの概要を参照してください。

1.1.5. Multicluster Global Hub

既存の Red Hat Advanced Cluster Management ハブクラスターに Multicluster Global Hub をインストールできるようになりました。既存の Red Hat Advanced Cluster Management ハブクラスターに Multicluster Global Hub をインストールするを参照してください。
Multicluster Global Hub がバージョン 1.4.0 にアップグレードされると、組み込みの Postgres データベースがバージョン 16 にアップグレードされます。このアップグレードにより、自動的に回復されない履歴データを復元できるようになります。アップグレードされた組み込みの Postgres からのデータ回復を参照してください。

その他の Multicluster Global Hub トピックは、Multicluster Global Hub を参照してください。

1.1.6. アプリケーション

新しい GitOps アドオンを使用して、すべての種類の OpenShift Container Platform および非 OpenShift Container Platform マネージドクラスターにある、ArgoCD プルモデル用の OpenShift GitOps インスタンスのライフサイクルを管理できるようになりました。詳細は、Red Hat OpenShift GitOps インスタンスのデプロイ (テクノロジープレビュー) を参照してください。
安全なオブジェクトストレージ接続を使用するようにアプリケーションとサブスクリプションを設定できるようになりました。詳細は、セキュアなオブジェクトストレージ接続用のアプリケーションチャネルとサブスクリプションの設定を参照してください。

他のアプリケーションのトピックは、アプリケーションの管理を参照してください。

1.1.7. ガバナンス

ポリシーフレームワークの外部で ConfigurationPolicy が作成されている場合、governance-standalone-hub-templating アドオンを使用して、マネージドクラスター上でハブテンプレートを直接解決できるようになりました。以前は、ハブテンプレートを解決するには、ハブクラスター上のポリシーフレームワークが必要でした。
ValidatingAdmissionPolicyBindings が、ガバナンスコンソールの Discovered ポリシータブに表示されるようになりました。さらに、マネージドクラスター内にある他のポリシータイプも表示できます。ValidatingAdmissionPolicyBindings の詳細には、クラスターの動作を設定するために使用できるクラスター上の他のリソースが表示されます。
Gatekeeper Mutation リソースが、ガバナンスコンソールの Discovered ポリシータブに表示されるようになりました。Gatekeeper Mutation リソースは、検出されたポリシーによって変更された可能性のあるリソースなど、マネージドクラスターの詳細を確認するために使用します。
Operator ポリシーの status.conditions 仕様に含まれる情報が増え、NoDeprecations 状態を確認できるようになりました。Operator ポリシー YAML テーブルを参照してください。
コンソールの Discovered policies テーブルで Kyverno ポリシーと監査結果を表示できるようになりました。
Operator ポリシーコントローラーの spec.versions パラメーターでテンプレートを使用して、準拠しているインストール済みの ClusterServiceVersion 名をリスト表示できるようになりました。Operator ポリシー YAML テーブルを参照してください。
objectSelector パラメーターでラベルセレクターを指定してポリシーに適用するオブジェクトを選択することにより、ConfigurationPolicy リソース内の名前のない objectDefinition をフィルタリングして適用できるようになりました。詳細は、設定ポリシーのオブジェクトセレクターを参照してください。
ConfigurationPolicy のマネージドクラスターに、.ObjectName と .ObjectNamespace という 2 つの新しい変数が追加されました。これらの新しい変数をサポートするにはテンプレートを使用します。詳細は、ハブクラスターとマネージドクラスターのテンプレートの比較を参照してください。

ダッシュボードとポリシーフレームワークに関する詳細は、ガバナンスを参照してください。

1.1.8. ビジネス継続性

バックアップと復元 および VolSync コンポーネントの新機能について説明します。

Red Hat Advanced Cluster Management のバックアップおよび復元コンポーネントを使用して、OpenShift Virtualization リソースをバックアップおよび復元するための Red Hat Advanced Cluster Management ポリシーをインストールできるようになりました。詳細は、Red Hat Advanced Cluster Management のポリシーを使用した Red Hat OpenShift Virtualization のバックアップと復元の設定を参照してください。
ハブクラスターの障害復旧ソリューションの詳細は、バックアップおよび復元を参照してください。
Red Hat Advanced Cluster Management からマネージドクラスターに VolSync をインストールすると、マネージドクラスターの volsync-system namespace に VolSync がインストールされるようになりました。
Red Hat Advanced Cluster Management から、OpenShift Container Platform 以外のマネージドクラスターに VolSync をデプロイできるようになりました。
クラスター内の永続ボリュームの非同期レプリケーションを可能にする VolSync の詳細は、VolSync 永続ボリュームレプリケーションサービスを参照してください。

1.1.9. このリリースの詳細

Red Hat Advanced Cluster Management リリースノートで、既知の問題と制限 などのリリースノートを参照してください。
Red Hat Advanced Cluster Management for Kubernetes へようこそで、Red Hat Advanced Cluster Management の概要を確認してください。
製品の主要なコンポーネントは、マルチクラスターアーキテクチャーのトピックを参照してください。
サポート情報などについては、Red Hat Advanced Cluster Management のトラブルシューティングを参照してください。
オープンコミュニティーからの相互作用、成長、および貢献のために、オープンソースの Open Cluster Management リポジトリーにアクセスします。open-cluster-management.io を参照してください。詳細は、GitHub リポジトリーにアクセスしてください。

1.2. Red Hat Advanced Cluster Management のエラータ更新

デフォルトでは、エラータの更新はリリース時に自動的に適用されます。リリースが入手可能になれば、詳細がここに公開されます。リリースノートが記載されていない場合は、現時点で製品にエラータリリースがありません。

重要: 参考までに、Jira リンクと Jira 番号がコンテンツに追加され、内部で使用される可能性があります。ユーザーは、アクセス権が必要なリンクを利用できない可能性があります。

アップグレードの詳細は、Operator を使用したアップグレードを参照してください。

1.2.1. エラータ 2.13.2

1 つ以上の製品コンテナーイメージに更新を配信します。
ConfigurationPolicies の 監視 API をサポートするエンドポイントを選択し、Red Hat OpenShift Container Platform テンプレートで問題を修正します。(ACM-18827)
同じメトリックが複数回報告されないようにし、そのメトリクスを違反のある Red Hat OpenShift Container Platform テンプレートの数で 1 回のみ報告し、PrometheusDuplicateTimestamps アラートをトリガーするのを防ぎます。(ACM-16014)
アプリケーションクラスターのサブスクリプションを確認する際に、ラベル local-cluster が true に設定されたマネージドクラスターを見つけます。(ACM-18538)
MultiClusterObservability カスタムリソース定義(CRD)の再適用を妨げていた互換性の問題を解決し、これにより更新がスタックしました。(ACM-19094)

1.2.2. Errata 2.13.1

デプロイメントマニフェスト内のアップストリーム kube-rbac-proxy イメージの SiteConfig Operator --http2-disable パラメーターに対する Red Hat Advanced Cluster Management のサポートを修正しました。(ACM-19035)

1.3. Red Hat Advanced Cluster Management の既知の問題と制限

アプリケーション管理に関する既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

インストール関連の既知の問題
ビジネス継続性関連の既知の問題
コンソール関連の既知の問題
クラスター管理の既知の問題
アプリケーション関連の既知の問題
可観測性関連の既知の問題
ガバナンス関連の既知の問題
ネットワーク関連の既知の問題
グローバルハブ関連の既知の問題

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除を参照してください。

1.3.1. インストール関連の既知の問題

インストールとアップグレードに関する既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターについては、OpenShift Container Platform の既知の問題を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除を参照してください。

1.3.1.1. OpenShift Container Platform 4.18 で既存の Red Hat Advanced Cluster Management クラスターをアップグレードすると、CRD のインストール中に `アップグレード` のステータスが upgrade のステータスで停止します。

OpenShift Container Platform バージョン 4.18 クラスターで Red Hat Advanced Cluster Management 2.13 にアップグレードすると、CRD のインストールエラーが発生し、ステータスがスタックした まま になります。

この問題を解決するには、2.13.1 にアップグレードしてこのエラーが発生する場合でも、Red Hat Advanced Cluster Management 2.13.2 に直接アップグレードしてください。

エラーの詳細を表示するには、次のコマンドを実行します。

oc get multiclusterhubs -n open-cluster-management -o yaml

+ ハブクラスターは、multiclusterobservabilities.observability.open-cluster-management.io failed のインストールを示す次のエラーメッセージを報告します。

message: 'Error installing CRDs: CustomResourceDefinition.apiextensions.k8s.io
"multiclusterobservabilities.observability.open-cluster-management.io" is
invalid: spec.conversion.webhookClientConfig.caBundle: Invalid value: []byte{0x5c,0x6e}: unable to load root certificates: unable to parse bytes as PEM block'
 reason: FailedDeployingComponent
 status: "False"
 type: Progressing
desiredVersion: 2.13.0
phase: Installing

以下のコマンドを実行して、Red Hat Advanced Cluster Management アップグレードの進捗を確認します。

oc get multiclusterhubs -n open-cluster-management -o yaml

+ 出力には、以下の例のように、ハブクラスターコンポーネントが準備状態にあると表示されます。

message: 'created new resource: CustomResourceDefinition multiclusterobservabilities.observability.open-cluster-management.io'
 reason: NewResourceCreated
 status: "True"
 type: Progressing
 message: All hub components ready.
 ...
 reason: ComponentsAvailable
 status: "True"
 type: Complete

1.3.1.2. バージョン 2.13 にアップグレードすると local-cluster ステータスが Unknown になる

Red Hat Advanced Cluster Management 2.13 にアップグレードすると、local-cluster ステータスが Unknown に変わる可能性があります。ManagedCluster リソースの ClusterCertificateRotated 状態が False ステータスになり、Stop creating CSR since there are too many CSRs created already on the hub というメッセージが表示されます。

CertificateSigningRequests (CSR) の数を確認します。ハブクラスターで以下のコマンドを実行してください。
```
oc get csr -l 'open-cluster-management.io/cluster-name=local-cluster,!open-cluster-management.io/addon-name'
```
出力の合計数が 10 の場合、CSR の上限に達しています。CSR は定期的に消去されるため、local-cluster ステータスは 1 - 2 時間以内に自動的に回復します。
すぐに回復する必要がある場合は、次のコマンドを実行して CRS を手動で削除します。
```
oc delete csr -l 'open-cluster-management.io/cluster-name=local-cluster,!open-cluster-management.io/addon-name'
```

1.3.1.3. アップグレードで以前のバージョンをアンインストールして再インストールすると失敗する可能性がある

OpenShift Container Platform から Red Hat Advanced Cluster Management をアンインストールすると、後で以前のバージョンをインストールしてアップグレードする場合に問題が発生する可能性があります。たとえば、Red Hat Advanced Cluster Management をアンインストールしてから以前のバージョンの Red Hat Advanced Cluster Management をインストールし、そのバージョンをアップグレードすると、アップグレードが失敗する可能性があります。カスタムリソースが削除されなかった場合、アップグレードは失敗します。

この問題を回避するには、再インストールする前にアーティファクトをクリーンアップするに記載された手順に従ってください。

1.3.1.4. ARM コンバージドフローでのインフラストラクチャー Operator のエラー

infrastructure-operator をインストールすると、ARM を使用するコンバージドフローは機能しません。この問題を解決するには、ALLOW_CONVERGED_FLOW を false に設定します。

以下のコマンドを実行して ConfigMap リソースを作成します。
```
oc create -f
```
oc apply -f を実行して、ファイルを適用します。ALLOW_CONVERGED_FLOW を false に設定して以下のファイルサンプルを参照してください。
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: my-assisted-service-config
  namespace: assisted-installer
data:
  ALLOW_CONVERGED_FLOW: false
```

agentserviceconfig に以下のコマンドでアノテーションを付けます。

oc annotate --overwrite AgentServiceConfig agent unsupported.agent-install.openshift.io/assisted-service-configmap=my-assisted-service-config

問題が解決されると、エージェントはインベントリーに表示されます。

1.3.2. ビジネス継続性関連の既知の問題

Red Hat Advanced Cluster Management for Kubernetes の既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターについては、OpenShift Container Platform の既知の問題を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除を参照してください。

1.3.2.1. バックアップおよび復元の既知の問題

バックアップと復元の既知の問題と制限事項が、利用可能な場合は回避策とともにここにリストされます。

1.3.2.1.1. open-cluster-management-backup namespace が Terminating 状態のままになる

MultiClusterHub リソースで cluster-backup コンポーネントが無効になっている場合、Red Hat Advanced Cluster Management 復元操作によって作成された Velero 復元リソースがあると、open-cluster-management-backup namespace が Terminating 状態のままになります。

Terminating 状態は、Velero 復元リソースが restores.velero.io/external-resources-finalizer の完了を待機している結果です。この問題を回避するには、以下の手順を実行します。

MultiClusterHub リソースのクラスターバックアップオプションを無効にする前に、すべての Red Hat Advanced Cluster Management 復元リソースを削除し、Velero 復元がクリーンアップされるまで待機します。
open-cluster-management-backup namespace がすでに Terminating 状態でスタックしている場合は、すべての Velero 復元リソースを編集し、ファイナライザーを削除します。
Velero リソースが namespace とリソースを削除できるようにします。

1.3.2.1.2. ベアメタルハブリソースは、マネージドクラスターのバックアップによってバックアップされなくなりました

Red Hat Advanced Cluster Management のバックアップおよびリストア機能を使用して、ベアメタルクラスターのリソースがバックアップされ、セカンダリーハブクラスターにリストアされる場合は、マネージドクラスターがノードに再インストールされ、既存のマネージドクラスターが壊れます。

注記: これは、ゼロタッチプロビジョニングを使用してデプロイされたベアメタルクラスターにのみ影響があります。つまり、ベアメタルノードの電源のオンとオフを管理し、起動用の仮想メディアを接続する BareMetalHost リソースが含まれます。BareMetalHost リソースがマネージドクラスターのデプロイメントで使用されない場合は、悪影響はありません。

この問題を回避するために、プライマリーハブクラスター上の BareMetalHost リソースは、マネージドクラスターバックアップでバックアップされなくなりました。

別のユースケースがあり、プライマリーハブクラスター上のマネージド BareMetalHost リソースをバックアップする場合は、プライマリーハブクラスター上の BareMetalHost リソースにバックアップラベル cluster.open-cluster-management.io/backup を追加します。

このバックアップラベルを使用して汎用リソースをバックアップする方法の詳細は、バックアップされるリソースを参照してください。

1.3.2.1.3. Velero 復元の制限

データが復元される新しいハブクラスターにユーザーが作成したリソースがある場合、新しいハブクラスターはアクティブなハブクラスターとは異なる設定を持つことができます。たとえば、バックアップデータが新しいハブクラスターで復元される前に、新しいハブクラスターで作成された既存のポリシーを含めることができます。

既存のリソースが復元されたバックアップの一部でない場合、Velero はそれらをスキップするため、新しいハブクラスターのポリシーは変更されず、新しいハブクラスターとアクティブなハブクラスターの間で異なる設定が生じます。

この制限に対処するために、クラスターのバックアップと復元のオペレーターは、restore.cluster.open-cluster-management.io リソースが作成されたときに、ユーザーが作成したリソースをクリーンアップする復元後の操作、または別の復元操作を実行します。

詳細は、復元後のハブクラスターのクリーニングのトピックを参照してください。

1.3.2.1.4. パッシブ設定ではマネージドクラスターが表示されない

マネージドクラスターは、アクティブ化データがパッシブハブクラスターで復元された場合にのみ表示されます。

1.3.2.1.5. マネージドクラスターリソースが復元されない

local-cluster マネージドクラスターリソースの設定を復元し、新しいハブクラスターで local-cluster データを上書きすると、設定が正しく設定されません。リソースにはクラスター URL の詳細など、local-cluster 固有の情報が含まれているため、以前のハブクラスター local-cluster のコンテンツはバックアップされません。

復元されたクラスターの local-cluster リソースに関連するすべての設定変更を手動で適用する必要があります。バックアップおよび復元 Operator のインストールトピックの 新しいハブクラスターの準備 を参照してください。

1.3.2.1.6. 復元された Hive マネージドクラスターは、新しいハブクラスターに接続できない場合がある

Hive マネージドクラスターの変更またはローテーションされた認証局 (CA) のバックアップを新しいハブクラスターで復元すると、マネージドクラスターは新しいハブクラスターへの接続に失敗します。このマネージドクラスターの admin kubeconfig シークレット (バックアップで使用可能) が無効になっているため、接続は失敗します。

新しいハブクラスター上のマネージドクラスターの復元された admin kubeconfig シークレットを手動で更新する必要があります。

1.3.2.1.7. インポートされたマネージドクラスターに Pending Import ステータスが表示される

プライマリーハブクラスターに手動でインポートされたマネージドクラスターは、アクティブ化データがパッシブハブクラスターで復元されると、Pending Import のステータスを示します。詳細は、管理されたサービスアカウントを使用したクラスターの接続を参照してください。

1.3.2.1.8. ハブクラスターを復元した後、appliedmanifestwork がマネージドクラスターから削除されない

ハブクラスターデータが新しいハブクラスターで復元されるとき、appliedmanifestwork は固定クラスターセットではないアプリケーションサブスクリプションの配置規則を持つマネージドクラスターから削除されません。

固定クラスターセットではないアプリケーションサブスクリプションの配置ルールの例を次に示します。

spec:
  clusterReplicas: 1
  clusterSelector:
    matchLabels:
      environment: dev

その結果、マネージドクラスターが復元されたハブクラスターから切り離されると、アプリケーションは孤立します。

この問題を回避するには、配置ルールで固定クラスターセットを指定します。以下の例を参照してください。

spec:
  clusterSelector:
    matchLabels:
      environment: dev

次のコマンドを実行して、残りの appliedmanifestwork を手動で削除することもできます。

oc delete appliedmanifestwork <the-left-appliedmanifestwork-name>

1.3.2.1.9. appliedmanifestwork が削除されず、agentID が仕様にない

Red Hat Advanced Cluster Management 2.6 をプライマリーハブクラスターとして使用しているが、リストアハブクラスターがバージョン 2.7 以降である場合、このフィールドは 2.7 リリースで導入されたため、appliedmanifestworks の仕様に agentID がありません。これにより、マネージドクラスターのプライマリーハブに追加の appliedmanifestworks が生成されます。

この問題を回避するには、プライマリーハブクラスターを Red Hat Advanced Cluster Management 2.7 にアップグレードしてから、新しいハブクラスターにバックアップを復元します。

appliedmanifestwork ごとに spec.agentID を手動で設定して、マネージドクラスターを修正します。

次のコマンドを実行して、agentID を取得します。
```
oc get klusterlet klusterlet -o jsonpath='{.metadata.uid}'
```

以下のコマンドを実行して、appliedmanifestwork ごとに spec.agentID を設定します。

oc patch appliedmanifestwork <appliedmanifestwork_name> --type=merge -p '{"spec":{"agentID": "'$AGENT_ID'"}}'

1.3.2.1.10. managed-serviceaccount アドオンステータスは Unknown と表示されます。

マネージドクラスター appliedmanifestwork addon-managed-serviceaccount-deploy は、新しいハブクラスターの Kubernetes Operator リソースのマルチクラスターエンジンで有効にせずに Managed Service Account を使用している場合は、インポートされたマネージドクラスターから削除されます。

マネージドクラスターは引き続き新しいハブクラスターにインポートされますが、managed-serviceaccount アドオンのステータスは Unknown と表示されます。

マルチクラスターエンジン Operator リソースで Managed Service Account を有効にした後、managed-serviceaccount アドオンを回復できます。Managed Service Account を有効にする方法は、自動インポートの有効化を参照してください。

1.3.2.2. Volsync の既知の問題

1.3.2.2.1. アドオンの削除時にマネージドクラスターで必要な VolSync CSV の手動削除

ハブクラスターから VolSync ManagedClusterAddOn を削除すると、マネージドクラスターの VolSync Operator サブスクリプションが削除されますが、クラスターサービスバージョン (CSV) は削除されません。マネージドクラスターから CSV を削除するには、VolSync を削除する各マネージドクラスターで以下のコマンドを実行します。

oc delete csv -n openshift-operators volsync-product.v0.6.0

1.3.2.2.2. カスタム CA 証明書を使用したマネージドクラスターの、復元されたハブクラスターへの接続の復元は失敗する可能性がある

カスタム CA 証明書を使用してクラスターを管理したハブクラスターのバックアップを復元した後、マネージドクラスターとハブクラスター間の接続が失敗する場合があります。これは、復元されたハブクラスターで CA 証明書がバックアップされなかったためです。接続を復元するには、マネージドクラスターの namespace にあるカスタム CA 証明書情報を、復元されたハブクラスターの <managed_cluster>-admin-kubeconfig シークレットにコピーします。

注記: バックアップコピーを作成する前にこの CA 証明書をハブクラスターにコピーする場合は、バックアップコピーにシークレット情報が含まれます。今後、バックアップコピーを使用して復元すると、ハブクラスターとマネージドクラスター間の接続が自動的に完了します。

1.3.3. コンソール関連の既知の問題

コンソールの既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターについては、OpenShift Container Platform の既知の問題を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除を参照してください。

1.3.3.1. klusterlet-addon-search Pod が失敗する

メモリー制限に達したため、klusterlet-addon-search Pod が失敗します。マネージドクラスターで klusterlet-addon-search デプロイメントをカスタマイズして、メモリーの失われると制限を更新する必要があります。ハブクラスターで、search-collector という名前の ManagedclusterAddon カスタムリソースを編集します。search-collector にアノテーション addon.open-cluster-management.io/search_memory_request=512Mi および addon.open-cluster-management.io/ search_memory_limit=1024Mi を追加し、メモリーを更新します。

たとえば、foobar という名前のマネージドクラスターがある場合、次のコマンドを実行して、メモリーリクエストを 512Mi に変更し、メモリー制限を 1024Mi に変更します。

oc annotate managedclusteraddon search-collector -n foobar \
addon.open-cluster-management.io/search_memory_request=512Mi \
addon.open-cluster-management.io/search_memory_limit=1024Mi

1.3.3.1.1. 検索でマネージドクラスターのノード情報が表示されない

検索で、ハブクラスターのリソース用の RBAC がマッピングされます。ユーザー RBAC の設定によっては、マネージドクラスターからのノードデータが表示されない場合があります。また検索の結果は、クラスターの Nodes ページに表示される内容と異なる場合があります。

1.3.3.2. コンソールで OpenShift Dedicated をアップグレードできない

コンソールから OpenShift Dedicated クラスターのアップグレードをリクエストできますが、アップグレードは失敗し、Cannot upgrade non openshift cluster というエラーメッセージが表示されます。現在、回避策はありません。

1.3.3.3. PostgreSQL Pod の CrashLoopBackoff 状態を検索する

search-postgres Pod は CrashLoopBackoff 状態です。Red Hat Advanced Cluster Management が hugepages パラメーターが有効になっているノードを含むクラスターにデプロイされており、これらのノードで search-postgres Pod がスケジュールされている場合、Pod は起動しません。

search-postgres Pod のメモリーを増やすには、次の手順を実行します。

以下のコマンドを使用して search-operator Pod を一時停止します。
```
oc annotate search search-v2-operator search-pause=true
```
hugepages パラメーターの制限を使用して、search-postgres デプロイメントを更新します。次のコマンドを実行して、hugepages パラメーターを 512Mi に設定します。
```
oc patch deployment search-postgres --type json -p '[{"op": "add", "path": "/spec/template/spec/containers/0/resources/limits/hugepages-2Mi", "value":"512Mi"}]'
```
Pod のメモリー使用量を確認する前に、search-postgres Pod が Running 状態にあることを確認します。以下のコマンドを実行します。
```
oc get pod <your-postgres-pod-name>  -o jsonpath="Status: {.status.phase}"
```

次のコマンドを実行して、search-postgres Pod のメモリー使用量を確認します。

oc get pod <your-postgres-pod-name> -o jsonpath='{.spec.containers[0].resources.limits.hugepages-2Mi}'

512Mi の値が表示されます。

1.3.3.4. クラスターセットのネームスペースバインディングを編集できない

admin または bind ロールを使用してクラスターセットの namespace バインディングを編集すると、次のメッセージのようなエラーが発生する場合があります。

ResourceError: managedclustersetbindings.cluster.open-cluster-management.io "<cluster-set>" is forbidden: User "<user>" cannot create/delete resource "managedclustersetbindings" in API group "cluster.open-cluster-management.io" in the namespace "<namespace>".

この問題を解決するには、バインドする namespace で ManagedClusterSetBinding リソースを作成または削除する権限も持っていることを確認してください。ロールバインディングでは、クラスターセットを namespace にバインドすることしかできません。

1.3.3.5. Hosted Control Plane クラスターをプロビジョニングした後、水平スクロールが機能しない

Hosted Control Plane クラスターをプロビジョニングした後、ClusterVersionUpgradeable パラメーターが長すぎると、Red Hat Advanced Cluster Management コンソールのクラスター概要を水平方向にスクロールできない場合があります。結果として、非表示のデータを表示することはできません。

この問題を回避するには、ブラウザーのズームコントロールを使用してズームアウトするか、Red Hat Advanced Cluster Management コンソールウィンドウのサイズを大きくするか、テキストをコピーして別の場所に貼り付けます。

1.3.3.6. EditApplicationSet 拡張機能の繰り返しを設定する

複数のラベル式を追加するか、ApplicationSet のクラスターセレクターに入ろうとすると、"Expand to enter expression" メッセージが繰り返し表示されることがあります。この問題にもかかわらず、クラスターの選択を入力することはできます。

1.3.3.7. Red Hat Advanced Cluster Management からログアウトできない

外部アイデンティティープロバイダーを使用して Red Hat Advanced Cluster Management にログインする場合は、Red Hat Advanced Cluster Management からログアウトできない可能性があります。これは、Red Hat Advanced Cluster Management に IBM Cloud および Keycloak をアイデンティティープロバイダーとしてインストールして使用する場合に発生します。

Red Hat Advanced Cluster Management からログアウトするには、外部アイデンティティープロバイダーからログアウトしておく必要があります。

1.3.3.8. OpenShift Cloud Manager コンソールで cluster-ID を入力する際の問題

OpenShift Cloud Manager コンソールで cluster-ID にアクセスしなかった場合でも、ターミナルから OpenShift Service on AWS cluster-ID の記述を取得できます。OpenShift Service on AWS コマンドラインインターフェイスが必要です。OpenShift Service on AWS CLI スタートガイドを参照してください。

cluster-ID を取得するには、OpenShift Service on AWS コマンドラインインターフェイスで次のコマンドを実行します。

rosa describe cluster --cluster=<cluster-name> | grep -o ’^ID:.*

1.3.4. クラスター管理の既知の問題と制限事項

Red Hat Advanced Cluster Management を使用した クラスター管理 に関する既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

スタンドアロンの multicluster engine Operator によるクラスター管理の既知の問題と制限については、multicluster engine Operator ドキュメントのクラスターライフサイクルの既知の問題と制限を参照してください。

1.3.4.1. ハブクラスター通信の制限

ハブクラスターがマネージドクラスターにアクセスできない、またはマネージドクラスターと通信できない場合、次の制限が発生します。

コンソールを使用して新しいマネージドクラスターを作成できません。コマンドラインインターフェイスを使用するか、コンソールで Run import commands manually オプションを使用して、マネージドクラスターを手動でインポートできます。
コンソールを使用して Application または ApplicationSet をデプロイする場合、またはマネージドクラスターを ArgoCD にインポートする場合、ハブクラスター ArgoCD コントローラーはマネージドクラスター API サーバーを呼び出します。AppSub または ArgoCD pull モデルを使用して問題を回避できます。

1.3.4.2. local-cluster が自動的に再作成されない場合がある

disableHubSelfManagement が false に設定されている場合、local-cluster は MulticlusterHub Operator によって再作成されます。local-cluster をデタッチした後、local-cluster が自動的に再作成されない場合があります。

この問題を解決するには、MulticlusterHub によって監視されるリソースを変更します。以下の例を参照してください。
```
oc delete deployment multiclusterhub-repo -n <namespace>
```
local-cluster を適切にデタッチするには、MultiClusterHub で disableHubSelfManagement を true に設定します。

1.3.4.3. 別の名前で再インポートした後に local-cluster のステータスがオフラインになる

local-cluster という名前のクラスターを、誤って別の名前のクラスターとして再インポートしようとすると、local-cluster と再インポートしたクラスターのステータスが offline と表示されます。

このケースから回復するには、以下の手順を行います。

ハブクラスターで以下のコマンドを実行して、ハブクラスターの自己管理の設定を一時的に編集します。
```
oc edit mch -n open-cluster-management multiclusterhub
```
spec.disableSelfManagement=true の設定を追加します。
ハブクラスターで以下のコマンドを実行し、local-cluster を削除し、再デプロイします。
```
oc delete managedcluster local-cluster
```
以下のコマンドを実行して local-cluster 管理設定を削除します。
```
oc edit mch -n open-cluster-management multiclusterhub
```
前の手順で追加した spec.disableSelfManagement=true を削除します。

1.3.4.4. ハブクラスターとマネージドクラスターのクロックが同期されない

ハブクラスターおよびマネージドクラスターの時間が同期されず、コンソールで unknown と表示され、最数的に、数分以内に available と表示されます。OpenShift Container Platform ハブクラスターの時間が正しく設定されていることを確認します。ノードのカスタマイズを参照してください。

1.3.5. アプリケーションの既知の問題と制限事項

Red Hat OpenShift Container Platform クラスターについては、OpenShift Container Platform の既知の問題を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除を参照してください。

アプリケーションライフサイクルコンポーネントは、次の既知の問題を参照してください。

1.3.5.1. サブスクリプションアプリケーションに誤った警告メッセージが表示される

サブスクリプションアプリケーション (非推奨) をデプロイすると、Application Topology ページのサブスクリプションノードに警告メッセージが表示されます。サブスクリプションノードの詳細を確認すると、local-cluster がオフラインであると誤って表示されます。

local-cluster の実際のステータスを確認するには、コンソールナビゲーションから Infrastructure > Clusters をクリックします。

1.3.5.2. アプリケーションテーブルのコンソールメニューをクリックするのが難しい場合がある

ハブクラスターでアプリケーションリソースが更新されると、アプリケーションページのテーブルも更新されます。アプリケーションテーブルのメニューを開いている場合、アプリケーションページのテーブルが更新されるたびにメニューが閉じます。メニューが頻繁に閉じるため、メニューをクリックするのが難しい場合があります。

この問題を回避するには、アプリケーション名をクリックしてアプリケーションの詳細ページに移動します。詳細ページでも同じアクションメニューをクリックできます。更新のたびにメニューが閉じることはありません。

1.3.5.3. アプリケーショントポロジーに無効な式が表示される

Placement リソースで Exist または DoesNotExist Operator を使用すると、アプリケーショントポロジーノードの詳細に式が \#invalidExpr として表示されます。この表示は間違っていますが、式は引き続き有効であり、Placement リソースで機能します。この問題を回避するには、Placement リソース YAML 内の式を編集します。

1.3.5.4. PlacementRule を使用してサブスクリプションアプリケーションを編集すると、エディターにサブスクリプション YAML が表示されない

PlacementRule リソースを参照するサブスクリプションアプリケーションを作成した後、サブスクリプション YAML はコンソールの YAML エディターに表示されません。ターミナルを使用してサブスクリプション YAML ファイルを編集します。

1.3.5.5. シークレットの依存関係を含む Helm Chart は、Red Hat Advanced Cluster Management サブスクリプションではデプロイできません

Helm Chart を使用すると、Kubernetes シークレットでプライバシーデータを定義し、Helm チャートの value.yaml ファイルでこのシークレットを参照できます。

ユーザー名とパスワードは、参照される Kubernetes シークレットリソース dbsecret によって指定されます。たとえば、以下の value.yaml ファイルの例を参照してください。

credentials:
  secretName: dbsecret
  usernameSecretKey: username
  passwordSecretKey: password

シークレットの依存関係を含む Helm チャートは、Helm バイナリー CLI でのみサポートされます。Operator SDK Helm ライブラリーではサポートされていません。Red Hat Advanced Cluster Management サブスクリプションコントローラーは、Operator SDK Helm ライブラリーを適用して、Helm チャートをインストールおよびアップグレードします。そのため、Red Hat Advanced Cluster Management サブスクリプションは、シークレットの依存関係が含まれる Helm チャートをデプロイできません。

1.3.5.6. Argo CD プルモデル `ApplicationSet` アプリケーションのトポロジーが正しく表示されない

Argo CD プルモデルを使用して ApplicationSet アプリケーションをデプロイし、アプリケーションのリソース名がカスタマイズされている場合、リソース名がクラスターごとに異なって表示される場合があります。これが発生すると、トポロジーではアプリケーションが正しく表示されません。

1.3.5.7. ローカルクラスターは pull モデルのマネージドクラスターとして除外されます

ハブクラスターアプリケーションセットはターゲットマネージドクラスターにデプロイされますが、マネージドハブクラスターであるローカルクラスターはターゲットマネージドクラスターとして除外されます。

その結果、Argo CD アプリケーションが Argo CD プルモデルによってローカルクラスターに伝播される場合に、ローカルクラスターが Argo CD ApplicationSet リソースの配置決定から削除されても、ローカルクラスターの Argo CD アプリケーションは削除されません。

問題を回避し、ローカルクラスターの Argo CD アプリケーションを削除するには、ローカルクラスターの Argo CD アプリケーションから skip-reconcile アノテーションを削除します。以下のアノテーションを参照してください。

annotations:
    argocd.argoproj.io/skip-reconcile: "true"

さらに、Argo CD コンソールの Applications セクションでプルモデルの Argo CD アプリケーションを手動で更新すると、更新は処理されず、Argo CD コンソールの REFRESH ボタンが無効になります。

この問題を回避するには、Argo CD アプリケーションから refresh アノテーションを削除します。以下のアノテーションを参照してください。

annotations:
    argocd.argoproj.io/refresh: normal

1.3.5.8. Argo CD コントローラーと伝播コントローラーは同時に調整する可能性があります

Argo CD コントローラーと伝播コントローラーの両方が同じアプリケーションリソース上で調整し、マネージドクラスター上で異なるデプロイメントモデルからのアプリケーションデプロイメントの重複インスタンスが発生する可能性があります。

Pull モデルを使用してアプリケーションをデプロイする場合、Argo CD argocd.argoproj.io/skip-reconcile アノテーションが ApplicationSet のテンプレートセクションに追加されると、Argo CD コントローラーはこれらのアプリケーションリソースを無視します。

argocd.argoproj.io/skip-reconcile アノテーションは、GitOps operator バージョン 1.9.0 以降でのみ使用できます。競合を防ぐには、プルモデルを実装する前に、ハブクラスターとすべてのマネージドクラスターが GitOps operator バージョン 1.9.0 にアップグレードされるまで待ってください。

1.3.5.9. リソースのデプロイに失敗する

MulticlusterApplicationSetReport にリストされているすべてのリソースは、実際にはマネージドクラスターにデプロイされます。リソースのデプロイに失敗した場合、そのリソースはリソースリストには含まれませんが、原因はエラーメッセージにリストされます。

1.3.5.10. リソースの割り当てには数分かかる場合があります

1,000 を超えるマネージドクラスターと、数百のマネージドクラスターにデプロイされた Argo CD アプリケーションセットがある大規模環境の場合、ハブクラスターでの Argo CD アプリケーションの作成には数分かかる場合があります。次のファイル例に示されているように、アプリケーションセットの clusterDecisionResource ジェネレーターで requeueAfterSeconds を zero に設定できます。

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: cm-allclusters-app-set
  namespace: openshift-gitops
spec:
  generators:
  - clusterDecisionResource:
      configMapRef: ocm-placement-generator
      labelSelector:
        matchLabels:
          cluster.open-cluster-management.io/placement: app-placement
      requeueAfterSeconds: 0

1.3.5.11. アプリケーション ObjectBucket チャネルタイプは、許可リストと拒否リストを使用できない

subscription-admin ロールの ObjectBucket チャネルタイプで許可リストと拒否リストを指定することはできません。他の種類のチャネルでは、サブスクリプションの許可リストと拒否リストによって、デプロイできる Kubernetes リソースとデプロイできない Kubernetes リソースが示されます。

1.3.5.11.1. Argo アプリケーションを 3.x OpenShift Container Platform マネージドクラスターにデプロイできない

Infrastructure.config.openshift.io API は 3.x では使用できないため、コンソールから Argo ApplicationSet を 3.x OpenShift Container Platform マネージドクラスターにデプロイすることはできません。

1.3.5.12. multicluster_operators_subscription イメージへの変更は自動的に有効にならない

マネージドクラスターで実行している application-manager アドオンは、以前は klusterlet Operator により処理されていましたが、サブスクリプション Operator により処理されるようになりました。サブスクリプション Operator は multicluster-hub で管理されていないため、multicluster-hub イメージマニフェスト ConfigMap の multicluster_operators_subscription イメージへの変更は自動的に有効になりません。

サブスクリプション Operator が使用するイメージが、multicluster-hub イメージマニフェスト ConfigMap の multicluster_operators_subscription イメージを変更することによってオーバーライドされた場合、マネージドクラスターの application-manager アドオンは、サブスクリプション Operator Pod が再起動するまで新しいイメージを使用しません。Pod を再起動する必要があります。

1.3.5.13. サブスクリプション管理者以外はポリシーリソースをデプロイできない

Red Hat Advanced Cluster Management バージョン 2.4 では、デフォルトで policy.open-cluster-management.io/v1 リソースがアプリケーションサブスクリプションによってデプロイされなくなりました。

サブスクリプション管理者は、このデフォルトの動作を変更するためにアプリケーションサブスクリプションをデプロイする必要があります。

詳細は、サブスクリプション管理者としての許可リストおよび拒否リストの作成を参照してください。以前の Red Hat Advanced Cluster Management バージョンの既存のアプリケーションサブスクリプションによってデプロイされた policy.open-cluster-management.io/v1 リソースは、サブスクリプション管理者がアプリケーションサブスクリプションをデプロイしていない限り、ソースリポジトリーに合わせて調整されません。

1.3.5.14. アプリケーション Ansible フックのスタンドアロンモード

Ansible フックのスタンドアロンモードはサポートされていません。サブスクリプションを使用してハブクラスターに Ansible フックをデプロイするには、次のサブスクリプション YAML を使用できます。

apiVersion: apps.open-cluster-management.io/v1
kind: Subscription
metadata:
  name: sub-rhacm-gitops-demo
  namespace: hello-openshift
annotations:
  apps.open-cluster-management.io/github-path: myapp
  apps.open-cluster-management.io/github-branch: master
spec:
  hooksecretref:
      name: toweraccess
  channel: rhacm-gitops-demo/ch-rhacm-gitops-demo
  placement:
     local: true

ただし、spec.placement.local:true ではサブスクリプションが standalone モードで実行されているため、この設定では Ansible インストールが作成されない可能性があります。ハブモードでサブスクリプションを作成する必要があります。

local-cluster にデプロイする配置ルールを作成します。次のサンプルを参照してください。ここでの local-cluster: "true" はハブクラスターを指します。

apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
  name: <towhichcluster>
  namespace: hello-openshift
spec:
  clusterSelector:
    matchLabels:
      local-cluster: "true"

使用しているサブスクリプションで、作成した配置ルールを参照します。以下のサンプルを参照してください。

apiVersion: apps.open-cluster-management.io/v1
kind: Subscription
metadata:
  name: sub-rhacm-gitops-demo
  namespace: hello-openshift
annotations:
  apps.open-cluster-management.io/github-path: myapp
  apps.open-cluster-management.io/github-branch: master
spec:
  hooksecretref:
      name: toweraccess
  channel: rhacm-gitops-demo/ch-rhacm-gitops-demo
  placement:
     placementRef:
        name: <towhichcluster>
        kind: PlacementRule

両方を適用すると、ハブクラスターに作成された Ansible インスタンスが表示されます。

1.3.5.15. 配置ルールの更新後にアプリケーションがデプロイされない

配置ルールの更新後にアプリケーションがデプロイされない場合は、application-manager Pod が実行されていることを確認します。application-manager は、マネージドクラスターで実行する必要があるサブスクリプションコンテナーです。

oc get pods -n open-cluster-management-agent-addon |grep application-manager を実行して確認できます。

コンソールで kind:pod cluster:yourcluster を検索して、application-manager が実行されているかどうかを確認することもできます。

検証できない場合は、もう一度、クラスターのインポートを試行して検証を行います。

1.3.5.16. サブスクリプション Operator が SCC を作成しない

Red Hat OpenShift Container Platform SCC の詳細は、Security Context Constraints の管理を参照してください。これは、マネージドクラスターで必要な追加設定です。

デプロイメントごとにセキュリティーコンテキストとサービスアカウントが異なります。サブスクリプション Operator は SCC CR を自動的に作成できず、管理者が Pod のパーミッションを制御します。Security Context Constraints (SCC) CR は、関連のあるサービスアカウントに適切なパーミッションを有効化して、デフォルトではない namespace で Pod を作成する必要があります。使用している namespace で SCC CR を手動で作成するには、以下の手順を実行します。

デプロイメントで定義したサービスアカウントを検索します。たとえば、以下の nginx デプロイメントを参照してください。
```
nginx-ingress-52edb
nginx-ingress-52edb-backend
```

使用している namespace に SCC CR を作成して、サービスアカウントに必要なパーミッションを割り当てます。以下の例を参照してください。kind: SecurityContextConstraints が追加されています。

apiVersion: security.openshift.io/v1
 defaultAddCapabilities:
 kind: SecurityContextConstraints
 metadata:
   name: ingress-nginx
   namespace: ns-sub-1
 priority: null
 readOnlyRootFilesystem: false
 requiredDropCapabilities:
 fsGroup:
   type: RunAsAny
 runAsUser:
   type: RunAsAny
 seLinuxContext:
   type: RunAsAny
 users:
 - system:serviceaccount:my-operator:nginx-ingress-52edb
 - system:serviceaccount:my-operator:nginx-ingress-52edb-backend

1.3.5.17. アプリケーションチャネルには一意の namespace が必要

同じ namespace に複数のチャネルを作成すると、ハブクラスターでエラーが発生する可能性があります。

たとえば、namespace charts-v1 は、Helm タイプのチャネルとしてインストーラーで使用するので、charts-v1 に追加のチャネルを作成します。一意の namespace でチャネルを作成するようにしてください。すべてのチャネルには個別の namespace が必要ですが、GitHub チャネルは例外で、別 GitHub のチャネルと namespace を共有できます。

1.3.5.18. Ansible Automation Platform ジョブが失敗する

互換性のないオプションを選択すると、Ansible ジョブの実行に失敗します。Ansible Automation Platform は、-cluster-scoped のチャネルオプションが選択されている場合にのみ機能します。これは、Ansible ジョブを実行する必要があるすべてのコンポーネントに影響します。

1.3.5.19. Ansible Automation Platform Operator は、プロキシー外の Ansible Automation Platform にアクセスする

Red Hat Ansible Automation Platform Operator は、プロキシー対応の OpenShift Container Platform クラスターの外部にある Ansible Automation Platform にアクセスできません。解決するには、プロキシー内に Ansible Automation Platform をインストールできます。Ansible Automation Platform によって提供されるインストール手順を参照してください。

1.3.5.20. アプリケーション名の要件

アプリケーション名は 37 文字を超えることができません。この数を超えた場合、アプリケーションのデプロイメント時に以下のエラーが表示されます。

status:
  phase: PropagationFailed
  reason: 'Deployable.apps.open-cluster-management.io "_long_lengthy_name_" is invalid: metadata.labels: Invalid value: "_long_lengthy_name_": must be no more than 63 characters/n'

1.3.5.21. アプリケーションコンソールテーブルの制限事項

コンソールのさまざまな アプリケーション の表に対する以下の制限を確認してください。

Overview ページの Applications の表と、Advanced configuration ページの Subscriptions の表にある Clusters の列では、アプリケーションリソースのデプロイ先のクラスター数が表示されます。アプリケーションは、ローカルクラスターのリソースで定義されているため、実際のアプリケーションリソースがローカルクラスターにデプロイされているかどうかにかかわらず、ローカルのクラスターは検索結果に含まれます。
Subscriptions の Advanced configuration 表にある Applications の列には、サブスクリプションを使用するアプリケーションの合計数が表示されますが、サブスクリプションが子アプリケーションをデプロイする場合には、これらも検索結果に含まれます。
Channels の Advanced configuration 表にある Subscriptions の列には、対象のチャネルを使用するローカルクラスター上のサブスクリプション合計数が表示されます。ただし、他のサブスクリプションがデプロイするサブスクリプションは検索結果には含まれますが、ここには含まれません。

1.3.5.22. アプリケーションコンソールトポロジーのフィルタリング機能がない

2.13 では、アプリケーション の コンソール と トポロジー が変更されます。コンソールの Topology ページにフィルタリング機能はありません。

1.3.5.23. 許可リストと拒否リストがオブジェクトストレージアプリケーションで機能しない

allow リストおよび deny リストの機能は、オブジェクトストレージアプリケーションのサブスクリプションでは機能しません。

1.3.6. 可観測性関連の既知の問題

Red Hat OpenShift Container Platform クラスターについては、「OpenShift Container Platform の既知の問題」を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除を参照してください。

1.3.6.1. 保持期間の変更によりデータが失われる

すべての解像度レベル (retentionResolutionRaw、retentionResolution5m、retentionResolution1h など) のデフォルトの保持期間は 365 日 (365d) です。この 365d のデフォルトの保持期間は、1 時間の解像度のデフォルトの保持期間が無期限 0d から 365d に短縮されたことを意味します。この保持の変更により、データが失われる可能性があります。MultiClusterObservability spec.advanced.retentionConfig パラメーターで解像度保持の明示的な値を設定していない場合は、データが失われる可能性があります。

詳細は、保持の詳細設定の追加を参照してください。

1.3.6.2. 復元されたハブクラスター内の Observatorium API ゲートウェイ Pod に古いテナントデータが含まれる可能性がある

Kubernetes の制限が原因で、復元されたハブクラスター内の Observatorium API ゲートウェイ Pod には、バックアップおよび復元手順の後に古いテナントデータが含まれる可能性があります。制限の詳細は Mounted ConfigMaps are updated automatically を参照してください。

その結果、Observatorium API と Thanos ゲートウェイはコレクターからのメトリクスを拒否し、Red Hat Advanced Cluster Management Grafana ダッシュボードにはデータが表示されません。

Observatorium API ゲートウェイ Pod ログから、次のエラーを参照してください。

level=error name=observatorium caller=logchannel.go:129 msg="failed to forward metrics" returncode="500 Internal Server Error" response="no matching hashring to handle tenant\n"

Thanos は、以下のエラーを出して Pod ログを受信します。

caller=handler.go:551 level=error component=receive component=receive-handler tenant=xxxx err="no matching hashring to handle tenant" msg="internal server error"

この問題を解決するには、次の手順を参照してください。

observability-observatorium-api デプロイメントインスタンスを N から 0 にスケールダウンします。
observability-observatorium-api デプロイメントインスタンスを 0 から N にスケールアップします。

注記: デフォルトでは N = 2 ですが、一部のカスタム設定環境では 2 より大きくなる場合があります。

これにより、すべての Observatorium API ゲートウェイ Pod が正しいテナント情報で再起動され、コレクターからのデータが 5 ～ 10 分以内に Grafana に表示され始めます。

1.3.6.3. openshift-monitoring namespace に PrometheusRules と ServiceMonitor を追加する権限が拒否される

Red Hat Advanced Cluster Management 2.9 以降では、定義済みの Red Hat Advanced Cluster Management ハブクラスター namespace でラベルを使用する必要があります。openshift.io/cluster-monitoring: "true" のラベルを指定して、Cluster Monitoring Operator はメトリクスの namespace を取得します。

Red Hat Advanced Cluster Management 2.9 がデプロイされるか、インストールが 2.9 にアップグレードされると、Red Hat Advanced Cluster Management Observability ServiceMonitors および PrometheusRule リソースが openshift-monitoring namespace に存在しなくなります。

1.3.6.4. プロキシー設定のサポートなし

可観測性アドオンの Prometheus AdditionalAlertManagerConfig リソースは、プロキシー設定をサポートしていません。可観測性アラート転送機能を無効にする必要があります。

アラート転送を無効にするには、次の手順を実行します。

MultiClusterObservability リソースに移動します。
mco-disabling-alerting パラメーターの値を true に更新します。

自己署名 CA 証明書を使用する HTTPS プロキシーはサポートされていません。

1.3.6.5. サービスレベルの概要ダッシュボードでローカルクラスターが重複する

さまざまなハブクラスターが同じ S3 ストレージを使用して Red Hat Advanced Cluster Management の可観測性をデプロイする場合、重複する local-clusters は Kubernetes/Service-Level Overview/API Server ダッシュボード内で検出および表示できます。重複クラスターは、Top Clusters、Number of clusters that has exceeded the SLO、および Number of clusters that are meeting the SLO のパネル内の結果に影響を及ぼします。local-clusters は、共有 S3 ストレージに関連付けられた一意のクラスターです。複数の local-clusters がダッシュボード内で表示しないようにするには、一意のハブクラスターごとに、ハブクラスター専用の S3 バケットを使用して可観測性をデプロイすることが推奨されます。

1.3.6.6. 可観測性エンドポイント Operator がイメージのプルに失敗する

可観測性エンドポイント Operator は、MultiClusterObservability CustomResource (CR) へのデプロイにプルシークレットを作成したにもかかわらず、open-cluster-management-observability namespace にプルシークレットがない場合に問題が発生します。新しいクラスターをインポートする場合、または Red Hat Advanced Cluster Management で作成された Hive クラスターをインポートする場合は、マネージドクラスターにプルイメージシークレットを手動で作成する必要があります。

詳細は、可観測性の有効化を参照してください。

1.3.6.7. ROKS クラスターにデータがない

Red Hat Advanced Cluster Management の可観測性は、組み込みダッシュボードで、ROKS クラスターのデータが表示されないパネルがあります。これは、ROKS が、管理対象サーバーからの API サーバーメトリクスを公開しないためです。以下の Grafana ダッシュボードには、Kubernetes/API server、Kubernetes/Compute Resources/Workload、Kubernetes/Compute Resources/Namespace(Workload) の ROKS クラスターをサポートしないパネルが含まれます。

1.3.6.8. ROKS クラスターに etcd データがない

ROKS クラスターの場合に、Red Hat Advanced Cluster Management の可観測性のダッシュボードの etcd パネルでデータが表示されません。

1.3.6.9. Grafana コンソールでメトリクスが利用できない

Grafana コンソールでアノテーションのクエリーに失敗する:
Grafana コンソールで特定のアノテーションを検索すると、トークンの有効期限が切れているために、以下のエラーメッセージが表示されることがあります。
"Annotation Query Failed"
ブラウザーを更新し、ハブクラスターにログインしていることを確認します。
rbac-query-proxy Pod のエラー:
managedcluster リソースにアクセス権がないために、プロジェクトでクラスターのクエリーを実行すると以下のエラーが表示される場合があります。
no project or cluster found
ロールのパーミッションを確認し、適切に更新します。詳細は、ロールベースのアクセス制御を参照してください。

1.3.6.10. マネージドクラスターでの Prometheus データ喪失

デフォルトでは、OpenShift の Prometheus は一時ストレージを使用します。Prometheus は、再起動されるたびにすべてのメトリックデータを失います。

Red Hat Advanced Cluster Management が管理する OpenShift Container Platform マネージドクラスターで可観測性を有効または無効にすると、可観測性エンドポイント Operator は、ローカルの Prometheus を自動的に再起動する alertmanager 設定を追加して cluster-monitoring-config ConfigMap を更新します。

1.3.6.11. out-of-order サンプルの取り込みエラー

Observability receive Pod では、以下のエラーをレポートします。

Error on ingesting out-of-order samples

このエラーメッセージは、マネージドクラスターがメトリクス収集間隔中に送信した時系列データが、以前の収集間隔中に送信した時系列データよりも古いことを意味します。この問題が発生した場合には、データは Thanos レシーバーによって破棄され、Grafana ダッシュボードに表示されるデータにギャップが生じる場合があります。エラーが頻繁に発生する場合は、メトリックコレクションの間隔をより大きい値に増やすことが推奨されます。たとえば、間隔を 60 秒に増やすことができます。

この問題は、時系列の間隔が 30 秒などの低い値に設定されている場合にのみ見られます。メトリクス収集の間隔がデフォルト値の 300 秒に設定されている場合には、この問題は発生しません。

1.3.6.12. アップグレード後に Grafana のデプロイが失敗する

2.6 より前の以前のバージョンでデプロイされた grafana-dev インスタンスがあり、環境を 2.6 にアップグレードすると、grafana-dev は機能しません。次のコマンドを実行して、既存の grafana-dev インスタンスを削除する必要があります。

./setup-grafana-dev.sh --clean

次のコマンドでインスタンスを再作成します。

./setup-grafana-dev.sh --deploy

1.3.6.13. disableHubSelfManagement を有効にすると、Grafana ダッシュボードのリストが空になる

mulitclusterengine カスタムリソースで disableHubSelfManagement パラメーターが true に設定されている場合、Grafana ダッシュボードには空のラベルリストが表示されます。ラベルリストを表示するには、パラメーターを false に設定するか、パラメーターを削除する必要があります。詳細は、disableHubSelfManagement を参照してください。

1.3.6.13.1. エンドポイント URL に完全修飾ドメイン名 (FQDN) を含めることはできません

endpoint パラメーターに FQDN またはプロトコルを使用すると、可観測性 Pod は有効になりません。次のエラーメッセージが表示されます。

Endpoint url cannot have fully qualified paths

プロトコルなしで URL を入力します。endpoint 値は、シークレットの次の URL に似ている必要があります。

endpoint: example.com:443

1.3.6.13.2. Grafana のダウンサンプリングデータの不一致

履歴データをクエリーしようとしたときに、計算されたステップ値とダウンサンプリングされたデータの間に不一致がある場合、結果は空になります。たとえば、計算されたステップ値が 5m で、ダウンサンプリングされたデータが 1 時間間隔の場合、データは Grafana から表示されません。

この不一致は、URL クエリーパラメーターが Thanos Query フロントエンドデータソースを介して渡される必要があるために発生します。その後、データが欠落している場合、URL クエリーは他のダウンサンプリングレベルに対して追加のクエリーを実行できます。

Thanos Query フロントエンドデータソース設定を手動で更新する必要があります。以下の手順を実行します。

Query フロントエンドデータソースに移動します。
クエリーパラメーターを更新するには、Misc セクションをクリックします。
Custom query parameters フィールドから、max_source_resolution=auto を選択します。
データが表示されていることを確認するには、Grafana ページを更新します。

Grafana ダッシュボードからクエリーデータが表示されます。

1.3.6.14. メトリックコレクターがプロキシー設定を検出しない

addonDeploymentConfig を使用して設定したマネージドクラスター内のプロキシー設定は、メトリックコレクターによって検出されません。回避策として、マネージドクラスター ManifestWork を削除してプロキシーを有効化できます。ManifestWork を削除すると、addonDeploymentConfig の変更が強制的に適用されます。

1.3.6.15. カスタムのマネージドクラスター Observatorium API または Alertmanager URL を使用する場合の制限

カスタム Observatorium API と Alertmanager URL は、TLS パススルーを備えた中間コンポーネントのみをサポートします。両方のカスタム URL が同じ中間コンポーネントを指している場合、OpenShift Container Platform ルーターは同じホストを持つ 2 つの別個のルートオブジェクトをサポートしていないため、別々のサブドメインを使用する必要があります。

1.3.7. ガバナンス関連の既知の問題

ガバナンスに関する既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターについては、OpenShift Container Platform の既知の問題を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除を参照してください。

1.3.7.1. namespace が Terminating 状態で停止している場合に、設定ポリシーが準拠と表示される

設定ポリシーで complianceType のパラメーターに mustnothave、remediationAction のパラメーターに enforce が設定されている場合に、ポリシーは Kubernetes API に削除要求が送信されると、準拠と表示されます。そのため、ポリシーが準拠と表示されているにも関わらず、Kubernetes オブジェクトは、Terminating の状態のままになってしまう可能性があります。

1.3.7.2. ポリシーでデプロイされた Operator が ARM をサポートしない

ARM 環境へのインストールはサポートされますが、ポリシーを使用してデプロイされる Operator は ARM 環境をサポートしない可能性があります。Operator をインストールする以下のポリシーは ARM 環境をサポートしません。

Quay Container Security Operator の Red Hat Advanced Cluster Management ポリシー
コンプライアンス Operator 向けの Red Hat Advanced Cluster Management ポリシー

1.3.7.3. ConfigurationPolicy カスタムリソース定義が終了処理で停止しています

KlusterletAddonConfig でポリシーコントローラーを無効にするか、クラスターをデタッチして、マネージドクラスターから config-policy-controller アドオンを削除すると、ConfigurationPolicy カスタムリソース定義が中断状態でスタックする場合があります。ConfigurationPolicy カスタムリソース定義が終了状態で停止している場合、後でアドオンを再インストールしても、新しいポリシーがクラスターに追加されない可能性があります。次のエラーが表示されることもあります。

template-error; Failed to create policy template: create not allowed while custom resource definition is terminating

次のコマンドを使用して、カスタムリソース定義がスタックしているかどうかを確認します。

oc get crd configurationpolicies.policy.open-cluster-management.io -o=jsonpath='{.metadata.deletionTimestamp}'

リソースに削除タイムスタンプがある場合、カスタムリソース定義は停止します。この問題を解決するには、クラスターに残っている設定ポリシーからすべてのファイナライザーを削除します。マネージドクラスターで次のコマンドを使用し、<cluster-namespace> をマネージドクラスターの namespace に置き換えます。

oc get configurationpolicy -n <cluster-namespace> -o name | xargs oc patch -n <cluster-namespace> --type=merge -p '{"metadata":{"finalizers": []}}'

設定ポリシーリソースはクラスターから自動的に削除され、カスタムリソース定義は終了状態を終了します。アドオンがすでに再インストールされている場合は、削除タイムスタンプなしでカスタムリソース定義が自動的に再作成されます。

1.3.7.4. ポリシーステータスは、適用時に更新が繰り返されることを示している

ポリシーが remediationAction: enforce に設定されていて、繰り返し更新されている場合、Red Hat Advanced Cluster Management コンソールには、更新が成功しても繰り返し違反が表示されます。更新を繰り返すと複数のポリシーイベントが生成され、governance-policy-framework-addon Pod のメモリーが不足してクラッシュすることがあります。このエラーは、次の 2 つの考えられる原因と解決策を参照してください。

別のコントローラーまたはプロセスも、異なる値でオブジェクトを更新しています。
この問題を解決するには、ポリシーを無効にして、ポリシーの objectDefinition とマネージドクラスターのオブジェクトの違いを比較します。値が異なる場合は、別のコントローラーまたはプロセスが値を更新している可能性があります。オブジェクトの metadata を確認して、値が異なる理由を特定してください。
ポリシーの適用時に Kubernetes がオブジェクトを処理するため、ConfigurationPolicy の objectDefinition が一致しません。
この問題を解決するには、ポリシーを無効にして、ポリシーの objectDefinition とマネージドクラスターのオブジェクトの違いを比較します。キーが異なるか欠落している場合、Kubernetes は、デフォルト値または空の値を含むキーを削除するなど、キーをオブジェクトに適用する前に処理した可能性があります。

1.3.7.5. ポリシーテンプレート名が重複すると、一貫性のない結果が生じる

同じポリシーテンプレート名でポリシーを作成すると、検出されない一貫性のない結果が返されますが、原因がわからない場合があります。たとえば、create-pod という名前の複数の設定ポリシーを含むポリシーを定義すると、一貫性のない結果が発生します。Best practice: ポリシーテンプレートに重複した名前を使用しないようにします。

1.3.7.6. Kyverno ポリシーが最新バージョンのステータスを報告しない

ポリシージェネレーターによって生成された Kyverno ポリシーが、Red Hat Advanced Cluster Management クラスターで次のメッセージを報告します。

violation - couldn't find mapping resource with kind ClusterPolicyReport, please check if you have CRD deployed;
violation - couldn't find mapping resource with kind PolicyReport, please check if you have CRD deployed

原因は、ジェネレーターの PolicyReport API バージョンが正しくなく、Kyverno がデプロイしたものと一致しないことです。

1.3.8. ネットワーク関連の既知の問題

Submariner の既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターについては、OpenShift Container Platform の既知の問題を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除を参照してください。

1.3.8.1. Submariner の既知の問題

ネットワーク機能の使用中に発生する可能性がある次の既知の問題と制限事項を参照してください。

1.3.8.1.1. OVN-Kubernetes を使用する OpenShift Container Platform 4.18 上のアプリケーションでソース IP が保持されない

Submariner 用の OVN-Kubernetes を使用する OpenShift Container Platform 4.18 を使用している場合、パケットが宛先 Pod に到達したときにソース IP が保持されません。その結果、NetworkPolicy などのソース IP に依存するアプリケーションが正しく動作しない可能性があります。

1.3.8.1.2. ClusterManagementAddon submariner アドオンを使用しないと失敗する

バージョン 2.8 以前の場合、Red Hat Advanced Cluster Management をインストールするときに、Operator Lifecycle Manager を使用して submariner-addon コンポーネントもデプロイします。MultiClusterHub カスタムリソースを作成しなかった場合、submariner-addon Pod はエラーを送信し、Operator はインストールできません。

ClusterManagementAddon カスタムリソース定義がないため、次の通知が発生します。

graceful termination failed, controllers failed with error: the server could not find the requested resource (post clustermanagementaddons.addon.open-cluster-management.io)

ClusterManagementAddon リソースは cluster-manager デプロイメントによって作成されますが、このデプロイメントが使用可能になるのは MultiClusterEngine コンポーネントがクラスターにインストールされてからです。

MultiClusterHub カスタムリソースの作成時にクラスター上ですでに使用可能な MultiClusterEngine リソースが存在しない場合、MultiClusterHub Operator は MultiClusterEngine インスタンスと必要な Operator をデプロイし、前のエラーを解決します。

1.3.8.1.3. マネージドクラスターのインポート時に Submariner アドオンリソースが適切にクリーンアップされない

submariner-addon コンポーネントが MultiClusterHub (MCH) Operator 内で false に設定されている場合、submariner-addon ファイナライザーはマネージドクラスターリソースに対して適切にクリーンアップされません。ファイナライザーが適切にクリーンアップされないため、ハブクラスター内で submariner-addon コンポーネントが無効になりません。

1.3.8.1.4. Submariner インストール計画の制限

Submariner のインストール計画は、全体的なインストール計画の設定に準拠していません。したがって、Operator 管理画面では、Submariner インストール計画は制御できません。デフォルトでは、Submariner インストール計画は自動的に適用され、Submariner アドオンは、インストールされている Red Hat Advanced Cluster Management のバージョンに対応する利用可能な最新バージョンに常に更新されます。この動作を変更するには、カスタマイズされた Submariner サブスクリプションを使用する必要があります。

1.3.8.1.5. 限定的なヘッドレスサービスのサポート

Globalnet を使用する場合、セレクターを使用しないヘッドレスサービスのサービスディスカバリーはサポートされません。

1.3.8.1.6. NAT が有効な場合に VXLAN を使用したデプロイはサポートされていない

NAT 以外のデプロイメントのみが VXLAN ケーブルドライバーを使用した Submariner デプロイメントをサポートします。

1.3.8.1.7. 自己署名証明書により、ブローカーに接続できない場合がある

ブローカーの自己署名証明書により、結合されたクラスターがブローカーに接続できない場合があります。接続は証明書の検証エラーで失敗します。関連する SubmarinerConfig オブジェクトで InsecureBrokerConnection を true に設定すると、ブローカー証明書の検証を無効にできます。以下の例を参照してください。

apiVersion: submarineraddon.open-cluster-management.io/v1alpha1
kind: SubmarinerConfig
metadata:
   name: submariner
   namespace: <managed-cluster-namespace>
spec:
   insecureBrokerConnection: true

1.3.8.1.8. Submariner は OpenShift SDN または OVN Kubernetes のみサポート

Submariner は、OpenShift SDN または OVN-Kubernetes Container Network Interface (CNI) ネットワークプロバイダーを使用する Red Hat OpenShift Container Platform クラスターのみをサポートします。

1.3.8.1.9. Microsoft Azure クラスターでのコマンド制限

subctl diagnose firewall inter-cluster コマンドは、Microsoft Azure クラスターでは機能しません。

1.3.8.1.10. カスタム CatalogSource または Subscription で自動アップグレードが機能しない

Red Hat Advanced Cluster Management for Kubernetes がアップグレードされると、Submariner は自動的にアップグレードされます。カスタムの CatalogSource または Subscription を使用している場合、自動アップグレードは失敗する可能性があります。

マネージドクラスターに Submariner をインストールするときに自動アップグレードが確実に機能するようにするには、各マネージドクラスターの SubmarinerConfig カスタムリソースで spec.subscriptionConfig.channel フィールドを stable-0.15 に設定する必要があります。

1.3.8.1.11. Submariner は IPsec 対応の OVN-Kubernetes デプロイメントと競合します

IPsec 対応の OVN-Kubernetes デプロイメントによって作成された IPsec トンネルは、Submariner によって作成された IPsec トンネルと競合する可能性があります。Submariner では OVN-Kubernetes を IPsec モードで使用しないでください。

1.3.8.1.12. ManageClusterSet から ManagedCluster を削除する前に Submariner をアンインストールする

ClusterSet からクラスターを削除するか、クラスターを別の ClusterSet に移動すると、Submariner のインストールは無効になります。

ManageClusterSet から ManagedCluster を移動または削除する前に、Submariner をアンインストールする必要があります。Submariner をアンインストールしなかった場合、Submariner のアンインストールや再インストールができなくなり、Submariner は ManagedCluster での動作を停止します。

1.3.9. Multicluster Global Hub Operator の既知の問題

Multicluster Global Hub Operator の既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。OpenShift Container Platform クラスターについては、OpenShift Container Platform の既知の問題を参照してください。

1.3.9.1. multicluster global hub をアップグレードした後も、kafka および zookeeper 関連の永続ボリューム要求 (PVC) が残ります。

multicluster global hub 1.3.x を 1.4.x にアップグレードすると、kafka および zookeeper 関連の PVC はそのまま残ります。アップグレード後、multicluster global hub 1.3.x バージョンの PVC を手動で削除できます。multicluster global hub 1.4.x バージョンの PVC は、以下のようになります。

data-0-kafka-kafka-0                            Bound    pvc-83584965-6f1b-4443-a4cb-c0660973ccf3   10Gi       RWO            gp3-csi        <unset>                 43s
data-0-kafka-kafka-1                            Bound    pvc-4a83c26a-9507-49c4-8af3-100a426d3152   10Gi       RWO            gp3-csi        <unset>                 43s
data-0-kafka-kafka-2                            Bound    pvc-55299209-2e33-4e00-8767-869ce044fc1e   10Gi       RWO            gp3-csi        <unset>                 43s
data-kafka-zookeeper-0                          Bound    pvc-b3adc12f-6333-434e-8b91-2ffc37d461ef   10Gi       RWO            gp3-csi        <unset>                 86s
data-kafka-zookeeper-1                          Bound    pvc-1de22549-1b55-4cf5-b096-6f4007be1eba   10Gi       RWO            gp3-csi        <unset>                 86s
data-kafka-zookeeper-2                          Bound    pvc-a9a3d47b-297d-4a2d-85d1-76a89b25b3c1   10Gi       RWO            gp3-csi        <unset>                 86s

1.3.9.2. マネージドハブクラスターをデタッチすると namespace とリソースが削除されてから再作成される

マネージドハブクラスターをホステッドモードでインポートし、それをデタッチすると、open-cluster-management-agent-addon namespace が削除され、再作成されます。マネージドハブクラスターをデタッチすると、この namespace に関連付けられたすべての addon リソースも削除され、再作成されます。

現在、この問題に対する回避策はありません。

1.3.9.3. Kafka Operator が再起動を繰り返す

連邦情報処理標準 (FIPS) 環境では、メモリー不足 (OOM) 状態のため、Kafka Operator が再起動し続けます。この問題を解決するには、リソース制限を少なくとも 512M に設定します。この制限を設定する詳細な手順は、amq ストリームドキュメントを参照してください。

1.3.9.4. バックアップおよび復元の既知の問題

元の Multicluster Global Hub クラスターがクラッシュすると、Multicluster Global Hub では、生成されたイベントと cron ジョブがなくなります。新しい Multicluster Global Hub クラスターを復元しても、イベントと cron ジョブは復元されません。この問題を回避するには、cron ジョブを手動で実行します。要約プロセスの手動実行を参照してください。

1.3.9.5. マネージドクラスターは表示されますが、カウントされない

マネージドクラスターが正常に作成されなかった場合、つまり、clusterclaim id.k8s.io がマネージドクラスターに存在せず、ポリシーコンプライアンスダッシュボードにはカウントされないにも関わらず、ポリシーコンソールには表示されます。

1.3.9.6. OpenShift Container Platform 4.13 ハイパーリンクにインストールされた Multicluster Global Hub がホームにリダイレクトする場合がある

Multicluster Global Hub Operator が OpenShift Container Platform 4.13 にインストールされている場合、マネージドクラスターのリストにリンクするすべてのハイパーリンクとダッシュボードの詳細ページが Red Hat Advanced Cluster Management ホームページにリダイレクトされる可能性があります。

手動で目的のページに移動する必要があります。

1.3.9.7. 標準グループのフィルターを新しいページに渡すことができない

Global Hub Policy Group Compliancy Overview ハブダッシュボードで、View Offending Policies for standard group をクリックすると、1 つのデータポイントを確認できます。しかし、このリンクをクリックして違反ページに移動すると、標準グループのフィルターを新しいページに渡すことができません。

これは、Cluster Group Compliancy Overview の問題でもあります。

1.4. Red Hat Advanced Cluster Management の非推奨と削除

Red Hat Advanced Cluster Management for Kubernetes から削除されるか、非推奨となった製品の一部を説明します。推奨アクション および詳細にある、代わりのアクションを検討してください。これは、現在のリリースおよび、1 つ前のリリースと 2 つ前のリリースの表に記載されています。

ベストプラクティス: 最新バージョンにアップグレードします。

1.4.1. Red Hat Advanced Cluster Management の非推奨機能

非推奨 のコンポーネント、機能またはサービスはサポートされますが、使用は推奨されておらず、今後のリリースで廃止される可能性があります。以下の表に記載されている 推奨アクション と詳細の代替アクションを検討してください。

製品またはカテゴリー	影響を受けるアイテム	バージョン	推奨されるアクション	詳細およびリンク
API のドキュメント	Red Hat Advanced Cluster Management API ドキュメント	Red Hat Advanced Cluster Management 2.13	ドキュメントではなく、コンソールまたはターミナルから現在のサポートされている API を確認します。	なし
アプリケーション管理	Subscription	Red Hat Advanced Cluster Management 2.13	代わりに、Red Hat Advanced Cluster Management と OpenShift GitOps を使用してください。	5 回のリリースにわたり非推奨の期間が続いた後、削除されます。更新された機能については、GitOps の概要を参照してください。
インストーラー	`operator.open-cluster-management.io_multiclusterhubs_crd.yaml` の `ingress.sslCiphers` フィールド	2.9	なし	インストールの設定については、高度な設定を参照してください。Red Hat Advanced Cluster Management for Kubernetes のバージョンをアップグレードし、元々 `spec.ingress.sslCiphers` フィールドが定義された `MultiClusterHub` カスタムリソースがあった場合、そのフィールドは引き続き認識されますが、非推奨であり、効果はありません。
アプリケーションとガバナンス	`PlacementRule`	2.8	`PlacementRule` を使用する可能性のある場所で `Placement` を使用します	`PlacementRule` は引き続き使用できますが、サポート対象外であるため、コンソールにはデフォルトで `Placement` が表示されます。

1.4.2. Red Hat Advanced Cluster Management の削除

通常、削除された項目は、以前のリリースで非推奨となった機能で、製品では利用できなくなっています。削除された機能には、代わりの方法を使用する必要があります。以下の表に記載されている 推奨アクション と詳細の代替アクションを検討してください。

製品またはカテゴリー	影響を受けるアイテム	バージョン	推奨されるアクション	詳細およびリンク
オリジナルの Overview ページ	Red Hat Advanced Cluster Management for Kubernetes の検索コンソール	2.13	新しいデフォルトの Overview ページを表示するには、Fleet view スイッチを有効にします。	Red Hat Advanced Cluster Management の Overview ページの以前のレイアウトが再設計されました。
ポリシーコンプライアンス履歴 API	ガバナンス	2.13	既存のポリシーメトリクスを使用して、コンプライアンスステータスの変更を確認します。`config-policy-controller` および `cert-policy-controller` Pod ログを表示して、各マネージドクラスターの詳細なコンプライアンス履歴を取得することもできます。	詳細は、ポリシーコントローラーの高度な設定を参照してください。
ガバナンス	IAM ポリシーコントローラー	2.11	なし	なし

1.6. FIPS readiness

Red Hat Advanced Cluster Management for Kubernetes は FIPS 向けに設計されています。FIPS モードの Red Hat OpenShift Container Platform で実行する場合、OpenShift Container Platform は、OpenShift Container Platform でサポートされているアーキテクチャーでのみ、FIPS 検証のために NIST に提出された Red Hat Enterprise Linux 暗号化ライブラリーを使用します。NIST 検証プログラムの詳細は、暗号化モジュール検証プログラムを参照してください。RHEL 暗号化ライブラリーの個別バージョンに関して検証用に提出された最新の NIST ステータスは、Compliance Activities and Government Standards を参照してください。

FIPS を有効にしてクラスターを管理する予定の場合は、FIPS モードで動作するように設定した OpenShift Container Platform クラスターに Red Hat Advanced Cluster Management をインストールする必要があります。ハブクラスターで作成した暗号化はマネージドクラスターで使用されるため、ハブクラスターは FIPS モードである必要があります。

マネージドクラスターで FIPS モードを有効にするには、OpenShift Container Platform マネージドクラスターをプロビジョニングするときに fips: true と設定します。クラスターのプロビジョニング後は、FIPS を有効にすることはできません。詳細は、OpenShift Container Platform ドキュメントのクラスターに追加のセキュリティーが必要ですか? を参照してください。

1.6.1. 制限

Red Hat Advanced Cluster Management および FIPS には以下の制限を確認してください。

検索および可観測性コンポーネントによって使用される Persistent Volume Claim (PVC) および S3 ストレージは、指定のストレージを設定する際に暗号化する必要があります。Red Hat Advanced Cluster Management はストレージ暗号化を提供しません。OpenShift Container Platform ドキュメントの永続ストレージの設定を参照してください。
Red Hat Advanced Cluster Management コンソールを使用してマネージドクラスターをプロビジョニングする場合は、マネージドクラスター作成の Cluster details セクションで以下のチェックボックスを選択して、FIPS 標準を有効にします。
```
FIPS with information text: Use the Federal Information Processing Standards (FIPS) modules provided with Red Hat Enterprise Linux CoreOS instead of the default Kubernetes cryptography suite file before you deploy the new managed cluster.
```

1.7. 可観測性のサポート

Red Hat Advanced Cluster Management は、Red Hat OpenShift Data Foundation (以前の Red Hat OpenShift Container Platform) によってテストされ、完全にサポートされています。
Red Hat Advanced Cluster Management は、S3 API と互換性のあるユーザー提供のオブジェクトストレージにおけるマルチクラスター可観測性 Operator の機能をサポートします。可観測性サービスは、Thanos がサポートする安定したオブジェクトストアを使用します。
Red Hat Advanced Cluster Management サポートして、根本原因を特定するため妥当なレベルで取り組みます。サポートチケットを開いて、その根本原因が提供した S3 互換オブジェクトストレージにある場合は、カスタマーサポートチャネルを使用して問題を起票する必要があります。

法律上の通知

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

リリースノート

新機能、Red Hat Advanced Cluster Management のサポートマトリックス、エラータの更新について説明します。既知の問題と制限、非推奨と削除、GDPR および FIPS への対応に関する情報を提供します。

第1章 Red Hat Advanced Cluster Management のリリースノート

1.1. Red Hat Advanced Cluster Management の新機能

1.1.1. コンポーネントの新機能と機能拡張

1.1.2. インストール

1.1.3. コンソール

1.1.4. クラスター

1.1.5. Multicluster Global Hub

1.1.6. アプリケーション

1.1.7. ガバナンス

1.1.8. ビジネス継続性

1.1.9. このリリースの詳細

1.2. Red Hat Advanced Cluster Management のエラータ更新

1.2.1. エラータ 2.13.2

1.2.2. Errata 2.13.1

1.3. Red Hat Advanced Cluster Management の既知の問題と制限

1.3.1. インストール関連の既知の問題

1.3.1.1. OpenShift Container Platform 4.18 で既存の Red Hat Advanced Cluster Management クラスターをアップグレードすると、CRD のインストール中に アップグレード のステータスが upgrade のステータスで停止します。

1.3.1.2. バージョン 2.13 にアップグレードすると local-cluster ステータスが Unknown になる

1.3.1.3. アップグレードで以前のバージョンをアンインストールして再インストールすると失敗する可能性がある

1.3.1.4. ARM コンバージドフローでのインフラストラクチャー Operator のエラー

1.3.2. ビジネス継続性関連の既知の問題

1.3.2.1. バックアップおよび復元の既知の問題

1.3.2.1.1. open-cluster-management-backup namespace が Terminating 状態のままになる

1.3.2.1.2. ベアメタルハブリソースは、マネージドクラスターのバックアップによってバックアップされなくなりました

1.3.2.1.3. Velero 復元の制限

1.3.2.1.4. パッシブ設定ではマネージドクラスターが表示されない

1.3.2.1.5. マネージドクラスターリソースが復元されない

1.3.2.1.6. 復元された Hive マネージドクラスターは、新しいハブクラスターに接続できない場合がある

1.3.2.1.7. インポートされたマネージドクラスターに Pending Import ステータスが表示される

1.3.2.1.8. ハブクラスターを復元した後、appliedmanifestwork がマネージドクラスターから削除されない

1.3.2.1.9. appliedmanifestwork が削除されず、agentID が仕様にない

1.3.2.1.10. managed-serviceaccount アドオンステータスは Unknown と表示されます。

1.3.2.2. Volsync の既知の問題

1.3.2.2.1. アドオンの削除時にマネージドクラスターで必要な VolSync CSV の手動削除

1.3.2.2.2. カスタム CA 証明書を使用したマネージドクラスターの、復元されたハブクラスターへの接続の復元は失敗する可能性がある

1.3.3. コンソール関連の既知の問題

1.3.3.1. klusterlet-addon-search Pod が失敗する

1.3.3.1.1. 検索でマネージドクラスターのノード情報が表示されない

1.3.3.2. コンソールで OpenShift Dedicated をアップグレードできない

1.3.3.3. PostgreSQL Pod の CrashLoopBackoff 状態を検索する

1.3.3.4. クラスターセットのネームスペースバインディングを編集できない

1.3.3.5. Hosted Control Plane クラスターをプロビジョニングした後、水平スクロールが機能しない

1.3.3.6. EditApplicationSet 拡張機能の繰り返しを設定する

1.3.3.7. Red Hat Advanced Cluster Management からログアウトできない

1.3.3.8. OpenShift Cloud Manager コンソールで cluster-ID を入力する際の問題

1.3.4. クラスター管理の既知の問題と制限事項

1.3.4.1. ハブクラスター通信の制限

1.3.4.2. local-cluster が自動的に再作成されない場合がある

1.3.4.3. 別の名前で再インポートした後に local-cluster のステータスがオフラインになる

1.3.4.4. ハブクラスターとマネージドクラスターのクロックが同期されない

1.3.5. アプリケーションの既知の問題と制限事項

1.3.5.1. サブスクリプションアプリケーションに誤った警告メッセージが表示される

1.3.5.2. アプリケーションテーブルのコンソールメニューをクリックするのが難しい場合がある

1.3.5.3. アプリケーショントポロジーに無効な式が表示される

1.3.5.4. PlacementRule を使用してサブスクリプションアプリケーションを編集すると、エディターにサブスクリプション YAML が表示されない

1.3.5.5. シークレットの依存関係を含む Helm Chart は、Red Hat Advanced Cluster Management サブスクリプションではデプロイできません

1.3.5.6. Argo CD プルモデル ApplicationSet アプリケーションのトポロジーが正しく表示されない

1.3.5.7. ローカルクラスターは pull モデルのマネージドクラスターとして除外されます

1.3.5.8. Argo CD コントローラーと伝播コントローラーは同時に調整する可能性があります

1.3.5.9. リソースのデプロイに失敗する

1.3.5.10. リソースの割り当てには数分かかる場合があります

1.3.5.11. アプリケーション ObjectBucket チャネルタイプは、許可リストと拒否リストを使用できない

1.3.5.11.1. Argo アプリケーションを 3.x OpenShift Container Platform マネージドクラスターにデプロイできない

1.3.5.12. multicluster_operators_subscription イメージへの変更は自動的に有効にならない

1.3.5.13. サブスクリプション管理者以外はポリシーリソースをデプロイできない

1.3.5.14. アプリケーション Ansible フックのスタンドアロンモード

1.3.5.15. 配置ルールの更新後にアプリケーションがデプロイされない

1.3.5.16. サブスクリプション Operator が SCC を作成しない

1.3.5.17. アプリケーションチャネルには一意の namespace が必要

1.3.5.18. Ansible Automation Platform ジョブが失敗する

1.3.5.19. Ansible Automation Platform Operator は、プロキシー外の Ansible Automation Platform にアクセスする

1.3.5.20. アプリケーション名の要件

1.3.5.21. アプリケーションコンソールテーブルの制限事項

1.3.5.22. アプリケーションコンソールトポロジーのフィルタリング機能がない

1.3.5.23. 許可リストと拒否リストがオブジェクトストレージアプリケーションで機能しない

1.3.6. 可観測性関連の既知の問題

1.3.6.1. 保持期間の変更によりデータが失われる

1.3.6.2. 復元されたハブクラスター内の Observatorium API ゲートウェイ Pod に古いテナントデータが含まれる可能性がある

1.3.1.1. OpenShift Container Platform 4.18 で既存の Red Hat Advanced Cluster Management クラスターをアップグレードすると、CRD のインストール中に `アップグレード` のステータスが upgrade のステータスで停止します。

1.3.5.6. Argo CD プルモデル `ApplicationSet` アプリケーションのトポロジーが正しく表示されない