リリースノート
新機能、Red Hat Advanced Cluster Management のサポートマトリックス、エラータの更新を説明します。既知の問題と制限、非推奨と削除、GDPR および FIPS への対応に関する情報を提供します。
概要
第1章 Red Hat Advanced Cluster Management のリリースノート リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management 2.14 の新機能と拡張機能、サポート、非推奨、削除、およびエラータリリースで修正された問題について説明します。
重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノート を参照してください。
Red Hat Advanced Cluster Management サポートマトリックス にアクセスして、ハブクラスターとマネージドクラスターの要件と各コンポーネントのサポートを確認してください。ライフサイクルの情報は、Red Hat OpenShift Container Platform ライフサイクルポリシー を参照してください。
重要: このドキュメントに、OpenShift Container Platform のリリースノートは含まれていません。OpenShift Container Platform クラスターは、OpenShift Container Platform リリースノート を参照してください。
非推奨: Red Hat Advanced Cluster Management 2.9 以前のバージョンはサポートされなくなりました。ドキュメントは引き続き利用可能になる可能性がありますが、修正された問題やその他の更新に関するエラータリリースは行われません。
ベストプラクティス: 最新バージョンにアップグレードします。
- ドキュメント内のコンポーネントが OpenShift Container Platform の特定のバージョンのみで作成およびテストされていない限り、ドキュメントではサポートされている最も古い Red Hat OpenShift Container Platform バージョンを参照します。
- 完全なサポート情報は、Red Hat Advanced Cluster Management サポートマトリックス と、Red Hat Advanced Cluster Management for Kubernetes のライフサイクルと更新ポリシー を参照してください。
- 現在サポートされているリリースのいずれか、製品ドキュメントで問題が発生した場合は、Red Hat サポート にアクセスして、トラブルシューティングを行ったり、ナレッジベースの記事を表示したり、サポートチームに連絡したり、ケースを開いたりすることができます。認証情報でログインする必要があります。
- Red Hat Customer Portal FAQ で、カスタマーポータルのドキュメントの詳細を確認することもできます。
1.1. Red Hat Advanced Cluster Management の新機能と機能拡張 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes 2.14 は、組み込みのガバナンス、クラスターライフサイクル管理、GitOps によるアプリケーションライフサイクル管理、および観測可能性により、Kubernetes ドメイン全体を可視性します。
Red Hat Advanced Cluster Management バージョン 2.14 は、クラスターライフサイクル管理用の multicluster engine Operator バージョン 2.9 とともにリリースされています。このリリースのクラスター管理の詳細は、multicluster engine Operator によるクラスターライフサイクルのリリースノート を参照してください。
Red Hat Advanced Cluster Management サポートマトリックス にアクセスして、ハブクラスターとマネージドクラスターの要件と各コンポーネントのサポートを確認してください。ライフサイクルの情報は、Red Hat OpenShift Container Platform ライフサイクルポリシー を参照してください。
重要:
- Submariner バージョン 0.21.0 は、Red Hat Advanced Cluster Management 2.14 と同時にリリースされません。Submariner を Red Hat Advanced Cluster Management と併用する場合は、最新の Submariner バージョンがリリースされて発表されるまで、Red Hat Advanced Cluster Management バージョン 2.14 に更新しないでください。
- Red Hat Advanced Cluster Management は、Cloud Native Computing Foundation (CNCF) Kubernetes Conformance Program を通じて認定されたすべてのプロバイダーをサポートします。ハイブリッドクラウドマルチクラスター管理には、CNFC が認定したベンダーを選択してください。CNFC プロバイダーの使用は、次の情報を参照してください。
- Certified Kubernetes Conformance で CNFC プロバイダーがどのように認定されるかを学びます。
- CNFC サードパーティープロバイダーに関する Red Hat サポート情報は、サードパーティーコンポーネントに関する Red Hat サポート を参照するか、Red Hat サポートへのお問い合わせ を参照してください。
-
独自の CNFC 適合認定クラスターを使用する場合は、OpenShift Container Platform CLI の
oc
コマンドを Kubernetes CLI コマンドのkubectl
に変更する必要があります。
1.1.1. このリリースに関する一般的なお知らせ リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management は、AWS Marketplace で提供されており、オンデマンドまたは年間での価格設定が利用可能です。Red Hat OpenShift Service on AWS クラスターで Red Hat Advanced Cluster Management を実行する場合は、簡素化された請求オプションをご利用いただけますAWS Marketplace の Red Hat Advanced Cluster Management は、請求の一元化、柔軟なリソース消費、コストの効率化を実現します。
AWS Marketplace から購入すると、MultiClusterHub
リソースをインストールしてクラスターを管理できます。全体的な消費量を表示するには、console.redhat.com にアクセスしてください。Subscriptions Usage > OpenShift をクリックします。ドロップダウンメニューから Variant: Red Hat Advanced Cluster Management を選択します。
1.1.2. 各コンポーネントの新機能と機能強化 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management 内のコンポーネントの新機能に関する具体的な詳細を確認します。
一部の機能およびコンポーネントは テクノロジープレビュー として指定され、リリースされます。
1.1.3. インストール リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management のインストール機能と拡張機能について学習します。multicluster engine Operator インストールのリリースノートは、このトピックの前半でリンクされている Cluster lifecycle with multicluster engine Operator ドキュメントに記載されています。
-
マネージドハブクラスターであるローカルクラスターの名前を変更できるようになりました。デフォルトでは、設定を変更しない限り、ハブクラスターは自身を
local-cluster
として管理します。disableHubSelfManagement
フィールドがtrue
に設定され、ローカルクラスター機能が無効になっている場合は、名前を変更できます。<your-local-cluster-name>
値には 34 文字以下を使用します。local-cluster
リソースと namespace に変更が反映されます。
ドキュメントの MultiClusterHub の詳細設定 で、Red Hat Advanced Cluster Management の詳細設定オプションを参照してください。
1.1.4. コンソール リンクのコピーリンクがクリップボードにコピーされました!
検索機能を含む Red Hat Advanced Cluster Management 統合コンソールの新機能を説明します。
- コンソールでは、検出されたクラスターをクラスタータイプとインフラストラクチャープロバイダー別にフィルターできます。詳細は、検出されたクラスターの表示 を参照してください。
- コンソールの 検出されたポリシー セクションにある単一のテーブル内で、異なるクラスターにわたるポリシーの関連リソースを表示できるようになりました。このテーブルは、Gatekeeper Operator リソースを除くすべてのポリシータイプで機能します。詳細は、ポリシーのデプロイメント を参照してください。
コンソールの詳細は、Web コンソール を参照してください。
1.1.5. クラスター リンクのコピーリンクがクリップボードにコピーされました!
multicluster engine Operator に関連する新機能については、ドキュメントの クラスター セクションの multicluster engine Operator によるクラスターライフサイクルの新機能と機能拡張 を参照してください。
Red Hat Advanced Cluster Management を使用したクラスター管理については、次の新機能と拡張機能を参照してください。
-
テクノロジープレビュー: SiteConfig Operator から同じ
ClusterInstance
カスタムリソースを再利用して、クラスターを再インストールできるようになりました。詳細は、SiteConfig Operator を使用したクラスターの再インストール (テクノロジープレビュー) を参照してください。 - テクノロジープレビュー: 仮想マシンに対して 詳細なロールベースのアクセス を使用して、より具体的な権限を付与できます。クラスター管理者は、マネージドクラスターの namespace とクラスター全体に基づいて権限を管理および制御できるようになりました。個々の仮想マシンに権限を付与することもできます。詳細は コンソールを使用したきめ細かなロールベースアクセス制御の実装 (テクノロジープレビュー) および ターミナルでのきめ細かなロールベースアクセス制御の実装 (テクノロジープレビュー) を参照してください。
- すべてのアドオンのリソース要求と制限を設定できるようになりました。詳細は、klusterlet アドオンの設定 を参照してください。
その他のクラスター管理タスクとサポート情報については multicluster engine Operator によるクラスターのライフサイクルの概要 を参照してください。
1.1.6. Multicluster Global Hub リンクのコピーリンクがクリップボードにコピーされました!
このリリースの Multicluster Global Hub の新機能について説明します。
-
非接続環境で、
amq-strimzi
カタログソース名と namespace のビルドを変更できるようになりました。詳細は、切断されたクラスターへのレジストリーとカタログの追加 を参照してください。 - 既存の Red Hat Advanced Cluster Management ハブクラスターに Multicluster Global Hub をインストールし、Red Hat Advanced Cluster Management で Multicluster Global Hub エージェントを有効にできます。Kafka はデータを Multicluster Global Hub データベースに保存するため、Grafana ダッシュボードからクラスターとポリシーの情報を表示できます。詳細は、既存の Red Hat Advanced Cluster Management ハブクラスターへの Multicluster Global Hub のインストール を参照してください。
- テクノロジープレビュー:マネージドクラスターの移行 機能を使用すると、マネージドクラスターを Red Hat Advanced Cluster Management ハブクラスター間で移行できます。詳細は、マネージドクラスターの移行 (テクノロジープレビュー) を参照してください。
- その他の Multicluster Global Hub トピックは、Multicluster Global Hub を参照してください。
1.1.7. アプリケーション リンクのコピーリンクがクリップボードにコピーされました!
アプリケーション管理の新機能についてお読みください。
-
プッシュモデルとプルモデルの両方で、クラスターフリート内のアプリケーションに
ApplicationSet
プログレッシブロールアウトストラテジーを実装できるようになりました。これにより、クラスターフリート全体にわたって安全に変更を加える Red Hat OpenShift GitOps ベースのプロセスが提供されます。詳細は、ApplicationSet リソースを使用した段階的ロールアウトストラテジーの実装 (テクノロジープレビュー) を参照してください。 -
ClusterPermission
リソースを作成するときに、新しく作成されたロールのいずれかを使用する代わりに、既存のClusterRole
を使用することもできます。詳細は、既存のロールを使用してクラスター権限を作成する を参照してください。 -
異なる主題を同時に処理できるように、
ClusterPermission
リソースを作成できます。詳細は、サブジェクトを参照するためのクラスター権限リソースの作成 を参照してください。
その他のアプリケーションおよび GitOps のトピックは、アプリケーションの管理 を参照してください。
1.1.8. 可観測性 リンクのコピーリンクがクリップボードにコピーされました!
- テクノロジープレビュー: 適切なサイズ設定ガイドを使用して、クラスターおよび namespace レベルでワークロードを最適化します。詳細は、適正サイジングガイドを使用したワークロードの最適化 (テクノロジープレビュー) を参照してください。
-
mco-disable-uwl-alerting
アノテーションをtrue
に設定することで、マネージドクラスターの Alertmanager へのユーザーワークロードアラートの転送を無効化できます。詳細は、マネージドクラスターのユーザーワークロードアラート転送の無効化 を参照してください。
詳細は、Observability サービス を参照してください。
1.1.9. ガバナンス リンクのコピーリンクがクリップボードにコピーされました!
-
これで、
ConfigurationPolicy
リソースの.Object
Go テンプレートコンテキスト変数を使用して、.ObjectName
および.ObjectNamespace
コンテキスト変数とともに、クラスター上のターゲットオブジェクトの値を参照できるようになりました。詳細は、ハブクラスターとマネージドクラスターのテンプレートの比較 を参照してください。 -
ConfigurationPolicy
リソースにfromYaml
およびtoYaml
Go テンプレート関数を実装することで、YAML 文字列を変換できます。利用可能な関数のリストで、さらに多くの Sprig 関数にアクセスすることもできます。詳細は、fromYaml を参照してください。 -
dryrun
サブコマンドを使用すると、policytools
コマンドラインを実行して、静的リソースファイルにアクセスし、ConfigurationPolicy
をローカルで評価できます。詳細は、ポリシーコマンドラインインターフェイス を参照してください。 -
OperatorPolicy
リソース内のバージョン
リストの 1 つのエントリーに異なるオペレーターバージョンを指定するには、バージョンをコンマで区切ります。詳細は、Operator ポリシー YAML テーブル を参照してください。
ダッシュボードとポリシーフレームワークに関する詳細は、ガバナンス を参照してください。
1.1.10. ビジネス継続性 リンクのコピーリンクがクリップボードにコピーされました!
バックアップと復元 および VolSync コンポーネントの新機能を説明します。
-
namespaceMapping
プロパティーを使用して、初期リソースの namespace とは異なる namespace 内のリソースを復元できるようになりました。詳細は acm-dr-virt-restore-config ConfigMap の定義 を参照してください。 -
OADP Operator にアノテーションを設定して、
startingCSV
プロパティーを使用できます。詳細は OADP Operator への startingCSV のインストール を参照してください。
クラスター内の永続ボリュームの非同期レプリケーションを可能にする VolSync の詳細は、VolSync 永続ボリュームレプリケーションサービス を参照してください。
バックアップと復元の詳細は、バックアップと復元 を参照してください。
1.1.11. このリリースの詳細 リンクのコピーリンクがクリップボードにコピーされました!
リリースに関する詳細情報と製品のサポート情報を参照してください。
- 既知の問題や制限事項 などの詳細なリリースノートについては、Red Hat Advanced Cluster Management のリリースノート を参照してください。
- Red Hat Advanced Cluster Management for Kubernetes へようこそ のトピックから、Red Hat Advanced Cluster Management の概要を学びます。
- 製品の主要なコンポーネントは、マルチクラスターアーキテクチャー のトピックを参照してください。
- サポート情報などは、Red Hat Advanced Cluster Management の トラブルシューティング を参照してください。
- Open Cluster Management のオープンソースコミュニティに参加して、交流や貢献、そして共に成長していきましょう。open-cluster-management.io を参照してください。
1.2. Red Hat Advanced Cluster Management の問題修正 リンクのコピーリンクがクリップボードにコピーされました!
デフォルトでは、エラータ リリース向けに修正された問題は、リリース時に自動的に適用されます。リリースが入手可能になれば、詳細がここに公開されます。リリースノートが記載されていない場合は、現時点で製品にエラータリリースがありません。
重要: 参考までに、Jira リンクと Jira 番号がコンテンツに追加され、内部で使用される可能性があります。ユーザーは、アクセス権が必要なリンクを利用できない可能性があります。Red Hat の エラータリリース の種類について説明します。
アップグレードの詳細は、Operator を使用したアップグレード を参照してください。
重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノート を参照してください。
1.3. Red Hat Advanced Cluster Management の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
アプリケーション管理に関する既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノート を参照してください。
重要: このドキュメントに、OpenShift Container Platform のリリースノートは含まれていません。OpenShift Container Platform クラスターは、OpenShift Container Platform リリースノート を参照してください。
非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。
1.3.1. インストール関連の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
インストールとアップグレードに関する既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。
非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。
1.3.1.1. アップグレードで以前のバージョンをアンインストールして再インストールすると失敗する可能性がある リンクのコピーリンクがクリップボードにコピーされました!
OpenShift Container Platform から Red Hat Advanced Cluster Management をアンインストールすると、後で以前のバージョンをインストールしてアップグレードする場合に問題が発生する可能性があります。たとえば、Red Hat Advanced Cluster Management をアンインストールしてから以前のバージョンの Red Hat Advanced Cluster Management をインストールし、そのバージョンをアップグレードすると、アップグレードが失敗する可能性があります。カスタムリソースが削除されなかった場合、アップグレードは失敗します。
この問題を回避するには、再インストールする前にアーティファクトをクリーンアップする に記載された手順に従ってください。
1.3.1.2. Image-Based Break/Fix によるクラスターの再インストール後にデータイメージリソースを削除できない リンクのコピーリンクがクリップボードにコピーされました!
Image-Based Break/Fix を使用してクラスターを再インストールするときに spec.nodes.<node-id>.bmcAddress
フィールドを変更すると、SiteConfig Operator は元のマシンに接続できず、元のクラスターからデータイメージリソースを削除できません。この問題を回避するには、Image-Based Break/Fix を使用してクラスターを再インストールする前に、データイメージリソースからファイナライザーを削除します。
データイメージリソースからファイナライザーを削除するには、次のコマンドを実行します。
oc patch dataimages.metal3.io -n target-0 target-0-0 --patch '{"metadata":{"finalizers":[]}}' --type merge
$ oc patch dataimages.metal3.io -n target-0 target-0-0 --patch '{"metadata":{"finalizers":[]}}' --type merge dataimage.metal3.io/target-0-0 patched
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.3.2. ビジネス継続性関連の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes の既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。
非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。
1.3.2.1. バックアップおよび復元の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
バックアップと復元の既知の問題と制限事項が、利用可能な場合は回避策とともにここにリストされます。
1.3.2.1.1. ベアメタルハブリソースは、マネージドクラスターのバックアップによってバックアップされなくなりました リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management のバックアップおよびリストア機能を使用して、ベアメタルクラスターのリソースがバックアップされ、セカンダリーハブクラスターにリストアされる場合は、マネージドクラスターがノードに再インストールされ、既存のマネージドクラスターが壊れます。
注記: これは、ゼロタッチプロビジョニングを使用してデプロイされたベアメタルクラスターにのみ影響があります。つまり、ベアメタルノードの電源のオンとオフを管理し、起動用の仮想メディアを接続する BareMetalHost
リソースが含まれます。BareMetalHost
リソースがマネージドクラスターのデプロイメントで使用されない場合は、悪影響はありません。
この問題を回避するために、プライマリーハブクラスター上の BareMetalHost
リソースは、マネージドクラスターバックアップでバックアップされなくなりました。
別のユースケースがあり、プライマリーハブクラスター上のマネージド BareMetalHost
リソースをバックアップする場合は、プライマリーハブクラスター上の BareMetalHost
リソースにバックアップラベル cluster.open-cluster-management.io/backup
を追加します。
このバックアップラベルを使用して汎用リソースをバックアップする方法の詳細は、バックアップされるリソース を参照してください。
1.3.2.1.2. Velero 復元の制限 リンクのコピーリンクがクリップボードにコピーされました!
データが復元される新しいハブクラスターにユーザーが作成したリソースがある場合、新しいハブクラスターはアクティブなハブクラスターとは異なる設定を持つことができます。たとえば、バックアップデータが新しいハブクラスターで復元される前に、新しいハブクラスターで作成された既存のポリシーを含めることができます。
既存のリソースが復元されたバックアップの一部でない場合、Velero はそれらをスキップするため、新しいハブクラスターのポリシーは変更されず、新しいハブクラスターとアクティブなハブクラスターの間で異なる設定が生じます。
この制限に対処するために、クラスターのバックアップと復元のオペレーターは、restore.cluster.open-cluster-management.io
リソースが作成されたときに、ユーザーが作成したリソースをクリーンアップする復元後の操作、または別の復元操作を実行します。
詳細は、復元後のハブクラスターのクリーニング のトピックを参照してください。
1.3.2.1.3. パッシブ設定ではマネージドクラスターが表示されない リンクのコピーリンクがクリップボードにコピーされました!
マネージドクラスターは、アクティブ化データがパッシブハブクラスターで復元された場合にのみ表示されます。
1.3.2.1.4. マネージドクラスターリソースが復元されない リンクのコピーリンクがクリップボードにコピーされました!
local-cluster
マネージドクラスターリソースの設定を復元し、新しいハブクラスターで local-cluster
データを上書きすると、設定が正しく設定されません。リソースにはクラスター URL の詳細など、local-cluster
固有の情報が含まれているため、以前のハブクラスター local-cluster
のコンテンツはバックアップされません。
復元されたクラスターの local-cluster
リソースに関連するすべての設定変更を手動で適用する必要があります。バックアップおよび復元 Operator のインストール トピックの 新しいハブクラスターの準備 を参照してください。
1.3.2.1.5. 復元された Hive マネージドクラスターは、新しいハブクラスターに接続できない場合がある リンクのコピーリンクがクリップボードにコピーされました!
Hive マネージドクラスターの変更またはローテーションされた認証局 (CA) のバックアップを新しいハブクラスターで復元すると、マネージドクラスターは新しいハブクラスターへの接続に失敗します。このマネージドクラスターの admin
kubeconfig
シークレット (バックアップで使用可能) が無効になっているため、接続は失敗します。
新しいハブクラスター上のマネージドクラスターの復元された admin
kubeconfig
シークレットを手動で更新する必要があります。
1.3.2.1.6. インポートされたマネージドクラスターに Pending Import ステータスが表示される リンクのコピーリンクがクリップボードにコピーされました!
プライマリーハブクラスターに手動でインポートされたマネージドクラスターは、アクティブ化データがパッシブハブクラスターで復元されると、Pending Import
のステータスを示します。詳細は、管理されたサービスアカウントを使用したクラスターの接続 を参照してください。
1.3.2.1.7. ハブクラスターを復元した後、appliedmanifestwork がマネージドクラスターから削除されない リンクのコピーリンクがクリップボードにコピーされました!
ハブクラスターデータが新しいハブクラスターで復元されるとき、appliedmanifestwork
は固定クラスターセットではないアプリケーションサブスクリプションの配置規則を持つマネージドクラスターから削除されません。
固定クラスターセットではないアプリケーションサブスクリプションの配置ルールの例を次に示します。
spec: clusterReplicas: 1 clusterSelector: matchLabels: environment: dev
spec:
clusterReplicas: 1
clusterSelector:
matchLabels:
environment: dev
その結果、マネージドクラスターが復元されたハブクラスターから切り離されると、アプリケーションは孤立します。
この問題を回避するには、配置ルールで固定クラスターセットを指定します。以下の例を参照してください。
spec: clusterSelector: matchLabels: environment: dev
spec:
clusterSelector:
matchLabels:
environment: dev
次のコマンドを実行して、残りの appliedmanifestwork
を手動で削除することもできます。
oc delete appliedmanifestwork <the-left-appliedmanifestwork-name>
oc delete appliedmanifestwork <the-left-appliedmanifestwork-name>
1.3.2.1.8. managed-serviceaccount アドオンステータスは Unknown と表示されます。 リンクのコピーリンクがクリップボードにコピーされました!
マネージドクラスター appliedmanifestwork
addon-managed-serviceaccount-deploy
は、新しいハブクラスターの Kubernetes Operator リソースのマルチクラスターエンジンで有効にせずに Managed Service Account を使用している場合は、インポートされたマネージドクラスターから削除されます。
マネージドクラスターは引き続き新しいハブクラスターにインポートされますが、managed-serviceaccount
アドオンのステータスは Unknown
と表示されます。
マルチクラスターエンジン Operator リソースで Managed Service Account を有効にした後、managed-serviceaccount
アドオンを回復できます。Managed Service Account を有効にする方法は、自動インポートの有効化 を参照してください。
1.3.2.2. Volsync の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
1.3.2.2.1. カスタム CA 証明書を使用したマネージドクラスターの、復元されたハブクラスターへの接続の復元は失敗する可能性がある リンクのコピーリンクがクリップボードにコピーされました!
カスタム CA 証明書を使用してクラスターを管理したハブクラスターのバックアップを復元した後、マネージドクラスターとハブクラスター間の接続が失敗する場合があります。これは、復元されたハブクラスターで CA 証明書がバックアップされなかったためです。接続を復元するには、マネージドクラスターの namespace にあるカスタム CA 証明書情報を、復元されたハブクラスターの <managed_cluster>-admin-kubeconfig
シークレットにコピーします。
注記: バックアップコピーを作成する前にこの CA 証明書をハブクラスターにコピーする場合は、バックアップコピーにシークレット情報が含まれます。今後、バックアップコピーを使用して復元すると、ハブクラスターとマネージドクラスター間の接続が自動的に完了します。
1.3.3. コンソール関連の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
コンソールの既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。
非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。
1.3.3.1. klusterlet-addon-search Pod が失敗する リンクのコピーリンクがクリップボードにコピーされました!
メモリー制限に達したため、klusterlet-addon-search
Pod が失敗します。マネージドクラスターで klusterlet-addon-search
デプロイメントをカスタマイズして、メモリーの失われると制限を更新する必要があります。ハブクラスターで、search-collector
という名前の ManagedclusterAddon
カスタムリソースを編集します。search-collector
にアノテーション addon.open-cluster-management.io/search_memory_request=512Mi
および addon.open-cluster-management.io/ search_memory_limit=1024Mi
を追加し、メモリーを更新します。
たとえば、foobar
という名前のマネージドクラスターがある場合、次のコマンドを実行して、メモリーリクエストを 512Mi
に変更し、メモリー制限を 1024Mi
に変更します。
oc annotate managedclusteraddon search-collector -n foobar \ addon.open-cluster-management.io/search_memory_request=512Mi \ addon.open-cluster-management.io/search_memory_limit=1024Mi
oc annotate managedclusteraddon search-collector -n foobar \
addon.open-cluster-management.io/search_memory_request=512Mi \
addon.open-cluster-management.io/search_memory_limit=1024Mi
1.3.3.1.1. 検索でマネージドクラスターのノード情報が表示されない リンクのコピーリンクがクリップボードにコピーされました!
検索で、ハブクラスターのリソース用の RBAC がマッピングされます。ユーザー RBAC の設定によっては、マネージドクラスターからのノードデータが表示されない場合があります。また検索の結果は、クラスターの Nodes ページに表示される内容と異なる場合があります。
1.3.3.2. コンソールで OpenShift Dedicated をアップグレードできない リンクのコピーリンクがクリップボードにコピーされました!
コンソールから OpenShift Dedicated クラスターのアップグレードをリクエストできますが、アップグレードは失敗し、Cannot upgrade non openshift cluster
というエラーメッセージが表示されます。現在、回避策はありません。
1.3.3.3. PostgreSQL Pod の CrashLoopBackoff 状態を検索する リンクのコピーリンクがクリップボードにコピーされました!
search-postgres
Pod は CrashLoopBackoff
状態です。Red Hat Advanced Cluster Management が hugepages
パラメーターが有効になっているノードを含むクラスターにデプロイされており、これらのノードで search-postgres
Pod がスケジュールされている場合、Pod は起動しません。
search-postgres
Pod のメモリーを増やすには、次の手順を実行します。
以下のコマンドを使用して
search-operator
Pod を一時停止します。oc annotate search search-v2-operator search-pause=true
oc annotate search search-v2-operator search-pause=true
Copy to Clipboard Copied! Toggle word wrap Toggle overflow hugepages
パラメーターの制限を使用して、search-postgres
デプロイメントを更新します。次のコマンドを実行して、hugepages
パラメーターを512Mi
に設定します。oc patch deployment search-postgres --type json -p '[{"op": "add", "path": "/spec/template/spec/containers/0/resources/limits/hugepages-2Mi", "value":"512Mi"}]'
oc patch deployment search-postgres --type json -p '[{"op": "add", "path": "/spec/template/spec/containers/0/resources/limits/hugepages-2Mi", "value":"512Mi"}]'
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Pod のメモリー使用量を確認する前に、
search-postgres
Pod がRunning
状態にあることを確認します。以下のコマンドを実行します。oc get pod <your-postgres-pod-name> -o jsonpath="Status: {.status.phase}"
oc get pod <your-postgres-pod-name> -o jsonpath="Status: {.status.phase}"
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、
search-postgres
Pod のメモリー使用量を確認します。oc get pod <your-postgres-pod-name> -o jsonpath='{.spec.containers[0].resources.limits.hugepages-2Mi}'
oc get pod <your-postgres-pod-name> -o jsonpath='{.spec.containers[0].resources.limits.hugepages-2Mi}'
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
512Mi
の値が表示されます。
1.3.3.4. クラスターセットのネームスペースバインディングを編集できない リンクのコピーリンクがクリップボードにコピーされました!
admin
または bind
ロールを使用してクラスターセットの namespace バインディングを編集すると、次のメッセージのようなエラーが発生する場合があります。
ResourceError: managedclustersetbindings.cluster.open-cluster-management.io "<cluster-set>" is forbidden: User "<user>" cannot create/delete resource "managedclustersetbindings" in API group "cluster.open-cluster-management.io" in the namespace "<namespace>".
この問題を解決するには、バインドする namespace で ManagedClusterSetBinding
リソースを作成または削除する権限も持っていることを確認してください。ロールバインディングでは、クラスターセットを namespace にバインドすることしかできません。
1.3.3.5. Hosted Control Plane クラスターをプロビジョニングした後、水平スクロールが機能しない リンクのコピーリンクがクリップボードにコピーされました!
Hosted Control Plane クラスターをプロビジョニングした後、ClusterVersionUpgradeable
パラメーターが長すぎると、Red Hat Advanced Cluster Management コンソールのクラスター概要を水平方向にスクロールできない場合があります。結果として、非表示のデータを表示することはできません。
この問題を回避するには、ブラウザーのズームコントロールを使用してズームアウトするか、Red Hat Advanced Cluster Management コンソールウィンドウのサイズを大きくするか、テキストをコピーして別の場所に貼り付けます。
1.3.3.6. EditApplicationSet 拡張機能の繰り返しを設定する リンクのコピーリンクがクリップボードにコピーされました!
複数のラベル式を追加するか、ApplicationSet
のクラスターセレクターに入ろうとすると、"Expand to enter expression" メッセージが繰り返し表示されることがあります。この問題にもかかわらず、クラスターの選択を入力することはできます。
1.3.3.7. Red Hat Advanced Cluster Management からログアウトできない リンクのコピーリンクがクリップボードにコピーされました!
外部アイデンティティープロバイダーを使用して Red Hat Advanced Cluster Management にログインする場合は、Red Hat Advanced Cluster Management からログアウトできない可能性があります。これは、Red Hat Advanced Cluster Management に IBM Cloud および Keycloak をアイデンティティープロバイダーとしてインストールして使用する場合に発生します。
Red Hat Advanced Cluster Management からログアウトするには、外部アイデンティティープロバイダーからログアウトしておく必要があります。
1.3.3.8. OpenShift Cloud Manager コンソールで cluster-ID を入力する際の問題 リンクのコピーリンクがクリップボードにコピーされました!
OpenShift Cloud Manager コンソールで cluster-ID
にアクセスしなかった場合でも、ターミナルから Red Hat OpenShift Service on AWS cluster-ID
の記述を取得できます。Red Hat OpenShift Service on AWS コマンドラインインターフェイスが必要です。Red Hat OpenShift Service on AWS CLI ドキュメントの開始方法 を参照してください。
cluster-ID
を取得するには、Red Hat OpenShift Service on AWS から次のコマンドを実行します。
rosa describe cluster --cluster=<cluster-name> | grep -o ’^ID:.*
rosa describe cluster --cluster=<cluster-name> | grep -o ’^ID:.*
1.3.4. クラスター管理の既知の問題と制限事項 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management を使用した クラスター管理 に関する既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
スタンドアロンの multicluster engine Operator によるクラスター管理の既知の問題と制限は、multicluster engine Operator ドキュメントの クラスターライフサイクルの既知の問題と制限 を参照してください。
1.3.4.1. ハブクラスター通信の制限 リンクのコピーリンクがクリップボードにコピーされました!
ハブクラスターがマネージドクラスターにアクセスできない、またはマネージドクラスターと通信できない場合、次の制限が発生します。
- コンソールを使用して新しいマネージドクラスターを作成できません。コマンドラインインターフェイスを使用するか、コンソールで Run import commands manually オプションを使用して、マネージドクラスターを手動でインポートできます。
- コンソールを使用して Application または ApplicationSet をデプロイする場合、またはマネージドクラスターを ArgoCD にインポートする場合、ハブクラスター ArgoCD コントローラーはマネージドクラスター API サーバーを呼び出します。AppSub または ArgoCD pull モデルを使用して問題を回避できます。
1.3.4.2. local-cluster が自動的に再作成されない場合がある リンクのコピーリンクがクリップボードにコピーされました!
disableHubSelfManagement
が false
に設定されている場合、local-cluster は MulticlusterHub
Operator によって再作成されます。local-cluster をデタッチした後、local-cluster が自動的に再作成されない場合があります。
この問題を解決するには、
MulticlusterHub
によって監視されるリソースを変更します。以下の例を参照してください。oc delete deployment multiclusterhub-repo -n <namespace>
oc delete deployment multiclusterhub-repo -n <namespace>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
local-cluster を適切にデタッチするには、
MultiClusterHub
でdisableHubSelfManagement
を true に設定します。
1.3.4.3. 別の名前で再インポートした後に local-cluster のステータスがオフラインになる リンクのコピーリンクがクリップボードにコピーされました!
local-cluster
という名前のクラスターを、誤って別の名前のクラスターとして再インポートしようとすると、local-cluster
と再インポートしたクラスターのステータスが offline
と表示されます。
このケースから回復するには、以下の手順を行います。
ハブクラスターで以下のコマンドを実行して、ハブクラスターの自己管理の設定を一時的に編集します。
oc edit mch -n open-cluster-management multiclusterhub
oc edit mch -n open-cluster-management multiclusterhub
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
spec.disableSelfManagement=true
の設定を追加します。 ハブクラスターで以下のコマンドを実行し、local-cluster を削除し、再デプロイします。
oc delete managedcluster local-cluster
oc delete managedcluster local-cluster
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以下のコマンドを実行して
local-cluster
管理設定を削除します。oc edit mch -n open-cluster-management multiclusterhub
oc edit mch -n open-cluster-management multiclusterhub
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
前の手順で追加した
spec.disableSelfManagement=true
を削除します。
1.3.4.4. ハブクラスターとマネージドクラスターのクロックが同期されない リンクのコピーリンクがクリップボードにコピーされました!
ハブクラスターおよびマネージドクラスターの時間が同期されず、コンソールで unknown
と表示され、最数的に、数分以内に available
と表示されます。OpenShift Container Platform ハブクラスターの時間が正しく設定されていることを確認します。ノードのカスタマイズ を参照してください。
1.3.5. アプリケーションの既知の問題と制限事項 リンクのコピーリンクがクリップボードにコピーされました!
アプリケーション管理に関する既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。
非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。
アプリケーションライフサイクルコンポーネントは、次の既知の問題を参照してください。
1.3.5.1. サブスクリプションアプリケーションに誤った警告メッセージが表示される リンクのコピーリンクがクリップボードにコピーされました!
サブスクリプションアプリケーション (非推奨) をデプロイすると、Application Topology ページのサブスクリプションノードに警告メッセージが表示されます。サブスクリプションノードの詳細を確認すると、local-cluster
がオフラインであると誤って表示されます。
local-cluster
の実際のステータスを確認するには、コンソールナビゲーションから Infrastructure > Clusters をクリックします。
1.3.5.3. アプリケーショントポロジーに無効な式が表示される リンクのコピーリンクがクリップボードにコピーされました!
Placement
リソースで Exist
または DoesNotExist
Operator を使用すると、アプリケーショントポロジーノードの詳細に式が \#invalidExpr
として表示されます。この表示は間違っていますが、式は引き続き有効であり、Placement
リソースで機能します。この問題を回避するには、Placement
リソース YAML 内の式を編集します。
1.3.5.4. PlacementRule を使用してサブスクリプションアプリケーションを編集すると、エディターにサブスクリプション YAML が表示されない リンクのコピーリンクがクリップボードにコピーされました!
PlacementRule
リソースを参照するサブスクリプションアプリケーションを作成した後、サブスクリプション YAML はコンソールの YAML エディターに表示されません。ターミナルを使用してサブスクリプション YAML ファイルを編集します。
1.3.5.5. シークレットの依存関係を含む Helm Chart は、Red Hat Advanced Cluster Management サブスクリプションではデプロイできません リンクのコピーリンクがクリップボードにコピーされました!
Helm Chart を使用すると、Kubernetes シークレットでプライバシーデータを定義し、Helm チャートの value.yaml
ファイルでこのシークレットを参照できます。
ユーザー名とパスワードは、参照される Kubernetes シークレットリソース dbsecret
によって指定されます。たとえば、以下の value.yaml
ファイルの例を参照してください。
credentials: secretName: dbsecret usernameSecretKey: username passwordSecretKey: password
credentials:
secretName: dbsecret
usernameSecretKey: username
passwordSecretKey: password
シークレットの依存関係を含む Helm チャートは、Helm バイナリー CLI でのみサポートされます。Operator SDK Helm ライブラリーではサポートされていません。Red Hat Advanced Cluster Management サブスクリプションコントローラーは、Operator SDK Helm ライブラリーを適用して、Helm チャートをインストールおよびアップグレードします。そのため、Red Hat Advanced Cluster Management サブスクリプションは、シークレットの依存関係が含まれる Helm チャートをデプロイできません。
1.3.5.6. Argo CD プルモデル ApplicationSet アプリケーションのトポロジーが正しく表示されない リンクのコピーリンクがクリップボードにコピーされました!
Argo CD プルモデルを使用して ApplicationSet
アプリケーションをデプロイし、アプリケーションのリソース名がカスタマイズされている場合、リソース名がクラスターごとに異なって表示される場合があります。これが発生すると、トポロジーではアプリケーションが正しく表示されません。
1.3.5.7. ローカルクラスターは pull モデルのマネージドクラスターとして除外されます リンクのコピーリンクがクリップボードにコピーされました!
ハブクラスターアプリケーションセットはターゲットマネージドクラスターにデプロイされますが、マネージドハブクラスターであるローカルクラスターはターゲットマネージドクラスターとして除外されます。
その結果、Argo CD アプリケーションが Argo CD プルモデルによってローカルクラスターに伝播される場合に、ローカルクラスターが Argo CD ApplicationSet
リソースの配置決定から削除されても、ローカルクラスターの Argo CD アプリケーションは削除されません。
問題を回避し、ローカルクラスターの Argo CD アプリケーションを削除するには、ローカルクラスターの Argo CD アプリケーションから skip-reconcile
アノテーションを削除します。以下のアノテーションを参照してください。
annotations: argocd.argoproj.io/skip-reconcile: "true"
annotations:
argocd.argoproj.io/skip-reconcile: "true"
さらに、Argo CD コンソールの Applications セクションでプルモデルの Argo CD アプリケーションを手動で更新すると、更新は処理されず、Argo CD コンソールの REFRESH ボタンが無効になります。
この問題を回避するには、Argo CD アプリケーションから refresh
アノテーションを削除します。以下のアノテーションを参照してください。
annotations: argocd.argoproj.io/refresh: normal
annotations:
argocd.argoproj.io/refresh: normal
1.3.5.8. Argo CD コントローラーと伝播コントローラーは同時に調整する可能性があります リンクのコピーリンクがクリップボードにコピーされました!
Argo CD コントローラーと伝播コントローラーの両方が同じアプリケーションリソース上で調整し、マネージドクラスター上で異なるデプロイメントモデルからのアプリケーションデプロイメントの重複インスタンスが発生する可能性があります。
Pull モデルを使用してアプリケーションをデプロイする場合、Argo CD argocd.argoproj.io/skip-reconcile
アノテーションが ApplicationSet
のテンプレートセクションに追加されると、Argo CD コントローラーはこれらのアプリケーションリソースを無視します。
argocd.argoproj.io/skip-reconcile
アノテーションは、GitOps operator バージョン 1.9.0 以降でのみ使用できます。競合を防ぐには、プルモデルを実装する前に、ハブクラスターとすべてのマネージドクラスターが GitOps operator バージョン 1.9.0 にアップグレードされるまで待ってください。
1.3.5.9. リソースのデプロイに失敗する リンクのコピーリンクがクリップボードにコピーされました!
MulticlusterApplicationSetReport
にリストされているすべてのリソースは、実際にはマネージドクラスターにデプロイされます。リソースのデプロイに失敗した場合、そのリソースはリソースリストには含まれませんが、原因はエラーメッセージにリストされます。
1.3.5.10. リソースの割り当てには数分かかる場合があります リンクのコピーリンクがクリップボードにコピーされました!
1,000 を超えるマネージドクラスターと、数百のマネージドクラスターにデプロイされた Argo CD アプリケーションセットがある大規模環境の場合、ハブクラスターでの Argo CD アプリケーションの作成には数分かかる場合があります。次のファイル例に示されているように、アプリケーションセットの clusterDecisionResource
ジェネレーターで requeueAfterSeconds
を zero
に設定できます。
1.3.5.11. アプリケーション ObjectBucket チャネルタイプは、許可リストと拒否リストを使用できない リンクのコピーリンクがクリップボードにコピーされました!
subscription-admin
ロールの ObjectBucket チャネルタイプで許可リストと拒否リストを指定することはできません。他の種類のチャネルでは、サブスクリプションの許可リストと拒否リストによって、デプロイできる Kubernetes リソースとデプロイできない Kubernetes リソースが示されます。
1.3.5.12. multicluster_operators_subscription イメージへの変更は自動的に有効にならない リンクのコピーリンクがクリップボードにコピーされました!
マネージドクラスターで実行している application-manager
アドオンは、以前は klusterlet Operator により処理されていましたが、サブスクリプション Operator により処理されるようになりました。サブスクリプション Operator は multicluster-hub
で管理されていないため、multicluster-hub
イメージマニフェスト ConfigMap の multicluster_operators_subscription
イメージへの変更は自動的に有効になりません。
サブスクリプション Operator が使用するイメージが、multicluster-hub
イメージマニフェスト ConfigMap の multicluster_operators_subscription
イメージを変更することによってオーバーライドされた場合、マネージドクラスターの application-manager
アドオンは、サブスクリプション Operator Pod が再起動するまで新しいイメージを使用しません。Pod を再起動する必要があります。
1.3.5.13. サブスクリプション管理者以外はポリシーリソースをデプロイできない リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management バージョン 2.4 では、デフォルトで policy.open-cluster-management.io/v1
リソースがアプリケーションサブスクリプションによってデプロイされなくなりました。
サブスクリプション管理者は、このデフォルトの動作を変更するためにアプリケーションサブスクリプションをデプロイする必要があります。
詳細は、サブスクリプション管理者としての許可リストおよび拒否リストの作成 を参照してください。以前の Red Hat Advanced Cluster Management バージョンの既存のアプリケーションサブスクリプションによってデプロイされた policy.open-cluster-management.io/v1
リソースは、サブスクリプション管理者がアプリケーションサブスクリプションをデプロイしていない限り、ソースリポジトリーに合わせて調整されません。
1.3.5.14. アプリケーション Ansible フックのスタンドアロンモード リンクのコピーリンクがクリップボードにコピーされました!
Ansible フックのスタンドアロンモードはサポートされていません。サブスクリプションを使用してハブクラスターに Ansible フックをデプロイするには、次のサブスクリプション YAML を使用できます。
ただし、spec.placement.local:true
ではサブスクリプションが standalone
モードで実行されているため、この設定では Ansible インストールが作成されない可能性があります。ハブモードでサブスクリプションを作成する必要があります。
local-cluster
にデプロイする配置ルールを作成します。次のサンプルを参照してください。ここでのlocal-cluster: "true"
はハブクラスターを指します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用しているサブスクリプションで、作成した配置ルールを参照します。以下のサンプルを参照してください。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
両方を適用すると、ハブクラスターに作成された Ansible インスタンスが表示されます。
1.3.5.15. 配置ルールの更新後にアプリケーションがデプロイされない リンクのコピーリンクがクリップボードにコピーされました!
配置ルールの更新後にアプリケーションがデプロイされない場合は、application-manager
Pod が実行されていることを確認します。application-manager
は、マネージドクラスターで実行する必要があるサブスクリプションコンテナーです。
oc get pods -n open-cluster-management-agent-addon |grep application-manager
を実行して確認できます。
コンソールで kind:pod cluster:yourcluster
を検索して、application-manager
が実行されているかどうかを確認することもできます。
検証できない場合は、もう一度、クラスターのインポートを試行して検証を行います。
1.3.5.16. サブスクリプション Operator が SCC を作成しない リンクのコピーリンクがクリップボードにコピーされました!
Red Hat OpenShift Container Platform SCC の詳細は、Security Context Constraints の管理 を参照してください。これは、マネージドクラスターで必要な追加設定です。
デプロイメントごとにセキュリティーコンテキストとサービスアカウントが異なります。サブスクリプション Operator は SCC CR を自動的に作成できず、管理者が Pod のパーミッションを制御します。Security Context Constraints (SCC) CR は、関連のあるサービスアカウントに適切なパーミッションを有効化して、デフォルトではない namespace で Pod を作成する必要があります。使用している namespace で SCC CR を手動で作成するには、以下の手順を実行します。
デプロイメントで定義したサービスアカウントを検索します。たとえば、以下の
nginx
デプロイメントを参照してください。nginx-ingress-52edb nginx-ingress-52edb-backend
nginx-ingress-52edb nginx-ingress-52edb-backend
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用している namespace に SCC CR を作成して、サービスアカウントに必要なパーミッションを割り当てます。以下の例を参照してください。
kind: SecurityContextConstraints
が追加されています。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.3.5.17. アプリケーションチャネルには一意の namespace が必要 リンクのコピーリンクがクリップボードにコピーされました!
同じ namespace に複数のチャネルを作成すると、ハブクラスターでエラーが発生する可能性があります。
たとえば、namespace charts-v1
は、Helm タイプのチャネルとしてインストーラーで使用するので、charts-v1
に追加のチャネルを作成します。一意の namespace でチャネルを作成するようにしてください。すべてのチャネルには個別の namespace が必要ですが、GitHub チャネルは例外で、別 GitHub のチャネルと namespace を共有できます。
1.3.5.18. Ansible Automation Platform ジョブが失敗する リンクのコピーリンクがクリップボードにコピーされました!
互換性のないオプションを選択すると、Ansible ジョブの実行に失敗します。Ansible Automation Platform は、-cluster-scoped
のチャネルオプションが選択されている場合にのみ機能します。これは、Ansible ジョブを実行する必要があるすべてのコンポーネントに影響します。
1.3.5.19. Ansible Automation Platform Operator は、プロキシー外の Ansible Automation Platform にアクセスする リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Ansible Automation Platform Operator は、プロキシー対応の OpenShift Container Platform クラスターの外部にある Ansible Automation Platform にアクセスできません。解決するには、プロキシー内に Ansible Automation Platform をインストールできます。Ansible Automation Platform によって提供されるインストール手順を参照してください。
1.3.5.20. アプリケーション名の要件 リンクのコピーリンクがクリップボードにコピーされました!
アプリケーション名は 37 文字を超えることができません。この数を超えた場合、アプリケーションのデプロイメント時に以下のエラーが表示されます。
status: phase: PropagationFailed reason: 'Deployable.apps.open-cluster-management.io "_long_lengthy_name_" is invalid: metadata.labels: Invalid value: "_long_lengthy_name_": must be no more than 63 characters/n'
status:
phase: PropagationFailed
reason: 'Deployable.apps.open-cluster-management.io "_long_lengthy_name_" is invalid: metadata.labels: Invalid value: "_long_lengthy_name_": must be no more than 63 characters/n'
1.3.5.21. アプリケーションコンソールテーブルの制限事項 リンクのコピーリンクがクリップボードにコピーされました!
コンソールのさまざまな アプリケーション の表に対する以下の制限を確認してください。
- Overview ページの Applications の表と、Advanced configuration ページの Subscriptions の表にある Clusters の列では、アプリケーションリソースのデプロイ先のクラスター数が表示されます。アプリケーションは、ローカルクラスターのリソースで定義されているため、実際のアプリケーションリソースがローカルクラスターにデプロイされているかどうかにかかわらず、ローカルのクラスターは検索結果に含まれます。
- Subscriptions の Advanced configuration 表にある Applications の列には、サブスクリプションを使用するアプリケーションの合計数が表示されますが、サブスクリプションが子アプリケーションをデプロイする場合には、これらも検索結果に含まれます。
- Channels の Advanced configuration 表にある Subscriptions の列には、対象のチャネルを使用するローカルクラスター上のサブスクリプション合計数が表示されます。ただし、他のサブスクリプションがデプロイするサブスクリプションは検索結果には含まれますが、ここには含まれません。
1.3.5.22. アプリケーションコンソールトポロジーのフィルタリング機能がない リンクのコピーリンクがクリップボードにコピーされました!
2.14 では、アプリケーション の コンソール と トポロジー が変更されます。コンソールの Topology ページにフィルタリング機能はありません。
1.3.5.23. 許可リストと拒否リストがオブジェクトストレージアプリケーションで機能しない リンクのコピーリンクがクリップボードにコピーされました!
allow
リストおよび deny
リストの機能は、オブジェクトストレージアプリケーションのサブスクリプションでは機能しません。
1.3.5.24. 多くのロールバインディングを作成すると ClusterPermission リソースが失敗する リンクのコピーリンクがクリップボードにコピーされました!
同じ namespace 内に多数のロールバインディングを含む ClusterPermission
リソースを作成し、オプションの name
フィールドを設定しないと、失敗します。このエラーは、namespace 内のロールバインディングに同じ名前が使用されているために発生します。
この問題を回避するには、各ロールバインディングのオプションの name
フィールドに一意の名前を設定します。
1.3.6. 可観測性関連の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes の既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
Red Hat OpenShift Container Platform クラスターは、「OpenShift Container Platform の既知の問題」を参照してください。
非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。
1.3.6.1. 保持期間の変更によりデータが失われる リンクのコピーリンクがクリップボードにコピーされました!
すべての解像度レベル (retentionResolutionRaw
、retentionResolution5m
、retentionResolution1h
など) のデフォルトの保持期間は 365 日 (365d
) です。この 365d
のデフォルトの保持期間は、1 時間の解像度のデフォルトの保持期間が無期限 0d
から 365d
に短縮されたことを意味します。この保持の変更により、データが失われる可能性があります。MultiClusterObservability
spec.advanced.retentionConfig
パラメーターで解像度保持の明示的な値を設定していない場合は、データが失われる可能性があります。
詳細は、保持の詳細設定の追加 を参照してください。
1.3.6.2. 復元されたハブクラスター内の Observatorium API ゲートウェイ Pod に古いテナントデータが含まれる可能性がある リンクのコピーリンクがクリップボードにコピーされました!
Kubernetes の制限が原因で、復元されたハブクラスター内の Observatorium API ゲートウェイ Pod には、バックアップおよび復元手順の後に古いテナントデータが含まれる可能性があります。制限の詳細は Mounted ConfigMaps are updated automatically を参照してください。
その結果、Observatorium API と Thanos ゲートウェイはコレクターからのメトリクスを拒否し、Red Hat Advanced Cluster Management Grafana ダッシュボードにはデータが表示されません。
Observatorium API ゲートウェイ Pod ログから、次のエラーを参照してください。
level=error name=observatorium caller=logchannel.go:129 msg="failed to forward metrics" returncode="500 Internal Server Error" response="no matching hashring to handle tenant\n"
level=error name=observatorium caller=logchannel.go:129 msg="failed to forward metrics" returncode="500 Internal Server Error" response="no matching hashring to handle tenant\n"
Thanos は、以下のエラーを出して Pod ログを受信します。
caller=handler.go:551 level=error component=receive component=receive-handler tenant=xxxx err="no matching hashring to handle tenant" msg="internal server error"
caller=handler.go:551 level=error component=receive component=receive-handler tenant=xxxx err="no matching hashring to handle tenant" msg="internal server error"
この問題を解決するには、次の手順を参照してください。
-
observability-observatorium-api
デプロイメントインスタンスをN
から0
にスケールダウンします。 -
observability-observatorium-api
デプロイメントインスタンスを0
からN
にスケールアップします。
注記: デフォルトでは N
= 2
ですが、一部のカスタム設定環境では 2
より大きくなる場合があります。
これにより、すべての Observatorium API ゲートウェイ Pod が正しいテナント情報で再起動され、コレクターからのデータが 5 ~ 10 分以内に Grafana に表示され始めます。
1.3.6.3. openshift-monitoring namespace に PrometheusRules と ServiceMonitor を追加する権限が拒否される リンクのコピーリンクがクリップボードにコピーされました!
定義済みの Red Hat Advanced Cluster Management ハブクラスター namespace 内のラベルを使用する必要があります。openshift.io/cluster-monitoring: "true"
のラベルを指定して、Cluster Monitoring Operator はメトリクスの namespace を取得します。
Red Hat Advanced Cluster Management がデプロイされるか、インストールがアップグレードされると、Red Hat Advanced Cluster Management Observability ServiceMonitors
および PrometheusRule
リソースは openshift-monitoring
namespace に存在しなくなります。
1.3.6.4. プロキシー設定のサポートなし リンクのコピーリンクがクリップボードにコピーされました!
可観測性アドオンの Prometheus AdditionalAlertManagerConfig
リソースは、プロキシー設定をサポートしていません。可観測性アラート転送機能を無効にする必要があります。
アラート転送を無効にするには、次の手順を実行します。
-
MultiClusterObservability
リソースに移動します。 -
mco-disabling-alerting
パラメーターの値をtrue
に更新します。
自己署名 CA 証明書を使用する HTTPS プロキシーはサポートされていません。
1.3.6.5. サービスレベルの概要ダッシュボードでローカルクラスターが重複する リンクのコピーリンクがクリップボードにコピーされました!
さまざまなハブクラスターが同じ S3 ストレージを使用して Red Hat Advanced Cluster Management の可観測性をデプロイする場合、重複する local-clusters
は Kubernetes/Service-Level Overview/API Server ダッシュボード内で検出および表示できます。重複クラスターは、Top Clusters、Number of clusters that has exceeded the SLO、および Number of clusters that are meeting the SLO のパネル内の結果に影響を及ぼします。local-clusters
は、共有 S3 ストレージに関連付けられた一意のクラスターです。複数の local-clusters
がダッシュボード内で表示しないようにするには、一意のハブクラスターごとに、ハブクラスター専用の S3 バケットを使用して可観測性をデプロイすることが推奨されます。
1.3.6.6. 可観測性エンドポイント Operator がイメージのプルに失敗する リンクのコピーリンクがクリップボードにコピーされました!
可観測性エンドポイント Operator は、MultiClusterObservability CustomResource (CR) へのデプロイにプルシークレットを作成したにもかかわらず、open-cluster-management-observability
namespace にプルシークレットがない場合に問題が発生します。新しいクラスターをインポートする場合、または Red Hat Advanced Cluster Management で作成された Hive クラスターをインポートする場合は、マネージドクラスターにプルイメージシークレットを手動で作成する必要があります。
詳細は、可観測性の有効化 を参照してください。
1.3.6.7. ROKS クラスターにデータがない リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management の可観測性は、組み込みダッシュボードで、ROKS クラスターのデータが表示されないパネルがあります。これは、ROKS が、管理対象サーバーからの API サーバーメトリクスを公開しないためです。以下の Grafana ダッシュボードには、Kubernetes/API server
、Kubernetes/Compute Resources/Workload
、Kubernetes/Compute Resources/Namespace(Workload)
の ROKS クラスターをサポートしないパネルが含まれます。
1.3.6.8. ROKS クラスターに etcd データがない リンクのコピーリンクがクリップボードにコピーされました!
ROKS クラスターの場合に、Red Hat Advanced Cluster Management の可観測性のダッシュボードの etcd パネルでデータが表示されません。
1.3.6.9. Grafana コンソールでメトリクスが利用できない リンクのコピーリンクがクリップボードにコピーされました!
Grafana コンソールでアノテーションのクエリーに失敗する:
Grafana コンソールで特定のアノテーションを検索すると、トークンの有効期限が切れているために、以下のエラーメッセージが表示されることがあります。
"Annotation Query Failed"
ブラウザーを更新し、ハブクラスターにログインしていることを確認します。
rbac-query-proxy Pod のエラー:
managedcluster
リソースにアクセス権がないために、プロジェクトでクラスターのクエリーを実行すると以下のエラーが表示される場合があります。no project or cluster found
ロールのパーミッションを確認し、適切に更新します。詳細は、ロールベースのアクセス制御 を参照してください。
1.3.6.10. マネージドクラスターでの Prometheus データ喪失 リンクのコピーリンクがクリップボードにコピーされました!
デフォルトでは、OpenShift の Prometheus は一時ストレージを使用します。Prometheus は、再起動されるたびにすべてのメトリックデータを失います。
Red Hat Advanced Cluster Management が管理する OpenShift Container Platform マネージドクラスターで可観測性を有効または無効にすると、可観測性エンドポイント Operator は、ローカルの Prometheus を自動的に再起動する alertmanager 設定を追加して cluster-monitoring-config
ConfigMap
を更新します。
1.3.6.11. out-of-order サンプルの取り込みエラー リンクのコピーリンクがクリップボードにコピーされました!
Observability receive
Pod では、以下のエラーをレポートします。
Error on ingesting out-of-order samples
Error on ingesting out-of-order samples
このエラーメッセージは、マネージドクラスターがメトリクス収集間隔中に送信した時系列データが、以前の収集間隔中に送信した時系列データよりも古いことを意味します。この問題が発生した場合には、データは Thanos レシーバーによって破棄され、Grafana ダッシュボードに表示されるデータにギャップが生じる場合があります。エラーが頻繁に発生する場合は、メトリックコレクションの間隔をより大きい値に増やすことが推奨されます。たとえば、間隔を 60 秒に増やすことができます。
この問題は、時系列の間隔が 30 秒などの低い値に設定されている場合にのみ見られます。メトリクス収集の間隔がデフォルト値の 300 秒に設定されている場合には、この問題は発生しません。
1.3.6.12. アップグレード後に Grafana のデプロイが失敗する リンクのコピーリンクがクリップボードにコピーされました!
2.6 より前の以前のバージョンでデプロイされた grafana-dev
インスタンスがあり、環境を 2.6 にアップグレードすると、grafana-dev
は機能しません。次のコマンドを実行して、既存の grafana-dev
インスタンスを削除する必要があります。
./setup-grafana-dev.sh --clean
./setup-grafana-dev.sh --clean
次のコマンドでインスタンスを再作成します。
./setup-grafana-dev.sh --deploy
./setup-grafana-dev.sh --deploy
1.3.6.13. disableHubSelfManagement を有効にすると、Grafana ダッシュボードのリストが空になる リンクのコピーリンクがクリップボードにコピーされました!
mulitclusterengine
カスタムリソースで disableHubSelfManagement
パラメーターが true
に設定されている場合、Grafana ダッシュボードには空のラベルリストが表示されます。ラベルリストを表示するには、パラメーターを false
に設定するか、パラメーターを削除する必要があります。詳細は、disableHubSelfManagement を参照してください。
1.3.6.13.1. エンドポイント URL に完全修飾ドメイン名 (FQDN) を含めることはできません リンクのコピーリンクがクリップボードにコピーされました!
endpoint
パラメーターに FQDN またはプロトコルを使用すると、可観測性 Pod は有効になりません。次のエラーメッセージが表示されます。
Endpoint url cannot have fully qualified paths
Endpoint url cannot have fully qualified paths
プロトコルなしで URL を入力します。endpoint
値は、シークレットの次の URL に似ている必要があります。
endpoint: example.com:443
endpoint: example.com:443
1.3.6.13.2. Grafana のダウンサンプリングデータの不一致 リンクのコピーリンクがクリップボードにコピーされました!
履歴データをクエリーしようとしたときに、計算されたステップ値とダウンサンプリングされたデータの間に不一致がある場合、結果は空になります。たとえば、計算されたステップ値が 5m
で、ダウンサンプリングされたデータが 1 時間間隔の場合、データは Grafana から表示されません。
この不一致は、URL クエリーパラメーターが Thanos Query フロントエンドデータソースを介して渡される必要があるために発生します。その後、データが欠落している場合、URL クエリーは他のダウンサンプリングレベルに対して追加のクエリーを実行できます。
Thanos Query フロントエンドデータソース設定を手動で更新する必要があります。以下の手順を実行します。
- Query フロントエンドデータソースに移動します。
- クエリーパラメーターを更新するには、Misc セクションをクリックします。
-
Custom query parameters フィールドから、
max_source_resolution=auto
を選択します。 - データが表示されていることを確認するには、Grafana ページを更新します。
Grafana ダッシュボードからクエリーデータが表示されます。
1.3.6.14. メトリックコレクターがプロキシー設定を検出しない リンクのコピーリンクがクリップボードにコピーされました!
addonDeploymentConfig
を使用して設定したマネージドクラスター内のプロキシー設定は、メトリックコレクターによって検出されません。回避策として、マネージドクラスター ManifestWork
を削除してプロキシーを有効化できます。ManifestWork
を削除すると、addonDeploymentConfig
の変更が強制的に適用されます。
1.3.6.15. カスタムのマネージドクラスター Observatorium API または Alertmanager URL を使用する場合の制限 リンクのコピーリンクがクリップボードにコピーされました!
カスタム Observatorium API と Alertmanager URL は、TLS パススルーを備えた中間コンポーネントのみをサポートします。両方のカスタム URL が同じ中間コンポーネントを指している場合、OpenShift Container Platform ルーターは同じホストを持つ 2 つの別個のルートオブジェクトをサポートしていないため、別々のサブドメインを使用する必要があります。
1.3.7. ガバナンス関連の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
ガバナンスに関する既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。
非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。
1.3.7.1. ConfigurationPolicy が objectSelector と namespaceSelector の結果を正しく処理しない リンクのコピーリンクがクリップボードにコピーされました!
ConfigurationPolicy
リソースで objectSelector
フィールドと namespaceSelector
フィールドの両方を使用すると、objectSelector
が返すオブジェクトは、namespaceSelector
が返すすべての namespace に適用されます。ConfigurationPolicy
が結果を正しく処理しません。この問題を回避するには、object-templates-raw
フィールドを適用してオブジェクトを反復処理します。
1.3.7.2. namespace が Terminating 状態で停止している場合に、設定ポリシーが準拠と表示される リンクのコピーリンクがクリップボードにコピーされました!
設定ポリシーで complianceType
のパラメーターに mustnothave
、remediationAction
のパラメーターに enforce
が設定されている場合に、ポリシーは Kubernetes API に削除要求が送信されると、準拠と表示されます。そのため、ポリシーが準拠と表示されているにも関わらず、Kubernetes オブジェクトは、Terminating
の状態のままになってしまう可能性があります。
1.3.7.3. ポリシーでデプロイされた Operator が ARM をサポートしない リンクのコピーリンクがクリップボードにコピーされました!
ARM 環境へのインストールはサポートされますが、ポリシーを使用してデプロイされる Operator は ARM 環境をサポートしない可能性があります。Operator をインストールする以下のポリシーは ARM 環境をサポートしません。
- Quay Container Security Operator の Red Hat Advanced Cluster Management ポリシー
- コンプライアンス Operator 向けの Red Hat Advanced Cluster Management ポリシー
1.3.7.4. ConfigurationPolicy カスタムリソース定義が終了処理で停止しています リンクのコピーリンクがクリップボードにコピーされました!
KlusterletAddonConfig
でポリシーコントローラーを無効にするか、クラスターをデタッチして、マネージドクラスターから config-policy-controller
アドオンを削除すると、ConfigurationPolicy
カスタムリソース定義が中断状態でスタックする場合があります。ConfigurationPolicy
カスタムリソース定義が終了状態で停止している場合、後でアドオンを再インストールしても、新しいポリシーがクラスターに追加されない可能性があります。次のエラーが表示されることもあります。
template-error; Failed to create policy template: create not allowed while custom resource definition is terminating
template-error; Failed to create policy template: create not allowed while custom resource definition is terminating
次のコマンドを使用して、カスタムリソース定義がスタックしているかどうかを確認します。
oc get crd configurationpolicies.policy.open-cluster-management.io -o=jsonpath='{.metadata.deletionTimestamp}'
oc get crd configurationpolicies.policy.open-cluster-management.io -o=jsonpath='{.metadata.deletionTimestamp}'
リソースに削除タイムスタンプがある場合、カスタムリソース定義は停止します。この問題を解決するには、クラスターに残っている設定ポリシーからすべてのファイナライザーを削除します。マネージドクラスターで次のコマンドを使用し、<cluster-namespace>
をマネージドクラスターの namespace に置き換えます。
oc get configurationpolicy -n <cluster-namespace> -o name | xargs oc patch -n <cluster-namespace> --type=merge -p '{"metadata":{"finalizers": []}}'
oc get configurationpolicy -n <cluster-namespace> -o name | xargs oc patch -n <cluster-namespace> --type=merge -p '{"metadata":{"finalizers": []}}'
設定ポリシーリソースはクラスターから自動的に削除され、カスタムリソース定義は終了状態を終了します。アドオンがすでに再インストールされている場合は、削除タイムスタンプなしでカスタムリソース定義が自動的に再作成されます。
1.3.7.5. ポリシーステータスは、適用時に更新が繰り返されることを示している リンクのコピーリンクがクリップボードにコピーされました!
ポリシーが remediationAction: enforce
に設定されていて、繰り返し更新されている場合、Red Hat Advanced Cluster Management コンソールには、更新が成功しても繰り返し違反が表示されます。更新を繰り返すと複数のポリシーイベントが生成され、governance-policy-framework-addon
Pod のメモリーが不足してクラッシュすることがあります。このエラーは、次の 2 つの考えられる原因と解決策を参照してください。
別のコントローラーまたはプロセスも、異なる値でオブジェクトを更新しています。
この問題を解決するには、ポリシーを無効にして、ポリシーの
objectDefinition
とマネージドクラスターのオブジェクトの違いを比較します。値が異なる場合は、別のコントローラーまたはプロセスが値を更新している可能性があります。オブジェクトのmetadata
を確認して、値が異なる理由を特定してください。ポリシーの適用時に Kubernetes がオブジェクトを処理するため、
ConfigurationPolicy
のobjectDefinition
が一致しません。この問題を解決するには、ポリシーを無効にして、ポリシーの
objectDefinition
とマネージドクラスターのオブジェクトの違いを比較します。キーが異なるか欠落している場合、Kubernetes は、デフォルト値または空の値を含むキーを削除するなど、キーをオブジェクトに適用する前に処理した可能性があります。
1.3.7.6. ポリシーテンプレート名が重複すると一貫性のない結果が生じる リンクのコピーリンクがクリップボードにコピーされました!
同じポリシーテンプレート名でポリシーを作成すると、検出されない一貫性のない結果が返されますが、原因がわからない場合があります。たとえば、create-pod
という名前の複数の設定ポリシーを含むポリシーを定義すると、一貫性のない結果が発生します。Best practice: ポリシーテンプレートに重複した名前を使用しないようにします。
1.3.7.7. Kyverno ポリシーが最新バージョンのステータスを報告しない リンクのコピーリンクがクリップボードにコピーされました!
ポリシージェネレーターによって生成された Kyverno ポリシーが、Red Hat Advanced Cluster Management クラスターで次のメッセージを報告します。
violation - couldn't find mapping resource with kind ClusterPolicyReport, please check if you have CRD deployed; violation - couldn't find mapping resource with kind PolicyReport, please check if you have CRD deployed
violation - couldn't find mapping resource with kind ClusterPolicyReport, please check if you have CRD deployed;
violation - couldn't find mapping resource with kind PolicyReport, please check if you have CRD deployed
原因は、ジェネレーターの PolicyReport
API バージョンが正しくなく、Kyverno がデプロイしたものと一致しないことです。
1.3.8. ネットワーク関連の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
Submariner の既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。
Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。
非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。
1.3.8.1. Submariner の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
ネットワーク機能の使用中に発生する可能性がある次の既知の問題と制限事項を参照してください。
Submariner バージョン 0.21.0 は、Red Hat Advanced Cluster Management 2.14 と同時にリリースされません。Submariner を Red Hat Advanced Cluster Management と併用する場合は、最新の Submariner バージョンがリリースされて発表されるまで、Red Hat Advanced Cluster Management バージョン 2.14 に更新しないでください。
1.3.8.1.2. OVN-Kubernetes を使用する OpenShift Container Platform 4.18 上のアプリケーションでソース IP が保持されない リンクのコピーリンクがクリップボードにコピーされました!
Submariner 用の OVN-Kubernetes を使用する OpenShift Container Platform 4.18 を使用している場合、パケットが宛先 Pod に到達したときにソース IP が保持されません。その結果、NetworkPolicy
などのソース IP に依存するアプリケーションが正しく動作しない可能性があります。
1.3.8.1.3. ClusterManagementAddon submariner アドオンを使用しないと失敗する リンクのコピーリンクがクリップボードにコピーされました!
バージョン 2.8 以前の場合、Red Hat Advanced Cluster Management をインストールするときに、Operator Lifecycle Manager を使用して submariner-addon
コンポーネントもデプロイします。MultiClusterHub
カスタムリソースを作成しなかった場合、submariner-addon
Pod はエラーを送信し、Operator はインストールできません。
ClusterManagementAddon
カスタムリソース定義がないため、次の通知が発生します。
graceful termination failed, controllers failed with error: the server could not find the requested resource (post clustermanagementaddons.addon.open-cluster-management.io)
graceful termination failed, controllers failed with error: the server could not find the requested resource (post clustermanagementaddons.addon.open-cluster-management.io)
ClusterManagementAddon
リソースは cluster-manager
デプロイメントによって作成されますが、このデプロイメントが使用可能になるのは MultiClusterEngine
コンポーネントがクラスターにインストールされてからです。
MultiClusterHub
カスタムリソースの作成時にクラスター上ですでに使用可能な MultiClusterEngine
リソースが存在しない場合、MultiClusterHub
Operator は MultiClusterEngine
インスタンスと必要な Operator をデプロイし、前のエラーを解決します。
1.3.8.1.4. マネージドクラスターのインポート時に Submariner アドオンリソースが適切にクリーンアップされない リンクのコピーリンクがクリップボードにコピーされました!
submariner-addon
コンポーネントが MultiClusterHub
(MCH) Operator 内で false
に設定されている場合、submariner-addon
ファイナライザーはマネージドクラスターリソースに対して適切にクリーンアップされません。ファイナライザーが適切にクリーンアップされないため、ハブクラスター内で submariner-addon
コンポーネントが無効になりません。
1.3.8.1.5. Submariner インストール計画の制限 リンクのコピーリンクがクリップボードにコピーされました!
Submariner のインストール計画は、全体的なインストール計画の設定に準拠していません。したがって、Operator 管理画面では、Submariner インストール計画は制御できません。デフォルトでは、Submariner インストール計画は自動的に適用され、Submariner アドオンは、インストールされている Red Hat Advanced Cluster Management のバージョンに対応する利用可能な最新バージョンに常に更新されます。この動作を変更するには、カスタマイズされた Submariner サブスクリプションを使用する必要があります。
1.3.8.1.6. 限定的なヘッドレスサービスのサポート リンクのコピーリンクがクリップボードにコピーされました!
Globalnet を使用する場合、セレクターを使用しないヘッドレスサービスのサービスディスカバリーはサポートされません。
1.3.8.1.7. NAT が有効な場合に VXLAN を使用したデプロイはサポートされていない リンクのコピーリンクがクリップボードにコピーされました!
NAT 以外のデプロイメントのみが VXLAN ケーブルドライバーを使用した Submariner デプロイメントをサポートします。
1.3.8.1.8. 自己署名証明書により、ブローカーに接続できない場合がある リンクのコピーリンクがクリップボードにコピーされました!
ブローカーの自己署名証明書により、結合されたクラスターがブローカーに接続できない場合があります。接続は証明書の検証エラーで失敗します。関連する SubmarinerConfig
オブジェクトで InsecureBrokerConnection
を true
に設定すると、ブローカー証明書の検証を無効にできます。以下の例を参照してください。
1.3.8.1.9. Submariner は OpenShift SDN または OVN Kubernetes のみサポート リンクのコピーリンクがクリップボードにコピーされました!
Submariner は、OpenShift SDN または OVN-Kubernetes Container Network Interface (CNI) ネットワークプロバイダーを使用する Red Hat OpenShift Container Platform クラスターのみをサポートします。
1.3.8.1.10. Microsoft Azure クラスターでのコマンド制限 リンクのコピーリンクがクリップボードにコピーされました!
subctl diagnose firewall inter-cluster
コマンドは、Microsoft Azure クラスターでは機能しません。
1.3.8.1.11. カスタム CatalogSource または Subscription で自動アップグレードが機能しない リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes がアップグレードされると、Submariner は自動的にアップグレードされます。カスタムの CatalogSource
または Subscription
を使用している場合、自動アップグレードは失敗する可能性があります。
マネージドクラスターに Submariner をインストールするときに自動アップグレードが確実に機能するようにするには、各マネージドクラスターの SubmarinerConfig
カスタムリソースで spec.subscriptionConfig.channel
フィールドを stable-0.15
に設定する必要があります。
1.3.8.1.12. Submariner は IPsec 対応の OVN-Kubernetes デプロイメントと競合します リンクのコピーリンクがクリップボードにコピーされました!
IPsec 対応の OVN-Kubernetes デプロイメントによって作成された IPsec トンネルは、Submariner によって作成された IPsec トンネルと競合する可能性があります。Submariner では OVN-Kubernetes を IPsec モードで使用しないでください。
1.3.8.1.13. ManageClusterSet から ManagedCluster を削除する前に Submariner をアンインストールする リンクのコピーリンクがクリップボードにコピーされました!
ClusterSet
からクラスターを削除するか、クラスターを別の ClusterSet
に移動すると、Submariner のインストールは無効になります。
ManageClusterSet
から ManagedCluster
を移動または削除する前に、Submariner をアンインストールする必要があります。Submariner をアンインストールしなかった場合、Submariner のアンインストールや再インストールができなくなり、Submariner は ManagedCluster
での動作を停止します。
1.3.9. Multicluster Global Hub Operator の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
Multicluster Global Hub Operator の既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。OpenShift Container Platform クラスターについては、OpenShift Container Platform の既知の問題 を参照してください。
1.3.9.1. マネージドハブクラスターをデタッチすると namespace とリソースが削除されてから再作成される リンクのコピーリンクがクリップボードにコピーされました!
マネージドハブクラスターをホステッドモードでインポートし、それをデタッチすると、open-cluster-management-agent-addon
namespace が削除され、再作成されます。マネージドハブクラスターをデタッチすると、この namespace に関連付けられたすべての addon
リソースも削除され、再作成されます。
現在、この問題に対する回避策はありません。
1.3.9.2. Kafka Operator が再起動を繰り返す リンクのコピーリンクがクリップボードにコピーされました!
連邦情報処理標準 (FIPS) 環境では、メモリー不足 (OOM) 状態のため、Kafka Operator が再起動し続けます。この問題を解決するには、リソース制限を少なくとも 512M
に設定します。この制限を設定する詳細な手順は、amq ストリームドキュメント を参照してください。
1.3.9.3. バックアップおよび復元の既知の問題 リンクのコピーリンクがクリップボードにコピーされました!
元の Multicluster Global Hub クラスターがクラッシュすると、Multicluster Global Hub では、生成されたイベントと cron
ジョブがなくなります。新しい Multicluster Global Hub クラスターを復元しても、イベントと cron
ジョブは復元されません。この問題を回避するには、cron
ジョブを手動で実行します。要約プロセスの手動実行 を参照してください。
1.3.9.4. マネージドクラスターは表示されますが、カウントされない リンクのコピーリンクがクリップボードにコピーされました!
マネージドクラスターが正常に作成されなかった場合、つまり、clusterclaim id.k8s.io
がマネージドクラスターに存在せず、ポリシーコンプライアンスダッシュボードにはカウントされないにも関わらず、ポリシーコンソールには表示されます。
1.3.9.5. Grafana ダッシュボードへの不完全なデータ表示 リンクのコピーリンクがクリップボードにコピーされました!
Kafka メッセージサイズの制限が原因で、Grafana ダッシュボードに完全なデータが表示されない場合があります。デフォルトの制限は 1 megabyte (MB)
です。ポリシーまたはマネージドクラスターデータの合計サイズが 1 MB
を超えるかどうかを確認します。その場合は、要件に合わせて Kafka メッセージのサイズ制限を増やします。
次の手順を実行して、Kafka 設定を変更します。
Kafka container リソースに移動するには、次のコマンドを実行します。
oc edit kafka kafka -n multicluster-global-hub
oc edit kafka kafka -n multicluster-global-hub
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以下の YAML を追加して、Kafka メッセージサイズを
10 MB
に設定します。spec: kafka: config: message.max.bytes: 10485760 replica.fetch.max.bytes: 10485760
spec: kafka: config: message.max.bytes: 10485760 replica.fetch.max.bytes: 10485760
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 各マネージドハブクラスターで、multicluster global hub エージェント Pod を再起動します。デフォルトでは、
agent_installed_namespace
はmulticluster-global-hub-agent
です。以下のコマンドを実行します。oc delete pod multicluster-global-hub-agent-xxx -n agent_installed_namespace
oc delete pod multicluster-global-hub-agent-xxx -n agent_installed_namespace
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.3.9.6. 標準グループのフィルターを新しいページに渡すことができない リンクのコピーリンクがクリップボードにコピーされました!
Global Hub Policy Group Compliancy Overview ハブダッシュボードで、View Offending Policies for standard group をクリックすると、1 つのデータポイントを確認できます。しかし、このリンクをクリックして違反ページに移動すると、標準グループのフィルターを新しいページに渡すことができません。
これは、Cluster Group Compliancy Overview の問題でもあります。
1.4. Red Hat Advanced Cluster Management の非推奨と削除 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes から削除されるか、非推奨となった製品の一部を説明します。推奨アクション および詳細にある、代わりのアクションを検討してください。これは、現在のリリースおよび、1 つ前のリリースと 2 つ前のリリースの表に記載されています。
非推奨: Red Hat Advanced Cluster Management 2.9 以前のバージョンはサポートされなくなりました。ドキュメントは引き続き利用可能になる可能性がありますが、修正された問題やその他の更新に関するエラータリリースは行われません。
ベストプラクティス: 最新バージョンにアップグレードします。
重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノート を参照してください。
1.4.1. 製品の非推奨と削除 リンクのコピーリンクがクリップボードにコピーされました!
非推奨 のコンポーネント、機能またはサービスはサポートされますが、使用は推奨されておらず、今後のリリースで廃止される可能性があります。以下の表に記載されている 推奨アクション と詳細の代替アクションを検討してください。
製品またはカテゴリー | 影響を受けるアイテム | バージョン | 推奨されるアクション | 詳細およびリンク |
---|---|---|---|---|
API のドキュメント | Red Hat Advanced Cluster Management API ドキュメント | Red Hat Advanced Cluster Management 2.13 | ドキュメントではなく、コンソールまたはターミナルから現在のサポートされている API を確認します。 | なし |
アプリケーション管理 | Subscription | Red Hat Advanced Cluster Management 2.13 | 代わりに、Red Hat Advanced Cluster Management と OpenShift GitOps を使用してください。 | 5 回のリリースにわたり非推奨の期間が続いた後、削除されます。更新された機能は、GitOps の概要 を参照してください。 |
アプリケーションとガバナンス |
| 2.8 |
|
|
Multicluster Global Hub | PostgreSQL の手動アップグレードプロセス | Red Hat Advanced Cluster Management 2.14 | なし | 自動データベースアップグレードは、Multicluster Global Hub バージョン 1.5 以降でサポートされています。 |
通常、削除 された項目は、以前のリリースで非推奨となった機能で、製品では利用できなくなっています。削除された機能には、代わりの方法を使用する必要があります。以下の表に記載されている 推奨アクション と詳細の代替アクションを検討してください。
製品またはカテゴリー | 影響を受けるアイテム | バージョン | 推奨されるアクション | 詳細およびリンク |
---|---|---|---|---|
Red Hat Advanced Cluster Management for Kubernetes 検索サービス | 仮想マシンアクションの有効化 (テクノロジープレビュー) | 2.14 | 代わりに、詳細なロールベースのアクセス制御を使用してください。 | ロールベースのアクセス制御 を参照してください。 |
Red Hat Advanced Cluster Management for Kubernetes コンソール | コンソールからの OpenShift Container Platform 3.11 クラスターのインポート | 2.14 | サポートされているバージョンの OpenShift Container Platform にアップグレードします。OpenShift Container Platform ドキュメント を参照してください。 |
非推奨のカスタムリソース定義 |
オリジナルの Overview ページ | Red Hat Advanced Cluster Management for Kubernetes の検索コンソール | 2.13 | 新しいデフォルトの Overview ページを表示するには、Fleet view スイッチを有効にします。 | Red Hat Advanced Cluster Management の Overview ページの以前のレイアウトが再設計されました。 |
インストーラー |
| 2.9 | なし |
インストールの設定は、高度な設定 を参照してください。Red Hat Advanced Cluster Management for Kubernetes バージョンをアップグレードし、最初に |
ポリシーコンプライアンス履歴 API | ガバナンス | 2.13 |
既存のポリシーメトリクスを使用して、コンプライアンスステータスの変更を確認します。 | 詳細は、ポリシーコントローラーの高度な設定 を参照してください。 |
1.5. GDPR 対応に関する Red Hat Advanced Cluster Management プラットフォームの考慮事項 リンクのコピーリンクがクリップボードにコピーされました!
1.5.1. 注意 リンクのコピーリンクがクリップボードにコピーされました!
このドキュメントは、一般データ保護規則 (GDPR) 対応の準備を支援することを目的としています。Red Hat Advanced Cluster Management for Kubernetes プラットフォームの設定可能な機能と、組織の GDPR 対応を促進するために考慮すべき製品の使用上の側面に関する情報を提供します。
お客様が機能を選択して設定する方法は多数あります。また、製品自体の使用方法や、サードパーティーのクラスターおよびシステムと組み合わせて使用する方法も、さまざまなものがあります。そのため、この情報は網羅的ものではありません。
お客様は、欧州連合一般データ保護規則を含むさまざまな法律や規制を自ら遵守する責任を負います。
お客様は、お客様の事業に影響を及ぼす可能性のある関連法規制の特定と解釈、およびかかる法規制を遵守するためにお客様が講じる必要のある措置に関して、資格を有する法律顧問から助言を得る責任を単独で負います。
ここで説明する製品、サービス、およびその他の機能は、すべてのお客様の状況に適しているわけではなく、利用可能な範囲が制限される場合があります。Red Hat は、法律、会計、監査に関する助言を提供しません。また、Red Hat のサービスまたは製品は、お客様が法律や規制に準拠していることを表明または保証するものではありません。
1.5.2. 目次 リンクのコピーリンクがクリップボードにコピーされました!
1.5.3. GDPR リンクのコピーリンクがクリップボードにコピーされました!
一般データ保護規則 (GDPR) は欧州連合 (EU) によって採択され、2018 年 5 月 25 日から適用されています。
1.5.3.1. GDPR が重要な理由 リンクのコピーリンクがクリップボードにコピーされました!
GDPR は、各自の個人データを処理するにあたり、強力なデータ保護規制フレームワークを確立します。GDPR は以下を提供します。
- 個人の権利の追加および強化
- 個人データの定義の広義化
- データ処理者の義務の追加
- 遵守しない場合に多額の罰金が課される可能性
- 情報流出の通知の義務付け
1.5.3.2. GDPR の詳細情報 リンクのコピーリンクがクリップボードにコピーされました!
1.5.4. GDPR に準拠する製品の設定 リンクのコピーリンクがクリップボードにコピーされました!
以下のセクションでは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームでのデータ管理のさまざまな点を説明し、GDPR 要件に準拠するための機能に関する情報を提供します。
1.5.5. データのライフサイクル リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes は、オンプレミスのコンテナー化アプリケーションの開発および管理のアプリケーションプラットフォームです。この製品は、コンテナーオーケストレーターの Kubernetes、クラスターライフサイクル、アプリケーションライフサイクル、セキュリティーフレームワーク (ガバナンス、リスク、コンプライアンス) など、コンテナーを管理するための統合環境です。
そのため、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは主に、プラットフォームの設定や管理に関連する技術データ (一部、GDPR の対象となるデータも含む) を処理します。また、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、プラットフォームの管理ユーザーに関する情報も扱います。このデータは、GDPR 要件を満たす必要のあるお客様が対応できるように、このドキュメント全体で説明します。
このデータは、設定ファイルまたはデータベースとしてローカルまたはリモートのファイルシステム上のプラットフォームで永続化されます。Red Hat Advanced Cluster Management for Kubernetes プラットフォームで実行するように開発されたアプリケーションは、GDPR の影響を受ける他の形式の個人データを扱う可能性があります。プラットフォームデータの保護および管理に使用されるメカニズムは、プラットフォームで実行されるアプリケーションでも利用できます。Red Hat Advanced Cluster Management for Kubernetes プラットフォームで実行されるアプリケーションが収集する個人データを管理して保護するために、追加のメカニズムが必要な場合があります。
Red Hat Advanced Cluster Management for Kubernetes プラットフォームとそのデータフローを最もよく理解するには、Kubernetes、Docker および Operator がどのように機能するか理解する必要があります。このようなオープンソースコンポーネントは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームに不可欠です。Kubernetes デプロイメントは、アプリケーションのインスタンスを配置するのに使用します。これらのアプリケーションのインスタンスは、Docker イメージを参照する Operator に組み込まれます。Operator にはアプリケーションの詳細が含まれ、Docker イメージにはアプリケーションの実行に必要な全ソフトウェアパッケージが含まれます。
1.5.5.1. Red Hat Advanced Cluster Management for Kubernetes プラットフォームを使用したデータフローの種類 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes は、プラットフォームとして複数のカテゴリーの技術データを扱いますが、その中には管理者ユーザー ID とパスワード、サービスユーザー ID とパスワード、Kubernetes ノード名など、個人データとみなされる可能性があるものも含まれます。また、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、プラットフォームの管理ユーザーに関する情報も扱います。プラットフォームで実行されるアプリケーションにより、プラットフォームではまだ知られていない、他のカテゴリーの個人データが取り込まれる可能性があります。
このような技術データの収集/作成、保存、アクセス、セキュリティー設定、ロギング、削除の方法に関する情報は、このドキュメントで後述します。
1.5.5.2. オンラインの連絡先として使用される個人データ リンクのコピーリンクがクリップボードにコピーされました!
お客様は、さまざまな方法で、コメント、フィードバック、および情報の要求をオンラインで送信できます。主な方法を以下に示します。
- Slack チャネルがある場合は、Slack の公開コミュニティー
- 製品ドキュメントに関する公開コメントまたはチケット
- 技術コミュニティーでの公開会話
通常は、連絡先フォームの件名への個人返信を有効にすると、お客様名とメールアドレスのみが使用され、個人データを使用する場合は Red Hat オンラインプライバシーステートメント に準拠します。
1.5.6. データの収集 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、機密性のある個人情報を収集しません。当製品は、管理者ユーザー ID とパスワード、サービスユーザー ID とパスワード、IP アドレス、Kubernetes ノード名など、個人データとみなされる可能性のある技術データを作成し、管理します。また、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、プラットフォームの管理ユーザーに関する情報も扱います。このような情報には、システム管理者がロールベースのアクセス制御を使用した管理コンソールからアクセスするか、シ Red Hat Advanced Cluster Management for Kubernetes プラットフォームノードにログインしてアクセスした場合にのみアクセス可能です。
Red Hat Advanced Cluster Management for Kubernetes プラットフォームで実行されるアプリケーションでは、個人データが収集される可能性があります。
コンテナー化されたアプリケーションを実行する Red Hat Advanced Cluster Management for Kubernetes プラットフォームの使用を評価し、GDPR 要件を満たす必要がある場合には、以下のように、アプリケーションが収集する個人データの種類と、データの管理方法を考慮する必要があります。
- アプリケーションとの間で行き来するデータはどのように保護されるのか ?移動中のデータは暗号化されているか?
- アプリケーションでデータはどのように保存されるのか ?使用していないデータは暗号化されるのか ?
- アプリケーションのアクセスに使用する認証情報はどのように収集され、保存されるのか ?
- アプリケーションがデータソースへのアクセス時に使用する認証情報はどのように収集され、保存されるのか ?
- アプリケーションが収集したデータを必要に応じて削除するにはどうすればよいか ?
これは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームが収集するデータタイプの完全なリストではありません。上記は検討時に使用できるように例として提供しています。データの種類に関するご質問がある場合は、Red Hat にお問い合わせください。
1.5.7. データストレージ リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes プラットフォームでは、設定ファイルまたはデータベースとしてローカルまたはリモートファイルシステムのステートフルストアで、プラットフォームの設定や管理に関する技術データは永続化されます。使用されていない全データのセキュリティーが確保されるように考慮する必要があります。The Red Hat Advanced Cluster Management for Kubernetes プラットフォームには、dm-crypt
を使用するステートフルストアで、使用していないデータを暗号化するサポートがあります。
以下の項目は、GDPR を考慮する必要がある、データの保存エリアを強調表示しています。
- プラットフォームの設定データ: Red Hat Advanced Cluster Management for Kubernetes プラットフォームの設定は、一般的な設定、Kubernetes、ログ、ネットワーク、Docker などの設定のプロパティーを使用して設定 YAML ファイルを更新し、カスタマイズできます。このデータは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームインストーラーへの入力情報として使用し、1 つまたは複数のノードをデプロイします。このプロパティーには、ブートストラップに使用される管理者ユーザー ID とパスワードも含まれます。
-
Kubernetes 設定データ: Kubernetes クラスターの状態データは分散 Key-Value ストア (
etcd
) に保存されます。 - ユーザー ID、パスワードなどのユーザー認証データ: ユーザー ID およびパスワードの管理は、クライアントエンタープライズの LDAP ディレクトリーで対応します。LDAP で定義されたユーザーおよびグループは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームのチームに追加して、アクセスロールを割り当てることができます。Red Hat Advanced Cluster Management for Kubernetes プラットフォームでは、LDAP からメールアドレスとユーザー ID は保存されますが、パスワードは保存されません。Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、グループ名を保存し、ログイン時にユーザーが所属する利用可能なグループをキャッシュします。グループメンバーシップは、長期的に永続化されません。エンタープライズ LDAP で未使用時にユーザーおよびグループデータのセキュリティー確保について、考慮する必要があります。Red Hat Advanced Cluster Management for Kubernetes プラットフォームには、認証サービスと、エンタープライズディレクトリーと対応して、アクセストークンを管理する Open ID Connect (OIDC) が含まれます。このサービスは ETCD をバッキングストアとして使用します。
-
ユーザー ID とパスワードなどのサービス認証データ: コンポーネント間のアクセスに Red Hat Advanced Cluster Management for Kubernetes プラットフォームのコンポーネントが使用する認証情報は、Kubernetes Secret として定義します。Kubernetes リソース定義はすべて
etcd
の Key-Value データストアで永続化されます。初期の認証情報の値は、Kubernetes Secret の設定 YAML ファイルとして、プラットフォームの設定データで定義されます。詳細は、Kubernetes ドキュメントの Secrets を参照してください。
1.5.8. データアクセス リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes プラットフォームデータには、以下の定義済みの製品インターフェイスを使用してアクセスできます。
- Web ユーザーインターフェイス (コンソール)
-
Kubernetes の
kubectl
CLI - Red Hat Advanced Cluster Management for Kubernetes CLI
- oc CLI
これらのインターフェイスは、Red Hat Advanced Cluster Management for Kubernetes クラスターに管理権限での変更を加えることができます。Red Hat Advanced Cluster Management for Kubernetes に管理権限でアクセスする場合にセキュリティーを確保できます。これには、要求時に認証、ロールマッピング、認可の 3 つの論理的な段階を順番に使用します。
1.5.8.1. 認証 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes プラットフォームの認証マネージャーは、コンソールからのユーザーの認証情報を受け入れ、バックエンドの OIDC プロバイダーに認証情報を転送し、OIDC プロバイダーはエンタープライズディレクトリーに対してユーザーの認証情報を検証します。次に OIDC プロバイダーは認証クッキー (auth-cookie
) を、JSON Web Token (JWT
) のコンテンツと合わせて、認証マネージャーに返します。JWT トークンは、認証要求時にグループのメンバーシップに加え、ユーザー ID やメールアドレスなどの情報を永続化します。この認証クッキーはその後コンソールに返されます。クッキーはセッション時に更新されます。クッキーは、コンソールをサインアウトしてから、または Web ブラウザーを閉じてから 12 時間有効です。
コンソールから次回認証要求を送信すると、フロントエンドの NGINX サーバーが、要求で利用可能な認証クッキーをデコードし、認証マネージャーを呼び出して要求を検証します。
Red Hat Advanced Cluster Management for Kubernetes プラットフォーム CLI では、ユーザーはログインに認証情報が必要です。
kubectl
と oc
CLI でも、クラスターへのアクセスに認証情報が必要です。このような認証情報は、管理コンソールから取得でき、12 時間後に有効期限が切れます。サービスアカウント経由のアクセスは、サポートされています。
1.5.8.2. ロールマッピング リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、ロールベースのアクセス制御 (RBAC) をサポートします。ロールマッピングのステージでは、認証ステージで提示されたユーザー名がユーザーまたはグループロールにマッピングされます。認可時にロールを使用して、認証ユーザーがどのような管理者アクティビティーを実行できるか判断します。
1.5.8.3. 認可 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes プラットフォームのロールを使用して、クラスター設定アクション、カタログや Helm リソース、Kubernetes リソースへのアクセスを制御します。クラスター管理者、管理者、Operator、エディター、ビューワーなど、IAM (Identity and Access Management) ロールが複数含まれています。ロールは、チームへの追加時に、ユーザーまたはユーザーグループに割り当てられます。リソースへのチームアクセスは、namespace で制御できます。
1.5.8.4. Pod のセキュリティー リンクのコピーリンクがクリップボードにコピーされました!
Pod のセキュリティーポリシーを使用して、Pod での操作またはアクセス権をクラスターレベルで制御できるように設定します。
1.5.9. データ処理 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes のユーザーは、システム設定を使用して、設定および管理に関する技術データをどのように処理して、データのセキュリティーを確保するかを制御できます。
ロールベースのアクセス制御 (RBAC) では、ユーザーがアクセスできるデータや機能を制御します。
転送中のデータ は TLS
を使用して保護します。HTTPS
(TLS
の下層) は、ユーザークライアントとバックエンドのサービス間でのセキュアなデータ転送を確保するために使用されます。インストール時に、使用するルート証明書を指定できます。
保管時のデータ の保護は、dm-crypt
を使用してデータを暗号化することでサポートされます。
Red Hat Advanced Cluster Management for Kubernetes プラットフォームの技術データの管理、セキュリティー確保と同じプラットフォームのメカニズムを使用して、ユーザーが開発したアプリケーションまたはユーザーがプロビジョニングしたアプリケーションの個人データを管理し、セキュリティーを確保することができます。クライアントは、独自の機能を開発して、追加の制御を実装できます。
1.5.10. データの削除 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes プラットフォームには、コマンド、アプリケーションプログラミングインターフェイス (API)、およびユーザーインターフェイスのアクションが含まれており、製品が作成または収集したデータを削除します。これらの機能により、サービスユーザー ID およびパスワード、IP アドレス、Kubernetes ノード名、または他のプラットフォームの設定データ、プラットフォームを管理するユーザーの情報などの、技術データを削除できます。
データ削除のサポートに関して考慮する必要のある Red Hat Advanced Cluster Management for Kubernetes プラットフォームのエリア:
-
プラットフォーム設定に関連する技術データはすべて、管理コンソールまたは Kubernetes
kubectl
API を使用して削除できます。
アカウントデータ削除のサポートに関して考慮する必要のある Red Hat Advanced Cluster Management for Kubernetes プラットフォームのエリア:
-
プラットフォーム設定に関連する技術データはすべて、Red Hat Advanced Cluster Management for Kubernetes または Kubernetes または
kubectl
API を使用して削除できます。
エンタープライズ LDAP ディレクトリーで管理されているユーザー ID およびパスワードを削除する機能は、Red Hat Advanced Cluster Management for Kubernetes プラットフォームが使用する LDAP 製品で提供されます。
1.5.11. 個人データの使用を制限する機能 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes プラットフォームでは、エンドユーザーはこのドキュメントでまとめられている機能を使用し、個人データとみなされるプラットフォーム内の技術データの使用を制限することができます。
GDPR では、ユーザーはデータへのアクセス、変更、取り扱いの制限をする権利があります。このガイドの他の項を参照して、以下を制御します。
アクセス権限
- Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、データへの個別アクセスを設定できます。
- Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、個人に対し、このプラットフォームが保持する個人データの情報を提供できます。
変更する権限
- Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、個人がデータを変更または修正できるようにします。
- Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、個人のデータを修正できます。
処理を制限する権限
- Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、個人データの取り扱いを停止できます。
1.5.12. 付録 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes は、プラットフォームとして複数のカテゴリーの技術データを扱いますが、その中には管理者ユーザー ID とパスワード、サービスユーザー ID とパスワード、Kubernetes ノード名など、個人データとみなされる可能性があるものも含まれます。また、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、プラットフォームの管理ユーザーに関する情報も扱います。プラットフォームで実行されるアプリケーションにより、プラットフォームではまだ知られていない、他のカテゴリーの個人データが取り込まれる可能性があります。
この付録には、プラットフォームサービスでロギングされるデータの情報が含まれます。
1.6. FIPS への対応 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Advanced Cluster Management for Kubernetes は、Federal Information Processing Standards (FIPS) 向けに設計されています。FIPS モードの Red Hat OpenShift Container Platform で実行する場合、OpenShift Container Platform は、OpenShift Container Platform でサポートされているアーキテクチャーでのみ、FIPS 検証のために NIST に提出された Red Hat Enterprise Linux 暗号化ライブラリーを使用します。
NIST 検証プログラムの詳細は、暗号化モジュール検証プログラム を参照してください。
RHEL 暗号化ライブラリーの個別バージョンに関して検証用に提出された最新の NIST ステータスは、Compliance Activities and Government Standards を参照してください。
FIPS を有効にしてクラスターを管理する予定の場合は、FIPS モードで動作するように設定した OpenShift Container Platform クラスターに Red Hat Advanced Cluster Management をインストールする必要があります。ハブクラスターで作成した暗号化はマネージドクラスターで使用されるため、ハブクラスターは FIPS モードである必要があります。
マネージドクラスターで FIPS モードを有効にするには、OpenShift Container Platform マネージドクラスターをプロビジョニングするときに fips: true
と設定します。クラスターのプロビジョニング後は、FIPS を有効にすることはできません。
詳細は、OpenShift Container Platform ドキュメントの クラスターに追加のセキュリティーが必要ですか? を参照してください。
1.6.1. FIPS 準備の制限 リンクのコピーリンクがクリップボードにコピーされました!
FIPS 対応については、Red Hat Advanced Cluster Management コンポーネントと機能に関する次の制限事項をお読みください。
- 検索および可観測性コンポーネントによって使用される Persistent Volume Claim (PVC) および S3 ストレージは、指定のストレージを設定する際に暗号化する必要があります。Red Hat Advanced Cluster Management はストレージ暗号化を提供しません。OpenShift Container Platform ドキュメントの 永続ストレージの設定 を参照してください。
Red Hat Advanced Cluster Management コンソールを使用してマネージドクラスターをプロビジョニングする場合は、マネージドクラスター作成の Cluster details セクションで以下のチェックボックスを選択して、FIPS 標準を有効にします。
FIPS with information text: Use the Federal Information Processing Standards (FIPS) modules provided with Red Hat Enterprise Linux CoreOS instead of the default Kubernetes cryptography suite file before you deploy the new managed cluster.
FIPS with information text: Use the Federal Information Processing Standards (FIPS) modules provided with Red Hat Enterprise Linux CoreOS instead of the default Kubernetes cryptography suite file before you deploy the new managed cluster.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Red Hat Advanced Cluster Management と統合されている Red Hat Edge Manager (Technolgy Preview) コンポーネントは、FIPS 対応として開発されていません。
1.7. 可観測性のサポート リンクのコピーリンクがクリップボードにコピーされました!
- Red Hat Advanced Cluster Management は、Red Hat OpenShift Data Foundation (以前の Red Hat OpenShift Container Platform) によってテストされ、完全にサポートされています。
- Red Hat Advanced Cluster Management は、S3 API と互換性のあるユーザー提供のオブジェクトストレージにおけるマルチクラスター可観測性 Operator の機能をサポートします。可観測性サービスは、Thanos がサポートする安定したオブジェクトストアを使用します。
- Red Hat Advanced Cluster Management サポートして、根本原因を特定するため妥当なレベルで取り組みます。サポートチケットを開いて、その根本原因が提供した S3 互換オブジェクトストレージにある場合は、カスタマーサポートチャネルを使用して問題を起票する必要があります。