Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

リリースノート

Red Hat Advanced Cluster Management for Kubernetes 2.16

新機能、Red Hat Advanced Cluster Management のサポートマトリックス、エラータの更新を説明します。既知の問題と制限、非推奨と削除、GDPR および FIPS への対応に関する情報を提供します。

概要

新機能、エラータの更新、既知の問題、非推奨と削除、GDPR および FIPS への対応に関する製品の考慮事項の詳細を説明します。

第1章 Red Hat Advanced Cluster Management のリリースノート
リンクのコピー

Red Hat Advanced Cluster Management 2.16 の新機能と拡張機能、サポート、非推奨、削除、およびエラータリリースで修正された問題を説明します。

重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノート を参照してください。

Red Hat Advanced Cluster Management サポートマトリックス にアクセスして、ハブクラスターとマネージドクラスターの要件と各コンポーネントのサポートを確認してください。ライフサイクルの情報は、Red Hat OpenShift Container Platform ライフサイクルポリシー を参照してください。

重要: このドキュメントに、OpenShift Container Platform のリリースノートは含まれていません。OpenShift Container Platform クラスターについては、OpenShift Container Platform リリースノート を参照してください。

非推奨: Red Hat Advanced Cluster Management 2.9 以前のバージョンはサポートされなくなりました。ドキュメントは引き続き利用可能になる可能性がありますが、修正された問題やその他の更新に関するエラータリリースは行われません。

ベストプラクティス: 最新バージョンにアップグレードします。

  • ドキュメント内のコンポーネントが OpenShift Container Platform の特定のバージョンのみで作成およびテストされていない限り、ドキュメントではサポートされている最も古い Red Hat OpenShift Container Platform バージョンを参照します。
  • 完全なサポート情報は、Red Hat Advanced Cluster Management サポートマトリックス と、Red Hat Advanced Cluster Management for Kubernetes のライフサイクルと更新ポリシー を参照してください。
  • 現在サポートされているリリースのいずれか、製品ドキュメントで問題が発生した場合は、Red Hat サポート にアクセスして、トラブルシューティングを行ったり、ナレッジベースの記事を表示したり、サポートチームに連絡したり、ケースを開いたりすることができます。認証情報でログインする必要があります。
  • Red Hat Customer Portal FAQ で、カスタマーポータルのドキュメントの詳細を確認することもできます。

1.1. Red Hat Advanced Cluster Management の新機能と機能拡張
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes 2.16 は、組み込みのガバナンス、クラスターライフサイクル管理、GitOps によるアプリケーションライフサイクル管理、および観測可能性により、Kubernetes ドメイン全体を可視性します。

Red Hat Advanced Cluster Management バージョン 2.16 は、クラスターライフサイクル管理用の multicluster engine Operator バージョン 2.11 とともにリリースされています。このリリースのクラスター管理の詳細は、multicluster engine Operator によるクラスターライフサイクルのリリースノート を参照してください。

Red Hat Advanced Cluster Management サポートマトリックス にアクセスして、ハブクラスターとマネージドクラスターの要件と各コンポーネントのサポートを確認してください。ライフサイクルの情報は、Red Hat OpenShift Container Platform ライフサイクルポリシー を参照してください。

重要:

  • Red Hat Advanced Cluster Management は、Cloud Native Computing Foundation (CNCF) Kubernetes Conformance Program を通じて認定されたすべてのプロバイダーをサポートします。ハイブリッドクラウドマルチクラスター管理には、CNCF が認定したベンダーを選択してください。CNCF プロバイダーの使用は、次の情報を参照してください。
  • Certified Kubernetes Conformance で CNCF プロバイダーがどのように認定されるかを学びます。
  • CNCF サードパーティープロバイダーに関する Red Hat サポート情報は、サードパーティーコンポーネントに関する Red Hat サポート を参照するか、Red Hat サポートへのお問い合わせ を参照してください。
  • 独自の CNCF 適合認定クラスターを使用する場合は、OpenShift Container Platform CLI の oc コマンドを Kubernetes CLI コマンドの kubectl に変更する必要があります。

1.1.1. このリリースに関する一般的なお知らせ
リンクのコピー

Red Hat Advanced Cluster Management は、AWS Marketplace で提供されており、オンデマンドまたは年間での価格設定が利用可能です。Red Hat OpenShift Service on AWS (classic) クラスターで Red Hat Advanced Cluster Management を実行する場合は、簡素化された請求オプションをご利用いただけますAWS Marketplace の Red Hat Advanced Cluster Management は、請求の一元化、柔軟なリソース消費、コストの効率化を実現します。

  • AWS Marketplace から購入すると、MultiClusterHub リソースをインストールしてクラスターを管理できます。全体的な消費量を表示するには、console.redhat.com にアクセスしてください。Subscriptions Usage > OpenShift をクリックします。ドロップダウンメニューから Variant: Red Hat Advanced Cluster Management を選択します。
  • Red Hat OpenShift Container Platform 用の生成 AI 搭載仮想アシスタントである Red Hat OpenShift Lightspeed の Attach 機能を使用して、マネージドクラスターリソースの詳細を質問のコンテキストとして追加します。Lightspeed のインストール方法については、Red Hat OpenShift Lightspeed のインストールドキュメントを参照してください。インストール後、任意のマネージドクラスターのページで Infrastructure > Clusters > Cluster details をクリックして、アシスタントにアクセスします。Attach 機能は、関連するクラスターの YAML ファイルの詳細を ManagedCluster リソースと ManagedClusterInfo リソースからエージェントとの会話に自動的に追加します。

1.1.2. 各コンポーネントの新機能と機能強化
リンクのコピー

Red Hat Advanced Cluster Management 内のコンポーネントの新機能に関する具体的な詳細を確認します。

一部の機能およびコンポーネントは テクノロジープレビュー として指定され、リリースされます。

ドキュメントの MultiClusterHub の詳細設定 で、Red Hat Advanced Cluster Management の詳細設定オプションを参照してください。

1.1.3. コンソール
リンクのコピー

検索機能を含む Red Hat Advanced Cluster Management 統合コンソールの新機能を説明します。

  • コンソールは Hosted Control Plane アップグレードパスをサポートするようになり、ホストされたクラスターのチャネルを管理するためのチャネルモーダルを表示します。アップグレード可能なチャネルは ManagedClusterInfo リソースに表示されます。
  • 検索 API の limitoffsetorderBy パラメーターを使用してページネーションを設定することで、大規模な検索データセットを管理できます。詳細は、検索クエリー API を参照してください。
  • 検索用の永続ボリューム要求が欠落しており、システムに重大な問題が存在する場合、Prometheus から SearchPVCNotPresentCritical アラートが送信されます。詳細は、検索サービスのカスタマイズ を参照してください。

コンソールの詳細は、Web コンソール を参照してください。

1.1.4. クラスター
リンクのコピー

multicluster engine Operator に関連する新機能は、ドキュメントの クラスター セクションの multicluster engine Operator によるクラスターライフサイクルの新機能と機能拡張 を参照してください。

その他のクラスター管理タスクとサポート情報は multicluster engine Operator によるクラスターのライフサイクルの概要 を参照してください。

1.1.5. Multicluster Global Hub
リンクのコピー

このリリースの Multicluster Global Hub の新機能を説明します。

  • マネージドクラスターを段階的に移行し、元のハブクラスターを廃止する前に各ステータスを検証できます。ゼロタッチプロビジョニング (ZTP) 移行は、移行全体を通してクラスターの状態、設定、および OpenShift GitOps 管理を維持しながら、完全にプロビジョニングされたベアメタルクラスターの移行を容易にします。詳細は、Multicluster Global Hub マネージドクラスターの移行 を参照してください。

その他の Multicluster Global Hub トピックは、Multicluster Global Hub を参照してください。

1.1.6. アプリケーションと GitOps
リンクのコピー

アプリケーション管理と GitOps の新機能について説明します。

  • Argo CD クラスターシークレット内でカスタム認証局 (CA) 証明書を設定できるようになりました。これにより、Argo CD コントロールプレーンとマネージドクラスター間のセキュアで検証済みの TLS 接続が可能になります。詳細は、マネージドクラスターを Red Hat OpenShift GitOps Operator に登録するRed Hat OpenShift GitOps トークン を参照してください。

その他のアプリケーションおよび GitOps のトピックは、アプリケーションの管理 を参照してください。

1.1.7. オブザーバビリティー
リンクのコピー

オブザーバビリティーに関する新機能について説明します。

  • ワークロードを最適化するための RightSizingRecommendation 機能が一般提供されました。オブザーバビリティーサービスを有効にすると、namespace サイズの適正化と仮想化サイズの適正化がデフォルトで有効になります。詳細は、RightSizingRecommendation ガイド を参照してください。
  • Multicluster observability アドオンを通じてオブザーバビリティーが有効になっている場合、AddonDeploymentConfig リソースを使用してオブザーバビリティーに必要なリソース要件を設定できるようになりました。詳細は、multicluster observability アドオンの有効化 および klusterlet アドオンを設定するための AddOnDeploymentConfig 設定 を参照してください。
  • Thanos コンパクターの現在の最大コンパクションレベルは 4 です。この設定により、1 時間分のダウンサンプリングされたブロックを作成できます。その結果、observability-thanos-compact-0 Pod のメモリー使用量とオブジェクトストレージバケットのストレージ消費量が増加します。Thanos コンパクターは、より多くの PUT および DELETE 操作を実行して、より長い期間のブロックを作成します。詳細は、可観測性アーキテクチャー を参照してください。
  • Multicluster observability アドオンを通じてオブザーバビリティーを有効にすると、AddonDeploymentConfig リソースを使用してオブザーバビリティーに必要なリソース要件を設定できるようになりました。詳細は、multicluster observability アドオンの有効化 および klusterlet アドオンを設定するための AddOnDeploymentConfig 設定 を参照してください。
  • allowlist-migration コマンドラインインターフェイスを使用して、observability-metrics-allowlist カスタムリソースを ScrapeConfig および PrometheusRule リソースに変換します。ScrapeConfig および PrometheusRule リソースに変換することで、multicluster-observability-addon のカスタム許可リスト設定を柔軟かつスケーラブルな方法で管理できるようになります。詳細は、カスタム許可リストの移行 を参照してください。
  • オブザーバビリティーインスタンスサイズ機能を使用すると、Red Hat Advanced Cluster Management のスケーリングプロセスを単純化できます。各コンポーネントを個別にスケーリングするのではなく、すべてのコンポーネントを事前に指定された設定にスケーリングします。詳細は、オブザーバビリティーインスタンスサイズの変更 を参照してください。

詳細は、オブザーバビリティーサービス を参照してください。

1.1.8. ネットワーク
リンクのコピー

ネットワーク関連の新機能について説明します。

1.1.9. 仮想化
リンクのコピー

  • 仮想化における詳細レベルのロールベースアクセス制御 (RBAC) の一般提供が開始されました。詳細レベルの RBAC により、管理者はマネージドクラスター全体にわたるアクセス許可を、より高いセキュリティーと柔軟性をもって管理できるようになります。詳細は、仮想マシン向けの詳細レベルのロールベースアクセス制御 の概要を参照してください。
  • Red Hat Advanced Cluster Management Fleet Management インターフェイスに、クラスター全体にわたる仮想マシンの管理に特化したロールが追加されました。これにより、標準的な仮想化機能が拡張され、フリート全体の運用に対して特定のアクセスレベルが提供されます。仮想化におけるロールの詳細は、詳細レベルの RBAC のロールと説明 を参照してください。
  • 新しい MultiClusterRoleAssignment カスタムリソースを使用すると、仮想マシンのロールベースアクセス制御 (RBAC) を管理できます。管理者は、宣言型メソッドを使用して、ハブクラスター上で権限ロジックを一元化し、マネージドクラスターに伝播させます。詳細は、詳細レベルのロールベースアクセス制御の MulticlusterRoleAssignment を参照してください。詳細レベルのロールベースアクセス制御の MulticlusterRoleAssignment の例 を参照してください。
  • HyperConverged リソースを編集することで、インフラストラクチャー要件の変更時の柔軟性を高め、デプロイメントをファインチューニングできるようになりました。詳細は、クラスター間での仮想マシンの移行 を参照してください。
  • Red Hat Advanced Cluster Management に、仮想化に関する新しいロールが追加され、クラスター間の移行や Fleet Management コンソールへのアクセスが可能になりました。仮想化におけるロールについては、以下を参照してください。
  • acm-vm-extended:view: Kubernetes リソースへの読み取り専用アクセスを提供します。
  • acm-vm-extended:admin: Kubernetes リソースへの管理アクセスを提供します。
  • acm-vm-fleet:view: フリート仮想化コンソールを使用するために必要な最小限の権限を提供します。
  • acm-vm-fleet:admin: フリート仮想化コンソールを使用し、クラスター間のライブマイグレーションを実行するために必要な権限を提供します。
  • acm-vm-cluster-migration:view: 移行の準備状況チェックに必要な権限を提供します。移行に関するロールの詳細は、仮想マシンのクラスター間移行 を参照してください。

詳細は、仮想化 を参照してください。

1.1.10. このリリースの詳細
リンクのコピー

リリースに関する詳細情報と製品のサポート情報を参照してください。

1.2. Red Hat Advanced Cluster Management の問題修正
リンクのコピー

デフォルトでは、エラータ リリース向けに修正された問題は、リリース時に自動的に適用されます。リリースが入手可能になれば、詳細がここに公開されます。リリースノートが記載されていない場合は、現時点で製品にエラータリリースがありません。

重要: 参考までに、Jira リンクと Jira 番号がコンテンツに追加され、内部で使用される可能性があります。ユーザーは、アクセス権が必要なリンクを利用できない可能性があります。Red Hat の エラータリリース の種類を説明します。

アップグレードの詳細は、Operator を使用したアップグレード を参照してください。

重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノート を参照してください。

1.3. Red Hat Advanced Cluster Management の既知の問題
リンクのコピー

アプリケーション管理に関する既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノート を参照してください。

重要: このドキュメントに、OpenShift Container Platform のリリースノートは含まれていません。OpenShift Container Platform クラスターについては、OpenShift Container Platform リリースノート を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

1.3.1. インストール関連の既知の問題
リンクのコピー

インストールとアップグレードに関する既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

OpenShift Container Platform から Red Hat Advanced Cluster Management をアンインストールすると、後で以前のバージョンをインストールしてアップグレードする場合に問題が発生する可能性があります。たとえば、Red Hat Advanced Cluster Management をアンインストールしてから以前のバージョンの Red Hat Advanced Cluster Management をインストールし、そのバージョンをアップグレードすると、アップグレードが失敗する可能性があります。カスタムリソースが削除されなかった場合、アップグレードは失敗します。

この問題を回避するには、再インストールする前にアーティファクトをクリーンアップする に記載された手順に従ってください。

ACM-14343

Red Hat Advanced Cluster Management 2.15 から 2.16 へのアップグレード中に、kubevirt-hyperconverged-operator リソースがクリーンアップされず、ManifestWork リソースに次のエラーが表示されます。 

Failed to apply manifest: operatorpolicies.policy.open-cluster-management.io
"kubevirt-hyperconverged-operator" is forbidden: User
"system:serviceaccount:open-cluster-management-agent:klusterlet-work-sa"
cannot get resource "operatorpolicies" in API group
"policy.open-cluster-management.io" in the namespace "open-cluster-management-policies"

この問題を解決するには、以下の手順を実行します。

  1. 既存のリソースを削除します。以下のコマンドを実行します。 

    oc delete clustermanagementaddon kubevirt-hyperconverged-operator --ignore-not-found

oc delete addontemplate kubevirt-hyperconverged-operator --ignore-not-found

  2. kubevirt-hyperconverged ClusterManagementAddOn リソースの installer.namespace ラベルで指定されている namespace を取得します。以下のコマンドを実行し、ステップ 4 で使用するためにその出力を記録します。 

    oc get clustermanagementaddon kubevirt-hyperconverged -o jsonpath='{.metadata.labels.installer\.namespace}'

  3. 以前の ClusterManagementAddOn リソース (バージョン v1alpha1) を削除します。以下のコマンドを実行します。 

    oc delete clustermanagementaddon kubevirt-hyperconverged

  4. ClusterManagementAddOn リソースを作成します。以下の例を参照してください。<installer_namespace> は、前の手順で取得した値に置き換えます。 

    apiVersion: addon.open-cluster-management.io/v1beta1
kind: ClusterManagementAddOn
metadata:
  name: kubevirt-hyperconverged
  annotations:
    addon.open-cluster-management.io/lifecycle: "addon-manager"
spec:
  addOnMeta:
    description: Kubevirt Hyperconverged
    displayName: Kubevirt Hyperconverged
  defaultConfigs:
    - group: addon.open-cluster-management.io
      resource: addontemplates
      name: kubevirt-hyperconverged
  installStrategy:
    type: Placements
    placements:
    - name: openshift-cnv
      namespace: <installer_namespace>

  5. 次のコマンドを実行して、リソースを適用します。 

    oc apply -f <filename.yaml

ACM-31036

1.3.2. ビジネス継続性関連の既知の問題
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes の既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

1.3.2.1. バックアップおよび復元の既知の問題
リンクのコピー

バックアップと復元の既知の問題と制限事項が、利用可能な場合は回避策とともにここにリストされます。

syncRestoreWithNewBackupstrue に設定して Restore リソースをパッシブ同期モードで設定し、BackupStorageLocation が一時的に利用できなくなった場合、Velero の復元操作は FailedValidation ステータスで失敗します。

BackupStorageLocation を復元してバックアップが正常に作成された後も、Red Hat Advanced Cluster Management の Restore リソースは Error 状態のままになります。これは、失敗した Velero 復元オブジェクトがクラスター内に残存し、そのためにコントローラーが新たな復元を試行できなくなるために発生します。

この問題は、以下の状況を引き起こします。

  • 2 番目のハブクラスターに異常があるように表示されます。
  • 自動化された障害復旧スクリプトまたはツールが、クラスターは切り替え準備ができていないと識別します。
  • Restore 操作では、BackupStorageLocation 問題が解決されても同期操作は自動的に再開されません。

バックアップ同期操作を再開するには、失敗した Velero 復元オブジェクトを手動で削除します。以下のコマンドを実行します。<failed_restore_name> は、失敗した Velero 復元オブジェクトの名前に置き換えます。 

oc -n open-cluster-management-backup delete restore.velero.io <failed_restore_name>

失敗したオブジェクトが削除された後、Restore コントローラーは次の操作を実行します。

  • Velero 復元オブジェクトが欠落していることを検出します。
  • 最新のバックアップに基づいて、新しい Velero リ復元オブジェクトを作成します。
  • Restore リソースフェーズを Enabled に更新します。
1.3.2.1.2. Velero 復元の制限
リンクのコピー

データが復元される新しいハブクラスターにユーザーが作成したリソースがある場合、新しいハブクラスターはアクティブなハブクラスターとは異なる設定を持つことができます。たとえば、バックアップデータが新しいハブクラスターで復元される前に、新しいハブクラスターで作成された既存のポリシーを含めることができます。

既存のリソースが復元されたバックアップの一部でない場合、Velero はそれらをスキップするため、新しいハブクラスターのポリシーは変更されず、新しいハブクラスターとアクティブなハブクラスターの間で異なる設定が生じます。

この制限に対処するために、クラスターのバックアップと復元のオペレーターは、restore.cluster.open-cluster-management.io リソースが作成されたときに、ユーザーが作成したリソースをクリーンアップする復元後の操作、または別の復元操作を実行します。

詳細は、復元後のハブクラスターのクリーニング のトピックを参照してください。

GH-21861

1.3.2.1.3. パッシブ設定ではマネージドクラスターが表示されない
リンクのコピー

マネージドクラスターは、アクティブ化データがパッシブハブクラスターで復元された場合にのみ表示されます。

GH-22098

1.3.2.1.4. マネージドクラスターリソースが復元されない
リンクのコピー

local-cluster マネージドクラスターリソースの設定を復元し、新しいハブクラスターで local-cluster データを上書きすると、設定が正しく設定されません。リソースにはクラスター URL の詳細など、local-cluster 固有の情報が含まれているため、以前のハブクラスター local-cluster のコンテンツはバックアップされません。

復元されたクラスターの local-cluster リソースに関連するすべての設定変更を手動で適用する必要があります。バックアップおよび復元 Operator のインストール トピックの 新しいハブクラスターの準備 を参照してください。

GH-21054

Hive マネージドクラスターの変更またはローテーションされた認証局 (CA) のバックアップを新しいハブクラスターで復元すると、マネージドクラスターは新しいハブクラスターへの接続に失敗します。このマネージドクラスターの admin kubeconfig シークレット (バックアップで使用可能) が無効になっているため、接続は失敗します。

新しいハブクラスター上のマネージドクラスターの復元された admin kubeconfig シークレットを手動で更新する必要があります。

GH-25461

1.3.2.1.6. インポートされたマネージドクラスターに Pending Import ステータスが表示される
リンクのコピー

プライマリーハブクラスターに手動でインポートされたマネージドクラスターは、アクティブ化データがパッシブハブクラスターで復元されると、Pending Import のステータスを示します。詳細は、管理されたサービスアカウントを使用したクラスターの接続 を参照してください。

ACM-1890

ハブクラスターデータが新しいハブクラスターで復元されるとき、appliedmanifestwork は固定クラスターセットではないアプリケーションサブスクリプションの配置規則を持つマネージドクラスターから削除されません。

固定クラスターセットではないアプリケーションサブスクリプションの配置ルールの例を次に示します。 

spec:
  clusterReplicas: 1
  clusterSelector:
    matchLabels:
      environment: dev

その結果、マネージドクラスターが復元されたハブクラスターから切り離されると、アプリケーションは孤立します。

この問題を回避するには、配置ルールで固定クラスターセットを指定します。以下の例を参照してください。 

spec:
  clusterSelector:
    matchLabels:
      environment: dev

次のコマンドを実行して、残りの appliedmanifestwork を手動で削除することもできます。 

oc delete appliedmanifestwork <the-left-appliedmanifestwork-name>

GH-27129

1.3.2.2. Volsync の既知の問題
リンクのコピー

カスタム CA 証明書を使用してクラスターを管理したハブクラスターのバックアップを復元した後、マネージドクラスターとハブクラスター間の接続が失敗する場合があります。これは、復元されたハブクラスターで CA 証明書がバックアップされなかったためです。接続を復元するには、マネージドクラスターの namespace にあるカスタム CA 証明書情報を、復元されたハブクラスターの <managed_cluster>-admin-kubeconfig シークレットにコピーします。

注記: バックアップコピーを作成する前にこの CA 証明書をハブクラスターにコピーする場合は、バックアップコピーにシークレット情報が含まれます。今後、バックアップコピーを使用して復元すると、ハブクラスターとマネージドクラスター間の接続が自動的に完了します。

GH-19481

1.3.3. コンソール関連の既知の問題
リンクのコピー

コンソールの既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

1.3.3.1. klusterlet-addon-search Pod が失敗する
リンクのコピー

メモリー制限に達したため、klusterlet-addon-search Pod が失敗します。マネージドクラスターで klusterlet-addon-search デプロイメントをカスタマイズして、メモリーの失われると制限を更新する必要があります。ハブクラスターで、search-collector という名前の ManagedclusterAddon カスタムリソースを編集します。search-collector にアノテーション addon.open-cluster-management.io/search_memory_request=512Mi および addon.open-cluster-management.io/ search_memory_limit=1024Mi を追加し、メモリーを更新します。

たとえば、foobar という名前のマネージドクラスターがある場合、次のコマンドを実行して、メモリーリクエストを 512Mi に変更し、メモリー制限を 1024Mi に変更します。 

oc annotate managedclusteraddon search-collector -n foobar \
addon.open-cluster-management.io/search_memory_request=512Mi \
addon.open-cluster-management.io/search_memory_limit=1024Mi

GH-27173

1.3.3.2. 検索でマネージドクラスターのノード情報が表示されない
リンクのコピー

検索で、ハブクラスターのリソース用の RBAC がマッピングされます。ユーザー RBAC の設定によっては、マネージドクラスターからのノードデータが表示されない場合があります。また検索の結果は、クラスターの Nodes ページに表示される内容と異なる場合があります。

GH-4598

1.3.3.3. コンソールで OpenShift Dedicated をアップグレードできない
リンクのコピー

コンソールから OpenShift Dedicated クラスターのアップグレードをリクエストできますが、アップグレードは失敗し、Cannot upgrade non openshift cluster というエラーメッセージが表示されます。現在、回避策はありません。

ACM-10143

1.3.3.4. PostgreSQL Pod の CrashLoopBackoff 状態を検索する
リンクのコピー

search-postgres Pod は CrashLoopBackoff 状態です。Red Hat Advanced Cluster Management が hugepages パラメーターが有効になっているノードを含むクラスターにデプロイされており、これらのノードで search-postgres Pod がスケジュールされている場合、Pod は起動しません。

search-postgres Pod のメモリーを増やすには、次の手順を実行します。

  1. 以下のコマンドを使用して search-operator Pod を一時停止します。 

    oc annotate search search-v2-operator search-pause=true

  2. hugepages パラメーターの制限を使用して、search-postgres デプロイメントを更新します。次のコマンドを実行して、hugepages パラメーターを 512Mi に設定します。 

    oc patch deployment search-postgres --type json -p '[{"op": "add", "path": "/spec/template/spec/containers/0/resources/limits/hugepages-2Mi", "value":"512Mi"}]'

  3. Pod のメモリー使用量を確認する前に、search-postgres Pod が Running 状態にあることを確認します。以下のコマンドを実行します。 

    oc get pod <your-postgres-pod-name>  -o jsonpath="Status: {.status.phase}"

  4. 次のコマンドを実行して、search-postgres Pod のメモリー使用量を確認します。 

    oc get pod <your-postgres-pod-name> -o jsonpath='{.spec.containers[0].resources.limits.hugepages-2Mi}'

512Mi の値が表示されます。

ACM-7467

1.3.3.5. クラスターセットのネームスペースバインディングを編集できない
リンクのコピー

admin または bind ロールを使用してクラスターセットの namespace バインディングを編集すると、次のメッセージのようなエラーが発生する場合があります。

ResourceError: managedclustersetbindings.cluster.open-cluster-management.io "<cluster-set>" is forbidden: User "<user>" cannot create/delete resource "managedclustersetbindings" in API group "cluster.open-cluster-management.io" in the namespace "<namespace>".

この問題を解決するには、バインドする namespace で ManagedClusterSetBinding リソースを作成または削除する権限も持っていることを確認してください。ロールバインディングでは、クラスターセットを namespace にバインドすることしかできません。

GH-25389

1.3.3.6. Hosted Control Plane クラスターをプロビジョニングした後、水平スクロールが機能しない
リンクのコピー

Hosted Control Plane クラスターをプロビジョニングした後、ClusterVersionUpgradeable パラメーターが長すぎると、Red Hat Advanced Cluster Management コンソールのクラスター概要を水平方向にスクロールできない場合があります。結果として、非表示のデータを表示することはできません。

この問題を回避するには、ブラウザーのズームコントロールを使用してズームアウトするか、Red Hat Advanced Cluster Management コンソールウィンドウのサイズを大きくするか、テキストをコピーして別の場所に貼り付けます。

GH-27107

1.3.3.7. OpenShift Cloud Manager コンソールで cluster-ID を入力する際の問題
リンクのコピー

OpenShift Cloud Manager コンソールで cluster-ID にアクセスしなかった場合でも、ターミナルから Red Hat OpenShift Service on AWS (classic) cluster-ID の説明を取得できます。Red Hat OpenShift Service on AWS (classic) コマンドラインインターフェイスが必要です。Red Hat OpenShift Service on AWS (classic) CLI ドキュメントの開始方法 を参照してください。

cluster-ID を取得するには、Red Hat OpenShift Service on AWS (classic) コマンドラインインターフェイスから次のコマンドを実行します。 

rosa describe cluster --cluster=<cluster-name> | grep -o ’^ID:.*

ACM-10651

1.3.4. クラスター管理の既知の問題と制限事項
リンクのコピー

Red Hat Advanced Cluster Management を使用した クラスター管理 に関する既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

スタンドアロンの multicluster engine Operator によるクラスター管理の既知の問題と制限は、multicluster engine Operator ドキュメントの クラスターライフサイクルの既知の問題と制限 を参照してください。

1.3.4.1. ハブクラスター通信の制限
リンクのコピー

ハブクラスターがマネージドクラスターにアクセスできない、またはマネージドクラスターと通信できない場合、次の制限が発生します。

  • コンソールを使用して新しいマネージドクラスターを作成できません。コマンドラインインターフェイスを使用するか、コンソールで Run import commands manually オプションを使用して、マネージドクラスターを手動でインポートできます。
  • コンソールを使用して Application または ApplicationSet をデプロイする場合、またはマネージドクラスターを ArgoCD にインポートする場合、ハブクラスター ArgoCD コントローラーはマネージドクラスター API サーバーを呼び出します。AppSub または ArgoCD pull モデルを使用して問題を回避できます。

ACM-6292

1.3.4.2. local-cluster が自動的に再作成されない場合がある
リンクのコピー

disableHubSelfManagementfalse に設定されている場合、local-cluster は MulticlusterHub Operator によって再作成されます。local-cluster をデタッチした後、local-cluster が自動的に再作成されない場合があります。

  • この問題を解決するには、MulticlusterHub によって監視されるリソースを変更します。以下の例を参照してください。 

    oc delete deployment multiclusterhub-repo -n <namespace>
  • local-cluster を適切にデタッチするには、MultiClusterHubdisableHubSelfManagement を true に設定します。

GH-17790

1.3.4.3. 別の名前で再インポートした後に local-cluster のステータスがオフラインになる
リンクのコピー

local-cluster という名前のクラスターを、誤って別の名前のクラスターとして再インポートしようとすると、local-cluster と再インポートしたクラスターのステータスが offline と表示されます。

このケースから回復するには、以下の手順を行います。

  1. ハブクラスターで以下のコマンドを実行して、ハブクラスターの自己管理の設定を一時的に編集します。 

    oc edit mch -n open-cluster-management multiclusterhub
  2. spec.disableSelfManagement=true の設定を追加します。

  3. ハブクラスターで以下のコマンドを実行し、local-cluster を削除し、再デプロイします。 

    oc delete managedcluster local-cluster

  4. 以下のコマンドを実行して local-cluster 管理設定を削除します。 

    oc edit mch -n open-cluster-management multiclusterhub
  5. 前の手順で追加した spec.disableSelfManagement=true を削除します。

GH-16977

1.3.4.4. ハブクラスターとマネージドクラスターのクロックが同期されない
リンクのコピー

ハブクラスターおよびマネージドクラスターの時間が同期されず、コンソールで unknown と表示され、最数的に、数分以内に available と表示されます。OpenShift Container Platform ハブクラスターの時間が正しく設定されていることを確認します。ノードのカスタマイズ を参照してください。

GH-5636

1.3.5. 仮想化に関する既知の問題
リンクのコピー

Red Hat Advanced Cluster Management Virtualization 機能の既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

Red Hat OpenShift Virtualization を Red Hat Advanced Cluster Management と併用する際に発生する可能性がある次の既知の問題と制限事項を参照してください。

Red Hat OpenShift Virtualization 4.20 を使用した Red Hat Advanced Cluster Management 2.15 Virtualization はサポートされていません。Red Hat Advanced Cluster Management 2.15 では、Red Hat OpenShift Virtualization 4.20.1 以降を使用する必要があります。

1.3.5.2. 仮想マシンリソースの検索結果のみ表示
リンクのコピー

詳細レベルの RBAC を有効にしてリソースを検索しようとすると、kubevirt.io ClusterRoles 内の仮想マシンリソースのみが表示され、その他のリソースは表示されません。この問題を回避するには、fine-grained-rbac 機能を無効にします。以下の手順を実行します。

  1. MultiClusterHub リソースで fine-grained-rbac を無効にします。

    1. 以下のコマンドを実行して、MultiClusterHub リソースを編集します。 

      oc edit mch -n open-cluster-management multiclusterhub
    2. configOverrides の仕様を enabled: true から enabled: false に変更します。この機能を無効にした次の例を参照してください。 
        - configOverrides: {}
      enabled: false
      name: fine-grained-rbac

ACM-26537

1.3.6. アプリケーションの既知の問題と制限事項
リンクのコピー

アプリケーション管理に関する既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

アプリケーションライフサイクルコンポーネントは、次の既知の問題を参照してください。

1.3.6.1. Red Hat OpenShift GitOps 1.17 へのアップグレードで権限エラーが発生する
リンクのコピー

OpenShift GitOps Operator をバージョン 1.17 にアップグレードすると、ApplicationSet リソースステータスで権限エラーが発生します。

この問題を回避するには、以下の手順を実行します。

  1. openshift-gitops namespace に移動し、openshift-gitops-applicationset-controller-placement という名前の RoleBinding リソースを削除します。
  2. open-cluster-management namespace 内の multicluster-operators-application-\*\ Pod を再起動します。

ACM-23907

1.3.6.2. サブスクリプションアプリケーションに誤った警告メッセージが表示される
リンクのコピー

サブスクリプションアプリケーション (非推奨) をデプロイすると、Application Topology ページのサブスクリプションノードに警告メッセージが表示されます。サブスクリプションノードの詳細を確認すると、local-cluster がオフラインであると誤って表示されます。

local-cluster の実際のステータスを確認するには、コンソールナビゲーションから Infrastructure > Clusters をクリックします。

ACM-18544

ハブクラスターでアプリケーションリソースが更新されると、アプリケーションページのテーブルも更新されます。アプリケーションテーブルのメニューを開いている場合、アプリケーションページのテーブルが更新されるたびにメニューが閉じます。メニューが頻繁に閉じるため、メニューをクリックするのが難しい場合があります。

この問題を回避するには、アプリケーション名をクリックしてアプリケーションの詳細ページに移動します。詳細ページでも同じアクションメニューをクリックできます。更新のたびにメニューが閉じることはありません。

ACM-18543

1.3.6.4. アプリケーショントポロジーに無効な式が表示される
リンクのコピー

Placement リソースで Exist または DoesNotExist Operator を使用すると、アプリケーショントポロジーノードの詳細に式が \#invalidExpr として表示されます。この表示は間違っていますが、式は引き続き有効であり、Placement リソースで機能します。この問題を回避するには、Placement リソース YAML 内の式を編集します。

ACM-15077

PlacementRule リソースを参照するサブスクリプションアプリケーションを作成した後、サブスクリプション YAML はコンソールの YAML エディターに表示されません。ターミナルを使用してサブスクリプション YAML ファイルを編集します。

ACM-8889

Helm Chart を使用すると、Kubernetes シークレットでプライバシーデータを定義し、Helm チャートの value.yaml ファイルでこのシークレットを参照できます。

ユーザー名とパスワードは、参照される Kubernetes シークレットリソース dbsecret によって指定されます。たとえば、以下の value.yaml ファイルの例を参照してください。 

credentials:
  secretName: dbsecret
  usernameSecretKey: username
  passwordSecretKey: password

シークレットの依存関係を含む Helm チャートは、Helm バイナリー CLI でのみサポートされます。Operator SDK Helm ライブラリーではサポートされていません。Red Hat Advanced Cluster Management サブスクリプションコントローラーは、Operator SDK Helm ライブラリーを適用して、Helm チャートをインストールおよびアップグレードします。そのため、Red Hat Advanced Cluster Management サブスクリプションは、シークレットの依存関係が含まれる Helm チャートをデプロイできません。

ACM-8727

1.3.6.7. Argo CD プルモデル ApplicationSet アプリケーションのトポロジーが正しく表示されない
リンクのコピー

Argo CD プルモデルを使用して ApplicationSet アプリケーションをデプロイし、アプリケーションのリソース名がカスタマイズされている場合、リソース名がクラスターごとに異なって表示される場合があります。これが発生すると、トポロジーではアプリケーションが正しく表示されません。

ACM-6954

1.3.6.8. ローカルクラスターは pull モデルのマネージドクラスターとして除外されます
リンクのコピー

ハブクラスターアプリケーションセットはターゲットマネージドクラスターにデプロイされますが、マネージドハブクラスターであるローカルクラスターはターゲットマネージドクラスターとして除外されます。

その結果、Argo CD アプリケーションが Argo CD プルモデルによってローカルクラスターに伝播される場合に、ローカルクラスターが Argo CD ApplicationSet リソースの配置決定から削除されても、ローカルクラスターの Argo CD アプリケーションは削除されません。

問題を回避し、ローカルクラスターの Argo CD アプリケーションを削除するには、ローカルクラスターの Argo CD アプリケーションから skip-reconcile アノテーションを削除します。以下のアノテーションを参照してください。 

annotations:
    argocd.argoproj.io/skip-reconcile: "true"

さらに、Argo CD コンソールの Applications セクションでプルモデルの Argo CD アプリケーションを手動で更新すると、更新は処理されず、Argo CD コンソールの REFRESH ボタンが無効になります。

この問題を回避するには、Argo CD アプリケーションから refresh アノテーションを削除します。以下のアノテーションを参照してください。 

annotations:
    argocd.argoproj.io/refresh: normal

ACM-7843

1.3.6.9. Argo CD コントローラーと伝播コントローラーは同時に調整する可能性があります
リンクのコピー

Argo CD コントローラーと伝播コントローラーの両方が同じアプリケーションリソース上で調整し、マネージドクラスター上で異なるデプロイメントモデルからのアプリケーションデプロイメントの重複インスタンスが発生する可能性があります。

Pull モデルを使用してアプリケーションをデプロイする場合、Argo CD argocd.argoproj.io/skip-reconcile アノテーションが ApplicationSet のテンプレートセクションに追加されると、Argo CD コントローラーはこれらのアプリケーションリソースを無視します。

argocd.argoproj.io/skip-reconcile アノテーションは、GitOps operator バージョン 1.9.0 以降でのみ使用できます。競合を防ぐには、プルモデルを実装する前に、ハブクラスターとすべてのマネージドクラスターが GitOps operator バージョン 1.9.0 にアップグレードされるまで待ってください。

1.3.6.10. リソースのデプロイに失敗する
リンクのコピー

MulticlusterApplicationSetReport にリストされているすべてのリソースは、実際にはマネージドクラスターにデプロイされます。リソースのデプロイに失敗した場合、そのリソースはリソースリストには含まれませんが、原因はエラーメッセージにリストされます。

1.3.6.11. リソースの割り当てには数分かかる場合があります
リンクのコピー

1,000 を超えるマネージドクラスターと、数百のマネージドクラスターにデプロイされた Argo CD アプリケーションセットがある大規模環境の場合、ハブクラスターでの Argo CD アプリケーションの作成には数分かかる場合があります。次のファイル例に示されているように、アプリケーションセットの clusterDecisionResource ジェネレーターで requeueAfterSecondszero に設定できます。 

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: cm-allclusters-app-set
  namespace: openshift-gitops
spec:
  generators:
  - clusterDecisionResource:
      configMapRef: ocm-placement-generator
      labelSelector:
        matchLabels:
          cluster.open-cluster-management.io/placement: app-placement
      requeueAfterSeconds: 0

subscription-admin ロールの ObjectBucket チャネルタイプで許可リストと拒否リストを指定することはできません。他の種類のチャネルでは、サブスクリプションの許可リストと拒否リストによって、デプロイできる Kubernetes リソースとデプロイできない Kubernetes リソースが示されます。

GH-22763

1.3.6.13. multicluster_operators_subscription イメージへの変更は自動的に有効にならない
リンクのコピー

マネージドクラスターで実行している application-manager アドオンは、以前は klusterlet Operator により処理されていましたが、サブスクリプション Operator により処理されるようになりました。サブスクリプション Operator は multicluster-hub で管理されていないため、multicluster-hub イメージマニフェスト ConfigMap の multicluster_operators_subscription イメージへの変更は自動的に有効になりません。

サブスクリプション Operator が使用するイメージが、multicluster-hub イメージマニフェスト ConfigMap の multicluster_operators_subscription イメージを変更することによってオーバーライドされた場合、マネージドクラスターの application-manager アドオンは、サブスクリプション Operator Pod が再起動するまで新しいイメージを使用しません。Pod を再起動する必要があります。

1.3.6.14. サブスクリプション管理者以外はポリシーリソースをデプロイできない
リンクのコピー

Red Hat Advanced Cluster Management バージョン 2.4 では、デフォルトで policy.open-cluster-management.io/v1 リソースがアプリケーションサブスクリプションによってデプロイされなくなりました。

サブスクリプション管理者は、このデフォルトの動作を変更するためにアプリケーションサブスクリプションをデプロイする必要があります。

詳細は、サブスクリプション管理者としての許可リストおよび拒否リストの作成 を参照してください。以前の Red Hat Advanced Cluster Management バージョンの既存のアプリケーションサブスクリプションによってデプロイされた policy.open-cluster-management.io/v1 リソースは、サブスクリプション管理者がアプリケーションサブスクリプションをデプロイしていない限り、ソースリポジトリーに合わせて調整されません。

ACM-893

1.3.6.15. アプリケーション Ansible フックのスタンドアロンモード
リンクのコピー

Ansible フックのスタンドアロンモードはサポートされていません。サブスクリプションを使用してハブクラスターに Ansible フックをデプロイするには、次のサブスクリプション YAML を使用できます。 

apiVersion: apps.open-cluster-management.io/v1
kind: Subscription
metadata:
  name: sub-rhacm-gitops-demo
  namespace: hello-openshift
annotations:
  apps.open-cluster-management.io/github-path: myapp
  apps.open-cluster-management.io/github-branch: master
spec:
  hooksecretref:
      name: toweraccess
  channel: rhacm-gitops-demo/ch-rhacm-gitops-demo
  placement:
     local: true

ただし、spec.placement.local:true ではサブスクリプションが standalone モードで実行されているため、この設定では Ansible インストールが作成されない可能性があります。ハブモードでサブスクリプションを作成する必要があります。

  1. local-cluster にデプロイする配置ルールを作成します。次のサンプルを参照してください。ここでの local-cluster: "true" はハブクラスターを指します。 

    apiVersion: apps.open-cluster-management.io/v1
kind: PlacementRule
metadata:
  name: <towhichcluster>
  namespace: hello-openshift
spec:
  clusterSelector:
    matchLabels:
      local-cluster: "true"

  2. 使用しているサブスクリプションで、作成した配置ルールを参照します。以下のサンプルを参照してください。 

    apiVersion: apps.open-cluster-management.io/v1
kind: Subscription
metadata:
  name: sub-rhacm-gitops-demo
  namespace: hello-openshift
annotations:
  apps.open-cluster-management.io/github-path: myapp
  apps.open-cluster-management.io/github-branch: master
spec:
  hooksecretref:
      name: toweraccess
  channel: rhacm-gitops-demo/ch-rhacm-gitops-demo
  placement:
     placementRef:
        name: <towhichcluster>
        kind: PlacementRule

両方を適用すると、ハブクラスターに作成された Ansible インスタンスが表示されます。

GH-8036

1.3.6.16. 配置ルールの更新後にアプリケーションがデプロイされない
リンクのコピー

配置ルールの更新後にアプリケーションがデプロイされない場合は、application-manager Pod が実行されていることを確認します。application-manager は、マネージドクラスターで実行する必要があるサブスクリプションコンテナーです。

oc get pods -n open-cluster-management-agent-addon |grep application-manager を実行して確認できます。

コンソールで kind:pod cluster:yourcluster を検索して、application-manager が実行されているかどうかを確認することもできます。

検証できない場合は、もう一度、クラスターのインポートを試行して検証を行います。

1.3.6.17. サブスクリプション Operator が SCC を作成しない
リンクのコピー

Red Hat OpenShift Container Platform SCC の詳細は、Security Context Constraints の管理 を参照してください。これは、マネージドクラスターで必要な追加設定です。

デプロイメントごとにセキュリティーコンテキストとサービスアカウントが異なります。サブスクリプション Operator は SCC CR を自動的に作成できず、管理者が Pod のパーミッションを制御します。Security Context Constraints (SCC) CR は、関連のあるサービスアカウントに適切なパーミッションを有効化して、デフォルトではない namespace で Pod を作成する必要があります。使用している namespace で SCC CR を手動で作成するには、以下の手順を実行します。

  1. デプロイメントで定義したサービスアカウントを検索します。たとえば、以下の nginx デプロイメントを参照してください。 

    nginx-ingress-52edb
nginx-ingress-52edb-backend

  2. 使用している namespace に SCC CR を作成して、サービスアカウントに必要なパーミッションを割り当てます。以下の例を参照してください。kind: SecurityContextConstraints が追加されています。 

    apiVersion: security.openshift.io/v1
 defaultAddCapabilities:
 kind: SecurityContextConstraints
 metadata:
   name: ingress-nginx
   namespace: ns-sub-1
 priority: null
 readOnlyRootFilesystem: false
 requiredDropCapabilities:
 fsGroup:
   type: RunAsAny
 runAsUser:
   type: RunAsAny
 seLinuxContext:
   type: RunAsAny
 users:
 - system:serviceaccount:my-operator:nginx-ingress-52edb
 - system:serviceaccount:my-operator:nginx-ingress-52edb-backend

GH-24248

1.3.6.18. アプリケーションチャネルには一意の namespace が必要
リンクのコピー

同じ namespace に複数のチャネルを作成すると、ハブクラスターでエラーが発生する可能性があります。

たとえば、namespace charts-v1 は、Helm タイプのチャネルとしてインストーラーで使用するので、charts-v1 に追加のチャネルを作成します。一意の namespace でチャネルを作成するようにしてください。すべてのチャネルには個別の namespace が必要ですが、GitHub チャネルは例外で、別 GitHub のチャネルと namespace を共有できます。

1.3.6.19. Ansible Automation Platform ジョブが失敗する
リンクのコピー

互換性のないオプションを選択すると、Ansible ジョブの実行に失敗します。Ansible Automation Platform は、-cluster-scoped のチャネルオプションが選択されている場合にのみ機能します。これは、Ansible ジョブを実行する必要があるすべてのコンポーネントに影響します。

GH-14469

Red Hat Ansible Automation Platform Operator は、プロキシー対応の OpenShift Container Platform クラスターの外部にある Ansible Automation Platform にアクセスできません。解決するには、プロキシー内に Ansible Automation Platform をインストールできます。Ansible Automation Platform によって提供されるインストール手順を参照してください。

GH-16821

1.3.6.21. アプリケーション名の要件
リンクのコピー

アプリケーション名は 37 文字を超えることができません。この数を超えた場合、アプリケーションのデプロイメント時に以下のエラーが表示されます。 

status:
  phase: PropagationFailed
  reason: 'Deployable.apps.open-cluster-management.io "_long_lengthy_name_" is invalid: metadata.labels: Invalid value: "_long_lengthy_name_": must be no more than 63 characters/n'

GH-14310

1.3.6.22. アプリケーションコンソールテーブルの制限事項
リンクのコピー

コンソールのさまざまな アプリケーション の表に対する以下の制限を確認してください。

  • Overview ページの Applications の表と、Advanced configuration ページの Subscriptions の表にある Clusters の列では、アプリケーションリソースのデプロイ先のクラスター数が表示されます。アプリケーションは、ローカルクラスターのリソースで定義されているため、実際のアプリケーションリソースがローカルクラスターにデプロイされているかどうかにかかわらず、ローカルのクラスターは検索結果に含まれます。
  • SubscriptionsAdvanced configuration 表にある Applications の列には、サブスクリプションを使用するアプリケーションの合計数が表示されますが、サブスクリプションが子アプリケーションをデプロイする場合には、これらも検索結果に含まれます。
  • ChannelsAdvanced configuration 表にある Subscriptions の列には、対象のチャネルを使用するローカルクラスター上のサブスクリプション合計数が表示されます。ただし、他のサブスクリプションがデプロイするサブスクリプションは検索結果には含まれますが、ここには含まれません。

GH-12410

1.3.6.23. アプリケーションコンソールトポロジーのフィルタリング機能がない
リンクのコピー

2.16 では、アプリケーションコンソールトポロジー が変更されます。コンソールの Topology ページにフィルタリング機能はありません。

GH-20831

1.3.6.24. 多くのロールバインディングを作成すると ClusterPermission リソースが失敗する
リンクのコピー

同じ namespace 内に多数のロールバインディングを含む ClusterPermission リソースを作成し、オプションの name フィールドを設定しないと、失敗します。このエラーは、namespace 内のロールバインディングに同じ名前が使用されているために発生します。

この問題を回避するには、各ロールバインディングのオプションの name フィールドに一意の名前を設定します。

ACM-21342

1.3.7. オブザーバビリティー関連の既知の問題
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes の既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

1.3.7.1. 手動で設定されたアラート転送が失敗する
リンクのコピー

Red Hat Advanced Cluster Management 2.15 以降にアップグレードするときに、MultiClusterObservability カスタムリソースで mco-disable-alerting: true を設定して自動設定を無効にし、アラート転送を手動で設定した場合、アラート転送は失敗します。

アップグレード後にアラート転送が失敗するのは、observability-alertmanager-accessor シークレットと hub-alertmanager-router-ca シークレットの名前が、ハブクラスター ID の接尾辞を含むように変更されたためです。

ハブクラスター ID は、ハブクラスター上の ClusterVersion カスタムリソースのメタデータにある uuid フィールドから取得されます。ダッシュを削除し、最初の 19 文字に切り詰めた ID が、alertmanager シークレットに追加されます。

この問題を解決するには、手動で設定したアラート転送設定を更新して、シークレットの新しい名前を使用します。

プラットフォームアラートの場合は、openshift-monitoring namespace の cluster-monitoring-config config map 内のシークレット名を更新します。ユーザーワークロードアラートの場合は、openshift-user-workload-monitoring namespace の user-workload-monitoring-config config map 内のシークレット名を更新します。openshift-monitoring および openshift-user-workload-monitoring namespace で新しいシークレット名を見つけます。

ACM-26604

1.3.7.2. 保持期間の変更によりデータが失われる
リンクのコピー

すべての解像度レベル (retentionResolutionRawretentionResolution5mretentionResolution1h など) のデフォルトの保持期間は 365 日 (365d) です。この 365d のデフォルトの保持期間は、1 時間の解像度のデフォルトの保持期間が無期限 0d から 365d に短縮されたことを意味します。この保持の変更により、データが失われる可能性があります。MultiClusterObservability spec.advanced.retentionConfig パラメーターで解像度保持の明示的な値を設定していない場合は、データが失われる可能性があります。

詳細は、保持の詳細設定の追加 を参照してください。

ACM-11048

Kubernetes の制限が原因で、復元されたハブクラスター内の Observatorium API ゲートウェイ Pod には、バックアップおよび復元手順の後に古いテナントデータが含まれる可能性があります。制限の詳細は Mounted ConfigMaps are updated automatically を参照してください。

その結果、Observatorium API と Thanos ゲートウェイはコレクターからのメトリクスを拒否し、Red Hat Advanced Cluster Management Grafana ダッシュボードにはデータが表示されません。

Observatorium API ゲートウェイ Pod ログから、次のエラーを参照してください。 

level=error name=observatorium caller=logchannel.go:129 msg="failed to forward metrics" returncode="500 Internal Server Error" response="no matching hashring to handle tenant\n"

Thanos は、以下のエラーを出して Pod ログを受信します。 

caller=handler.go:551 level=error component=receive component=receive-handler tenant=xxxx err="no matching hashring to handle tenant" msg="internal server error"

この問題を解決するには、次の手順を参照してください。

  1. observability-observatorium-api デプロイメントインスタンスを N から 0 にスケールダウンします。
  2. observability-observatorium-api デプロイメントインスタンスを 0 から N にスケールアップします。

注記: デフォルトでは N = 2 ですが、一部のカスタム設定環境では 2 より大きくなる場合があります。

これにより、すべての Observatorium API ゲートウェイ Pod が正しいテナント情報で再起動され、コレクターからのデータが 5 ~ 10 分以内に Grafana に表示され始めます。

ACM-9681

1.3.7.4. openshift-monitoring namespace に PrometheusRules と ServiceMonitor を追加する権限が拒否される
リンクのコピー

定義済みの Red Hat Advanced Cluster Management ハブクラスター namespace 内のラベルを使用する必要があります。openshift.io/cluster-monitoring: "true" のラベルを指定して、Cluster Monitoring Operator はメトリクスの namespace を取得します。

Red Hat Advanced Cluster Management がデプロイされるか、インストールがアップグレードされると、Red Hat Advanced Cluster Management Observability ServiceMonitors および PrometheusRule リソースは openshift-monitoring namespace に存在しなくなります。

ACM-8499

1.3.7.5. プロキシー設定のサポートなし
リンクのコピー

オブザーバビリティーアドオンの Prometheus AdditionalAlertManagerConfig リソースは、プロキシー設定をサポートしていません。オブザーバビリティーアラート転送機能を無効にする必要があります。

アラート転送を無効にするには、次の手順を実行します。

  1. MultiClusterObservability リソースに移動します。
  2. mco-disabling-alerting パラメーターの値を true に更新します。

自己署名 CA 証明書を使用する HTTPS プロキシーはサポートされていません。

ACM-7118

1.3.7.5.1. Grafana のダウンサンプリングデータの不一致
リンクのコピー

履歴データをクエリーしようとしたときに、計算されたステップ値とダウンサンプリングされたデータの間に不一致がある場合、結果は空になります。たとえば、計算されたステップ値が 5m で、ダウンサンプリングされたデータが 1 時間間隔の場合、データは Grafana から表示されません。

この不一致は、URL クエリーパラメーターが Thanos Query フロントエンドデータソースを介して渡される必要があるために発生します。その後、データが欠落している場合、URL クエリーは他のダウンサンプリングレベルに対して追加のクエリーを実行できます。

Thanos Query フロントエンドデータソース設定を手動で更新する必要があります。以下の手順を実行します。

  1. Query フロントエンドデータソースに移動します。
  2. クエリーパラメーターを更新するには、Misc セクションをクリックします。
  3. Custom query parameters フィールドから、max_source_resolution=auto を選択します。
  4. データが表示されていることを確認するには、Grafana ページを更新します。

Grafana ダッシュボードからクエリーデータが表示されます。

ACM-3748

カスタム Observatorium API と Alertmanager URL は、TLS パススルーを備えた中間コンポーネントのみをサポートします。両方のカスタム URL が同じ中間コンポーネントを指している場合、OpenShift Container Platform ルーターは同じホストを持つ 2 つの別個のルートオブジェクトをサポートしていないため、別々のサブドメインを使用する必要があります。

ACM-11407

1.3.8. ガバナンス関連の既知の問題
リンクのコピー

ガバナンスに関する既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

1.3.8.1. namespace が Terminating 状態で停止している場合に、設定ポリシーが準拠と表示される
リンクのコピー

設定ポリシーで complianceType のパラメーターに mustnothaveremediationAction のパラメーターに enforce が設定されている場合に、ポリシーは Kubernetes API に削除要求が送信されると、準拠と表示されます。そのため、ポリシーが準拠と表示されているにも関わらず、Kubernetes オブジェクトは、Terminating の状態のままになってしまう可能性があります。

GH-20715

1.3.8.2. ConfigurationPolicy カスタムリソース定義が終了処理で停止しています
リンクのコピー

KlusterletAddonConfig でポリシーコントローラーを無効にするか、クラスターをデタッチして、マネージドクラスターから config-policy-controller アドオンを削除すると、ConfigurationPolicy カスタムリソース定義が中断状態でスタックする場合があります。ConfigurationPolicy カスタムリソース定義が終了状態で停止している場合、後でアドオンを再インストールしても、新しいポリシーがクラスターに追加されない可能性があります。次のエラーが表示されることもあります。 

template-error; Failed to create policy template: create not allowed while custom resource definition is terminating

次のコマンドを使用して、カスタムリソース定義がスタックしているかどうかを確認します。 

oc get crd configurationpolicies.policy.open-cluster-management.io -o=jsonpath='{.metadata.deletionTimestamp}'

リソースに削除タイムスタンプがある場合、カスタムリソース定義は停止します。この問題を解決するには、クラスターに残っている設定ポリシーからすべてのファイナライザーを削除します。マネージドクラスターで次のコマンドを使用し、<cluster-namespace> をマネージドクラスターの namespace に置き換えます。 

oc get configurationpolicy -n <cluster-namespace> -o name | xargs oc patch -n <cluster-namespace> --type=merge -p '{"metadata":{"finalizers": []}}'

設定ポリシーリソースはクラスターから自動的に削除され、カスタムリソース定義は終了状態を終了します。アドオンがすでに再インストールされている場合は、削除タイムスタンプなしでカスタムリソース定義が自動的に再作成されます。

GH-25139

1.3.8.3. ポリシーステータスは、適用時に更新が繰り返されることを示している
リンクのコピー

ポリシーが remediationAction: enforce に設定されていて、繰り返し更新されている場合、Red Hat Advanced Cluster Management コンソールには、更新が成功しても繰り返し違反が表示されます。更新を繰り返すと複数のポリシーイベントが生成され、governance-policy-framework-addon Pod のメモリーが不足してクラッシュすることがあります。このエラーは、次の 2 つの考えられる原因と解決策を参照してください。

  • 別のコントローラーまたはプロセスも、異なる値でオブジェクトを更新しています。

    この問題を解決するには、ポリシーを無効にして、ポリシーの objectDefinition とマネージドクラスターのオブジェクトの違いを比較します。値が異なる場合は、別のコントローラーまたはプロセスが値を更新している可能性があります。オブジェクトの metadata を確認して、値が異なる理由を特定してください。

  • ポリシーの適用時に Kubernetes がオブジェクトを処理するため、ConfigurationPolicyobjectDefinition が一致しません。

    この問題を解決するには、ポリシーを無効にして、ポリシーの objectDefinition とマネージドクラスターのオブジェクトの違いを比較します。キーが異なるか欠落している場合、Kubernetes は、デフォルト値または空の値を含むキーを削除するなど、キーをオブジェクトに適用する前に処理した可能性があります。

ACM-3109

1.3.8.4. Kyverno ポリシーが最新バージョンのステータスを報告しない
リンクのコピー

ポリシージェネレーターによって生成された Kyverno ポリシーが、Red Hat Advanced Cluster Management クラスターで次のメッセージを報告します。 

violation - couldn't find mapping resource with kind ClusterPolicyReport, please check if you have CRD deployed;
violation - couldn't find mapping resource with kind PolicyReport, please check if you have CRD deployed

原因は、ジェネレーターの PolicyReport API バージョンが正しくなく、Kyverno がデプロイしたものと一致しないことです。

ACM-12743

1.3.9. ネットワーク関連の既知の問題
リンクのコピー

Submariner の既知の問題を確認してください。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。

Red Hat OpenShift Container Platform クラスターの場合は、OpenShift Container Platform の既知の問題 を参照してください。

非推奨と削除の詳細は、Red Hat Advanced Cluster Management の非推奨と削除 を参照してください。

1.3.9.1. Submariner の既知の問題
リンクのコピー

ネットワーク機能の使用中に発生する可能性がある次の既知の問題と制限事項を参照してください。

1.3.9.1.1. IBM Power Systems への Submariner のインストールが失敗する
リンクのコピー

Red Hat Advanced Cluster Management 2.15 を使用している場合、Submariner は現在これらのバージョンではサポートされていないため、IBM システムにインストールすることはできません。

ACM-27270

Submariner 用の OVN-Kubernetes で OpenShift Container Platform バージョン 4.18 から 4.19.5 より前のバージョンを使用している場合、パケットが宛先 Pod に到達したときにソース IP は保持されません。その結果、NetworkPolicy などのソース IP に依存するアプリケーションが正しく動作しない可能性があります。

ACM-18680

1.3.9.1.3. ClusterManagementAddon submariner アドオンを使用しないと失敗する
リンクのコピー

バージョン 2.8 以前の場合、Red Hat Advanced Cluster Management をインストールするときに、Operator Lifecycle Manager を使用して submariner-addon コンポーネントもデプロイします。MultiClusterHub カスタムリソースを作成しなかった場合、submariner-addon Pod はエラーを送信し、Operator はインストールできません。

ClusterManagementAddon カスタムリソース定義がないため、次の通知が発生します。 

graceful termination failed, controllers failed with error: the server could not find the requested resource (post clustermanagementaddons.addon.open-cluster-management.io)

ClusterManagementAddon リソースは cluster-manager デプロイメントによって作成されますが、このデプロイメントが使用可能になるのは MultiClusterEngine コンポーネントがクラスターにインストールされてからです。

MultiClusterHub カスタムリソースの作成時にクラスター上ですでに使用可能な MultiClusterEngine リソースが存在しない場合、MultiClusterHub Operator は MultiClusterEngine インスタンスと必要な Operator をデプロイし、前のエラーを解決します。

GH-24159

submariner-addon コンポーネントが MultiClusterHub (MCH) Operator 内で false に設定されている場合、submariner-addon ファイナライザーはマネージドクラスターリソースに対して適切にクリーンアップされません。ファイナライザーが適切にクリーンアップされないため、ハブクラスター内で submariner-addon コンポーネントが無効になりません。

ACM-8549

1.3.9.1.5. Submariner インストール計画の制限
リンクのコピー

Submariner のインストール計画は、全体的なインストール計画の設定に準拠していません。したがって、Operator 管理画面では、Submariner インストール計画は制御できません。デフォルトでは、Submariner インストールプランが自動的に適用され、Submariner アドオンは常に、インストールされている Red Hat Advanced Cluster Management バージョンに対応する最新の利用可能なバージョンに更新されます。この動作を変更するには、カスタマイズされた Submariner サブスクリプションを使用する必要があります。

ACM-8260

1.3.9.1.6. 限定的なヘッドレスサービスのサポート
リンクのコピー

Globalnet を使用する場合、セレクターを使用しないヘッドレスサービスのサービスディスカバリーはサポートされません。

GH-24159

1.3.9.1.7. NAT が有効な場合に VXLAN を使用したデプロイはサポートされていない
リンクのコピー

NAT 以外のデプロイメントのみが VXLAN ケーブルドライバーを使用した Submariner デプロイメントをサポートします。

GH-24258

1.3.9.1.8. 自己署名証明書により、ブローカーに接続できない場合がある
リンクのコピー

ブローカーの自己署名証明書により、結合されたクラスターがブローカーに接続できない場合があります。接続は証明書の検証エラーで失敗します。関連する SubmarinerConfig オブジェクトで InsecureBrokerConnectiontrue に設定すると、ブローカー証明書の検証を無効にできます。以下の例を参照してください。 

apiVersion: submarineraddon.open-cluster-management.io/v1alpha1
kind: SubmarinerConfig
metadata:
   name: submariner
   namespace: <managed-cluster-namespace>
spec:
   insecureBrokerConnection: true

GH-27008

1.3.9.1.9. Submariner は OpenShift SDN または OVN Kubernetes のみサポート
リンクのコピー

Submariner は、OpenShift SDN または OVN-Kubernetes Container Network Interface (CNI) ネットワークプロバイダーを使用する Red Hat OpenShift Container Platform クラスターのみをサポートします。

ACM-5306

1.3.9.1.10. Microsoft Azure クラスターでのコマンド制限
リンクのコピー

subctl diagnose firewall inter-cluster コマンドは、Microsoft Azure クラスターでは機能しません。

ACM-5327

1.3.9.1.11. カスタム CatalogSource または Subscription で自動アップグレードが機能しない
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes がアップグレードされると、Submariner は自動的にアップグレードされます。カスタムの CatalogSource または Subscription を使用している場合、自動アップグレードは失敗する可能性があります。

マネージドクラスターに Submariner をインストールするときに自動アップグレードが確実に機能するようにするには、各マネージドクラスターの SubmarinerConfig カスタムリソースで spec.subscriptionConfig.channel フィールドを stable-0.15 に設定する必要があります。

ACM-6068

1.3.9.1.12. ManageClusterSet から ManagedCluster を削除する前に Submariner をアンインストールする
リンクのコピー

ClusterSet からクラスターを削除するか、クラスターを別の ClusterSet に移動すると、Submariner のインストールは無効になります。

ManageClusterSet から ManagedCluster を移動または削除する前に、Submariner をアンインストールする必要があります。Submariner をアンインストールしなかった場合、Submariner のアンインストールや再インストールができなくなり、Submariner は ManagedCluster での動作を停止します。

ACM-8847

1.3.10. Multicluster Global Hub Operator の既知の問題
リンクのコピー

Multicluster Global Hub Operator の既知の問題を確認します。以下のリストには、このリリースの既知の問題、または以前のリリースから持ち越された既知の問題が記載されています。OpenShift Container Platform クラスターは、OpenShift Container Platform の既知の問題 を参照してください。

1.3.10.1. ManagedClusterMigration リソースエラー
リンクのコピー

Multicluster Global Hub をアップグレードし、Multicluster Global Hub クラスター内に ManagedClusterMigration リソースがいくつかある場合、次のエラーが発生する可能性があります。 

error validating existing CRs against new CRD''s schema for "managedclustermigrations.global-hub.open-cluster-management.io":
      error validating global-hub.open-cluster-management.io/v1alpha1, Kind=ManagedClusterMigration
      "multicluster-global-hub/xxx": updated validation is
      too restrictive: [].spec.from: Required value'

この問題を回避するには、Multicluster Global Hub をアップグレードする前に、すべての ManagedClusterMigration リソースを削除します。以下のコマンドを実行します。 

oc delete mcm --all

ACM-25679

マネージドハブクラスターをホステッドモードでインポートし、それをデタッチすると、open-cluster-management-agent-addon namespace が削除され、再作成されます。マネージドハブクラスターをデタッチすると、この namespace に関連付けられたすべての addon リソースも削除され、再作成されます。

現在、この問題に対する回避策はありません。

ACM-15014

1.3.10.3. Kafka Operator が再起動を繰り返す
リンクのコピー

連邦情報処理標準 (FIPS) 環境では、メモリー不足 (OOM) 状態のため、Kafka Operator が再起動し続けます。この問題を解決するには、リソース制限を少なくとも 512M に設定します。この制限を設定する詳細な手順については、OpenShift での AMQ Streams のデプロイと管理 を参照してください。

ACM-12592

1.3.10.4. 標準グループのフィルターを新しいページに渡すことができない
リンクのコピー

Global Hub Policy Group Compliancy Overview ハブダッシュボードで、View Offending Policies for standard group をクリックすると、1 つのデータポイントを確認できます。しかし、このリンクをクリックして違反ページに移動すると、標準グループのフィルターを新しいページに渡すことができません。

これは、Cluster Group Compliancy Overview の問題でもあります。

ACM-7461

1.4. Red Hat Advanced Cluster Management の非推奨と削除
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes から削除されるか、非推奨となった製品の一部を説明します。推奨アクション および詳細にある、代わりのアクションを検討してください。これは、現在のリリースおよび、1 つ前のリリースと 2 つ前のリリースの表に記載されています。

非推奨: Red Hat Advanced Cluster Management 2.10 以前のバージョンはサポートされなくなりました。ドキュメントは引き続き利用可能になる可能性がありますが、修正された問題やその他の更新に関するエラータリリースは行われません。

ベストプラクティス: 最新バージョンにアップグレードします。

重要: クラスターのライフサイクルコンポーネントと機能は、クラスターフリートの管理を強化するソフトウェア Operator である multicluster engine Operator 内にあります。multicluster engine Operator 固有の機能のリリースノートは、multicluster engine Operator を使用するクラスターライフサイクルのリリースノート を参照してください。

1.4.1. 製品の非推奨と削除
リンクのコピー

非推奨 のコンポーネント、機能またはサービスはサポートされますが、使用は推奨されておらず、今後のリリースで廃止される可能性があります。以下の表に記載されている 推奨アクション と詳細の代替アクションを検討してください。

Expand
表1.1 Red Hat Advanced Cluster Management の 非推奨 項目の表
製品またはカテゴリー影響を受けるアイテムバージョン推奨されるアクション詳細およびリンク

API のドキュメント

Red Hat Advanced Cluster Management API ドキュメント

2.13

ドキュメントではなく、コンソールまたはターミナルから現在のサポートされている API を確認します。

なし

アプリケーション管理

Subscription

2.13

代わりに、Red Hat Advanced Cluster Management と OpenShift GitOps を使用してください。

5 回のリリースにわたり非推奨の期間が続いた後、削除されます。更新された機能は、GitOps の概要 を参照してください。

アプリケーションとガバナンス

PlacementRule

2.8

PlacementRule を使用する可能性のある場所で Placement を使用します

PlacementRule は引き続き使用できますが、サポート対象外であるため、コンソールにはデフォルトで Placement が表示されます。

Multicluster Global Hub

PostgreSQL の手動アップグレードプロセス

Red Hat Advanced Cluster Management 2.14

なし

自動データベースアップグレードは、Multicluster Global Hub バージョン 1.5 以降でサポートされています。

通常、削除 された項目は、以前のリリースで非推奨となった機能で、製品では利用できなくなっています。削除された機能には、代わりの方法を使用する必要があります。以下の表に記載されている 推奨アクション と詳細の代替アクションを検討してください。

Expand
表1.2 Red Hat Advanced Cluster Management から 削除された 項目のリスト表
製品またはカテゴリー影響を受けるアイテムバージョン推奨されるアクション詳細およびリンク

Red Hat Edge Manager と Red Hat Advanced Cluster Management

MultiClusterHub リソース内の edge-manager-preview コンポーネントと統合ドキュメント

2.15

Red Hat Edge Manager 1.0 を参照してください。

Red Hat Edge Manager 1.0 を参照してください。

バックアップおよび復元

backup-restore-auto-import ポリシー

2.16

代わりに、backup-restore-enabled ポリシーを使用します。

backup-restore-auto-import ポリシーテンプレートは、既存の backup-restore-enabled ポリシーに統合されます。hub-backup-policy-set.yaml ファイルが更新され、backup-restore-enabled ポリシーのみを参照するようになります。

コンソール

Infrastructure > Virtual machines コンソールページ

2.15

Red Hat OpenShift Container Platform バージョン 4.20 では、フリート仮想化の観点から、フリート全体にわたる仮想マシンを操作するために、Red Hat OpenShift Virtualization 4.20 をインストールします。または、検索を使用して仮想マシンを検索し、操作を実行します。

なし

Multicluster Global Hub

マネージドクラスターを移行するときに、リソース、ConfigMaps、および Secrets を移行する必要はありません。

2.15

マネージドクラスターを移行します。

マネージドクラスターの移行 を参照してください。

検索サービス

仮想マシンアクションの有効化 (テクノロジープレビュー)

2.14

代わりに、詳細なロールベースのアクセス制御を使用してください。

ロールベースのアクセス制御 を参照してください。

Red Hat Advanced Cluster Management for Kubernetes コンソール

コンソールからの OpenShift Container Platform 3.11 クラスターのインポート

2.14

サポートされているバージョンの OpenShift Container Platform にアップグレードします。OpenShift Container Platform ドキュメント を参照してください。

非推奨のカスタムリソース定義 v1beta1 API のサポートが削除されました。v1beta1 API は OpenShift Container Platform 3.11 にのみ必要でした。

1.5. GDPR 対応に関する Red Hat Advanced Cluster Management プラットフォームの考慮事項
リンクのコピー

1.5.1. 注意
リンクのコピー

このドキュメントは、一般データ保護規則 (GDPR) 対応の準備を支援することを目的としています。Red Hat Advanced Cluster Management for Kubernetes プラットフォームの設定可能な機能と、組織の GDPR 対応を促進するために考慮すべき製品の使用上の側面に関する情報を提供します。

お客様が機能を選択して設定する方法は多数あります。また、製品自体の使用方法や、サードパーティーのクラスターおよびシステムと組み合わせて使用する方法も、さまざまなものがあります。そのため、この情報は網羅的ものではありません。

お客様は、欧州連合一般データ保護規則を含むさまざまな法律や規制を自ら遵守する責任を負います。

お客様は、お客様の事業に影響を及ぼす可能性のある関連法規制の特定と解釈、およびかかる法規制を遵守するためにお客様が講じる必要のある措置に関して、資格を有する法律顧問から助言を得る責任を単独で負います。

ここで説明する製品、サービス、およびその他の機能は、すべてのお客様の状況に適しているわけではなく、利用可能な範囲が制限される場合があります。Red Hat は、法律、会計、監査に関する助言を提供しません。また、Red Hat のサービスまたは製品は、お客様が法律や規制に準拠していることを表明または保証するものではありません。

1.5.2. 目次
リンクのコピー

1.5.3. GDPR
リンクのコピー

一般データ保護規則 (GDPR) は欧州連合 (EU) によって採択され、2018 年 5 月 25 日から適用されています。

1.5.3.1. GDPR が重要な理由
リンクのコピー

GDPR は、各自の個人データを処理するにあたり、強力なデータ保護規制フレームワークを確立します。GDPR は以下を提供します。

  • 個人の権利の追加および強化
  • 個人データの定義の広義化
  • データ処理者の義務の追加
  • 遵守しない場合に多額の罰金が課される可能性
  • 情報流出の通知の義務付け
1.5.3.2. GDPR の詳細情報
リンクのコピー

1.5.4. GDPR に準拠する製品の設定
リンクのコピー

以下のセクションでは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームでのデータ管理のさまざまな点を説明し、GDPR 要件に準拠するための機能に関する情報を提供します。

1.5.5. データのライフサイクル
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes は、オンプレミスのコンテナー化アプリケーションの開発および管理のアプリケーションプラットフォームです。この製品は、コンテナーオーケストレーターの Kubernetes、クラスターライフサイクル、アプリケーションライフサイクル、セキュリティーフレームワーク (ガバナンス、リスク、コンプライアンス) など、コンテナーを管理するための統合環境です。

そのため、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは主に、プラットフォームの設定や管理に関連する技術データ (一部、GDPR の対象となるデータも含む) を処理します。また、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、プラットフォームの管理ユーザーに関する情報も扱います。このデータは、GDPR 要件を満たす必要のあるお客様が対応できるように、このドキュメント全体で説明します。

このデータは、設定ファイルまたはデータベースとしてローカルまたはリモートのファイルシステム上のプラットフォームで永続化されます。Red Hat Advanced Cluster Management for Kubernetes プラットフォームで実行するように開発されたアプリケーションは、GDPR の影響を受ける他の形式の個人データを扱う可能性があります。プラットフォームデータの保護および管理に使用されるメカニズムは、プラットフォームで実行されるアプリケーションでも利用できます。Red Hat Advanced Cluster Management for Kubernetes プラットフォームで実行されるアプリケーションが収集する個人データを管理して保護するために、追加のメカニズムが必要な場合があります。

Red Hat Advanced Cluster Management for Kubernetes プラットフォームとそのデータフローを最もよく理解するには、Kubernetes、Docker および Operator がどのように機能するか理解する必要があります。このようなオープンソースコンポーネントは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームに不可欠です。Kubernetes デプロイメントは、アプリケーションのインスタンスを配置するのに使用します。これらのアプリケーションのインスタンスは、Docker イメージを参照する Operator に組み込まれます。Operator にはアプリケーションの詳細が含まれ、Docker イメージにはアプリケーションの実行に必要な全ソフトウェアパッケージが含まれます。

Red Hat Advanced Cluster Management for Kubernetes は、プラットフォームとして複数のカテゴリーの技術データを扱いますが、その中には管理者ユーザー ID とパスワード、サービスユーザー ID とパスワード、Kubernetes ノード名など、個人データとみなされる可能性があるものも含まれます。また、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、プラットフォームの管理ユーザーに関する情報も扱います。プラットフォームで実行されるアプリケーションにより、プラットフォームではまだ知られていない、他のカテゴリーの個人データが取り込まれる可能性があります。

このような技術データの収集/作成、保存、アクセス、セキュリティー設定、ロギング、削除の方法に関する情報は、このドキュメントで後述します。

1.5.5.2. オンラインの連絡先として使用される個人データ
リンクのコピー

お客様は、さまざまな方法で、コメント、フィードバック、および情報の要求をオンラインで送信できます。主な方法を以下に示します。

  • Slack チャネルがある場合は、Slack の公開コミュニティー
  • 製品ドキュメントに関する公開コメントまたはチケット
  • 技術コミュニティーでの公開会話

通常は、連絡先フォームの件名への個人返信を有効にすると、お客様名とメールアドレスのみが使用され、個人データを使用する場合は Red Hat オンラインプライバシーステートメント に準拠します。

1.5.6. データの収集
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、機密性のある個人情報を収集しません。当製品は、管理者ユーザー ID とパスワード、サービスユーザー ID とパスワード、IP アドレス、Kubernetes ノード名など、個人データとみなされる可能性のある技術データを作成し、管理します。また、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、プラットフォームの管理ユーザーに関する情報も扱います。このような情報には、システム管理者がロールベースのアクセス制御を使用した管理コンソールからアクセスするか、シ Red Hat Advanced Cluster Management for Kubernetes プラットフォームノードにログインしてアクセスした場合にのみアクセス可能です。

Red Hat Advanced Cluster Management for Kubernetes プラットフォームで実行されるアプリケーションでは、個人データが収集される可能性があります。

コンテナー化されたアプリケーションを実行する Red Hat Advanced Cluster Management for Kubernetes プラットフォームの使用を評価し、GDPR 要件を満たす必要がある場合には、以下のように、アプリケーションが収集する個人データの種類と、データの管理方法を考慮する必要があります。

  • アプリケーションとの間で行き来するデータはどのように保護されるのか ?移動中のデータは暗号化されているか?
  • アプリケーションでデータはどのように保存されるのか ?使用していないデータは暗号化されるのか ?
  • アプリケーションのアクセスに使用する認証情報はどのように収集され、保存されるのか ?
  • アプリケーションがデータソースへのアクセス時に使用する認証情報はどのように収集され、保存されるのか ?
  • アプリケーションが収集したデータを必要に応じて削除するにはどうすればよいか ?

これは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームが収集するデータタイプの完全なリストではありません。上記は検討時に使用できるように例として提供しています。データの種類に関するご質問がある場合は、Red Hat にお問い合わせください。

1.5.7. データストレージ
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes プラットフォームでは、設定ファイルまたはデータベースとしてローカルまたはリモートファイルシステムのステートフルストアで、プラットフォームの設定や管理に関する技術データは永続化されます。使用されていない全データのセキュリティーが確保されるように考慮する必要があります。The Red Hat Advanced Cluster Management for Kubernetes プラットフォームには、dm-crypt を使用するステートフルストアで、使用していないデータを暗号化するサポートがあります。

以下の項目は、GDPR を考慮する必要がある、データの保存エリアを強調表示しています。

  • プラットフォームの設定データ: Red Hat Advanced Cluster Management for Kubernetes プラットフォームの設定は、一般的な設定、Kubernetes、ログ、ネットワーク、Docker などの設定のプロパティーを使用して設定 YAML ファイルを更新し、カスタマイズできます。このデータは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームインストーラーへの入力情報として使用し、1 つまたは複数のノードをデプロイします。このプロパティーには、ブートストラップに使用される管理者ユーザー ID とパスワードも含まれます。
  • Kubernetes 設定データ: Kubernetes クラスターの状態データは分散 Key-Value ストア (etcd) に保存されます。
  • ユーザー ID、パスワードなどのユーザー認証データ: ユーザー ID およびパスワードの管理は、クライアントエンタープライズの LDAP ディレクトリーで対応します。LDAP で定義されたユーザーおよびグループは、Red Hat Advanced Cluster Management for Kubernetes プラットフォームのチームに追加して、アクセスロールを割り当てることができます。Red Hat Advanced Cluster Management for Kubernetes プラットフォームでは、LDAP からメールアドレスとユーザー ID は保存されますが、パスワードは保存されません。Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、グループ名を保存し、ログイン時にユーザーが所属する利用可能なグループをキャッシュします。グループメンバーシップは、長期的に永続化されません。エンタープライズ LDAP で未使用時にユーザーおよびグループデータのセキュリティー確保について、考慮する必要があります。Red Hat Advanced Cluster Management for Kubernetes プラットフォームには、認証サービスと、エンタープライズディレクトリーと対応して、アクセストークンを管理する Open ID Connect (OIDC) が含まれます。このサービスは ETCD をバッキングストアとして使用します。
  • ユーザー ID とパスワードなどのサービス認証データ: コンポーネント間のアクセスに Red Hat Advanced Cluster Management for Kubernetes プラットフォームのコンポーネントが使用する認証情報は、Kubernetes Secret として定義します。Kubernetes リソース定義はすべて etcd の Key-Value データストアで永続化されます。初期の認証情報の値は、Kubernetes Secret の設定 YAML ファイルとして、プラットフォームの設定データで定義されます。詳細は、Kubernetes ドキュメントの Secrets を参照してください。

1.5.8. データアクセス
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes プラットフォームデータには、以下の定義済みの製品インターフェイスを使用してアクセスできます。

  • Web ユーザーインターフェイス (コンソール)
  • Kubernetes の kubectl CLI
  • Red Hat Advanced Cluster Management for Kubernetes CLI
  • oc CLI

これらのインターフェイスは、Red Hat Advanced Cluster Management for Kubernetes クラスターに管理権限での変更を加えることができます。Red Hat Advanced Cluster Management for Kubernetes に管理権限でアクセスする場合にセキュリティーを確保できます。これには、要求時に認証、ロールマッピング、認可の 3 つの論理的な段階を順番に使用します。

1.5.8.1. 認証
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes プラットフォームの認証マネージャーは、コンソールからのユーザーの認証情報を受け入れ、バックエンドの OIDC プロバイダーに認証情報を転送し、OIDC プロバイダーはエンタープライズディレクトリーに対してユーザーの認証情報を検証します。次に OIDC プロバイダーは認証クッキー (auth-cookie) を、JSON Web Token (JWT) のコンテンツと合わせて、認証マネージャーに返します。JWT トークンは、認証要求時にグループのメンバーシップに加え、ユーザー ID やメールアドレスなどの情報を永続化します。この認証クッキーはその後コンソールに返されます。クッキーはセッション時に更新されます。クッキーは、コンソールをサインアウトしてから、または Web ブラウザーを閉じてから 12 時間有効です。

コンソールから次回認証要求を送信すると、フロントエンドの NGINX サーバーが、要求で利用可能な認証クッキーをデコードし、認証マネージャーを呼び出して要求を検証します。

Red Hat Advanced Cluster Management for Kubernetes プラットフォーム CLI では、ユーザーはログインに認証情報が必要です。

kubectloc CLI でも、クラスターへのアクセスに認証情報が必要です。このような認証情報は、管理コンソールから取得でき、12 時間後に有効期限が切れます。サービスアカウント経由のアクセスは、サポートされています。

1.5.8.2. ロールマッピング
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、ロールベースのアクセス制御 (RBAC) をサポートします。ロールマッピングのステージでは、認証ステージで提示されたユーザー名がユーザーまたはグループロールにマッピングされます。認可時にロールを使用して、認証ユーザーがどのような管理者アクティビティーを実行できるか判断します。

1.5.8.3. 認可
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes プラットフォームのロールを使用して、クラスター設定アクション、カタログや Helm リソース、Kubernetes リソースへのアクセスを制御します。クラスター管理者、管理者、Operator、エディター、ビューワーなど、IAM (Identity and Access Management) ロールが複数含まれています。ロールは、チームへの追加時に、ユーザーまたはユーザーグループに割り当てられます。リソースへのチームアクセスは、namespace で制御できます。

1.5.8.4. Pod のセキュリティー
リンクのコピー

Pod のセキュリティーポリシーを使用して、Pod での操作またはアクセス権をクラスターレベルで制御できるように設定します。

1.5.9. データ処理
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes のユーザーは、システム設定を使用して、設定および管理に関する技術データをどのように処理して、データのセキュリティーを確保するかを制御できます。

ロールベースのアクセス制御 (RBAC) では、ユーザーがアクセスできるデータや機能を制御します。

転送中のデータTLS を使用して保護します。HTTPS (TLS の下層) は、ユーザークライアントとバックエンドのサービス間でのセキュアなデータ転送を確保するために使用されます。インストール時に、使用するルート証明書を指定できます。

保管時のデータ の保護は、dm-crypt を使用してデータを暗号化することでサポートされます。

Red Hat Advanced Cluster Management for Kubernetes プラットフォームの技術データの管理、セキュリティー確保と同じプラットフォームのメカニズムを使用して、ユーザーが開発したアプリケーションまたはユーザーがプロビジョニングしたアプリケーションの個人データを管理し、セキュリティーを確保することができます。クライアントは、独自の機能を開発して、追加の制御を実装できます。

1.5.10. データの削除
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes プラットフォームには、コマンド、アプリケーションプログラミングインターフェイス (API)、およびユーザーインターフェイスのアクションが含まれており、製品が作成または収集したデータを削除します。これらの機能により、サービスユーザー ID およびパスワード、IP アドレス、Kubernetes ノード名、または他のプラットフォームの設定データ、プラットフォームを管理するユーザーの情報などの、技術データを削除できます。

データ削除のサポートに関して考慮する必要のある Red Hat Advanced Cluster Management for Kubernetes プラットフォームのエリア:

  • プラットフォーム設定に関連する技術データはすべて、管理コンソールまたは Kubernetes kubectl API を使用して削除できます。

アカウントデータ削除のサポートに関して考慮する必要のある Red Hat Advanced Cluster Management for Kubernetes プラットフォームのエリア:

  • プラットフォーム設定に関連する技術データはすべて、Red Hat Advanced Cluster Management for Kubernetes または Kubernetes または kubectl API を使用して削除できます。

エンタープライズ LDAP ディレクトリーで管理されているユーザー ID およびパスワードを削除する機能は、Red Hat Advanced Cluster Management for Kubernetes プラットフォームが使用する LDAP 製品で提供されます。

1.5.11. 個人データの使用を制限する機能
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes プラットフォームでは、エンドユーザーはこのドキュメントでまとめられている機能を使用し、個人データとみなされるプラットフォーム内の技術データの使用を制限することができます。

GDPR では、ユーザーはデータへのアクセス、変更、取り扱いの制限をする権利があります。このガイドの他の項を参照して、以下を制御します。

  • アクセス権限

    • Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、データへの個別アクセスを設定できます。
    • Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、個人に対し、このプラットフォームが保持する個人データの情報を提供できます。

  • 変更する権限

    • Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、個人がデータを変更または修正できるようにします。
    • Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、個人のデータを修正できます。

  • 処理を制限する権限

    • Red Hat Advanced Cluster Management for Kubernetes プラットフォームの管理者は、Red Hat Advanced Cluster Management for Kubernetes プラットフォーム機能を使用して、個人データの取り扱いを停止できます。

1.5.12. 付録
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes は、プラットフォームとして複数のカテゴリーの技術データを扱いますが、その中には管理者ユーザー ID とパスワード、サービスユーザー ID とパスワード、Kubernetes ノード名など、個人データとみなされる可能性があるものも含まれます。また、Red Hat Advanced Cluster Management for Kubernetes プラットフォームは、プラットフォームの管理ユーザーに関する情報も扱います。プラットフォームで実行されるアプリケーションにより、プラットフォームではまだ知られていない、他のカテゴリーの個人データが取り込まれる可能性があります。

この付録には、プラットフォームサービスでロギングされるデータの情報が含まれます。

1.6. FIPS への対応
リンクのコピー

Red Hat Advanced Cluster Management for Kubernetes は、Federal Information Processing Standards (FIPS) 向けに設計されています。FIPS モードの Red Hat OpenShift Container Platform で実行する場合、OpenShift Container Platform は、OpenShift Container Platform でサポートされているアーキテクチャーでのみ、FIPS 検証のために NIST に提出された Red Hat Enterprise Linux 暗号化ライブラリーを使用します。

NIST の検証プログラムの詳細は、Cryptographic Module Validation Program を参照してください。

RHEL 暗号化ライブラリーの個別バージョンに関して検証用に提出された最新の NIST ステータスは、FIPS - Federal Information Processing Standards を参照してください。

FIPS を有効にしてクラスターを管理する予定の場合は、FIPS モードで動作するように設定した OpenShift Container Platform クラスターに Red Hat Advanced Cluster Management をインストールする必要があります。ハブクラスターで作成した暗号化はマネージドクラスターで使用されるため、ハブクラスターは FIPS モードである必要があります。

マネージドクラスターで FIPS モードを有効にするには、OpenShift Container Platform マネージドクラスターをプロビジョニングするときに fips: true と設定します。クラスターのプロビジョニング後は、FIPS を有効にすることはできません。

詳細は、OpenShift Container Platform ドキュメントの クラスターに追加のセキュリティーが必要ですか? を参照してください。

1.6.1. FIPS 準備の制限
リンクのコピー

FIPS 対応は、Red Hat Advanced Cluster Management コンポーネントと機能に関する次の制限事項をお読みください。

  • 検索およびオブザーバビリティーコンポーネントによって使用される Persistent Volume Claim (PVC) および S3 ストレージは、指定のストレージを設定する際に暗号化する必要があります。Red Hat Advanced Cluster Management はストレージ暗号化を提供しません。OpenShift Container Platform ドキュメントの 永続ストレージの設定 を参照してください。

  • Red Hat Advanced Cluster Management コンソールを使用してマネージドクラスターをプロビジョニングする場合は、マネージドクラスター作成の Cluster details セクションで以下のチェックボックスを選択して、FIPS 標準を有効にします。 

    FIPS with information text: Use the Federal Information Processing Standards (FIPS) modules provided with Red Hat Enterprise Linux CoreOS instead of the default Kubernetes cryptography suite file before you deploy the new managed cluster.
  • Red Hat Advanced Cluster Management と統合されている Red Hat Edge Manager (Technolgy Preview) コンポーネントは、FIPS 対応として開発されていません。
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る