Red Hat SummitThis documentation is for a release that is no longer maintained.
You can select a different version or view all RHACS documentation.アップグレード
Red Hat Advanced Cluster Security for Kubernetes のアップグレード
概要
第1章 Operator を使用したアップグレード
Red Hat Advanced Cluster Security for Kubernetes (RHACS) Operator を使用したアップグレードは、インストール時に選択した Update approval オプションに応じて、自動または手動で実行されます。
アップグレードするときは、次のガイドラインに従ってください。
- Central のバージョンが 3.74 より前の場合は、4.x バージョンにアップグレードする前に 3.74 にアップグレードする必要があります。Central をバージョン 3.74 にアップグレードするには、バージョン 3.74 のアップグレードドキュメント を参照してください。
-
Operator ベースの Central デプロイメントをバージョン 3.74 からアップグレードする場合は、まず Operator アップグレードモードが
Manualに設定されていることを確認します。次に、バージョン 4.0 のアップグレードドキュメント の手順に従って Operator をバージョン 4.0 にアップグレードし、Central がオンラインであることを確認します。バージョン 4.0 へのアップグレードが完了したら、Red Hat では完全な機能を利用するために Central を最新バージョンにアップグレードすることを推奨します。
1.1. アップグレードへの準備
Red Hat Advanced Cluster Security for Kubernetes (RHACS) のバージョンをアップグレードする前に、次の手順を実行します。
- バージョン 3.74 からアップグレードする場合は、RHACS Operator 3.74 の最新パッチリリースバージョンを実行していることを確認します。
- 既存の Central データベースをバックアップします。
-
アップグレードするクラスターに
SecuredClusterカスタムリソース (CR) が含まれている場合は、収集方法をCORE_BPFに変更します。詳細は、「収集方法の変更」を参照してください。
1.1.1. 収集方法の変更
アップグレードするクラスターに SecuredCluster CR が含まれている場合は、アップグレードする前に、ノードごとのコレクション設定が CORE_BPF に設定されていることを確認する必要があります。
手順
- OpenShift Container Platform Web コンソールで、RHACS Operator ページに移動します。
- 上部のナビゲーションメニューで Secured Cluster を選択します。
- インスタンス名 (例: stackrox-secured-cluster-services) をクリックします。
設定を変更するには、次のいずれかの方法を使用します。
- Form view の Per Node Settings → Collector Settings → Collection で、CORE_BPF を選択します。
-
YAML をクリックして YAML エディターを開き、
spec.perNode.collector.collection属性を見つけます。値がKernelModuleまたはEBPFの場合は、CORE_BPFに変更します。
- Save をクリックします。
1.2. Central カスタムリソースの変更
Central DB サービスには永続ストレージが必要です。Central クラスターのデフォルトのストレージクラス (SSD または高パフォーマンス) を設定していない場合は、Central カスタムリソースを更新して、Central DB 永続ボリューム要求 (PVC) のストレージクラスを設定する必要があります。
Central のデフォルトのストレージクラスをすでに設定している場合は、このセクションをスキップしてください。
手順
- 次の設定で Central カスタムリソースを更新します。
1.3. 外部データベースの Central カスタムリソースの変更
前提条件
PostgreSQL 13 をサポートするデータベースインスタンスと、以下のパーミッションを持つユーザーにデータベースが必要です。
- データベースに接続する権限。
-
スキーまでの
UsageおよびCreate。 -
スキーマ内のすべてのテーブルでの
Select、Insert、Update、およびDelete。 -
スキーマ内のすべてのシーケンスでの
Usage。
手順
OpenShift Container Platform Web コンソールまたはターミナルを使用して、デプロイされた namespace にパスワードシークレットを作成します。
-
OpenShift Container Platform Web コンソールで、Workloads → Secrets ページに移動します。キー
password、およびプロビジョニングされたデータベースのスーパーユーザーのパスワードを含むプレーンテキストファイルのパスとしての値を使用して、キー/値のシークレット を作成します。 または、ターミナルで次のコマンドを実行します。
oc create secret generic external-db-password \ --from-file=password=<password.txt>
$ oc create secret generic external-db-password \1 --from-file=password=<password.txt>2 Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
OpenShift Container Platform Web コンソールで、Workloads → Secrets ページに移動します。キー
- OpenShift Container Platform Web コンソールの Red Hat Advanced Cluster Security for Kubernetes Operator ページに移動します。上部のナビゲーションバーで Central を選択し、データベースに接続するインスタンスを選択します。
- YAML editor ビューに移動します。
-
db.passwordSecret.nameには、前の手順で作成した参照シークレットを指定します。たとえば、external-db-passwordです。 -
db.connectionStringには、keyword=value形式で接続文字列を指定します (例:host=<host> port=5432 database=stackrox user=stackrox sslmode=verify-ca)。 -
db.persistenceの場合は、ブロック全体を削除します。 必要に応じて、次の例に示すように、最上位の仕様の下に TLS ブロックを追加することで、Central がデータベース証明書を信頼する認証局を指定できます。
次の設定で Central カスタムリソースを更新します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
IsEnabledの値をEnabledに変更しないでください。
- Save をクリックします。
1.4. サブスクリプションチャネルの変更
RHACS Operator の更新チャネルは、OpenShift Container Platform Web コンソールまたはコマンドラインを使用して変更できます。RHACS 3.74 から RHACS 4.0 にアップグレードするには、更新チャネルを変更する必要があります。
RHACS Operator をインストールしたすべてのクラスター (Central クラスターとすべてのセキュアクラスターを含む) のサブスクリプションチャネルを変更する必要があります。
前提条件
- 最新の RHACS 3.74 Operator を使用していること、および保留中の手動の Operator アップグレードがないことを確認する。
- Central データベースをバックアップしたことを確認する。
-
cluster-adminパーミッションを持つアカウントを使用して OpenShift Container Platform クラスター Web コンソールにアクセスできる。
Web コンソールを使用してサブスクリプションチャネルを変更する
Web コンソールを使用してサブスクリプションチャネルを変更するには、次の手順に従います。
手順
- OpenShift Container Platform Web コンソールの Administrator パースペクティブで、Operators → Installed Operators に移動します。
- RHACS Operator をクリックします。
- Subscription タブをクリックします。
- Update Channel の下にある更新チャネルの名前をクリックします。
- stable を選択し、Save をクリックします。
Automatic 承認ストラテジーがあるサブスクリプションの場合、更新は自動的に開始します。Operators → Installed Operators ページに戻って、更新の進行状況を監視します。完了時に、ステータスは Succeeded および Up to date に変更されます。
Manual 承認ストラテジーがあるサブスクリプションの場合、Subscription タブから更新を手動で承認できます。
コマンドラインを使用したサブスクリプションチャネルの変更
コマンドラインを使用してサブスクリプションチャネルを変更するには、次の手順を使用します。
手順
次のコマンドを実行して、サブスクリプションチャネルを
stableチャネルに変更します。oc -n rhacs-operator \ patch subscriptions.operators.coreos.com rhacs-operator \ --type=merge --patch='{ "spec": { "channel": "stable" }}'$ oc -n rhacs-operator \1 patch subscriptions.operators.coreos.com rhacs-operator \ --type=merge --patch='{ "spec": { "channel": "stable" }}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
更新中、RHACS Operator は、central-db という名前の新しいデプロイメントをプロビジョニングし、データの移行を開始します。これには約 30 分かかり、アップグレード後にのみ実行されます。
1.5. バージョン 4.1 以降にアップグレードした後、中央に接続された PV の削除
Kubernetes と OpenShift Container Platform は、永続ボリューム (PV) を自動的に削除しません。RHACS を以前のバージョンからアップグレードすると、stackrox-db という Central PV がマウントされたままになります。ただし、RHACS 4.1 では、Central は以前に接続されていた PV が不要になりました。
PV には、以前の RHACS バージョンで使用されていたデータと永続ファイルが含まれています。PV を使用して、RHACS 4.1 より前のバージョンにロールバックできます。または、Central 用の大規模な RocksDB バックアップバンドルがある場合は、PV を使用してそのデータを復元できます。
4.1 へのアップグレードが完了したら、Central に接続された永続ボリューム要求 (PVC) を削除してストレージを解放できます。以前の RocksDB バックアップからロールバックまたは復元する予定がない場合にのみ、PVC を削除してください。
PVC を削除した後は、Central を RHACS 4.1 より前のバージョンにロールバックしたり、RocksDB で作成された大規模な RocksDB バックアップを復元したりすることはできません。
1.5.1. RHACS バージョン 4.1 以降の RHACS Operator を使用して中央に接続された PV を削除
Central-attached Persistent Volume Claim (PVC) stackrox-db を削除して、ストレージ領域を解放します。
手順
次のアノテーションを Central に追加します。
annotations: platform.stackrox.io/obsolete-central-pvc: "true"
annotations: platform.stackrox.io/obsolete-central-pvc: "true"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
以下のコマンドを実行します。
oc -n stackrox describe pvc stackrox-db | grep -i 'Used By'
$ oc -n stackrox describe pvc stackrox-db | grep -i 'Used By' Used By: <none>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
Used By: <none>が表示されるまで待ちます。これには数分かかる場合があります。
1.6. Operator アップグレードのロールバック
Operator アップグレードをロールバックするには、次のセクションのいずれかで説明されている手順を実行する必要があります。CLI または OpenShift Container Platform Web コンソールを使用して、Operator アップグレードをロールバックできます。
RHACS 4.0 からロールバックする場合は、RHACS 3.74 の最新パッチリリースバージョンにのみロールバックできます。
1.6.1. CLI を使用した Operator アップグレードのロールバック
CLI コマンドを使用して Operator バージョンをロールバックできます。
手順
次のコマンドを実行して、OLM サブスクリプションを削除します。
OpenShift Container Platform の場合、以下のコマンドを実行します。
oc -n rhacs-operator delete subscription rhacs-operator
$ oc -n rhacs-operator delete subscription rhacs-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes の場合、次のコマンドを実行します。
kubectl -n rhacs-operator delete subscription rhacs-operator
$ kubectl -n rhacs-operator delete subscription rhacs-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow
次のコマンドを実行して、クラスターサービスバージョン (CSV) を削除します。
OpenShift Container Platform の場合、以下のコマンドを実行します。
oc -n rhacs-operator delete csv -l operators.coreos.com/rhacs-operator.rhacs-operator
$ oc -n rhacs-operator delete csv -l operators.coreos.com/rhacs-operator.rhacs-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes の場合、次のコマンドを実行します。
kubectl -n rhacs-operator delete csv -l operators.coreos.com/rhacs-operator.rhacs-operator
$ kubectl -n rhacs-operator delete csv -l operators.coreos.com/rhacs-operator.rhacs-operatorCopy to Clipboard Copied! Toggle word wrap Toggle overflow
次のオプションのいずれかを選択して、ロールバックする前のバージョンを決定します。
現在の Central インスタンスが実行中の場合は、次のコマンドを実行して RHACS API にクエリーを実行し、ロールバックバージョンを取得します。
curl -k -s -u <user>:<password> https://<central hostname>/v1/centralhealth/upgradestatus | jq -r .upgradeStatus.forceRollbackTo
$ curl -k -s -u <user>:<password> https://<central hostname>/v1/centralhealth/upgradestatus | jq -r .upgradeStatus.forceRollbackToCopy to Clipboard Copied! Toggle word wrap Toggle overflow 現在の Central インスタンスが実行されていない場合は、次の手順を実行します。
注記この手順は、
rocksdbデータベースがインストールされている RHACS リリース 3.74 以前でのみ使用できます。次のコマンドを実行して、Central デプロイメントがスケールダウンされていることを確認します。
OpenShift Container Platform の場合、以下のコマンドを実行します。
oc scale -n <central namespace> –replicas=0 deploy/central
$ oc scale -n <central namespace> –replicas=0 deploy/centralCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes の場合、次のコマンドを実行します。
kubectl scale -n <central namespace> –replicas=0 deploy/central
$ kubectl scale -n <central namespace> –replicas=0 deploy/centralCopy to Clipboard Copied! Toggle word wrap Toggle overflow
次の Pod 仕様を YAML ファイルとして保存します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 保存した YAML ファイルを使用し、次のコマンドを実行して、Central namespace に Pod を作成します。
OpenShift Container Platform の場合、以下のコマンドを実行します。
oc create -n <central namespace> -f pod.yaml
$ oc create -n <central namespace> -f pod.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes の場合、次のコマンドを実行します。
kubectl create -n <central namespace> -f pod.yaml
$ kubectl create -n <central namespace> -f pod.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Pod の作成が完了したら、次のコマンドを実行してバージョンを取得します。
OpenShift Container Platform の場合、以下のコマンドを実行します。
oc logs -n <central namespace> get-previous-db-version
$ oc logs -n <central namespace> get-previous-db-versionCopy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes の場合、次のコマンドを実行します。
kubectl logs -n <central namespace> get-previous-db-version
$ kubectl logs -n <central namespace> get-previous-db-versionCopy to Clipboard Copied! Toggle word wrap Toggle overflow
次のコマンドを実行し、
central-config.yamlConfigMapを編集してmaintenance.forceRollBackVersion:<version>パラメーターを設定します。OpenShift Container Platform の場合、以下のコマンドを実行します。
oc get configmap -n <central namespace> central-config -o yaml | sed -e "s/forceRollbackVersion: none/forceRollbackVersion: <version>/" | oc -n <central namespace> apply -f -
$ oc get configmap -n <central namespace> central-config -o yaml | sed -e "s/forceRollbackVersion: none/forceRollbackVersion: <version>/" | oc -n <central namespace> apply -f -Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes の場合、次のコマンドを実行します。
kubectl get configmap -n <central namespace> central-config -o yaml | sed -e "s/forceRollbackVersion: none/forceRollbackVersion: <version>/" | kubectl -n <central namespace> apply -f -
$ kubectl get configmap -n <central namespace> central-config -o yaml | sed -e "s/forceRollbackVersion: none/forceRollbackVersion: <version>/" | kubectl -n <central namespace> apply -f -Copy to Clipboard Copied! Toggle word wrap Toggle overflow
ステップ 3 で示されたバージョン文字列をイメージタグとして使用して、Central デプロイメントのイメージを設定します。たとえば、以下のコマンドを実行します。
OpenShift Container Platform の場合、以下のコマンドを実行します。
oc set image -n <central namespace> deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:<version>
$ oc set image -n <central namespace> deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:<version>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Kubernetes の場合、次のコマンドを実行します。
kubectl set image -n <central namespace> deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:<version>
$ kubectl set image -n <central namespace> deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:<version>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
Central Pod が起動し、
readyステータスになっていることを確認します。Pod がクラッシュした場合は、ログをチェックして、バックアップが復元されたかどうかを確認します。成功した場合のログメッセージは、次の例のように表示されます。Clone to Migrate ".previous", ""
Clone to Migrate ".previous", ""Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
ロールバックされたチャネルに Operator を再インストールします。たとえば、
3.74.2はrhacs-3.74チャネルにインストールされます。
1.6.2. Web コンソールを使用した Operator アップグレードのロールバック
OpenShift Container Platform Web コンソールを使用して Operator バージョンをロールバックできます。
前提条件
-
cluster-adminパーミッションを持つアカウントを使用して OpenShift Container Platform クラスター Web コンソールにアクセスできる。
手順
- Operators → Installed Operators ページに移動します。
- RHACS Operator をクリックします。
- Operator Details ページで、Actions リストから Uninstall Operator を選択します。この操作を実行すると、Operator は実行を停止し、更新を受信しなくなります。
次のオプションのいずれかを選択して、ロールバックする前のバージョンを決定します。
現在の Central インスタンスが実行中の場合は、ターミナルウィンドウから次のコマンドを実行して、RHACS API をクエリーしてロールバックバージョンを取得できます。
curl -k -s -u <user>:<password> https://<central hostname>/v1/centralhealth/upgradestatus | jq -r .upgradeStatus.forceRollbackTo
$ curl -k -s -u <user>:<password> https://<central hostname>/v1/centralhealth/upgradestatus | jq -r .upgradeStatus.forceRollbackToCopy to Clipboard Copied! Toggle word wrap Toggle overflow 次の手順で、Pod を作成し、以前のバージョンを展開できます。
注記この手順は、
rocksdbデータベースがインストールされている RHACS リリース 3.74 以前でのみ使用できます。- Workloads → Deployments → central に移動します。
- Deployment details で、Pod 数の横にある下矢印をクリックして Pod をスケールダウンします。
Workloads → Pods → Create Pod に移動し、次の例に示すように Pod 仕様の内容をエディターに貼り付けます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Create をクリックします。
- Pod が作成されたら、Logs タブをクリックしてバージョン文字列を取得します。
次の手順を実行して、ロールバック設定を更新します。
- Workloads → ConfigMaps → central-config に移動し、Actions リストから Edit ConfigMap を選択します。
-
central-config.yamlキーの値で、forceRollbackVersion行を見つけます。 -
noneを3.73.3に置き換えて、ファイルを保存します。
次の手順を実行して、Central を以前のバージョンに更新します。
- Workloads → Deployments → central に移動し、Actions リストから Edit Deployment を選択します。
- イメージ名を更新し、変更を保存します。
検証
Central Pod が起動し、
readyステータスになっていることを確認します。Pod がクラッシュした場合は、ログをチェックして、バックアップが復元されたかどうかを確認します。成功した場合のログメッセージは、次の例のように表示されます。Clone to Migrate ".previous", ""
Clone to Migrate ".previous", ""Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
ロールバックされたチャネルに Operator を再インストールします。たとえば、
3.74.2はrhacs-3.74チャネルにインストールされます。
1.7. Operator アップグレードに関する問題のトラブルシューティング
RHACS Operator のアップグレード関連の問題を調査して解決するには、次の手順に従ってください。
1.7.1. Central DB をスケジュールできない
アップグレード中に失敗した Central DB Pod のトラブルシューティングを行うには、次の手順に従ってください。
central-dbPod のステータスを確認します。oc -n <namespace> get pod -l app=central-db
$ oc -n <namespace> get pod -l app=central-db1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
Pod のステータスが
Pendingの場合は、describe コマンドを使用して詳細を取得します。oc -n <namespace> describe po/<central-db-pod-name>
$ oc -n <namespace> describe po/<central-db-pod-name>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
FailedScheduling警告メッセージが表示される場合があります。Type Reason Age From Message ---- ------ ---- ---- ------- Warning FailedScheduling 54s default-scheduler 0/7 nodes are available: 1 Insufficient memory, 3 node(s) had untolerated taint {node-role.kubernetes.io/master: }, 4 Insufficient cpu. preemption: 0/7 nodes are available: 3 Preemption is not helpful for scheduling, 4 No preemption victims found for incoming pod.Type Reason Age From Message ---- ------ ---- ---- ------- Warning FailedScheduling 54s default-scheduler 0/7 nodes are available: 1 Insufficient memory, 3 node(s) had untolerated taint {node-role.kubernetes.io/master: }, 4 Insufficient cpu. preemption: 0/7 nodes are available: 3 Preemption is not helpful for scheduling, 4 No preemption victims found for incoming pod.Copy to Clipboard Copied! Toggle word wrap Toggle overflow この警告メッセージは、スケジュールされたノードに Pod のリソース要件に対応するのに十分なメモリーがないことを示唆しています。小規模な環境の場合は、ノード上のリソースを増やすか、データベースをサポートできるより大きなノードを追加することを検討してください。
それ以外の場合は、
central→db→resourcesの下のカスタムリソースで、central-dbPod のリソース要件を減らすことを検討してください。ただし、推奨される最小リソースよりも少ないリソースで中央を実行すると、RHACS のパフォーマンスが低下する可能性があります。
1.7.2. Central クラスターまたはセキュアクラスターのデプロイに失敗する
RHACS Operator が次の状態にある場合は、カスタムリソースの状態をチェックして問題を見つける必要があります。
- Operator が Central またはセキュアクラスターをデプロイできない場合
- Operator が CR の変更を実際のリソースに適用できない場合
Central の場合は、次のコマンドを実行して状態を確認します。
oc -n rhacs-operator describe centrals.platform.stackrox.io
$ oc -n rhacs-operator describe centrals.platform.stackrox.io1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
セキュアクラスターの場合は、次のコマンドを実行して状態を確認します。
oc -n rhacs-operator describe securedclusters.platform.stackrox.io
$ oc -n rhacs-operator describe securedclusters.platform.stackrox.io1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
状態の出力から設定エラーを特定できます。
出力例
さらに、RHACS Pod のログを表示して、問題に関する詳細情報を見つけることができます。次のコマンドを実行してログを表示します。
oc -n rhacs-operator logs deploy/rhacs-operator-controller-manager manager
oc -n rhacs-operator logs deploy/rhacs-operator-controller-manager manager - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
第2章 Helm チャートを使用したアップグレード
実行している RHACS のリリースに応じて、RHACS の特定のアップグレードパスに従う必要があります。Helm チャートを更新してアップグレードを実行する前に、Central データベースをバックアップする必要もあります。
2.1. RHACS リリース 3.74 以前からのアップグレード手順
以前のリリースからアップグレードする場合は、次のガイダンスに従ってください。
- Central のリリースが 3.74 より前の場合は、4.x リリースにアップグレードする前に、最新の 3.74 パッチにアップグレードする必要があります。以前のバージョンから 3.74 へのアップグレードは、バージョン 3.74 のアップグレードドキュメント を参照してください。
- リリース 3.74 からリリース 4.5 以降にアップグレードするには、まず RHACS バージョン 4.0 から 4.4 の最新パッチにアップグレードする必要があります。その後、リリース 4.5 以降にアップグレードできます。
Helm チャートを使用して RHACS をインストールした場合、RHACS の最新バージョンにアップグレードするには、次の手順を実行します。
- Central データベースをバックアップします。
- 必要に応じて、Central のデータベースと永続ボリューム要求 (PVC) を最適化します。
-
(オプション) central-services Helm チャートのルート証明書を含む
values-private.yaml設定ファイルを生成します。 - Helm チャートを更新します。
-
helm upgradeコマンドを実行します。
最適な機能を確保するには、secure-cluster-services Helm チャートと central-services Helm チャートに同じバージョンを使用してください。
2.2. Central データベースのバックアップ
Central データベースをバックアップし、インフラストラクチャーの障害が発生した場合に、そのバックアップを使用して、失敗したアップグレードからのロールバックまたはデータの復元を行えます。
前提条件
-
Red Hat Advanced Cluster Security for Kubernetes のすべてのリソースに対する
read権限を持つ API トークンがある。Analyst システムロールには、すべてのリソースに対するread権限がある。 -
roxctlCLI をインストールしている。 -
ROX_API_TOKENおよびROX_CENTRAL_ADDRESS環境変数が設定されている。
手順
backup コマンドを実行します。
roxctl -e "$ROX_CENTRAL_ADDRESS" central backup
$ roxctl -e "$ROX_CENTRAL_ADDRESS" central backupCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.3. Central データベースと PVC の最適化
Red Hat Advanced Cluster Security for Kubernetes (RHACS) 4.0 にアップグレードすると、RHACS は、デフォルトの永続ボリューム要求 (PVC) を使用して、central-db という PostgreSQL インスタンスを作成します。オプションで、central-db または PVC 設定をカスタマイズできます。
Red Hat は、次のメモリーおよび CPU 要求の最小値を推奨します。
2.4. ルート証明書ファイルの生成
Red Hat Advanced Cluster Security for Kubernetes (RHACS) のインストールに使用した values-private.yaml 設定ファイルにアクセスできない場合は、次の手順に従って、ルート証明書を含む values-private.yaml 設定ファイルを生成します。
value-private.yaml 設定ファイルにアクセスできる場合は、ここでの手順をスキップしてください。
生成された values-private.yaml ファイルには、機密性の高い設定オプションが含まれています。このファイルは安全に保管してください。
手順
-
create_certificate_values_file.shスクリプトをダウンロードします。 create_certificate_values_file.shスクリプトを実行可能にします。chmod +x create_certificate_values_file.sh
$ chmod +x create_certificate_values_file.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow create_certificate_values_file.shスクリプトファイルを実行します。create_certificate_values_file.sh values-private.yaml
$ create_certificate_values_file.sh values-private.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
2.5. Helm チャートリポジトリーの更新
Red Hat Advanced Cluster Security for Kubernetes の新しいバージョンにアップグレードする前に、常に Helm チャートを更新する必要があります。
前提条件
- Red Hat Advanced Cluster Security for Kubernetes の Helm チャートリポジトリーをすでに追加している。
- Helm バージョン 3.8.3 以降を使用している。
手順
Red Hat Advanced Cluster Security for Kubernetes チャートリポジトリーを追加します。
helm repo update
$ helm repo updateCopy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
次のコマンドを実行して、追加されたチャートリポジトリーを確認します。
helm search repo -l rhacs/
$ helm search repo -l rhacs/Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.7. Helm アップグレードコマンドの実行
helm upgrade コマンドを使用して、Red Hat Advanced Cluster Security for Kubernetes (RHACS) を更新できます。
前提条件
-
Red Hat Advanced Cluster Security for Kubernetes (RHACS) のインストールに使用した
values-private.yaml設定ファイルにアクセスできる。アクセスできない場合は、この手順のコマンドを続行する前に、ルート証明書を含むvalues-private.yaml設定ファイルを生成する必要があります。
手順
helm upgrade コマンドを実行し、
-fオプションを使用して設定ファイルを指定します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- YAML 設定ファイルのパスを指定するには、-f オプションを使用します。
helm upgrade -n stackrox stackrox-secured-cluster-services \ rhacs/secured-cluster-services --version <current-rhacs-version> \ -f values-private.yaml
$ helm upgrade -n stackrox stackrox-secured-cluster-services \ rhacs/secured-cluster-services --version <current-rhacs-version> \1 -f values-private.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- YAML 設定ファイルのパスを指定するには、-f オプションを使用します。
--reuse-values オプションを使用すると、アップグレード中に以前に設定された Helm 値を保存できます。その場合は、次のバージョンにアップグレードする前に、central-db の作成をオフにする必要があります。
次のコマンド例を参照してください。
2.8. バージョン 4.1 以降にアップグレードした後、中央に接続された PV の削除
Kubernetes と OpenShift Container Platform は、永続ボリューム (PV) を自動的に削除しません。RHACS を以前のバージョンからアップグレードすると、stackrox-db という Central PV がマウントされたままになります。ただし、RHACS 4.1 では、Central は以前に接続されていた PV が不要になりました。
PV には、以前の RHACS バージョンで使用されていたデータと永続ファイルが含まれています。PV を使用して、RHACS 4.1 より前のバージョンにロールバックできます。または、Central 用の大規模な RocksDB バックアップバンドルがある場合は、PV を使用してそのデータを復元できます。
4.1 へのアップグレードが完了したら、Central に接続された永続ボリューム要求 (PVC) を削除してストレージを解放できます。以前の RocksDB バックアップからロールバックまたは復元する予定がない場合にのみ、PVC を削除してください。
PVC を削除した後は、Central を RHACS 4.1 より前のバージョンにロールバックしたり、RocksDB で作成された大規模な RocksDB バックアップを復元したりすることはできません。
2.8.1. Helm を使用して中央に接続された PV を削除する
Central-attached Persistent Volume Claim (PVC) stackrox-db を削除して、ストレージ領域を解放します。
手順
以下のコマンドを実行します。
helm upgrade -n stackrox stackrox-central-services \ rhacs/central-services --version <current-rhacs-version> \ --set central.persistence.none=true$ helm upgrade -n stackrox stackrox-central-services \ rhacs/central-services --version <current-rhacs-version> \ --set central.persistence.none=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
以下のコマンドを実行します。
oc -n stackrox describe pvc stackrox-db | grep -i 'Used By'
$ oc -n stackrox describe pvc stackrox-db | grep -i 'Used By' Used By: <none>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
Used By: <none>が表示されるまで待ちます。これには数分の時間がかかる場合があります。
2.9. Helm アップグレードのロールバック
新しいバージョンへのアップグレードが失敗した場合は、以前のバージョンの Central にロールバックできます。
手順
次の
helm upgradeコマンドを実行します。helm upgrade -n stackrox \ stackrox-central-services rhacs/central-services \ --version <previous_rhacs_74_version> \ --set central.db.enabled=false
$ helm upgrade -n stackrox \ stackrox-central-services rhacs/central-services \ --version <previous_rhacs_74_version> \1 --set central.db.enabled=falseCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<previous_rhacs_74_version>を以前にインストールされた RHACS バージョンに置き換えます。
central-db永続ボリューム要求 (PVC) を削除します。oc -n stackrox delete pvc central-db
$ oc -n stackrox delete pvc central-db1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
第3章 roxctl CLI を使用した手動アップグレード
Red Hat Advanced Cluster Security for Kubernetes (RHACS) を、サポート対象の古いバージョンから最新バージョンにアップグレードできます。
-
手動アップグレード手順を実行する必要があるのは、
roxctlCLI を使用して RHACS をインストールした場合のみです。 - たとえば、バージョン 3.74 からバージョン 4.0 へ、バージョン 4.0 からバージョン 4.1 へなど、バージョンアップグレードごとに実行する必要がある手動の手順があります。したがって、Red Hat では、選択したバージョンがインストールされるまで、まず 3.74 から 4.0 にアップグレードし、次に 4.0 から 4.1 にアップグレードし、最後に 4.1 から 4.2 にアップグレードすることを推奨しています。完全な機能を利用するには、Red Hat は最新バージョンにアップグレードすることを推奨します。
RHACS を最新バージョンにアップグレードするには、次の手順を実行します。
3.1. Central データベースのバックアップ
Central データベースをバックアップし、インフラストラクチャーの障害が発生した場合に、そのバックアップを使用して、失敗したアップグレードからのロールバックまたはデータの復元を行えます。
前提条件
-
Red Hat Advanced Cluster Security for Kubernetes のすべてのリソースに対する
read権限を持つ API トークンがある。Analyst システムロールには、すべてのリソースに対するread権限がある。 -
roxctlCLI をインストールしている。 -
ROX_API_TOKENおよびROX_CENTRAL_ADDRESS環境変数が設定されている。
手順
backup コマンドを実行します。
roxctl -e "$ROX_CENTRAL_ADDRESS" central backup
$ roxctl -e "$ROX_CENTRAL_ADDRESS" central backupCopy to Clipboard Copied! Toggle word wrap Toggle overflow
3.2. roxctl CLI のアップグレード
roxctl CLI を最新バージョンにアップグレードするには、既存のバージョンの roxctl CLI をアンインストールしてから、最新バージョンの roxctl CLI をインストールする必要があります。
3.2.1. roxctl CLI のアンインストール
次の手順を使用して、Linux 上の roxctl CLI バイナリーをアンインストールできます。
手順
roxctlバイナリーを見つけて削除します。ROXPATH=$(which roxctl) && rm -f $ROXPATH
$ ROXPATH=$(which roxctl) && rm -f $ROXPATH1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 環境によっては、
roxctlバイナリーを削除するために管理者権限が必要になる場合があります。
3.2.2. Linux への roxctl CLI のインストール
次の手順を使用して、Linux に roxctl CLI バイナリーをインストールできます。
Linux 用の roxctl CLI は、amd64、arm64、ppc64le、s390x アーキテクチャーで使用できます。
手順
ターゲットのオペレーティングシステムの
roxctlアーキテクチャーを確認します。arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow roxctlCLI をダウンロードします。curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.5.9/bin/Linux/roxctl${arch}"$ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.5.9/bin/Linux/roxctl${arch}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow roxctlバイナリーを実行可能にします。chmod +x roxctl
$ chmod +x roxctlCopy to Clipboard Copied! Toggle word wrap Toggle overflow PATH上にあるディレクトリーにroxctlバイナリーを配置します。PATHを確認するには、以下のコマンドを実行します。echo $PATH
$ echo $PATHCopy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
インストールした
roxctlのバージョンを確認します。roxctl version
$ roxctl versionCopy to Clipboard Copied! Toggle word wrap Toggle overflow
3.2.3. macOS への roxctl CLI のインストール
次の手順を使用して、roxctl CLI バイナリーを macOS にインストールできます。
macOS 用の roxctl CLI は、amd64 および arm64 アーキテクチャーで使用できます。
手順
ターゲットのオペレーティングシステムの
roxctlアーキテクチャーを確認します。arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"$ arch="$(uname -m | sed "s/x86_64//")"; arch="${arch:+-$arch}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow roxctlCLI をダウンロードします。curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.5.9/bin/Darwin/roxctl${arch}"$ curl -L -f -o roxctl "https://mirror.openshift.com/pub/rhacs/assets/4.5.9/bin/Darwin/roxctl${arch}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow バイナリーからすべての拡張属性を削除します。
xattr -c roxctl
$ xattr -c roxctlCopy to Clipboard Copied! Toggle word wrap Toggle overflow roxctlバイナリーを実行可能にします。chmod +x roxctl
$ chmod +x roxctlCopy to Clipboard Copied! Toggle word wrap Toggle overflow PATH上にあるディレクトリーにroxctlバイナリーを配置します。PATHを確認するには、以下のコマンドを実行します。echo $PATH
$ echo $PATHCopy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
インストールした
roxctlのバージョンを確認します。roxctl version
$ roxctl versionCopy to Clipboard Copied! Toggle word wrap Toggle overflow
3.2.4. Windows への roxctl CLI のインストール
次の手順を使用して、roxctl CLI バイナリーを Windows にインストールできます。
Windows 用の roxctl CLI は、amd64 アーキテクチャーで使用できます。
手順
roxctlCLI をダウンロードします。curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.5.9/bin/Windows/roxctl.exe
$ curl -f -O https://mirror.openshift.com/pub/rhacs/assets/4.5.9/bin/Windows/roxctl.exeCopy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
インストールした
roxctlのバージョンを確認します。roxctl version
$ roxctl versionCopy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3. Central クラスターのアップグレード
Central データベースのバックアップを作成し、プロビジョニングバンドルを使用して必要なリソースを生成したら、次に Central クラスターをアップグレードします。このプロセスには、Central と Scanner のアップグレードが含まれます。
3.3.1. Central のアップグレード
更新されたイメージをダウンロードしてデプロイすることにより、Central を最新バージョンに更新できます。
手順
次のコマンドを実行して、Central イメージを更新します。
oc -n stackrox set image deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.5.9
$ oc -n stackrox set image deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.5.91 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
検証
新しい Pod がデプロイされたことを確認します。
oc get deploy -n stackrox -o wide
$ oc get deploy -n stackrox -o wideCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc get pod -n stackrox --watch
$ oc get pod -n stackrox --watchCopy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3.1.1. Central デプロイメントの GOMEMLIMIT 環境変数の編集
バージョン 4.4 にアップグレードするには、GOMEMLIMIT 環境変数を ROX_MEMLIMIT 環境変数に手動で置き換える必要があります。この変数はデプロイメントごとに編集する必要があります。
手順
Central デプロイメントの変数を編集するには、次のコマンドを実行します。
oc -n stackrox edit deploy/central
$ oc -n stackrox edit deploy/central1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
-
GOMEMLIMIT変数をROX_MEMLIMITに置き換えます。 - ファイルを保存します。
3.3.2. Scanner のアップグレード
更新されたイメージをダウンロードしてデプロイすることで、Scanner を最新バージョンに更新できます。
Kubernetes を使用している場合は、oc コマンドの代わりに kubectl コマンドを入力します。
手順
カスタム Scanner 設定を作成した場合は、Scanner 設定ファイルを更新する前に、これらの変更を適用する必要があります。
次のコマンドを実行して Scanner を生成します。
roxctl -e "$ROX_CENTRAL_ADDRESS" scanner generate
$ roxctl -e "$ROX_CENTRAL_ADDRESS" scanner generateCopy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、TLS シークレット YAML ファイルを適用します。
oc apply -f scanner-bundle/scanner/02-scanner-03-tls-secret.yaml
$ oc apply -f scanner-bundle/scanner/02-scanner-03-tls-secret.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、スキャナー設定 YAML ファイルを適用します。
oc apply -f scanner-bundle/scanner/02-scanner-04-scanner-config.yaml
$ oc apply -f scanner-bundle/scanner/02-scanner-04-scanner-config.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
次のコマンドを実行して、Scanner イメージを更新します。
oc -n stackrox set image deploy/scanner \ scanner=registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:4.5.9
$ oc -n stackrox set image deploy/scanner \ scanner=registry.redhat.io/advanced-cluster-security/rhacs-scanner-rhel8:4.5.9Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、Scanner データベースイメージを更新します。
oc -n stackrox set image deploy/scanner-db \ db=registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:4.5.9 \ init-db=registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:4.5.9
$ oc -n stackrox set image deploy/scanner-db \ db=registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:4.5.9 \ init-db=registry.redhat.io/advanced-cluster-security/rhacs-scanner-db-rhel8:4.5.9Copy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
次のコマンドを実行して、新しい Pod がデプロイされたことを確認します。
oc get deploy -n stackrox -o wide
$ oc get deploy -n stackrox -o wideCopy to Clipboard Copied! Toggle word wrap Toggle overflow oc get pod -n stackrox --watch
$ oc get pod -n stackrox --watchCopy to Clipboard Copied! Toggle word wrap Toggle overflow
3.3.2.1. Scanner デプロイメントの GOMEMLIMIT 環境変数の編集
バージョン 4.4 にアップグレードするには、GOMEMLIMIT 環境変数を ROX_MEMLIMIT 環境変数に手動で置き換える必要があります。この変数はデプロイメントごとに編集する必要があります。
手順
次のコマンドを実行して、Scanner デプロイメントの変数を編集します。
oc -n stackrox edit deploy/scanner
$ oc -n stackrox edit deploy/scanner1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
-
GOMEMLIMIT変数をROX_MEMLIMITに置き換えます。 - ファイルを保存します。
3.3.3. Central クラスターのアップグレードの確認
Central と Scanner の両方をアップグレードした後、Central クラスターのアップグレードが完了していることを確認します。
手順
次のコマンドを実行して、Central ログを確認します。
oc logs -n stackrox deploy/central -c central
$ oc logs -n stackrox deploy/central -c central1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
正常なアップグレードのサンプル出力
3.4. すべてのセキュアクラスターのアップグレード
Central サービスをアップグレードした後、すべてのセキュアクラスターをアップグレードする必要があります。
自動アップグレードを使用している場合は、以下を行います。
- 自動アップグレードを使用して、すべてのセキュアクラスターを更新します。
- 自動クラスターアップグレーダーの問題のトラブルシューティングは、クラスターアップグレーダーのトラブルシューティング を参照してください。
- このセクションの手順をスキップして、アップグレードの確認 および API トークンの取り消し セクションの手順に従ってください。
自動アップグレードを使用していない場合は、Central クラスターを含むすべてのセキュアクラスターでこのセクションの手順を実行する必要があります。
- 最適な機能を確保するには、セキュアクラスターと Central がインストールされているクラスターに同じ RHACS バージョンを使用してください。
Sensor、Collector、および Admission コントローラーを実行している各セキュアクラスターの手動アップグレードを完了するには、このセクションの手順に従ってください。
3.4.1. その他のイメージの更新
自動アップグレードを使用しない場合は、各セキュアクラスターの Sensor、Collector、Compliance イメージを更新する必要があります。
Kubernetes を使用している場合は、この手順にリストされているコマンドで oc の代わりに kubectl を使用してください。
手順
Sensor イメージを更新します。
oc -n stackrox set image deploy/sensor sensor=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.5.9
$ oc -n stackrox set image deploy/sensor sensor=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.5.91 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
Compliance イメージを更新します。
oc -n stackrox set image ds/collector compliance=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.5.9
$ oc -n stackrox set image ds/collector compliance=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.5.91 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
Collector イメージを更新します。
oc -n stackrox set image ds/collector collector=registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:4.5.9
$ oc -n stackrox set image ds/collector collector=registry.redhat.io/advanced-cluster-security/rhacs-collector-rhel8:4.5.91 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
注記コレクタースリムイメージを使用している場合は、代わりに次のコマンドを実行します。
oc -n stackrox set image ds/collector collector=registry.redhat.io/advanced-cluster-security/rhacs-collector-slim-rhel8:{rhacs-version}$ oc -n stackrox set image ds/collector collector=registry.redhat.io/advanced-cluster-security/rhacs-collector-slim-rhel8:{rhacs-version}Copy to Clipboard Copied! Toggle word wrap Toggle overflow アドミッションコントロールイメージを更新します。
oc -n stackrox set image deploy/admission-control admission-control=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.5.9
$ oc -n stackrox set image deploy/admission-control admission-control=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:4.5.9Copy to Clipboard Copied! Toggle word wrap Toggle overflow
roxctl CLI を使用して Red Hat OpenShift に RHACS をインストールした場合は、Security Context Constraints (SCC) を移行する必要があります。
詳細は、「関連情報」セクションの「手動アップグレード中の SCC の移行」を参照してください。
次のステップ
3.4.2. 手動アップグレード中の SCC の移行
roxctl CLI を使用して手動アップグレード中に Security Context Constraints (SCC) を移行すると、Red Hat OpenShift SCC を使用するように Red Hat Advanced Cluster Security for Kubernetes (RHACS) サービスを移行して、Central クラスターとすべてのセキュアクラスター全体で互換性と最適なセキュリティー設定を確保できます。
手順
Central クラスターとすべてのセキュアクラスターにデプロイされているすべての RHACS サービスをリスト表示します。
oc -n stackrox describe pods | grep 'openshift.io/scc\|^Name:'
$ oc -n stackrox describe pods | grep 'openshift.io/scc\|^Name:'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow この例では、各 Pod に独自のカスタム SCC があり、
openshift.io/sccフィールドで指定されていることがわかります。RHACS のカスタム SCC の代わりに Red Hat OpenShift SCC を使用するには、必要なロールとロールバインディングを追加します。
Central クラスターで Red Hat OpenShift SCC を使用するために必要なロールとロールバインディングを追加するには、次の手順を実行します。
次の内容を使用して、ロールリソースとロールバインディングリソースを定義する
update-central.yamlという名前のファイルを作成します。例3.1 サンプル YAML ファイル
次のコマンドを実行して、
update-central.yamlファイルで指定したロールリソースとロールバインディングリソースを作成します。oc -n stackrox create -f ./update-central.yaml
$ oc -n stackrox create -f ./update-central.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
すべてのセキュアクラスターで Red Hat OpenShift SCC を使用するために必要なロールとロールバインディングを追加するには、次の手順を実行します。
次の内容を使用して、ロールリソースとロールバインディングリソースを定義する
upgrade-scs.yamlという名前のファイルを作成します。例3.2 サンプル YAML ファイル
次のコマンドを実行して、
upgrade-scs.yamlファイルで指定したロールリソースとロールバインディングリソースを作成します。oc -n stackrox create -f ./update-scs.yaml
$ oc -n stackrox create -f ./update-scs.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 重要upgrade-scs.yamlファイルで指定したロールとロールバインディングを作成するには、各セキュアクラスターでこのコマンドを実行する必要があります。
RHACS に固有の SCC を削除します。
Central クラスターに固有の SCC を削除するには、次のコマンドを実行します。
oc delete scc/stackrox-central scc/stackrox-central-db scc/stackrox-scanner
$ oc delete scc/stackrox-central scc/stackrox-central-db scc/stackrox-scannerCopy to Clipboard Copied! Toggle word wrap Toggle overflow すべてのセキュアクラスターに固有の SCC を削除するには、次のコマンドを実行します。
oc delete scc/stackrox-admission-control scc/stackrox-collector scc/stackrox-sensor
$ oc delete scc/stackrox-admission-control scc/stackrox-collector scc/stackrox-sensorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 重要各セキュアクラスターに固有の SCC を削除するには、各セキュアクラスターでこのコマンドを実行する必要があります。
検証
次のコマンドを実行して、すべての Pod が正しい SCC を使用していることを確認します。
oc -n stackrox describe pods | grep 'openshift.io/scc\|^Name:'
$ oc -n stackrox describe pods | grep 'openshift.io/scc\|^Name:'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力を次の表と比較してください。
Expand コンポーネント 以前のカスタム SCC Red Hat OpenShift 4 の新しい SCC Central
stackrox-centralnonroot-v2Central-db
stackrox-central-dbnonroot-v2Scanner
stackrox-scannernonroot-v2Scanner-db
stackrox-scannernonroot-v2Admission Controller
stackrox-admission-controlrestricted-v2Collector
stackrox-collectorprivilegedSensor
stackrox-sensorrestricted-v2
3.4.2.1. Sensor デプロイメントの GOMEMLIMIT 環境変数の編集
バージョン 4.4 にアップグレードするには、GOMEMLIMIT 環境変数を ROX_MEMLIMIT 環境変数に手動で置き換える必要があります。この変数はデプロイメントごとに編集する必要があります。
手順
次のコマンドを実行して、Sensor デプロイメントの変数を編集します。
oc -n stackrox edit deploy/sensor
$ oc -n stackrox edit deploy/sensor1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
-
GOMEMLIMIT変数をROX_MEMLIMITに置き換えます。 - ファイルを保存します。
3.4.2.2. Collector デプロイメントの GOMEMLIMIT 環境変数の編集
バージョン 4.4 にアップグレードするには、GOMEMLIMIT 環境変数を ROX_MEMLIMIT 環境変数に手動で置き換える必要があります。この変数はデプロイメントごとに編集する必要があります。
手順
Collector デプロイメントの変数を編集するには、次のコマンドを実行します。
oc -n stackrox edit deploy/collector
$ oc -n stackrox edit deploy/collector1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
-
GOMEMLIMIT変数をROX_MEMLIMITに置き換えます。 - ファイルを保存します。
3.4.2.3. Admission Controller デプロイメントの GOMEMLIMIT 環境変数の編集
バージョン 4.4 にアップグレードするには、GOMEMLIMIT 環境変数を ROX_MEMLIMIT 環境変数に手動で置き換える必要があります。この変数はデプロイメントごとに編集する必要があります。
手順
次のコマンドを実行して、Admission Controller デプロイメントの変数を編集します。
oc -n stackrox edit deploy/admission-control
$ oc -n stackrox edit deploy/admission-control1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
-
GOMEMLIMIT変数をROX_MEMLIMITに置き換えます。 - ファイルを保存します。
3.4.2.4. セキュアクラスターのアップグレードの確認
セキュアクラスターをアップグレードしたら、更新された Pod が機能していることを確認します。
手順
新しい Pod がデプロイされていることを確認します。
oc get deploy,ds -n stackrox -o wide
$ oc get deploy,ds -n stackrox -o wide1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
oc get pod -n stackrox --watch
$ oc get pod -n stackrox --watch1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
3.5. RHCOS ノードスキャンの有効化
OpenShift Container Platform を使用する場合は、Red Hat Advanced Cluster Security for Kubernetes (RHACS) を使用して、Red Hat Enterprise Linux CoreOS (RHCOS) ノードの脆弱性スキャンを有効にできます。
前提条件
- Secured クラスターの RHCOS ノードホストをスキャンするには、OpenShift Container Platform 4.11 以降に Secured クラスターをインストールしておく必要があります。サポートされるプラットフォームおよびアーキテクチャーの詳細は、Red Hat Advanced Cluster Security for Kubernetes Support Matrix を参照してください。RHACS のライフサイクルのサポート情報は、Red Hat Advanced Cluster Security for Kubernetes サポートポリシー を参照してください。
手順
次のコマンドのいずれかを実行して、コンプライアンスコンテナーを更新します。
メトリクスが無効になっているデフォルトのコンプライアンスコンテナーの場合は、次のコマンドを実行します。
oc -n stackrox patch daemonset/collector -p '{"spec":{"template":{"spec":{"containers":[{"name":"compliance","env":[{"name":"ROX_METRICS_PORT","value":"disabled"},{"name":"ROX_NODE_SCANNING_ENDPOINT","value":"127.0.0.1:8444"},{"name":"ROX_NODE_SCANNING_INTERVAL","value":"4h"},{"name":"ROX_NODE_SCANNING_INTERVAL_DEVIATION","value":"24m"},{"name":"ROX_NODE_SCANNING_MAX_INITIAL_WAIT","value":"5m"},{"name":"ROX_RHCOS_NODE_SCANNING","value":"true"},{"name":"ROX_CALL_NODE_INVENTORY_ENABLED","value":"true"}]}]}}}}'$ oc -n stackrox patch daemonset/collector -p '{"spec":{"template":{"spec":{"containers":[{"name":"compliance","env":[{"name":"ROX_METRICS_PORT","value":"disabled"},{"name":"ROX_NODE_SCANNING_ENDPOINT","value":"127.0.0.1:8444"},{"name":"ROX_NODE_SCANNING_INTERVAL","value":"4h"},{"name":"ROX_NODE_SCANNING_INTERVAL_DEVIATION","value":"24m"},{"name":"ROX_NODE_SCANNING_MAX_INITIAL_WAIT","value":"5m"},{"name":"ROX_RHCOS_NODE_SCANNING","value":"true"},{"name":"ROX_CALL_NODE_INVENTORY_ENABLED","value":"true"}]}]}}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow Prometheus メトリクスが有効になっているコンプライアンスコンテナーの場合は、次のコマンドを実行します。
oc -n stackrox patch daemonset/collector -p '{"spec":{"template":{"spec":{"containers":[{"name":"compliance","env":[{"name":"ROX_METRICS_PORT","value":":9091"},{"name":"ROX_NODE_SCANNING_ENDPOINT","value":"127.0.0.1:8444"},{"name":"ROX_NODE_SCANNING_INTERVAL","value":"4h"},{"name":"ROX_NODE_SCANNING_INTERVAL_DEVIATION","value":"24m"},{"name":"ROX_NODE_SCANNING_MAX_INITIAL_WAIT","value":"5m"},{"name":"ROX_RHCOS_NODE_SCANNING","value":"true"},{"name":"ROX_CALL_NODE_INVENTORY_ENABLED","value":"true"}]}]}}}}'$ oc -n stackrox patch daemonset/collector -p '{"spec":{"template":{"spec":{"containers":[{"name":"compliance","env":[{"name":"ROX_METRICS_PORT","value":":9091"},{"name":"ROX_NODE_SCANNING_ENDPOINT","value":"127.0.0.1:8444"},{"name":"ROX_NODE_SCANNING_INTERVAL","value":"4h"},{"name":"ROX_NODE_SCANNING_INTERVAL_DEVIATION","value":"24m"},{"name":"ROX_NODE_SCANNING_MAX_INITIAL_WAIT","value":"5m"},{"name":"ROX_RHCOS_NODE_SCANNING","value":"true"},{"name":"ROX_CALL_NODE_INVENTORY_ENABLED","value":"true"}]}]}}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
次の手順を実行して、Collector DaemonSet (DS) を更新します。
次のコマンドを実行して、新しいボリュームマウントを Collector DS に追加します。
oc -n stackrox patch daemonset/collector -p '{"spec":{"template":{"spec":{"volumes":[{"name":"tmp-volume","emptyDir":{}},{"name":"cache-volume","emptyDir":{"sizeLimit":"200Mi"}}]}}}}'$ oc -n stackrox patch daemonset/collector -p '{"spec":{"template":{"spec":{"volumes":[{"name":"tmp-volume","emptyDir":{}},{"name":"cache-volume","emptyDir":{"sizeLimit":"200Mi"}}]}}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行して、新しい
NodeScannerコンテナーを追加します。oc -n stackrox patch daemonset/collector -p '{"spec":{"template":{"spec":{"containers":[{"command":["/scanner","--nodeinventory","--config=",""],"env":[{"name":"ROX_NODE_NAME","valueFrom":{"fieldRef":{"apiVersion":"v1","fieldPath":"spec.nodeName"}}},{"name":"ROX_CLAIR_V4_SCANNING","value":"true"},{"name":"ROX_COMPLIANCE_OPERATOR_INTEGRATION","value":"true"},{"name":"ROX_CSV_EXPORT","value":"false"},{"name":"ROX_DECLARATIVE_CONFIGURATION","value":"false"},{"name":"ROX_INTEGRATIONS_AS_CONFIG","value":"false"},{"name":"ROX_NETPOL_FIELDS","value":"true"},{"name":"ROX_NETWORK_DETECTION_BASELINE_SIMULATION","value":"true"},{"name":"ROX_NETWORK_GRAPH_PATTERNFLY","value":"true"},{"name":"ROX_NODE_SCANNING_CACHE_TIME","value":"3h36m"},{"name":"ROX_NODE_SCANNING_INITIAL_BACKOFF","value":"30s"},{"name":"ROX_NODE_SCANNING_MAX_BACKOFF","value":"5m"},{"name":"ROX_PROCESSES_LISTENING_ON_PORT","value":"false"},{"name":"ROX_QUAY_ROBOT_ACCOUNTS","value":"true"},{"name":"ROX_ROXCTL_NETPOL_GENERATE","value":"true"},{"name":"ROX_SOURCED_AUTOGENERATED_INTEGRATIONS","value":"false"},{"name":"ROX_SYSLOG_EXTRA_FIELDS","value":"true"},{"name":"ROX_SYSTEM_HEALTH_PF","value":"false"},{"name":"ROX_VULN_MGMT_WORKLOAD_CVES","value":"false"}],"image":"registry.redhat.io/advanced-cluster-security/rhacs-scanner-slim-rhel8:4.5.9","imagePullPolicy":"IfNotPresent","name":"node-inventory","ports":[{"containerPort":8444,"name":"grpc","protocol":"TCP"}],"volumeMounts":[{"mountPath":"/host","name":"host-root-ro","readOnly":true},{"mountPath":"/tmp/","name":"tmp-volume"},{"mountPath":"/cache","name":"cache-volume"}]}]}}}}'$ oc -n stackrox patch daemonset/collector -p '{"spec":{"template":{"spec":{"containers":[{"command":["/scanner","--nodeinventory","--config=",""],"env":[{"name":"ROX_NODE_NAME","valueFrom":{"fieldRef":{"apiVersion":"v1","fieldPath":"spec.nodeName"}}},{"name":"ROX_CLAIR_V4_SCANNING","value":"true"},{"name":"ROX_COMPLIANCE_OPERATOR_INTEGRATION","value":"true"},{"name":"ROX_CSV_EXPORT","value":"false"},{"name":"ROX_DECLARATIVE_CONFIGURATION","value":"false"},{"name":"ROX_INTEGRATIONS_AS_CONFIG","value":"false"},{"name":"ROX_NETPOL_FIELDS","value":"true"},{"name":"ROX_NETWORK_DETECTION_BASELINE_SIMULATION","value":"true"},{"name":"ROX_NETWORK_GRAPH_PATTERNFLY","value":"true"},{"name":"ROX_NODE_SCANNING_CACHE_TIME","value":"3h36m"},{"name":"ROX_NODE_SCANNING_INITIAL_BACKOFF","value":"30s"},{"name":"ROX_NODE_SCANNING_MAX_BACKOFF","value":"5m"},{"name":"ROX_PROCESSES_LISTENING_ON_PORT","value":"false"},{"name":"ROX_QUAY_ROBOT_ACCOUNTS","value":"true"},{"name":"ROX_ROXCTL_NETPOL_GENERATE","value":"true"},{"name":"ROX_SOURCED_AUTOGENERATED_INTEGRATIONS","value":"false"},{"name":"ROX_SYSLOG_EXTRA_FIELDS","value":"true"},{"name":"ROX_SYSTEM_HEALTH_PF","value":"false"},{"name":"ROX_VULN_MGMT_WORKLOAD_CVES","value":"false"}],"image":"registry.redhat.io/advanced-cluster-security/rhacs-scanner-slim-rhel8:4.5.9","imagePullPolicy":"IfNotPresent","name":"node-inventory","ports":[{"containerPort":8444,"name":"grpc","protocol":"TCP"}],"volumeMounts":[{"mountPath":"/host","name":"host-root-ro","readOnly":true},{"mountPath":"/tmp/","name":"tmp-volume"},{"mountPath":"/cache","name":"cache-volume"}]}]}}}}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.6. バージョン 4.1 以降にアップグレードした後、中央に接続された PV の削除
Kubernetes と OpenShift Container Platform は、永続ボリューム (PV) を自動的に削除しません。RHACS を以前のバージョンからアップグレードすると、stackrox-db という Central PV がマウントされたままになります。ただし、RHACS 4.1 では、Central は以前に接続されていた PV が不要になりました。
PV には、以前の RHACS バージョンで使用されていたデータと永続ファイルが含まれています。PV を使用して、RHACS 4.1 より前のバージョンにロールバックできます。または、Central 用の大規模な RocksDB バックアップバンドルがある場合は、PV を使用してそのデータを復元できます。
4.1 へのアップグレードが完了したら、Central に接続された永続ボリューム要求 (PVC) を削除してストレージを解放できます。以前の RocksDB バックアップからロールバックまたは復元する予定がない場合にのみ、PVC を削除してください。
PVC を削除した後は、Central を RHACS 4.1 より前のバージョンにロールバックしたり、RocksDB で作成された大規模な RocksDB バックアップを復元したりすることはできません。
3.6.1. roxctl CLI を使用して中央に接続された PV を削除する
Central-attached Persistent Volume Claim (PVC) stackrox-db を削除して、ストレージ領域を解放します。
手順
以下のコマンドを実行します。
oc get deployment central -n stackrox -o json | jq '(.spec.template.spec.volumes[] | select(.name=="stackrox-db"))={"name": "stackrox-db", "emptyDir": {}}' | oc apply -f -$ oc get deployment central -n stackrox -o json | jq '(.spec.template.spec.volumes[] | select(.name=="stackrox-db"))={"name": "stackrox-db", "emptyDir": {}}' | oc apply -f -Copy to Clipboard Copied! Toggle word wrap Toggle overflow これは、
spec.template.spec.volumes内のstackrox-db`エントリーをローカルの emptyDir に置き換えます。
検証
以下のコマンドを実行します。
oc -n stackrox describe pvc stackrox-db | grep -i 'Used By'
$ oc -n stackrox describe pvc stackrox-db | grep -i 'Used By' Used By: <none>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
Used By: <none>が表示されるまで待ちます。これには数分かかる場合があります。
3.7. Central のロールバック
新しいバージョンへのアップグレードが失敗した場合は、以前のバージョンの Central にロールバックできます。
3.7.1. Central を通常どおりロールバックする
Red Hat Advanced Cluster Security for Kubernetes のアップグレードが失敗した場合は、以前のバージョンの Central にロールバックできます。
前提条件
- ロールバックを実行する前に、永続ストレージで使用可能な空きディスク容量がある。Red Hat Advanced Cluster Security for Kubernetes が、ディスク領域を使用して、アップグレード中にデータベースのコピーを保持している。ディスク容量がコピーを保存するのに十分ではなく、アップグレードが失敗した場合、以前のバージョンにロールバックできない可能性があります。
手順
アップグレードが失敗した場合 (Central サービスが開始する前) に、次のコマンドを実行して前のバージョンにロールバックします。
oc -n stackrox rollout undo deploy/central
$ oc -n stackrox rollout undo deploy/central1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
3.7.2. Central を強制的にロールバックする
強制ロールバックを使用して、以前のバージョンの Central にロールバックできます (Central サービスの開始後)。
強制ロールバックを使用して以前のバージョンに戻すと、データと機能が失われる可能性があります。
前提条件
- ロールバックを実行する前に、永続ストレージで使用可能な空きディスク容量がある。Red Hat Advanced Cluster Security for Kubernetes が、ディスク領域を使用して、アップグレード中にデータベースのコピーを保持している。ディスク容量がコピーを保存するのに十分でなく、アップグレードが失敗した場合は、以前のバージョンにロールバックできません。
手順
次のコマンドを実行して、強制ロールバックを実行します。
以前にインストールしたバージョンに強制的にロールバックするには、以下のコマンドを実行します。
oc -n stackrox rollout undo deploy/central
$ oc -n stackrox rollout undo deploy/central1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
特定のバージョンに強制的にロールバックするには、以下を行います。
Central の
ConfigMapを編集します。oc -n stackrox edit configmap/central-config
$ oc -n stackrox edit configmap/central-config1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Kubernetes を使用する場合は、
ocの代わりにkubectlを入力します。
maintenance.forceRollbackVersionキーの値を更新します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- ロールバックするバージョンを指定します。
Central イメージのバージョンを更新します。
oc -n stackrox \ set image deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:<x.x.x.x>
$ oc -n stackrox \1 set image deploy/central central=registry.redhat.io/advanced-cluster-security/rhacs-main-rhel8:<x.x.x.x>2 Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.8. アップグレードの確認
更新された Sensor と Collector は、それぞれのセキュアクラスターからの最新データを引き続き報告します。
Sensor が Central に最後に接続した時刻は、RHACS ポータルに表示されます。
手順
- RHACS ポータルで、Platform Configuration → System Health に移動します。
- Sensor Upgrade で、Central で最新のクラスターが表示されることを確認してください。
3.9. API トークンの取り消し
セキュリティー上の理由から、Red Hat では、Central データベースのバックアップを完了するために使用した API トークンを取り消すことが推奨されます。
前提条件
- アップグレード後、RHACS ポータルページをリロードし、証明書を再承認して、RHACS ポータルを引き続き使用している。
手順
- RHACS ポータルで、Platform Configuration → Integrations に移動します。
- Authentication Tokens カテゴリーまで下にスクロールし、API Token をクリックします。
- 取り消すトークン名の前にあるチェックボックスを選択します。
- Revoke をクリックします。
- 確認ダイアログボックスで、Confirm をクリックします。
3.10. クラスターアップグレーダのトラブルシューティング
セキュアクラスターの従来のインストール方法を使用し、自動更新を有効にするときに問題が発生した場合は、問題のトラブルシューティングを試すことができます。アップグレーダーが失敗すると、クラスタービューに次のエラーが表示されます。
3.10.1. アップグレーダーに権限が足りない
現象
クラスターページに次のエラーが表示されます。
Upgrader failed to execute PreflightStage of the roll-forward workflow: executing stage "Run preflight checks": preflight check "Kubernetes authorization" reported errors. This usually means that access is denied. Have you configured this Secured Cluster for automatically receiving upgrades?"
Upgrader failed to execute PreflightStage of the roll-forward workflow: executing stage "Run preflight checks": preflight check "Kubernetes authorization" reported errors. This usually means that access is denied. Have you configured this Secured Cluster for automatically receiving upgrades?"手順
- Download YAML file and keys をクリックする前に、セキュアクラスターのバンドルが今後のアップグレードを有効にした状態で生成されていることを確認してください。
- 可能であれば、そのセキュアクラスターを削除し、今後のアップグレードが有効になるように新しいバンドルを生成してください。
クラスターを再作成できない場合は、次のアクションを実行できます。
-
サービスアカウント
sensor-upgraderが Sensor と同じ namespace に存在することを確認します。 -
cluster-adminClusterRole をsensors-upgraderサービスアカウントに付与する ClusterRoleBinding (デフォルト名:<namespace>:upgrade-sensors) が存在することを確認します。
-
サービスアカウント
3.10.2. イメージがないため、アップグレーダーを開始できない
現象
クラスターページに次のエラーが表示されます。
"Upgrade initialization error: The upgrader pods have trouble pulling the new image: Error pulling image: (...) (<image_reference:tag>: not found)"
"Upgrade initialization error: The upgrader pods have trouble pulling the new image: Error pulling image: (...) (<image_reference:tag>: not found)"手順
-
セキュアクラスターがレジストリーにアクセスし、イメージ
<image_reference:tag>をプルできることを確認します。 - セキュアクラスターでイメージプルシークレットが正しく設定されていることを確認します。
3.10.3. 不明な理由によりアップグレーダーを起動できない
現象
クラスターページに次のエラーが表示されます。
"Upgrade initialization error: Pod terminated: (Error)"
"Upgrade initialization error: Pod terminated: (Error)"手順
- アップグレーダーに、クラスターオブジェクトにアクセスする権限があることを確認します。詳細は、「Upgrader is missing permissions」を参照してください。
- 詳細は、アップグレーダーログを確認してください。
3.10.3.1. アップグレーダーログの取得
次のコマンドを実行するとログにアクセスできます。
kubectl -n <namespace> logs deploy/sensor-upgrader
$ kubectl -n <namespace> logs deploy/sensor-upgrader - 1
<namespace>には、Sensor が実行されている namespace を指定します。
通常、アップグレーダーのデプロイメントは、アップグレードの実行中にクラスター内で短時間のみ実行されます。これは後で削除されるため、適切なタイミングでオーケストレーター CLI を使用してログにアクセスする必要があります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}