Red Hat build of Cryostat 4.0 のリリースノート

Red Hat build of Cryostat 4

Red Hat Customer Content Services

概要

『Red Hat build of Cryostat 4.0 のリリースノート』には、Cryostat 4.0 の新機能の概要と、潜在的な既知の問題と考えられる回避策のリストが記載されています。

はじめに
リンクのコピー

Red Hat build of Cryostat は、JDK Flight Recorder (JFR) のコンテナーネイティブ実装です。これを使用すると、OpenShift Container Platform クラスターで実行されるワークロードで Java 仮想マシン (JVM) のパフォーマンスを安全にモニターできます。Cryostat を使用すると、Web コンソールまたは HTTP API を使用して、コンテナー化されたアプリケーション内の JVM の JFR データを起動、停止、取得、アーカイブ、インポート、およびエクスポートできます。

ユースケースに応じて、Cryostat が提供するビルトインツールを使用して、Red Hat OpenShift クラスターに直接レコーディングを保存して分析したり、外部のモニタリングアプリケーションにレコーディングをエクスポートして、レコーディングしたデータをより詳細に分析したりできます。

多様性を受け入れるオープンソースの強化
リンクのコピー

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージをご覧ください。

第1章 Cryostat のサポートポリシー
リンクのコピー

Red Hat は、Cryostat のメジャーバージョンを最低 6 カ月間サポートします。Red Hat は、製品が Red Hat カスタマーポータルでリリースされる時期に基づいてこの数値を定めています。

Cryostat は、x86_64 または ARM64 アーキテクチャーで実行される Red Hat OpenShift Container Platform 4.12 以降のバージョンにインストールしてデプロイできます。

第2章新機能
リンクのコピー

このセクションでは、Cryostat 4.0 リリースが提供する新機能を説明します。

完全な Red Hat サポート

4.0 リリース以降、Red Hat Build of Cryostat は Red Hat によって完全にサポートされる製品となりました。4.0 リリースより前は、Red Hat build of Cryostat はテクノロジープレビュー製品でした。

Cryostat Web コンソールプラグイン

Cryostat 4.0 以降では、Cryostat Web コンソールは Red Hat OpenShift Container Platform の動的プラグインとしても利用できるようになります。このプラグインを使用すると、OpenShift Container Platform コンソールから直接 Cryostat Web コンソール機能にアクセスできるため、個々の Cryostat インスタンスの個別のユーザーインターフェイスにアクセスする必要はありません。

Red Hat OpenShift Container Platform 4.15 以降に Cryostat Operator をインストールすると、Cryostat Operator によって Cryostat Web コンソールプラグインが自動的にインストールされます。この場合、Web コンソールの更新が利用可能であることを示すプロンプトがパネルの右上隅に表示されます。Web コンソールを更新すると、OpenShift Container Platform コンソールの左側のナビゲーションペインに Cryostat オプションが追加されます。Cryostat Operator を使用して 1 つ以上の Cryostat インスタンスを作成した後、Cryostat オプションをクリックすると、OpenShift Container Platform コンソールからこれらのインスタンスに直接アクセスできるようになります。

注記

Cryostat Operator は、Red Hat OpenShift Container Platform 4.15 以降でのみ、Cryostat Web コンソールプラグインのインストールをサポートしています。Operator がクラスターのバージョンが 4.15 より前であることを検出すると、Operator は Web コンソールプラグインをインストールできませんが、その他の Cryostat 機能はすべて期待どおりに動作します。

Cryostat Agent Init コンテナー

Cryostat 4.0 以降では、Red Hat Ecosystem Catalog に Cryostat Agent Init コンテナーイメージ (cryostat-agent-init) も含まれます。cryostat-agent-init コンテナーは、Cryostat エージェントのコンテナーベースのディストリビューションを提供し、Red Hat Maven リポジトリーからエージェントの JAR ファイルをダウンロードする必要をなくします。

cryostat-agent-init コンテナーは、選択した Pod へのエージェントの自動設定と注入に使用されます。

Cryostat エージェントの自動設定

Cryostat 4.0 以降では、Cryostat Operator を使用して Cryostat エージェントを自動的に設定できます。この機能を有効にするには、Pod がどの Cryostat インスタンスと連携するかを識別する cryostat.io/name および cryostat.io/namespace ラベルをアプリケーションデプロイメントに追加する必要があります。Cryostat Operator が、アプリケーションに cryostat.io/name および cryostat.io/namespace ラベルがあることを検出すると、Operator はエージェント JAR ファイルを含むボリュームをこのアプリケーションにマウントします。

この自動設定機能の一部として、Cryostat は、作成時に Pod を変更して Cryostat エージェントを注入する mutating admission webhook を使用します。また、webhook は、選択された Cryostat インスタンスに自動的に接続するようにエージェントを設定します。この場合、必要な cryostat.io/name および cryostat.io/namespace ラベルを含む Pod のみが webhook を呼び出すため、任意の Pod での Cryostat エージェントのセットアップが簡素化されます。さらに、Operator は、Cryostat インスタンスのターゲット namespace リスト内にあるアプリケーションデプロイメントでこれらのラベルが指定されている場合にのみ動作します。それ以外の場合は、セキュリティー上の理由から、Operator はアプリケーションがこの Cryostat インスタンスと通信するように設定しません。

webhook は、Cryostat エージェントのコンテナーベースのディストリビューション (cryostat-agent-init) を使用して、選択した Pod へのエージェントの自動設定と注入を行います。webhook が cryostat-agent-init コンテナーイメージを使用するため、ユーザーは Red Hat Maven リポジトリーからエージェント JAR ファイルをダウンロードする必要がなくなります。

Operator によるターゲット namespace の削除の処理

Cryostat エージェントの自動設定の一環として、Cryostat Operator はターゲット namespace やその中のオブジェクトの削除を監視し、それに対応できます。

以下の情報を考慮してください。

ターゲット namespace 内で証明書シークレットなどのオブジェクトを削除すると、Operator はこの namespace 内で削除されたオブジェクトを再作成します。
ターゲット namespace を削除してその後再作成すると、Operator はこの namespace 内で削除されたオブジェクトを再作成します。
ターゲット namespace を削除し、それを Cryostat インスタンスのカスタムリソース (CR) から削除すると、Operator は削除されたオブジェクトの再作成を試行しません。

クライアント証明書に基づく認証用のエージェントプロキシー

Cryostat エージェントの自動設定の一環として、Cryostat Operator は “エージェントプロキシーコンテナー” も自動的に設定します。このエージェントプロキシーは、認証に自己署名クライアント証明書を必要とし、選択した Cryostat HTTP API エンドポイントへのアクセスを許可する Nginx ベースのリバースプロキシーです。エージェントプロキシーを使用すると、Cryostat エージェントは Cryostat サーバーと通信し、クライアント証明書を使用してクラスター内部トラフィック用の Cryostat の API にアクセスできるため、APIServer トークンを使用する必要がなくなります。

エージェントのホスト名検証を無効にする CR プロパティー

Cryostat エージェントの自動設定の一環として、エージェントホスト名の検証を無効にすることもできます。このオプションは、Cryostat がエージェントのコールバックサーバーに接続しようとしたが、クラスター内の DNS セットアップによりエージェントのホスト名の自動検出が失敗した場合に使用するために、特別に設計されています。

Cryostat 4.0 では、新しい spec.agentOptions.disableHostnameVerification カスタムリソース (CR) プロパティーが追加され、これを true に設定すると、エージェントのホスト名検証を無効化できます。このオプションは、クラスターネットワークの設定方法が原因で Cryostat エージェントの自動ホスト名検出が失敗した場合に、ユーザーにフォールバックメカニズムを提供します。

エージェントポートを設定するための CR プロパティー

Cryostat エージェントの自動設定の一環として、Cryostat エージェントのコールバックサーバーのポート番号が設定可能になりました。アプリケーションでこのポートをすでに使用している場合は、この機能を使用して、エージェントのコールバックサーバーのデフォルトの 9977 ポートをオーバーライドできます。

Cryostat 4.0 では、各ターゲット namespace のコールバックヘッドレスサービスのラベルとアノテーションを指定するために使用できる新しい spec.serviceOptions.agentCallbackConfig CR プロパティーが追加されました。また、アプリケーションデプロイメントで cryostat.io/callback-port ラベルを使用して、エージェントのコールバックサーバーがバインドするコンテナーポートを指定することもできます。

エージェント注入用コンテナーのユーザー選択

Cryostat エージェントの自動設定の一環として、アプリケーションデプロイメントで cryostat.io/container ラベルを使用して、エージェントを注入するコンテナーを指定できます。このラベルを含めると、ミューテーション webhook によって指定されたコンテナーにエージェントが注入されます。このラベルを含めない場合、ミューテーション webhook はデフォルトでエージェントを最初のコンテナーイメージに注入します。

注記

cryostat.io/container ラベルは 1 つの値のみを受け入れます。同じ Pod 内で複数のコンテナーが実行されている場合、エージェント注入用に選択できるコンテナーは 1 つだけです。マルチコンテナー Pod では、エージェントを注入する Java コンテナーが 1 つしかない場合にこの機能が役立ちます。

`cryostat-agent-init` コンテナーイメージのリソース要件のカスタマイズ

Cryostat エージェントの自動設定の一環として、Pod ミューテーション webhook が使用する cryostat-agent-init コンテナーイメージのリソース要件と制限をカスタマイズできます。Cryostat 4.0 では、cryostat-agent-init コンテナーの適切なリソース要件と制限を設定するために使用できる新しい spec.agentOptions.resources CR プロパティーが追加されました。

Cryostat エージェントの書き込み権限のユーザー制御

Cryostat エージェントの自動設定の一部として、注入されたエージェントに特定の Pod に対する書き込みアクセス権を与えるか、読み取り専用アクセス権を与えるかを制御できます。エージェントに読み取り専用アクセス権を付与する場合は、アプリケーションデプロイメントで cryostat.io/read-only ラベルを true に設定します。この機能により、注入されたエージェントのセキュリティーをより詳細に制御できるようになります。

Cryostat エージェントを注入する場合の環境変数の選択

Cryostat エージェントの自動設定の一環として、Cryostat エージェントを注入するための JVM 引数の追加に使用する環境変数のタイプを選択できます。この機能は、JAVA_TOOL_OPTIONS を使用したくないユーザー向けに設計されています。たとえば、Wildfly では MODULE_OPTS などの環境変数を使用することを推奨します。

アプリケーションデプロイメントで cryostat.io/java-options-var ラベルを使用して、使用する環境変数のタイプを指定できます。この機能により、JAVA_TOOL_OPTIONS がアプリケーションで機能しない場合に柔軟性が向上します。

コールバック URL コンポーネントの設定プロパティー

ワイルドカード TLS 証明書の生成をサポートするために、Cryostat エージェントは、Pod IP アドレスだけでなく、Cryostat からもアクセス可能なホスト名を含むコールバック URL を使用します。このような状況では、Cryostat は、アプリケーションデプロイメントの JAVA_OPTS_APPEND 環境変数に追加できる次の設定プロパティーの値に基づいて、ドメイン名検索 (DNS) ルックアップを使用してホスト名を検出します。

Expand

プロパティー名	値の例
`cryostat.agent.callback.scheme`	`http`
`cryostat.agent.callback.host-name`	`$(POD_NAME),$(POD_IP)[replace("."\,"-")]`
`cryostat.agent.callback.domain-name`	`headless.cryostat-operator-system.svc`
`cryostat.agent.callback.port`	`9977`
`io.cryostat.agent.shaded.org.slf4j.simpleLogger.defaultLogLevel`	`debug`

これらのプロパティーの詳細は、Agent Properties を参照してください。ログレベルの詳細は、Logging を参照してください。

TLS サーバーのキーストアパスワードがオプションになる

Cryostat 4.0 では、TLS サーバーのセットアップにキーストアのパスワードは不要になりました。キーストアのパスワードがオプションになったため、Cryostat Operator は各ターゲット namespace にシークレットを生成する必要がなくなり、Cryostat エージェントの自動設定が簡素化されます。この機能拡張は、キーストアのパスワードの使用を避けることを推奨する cert-manager のベストプラクティスにも準拠しています。

JFR レコーディング用の `PRESET` イベントテンプレートタイプ

Cryostat 4.0 では、JDK Flight Recorder (JFR) レコーディング用の PRESET イベントテンプレートタイプが導入され、Cryostat に同梱されている事前にロードされた .jfc ファイルが提供されます。ランタイムに作成または削除できるカスタムイベントテンプレートとは異なり、プリセットイベントテンプレートは読み取り専用であり、エンドユーザーが変更または削除することはできません。プリセットイベントテンプレートの目的は、Cryostat の作成者またはコミュニティーによって提案された JFR イベントテンプレートを提供し、一般的なアプリケーションフレームワークのサポートを可能にすることです。

Quarkus イベントの JFR サポート

Cryostat 4.0 では、ターゲット JVM に登録された Quarkus 固有のフレームワークレベルのイベントに基づいて JFR レコーディングを作成するためのサポートが追加されました。

この機能は、Quarkus イベントのプリセットテンプレートを含む PRESET イベントテンプレートタイプを使用します。プリセットの Quarkus イベントテンプレートを使用して、Quarkus 固有のイベントタイプのみの JFR レコーディングを生成できます。

Hibernate イベントの JFR サポート

Cryostat 4.0 では、ターゲット JVM に登録された Hibernate JFR イベントに基づいて JFR レコーディングを作成するためのサポートが追加されました。

この機能は、Hibernate JFR イベントのプリセットテンプレートを含む PRESET イベントテンプレートタイプを使用します。事前設定された Hibernate イベントテンプレートを使用して、Hibernate 固有のイベントタイプのみの JFR レコーディングを生成できます。

一致式は JFR イベントタイプを評価できる

Cryostat 4.0 以降では、特定のターゲット JVM で使用可能な JFR イベントタイプを評価する一致式を作成できます。一致式コンテキストに jfrEventTypeIds 関数が含まれるようになりました。この関数は、一致式が参照できるコンテキストターゲットオブジェクトを引数として取り、JFR イベントタイプ ID の文字列の配列を返します。

以下に例を示します。

jfrEventTypeIds(target: Target): string[]

この機能を使用すると、フレームワークレベルまたはアプリケーションレベルのイベントを含むプリセットまたはカスタムイベントテンプレートを使用する自動化ルールを定義できます。これらの自動化ルールは、これらのイベントタイプが存在するターゲット JVM でのみアクティブ化されます。

以下に例を示します。

jfrEventTypeIds(target).exists(x, x.startsWith(\"quarkus.\"))

ネットワーク Ingress ポリシーを無効にする CR プロパティー

Cryostat 4.0 以降では、オプションでネットワーク Ingress ポリシーを無効化できます。Cryostat 4.0 では、新たに networkPolicies.coreConfig.disableNetworkPolicyCreation CR プロパティーが追加され、このプロパティーを true に設定することで、これらのネットワークポリシーを無効化できます。

注記

ネットワークポリシーはデフォルトで有効になっています。予期しない問題が発生しない限り (たとえば、クラスターがサービス、ルート、または Ingress に対して異なるネットワークスタックを使用している場合など)、これらのポリシーを有効のままにしておくことを検討してください。

第3章機能拡張
リンクのコピー

Cryostat 4.0 には、Cryostat 3.0 の機能に基づいて構築された機能拡張が含まれています。

診断とガベージコレクション用のダッシュボードビューの強化

Cryostat Web コンソールのダッシュボードビューに、Start Garbage Collection ボタンを含む Diagnostics カードが追加されました。Start Garbage Collection をクリックすると、診断の目的でターゲット JVM 上で手動ガベージコレクションを実行するように Cryostat に指示できます。

Cryostat データベースとストレージコンテナーが別々にデプロイされる

Cryostat 4.0 以降では、Cryostat データベースコンテナー (cryostat-db) と Cryostat ストレージコンテナー (cryostat-storage) は、それぞれ別の Pod にデプロイされます。データベースとストレージコンテナーを切り離すことで、データベーススキーマのアップグレードが容易になり、Cryostat サーバーの障害やアップグレードによる潜在的なデータ損失を回避するのに役立ちます。この機能拡張により、アプリケーションの起動前に想定される検出ノードやプラグインがデータベースに登録されるようになり、既存のデータベースインスタンス上でアプリケーションをよりクリーンに再起動できるようになります。

Cryostat Helm チャートの機能拡張

Cryostat Helm チャートでは、Helm チャートを使用してインストールした Cryostat インスタンスの OpenShift OAuth 認証とサイドカーレポート生成もサポートされるようになりました。

注記

Cryostat Operator とは異なり、Cryostat Helm チャートはエンドツーエンドの暗号化、Cryostat Web コンソールプラグイン、または Cryostat エージェントの自動設定をサポートしていません。

第4章サポートされない機能および非推奨の機能
リンクのコピー

Cryostat 4.0 リリースでは、既存の機能は削除または廃止されていません。

第5章修正された問題
リンクのコピー

Cryostat リリースには、以前のバージョンで特定された問題に対する修正が含まれる場合があります。以下の注記には、各問題とその解決策の詳細が記載されています。

Cryostat 4.0.2 で修正された問題

Cryostat 4.0.2 リリースには、依存関係の 1 つに対する重要なセキュリティー更新に加えて、中程度の Cryostat セキュリティー更新が含まれています。これらのセキュリティー更新の詳細は、RHSA-2025:14919 を参照してください。

Cryostat 4.0.1 で修正された問題

Cryostat 4.0.1 リリースでは、次の問題が解決されました。

Cryostat ではカスタムではないターゲットの削除が可能

Cryostat 4.0.1 より前のリリースでは、カスタムターゲット削除エンドポイント (DELETE/api/v4/targets/{id}) によって、検出されたターゲットの削除が誤って許可されていました。

Cryostat 4.0.1 では、カスタムターゲット削除エンドポイントで、対応する POST/api/v4/targets エンドポイントによって作成されたカスタムターゲットの削除のみが許可されるようにすることで、この問題を解決しました。Cryostat に組み込まれている検出メカニズムでは、他のターゲットは削除できません。これらの他のターゲットは、それらを見つけた検出メカニズムによってのみ削除できます。この状況では、削除されるターゲットが Custom Targets レルムのメンバーではない場合、Cryostat は HTTP 400 Bad Request エラーで応答します。

新しく検出されたターゲットに対して自動ルールがアクティブ化されない可能性がある

Cryostat 4.0.1 より前のリリースでは、影響を受ける別のターゲットが接続に失敗した場合、エラー処理の問題により、自動化ルールがターゲットに対してアクティブ化されない可能性がありました。

Cryostat 4.0.1 では、ルールエグゼキューターによって出力されたエラーがルールサービスに返され、エラーが正しく処理されるようになり、この問題は解決しました。

Kubernetes API ターゲット検出が `default` namespace のエンドポイントの同期に失敗する

Cryostat 4.0.1 より前のリリースでは、ターゲット namespace に targetRef フィールドを持たない Service オブジェクト (default namespace の kubernetes サービスなど) が含まれている場合、Kubernetes API ターゲット検出は正しく機能しませんでした。この状況では、Cryostat は Failed to synchronize Endpoints in namespace default のエラーを返しました。

Cryostat 4.0.1 では、Kubernetes API ターゲット検出が targetRef フィールドを持たない Kubernetes エンドポイントを正しく処理するようにすることで、この問題を解決しました。

Cryostat ストレージコンテナーの起動時に発生する可能性のある障害

cryostat-storage コンテナーでは、少しカスタマイズされた SeaweedFS ストレージソリューションが提供されており、S3 互換のストレージプロバイダーとして機能します。SeaweedFS では、個々のボリュームごとに最大 30 GB のサイズ制限があります。

Cryostat 4.0.1 より前のリリースでは、割り当てられた永続ボリューム要求 (PVC) に使用可能なストレージ容量が 1.4 TB を超えると、cryostat-storage コンテナーの起動に失敗しました。

Cryostat 4.0.1 では、最大許容ボリュームサイズを 30 GB に設定することでこの問題が解決されました。

Liveness および Readiness プローブが原因で Cryostat エージェントが Cryostat に登録されない

Cryostat エージェントの自動設定の一部として、コンポーネントと候補ホスト名のリストから独自のコールバック URL を動的に決定するようにエージェントを設定できます。エージェントが Cryostat サーバーに提供するコールバック URL 内のホスト名を使用する前に、エージェントは組み合わせごとにドメイン名検索 (DNS) 解決を試行してその有効性を確認します。

Cryostat 4.0.1 より前のリリースでは、エージェントがアタッチされているアプリケーションに Liveness プローブまたは Readiness プローブがある場合、OpenShift はプローブが合格するまでコンテナーの DNS を設定しませんでした。この状況では、エージェントの DNS 解決の 1 回の試行が早期に失敗します。これは、Liveness プローブまたは Readiness プローブが設定されたアプリケーションにアタッチされたときに、エージェントが Cryostat に自身を登録できなかったことを意味します。

Cryostat 4.0.1 では、コールバック URI 解決をエージェント起動時の 1 回限りの操作から登録ループ開始時の繰り返し可能な操作に変更することで、この問題を解決しました。現在は、DNS 解決が失敗すると、登録ループは失敗してスケジュールどおりに繰り返されます。この動作の変更は、エージェント (またはそのホスト JVM やコンテナー) が起動シーケンスの早い段階で独自の DNS アドレスを解決できない場合に、登録の失敗を回避するために役立ちます。

HTTP 経由のエージェントクエリーでは、JMX クエリー結果に表示される JFR レコーディングは表示されません。

Cryostat 4.0.1 より前のリリースでは、Cryostat エージェントのシャットダウン時に Null Pointer Exception エラーが発生することがありました。このエラーが原因で、JFR レコーディングスナップショットを Cryostat サーバーにプッシュするために使用されるエージェントハーベスターシステムでアップロードエラーが発生した可能性があります。この問題により、エージェントによって報告される JFR レコーディングのリストと、同じ Cryostat インスタンスの JMX クエリーによって返される JFR レコーディングのリストとの間に不整合が生じる可能性があります。

Cryostat 4.0.1 では、エージェントが開始する JFR レコーディングを、利用可能なレコーディングのクエリー結果のリストに含めることで、この問題を解決しました。現在は、Cryostat Web コンソールで Cryostat エージェントに関連付けられたターゲット JVM を表示すると、エージェントがハーベスターシステムを通じて開始したレコーディングが Active Recordings テーブルに正しく表示されます。

エージェントログは、デフォルトで `stdout` ではなく `stderr` に出力されます。

Cryostat 4.0.1 より前のリリースでは、Cryostat エージェントはデフォルトでログメッセージを標準エラー (stderr) に出力していました。このような状況では、エージェントのログメッセージによって、stderr 上のメッセージを監視してアラートをトリガーする外部の監視および可観測性ツールもトリガーされていることがありました。

Cryostat 4.0.1 では、Cryostat エージェントがデフォルトでログメッセージを標準出力 (stdout) に出力するようにすることで、この問題を解決しました。

Cryostat がレポート生成をサイドカーコンテナーに正しく委譲しない

Cryostat 4.0.1 より前のリリースでは、自動レポート分析用に 1 つ以上のサイドカーコンテナーをデプロイするようにカスタムリソース (CR) を設定した場合、Cryostat はレポート生成をこれらのサイドカーコンテナーに委譲しませんでした。代わりに、メインの Cryostat コンテナーがレポート生成自体を処理しましたが、これは予期しない動作であり、パフォーマンスの問題を引き起こす可能性がありました。

Cryostat 4.0.1 では、Cryostat Operator が正しい環境変数を設定して、レプリカサイドカーコンテナーのサービス URL を Cryostat に通知するようにすることで、この問題を解決しました。

エージェントのロギングレベルが原因でアプリケーションログに潜在的な問題が発生する

Cryostat 4.0.1 より前のリリースでは、Cryostat エージェントのデフォルトのログレベルにより、エージェントログがホストアプリケーションのログメッセージと混同される可能性がありました。これらのエージェントログはその後、警告またはエラーレベルのメッセージをチェックする他のアラートシステムをトリガーする可能性があります。

Cryostat 4.0.1 では、Cryostat エージェントロギングをデフォルトで無効にすることで、この問題を解決しました。Cryostat には、エージェントの適切なろリングレベルを設定するために使用できる log-level ラベルも含まれるようになりました。これは、エージェント設定のトラブルシューティングやデバッグに役立つ可能性があります。Cryostat Operator によるエージェントの自動設定を有効にする場合、アプリケーションのデプロイメントに log-level ラベルを追加して、Operator にエージェントログの指定されたレベルを設定するように指示することができます。

`cert-manager` が TLS 証明書を更新すると、Cryostat デプロイメントは機能しなくなります。

TLS 証明書の有効期限が近づくと、cert-manager はそれを自動的に更新します。

Cryostat 4.0.1 より前のリリースでは、Cryostat Operator は証明書の有効期限切れを検出せず、Operator は壊れた証明書チェーンでのデプロイメント実行の継続を許可していました。

Cryostat 4.0.1 では、証明書の更新を Cryostat Operator が検出することで、この問題を解決しました。このような状況では、Operator は TLS 証明書を更新し、コンポーネントを再デプロイします。

MBean メトリクスダッシュボードカードが正しく更新されないことがある

Cryostat 4.0.1 より前のリリースでは、Cryostat Web コンソールのダッシュボードビューで、MBean メトリクスチャートのダッシュボードカードが正しく更新されないことがありました。さらに、Cryostat Web コンソールプラグインインターフェイスと特定の Cryostat インスタンスの Web コンソールインターフェイス間で、同じターゲット JVM の MBean メトリクスチャートデータが一致しないことがありました。

Cryostat 4.0.1 では、MBean メトリクスチャートデータが常に正しく更新されるようにすることで、この問題を解決しました。

Cryostat 接続障害により Cryostat Web コンソールプラグインがシャットダウンする

TLS 証明書の有効期限が近づくと、cert-manager はそれを自動的に更新します。

Cryostat 4.0.1 より前のリリースでは、Cryostat Web コンソールプラグインが Cryostat に正常に接続できない場合、Web コンソールプラグインがシャットダウンし、OpenShift によって再起動する必要がありました。この問題は、たとえば、接続を受け入れる準備ができていない Cryostat インスタンスで Cryostat Web コンソールプラグインを使用しようとした場合に発生する可能性がありました。

Cryostat 4.0.1 では、Cryostat Web コンソールプラグインがアクティブ状態を保ち、Cryostat に接続できない場合でも失敗しないようにすることで、この問題を解決しました。

第6章既知の問題
リンクのコピー

Cryostat のリリースには、Red Hat が認識し、後の製品開発段階で修正される可能性がある問題が含まれている場合があります。それぞれの既知の問題の説明と、考えられる回避策を確認してください。

Cryostat エージェントの手動設定が正しく機能しない

説明: 手動設定アプローチを選択した場合、Cryostat エージェントを使用するようにアプリケーションを正常に設定できません。
回避策: Cryostat Operator が Cryostat エージェントを自動的に設定できるようにすることで、新しい自動設定機能を使用します。

ARM64 アーキテクチャーでは Red Hat Insights のインテグレーションはサポートされない

説明: Red Hat build of Cryostat は現在、ARM64 アーキテクチャーでの Red Hat Insights のインテグレーションをサポートしていません。
回避策: この問題に対する回避策はありません。

Cryostat エージェントは `cert-manager` インテグレーションなしでは動作しない

説明: Cryostat エージェント接続には TLS (HTTPS) プロトコルが必要であるため、Cryostat CR で Enable cert-manager integration が false に設定されている場合は、エージェントを使用できません。この問題は、Cryostat Operator を使用してエージェントを自動的に設定するか、エージェントを手動で設定するかに関係なく発生します。
回避策: Cryostat CR に対応する TLS 証明書が含まれているか、すべての証明書を信頼するように設定されていることを確認します。

FIPS モードでは暗号化機能が正しく動作しない

説明: TLS や JSON Web Token (JWT) などのさまざまな暗号化機能は、Federal Information Processing Standards (FIPS) モードでは正しく動作しません。現在、これらの機能を FIPS 対応ホストシステムで動作するように設定することはできません。この問題は、以前の Cryostat リリースにも影響します。
回避策: この問題に対する回避策はありません。

グラフモードでは Topology ビューの項目が重なることがある

説明: Cryostat Web コンソールの Topology ビューでは、検出されたターゲットをグラフモードでレンダリングするときに時々問題が発生し、項目が重なり合うことがあります。この問題は、Cryostat Web コンソールプラグインと個々の Cryostat インスタンスのユーザーインターフェイスの両方に影響します。この問題は、以前の Cryostat リリースにも影響します。
回避策: パネルの下部にある Reset View ボタンをクリックします。

Cryostat Web コンソールプラグインのビュー間のリンク時に選択内容が事前に入力されない

説明: Cryostat Web コンソールプラグインを使用する場合、あるビューから別のビューにリンクすると、ソースビューの選択内容が target ビューに自動的に事前入力されません。たとえば、Events ビューでイベントテンプレートの横にある Create Recording をクリックしても、選択したテンプレートは Recordings ビューの Custom Flight Recording タブに自動的に事前入力されません。同様に、Topology ビューでターゲット JVM の Resources タブを開き、Event Templates をクリックしても、選択した JVM は Events ビューで自動的に事前選択されません。
回避策: target ビューで適切なオプションを手動で再選択するか、代わりに個々の Cryostat インスタンスの Cryostat Web コンソールインターフェイスを使用します。

Cryostat Web コンソールからの自動ルールのアップロードが HTTP 415 エラーで失敗する

説明

Cryostat Web コンソールの自動ルールビューを使用して JSON 形式で自動ルールをアップロードしようとすると、HTTP 415 Unsupported Media Type エラーが発生し、アップロードが失敗します。

回避策

以下の回避策のいずれかを使用してください。

Cryostat Web コンソールで自動化ルールを作成します。
ローカルで、自動化ルールの JSON ファイルをテキストエディターで開きます。Cryostat Web コンソールで、Automated Rules > Create を選択します。次に、JSON データをビジュアルフォームフィールドに手動でコピーし、Web コンソールで自動化ルールを作成します。
HTTP クライアントを使用して自動化ルールをアップロードします。
任意の HTTP クライアント (curl や HTTPie など) を使用して、自動化ルールの JSON ファイルをアップロードし、POST リクエストを Cryostat API に直接送信します。要求に必要な Authorization: Bearer $token ヘッダーが含まれることを確認します。また、JSON ファイルをアップロードするときに、リクエストに Content-Type: application/json ヘッダーが含まれていることを確認してください。

第7章このリリースに関連するアドバイザリー
リンクのコピー

Cryostat 4.0 リリースに含まれるバグ修正と CVE 修正を文書化するために、次のアドバイザリーが発行されました。

改訂日時: 2025-09-03

法律上の通知
リンクのコピー

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.