4.18. コンテナー
新しい podman RHEL システムロールが利用可能になりました。
Podman 4.2 以降では、podman システムロールを使用して、Podman 設定、コンテナー、および Podman コンテナーを実行する systemd サービスを管理できるようになりました。
Jira:RHELPLAN-118698
Podman は監査用のイベントをサポートするようになりました。
Podman v4.4 以降、コンテナーに関するすべての関連情報を 1 つのイベントと journald エントリーから直接収集できるようになりました。Podman 監査を有効にするには、container.conf 設定ファイルを変更し、events_container_create_inspect_data=true オプションを engine セクションに追加します。データは JSON 形式であり、podman container inspect コマンドからのものと同じです。詳細については、Podman 4.4 の新しいコンテナーイベントと監査機能の使用方法 を参照してください。
Jira:RHELPLAN-136601
Container Tools パッケージが更新される
Podman、Buildah、Skopeo、crun、runc ツールを含む、更新された Container Tools パッケージが利用可能になりました。この更新では、以前のバージョンに対する一連のバグ修正と機能強化が適用されます。
Podman v4.4 の注目すべき変更点は次のとおりです。
- Podman を使用して systemd サービスを簡単に作成および保守できる新しい systemd ジェネレーターである Quadlet を紹介します。
-
新しいコマンド
podman network updateが追加されました。これは、コンテナーと Pod のネットワークを更新します。 -
buildah のバージョンを表示する新しいコマンド
podman buildx versionが追加されました。 - コンテナーに起動ヘルスチェックを設定できるようになり、通常のヘルスチェックがアクティブになる前にコマンドを実行してコンテナーが完全に起動していることを確認できるようになりました。
-
podman --dnsコマンドを使用して、カスタム DNS サーバーの選択をサポートします。 - Fulcio と Rekor を使用した sigstore 署名の作成と検証が利用できるようになりました。
- Docker との互換性が向上しました (新しいオプションとエイリアス)。
-
Podman の Kubernetes 統合の改善 - コマンド
podman kubegenerateおよびpodman kube playが利用可能になり、podmangenerate kubeおよびpodman play kubeコマンドに置き換わりました。podman generated kubeおよびpodman play kubeコマンドは引き続き使用できますが、新しいpodman kubeコマンドを使用することを推奨します。 -
podman kube playコマンドによって作成された Systemd 管理の Pod は、io.containers.sdnotifyアノテーション (または特定のコンテナーの場合はio.containers.sdnotify/$name) を使用して sd-notify と統合されるようになりました。 -
podman kube playによって作成された Systemd 管理の Pod は、io.containers.auto-updateアノテーション (または特定のコンテナーの場合はio.containers.auto-update/$name) を使用して自動更新できるようになりました。
Podman がバージョン 4.4 にアップグレードされました。注目すべき変更点の詳細については、アップストリームリリースノート を参照してください。
Jira:RHELPLAN-136608
Aardvark と Netavark がカスタム DNS サーバーの選択をサポートするようになりました。
Aardvark および Netavark ネットワークスタックは、ホスト上のデフォルトの DNS サーバーの代わりに、コンテナーのカスタム DNS サーバーの選択をサポートするようになりました。カスタム DNS サーバーを指定するには、次の 2 つのオプションがあります。
-
containers.conf設定ファイルにdns_serversフィールドを追加します。 -
新しい
--dnsPodman オプションを使用して、DNS サーバーの IP アドレスを指定します。
--dns オプションは、container.conf ファイル内の値をオーバーライドします。
Jira:RHELPLAN-138025
Skopeo は、sigstore キーペアの生成をサポートするようになりました。
skopeogenerate-sigstore-key コマンドを使用して、sigstore 公開キー/秘密キーのペアを生成できます。詳細については、skopeo-generate-sigstore-key man ページを参照してください。
Jira:RHELPLAN-151481
ツールボックスが利用可能になりました。
toolbox ユーティリティーを使用すると、トラブルシューティングツールをシステムに直接インストールしなくても、コンテナー化されたコマンドライン環境を使用できます。Toolbox は、Podman および OCI のその他の標準コンテナーテクノロジーを基盤として構築されています。詳細については、toolbx を参照してください。
Jira:RHELPLAN-150266
イメージに署名するための複数の信頼できる GPG キーの機能が利用可能です。
/etc/containers/policy.json ファイルは、信頼できるキーを含むファイルのリストを受け入れる新しい keyPaths フィールドをサポートします。このため、Red Hat の一般公開キーとベータ GPG キーで署名されたコンテナーイメージがデフォルト設定で受け入れられるようになりました。
以下に例を示します。
"registry.redhat.io": [
{
"type": "signedBy",
"keyType": "GPGKeys",
"keyPaths": ["/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release", "/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta"]
}
]Jira:RHELPLAN-118470
RHEL 8 延長更新サポート
RHEL コンテナーツールが RHEL 8 延長更新サポート(EUS) リリースでサポートされるようになりました。Red Hat Enterprise Linux EUS の詳細は、コンテナーツール Appstream コンテンツの提供、Red Hat Enterprise Linux (RHEL) Extended Update Support (EUS) の概要 を参照してください。
Jira:RHELPLAN-151121
sigstore 署名が利用可能になりました。
Podman 4.2 以降では、コンテナーイメージ署名の sigstore 形式を使用できます。sigstore 署名はコンテナーイメージと共にコンテナーレジストリーに格納されるため、イメージ署名を格納するために別の署名サーバーを用意する必要はありません。
Jira:RHELPLAN-75165
Podman が実行前フックをサポートするようになりました。
/usr/libexec/podman/pre-exec-hooks ディレクトリーと /etc/containers/pre-exec-hooks ディレクトリーにある root 所有のプラグインスクリプトは、コンテナー操作の詳細な制御、特に無許可のアクションのブロックを定義します。
/etc/containers/podman_preexec_hooks.txt ファイルは管理者が作成する必要があり、空でもかまいません。/etc/containers/podman_preexec_hooks.txt が存在しない場合、プラグインスクリプトは実行されません。すべてのプラグインスクリプトがゼロ値を返す場合、podman コマンドが実行されます。それ以外の場合、podman コマンドは継承された終了コードで終了します。
Red Hat では、スクリプトを正しい順序で実行するために、DDD-plugin_name.lang (例: 010-check-group.py) という命名規則を使用することを推奨しています。プラグインスクリプトは作成時点で有効であることに注意してください。プラグインスクリプトの前に作成されたコンテナーは影響を受けません。
Bugzilla:2119200
