リリースノート

ルートレスコンテナーが完全にサポートされるようになりました。

ルートレスコンテナーは、管理者権限なしで通常のシステムユーザーにより作成および管理されるコンテナーです。これにより、ユーザーはコンテナーレジストリーに対する認証情報などの ID を維持できます。

podman コマンドおよび buildah コマンドを使用して、ルートレスコンテナーを試行できます。詳細は以下を参照してください。

fuse-overlayfs が利用可能になりました。ルートレスコンテナーへの変更が必要になる場合があります。

fuse-overlayfs パッケージは、rootless コンテナーで使用できる overlayfs FUSE 実装を提供します。FUSE を使用すると、完全に機能するファイルシステムをユーザー空間プログラムに実装できます。

ストレージの変更により、RHEL Atomic Host 7.8.0 にアップグレードするときにルートレスコンテナーの変更が必要になる場合があります。

quay レジストリーがデフォルトで検索されなくなりました。

以前は、短縮イメージ名を使用すると、正しくないイメージがプルされることがありました。これを修正するために、/etc/containers/registries.conf のデフォルトのレジストリー検索リストから quay.io レジストリーが削除されました。

現在は、イメージをプルするときに完全なリポジトリー名を指定する必要があります (例: quay.io/myorg/myimage)。

Red Hat Enterprise Linux Atomic Host は 2020 年 8 月 6 日に廃止されます。

Red Hat Enterprise Linux Atomic Host は 2020 年 8 月 6 日に廃止され、アクティブなサポートは提供されなくなります。したがって、Red Hat は、2020 年 8 月 6 日以降、Red Hat Enterprise Linux Atomic Host のイメージまたは ostree の更新、重大または重要なセキュリティーパッチ、緊急優先度のバグ修正を提供しません。

お客様の環境でサポートされている最新バージョンの Red Hat Enterprise Linux に移行することを推奨します。Red Hat サブスクリプションモデルの利点として、お客様はアクティブなサブスクリプションを使用して、現在サポートされている Red Hat Enterprise Linux リリースの任意のシステムを登録できます。実稼働環境の一部としてコンテナーをデプロイすることを希望するお客様は、Red Hat OpenShift Container Platform を評価して、サポートされているバージョンの Red Hat Enterprise Linux に移行することを推奨します。

一部のアーキテクチャーおよび rhel7-aarch64 イメージの Extras が廃止されました。

POWER9、IBM System z (Structure A)、および 64 ビット ARM アーキテクチャー向けの Extras コンテンツはプッシュされなくなります。AMD64 および Intel 64、IBM Power Systems のリトルエンディアンバリアント、IBM Z などの RHEL アーキテクチャー用の Extras コンテンツは、RHEL7 のサポート期間中は引き続きサポートされます。rhel7-aarch64 イメージは 7.7 に更新されません。

ルートレスコンテナーがテクノロジープレビューとして利用可能になりました。

ルートレスコンテナーは、管理者権限なしで通常のシステムユーザーにより作成および管理されるコンテナーです。これにより、ユーザーはコンテナーレジストリーに対する認証情報などの ID を維持できます。

podman コマンドおよび buildah コマンドを使用して、ルートレスコンテナーを試行できます。詳細は以下を参照してください。

podman、buildah、および scopeo が RHEL Workstation で利用可能になりました。

podman、buildah、および scopeo ツールを RHEL 7.7 Workstation で使用できます。UBI イメージのみがサポートされています。

RHEL 7.7 リリースノート も参照してください。

docker-latest が利用できなくなりました。

docker-latest パッケージは、RHEL Atomic 7.6.6 以降では利用できなくなりました。docker パッケージのみが利用可能です。

Red Hat Universal Base Images (UBI) が利用可能になりました。

RHEL Atomic Host 7.6.4 では、Red Hat Universal Base Images (UBI) が新たに利用可能になりました。現在、利用可能な UBI は、ubi7-init、ubi7-minimal、および ubi7 です。これらは、rhel7-init、rhel7-atomic、および rhel-server イメージを置き換えるためのものです。

さらに、Red Hat Software Collections を通じて現在提供されているイメージの一部を置き換えることを目的とした一連の UBI が利用可能になりました。

以前の Red Hat イメージとは異なり、UBI は自由に再配布できます。つまり、あらゆる環境で使用でき、どこでも共有できます。Red Hat のお客様でなくても使用できます。

UBI の詳細は、Red Hat Universal Base イメージの使用 (標準、最小、ランタイム) を参照してください。

Podman が完全にサポートされるようになりました。

今回の更新により、podman ツールがテクノロジープレビューから完全にサポートされる機能にアップグレードされました。

podman ツールは、Pod、コンテナーイメージ、およびコンテナーを管理します。これは、コンテナー Pod を使用するアプリケーション用の libpod ライブラリーに含まれています。

podman のドキュメントは、podman を使用したコンテナーの操作 を参照してください。

Red Hat Enterprise Linux システムロールの一部のロールが完全にサポートされるようになりました。

Red Hat Enterprise Linux システムロールは、以前はテクノロジープレビューとして提供されていました。今回の更新により、selinux、kdump、network、および timesync ロールがテクノロジープレビューから完全にサポートされる機能にアップグレードされました。postfix ロールは、引き続きテクノロジープレビューとして利用できます。

RHEL 7.6 コンテナーイメージが aarch64 で利用可能になりました。

64 ビット ARM アーキテクチャー用の Red Hat Enterprise Linux 7.6 コンテナーイメージが利用可能になりました。このイメージはアーキテクチャーを認識しません。インストールするには、次のパッケージ名を使用します。

rhel-server-aarch64-container

他のアーキテクチャーのパッケージ名 (以下参照) は使用しないでください。

rhel-server-container

他の 64 ビット ARM アーキテクチャーパッケージも、同じ命名規則を使用します。

Buildah がデフォルトインストールの一部になりました。

RHEL Atomic Host 7.5.4 では、Buildah はデフォルトのインストールの一部です。パッケージの階層化を使用してインストールする必要がなくなりました。

新しい 7.5.3 イメージで L1 Terminal Fault Attack に対する脆弱性が修正されました。

RHEL Atomic Host 7.5.3 イメージが更新され、L1 Terminal Fault Attack の脆弱性に対するセキュリティー修正が含まれるようになりました。詳細は、このアーティクル を参照してください。

RHEL Atomic Host は OpenShift 4.0 以降ではサポートされません。

Red Hat OpenShift 4.0 以降、RHEL Atomic Host は Red Hat OpenShift でサポートされません。

PowerPC 8 & 9 および s390xでコンテナーイメージが利用可能になりました。

RHEL Atomic Host 7.5.3 以降、AMD64 および Intel 64 (X86_64) だけでなく、IBM Power Systems のリトルエンディアンバリアント (PowerPC 8 & 9、ppc64le とも呼ばれる)、および IBM z Systems (s390x) 用のコンテナーイメージの多くが利用可能になりました。

以下の情報が必要な場合は、RHEL 上のコンテナーでサポートされるアーキテクチャー を参照してください。

7.6 で、アーキテクチャー固有のベースイメージの配布が変更されます。

現在、マルチアーキテクチャーのベース OS イメージは、rhel7 リポジトリーおよびアーキテクチャー固有のリポジトリー (rhel7/ppc64le など) で利用できます。これは、RHEL Atomic Host 7.6 まで継続されます。

RHEL Atomic Host 7.6 では、すべてのアーキテクチャーのベースイメージが rhel7 リポジトリーで利用可能になります。ベースイメージをプルすると、使用しているアーキテクチャーに基づいて、正しいアーキテクチャーのイメージが自動的にプルされます。アーキテクチャー固有のリポジトリーのユーザーは、Dockerfile の from 行を更新する必要があります。

一部のユーザーは、yum install を使用して特定の SRPM にアクセスできない場合があります。

AMD64 および Intel 64 (X86_64) 以外のアーキテクチャーの場合、yum install を使用して Atomic Host および Extras チャンネルからソース RPM をインストールすることはできません。一方、ソースコードは、これらすべてのアーキテクチャーで同じであるため、AMD64 および Intel 64 SRPM を使用して利用できます。

ただし、お客様のサブスクリプションによっては、AMD64 および Intel 64 SRPM を yum install できない場合があります。その場合は、コンテナーイメージとして提供された Red Hat 製品のソースを取得する方法 の手順に従います。

また、IBM Power Systems (PowerPC 8 & 9、ppc64le とも呼ばれる) または IBM z Systems (s390x) のサブスクリプションのみをお持ちの場合は、microdnf パッケージのソースコードを Red Hat から直接要求する必要がある場合があります。

7.6 で、アーキテクチャー固有のベースイメージの配布が変更されます。

現在、マルチアーキテクチャーのベース OS イメージは、rhel7 リポジトリーおよびアーキテクチャー固有のリポジトリー (rhel7/ppc64le など) で利用できます。これは、RHEL Atomic Host 7.6 まで継続されます。

RHEL Atomic Host 7.6 では、すべてのアーキテクチャーのベースイメージが rhel7 リポジトリーで利用可能になります。ベースイメージをプルすると、使用しているアーキテクチャーに基づいて、正しいアーキテクチャーのイメージが自動的にプルされます。アーキテクチャー固有のリポジトリーのユーザーは、Dockerfile の from 行を更新する必要があります。

overlay2 がデフォルトのストレージドライバーになりました。

Docker のデフォルトのストレージドライバーが devicemapper から overlay2 に変更されました。7.5.0 より前のバージョンの Atomic Host の既存のインストールでは、devicemapper がデフォルトのドライバーとしてそのまま使用されます。このような既存のインストールをアップグレードしても、設定されたドライバーは変更されません。

overlay2 ドライバーの詳細、および devicemapper から overlay2 への切り替え手順は、overlay グラフドライバーの使用 を参照してください。

Red Hat コンテナーレジストリーに認証が必要になります。

今後、Red Hat コンテナーレジストリーは registry.access.redhat.com から registry.redhat.io に移行します。この変更の一環として、コンテナーは最終的に、サブスクライブおよび認証されたシステムでのみ使用できるようになります。

詳細は、Red Hat コンテナーレジストリーの認証 を参照してください。

Buildah が完全にサポートされるようになりました。

buildah ツールは、テクノロジープレビューから完全にサポートされる機能にアップグレードされました。

buildah ツールは、OCI コンテナーイメージの構築を容易にします。これを使用すると、以下のことを行うことができます。

詳細および使用手順は、buildah を使用したコンテナーイメージのビルド を参照してください。

docker のユーザー名前空間が完全にサポートされるようになりました。

ユーザー名前空間機能は RHEL 7.4 カーネルから完全にサポートされていますが、docker サービスに関連付けられたユーザー名前空間の実装は、RHEL Atomic Host 7.5 までテクノロジープレビューでした。今回、完全にサポートされるようになりました。

詳細および使用手順は、ユーザー名前空間のオプション を参照してください。

Kubernetes の手動設定が非推奨になりました。

以前の お知らせ のとおり、RHEL 7.5 および RHEL Atomic Host 7.5 以降、Red Hat は Kubernetes の手動セットアップをサポートしなくなります。同様に、以前のリリースからの Kubernetes の手動設定もサポートされていません。この変更の影響を受けるコンポーネントには、次の非推奨の Kubernetes RPM パッケージ、イメージ、および関連ドキュメントが含まれます。

RPM パッケージ:

コンテナーイメージ:

ドキュメント:

今後、リストされているソフトウェアやドキュメントはいずれも更新されません。Red Hat が公式にサポートする Kubernetes ベースの製品については、次のドキュメントセットを参照してください。

docker-latest が非推奨になりました (後に削除予定)。

Docker の docker-latest バージョンは引き続き利用できますが、非推奨になりました。今後のリリースでは削除される予定です。

docker と docker-latest が同じバージョンになりました (1.13)。

docker と docker-latest は同じバージョンの 1.13 になりました。

ansible が Extras チャンネルから削除されました。

Ansible とその依存関係が Extras チャンネルから削除されました。代わりに、Red Hat Ansible Engine 製品を利用することができ、公式な Ansible Engine チャンネルにアクセスできます。エラータが Extras チャンネルから提供されなくなるため、これまで、Extras チャンネルから Ansible およびその依存関係をインストールしていた場合は、今後、Ansible Engine チャンネルを有効にしてこのチャンネルから更新を行うか、パッケージをアンインストールしてください。

これまで、Ansible は、(AMD64 および Intel 64 アーキテクチャーならびに IBM POWER リトルエンディアン用として) Extras チャンネルで Red Hat Enterprise Linux (RHEL) システムロールのランタイム依存関係として提供され、サポートもこの範囲に限られていました。これからは、AMD64 および Intel 64 のアーキテクチャーで Ansible Engine を利用できます。IBM POWER については、近々リトルエンディアンへの対応が開始する予定です。

Extras チャンネルの Ansible は、Red Hat Enterprise Linux FIPS 検証プロセスに含まれていなかった点に注意してください。

以下のパッケージが Extras チャンネルで非推奨となりました。

python2-crypto、libtomcrypt、および libtommath パッケージは、新しい Red Hat Ansible Engine 製品に含まれる Ansible の依存関係としては不要になり、おそらく更新されません。アンインストールすることを推奨します。

詳細とガイダンスは、こちらの ナレッジベースの記事 を参照してください。

テクノロジープレビューとして利用可能な Red Hat Enterprise Linux システムロールは、Extras チャンネルから引き続き配信されます。Red Hat Enterprise Linux システムロールは ansible パッケージでは提供されなくなりますが、Red Hat Enterprise Linux システムロールを使用する playbook を実行するには、引き続き Ansible Engine リポジトリーから ansible をインストールする必要があります。

docker と docker-latest が同じバージョンになりました。

RHEL Atomic Host 7.4.5 では、docker と docker-latest はどちらもバージョン 1.13.1 です。RHEL Atomic Host 7.5.0 では、docker-latest が利用可能になりますが、非推奨です。RHEL Atomic Host のそれ以降のバージョンでは、docker-latest は削除されます。

Extras チャンネルの ansible が非推奨になりました。

Ansible およびその依存関係は、Extras チャンネルから更新されなくなりました。詳細は、Ansible の削除に関する 7.5.0 リリースノート を参照してください。

buildahのドキュメントが強化されました。

buildah コマンドの範囲が拡大され、コンテナーをゼロからビルドする方法など、いくつかの新機能について説明されています。Buildah を使用したコンテナーイメージのビルド を参照してください。

rpm-ostree コマンドにいくつかの新機能が追加されました。最も注目すべきものは、以下のとおりです。

パッケージの階層化 に記載されています。

その他の新しい rpm-ostree 機能については、アップストリームの rpm-ostree リリースノート を参照してください。

RHEL ツールコンテナーのイメージのサイズが大幅に縮小されました。

RHEL ツールコンテナーのイメージ (rhel-tools) のサイズが約 1400 MB から約 400 MB に縮小されました。以下の変更が行われました。

以前は docker のサブパッケージとして提供されていた oci-umount パッケージは、個別に提供されるようになりました。

oci-umount パッケージは、OCI フックプログラムを提供します。これをフックとして runc JSON データファイルに追加すると、runc は、コンテナープロセスの作成後、コンテナープロセスが実行される前に、prestart フラグを使用してアプリケーションを実行します。Docker は、oci-umount が $HOOKSDIR ディレクトリーにインストールされると、それをコンテナーフックとして runc 設定に追加します。umount するファイルシステムのリストを変更するには、/etc/oci-umount.conf ファイルを編集します。

リトルエンディアン IBM パワーシステムでのコンテナーのサポートは制限されています。

現在、IBM Power Systems (PPCle) のリトルエンディアンバリアントでのコンテナーのサポートは制限されています。詳細は、RHEL 上のコンテナーでサポートされるアーキテクチャー を参照してください。

特に、Extras チャンネルのパッケージが、rhel7-ppc64le ベースコンテナーと共に、IBM Power Systems のリトルエンディアンバリアント向けに提供されるようになりました。これにより、これらのシステムで Red Hat Enterprise Linux 7.4 を使用してコンテナーを使用できるようになります。

overlay2 ストレージドライバーが利用可能になりました。

overlay2 グラフドライバーが、テクノロジープレビューから完全にサポートされる機能にアップグレードされました。

overlay2 グラフドライバーは、overlay と同じく、コンテナー間のページキャッシュ共有を特徴とするコピーオンライトのユニオンファイルシステムである OverlayFS を使用します。ただし、overlay2 の方がパフォーマンスの高いオプションです。

ドライバーを有効にするには、/etc/sysconfig/docker-storage-setup ファイルに overlay2 を指定します。

STORAGE_DRIVER=overlay2

OverlayFS を SELinux を適用して実行できるようになりました。

以前は、OverlayFS を機能させるためには、SELinux を permissive または disabled モードにする必要がありました。現在は、enforcing モードの SELinux を使用して OverlayFS ファイルシステムを実行できます。

OverlayFS の詳細は、overlay グラフドライバー を参照してください。

コンテナーの SSSD が完全にサポートされるようになりました。

コンテナーの System Security Services Daemon (SSSD) は、テクノロジープレビューから完全にサポートされる機能にアップグレードされました。

SSSD を使用すると、Red Hat Enterprise Linux Atomic Host 認証サブシステムを、Red Hat Identity Management や Microsoft Active Directory などの中央アイデンティティープロバイダーに接続できます。

この新しいイメージをインストールするには、atomic install rhel7/sssd コマンドを使用します。

SSSD の完全なドキュメントは、SSSD の設定 を参照してください。

パッケージの階層化が完全にサポートされるようになりました。

rpm-ostree ツールの pkg-add サブコマンドが、テクノロジープレビューから完全にサポートされる機能にアップグレードされました。

rpm-ostree install コマンドは、再起動後も保持される階層化されたパッケージをインストールします。このコマンドを使用して、診断ツールなど、元の OSTree の一部ではない個々のパッケージをインストールできます。パッケージの階層化の詳細は、パッケージの階層化 を参照してください。

イメージの署名が完全にサポートされるようになりました。

イメージの署名および検証機能は、テクノロジープレビューから完全にサポートされる機能にアップグレードされました。

RHEL および RHEL Atomic Host システムでコンテナーイメージに署名すると、コンテナーイメージのソースを検証し、イメージが改ざんされていないことを確認し、システムで使用できる検証済みイメージを決定するためのポリシーを設定する手段が提供されます。

主なイメージ署名タスクは次の方法で実行できます。

現在のリリースでは、イメージの署名は、Docker v2 レジストリー (docker-distribution パッケージに含まれるレジストリーソフトウェアなど) と Docker Hub (docker.io) の間でプッシュおよびプルする場合にのみサポートされます。

イメージの署名の詳細は、イメージの署名 を参照してください。

OSTree コミットの GPG 検証の変更

RHEL Atomic Host 7.4.0 以降の新規インストールでは、OSTree コミットの GPG 検証がデフォルトで有効になっています。RHEL Atomic Host 7.3 からアップグレードする場合は、GPG 検証を手動で有効にすることができます。

GPG 検証を有効にするには、/etc/ostree/remotes.d/redhat.conf ファイルの gpg-verify ディレクティブを true に設定します。

GPG 検証が有効になっている場合、atomic host status コマンドの出力に、コミットの GPG 署名に関する情報が表示されます。

docker-storage-setup の名前が container-storage-setup に変更されました。

docker-storage-setup ユーティリティーの名前が、RHEL 7.4 および RHEL Atomic Host 7.4 では container-storage-setup に変更されました。以下の点に留意してください。

Red Hat Enterprise Linux 6 Init コンテナーイメージが利用可能になりました。

新しい Red Hat Enterprise Linux 6 Init イメージを使用すると、RHEL6 init スクリプトに基づいてコンテナー化されたサービスを作成できます。このコンテナーイメージにより、init スクリプトを使用して RHEL6 ユーザー空間で 1 つ以上のサービスを実行できます。

rhev6-init の使用方法の詳細は、コンテナー管理ガイドの Atomic RHEL6 Init コンテナーイメージの使用を 参照してください。

Red Hat Enterprise Linux 7 Init コンテナーイメージが利用可能になりました。

新しい Red Hat Enterprise Linux 7 Init イメージを使用すると、systemd init システムに基づいてコンテナー化されたサービスを作成できます。このコンテナーイメージは、OCI コンテナーで systemd を設定し、ユニットファイル、init スクリプト、またはその両方を使用して RHEL7 ユーザー空間で 1 つ以上のサービスを実行できるようにします。

rhev7-init の使用方法の詳細は、コンテナー管理ガイドの Atomic RHEL7 Init コンテナーイメージの使用を 参照してください。

クライアントで initramfs を生成する機能

デフォルトでは、Atomic Host はサーバー側で構築された汎用の initramfs イメージを使用します。これは、インストールごとに initramfs が生成される yum ベースの Red Hat Enterprise Linux とは異なります。ただし、状況によっては追加の設定や、コンテンツを追加する必要がある場合があります。その場合には、クライアント側で initramfs を生成する必要があります。

今回の更新により、ホストの更新に使用される Atomic Host コンポーネント rpm-ostree に新しい initramfs コマンドが追加されました。新しいコマンドにより、dracut プログラムを使用してクライアント側で initramfs を生成できます。

rpm-ostree initramfs の使用方法の詳細は、インストールおよび設定ガイドの クライアントでの initramfs イメージの生成 を参照してください。

docker-latest のマネージドプラグイン API が変更されました。

Docker 1.13 で、マネージドプラグイン API が、Docker 1.12 で導入された実験的なバージョンと比較して変更されました。Docker 1.13 にアップグレードする前に、Docker 1.12 でインストールしたプラグインをアンインストールする必要があります。プラグインをアンインストールするには、docker plugin rm コマンドを使用します。

以前にインストールしたプラグインをアンインストールせずに Docker 1.13 にアップグレードした場合、Docker デーモンの起動時に次のメッセージが表示されることがあります。

Error starting daemon: json: cannot unmarshal string into Go value of type
types.PluginEnv

この問題を解決するには、以下を実行します。

MicroDNF

microdnf パッケージ (microdnf-2-2.el7.1.1) には、C で記述された、機能が制限されたパッケージマネージャーが含まれています。この microdnf 用の最小限の subscription-manager プラグイン実装は、デフォルトではリポジトリーを有効にしません。その結果、subscription-manager によって管理されるすべてのリポジトリーがコンテナーで無効になります。必要なリポジトリーを有効にするには、--enablerepo オプションを使用します。以下に例を示します。

    microdnf install --enablerepo rhel-7-server-rpms httpd

これにより、リポジトリーを手動で有効にして、subscription-manager が管理するリポジトリーからパッケージをインストールできます。

microdnf パッケージは、rhel-atomic の最小ベースイメージに追加され、yum 機能に置き換わります。このパッケージには、限られた数の dnf コマンドの機能があり、リポジトリーの有効化または無効化、パッケージのインストールと削除、およびキャッシュの消去のみが可能です。rhel-atomic コンテナー内から microdnf --help を実行すると、使用可能なすべてのオプションが表示されます。

etcd3 パッケージが非推奨になりました。

etcd3 パッケージおよび Red Hat Enterprise Linux Atomic etcd3 コンテナーイメージは非推奨となり、Red Hat Enterprise Linux 7 Extras チャンネルでは利用できなくなりました。etcd3 コンポーネントをインストールしているユーザーは、同じ機能を提供し、etcd3 との下位互換性がある etcd バージョン 3.0.15 以降に更新できます。

cockpit がバージョン 126 にリベースされました。

主な変更点は以下のとおりです。

新しい gomtree パッケージ

gomtree パッケージには、mtree ファイルシステム階層検証ツールおよびフォーマットをサポートするコマンドラインツールと Go ライブラリーが含まれています。gomtree パッケージは、atomic verify コマンドの機能に必要です。

skopeo-containers が atomic パッケージから skopeo パッケージに移動しました。

イメージの署名を操作するための設定ファイルを含む skopeo-containers サブパッケージが、skopeo パッケージセットに移動しました。

NFS で docker push が完了しないバグが修正されました。

Docker レジストリー 2.4 で、ブロブのアップロード中にファイル記述子が閉じられなかった場合に、リグレッションが生じていました。これにより、レジストリーが NFS ファイルシステム上で実行されている場合にイメージのプッシュが失敗しました。アップストリームの Docker レジストリーの新しいバージョンが、ファイル記述子のリークに対する修正と共に利用できるようになりました。その結果、NFS ファイルシステムでイメージのプッシュが正常に実行されるようになりました。

*Docker 形式のコンテナーのラベルの標準化

*Red Hat は、イメージでの Docker 形式のラベルの使用を標準化しています。このテーマの詳細は、コンテナーイメージでのラベルの使用 参照してください。

Cockpit がバージョン 122 にリベースされました。

主な変更点は以下のとおりです。

以前テクノロジープレビューとして提供されていた機能が完全にサポートされるようになりました。

テクノロジープレビューとして提供されていた次の機能が完全にサポートされるようになりました。

さらに、Red Hat Enterprise Linux で利用可能な openscap RPM も完全にサポートされるようになりました。

システムコンテナーがテクノロジープレビューとして利用可能になりました。

システムコンテナーは、Docker デーモンが実行される前に実行する必要があるサービスをコンテナー化する方法を提供します。これらは、Docker 形式のコンテナーとは異なるテクノロジーを使用し、ストレージには ostree、ランタイムには runc、検索には skopeo、サービス管理には systemd を使用します。以前は、このようなサービスはパッケージとしてシステムで提供されるか、Atomic Host の ostree の一部として提供されていましたが、サービスをコンテナー化することにより、システム自体が小さくなりました。Red Hat は、etcd および flannel サービスをシステムコンテナーとして提供します。

新しい etcd システムコンテナーイメージは、Red Hat Enterprise Linux Atomic Host 7.3 まで利用可能だった etcd Docker 形式のコンテナーを置き換えることに注意してください。このリリースで提供される新しい etcd3 コンテナーイメージは、Docker 形式のイメージです。システムコンテナーと etcd および flannel の実行方法の詳細は、システムコンテナーの実行 を参照してください。

手動の Kubernetes クラスター設定はサポートされなくなりました。

Red Hat Enterprise Linux および Red Hat Enterprise Linux Atomic Host で使用できる Kubernetes ソフトウェアは、OpenShift に含まれる Kubernetes とは異なる方法でパッケージ化および設定されます。恒久的なセットアップと本番環境での使用には、OpenShift バージョンの Kubernetes を使用することを推奨します。Kubernetes でコンテナーのオーケストレーションを開始する で説明されている手順は、オールインワンの RHEL または RHEL Atomic Host システムで Kubernetes を試す便利な方法としてのみ使用してください。

RHEL 7.3 の時点で、RHEL および RHEL Atomic Host で直接 Kubernetes クラスター (個別のマスターと複数のノード) を設定する手順のサポートは終了しました。Red Hat による Kubernetes のサポートの詳細については、コンテナーオーケストレーションツールは Red Hat Enterprise Linux でどのようにサポートされていますか? を参照してください。

Cockpit の機能

このリリースには、いくつかの新しい Cockpit 機能があります。これらの機能の一部は次のとおりです。

rhevm-guest-agent

rhevm-guest-agent コンテナーイメージは、Red Hat Virtualization ホスト上の仮想マシン内でエージェントを実行するために使用される Docker 形式のコンテナーです。このエージェントと Red Hat Virtualization Manager 間の通信により、そのマネージャーはエージェントの仮想マシンの状態を監視および変更できます。

RHEV Guest Agent の詳細は、Red Hat Enterprise Linux Atomic Host コンテナー管理ガイドの RHEV ゲストエージェントコンテナー セクションを参照してください。

docker-latest がバージョン 1.12.1 にアップグレードされました。

docker-latest パッケージがバージョン 1.12.1 になりました。記事 RHEL 7 および RHEL Atomic Host の docker-latest の紹介 が変更を反映するように更新されました。

Docker 1.12 は実行環境として runc を使用します。

Docker バージョン 1.11 以降、コンテナーランタイムには libcontainer の代わりに runc が使用されます。docker-latest パッケージには 1.12 が含まれており、runc は /usr/libexec/docker/docker-runc にあります。ただし、docker-runc は Docker による内部使用のみを目的としたものです。runc コマンドを使用する場合でも、システムに runc パッケージがインストールされている必要があります。RHEL Atomic Host では、これはデフォルトで OSTree に含まれています。Red Hat Enterprise Linux 7 の場合は別のパッケージとして利用できます。

docker swarm が利用可能になりました。

1.12 リリースの時点で、アップストリームの Docker プロジェクトは Docker Swarm を Docker バイナリーに組み込みました。意図しないバグを回避するために、Red Hat はサポート対象外のアドオンとして Swarm を組み込むことを選択しました。コンテナーオーケストレーションには、Red Hat は OpenShift と Kubernetes を推奨しています。

コンテナー化されたコア Kubernetes マスターサービスが 7.3 リリースで登場します。

Red Hat Enterprise Linux Atomic Host ビルドは、7.3 リリース以降、サイズがさらに最適化され、Kubernetes バージョン管理の柔軟性が向上します。コア Kubernetes マスターサービス (kube-apiserver、kube-controller-manager、および kube-scheduler) は、Atomic Host の起動後にコンテナーとしてインストールされます。コンテナー化された Kubernetes への移行手順は こちら から入手できます。ユーザーは事前にこれを準備する必要があります。

Cockpit がバージョン 0.114 にリベースされました。

主な変更点は以下のとおりです。

ostree admin unlock コマンドが利用可能になりました。

Red Hat Enterprise Linux Atomic Host 7.2.5 には、新しいコマンド ostree admin unlock が導入されています。これにより、ユーザーは現在の ostree デプロイメントのロックを解除し、パッケージを一時的にインストールできます。これは、書き込み可能な overlayfs を /usr にマウントして行います。ユーザーが再起動すると、overlayfs がアンマウントされ、パッケージはインストールされなくなります。再起動後も保持するパッケージのインストールなどの変更の場合には、ostree admin unlock --hotfix オプションを使用します。このコマンドは、非推奨となった atomic-pkglayer と同じ機能を提供します。overlayfs と SELinux には既知の問題があるため、この機能は長期間使用することを意図としたものではありません。

Cockpit の厳格なブラウザーセキュリティーポリシーが適用されるようになりました。

これにより、Cockpit セッションで実行できるコードが定義され、多くのブラウザーベースの攻撃が軽減されます。

Atomic Host 7.2.4 リリース以降、Docker サービスの 2 つのバージョン (Docker 1.9 と Docker 1.10) がオペレーティングシステムに含まれます。

ナレッジベースの記事 https://access.redhat.com/articles/2317361 に、これら 2 つのバージョンの Docker の使用について知っておく必要があるすべての情報が記載されています。

Docker 1.9 と atomic-openshift 3.1 / origin 1.1 の間に発生した競合が解消されました。

以前は、Docker 1.9 と atomic-openshift 3.1 / origin 1.1 の間の安定性の問題により、Docker 1.9 は、3.2 より古い atomic-openshift バージョンおよび 1.2 より古い origin バージョンと競合するようにパッケージ化されていました。その結果、OpenShift Enterprise 3.1 システムで yum update を実行すると、競合が発生して失敗しました。このバグは修正され、yum update を実行しても競合が発生せず、依存関係が正しく解決され、Docker 1.9 がインストールされるようになりました。

Kubernetes パッケージが更新されました。

Kubernetes は、Kubernetes v1.2.0 に対応する ose v3.2.0.16 に更新されました。さらに、環境変数で秘密鍵を公開するためのサポートが導入されました。

Cockpit がバージョン 0.103 にリベースされました。

主な変更点は以下のとおりです。

Cockpit がバージョン 0.96 にリベースされました。

Red Hat Enterprise Linux Atomic Host 7.2.3 の一部である Cockpit パッケージには、cockpit-bridge、cockpit-shell、cockpit-docker、および cockpit-ostree が含まれます。その他の Cockpit 関連のソフトウェアは、コンテナー (rhel7/cockpit-ws コンテナーなど) を介して Red Hat Enterprise Linux Atomic Host に追加できます。Cockpit 0.96 は Docker 1.10 と互換性があります。

このバージョンでは、主に DBus に関連するメモリーリーク、およびさまざまなナビゲーションと接続の問題に関する以前のバグが修正されています。また、MaxStartups 設定を使用して、ssshd と同様に同時認証を制限できるようになりました。

Atomic CLI に新しいサブコマンドが追加されました。

Atomic システムおよびコンテナーを管理するための Atomic コマンドラインツールに、"top"、"diff"、および "migrate" サブコマンドが追加されました。構文と使用方法の詳細は、https://access.redhat.com/documentation/en/red-hat-enterprise-linux-atomic-host/version-7/cli-reference/#cli_commands を参照してください。

ホストシステムのカスタマイズのサポート

新しい atomic-pkglayer パッケージには、Atomic Host システムにデバッグパッケージをインストールするためのツールが含まれています。これは、Red Hat Enterprise Linux Atomic Tools コンテナーイメージ (rhel7/rhel-tools) 内で使用することのみを目的としたものです。このツールは、RPM パッケージを Atomic Host に追加するメカニズムを提供するため、既存のシステムのローカル ostree レイヤーに RPM パッケージを含めることができます。atomic-pkglayer ツールの説明は、atomic-pkglayer を使用した Atomic Host への RPM のインストール を参照してください。

v1beta3 API が kubernetes でサポートされなくなりました。

設定ファイルでの v1beta3 の使用はサポートされなくなりました。kubectl コマンドで v1beta3 スタイルのオブジェクトを作成すると、次のエラーで失敗します。

error validating data: the server could not find the requested resource; if you choose to ignore these errors, turn validation off with --validate=false

--validate=false オプションを使用すると、オブジェクトが作成されますが、そのオブジェクトは代わりに v1 オブジェクトとして表示されます。

個別の cockpit-docker サブパッケージが提供されるようになりました。

以前は、Cockpit Docker サポートは cockpit-shell サブパッケージに同梱されていました。現在は、cockpit-docker サブパッケージを Red Hat Enterprise Linux に個別にインストールすることができ、このサブパッケージは RHEL Atomic Host で利用可能な OSTree に含まれています。

Cockpit がバージョン 0.93 にリベースされました。

主な変更点は以下のとおりです。

Docker がバージョン 1.8.2 にアップグレードされました。

注目すべき変更は、以下のとおりです。

flannel がバージョン 0.5.3 にアップグレードされました。

注目すべき変更は、以下のとおりです。

Cockpit がバージョン 0.77 にリベースされました。

注目すべき変更は、以下のとおりです。

systemd ソケットのアクティベーションが削除されました。

セキュリティー上の理由から、以前のバージョンの Docker でサポートされていた systemd ソケットのアクティベーションが削除されました。現在、非特権ユーザーとして Docker デーモンと通信するためのメカニズムとして Docker グループを使用することは推奨されません。代わりに、このタイプのアクセスには sudo を設定してください。アップグレード後に Docker デーモンが実行されていない場合は、/etc/sysconfig/docker.rpmnew ファイルを作成し、それにローカルのカスタマイズを追加して、/etc/sysconfig/docker をそのファイルで置き換えます。さらに、/etc/sysconfig/docker から -H fd:// 行を削除します (存在する場合)。