1.3. Red Hat OpenShift GitOps 1.15.0 のリリースノート
Red Hat OpenShift GitOps 1.15.0 は、OpenShift Container Platform 4.14、4.15、4.16、および 4.17 で利用できるようになりました。
1.3.1. エラータの更新
1.3.1.1. RHEA-2024:11002 - Red Hat OpenShift GitOps 1.15.0 セキュリティー更新アドバイザリー
発行日: 2024-12-12
このリリースに含まれるセキュリティー修正のリストは、次のアドバイザリーに記載されています。
Red Hat OpenShift GitOps Operator をデフォルトの namespace にインストールしている場合は、次のコマンドを実行して、このリリースのコンテナーイメージを表示します。
$ oc describe deployment gitops-operator-controller-manager -n openshift-gitops-operator
1.3.2. 新機能
この更新により、Red Hat OpenShift GitOps は、
ApplicationSetController コンポーネントへの別のボリュームとボリュームマウントの追加をサポートするようになりました。Argo CD カスタムリソース (CR) で.spec.applicationSet.volumesフィールドと.spec.applicationSet.volumeMountsフィールドを指定することで、これらの関連情報を設定できます。GITOPS-5739例
apiVersion: argoproj.io/v1beta1 kind: ArgoCD metadata: name: argocd-example spec: applicationSet: volumes: - name: <volume_name> 1 emptyDir: {} 2 volumeMounts: - name: <volume_name> 3 mountPath: <mount_path> 4この更新により、ユーザーはサーバー、リポジトリーサーバー、アプリケーションセットコントローラー、およびアプリケーションコントローラー Pod にカスタムラベルとアノテーションを追加できるようになります。この機能拡張により、監視目的でリソースラベルまたはアノテーションに依存する外部システムの可観測性が向上します。この機能をサポートするために、Argo CD CR に次のフィールドが導入されています。
-
.spec.server.labels -
.spec.server.annotations -
.spec.repo.labels -
.spec.repo.annotations -
.spec.controller.labels -
.spec.controller.annotations -
.spec. applicationSet.labels -
.spec. applicationSet.annotations
詳細は、カスタムアノテーションとラベル を参照してください。GITOPS-5674
-
この更新の前は、ユーザーは
RolloutManagerカスタムリソース (CR) を使用して Argo Rollouts コントローラーの一部のレプリカを設定できませんでした。この更新では、RolloutManagerCR に新しい.spec.haフィールドを追加することで、高可用性 (HA) サポートが導入されました。高可用性を有効にすると、GitOps Operator はレプリカの数を自動的に 2 に設定し、リーダー選出がアクティブになり、冗長性と信頼性を確保するためにデフォルトのアンチアフィニティールールが適用されます。GITOPS-5622
- この更新により、GitOps Operator の Argo CD マルチソースアプリケーション機能がテクノロジープレビュー (TP) から一般提供 (GA) になりました。この機能を使用して、ソースリポジトリーが複数あるアプリケーションを定義および管理します。GITOPS-5511
この更新により、Kubernetes TLS タイプのシークレットを使用して、Argo CD CR 内のルートのカスタム TLS 証明書を設定できるようになりました。以前は、TLS データはプレーンテキストとして Argo CD CR に直接埋め込む必要があり、TLS 情報の機密性によりセキュリティーリスクが生じる可能性がありました。
セキュリティーを強化するには、Kubernetes シークレットを使用して TLS データを管理する必要があります。TLS データを含む
kubernetes.io/tlsタイプの Kubernetes シークレットを参照するために、Argo CD CR に次のフィールドが導入されています。-
.spec.server.route.tls.externalCertificate -
.spec.applicationSet.webhookServer.route.tls.externalCertificate -
.spec.prometheus.route.tls.externalCertificate -
.spec.grafana.route.tls.externalCertificate
カスタム TLS 証明書のルートの設定の詳細は、ルートのカスタム TLS 証明書 の例を参照してください。GITOPS-5232
-
-
この更新により、OpenShift Container Platform 標準への準拠を確保するために、制限付き Pod セキュリティーアドミッション (PSA) ラベルが
openshift-gitopsnamespace に適用されます。openshift-gitopsnamespace で追加のワークロードを実行している場合は、そのワークロードが制限付きの PSA 要件に準拠していることを確認してください。制限付きの PSA に準拠できない場合は、ユーザー定義のクラスタースコープの Argo CD インスタンスを使用します。このような場合、PSA ラベルは GitOps Operator によって適用または制御されません。GITOPS-5221 -
この更新の前は、Argo Rollouts の
RolloutManagerCR を使用してtrafficmanagementおよびmetricプラグインを設定できませんでした。この更新により、RolloutManagerCR でtrafficmanagementとmetricプラグインを指定できるようになりました。GitOps Operator は、これらのプラグインフィールドが追加、変更、または削除されると、config map を自動的に更新します。この機能強化により、ユーザーはRolloutManagerCR を通じてtrafficmanagementおよびmetricプラグインをネイティブに管理できるようになり、手動で config map を更新する必要がなくなります。GITOPS-4217 この更新により、マルチソースアプリケーションの詳細パネルの Sources タブに、次の 2 つの新しいボタンが追加されました。
- Add Source: 新しいソースエントリーを追加するための新しいフォームベースのパネルを開きます。このパネルでは、リポジトリーの URL やその他のソース固有の情報を指定できます。
- Delete: アプリケーションから特定のソースを削除できます。
この更新により、ユーザーは、Argo CD CR のサーバーコンポーネントに新しいブールフィールド
enableRolloutsUIを設定することで、Argo CD インスタンスで Argo Rollouts UI を有効または無効にできるようになりました。GITOPS-3604例
apiVersion: argoproj.io/v1beta1 kind: ArgoCD metadata: name: argocd spec: server: enableRolloutsUI: true 1- 1
- この値を
trueに設定してenableRolloutsUIフィールドを設定します。
-
この更新により、Argo CD CR の
ApplicationSetコントローラーを設定してさまざまなポリシーを使用する方法が記載されたドキュメントを利用できるようになりました。詳細は、ApplicationSet コントローラーポリシー を参照してください。GITOPS-5236
1.3.3. 修正された問題
- この更新の前は、既存の Ingress の目的の状態によってホストが変更された場合、新しいホスト情報は適用されませんでした。この更新では、ホストが変更されたときに Ingress が更新されるように Ingress チェックを追加することで、この問題を修正しました。Ingress ホストに変更があった場合、新しい値で正しく更新され、目的の状態が反映されます。GITOPS-5386
-
この更新の前は、サーバーサービスタイプの目的の状態が
ClusterIPからNodePortに変更された場合、最初にリソースを削除しないと、その変更はクラスターに自動的に適用されませんでした。この更新プログラムでは、サーバーサービスチェックを追加してサーバーサービスに変更を適用することで、問題が修正されます。サーバーサービスタイプの目的の状態が変更されると、リソースを削除せずにクラスターに自動的に適用されます。GITOPS-5385 -
この更新の前は、ユーザーは Argo CD CR で
ApplicationSetコントローラーを指定した後、そのカスタムイメージを設定できませんでした。この更新では、ユーザーがApplicationSetコントローラーのカスタムイメージを設定できるようにすることで問題が修正されます。GITOPS-5395 - この更新の前は、URL にパスまたはポート番号が含まれている場合、Argo CD は Helm OCI レジストリーの正しい TLS 証明書を取得できませんでした。この更新では、アップストリーム Argo CD の修正を使用して URL が正しく解析され、Argo CD が有効な TLS 証明書を取得して返すことができるようにして、この問題を修正します。GITOPS-5081
1.3.4. 非推奨の機能と削除された機能
1.3.4.1. Red Hat OpenShift GitOps Application Manager CLI (kam) の削除
このリリースでは、Red Hat OpenShift GitOps Application Manager コマンドラインインターフェイス (CLI)
kamのサポートが削除されました。kamコンポーネントは新規インストールには含まれなくなり、Red Hat OpenShift GitOps ドキュメントからすべての言及が削除されました。GITOPS-4466更新後に
kamリソースを削除するには、次のコマンドを実行します。$ oc delete deployment,service,route kam -n openshift-gitops
1.3.5. 重大な変化
1.3.5.1. OpenShift API スキーマの更新と insecureEdgeTerminationPolicy フィールドの変更
この更新により、Red Hat OpenShift GitOps Operator が使用する OpenShift API スキーマが変更され、Route API の最新フィールドが含まれるようになり、後方互換性が確保されなくなりました。Argo CD CR で次のフィールドが Disable オプションに設定されている場合、新しいスキーマとの互換性を確保するために、更新する前に None に変更する必要があります。
-
.spec.server.route.tls.insecureEdgeTerminationPolicy -
.spec.applicationSet.webhookServer.route.tls.insecureEdgeTerminationPolicy -
.spec.prometheus.route.tls.insecureEdgeTerminationPolicy -
.spec.grafana.route.tls.insecureEdgeTerminationPolicy
-
