Red Hat Summit1.6. Red Hat OpenShift GitOps 1.16.0 のリリースノート
Red Hat OpenShift GitOps 1.16.0 は、OpenShift Container Platform 4.12、4.13、4.14、4.15、4.16、4.17、4.18 で利用できるようになりました。
1.6.1. エラータの更新
1.6.1.1. RHEA-2025:3436 および RHEA-2025:3412 - Red Hat OpenShift GitOps 1.16.0 セキュリティー更新アドバイザリー
発行日: 2025 年 3 月 30 日
このリリースに含まれるセキュリティー修正のリストは、次のアドバイザリーに記載されています。
Red Hat OpenShift GitOps Operator をデフォルトの namespace にインストールしている場合は、次のコマンドを実行して、このリリースのコンテナーイメージを表示します。
oc describe deployment gitops-operator-controller-manager -n openshift-gitops-operator
$ oc describe deployment gitops-operator-controller-manager -n openshift-gitops-operator1.6.2. 新機能
この更新により、Red Hat OpenShift GitOps は Federal Information Processing Standards (FIPS) モードで実行される環境向けの設計になりました。FIPS モードに設定された OpenShift Container Platform にデプロイされると、プラットフォームは、FIPS 検証のために National Institute of Standards and Technology (NIST) に提出された Red Hat Enterprise Linux (RHEL) 暗号化ライブラリーを使用します。OpenShift Container Platform FIPS サポートを有効にする方法の詳細は、OpenShift Container Platform のドキュメント を参照してください。GITOPS-6365
注記Red Hat OpenShift GitOps Operator が FIPS モードに設定された OpenShift Container Platform クラスターにデプロイされている場合、Keycloak を使用した Argo CD のシングルサインオン (SSO) 設定はサポートされません。
-
この更新では、Argo CD ユーザーインターフェイス (UI) とコマンドラインインターフェイス (CLI) で
Secretリソースの機密性の高いアノテーションをマスクするサポートが追加されています。新しい設定キーresource.sensitive.mask.annotationsが導入されました。このキーでは、.metadata.annotationsキーのコンマ区切りリストを使用できます。これらのキーに関連付けられた値は Argo CD UI および CLI でマスクされ、アノテーションに保存された機密情報のセキュリティーが強化されます。GITOPS-5903 -
この更新により、クラスタースコープのインストールで Argo CD がクラスター上のリソースを監視する方法を制御する
respectRBACオプションを設定するサポートが提供されます。Argo CD リソースを通じてConfigMapのrespectRBAC設定を更新できるため、リソースの表示動作をより柔軟かつ詳細に制御できます。GITOPS-5212 - この更新により、Argo CD リソースのステータスで障害の原因を直接確認できるようになります。エラーメッセージがリソースステータスに明確に表示されるため、障害の根本原因の特定にログを分析する必要性が減少します。GITOPS-5871
- この更新により、Argo CD カスタムリソース (CR) で ApplicationSet コントローラーのさまざまなポリシーを設定できるようになります。このようなポリシーを設定できるようになり、管理者は、管理対象の Argo CD アプリケーションリソースに対して実行できる変更の種類を制限でき、リソース管理の制御を強化できます。詳細は、ApplicationSet コントローラーポリシー を参照してください。GITOPS-5236
- この更新により、Argo CD の revision history と rollback ページに、アプリケーションパラメーターの折りたたみ可能なセクションが追加されました。この変更により、入力パラメーターを複数行にわたりスクロールする必要がなくなり、リビジョンエントリー間をより効率的に移動できます。コミット SHA などの重要な情報は、折りたたみ可能なセクションの外側にも表示されたままであるため、簡単に検索および参照できます。この機能強化は、単一ソースアプリケーションと複数ソースアプリケーションに適用され、アプリケーションタイプ間でのユーザーエクスペリエンスをスムーズにします。GITOPS-5082
-
この更新により、Argo CD Operator は Argo CD Spec タイプの
InstallationIDフィールドのサポートを追加し、マルチインスタンスのデプロイメントをより適切に管理できるようになります。この機能を使用すると、各 Argo CD インスタンスに一意識別子を割り当て、複数のインスタンス間で名前が同じアプリケーションを適切に区別できるようになります。InstallationIDフィールドを設定すると、アプリケーション間の競合を防ぎ、複数インスタンス環境でのリソースの正確な追跡が可能になります。GITOPS-5432 - この更新により、config management plugin のサイドカーを設定する時のコンテナーイメージの指定はオプションになりました。省略すると、リポジトリーサーバーが使用するイメージがプラグインに自動的に適用されます。GITOPS-3372
1.6.3. 修正された問題
-
この更新前は、GitOps の namespace スコープのインスタンスをインストールすると、
argocd-redisServiceAccountsにnonroot-v2SecurityContextConstraints(SCC) が割り当てられていました。これにより、標準のrestricted-v2SCC よりも多くの権限が提供され、潜在的なセキュリティーリスクにつながる可能性がありました。この更新により、GitOps の namespace スコープおよびクラスタースコープのインスタンスは、argocd-redisServiceAccountsに対してrestricted-v2SCC の使用を強制します。この変更により、不要な権限を最小限に抑えることでセキュリティーコンプライアンスが強化されます。GITOPS-6236 -
この更新前は、アプリケーションがまだ
progressingの状態にあるときに、Argo CD 通知コントローラーのデプロイ済みトリガーが誤って成功通知を送信する可能性がありました。この問題は、Argo CD がアプリケーションステータスの更新を処理する方法が原因で発生しました。この更新では、この問題に対処するために、アプリケーションステータスに新しいタイムスタンプフィールドstatus.health.lastTransitionTimeが導入されました。このフィールドは、最後のヘルスステータスの変更をキャプチャーし、安定した遷移の後にのみデプロイ済みのトリガーが通知を送信できるようにすることで、誤検知アラートを防止します。GITOPS-3699 -
今回の更新以前は、アップグレード中に
argocd-redis-ha-configmap、argocd-redis-ha-health-configmap、Redis HAStatefulSetリソースが正しく更新されませんでした。これにより、Redis HA Pod でAUTHエラーが発生しました。この更新により、GitOps Operator はアップグレードプロセス中に Redis HA config map とStatefulSetを正しく更新するようになりました。その結果、Redis HA Pod はアップグレード後にAUTHエラー状態になることがなくなります。GITOPS-5975 -
この更新前は、Redis デプロイメントの
serviceAccountNameフィールドとserviceAccountフィールドへの変更は、Red Hat OpenShift GitOps Operator では調整されませんでした。この更新では、これらのフィールドへの意図しない変更が<argocd-instance-name>-argocd-redisの想定の値にリセットされるようになり、この問題が修正されました。GITOPS-6032 この更新前は、Argo CD はユーザー識別に
sub claimのみに依存していましたが、これは Dex では非決定的であり、予期しないロールベースアクセス制御 (RBAC) ポリシーの失敗を引き起こす可能性がありました。この更新により、Argo CD は次の順序でユーザーを識別します。-
Dex がアイデンティティープロバイダーである場合は、
federated_claims.user_idフィールドをチェックします。 - フェデレーションクレームが利用できないか空の場合は、サブクレームにフォールバックします。
今回の更新で、この問題は修正されています。この変更により、RBAC ポリシーはエンコードされた値ではなく、メールアドレスなどの実際のユーザー識別子に基づくようになります。
例
Old method (encoded sub value): g, ChdiZWhuaWEuZkBtdG5pcmFuY2VsbC5pchICYWQ, role:admin New method (actual user identifier): g, user@example.com, role:admin
Old method (encoded sub value): g, ChdiZWhuaWEuZkBtdG5pcmFuY2VsbC5pchICYWQ, role:admin New method (actual user identifier): g, user@example.com, role:adminCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
Dex がアイデンティティープロバイダーである場合は、
-
この更新前は、クラスター内のネットワークまたは DNS が不安定であることが原因で、
server、repo-server、application-controllerなどの Argo CD コンポーネントが Redis インスタンスにアクセスするときにクラッシュする可能性がありました。この問題は、接続プール内の複数の接続がdial hook関数を呼び出すときにgo-redisクライアントライブラリーで競合状態が発生することに起因しています。今回の更新で、この問題は修正されています。この更新では、更新されたgo-redisクライアントライブラリーを統合することでdial hook関数の呼び出し中に競合状態が発生するのを防ぎ、この問題を解決します。また、ネットワークおよび DNS エラーの処理と回復も改善され、Argo CD コンポーネントの安定性が向上します。GITOPS-6287 -
この更新前は、Red Hat OpenShift GitOps Operator を v1.15.1 にアップグレードすると、ヘルスチェックエラーが発生し、Red Hat Advanced Cluster Management (ACM) ポリシーの同期が妨げられていました。今回の更新では、Policy の
status.placementに nil チェックを追加することで問題を修正しています。GITOPS-6500
1.6.4. 既知の問題
現在、GitOps v1.15 から v1.16 にアップグレードした後、GitOps v1.16 の Redis サービスアカウントに、
SecurityContextConstraints(SCC) が低く割り当てられるという既知の問題があります。GitOps Operator はredis-ha-serverStatefulSetのsecurityContextを更新しません。これにより、コンテナーのユーザーは、restricted-v2SCC の要件に従ってランダムに割り当てられるのではなく、静的に設定されます。redis-ha-serverStatefulSetPod は古い設定を保持し、新しい設定で更新されません。その結果、StatefulSetの新しい設定が正しく適用されません。回避策:
redis-ha-serverStatefulSetを手動で削除し、更新された設定で Pod の再作成をトリガーします。GITOPS-6670
1.6.5. 非推奨の機能と削除された機能
1.6.5.1. Argo CD における .spec.initialRepositories および .spec.repositoryCredentials フィールドの非推奨
-
Red Hat OpenShift GitOps v1.16 では、Argo CD CR の
.spec.initialRepositoriesフィールドと.spec.repositoryCredentialsフィールドは非推奨になりました。これらのフィールドは、今後のリリースでは Red Hat OpenShift GitOps Operator および Argo CD CR ではサポートされなくなります。設定を更新して、これらのフィールドの依存関係を削除します。Argo CD Web UI または CLI を使用して、リポジトリーを追加または変更します。GITOPS-5961
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}