1.2. Service Mesh リリースノート


1.2.1. 多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

1.2.2. Red Hat OpenShift Service Mesh バージョン 2.6.5

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.6.5 に更新され、2.6.5、2.5.8、および 2.4.14 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。

このリリースは、Common Vulnerabilities and Exposures (CVE) への対応を含んでおり、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。

Red Hat OpenShift Service Mesh Operator の最新バージョンは、サポートされているすべてのバージョンの Service Mesh で使用できます。Service Mesh のバージョンは、ServiceMeshControlPlane を使用して指定されます。

Red Hat が提供する Kiali Operator の最新バージョンは、サポートされているすべてのバージョンの Red Hat OpenShift Service Mesh で使用できます。Service Mesh のバージョンは、ServiceMeshControlPlane リソースを使用して指定されます。Service Mesh のバージョンにより、互換性のあるバージョンの Kiali が自動的に確保されます。

1.2.2.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.20.8

Envoy プロキシー

1.28.7

Kiali Server

1.73.18

1.2.2.2. 新機能

  • Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) スタックが、IBM Z でサポートされるようになりました。

1.2.2.3. 修正された問題

  • OSSM-8608: 以前は、バイナリーをコピーしながらインストールフェーズで Container Network Interface (CNI) Pod を終了すると、ノードファイルシステムに Istio-CNI の一時ファイルが残る可能性がありました。繰り返し発生すると、最終的にはノードのディスク領域がいっぱいになる可能性があります。現在、インストールフェーズ中に CNI Pod を終了する際に、CNI バイナリーをコピーする前に既存の一時ファイルが削除され、ノードファイルシステムには Istio バージョンごとに 1 つの一時ファイルのみが存在するようになりました。

1.2.3. Red Hat OpenShift Service Mesh バージョン 2.5.8

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.5 に含まれており、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。このリリースでは、Common Vulnerabilities and Exposures (CVE) に対応しています。

1.2.3.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali Server

1.73.18

1.2.3.2. 修正された問題

  • OSSM-8608: 以前は、バイナリーをコピーしながらインストールフェーズで Container Network Interface (CNI) Pod を終了すると、ノードファイルシステムに Istio-CNI の一時ファイルが残る可能性がありました。繰り返し発生すると、最終的にはノードのディスク領域がいっぱいになる可能性があります。現在、インストールフェーズ中に CNI Pod を終了する際に、CNI バイナリーをコピーする前に既存の一時ファイルが削除され、ノードファイルシステムには Istio バージョンごとに 1 つの一時ファイルのみが存在するようになりました。

1.2.4. Red Hat OpenShift Service Mesh バージョン 2.4.14

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.5 に含まれており、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。このリリースでは、Common Vulnerabilities and Exposures (CVE) に対応しています。

1.2.4.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali Server

1.65.19

1.2.4.2. 修正された問題

  • OSSM-8608: 以前は、バイナリーをコピーしながらインストールフェーズで Container Network Interface (CNI) Pod を終了すると、ノードファイルシステムに Istio-CNI の一時ファイルが残る可能性がありました。繰り返し発生すると、最終的にはノードのディスク領域がいっぱいになる可能性があります。現在、インストールフェーズ中に CNI Pod を終了する際に、CNI バイナリーをコピーする前に既存の一時ファイルが削除され、ノードファイルシステムには Istio バージョンごとに 1 つの一時ファイルのみが存在するようになりました。

1.2.5. Red Hat OpenShift Service Mesh バージョン 2.6.4

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.6.4 に更新され、2.6.4、2.5.7、2.4.13 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。

このリリースは、Common Vulnerabilities and Exposures (CVE) への対応を含んでおり、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。

Red Hat が提供する Kiali Operator の最新バージョンは、サポートされているすべてのバージョンの Red Hat OpenShift Service Mesh で使用できます。Service Mesh のバージョンは、ServiceMeshControlPlane リソースを使用して指定されます。Service Mesh のバージョンにより、互換性のあるバージョンの Kiali が自動的に確保されます。

1.2.5.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.20.8

Envoy プロキシー

1.28.7

Kiali Server

1.73.17

1.2.6. Red Hat OpenShift Service Mesh バージョン 2.5.7

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.4 に含まれており、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。このリリースでは、Common Vulnerabilities and Exposures (CVE) に対応しています。

1.2.6.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali Server

1.73.17

1.2.7. Red Hat OpenShift Service Mesh バージョン 2.4.13

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.4 に含まれており、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。このリリースでは、Common Vulnerabilities and Exposures (CVE) に対応しています。

1.2.7.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali Server

1.65.18

1.2.8. Red Hat OpenShift Service Mesh バージョン 2.6.3

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.6.3 に更新され、2.6.3、2.5.6、2.4.12 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。

このリリースは、Common Vulnerabilities and Exposures (CVE) への対応を含んでおり、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。

Red Hat が提供する Kiali Operator の最新バージョンは、サポートされているすべてのバージョンの Red Hat OpenShift Service Mesh で使用できます。Service Mesh のバージョンは、ServiceMeshControlPlane リソースを使用して指定されます。Service Mesh のバージョンにより、互換性のあるバージョンの Kiali が自動的に確保されます。

1.2.8.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.20.8

Envoy プロキシー

1.28.7

Kiali Server

1.73.16

1.2.9. Red Hat OpenShift Service Mesh バージョン 2.5.6

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.3 に含まれ、Common Vulnerabilities and Exposures (CVE) に対処し、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。

1.2.9.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali Server

1.73.16

1.2.10. Red Hat OpenShift Service Mesh バージョン 2.4.12

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.3 に含まれ、Common Vulnerabilities and Exposures (CVE) に対処し、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。

1.2.10.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali Server

1.65.17

1.2.11. Red Hat OpenShift Service Mesh バージョン 2.6.2

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.6.2 に更新され、2.6.2、2.5.5、2.4.11 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。

このリリースは、Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。

Red Hat が提供する Kiali Operator の最新バージョンは、サポートされているすべてのバージョンの Red Hat OpenShift Service Mesh で使用できます。Service Mesh のバージョンは、ServiceMeshControlPlane リソースを使用して指定されます。Service Mesh のバージョンにより、互換性のあるバージョンの Kiali が自動的に確保されます。

1.2.11.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.20.8

Envoy プロキシー

1.28.7

Kiali Server

1.73.15

1.2.11.2. 新機能

  • cert-manager Operator for Red Hat OpenShift が、IBM Power、IBM Z、IBM® LinuxONE でサポートされるようになりました。

1.2.11.3. 修正された問題

  • OSSM-8099 以前は、エンドポイントがドレインフェーズにある場合に、永続セッションラベルのサポートで問題が発生していました。現在は、ステートフルヘッダーセッションのドレインエンドポイントを処理する方法があります。
  • OSSM-8001 以前は、Pod で runAsUserrunAsGroup が同じ値に設定されていた場合、プロキシー GID がコンテナーの GID と一致するように誤って設定され、Istio CNI によって適用された iptables ルールでトラフィック傍受の問題が発生していました。これで、コンテナーは runAsUser と runAsGroup に同じ値を持つことができ、iptables ルールが正しく適用されるようになりました。
  • OSSM-8074 以前は、Service Mesh に数値のみの namespace (例: 12345) があった場合、Kiali Operator は Kiali サーバーのインストールに失敗していました。現在は、数字のみを含む namespace が正しく機能します。

1.2.12. Red Hat OpenShift Service Mesh バージョン 2.5.5

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.2 に含まれ、Common Vulnerabilities and Exposures (CVE) に対処し、OpenShift Container Platform 4.14 以降でサポートされています。

1.2.12.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali Server

1.73.15

1.2.12.2. 修正された問題

  • OSSM-8001 以前は、Pod で runAsUser および runAsGroup パラメーターが同じ値に設定されていた場合、プロキシー GID がコンテナーの GID と一致するように誤って設定され、Istio CNI によって適用された iptables ルールでトラフィック傍受の問題が発生していました。これで、コンテナーは runAsUser パラメーターと runAsGroup パラメーターに同じ値を持つことができ、iptables ルールが正しく適用されるようになりました。
  • OSSM-8074 以前は、Service Mesh に数値のみの namespace (例: 12345) があった場合、Red Hat が提供する Kiali Operator は Kiali Server のインストールに失敗していました。現在は、数字のみを含む namespace が正しく機能します。

1.2.13. Red Hat OpenShift Service Mesh バージョン 2.4.11

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.2 に含まれ、Common Vulnerabilities and Exposures (CVE) に対処し、OpenShift Container Platform 4.14 以降でサポートされています。

1.2.13.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali Server

1.65.16

1.2.13.2. 修正された問題

  • OSSM-8001 以前は、Pod で runAsUser および runAsGroup パラメーターが同じ値に設定されていた場合、プロキシー GID がコンテナーの GID と一致するように誤って設定され、Istio CNI によって適用された iptables ルールでトラフィック傍受の問題が発生していました。これで、コンテナーは runAsUser パラメーターと runAsGroup パラメーターに同じ値を持つことができ、iptables ルールが正しく適用されるようになりました。
  • OSSM-8074 以前は、Service Mesh に数値のみの namespace (例: 12345) があった場合、Red Hat が提供する Kiali Operator は Kiali Server のインストールに失敗していました。現在は、数字のみを含む namespace が正しく機能します。

1.2.14. Red Hat OpenShift Service Mesh バージョン 2.6.1

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.6.1 に更新され、2.6.1、2.5.4、2.4.10 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。このリリースは、Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。

Red Hat が提供する Kiali Operator の最新バージョンは、サポートされているすべてのバージョンの Red Hat OpenShift Service Mesh で使用できます。Service Mesh のバージョンは、ServiceMeshControlPlane リソースを使用して指定されます。Service Mesh のバージョンにより、互換性のあるバージョンの Kiali が自動的に確保されます。

1.2.14.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.20.8

Envoy プロキシー

1.28.5

Kiali Server

1.73.14

1.2.14.2. 修正された問題

  • OSSM-6766 以前は、ユーザーが namespace を更新するか (インジェクションの有効化または無効化など)、Istio オブジェクト (トラフィックポリシーなど) を作成しようとすると、OpenShift Service Mesh Console (OSSMC) プラグインが失敗していました。現在は、ユーザーが namespace を更新しても、Istio オブジェクトを作成しても、OpenShift Service Mesh Console (OSSMC) プラグインは失敗しません。

1.2.15. Red Hat OpenShift Service Mesh バージョン 2.5.4

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.1 に含まれ、Common Vulnerabilities and Exposures (CVE) に対処し、OpenShift Container Platform 4.14 以降でサポートされています。

1.2.15.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali Server

1.73.14

1.2.16. Red Hat OpenShift Service Mesh バージョン 2.4.10

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.1 に含まれ、Common Vulnerabilities and Exposures (CVE) に対処し、OpenShift Container Platform 4.14 以降でサポートされています。

1.2.16.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali Server

1.65.15

1.2.17. Red Hat OpenShift Service Mesh バージョン 2.6.0

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.6.0 に更新され、2.6.0、2.5.3、2.4.9 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。このリリースは、新機能と Common Vulnerabilities and Exposures (CVE) への対応を含んでおり、Red Hat OpenShift Service on AWS 4.14 以降でサポートされています。

このリリースで、Red Hat OpenShift Service Mesh バージョン 2.3 のメンテナンスサポートは終了します。Service Mesh バージョン 2.3 を使用している場合は、サポートされているバージョンに更新する必要があります。

重要

Red Hat OpenShift Service Mesh は FIPS 用に設計されています。Service Mesh は、x86_64、ppc64le、および s390x アーキテクチャーでの FIPS 140-2/140-3 検証のために NIST に提出された RHEL 暗号化ライブラリーを使用します。NIST の検証プログラムの詳細は、Cryptographic Module Validation Program を参照してください。検証のために提出された RHEL 暗号化ライブラリーの個々のバージョンの最新の NIST ステータスは、Compliance Activities and Government Standards を参照してください。

1.2.17.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.20.8

Envoy プロキシー

1.28.5

Kiali

1.73.9

1.2.17.2. Istio 1.20 サポート

Service Mesh 2.6 は Istio 1.20 をベースとしており、次のような新機能と製品の機能強化が提供されています。

  • ネイティブサイドカーは Red Hat OpenShift Service on AWS 4.16 以降でサポートされています。

    ServiceMeshControlPlane リソースの例

    apiVersion: maistra.io/v2
    kind: ServiceMeshControlPlane
    metadata:
      name: basic
    spec:
      runtime:
        components:
          pilot:
            container:
              env:
                ENABLE_NATIVE_SIDECARS: "true"

  • Istio 1.20 のトラフィックミラーリングでは、複数の宛先がサポートされるようになりました。この機能により、さまざまなエンドポイントへのトラフィックのミラーリングが可能になり、異なるサービスバージョンや設定にわたる同時監視が可能になります。

Red Hat OpenShift Service Mesh は多くの Istio 1.20 機能をサポートしていますが、次の例外に注意してください。

  • Ambient mesh はサポートされていません
  • Istio の QuickAssist Technology (QAT) PrivateKeyProvider はサポートされていません

1.2.17.3. Istio および Kiali バンドルイメージ名の変更

このリリースでは、Istio バンドルイメージ名と Kiali バンドルイメージ名が更新され、Red Hat の命名規則により適合するようになりました。

  • Istio バンドルイメージ名: openshift-service-mesh/istio-operator-bundle
  • Kiali バンドルイメージ名: openshift-service-mesh/kiali-operator-bundle

1.2.17.4. Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) と Red Hat build of OpenTelemetry との統合

このリリースでは、トレース拡張プロバイダーである Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) と Red Hat build of OpenTelemetry の一般提供された統合が導入されています。

ServiceMehControlPlane リソースの spec.meshConfig.extensionProviders 仕様に名前付き要素と opentelemetry プロバイダーを追加することで、トレースデータを Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) に公開できます。次に、テレメトリーカスタムリソースは、トレーススパンを収集して OpenTelemetry Collector エンドポイントに送信するように Istio プロキシーを設定します。

メッシュ namespace に Red Hat build of OpenTelemetry を作成し、トレースデータをトレースプラットフォームバックエンドサービスに送信するように設定できます。

1.2.17.5. Red Hat OpenShift 分散トレーシングプラットフォーム (Jaeger) のデフォルト設定の変更

このリリースでは、ServiceMeshControlPlane リソースの新しいインスタンスに対して、Red Hat OpenShift 分散トレーシングプラットフォーム (Jaeger) がデフォルトで無効になります。

ServiceMeshControlPlane リソースの既存のインスタンスを Red Hat OpenShift Service Mesh バージョン 2.6 に更新すると、分散トレーシングプラットフォーム (Jaeger) はデフォルトで有効のままになります。

Red Hat OpenShift Service Mesh 2.6 は、Red Hat OpenShift 分散トレーシングプラットフォーム (Jaeger) と OpenShift Elasticsearch Operator のサポートが含まれる最後のリリースです。分散トレーシングプラットフォーム (Jaeger) と OpenShift Elasticsearch Operator は両方とも次のリリースで削除されます。現在、分散トレーシングプラットフォーム (Jaeger) と OpenShift Elasticsearch Operator を使用している場合は、Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) と Red Hat build of OpenTelemetry に切り替える必要があります。

1.2.17.6. Gateway API の使用は、Red Hat OpenShift Service Mesh のクラスター全体のデプロイメントで一般提供となりました。

このリリースにより、Kubernetes Gateway API バージョン 1.0.0 と Red Hat OpenShift Service Mesh 2.6 の使用が一般提供となりました。この API の使用は Red Hat OpenShift Service Mesh に限定されます。Gateway API カスタムリソース定義 (CRD) はサポートされていません。

クラスター全体モードが有効になっている場合 (spec.mode: ClusterWide) は、Gateway API がデフォルトで有効になりました。クラスターにカスタムリソース定義 (CRD) がインストールされていない場合でも有効にできます。

重要

マルチテナントメッシュデプロイメント用のゲートウェイ API は現在もテクノロジープレビュー段階です。

使用している OpenShift Service Mesh バージョンとともにどの Gateway API バージョンをインストールする必要があるかを判断するには、次の表を参照してください。

Service Mesh のバージョンIstio バージョンゲートウェイ API バージョン注記

2.6

1.20.x

1.0.0

該当なし

2.5.x

1.18.x

0.6.2

v0.6.2 には ReferenceGrand がないため、実験ブランチを使用します。

2.4.x

1.16.x

0.5.1

マルチテナントメッシュデプロイメントの場合、ゲートウェイ API CRD がすべて存在する必要があります。実験的なブランチを使用します。

PILOT_ENABLE_GATEWAY_APIfalse に設定することで、この機能を無効にできます。

apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
  name: basic
spec:
  runtime:
    components:
      pilot:
        container:
          env:
            PILOT_ENABLE_GATEWAY_API: "false"

1.2.17.7. 修正された問題

  • OSSM-6754 以前は、Red Hat OpenShift Service on AWS 4.15 で、ユーザーが Service details ページに移動し、Service Mesh タブをクリックしてページを更新すると、アクティブなタブがデフォルトの Details タブであったにもかかわらず、Service Mesh details ページはサービスメッシュのコンテンツ情報のままになりました。更新後、ユーザーは問題なく Service details ページのさまざまなタブ間を移動できるようになりました。
  • OSSM-2101 以前は、Istio Operator は、不要になった istio-cni-node DaemonSet やその他の CNI リソースを削除しませんでした。現在、Operator をアップグレードした後、クラスターに少なくとも 1 つの SMCP がインストールされている場合、Operator はこの SMCP を調整し、未使用の CNI インストール (v2.0 などの非常に古い CNI バージョンも含む) をすべて削除します。

1.2.17.8. Kiali の既知の問題

  • OSSM-6099 IPv6 クラスターで OpenShift Service Mesh Console (OSSMC) プラグインのインストールが失敗する。

    回避策: IPv4 クラスターに OSSMC プラグインをインストールします。

1.2.18. Red Hat OpenShift Service Mesh バージョン 2.5.3

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.0 に含まれ、Common Vulnerabilities and Exposures (CVE) に対処し、OpenShift Container Platform 4.12 以降でサポートされています。

1.2.18.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali

1.73.9

1.2.19. Red Hat OpenShift Service Mesh バージョン 2.4.9

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.6.0 に含まれ、Common Vulnerabilities and Exposures (CVE) に対処し、OpenShift Container Platform 4.12 以降でサポートされています。

1.2.19.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali

1.65.11

1.2.20. Red Hat OpenShift Service Mesh バージョン 2.5.2

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.5.2 に更新され、2.5.2、2.4.8、2.3.12 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。このリリースは、Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、Red Hat OpenShift Service on AWS 4.12 以降でサポートされています。

1.2.20.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali

1.73.8

1.2.20.2. 修正された問題

  • OSSM-6331: 以前は、smcp.general.logging.componentLevels 仕様は無効な LogLevel 値を受け入れ、その場合でも ServiceMeshControlPlane リソースが作成されていました。現在、無効な値が使用されるとターミナルにエラーメッセージが表示され、コントロールプレーンは作成されません。
  • OSSM-6290 以前は、Istio Config リストページの Project フィルタードロップダウンが正しく機能しませんでした。ドロップダウンメニューで特定のプロジェクトを選択した場合でも、すべての namespace のすべての istio config 項目が表示されていました。これで、フィルタードロップダウンで選択したプロジェクトに属する istio config 項目のみが表示されます。
  • OSSM-6298: 以前は、OpenShift Service Mesh Console (OSSMC) プラグイン内のアイテム参照をクリックすると、目的のページが開く前にコンソールが複数のリダイレクトを実行することがありました。その結果、コンソールで開いた前のページに戻ると、Web ブラウザーで間違ったページが開かれていました。現在、これらのリダイレクトは発生せず、Web ブラウザーで Back をクリックすると正しいページが開きます。
  • OSSM-6299: 以前は、Red Hat OpenShift Service on AWS 4.15 でトラフィックグラフ内の任意のノードメニューの Node graph メニューオプションをクリックしても、ノードグラフが表示されませんでした。代わりに、ページが更新されて同じトラフィックグラフが表示されていました。現在は、Node graph メニューオプションをクリックするとノードグラフが正しく表示されます。
  • OSSM-6267 以前は、Red Hat OpenShift Service Mesh 2.5 Grafana でデータソースを設定すると、データクエリー認証エラーが発生し、ユーザーは Istio サービスおよびワークロードダッシュボードでデータを表示できませんでした。現在は、既存の 2.5 SMCP をバージョン 2.5.2 以降にアップグレードすることで、Grafana エラーは解決します。

1.2.21. Red Hat OpenShift Service Mesh バージョン 2.4.8

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.5.2 に含まれています。Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、OpenShift Container Platform 4.12 以降でサポートされています。

Red Hat OpenShift Service Mesh Operator の最新バージョンは、サポートされているすべてのバージョンの Service Mesh で使用できます。Service Mesh のバージョンは、ServiceMeshControlPlane を使用して指定されます。

1.2.21.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali

1.65.11

1.2.22. Red Hat OpenShift Service Mesh バージョン 2.3.12

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.5.2 に含まれています。Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、OpenShift Container Platform 4.12 以降でサポートされています。

Red Hat OpenShift Service Mesh Operator の最新バージョンは、サポートされているすべてのバージョンの Service Mesh で使用できます。Service Mesh のバージョンは、ServiceMeshControlPlane リソースを使用して指定します。

1.2.22.1. コンポーネントの更新

コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.11

Kiali

1.57.14

1.2.23. 以前のリリース

これらの以前のリリースには、機能と改良が追加されました。

1.2.23.1. Red Hat OpenShift Service Mesh バージョン 2.5.1 の新機能

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.5.1 に更新され、2.5.1、2.4.7、2.3.11 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。

このリリースは、Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、Red Hat OpenShift Service on AWS 4.12 以降でサポートされています。

1.2.23.1.1. Red Hat OpenShift Service Mesh バージョン 2.5.1 のコンポーネントのバージョン
コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali

1.73.7

1.2.23.2. Red Hat OpenShift Service Mesh バージョン 2.5 の新機能

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.5.0 に更新され、2.5.0、2.4.6、2.3.10 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。

このリリースは、新機能と Common Vulnerabilities and Exposures (CVE) への対応を含んでおり、Red Hat OpenShift Service on AWS 4.12 以降でサポートされています。

このリリースで、OpenShift Service Mesh バージョン 2.2 のメンテナンスサポートが終了します。OpenShift Service Mesh バージョン 2.2 を使用している場合は、サポートされているバージョンに更新する必要があります。

1.2.23.2.1. Red Hat OpenShift Service Mesh バージョン 2.5 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.18.7

Envoy プロキシー

1.26.8

Kiali

1.73.4

1.2.23.2.2. Istio 1.18 サポート

Service Mesh 2.5 は Istio 1.18 に基づいており、新機能と製品の機能強化をもたらします。Red Hat OpenShift Service Mesh は多くの Istio 1.18 機能をサポートしていますが、次の例外に注意する必要があります。

  • Ambient mesh はサポートされていません
  • Istio の QuickAssist Technology (QAT) PrivateKeyProvider はサポートされていません
1.2.23.2.3. クラスター全体のメッシュ移行

このリリースでは、マルチテナントメッシュからクラスター全体のメッシュへの移行に関するドキュメントが追加されています。詳細は、以下のドキュメントを参照してください。

  • クラスター全体のメッシュへの移行について
  • クラスター全体のメッシュからの namespace の除外
  • クラスター全体のメッシュにおいてサイドカーインジェクションを受け取る namespace の定義
  • クラスター全体のメッシュからの Pod の個別除外
1.2.23.2.4. ARM ベースのクラスターに対する Red Hat OpenShift Service Mesh Operator

このリリースでは、ARM ベースのクラスター上で Red Hat OpenShift Service Mesh Operator が一般提供機能として提供されます。

1.2.23.2.5. Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) スタックとの統合

このリリースでは、一般に利用可能なトレースエクステンションプロバイダーの統合が導入されています。名前付き要素と zipkin プロバイダーを spec.meshConfig.extensionProviders 仕様に追加することで、トレースデータを Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) スタックに公開できます。次に、テレメトリーカスタムリソースは、トレーススパンを収集し、Tempo ディストリビュータサービスエンドポイントに送信するように Istio プロキシーを設定します。

注記

Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) スタックは、IBM Z ではサポートされていません。

1.2.23.2.6. OpenShift Service Mesh Console プラグイン

このリリースでは、OpenShift Service Mesh Console (OSSMC) プラグインの一般提供バージョンが導入されています。

OSSMC プラグインは、サービスメッシュへの可視性を提供する OpenShift コンソールのエクステンションです。OSSMC プラグインをインストールすると、Web コンソールのナビゲーションペインで新しいサービスメッシュメニューオプションが使用可能になり、既存のワークロードおよびサービスコンソールページを強化する新しいサービスメッシュタブも使用できるようになります。

OSSMC プラグインの機能は、スタンドアロン Kiali コンソールの機能とよく似ています。OSSMC プラグインは Kiali コンソールに代わるものではありません。OSSMC プラグインをインストールした後も、スタンドアロンの Kiali コンソールにアクセスできます。

1.2.23.2.7. Istio OpenShift Routing (IOR) のデフォルト設定の変更

Istio OpenShift Routing (IOR) のデフォルト設定が変更されました。今回のリリース以降、ServiceMeshControlPlane リソースの新しいインスタンスでは自動ルートがデフォルトで無効になっています。

ServiceMeshControlPlane リソースの新しいインスタンスの場合、ServiceMeshControlPlane リソースの gateways.openshiftRoute 仕様で enabled フィールドを true に設定することで、自動ルートを使用できます。

ServiceMeshControlPlane リソースの例

apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
spec:
  gateways:
    openshiftRoute:
      enabled: true

ServiceMeshControlPlane リソースの既存のインスタンスを Red Hat OpenShift Service Mesh バージョン 2.5 に更新すると、自動ルートはデフォルトで有効なままになります。

1.2.23.2.8. Istio プロキシー同時実行設定の強化

networking.istio API の concurrency パラメーターは、Istio プロキシーが実行するワーカースレッドの数を設定します。

デプロイメント間の一貫性を確保するために、Istio はプロキシーコンテナーに割り当てられた CPU 制限に基づいて concurrency パラメーターを設定するようになりました。たとえば、制限が 2500m の場合、concurrency パラメーターは 3 に設定されます。concurrency パラメーターを別の値に設定すると、Istio は CPU 制限を使用する代わりに、その値を使用してプロキシーが実行するスレッドの数を設定します。

以前のリリースでは、このパラメーターのデフォルト設定は 2 でした。

1.2.23.2.9. ゲートウェイ API CRD バージョン
重要

Red Hat OpenShift Service on AWS Gateway API のサポートはテクノロジープレビュー機能としてのみご利用いただけます。テクノロジープレビュー機能は、Red Hat 製品サポートのサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではない場合があります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

Gateway API カスタムリソース定義 (CRD) の新しいバージョンが利用可能になりました。使用している OpenShift Service Mesh バージョンとともにどの Gateway API バージョンをインストールする必要があるかを判断するには、次の表を参照してください。

Service Mesh のバージョンIstio バージョンゲートウェイ API バージョン注記

2.5.x

1.18.x

0.6.2

v0.6.2 には ReferenceGrand がないため、実験的ブランチを使用します。

2.4.x

1.16.x

0.5.1

マルチテナントメッシュデプロイメントの場合、ゲートウェイ API CRD がすべて存在する必要があります。実験的なブランチを使用します。

1.2.23.3. Red Hat OpenShift Service Mesh バージョン 2.4.7 の新機能

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.5.1 に含まれています。Common Vulnerabilities and Exposures (CVE) への対応と修正を含んでおり、Red Hat OpenShift Service on AWS 4.12 以降でサポートされています。

1.2.23.3.1. Red Hat OpenShift Service Mesh バージョン 2.4.7 のコンポーネントのバージョン
コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali

1.65.11

1.2.23.4. Red Hat OpenShift Service Mesh バージョン 2.4.6 の新機能

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.5.0 に含まれています。Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、OpenShift Container Platform 4.12 以降でサポートされています。

1.2.23.4.1. Red Hat OpenShift Service Mesh バージョン 2.4.6 のコンポーネントのバージョン
コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali

1.65.11

1.2.23.5. Red Hat OpenShift Service Mesh バージョン 2.4.5 の新機能

この Red Hat OpenShift Service Mesh リリースでは、Red Hat OpenShift Service Mesh Operator バージョンが 2.4.5 に更新され、2.4.5、2.3.9、2.2.12 の ServiceMeshControlPlane リソースバージョンの更新が含まれています。

このリリースは、Common Vulnerabilities and Exposures (CVE) への対応を含んでおり、Red Hat OpenShift Service on AWS 4.11 以降でサポートされています。

1.2.23.5.1. Red Hat OpenShift Service Mesh バージョン 2.4.5 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Kiali

1.65.11

1.2.23.6. Red Hat OpenShift Service Mesh バージョン 2.4.4 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.11 以降でサポートされます。

1.2.23.6.1. Red Hat OpenShift Service Mesh バージョン 2.4.4 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.12

Jaeger

1.47.0

Kiali

1.65.10

1.2.23.7. Red Hat OpenShift Service Mesh バージョン 2.4.3 の新機能

  • envoyExtAuthzGrpc フィールドが追加されました。これは、gRPC API を使用して外部承認プロバイダーを設定するために使用されます。
  • Common Vulnerabilities and Exposures (CVE) が解決されました。
  • このリリースは、Red Hat OpenShift Service on AWS 4.10 以降のバージョンでサポートされています。
1.2.23.7.1. Red Hat OpenShift Service Mesh バージョン 2.4.3 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.10

Jaeger

1.42.0

Kiali

1.65.8

1.2.23.7.2. 外部認可設定に対するリモートプロシージャコール (gRPC) API のサポート

今回の機能拡張により、envoyExtAuthzGrpc フィールドが追加され、gRPC API を使用して外部認可プロバイダーが設定されます。

1.2.23.8. Red Hat OpenShift Service Mesh バージョン 2.4.2 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.8.1. Red Hat OpenShift Service Mesh バージョン 2.4.2 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.16.7

Envoy プロキシー

1.24.10

Jaeger

1.42.0

Kiali

1.65.7

1.2.23.9. Red Hat OpenShift Service Mesh バージョン 2.4.1 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.9.1. Red Hat OpenShift Service Mesh バージョン 2.4.1 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.16.5

Envoy プロキシー

1.24.8

Jaeger

1.42.0

Kiali

1.65.7

1.2.23.10. Red Hat OpenShift Service Mesh バージョン 2.4 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.10.1. Red Hat OpenShift Service Mesh バージョン 2.4 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.16.5

Envoy プロキシー

1.24.8

Jaeger

1.42.0

Kiali

1.65.6

1.2.23.10.2. クラスター全体のデプロイメント

この機能拡張により、クラスター全体のデプロイメントの一般利用可能なバージョンが導入されます。クラスター全体のデプロイメントには、クラスター全体のリソースを監視する Service Mesh Control Plane が含まれます。コントロールプレーンは、すべての namespace で単一のクエリーを使用して、メッシュ設定に影響を与える各 Istio または Kubernetes リソースの種類を監視します。クラスター全体のデプロイメントでコントロールプレーンが実行するクエリーの数を減らすと、パフォーマンスが向上します。

1.2.23.10.3. ディスカバリーセレクターのサポート

この機能強化により、meshConfig.discoverySelectors フィールドの一般利用可能なバージョンが導入され、これをクラスター全体のデプロイメントで使用して、Service Mesh コントロールプレーンが検出できるサービスを制限できます。

spec:
  meshConfig
    discoverySelectors:
    - matchLabels:
        env: prod
        region: us-east1
    - matchExpressions:
      - key: app
        operator: In
        values:
          - cassandra
          - spark
1.2.23.10.4. cert-manager istio-csr との統合

この更新により、Red Hat OpenShift Service Mesh は cert-manager コントローラーおよび istio-csr エージェントと統合されます。cert-manager は、証明書と証明書発行者を Kubernetes クラスター内のリソースタイプとして追加し、それらの証明書の取得、更新、使用のプロセスを簡素化します。cert-manager は、Istio の中間 CA 証明書を提供し、ローテーションします。istio-csr との統合により、ユーザーは Istio プロキシーからの署名証明書要求を cert-manager に委任できます。ServiceMeshControlPlane v2.4 は cert-manager によって提供された CA 証明書を cacerts シークレットとして受け入れます。

注記

cert-manager および istio-csr との統合は、IBM Power®、IBM Z®、および IBM® LinuxONE ではサポートされていません。

1.2.23.10.5. 外部認証システムとの統合

この機能強化により、AuthorizationPolicy リソースの action:CUSTOM フィールドを使用して、Red Hat OpenShift Service Mesh を外部認可システムと統合する一般に利用可能な方法が導入されました。envoyExtAuthzHttp フィールドを使用して、アクセス制御を外部認証システムに委任します。

1.2.23.10.6. 外部 Prometheus インストールとの統合

この機能拡張により、Prometheus 拡張プロバイダーの一般利用可能なバージョンが導入されます。spec.meshConfig 仕様で extensionProviders フィールドの値を prometheus に設定することで、Red Hat OpenShift Service on AWS モニタリングスタックまたはカスタム Prometheus インストールにメトリクスを公開できます。テレメトリーオブジェクトは、トラフィックメトリクスを収集するように Istio プロキシーを設定します。Service Mesh は、Prometheus メトリクスの Telemetry API のみをサポートします。

spec:
  meshConfig:
    extensionProviders:
    - name: prometheus
      prometheus: {}
---
apiVersion: telemetry.istio.io/v1alpha1
kind: Telemetry
metadata:
  name: enable-prometheus-metrics
spec:
  metrics:
  - providers:
    - name: prometheus
1.2.23.10.7. シングルスタック IPv6 のサポート

この機能拡張により、シングルスタック IPv6 クラスターの一般利用可能なサポートが導入され、より広範囲の IP アドレスへのアクセスが提供されます。デュアルスタック IPv4 または IPv6 クラスターはサポートされていません。

注記

シングルスタック IPv6 サポートは、IBM Power®、IBM Z®、および IBM® LinuxONE では利用できません。

1.2.23.10.7.1. Red Hat OpenShift Service on AWS ゲートウェイ API の有効化

Red Hat OpenShift Service on AWS Gateway API を有効にするには、ServiceMeshControlPlane リソースの techPreview.gatewayAPI 仕様で、enabled フィールドの値を true に設定します。

spec:
  techPreview:
    gatewayAPI:
      enabled: true

以前は、ゲートウェイ API を有効にするために環境変数が使用されていました。

spec:
  runtime:
    components:
      pilot:
        container:
          env:
            PILOT_ENABLE_GATEWAY_API: "true"
            PILOT_ENABLE_GATEWAY_API_STATUS: "true"
            PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER: "true"
1.2.23.10.8. Istio 1.16 サポート

Service Mesh 2.4 は Istio 1.16 に基づいており、新機能と製品の機能強化をもたらします。多くの Istio 1.16 機能がサポートされていますが、次の例外に注意する必要があります。

  • サイドカーの HBONE プロトコルは実験的な機能であり、サポートされていません。
  • ARM64 アーキテクチャー上の Service Mesh はサポートされていません。

1.2.23.11. Red Hat OpenShift Service Mesh バージョン 2.3.11 の新機能

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.5.1 に含まれています。Common Vulnerabilities and Exposures (CVE) への対応と修正を含んでおり、Red Hat OpenShift Service on AWS 4.12 以降でサポートされています。

1.2.23.11.1. Red Hat OpenShift Service Mesh バージョン 2.3.11 のコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.11

Kiali

1.57.14

1.2.23.12. Red Hat OpenShift Service Mesh バージョン 2.3.10 の新機能

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.5.0 に含まれています。Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、OpenShift Container Platform 4.12 以降でサポートされています。

1.2.23.12.1. Red Hat OpenShift Service Mesh バージョン 2.3.10 のコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.11

Kiali

1.57.14

1.2.23.13. Red Hat OpenShift Service Mesh バージョン 2.3.9 の新機能

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.4.5 に含まれています。Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、OpenShift Container Platform 4.11 以降でサポートされています。

1.2.23.13.1. Red Hat OpenShift Service Mesh バージョン 2.3.9 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.11

Jaeger

1.47.0

Kiali

1.57.14

1.2.23.14. Red Hat OpenShift Service Mesh バージョン 2.3.8 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.11 以降でサポートされます。

1.2.23.14.1. Red Hat OpenShift Service Mesh バージョン 2.3.8 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.11

Jaeger

1.47.0

Kiali

1.57.13

1.2.23.15. Red Hat OpenShift Service Mesh バージョン 2.3.7 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.15.1. Red Hat OpenShift Service Mesh バージョン 2.3.7 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.6

Envoy プロキシー

1.22.11

Jaeger

1.42.0

Kiali

1.57.11

1.2.23.16. Red Hat OpenShift Service Mesh バージョン 2.3.6 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.16.1. Red Hat OpenShift Service Mesh バージョン 2.3.6 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.11

Jaeger

1.42.0

Kiali

1.57.10

1.2.23.17. Red Hat OpenShift Service Mesh バージョン 2.3.5 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.17.1. Red Hat OpenShift Service Mesh バージョン 2.3.5 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.9

Jaeger

1.42.0

Kiali

1.57.10

1.2.23.18. Red Hat OpenShift Service Mesh バージョン 2.3.4 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.18.1. Red Hat OpenShift Service Mesh バージョン 2.3.4 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.6

Envoy プロキシー

1.22.9

Jaeger

1.42.0

Kiali

1.57.9

1.2.23.19. Red Hat OpenShift Service Mesh バージョン 2.3.3 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.19.1. Red Hat OpenShift Service Mesh バージョン 2.3.3 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.9

Jaeger

1.42.0

Kiali

1.57.7

1.2.23.20. Red Hat OpenShift Service Mesh バージョン 2.3.2 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.20.1. Red Hat OpenShift Service Mesh バージョン 2.3.2 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.7

Jaeger

1.39

Kiali

1.57.6

1.2.23.21. Red Hat OpenShift Service Mesh バージョン 2.3.1 の新機能

このリリースの Red Hat OpenShift Service Mesh には、新機能の導入、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれ、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.21.1. Red Hat OpenShift Service Mesh バージョン 2.3.1 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.5

Envoy プロキシー

1.22.4

Jaeger

1.39

Kiali

1.57.5

1.2.23.22. Red Hat OpenShift Service Mesh バージョン 2.3 の新機能

このリリースの Red Hat OpenShift Service Mesh には、新機能の導入、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれ、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.22.1. Red Hat OpenShift Service Mesh バージョン 2.3 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.14.3

Envoy プロキシー

1.22.4

Jaeger

1.38

Kiali

1.57.3

1.2.23.22.2. 新しい Container Network Interface (CNI) DaemonSet コンテナーと ConfigMap

openshift-operators namespace には、新しい istio CNI DaemonSet istio-cni-node-v2-3、新しい ConfigMap リソース、istio-cni-config-v2-3 が含まれています。

Service Mesh Control Plane 2.3 にアップグレードすると、既存の istio-cni-node DaemonSet は変更されず、新しい istio-cni-node-v2-3 DaemonSet が作成されます。

この名称変更は、以前のリリースや、以前のリリースを使用してデプロイされた Service Mesh Control Plane に関連付けられた istio-cni-node CNI DaemonSet には影響しません。

1.2.23.22.3. ゲートウェイ挿入のサポート

このリリースでは、ゲートウェイ挿入の一般利用可能なサポートが導入されています。ゲートウェイ設定は、サービスワークロードとともに実行するサイドカー Envoy プロキシーではなく、メッシュのエッジで実行するスタンドアロン Envoy プロキシーに適用されます。これにより、ゲートウェイオプションのカスタマイズ機能が有効になります。ゲートウェイ挿入を使用する場合は、ゲートウェイプロキシーを実行する namespace にリソース (ServiceDeploymentRole、および RoleBinding) を作成する必要があります。

1.2.23.22.4. Istio 1.14 サポート

Service Mesh 2.3 は Istio 1.14 に基づいており、新機能と製品の機能強化をもたらします。多くの Istio 1.14 機能がサポートされていますが、次の例外に注意する必要があります。

  • ProxyConfig API はサポートされていますが、image フィールドは例外です。
  • SPIRE ランタイムはサポートされていない機能です。
1.2.23.22.4.1. クラスター全体のデプロイメントの設定

次の ServiceMeshControlPlane オブジェクトの例では、クラスター全体のデプロイを設定します。

クラスター全体のデプロイメント用に SMCP を作成する場合、ユーザーは cluster-admin ClusterRole に属している必要があります。SMCP がクラスター全体のデプロイメント用に設定されている場合は、それがクラスター内の唯一の SMCP である必要があります。コントロールプレーンモードをマルチテナントからクラスター全体 (またはクラスター全体からマルチテナント) に変更することはできません。マルチテナントコントロールプレーンがすでに存在する場合は、それを削除して、新しいコントロールプレーンを作成します。

この例では、クラスター全体のデプロイメント用に SMCP を設定します。

  apiVersion: maistra.io/v2
  kind: ServiceMeshControlPlane
  metadata:
    name: cluster-wide
    namespace: istio-system
  spec:
    version: v2.3
    techPreview:
      controlPlaneMode: ClusterScoped 1
1
Istiod が、個々の namespace を監視するのではなく、クラスターレベルでリソースを監視できるようにします。

さらに、SMMR もクラスター全体のデプロイメント用に設定する必要があります。この例では、クラスター全体のデプロイメント用に SMMR を設定します。

  apiVersion: maistra.io/v1
  kind: ServiceMeshMemberRoll
  metadata:
    name: default
  spec:
    members:
    - '*' 1
1
後で作成する namespace を含め、すべての namespace をメッシュに追加します。kube、openshift、kube-*、および openshift-* の namespace は、メッシュの一部ではありません。

1.2.23.23. Red Hat OpenShift Service Mesh バージョン 2.2.12 の新機能

この Red Hat OpenShift Service Mesh リリースは、Red Hat OpenShift Service Mesh Operator 2.4.5 に含まれています。Common Vulnerabilities and Exposures (CVE) への対応とバグ修正を含んでおり、OpenShift Container Platform 4.11 以降でサポートされています。

1.2.23.23.1. Red Hat OpenShift Service Mesh バージョン 2.2.12 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.47.0

Kiali

1.48.11

1.2.23.24. Red Hat OpenShift Service Mesh バージョン 2.2.11 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.11 以降でサポートされます。

1.2.23.24.1. Red Hat OpenShift Service Mesh バージョン 2.2.11 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.47.0

Kiali

1.48.10

1.2.23.25. Red Hat OpenShift Service Mesh バージョン 2.2.10 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.25.1. Red Hat OpenShift Service Mesh バージョン 2.2.10 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.42.0

Kiali

1.48.8

1.2.23.26. Red Hat OpenShift Service Mesh バージョン 2.2.9 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.26.1. Red Hat OpenShift Service Mesh バージョン 2.2.9 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.42.0

Kiali

1.48.7

1.2.23.27. Red Hat OpenShift Service Mesh バージョン 2.2.8 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.27.1. Red Hat OpenShift Service Mesh バージョン 2.2.8 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.42.0

Kiali

1.48.7

1.2.23.28. Red Hat OpenShift Service Mesh バージョン 2.2.7 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.10 以降でサポートされます。

1.2.23.28.1. Red Hat OpenShift Service Mesh バージョン 2.2.7 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.42.0

Kiali

1.48.6

1.2.23.29. Red Hat OpenShift Service Mesh バージョン 2.2.6 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.29.1. Red Hat OpenShift Service Mesh バージョン 2.2.6 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.39

Kiali

1.48.5

1.2.23.30. Red Hat OpenShift Service Mesh バージョン 2.2.5 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.30.1. Red Hat OpenShift Service Mesh バージョン 2.2.5 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.39

Kiali

1.48.3

1.2.23.31. Red Hat OpenShift Service Mesh バージョン 2.2.4 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.31.1. Red Hat OpenShift Service Mesh バージョン 2.2.4 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.36.14

Kiali

1.48.3

1.2.23.32. Red Hat OpenShift Service Mesh バージョン 2.2.3 の新機能

このリリースの Red Hat OpenShift Service Mesh は、共通脆弱性および漏洩 (CVE) に対処し、バグ修正を行っており、Red Hat OpenShift Service on AWS 4.9 以降でサポートされています。

1.2.23.32.1. Red Hat OpenShift Service Mesh バージョン 2.2.3 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.9

Envoy プロキシー

1.20.8

Jaeger

1.36

Kiali

1.48.3

1.2.23.33. Red Hat OpenShift Service Mesh バージョン 2.2.2 の新機能

このリリースの Red Hat OpenShift Service Mesh は、共通脆弱性および漏洩 (CVE) に対処し、バグ修正を行っており、Red Hat OpenShift Service on AWS 4.9 以降でサポートされています。

1.2.23.33.1. Red Hat OpenShift Service Mesh バージョン 2.2.2 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.7

Envoy プロキシー

1.20.6

Jaeger

1.36

Kiali

1.48.2-1

1.2.23.33.2. ルートラベルのコピー

この機能強化により、アノテーションのコピーに加えて、OpenShift ルートの特定のラベルをコピーできます。Red Hat OpenShift Service Mesh は、Istio Gateway リソースに存在するすべてのラベルとアノテーション (kubectl.kubernetes.io で始まるアノテーションを除く) をマネージドの OpenShift Route リソースにコピーします。

1.2.23.34. Red Hat OpenShift Service Mesh バージョン 2.2.1 の新機能

このリリースの Red Hat OpenShift Service Mesh は、共通脆弱性および漏洩 (CVE) に対処し、バグ修正を行っており、Red Hat OpenShift Service on AWS 4.9 以降でサポートされています。

1.2.23.34.1. Red Hat OpenShift Service Mesh バージョン 2.2.1 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.7

Envoy プロキシー

1.20.6

Jaeger

1.34.1

Kiali

1.48.2-1

1.2.23.35. Red Hat OpenShift Service Mesh 2.2 の新機能

このリリースの Red Hat OpenShift Service Mesh は、新しい機能と拡張機能を追加し、Red Hat OpenShift Service on AWS 4.9 以降のバージョンでサポートされています。

1.2.23.35.1. Red Hat OpenShift Service Mesh バージョン 2.2 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.12.7

Envoy プロキシー

1.20.4

Jaeger

1.34.1

Kiali

1.48.0.16

1.2.23.35.2. WasmPlugin API

このリリースでは、WasmPlugin API のサポートが追加され、ServiceMeshExtension が非推奨になりました。

1.2.23.35.3. ROSA サポート

このリリースでは、マルチクラスターフェデレーションを含む Red Hat OpenShift on AWS (ROSA) の Service Mesh サポートが導入されています。

1.2.23.35.4. istio-node DaemonSet の名前変更

このリリースでは、istio-node DaemonSet の名前が istio-cni-node に変更になり、アップストリーム Istio の名前と同じになりました。

1.2.23.35.5. エンボイサイドカーネットワークの変更

Istio 1.10 は、デフォルトで lo ではなく eth0 を使用してトラフィックをアプリケーションコンテナーに送信するように Envoy を更新しました。

1.2.23.35.6. Service Mesh コントロールプレーン 1.1

このリリースは、すべてのプラットフォームでの Service Mesh 1.1 に基づく Service Mesh コントロールプレーンのサポートの終了を示します。

1.2.23.35.7. Istio 1.12 サポート

Service Mesh 2.2 は Istio 1.12 に基づいており、新機能と製品の機能強化をもたらします。多くの Istio 1.12 機能がサポートされていますが、サポートされていない次の機能に注意する必要があります。

  • AuthPolicy ドライランはテクノロジープレビュー機能です。
  • gRPC Proxyless Service Mesh は、テクノロジープレビュー機能です。
  • Telemetry API は、テクノロジープレビュー機能です。
  • ディスカバリーセレクターはサポート対象外の機能です。
  • 外部コントロールプレーンはサポート対象外の機能です。
  • ゲートウェイインジェクションはサポート対象外の機能です。
1.2.23.35.7.1. Gateway API CRD のインストール

Gateway API CRD は、デフォルトでは OpenShift クラスターにプリインストールされていません。SMCP で Gateway API サポートを有効にする前に、CRD をインストールします。

$ kubectl get crd gateways.gateway.networking.k8s.io || { kubectl kustomize "github.com/kubernetes-sigs/gateway-api/config/crd?ref=v0.4.0" | kubectl apply -f -; }
1.2.23.35.7.2. Kubernetes Gateway API の有効化

この機能を有効にするには、ServiceMeshControlPlaneIstiod コンテナーに次の環境変数を設定します。

spec:
  runtime:
    components:
      pilot:
        container:
          env:
            PILOT_ENABLE_GATEWAY_API: "true"
            PILOT_ENABLE_GATEWAY_API_STATUS: "true"
            # and optionally, for the deployment controller
            PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER: "true"

ゲートウェイ API リスナーでのルート接続を制限するには、SameNamespace または All 設定を使用します。Istio は、listeners.allowedRoutes.namespaces のラベルセレクターの使用を無視し、デフォルトの動作 (SameNamespace) に戻します。

1.2.23.35.7.3. 手動によるゲートウェイリソースへの既存ゲートウェイのリンク

Kubernetes API デプロイメントコントローラーが無効になっている場合は、ingress ゲートウェイを手動でデプロイし、作成されたゲートウェイリソースにリンクする必要があります。

  apiVersion: gateway.networking.k8s.io/v1alpha2
  kind: Gateway
  metadata:
    name: gateway
  spec:
    addresses:
    - value: ingress.istio-gateways.svc.cluster.local
      type: Hostname

1.2.23.36. Red Hat OpenShift Service Mesh 2.1.6 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.36.1. Red Hat OpenShift Service Mesh バージョン 2.1.6 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.5

Jaeger

1.36

Kiali

1.36.16

1.2.23.37. Red Hat OpenShift Service Mesh 2.1.5.2 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.37.1. Red Hat OpenShift Service Mesh バージョン 2.1.5.2 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.5

Jaeger

1.36

Kiali

1.24.17

1.2.23.38. Red Hat OpenShift Service Mesh 2.1.5.1 の新機能

このリリースの Red Hat OpenShift Service Mesh は、共通脆弱性および漏洩 (CVE) に対処し、バグ修正を行っており、Red Hat OpenShift Service on AWS 4.9 以降でサポートされています。

1.2.23.38.1. Red Hat OpenShift Service Mesh バージョン 2.1.5.1 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.5

Jaeger

1.36

Kiali

1.36.13

1.2.23.39. Red Hat OpenShift Service Mesh 2.1.5 の新機能

このリリースの Red Hat OpenShift Service Mesh は、共通脆弱性および漏洩 (CVE) に対処し、バグ修正を行っており、Red Hat OpenShift Service on AWS 4.9 以降でサポートされています。

1.2.23.39.1. Red Hat OpenShift Service Mesh バージョン 2.1.5 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.1

Jaeger

1.36

Kiali

1.36.12-1

1.2.23.40. Red Hat OpenShift Service Mesh 2.1.4 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.40.1. Red Hat OpenShift Service Mesh バージョン 2.1.4 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.1

Jaeger

1.30.2

Kiali

1.36.12-1

1.2.23.41. Red Hat OpenShift Service Mesh 2.1.3 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.41.1. Red Hat OpenShift Service Mesh バージョン 2.1.3 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.1

Jaeger

1.30.2

Kiali

1.36.10-2

1.2.23.42. Red Hat OpenShift Service Mesh 2.1.2.1 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.42.1. Red Hat OpenShift Service Mesh バージョン 2.1.2.1 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.1

Jaeger

1.30.2

Kiali

1.36.9

1.2.23.43. Red Hat OpenShift Service Mesh 2.1.2 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

このリリースでは、Red Hat OpenShift 分散トレースプラットフォーム (Jaeger) Operator がデフォルトで openshift-distributed-tracing namespace にインストールされるようになりました。以前のリリースでは、デフォルトのインストールは openshift-operator namespace にありました。

1.2.23.43.1. Red Hat OpenShift Service Mesh バージョン 2.1.2 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.1

Jaeger

1.30.1

Kiali

1.36.8

1.2.23.44. Red Hat OpenShift Service Mesh 2.1.1 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

このリリースでは、ネットワークポリシーの自動作成を無効にする機能も追加されています。

1.2.23.44.1. Red Hat OpenShift Service Mesh バージョン 2.1.1 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.9

Envoy プロキシー

1.17.1

Jaeger

1.24.1

Kiali

1.36.7

1.2.23.44.2. ネットワークポリシーの無効化

Red Hat OpenShift Service Mesh は、Service Mesh コントロールプレーンおよびアプリケーションネームスペースで多数の NetworkPolicies リソースを自動的に作成し、管理します。これは、アプリケーションとコントロールプレーンが相互に通信できるようにするために使用されます。

NetworkPolicies リソースの自動作成および管理を無効にする場合 (例: 会社のセキュリティーポリシーを適用する場合など) は、これを実行できます。ServiceMeshControlPlane を編集して spec.security.manageNetworkPolicy 設定を falseに設定できます。

注記

spec.security.manageNetworkPolicy を無効にすると、Red Hat OpenShift Service Mesh は、NetworkPolicy オブジェクトをひとつも作成しません。システム管理者は、ネットワークを管理し、この原因の問題を修正します。

手順

  1. Red Hat OpenShift Service on AWS Web コンソールで、Operators Installed Operators をクリックします。
  2. Project メニューから、Service Mesh コントロールプレーンをインストールしたプロジェクト (例: istio-system) を選択します。
  3. Red Hat OpenShift Service Mesh Operator をクリックします。Istio Service Mesh Control Plane 列で、ServiceMeshControlPlane の名前 (basic-install など) をクリックします。
  4. Create ServiceMeshControlPlane Details ページで、YAML をクリックして設定を変更します。
  5. 以下の例のように、ServiceMeshControlPlane フィールド spec.security.manageNetworkPolicyfalse に設定します。

    apiVersion: maistra.io/v2
    kind: ServiceMeshControlPlane
    spec:
      security:
          trust:
          manageNetworkPolicy: false
  6. Save をクリックします。

1.2.23.45. Red Hat OpenShift Service Mesh 2.1 の新機能および機能拡張

このリリースの Red Hat OpenShift Service Mesh では、Istio 1.9.8、Envoy Proxy 1.17.1、Jaeger 1.24.1、および Kiali 1.36.5 のサポートと新機能および機能拡張が Red Hat OpenShift Service on AWS 4.6 EUS、4.7、4.8、および 4.9 で追加されました。

1.2.23.45.1. Red Hat OpenShift Service Mesh バージョン 2.1 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.9.6

Envoy プロキシー

1.17.1

Jaeger

1.24.1

Kiali

1.36.5

1.2.23.45.2. Service Mesh のフェデレーション

Service Mesh をフェデレーションできるように新規のカスタムリソース定義 (CRD) が追加されました。Service Mesh は、同じクラスター内または異なる OpenShift クラスター間でフェデレーションを行うことができます。これらの新規リソースには以下が含まれます。

  • ServiceMeshPeer: ゲートウェイ設定、ルート信頼証明書設定、ステータスフィールドなど、別の Service Mesh でのフェデレーションを定義します。フェデレーションされたメッシュのペアでは、各メッシュは独自の ServiceMeshPeer リソースを個別に定義します。
  • ExportedServiceMeshSet: ピアメッシュのインポートに利用できる特定の ServiceMeshPeer サービスを定義します。
  • ImportedServiceSet: ピアメッシュからインポートする特定の ServiceMeshPeer のサービスを定義します。これらのサービスは、ピアの ExportedServiceMeshSet リソースで利用できるようにする必要もあります。

Service Mesh フェデレーションは、Red Hat OpenShift Service on AWS (ROSA) または OpenShift Dedicated (OSD) 上のクラスター間ではサポートされていません。

1.2.23.45.3. OVN-Kubernetes Container Network Interface (CNI) の一般提供

OVN-Kubernetes Container Network Interface (CNI) は、以前は Red Hat OpenShift Service Mesh 2.0.1 のテクノロジープレビュー機能として導入されましたが、Red Hat OpenShift Service on AWS 4.7.32、Red Hat OpenShift Service on AWS 4.8.12、および Red Hat OpenShift Service on AWS 4.9 で使用できるように Red Hat OpenShift Service Mesh 2.1 および 2.0.x で一般提供されています。

1.2.23.45.4. Service Mesh WebAssembly (WASM) 拡張

ServiceMeshExtensions カスタムリソース定義 (CRD) は、最初に 2.0 でテクノロジープレビュー機能として導入され、今回のバージョンで一般公開されました。CRD を使用して独自のプラグインを構築できますが、Red Hat では独自に作成したプラグインはサポートしていません。

Mixer は Service Mesh 2.1 で完全に削除されました。Mixer が有効な場合は、Service Mesh 2.0.x リリースから 2.1 へのアップグレードは、ブロックされます。Mixer プラグインは WebAssembly 拡張に移植する必要があります。

1.2.23.45.5. 3scale WebAssembly Adapter (WASM)

Mixer が正式に削除されたため、OpenShift 3scale mixer アダプターは、Service Mesh 2.1 ではサポート対象外となっています。Service Mesh 2.1 にアップグレードする前に、Mixer ベースの 3scale アダプターと追加の Mixer プラグインを削除します。次に、ServiceMeshExtension リソースを使用して、新しい 3scale WebAssembly アダプターを Service Mesh 2.1 以上で手動でインストールして設定します。

3scale 2.11 では、WebAssembly に基づく更新された Service Mesh の統合が導入されました。

1.2.23.45.6. Istio 1.9 サポート

Service Mesh 2.1 は Istio 1.9 をベースとしており、製品の新機能および機能拡張が数多く追加されました。Istio 1.9 の大半の機能がサポートされていますが、以下の例外に注意してください。

  • 仮想マシンの統合はまだサポートされていません。
  • Kubernetes Gateway API はまだサポートされていません。
  • WebAssembly HTTP フィルターのリモートフェッチおよびロードはサポートされていません。
  • Kubernetes CSR API を使用したカスタム CA 統合はまだサポートされていません。
  • トラフィック監視要求の分類機能はテクノロジープレビュー機能です。
  • Authorization ポリシーの CUSTOM アクションによる外部承認システムとの統合はテクノロジープレビュー機能です。
1.2.23.45.7. Service Mesh Operator のパフォーマンス向上

ServiceMeshControlPlane の調整の終了時に、Red Hat OpenShift Service Mesh が以前のリソースのプルーニングに使用する期間が短縮されました。これにより、ServiceMeshControlPlane のデプロイメントにかかる時間が短縮され、既存の SMCP に適用される変更がこれまでよりも早く有効になります。

1.2.23.45.8. Kiali の更新

Kiali 1.36 には、以下の機能と拡張機能が含まれています。

  • Service Mesh のトラブルシューティング機能

    • コントロールプレーンおよびゲートウェイの監視
    • プロキシーの同期ステータス
    • Envoy 設定ビュー
    • Envoy プロキシーおよびアプリケーションログのインターリーブを示す統合ビュー
  • フェデレーションされた Service Mesh ビューをサポートする namespace およびクラスターボックス
  • 新しい検証、ウィザード、および分散トレースの機能拡張

1.2.23.46. Red Hat OpenShift Service Mesh 2.0.11.1 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.46.1. Red Hat OpenShift Service Mesh バージョン 2.0.11.1 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.6.14

Envoy プロキシー

1.14.5

Jaeger

1.36

Kiali

1.24.17

1.2.23.47. Red Hat OpenShift Service Mesh 2.0.11 の新機能

このリリースの Red Hat OpenShift Service Mesh には、CVE (Common Vulnerabilities and Exposures) への対応、バグ修正が含まれています。このリリースは、Red Hat OpenShift Service on AWS 4.9 以降でサポートされます。

1.2.23.47.1. Red Hat OpenShift Service Mesh バージョン 2.0.11 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.6.14

Envoy プロキシー

1.14.5

Jaeger

1.36

Kiali

1.24.16-1

1.2.23.48. Red Hat OpenShift Service Mesh 2.0.10 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.48.1. Red Hat OpenShift Service Mesh バージョン 2.0.10 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.6.14

Envoy プロキシー

1.14.5

Jaeger

1.28.0

Kiali

1.24.16-1

1.2.23.49. Red Hat OpenShift Service Mesh 2.0.9 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.49.1. Red Hat OpenShift Service Mesh バージョン 2.0.9 に含まれるコンポーネントのバージョン
コンポーネントバージョン

Istio

1.6.14

Envoy プロキシー

1.14.5

Jaeger

1.24.1

Kiali

1.24.11

1.2.23.50. Red Hat OpenShift Service Mesh 2.0.8 の新機能

このリリースの Red Hat OpenShift Service Mesh では、バグ修正に対応しています。

1.2.23.51. Red Hat OpenShift Service Mesh 2.0.7.1 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) に対応しています。

1.2.23.51.1. Red Hat OpenShift Service Mesh が URI フラグメントを処理する方法の変更

Red Hat OpenShift Service Mesh には、リモートで悪用可能な脆弱性 CVE-2021-39156 が含まれており、URI パスにフラグメント (URI の末尾が # 文字で始まるセクション) を含む HTTP リクエストが Istio URI パスベースの認証ポリシーを無視する可能性があります。たとえば、Istio 認証ポリシーは URI パス /user/profile に送信される要求を拒否します。脆弱なバージョンでは、URI パス /user/profile#section1 のリクエストは、deny ポリシーと、(正規化された URI path /user/profile%23section1 を使用する) バックエンドへのルートを無視するため、セキュリティーのインシデントにつながる可能性があります。

DENY アクションおよび operation.paths、または ALLOW アクションおよび operation.notPaths で認可ポリシーを使用する場合は、この脆弱性の影響を受けます。

軽減策により、リクエストの URI の断片部分が、承認とルーティングの前に削除されます。これにより、URI のフラグメントを持つ要求が、フラグメントの一部のない URI をベースとする認可ポリシーが無視できなくなります。

軽減策の新しい動作からオプトインするには、URI の fragment セクションが保持されます。ServiceMeshControlPlane を設定して URI フラグメントを保持できます。

警告

新しい動作を無効にすると、上記のようにパスを正規化し、安全でないと見なされます。URI フラグメントを保持することを選択する前に、セキュリティーポリシーでこれに対応していることを確認してください。

ServiceMeshControlPlane の変更例

apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
  name: basic
spec:
  techPreview:
    meshConfig:
      defaultConfig:
        proxyMetadata: HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED: "false"

1.2.23.51.2. 認証ポリシーに必要な更新

Istio はホスト名自体とすべての一致するポートの両方にホスト名を生成します。たとえば、"httpbin.foo" のホストの仮想サービスまたはゲートウェイは、"httpbin.foo and httpbin.foo:*" に一致する設定を生成します。ただし、完全一致許可ポリシーは、hosts または notHosts フィールドに指定された完全一致文字列にのみ一致します。

ルールの正確な文字列比較を使用して hosts または notHosts を決定する AuthorizationPolicy リソースがある場合、クラスターは影響を受けます。

完全一致ではなく接頭辞一致を使用するように、認証ポリシー ルール を更新する必要があります。たとえば、最初の AuthorizationPolicy の例で hosts: ["httpbin.com"]hosts: ["httpbin.com:*"] に置き換えます。

接頭辞一致を使用した最初の AuthorizationPolicy の例

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: httpbin
  namespace: foo
spec:
  action: DENY
  rules:
  - from:
    - source:
        namespaces: ["dev"]
    to:
    - operation:
        hosts: [“httpbin.com”,"httpbin.com:*"]

接頭辞一致を使用した 2 つ目の AuthorizationPolicy の例

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: httpbin
  namespace: default
spec:
  action: DENY
  rules:
  - to:
    - operation:
        hosts: ["httpbin.example.com:*"]

1.2.23.52. Red Hat OpenShift Service Mesh 2.0.7 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.53. Red Hat OpenShift Dedicated 上の Red Hat OpenShift Service Mesh

Red Hat OpenShift Service Mesh は、Red Hat OpenShift Dedicated でサポートされるようになりました。

1.2.23.54. Red Hat OpenShift Service Mesh 2.0.6 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.55. Red Hat OpenShift Service Mesh 2.0.5 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.56. Red Hat OpenShift Service Mesh 2.0.4 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

重要

CVE-2021-29492 および CVE-2021-31920 に対応するために、手動による手順を完了する必要があります。

1.2.23.56.1. CVE-2021-29492 および CVE-2021-31920 で必要な手動による更新

Istio にはリモートで悪用可能な脆弱性があり、複数のスラッシュまたはエスケープされたスラッシュ文字 (%2F または %5C) を持つ HTTP リクエストパスが、パスベースの認証ルールが使用される場合に Istio 認証ポリシーを無視する可能性があります。

たとえば、Istio クラスター管理者が、パス /admin での要求を拒否する認証 DENY ポリシーを定義すると仮定します。URL パス //admin に送信される要求は、認証ポリシーには拒否されません。

RFC 3986 に応じて、複数のスラッシュを持つパス //admin は、/admin とは異なるパスとして処理される必要があります。ただし、一部のバックエンドサービスは、複数のスラッシュを単一のスラッシュにマージして URL パスを正規化することを選択します。これにより、認証ポリシーがバイパスされ (//admin/admin に一致しない)、ユーザーはバックエンドのパス (/admin) でリソースにアクセスできます。これは、セキュリティーのインシデントを表します。

ALLOW action + notPaths フィールドまたは DENY action + paths field パターンを使用する認証ポリシーがある場合、クラスターはこの脆弱性の影響を受けます。これらのパターンは、予期しないポリシーのバイパスに対して脆弱です。

以下の場合、クラスターはこの脆弱性の影響を受けません。

  • 認証ポリシーがありません。
  • 認証ポリシーは、paths フィールドまたは notPaths フィールドを定義しません。
  • 認証ポリシーは、ALLOW action + paths フィールドまたは DENY action + notPaths フィールドのパターンを使用します。これらのパターンは、ポリシーのバイパスではなく、予期しない拒否を生じさせる可能性があります。このような場合、アップグレードは任意です。
注記

パスの正規化向けの Red Hat OpenShift Service Mesh 設定の場所は、Istio 設定とは異なります。

1.2.23.56.2. パスの正規化設定の更新

Istio 認証ポリシーは、HTTP リクエストの URL パスをベースとする場合があります。URI の正規化として知られる パスの正規化 は、正規化されたパスを標準の方法で処理できるように、受信要求のパスを変更し、標準化します。構文の異なるパスは、パスの正規化後と同一になる場合があります。

Istio は、認証ポリシーに対して評価し、要求をルーティングする前の、要求パスでの以下の正規化スキームをサポートします。

表1.1 正規化スキーム
オプション説明注記

NONE

正規化は行われません。Envoy が受信する内容はそのまますべて、どのバックエンドサービスにも完全に転送されます。

../%2fa../b は認証ポリシーによって評価され、サービスに送信されます。

この設定は CVE-2021-31920 に対して脆弱です。

BASE

現時点で、これは Istio の デフォルト インストールで使用されるオプションです。これにより、Envoy プロキシーで normalize_path オプションが適用されます。これは、追加の正規化において RFC 3986 に従い、バックスラッシュをフォワードスラッシュに変換します。

/a/../b/b に正規化されます。\da/da に正規化されます。

この設定は CVE-2021-31920 に対して脆弱です。

MERGE_SLASHES

スラッシュは BASE の正規化後にマージされます。

/a//b/a/b に正規化されます。

この設定に対して更新を行い、CVE-2021-31920 のリスクを軽減します。

DECODE_AND_MERGE_SLASHES

デフォルトですべてのトラフィックを許可する場合の最も厳密な設定です。この設定の場合は、認証ポリシーのルートを詳細にテストする必要がある点に注意してください。パーセントでエンコードされた スラッシュおよびバックスラッシュ文字 (%2F%2f%5C および %5c) は、MERGE_SLASHES の正規化の前に / または \ にデコードされます。

/a%2fb/a/b に正規化されます。

この設定に対して更新を行い、CVE-2021-31920 のリスクを軽減します。この設定はより安全ですが、アプリケーションが破損する可能性があります。実稼働環境にデプロイする前にアプリケーションをテストします。

正規化アルゴリズムは以下の順序で実行されます。

  1. パーセントでデコードされた %2F%2f%5C および %5c
  2. Envoy の normalize_path オプションで実装された RFC 3986 およびその他の正規化。
  3. スラッシュをマージします。
警告

これらの正規化オプションは HTTP 標準および一般的な業界プラクティスの推奨事項を表しますが、アプリケーションは独自に選択したいずれかの方法で URL を解釈する場合があります。拒否ポリシーを使用する場合は、アプリケーションの動作を把握している必要があります。

1.2.23.56.3. パスの正規化設定の例

Envoy がバックエンドサービスの期待値に一致するように要求パスを正規化することは、システムのセキュリティーを保護する上で非常に重要です。以下の例は、システムを設定するための参考として使用できます。正規化された URL パス、または NONE が選択されている場合、元の URL パスは以下のようになります。

  1. 認証ポリシーの確認に使用されます。
  2. バックエンドアプリケーションに転送されます。
表1.2 設定例
アプリケーションの条件選択内容

プロキシーを使用して正規化を行う。

BASEMERGE_SLASHES、または DECODE_AND_MERGE_SLASHES

RFC 3986 に基づいて要求パスを正規化し、スラッシュをマージしない。

BASE

RFC 3986 に基づいて要求パスを正規化し、スラッシュをマージするが、パーセントでエンコードされた スラッシュをデコードしない。

MERGE_SLASHES

RFC 3986 に基づいて要求パスを正規化し、パーセントでエンコードされた スラッシュをデコードし、スラッシュをマージする。

DECODE_AND_MERGE_SLASHES

RFC 3986 と互換性のない方法で要求パスを処理する。

NONE

1.2.23.56.4. パスを正規化するための SMCP の設定

Red Hat OpenShift Service Mesh のパスの正規化を設定するには、ServiceMeshControlPlane で以下を指定します。設定例を使用すると、システムの設定を判断するのに役立ちます。

SMCP v2 pathNormalization

spec:
  techPreview:
    global:
      pathNormalization: <option>

1.2.23.56.5. ケース正規化 (case normalization) の設定

環境によっては、大文字と小文字を区別しない場合の比較用に 2 つのパスを認証ポリシーに用意すると便利な場合があります。たとえば、https://myurl/gethttps://myurl/GeT を同等なものとして扱います。このような場合は、以下に示されている EnvoyFilter を使用できます。このフィルターは、比較用に使用されるパスとアプリケーションに表示されるパスの両方を変更します。この例では、istio-system が Service Mesh コントロールプレーンプロジェクトの名前となります。

EnvoyFilter をファイルに保存して、以下のコマンドを実行します。

$ oc create -f <myEnvoyFilterFile>
apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name: ingress-case-insensitive
  namespace: istio-system
spec:
  configPatches:
  - applyTo: HTTP_FILTER
    match:
      context: GATEWAY
      listener:
        filterChain:
          filter:
            name: "envoy.filters.network.http_connection_manager"
            subFilter:
              name: "envoy.filters.http.router"
    patch:
      operation: INSERT_BEFORE
      value:
        name: envoy.lua
        typed_config:
            "@type": "type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua"
            inlineCode: |
              function envoy_on_request(request_handle)
                local path = request_handle:headers():get(":path")
                request_handle:headers():replace(":path", string.lower(path))
              end

1.2.23.57. Red Hat OpenShift Service Mesh 2.0.3 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

また、このリリースには以下の新機能があります。

  • 指定された Service Mesh コントロールプレーン namespace から情報を収集する must-gather データ収集ツールにオプションが追加されました。詳細は、OSSM-351 を参照してください。
  • 数百の namespace が含まれる Service Mesh コントロールプレーンのパフォーマンスの向上

1.2.23.58. Red Hat OpenShift Service Mesh 2.0.2 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.59. Red Hat OpenShift Service Mesh 2.0.1 の新機能

Red Hat OpenShift Service Mesh のこのリリースでは、Common Vulnerabilities and Exposures (CVE) およびバグ修正に対応しています。

1.2.23.60. Red Hat OpenShift Service Mesh 2.0 の新機能

このリリースの Red Hat OpenShift Service Mesh では、Istio 1.6.5、Jaeger 1.20.0、Kiali 1.24.2、3scale Istio Adapter 2.0、および Red Hat OpenShift Service on AWS 4.6 のサポートが追加されました。

また、このリリースには以下の新機能があります。

  • Service Mesh コントロールプレーンのインストール、アップグレード、および管理を単純化します。
  • Service Mesh コントロールプレーンのリソース使用量と起動時間を短縮します。
  • ネットワークのコントロールプレーン間の通信を削減することで、パフォーマンスが向上します。

    • Envoy の Secret Discovery Service (SDS) のサポートが追加されました。SDS は、Envoy サイドカープロキシーにシークレットを提供するためのより安全で効率的なメカニズムです。
  • よく知られているセキュリティーリスクがある Kubernetes シークレットを使用する必要性がなくなります。
  • プロキシーが新しい証明書を認識するのに再起動を必要としなくなったため、証明書のローテーション時にパフォーマンスが向上します。

    • WebAssembly 拡張を使用してビルドされる Istio の Telemetry v2 アーキテクチャーのサポートを追加します。この新しいアーキテクチャーにより、パフォーマンスが大幅に改善されました。
    • ServiceMeshControlPlane リソースを簡素化された設定を含む v2 に更新し、Service Mesh コントロールプレーンの管理を容易にします。

1.2.24. 非推奨の機能と削除された機能

以前のリリースで利用可能であった一部の機能が非推奨になるか、削除されました。

非推奨の機能は依然として Red Hat OpenShift Service on AWS に含まれており、引き続きサポートされますが、この製品の今後のリリースで削除されるため、新規デプロイメントでの使用は推奨されません。

この製品では、削除機能が除去されています。

1.2.24.1. Red Hat OpenShift Service Mesh 2.5 で非推奨化および削除された機能

v2.2 の ServiceMeshControlPlane リソースはサポートされなくなりました。お客様は、新しいバージョンの ServiceMeshControlPlane リソースを使用するようにメッシュデプロイメントをアップグレードする必要があります。

Red Hat OpenShift 分散トレーシングプラットフォーム (Jaeger) Operator のサポートが非推奨になりました。トレーススパンを収集するには、Red Hat OpenShift 分散トレーシングプラットフォーム (Tempo) スタックを使用します。

OpenShift Elasticsearch Operator のサポートが非推奨になりました。

Istio は、ファーストパーティ JSON Web トークン (JWT) のサポートを削除します。Istio は今後もサードパーティーの JWT をサポートします。

1.2.24.2. Red Hat OpenShift Service Mesh 2.4 で非推奨化および削除された機能

v2.1 の ServiceMeshControlPlane リソースはサポートされなくなりました。お客様は、新しいバージョンの ServiceMeshControlPlane リソースを使用するようにメッシュデプロイメントをアップグレードする必要があります。

Istio OpenShift Routing (IOR) のサポートは非推奨となり、将来のリリースでは削除される予定です。

Grafana のサポートは非推奨となり、将来のリリースでは削除される予定です。

Red Hat OpenShift Service Mesh 2.3 で非推奨となった以下の暗号スイートのサポートは、クライアント側とサーバー側の両方で TLS ネゴシエーションで使用される暗号のデフォルトのリストから削除されました。これらの暗号スイートのいずれかを必要とするサービスにアクセスする必要があるアプリケーションは、プロキシーから TLS 接続が開始されると接続に失敗します。

  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-RSA-AES128-SHA
  • AES128-GCM-SHA256
  • AES128-SHA
  • ECDHE-ECDSA-AES256-SHA
  • ECDHE-RSA-AES256-SHA
  • AES256-GCM-SHA384
  • AES256-SHA

1.2.24.3. Red Hat OpenShift Service Mesh 2.3 で非推奨化および削除された機能

次の暗号スイートのサポートは非推奨になりました。将来のリリースでは、クライアント側とサーバー側の両方で TLS ネゴシエーションに使用されるデフォルトの暗号リストから削除される予定です。

  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-RSA-AES128-SHA
  • AES128-GCM-SHA256
  • AES128-SHA
  • ECDHE-ECDSA-AES256-SHA
  • ECDHE-RSA-AES256-SHA
  • AES256-GCM-SHA384
  • AES256-SHA

Red Hat OpenShift Service Mesh バージョン 2.2 で非推奨化された ServiceMeshExtension API は、Red Hat OpenShift Service Mesh バージョン 2.3 で廃止されました。ServiceMeshExtension API を使用している場合、WebAssembly エクステンションを引き続き使用するには WasmPlugin API に移行する必要があります。

1.2.24.4. 非推奨になった Red Hat OpenShift Service Mesh 2.2 の機能

ServiceMeshExtension API は、リリース 2.2 で非推奨になり、今後のリリースで削除される予定です。ServiceMeshExtension API はリリース 2.2 でも引き続きサポートされますが、お客様は新しい WasmPlugin API への移行を開始する必要があります。

1.2.24.5. Red Hat OpenShift Service Mesh 2.2 で削除された機能

このリリースは、すべてのプラットフォームでの Service Mesh 1.1 に基づく Service Mesh コントロールプレーンのサポートの終了を示します。

1.2.24.6. Red Hat OpenShift Service Mesh 2.1 で削除された機能

Service Mesh 2.1 では、Mixer コンポーネントが削除されます。バグ修正およびサポートは、Service Mesh 2.0 の最後のライフサイクルで提供されます。

Mixer プラグインが有効な場合は、Service Mesh 2.0.x リリースから 2.1 へのアップグレードは続行されません。Mixer プラグインは、WebAssembly 拡張に移植する必要があります。

1.2.24.7. 非推奨になった Red Hat OpenShift Service Mesh 2.0 の機能

Mixer コンポーネントはリリース 2.0 で非推奨となり、リリース 2.1 で削除されます。Mixer を使用したエクステンションの実装はリリース 2.0 でも引き続きサポートされますが、エクステンションを新規の WebAssembly メカニズムに移行する必要があります。

以下のリソースタイプは Red Hat OpenShift Service Mesh 2.0 でサポートされなくなりました。

  • Policy (authentication.istio.io/v1alpha1) はサポートされなくなりました。Policy リソースの特定の設定によっては、同じ効果を実現するために複数のリソースを設定しなければならない場合があります。

    • RequestAuthentication (security.istio.io/v1beta1) の使用
    • PeerAuthentication (security.istio.io/v1beta1) の使用
  • ServiceMeshPolicy (maistra.io/v1) はサポートされなくなりました。

    • 上記のように RequestAuthentication または PeerAuthentication を使用しますが、Service Mesh コントロールプレーン namespace に配置します。
  • RbacConfig (rbac.istio.io/v1alpha1) はサポートされなくなりました。

    • AuthorizationPolicy (security.istio.io/v1beta1) に置き換わります。これは RbacConfigServiceRole、および ServiceRoleBinding の動作を包含します。
  • ServiceMeshRbacConfig (maistra.io/v1) がサポートされなくなりました。