1.23. バージョン 3.6.0
1.23.1. quay / clair / quay-builder
追加/修正:
Red Hat Quay 3.6 には、デフォルトで次の Open Container Initiative (OCI) イメージメディアタイプ (CLI cosign、Helm、および ztsd 圧縮スキーム) のサポートが含まれるようになりました。他の OCI メディアタイプは、ユーザーが config.yaml ファイルで設定できます。以下はその例です。
config.yaml
... ALLOWED_OCI_ARTIFACT_TYPES: application/vnd.oci.image.config.v1+json - application/vnd.dev.cosign.simplesigning.v1+json application/vnd.cncf.helm.config.v1+json - application/tar+gzip application/vnd.sylabs.sif.config.v1+json - application/vnd.sylabs.sif.layer.v1+tar ...
注記デフォルトで設定されていない OCI メディアタイプを追加する場合、ユーザーは必要に応じて cosign と Helm のサポートも手動で追加する必要があります。ztsd 圧縮スキームはデフォルトでサポートされているため、ユーザーはサポートを有効にするためにその OCI メディアタイプを config.yaml に追加する必要はありません。
詳細については、PROQUAY-1417 および PROJQUAY-1032 を参照してください。
- これで、API を使用して最初のユーザーを作成できます。(PROJQUAY-1926)
-
ネストされたリポジトリーと拡張リポジトリー名のサポートが追加されました。この変更により、特定の OpenShift Container Platform ユースケースに必要なリポジトリー名で
/を使用できるようになります。(PROJQUAY-1535) -
レジストリーユーザーは、セキュリティーのニーズに応じて、config.yaml の
CREATE_PRIVATE_REPO_ON_PUSHをTrueまたはFalseに設定できるようになりました。(PROJQUAY-1929) - 存在しない組織にプッシュした場合に、組織を自動的に作成するように設定できるようになりました。(PROJQUAY-1928)
- ユーザーは、リポジトリーを削除するときに名前空間とリポジトリー名を入力する必要があります。(PROJQUAY-763)
- Ceph 仮想ホストスタイルのバケットアドレス指定のサポートが追加されました。(PROJQUAY-922)
Clair v4.2 では、エンリッチメントデータを Quay UI で表示できるようになりました。さらに、Clair v4.2 は、検出された脆弱性について National Vulnerability Database から CVSS スコアを追加します。
この変更により、脆弱性の CVSS スコアがディストリビューションのスコアの 2 レベル以内である場合は、デフォルトで Quay UI present が、ディストリビューションのスコアになります。
詳細については、PROJQUAY-2102 および PROJQUAY-1724 を参照してください。
- リポジトリーミラーリングが有効になっている場合は、Quay Repository にRepository Status が表示されるようになりました。(PROJQUAY-591)
Clair 全体、特に
affected_manifests呼び出し周辺のメモリー使用量が改善されました。これらのチェンジセットには次のものが含まれます。-
io.Pipeは、本文リクエスト全体がメモリーにバッファリングされないようにするために、JSON エンコーディングと API リクエストをクロスワイヤーするために使用されます。 -
encoding/JSONは、JSON エンコーディングのストリーミングを可能にするために、JSON 用に設定されたgithub.com/ugorji/go/codecに置き換えられました。 通知機能での
affected_manifests呼び出しにより、大きな脆弱性のターンオーバーによって非常に大きな API 呼び出しが発生するのを防ぐことができます。詳細については、PROJQUAY-1963 を参照してください。
-
- Red Hat Enterprise Linux (RHEL) 8 は、Red Hat Quay 3.6 の高可用性で本番環境の品質のデプロイメントに強く推奨されます。RHEL 7 は Red Hat Quay 3.6 でテストされておらず、将来のリリースで非推奨になる予定です。
- Podman は、Red Hat Quay 3.6 の高可用性と本番環境品質が必要なデプロイメントに強く推奨されます。Docker は Red Hat Quay 3.6 でテストされておらず、将来のリリースで非推奨になる予定です。
修正:
- PROJQUAY-2047: Clair データベースは増大し続けています。
- PROJQUAY-1918: Clair v4.1.0.alpha2 インデクサーが Red Hat Quay 3.6 で動作するようになりました。
-
PROJQUAY-1610: Quay 移行 Pod の
initContainerが削除され、Clair が応答するまでデプロイメントプロセスがブロックされました。その結果、Quay デプロイメントは、Clair デプロイメントが完了するのを待たずに進行するようになりました。 - PROJQUAY-1857: NamespaceGCWorker および RepositoryGCWorker は、ロックを取得できない場合にシャットダウンします。
- PROJQUAY-1872: Redis の接続が不足しているため、GC ワーカーがロックを取得できない場合があります。
- PROJQUAY-2414: Quay 設定エディターが AWS RDS TLS 証明書の検証に失敗しました。
- PROJQUAY-1626: AWS アクセスキーが提供されていない場合、設定の検証は失敗します。
- PROJQUAY-1710: 通知が失われています。
- PROJQUAY-1813: アップデーターには ratelimiter が必要です。
- PROJQUAY-1815: Quay 設定エディターは、アップロードされた LDAPS CA Cert の有効期限を検証できません。
- PROJQUAY-1816: Quay エクスポートログ API は、エクスポートログのメールがターゲットアドレスに配信されない場合に 200 を返します。
- PROJQUAY-1912: イベントで詰まっている内部通知キュー。
- PROJQUAY-2119: Quay 設定検証が、SSL で保護された PostgreSQL 11 で失敗します。
- PROJQUAY-2167: 3.5.2 でミラーリングが機能しません。
- PROJQUAY-2269: マニフェストレイヤーの場所のインデックス作成がリモートの場合、Security Worker が失敗します。
- PROJQUAY-2200: Quay Config エディターは、データベース SSL 証明書をアップロードした後、config.yaml で sslmode=verify-full をサポートする必要があります。
- PROJQUAY-2185: 設定ツールを使用して変更を加えた後、Quay CR が変更されました。
1.23.2. Red Hat Quay 機能トラッカー
Red Hat Quay に新機能が追加され、その一部は現在テクノロジープレビューにあります。テクノロジープレビュー機能は実験的な機能であり、本番環境での使用を目的としたものではありません。
以前のリリースで利用可能であった一部の機能が非推奨になるか、削除されました。非推奨の機能は引き続き Red Hat Quay に含まれていますが、今後のリリースで削除される予定であり、新しいデプロイメントには推奨されません。Red Hat Quay で廃止および削除された機能の最新のリストについては、以下の表を参照してください。非推奨になったか、削除された機能の詳細情報は、表の後に記載されています。
| 機能 | Quay 3.6 |
|---|---|
| 非推奨 | |
| 非推奨 | |
| 一般公開 (GA) | |
| Clair を使用した Java スキャン | テクノロジープレビュー |
1.23.2.1. 非推奨の機能
-
FEATURE_HELM_OCI_SUPPORT: このオプションは非推奨になり、Red Hat Quay の将来のバージョンで削除される予定です。Red Hat Quay 3.6 では、Helm アーティファクトがデフォルトでサポートされ、
FEATURE_GENERAL_OCI_SUPPORTプロパティーに含まれています。ユーザーは、サポートを有効にするために config.yaml ファイルを更新する必要がなくなりました。(PROJQUAY-2334) - My SQL および Maria DB データベースのサポート: MySQL および mariaDB データベースは、Red Hat Quay 3.6 で非推奨になりました。これらのデータベースのサポートは、Red Hat Quay の将来のバージョンで削除される予定です。Red Hat Quay の新規インストールを開始する場合は、Postgre SQL を使用することを強く推奨します。(PROJQUAY-1998)
1.23.2.2. テクノロジープレビュー機能
Clair を使用した Java スキャン: Red Hat Quay 3.6 では、Clair4.2 に Java スキャンのサポートが含まれています。Java スキャンは、脆弱性データを収集するために外部サービス (CRDA) に依存しています。Clair は共有のデフォルトトークンを使用して CRDA サービスにアクセスしているため、短期間に行われるリクエストが多すぎるとレート制限が発生する可能性があります。このため、Clair は log4j などの特定の脆弱性を見逃す可能性があります。
お客様は、API キーリクエストフォーム を送信することでレート制限の発生を回避するのに役立つ可能性のある CRDA 用の独自のトークンを取得して使用できます。これらの問題のため、Clair の Java スキャンはテクニカルプレビューと見なされ、将来の Quay 更新で拡張される予定です。
1.23.3. quay-operator
追加/修正:
Red Hat Quay 3.6 は、
disconnectedアノテーションを Operator に追加します。以下に例を示します。metadata: annotations: operators.openshift.io/infrastructure-features: '["disconnected"]'詳細については、PROJQUAY-1583 を参照してください。
-
Github アクションを適切にサポートするために、
RELATED_IMAGE値をタグ名 (name:tag) またはダイジェスト (name@sha256:123) で参照できるようになりました。(PROJQUAY-1887、PROJQUAY-1890) -
HorizontalPodAutoscalersが Clair、Quay、Mirror Pod に追加され、負荷の急上昇時に自動的にスケーリングされるようになりました。(PROJQUAY-1449) - Quay Operator は、各マネージドコンポーネントのステータスを同じステータスプロパティー内の個別のインデックスで報告するようになりました。これにより、ユーザーはデプロイメントまたは更新の進行状況を確認できます。(PROJQUAY-1609)
-
ssl.certおよびssl.keyは、個別の永続的なシークレットに移動しました。これにより、調整のたびに証明書とキーのペアが再生成されないようになります。これらはedgeルートとしてフォーマットされ、Quay コンテナーの同じディレクトリーにマウントされます。(PROJQUAY-1883) -
OpenShift Container Platform のエッジターミネーションルートのサポートが新しいマネージドコンポーネント
tlsを介して追加されました。これにより、Routeコンポーネントが TLS から分離され、ユーザーは両方を個別に設定できるようになります。EXTERNAL_TLS_TERMINATION: trueは事前に設定された設定です。マネージドtlsは、デフォルトのクラスターワイルドカート証明書が使用されることを意味します。アンマネージドtlsは、ユーザーが指定した証明書/キーのペアがRouteに挿入されることを意味します。(PROJQUAY-2050) -
Red Hat Quay オペレーターは、
Route処理、ロールアウト速度、安定性、および調整の堅牢性を低下させることなく、3.3 から 3.6 に直接アップグレードできるようになりました。(PROJQUAY-2100) - Quay Operator は、複数のミラーリング Pod を使用できるようになりました。また、ユーザーはミラーリング Pod のデプロイメントを手動で調整する必要がなくなりました。(PROJQUAY-1327)
- 以前は、エッジルーティングを有効にして 3.3.x バージョンの Red Hat Quay を実行している場合、ユーザーは 3.4.x バージョンの Red Hat Quay にアップグレードできませんでした。これは、Red Hat Quay 3.6 のリリースで解決されました。(PROJQUAY-1694)
-
HorizontalPodAutoscalerが設定されている場合、ユーザーはレプリカ Quay Pod の最小数を設定できるようになりました。これにより、イベントの再スケジュール中に Operator を介して Quay を更新または再設定する際のダウンタイムが短縮されます。(PROJQUAY-1763)
既知の問題:
-
PROJQUAY-2335: TLS 証明書/キーのペアが提供されていない場合は、
QuayOperator デプロイメントをブロックする必要があります。代わりに、QuayOperator はデプロイを続けます。 - PROJQUAY-2389: Red Hat Quay 3.6 Operator が調整した後、お客様が指定した TLS 証明書は失われます。
- PROJQUAY-2545: ビルダーは、TLS が管理されていない場合にのみサポートされます。
修正:
- PROJQUAY-1709: エッジルートを使用して古いオペレーターからアップグレードすると、Quay が破損します。
- PROJQUAY-1974: Quay オペレーターは、設定アプリによって行われた変更を調整しません。
- PROJQUAY-1838: Quay Operator は、再起動するたびに新しいルート CA を作成します。
- PROJQUAY-2068: Operator はデプロイメントの失敗をチェックしません。
- PROJQUAY-2121: Quay はデータベースのアップグレードだけでなく、すべてのワーカーを実行する Pod をアップグレードします。
1.23.4. quay-container-security-operator
-
Operator Lifecycle Manager は、Container Security Operator 用の新しい v1 CRD API である
apiextensions.k8s.io.v1.CustomResourceDefinitionをサポートするようになりました。この CRD は、OpenShift Container Platform 4.9 で非推奨となったv1beta1CRD の代わりに使用する必要があります。(PROJQUAY-613、PROJQUAY-1791)
1.23.5. quay-openshift-bridge-operators
Quay Bridge Operator (QBO) のインストールエクスペリエンスが改善されました。機能強化には以下が含まれます。
-
MutatingAdmissionWebhookは、インストール中に自動的に作成されます。 - QBO は、証明書と Webhook 設定を自動生成する Operator Lifecycle Manager 機能を活用します。
Quay Bridge Operator を実行するために必要な手動の手順数が減りました。
詳細は、PROJQUAY-672 を参照してください。
-
- 証明書マネージャーは、Operator Lifecycle Manager によって委任されるようになりました。証明書は 65 日以上有効になりました。(PROJQUAY-1062)
