第3章 バグ修正

OpenShift 環境を検出する際の Operator ロジックの更新

OpenShift クラスターの再起動中、OpenShift 環境を検出する RHTAS Operator ロジックは信頼できませんでした。Operator は、OpenShift 以外の環境で実行していると誤解し、システムを不適切に設定してしまいます。これにより、API が利用できなくなり、Trillian データベース Pod が起動しなくなりました。これにより、OpenShift の Security Context Constraints (SCC) 違反も発生していました。

Enterprise Contract はより速く、より効率的です

この更新の前は、Enterprise Contract (EC) は、各コンポーネントを検証するために、設定されたソースからポリシーとポリシーデータをダウンロードしていました。これにより、必要以上のデータをダウンロードし、ec validity image コマンドの実行時間が長くなりました。このリリースでは、ec validate image コマンドが異なるコンテナーイメージを検証するために同じポリシーソースを検出すると、ポリシーデータが複数回ダウンロードされなくなりました。

Operator は nil ポインター例外で終了します

fulcio.spec.privateKeyPasswordRef の証明書の透明性ログ (CTlog) のパスワードが正しく設定されていない、RHTAS Operator は意味のあるエラーメッセージを表示せずに終了します。このリリースでは、このシナリオに対してより堅牢なエラー処理が追加され、CTlog が正しく設定されていない場合に、より意味のある Operator エラーメッセージが表示されるようになりました。

Fulcio 証明書の共通名が間違っている

sigstore.issuer フィールドは、Fulcio 証明書の spec.certificate.commonName で指定された共通名の値を使用するようにハードコードされていました。このリリースでは、sigstore.issuer フィールドを適切に設定するためのロジックが追加されました。spec.certificate.commonName が空の場合は、spec.externalAccess.host 値に基づいて sigstore.issuer を設定します。spec.certificate.commonName と spec.externalAccess.host が空の場合は、sigstore.issuer を OpenShift クラスターのドメイン名に設定します。その結果、Fulcio 証明書の共通名が適切に設定されました。

Operator から kube-rbac-proxy を削除している

kube-rbac-proxy の --tls-cert-file および --tls-private-key-file フラグが廃止されたため、RHTAS Operator のインストール時にロールベースアクセス制御 (RBAC) HTTP プロキシーリソースが削除されました。このため、Operator の namespace に事前定義された証明書と秘密鍵が必要です。デフォルトの Operator namespace は openshift-operators です。この結果、Operator コントローラーの /metrics API エンドポイントを保護するために、この RBAC HTTP プロキシーリソースを使用しなくなりました。

Rekor 検索 UI をデフォルトで有効にする

このリリースでは、ユーザーは Rekor 検索ユーザーインターフェイス (UI) を手動でインストールする必要がなくなりました。デフォルトで Rekor 検索 UI が有効になります。

インストールが失敗した後も CreateTree タスクは実行を継続する

RHTAS サービスを削除して再インストールすると、一部のシナリオでは CreateTree タスクが継続的に実行され、その後のインストールが成功しなくなる可能性があります。このリリースでは、RHTAS インストールプロセスで CreateTree タスクの実行が検出されると、ユーザーの介入なしにタスクがクリーンアップされます。詳細は、GitHub の問題 #230 を参照してください。

kube-rbac-proxy のアップストリームバージョンをサポートされているバージョンに置き換え

Red Hat Trusted Artifact Signer 1.0 には、ロールベースのアクセス制御 (RBAC) プロキシーコンテナーのアップストリームバージョンである gcr.io/kubebuilder/kube-rbac-proxy が同梱されています。このリリースでは、アップストリームバージョンを公式のサポートされている Red Hat バージョン registry.redhat.io/openshift4/ose-kube-rbac-proxy に置き換えました。

十分なメモリーがない場合は、Trusted Artifact Signer Operator がクラッシュする可能性がある

RHTAS Operator のインストール中に、十分なメモリーが割り当てられていない場合は、CrashLoopBackoff ステータスが発生します。このクラッシュにより、RHTAS Operator は適切にインストールできなくなりました。

Enterprise Contract バイナリーのダウンロードが見つからない

ユーザーが Enterprise Contract (EC) バイナリーをダウンロードしようとすると、404 ページが表示されました。Windows 用の EC バイナリーへのパスが正しく設定されていないため、404 ページが生成されました。このリリースでは、Windows 用の EC バイナリーへのパスが正しく設定され、404 ページが表示されなくなりました。

cosign の Windows 実行ファイルに .exe 拡張子がない

Windows 用の cosign バイナリーをダウンロードするときに、.exe ファイル名拡張子がありませんでした。.exe ファイル名拡張子がないと、cosign バイナリーを Windows 上で実行できません。このリリースでは、cosign バイナリーに .exe ファイル名拡張子が付けられ、Windows 上で期待どおりに実行されます。

Trusted Artifact Signer Operator のテクニカルプレビュー版のアップグレードが失敗する

以前は、RHTAS Operator のテクニカルプレビューバージョン (0.0.2) が一般公開バージョン (1.0.0) に自動的にアップグレードされ、アップグレードに失敗していました。Securesign インスタンスとそのカスタムリソース (CR) がすでに存在する場合は、テクニカルプレビューバージョンからのアップグレードが失敗しなくなりました。

セグメントバックアップジョブのクラスター権限

以前は、Rekor および Fulcio メトリクスを収集するセグメントバックアップサービスアカウントのロールベースのアクセス制御 (RBAC) の設定が誤っているため、権限が昇格されています。セグメントバックアップジョブを有効にすると、これらの昇格された権限でクラスター全体のシークレットを読み取ることができます。