第2章 新機能および機能拡張
Red Hat Trusted Artifact Signer (RHTAS) のこのリリースで導入されたすべての主要な機能強化と新機能のリスト。
このリリースで追加された機能および機能拡張は次のとおりです。
Rekor のログシャーディング
放置すると、Rekor のログは無制限に大きくなり、全体的なパフォーマンスに影響を与える可能性があります。このリリースでは、スケーリングを管理し、大きなログによって生じる可能性のあるパフォーマンスの低下を最小限に抑えるために、Rekor のログシャーディングを追加しました。シャーディングは、Rekor カスタムリソース (CR) を直接変更して設定できます。Rekor の署名者キーのローテーション用にログシャーディングを設定する方法は、RHTAS 管理ガイド を参照してください。
CT ログのログシャーディング
そのまま放置すると、Certificate Transparency (CT) ログが無制限に大きくなり、全体的なパフォーマンスに影響を及ぼす可能性があります。このリリースでは、スケーリングを管理し、大きなログによって生じる可能性のあるパフォーマンスの低下を最小限に抑えるために、CT ログのログシャーディングを追加しました。シャーディングは、CT ログのカスタムリソース (CR) を直接変更して設定できます。CT ログの署名者キーのローテーション用にログシャーディングを設定する方法は、RHTAS 管理ガイド を参照してください。
Trillian を独立してデプロイする
このリリースでは、他のすべての RHTAS コンポーネントとは独立して Trillian サービスをデプロイできます。RHTAS Operator を使用する、独立したバージョンの Trillian をデプロイできるようになりました。
Trillian から独立して Rekor をデプロイする
以前のリリースの RHTAS の Rekor では、Trillian サービスと Trillian データベースが Rekor と同じ名前空間で実行される必要がありました。この依存性が原因で、複雑な環境やセグメント化された環境に Rekor をデプロイすることはより困難でした。このリリースでは、Rekor を Trillian から独立させ、複雑なインフラストラクチャー設定に適応しやすい方法で Trillian を柔軟に実装できるようになりました。この新しい機能により、API が拡張され、Trillian サービスの接続情報を指定できるようになりました。Securesign リソースの spec.trillian.host および spec.trillian.port オプションに適切な値を指定することで、Trillian 接続情報を指定できます。
Trusted Artifact Signer Operator のプロキシーサポート
OpenShift 環境ではプロキシーを使用して接続が確立されることが多く、これは組織によっては確実に満たす必要のある要件となる場合があります。このリリースでは、RHTAS Operator とオペランドに OpenShift 環境で設定されたプロキシーのサポートが追加されました。
Ingress シャーディング用のカスタム Rekor UI ルートのサポート
このリリースでは、Rekor ユーザーインターフェイス (UI) が OpenShift の Ingress Controller シャーディング 機能と連携するようにカスタムルートを設定できます。
これを設定するには、Ingress および route リソースの externalAccess セクションを変更し、routeSelectorlabels セクションの下に type: dev ラベルを追加します。以下に例を示します。
...
externalAccess:
enabled: true
routeSelectorLabels:
type: dev
...
これにより、Ingress Controller は特定のプリセットルート (この場合は dev ルート) のこれらのリソースを識別できるようになります。
Operator が証明書インジェクションによるカスタム CA バンドルをサポートする
このリリースでは、RHTAS Operator は証明書インジェクションを使用してカスタム認証局 (CA) バンドルをサポートするようになりました。OpenShift Proxy または特定の CA を信頼する必要がある他のサービスとの安全な通信を確保するために、RHTAS Operator は、信頼された CA バンドルをマネージドサービスに自動的に挿入します。これらのマネージドサービスは、Trillian、Fulcio、Rekor、Certificate Transparency (CT) ログ、および Timestamp Authority (TSA) です。
追加の CA バンドルを信頼するには、次の 2 つの方法のいずれかでカスタム CA バンドルを含む config map を参照します。
-
関連するカスタムリソース (CR) ファイルの
metadata.annotationsセクションに、rhtas.redhat.com/trusted-caを追加します。 -
specにtrustedCAフィールドを追加して、CR ファイルでカスタム CA バンドルを直接設定します。
Fulcio の CT ログ接頭辞を設定する
このリリースでは、Fulcio の Certificate Transparency (CT) ログ接頭辞を設定する機能が追加されました。以前のリリースでは、接頭辞が trusted-artifact-signer にハードコードされていました。接頭辞を設定可能にすると、柔軟性が向上し、CT サービス内の特定の CT ログをターゲットにできるようになります。Fulcio カスタムリソース定義 (CRD) には、接頭辞を設定できる新しい spec.ctlog.prefix フィールドがあります。
Enterprise Contract は TUF ルートを初期化できる
このリリースでは、ec sigstore initialize --root ${TUF_URL} コマンドを使用して、RHTAS によってデプロイされた The Update Framework (TUF) ルートで Enterprise Contract を初期化できるようになりました。この初期化を行うと、信頼されたメタデータが $HOME/.sigstore/root にローカルに保存されます。
Enterprise Contract ポリシーで特定のイメージのルールを除外するサポート
このリリースでは、特定のイメージダイジェストの Enterprise Contract (EC) ポリシーの volatileConfig セクションに exclude ディレクティブを追加できます。imageRef キーを使用してイメージダイジェストを指定できます。これにより、ポリシー例外が 1 つの特定のイメージに制限されます。
組織レベルの OCI レジストリー認証のサポート
このリリースでは、Enterprise Contract (EC) は、完全なリポジトリーパスの subpath を使用して指定された Open Container Initiative (OCI) レジストリー認証情報をサポートします。一致する認証情報が多数ある場合は、詳細度の順にそれらを試行します。詳細は、コンテナーイメージレジストリーの specification に対する認証を参照してください。
Enterprise Contract ポリシーソースの監査が改善
このリリースでは、各ポリシーソースの Git SHA またはバンドルイメージダイジェストのエントリーがログに記録されます。これにより、Enterprise Contract (EC) の結果の監査が改善され、EC で使用されるポリシーとポリシーデータの正確なバージョンが表示され、再現性が向上します。
Enterprise Contract レポートのデフォルトとしてプレーンテキストを表示
このリリースでは、Enterprise Contract (EC) レポートのデフォルトの出力形式をプレーンテキストに変更しました。プレーンテキスト形式により、EC 結果レポートの読み取りがはるかに簡単になります。
