第4章 既知の問題
Red Hat Trusted Artifact Signer (RHTAS) のこのリリースで解決された既知の問題:
このリリース RHTAS で見つかった既知の問題のリスト:
アップグレード後は、Rekor Search UI にレコードが表示されない
RHTAS Operator を最新バージョンにアップグレードした後 (1.0.1)、メールアドレスで検索するときに既存の Rekor データが見つかりません。backfill-redis CronJob は、Rekor Search UI が透過性ログを 1 日 1 回(午前 0 時に 1 回のみ)に実行できるようにします。この問題を回避するには、午前 0 時まで待つのではなく、backfill-redis ジョブを手動でトリガーできます。
コマンドラインインターフェイスから backfill-redis ジョブをトリガーするには、以下のコマンドを実行します。
oc create job --from=cronjob/backfill-redis backfill-redis -n trusted-artifact-signer
これにより、不足しているデータが Rekor Search UI に戻ります。
Trusted Artifact Signer Operator は設定の変更が適用されない
RHTAS Operator ロジックに潜在的な問題があり、再デプロイ時に予期しない状態が発生する可能性があることが判明しました。この競合状態は、RHTAS リソースから設定を削除し、Operator がそれらのリソースを再デプロイしようとした場合に発生する可能性があります。この問題が発生しないように回避するには、特定のリソースを削除し、キーや永続ボリュームなどの以前のインスタンスの設定を使用してそのリソースを再作成します。RHTAS リソースは、Securesign、Fulcio、The Update Framework (TUF)、Rekor、Certificate Transparency (CT) ログ、または Trillian です。
たとえば、Securesign リソースを削除するには、次のようにします。
$ oc delete Securesign securesing-sample
たとえば、設定ファイルから Securesign リソースを再作成するには、以下を実行します。
$ oc create -f ./securesign-sample.yaml
別の OpenShift クラスターに復元した後に、Operator によりコンポーネントのステータスが更新されない
RHTAS 署名者データをバックアップから新しい OpenShift クラスターに復元すると、コンポーネントステータスリンクが想定どおりに更新されません。現在、securesign-sample-trillian-db-tls リソースを手動で削除し、コンポーネントのステータスリンクを手動で更新する必要があります。RHTAS Operator は、削除後、更新された securesign-sample-trillian-db-tls リソースを自動的に再作成します。
バックアップ手順が開始され、シークレットが復元されたら、securesign-sample-trillian-db-tls リソースを削除します。
例
$ oc delete secret securesign-sample-trillian-db-tls
すべての Pod が起動したら、Securesign と TimestampAuthority のステータスファイルを更新します。
例
$ oc edit --subresource=status Securesign securesign-sample $ oc edit --subresource=status TimestampAuthority securesign-sample
Trusted Artifact Signer には cosign 2.2 以降が必要
The Update Framework (TUF) リポジトリーの生成方法が最近変更され、異なるチェックサムアルゴリズムが使用されるようになったため、cosign バージョン 2.2 以降を使用する必要があります。RHTAS のこのリリースでは、Trusted Artifact Signer で使用するために cosign バージョン 2.4 をダウンロード できます。
