Red Hat Summit第4章 バグ修正
Red Hat Trusted Artifact Signer (RHTAS) のこのリリースでは、次のバグが修正されました。これらの修正に加えて、以前のバージョンで発見され修正された既知の問題の説明もリストします。
- Trusted Artifact Signer Operator は設定の変更が適用されません
- この更新では、デプロイメントが想定した状態になるようにしていた Operator のロジックでギャップが生じ、デプロイメントの変更で問題が発生しました。その結果、設定の一部が意図的に削除された場合、デプロイメントが想定した状態と一致しなくなる可能性があります。このリリースでは、デプロイメントが想定した状態を維持する機能を包括的に再設計して置き換え、このギャップを解消しました。その結果、新しい関数はリソースの更新を正しく処理し、デプロイメントが常に必要とされる状態になるようになります。
- TUF リポジトリーの PVC 名を指定すると、初期化プロセスが失敗します
- このリリースでは、RHTAS Operator を更新し、The Update Framework (TUF) リソースの永続ボリューム要求 (PVC) の名前のプロビジョニングを正しく解釈できるようになりました。この更新前は、この解釈の違いにより TUF リポジトリーは初期化されませんでした。この更新により、インストール中に Operator は TUF リポジトリーを作成するときに提供された名前を使用し、指定された名前の TUF リポジトリーが適切に初期化されるようになります。
externalAccess.enabledがfalseに設定されている場合でも、Ingress オブジェクトの作成が行われます。-
この更新では、Ingress オブジェクトを作成するための Operator のロジックが、Securesign カスタムリソースの
externalAccess設定をアクティブに評価するようになりました。この更新前は、この評価は間違っていたため、externalAccess.enabledがfalseに設定されている場合でも、Fulcio、Rekor Search UI、および Timestamp Authority の ingress オブジェクトが作成されていました。このリリースでは、Operator は、ingress オブジェクトが作成される前にexternalAccess.enabledがtrueであることを確認し、コンポーネントの外部アクセスが意図的に無効になっている場合に ingress オブジェクトが作成されないようにします。この変更は、Securesign カスタムリソースで指定された設定を正しく反映します。
- 信頼ルート内で正しいダイジェストアルゴリズムを表示します
この更新前は、The Update Framework (TUF) は信頼ルートを徹底的に検証していませんでした。これにより、キーの署名アルゴリズムが SHA256 ではなく SHA384 として誤って表示され、署名されたターゲット信頼ルートのキーの詳細が不正確になりました。このリリースでは、TUF に追加のキー検証を追加することでこの問題に対処しました。その結果、署名されたターゲット信頼ルートでは、新規のデプロイメントで正しいキーの詳細が表示されるようになりました。既存のデプロイメントでは、適切に機能するために Rekor キーをローテーションする必要があります。
Red Hat OpenShift または Red Hat Enterprise Linux 上で実行されている RHTAS の Rekor の署名者キーをローテーションする方法は、RHTAS 管理ガイドを参照してください。
- Rekor 署名キーの作成を SHA384 から SHA256 にダウングレードしました
- この更新前は、RHTAS Operator と Ansible コレクションによって、Rekor の 256 ビット要件と互換性のない署名者キーが作成され、検証の問題が発生する可能性がありました。これは、必要とされる 256 ビットの SHA256 キーではなく、384 ビットの SHA384 キーが生成されたためです。このリリースでは、Rekor の仕様と一致するように署名者キーを調整し、エンドユーザーの互換性と安定性が向上しました。
- 管理対象外のデータベース接続が原因で、高負荷時にサービスが不安定になります
- この更新では、Trillian ログサーバーなどのクライアントコンポーネントのデフォルトのデータベース接続プールには以前は制限がなかったため、高負荷時にデータベースへの TCP 接続が過剰になるという問題がありました。その結果、クライアント Pod で一時的なポートが枯渇し、"cannot assign requested address" エラーが発生してコンポーネントがクラッシュし、Fulcio からの "500 Internal Server Error" など、障害が発生しました。このリリースでは、Rekor および Trillian データベースクライアントに制限が設定され、オープン接続とアイドル接続の最大数と接続の有効期間が制御されます。この改善により、高負荷状態でもシステムの安定性が確保され、ポートの枯渇が防止され、"cannot assign requested address" エラーやそれに続く障害が排除されます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}