第1章 リリースノート

1.1. Logging 5.8

注記

ロギングは、コアの OpenShift Container Platform とは異なるリリースサイクルで、インストール可能なコンポーネントとして提供されます。Red Hat OpenShift Container Platform ライフサイクルポリシー はリリースの互換性を概説しています。

注記

stable チャネルは、Logging の最新リリースを対象とする更新のみを提供します。以前のリリースの更新を引き続き受信するには、サブスクリプションチャネルを stable-x.y に変更する必要があります。xy は、インストールしたログのメジャーバージョンとマイナーバージョンを表します。たとえば、stable-5.7 です。

1.1.1. Logging 5.8.5

このリリースには、OpenShift Logging バグ修正リリース 5.8.5 が含まれています。

1.1.1.1. バグ修正

  • この更新前は、Loki Operator の ServiceMonitor の設定が多くの Kubernetes サービスと一致することがありました。その結果、Loki Operator のメトリクスが複数回収集されることがありました。この更新により、ServiceMonitor の設定が専用のメトリクスサービスのみと一致するようになりました。(LOG-5250)
  • この更新前は、Red Hat のビルドパイプラインが Loki ビルドの既存のビルド詳細を使用せず、リビジョン、ブランチ、バージョンなどの情報を省略していました。この更新により、Red Hat のビルドパイプラインがこれらの詳細を Loki ビルドに追加するようになり、問題が修正されました。(LOG-5201)
  • この更新前は、LokiStack の準備ができているかどうかを判断するために、Pod が実行中かどうかを Loki Operator がチェックしていました。この更新により、Pod の準備ができているかどうかも Loki Operator がチェックするようになり、LokiStack の準備状況がそのコンポーネントの状態を反映するようになりました。(LOG-5171)
  • この更新前は、ログメトリクスのクエリーを実行すると、ヒストグラムでエラーが発生していました。この更新により、ヒストグラムの切り替え機能とグラフが無効になり、非表示になりました。ヒストグラムはログメトリクスでは機能しないためです。(LOG-5044)
  • この更新前は、Loki および Elasticsearch バンドルの maxOpenShiftVersion が間違っていました。その結果、IncompatibilityOperatorsInstalled アラートが発生していました。この更新により、バンドルの maxOpenShiftVersion プロパティーとして 4.16 が追加され、問題が修正されました。(LOG-5272)
  • この更新前は、ビルドパイプラインにビルド日付のリンカーフラグが含まれていなかったため、Loki ビルドの buildDategoVersion に空の文字列が表示されていました。この更新により、欠落していたリンカーフラグがビルドパイプラインに追加され、問題が修正されました。(LOG-5274)
  • この更新前は、LogQL 解析のバグにより、クエリーから一部の行フィルターが除外されていました。この更新により、元のクエリーが変更されることなく、すべての行フィルターが解析に含まれるようになりました。(LOG-5270)
  • この更新前は、openshift-operators-redhat namespace の Loki Operator の ServiceMonitor が、静的トークンと CA ファイルを認証に使用していました。そのため、ServiceMonitor 設定の User Workload Monitoring 仕様の Prometheus Operator でエラーが発生していました。この更新により、openshift-operators-redhat namespace の Loki Operator の ServiceMonitor が、LocalReference オブジェクトによってサービスアカウントトークンシークレットを参照するようになりました。このアプローチにより、Prometheus Operator のUser Workload Monitoring 仕様が Loki Operator の ServiceMonitor を正常に処理できるようになり、Prometheus が Loki Operator メトリクスを収集できるようになりました。(LOG-5240)

1.1.1.2. CVE

1.1.2. Logging 5.8.4

このリリースには、OpenShift Logging バグ修正リリース 5.8.4 が含まれています。

1.1.2.1. バグ修正

  • この更新まで、開発者コンソールのログでは現在の namespace が考慮されなかったため、クラスター全体のログアクセスを持たないユーザーのクエリーが拒否されていました。今回の更新により、サポートされているすべての OCP バージョンで、正しい namespace が確実に含まれるようになりました。(LOG-4905)
  • この更新まで、Cluster Logging Operator は、デフォルトのログ出力が LokiStack の場合にのみ、LokiStack デプロイメントをサポートする ClusterRoles をデプロイしていました。今回の更新により、このロールは読み取りおよび書き込みの 2 つのグループに分割されました。書き込みロールは、これまで使用されていたすべてのロールと同様に、デフォルトのログストレージ設定に基づきデプロイされます。読み取りロールは、ロギングコンソールプラグインがアクティブかどうかに基づきデプロイされます。(LOG-4987)
  • この更新まで、1 つのサービスで ownerReferences が変更されると、同じ出力レシーバー名を定義する複数の ClusterLogForwarder はサービスを延々と調整していました。今回の更新により、各レシーバー入力には、<CLF.Name>-<input.Name> の規則に準じて名付けられた独自のサービスが追加されます。(LOG-5009)
  • この更新まで、ClusterLogForwarder は、シークレットなしでログを cloudwatch に転送する際にエラーを報告しませんでした。今回の更新により、シークレットなしでログを cloudwatch に転送すると、secret must be provided for cloudwatch output のエラーメッセージが表示されるようになりました。(LOG-5021)
  • この更新まで、log_forwarder_input_info には applicationinfrastructureaudit の入力メトリクスポイントが含まれていました。今回の更新により、http もメトリクスポイントとして追加されました。(LOG-5043)

1.1.2.2. CVE

1.1.3. Logging 5.8.3

このリリースには、Logging Bug Fix 5.8.3Logging Security Fix 5.8.3 が含まれます。

1.1.3.1. バグ修正

  • この更新前は、カスタム S3 認証局を読み取るように設定されている場合、ConfigMap の名前または内容が変更されても、Loki Operator は設定を自動的に更新しませんでした。今回の更新により、Loki Operator は ConfigMap への変更を監視し、生成された設定を自動的に更新します。(LOG-4969)
  • この更新前は、設定された Loki 出力に有効な URL がない場合にコレクター Pod がクラッシュしていました。今回の更新により、出力は URL 検証の対象となり、問題が解決されました。(LOG-4822)
  • この更新前は、Cluster Logging Operator は、サービスアカウントのベアラートークンを使用するためのシークレットを指定していない出力に対してコレクター設定フィールドを生成していました。今回の更新により、出力に認証が不要になり、問題が解決されました。(LOG-4962)
  • この更新前は、シークレットが定義されていない場合、出力の tls.insecureSkipVerify フィールドの値が true に設定されませんでした。今回の更新により、この値を設定するためのシークレットは必要なくなりました。(LOG-4963)
  • この更新より前の出力設定では、セキュアではない (HTTP) URL と TLS 認証の組み合わせが許可されていました。今回の更新により、TLS 認証用に設定された出力にはセキュアな (HTTPS) URL が必要になります。(LOG-4893)

1.1.3.2. CVE

1.1.4. Logging 5.8.2

このリリースには、OpenShift Logging バグ修正リリース 5.8.2 が含まれています。

1.1.4.1. バグ修正

  • この更新まで、LokiStack ルーラー Pod は、Pod 間通信に使用される HTTP URL の IPv6 Pod IP をフォーマットしなかったため、Prometheus 互換 API を介したルールとアラートのクエリーが失敗していました。この更新により、LokiStack ルーラー Pod は IPv6 Pod IP を角かっこでカプセル化して、問題を解決しました。(LOG-4890)
  • この更新まで、開発者コンソールログは現在の namespace を考慮しなかったため、クラスター全体のログアクセスを持たないユーザーのクエリーが拒否されていました。今回の更新により、namespace の追加が修正され、問題が解決されました。(LOG-4947)
  • この更新まで、OpenShift Container Platform Web コンソールのロギングビュープラグインは、カスタムのノード配置または容認を許可しませんでした。今回の更新により、カスタムのノード配置と容認の定義が OpenShift Container Platform Web コンソールのロギングビュープラグインに追加されました。(LOG-4912)

1.1.4.2. CVE

1.1.5. Logging 5.8.1

このリリースには、OpenShift Logging のバグ修正リリース 5.8.1 および OpenShift Logging のバグ修正リリース 5.8.1 Kibana が含まれています。

1.1.5.1. 機能拡張

1.1.5.1.1. ログの収集
  • この更新により、Vector をコレクターとして設定する際に、サービスアカウントに関連付けられたトークンの代わりにシークレットで指定されたトークンを使用するロジックを Red Hat OpenShift Logging Operator に追加できるようになりました。(LOG-4780)
  • この更新により、BoltDB Shipper Loki ダッシュボードの名前が Index ダッシュボードに変更されました。(LOG-4828)

1.1.5.2. バグ修正

  • この更新前は、JSON ログの解析を有効にすると、ClusterLogForwarder が、ロールオーバー条件が満たされていない場合でも、空のインデックスを作成していました。今回の更新により、write-index が空の場合、ClusterLogForwarder はロールオーバーをスキップするようになりました。(LOG-4452)
  • この更新前は、Vector が default ログレベルを誤って設定していました。この更新により、ログレベル検出のための正規表現 (regexp) の機能拡張により、正しいログレベルが設定されるようになりました。(LOG-4480)
  • この更新前は、インデックスパターンの作成プロセス中に、各ログ出力の初期インデックスからデフォルトのエイリアスが欠落していました。その結果、Kibana ユーザーは OpenShift Elasticsearch Operator を使用してインデックスパターンを作成できませんでした。この更新により、不足しているエイリアスが OpenShift Elasticsearch Operator に追加され、問題が解決されます。Kibana ユーザーは、{app,infra,audit}-000001 インデックスを含むインデックスパターンを作成できるようになりました。(LOG-4683)
  • この更新前は、IPv6 クラスター上の Prometheus サーバーのバインドが原因で、Fluentd コレクター Pod が CrashLoopBackOff 状態になっていました。この更新により、コレクターが IPv6 クラスター上で適切に動作するようになりました。(LOG-4706)
  • この更新前は、ClusterLogForwarder に変更があるたびに Red Hat OpenShift Logging Operator が何度も調整を受けていました。この更新により、Red Hat OpenShift Logging Operator が、調整をトリガーしたコレクターデーモンセットのステータス変更を無視するようになりました。(LOG-4741)
  • この更新が行われる前は、{ibm-power-title} マシン上で Vector ログコレクター Pod が CrashLoopBackOff 状態のままになっていました。この更新により、Vector ログコレクター Pod が {ibm-power-title} アーキテクチャーマシン上で正常に起動するようになりました。(LOG-4768)
  • この更新前は、従来のフォワーダーを使用して内部 LokiStack に転送すると、Fluentd コレクター Pod の使用により SSL 証明書エラーが発生していました。この更新により、ログコレクターサービスアカウントがデフォルトで認証に使用され、関連するトークンと ca.crt が使用されるようになりました。(LOG-4791)
  • この更新前は、従来のフォワーダーを使用して内部 LokiStack に転送すると、Vector コレクター Pod の使用による SSL 証明書エラーが発生していました。この更新により、ログコレクターサービスアカウントがデフォルトで認証に使用され、関連するトークンと ca.crt も使用されるようになりました。(LOG-4852)
  • この修正が行われる前は、プレースホルダーに対して 1 つ以上のホストが評価された後、IPv6 アドレスが正しく解析されませんでした。この更新により、IPv6 アドレスが正しく解析されるようになりました。(LOG-4811)
  • この更新前は、HTTP レシーバー入力の監査権限を収集するために ClusterRoleBinding を作成する必要がありました。この更新により、ClusterRoleBinding を作成する必要がなくなりました。エンドポイントがすでにクラスター認証局に依存しているためです。(LOG-4815)
  • この更新前は、Loki Operator がカスタム CA バンドルをルーラー Pod にマウントしませんでした。その結果、アラートルールまたは記録ルールを評価するプロセス中に、オブジェクトストレージへのアクセスが失敗していました。この更新により、Loki Operator がカスタム CA バンドルをすべてのルーラー Pod にマウントするようになりました。ルーラー Pod は、オブジェクトストレージからログをダウンロードして、アラートルールまたは記録ルールを評価できます。(LOG-4836)
  • この更新前は、ClusterLogForwarderinputs.receiver セクションを削除しても、HTTP 入力サービスとそれに関連するシークレットが削除されませんでした。この更新により、HTTP 入力リソースが、不要な場合に削除されるようになりました。(LOG-4612)
  • この更新前は、ClusterLogForwarder のステータスに検証エラーが示されていても、出力とパイプラインのステータスにその問題が正確に反映されていませんでした。この更新により、出力、入力、またはフィルターが正しく設定されていない場合に、パイプラインステータスに検証失敗の理由が正しく表示されるようになりました。(LOG-4821)
  • この更新前は、時間範囲や重大度などのコントロールを使用する LogQL クエリーを変更すると、ラベルマッチャー演算子が正規表現のように定義されて変更されました。この更新により、クエリーの更新時に正規表現演算子が変更されなくなりました。(LOG-4841)

1.1.5.3. CVE

1.1.6. Logging 5.8.0

このリリースには、OpenShift Logging のバグ修正リリース 5.8.0 および OpenShift Logging のバグ修正リリース 5.8.0 Kibana が含まれています。

1.1.6.1. 非推奨のお知らせ

Logging 5.8 で、Elasticsearch、Fluentd、および Kibana が非推奨となりました。これらは今後の OpenShift Container Platform リリースに同梱される見込みの Logging 6.0 で削除される予定です。Red Hat は、現行リリースのライフサイクルにおいて、該当コンポーネントの「重大」以上の CVE に対するバグ修正とサポートを提供しますが、機能拡張は提供しません。Red Hat OpenShift Logging Operator が提供する Vector ベースのコレクターと、Loki Operator が提供する LokiStack は、ログの収集と保存に推奨される Operator です。Vector および Loki ログスタックは今後強化される予定であるため、すべてのユーザーに対しこのスタックの採用が推奨されます。

1.1.6.2. 機能拡張

1.1.6.2.1. ログの収集
  • 今回の更新により、LogFileMetricExporter はデフォルトでコレクターを使用してデプロイされなくなりました。実行中のコンテナーによって生成されたログからメトリクスを生成するには、LogFileMetricExporter カスタムリソース (CR) を手動で作成する必要があります。LogFileMetricExporter CR を作成しない場合、OpenShift Container Platform Web コンソールのダッシュボードの Produced LogsNo datapoints found というメッセージが表示される場合があります。(LOG-3819)

  • この更新により、RBAC で保護された複数の分離された ClusterLogForwarder カスタムリソース (CR) インスタンスを任意の namespace にデプロイできるようになります。これにより、独立したグループは、設定を他のコレクターデプロイメントから分離したまま、任意のログを任意の宛先に転送できます。(LOG-1343)

    重要

    openshift-logging namespace 以外の追加の namespace でマルチクラスターログ転送をサポートするには、すべての namespace を監視するように Red Hat OpenShift Logging Operator を更新する必要があります。この機能は、新しい Red Hat OpenShift Logging Operator バージョン 5.8 インストールでデフォルトでサポートされています。

  • この更新により、フロー制御またはレート制限メカニズムを使用して、過剰なログレコードを削除することで収集または転送できるログデータの量を制限できるようになります。入力制限により、低パフォーマンスのコンテナーによる Logging の過負荷が防止され、出力制限により、指定されたデータストアへのログ送信レートに上限が設定されます。(LOG-884)
  • この更新により、HTTP 接続を検索し、Webhook とも呼ばれる HTTP サーバーとしてログを受信するように、ログコレクターを設定できるようになりました。(LOG-4562)
  • この更新により、監査ポリシーを設定して、ログコレクターによって転送される Kubernetes および OpenShift API サーバーイベントを制御できるようになりました。(LOG-3982)
1.1.6.2.2. ログのストレージ
  • この更新により、LokiStack 管理者は、namespace ごとにログへのアクセスを許可することで、誰がどのログにアクセスできるかをより詳細に制御できるようになりました。(LOG-3841)
  • この更新では、Loki Operator によって LokiStack デプロイメントに PodDisruptionBudget 設定が導入されました。その結果、OpenShift Container Platform クラスターの再起動中も、取り込みとクエリーパスの可用性が維持され、通常の操作を行えるようになりました。(LOG-3839)
  • この更新では、デフォルトのアフィニティーおよび非アフィニティーポリシーのセットを適用することで、既存の LokiStack インストールの信頼性がシームレスに向上しました。(LOG-3840)
  • この更新により、ゾーンに障害が発生した場合の信頼性を高めるために、LokiStack で管理者としてゾーン対応のデータレプリケーションを管理できるようになりました。(LOG-3266)
  • この更新により、いくつかのワークロードと小規模な取り込みボリューム (最大 100 GB/日) をホストする OpenShift Container Platform クラスターに、新しくサポートされた小規模な LokiStack サイズである 1x.extra-small が導入されました。(LOG-4329)
  • この更新により、LokiStack 管理者は公式 Loki ダッシュボードにアクセスして、ストレージのパフォーマンスと各コンポーネントの正常性を検査できるようになりました。(LOG-4327)
1.1.6.2.3. ログコンソール
  • この更新により、Elasticsearch がデフォルトのログストアである場合に、Logging Console プラグインを有効にできます。(LOG-3856)
  • この更新により、OpenShift Container Platform アプリケーションの所有者は、OpenShift Container Platform バージョン 4.14 以降の OpenShift Container Platform Web コンソールの Developer パースペクティブで、アプリケーションログベースのアラートの通知を受信できるようになります。(LOG-3548)

1.1.6.3. 既知の問題

  • 現在、Red Hat OpenShift Logging Operator のバージョン 5.8 にアップグレードした後、Splunk ログ転送が機能しない場合があります。この問題は、OpenSSL バージョン 1.1.1 からバージョン 3.0.7 に移行することによって発生します。新しい OpenSSL バージョンでは、デフォルトの動作が変更され、TLS 1.2 エンドポイントへの接続は、RFC 5746 エクステンションを公開しない場合は拒否されます。

    回避策として、Splunk HEC (HTTP Event Collector) エンドポイントの前にある TLS 終端ロードバランサーで TLS 1.3 サポートを有効にします。Splunk はサードパーティーシステムであるため、これは Splunk 側から設定する必要があります。

  • 現在、HTTP/2 プロトコルでの多重化ストリームの処理には、新しい多重化ストリームを繰り返しリクエストし、直後に RST_STREAM フレームを送信してキャンセルできるという欠陥があります。これにより、サーバーのセットアップで余分な作業が発生し、ストリームが切断され、サーバーのリソース消費を原因とするサービス拒否が発生します。現在、この問題に対する回避策はありません。(LOG-4609)
  • 現在、FluentD をコレクターとして使用すると、コレクター Pod は OpenShift Container Platform IPv6 対応クラスター上で起動できません。Pod ログでは、fluentd pod [error]: unexpected error error_class=SocketError error="getaddrinfo: Name or service not known エラーが生成されます。現在、この問題に対する回避策はありません。(LOG-4706)
  • 現在、ログアラートは IPv6 対応クラスターで利用できません。現在、この問題に対する回避策はありません。(LOG-4709)
  • 現在、must-gather は FIPS 対応クラスター上のログを収集できません。これは、必要な OpenSSL ライブラリーが cluster-logging-rhel9-operator で使用できないためです。現在、この問題に対する回避策はありません。(LOG-4403)
  • 現在、FIPS 対応クラスターに Logging バージョン 5.8 をデプロイする場合に、FluentD をコレクターとして使用する間は、コレクター Pod を起動できず、CrashLoopBackOff ステータスでスタックします。現在、この問題に対する回避策はありません。(LOG-3933)

1.1.6.4. CVE