第6章 File Integrity Operator

6.1. File Integrity Operator リリースノート

OpenShift Container Platform のファイル整合性オペレーターは、RHCOS ノードでファイル整合性チェックを継続的に実行します。

これらのリリースノートは、OpenShift Container Platform での File Integrity Operator の開発を追跡します。

File Integrity Operator の概要については、File Integrity Operator について を参照してください。

最新リリースにアクセスするには、File Integrity Operator の更新 を参照してください。

6.1.1. OpenShift File Integrity Operator 1.3.3

OpenShift File Integrity Operator 1.3.3 については、以下のアドバイザリーを利用できます。

この更新プログラムは、基になる依存関係の CVE に対処します。

6.1.1.1. 新機能および機能拡張

  • File Integrity Operatorr は、FIPS モードで実行されている OpenShift Container Platform クラスターにインストールして使用できます。
重要

クラスターで FIPS モードを有効にするには、FIPS モードで動作するように設定された RHEL コンピューターからインストールプログラムを実行する必要があります。RHEL での FIPS モードの設定の詳細は、FIPS モードでのシステムのインストール を参照してください。

6.1.1.2. バグ修正

  • 以前は、プライベートのデフォルトのマウント伝播方法を持つ一部の FIO Pod と hostPath: path:/ ボリュームマウントにより、マルチパスに依存する CSI ドライバーが壊れていました。この問題は修正され、CSI ドライバーは正しく動作するようになりました。(Some OpenShift Operator pods blocking unmounting of CSI volumes when multipath is in use)
  • この更新により、CVE-2023-39325 が解決されました。(CVE-2023-39325)

6.1.2. OpenShift File Integrity Operator 1.3.2

OpenShift File Integrity Operator 1.3.2 については、以下のアドバイザリーを利用できます。

この更新プログラムは、基になる依存関係の CVE に対処します。

6.1.3. OpenShift File Integrity Operator 1.3.1

OpenShift File Integrity Operator 1.3.1 については、以下のアドバイザリーを利用できます。

6.1.3.1. 新機能および機能拡張

  • FIO には kubelet 証明書がデフォルトのファイルとして含まれるようになり、OpenShift Container Platform によって管理される場合の警告の発行から除外されます。(OCPBUGS-14348)
  • FIO が、電子メールを Red Hat テクニカルサポートのアドレスに正しく送信するようになりました。(OCPBUGS-5023)

6.1.3.2. バグ修正

  • 以前は、ノードがクラスターから削除された場合、FIO は FileIntegrityNodeStatus CRD をクリーンアップしませんでした。FIO は、ノードの削除時にノードステータス CRD を正しくクリーンアップするように更新されました。(OCPBUGS-4321)
  • 以前は、FIO は新しいノードが整合性チェックに失敗したことを誤って示していました。FIO が更新され、クラスターに新しいノードを追加するときにノードステータス CRD が正しく表示されるようになりました。これにより、正しいノードステータス通知が提供されます。(OCPBUGS-8502)
  • 以前は、FIO が FileIntegrity CRD を調整しているとき、調整が完了するまでスキャンを一時停止していました。これにより、調整の影響を受けないノード上で過度に積極的な再開始プロセスが発生しました。この問題により、変更される FileIntegrity とは関係のないマシン設定プールに不要なデーモンセットも発生します。FIO はこれらのケースを適切に処理し、ファイル整合性の変更の影響を受けるノードの AIDE スキャンのみを一時停止します。(CMP-1097)

6.1.3.3. 既知の問題

FIO 1.3.1 では、IBM Z クラスター内のノードを増やすと、ファイル整合性ノードのステータスが Failedとなる可能性があります。詳細は、Adding nodes in IBM Power clusters can result in failed File Integrity node status を参照してください。

6.1.4. OpenShift File Integrity Operator 1.2.1

OpenShift File Integrity Operator 1.2.1 については、以下のアドバイザリーを利用できます。

6.1.5. OpenShift File Integrity Operator 1.2.0

OpenShift File Integrity Operator 1.2.0 については、以下のアドバイザリーを利用できます。

6.1.5.1. 新機能および機能拡張

  • File Integrity Operator カスタムリソース (CR) には、最初の AIDE 整合性チェックを開始する前に待機する秒数を指定する initialDelay 機能が含まれるようになりました。詳細は、Creating the FileIntegrity custom resource を参照してください。
  • File Integrity Operator は安定版になり、リリースチャンネルは stable にアップグレードされました。将来のリリースは Semantic Versioning に従います。最新リリースにアクセスするには、File Integrity Operator の更新 を参照してください。

6.1.6. OpenShift File Integrity Operator 1.0.0

OpenShift File Integrity Operator 1.0.0 については、以下のアドバイザリーを利用できます。

6.1.7. OpenShift File Integrity Operator 0.1.32

OpenShift File Integrity Operator 0.1.32 については、以下のアドバイザリーを利用できます。

6.1.7.1. バグ修正

  • 以前は、File Integrity Operator によって発行されたアラートは namespace を設定していなかったため、アラートが発生した namespace を理解することが困難でした。これで、Operator は適切な namespace を設定し、アラートに関する詳細情報を提供します。(BZ#2112394)
  • 以前は、File Integrity Operator は Operator の起動時にメトリクスサービスを更新しなかったため、メトリクスターゲットに到達できませんでした。今回のリリースでは、File Integrity Operator により、Operator の起動時にメトリクスサービスが確実に更新されるようになりました。(BZ#2115821)

6.1.8. OpenShift File Integrity Operator 0.1.30

OpenShift File Integrity Operator 0.1.30 については、以下のアドバイザリーを利用できます。

6.1.8.1. 新機能および機能拡張

  • File Integrity Operator は、次のアーキテクチャーでサポートされるようになりました。

    • IBM Power
    • IBM Z および LinuxONE

6.1.8.2. バグ修正

  • 以前は、File Integrity Operator が発行したアラートでは namespace が設定されていなかったため、アラートの発生場所を理解することが困難でした。現在、Operator は適切な namespace を設定し、アラートが理解できるように改善されています。(BZ#2101393)

6.1.9. OpenShift File Integrity Operator 0.1.24

OpenShift File Integrity Operator 0.1.24 については、以下のアドバイザリーを利用できます。

6.1.9.1. 新機能および機能拡張

  • config.maxBackups 属性を使用して、FileIntegrity カスタムリソース (CR) に保存されるバックアップの最大数を設定できるようになりました。この属性は、ノードに保持するために re-init プロセスから残された AIDE データベースおよびログのバックアップの数を指定します。設定された数を超える古いバックアップは自動的にプルーニングされます。デフォルトは 5 つのバックアップに設定されています。

6.1.9.2. バグ修正

  • 以前は、Operator を 0.1.21 より古いバージョンから 0.1.22 にアップグレードすると、re-init 機能が失敗する可能性がありました。これは、オペレーターが configMap リソースラベルの更新に失敗した結果です。現在、最新バージョンにアップグレードすると、リソースラベルが修正されます。(BZ#2049206)
  • 以前は、デフォルトの configMap スクリプトの内容を適用するときに、間違ったデータキーが比較されていました。これにより、Operator のアップグレード後に aide-reinit スクリプトが適切に更新されず、re-init プロセスが失敗することがありました。これで、daemonSets が完了するまで実行され、AIDE データベースの re-init プロセスが正常に実行されます。(BZ#2072058)

6.1.10. OpenShift File Integrity Operator 0.1.22

OpenShift File Integrity Operator 0.1.22 については、以下のアドバイザリーを利用できます。

6.1.10.1. バグ修正

  • 以前は、File Integrity Operator がインストールされているシステムが、/etc/kubernetes/aid.reinit ファイルが原因で、OpenShift Container Platform の更新を中断する可能性がありました。これは、/etc/kubernetes/aide.reinit ファイルが存在したが、後で ostree 検証の前に削除された場合に発生しました。今回の更新では、/etc/kubernetes/aide.reinit/run ディレクトリーに移動し、OpenShift Container Platform の更新と競合しないようになっています。(BZ#2033311)

6.1.11. OpenShift File Integrity Operator 0.1.21

OpenShift File Integrity Operator 0.1.21 については、以下のアドバイザリーを利用できます。

6.1.11.1. 新機能および機能拡張

  • FileIntegrity スキャン結果および処理メトリックに関連するメトリックは、Web コンソールの監視ダッシュボードに表示されます。結果には、file_integrity_operator_ の接頭辞が付けられます。
  • ノードの整合性障害が 1 秒を超えると、Operator の namespace で提供されるデフォルトの PrometheusRule が警告を発します。
  • 次の動的な Machine Config Operator および Cluster Version Operator 関連のファイルパスは、ノードの更新中の誤検知を防ぐために、デフォルトの AIDE ポリシーから除外されています。

    • /etc/machine-config-daemon/currentconfig
    • /etc/pki/ca-trust/extracted/java/cacerts
    • /etc/cvo/updatepayloads
    • /root/.kube
  • AIDE デーモンプロセスは v0.1.16 よりも安定性が向上しており、AIDE データベースの初期化時に発生する可能性のあるエラーに対する耐性が高くなっています。

6.1.11.2. バグ修正

  • 以前は、Operator が自動的にアップグレードしたときに、古いデーモンセットは削除されませんでした。このリリースでは、自動アップグレード中に古いデーモンセットが削除されます。

6.1.12. 関連情報