7.2. Security Profiles Operator リリースノート

Security Profiles Operator は、セキュアコンピューティング (seccomp) および SELinux プロファイルをカスタムリソースとして定義し、特定の namespace 内のすべてのノードにプロファイルを同期する方法を提供します。

これらのリリースノートは、OpenShift Container Platform での Security Profiles Operator の開発を追跡します。

Security Profiles Operator の概要については、Security Profiles Operator の概要 を参照してください。

7.2.1. Security Profiles Operator 0.7.1

Security Profiles Operator 0.7.1 については、次のアドバイザリーを利用できます。

7.2.1.1. 新機能および機能拡張

  • Security Profiles Operator (SPO) は、RHEL 8 および 9 ベースの RHCOS システムに適切な selinuxd イメージを自動的に選択するようになりました。

    重要

    非接続環境のイメージをミラーリングするユーザーは、Security Profiles Operator によって提供される両方の selinuxd イメージをミラーリングする必要があります。

  • spod デーモン内でメモリー最適化を有効にできるようになりました。詳細は、spod デーモンでのメモリー最適化の有効化 を参照してください。

    注記

    デフォルトで SPO メモリーの最適化は有効になっていません。

  • デーモンリソース要件を設定できるようになりました。詳細は、デーモンリソース要件のカスタマイズ を参照してください。
  • 優先クラス名を spod 設定で指定できるようになりました。詳細は、spod デーモン Pod のカスタム優先クラス名の設定 を参照してください。

7.2.1.2. 非推奨および削除された機能

  • デフォルトの nginx-1.19.1 seccomp プロファイルが Security Profiles Operator デプロイメントから削除されました。

7.2.1.3. バグ修正

  • これまで、Security Profiles Operator (SPO) SELinux ポリシーはコンテナーテンプレートから低レベルのポリシー定義を継承しませんでした。net_container などの別のテンプレートを選択した場合、コンテナーテンプレートにのみ存在する低レベルのポリシー定義が必要となるため、ポリシーは機能しません。この問題は、SPO SELinux ポリシーが SELinux ポリシーを SPO カスタム形式から 共通中間言語 (CIL) 形式に変換しようとすると発生しました。今回の更新により、SPO から CIL への変換を必要とする SELinux ポリシーにコンテナーテンプレートが追加されます。さらに、SPO SELinux ポリシーは、サポートされている任意のポリシーテンプレートから低レベルのポリシー定義を継承できます。(OCPBUGS-12879)
既知の問題
  • Security Profiles Operator をアンインストールする場合、MutatingWebhookConfiguration オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後に MutatingWebhookConfiguration オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)

7.2.2. Security Profiles Operator 0.5.2

Security Profiles Operator 0.5.2 については、次のアドバイザリーを利用できます。

この更新プログラムは、基になる依存関係の CVE に対処します。

既知の問題
  • Security Profiles Operator をアンインストールする場合、MutatingWebhookConfiguration オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後に MutatingWebhookConfiguration オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)

7.2.3. Security Profiles Operator 0.5.0

Security Profiles Operator 0.5.0 については、次のアドバイザリーを利用できます。

既知の問題
  • Security Profiles Operator をアンインストールする場合、MutatingWebhookConfiguration オブジェクトは削除されないため、手動で削除する必要があります。回避策として、Security Profiles Operator をアンインストールした後に MutatingWebhookConfiguration オブジェクトを削除します。これらの手順は、Security Profiles Operator のアンインストール で定義されています。(OCPBUGS-4687)