1.4. バグ修正

ビルド

  • ブロックされたレジストリーは、Buildah で使用される registries.conf に設定されませんでした。そのため、Buildah はクラスターイメージポリシーによってブロックされたレジストリーにイメージをプッシュすることができました。今回のバグ修正により、ビルド用に生成される registries.conf ファイルにブロックされたレジストリーが含まれるようになりました。ビルドでは、イメージのプルおよびプッシュについてブロックされたレジストリーの設定が考慮に入れられるようになりました。(BZ#1730722)
  • シェル変数が Source-to-Image (S2B) を使用したビルド設定で参照される際に、 Source-to-Image (S2B) を実行するために使用される可能性のある Dockerfile の生成を試行するロジックがそれらの変数の評価を誤って試行しました。その結果、一部のシェル変数は空の値として誤って評価され、これによりビルドエラーが発生し、その他の変数は、それらの誤って試行された評価に関連したエラーメッセージをトリガーしました。ビルド設定で参照されるシェル変数は適切にエスケープされるようになり、それらは予想通りのタイミングで評価されるようになりました。これらのエラーは以後確認されなくなりました。(BZ#1712245)
  • ロジックのバグにより、ビルド後のイメージのレジストリーへのプッシュの試行は、ビルドの BuildConfig が DockerImage タイプの出力を指定しているものの、その出力イメージに指定されている名前にタグコンポーネントが含まれていない場合に失敗しました。その結果、ビルドされたイメージのプッシュの試行は失敗しました。ビルダーは、名前が指定されていない場合に「latest」タグを名前に追加するようになりました。タグコンポーネントを含まない名前の、DockerImage タイプの出力を指定する BuildConfig を使用してビルドされたイメージは、「latest」タグを使用してプッシュできるようになりました。(BZ#1746499)

クラウド認証情報 Operator

  • 以前のバージョンでは、Pod にメモリー制限がありました。そのため、認証情報 Operator は多数のプロジェクト/namespace を持つクラスターでクラッシュする可能性がありました。今回のバグ修正により、メモリー制限が取り除かれ、Operator がクラッシュしなくなり、メモリーはクラスター自体によって処理されるようになりました。(BZ#1711402)
  • cloud-credential ClusterOperator は関連するリソースを定義しないため、Operator ログは oc adm must-gather コマンドで生成した tarball に存在しませんでした。今回のバグ修正により、Operator が関連するリソースを追加するように更新され、その結果としてログが含まれるようになりました。(BZ#1717631)

コンテナー

  • rshared の伝播により、/sys ファイルシステムがその上部に再帰的にマウントし、コンテナーが「no space left on device (デバイス上に領域がない)」というエラーを出して起動に失敗する可能性がありました。今回のバグ修正により、それぞれの上部に /sys が再帰的にマウントされなくなり、その結果としてコンテナーが rshared: true オプションが設定された状態で正常に実行されるようになりました。(BZ#1711200)
  • Dockerfile ビルダーがコンテンツをビルダーコンテキストや直前のステージからではなく、イメージからコピーするように指定するために --from フラグを使用した COPY 命令を処理した場合、イメージの名前は FROM 命令で指定されているかのようにログに記録されることがありました。この名前は、複数の COPY 命令がこれを --from フラグの引数として指定している場合に複数回一覧表示されました。今回のバグ修正により、ビルダーは、ビルドプロセスの開始時にこのように参照されるイメージのプルについてはトリガーを試行しなくなりました。その結果、--from フラグを使用して COPY 命令で参照されるイメージは、それらのコンテンツが必要になるまでプルされなくなり、ビルドログは、このようなイメージの名前を指定する FROM 命令をログに記録しなくなりました。(BZ#1684427)
  • ビルドコンテキストディレクトリーに .dockerignore ファイルが含まれる場合に COPY および ADD 命令を処理するログは、一部のシンボリックリンクおよびサブディレクトリーを適切に処理しませんでした。バグをトリガーする COPY または ADD 命令の処理を試みる際に、この影響を受けるビルドは失敗しました。今回のバグ修正によりこのケースを処理するロジックが拡張されたため、同様のエラーは発生しなくなりました。(BZ#1707941)

イメージ

  • 長期間実行される jenkins エージェントまたはスレーブ Pod に、以前に jenkins マスターで確認された不具合プロセスの現象が生じる可能性があります。Pod が終了するまでいくつかの不具合プロセスがプロセスの一覧に表示されます。今回のバグ修正により、OpenShift Jenkins マスターイメージで dumb-init を使用して、jenkins ジョブの処理中に発生するこれらの不具合プロセスをクリーンアップできるようになりました。その結果、エージェントまたはスレーブ Pod 内や、それらの Pod が置かれているホストで表示されるプロセス一覧に不具合プロセスが含まれなくなりました。(BZ#1705123)
  • 4.2 での OAuth サポートの変更により、 Jenkins サービスアカウント証明書と OAuth サーバーのルーターで使用される証明書間での異なる証明書の設定の使用が許可されるようになりました。そのため、Jenkins コンソールにログインできなくなる可能性がありました。今回のバグ修正により、OpenShift Container Platform Jenkins ログインプラグインは、Pod にマウントされた証明書のほか、JVM で利用可能なデフォルト証明書を使って TLS 接続を試行するように更新されました。現時点では、jenkins コンソールにログインできるようになりました。(BZ#1709575)
  • OpenShift Container Platform Jenkins 同期プラグインでは、Jenkins Kubernetes プラグイン PodTemplate について処理する際に同じ名前を持つ ImageStream と ConfigMap による混乱が生じ、一方のタイプのイベントで他方のタイプ用に作成された Pod テンプレートが削除される状態が見られました。今回のバグ修正により、OpenShift Container Platform Jenkins Sync プラグインが変更され、特定の名前の Pod テンプレートを作成した API オブジェクトタイプを追跡できるようになりました。今回のリリースより、OpenShift Container Platform Sync プラグインの ConfigMap および ImageStream からのマッピングによって作成された Jenkins Kubernetes プラグイン PodTemplate が、同じ名前を持つ 2 つのタイプがクラスターに存在する場合でも誤って削除されなくなりました。(BZ#1711340)
  • Samples Operator 設定を迅速に、かつ連続して削除すると、最後に実行する削除がハングし、Operator の ImageChangesInProgress 状態が True のままになる可能性がありました。これにより、Samples Operator の clusteroperator オブジェクトが Progressing==True のままとなり、クラスターサンプルが不定の状態になりました。今回のバグ修正により、削除ファイナライザーと Samples upsert 間の調整に関連する修正が導入されました。Samples Operator 設定オブジェクトを迅速に、かつ連続して削除しても、予想通りに正常に機能するようになりました。(BZ#1735711)
  • 以前のバージョンでは、プルーナーが単一の要求ですべてのイメージを取得していたため、要求に時間がかかりすぎていました。今回のバグ修正により、ページャーを使用してすべてのイメージを取得できるようになりました。プルーナーはタイムアウトなしですべてのイメージを取得できるようになりました。(BZ#1702757)
  • 以前のバージョンでは、インポーターは最大で 3 つの署名のみをインポートできましたが、registry.redhat.io には通常 4 つ以上の署名が含まれます。そのため、署名がインポートされないことがありました。今回のバグ修正により、インポーターの上限が引き上げられ、署名をインポートできるようになりました。(BZ#1722568)

イメージレジストリー

  • 以前のバージョンでは、CRD に OpenAPI スキーマが含まれませんでした。つまり、oc explainconfig.imageregistry リソースについて機能しませんでした。今回のバグ修正により OpenAPI スキーマの生成が有効になり、oc explainconfig.imageregistry.operator.openshift.io リソースについての情報を提供できるようになりました。(BZ#1705752)
  • イメージレジストリー Operator は openshift-image-registry namespace を関連オブジェクトとして登録しませんでした。そのため、イメージレジストリーまたはイメージレジストリー Operator のデータが must-gather から収集されないことがありました。今回のバグ修正により、openshift-image-registry namespace は常にイメージレジストリー Operator の関連オブジェクトに組み込まれるようになりました。その結果、Pod、デプロイメント、およびサービスを含む openshift-image-registry namespace からの基本的な情報が常に must-gather によって収集されるようになりました。(BZ#1748436)
  • 以前のバージョンでは、CVO、イメージレジストリー Operator、および service-ca インジェクションコントローラーは、イメージレジストリーによって使用される CA バンドルの監視および更新を同時に実行しました。そのため、内部レジストリーと OpenShift の残りの部分との間の信頼を確立するために使用される CA バンドルの削除および再作成が絶えず実行されました。今回のバグ修正により、CVO は CA バンドルを管理しなくなりました。イメージレジストリー Operator は CA バンドルを保持する ConfigMap が作成されることを確認しますが、その内容は管理しません。内部レジストリーの CA バンドルを保持する ConfigMap は、service-ca インジェクションコントローラーによって必要な場合にのみ更新されるようになりました。(BZ#1734564)
  • TLS キーはレジストリールートに追加されていませんでした。これは TLS キーが Secret.StringData に保管され、Operator でシークレットの実際のデータを確認できないためでした。現時点では、Secret.Data が代わりに使用され、 Operator は値を認識できるようになりました。(BZ#1719965)
  • ドレイン (解放) プロセスでは、image-registry Pod をエビクトするのに最大 600 秒の時間がかかりました。これは、イメージレジストリーが sh から実行され、シグナルがイメージレジストリーに伝播されず、SIGTERM を受信できないためです。今回のリリースより、レジストリープロセスは exec を使用し、レジストリーは pid 1 プロセスで、SIGTERM を受信できるようになりました。ドレイン (解放) によりエビクトが正常に実行されるようになりました。(BZ#1729979)
  • must-gather は、openshift-image-registry namespace で PVC およびイベントを収集しませんでした。今回のリリースより、PVC は must-gather プロセスの一部として収集されるようになりました。(BZ#1737558)

インストーラー

  • Red Hat Enterprise Linux のデフォルトの最小インストールでは、firewalld.service をインストールし、これを有効にしました。ファイアウォールサービスは、oc rsh/exec/logs の予想通りの機能を妨げるポートをブロックしていました。今回のリリースより、firewalld.service は、テスト標準に準拠するようにインストールされている場合は無効にされるようになりました。(BZ#1740439)
  • イメージのデフォルトパスがデフォルト設定から変更される場合、ワーカーは作成されませんでした。今回のリリースより、インストーラーは独自のストレージプールを作成し、使用するようになりました。(BZ#1707479)

kube-apiserver

  • ConfigMap を作成して、証明書のローテーションを短縮することが可能でした。この動作はサポートされなくなりました。今回のリリースより、この ConfigMap を作成する場合、Upgradable は kubeapiserver-operator で False に設定されるようになりました。つまり、クラスターを更新できなくなりました。(BZ#1722550)

ロギング

  • Elasticsearch の動的シード機能は効率的に実行されず、多数のプロジェクトを含むクラスターでは、呼び出しが過剰に実行されました。この問題はキャッシュ機能がないためにさらに複雑になりました。シード機能の効率が悪く、キャッシュ機能がないことから、Elasticsearch の呼び出しは応答が返される前にタイムアウトになりました。今回のバグ修正により、API 呼び出しのキャッシュおよび ACL シード機能が追加されました。この機能強化により、ページのタイムアウトが発生する可能性が低くなりました。(BZ#1705589)
  • Logging Operator は、ログタイプを設定する際に情報ストリームのタイプを使用していました。そのため、stdout に送信されるログには INFO のタグが付けられ、stderr に送信されるログには ERROR のタグが付けられました。この方法は、情報タイプを常に正しく伝えるものではありませんでした。今回のリリースにより、ログレベルは情報ストリームに基づいて設定されなくなりました。その代わりに、正確なログレベルを判断できない場合、unknown に設定されるようになりました。(BZ#1726639)
  • クラスターロギングインスタンスの削除時に、クラスターロギング以下のリソースは別個に削除されました。そのため、Fluentd または Rsyslog DaemonSet の実行中にログコレクターのサービスアカウントが削除された場合、短い空白期間が生じる可能性がありました。これにより、この期間に処理されるログに namespace 名などの Kubernetes 情報が含まれないことがありました。今回のバグ修正により、サービスアカウントは、すべての子リソースが削除されるまで待機してから削除されるようになりました。ログコレクターのサービスアカウントなしでコレクターの DaemonSet が実行される可能性はなくなりました。(BZ#1715370)

Web コンソール

  • 以前のリリースでは、イベントについてのコンソール Operator のログにより、重複するメッセージが出力されました。依存関係リポジトリーのバージョン更新によりこの問題は修正され、コンソール Operator ログのメッセージの重複はなくなりました。(BZ#1687666)
  • シークレットの値が難読化されたため、ユーザーは Webhook URL 全体をコピーできませんでした。リンクが追加され、シークレットの値が含まれる Webhook URL 全体をコピーできるようになりました。(BZ#1665010)
  • Web コンソールの「Machine」および「Machine Set details」ページには Events タブが含まれていませんでした。Events タブが追加され、Machine および Machine Set details ページから選択できるようになりました。(BZ#1693180)
  • 以前のバージョンでは、Web コンソールの詳細ページからノードのステータスを表示することはできませんでした。ステータスフィールドが追加され、ユーザーは詳細ページからノードのステータスを表示できるようになりました。(BZ#1706868)
  • 以前のバージョンでは、Operator を OperatorHub でインストールした直後に Operator リソースを作成しようとすると、Web コンソールに空のポップアップが表示されることがありました。今回のバグ修正により、Operator が利用可能になる前にリソースの作成を試行する場合に明確メッセージが表示されるようになりました。(BZ#1710079)
  • 以前のバージョンでは、Web コンソールの「Deployment Config Details」ページでは、最初のリビジョンがロールアウトされる前にステータスが Active と表示されました。今回のバグ修正により、ステータスはロールアウト前は Updating と表示され、ロールアウトの完了後は Up to date と表示されるようになりました。(BZ#1714897)
  • 以前のバージョンでは、Web コンソールのノードのメトリクスチャートが複数のノードの使用率の合計を間違って表示する場合がありました。今回のバグ修正により、ノードページのチャートに該当ノードの使用率のみが表示されるようになりました。(BZ#1720119)
  • 以前のリリースでは、OpenID アイデンティティープロバイダーの ca.crt 値は、Web コンソールで作成された場合に適切に設定されませんでした。この問題は修正され、ca.crt が正しく設定されるようになりました。BZ#1727282)
  • 以前のバージョンでは、ユーザーが CRD 一覧から ClusterResourceQuota インスタンスに移動する際にエラーが Web コンソールに表示されました。この問題は修正され、CRD ページから ClusterResourceQuota インスタンスを正常に一覧表示できるようになりました。(BZ#1742952)
  • 以前のバージョンでは、ノードのスケジュールできない状態が Web コンソールのノード一覧に表示されませんでした。この情報には、CLI との整合性がありませんでした。コンソールでは、 ノードのスケジュールできない状態がノード一覧およびノード詳細ページに表示されるようになりました。(BZ#1748405)
  • 以前のバージョンでは、Web コンソールのリソース詳細ページに、設定マップおよびシークレットキーがすべて大文字で表示されました。キー名はファイル名であることが多く、大文字/小文字が区別されることが多いため、これによって問題が生じました。OpenShift Container Platform 4.2 の Web コンソールでは、設定マップおよびシークレットキーが適切に表示されるようになりました。(BZ#1752572)

ネットワーク

  • Egress IP アドレスは、制限的な NetworkPolicy のある namespace で適切に機能しませんでした。そのため、特定のソースからのトラフィックを受け入れた Pod は、外部サーバーの応答が NetworkPolicy によって誤って拒否されるため、Egress IP 経由で Egress トラフィックを送信できませんでした。今回のバグ修正により、Egress トラフィックからの応答は新規接続としてではなく、応答として適切に認識されるようになりました。Egress IP および NetworkPolicy は連携します。(BZ#1700431)
  • 外部ホストと通信するために外部 IP アドレスを使用する Pod が応答しない外部 IP アドレスを受信する場合、Egress IP モニターコードではホストが応答していないと誤って判別していました。その結果、可用性の高い Egress IP は別のノードに切り替わる可能性がありました。モニターコードは、Egress ノードが応答しない場合と最終宛先が反応しない場合との区別ができるように修正されました。可用性の高い Egress IP のノード間の切り替えが不必要に行われなくなりました。(BZ#1717639)
  • デフォルトで、etcd namespace は net id を指定せずに作成されました。そのため、API サーバーコンポーネントは etcd に接続できませんでした。コードは、etcd namespace に netid=1 を指定するように修正されました。(BZ#1719653)

ノード

  • ノードに追加された追加の IP アドレスをマージする際に使用されるアルゴリズムに誤りがありました。そのため、IP アドレスをノードに追加する際に、アドレスの一覧の順序が入れ替えられ、ノードが API サーバーと通信できなくなりました。アドレスのマージアルゴリズムは、アドレスを並び替えないように変更されました。セカンダリー IP アドレスをノードに追加しても、順序が変更されなくなり、ノードは API サーバーと引き続き通信できるようになりました。(BZ#1696628)
  • kubeconfig コントローラーに関連する問題により、クラスターを別の OS リリースを使用するバージョンにアップグレードする場合に kubelet Config への変更は元に戻されます。ソースで正しいコントローラーを指定できるようコードが修正されました。kubeletConfig のカスタマイズは保持されます。(BZ#1718726)

oc

  • ノードセレクターのラベルの誤った検証により、ラベル上のキーの空の値が許可されないことがありました。今回の更新により、ノードセレクターのラベル検証メカニズムが修正され、ラベル上のキーの空の値が有効なノードセレクターになりました。(BZ#*1683819)
  • oc get コマンドは、空の結果一覧を受信すると適切な情報を返しませんでした。今回の更新により、oc get で空の一覧を受信する際に返される情報が改善されました。(BZ#1708280)

OLM

  • Marketplace Cluster Operator は、Marketplace Operator の再起動またはアップグレード時に degraded を報告していました。そのため、OpenShift Container Platform のアップグレードテストは失敗しました。今回のバグ修正により、OpenShift Container Platform では Operator が停止している場合に degraded を報告しなくなったため、アップグレードテストにパスするようになりました。(BZ#1706867)
  • アップグレード時のバグにより、Marketplace Operator のパフォーマンスの低下および終了が生じていました。ClusterOperator ステータスは、Marketplace Operator の正常性について正確な説明を示しませんでした。

    以下の要素がこの問題に関連しています。

    • 複数の Marketplace Operator の実行、および ClusterOperatorStatus の更新が同時に行われました。
    • オペランド (OperatorSource または CatalogSourceConfig) の調整中にエラーが発生すると同期が失敗しました。これにより、ネットワークの問題や無効なオペランドが生じ、パフォーマンスが低下しました。同期の失敗が同期の合計数のしきい値を超える場合にも Marketplace Operator の低下が生じました。
    • Telemetry 経由で ClusterOperatorStatus が特定の状態にある理由を特定することは容易ではありません。Telemetry には状態および理由が含まれていますが、Marketplace には理由の設定がありませんでした。

      今回のバグ修正により、以下が可能になります。

    • Operator SDK によって提供されるリーダー選択により、複数の Marketplace Operator が ClusterOperatorStatus を同時に更新できなくなります。
    • Marketplace は、オペランドの調整中にエラーが発生する場合ではなく、オペランドを取得または更新できない場合にのみ degrade 状態を報告します。
    • Marketplace には状態の設定時に理由が含まれるようになり、Telemetry で Marketplace Operator の状態についてのより多くの洞察が得られるようになりました。(BZ#1721537)
  • Marketplace が所有する CatalogSourceConfig (csc) および OperatorSource (opsrc) カスタムリソース定義 (CRD) には説明が含まれていませんでした。そのため、oc explain cscoc explain opsrc は空の説明を返しました。今回のバグ修正により、OpenAPI CRD 定義が追加され、oc explain csc および oc explain opsrc が機能するようになりました。(BZ#1723835)
  • Marketplace Operator は、OperatorSource に関連するレジストリーデプロイメントの Pod デプロイメント仕様を上書きしました。そのため、ユーザーはノードセレクターを追加できませんでした。今回のバグ修正により、OperatorSource 更新に関連してデプロイメント仕様の必須フィールドのみが置き換えられ、ユーザーは OperatorSource に関連付けられた Operator レジストリー Pod にノードセレクターを追加できるようになりました。デフォルトで、NodeSelector は存在しません。ユーザーは、レジストリー Pod デプロイメントの Pod 仕様に NodeSelector を追加できるようになりました。たとえば、community-operators OperatorSource の場合、openshift-marketplace namespace で community-operators デプロイメントを編集します。(BZ#1696726)
  • Marketplace Operator はレジストリーのデプロイメントをスケールダウンしてから、更新を強制的に実行するためにこれを再び元に戻していました。これにより、レジストリー Pod に問題がある場合には Pod のクラッシュループが生じる可能性がありました。今回のバグ修正により、デプロイメントが利用不可にならないようにレジストリーのデプロイメントのスケールアップ/ダウンを実行するのではなく、アノテーションを使用して更新を強制的に実行できるようになりました。ただし、これだけではこのバグの修正にはならないことに注意してください。openshift-marketplace namespace のクラッシュループ状態にある Pod で失敗が生じないようにエンドツーエンドテストに対する修正が必要です。(BZ#1700100)
  • must-gather ツールでは、ClusterOperator カスタムリソースに Operator に関連付けられたリソースの ObjectReference が設定されるよう RelatedObjects というフィールドが必要です。Marketplace にはこのフィールドがないため、must-gather ツールは Marketplace Operator についての十分な情報を収集できませんでした。今回の更新により、RelatedObjects フィールドに Operator の namespace および OperatorSource、CatalogSourceConfig、および CatalogSource リリースが設定されるようになりました。これにより、must-gather ツールで Marketplace Operator についての十分な情報を収集できるようになりました。(BZ#1717439)

OpenShift Controller Manager

  • OpenShift Controller Manager Operator を Unmanaged または Removed に設定することはサポートされないため、対応する ClusterOperator オブジェクトの状態が Unknown ステータスになる可能性がありました。今回のバグ修正により、OpenShift Controller Manager Operator は、管理状態についてのサポートされない Unmanaged および Removed 設定を無視するようになりました。この点は、ClusterOperator ステータスの状態についてのメッセージで確認できます。(BZ#1719188)

Red Hat Enterprise Linux CoreOS (RHCOS)

  • 以前のバージョンでは、sshd 設定内で ClientAliveInterval が Microsoft Azure で必要とされる 180 に設定されていない場合に SSH 接続がハングしていました。今回のバグ修正により、sshd の設定がデフォルトで 180 に設定され、SSH が Azure 内でハングしなくなりました。(BZ#1701050)

サービスブローカー

  • 以前のバージョンでは、Automation Broker はターゲット namespace への一時的な namespace アクセスを付与するためのネットワークポリシーを常に作成していました。そのため、新たに作成されたポリシーにロックされたターゲット namespace と他の namespace が相互に通信できました。今回の修正により、Automation Broker はターゲット namespace についてネットワークポリシーが実施されているかどうかを確認し、ネットワークポリシーがない場合に新規ネットワークポリシーが作成されなくなりました。今回の修正により、Automation Broker は、ターゲット namespace で実行される既存のサービスに影響を与えずに Ansible Playbook Bundle アクションを実行できるようになりました。(BZ#1643303)
  • 以前のリリースでは、適切なパーミッションが手動で適用されない限り、OpenShift Ansible Service Broker Operator はメトリクスを Prometheus に渡しませんでした。今回の更新により、Operator のインストールが必要なパーミッションで自動的に行われるようになりました。(BZ#1692281)

テンプレート

  • 以前のリリースでは、Samples Operator 設定オブジェクト (configs.samples.operator.openshift.io)のカスタムリソース定義には openAPIV3Schema 検証が定義されていませんでした。そのため、oc explain はオブジェクトについての役立つ情報を提供できませんでした。今回の修正により、openAPIV3Schema 検証が追加され、oc explain がオブジェクトで機能するようになりました。(BZ#1705753)
  • 以前のバージョンでは、Samples Operator はシークレット、イメージストリームおよびテンプレートについてのコントローラー/インフォーマーベースの監視機能を維持すべく、直接の OpenShift Container Platform go クライアントを使用して GET 呼び出しを実行しました。このため、OpenShift Container Platform API サーバーに対して不必要な API 呼び出しが行われました。今回の修正により、インフォーマー/リスナー API を活用し、OpenShift Container Platform API サーバーに対するアクティビティーを軽減できるようになりました。(BZ#1707834)
  • 以前のバージョンでは、Samples Operator は cluster-reader ロールに集約されるクラスターロールを作成していませんでした。そのため、cluster-reader ロールのあるユーザーは、Samples Operator の設定オブジェクトを読み取ることができませんでした。今回の更新により、Sample Operator のマニフェストが、設定オブジェクトへの読み取り専用アクセスのためのクラスターロールを組み込むように更新され、このロールは cluster-reader ロールに集約されるようになりました。cluster-reader ロールを持つユーザーは、Samples Operator の設定オブジェクトの読み取り、一覧表示、および監視を実行できるようになりました。(BZ#1717124)