第6章 File Integrity Operator

6.1. File Integrity Operator リリースノート

OpenShift Container Platform の File Integrity Operator は、RHCOS ノードのファイル整合性チェックをデプロイします。

本書では、OpenShift Container Platform での File Integrity Operator の開発を追跡しています。

File Integrity Operator の概要については、「File Integrity Operator について」を参照してください。

6.1.1. OpenShift File Integrity Operator 0.1.21

以下のアドバイザリーは OpenShift File Integrity Operator 0.1.21 で利用できます。

6.1.1.1. 新機能および改良された機能

  • FileIntegrity スキャン結果およびメトリクスの処理に関連するメトリクスは Web コンソールのモニタリングダッシュボードに表示されます。結果には、file_integrity_operator_ の接頭辞でラベルが付けられます。
  • ノードに 1 秒以上の整合性に障害が発生した場合、Operator namespace アラートで提供されるデフォルトの PrometheusRule が警告と共に表示されます。
  • 以下の動的 Machine Config Operator および Cluster Version Operator 関連のファイルパスは、ノードの更新時に誤検出を防ぐためにデフォルトの AIDE ポリシーから除外されます。

    • /etc/machine-config-daemon/currentconfig
    • /etc/pki/ca-trust/extracted/java/cacerts
    • /etc/cvo/updatepayloads
    • /root/.kube
  • AIDE デーモンプロセスでは v0.1.16 に対する安定性が向上し、AIDE データベースが初期化されたときに発生するエラーに対する回復性が高くなっています。

6.1.1.2. バグ修正

  • 以前のバージョンでは、Operator が自動的にアップグレードされると、古いデーモンセットが削除されませんでした。今回のリリースにより、古いデーモンセットが自動アップグレード時に削除されるようになりました。

6.1.2. 追加リソース

File Integrity Operator について