2.5. Red Hat Windows Machine Config Operator 3.1.0 リリースノート

発行日: 2021-09-21

WMCO 3.1.0 がバグ修正および新機能と共に利用できるようになりました。WMCO のコンポーネントは RHBA-2021:3215 でリリースされました。

2.5.1. 新機能

2.5.1.1. BYOH (Bring-Your-Own-Host) Windows インスタンスの使用

既存の Windows インスタンスをコンピュートノードとして OpenShift Container Platform クラスターに追加できるようになりました。これには、WMCO namespace で設定マップを作成する必要があります。

BYOH Windows インスタンスは、以下のプラットフォームのインストーラーでプロビジョニングされるインフラストラクチャーでサポートされます。

  • Amazon Web Services (AWS)
  • Microsoft Azure
  • VMware vSphere

次のプラットフォームの場合、BYOH Windows インスタンスは、install-config.yaml ファイルに platform: none フィールドが設定されている場合にのみ、ユーザーがプロビジョニングしたインフラストラクチャーでサポートされます。

  • VMware vSphere
  • ベアメタル

BYOH Windows インスタンスの設定方法の詳細は、Configuring BYOH Windows instance を参照してください。

2.5.2. バグ修正

  • VMware vSphere にインストールされているクラスターの場合、WMCO は Deleting フェーズ通知イベントを無視し、正しくないノード情報を windows-exporter メトリクスエンドポイントに残します。これにより、Prometheus メトリクスエンドポイントに無効なマッピングが生じました。このバグは修正されています。WMCO は Deleting phase 通知イベントを認識し、Prometheus メトリクスエンドポイントを適切にマップするようになりました。(BZ#1995341)

2.5.3. 既知の問題

  • 設定マップで DNS 名エントリーを使用して BYOH Windows インスタンスをインストールする場合、WMCO はこれを Ready ノードとしてマークする前にインスタンスを 2 回設定します。これは WMCO の今後のリリースで修正されます。(BZ#2005360)
  • RunAsUser パーミッションが Linux ベースの Pod のセキュリティーコンテキストに設定されている場合、Projected ファイルには、コンテナーユーザー所有権を含む適切なパーミッションが設定されます。ただし、Windows の同等の RunAsUsername パーミッションが Windows Pod に設定されている場合、kubelet は Projected ボリュームのファイルに正しい所有権を設定できなくなります。この問題は、ベストプラクティスに従わない hostPath ボリューム と組み合わせて使用すると悪化する可能性があります。たとえば、Pod に C:\var\lib\kubelet\pods\ フォルダーへのアクセス権限を付与すると、Pod が他の Pod からサービスアカウントトークンにアクセスできるようになります。

    デフォルトでは、この例では Windows の Projected ボリュームファイルに示されるように、projected ファイルに以下の所有者が設定されます。

    Path   : Microsoft.PowerShell.Core\FileSystem::C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt
    Owner  : BUILTIN\Administrators
    Group  : NT AUTHORITY\SYSTEM
    Access : NT AUTHORITY\SYSTEM Allow  FullControl
             BUILTIN\Administrators Allow  FullControl
             BUILTIN\Users Allow  ReadAndExecute, Synchronize
    Audit  :
    Sddl   : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)

    これは、ContainerAdministrator ロールを持つユーザーなどのすべての管理者ユーザーに対して読み取り、書き込み、実行アクセスがある一方で、管理者以外のユーザーが読み取りおよび実行アクセスを持っていることを示しています。

    重要

    OpenShift Container Platform は、オペレーティングシステムに関係なく、RunAsUser セキュリティーコンテキストをすべての Pod に適用します。これは、Windows Pod の RunAsUser パーミッションがセキュリティーコンテキストに自動的に適用されることを意味します。

    さらに、Windows Pod がデフォルトの RunAsUser パーミッションセットで Projected ボリュームで作成される場合、Pod は ContainerCreating フェーズで停止します。

    これらの問題に対応するため、OpenShift Container Platform は Pod のセキュリティーコンテキストで設定される Projected サービスアカウントボリュームでのファイルパーミッションの処理を Windows の projected ボリュームに反映しないように強制します。Windows Pod のこの動作は、OpenShift Container Platform 4.7 より前のすべての Pod タイプでどのように機能するかについて使用されるファイルパーミッションの処理であることに注意してください。(BZ#1971745)