第6章 File Integrity Operator

6.1. File Integrity Operator リリースノート

OpenShift Container Platform のファイル整合性オペレーターは、RHCOS ノードでファイル整合性チェックを継続的に実行します。

これらのリリースノートは、OpenShift Container Platform での File Integrity Operator の開発を追跡します。

File Integrity Operator の概要については、Understanding the File Integrity Operator を参照してください。

最新リリースにアクセスするには、File Integrity Operator の更新 を参照してください。

6.1.1. OpenShift File Integrity Operator 1.2.1

OpenShift File Integrity Operator 1.2.1 については、以下のアドバイザリーを利用できます。

6.1.2. OpenShift File Integrity Operator 1.2.0

OpenShift File Integrity Operator 1.2.0 については、以下のアドバイザリーを利用できます。

6.1.2.1. 新機能および拡張機能

  • File Integrity Operator カスタムリソース (CR) には、最初の AIDE 整合性チェックを開始する前に待機する秒数を指定する initialDelay 機能が含まれるようになりました。詳細は、FileIntegrity カスタムリソースの作成 を参照してください。
  • File Integrity Operator は安定版になり、リリースチャンネルは stable にアップグレードされました。将来のリリースは Semantic Versioning に従います。最新リリースにアクセスするには、File Integrity Operator の更新 を参照してください。

6.1.3. OpenShift File Integrity Operator 1.0.0

OpenShift File Integrity Operator 1.0.0 については、以下のアドバイザリーを利用できます。

6.1.4. OpenShift File Integrity Operator 0.1.32

OpenShift File Integrity Operator 0.1.32 については、以下のアドバイザリーを利用できます。

6.1.4.1. バグ修正

  • 以前は、File Integrity Operator によって発行されたアラートは namespace を設定していなかったため、アラートが発生した namespace を理解することが困難でした。これで、Operator は適切な namespace を設定し、アラートに関する詳細情報を提供します。(BZ#2112394)
  • 以前は、File Integrity Operator は Operator の起動時にメトリクスサービスを更新しなかったため、メトリクスターゲットに到達できませんでした。今回のリリースでは、File Integrity Operator により、Operator の起動時にメトリクスサービスが確実に更新されるようになりました。(BZ#2115821)

6.1.5. OpenShift File Integrity Operator 0.1.30

OpenShift File Integrity Operator 0.1.30 については、以下のアドバイザリーを利用できます。

6.1.5.1. バグ修正

  • 以前は、File Integrity Operator が発行したアラートでは namespace が設定されていなかったため、アラートの発生場所を理解することが困難でした。現在、Operator は適切な namespace を設定し、アラートが理解できるように改善されています。(BZ#2101393)

6.1.6. OpenShift File Integrity Operator 0.1.24

OpenShift File Integrity Operator 0.1.24 については、以下のアドバイザリーを利用できます。

6.1.6.1. 新機能および拡張機能

  • config.maxBackups 属性を使用して、FileIntegrity カスタムリソース (CR) に保存されるバックアップの最大数を設定できるようになりました。この属性は、ノードに保持するために re-init プロセスから残された AIDE データベースおよびログのバックアップの数を指定します。設定された数を超える古いバックアップは自動的にプルーニングされます。デフォルトは 5 つのバックアップに設定されています。

6.1.6.2. バグ修正

  • 以前は、Operator を 0.1.21 より古いバージョンから 0.1.22 にアップグレードすると、re-init 機能が失敗する可能性がありました。これは、オペレーターが configMap リソースラベルの更新に失敗した結果です。現在、最新バージョンにアップグレードすると、リソースラベルが修正されます。(BZ#2049206)
  • 以前は、デフォルトの configMap スクリプトの内容を適用するときに、間違ったデータキーが比較されていました。これにより、Operator のアップグレード後に aide-reinit スクリプトが適切に更新されず、re-init プロセスが失敗することがありました。これで、daemonSets が完了するまで実行され、AIDE データベースの re-init プロセスが正常に実行されます。(BZ#2072058)

6.1.7. OpenShift File Integrity Operator 0.1.22

OpenShift File Integrity Operator 0.1.22 については、以下のアドバイザリーを利用できます。

6.1.7.1. バグ修正

  • 以前は、File Integrity Operator がインストールされているシステムが、/etc/kubernetes/aid.reinit ファイルが原因で、OpenShift Container Platform の更新を中断する可能性がありました。これは、/etc/kubernetes/aide.reinit ファイルが存在したが、後で ostree 検証の前に削除された場合に発生しました。今回の更新では、/etc/kubernetes/aide.reinit/run ディレクトリーに移動し、OpenShift Container Platform の更新と競合しないようになっています。(BZ#2033311)

6.1.8. OpenShift File Integrity Operator 0.1.21

OpenShift File Integrity Operator 0.1.21 については、以下のアドバイザリーを利用できます。

6.1.8.1. 新機能および拡張機能

  • FileIntegrity スキャン結果および処理メトリックに関連するメトリックは、Web コンソールの監視ダッシュボードに表示されます。結果には、file_integrity_operator_ の接頭辞が付けられます。
  • ノードの整合性障害が 1 秒を超えると、Operator の namespace で提供されるデフォルトの PrometheusRule が警告を発します。

  • 次の動的な Machine Config Operator および Cluster Version Operator 関連のファイルパスは、ノードの更新中の誤検知を防ぐために、デフォルトの AIDE ポリシーから除外されています。

    • /etc/machine-config-daemon/currentconfig
    • /etc/pki/ca-trust/extracted/java/cacerts
    • /etc/cvo/updatepayloads
    • /root/.kube
  • AIDE デーモンプロセスは v0.1.16 よりも安定性が向上しており、AIDE データベースの初期化時に発生する可能性のあるエラーに対する耐性が高くなっています。

6.1.8.2. バグ修正

  • 以前は、Operator が自動的にアップグレードしたときに、古いデーモンセットは削除されませんでした。このリリースでは、自動アップグレード中に古いデーモンセットが削除されます。

6.1.9. 関連情報