1.2. 新機能
1.2.1. Red Hat Advanced Cluster Security クラウドサービス
Red Hat Advanced Cluster Security Cloud Service (ACSCS) は、RHACS デプロイメントを簡素化および高速化する Red Hat マネージドサービスです。
ACSCS は、フィールドトライアルリリースとして利用できます。フィールドトライアルでは、承認されたお客様に Red Hat Advanced Cluster Security Cloud Service への試用目的でのアクセスを提供します。詳細については、Red Hat セールス にお問い合わせください。
ACSCS では、Red Hat が RHACS Central インスタンスをホストして維持します。Red Hat は、業界標準のサービスレベルアグリーメント (SLA) により、インスタンスの高可用性を保証します。ACSCS インスタンスを起動したら、セキュアなクラスターとイメージリポジトリーを接続し、統合を設定して、Red Hat OpenShift Container Platform、Amazon Elastic Kubernetes Service (EKS)、Microsoft Azure Kubernetes Service (AKS)、および Kubernetes エンジン (GKE) でハイブリッド Kubernetes インフラストラクチャーをセキュリティー保護できます。
詳細および ACSCS の試用は、Red Hat Advanced Cluster Security Cloud Service への早期アクセスのリクエスト を参照してください。
次の新しいドキュメントトピックが ACSCS のインストールに利用できます。
次のドキュメントトピックは、ACSCS には適用されません。
- Red Hat OpenShift での RHACS のセントラルサービスのインストール
- オプション - Operator を使用した RHACS の Central 設定オプションの設定
- 他のプラットフォームでの RHACS のセントラルサービスのインストール
- central-services Helm チャートをデプロイした後の設定オプションの変更
- Central クラスターのアップグレード
- オフラインモードの有効化
- HTTP を介した RHACS ポータルの公開
- 外部ネットワークアクセス用のプロキシーの設定
- エンドポイントの設定
- Prometheus による監視
- OpenShift Container Platform OAuth サーバーをアイデンティティープロバイダーとして設定
- Red Hat Advanced Cluster Security for Kubernetes のバックアップ
- バックアップからの復元
1.2.1.1. ACSCS ユーザー向けの脆弱性管理ダッシュボードの改善
ACSCS では、RHACS ポータルの脆弱性管理ダッシュボードにいくつかの更新が含まれています。オンプレミスの RHACS インストールには、将来のバージョンで最終的にこれらの更新プログラムが含まれます。ACSCS には次の変更が含まれています。
- 脆弱性管理ダッシュボードでは、Common Vulnerabilities and Exposures (CVE) を Image CVE、Node CVE、および Platform CVE カテゴリーにグループ化するようになりました。Vulnerability Management ビューのヘッダーで CVE をクリックすると、これらのカテゴリーにアクセスできます。または、エンティティーのリストを表示すると、これらのカテゴリーは All entities の下に表示されます。
Node CVEs および Image CVEs リストビューで:
- 新しい Operating System 列には、CVE を含むイメージのベースオペレーティングシステムが表示されます。
- 新しい Severity 列には、オペレーティングシステムのコンテキストにおけるパッケージの脆弱性の重大度が表示されます。オペレーティングシステムによっては、1 つの CVE の重大度レベルが異なる場合があります。
- 一部の CVE は、複数のカテゴリーで発生する場合があります。特定のカテゴリーの CVE に対して 延期して承認 オプションを選択すると、その CVE は選択したカテゴリーに対してのみ延期されます。たとえば、ある CVE が Node CVE と Image CVE の両方に適用される場合、その CVE を Node CVE カテゴリーから除外すると、引き続き Image CVE カテゴリーに表示されます。
1.2.2. PostgreSQL データベースオプション (テクノロジープレビュー)
PostgreSQL のサポートはテクノロジープレビュー機能のみです。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
RHACS は将来、バックエンドデータベースとして PostgreSQL を使用し、現在使用されているインメモリー RocksDB データベースを置き換えます。この移行は、現在のアーキテクチャーから PostgreSQL ベースのアーキテクチャーへの完全に自動化された移行を伴う、将来のリリースアップグレードの一部になります。
PostgreSQL を使用すると、お客様は、パフォーマンスの向上、データベースをスケーリングするための標準的なデータベース手順、バックアップと復元、および PostgreSQL データベースバックアップを使用した障害からの復旧というメリットを享受できます。さらに、既存の PostgreSQL インフラストラクチャーを使用して、RHACS 用の PostgreSQL データベースをプロビジョニングできます。
RHACS バージョン 3.73 では、PostgreSQL オプションがテクノロジープレビュー機能として利用できます。テクノロジープレビュープログラムへの参加に関心がある場合は、Red Hat が協力して手動で PostgreSQL に移行し、この機能をリリースする前にテスト環境でこれらの利点を確認できるようにします。参加するには、Red Hat アカウント担当者にお問い合わせください。
Red Hat がこの機能をリリースすると、PostgreSQL が RHACS の要件となり、PostgreSQL を使用せずに RHACS をアップグレードすることはできなくなります。
1.2.3. ビルド時の Kubernetes ネットワークポリシージェネレーター (テクノロジープレビュー)
ビルド時の Kubernetes ネットワークポリシージェネレーターは、テクノロジープレビュー機能のみです。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
RHACS 3.73 では、アプリケーション YAML マニフェストに基づいて Kubernetes ネットワークポリシーを生成するために、roxctl コマンドラインインターフェイス (CLI) に新しいビルド時の機能が導入されています。これを使用して、クラスターにアプリケーションをデプロイする前に、CI/CD パイプラインの一部としてネットワークポリシーを開発できます。
Red Hat は、NP-Guard プロジェクト の開発者と協力してこの機能を開発しました。ビルド時のネットワークポリシージェネレーターは、ローカルフォルダー内の Kubernetes マニフェストを分析します。これには、サービスマニフェスト、設定マップ、および Pod、Deployment、ReplicaSet、Job、DaemonSet、StatefulSet などのワークロードマニフェストが含まれます。必要な接続を検出し、Pod の分離を実現するための Kubernetes ネットワークポリシーを作成します。これらのポリシーは、必要なイングレストラフィックとエグレストラフィックよりも多くも少なくも許可しません。ビルド時のネットワークポリシー生成機能の場合、roxctl CLI は RHACS Central と通信する必要はありません。したがって、あらゆる開発環境で使用できます。
詳細は、ビルド時のネットワークポリシージェネレーターの使用 を参照してください。
