Red Hat Advanced Cluster Security for Kubernetes サポートマトリックス

はじめに

Red Hat Advanced Cluster Security for Kubernetes サポートポリシー は、RHACS リリースの一般的なサポート条件とライフサイクルポリシーを定義したものです。RHACS はさまざまな内部および外部の依存関係を持つ分散システムです。そのため、このドキュメントでは、RHACS と他のソフトウェアのサポート要件とサポート対象の組み合わせについて詳しく説明します。

概要

Red Hat Advanced Cluster Security for Kubernetes (RHACS または ACS) は、Kubernetes 上のクラウドネイティブ開発アプローチのセキュリティーニーズに対応するためのツールと機能を提供します。RHACS ソリューションは、監査、ネットワークセグメンテーションの認識と設定、セキュリティーリスクプロファイリング、セキュリティー関連の設定管理、脅威の検出、インシデント対応を通じて、クラスターのセキュリティー、脆弱性管理、セキュリティーコンプライアンスを可視化します。さらに、ACS は、CLI と API を通じてアプリケーションコード開発プロセスにセキュリティーポリシーを適用する機能を提供します。これらのセキュリティー機能は、複数のデータセンター、プライベートクラウド、パブリッククラウドなど、さまざまな Kubernetes 環境を扱う開発者や管理者が担当する主な作業に相当するものです。

RHACS アーキテクチャーの概要

RHACS は、次の 2 つの論理サービスグループで構成されます。Central サービスとセキュアクラスターサービス。Central は、ポリシーと違反の管理インターフェイス、データの永続性、イメージスキャンを提供します。セキュアクラスターは、クラスターとワークロードのアクティビティーを監視してセキュリティーポリシーを適用するためのコンポーネントを提供します。通常、Central は、複数のセキュアクラスターの接続先である 1 つのクラスターにインストールします。詳細は、RHACS ドキュメントの 製品アーキテクチャー ページを参照してください。

RHACS Cloud Service (RHACS CS または Cloud Service) は、Red Hat が管理するインフラストラクチャーに Central をデプロイする Red Hat 製品です。これは、Red Hat の Software Engineering チームと Site Reliability Engineering (SRE) チームによってアップグレード、監視、管理されます。詳細は、RHACS ドキュメントの RHACS CS サービスの説明 ページを参照してください。

RHACS のセキュアクラスターサービスは、セルフマネージドの RHACS Central または RHACS CS のインスタンスのどちらかで動作します。どちらの場合も、セキュアクラスターは、お客様がデプロイ、アップグレード、管理する同じコンポーネントセットです。

RHACS のセキュアクラスターとセルフマネージド Central の新しいバージョンとパッチは、同時にリリースされます。現在サポートされている RHACS バージョンのリストは、RHACS サポートポリシー ドキュメントで参照できます。

RHACS Central とセキュアクラスターの互換性

セキュアクラスターのハードウェアアーキテクチャーは、Central のハードウェアアーキテクチャーと同じである必要はありません。共通の Central インスタンスから、同じまたは異なるハードウェアアーキテクチャーを持つ複数のセキュアクラスターに接続できます。

セキュアクラスターのバージョンとセルフマネージド Central

セルフマネージド Central に接続されていて、現在 Red Hat によってサポートされているバージョンのセキュアクラスターを使用している場合、そのセキュアクラスターはサポート対象となります。ただし、セキュアクラスターと Central のバージョンが一致していない場合、新しい製品機能が動作しない可能性があります。つまり、動作が保証されるのは、Central と接続されたセキュアクラスターのバージョンのうち、最も古い製品バージョンに存在する機能だけです。したがって、Red Hat では、最適な互換性を確保するために、セキュアクラスターコンポーネントを、接続先のセルフマネージド Central と同じバージョンに維持することを推奨しています。
Red Hat では、Central より先にセキュアクラスターをアップグレードすることは推奨していません。

セキュアクラスターのバージョンと RHACS CS

RHACS CS のインスタンスに接続されていて、現在 Red Hat によってサポートされているバージョンのセキュアクラスターを使用している場合、そのセキュアクラスターはサポート対象となります。ただし、最新バージョンのセキュアクラスターを使用する場合にのみ、すべての機能の動作が保証されます。Red Hat では、RHACS CS に接続されたセキュアクラスターの自動アップグレードを有効にすることを推奨しています。

さまざまな Kubernetes プラットフォームと RHACS との互換性

アップグレード

RHACS セルフマネージド Central と RHACS セキュアクラスターは、次の制約のもとで、中間バージョンをスキップしてアップグレードできます (例: 4.0 -> 4.2)。

• バージョン 3.x から 4.x への Central のアップグレードを実行する場合、まず 3.x を 3.74 にアップグレードし、次に 3.74 から 4.0 にアップグレードして、最後に 4.0 から目的のバージョンにアップグレードする必要があります。
• マニフェストベースのインストールをアップグレードする場合は、手動の手順 を実行する必要があります。

サポート対象のブラウザー

RHACS の ブラウザーサポート は、Red Hat のポリシーに準拠しています。ポリシーでは、次のブラウザーの最新バージョンをサポートすることが規定されています。

• Google Chrome
• Mozilla Firefox
• Apple Safari
• Microsoft Edge

アーキテクチャー別の互換性

OpenShift Container Platform の RHACS 互換性マトリックス^[1] - x86_64

OpenShift Container Platform の RHACS 互換性マトリックス^[1,8] - ppc64le (IBM Power)

OpenShift Container Platform の RHACS 互換性マトリックス ^[1,8] - s390x (IBM Z および IBM® LinuxONE)

OpenShift Container Platform の RHACS 互換性マトリックス^[1] - AArch64

データベースの対象範囲

RHACS 4.4 以降、RHACS は次の 2 種類の専用データベースを使用してインストールできます。

• RHACS によってインストールされるデータベース
• 外部データベース (RHACS 4.4 以降)

RHACS によってインストールされるデータベース

このデータベースは、RHACS のインストール方法によってインストールされる Red Hat PostgreSQL のインスタンスで構成されます。このインスタンスは、RHACS Central サービスと同じクラスター上の Pod として実行され、公式の RHACS PostgreSQL データベースイメージを使用します。これはデフォルトのインストール方法です。

外部データベース

これは、お客様が提供する外部の PostgreSQL 互換データベースです。このデータベースは、クラスター内またはクラスター外で、ベアメタルや仮想マシンに、またはクラウドホストサービスとしてデプロイできます。最適なパフォーマンスを得るために、RHACS Central サービスの近くでデータベースを実行することを推奨します。RHACS Central サービスをインストールするときに、データベース接続文字列と認証情報を指定する必要があります。

外部データベースは、インストールされている RHACS のバージョンに適したバージョンの PostgreSQL 互換データベースである必要があります。要件については、RHACS 外部 DB のドキュメント を参照してください。RHACS をインストールする前に、外部データベースをデプロイする必要があります。

RHACS と外部データベースの互換性

データベースのサポート範囲:

脚注

1.Red Hat OpenShift Container Platform にデプロイされた RHACS は、以下の条件をすべて満たす場合にサポートされます。対応するアーキテクチャーの互換性マトリックスに、デプロイされたサービスに対して互換性があるものとして RHACS と OCP の両方のバージョンがリストされています。RHACS のバージョンが 現在サポート対象、OCP のバージョンも 現在サポート対象 です。サポート対象の RHACS バージョンが、ライフサイクル終了となった OCP バージョンにデプロイされている場合、Red Hat はこの組み合わせをテストせず、この組み合わせに関連する修正も提供しません。

2.プラットフォームのサポートが利用できるかどうかは、全体的なプラットフォームのライフサイクルとライフサイクル終了日によって左右される場合があります。

3.Red Hat OpenShift Container Platform バージョンおよび Red Hat Advanced Cluster Security for Kubernetes の詳細なサポートマトリックスについては、上記の アーキテクチャー別の互換性 セクションを参照してください。

4.Advanced Cluster Security for Kubernetes (ACS) は、ACS のインストールとサイズの前提条件に合わせて、マネージド OpenShift サービス用のマネージド (ACS CS) アドオンまたはセルフマネージドアドオンとして購入できます。セルフマネージドアドオンの場合、ACS の Central サービスとセキュアクラスターサービスのデプロイと管理は、マネージドサービスのサービス内容の範囲外となります。そのため、ACS は SRE サービスに含まれません。

5. Advanced Cluster Security for Kubernetes (ACS) Central は、Red Hat OpenShift 4 でのみテストされ、認定され、完全にサポートされています。OpenShift 4 以外の環境で Central をデプロイして使用することは可能です。サポートは、基盤となるインフラストラクチャープロバイダーではなく、ACS 製品ソフトウェアに限定されます。問題の診断と切り分けの一環として、顧客は OpenShift 4 環境で問題を再現する必要がある場合があります。OpenShift 4 以外のプロバイダーおよびクラスターに固有の問題が発生した場合、Red Hat は、問題を切り分けるために、商業的に妥当な範囲でのサポートを提供します。お客様は、それぞれのプロバイダーにケースを開くことが期待される場合があります。Red Hat サードパーティーサポートポリシー を参照してください。

6.完全なプラットフォームアップグレード以外でデータベースを手動でアップグレードまたはカスタマイズすると、データベースが external になり、サポート性が制限されます。

7. eBPF 収集方法を使用すると、ACS 4.4 は 4.4.3 以降の OpenShift バージョン 4.16 をサポートします。CORE_BPF 収集方法を使用すると、ACS 4.4 は 4.4.0 以降の OpenShift バージョン 4.16 をサポートします。

8. OpenShift Container Platform バージョン 4.12 が、IBM Power だけでなく、IBM Z および IBM® LinuxONE でもライフサイクル終了に到達しました。IBM Power または IBM Z および IBM® LinuxONE 上の OpenShift Container Platform 4.12 で ACS を使用している場合、Red Hat では OpenShift Container Platform 4.14 以降にアップデートすることを推奨しています。

9. RHACS Central コンポーネントは、デフォルトの ROSA または ROKS/RHOIC クラスターに正しくデプロイされません。回避策としては、ワーカーノードをスケーリングして、RHACS コンポーネントをスケジュールできるようにします。詳細は、RHACS Central pods do not schedule on a default ROSA cluster を参照してください。

10.RHACS 4.6-4.7 は、aarch64 アーキテクチャーの テクノロジープレビュー です。RHACS 4.8 以降、セキュアクラスターでは aarch64 が完全にサポートされます。