このドキュメントで説明されているソフトウェアは、サポートされなくなったか、拡張サポートされています。
Oracleでは、現在サポートされているリリースにアップグレードすることをお勧めします。
第3章 新機能と主な変更点
この章では、各Oracle Cloud Native Environmentリリースの新機能と注目すべき変更について説明します。
3.1 リリース1.3.5
この項では、リリース1.3.5のOracle Cloud Native Environmentでの重要な変更を示します。
次のコンポーネントが更新されました:
Istio更新済: Istioはリリース1.12.6に更新されます。
Prometheus更新済: Prometheusがリリース2.30.1に更新されます。
Grafana更新済: Grafanaがリリース7.5.15に更新されます。
3.2 リリース1.3.2
この項では、リリース1.3.2のOracle Cloud Native Environmentでの重要な変更を示します。
次のコンポーネントが更新されました:
Kubernetes更新済: Kubernetesがリリース1.20.11に更新されます。
Istio更新済: Istioはリリース1.10.4に更新されます。
3.3 リリース1.3.1
この項では、リリース1.3.1のOracle Cloud Native Environmentでの重要な変更を示します。
IPマスカレーディング: IPマスカレーディングの設定は、Oracle Linux 7コントロール・プレーンまたはワーカー・ノードでは不要です。 Oracle Linux 7のリリース1.3.0インストールでは、IPマスカレーディングが引き続き必要です。 すべてのアップグレードを最新の1.3リリースに行う必要があるため、IPマスカレーディング構成手順は「更新およびアップグレード」から削除されました。これを設定する必要はありません。
次のコンポーネントが更新されました:
Istio更新済: Istioはリリース1.10.2に更新されます。
3.4 リリース1.3.0
この項では、リリース1.3.0のOracle Cloud Native Environmentでの重要な変更を示します。
Operator Lifecycle Manager: 新しいOperator Lifecycle Managerモジュールが追加されます。 このモジュールは、Kubernetesクラスタ内のKubernetesオペレータのインストールおよび管理に使用できます。
Operator Lifecycle Managerモジュールのインストールおよび使用の詳細は、「コンテナ・オーケストレーション」を参照してください。
Kubernetes更新済: Kubernetesがリリース1.20.6に更新されます。
CRI-O更新済: CRI-Oはリリース1.20.2に更新されます。
Kataコンテナ更新済: Kataコンテナはリリース1.12.1に更新されます。
Helm更新済: Helmはリリース3.5.4に更新されます。
Istio更新済: Istioはリリース1.8.5に更新されます。
Prometheus更新済: Prometheusはリリース2.21.0に更新されます。
Grafana更新済: Grafanaがリリース7.2.1に更新されます。
インストールの変更: 新しいULNチャネル(ol7_x86_64_olcne13)および新しいOracle Linux yumサーバー・リポジトリ(ol7_olcne13)を使用して、Oracle Linux 7にOracle Cloud Native Environmentリリース1.3パッケージをインストールできます。 この新しいチャネルまたはリポジトリを使用して、リリース1.3 (Oracle Linux 7)にインストールまたはアップグレードします。
新しいULNチャネル(ol8_x86_64_olcne13)および新しいOracle Linux yumサーバー・リポジトリ(ol8_olcne13)を使用して、Oracle Cloud Native Environmentリリース1.3パッケージをOracle Linux 8にインストールできます。 この新しいチャネルまたはリポジトリを使用して、リリース1.3をOracle Linux 8にインストールします。
ULNチャネルまたはOracle Linux yumサーバー・リポジトリの設定の詳細は、スタート・ガイドを参照してください。
非推奨通知: Unbreakable Enterprise Kernelリリース5 (UEK R5)を実行しているOracle Linux 7は、Oracle Cloud Native Environmentリリース1.4でカーネルとして削除される予定です。 Oracle Cloud Native Environmentリリース1.3は、このカーネルが使用できる最後のリリースです。
3.5 リリース1.2.5
この項では、リリース1.2.5のOracle Cloud Native Environmentでの重要な変更を示します。
次のコンポーネントが更新されました:
Istio更新済: Istioはリリース1.9.8に更新されます。
3.6 リリース1.2.4
この項では、リリース1.2.4のOracle Cloud Native Environmentでの重要な変更を示します。
IPマスカレーディング: IPマスカレーディングの設定は、Oracle Linux 7コントロール・プレーンまたはワーカー・ノードでは不要です。 Oracle Linux 7のリリース1.2.3以前のインストールでは、IPマスカレーディングが引き続き必要です。 すべてのアップグレードを最新の1.2リリースに行う必要があるため、IPマスカレーディング構成手順は「更新およびアップグレード」から削除されました。これを設定する必要はありません。
次のコンポーネントが更新されました:
Istio更新済: Istioはリリース1.9.6に更新されます。
Prometheus更新済: Prometheusはリリース2.21.0に更新されます。
Grafana更新済: Grafanaがリリース7.2.1に更新されます。
3.7 リリース1.2.2
この項では、リリース1.2.2のOracle Cloud Native Environmentでの重要な変更を示します。
externalIPsの検証: KubernetesサービスでexternalIPsへのアクセスを設定するオプションを追加することで、olcnectl module createおよびolcnectl module updateコマンドが改善されます。
KubernetesサービスでのexternalIPsへのアクセスの設定の詳細は、「コンテナ・オーケストレーション」を参照してください。
3.8 リリース1.2.0
この項では、リリース1.2.0のOracle Cloud Native Environmentでの重要な変更を示します。
Oracle Linux 8: Oracle Cloud Native Environmentは、Unbreakable Enterprise Kernelリリース6 (UEK R6)を使用してOracle Linux 8 (x86_64)を実行しているホストにインストールできます。 少なくともOracle Linux 8.3が必要です。
インストールの変更: 新しいULNチャネル(ol7_x86_64_olcne12)および新しいOracle Linux yumサーバー・リポジトリ(ol7_olcne12)を使用して、Oracle Linux 7にOracle Cloud Native Environmentリリース1.2パッケージをインストールできます。 Oracle Linux 7でのリリース1.2のインストールまたはアップグレードには、この新しいチャネルまたはリポジトリを使用します。
新しいULNチャネル(ol8_x86_64_olcne12)および新しいOracle Linux yumサーバー・リポジトリ(ol8_olcne12)を使用して、Oracle Cloud Native Environmentリリース1.2パッケージをOracle Linux 8にインストールできます。 Oracle Linux 8へのリリース1.2のインストールには、この新しいチャネルまたはリポジトリを使用します。
ULNチャネルまたはOracle Linux yumサーバー・リポジトリの設定の詳細は、スタート・ガイドを参照してください。
Kubernetesデータ・プレーンのネットワーク・インタフェース: olcnectl module createコマンドが拡張されて、Kubernetesデータ・プレーンに使用するネットワーク・インタフェースを設定するための新しい--pod-network-ifaceオプションが追加されました。 olcnectl module createコマンドを使用したKubernetesクラスタの作成およびデータ・プレーン用のネットワーク・インタフェースの設定の詳細は、コンテナ・オーケストレーションを参照してください。
SELinux: olcnectl module createコマンドとolcnectl module updateコマンドが改善され、クラスタ内のノードのSELinuxモードを設定するための新しい--selinuxオプションが追加されました。 Kubernetesモジュールの作成時にSELinuxをenforcing(推奨)またはpermissiveモードに設定するか、Kubernetesモジュールのインストール後に設定を変更できます。
Platform AgentおよびPlatform API ServerのTLS構成: olcnectlコマンドが改善され、Platform AgentおよびPlatform API ServerのTLS構成を設定するための新しいグローバル・オプションが追加されました。 olcnectlコマンドの新しいグローバル・オプションは次のとおりです。
-
--olcne-tls-cipher-suites -
--olcne-tls-max-version -
--olcne-tls-min-version
新しいグローバル・オプションの詳細は、プラットフォーム・コマンドライン・インタフェースを参照してください。
KubernetesモジュールのTLS構成: olcnectl module createコマンドが改善され、KubernetesモジュールのTLS構成を設定するための新しいオプションが追加されました。 olcnectl module createコマンドの新しいオプションは次のとおりです。
-
--kube-tls-cipher-suites -
--kube-tls-min-version
olcnectl module createの新しいオプションの詳細は、プラットフォーム・コマンドライン・インタフェースを参照してください。
非推奨になったPlatform CLIオプション: olcnectl module createコマンドのapiserver-advertise-addressオプションは非推奨になりました。 このオプションは、単一のコントロール・プレーン・ノードを使用して、Kubernetes APIサーバーを非HAクラスタ内のKubernetesクラスタのメンバーに通知する宛先のIPアドレスを設定するものです。 --master-nodesオプションはIPアドレスを指定し、この非推奨オプションは使用されなくなりました。
3.9 リリース1.1.10
この項では、リリース1.1.10のOracle Cloud Native Environmentでの重要な変更を示します。
externalIPsの検証: KubernetesサービスでexternalIPsへのアクセスを設定するオプションを追加することで、olcnectl module createおよびolcnectl module updateコマンドが改善されます。
KubernetesサービスでのexternalIPsへのアクセスの設定の詳細は、「コンテナ・オーケストレーション」を参照してください。
3.10 リリース1.1.7
この項では、リリース1.1.7のOracle Cloud Native Environmentでの重要な変更を示します。
カーネルのサポート: Unbreakable Enterprise Kernelリリース5に加えて、Unbreakable Enterprise Kernelリリース6もOracle Linux 7でサポートされるカーネルになりました。
3.11 リリース1.1.6
この項では、リリース1.1.6のOracle Cloud Native Environmentでの重要な変更を示します。
NGINXロード・バランサの更新: Platform CLIによってオプションでインストールできるNGINXロード・バランサを更新するための新しいオプションがPlatform CLIに追加されました。 新しい--nginx-imageオプションが、olcnectl module updateコマンドに含まれています。 このオプションは、コントロール・プレーン・ノード上のNGINXの更新に使用するNGINXコンテナ・イメージの場所を指定するために使用されます。
このエラータ・リリースの更新の詳細は、更新およびアップグレードを参照してください。
3.12 リリース1.1.5
この項では、リリース1.1.5のOracle Cloud Native Environmentでの重要な変更を示します。
このリリースでは、CVE-2020-16845.が解決されます。 このCVEは、無効な入力を介してエンコード/バイナリでReadUvarintおよびReadVarintに無限の読取りループを持つ可能性がある「Go」に関連しています。 このために更新されたコンポーネントは次のとおりです。
-
Platform API Server: リリース1.1.5に更新されました。
-
Platform Agent: リリース1.1.5に更新されました。
-
Platform CLI: リリース1.1.5に更新されました。
-
Kataコンテナ: セキュリティ修正がリリース1.7.3にバックポートされました。
-
CRI-0: セキュリティ修正がリリース1.17.0にバックポートされました。
-
Kubernetes: セキュリティ修正がリリース1.17.9にバックポートされました。
-
Istio: セキュリティ修正がリリース1.14.10にバックポートされました。
-
Helm: セキュリティ修正がリリース3.1.1にバックポートされました。
-
Prometheus: セキュリティ修正がリリース2.13.1にバックポートされました。
-
Grafana: セキュリティ修正がリリース6.7.4にバックポートされました。
Platform API Serverは、フランネル構成で受け入れられないKubernetesポッド・サブネット・フラグ(--pod-cidr)に関連する問題の修正を含むようにも更新されています。
このエラータ・リリースの更新の詳細は、更新およびアップグレードを参照してください。
3.13 リリース1.1.4
この項では、リリース1.1.4のOracle Cloud Native Environmentでの重要な変更を示します。
Kataコンテナの更新: Kataコンテナが更新され、Kataパッケージに特定のバージョンのkernel-uek-containerパッケージのハードコードされた依存性があるという問題が解決されました。
Kubernetesの更新: Kubernetesが更新され、KataメタパッケージのKataバージョンが設定されます。
Platform Agentの更新: Platform Agentが更新され、プロキシ・サーバーを使用してコンテナ・イメージをプルする問題が解決されました。 Platform Agentは、podman pullではなくcrictl pullを使用してコンテナ・イメージをプルするようになりました。
CRI-Oの更新: CRI-Oが更新され、デフォルトのcni-pluginsディレクトリの問題が解決されました。 これは、/usr/libexec/cniではなく/opt/cni/binに設定されるようになりました。
このエラータ・リリースの更新の詳細は、更新およびアップグレードを参照してください。
3.14 リリース1.1.3
この項では、リリース1.1.3のOracle Cloud Native Environmentでの重要な変更を示します。
Kubernetesの更新: Kubernetesが更新され、rootの/var/lib/kubeletディレクトリがユーザーによってマウントされている場合はkubeadm resetでアンマウントされないという問題が解決されました。
このエラータ・リリースの更新の詳細は、更新およびアップグレードを参照してください。
3.15 リリース1.1.2
この項では、リリース1.1.2のOracle Cloud Native Environmentでの重要な変更を示します。
Kubernetesの更新: Kubernetesはリリース1.17.9に更新され、次のCVEが解決されました。
-
CVE-2020-8559。 このCVEは、攻撃者がkubeletへの特定のリクエストを傍受できる場合、元のリクエストの資格情報を使用してクライアントが従う可能性のあるリダイレクト応答を送信できるという問題に関連しています。 これにより、他のノードが危険にさらされる可能性があります。
-
CVE-2020-8557。 このCVEは、ポッドによる一時的な記憶域使用量を計算するときに、kubeletによってポッドにマウントされた
/etc/hostsファイルがkubeletエビクション・マネージャに含まれない問題に関連しています。 ポッドが大量のデータを/etc/hostsファイルに書き込むと、ノードの記憶域がいっぱいになり、ノードに障害が発生する可能性があります。
Istioの更新: Istioがリリース1.4.10に更新され、次のCVEが解決されました。
-
CVE-2020-1764。 このCVEは、Kialiをインストールするためのデフォルトの
signing keyに関連しています。 これにより、Kialiへのアクセス権を持つ攻撃者が、認証をバイパスし、Istioに対する管理権限を取得できる可能性があります。 -
CVE-2020-10739。 このCVEは、特別に作成されたパケットを送信する際に、攻撃者がNullポインタ例外をトリガーしてサービス拒否を引き起こす可能性があるという問題に関連しています。 これは入力ゲートウェイまたはサイドカーに送信される可能性があります。
-
CVE-2020-11080。 このCVEは、特別に作成したパケットを送信する際に、攻撃者がCPUを100%でスパイクする可能性があるという問題に関連しています。 これは入力ゲートウェイまたはサイドカーに送信される可能性があります。
-
CVE-2020-15104。 このCVEは、TLS証明書の検証時に、EnvoyがDNSサブジェクト代替名(SAN)のワイルドカードを複数のサブドメインに適用することを誤って許可するという問題に関連しています。
Kataの更新: Kataのセキュリティ修正がリリース1.7.3にバックポートされ、次のCVEが解決されました。
-
CVE-2020-2024。 このCVEは、コンテナを分解する際の不適切なリンク解決脆弱性に関連しています。 悪意のあるゲストがkata-runtimeをだまして、ホスト上のマウントポイントとその下にあるすべてのマウントポイントをアンマウントする可能性があり、その結果、ホストのサービス拒否が発生する可能性があります
-
CVE-2020-2025。 このCVEは、ホスト上の基礎となるイメージ・ファイルに対する永続的なゲストファイル・システムの変更に関連しています。 悪意のあるゲストがイメージ・ファイルを上書きして、後続のすべてのゲスト仮想マシンを制御できる可能性があります。
-
CVE-2020-2026。 このCVEは、任意のホスト・パスへの信頼できないコンテナ・ファイル・システムのマウントに関連しています。 コンテナの作成前に侵害された悪意のあるゲストが、kata-runtimeをだまして、信頼できないコンテナ・ファイル・システムを任意のホスト・パスにマウントさせ、ホストでのコード実行を可能にする可能性があります
このエラータ・リリースの更新の詳細は、更新およびアップグレードを参照してください。
3.16 リリース1.1.1
この項では、リリース1.1.1のOracle Cloud Native Environmentでの重要な変更を示します。
Kubernetesの更新: Kubernetesはリリース1.17.6に更新され、2つのCVEが解決されました。
-
CVE-2020-8555。 このCVEは、
kube-controller-managerのServer Side Request Forgery (SSRF)の脆弱性に関連しています。 -
CVE-2020-10749。 このCVEは、中間者攻撃の脆弱性に関連しています。
Grafanaの更新: Grafanaはリリース6.7.4に更新され、CVE-2020-13379が解決されました。 このCVEは、Grafanaでの不正なアクセス制御の問題に関連しています。
このエラータ・リリースの更新の詳細は、更新およびアップグレードを参照してください。
3.17 リリース1.1.0
この項では、リリース1.1.0のOracle Cloud Native Environmentでの重要な変更を示します。
-
Kubernetesが1.17に更新されました: Kubernetes 1.17は、Oracle Cloud Native Environmentの新しいクラスタ内のノードにインストールされるデフォルト・リリースです。 既存のKubernetesリリース1.14デプロイメントはリリース1.17にアップグレードできます。 リリース1.1へのアップグレードの詳細は、更新およびアップグレードを参照してください。
-
Kubernetesクラスタのスケーリング: olcnectl module updateコマンドが拡張されて、コントロール・プレーン・ノードとワーカー・ノードの追加またはコントロール・プレーン・ノードとワーカー・ノードの削除によってKubernetesクラスタをスケーリングできるようになりました。 olcnectl module updateコマンドを使用したKubernetesクラスタのスケーリングの詳細は、コンテナ・オーケストレーションを参照してください。
-
サービス・メッシュ: 新しいモジュールを使用して、サービス・メッシュをKubernetesクラスタにデプロイできます。 Oracle Cloud Native EnvironmentのIstioモジュールは、Oracle Cloud Native Environmentにサービス・メッシュをデプロイします。 Grafanaはサービス・メッシュの一部としてデプロイされます。 サービス・メッシュのデプロイおよび使用の詳細は、サービス・メッシュを参照してください。 Grafanaの使用の詳細は、モニタリングおよびビジュアライゼーションを参照してください。
-
ファイアウォールの変更点: ファイアウォールでKubernetesノードに対してマスカレードを有効化する必要がなくなりました。 かわりに、ノードで
cni0インタフェースを信頼できるゾーンに追加する必要があります。 Kubernetesノードのファイアウォールおよびネットワーク要件の詳細は、スタート・ガイドを参照してください。 -
インストールの変更: 新しいULNチャネル(
ol7_x86_64_olcne11)および新しいOracle Linux yumサーバー・リポジトリ(ol7_olcne11)を使用して、Oracle Cloud Native Environmentリリース1.1パッケージをインストールできます。 この新しいチャネルまたはリポジトリを使用して、リリース1.1のインストールまたはアップグレードを行います。 ULNチャネルまたはOracle Linux yumサーバー・リポジトリの設定の詳細は、スタート・ガイドを参照してください。