この記事は、Rancher v2.2.7のリリースノート(原文は以下)を翻訳したものです。
Known Major Issuesは削除しました。
Release Release v2.2.7 · rancher/rancher
https://github.com/rancher/rancher/releases/tag/v2.2.7
リリース v2.2.7
重要メモ
-
このリリースは、Rancherが構成するKubernetesクラスターにあるKubernetesの脆弱性CVE-2019-11247 and CVE-2019-11249に修正した最新のKubernetes(v1.13.9, v1.14.5, v1.15.2等)に対応したものです。Rancherでは、全てのKubernetesクラスターをこれらのバージョンにアップグレードすることを推奨します。
-
このリリースではRancherで見つかったセキュリティーの脆弱性を修正しています:
- CVE-2019-14436 - プロジェクト所有者の権限昇格 - この脆弱性では、プロジェクトのメンバーがロールバインディングを編集して自分自身を割りあてたり、その他のクラスターレベルのロールをクラスターに対して管理者でアクセスすることができるように許可することができるというものです。NokiaのMichal LipinskiによりこのIssueが発見され、報告がありました。[#22026]
- CVE-2019-14435 - この脆弱性では、認証されたユーザーからRancherで使われているシステムコンテナーを通してIPリーチャブルなところのプライベートデータ等が抜き出される恐れがあるというものです。これは、クラウドプロバイダーのメタデータサービスのようなサービスにとどまりません。また、Rancherにはシステムサービスに接続できるドメインをホワイトリストで制限することができますが、この脆弱性は、慎重に細工されたHTTPリクエストによって悪用される可能性があります。WorkivaのMatt BelisleとAlex StevensonによりこのIssueが発見され、報告がありました。[#22025]
以上により、次のバージョンが最新と安定バージョンです:
Type | Rancher バージョン | Docker Tag | Helm Repo | Helm Chart バージョン |
---|---|---|---|---|
Latest | v2.2.7 | rancher/rancher:latest |
server-charts/latest | v2.2.7 |
Stable | v2.2.7 | rancher/rancher:stable |
server-charts/stable | v2.2.7 |
詳細なバージョン管理とタグ付けの規約については、version documentation を参照してください。
機能と機能強化
v2.2.6からのメジャーバグフィックス
- kubeletで
--authorization-mode=Webhook
を有効にしている場合、Rancherが構成したKubernetesクラスターが状態を更新するときにスタックする問題を修正しました。 - バックアップでタイムスタンプが無くなってしまうという問題を修正しました。 [#21697]
- Rancherのインストール時に証明書を使用したときに、ノードのプロビジョニングが機能しない問題が修正されました。 [#21729]
- AKSクラスタが正しいリソースグループおよび場所に配置できないという問題が修正されました。 [#21636]
その他注意事項
Rancherでプロビジョニングされたクラスターの証明書の有効期限
Rancher 2.0および2.1では、Rancherでプロビジョニングされたクラスター用に自動生成された証明書は有効期限が1年間です。つまり、Rancherでプロビジョニングされたクラスターは、1年経ったら証明書を入れ替える必要があります。そうしないと証明書が有効期限切れになり、クラスターが動かなくなります。Rancher 2.2.xからRancher UIからローテーションすることができます。詳細はここを参照してください。
Air Gap(訳注:インターネットに接続していない状態)のインストールとアップグレードでの追加手順
v2.2.0からRancherがグローバルDNS、アラート、モニタリングなどの特定の機能のために展開するマイクロサービスを管理するための"システムカタログ"を導入しました。これらの追加の手順はAir Gapインストール手順のドキュメントの一部に記載されています。
Known Major Issues
削除しました。
https://github.com/rancher/rancher/releases/tag/v2.2.7
をご参照ください。
Versions
Images
- rancher/rancher:v2.2.7
- rancher/rancher-agent:v2.2.7
Tools
システムチャートブランチ - air gap インストール用
- システムチャートブランチ -
release-v2.2
- これは、監視、ログ記録、警告、グローバルDNSなどのツールに必要なカタログを生成するために使用されるブランチです。 これらの機能をエアギャップインストール時に利用するには、system-charts
リポジトリを、Rancherが到達できるネットワーク上の場所にミラーリングして、Rancherからそのリポジトリが利用できるように設定する必要があります。
Kubernetes
アップグレードとロールバック
Rancherは、v2.0.2からアップグレードとロールバックの両方をサポートしています。 [アップグレード]または[ロールバック]でRancherのバージョンを変更する時は、対象バージョンに注意してください。
v2.1.0リリースで導入されたHA構成での改善により、Rancher helmチャートを使ったRancherのインストールまたはアップグレードが唯一サポートされている方法です。HA構成でのRancherをインストールするにはRancher helm chartを使用してください。 詳細は、HA Install - Installation Outlineを参照してください。
RKEアドオンインストール方法でHA構成を使用している場合は、RKEアドオンインストールからの移行 でhelm chartを使った方法への移行を参照してください。
v2.0.3よりも前のバージョンでワークロードをスケールアップする場合、ポッドは新しく作成されます。[#14136] - ワークロードのルールを更新する [#13527]、新しいフィールドが update
のすべてのワークロードに追加されました。これにより以前のバージョンからのワークロード内のポッドが再作成されます。
注意: ロールバックするときは、アップグレードする時の状態に戻って欲しいと思われていると思います。アップグレード後の変更は全て反映されていないことになります。Rancher single-node install(Rancherシングルノードインストール)でロールバックする場合は、デフォルトの:latest
タグではなくて、変更したいRancherのバージョンを正確に指定する必要があります。
注意: v2.0.0でhelm stableカタログを有効にしている場合は、内部リポジトリではなくKubernetes helmリポジトリを直接参照するようにカタログが変更されています。この変更を反映するには、カスタムカタログを削除してhelm stableを再度有効にしてください。[#13582]