지원콘솔개발자평가판 시작연락처

1.8. 확인된 문제

  • OpenShift Container Platform 4.1에서는 익명 사용자가 검색 엔드 포인트에 액세스할 수 있었습니다. 이후 릴리스에서는 일부 검색 끝점이 통합된 API 서버로 전달되기 때문에 보안 악용에 대한 가능성을 줄이기 위해 이 액세스를 취소했습니다. 그러나 인증되지 않은 액세스는 기존 사용 사례가 손상되지 않도록 업그레이드된 클러스터에 보존됩니다.

    OpenShift Container Platform 4.1에서 4.10으로 업그레이드된 클러스터의 클러스터 관리자인 경우 인증되지 않은 액세스를 취소하거나 계속 허용할 수 있습니다. 특별히 필요한 경우가 아니면 인증되지 않은 액세스를 취소하는 것이 좋습니다. 인증되지 않은 액세스를 계속 허용하는 경우 이에 따라 보안 위험이 증가될 수 있다는 점에 유의하십시오.

    주의

    인증되지 않은 액세스에 의존하는 애플리케이션이있는 경우 인증되지 않은 액세스를 취소하면 HTTP 403 오류가 발생할 수 있습니다.

    다음 스크립트를 사용하여 감지 끝점에 대한 인증되지 않은 액세스를 취소하십시오. 

    ## Snippet to remove unauthenticated group from all the cluster role bindings
$ for clusterrolebinding in cluster-status-binding discovery system:basic-user system:discovery system:openshift:discovery ;
do
### Find the index of unauthenticated group in list of subjects
index=$(oc get clusterrolebinding ${clusterrolebinding} -o json | jq 'select(.subjects!=null) | .subjects | map(.name=="system:unauthenticated") | index(true)');
### Remove the element at index from subjects array
oc patch clusterrolebinding ${clusterrolebinding} --type=json --patch "[{'op': 'remove','path': '/subjects/$index'}]";
done

    이 스크립트는 인증되지 않은 주제를 다음 클러스터 역할 바인딩에서 제거합니다.

    • cluster-status-binding
    • discovery
    • system:basic-user
    • system:discovery
    • system:openshift:discovery

    (BZ#1821771)

  • 명령이 주석 이름과 값 간의 구분 기호로 등호(=)를 포함하는 LDAP 그룹 이름에 대해 oc annotate 명령은 작동하지 않습니다. 이 문제를 해결하려면 oc patch 또는 oc edit를 사용하여 주석을 추가합니다. (BZ#1917280)
  • 현재 컨테이너는 상속할 수 없는 Linux 프로세스 기능으로 시작됩니다. 이 문제를 해결하려면 기본 프로세스가 시작되기 전에 상속 가능한 기능을 삭제하도록 capsh(1) 와 같은 유틸리티를 사용하여 컨테이너의 진입점을 수정합니다. (BZ#2076265)

  • OpenShift Container Platform 4.10으로 업그레이드할 때 Cluster Version Operator는 사전 조건 검사에 실패하는 동안 약 5분 동안 업그레이드를 차단합니다. It may not be safe to apply this update라는 오류 텍스트는 잘못된 것일 수 있습니다. 이 오류는 하나 또는 여러 개의 사전 조건 검사에 실패할 때 발생합니다. 경우에 따라 이러한 사전 조건 검사는 예를 들어 etcd 백업 중에 단기간 동안만 실패할 수 있습니다. 이러한 경우 Cluster Version Operator 및 해당 Operator는 설계에 따라 실패한 사전 조건 검사를 자동으로 해결하며 CVO가 업그레이드를 성공적으로 시작합니다.

    사용자는 클러스터 Operator의 상태 및 조건을 확인해야 합니다. Cluster Version Operator에서 It may not be safe to apply this update 오류가 표시되는 경우 이러한 상태 및 조건이 메시지의 심각도에 대한 자세한 정보를 제공합니다. 자세한 내용은 BZ#1999777, BZ#2061444, BZ#2006611 을 참조하십시오.

  • 송신 IP 기능이 있는 컨트롤 플레인 노드에 대한 송신 IP 주소 할당은 AWS(Amazon Web Services)에서 프로비저닝된 클러스터에서 지원되지 않습니다. (BZ#2039656)
  • 이전에는 RHOSP(Red Hat OpenStack Platform) 인증 정보 시크릿 생성과 kube-controller-manager 시작 사이에 경쟁 조건이 있었습니다. 결과적으로 RHOSP(Red Hat OpenStack Platform) 클라우드 공급자는 RHOSP 인증 정보로 구성되지 않았으며 LoadBalancer 서비스에 대한 Octavia 로드 밸런서를 생성할 때 지원이 중단됩니다. 이 문제를 해결하려면 매니페스트에서 Pod를 수동으로 삭제하여 kube-controller-manager Pod를 다시 시작해야 합니다. 해결방법을 사용하면 kube-controller-manager pod 재시작 및 RHOSP 인증 정보가 올바르게 구성됩니다. (BZ#2004542)
  • 모든 피연산자 삭제 옵션을 사용하여 웹 콘솔에서 delete all operands 기능은 현재 비활성화되어 있습니다. 향후 OpenShift Container Platform 버전에서 다시 활성화됩니다. 자세한 내용은 BZ#2012120BZ#2012971 을 참조하십시오.

  • 이 릴리스에는 Jenkins에서 알려진 문제가 포함되어 있습니다. OpenShift OAuth 경로의 호스트 이름과 인증서를 사용자 지정해도 Jenkins에서 더 이상 OAuth 서버 엔드포인트를 신뢰하지 않습니다. 결과적으로 OpenShift OAuth 통합을 사용하여 ID 및 액세스를 관리하는 경우 Jenkins 콘솔에 로그인할 수 없습니다.

    해결방법: Red Hat 지식 기반 솔루션을 확인하고 사용자 지정 OAuth 서버 URL을 사용하여 OpenShift에 Jenkins를 배포합니다. (BZ#1991448)

  • 이 릴리스에는 Jenkins에서 알려진 문제가 포함되어 있습니다. XML 파일의 유효성을 검사하거나 쿼리하는 데 필요한xmlstarlet 명령줄 툴킷이 이 RHEL 기반 이미지에서 누락되어 있습니다. 이 문제는 인증에 OpenShift OAuth를 사용하지 않는 배포에 영향을 미칩니다. OpenShift OAuth는 기본적으로 활성화되어 있지만 사용자는 이를 비활성화할 수 있습니다.

    해결방법: 인증에 OpenShift OAuth를 사용합니다. (BZ#2055653)

  • 인스턴스 그룹 이름이 최대 64자보다 긴 경우 GCP(Google Cloud Platform) UPI 설치에 실패합니다. "-instance-group" 접미사를 추가한 후 이름 지정 프로세스에서 제한됩니다. 문자 수를 줄이기 위해 접미사를 "-ig"로 줄입니다. (BZ#1921627)
  • RHOSP에서 실행되고 Kuryr를 사용하는 클러스터의 경우 Octavia의 OVN 공급자 드라이버의 버그로 인해 로드 밸런서 리스너가 연결된 로드 밸런서는 ACTIVE 상태로 유지되는 동안 PENDING_UPDATE 상태에서 멈출 수 있습니다. 결과적으로 kuryr-controller Pod가 충돌할 수 있습니다. 이 문제를 해결하려면 RHOSP를 버전 16.1.9 (BZ#2019980) 또는 버전 16.2.4 (BZ#2045088)로 업데이트하십시오.
  • vSphere install-config.yaml 파일에 잘못된 네트워크가 지정되면 잠시 후에 Terraform에서 오류 메시지가 생성됩니다. 매니페스트 생성 중에 검사를 추가하여 네트워크가 유효하지 않은 경우 사용자에게 알립니다. (BZ#1956776)
  • SRO(Special Resource Operator)가 소프트웨어 정의 네트워크 정책으로 인해 Google Cloud Platform에 설치되지 않을 수 있습니다. 결과적으로 simple-kmod Pod가 생성되지 않습니다. (BZ#1996916)
  • 현재 상태 저장 세트에 매핑된 서비스에 대해 oc idle 를 실행할 때 상태 저장 세트를 유휴 상태로 설정할 수 없습니다. 현재는 알려진 해결방법이 없습니다. (BZ#1976894)
  • Replicas Cloud International Portal 계정의 중국 (Nanjing) 및 RuntimeClass (Dubai) 리전은 설치 관리자 프로비저닝 인프라 (IPI) 설치를 지원하지 않습니다. 중국 (Guangzhou) 및 중국 (Ulanqab) 리전은 EgressIP Cloud International Portal 계정을 사용하는 경우SLB (Server Load Balancer)를 지원하지 않으므로 IPI 설치도 지원하지 않습니다. (BZ#2048062)
  • Alibaba Cloud의 한국(서울) ap-northeast-2 리전은 설치 프로그램 프로비저닝 인프라(IPI) 설치를 지원하지 않습니다. 한국(서울) 리전은 SLB(Server Load Balancer)를 지원하지 않으므로 IPI 설치도 지원하지 않습니다. 이 리전에서 OpenShift Container Platform을 사용하려면 Alibaba Cloud에 문의하십시오. (BZ#2062525)
  • 현재 Knative Serving - 버전 CPU, 메모리 및 네트워크 사용량Knative Serving 버전 대기열 프록시 지표 대시보드는 Knative 서비스가 없는 네임스페이스를 포함하여 모든 네임스페이스에 표시됩니다. (BZ#2056682)
  • 현재 개발자 화면에서 토폴로지 보기에서 선택한 것이 아니라 가장 최근에 실행한 워크로드에 대해 모니터링 대시보드가 열립니다. 이 문제는 세션에서 URL의 쿼리 매개변수 대신 Redux 저장소를 사용하므로 발생합니다. (BZ#2052953)
  • 현재 이 CR의 API 스키마가 클러스터에 초기화되지 않았기 때문에 ProjectHelmChartRepository CR(사용자 정의 리소스)이 클러스터에 표시되지 않습니다. (BZ#2054197)
  • 현재는 대량의 파이프라인 로그를 실행하는 동안 자동 스크롤 기능이 작동하지 않고 로그에서 이전 메시지가 표시되지 않습니다. 이 문제는 높은 수의 파이프라인 로그를 실행하면 scrollIntoView 메서드에 대한 많은 호출이 생성되기 때문에 발생합니다. (BZ#2014161)
  • 현재 Git에서 가져오기 양식을 사용하여 개인 Git 리포지토리를 가져오는 경우 올바른 가져오기 유형과 빌더 이미지가 확인되지 않습니다. 이 문제는 개인 리포지토리 세부 정보를 가져오는 시크릿이 디코딩되지 않았기 때문에 발생합니다. (BZ#2053501)
  • 모니터링 스택을 업그레이드하는 동안 Prometheus 및 Alertmanager를 간단히 사용할 수 없게 될 수 있습니다. 짧은 시간 이후 구성 요소를 사용할 수 있으므로 이 문제에 대한 해결방법은 필요하지 않습니다. 사용자 개입이 필요하지 않습니다. (BZ#203059)
  • 이번 릴리스에서는 메트릭 컬렉션에 TLS 인증을 사용하도록 모니터링 스택 구성 요소가 업데이트되었습니다. 그러나 Prometheus는 새 인증서가 제공된 후에도 만료된 TLS 인증 정보를 사용하여 메트릭 대상에 대한 HTTP 연결을 열린 상태로 유지하려고 하는 경우가 있습니다. 그런 다음 인증 오류가 발생하고 일부 메트릭 대상을 사용할 수 없게 됩니다. 이 문제가 발생하면 TargetDown 경고가 실행됩니다. 이 문제를 해결하려면 다운으로 보고된 Pod를 다시 시작합니다. (BZ#2033575)
  • 이번 릴리스에서는 모니터링 스택의 Alertmanager 복제본 수가 3에서 2로 단축되었습니다. 그러나 제거된 세 번째 복제본의 PVC(영구 볼륨 클레임)는 업그레이드 프로세스의 일부로 자동으로 제거되지 않습니다. 업그레이드 후 관리자는 Cluster Monitoring Operator에서 이 PVC를 수동으로 제거할 수 있습니다. (BZ#2040131)
  • 이전에는 --image 인수가 여러 개 제공될 때 oc adm must-gather 툴이 성능 특정 데이터를 수집하지 않았습니다. 작업이 완료되면 노드 및 성능 관련 파일을 포함한 파일이 누락되었습니다. 이 문제는 4.7에서 4.10 사이의 OpenShift Container Platform 버전에 영향을 미칩니다. 이 문제는 각 이미지에 대해 oc adm must-gather 작업을 두 번 실행하여 해결할 수 있습니다. 따라서 예상되는 모든 파일을 수집할 수 있습니다. (BZ#2018159)
  • 기술 프리뷰 oc-mirror CLI 플러그인을 사용할 때 업데이트된 이미지 세트를 미러 레지스트리로 미러링한 후 클러스터를 업데이트할 때 발생할 수 있는 알려진 문제가 있습니다. 새 버전의 Operator가 이전 버전의 Operator를 삭제한 다음 새 버전으로 교체하면 카탈로그가 유효하지 않은 것으로 표시되므로 oc-mirror 플러그인에서 생성된 CatalogSource 파일을 적용할 때 오류가 발생할 수 있습니다. 이 문제를 해결하려면 미러 레지스트리에서 이전 카탈로그 이미지를 삭제하고 새 주 이미지 세트를 생성 및 게시한 다음 CatalogSource 파일을 클러스터에 적용합니다. 이 문제가 해결될 때까지 새 차등 이미지 세트를 게시할 때마다 이 해결 방법을 따라야 합니다. (BZ#2060837)
  • GitOps ZTP 흐름 중 StoragePVC 사용자 정의 리소스의 처리는 사용자가 값을 포함하지 않는 경우 volume.beta.kubernetes.io/storage-class 주석을 제외하지 않습니다. 이 주석을 사용하면 spec.storageClassName 필드가 무시됩니다. 이를 방지하려면 스토리지 PVC 사용자 정의 리소스를 사용할 때 PolicyGenTemplate 내의 volume.beta.kubernetes.io/storage-class 주석에 원하는 StorageClass 이름을 설정합니다. (BZ#2060554)
  • BGP(Border Gateway Protocol) 피어 리소스에서 사용 가능한 BFD(BFD) 사용자 지정 프로필을 제거하면 BFD를 비활성화하지 않습니다. 대신 BGP 피어는 기본 BFD 프로필 사용을 시작합니다. BGP 피어 리소스에서 BFD를 비활성화하려면 BGP 피어 구성을 삭제하고 BFD 프로필없이 다시 생성합니다. (BZ#2050824)
  • RHOSP에서 실행되고 Mellanox NIC를 단일 루트 I/O 가상화 구성(SR-IOV)의 일부로 사용하는 클러스터의 경우 pod를 시작한 후 SR-IOV 장치 플러그인을 다시 시작한 다음 Pod를 중지하지 못할 수 있습니다. 이 문제에 대한 해결방법은 없습니다.
  • OpenShift Container Platform은 DHCP 서버 없이 설치 관리자 프로비저닝 클러스터 배포를 지원합니다. 그러나 DHCP 서버가 없으면 부트스트랩 VM이 baremetal 네트워크의 외부 IP 주소를 받지 않습니다. 부트스트랩 VM에 IP 주소를 할당하려면 부트스트랩 VM에 DHCP 서버가 없는 베어 메탈 네트워크의 IP 주소 할당을 참조하십시오. (BZ#2048600)
  • OpenShift Container Platform은 DHCP 서버가 없는 환경의 경우 baremetal 네트워크에 고정 IP 주소가 있는 설치 관리자 프로비저닝 클러스터를 배포할 수 있습니다. DHCP 서버가 있는 경우 재부팅 시 노드에서 DHCP 서버에서 IP 주소를 검색할 수 있습니다. DHCP가 재부팅 시 노드에 IP 주소를 할당하지 않도록 하려면 DHCP가 노드 재부팅시 IP 주소를 할당하지 않도록 방지하기에서 참조하십시오. (BZ#2036677)
  • RHCOS 커널에는 소프트 잠금이 발생하고 결국 Netfilter 모듈의 버그로 인해 패닉이 발생합니다. OpenShift Container Platform의 향후 z-stream 릴리스에서 이 문제를 해결하기 위한 수정 사항은 다음과 같습니다. (BZ#2061445)
  • 일부 이미지 인덱스에 이전 이미지가 포함되므로 oc adm catalog mirroroc image mirror 를 실행하면 소스 이미지를 검색할 수 없습니다. error: unable to retrieve source image. 임시 해결 방법으로 --skip-missing 옵션을 사용하여 오류를 무시하고 이미지 인덱스를 계속 다운로드할 수 있습니다. 자세한 내용은 Service Mesh Operator 미러링 실패 에서 참조하십시오.
  • VF(가상 기능)가 이미 존재하는 경우 물리적 기능(PF)에 macvlan을 생성할 수 없습니다. 이 문제는 Intel E810 NIC에 영향을 미칩니다. (BZ#2120585)
  • ZTP를 통해 배포된 클러스터에 호환되지 않는 정책이 있고 ClusterGroupUpdates 오브젝트가 없는 경우 TALM Pod를 다시 시작해야 합니다. TALM을 다시 시작하면 적절한 ClusterGroupUpdates 오브젝트가 생성되어 정책 준수를 적용합니다. (OCPBUGS-4065)
  • 현재 매우 많은 수의 파일이 포함된 PV(영구 볼륨)를 사용하는 경우 Pod가 시작되지 않거나 시작하는 데 과도한 시간이 걸릴 수 있습니다. 자세한 내용은 기술 자료 문서를 참조하십시오. (BZ1987112)
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.