1.8. 확인된 문제


  • OpenShift Container Platform 4.1에서는 익명 사용자가 검색 엔드 포인트에 액세스할 수 있었습니다. 이후 릴리스에서는 일부 검색 끝점이 통합된 API 서버로 전달되기 때문에 보안 악용에 대한 가능성을 줄이기 위해 이 액세스를 취소했습니다. 그러나 인증되지 않은 액세스는 기존 사용 사례가 손상되지 않도록 업그레이드된 클러스터에 보존됩니다.

    OpenShift Container Platform 4.1에서 4.11로 업그레이드된 클러스터의 클러스터 관리자인 경우 인증되지 않은 액세스를 취소하거나 계속 허용할 수 있습니다. 인증되지 않은 액세스가 필요하지 않은 경우 해당 액세스를 취소해야 합니다. 인증되지 않은 액세스를 계속 허용하는 경우 이에 따라 보안 위험이 증가될 수 있다는 점에 유의하십시오.

    주의

    인증되지 않은 액세스에 의존하는 애플리케이션이있는 경우 인증되지 않은 액세스를 취소하면 HTTP 403 오류가 발생할 수 있습니다.

    다음 스크립트를 사용하여 감지 끝점에 대한 인증되지 않은 액세스를 취소하십시오.

    ## Snippet to remove unauthenticated group from all the cluster role bindings
    $ for clusterrolebinding in cluster-status-binding discovery system:basic-user system:discovery system:openshift:discovery ;
    do
    ### Find the index of unauthenticated group in list of subjects
    index=$(oc get clusterrolebinding ${clusterrolebinding} -o json | jq 'select(.subjects!=null) | .subjects | map(.name=="system:unauthenticated") | index(true)');
    ### Remove the element at index from subjects array
    oc patch clusterrolebinding ${clusterrolebinding} --type=json --patch "[{'op': 'remove','path': '/subjects/$index'}]";
    done

    이 스크립트는 인증되지 않은 주제를 다음 클러스터 역할 바인딩에서 제거합니다.

    • cluster-status-binding
    • discovery
    • system:basic-user
    • system:discovery
    • system:openshift:discovery

    (BZ#1821771)

  • 명령이 주석 이름과 값 간의 구분 기호로 등호(=)를 포함하는 LDAP 그룹 이름에 대해 oc annotate 명령은 작동하지 않습니다. 이 문제를 해결하려면 oc patch 또는 oc edit를 사용하여 주석을 추가합니다. (BZ#1917280)
  • 모니터링 스택에서 사용자 정의 경고에 대한 전용 Alertmanager 인스턴스를 활성화 및 배포한 경우 OpenShift Container Platform 웹 콘솔의 개발자 화면에서 경고를 음소거할 수 없습니다. 이 문제는 4.11.8에서 해결되었습니다. (BZ#2100860)
  • 새로 설치된 OpenShift Container Platform 4.11 클러스터에서 플랫폼 모니터링 경고에는 openshift_io_alert_source="platform" 레이블이 없습니다. 이 문제는 이전 마이너 버전에서 업그레이드된 클러스터에는 영향을 미치지 않습니다. 현재 이 문제에 대한 해결방법이 없습니다. (BZ#2103127)
  • RHOSP(Red Hat OpenStack Platform)에서 포트 풀이 다양한 대량 포트 생성 요청을 동시에 채울 때 Kuryr에 잠재적인 문제가 영향을 미칠 수 있습니다. 이러한 대량 요청 중에 IP 주소 중 하나에 대한 IP 할당이 실패하면 Neutron에서 모든 포트에 대해 작업을 다시 시도합니다. 이 문제는 이전 에라타에서 해결되었지만 대규모 포트 생성 요청을 방지하기 위해 포트 풀 배치에 대해 작은 값을 설정할 수 있습니다. (BZ#2024690)
  • oc-mirror CLI 플러그인은 버전 4.9 이전의 OpenShift Container Platform 카탈로그를 미러링할 수 없습니다. (BZ#2097210)
  • 이미지 세트 구성의 archiveSize 값이 컨테이너 이미지 크기보다 작으면 oc-mirror CLI 플러그인은 대상 미러 레지스트리에 이미지 세트를 업로드하지 못할 수 있습니다. 이로 인해 카탈로그 디렉터리가 여러 아카이브에 걸쳐 있을 수 있습니다. (BZ#2106461)
  • OpenShift Container Platform 4.11에서 MetalLB Operator 범위가 네임스페이스에서 클러스터로 변경되었으며 이로 인해 이전 버전에서 업그레이드가 실패했습니다.

    이 문제를 해결하려면 이전 버전의 MetalLB Operator를 제거하십시오. MetalLB 사용자 정의 리소스의 네임스페이스 또는 인스턴스를 삭제하지 말고 새 Operator 버전을 배포합니다. 이렇게 하면 MetalLB가 실행되고 구성됩니다.

    자세한 내용은 MetalLB Operator 업그레이드를 참조하십시오. (BZ#2100180)

  • BFD(Bidirectional forwarding detection) 프로필을 삭제하고 BGP(Border Gateway Protocol) 피어 리소스에 추가된 bfdProfile 을 제거하면 BFD가 비활성화되지 않습니다. 대신 BGP 피어는 기본 BFD 프로필 사용을 시작합니다. BGP 피어 리소스에서 BFD를 비활성화하려면 BGP 피어 구성을 삭제하고 BFD 프로필없이 다시 생성합니다. (BZ#2050824)
  • OpenShift Container Platform 4.11용 OpenShift CLI(oc)는 Go 1.18 라이브러리에서 신뢰할 수 없는 인증서의 오류 처리 오류로 인해 macOS에서 제대로 작동하지 않습니다. 이 변경으로 인해 macOS에서 실행할 때 더 이상 진행하지 않고 certificate is not trusted 오류와 함께 oc login 및 기타 oc명령이 실패할 수 있습니다. Go 1.18에서 오류 처리가 올바르게 수정될 때까지( Go issue #52010에 의해 추적됨) 대신 OpenShift Container Platform 4.10 oc CLI를 사용하는 것이 좋습니다. OpenShift Container Platform 4.10 oc CLI를 OpenShift Container Platform 4.11 클러스터와 함께 사용할 때 oc serviceaccounts get-token <service_account> 명령을 사용하여 토큰을 가져올 수 없습니다. (BZ#2097830) (BZ#2109799)
  • 현재 Helm 차트 리포지토리 추가 양식에 프로젝트의 개발자 카탈로그를 확장하는 알려진 문제가 있습니다. 빠른 시작 가이드는 원하는 네임스페이스에 ProjectHelmChartRepository CR을 추가할 수 있는 반면 kubeadmin의 권한이 필요한 것은 아닙니다. (BZ#2054197)
  • 현재 알려진 문제가 있습니다. TLS 확인을 사용하는 ProjectHelmChartRepository CR(사용자 정의 리소스) 인스턴스를 생성하는 경우 리포지터리를 나열하고 Helm 관련 작업을 수행할 수 없습니다. 현재 이 문제에 대한 해결방법이 없습니다. (HELM-343)
  • 베어 메탈 IBM Power에서 OpenShift Container Platform을 실행할 때 Petitboot 부트로더가 일부 RHCOS 라이브 이미지의 부팅 구성을 채울 수 없는 알려진 문제가 있습니다. 이러한 경우 PXE로 노드를 부팅하여 RHCOS를 설치하면 예상되는 라이브 이미지 디스크 구성이 표시되지 않을 수 있습니다.

    이 문제를 해결하려면 Petitboot 쉘에서 kexec를 사용하여 수동으로 부팅할 수 있습니다.

    라이브 이미지를 보유한 디스크를 확인합니다(이 예제에서는 nvme0n1p3)를 실행하고 다음 명령을 실행합니다.

    # cd /var/petitboot/mnt/dev/nvme0n1p3/ostree/rhcos-*/
    # kexec -l vmlinuz-*.ppc64le -i initramfs-*.img -c "ignition.firstboot rd.neednet=1 ip=dhcp $(grep options /var/petitboot/mnt/dev/nvme0n1p3/loader/entries/ostree-1-rhcos.conf | sed 's,^options ,,')" && kexec -e

    (BZ#2107674)

  • 연결이 끊긴 환경에서 SRO는 기본 레지스트리에서 DTK를 가져오지 않습니다. 대신 미러 레지스트리에서 가져옵니다. (BZ#2102724)
  • 프로세스 카운터는 phc2sys가 실행되고 있지 않은 인터페이스에서 phc2sys 프로세스에 대한 잘못된 정보를 표시합니다. 현재 이 문제에 대한 해결방법이 없습니다. (OCPBUGSM-46005)
  • 듀얼 NIC PTP 구성이 있는 노드의 NIC(네트워크 인터페이스 컨트롤러)가 종료되면 두 PTP 인터페이스에 결함이 있는 이벤트가 생성됩니다. 현재 이 문제에 대한 해결방법이 없습니다. (OCPBUGSM-46004)
  • 저 대역폭 시스템에서, 시스템 클럭이 몇 시간 동안 연결이 끊어지고 복구된 후 시스템 클럭이 PTP 일반 클럭과 동기화되지 않습니다. 현재 이 문제에 대한 해결방법이 없습니다. (OCPBUGSM-45173)
  • 이전 버전에서는 OVN-Kubernetes 클러스터 네트워크 공급자를 사용하는 경우 type=LoadBalancer 가 있는 서비스가 internalTrafficPolicy=cluster 설정으로 구성된 경우 호스트 라우팅 테이블에 더 나은 경로가 포함되어 있어도 모든 트래픽이 기본 게이트웨이로 라우팅되었습니다. 이제 항상 기본 게이트웨이를 사용하는 대신 최상의 경로가 사용됩니다. (BZ#2060159)
  • OVN 클러스터에 작업자 노드가 75개 이상인 경우 2000개 이상의 서비스와 라우팅 오브젝트를 동시에 생성하면 생성된 Pod가 ContainerCreating 상태로 중단될 수 있습니다. 이 문제가 발생하면 oc describe pod <podname> 명령을 입력하면 다음과 같은 경고가 표시됩니다. FailedCreatePodSandBox…​failed to configure pod interface: timed out waiting for OVS port binding (ovn- installed) . 현재 이 문제에 대한 해결방법이 없습니다. (BZ#2084062)
  • 현재 OVN-Kubernetes에는 NetworkManager 서비스가 노드를 재시작할 때마다 네트워크 연결이 끊어지고 복구되어야 하는 알려진 문제가 있습니다. (BZ#2074009)
  • 기본 SCC(보안 컨텍스트 제약 조건)로 인해 일반 임시 볼륨을 사용하는 Pod가 Pending 상태로 유지될 수 있습니다. 이 문제를 해결하려면 사용자 지정 SCC를 생성할 수 있습니다. 자세한 내용은 SCC 오류로 인해 일반 임시 볼륨이 있는 Pod를 참조하십시오. 해결방법은 일반 임시 볼륨 사용 허용을 참조하십시오. (BZ#2100429)
  • OpenShift 샌드박스 컨테이너가 있는 경우 클러스터를 업그레이드할 때 MCO(Machine Config Operator) Pod가 CrashLoopBackOff 상태로 변경되고 Pod의 openshift.io/scc 주석이 기본 hostmount-anyuid 값 대신 sandboxed-containers-operator-scc 가 표시되는 문제가 발생할 수 있습니다.

    이 경우, sandboxed-containers-operator-scc SCC의 seLinuxOptions 전략을 덜 제한적인 RunAsAny 로 일시적으로 변경하여 허용 프로세스가 hostmount-anyuid SCC보다 우선하지 않도록 합니다.

    1. 다음 명령을 실행하여 seLinuxOptions 전략을 변경합니다.

      $ oc patch scc sandboxed-containers-operator-scc --type=merge --patch '{"seLinuxContext":{"type": "RunAsAny"}}'
    2. 다음 명령을 실행하여 MCO Pod를 다시 시작합니다.

      $ oc scale deployments/machine-config-operator -n openshift-machine-config-operator --replicas=0
      $ oc scale deployments/machine-config-operator -n openshift-machine-config-operator --replicas=1
    3. 다음 명령을 실행하여 sandboxed-containers-operator-sccseLinuxOptions 전략을 원래 MustRunAs 값으로 되돌립니다.

      $ oc patch scc sandboxed-containers-operator-scc --type=merge --patch '{"seLinuxContext":{"type": "MustRunAs"}}'
    4. 다음 명령을 실행하여 hostmount-anyuid SCC가 MCO Pod에 적용되었는지 확인합니다.

      $ oc get pods -n openshift-machine-config-operator -l k8s-app=machine-config-operator -o yaml | grep scc
      openshift.io/scc: hostmount-anyuid

    (KATA-1373)

  • 파이프라인 메트릭 API는 RHOSP 1.6 이상의 필수 pipelinerun/taskrun histogram 값을 지원하지 않습니다. 결과적으로 잘못된 값을 표시하는 대신 Pipeline Details 페이지의 지표 탭이 제거됩니다. 현재 이 문제에 대한 해결방법이 없습니다. (link: BZ#2074767)
  • 일부 Alibabacloud 서비스는 클러스터의 모든 리소스를 지정된 리소스 그룹에 배치하지 않습니다. 결과적으로 OpenShift Container Platform 설치 프로그램에서 생성된 일부 리소스는 기본 리소스 그룹에 배치됩니다. 현재 이 문제에 대한 해결방법이 없습니다. (BZ#2096692)
  • 각 클러스터 노드를 재부팅한 후 클러스터 Operator 네트워크kube-apiserver 가 클러스터의 각 노드를 재부팅한 후 성능이 저하되고 클러스터가 비정상 상태가 됩니다. 현재 이 문제에 대한 해결방법이 없습니다. (BZ#2102011)
  • install-config.yamlresourceGroupID 를 지정하면 부트스트랩 리소스를 삭제할 때 오류가 표시되고 OpenShift Container Platform 설치가 실패합니다. 이 문제에 대한 해결 방법으로 install-config.yamlresourceGroupID 를 지정하지 마십시오. (BZ#2100746)
  • RHEL 컴퓨팅 노드의 스케일 업과 관련하여 알려진 문제가 있습니다. 새 노드가 Ready 로 변경될 수 있지만 Ingress Pod는 이러한 노드에서 실행 중으로 전환할 수 없으며 확장에 성공할 수 없습니다. 해결 방법으로 RHCOS 노드를 사용한 확장 기능이 작동합니다. (BZ#2056387)
  • GCP(Google Cloud Platform)에 머신 세트를 생성한 후 capg-controller-manager 시스템이 프로비저닝에 남아 있습니다. 현재 이 문제에 대한 해결방법이 없습니다. (BZ#2107999)
  • 클러스터에서 생성한 PV(영구 볼륨)가 destroy cluster 명령으로 정리되지 않는 Nutanix에 알려진 문제가 있습니다. 이 문제에 대한 해결 방법으로 PV를 수동으로 정리해야 합니다. (BZ#2108700)
  • Nutanix 설치에는 Prism Central 2022.x에서 4096비트 인증서를 사용하는 경우 설치에 실패하는 알려진 문제가 있습니다. 대신 2048비트 인증서를 사용합니다. (KCS)
  • 현재 잘못된 구문 또는 값이 성공으로 egressqos 를 생성하고 편집할 때 알려진 문제가 있습니다. egressqos 의 잘못된 값이 성공적으로 생성되지 않아야 합니다. 현재 이 문제에 대한 해결방법이 없습니다. (BZ#2097579)
  • 일부 이미지 인덱스에 이전 이미지가 포함되므로 oc adm catalog mirroroc image mirror 를 실행하면 소스 이미지를 검색할 수 없습니다. error: unable to retrieve source image. 임시 해결 방법으로 --skip-missing 옵션을 사용하여 오류를 무시하고 이미지 인덱스를 계속 다운로드할 수 있습니다. 자세한 내용은 Service Mesh Operator 미러링 실패 에서 참조하십시오.
  • VF(가상 기능)가 이미 존재하는 경우 물리적 기능(PF)에 macvlan을 생성할 수 없습니다. 이 문제는 Intel E810 NIC에 영향을 미칩니다. (BZ#2120585)
  • ZTP를 통해 배포된 클러스터에 호환되지 않는 정책이 있고 ClusterGroupUpdates 오브젝트가 없는 경우 TALM Pod를 다시 시작해야 합니다. TALM을 다시 시작하면 적절한 ClusterGroupUpdates 오브젝트가 생성되어 정책 준수를 적용합니다. (OCPBUGS-4065)
  • 현재 x509: 인증서로 특히 출력되는 인증서 컴플라이언스 문제는 VMware vSphere에 OpenShift Container Platform 클러스터를 설치하기 위해 macOS에서 설치 프로그램을 실행할 때 존재합니다. 이 문제는 컴파일러가 새로 지원되는 macOS 인증서 표준을 인식하지 못하는 golang 컴파일러의 알려진 문제와 관련이 있습니다. 이 문제에 대한 해결방법이 없습니다. (OSDOCS-5694)
  • 현재 매우 많은 수의 파일이 포함된 PV(영구 볼륨)를 사용하는 경우 Pod가 시작되지 않거나 시작하는 데 과도한 시간이 걸릴 수 있습니다. 자세한 내용은 기술 자료 문서를 참조하십시오. (BZ1987112)
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.