1.8. 확인된 문제
OpenShift Container Platform 4.1에서는 익명 사용자가 검색 엔드 포인트에 액세스할 수 있었습니다. 이후 릴리스에서는 일부 검색 끝점이 통합된 API 서버로 전달되기 때문에 보안 악용에 대한 가능성을 줄이기 위해 이 액세스를 취소했습니다. 그러나 인증되지 않은 액세스는 기존 사용 사례가 손상되지 않도록 업그레이드된 클러스터에 보존됩니다.
OpenShift Container Platform 4.1에서 4.13으로 업그레이드된 클러스터의 클러스터 관리자인 경우 인증되지 않은 액세스를 취소하거나 계속 허용할 수 있습니다. 인증되지 않은 액세스가 필요하지 않은 경우 해당 액세스를 취소해야 합니다. 인증되지 않은 액세스를 계속 허용하는 경우 이에 따라 보안 위험이 증가될 수 있다는 점에 유의하십시오.
주의인증되지 않은 액세스에 의존하는 애플리케이션이있는 경우 인증되지 않은 액세스를 취소하면 HTTP
403오류가 발생할 수 있습니다.다음 스크립트를 사용하여 감지 끝점에 대한 인증되지 않은 액세스를 취소하십시오.
## Snippet to remove unauthenticated group from all the cluster role bindings $ for clusterrolebinding in cluster-status-binding discovery system:basic-user system:discovery system:openshift:discovery ; do ### Find the index of unauthenticated group in list of subjects index=$(oc get clusterrolebinding ${clusterrolebinding} -o json | jq 'select(.subjects!=null) | .subjects | map(.name=="system:unauthenticated") | index(true)'); ### Remove the element at index from subjects array oc patch clusterrolebinding ${clusterrolebinding} --type=json --patch "[{'op': 'remove','path': '/subjects/$index'}]"; done이 스크립트는 인증되지 않은 주제를 다음 클러스터 역할 바인딩에서 제거합니다.
-
cluster-status-binding -
discovery -
system:basic-user -
system:discovery -
system:openshift:discovery
-
-
명령이 주석 이름과 값 간의 구분 기호로 등호(
=)를 포함하는 LDAP 그룹 이름에 대해oc annotate명령은 작동하지 않습니다. 이 문제를 해결하려면oc patch또는oc edit를 사용하여 주석을 추가합니다. (BZ#1917280) Git 리포지토리를 추가하고 GitLab 및 Bitbucket
pipeline-as-code리포지토리로 구성하면 잘못된 리포지토리 리소스가 생성됩니다. 결과적으로 GitLab 및 Bitbucket 공급자에 대해spec.git_provider.urlGit 공급자 URL이 제거됩니다.해결방법: Bitbucket에 대한 필수
spec.git_provider.user필드를 추가합니다. 또한 Git 액세스 토큰 또는 Git 액세스 토큰 시크릿 을 선택하여 Git 리포지토리를 계속 추가합니다. (OCPBUGS-7036)-
현재
x509: 인증서로 특히 출력되는 인증서컴플라이언스 문제는 VMware vSphere에 OpenShift Container Platform 클러스터를 설치하기 위해 macOS에서 설치 프로그램을 실행할 때 존재합니다. 이 문제는 컴파일러가 새로 지원되는 macOS 인증서 표준을 인식하지 못하는golang컴파일러의 알려진 문제와 관련이 있습니다. 이 문제에 대한 해결방법이 없습니다. (OSDOCS-5694) -
ControlPlaneMachineSet정의에 세 개 이상의 실패 도메인을 포함하는 경우 로드 밸런싱 알고리즘은 기존 컨트롤 플레인 시스템에 우선 순위를 지정하지 않습니다. 기존 세 가지 실패 도메인보다 우선 순위가 알파벳순으로 높은 네 번째 실패 도메인을 추가하는 경우 네 번째 실패 도메인은 기존 실패 도메인보다 우선합니다. 이 동작은 롤링 업데이트를 컨트롤 플레인 시스템에 적용할 수 있습니다. 기존의 사용 중인 장애 도메인을 신규 및 사용되지 않는 장애 도메인보다 우선 순위가 높으면 이 문제를 방지할 수 있습니다. 이 작업은 정의에 세 개 이상의 실패 도메인을 추가하는 동안 각 컨트롤 플레인 시스템을 안정화합니다. (OCPBUGS-11968) - 단일 노드 OpenShift 인스턴스에서 실행 중인 모든 포드를 제거하기 위해 노드를 드레이닝하지 않고 재부팅하면 워크로드 컨테이너 복구에 문제가 발생할 수 있습니다. 재부팅 후 모든 장치 플러그인이 준비되기 전에 워크로드가 다시 시작되어 리소스를 사용할 수 없거나 잘못된 NUMA 노드에서 실행되는 워크로드가 발생합니다. 해결방법은 재부팅 복구 절차 중에 모든 장치 플러그인이 자체적으로 다시 등록되면 워크로드 Pod를 다시 시작하는 것입니다. (OCPBUGS-2180)
-
SR-IOV netdevice를 사용하는 Pod를 삭제할 때 오류가 발생할 수 있습니다. 이 오류는 RHEL 9의 변경으로 인해 이름이 변경될 때 네트워크 인터페이스의 이전 이름이 대체 이름 목록에 추가됩니다. 결과적으로 SR-IOV 가상 기능(VF)에 연결된 Pod가 삭제되면 VF는 원래 이름(예:
ensf0v2)이 아닌 새로운 예기치 않은 이름(예:dev69)이 있는 풀로 돌아갑니다. 이 오류는 치명적이지 않지만 Multus 및 SR-IOV 로그에 시스템이 자체적으로 복구하는 동안 오류가 표시될 수 있습니다. 이 오류로 인해 Pod를 삭제하는 데 몇 초가 걸릴 수 있습니다. (OCPBUGS-11281) 인터페이스별 안전한 sysctl을 업데이트하는 데몬 세트의 YAML 정의에서 잘못된 우선순위 클래스 이름과 구문 오류로 인해
openshift-multus네임스페이스에서cni-sysctl-allowlist구성 맵을 사용하여 인터페이스의 안전한 sysctl 목록을 수정하지 않습니다.해결방법: 데몬 세트를 수동으로 또는 사용하여 이 문제를 해결하기 위해 노드의
/etc/cni/tuning/allowlist.conf파일을 수정합니다. (OCPBUGS-11046)- UDP GRO를 활성화하는 OpenShift Container Platform 4.12에 도입된 새로운 기능으로 인해 모든 veth 장치에 사용 가능한 CPU당 하나의 RX 대기열이 있습니다(이전에는 각 veth에 대기열이 있습니다). 이러한 대기열은 Open Virtual Network에 의해 동적으로 구성되며 대기 시간 튜닝과 이 큐 생성 사이에 동기화가 없습니다. 대기 시간 튜닝 논리는 veth NIC 생성 이벤트를 모니터링하고 모든 대기열이 올바르게 생성되기 전에 RPS 대기열 CPU 마스크 구성을 시작합니다. 이는 일부 RPS 대기열 마스크가 구성되지 않았음을 의미합니다. 모든 NIC 큐가 올바르게 구성되지 않았기 때문에 타이밍에 민감한 CPU를 사용하는 실시간 애플리케이션에서 대기 시간이 급증하여 다른 컨테이너의 서비스와 통신할 수 있습니다. 커널 네트워킹 스택을 사용하지 않는 애플리케이션은 영향을 받지 않습니다. (OCPBUGS-4194)
-
CNO(Cluster Network Operator) 컨트롤러에서는 필요한 것보다 더 많은 리소스를 모니터링합니다. 결과적으로 조정 프로그램이 너무 자주 트리거되어 필요한 것보다 훨씬 더 많은 API 요청이 발생합니다. 1초마다 약 1개의 구성 맵 액세스 요청이 수행됩니다. 이렇게 하면 CNO 및
kube-apiserver모두에서 부하가 증가합니다. (OCPBUGS-11565) -
OpenShift Container Platform 4.13의 경우 Driver Toolkit (DTK) 컨테이너 이미지에는 드라이버 컨테이너를 빌드하기 위한 소프트웨어 스택의 두 번째 계층으로
ubi9이미지가 필요합니다. 소프트웨어 스택의 두 번째 계층으로ubi8이미지를 사용하려는 경우 빌드 오류가 발생합니다. (OCPBUGS-11120) CSI 드라이버를 사용할 때 vSphere 플랫폼에 일부 OpenShift Container Platform 설치에서는 시작 중에 vCenter에서 노드에 대한 정보를 검색하지 못하여 CSI 드라이버가 재시도하지 않기 때문에 vSphere CSI 드라이버가 제대로 작동하지 않을 수 있습니다.
해결방법: SSH를 사용하여 vsphere-syncer 프로세스의 현재 리더인 노드에 연결하고 vsphere-syncer 컨테이너를 다시 시작하여 ( crictl 사용) 이 문제를 완화하고 드라이버가 성공적으로 발생할 수 있습니다. (OCPBUGS-13385)
- OpenShift Container Platform 4.13의 경우 baremetal 작업자와 함께 RHOSP(Red Hat OpenStack Platform) 16.2 상단에 버전 4.13을 설치하는 데 baremetal 작업자가 OpenShift 4.13과 함께 제공되는 RHCOS(Red Hat Enterprise Linux CoreOS) 이미지에서 부팅할 수 없기 때문에 실패합니다. 근본적인 문제는 RHCOS 이미지에 바이트 순서 표시가 없다는 것입니다. 이러한 수정 사항은 다음 16.2 빌드에 대해 계획되어 있습니다. (OCPBUGS-13395)
- RHEL 9.2에서 알려진 문제로 인해 기밀 VM이 있는 GCP 클러스터에서 영구 볼륨을 사용할 수 없습니다. (OCPBUGS-7582)
OpenShift Container Platform 4.13으로 업그레이드할 때
openvswitch2.15가 설치된 OpenShift Container Platform 4.12 클러스터에서 실행 중인 RHEL(Red Hat Enterprise Linux) 작업자는 실패합니다.upgrade.ymlPlaybook은openvswitch2.17-2.17.0-88.el8fdp86_64와 openvswitch2.15-2.15.0-136.el8fdp.x86_64 오류 메시지와 함께실패합니다.이 문제를 해결하려면 OpenShift Container Platform 4.13으로 업데이트하기 전에
openvswitch2.15패키지를 수동으로 제거하고openvswitch2.17패키지를 설치합니다. 그런 다음upgrade.yml플레이북을 실행하여 RHEL 작업자를 업데이트하고 업데이트 프로세스를 완료합니다. (OCPBUGS-11677)- 스토리지를 워크로드에 연결할 때 디스크 검색 지연이 있습니다. (OCPBUGS-11149)
OpenShift Container Platform 4.12에서 4.13으로 업데이트하는 경우 Mellanox NIC는
ens7f0과 같은 SR-IOV 네트워크 노드 정책의 이름을ens7f0np0로 변경합니다. 이 이름은 RHEL 9 커널 업데이트로 인해 발생합니다. 결과적으로 인터페이스를 찾을 수 없기 때문에 VF(가상 기능)를 생성할 수 없습니다. SR-IOV 네트워크 노드 정책에서 이 변경 사항을 고려해야 합니다. 예를 들어, policy에서ens7f0이 참조되는 경우 업데이트하기 전에ens7f0np0을 정책에 추가합니다.이 문제를 해결하려면 OpenShift Container Platform 4.13으로 업데이트하기 전에
SriovNetworkNodePolicyCR(사용자 정의 리소스)을 수동으로 편집하여ens7f0np0을 추가해야 합니다. (OCPBUGS-13186) 다음 코드는 호환성을 보장하기 위해SriovNetworkNodePolicy에 추가되는 두 이름과 정책 업데이트의 예를 제공합니다.# ... deviceType: netdevice nicSelector: deviceID: “101d” pfNames: - ens7f0 - ens7f0np0 vendor: ‘15b3’ nodeSelector: feature.node.kubernetes.io/sriov-capable: ‘true’ numVfs: 4 # ...- Pod를 삭제할 때 SR-IOV VF(가상 기능)에서 MAC 주소를 재설정하지 않으면 Intel E810 NIC에는 실패할 수 있습니다. 따라서 SR-IOV VF를 사용하여 Pod를 생성하는 데 Intel E810 NIC 카드에서 최대 2분이 걸릴 수 있습니다. (OCPBUGS-5892)
-
클러스터 업그레이드를 수행하는 데 사용하는 서브스크립션 정책에 유효하지 않은 서브스크립션 채널을 지정하면
Subscription리소스가AtLatestKnown상태로 유지되므로 TALM( Topology Aware Lifecycle Manager)에서 TALM이 정책을 적용한 직후 업그레이드가 성공했음을 나타냅니다. (OCPBUGS-9239) -
시스템 충돌 후
kdump는 Intel E810 NIC 및 Ice driver가 설치된 HPE Edgeline e920t 및 HPEECDHE DL110 Gen10 서버에서vmcore크래시 덤프 파일을 생성하지 못합니다. (RHELPLAN-138236) -
GitOps ZTP에서
SiteConfigCR을 사용하여 단일 노드를 포함하는 관리형 클러스터를 프로비저닝할 때 하나 이상의 노드에 siteConfig CR에 구성된diskECDHE 리소스가 있으면 디스크 파티션이 실패합니다.(OCPBUGS-9272) PTP 경계 클럭(T-BC) 및 배포된 DU 애플리케이션으로 구성된 클러스터에서는 최대 40초 동안 vDU 호스트의 후속 인터페이스에서 메시지가 간헐적으로 전송되지 않습니다. 로그의 오류 비율은 다를 수 있습니다. 오류 로그 예는 다음과 같습니다.
출력 예
2023-01-15T19:26:33.017221334+00:00 stdout F phc2sys[359186.957]: [ptp4l.0.config] nothing to synchronize
GitOps ZTP를 사용하여 단일 노드 OpenShift 클러스터를 설치하고 HTTP 전송으로 PTP 및 베어 메탈 이벤트를 구성하면
linuxptp-daemon데몬 Pod를 간헐적으로 배포하지 못합니다. 필수PersistentVolumeClaim(PVC) 리소스는 생성되지만 Pod에 마운트되지 않습니다. 다음과 같은 볼륨 마운트 오류가 보고됩니다.출력 예
mount: /var/lib/kubelet/plugins/kubernetes.io/local-volume/mounts/local-pv-bc42d358: mount(2) system call failed: Structure needs cleaning.
이 문제를 해결하려면
cloud-event-proxy-store-storage-class-http-eventsPVCCR을 삭제하고 PTP Operator를 다시 배포합니다. (OCPBUGS-12358)
site
ConfigCR에서 보안 부팅이 활성화된 단일 노드 OpenShift 관리 클러스터의ZTP(ZTP) 프로비저닝 중에 호스트 프로비저닝 중에BareMetalHostCR에 대해 여러ProvisioningError오류가 보고됩니다. 이 오류는 BMC(Baseboard Management Controller)에 보안 부팅 설정이 성공적으로 적용되었지만BareMetalHostCR을 적용한 후에는 호스트의 전원이 켜지지 않음을 나타냅니다. 이 문제를 해결하려면 다음 단계를 수행하십시오.- 호스트를 재부팅합니다. 이렇게 하면 GitOps ZTP 파이프라인이 보안 부팅 설정을 적용할 수 있습니다.
- 동일한 구성으로 클러스터의 GitOps ZTP 프로비저닝을 다시 시작합니다.
-
듀얼 스택 GitOps ZTP 허브 클러스터를 설치한 후 이중 스택 가상 IP 주소(VIP)를 활성화하고
프로비저닝CR에서virtualMediaViaExternalNetwork플래그를 활성화하면IRONIC_EXTERNAL_URL_V6환경 변수가 IPv4 주소를 잘못 할당합니다. (OCPBUGS-4248) -
ZT 서버에는 bio
sRegistry언어가en-US대신en-US로 설정되어 있습니다. 이로 인해 관리 클러스터 호스트의 GitOps ZTP 프로비저닝 중에 문제가 발생합니다. ZT 서버에 대해 생성된FirmwareSchemaCR에는allowable_values,attribute_type및read_only필드가 채워지지 않습니다. (OCPBUGS-4388) - OpenShift Container Platform 버전 4.13.0에서는 에이전트 기반 설치 프로그램을 사용하여 클러스터를 설치하려고 할 때 오류가 발생합니다. 읽기 디스크 단계를 수행하면 오류가 반환되고 클러스터 설치가 중단됩니다. 이 오류는 HPE Cryostat Cryostat10 서버에서 발견되었습니다. (OCPBUGS-13138)
-
RFC2544 성능 테스트에서는 패킷을 통과하는 패킷의
최대 지연값이 최소 임계값을 초과함을 보여줍니다. 이 회귀 문제는 Telco RAN DU 프로필을 실행하는 OpenShift Container Platform 4.13 클러스터에서 찾을 수 있습니다. (OCPBUGS-13224) -
OpenShift Container Platform 4.13이 설치된 단일 노드 OpenShift 클러스터에서 성능 테스트는 최대 대기 시간이 20마이크로초를 초과한 결과를 보여줍니다.
(RHELPLAN-155443) -
OpenShift Container Platform 4.13이 설치된 단일 노드 OpenShift 클러스터에서 성능 테스트는
cyclictest최대 대기 시간 결과가 20마이크로초보다 큰 결과를 보여줍니다. (RHELPLAN-155460) DPDK의 CPU 로드 밸런싱 비활성화에 설명된 짧은 대기 시간 튜닝과 관련된
cpu-load-balancing.crio.io: "disable" 주석은 워크로드 파티셔닝이 구성되지 않은 시스템에서 작동하지 않습니다. 보다 구체적으로, 이는 인프라가cpu 10.0.0.1ingMode를 워크로드 파티셔닝 에 설명된 대로AllNodes값으로 설정하지 않는 클러스터에 영향을 미칩니다.이는 이러한 클러스터의 실현 가능한 대기 시간에 영향을 미치며 대기 시간이 짧은 워크로드가 올바르게 작동하지 않을 수 있습니다. (OCPBUGS-13163)
-
Nutanix 플랫폼의 OpenShift Container Platform 4.12 클러스터에는 Nutanix Cloud Control Manager(CCM)에 필요한 구성이 누락된 경우
Upgradeable=False조건이 있을 수 있습니다. 이 조건을 해결하려면 Nutanix를 플랫폼으로 사용할 때 OpenShift 4.13으로 업그레이드하는 데 필요한 ConfigMap 및 보안을 생성하는 방법을 참조하십시오. - 현재 매우 많은 수의 파일이 포함된 PV(영구 볼륨)를 사용하는 경우 Pod가 시작되지 않거나 시작하는 데 과도한 시간이 걸릴 수 있습니다. 자세한 내용은 기술 자료 문서를 참조하십시오. (BZ1987112)
컨트롤 플레인 노드에 예약된 Azure File NFS 볼륨을 사용하여 Pod를 생성하면 마운트가 거부됩니다. (OCPBUGS-18581)
이 문제를 해결하려면 컨트롤 플레인 노드를 예약할 수 있고 작업자 노드에서 Pod를 실행할 수 있는 경우
nodeSelector또는 Affinity를 사용하여 작업자 노드에서 Pod를 예약합니다.노드 테인트를 제거하지 못하여 vSphere의 에이전트 기반 설치가 실패하여 설치가 보류 중 상태가 됩니다. 단일 노드 OpenShift 클러스터는 영향을 받지 않습니다. 다음 명령을 실행하여 노드 테인트를 수동으로 삭제하여 이 문제를 해결할 수 있습니다.
$ oc adm taint nodes <node_name> node.cloudprovider.kubernetes.io/uninitialized:NoSchedule-
