1.8. 확인된 문제

OpenShift Container Platform 4.1에서는 익명 사용자가 검색 엔드 포인트에 액세스할 수 있었습니다. 이후 릴리스에서는 일부 검색 끝점이 통합된 API 서버로 전달되기 때문에 보안 악용에 대한 가능성을 줄이기 위해 이 액세스를 취소했습니다. 그러나 인증되지 않은 액세스는 기존 사용 사례가 손상되지 않도록 업그레이드된 클러스터에 보존됩니다.

OpenShift Container Platform 4.1에서 4.9로 업그레이드된 클러스터의 클러스터 관리자인 경우 인증되지 않은 액세스를 취소하거나 계속 허용할 수 있습니다. 특별히 필요한 경우가 아니면 인증되지 않은 액세스를 취소하는 것이 좋습니다. 인증되지 않은 액세스를 계속 허용하는 경우 이에 따라 보안 위험이 증가될 수 있다는 점에 유의하십시오.

다음 스크립트를 사용하여 감지 끝점에 대한 인증되지 않은 액세스를 취소하십시오.

## Snippet to remove unauthenticated group from all the cluster role bindings
$ for clusterrolebinding in cluster-status-binding discovery system:basic-user system:discovery system:openshift:discovery ;
do
### Find the index of unauthenticated group in list of subjects
index=$(oc get clusterrolebinding ${clusterrolebinding} -o json | jq 'select(.subjects!=null) | .subjects | map(.name=="system:unauthenticated") | index(true)');
### Remove the element at index from subjects array
oc patch clusterrolebinding ${clusterrolebinding} --type=json --patch "[{'op': 'remove','path': '/subjects/$index'}]";
done

이 스크립트는 인증되지 않은 주제를 다음 클러스터 역할 바인딩에서 제거합니다.

(BZ#1821771)

OpenShift Container Platform 4.9로 업그레이드할 때 Cluster Version Operator는 사전 조건 검사에 실패하는 동안 약 5분 동안 업그레이드를 차단합니다. It may not be safe to apply this update라는 오류 텍스트는 잘못된 것일 수 있습니다. 이 오류는 하나 또는 여러 개의 사전 조건 검사에 실패할 때 발생합니다. 경우에 따라 이러한 사전 조건 검사는 예를 들어 etcd 백업 중에 단기간 동안만 실패할 수 있습니다. 이러한 경우 Cluster Version Operator 및 해당 Operator는 설계에 따라 실패한 사전 조건 검사를 자동으로 해결하며 CVO가 업그레이드를 성공적으로 시작합니다.

사용자는 클러스터 Operator의 상태 및 조건을 확인해야 합니다. Cluster Version Operator에서 It may not be safe to apply this update 오류가 표시되는 경우 이러한 상태 및 조건이 메시지의 심각도에 대한 자세한 정보를 제공합니다. 자세한 내용은 BZ#1999777, BZ#2061444, BZ#2006611 을 참조하십시오.

클러스터 관리자는 503, 404 또는 두 오류 페이지의 사용자 정의 HTTP 오류 코드 응답 페이지를 지정할 수 있습니다. 사용자 정의 오류 코드 응답 페이지에 올바른 형식을 지정하지 않으면 라우터 Pod 중단이 발생하고 해결되지 않습니다. 사용자 지정 오류 코드 페이지가 업데이트되도록 라우터가 다시 로드되지 않습니다. 이 문제를 해결하려면 oc rsh 명령을 사용하여 라우터 Pod에 로컬로 액세스할 수 있습니다. 그런 다음 사용자 정의 http 오류 코드 페이지를 제공하는 모든 라우터 Pod에서 reload-haproxy를 실행합니다.

$ oc -n openshift-ingress rsh router-default-6647d984d8-q7b58
sh-4.4$ bash -x /var/lib/haproxy/reload-haproxy

또는 경로에 주석을 추가하여 강제로 다시 로드할 수 있습니다. (BZ#1990020), (BZ#2003961)

클러스터 관리자는 503, 404 또는 두 오류 페이지의 사용자 정의 HTTP 오류 코드 응답 페이지를 지정할 수 있습니다. 사용자 지정 오류 코드 페이지가 업데이트되도록 라우터가 다시 로드되지 않습니다. 이 문제를 해결하려면 라우터 pod에서 rsh를 실행하고 사용자 정의 http 오류 코드 페이지를 제공하는 모든 라우터 Pod에서 reload-haproxy를 실행합니다.

$ oc -n openshift-ingress rsh router-default-6647d984d8-q7b58
sh-4.4$ bash -x /var/lib/haproxy/reload-haproxy

또는 경로에 주석을 추가하여 강제로 다시 로드할 수 있습니다. (BZ#1990020)

특정 높은 Cardinality 모니터링 메트릭이 의도치 않게 삭제되었으므로 Pod,qos, System이라는 컨테이너 성능 입력 및 출력 메트릭을 사용할 수 없습니다.

이 문제에 대한 해결방법이 없습니다. 프로덕션 워크로드에 대해 이러한 메트릭을 추적하려면 초기 4.9 릴리스로 업그레이드하지 마십시오. (BZ#2008120)

OLM(Operator Lifecycle Manager)은 타임스탬프 검사 및 사용되지 않는 API 호출의 조합을 사용하여 skipRange 업그레이드에는 작동하지 않는 특정 서브스크립션에 대한 업그레이드를 수행해야 하는지 여부를 결정합니다. skipRange 업그레이드를 사용하는 Operator의 경우 업그레이드 프로세스가 지연되어 문제를 해결하는 데 최대 15분이 걸릴 수 있으며 잠재적으로 훨씬 더 오랜 시간 동안 차단될 수 있습니다.

이 문제를 해결하려면 클러스터 관리자가 openshift-operator-lifecycle-manager 네임스페이스에서 catalog-operator Pod를 삭제할 수 있습니다. 이로 인해 Pod가 자동으로 다시 생성되어 skipRange 업그레이드가 트리거됩니다. (BZ#2002276)

OpenShift Container Platform 4.6 이상에서는 풀에 대한 이미지 참조에서 다음 Red Hat 레지스트리를 지정해야 합니다.

그렇지 않으면 이러한 레지스트리를 지정하지 않으면 빌드 Pod에서 이미지를 가져올 수 없습니다.

이 문제를 해결하려면 이미지 가져오기 사양에서 registry.redhat.io/ubi8/ubi:latest 및 registry.access.redhat.com/rhel7.7:latest 와 같은 정규화된 이름을 사용하십시오.

필요한 경우 이미지 단축 이름을 허용하는 레지스트리를 추가하여 이미지 레지스트리 설정을 업데이트할 수 있습니다. (BZ#2011293)

OpenShift Container Platform 4.8 이전에는 기본 로드 밸런싱 알고리즘이 최소conn 이었습니다. 비 패스스루 경로의 OpenShift Container Platform 4.8.0에서 기본값이 임의로 변경되었습니다. 임의로 스위칭하면 해당 환경에서 메모리 사용량이 크게 증가하므로 장기 실행 웹 소켓 연결을 사용해야 하는 환경과 호환되지 않습니다. 이 중요한 메모리 사용을 완화하기 위해 기본 로드 밸런싱 알고리즘이 OpenShift Container Platform 4.9에서 leastconn 으로 되돌아갔습니다. 메모리 사용량이 많지 않은 솔루션이 있으면 향후 OpenShift Container Platform 릴리스에서 기본값이 임의로 변경됩니다.

다음 명령을 입력하여 기본 설정을 확인할 수 있습니다.

$ oc get deployment -n openshift-ingress router-default -o yaml | grep -A 2 ROUTER_LOAD_BALANCE_ALGORITHM
        - name: ROUTER_LOAD_BALANCE_ALGORITHM
          value: leastconn

random 옵션은 계속 사용할 수 있습니다. 그러나 이 알고리즘 선택으로 이점을 얻는 경로는 다음 명령을 입력하여 경로별로 주석에서 해당 옵션을 명시적으로 설정해야 합니다.

$ oc annotate -n <NAMESPACE> route/<ROUTE-NAME> "haproxy.router.openshift.io/balance=random"

(BZ#2015829)

OpenShift Container Platform 단일 노드 구성에서 비실시간 커널을 사용할 때보다 실시간커널(커널-rt)을 사용할 때 Pod 생성 시간이 2배 이상 느려집니다. kernel-rt 를 사용하는 경우 노드 재부팅 후 복구 시간이 영향을 받기 때문에 Pod 생성 속도가 느린 Pod의 최대 Pod 수에 영향을 미칩니다.

이 문제를 해결하려면 kernel-rt 를 사용하는 경우 rcupdate.rcu_normal_after_boot=0 커널 인수로 부팅하여 복구 시간을 개선할 수 있습니다. 이를 위해서는 실시간 커널 버전 kernel-rt-4.18.0-305.16.1.rt7.88.el8_4 이상이 필요합니다. 이 알려진 문제는 OpenShift Container Platform 버전 4.8.15 이상에 적용됩니다. (BZ#1975356)

DU 노드의 제로 스크립팅 프로비저닝(ZTP) 설치 중에 Operator 설치에 실패하는 경우가 있습니다. InstallPlan API에서 오류를 보고합니다. 보고된 오류 메시지는 다음과 같습니다. 배포 압축을 해제하지 못했습니다. 이유: DeadlineExceeded. Operator 설치 작업이 600초를 초과하면 오류가 발생합니다.

이 문제를 해결하려면 실패한 Operator에 대해 다음 oc 명령을 실행하여 Operator 설치를 다시 시도합니다.

SR-IOV Operator와 MCO(Machine Config Operator) 사이에 경합 조건이 존재합니다. 간헐적으로 발생하고 DU 노드의 ZTP 설치 프로세스 중에 서로 다른 방식으로 표시됩니다. 경합 조건은 다음과 같은 오류가 발생할 수 있습니다.