릴리스 노트

OpenShift Container Platform에서 Red Hat Advanced Cluster Management를 설치 제거하면 나중에 이전 버전을 설치한 다음 업그레이드하려는 경우 문제가 발생할 수 있습니다. 예를 들어 OpenShift Container Platform에서 Red Hat Advanced Cluster Management를 설치 제거한 다음 이전 버전의 Red Hat Advanced Cluster Management를 설치하고 해당 버전을 업그레이드하면 업그레이드가 실패할 수 있습니다. StorageVersionMigration 사용자 정의 리소스가 제거되지 않은 경우 업그레이드가 실패합니다.

Red Hat Advanced Cluster Management를 설치 제거할 때 다시 설치하고 업그레이드하기 전에 이전 StorageVersionMigration 을 수동으로 제거해야 합니다.

예를 들어 이전 버전의 Red Hat Advanced Cluster Management를 사용하기 위해 OpenShift Container Platform에서 Red Hat Advanced Cluster Management 2.10을 제거하는 경우 StorageVersionMigration 리소스를 제거하지 않으면 업그레이드에 실패합니다.

infrastructure-operator 를 설치할 때 ARM과 통합 흐름이 작동하지 않습니다. 이 문제를 해결하려면 ALLOW_CONVERGED_FLOW 를 false 로 설정합니다.

문제가 해결되면 에이전트가 인벤토리에 나타납니다.

2.4.x에서 2.5.x로 업그레이드한 후 2.6.x로 업그레이드한 후 관리 클러스터 네임스페이스에서 더 이상 사용되지 않는 리소스가 남아 있을 수 있습니다. 버전 2.6.x가 2.4.x에서 업그레이드된 경우 이러한 더 이상 사용되지 않는 리소스를 수동으로 삭제해야 합니다.

참고: 버전 2.5.x에서 버전 2.6.x로 업그레이드하기 전에 30분 이상 기다려야 합니다.

콘솔에서 삭제하거나 삭제하려는 리소스에 대해 다음 예와 유사한 명령을 실행할 수 있습니다.

oc delete -n <managed cluster namespace> managedclusteraddons.addon.open-cluster-management.io <resource-name>

남아 있을 수 있는 더 이상 사용되지 않는 리소스 목록을 참조하십시오.

managedclusteraddons.addon.open-cluster-management.io:
policy-controller
manifestworks.work.open-cluster-management.io:
-klusterlet-addon-appmgr
-klusterlet-addon-certpolicyctrl
-klusterlet-addon-crds
-klusterlet-addon-iampolicyctrl
-klusterlet-addon-operator
-klusterlet-addon-policyctrl
-klusterlet-addon-workmgr

Red Hat Advanced Cluster Management를 새 버전으로 업그레이드한 후 StatefulSet 에 속하는 몇 개의 Pod가 failed 상태로 남아 있을 수 있습니다. 이 infrequent 이벤트는 알려진 Kubernetes 문제로 인해 발생합니다.

이 문제에 대한 해결 방법으로 실패한 Pod를 삭제합니다. Kubernetes는 올바른 설정으로 자동으로 다시 시작합니다.

OpenShift Container Platform 클러스터가 업그레이드 단계에 있으면 클러스터 pod가 다시 시작되고 1-5 분의 변형에 대한 업그레이드 실패 상태로 남아 있을 수 있습니다. 이 동작은 예상되는 후 몇 분 후에 해결됩니다.

Red Hat OpenShift Container Platform 콘솔에서 Red Hat Advanced Cluster Management for Kubernetes를 설치한 후 다음 메시지가 포함된 팝업 창이 표시됩니다.

MultiClusterEngine 필요

이 Operator를 사용하려면 MultiClusterEngine 인스턴스를 생성합니다.

팝업 창 메시지의 Create MultiClusterEngine 버튼이 작동하지 않을 수 있습니다. 이 문제를 해결하려면 Provided API 섹션의 MultiClusterEngine 타일에서 Create instance 를 선택합니다.

사용 가능한 경우 해결 방법과 함께 알려진 문제 및 제한 사항이 여기에 나열되어 있습니다.

E0430 19:11:20.810624 1 clientset.go:188] "cannot connect once" err="rpc error: code = Unavailable desc = connection error: desc = \"transport: authentication handshake failed: tls: failed to verify certificate: x509: certificate signed by unknown authority\""

oc get backupschedule -n open-cluster-management-backup
NAME PHASE MESSAGE
rosa-backup-schedule FailedValidation Backup storage location is not available. Check velero.io.BackupStorageLocation and validate storage credentials.

spec:
  clusterReplicas: 1
  clusterSelector:
    matchLabels:
      environment: dev

spec:
  clusterSelector:
    matchLabels:
      environment: dev

oc delete appliedmanifestwork <the-left-appliedmanifestwork-name>

콘솔에서 OpenShift Dedicated 클러스터에 대한 업그레이드를 요청할 수 있지만 openshift 클러스터 이외의 클러스터 오류 메시지와 함께 업그레이드할 수 없습니다. 현재는 해결방법이 없습니다.

search-postgres Pod는 CrashLoopBackoff 상태입니다. Red Hat Advanced Cluster Management가 hugepages 매개변수가 활성화된 노드가 있는 클러스터에 배포하고 search-postgres Pod가 이러한 노드에서 예약되는 경우 Pod가 시작되지 않습니다.

search-postgres Pod의 메모리를 늘리려면 다음 단계를 완료합니다.

다음 값이 512Mi 로 표시됩니다.

admin 역할 또는 bind 역할을 사용하여 클러스터 세트의 네임스페이스 바인딩을 편집하면 다음 메시지와 유사한 오류가 발생할 수 있습니다.

ResourceError: managedclustersetbindings.cluster.open-cluster-management.io "<cluster-set>" is forbidden: User "<user>" cannot create/delete resource "managedclustersetbindings" in API group "cluster.open-cluster-management.io".

이 문제를 해결하려면 바인딩하려는 네임스페이스에서 ManagedClusterSetBinding 리소스를 생성하거나 삭제할 수 있는 권한도 있어야 합니다. 역할 바인딩을 사용하면 클러스터 세트를 네임스페이스로 바인딩할 수 있습니다.

호스팅된 컨트롤 플레인 클러스터를 프로비저닝한 후 ClusterVersionUpgradeable 매개변수가 너무 길면 Red Hat Advanced Cluster Management 콘솔의 클러스터 개요에서 수평으로 스크롤하지 못할 수 있습니다. 결과적으로 숨겨진 데이터를 볼 수 없습니다.

이 문제를 해결하려면 브라우저 확대 컨트롤을 사용하여 축소하거나, Red Hat Advanced Cluster Management 콘솔 창을 늘리거나, 텍스트를 복사하여 다른 위치에 붙여넣습니다.

여러 레이블 표현식을 추가하거나 ApplicationSet 에 대한 클러스터 선택기를 입력하려고 하면 다음 메시지가 반복적으로 표시될 수 있습니다. "Expand to enter expression". 이 문제에도 클러스터 선택을 입력할 수 있습니다.

OpenShift Container Platform 4.17이 있는 경우 search serviceaccount 에 사용자로 작동하는 데 필요한 일부 권한이 누락되어 있습니다. 따라서 Argo CD 풀 모델 리소스 동기화 컨트롤러가 검색 API에서 애플리케이션 리소스 목록에 액세스하지 못합니다.

이 문제를 해결하려면 다음 단계를 완료하십시오.

참고: Red Hat Advanced Cluster Management 지원 (OpenShift Container Platform 3.11은 더 이상 사용되지 않음)

OpenShift Container Platform 3.11 클러스터를 대상으로 하는 서브스크립션 애플리케이션을 생성하면 Kubernetes의 결함으로 인해 애플리케이션 토폴로지가 ReplicaSet 및 Pod 리소스에 대해 잘못 표시됩니다. 이 결함은 pod-template-hash 가 ReplicaSet 또는 Pod 리소스 이름의 해시와 일치하지 않는 위치입니다. 이후 Kubernetes 버전이 수정되었지만 OpenShift Container Platform 3.11은 수정되지 않습니다. 자세한 내용은 Kubernetes 버그 참조를 참조하십시오.

이 버그로 인해 토폴로지가 리소스 상태를 반영하지 않을 수 있습니다. 예를 들어 Pod 및 replicaset 은 반영되지 않지만 해당 리소스가 있습니다.

애플리케이션 애드온 구성 요소는 OpenShift Container Platform 3.11 사용자에게 누락된 Kubernetes Lease API ,leases.coordination.k8s.io 를 사용합니다. Kubernetes Lease API는 Kubernetes 1.14에서 도입되었지만 OpenShift Container Platform 3.11 번들의 Kubernetes 버전 1.11입니다.

이 문제를 해결하려면 다음 Kubernetes Lease API CustomResourceDefinition 을 OpenShift Container Platform 3.11 관리형 클러스터에 수동으로 적용합니다.

apiVersion: apiextensions.k8s.io/v1beta1
kind: CustomResourceDefinition
metadata:
  name: leases.coordination.k8s.io
spec:
  group: coordination.k8s.io
  names:
    kind: Lease
    listKind: LeaseList
    plural: leases
    singular: lease
    shortNames:
    - ls
  scope: Namespaced
  versions:
  - name: v1
    served: true    storage: true    schema:
      openAPIV3Schema:
        description: Lease defines a lease concept.
        type: object
        properties:
          apiVersion:
            type: string
          kind:
            type: string
          metadata:
            type: object
          spec:
            type: object
            properties:
              acquireTime:
                format: date-time
                type: string
              holderIdentity:
                type: string
              leaseDurationSeconds:
                format: int64
                type: integer
              leaseTransitions:
                format: int64
                type: integer
              renewTime:
                format: date-time
                type: string
            required:
            - holderIdentity
            - leaseDurationSeconds
            - renewTime
        required:
        - kind
        - metadata
        - spec
  additionalPrinterColumns:
  - JSONPath: .metadata.creationTimestamp
    name: Age
    type: date
  subresources:
    status: {}

참고: Red Hat Advanced Cluster Management 지원 (OpenShift Container Platform 3.11은 더 이상 사용되지 않음)

Red Hat OpenShift Container Platform 4.15에서 IBM VMware 및 Bare Metal과 같은 일부 클라우드 공급자가 프로비저닝한 서비스 계정을 생성하면 계정이 자동으로 시크릿을 생성하지 않습니다. 따라서 Red Hat Advanced Cluster Management gitopsCluster 컨트롤러가 Argo CD 푸시 모델에 대한 관리 클러스터 시크릿을 생성하지 못합니다.

이 문제는 AWS에서 프로비저닝한 Red Hat OpenShift Container Platform 4.15에서는 발생하지 않습니다. 그러나 다른 클라우드 공급자가 프로비저닝한 Red Hat OpenShift Container Platform 4.15에서 문제가 발생할 수 있습니다. 이 문제는 Red Hat Advanced Cluster Management 2.10.3 및 Red Hat Advanced Cluster Management 2.9.4에서 제공됩니다.

이 문제를 해결하려면 시크릿을 수동으로 생성하여 서비스 계정 open-cluster-management-agent-addon/application-manager 에 연결해야 합니다. 이렇게 하려면 다음 단계를 완료합니다.

보안을 성공적으로 생성하고 서비스 계정에 연결했는지 확인하려면 다음 단계를 완료합니다.

PlacementRule 리소스를 참조하는 서브스크립션 애플리케이션을 생성하면 서브스크립션 YAML이 콘솔의 YAML 편집기에 표시되지 않습니다. 터미널을 사용하여 서브스크립션 YAML 파일을 편집합니다.

Helm 차트를 사용하여 Kubernetes 보안에 개인 정보 데이터를 정의하고 Helm 차트의 value.yaml 파일 내에서 이 시크릿을 참조할 수 있습니다.

사용자 이름과 암호는 참조된 Kubernetes 시크릿 리소스 dbsecret 에서 제공합니다. 예를 들어 다음 샘플 value.yaml 파일을 참조하십시오.

credentials:
  secretName: dbsecret
  usernameSecretKey: username
  passwordSecretKey: password

보안 종속 항목이 있는 Helm 차트는 Helm 바이너리 CLI에서만 지원됩니다. Operator SDK Helm 라이브러리에서는 지원되지 않습니다. Red Hat Advanced Cluster Management 서브스크립션 컨트롤러는 Operator SDK Helm 라이브러리를 적용하여 Helm 차트를 설치하고 업그레이드합니다. 따라서 Red Hat Advanced Cluster Management 서브스크립션은 시크릿 종속성을 사용하여 Helm 차트를 배포할 수 없습니다.

OpenShift Container Platform 3.11 관리 클러스터의 Argo CD Push 모델에 대해 사용자 지정 클러스터 시크릿을 생성할 수 없습니다. 이는 OpenShift Container Platform 3.11 관리 클러스터에서 관리 서비스 계정 애드온이 지원되지 않기 때문에 발생합니다.

Argo CD 가져오기 모델을 사용하여 ApplicationSet 애플리케이션을 배포하고 애플리케이션 리소스 이름이 사용자 지정되면 각 클러스터에 따라 리소스 이름이 다르게 표시될 수 있습니다. 이 경우 토폴로지에서 애플리케이션을 올바르게 표시하지 않습니다.

허브 클러스터 애플리케이션 세트는 대상 관리 클러스터에 배포되지만 관리 허브 클러스터인 로컬 클러스터는 대상 관리 클러스터로 제외됩니다.

결과적으로 Argo CD 애플리케이션이 Argo CD 풀 모델을 통해 로컬 클러스터에 전파되면 로컬 클러스터 Argo CD 애플리케이션이 Argo CD ApplicationSet 리소스의 배치 결정에서 제거되더라도 로컬 클러스터 Argo CD 애플리케이션이 정리되지 않습니다.

이 문제를 해결하고 로컬 클러스터 Argo CD 애플리케이션을 정리하려면 로컬 클러스터 Argo CD 애플리케이션에서 skip-reconcile 주석을 제거합니다. 다음 주석을 참조하십시오.

annotations:
    argocd.argoproj.io/skip-reconcile: "true"

또한 Argo CD 콘솔의 애플리케이션 섹션에서 가져오기 모델 Argo CD 애플리케이션을 수동으로 새로 고침하면 새로 고침이 처리되지 않으며 Argo CD 콘솔의 REFRESH 버튼이 비활성화됩니다.

이 문제를 해결하려면 Argo CD 애플리케이션에서 새로 고침 주석을 제거합니다. 다음 주석을 참조하십시오.

annotations:
    argocd.argoproj.io/refresh: normal

Argo CD 컨트롤러와 전파 컨트롤러는 모두 동일한 애플리케이션 리소스에서 조정할 수 있으며 관리형 클러스터에서 애플리케이션 배포 인스턴스가 중복되지만 다른 배포 모델에서 발생할 수 있습니다.

가져오기 모델을 사용하여 애플리케이션을 배포하기 위해 Argo CD 컨트롤러는 Argo CD argocd.argoproj.io/skip-reconcile 주석이 ApplicationSet 의 template 섹션에 추가되면 Argo CD 컨트롤러에서 이러한 애플리케이션 리소스를 무시합니다.

argocd.argoproj.io/skip-reconcile 주석은 GitOps Operator 버전 1.9.0 이상에서만 사용할 수 있습니다. 충돌을 방지하려면 허브 클러스터 및 모든 관리 클러스터가 가져오기 모델을 구현하기 전에 GitOps Operator 버전 1.9.0으로 업그레이드할 때까지 기다립니다.

MulticlusterApplicationSetReport 에 나열된 모든 리소스는 실제로 관리 클러스터에 배포됩니다. 리소스를 배포하지 못하면 리소스가 리소스 목록에 포함되지 않지만 원인은 오류 메시지에 나열됩니다.

수백 개의 관리형 클러스터에 배포된 관리 클러스터 및 Argo CD 애플리케이션 세트가 있는 대규모 환경의 경우 허브 클러스터에서 Argo CD 애플리케이션 생성에 몇 분이 걸릴 수 있습니다. 다음 예제 파일에 표시되므로 애플리케이션 세트의 clusterDecisionResource 생성기에서 requeueAfterSeconds 를 0 으로 설정할 수 있습니다.

apiVersion: argoproj.io/v1alpha1
kind: ApplicationSet
metadata:
  name: cm-allclusters-app-set
  namespace: openshift-gitops
spec:
  generators:
  - clusterDecisionResource:
      configMapRef: ocm-placement-generator
      labelSelector:
        matchLabels:
          cluster.open-cluster-management.io/placement: app-placement
      requeueAfterSeconds: 0

subscription-admin 역할에 ObjectBucket 채널 유형의 허용 및 거부 목록을 지정할 수 없습니다. 다른 채널 유형에서 서브스크립션의 허용 및 거부 목록은 배포할 수 있는 Kubernetes 리소스와 배포해서는 안 되는 Kubernetes 리소스를 나타냅니다.

관리 클러스터에서 실행 중인 application-manager 애드온은 이전에 klusterlet Operator가 처리한 경우 서브스크립션 운영자가 처리합니다. 서브스크립션 Operator는 multicluster-hub 를 관리하지 않으므로 multicluster-hub 이미지 매니페스트 ConfigMap의 multicluster_operators_subscription 이미지에 대한 변경 사항이 자동으로 적용되지 않습니다.

multicluster-hub 이미지 매니페스트 ConfigMap에서 multicluster_operators_subscription 이미지를 변경하여 서브스크립션 Operator에서 사용하는 이미지를 재정의하는 경우 관리 클러스터의 application-manager 애드온은 서브스크립션 Operator pod가 다시 시작될 때까지 새 이미지를 사용하지 않습니다. Pod를 다시 시작해야 합니다.

policy.open-cluster-management.io/v1 리소스는 Red Hat Advanced Cluster Management 버전 2.4에 기본적으로 애플리케이션 서브스크립션에 의해 배포되지 않습니다.

서브스크립션 관리자는 이 기본 동작을 변경하기 위해 애플리케이션 서브스크립션을 배포해야 합니다.

자세한 내용은 서브스크립션 관리자로서 허용 및 거부 목록 생성 을 참조하십시오. 이전 Red Hat Advanced Cluster Management 버전에서 기존 애플리케이션 서브스크립션에 의해 배포된 policy.open-cluster-management.io/v1 리소스는 서브스크립션 관리자가 애플리케이션 서브스크립션을 배포하지 않는 한 소스 리포지토리와 더 이상 조정되지 않습니다.

Ansible 후크 독립 실행형 모드는 지원되지 않습니다. 서브스크립션과 함께 허브 클러스터에 Ansible 후크를 배포하려면 다음 서브스크립션 YAML을 사용할 수 있습니다.

apiVersion: apps.open-cluster-management.io/v1
kind: Subscription
metadata:
  name: sub-rhacm-gitops-demo
  namespace: hello-openshift
annotations:
  apps.open-cluster-management.io/github-path: myapp
  apps.open-cluster-management.io/github-branch: master
spec:
  hooksecretref:
      name: toweraccess
  channel: rhacm-gitops-demo/ch-rhacm-gitops-demo
  placement:
     local: true

그러나 spec.placement.local:true 에 독립 실행형 모드에서 실행되는 서브스크립션이 있으므로 이 구성은 Ansible 인스턴스를 생성하지 않을 수 있습니다. 허브 모드에서 서브스크립션을 생성해야 합니다.

둘 다 적용하면 hub 클러스터에 생성된 Ansible 인스턴스가 표시됩니다.

배치 규칙을 업데이트한 후 애플리케이션이 배포되지 않은 경우 application-manager 포드가 실행 중인지 확인합니다. application-manager 는 관리 클러스터에서 실행해야 하는 서브스크립션 컨테이너입니다.

oc get pods -n open-cluster-management-agent-addon |grep application-manager 를 실행하여 확인할 수 있습니다.

콘솔에서 kind:pod cluster:yourcluster 를 검색하고 application-manager 가 실행 중인지 확인할 수도 있습니다.

확인할 수 없는 경우 클러스터를 다시 가져오고 다시 확인합니다.

관리형 클러스터에 필요한 추가 구성인 SCC(보안 컨텍스트 제약 조건) 관리에서 Red Hat OpenShift Container Platform SCC에 대해 알아봅니다.

배포마다 보안 컨텍스트와 서비스 계정이 다릅니다. 서브스크립션 Operator는 SCC CR을 자동으로 생성할 수 없습니다. 관리자는 Pod에 대한 권한을 제어합니다. 상대 서비스 계정에 적절한 권한을 활성화하려면 기본이 아닌 네임스페이스에서 Pod를 생성하려면 SCC(보안 컨텍스트 제약 조건) CR이 필요합니다. 네임스페이스에서 SCC CR을 수동으로 생성하려면 다음 단계를 완료합니다.

동일한 네임스페이스에 두 개 이상의 채널을 생성하면 hub 클러스터에 오류가 발생할 수 있습니다.

예를 들어, 네임스페이스 charts-v1 은 설치 프로그램에서 Helm 유형 채널로 사용하므로 charts-v1 에 추가 채널을 생성하지 마십시오. 고유한 네임스페이스에 채널을 생성해야 합니다. 모든 채널에는 다른 GitHub 채널과 네임스페이스를 공유할 수 있는 GitHub 채널을 제외한 개별 네임스페이스가 필요합니다.

호환되지 않는 옵션을 선택할 때 Ansible 작업이 실행되지 않습니다. Ansible Automation Platform은 -cluster 범위의 채널 옵션이 선택된 경우에만 작동합니다. 이는 Ansible 작업을 수행해야 하는 모든 구성 요소에 영향을 미칩니다.

Red Hat Ansible Automation Platform Operator는 프록시 지원 OpenShift Container Platform 클러스터 외부에서 Ansible Automation Platform에 액세스할 수 없습니다. 해결하려면 프록시에 Ansible Automation Platform을 설치할 수 있습니다. Ansible Automation Platform에서 제공하는 설치 단계를 참조하십시오.

애플리케이션 이름은 37자를 초과할 수 없습니다. 문자가 이 양을 초과하면 애플리케이션 배포에 다음 오류가 표시됩니다.

status:
  phase: PropagationFailed
  reason: 'Deployable.apps.open-cluster-management.io "_long_lengthy_name_" is invalid: metadata.labels: Invalid value: "_long_lengthy_name_": must be no more than 63 characters/n'

콘솔의 다양한 애플리케이션 테이블에 대한 다음 제한 사항을 참조하십시오.

2.10에 대한 애플리케이션 변경에 대한 콘솔 및 토폴로지. 콘솔 토폴로지 페이지의 필터링 기능은 없습니다.

오브젝트 스토리지 애플리케이션 서브스크립션에서는 허용 및 거부 목록 기능이 작동하지 않습니다.

MultiClusterObservability 는 이전 버전의 Cluster Monitoring Operator를 사용합니다. 이전 버전에서는 cluster-monitoring-config 구성 맵이 관찰 기능 내의 다른 구성으로 업데이트되지 않도록 합니다. 그런 다음 구성이 기본값으로 재설정됩니다.

복원된 허브 클러스터의 Observatorium API 게이트웨이 Pod에는 Kubernetes 제한으로 인해 백업 후 오래된 테넌트 데이터가 포함될 수 있습니다. 제한에 대한 자세한 내용은 마운트된 ConfigMaps가 자동으로 업데이트 되는 것을 참조하십시오.

결과적으로 Observatorium API 및 Thanos 게이트웨이는 수집기에서 메트릭을 거부하고 Red Hat Advanced Cluster Management Grafana 대시보드는 데이터를 표시하지 않습니다.

Observatorium API 게이트웨이 Pod 로그에서 다음 오류를 참조하십시오.

level=error name=observatorium caller=logchannel.go:129 msg="failed to forward metrics" returncode="500 Internal Server Error" response="no matching hashring to handle tenant\n"

Thanos는 다음 오류와 함께 Pod 로그를 수신합니다.

caller=handler.go:551 level=error component=receive component=receive-handler tenant=xxxx err="no matching hashring to handle tenant" msg="internal server error"

이 문제를 해결하려면 다음 절차를 참조하십시오.

참고: 기본적으로 N = 2 이지만 일부 사용자 지정 구성 환경에서는 2 보다 클 수 있습니다.

이렇게 하면 올바른 테넌트 정보를 사용하여 모든 Observatorium API 게이트웨이 Pod가 다시 시작되고 수집기의 데이터가 5-10분 내에 Grafana에 표시되기 시작합니다.

Red Hat Advanced Cluster Management 2.9부터는 정의된 Red Hat Advanced Cluster Management Hub 클러스터 네임스페이스에 라벨을 사용해야 합니다. 레이블 openshift.io/cluster-monitoring: "true" 로 인해 Cluster Monitoring Operator가 메트릭의 네임스페이스를 스크랩합니다.

Red Hat Advanced Cluster Management 2.9가 배포되거나 설치가 2.9로 업그레이드되면 Red Hat Advanced Cluster Management Observability ServiceMonitor 및 PrometheusRule 리소스가 더 이상 openshift-monitoring 네임스페이스에 표시되지 않습니다.

observability 애드온의 additional AlertManagerConfig 리소스는 프록시 설정을 지원하지 않습니다. 관찰 기능 경고 전달 기능을 비활성화해야 합니다.

경고 전달을 비활성화하려면 다음 단계를 완료합니다.

자체 서명된 CA 인증서가 있는 HTTPS 프록시는 지원되지 않습니다.

다양한 허브 클러스터에서 동일한 S3 스토리지를 사용하여 Red Hat Advanced Cluster Management 관찰 기능을 배포할 때 Kubernetes/Service -Level Overview/API Server 대시보드 내에서 중복 로컬 클러스터를 감지하고 표시할 수 있습니다. 중복 클러스터는 다음 패널의 결과에 영향을 미칩니다. 상위 클러스터,SLO를 초과한 클러스터 수, SLO를 충족하는 클러스터 수 local-cluster는 공유 S3 스토리지와 연결된 고유한 클러스터입니다. 여러 로컬 클러스터 가 대시보드 내에 표시되지 않도록 하려면 각 고유한 허브 클러스터가 허브 클러스터에 특별히 S3 버킷을 사용하여 관찰 기능을 배포하는 것이 좋습니다.

MultiClusterObservability CustomResource(CR)에 배포할 풀 시크릿을 생성하고 open-cluster-management-observability 네임스페이스에 pull-secret이 없는 경우 observability 엔드포인트 Operator가 실패합니다. 새 클러스터를 가져오거나 Red Hat Advanced Cluster Management를 사용하여 생성된 Hive 클러스터를 가져오는 경우 관리 클러스터에서 풀 이미지 시크릿을 수동으로 생성해야 합니다.

자세한 내용은 관찰 기능 활성화를 참조하십시오.

Red Hat Advanced Cluster Management observability는 기본 제공 대시보드 내의 일부 패널에 있는 ROKS 클러스터의 데이터를 표시하지 않습니다. 이는 ROKS가 관리하는 서버에서 API 서버 메트릭을 노출하지 않기 때문입니다. 다음 Grafana 대시보드에는 ROKS 클러스터를 지원하지 않는 패널이 포함되어 있습니다. Kubernetes/API 서버,Kubernetes/Compute Resources/Workload,Kubernetes/Compute Resources/Namespace(Workload)

ROKS 클러스터의 경우 Red Hat Advanced Cluster Management observability는 대시보드의 etcd 패널에 데이터를 표시하지 않습니다.

기본적으로 OpenShift의 Prometheus는 임시 스토리지를 사용합니다. Prometheus는 재시작할 때마다 모든 메트릭 데이터를 손실됩니다.

Red Hat Advanced Cluster Management에서 관리하는 OpenShift Container Platform 관리 클러스터에서 관찰 기능이 활성화되거나 비활성화되면 observability 엔드포인트 Operator는 로컬 Prometheus를 자동으로 재시작하는 alertmanager 구성을 추가하여 cluster-monitoring-config ConfigMap 을 업데이트합니다.

관찰 기능 수신 Pod는 다음 오류 메시지를 보고합니다.

Error on ingesting out-of-order samples

오류 메시지는 메트릭 컬렉션 간격 동안 관리 클러스터에서 전송한 시계열 데이터가 이전 컬렉션 간격으로 전송된 시계열 데이터보다 오래됨을 의미합니다. 이 문제가 발생하면 Thanos 수신자에 의해 데이터가 삭제되므로 Grafana 대시보드에 표시된 데이터에 차이가 발생할 수 있습니다. 오류가 자주 표시되는 경우 메트릭 컬렉션 간격을 더 높은 값으로 늘리는 것이 좋습니다. 예를 들어 간격을 60 초로 늘릴 수 있습니다.

문제는 시계열 간격이 30초와 같은 더 낮은 값으로 설정된 경우에만 발견됩니다. 이 문제는 메트릭 컬렉션 간격이 기본값인 300초로 설정된 경우 표시되지 않습니다.

이전 버전의 2.6에서 배포한 grafana-dev 인스턴스가 있고 환경을 2.6로 업그레이드하는 경우 grafana-dev 가 작동하지 않습니다. 다음 명령을 실행하여 기존 grafana-dev 인스턴스를 삭제해야 합니다.

./setup-grafana-dev.sh --clean

다음 명령을 사용하여 인스턴스를 다시 생성합니다.

./setup-grafana-dev.sh --deploy

메모리 제한에 도달하여 klusterlet-addon-search Pod가 실패합니다. 관리 클러스터에서 klusterlet-addon-search 배포를 사용자 정의하여 메모리 요청 및 제한을 업데이트해야 합니다. hub 클러스터에서 search-collector 라는 ManagedclusterAddon 사용자 정의 리소스를 편집합니다. search-collector 에 다음 주석을 추가하고 addon.open-cluster-management.io/search_memory_request=512Mi 및 addon.open-cluster-management.io/search_memory_limit=1024Mi 를 업데이트합니다.

예를 들어 foobar 라는 관리 클러스터가 있는 경우 다음 명령을 실행하여 메모리 요청을 512Mi 로 변경하고 메모리 제한을 1024Mi 로 변경합니다.

oc annotate managedclusteraddon search-collector -n foobar \
addon.open-cluster-management.io/search_memory_request=512Mi \
addon.open-cluster-management.io/search_memory_limit=1024Mi

mulitclusterengine 사용자 정의 리소스에서 disableHubSelfManagement 매개변수가 true 로 설정된 경우 Grafana 대시보드에 빈 레이블 목록이 표시됩니다. 레이블 목록을 보려면 매개변수를 false 로 설정하거나 매개변수를 제거해야 합니다. 자세한 내용은 disableHubSelfManagement 를 참조하십시오.

Endpoint url cannot have fully qualified paths

endpoint: example.com:443

addonDeploymentConfig 를 사용하여 구성한 관리 클러스터의 프록시 구성은 메트릭 수집기에서 탐지되지 않습니다. 이 문제를 해결하려면 관리 클러스터 ManifestWork 를 제거하여 프록시를 활성화할 수 있습니다. ManifestWork 를 제거하면 addonDeploymentConfig 의 변경 사항을 적용해야 합니다.

사용자 정의 CA 번들이 필요한 경우 관리 클러스터의 프록시 구성이 작동하지 않습니다.

OpenShift Container Platform 3.11에서는 컨테이너 보안 Operator를 사용할 수 없습니다. 따라서 ImageManifestVuln 정책 정책에서 policy-imagemanifestvuln-sub 의 정책 템플릿을 사용하여 OpenShift Container Platform 3.11 클러스터에 적용할 수 없습니다.

ImageManifestVuln 정책을 적용하려고 하면 다음 위반 메시지가 표시됩니다.

violation - couldn't find mapping resource with kind Subscription, please check if you have CRD deployed.

거버넌스 리소스가 제대로 정리되지 않습니다. 구성 요소가 false 로 설정되거나 MultiClusterHub Operator에서 비활성화되면 거버넌스 구성 요소가 제거되어 관리하는 추가 기능을 정리할 수 있습니다.

외부 ID 공급자를 사용하여 Red Hat Advanced Cluster Management에 로그인하는 경우 Red Hat Advanced Cluster Management에서 로그아웃하지 못할 수 있습니다. 이는 IBM Cloud 및 Keycloak과 함께 설치된 Red Hat Advanced Cluster Management를 ID 공급자로 사용할 때 발생합니다.

Red Hat Advanced Cluster Management에서 로그아웃하기 전에 외부 ID 공급자에서 로그아웃해야 합니다.

complianceType 매개변수에 대해 mustnothave 를 사용하여 구성된 구성 정책이 있고 remediationAction 매개변수에 대한 적용이 Kubernetes API에 대한 삭제 요청이 수행될 때 정책을 준수하도록 나열됩니다. 따라서 정책이 준수로 나열되는 동안 Kubernetes 오브젝트는 Terminating 상태로 고정될 수 있습니다.

ARM 환경에 설치할 수 있지만 정책과 함께 배포된 Operator는 ARM 환경을 지원하지 않을 수 있습니다. Operator를 설치하는 다음 정책은 ARM 환경을 지원하지 않습니다.

KlusterletAddonConfig 에서 정책 컨트롤러를 비활성화하거나 클러스터를 분리하여 관리 클러스터에서 config-policy-controller 애드온을 제거하면 ConfigurationPolicy 사용자 정의 리소스 정의가 종료 상태가 될 수 있습니다. ConfigurationPolicy 사용자 정의 리소스 정의가 종료 상태에 있는 경우 나중에 애드온을 다시 설치하는 경우 새 정책이 클러스터에 추가되지 않을 수 있습니다. 다음과 같은 오류도 표시될 수 있습니다.

template-error; Failed to create policy template: create not allowed while custom resource definition is terminating

다음 명령을 사용하여 사용자 정의 리소스 정의가 고정되었는지 확인합니다.

oc get crd configurationpolicies.policy.open-cluster-management.io -o=jsonpath='{.metadata.deletionTimestamp}'

삭제 타임스탬프가 리소스에 있으면 사용자 정의 리소스 정의가 고정됩니다. 이 문제를 해결하려면 클러스터에 남아 있는 구성 정책에서 모든 종료자를 제거합니다. 관리 클러스터에서 다음 명령을 사용하고 < cluster-namespace >를 관리 클러스터 네임스페이스로 바꿉니다.

oc get configurationpolicy -n <cluster-namespace> -o name | xargs oc patch -n <cluster-namespace> --type=merge -p '{"metadata":{"finalizers": []}}'

구성 정책 리소스는 클러스터에서 자동으로 제거되고 사용자 정의 리소스 정의는 종료 상태를 종료합니다. 애드온을 이미 다시 설치한 경우 삭제 타임스탬프 없이 사용자 정의 리소스 정의가 자동으로 다시 생성됩니다.

기존 구성 정책을 수정하면 pruneObjectBehavior 가 작동하지 않습니다. pruneObjectBehavior 가 작동하지 않는 이유는 다음과 같습니다.

정책이 remediationAction: enforce and is repeatedly updated로 설정된 경우 Red Hat Advanced Cluster Management 콘솔에는 성공적인 업데이트로 인해 반복된 위반이 표시됩니다. 오류에 대한 다음 두 가지 원인 및 해결 방법을 참조하십시오.

Pod 보안 정책 지원은 OpenShift Container Platform 4.12 이상 및 Kubernetes v1.25 이상에서 제거됩니다. PodSecurityPolicy 리소스를 적용하면 다음과 같은 비호환 메시지가 표시될 수 있습니다.

violation - couldn't find mapping resource with kind PodSecurityPolicy, please check if you have CRD deployed

동일한 정책 템플릿 이름으로 정책을 생성하면 탐지되지 않은 결과가 표시되지만 원인을 모를 수 있습니다. 예를 들어 create-pod 라는 여러 구성 정책으로 정책을 정의하면 일관되지 않은 결과가 발생합니다. 모범 사례: 정책 템플릿에 중복 이름을 사용하지 마십시오.

MultiClusterHub 오브젝트에서 거버넌스 배포를 비활성화하면 오류 없이 배포가 정리되지 않습니다. 배포도 정리되도록 거버넌스를 비활성화하려면 다음 단계를 완료합니다.

데이터베이스 및 정책 준수 기록 API 중단에 대한 복원력이 기본 제공되어 있지만 관리 클러스터에서 기록할 수 없는 규정 준수 이벤트는 성공적으로 기록될 때까지 메모리에 대기열에 추가됩니다. 즉, 관리 클러스터의 중단 및 governance-policy-framework Pod가 다시 시작되면 대기 중인 모든 규정 준수 이벤트가 손실됩니다.

데이터베이스 중단 중에 새 정책을 생성하거나 업데이트하는 경우 데이터베이스 ID에 대한 정책 매핑은 업데이트할 수 없으므로 이 새 정책에 대해 전송된 규정 준수 이벤트를 기록할 수 없습니다. 데이터베이스가 다시 온라인 상태가 되면 매핑이 자동으로 업데이트되고 해당 정책에서 향후 규정 준수 이벤트가 기록됩니다.

최신 데이터 없이 백업 복원과 같은 PostgreSQL 서버에 데이터 손실이 있는 경우 Red Hat Advanced Cluster Management Hub 클러스터의 거버넌스 정책 전파기를 다시 시작하여 정책의 매핑을 데이터베이스 ID로 업데이트해야 합니다. 거버넌스 정책 전파를 다시 시작할 때까지 데이터베이스에 존재한 정책과 관련된 새로운 규정 준수 이벤트가 더 이상 기록되지 않습니다.

거버넌스 정책 전파기를 다시 시작하려면 Red Hat Advanced Cluster Management Hub 클러스터에서 다음 명령을 실행합니다.

oc -n open-cluster-management rollout restart deployment/grc-policy-propagator

네트워킹 기능을 사용하는 동안 발생할 수 있는 다음과 같은 알려진 문제 및 제한 사항을 참조하십시오.

graceful termination failed, controllers failed with error: the server could not find the requested resource (post clustermanagementaddons.addon.open-cluster-management.io)

apiVersion: submarineraddon.open-cluster-management.io/v1alpha1
kind: SubmarinerConfig
metadata:
   name: submariner
   namespace: <managed-cluster-namespace>
spec:
   insecureBrokerConnection: true

spec,status 및 event 라는 세 가지 주제가 사용자가 가져온 고유한 Kafka에 있습니다. 다중 클러스터 글로벌 허브를 1.3 이상으로 업그레이드한 후에는 사양 및 상태 주제만 유지됩니다. multicluster 글로벌 허브 피연산자를 통해 이러한 주제를 구성합니다. 가져온 기본 토폴로지는 gh-spec 및 gh-status 입니다.

다중 클러스터 글로벌 허브 피연산자는 시스템의 API 또는 리소스이며 다중 클러스터 글로벌 허브 Operator는 컨트롤러입니다. 다중 클러스터 글로벌 허브를 업그레이드한 후 자체 Kafka 클러스터와 다중 클러스터 글로벌 허브 피연산자 간의 주제를 정렬합니다. Kafka 클러스터에서 gh- spec 및 gh- status 주제를 생성하거나 기존 사양 및 상태 주제를 사용하도록 다중 클러스터 글로벌 허브 피연산자를 변경할 수 있습니다.

다음 YAML 샘플을 사용하여 고유한 Kafka 주제를 사용하도록 다중 클러스터 글로벌 허브 피연산자를 업데이트합니다.

apiVersion: operator.open-cluster-management.io/v1alpha4
kind: MulticlusterGlobalHub
spec:
  availabilityConfig: Basic
  dataLayer:
    kafka:
      topics:
        specTopic: spec
        statusTopic: status
    postgres:
      retention: 18m
  enableMetrics: false

FIPS가 활성화된 최신 OpenShift Container Platform 환경에서 다중 클러스터 글로벌 허브가 실행 중인 경우 잘못된 oauth-proxy 이미지로 인해 Grafana 콘솔에 액세스할 수 없습니다. Red Hat Advanced Cluster Management 2.10.x는 최신 OpenShift Container Platform 버전을 지원하므로 Red Hat Advanced Cluster Management 2.10.x에서 oauth-proxy 이미지를 가져올 수 있습니다.

Grafana 콘솔에 액세스하려면 Red Hat Advanced Cluster Management 번들 이미지로 oauth-proxy 이미지를 수동으로 업데이트합니다. oauth-proxy 이미지를 업데이트하려면 다음 단계를 완료합니다.

FIPS(Federal Information Processing Standard) 환경에서 Kafka Operator는 OOM(메모리 부족) 상태로 인해 다시 시작됩니다. 이 문제를 해결하려면 리소스 제한을 512M 이상으로 설정합니다. 이 제한을 설정하는 방법에 대한 자세한 단계는 amq stream doc 를 참조하십시오.

원래 다중 클러스터 글로벌 허브 클러스터가 충돌하면 다중 클러스터 글로벌 허브가 생성된 이벤트 및 cron 작업이 손실됩니다. 새 다중 클러스터 글로벌 허브 클러스터를 복원하더라도 이벤트 및 cron 작업이 복원되지 않습니다. 이 문제를 해결하려면 cron 작업을 수동으로 실행할 수 있습니다. https://access.redhat.com/documentation/en-us/red_hat_advanced_cluster_management_for_kubernetes/2.9/html/multicluster_global_hub/multicluster-global-hub#global-hub-compliance-manual

성공적으로 생성되지 않은 관리 클러스터입니다. 즉 clusterclaim id.k8s.io 는 관리 클러스터에 존재하지 않으며 정책 준수 대시보드에 포함되지 않지만 정책 콘솔에 표시됩니다.

다중 클러스터 글로벌 허브 Operator가 OpenShift Container Platform 4.13에 설치된 경우 관리 클러스터 목록에 연결되는 모든 하이퍼링크와 대시보드의 세부 페이지가 Red Hat Advanced Cluster Management 홈페이지로 리디렉션될 수 있습니다.

대상 페이지로 수동으로 이동해야 합니다.

Global Hub Policy Group Compliancy Overview Hub Dashboard에서 View Offending Policies for standard group 을 클릭하여 하나의 데이터 포인트를 확인할 수 있지만 이 링크를 클릭하면 표준 그룹 필터가 새 페이지로 이동할 수 없습니다.

이는 클러스터 그룹 호환 개요에도 문제가 있습니다.

관리형 허브 클러스터에서 OpenShift Container Platform 3.11 클러스터(더 이상 사용되지 않음)를 관리 클러스터로 가져오는 경우 Global Hub > 개요 대시보드의 Observability 페이지로 리디렉션할 수 없습니다.

대상 페이지로 수동으로 이동해야 합니다.

GDPR은 개인의 개인 데이터를 처리하기 위한 더 강력한 데이터 보호 규제 프레임워크를 설정합니다. GDPR은 다음과 같은 기능을 제공합니다.

플랫폼으로서 Red Hat Advanced Cluster Management for Kubernetes는 관리자 사용자 ID 및 암호, 서비스 사용자 ID 및 암호, IP 주소 및 Kubernetes 노드 이름과 같이 개인 데이터로 간주할 수 있는 여러 기술 데이터 카테고리를 처리합니다. Red Hat Advanced Cluster Management for Kubernetes 플랫폼은 플랫폼을 관리하는 사용자에 대한 정보도 처리합니다. 플랫폼에서 실행되는 애플리케이션에서는 플랫폼에 알려지지 않은 다른 개인 데이터 범주가 도입될 수 있습니다.

이 기술 데이터가 수집/생성, 저장, 액세스, 보안, 기록 및 삭제되는 방법에 대한 정보는 이 문서의 뒷부분에서 설명합니다.

고객은 다음과 같은 다양한 방법으로 온라인 댓글/피드백/요청을 제출할 수 있습니다.

일반적으로 고객 이름과 이메일 주소만 사용되며, 연락처에 대한 개인 응답을 활성화하는 데 사용되며, 개인 데이터 사용은 Red Hat 온라인 개인정보처리방침 을 준수합니다.

Red Hat Advanced Cluster Management for Kubernetes 플랫폼 인증 관리자는 콘솔에서 사용자 인증 정보를 수락하고 엔터프라이즈 디렉터리에 대해 사용자 인증 정보를 검증하는 백엔드 OIDC 공급자로 인증 정보를 전달합니다. 그런 다음 OIDC 공급자는 JSON 웹 토큰(JWT)의 콘텐츠가 포함된 인증쿠키(인증 쿠키)를 인증 관리자에게 반환합니다. JWT 토큰은 인증 요청 시 그룹 멤버십 외에 사용자 ID 및 이메일 주소와 같은 정보를 유지합니다. 그런 다음 이 인증 쿠키가 콘솔로 다시 전송됩니다. 세션 중에 쿠키가 새로 고쳐집니다. 콘솔에서 로그아웃하거나 웹 브라우저를 종료한 후 12시간 동안 유효합니다.

콘솔에서 수행된 모든 후속 인증 요청에 대해 프런트 엔드 NGINX 서버는 요청에서 사용 가능한 인증 쿠키를 디코딩하고 인증 관리자를 호출하여 요청을 검증합니다.

Kubernetes 플랫폼 CLI용 Red Hat Advanced Cluster Management를 사용하려면 사용자가 로그인할 수 있는 인증 정보를 제공해야 합니다.

kubectl 및 oc CLI도 클러스터에 액세스하기 위해 인증 정보가 필요합니다. 이러한 인증 정보는 관리 콘솔에서 가져와 12 시간 후에 만료될 수 있습니다. 서비스 계정을 통한 액세스가 지원됩니다.

Red Hat Advanced Cluster Management for Kubernetes 플랫폼은 역할 기반 액세스 제어(RBAC)를 지원합니다. 역할 매핑 단계에서는 인증 단계에서 제공되는 사용자 이름이 사용자 또는 그룹 역할에 매핑됩니다. 역할은 인증된 사용자가 수행할 수 있는 관리 활동을 승인할 때 사용됩니다.

Red Hat Advanced Cluster Management for Kubernetes 플랫폼 역할은 클러스터 구성 작업, 카탈로그 및 Helm 리소스 및 Kubernetes 리소스에 대한 액세스를 제어합니다. 클러스터 관리자, 관리자, Operator, 편집기, 뷰어를 포함하여 여러 IAM(Identity and Access Management) 역할이 제공됩니다. 팀에 추가할 때 사용자 또는 사용자 그룹에 역할이 할당됩니다. 리소스에 대한 팀 액세스는 네임스페이스를 통해 제어할 수 있습니다.

Pod 보안 정책은 Pod가 수행할 수 있는 작업 또는 액세스할 수 있는 항목에 대한 클러스터 수준 제어를 설정하는 데 사용됩니다.