4.2. OADP 发行注记
OpenShift API for Data Protection (OADP) 的发行注记介绍了新的功能和增强功能、已弃用的功能、产品建议、已知问题和解决问题。
4.2.1. OADP 1.2.3 发行注记
4.2.1.1. 新功能
OpenShift API for Data Protection (OADP) 1.2.3 版本没有包括新的功能。
4.2.1.2. 已解决的问题
以下主要问题已在 OADP 1.2.3 中解决:
启用的多个 HTTP/2 的 Web 服务器容易受到 DDoS 攻击(Rapid Reset Attack) 的影响
在之前的 OADP 1.2 版本中,HTTP/2 协议易受拒绝服务攻击的影响,因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下,设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。有关与此 CVE 关联的所有 OADP 问题列表,请查看以下 JIRA 列表。
如需更多信息,请参阅 CVE-2023-39325 (Rapid Reset Attack)。
有关 OADP 1.2.3 发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.2.3 解决的问题列表。
4.2.1.3. 已知问题
OADP 1.2.3 发行版本中没有已知的问题。
4.2.2. OADP 1.2.2 发行注记
4.2.2.1. 新功能
OpenShift API for Data Protection (OADP) 1.2.2 版本没有包括新的功能。
4.2.2.2. 已解决的问题
以下主要问题已在 OADP 1.2.2 中解决:
因为 Pod 安全标准,Restic 恢复部分失败
在之前的 OADP 1.2 版本中,OpenShift Container Platform 4.14 强制执行一个 pod 安全准入 (PSA) 策略,在 Restic 恢复过程中会阻止 pod 的就绪度。
这个问题已在 OADP 1.2.2 版本中解决,同时也在 OADP 1.1.6 中解决。因此,建议用户升级到这些版本。
如需更多信息,请参阅因为更改 PSA 策略,在 OCP 4.14 上进行 Restic 恢复部分失败。(OADP-2094)
使用内部镜像备份应用程序部分失败并显示插件 panicked 错误
在以前的 OADP 1.2 版本中,带有内部镜像的应用程序备份部分会失败,并显示插件 panicked 错误。备份部分失败,在 Velero 日志中出现这个错误:
time="2022-11-23T15:40:46Z" level=info msg="1 errors encountered backup up item" backup=openshift-adp/django-persistent-67a5b83d-6b44-11ed-9cba-902e163f806c logSource="/remote-source/velero/app/pkg/backup/backup.go:413" name=django-psql-persistent time="2022-11-23T15:40:46Z" level=error msg="Error backing up item" backup=openshift-adp/django-persistent-67a5b83d-6b44-11ed-9cba-902e163f8
这个问题已在 OADP 1.2.2 中解决。(OADP-1057)。
因为恢复顺序的原因,ACM 集群恢复无法如预期正常工作。
在以前的 OADP 1.2 版本中,因为恢复顺序,ACM 集群恢复无法正常工作。在恢复激活后,ACM 应用程序会在受管集群中被删除并重新创建。(OADP-2505)
由于卷大小不匹配,在备份和恢复时,使用 filesystemOverhead 的虚拟机会失败
在以前的 OADP 1.2 版本中,因为存储供应商实现选择,当应用程序持久性卷声明 (PVC) 存储请求和同一 PVC 的快照大小之间有区别时,使用 filesystemOverhead 的虚拟机在备份和恢复时会失败。 这个问题已在 OADP 1.2.2 的 Data Mover 中解决。(OADP-2144)
OADP 没有包含设置 VolSync 复制源修剪间隔的选项
在之前的 OADP 1.2 版本中,没有设置 VolSync 复制源 pruneInterval 的选项。(OADP-2052)
如果 Velero 在多个命名空间中安装,则可能会出现 pod 卷备份失败
在以前的 OADP 1.2 版本中,如果在多个命名空间中安装 Velero,则可能会出现 pod 卷备份失败。(OADP-2409)
当 VSL 使用自定义 secret 时,备份存储位置会进入不可用阶段
在之前的 OADP 1.2 版本中,当卷快照位置使用自定义 secret 时,备份存储位置将进入不可用阶段。(OADP-1737)
有关 OADP 1.2.2 发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.2.2 解决的问题列表。
4.2.2.3. 已知问题
在 OADP 1.2.2 发行版本中,以下问题已被明确标识为已知问题:
must-gather 命令无法删除 ClusterRoleBinding 资源
oc adm must-gather 命令无法删除 ClusterRoleBinding 资源,这些资源因为准入 Webhook 留在集群中。因此,删除 ClusterRoleBinding 资源的请求会被拒绝。(OADP-27730)
admission webhook "clusterrolebindings-validation.managed.openshift.io" denied the request: Deleting ClusterRoleBinding must-gather-p7vwj is not allowed
有关本发行版本中所有已知问题的完整列表,请参阅 JIRA 中的OADP 1.2.2 已知问题 列表。
4.2.3. OADP 1.2.1 发行注记
4.2.3.1. 新功能
OpenShift API for Data Protection (OADP) 1.2.1 版本没有包括新的功能。
4.2.3.2. 已解决的问题
有关 OADP 1.2.1 发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.2.1 解决的问题列表。
4.2.3.3. 已知问题
在 OADP 1.2.1 发行版本中,以下问题已被明确标识为已知问题:
DataMover Restic retain 和 prune 策略无法按预期正常工作
VolSync 和 Restic 提供的 retention(保留)和 prune(修剪)功能无法按预期正常工作。因为没有在 VolSync 复制中设置修剪间隔的可用选项,所以您必须在 OADP 之外的 S3 存储上远程管理和修剪存储备份。如需了解更多详细信息,请参阅:
OADP Data Mover 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
有关本发行版本中所有已知问题的完整列表,请参阅 JIRA 中的 OADP 1.2.1 已知问题列表。
4.2.4. OADP 1.2.0 发行注记
OADP 1.2.0 发行注记包括有关新功能、错误修复和已知问题的信息。
4.2.4.1. 新功能
资源超时
新的 resourceTimeout 选项指定等待各种 Velero 资源的超时时间(以分钟为单位)。这个选项适用于资源,如 Velero CRD 可用性、volumeSnapshot 删除和备份存储库可用性。默认持续时间为 10 分钟。
AWS S3 兼容备份存储供应商
您可以在 AWS S3 兼容供应商上备份对象和快照。如需了解更多详细信息,请参阅配置 Amazon Web Services。
4.2.4.1.1. 技术预览功能
data Mover
OADP Data Mover 可让您将 Container Storage Interface (CSI) 卷快照备份到远程对象存储。如果启用了 Data Mover,当出现意外删除、集群故障或数据崩溃的情况时,可以使用从对象存储中拉取的 CSI 卷快照来恢复有状态的应用程序。如需更多信息,请参阅为 CSI 快照使用数据。
OADP Data Mover 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
4.2.4.2. 已解决的问题
有关本发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.2.0 解决的问题列表。
4.2.4.3. 已知问题
在 OADP 1.2.0 发行版本中,以下问题已被明确标识为已知问题:
启用的多个 HTTP/2 的 Web 服务器容易受到 DDoS 攻击(Rapid Reset Attack) 的影响
HTTP/2 协议易受拒绝服务攻击的影响,因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下,设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。有关与此 CVE 关联的所有 OADP 问题列表,请查看以下 JIRA 列表。
建议升级到 OADP 1.2.3,它解决了这个问题。
如需更多信息,请参阅 CVE-2023-39325 (Rapid Reset Attack)。
4.2.5. OADP 1.1.7 发行注记
OADP 1.1.7 发行注记列出了所有已解决的问题和已知问题。
4.2.5.1. 已解决的问题
以下主要问题已在 OADP 1.1.7 中解决:
启用的多个 HTTP/2 的 Web 服务器容易受到 DDoS 攻击(Rapid Reset Attack) 的影响
在之前的 OADP 1.1 版本中,HTTP/2 协议易受拒绝服务攻击的影响,因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下,设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。有关与此 CVE 关联的所有 OADP 问题列表,请查看以下 JIRA 列表。
如需更多信息,请参阅 CVE-2023-39325 (Rapid Reset Attack)。
有关 OADP 1.1.7 发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.1.7 解决的问题列表。
4.2.5.2. 已知问题
OADP 1.1.7 发行版本中没有已知的问题。
4.2.6. OADP 1.1.6 发行注记
OADP 1.1.6 发行注记列出了任何新功能、解决的问题和错误以及已知的问题。
4.2.6.1. 已解决的问题
由于 Pod 安全标准,Restic 恢复部分失败
OCP 4.14 引入了 pod 安全标准,这意味着 privileged 配置集是 enforced。在以前的 OADP 版本中,这个配置集会导致 pod 收到 permission denied 错误。造成这个问题的原因是恢复顺序。pod 在安全性上下文约束 (SCC) 资源之前创建。由于此 pod 违反了 pod 安全标准,因此 pod 被拒绝,然后失败。OADP-2420
恢复作业资源部分失败
在以前的 OADP 版本中,恢复作业资源在 OCP 4.14 中部分失败。旧的 OCP 版本中没有此问题。此问题是由一个额外的标签指向作业资源造成的,这些资源在旧的 OCP 版本中不存在。OADP-2530
有关本发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.1.6 解决的问题列表。
4.2.6.2. 已知问题
有关本发行版本中所有已知问题的完整列表,请参阅 JIRA 中的 OADP 1.1.6 已知问题列表。
4.2.7. OADP 1.1.5 发行注记
OADP 1.1.5 发行注记列出了任何新功能、解决的问题和错误以及已知的问题。
4.2.7.1. 新功能
这个版本 OADP 是一个服务发行版本。此版本不会添加新功能。
4.2.7.2. 已解决的问题
有关本发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.1.5 解决的问题列表。
4.2.7.3. 已知问题
有关本发行版本中所有已知问题的完整列表,请参阅 JIRA 中的 OADP 1.1.5 已知问题列表。
4.2.8. OADP 1.1.4 发行注记
OADP 1.1.4 发行注记列出了任何新功能、解决的问题和错误以及已知的问题。
4.2.8.1. 新功能
这个版本 OADP 是一个服务发行版本。此版本不会添加新功能。
4.2.8.2. 已解决的问题
添加对所有 velero 部署服务器参数的支持
在之前的 OADP 版本中,OADP 无法促进所有上游 Velero 服务器参数的支持。这个问题已在 OADP 1.1.4 中解决,所有上游 Velero 服务器参数都支持。OADP-1557
当存在多个 VSR 用于恢复名称和 pvc 名称时,数据 Mover 可以从不正确的快照中恢复
在之前的 OADP 版本中,如果集群中有多个带有相同的 restore 名和 PersistentVolumeClaim (pvc) 名的多个 Volume Snapshot Restore (VSR) 资源,OADP Data Mover 可能会从不正确的快照进行恢复。OADP-1822
Cloud Storage API BSLs 需要 OwnerReference
在之前的 OADP 版本中,ACM 备份调度失败,因为使用 dpa.spec.backupLocations.bucket 创建的 Backup Storage Locations (BSLs) 中缺少 OwnerReference。OADP-1511
有关本发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.1.4 解决的问题列表。
4.2.8.3. 已知问题
这个版本有以下已知问题:
OADP 备份可能会失败,因为集群中的 UID/GID 范围可能已更改
OADP 备份可能会失败,因为在恢复应用程序的集群上可能会更改 UID/GID 范围,因此 OADP 不会备份和恢复 OpenShift Container Platform UID/GID 范围元数据。要避免这个问题,如果支持的应用程序需要特定的 UUID,请确保恢复时范围可用。一个额外的解决方法是允许 OADP 在恢复操作中创建命名空间。
如果 ArgoCD 使用了 ArgoCD 的标签,则恢复可能会失败
在处理过程中如果使用了 ArgoCD,则恢复可能会失败。这是因为 ArgoCD 使用的一个标签 app.kubernetes.io/instance 造成的。该标签用于标识 ArgoCD 需要管理的资源,它可能会导致与 OADP 在恢复过程中管理资源的过程有冲突。要临时解决这个问题,将 ArgoCD YAML 上的 .spec.resourceTrackingMethod 设置为 annotation+label 或 annotation。如果问题仍然存在,请在开始恢复前禁用 ArgoCD,并在恢复完成后再次启用它。
OADP Velero 插件返回 "received EOF, stop recv loop" 信息
Velero 插件作为单独的进程启动。当 Velero 操作完成后,无论是否成功,它们都会退出。因此,如果您看到 received EOF, stopping recv loop 消息,这并不意味着发生了错误。消息显示插件操作已完成。OADP-2176
有关本发行版本中所有已知问题的完整列表,请参阅 JIRA 中的 OADP 1.1.4 已知问题列表。
4.2.9. OADP 1.1.3 发行注记
OADP 1.1.3 发行注记列出了任何新功能、解决的问题和错误以及已知的问题。
4.2.9.1. 新功能
这个版本 OADP 是一个服务发行版本。此版本不会添加新功能。
4.2.9.2. 已解决的问题
有关本发行版本中解决的所有问题的完整列表,请参阅 JIRA 中的 OADP 1.1.3 解决的问题列表。
4.2.9.3. 已知问题
有关本发行版本中所有已知问题的完整列表,请参阅 JIRA 中的 OADP 1.1.3 已知问题 列表。
4.2.10. OADP 1.1.2 发行注记
OADP 1.1.2 发行注记包括产品建议、修复的错误列表和已知问题的描述。
4.2.10.1. 产品建议
VolSync
要准备从 VolSync 0.5.1 升级到 VolSync stable 频道中的最新版本,您必须运行以下命令在 openshift-adp 命名空间中添加此注解:
$ oc annotate --overwrite namespace/openshift-adp volsync.backube/privileged-movers='true'
Velero
在这个发行版本中,Velero 已从 1.9.2 升级到 1.9.5 版本。
Restic
在本发行版本中,Restic 从 0.13.1 升级到 0.14.0 版本。
4.2.10.2. 已解决的问题
本发行版本中解决了以下问题:
4.2.10.3. 已知问题
这个版本有以下已知问题:
4.2.11. OADP 1.1.1 发行注记
OADP 1.1.1 发行注记包括产品建议和已知问题的描述。
4.2.11.1. 产品建议
在安装 OADP 1.1.1 前,建议安装 VolSync 0.5.1 或升级到它。
4.2.11.2. 已知问题
这个版本有以下已知问题:
启用的多个 HTTP/2 的 Web 服务器容易受到 DDoS 攻击(Rapid Reset Attack) 的影响
HTTP/2 协议易受拒绝服务攻击的影响,因为请求可以快速重置多个流。服务器需要在没有达到每个连接的最大活跃流数量在服务器端的限制的情况下,设置和处理流。这会导致因为服务器的资源被耗尽而出现拒绝服务的问题。有关与此 CVE 关联的所有 OADP 问题列表,请查看以下 JIRA 列表。
建议升级到 OADP 1.1.7 或 1.2.3,从而解决了这个问题。
如需更多信息,请参阅 CVE-2023-39325 (Rapid Reset Attack)。
- OADP 目前不支持使用 Velero (OADP-778) 中的 restic 备份和恢复 AWS EFS 卷。
CSI 备份可能会因为每个 PVC 的
VolumeSnapshotContent快照限制而失败。您可以创建同一持久性卷声明(PVC)的许多快照,但无法调度定期创建快照:
