1.3. 新功能及功能增强


此版本对以下方面进行了改进。

1.3.1. Red Hat Enterprise Linux CoreOS (RHCOS)

1.3.1.1. 改进了对使用 Fabric 的 NVMe 的支持

OpenShift Container Platform 4.11 引入了 nvme-cli 软件包,它为管理 NVMe 设备提供了一个接口。

1.3.1.2. 使用 kdump 在 AMD64 机器上调查内核崩溃

RHCOS 现在支持 kdump 用于 OpenShift Container Platform 4.11 中的 x86_64 架构。对其它构架上的 kdump 的支持仍为技术预览。

1.3.1.3. 使用 kdump 调查 ARM64 机器上的内核崩溃(技术预览)

RHCOS 现在支持 kdump 用于 OpenShift Container Platform 4.11 中的 arm64 架构,作为技术预览。

1.3.1.4. RHCOS 现在使用 RHEL 8.6

RHCOS 现在在 OpenShift Container Platform 4.11 及更高版本中使用 Red Hat Enterprise Linux (RHEL) 8.6 软件包。这可让您获得最新的修复、功能和增强,以及最新的硬件支持和驱动程序更新。

1.3.1.5. 更新了 RHCOS registry URL

下载 RHCOS 引导镜像的重定向器主机名现在是 rhcos.mirror.openshift.com。您必须配置防火墙以授予引导镜像的访问权限。如需更多信息,请参阅为 OpenShift Container Platform 配置防火墙

1.3.2. 安装和升级

1.3.2.1. RHEL 9 支持 OpenShift 安装程序

现在支持将 Red Hat Enterprise Linux (RHEL) 9 与 OpenShift 安装程序(openshift-install)搭配使用。

如需更多信息,请参阅您的平台安装文档中的"包含安装程序"部分。

1.3.2.2. 在单一节点上安装 OpenShift Container Platform 的新最小系统要求

此发行版本更新了在单一节点上安装 OpenShift Container Platform 的最低系统要求。在单一节点上安装 OpenShift Container Platform 时,您应该配置至少 16 GB RAM。特定工作负载的要求中可能需要额外 RAM。支持的平台的完整列表包括裸机、vSphere、Red Hat OpenStack Platform(RHOSP)和 Red Hat Virtualization Platform。在所有情况下,当使用 openshift-installer 二进制文件安装单节点 OpenShift 时,您必须在 install-config.yaml 配置文件中指定 platform.none: {} 参数。

1.3.2.3. OpenShift Container Platform on ARM

OpenShift Container Platform 4.11 现在支持基于 AWS 用户置备的基础架构和裸机安装程序置备的基础架构的 ARM 架构。有关实例可用性和安装文档的更多信息,请参阅支持的安装方法

ARM 上的 OpenShift Container Platform 支持以下功能:

  • 断开连接的安装支持
  • AWS 的弹性文件系统(EFS)
  • 裸机上的本地存储 Operator
  • 用于裸机的互联网小型计算机系统接口(iSCSI)

ARM 上的 OpenShift Container Platform 支持以下 Operator:

  • 特殊资源 operator(SRO)

1.3.2.4. 在 AWS 上的安装过程中对 bootstrap 进行故障排除会失败

安装程序现在从 AWS 上的 bootstrap 和 control plane 主机收集串口控制台日志。此日志数据被添加到标准 bootstrap 日志捆绑包中。

如需更多信息,请参阅故障排除安装问题

1.3.2.5. 支持 Microsoft Hyper-V 生成版本 2

默认情况下,安装程序使用 Hyper-V 生成版本 2 虚拟机部署 Microsoft Azure 集群。如果安装程序检测到为虚拟机选择的实例类型不支持版本 2,它将使用版本 1 进行部署。

1.3.2.6. 默认 AWS 和 VMware vSphere 计算节点资源

从 OpenShift Container Platform 4.11 开始,安装程序现在使用 4 个 vCPU 和 16 GB 虚拟 RAM 部署 AWS 和 VMware vSphere 计算节点。

1.3.2.7. 支持 AWS SC2S 区域

OpenShift Container Platform 4.11 引入了对 AWS Secret Commercial Cloud Services(SC2S)区域的支持。现在,您可以在 us-isob-east-1 SC2S 区域中安装和更新 OpenShift Container Platform 集群。

如需更多信息,请参阅在 AWS 上安装集群到一个 Secret 或 Top Secret 区域

1.3.2.8. 使用安装程序置备的基础架构在 Nutanix 上安装集群

OpenShift Container Platform 4.11 支持使用安装程序置备的基础架构在 Nutanix 上安装集群。这种类型的安装允许您使用安装程序在安装程序置备和集群维护的基础架构上部署集群。

如需更多信息,请参阅在 Nutanix 上安装集群

1.3.2.9. 使用 Azure Ultra SSD 安装 OpenShift Container Platform

现在,您可以在 Azure 上安装 OpenShift Container Platform 时启用 Ultra SSD 存储。此功能要求安装 OpenShift Container Platform 的 Azure 区域和区域都提供 Ultra 存储。

如需更多信息,请参阅其他 Azure 配置参数

1.3.2.10. 添加了对 bootstrapExternalStaticIP 和 bootstrapExternalStaticGateway 配置设置的支持

当在 baremetal 网络中带有静态 IP 地址而没有 DHCP 服务器的裸机上部署安装程序置备的 OpenShift Container Platform 集群时,您必须为 bootstrap 虚拟机指定一个静态 IP 地址以及 bootstrap 虚拟机网关的静态 IP 地址。OpenShift Container Platform 4.11 提供 bootstrapExternalStaticIPbootstrapExternalStaticGateway 配置设置,您可以在部署前在 install-config.yaml 文件中设置。通过引入这些设置,不再需要 OpenShift Container Platform 4.10 中的在 baremetal 网络中,在没有 DHCP 服务器的情况下为 bootstrap 虚拟机分配一个 IP 地址这一过程。

如需更多信息,请参阅配置 install-config.yaml 文件额外 install-config 参数

1.3.2.11. 配置 Fujitsu 硬件

OpenShift Container Platform 4.11 支持在 Fujitsu 硬件的裸机上安装 OpenShift Container Platform 时配置 control plane 节点的 BIOS 和 RAID 阵列。对于 OpenShift Container Platform 4.10,在 Fujitsu 硬件中配置 BIOS 和 RAID 阵列仅限于 worker 节点。

如需更多信息,请参阅配置 BIOS配置 RAID

1.3.2.12. 使用 oc-mirror CLI 插件断开连接的镜像现已正式发布

您可以使用 oc-mirror OpenShift CLI (oc)插件在断开连接的环境中镜像镜像。此功能以前作为技术预览功能在 OpenShift Container Platform 4.10 中引入,现在在 OpenShift Container Platform 4.11 中正式发布。

此 oc-mirror 插件发行版本包括以下新功能:

  • 从目标镜像 registry 修剪镜像
  • 为 Operator 软件包和 OpenShift Container Platform 发行版本指定版本范围
  • 为 OpenShift Update Service(OSUS)使用生成支持工件
  • 获取初始镜像设置配置的模板
重要

如果您在 OpenShift Container Platform 4.10 中使用 oc-mirror 插件的技术预览版本,则无法将镜像 registry 迁移到 OpenShift Container Platform 4.11。您必须下载新的 oc-mirror 插件,使用新的存储后端,并在目标镜像 registry 上使用新的顶级命名空间。

如需更多信息,请参阅使用 oc-mirror 插件为断开连接的安装镜像镜像

1.3.2.13. 使用用户管理的加密密钥在 Azure 上安装集群

OpenShift Container Platform 4.11 支持使用用户管理的磁盘加密在 Azure 上安装集群。

如需更多信息,请参阅为 Azure 启用用户管理的加密

1.3.2.14. 默认启用 Azure 的加速网络

Azure 上的 OpenShift Container Platform 4.11 为 control plane 和计算节点提供加速网络。在安装程序置备的基础架构安装中支持的实例类型支持,默认启用加速网络。

如需更多信息,请参阅 Azure 上的 Openshift 4 - 加速联网

1.3.2.15. AWS VPC 端点和受限安装

在 AWS 上安装受限 OpenShift Container Platform 集群时,不再需要配置 AWS VPC 端点。在配置 VPC 端点时,您还可以选择在没有 VPC 端点的情况下配置代理,或使用 VPC 端点配置代理。

如需更多信息,请参阅使用 VPC 的要求

1.3.2.16. 安装 OpenShift Container Platform 时进行其他自定义

OpenShift Container Platform 4.11 允许您禁用 baremetalmarketplace Operator 的安装,以及存储在 openshift 命名空间中的 openshift-samples 内容。在安装前,您可以通过将 baselineCapabilitySetadditionalEnabledCapabilities 参数添加到 install-config.yaml 配置文件来禁用这些功能。如果在安装过程中禁用这些功能,您可以在安装集群后启用它们。启用功能后,无法再次禁用该功能。

如需更多信息,请参阅您的平台安装文档中的"安装配置参数"部分。

1.3.2.17. Azure Marketplace offering

OpenShift Container Platform 现在包括在 Azure Marketplace 中。Azure Marketplace 产品可供在北美和 EMEA 处采购 OpenShift Container Platform 的客户使用。

如需更多信息,请参阅使用 Azure Marketplace 安装 OpenShift

1.3.2.18. AWS Marketplace 产品

OpenShift Container Platform 现在包括在 AWS Marketplace 中。AWS Marketplace 产品可供在北美地区购买 OpenShift Container Platform 的客户使用。

如需更多信息,请参阅使用 AWS Marketplace 安装 OpenShift

1.3.2.19. vSphere 集群上的 CSI 驱动程序安装

要在 vSphere 上运行的集群中安装 CSI 驱动程序,您必须安装以下组件:

  • 虚拟硬件版本 15 或更高版本
  • vSphere 版本 7.0 更新 2 或更高版本直到但不包括版本 8。vSphere 8 不被支持。
  • VMware ESXi 版本 7.0 更新 2 或更高版本

早于以上版本的组件已弃用或删除。弃用的版本仍被完全支持,但红帽建议您使用 ESXi 7.0 Update 2 或更高版本和 vSphere 7.0 更新 2,但不包括版本 8. vSphere 8。

如需更多信息,请参阅已弃用和删除的功能

1.3.3. 安装后配置

1.3.3.1. 集群功能

作为集群管理员,您可以在安装或安装后启用集群功能来选择或取消选择一个或多个可选组件。

如需更多信息,请参阅集群功能

1.3.3.2. 带有多架构计算机器的 OpenShift Container Platform 集群(技术预览)

OpenShift Container Platform 4.11 引入了带有多架构计算机器的集群,使用 Azure 安装程序置备的基础架构作为技术预览。此功能提供第二天操作,能够将 arm64 计算节点添加到使用多架构安装程序二进制文件置备的现有 x86_64 Azure 集群。您可以通过创建一个使用手动生成的 arm64 引导镜像的自定义 Azure 机器集来在集群中添加 arm64 计算节点。目前不支持 arm64 构架上的 control planes。如需更多信息,请参阅配置多架构集群

注意

您可以使用 image-pullsec 手动将集群升级到最新的多架构发行镜像。如需更多信息,请参阅升级多架构计算机器

1.3.4. Web 控制台

1.3.4.1. Developer Perspective (开发者视角)

  • 在这个版本中,您可以在 Developer 视角中,将包含管道的 GitHub 存储库添加到 OpenShift Container Platform 集群中。现在,当相关 Git 事件(如推送或拉取请求)被触发时,可以在集群中的 GitHub 存储库中运行管道和任务。

    • 在管理员视角中,您可以将 GitHub 应用程序与 OpenShift 集群配置为使用管道作为代码。使用这个配置,可以执行构建部署所需的一组任务。
  • 在这个版本中,您可以使用自己的一组策展的任务创建自定义管道。您可以直接从开发人员控制台搜索、安装和升级任务。
  • 在这个版本中,您可以在 web 终端中有多个标签,查看 bash 历史记录,web 终端会保持打开,直到您关闭浏览器窗口或标签页。
  • 在这个版本中,在开发者视角的 Add+ 页面中,添加了一个新的菜单来共享项目和 Helm Chart 仓库,以便向项目中添加或删除用户。

1.3.4.2. 动态插件更新

在这个版本中,您可以使用新的 console.openshift.io/use-i18next 注解来确定 ConsolePlugin 包含本地化资源。如果注解被设置为 "true",则加载来自 i18n 命名空间的本地化资源。如果注解被设置为任何其他值,或者在 ConsolePlugin 资源中缺失,则不会加载本地化资源。

如需更多信息,请参阅动态插件概述

1.3.4.3. 支持暗模式主题

OpenShift Container Platform web 控制台现在支持暗模式主题。在用户首选项页面中,选择您首选的主题来查看 Web 控制台。

1.3.4.4. 显示 Installed Operator 页面中所有受管命名空间的操作对象实例

在这个版本中,Operator Installed Operator 页显示所有命名空间中的所有 Operator。您仍然只能查看项目选择器内所选命名空间中的实例。当查看操作对象实例时,新的切换控制允许从所有命名空间或只查看当前命名空间的所有操作对象实例。

1.3.4.5. 条件更新

在这个版本中,如果有条件更新可用,您可以在更新集群模态的选择新版本下拉列表中启用包括但不推荐的版本来填充有条件更新的下拉列表。如果选择了支持但不推荐的版本,则会在下拉菜单下显示与版本相关的问题的提示。

1.3.4.6. Pod 中断预算 (PDB)

在这个版本中,为 OpenShift Container Platform Web 控制台提供对 pod 中断预算 (PDB) 的支持。在 Workloads PodDisruptionBudgets 中,您可以为 pod 资源创建 PDB。您可以从可用要求列表中选择 maxUnavailableminAvailable,并设置正在运行的 pod 的值。另外,也可以通过 pod 控制器资源列表和详情页创建 pod 中断预算。例如,从 Workloads DeploymentsAdd PodDisruptionBudget

如需更多信息,请参阅 Pod 抢占和其他调度程序设置

1.3.5. OpenShift CLI (oc)

1.3.5.1. RHEL 9 支持 OpenShift CLI (oc)

现在支持将 Red Hat Enterprise Linux (RHEL) 9 与 OpenShift CLI (oc) 搭配使用。

注意

不支持将 OpenShift CLI(oc)安装为 Red Hat Enterprise Linux(RHEL)9 的 RPM。您必须下载二进制文件,为 RHEL 9 安装 OpenShift CLI。

如需更多信息,请参阅安装 OpenShift CLI

1.3.6. IBM Z 和 LinuxONE

在这个版本中,IBM Z 和 LinuxONE 与 OpenShift Container Platform 4.11 兼容。可以使用 z/VM 或 RHEL KVM 进行安装。有关安装说明,请参阅以下文档:

主要改进

IBM Z 和 LinuxONE 中的 OpenShift Container Platform 4.11 支持以下新功能:

  • 备用身份验证提供程序
  • 使用 Local Storage Operator 自动设备发现
  • CSI 卷

    • 克隆
    • 扩展
    • Snapshot
  • File Integrity Operator
  • 用户定义项目的监控
  • Operator API
  • OC CLI 插件
支持的功能

IBM Z 和 LinuxONE 也支持以下功能:

  • 目前,支持以下 Operator:

    • Cluster Logging Operator
    • Compliance Operator
    • Local Storage Operator
    • NFD Operator
    • NMState Operator
    • OpenShift Elasticsearch Operator
    • Service Binding Operator
    • Vertical Pod Autoscaler Operator
  • 支持以下 Multus CNI 插件:

    • Bridge
    • Host-device
    • IPAM
    • IPVLAN
  • 加密数据存储在 etcd 中
  • Helm
  • Pod 横向自动扩展
  • 多路径(Multipathing)
  • 使用 iSCSI 的持久性存储
  • 使用本地卷的持久性存储(本地存储 Operator)
  • 使用 hostPath 的持久性存储
  • 使用 Fibre Channel 持久性存储
  • 使用 Raw Block 的持久性存储
  • OVN-Kubernetes,包括 IPsec 加密
  • 支持多个网络接口
  • 三节点集群支持
  • SCSI 磁盘中的 z/VM 模拟 FBA 设备
  • 4K FCP 块设备

以下功能仅适用于 IBM Z 和 4.11 上的 OpenShift Container Platform:

  • IBM Z 和 LinuxONE 为附加的 ECKD 存储的虚拟机启用了 HyperPAV
限制

以下限制会影响 OpenShift Container Platform 对 IBM Z 和 LinuxONE 的影响:

  • 以下 OpenShift Container Platform 技术预览功能不被支持:

    • 精度时间协议 (PTP) 硬件
  • 以下 OpenShift Container Platform 功能不被支持:

    • 使用机器健康检查功能自动修复损坏的机器
    • Red Hat OpenShift Local
    • 在节点上控制过量使用和管理容器密度
    • FIPS 加密
    • NVMe
    • OpenShift Metering
    • OpenShift Virtualization
    • 在 OpenShift Container Platform 部署过程中启用 Tang 模式磁盘加密
  • Compute 节点必须运行 Red Hat Enterprise Linux CoreOS(RHCOS)
  • 必须使用 Red Hat OpenShift Data Foundation 或其他支持的存储协议来置备持久性共享存储
  • 必须使用本地存储(如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO)置备持久性非共享存储

1.3.7. IBM Power

在这个版本中,IBM Power 与 OpenShift Container Platform 4.11 兼容。有关安装说明,请参阅以下文档:

主要改进

OpenShift Container Platform 4.11 的 IBM Power 支持以下新功能:

  • 备用身份验证提供程序
  • CSI 卷

    • 克隆
    • 扩展
    • Snapshot
  • File Integrity Operator
  • IPv6
  • 用户定义项目的监控
  • Operator API
  • OC CLI 插件
支持的功能

IBM Power 还支持以下功能:

  • 目前,支持以下 Operator:

    • Cluster Logging Operator
    • Compliance Operator
    • Local Storage Operator
    • NFD Operator
    • NMState Operator
    • OpenShift Elasticsearch Operator
    • Cluster Network Operator
    • Service Binding Operator
    • Vertical Pod Autoscaler Operator
  • 支持以下 Multus CNI 插件:

    • Bridge
    • Host-device
    • IPAM
    • IPVLAN
  • 加密数据存储在 etcd 中
  • Helm
  • Pod 横向自动扩展
  • 多路径(Multipathing)
  • Multus SR-IOV
  • OVN-Kubernetes,包括 IPsec 加密
  • 使用 iSCSI 的持久性存储
  • 使用本地卷的持久性存储(本地存储 Operator)
  • 使用 hostPath 的持久性存储
  • 使用 Fibre Channel 持久性存储
  • 使用 Raw Block 的持久性存储
  • 支持多个网络接口
  • 支持 Power10
  • 三节点集群支持
  • 4K 磁盘支持
限制

OpenShift Container Platform 对 IBM Power 的影响如下:

  • 以下 OpenShift Container Platform 技术预览功能不被支持:

    • 精度时间协议 (PTP) 硬件
  • 以下 OpenShift Container Platform 功能不被支持:

    • 使用机器健康检查功能自动修复损坏的机器
    • Red Hat OpenShift Local
    • 在节点上控制过量使用和管理容器密度
    • FIPS 加密
    • OpenShift Metering
    • OpenShift Virtualization
    • 在 OpenShift Container Platform 部署过程中启用 Tang 模式磁盘加密
  • Compute 节点必须运行 Red Hat Enterprise Linux CoreOS(RHCOS)
  • 持久性存储必须是使用本地卷、Red Hat OpenShift Data Foundation、网络文件系统(NFS)或 Container Storage Interface(CSI)的 Filesystem 类型

1.3.8. 安全性与合规性

1.3.8.1. 审计日志现在包含 OAuth 服务器审计事件

现在,OAuth 服务器审计事件被记录在审计日志中的元数据级别。登录事件包括失败的登录尝试。

如需更多信息,请参阅关于审计日志策略配置集

1.3.9. 网络

1.3.9.1. 二级网络的 Pod 级别绑定

在 pod 级别的绑定对于启用需要高可用性和更多吞吐量的 pod 内的工作负载至关重要。使用 pod 级别绑定,您可以在内核模式接口上从多个根 I/O 虚拟化(SR-IOV)虚拟功能接口创建绑定接口。SR-IOV 虚拟功能传递到 pod,并附加到内核驱动程序中。

需要 pod 级别绑定的情况包括从不同物理功能的多个 SR-IOV 虚拟功能创建绑定接口。可以利用主机上的两个不同物理功能创建绑定接口,以便在 pod 级别上实现高可用性。

如需更多信息,请参阅从两个 SR-IOV 接口配置绑定接口

1.3.9.2. 带有 hostnetwork 端点的 Ingress Controller 的新选项

在这个版本中,为 Ingress Controller 引入了一个新的选项,它带有 hostnetwork 端点策略。现在,您可以使用 httpPorthttpsPortstatsPort 绑定端口在同一 worker 节点上托管多个 Ingress Controller。

1.3.9.3. control plane 和 worker 节点的多节点配置

您可以同时对集群中的多个裸机、安装程序置备的基础架构节点应用单个配置。将单个配置应用到多个节点会降低错误配置因单一置备过程造成的风险。

当使用 install-config 文件时,此机制仅适用于初始部署。

1.3.9.4. 支持在 AWS 上配置 Classic Load Balancer Timeouts

现在,您可以为 Ingress Controller 中的 AWS Classic Load Balancers (CLBs) 配置闲置连接超时。

如需更多信息,请参阅配置 Classic Load Balancer 超时

1.3.9.5. 更新至 HAProxy 2.2.24

OpenShift Container Platform 更新至 HAProxy 2.2.24。

1.3.9.6. 支持为 HAProxy 进程配置最大连接数

现在,您可以将 Ingress Controller 中每个 HAProxy 进程建立的最大同时连接数设置为 2000 和 2,000,000 之间的任何值。

如需更多信息,请参阅 Ingress Controller 配置参数

1.3.9.7. 设置 Ingress Controller 健康检查间隔

在这个版本中,集群管理员可以设置健康检查间隔,以定义路由器在两个连续健康检查之间等待的时间。这个值会作为所有路由的默认值进行全局应用。默认值为 5 秒。

如需更多信息,请参阅 Ingress Controller 配置参数

1.3.9.8. 支持配置接口级安全网络 sysctl

使用新的 tuning-cni meta 插件设置一个接口级别的安全网络 sysctl,该 sysctl 仅适用于特定的接口。例如,您可以通过配置 tuning-cni 插件来更改特定网络接口上的 accept_redirects 的行为。文档中提供了可设置的接口特定安全 sysclts 的完整列表。

除了此增强外,系统范围内的安全 sysctl 已进行了增强,以支持 net.ipv4.ping_group_rangenet.ipv4.ip_unprivileged_port_start

有关配置 tuning-cni 插件的更多信息,请参阅设置接口级别网络 sysctl

有关新支持的接口级别网络安全 sysclts 和更新的更多信息,请参阅在容器中使用 sysctl

1.3.9.9. 支持通过 TLS 转发 DNS 请求

在高度监管的环境中工作时,您可能需要在将请求转发到上游解析器时保护域名系统(DNS)流量,以便您确保额外的 DNS 流量和数据隐私。集群管理员现在可以配置传输层安全(TLS)来转发 DNS 查询。这个功能只适用于 DNS Operator,不适用于 Machine Config Operator 管理的 CoreDNS 实例。

如需更多信息,请参阅 使用 DNS 转发

1.3.9.10. OVN-Kubernetes 的内部流量支持

作为集群管理员,在使用 OVN-Kubernetes Container Network Interface (CNI) 集群网络供应商时,您可以在 Kubernetes 服务对象上配置 internalTrafficPolicy=Local。此功能允许集群管理员将流量路由到流量来自的同一节点上的端点。如果没有本地节点端点,流量将被丢弃。

如需更多信息,请参阅服务内部流量策略

1.3.9.11. 支持 AWS Load Balancer Operator(技术预览)

作为集群管理员,您可以使用 OpenShift Container Platform Web 控制台或 CLI 安装来自 OperatorHub 的 AWS Load Balancer Operator。AWS Load Balancer Operator 只是一个技术预览。

如需更多信息,请参阅安装 AWS Load Balancer Operator

1.3.9.12. Route API 的增强

在以前的版本中,您无法指定路由的子域,并且需要 spec.host 字段来设置主机名。现在,您可以指定 spec.subdomain 字段,并省略路由的 spec.host 字段。公开路由的路由器部署将使用 spec.subdomain 值来确定主机名。

您可以使用此功能增强来简化分片,通过使路由具有多个不同的主机名,由公开路由的每个路由器部署决定。

1.3.9.13. 外部 DNS Operator

在 OpenShift Container Platform 4.11 中,外部 DNS Operator 可用于 AWS Route53、Azure DNS、GCP DNS 和 Infoblox。这个功能是正式发布 (GA) 状态。对于 GovCloud 中的 BlueCat 和 AWS Route53,External DNS Operator 仍然为技术预览(TP)状态。在这个版本中,外部 DNS Operator 提供以下改进:

  • 您可以在 Infoblox 的 DNS 区域中创建 DNS 记录。
  • 默认情况下,External DNS Operator 在命名空间 external-dns-operator 中创建操作对象。在安装前,您不必为操作对象和基于角色的访问控制(RBAC)手动创建命名空间。
  • 您可以使用路由的状态来检索 DNS FQDN 名称。
  • 现在,提供了对 BlueCat DNS 供应商的代理支持。
  • 在使用 BlueCat DNS 提供者时,您可以启用自动 DNS 配置部署。

确保您从 TP 迁移到 GA。OpenShift Container Platform 4.11 的 ExternalDNS 的上游版本是 v0.12.0,TP 为 v0.10.2。如需更多信息,请参阅关于外部 DNS Operator

1.3.9.14. 对双 NIC 边界时钟的 PTP 支持

现在,您可以将双网络接口(NIC)配置为使用每个 NIC 频道的 PtpConfig 配置集的边界时钟。

如需更多信息,请参阅使用带有双 NIC 硬件 的 PTP

1.3.9.15. PTP 事件增强

新的 PTP 事件 API 端点可用,即 api/cloudNotifications/v1/publishers。使用此端点,您可以获取 PTP os-clock-sync-stateptp-clock-class-change,以及集群节点的 lock-state 详情。

如需更多信息,请参阅将 DU 应用程序订阅到 PTP 事件 REST API 参考

1.3.9.16. SR-IOV 支持 Pensando DSC 卡

SR-IOV 支持现在可用于 PensandoDS 卡。支持 OpenShift SR-IOV,但在使用 SR-IOV 时,您必须使用 SR-IOV CNI 配置文件设置静态的虚拟功能(VF)介质访问控制(MAC)地址。

1.3.9.17. SR-IOV 支持 Mellanox MT2892 卡

SR-IOV 支持现在可用于 Mellanox MT2892 卡

1.3.9.18. OpenShift Container Platform CIDR 范围

请注意,集群安装后无法调整网络的 CIDR 范围。红帽不对确定范围提供直接指导,因为它需要仔细考虑创建的 pod 数量。

1.3.9.19. OVN-Kubernetes 网络供应商:在运行时启用 IPsec

如果使用 OVN-Kubernetes 集群网络供应商,现在可以在集群安装后启用 IPsec 加密。有关如何启用 IPsec 的更多信息,请参阅配置 IPsec 加密

1.3.9.20. 支持额外的 MetalLB CRD 并控制日志详细程度

添加了额外的 MetalLB 自定义资源定义(CRD)来支持更复杂的配置。

添加了以下 CRD:

  • IPAddressPools
  • L2Advertisement
  • BGPAdvertisement
  • 社区

通过这些改进,您可以使用 Operator 进行更复杂的配置。例如,您可以使用增强功能来隔离节点或网络段。另外,可以对 FRRouting(FRR)日志记录组件进行的改进控制所生成的日志的详细程度。

注意

OpenShift Container Platform 4.10 以及配置 MetalLB 和 MetalLB Operator 所述现有 CRD 仍被支持,但已弃用。AddressPool 配置已弃用。

在 4.10 中,使用 AddressPool 第 2 层和 BGP IP 地址从不同的地址池中分配。在 OpenShift Container Platform 4.11 中,可从相同的地址池中分配第 2 层和 BGP IP 地址。

如需更多信息,请参阅关于 MetalLB 和 MetalLB Operator

1.3.9.21. 使用 Ingress 注解中的目标 CA 证书创建路由的功能

route.openshift.io/destination-ca-certificate-secret 注解现在可用于 Ingress 对象来定义带有自定义证书(CA)的路由。

如需更多信息,请参阅在 Ingress 注解中使用目标 CA 证书创建路由

1.3.9.22. 托管 control plane(技术预览)

使用 OpenShift Container Platform 的托管 control plane,您可以大规模托管集群,降低管理成本,优化集群部署时间,以及单独的管理和工作负载问题。当您为 Kubernetes Operator 版本 2.0 安装 multicluster engine 时,您可以启用此部署模型作为技术预览功能。如需更多信息,请参阅托管 control planes 概述(技术预览)。

Open Virtual Network(OVN)被重新设计为在集群的 control plane 和数据存储中托管其 control plane 和数据存储。使用托管的 control plane,OVN 支持分割 control plane。

1.3.9.23. 在使用 OVN-Kubernetes 集群网络供应商的用户置备的裸机基础架构上支持 IPv6 单栈和双栈

对于用户置备的裸机基础架构上的集群,OVN-Kubernetes 集群网络供应商支持 IPv4 和 IPv6 地址系列。

1.3.9.24. RHOSP 上的 OVS hardware offloading

对于在 RHOSP 上运行的集群,Open vSwitch(OVS) hardware offloading 现已正式发布。

如需更多信息,请参阅启用 OVS 硬件卸载

1.3.9.25. RHOSP 的 NFV 用户体验改进

对于在 RHOSP 上运行的集群,网络功能虚拟化部署体验有所改进。这个版本的更改包括:

  • 从元数据服务 URL 获取的网络信息,而不是配置驱动器
  • 在所有发现的设备中带有非 IOMMU 的自动 VFIO 载入
  • DPDK vHost 用户端口

这些更改反映了安装后和网络配置文档的简化。

1.3.9.26. 在 Red Hat OpenStack Platform、VMware vSphere 或 oVirt 上的安装,现在使用单播配置 keepalived 作为默认值

对于 Red Hat OpenStack Platform (RHOSP)、VMware vSphere 或 oVirt 上的 OpenShift Container Platform 安装程序置备安装,Beepalived 现在被默认配置为使用单播(而不是多播)。您不再需要允许多播流量。单播迁移会在集群完成升级后的几分钟发生,因为所有节点都必须同时进行迁移。同时拥有多播和单播集群不会造成任何问题,因为 keepalived 将单播和多播视为完全独立的。

1.3.10. Storage

1.3.10.1. 使用 Microsoft Azure File CSI Driver Operator 的持久性存储已正式发布

OpenShift Container Platform 可以使用 Azure File 的 Container Storage Interface(CSI)驱动程序置备持久性卷(PV)。此功能以前作为技术预览功能在 OpenShift Container Platform 4.10 中引入,现在在 OpenShift Container Platform 4.11 中正式发布并启用。

如需更多信息,请参阅 Azure File CSI Driver Operator

1.3.10.2. OpenStack Cinder 自动 CSI 迁移已正式发布

从 OpenShift Container Platform 4.8 开始,在树内卷插件自动迁移到对应的 Container Storage Interface(CSI)驱动程序作为技术预览。OpenShift Container Platform 4.8 中提供了对 Cinder 的支持,OpenShift Container Platform 4.11 支持 Cinder 自动迁移(GA)。现在,Cinder 的 CSI 迁移会被默认启用,且管理员不需要操作。

这个功能会自动将树内对象转换为对应的 CSI 表示,并对用户完全透明。翻译的对象不存储在磁盘上,用户数据不会迁移。

虽然引用 in-tree 存储插件的存储类将继续工作,但我们建议将默认存储类切换到 CSI 存储类。

如需更多信息,请参阅 CSI 自动迁移

1.3.10.3. 正式发布 Microsoft Azure Disk 的自动 CSI 迁移

从 OpenShift Container Platform 4.8 开始,在树内卷插件自动迁移到对应的 Container Storage Interface(CSI)驱动程序作为技术预览。OpenShift Container Platform 4.9 提供了对 Azure Disk 的支持,OpenShift Container Platform 4.11 现在支持对 Azure Disk 进行自动迁移(GA)。现在,Azure Disk 的 CSI 迁移会被默认启用,且管理员不需要操作。

这个功能会自动将树内对象转换为对应的 CSI 表示,并对用户完全透明。翻译的对象不存储在磁盘上,用户数据不会迁移。

虽然引用 in-tree 存储插件的存储类将继续工作,但我们建议将默认存储类切换到 CSI 存储类。

如需更多信息,请参阅 CSI 自动迁移

1.3.10.4. 扩展 CSI 卷正式发布

从 OpenShift Container Platform 4.3 开始,在创建了 Container Storage Interface(CSI)存储卷后扩展它们作为技术预览功能,现在在 OpenShift Container Platform 4.11 中正式发布。

如需更多信息,请参阅扩展 CSI 卷

1.3.10.5. 对 CSI 通用临时卷的支持已正式发布

OpenShift Container Platform 4.11 支持 Container Storage Interface(CSI)通用临时卷(GA)。通用临时卷是临时卷类型,可以由所有存储驱动程序提供,同时支持持久卷和动态置备。

如需更多信息,请参阅通用临时卷

1.3.10.6. VMware vSphere 支持调整大小和快照

OpenShift Container Platform 4.11 支持 vSphere Container Storage Interface(CSI)Driver Operator 的卷大小和快照,其限制如下:

  • 快照:

    • 需要 vSphere 版本 7.0 更新 3 或更高版本,但不支持包括版本 8.v 8 版本。vCenter Server 和 ESXi 不支持。
    • 不支持 fileshare 卷。
  • 调整大小:

    • 离线卷扩展:最低所需的 vSphere 版本为 6.7 更新 3 P06
    • 在线卷扩展:最低的 vSphere 版本为 7.0 更新 2。

如需更多信息,请参阅 OpenShift Container Platform 支持的 CSI 驱动程序

1.3.11. 容器镜像仓库(Registry)

1.3.11.1. Image Registry Operator 在可用区间分布

Image Registry Operator 的默认配置现在将镜像 registry pod 分散到拓扑区中,以防止在完全区失败时造成延迟恢复时间,因为所有 pod 都会受到影响。

如需更多信息,请参阅 在在可用区间分布 Image Registry Operator

1.3.11.2. Red Hat OpenShift Data Foundation registry 存储

OpenShift Container Platform 4.11 支持的 Red Hat OpenShift Data Foundation registry 存储。

OpenShift Data Foundation 集成了可与内部镜像 registry 搭配使用的多个存储类型,其中包括:

  • Ceph,这是具有内部对象存储的共享和分布式文件系统
  • NooBaa,它提供多云对象网关

1.3.12. Operator 生命周期

1.3.12.1. 基于文件的目录格式

基于文件的目录格式的 OpenShift Container Platform 4.11 的默认红帽提供的 Operator 目录。OpenShift Container Platform 4.6 到 4.10 以 SQLite 数据库格式发布。基于文件的目录是 Operator Lifecycle Manager (OLM) 中目录格式的最新迭代。它是 JSON 或 YAML 中的纯文本文件,是早期 SQLite 数据库格式的声明性配置演进。集群管理员和用户不会看到通过新的目录格式安装工作流和 Operator 消耗的任何更改。

如需更多信息,请参阅基于文件的目录

1.3.13. Operator 开发

1.3.13.1. 基于 Java 的 Operator(技术预览)

从 OpenShift Container Platform 4.11 作为技术预览功能开始,Operator SDK 包含了用于开发基于 Java 的 Operator 的工具和库。Operator 开发人员可以利用 Operator SDK 中的 Java 编程语言支持来构建基于 Java 的 Operator 并管理其生命周期。

如需更多信息,请参阅开始使用基于 Java 的 Operator 的 Operator SDK

1.3.13.2. 基于文件的目录的 Operator SDK 支持

自 OpenShift Container Platform 4.11 起,run bundle 命令默认支持 Operator 目录基于文件的目录格式。Operator 目录已弃用的 SQLite 数据库格式仍被支持,但将在以后的发行版本中删除。

如需更多信息,请参阅使用捆绑包镜像

1.3.13.3. 验证 Operator 捆绑包

作为 Operator 作者,您可以在 Operator SDK 中运行 bundle validate 命令来验证 Operator 捆绑包的内容和格式。除了默认测试外,您还可以运行可选的验证器来测试捆绑包中的问题,如空 CRD 描述或不支持的 Operator Lifecycle Manager(OLM)资源。

如需更多信息,请参阅验证 Operator 捆绑包。在早期版本的 OpenShift Container Platform 中,Performance Addon Operator 为应用程序提供了自动、低延迟的性能调整。在 OpenShift Container Platform 4.11 中,这些功能是 Node Tuning Operator 的一部分。Node Tuning Operator 是 OpenShift Container Platform 4.11 的标准安装的一部分。如果您升级到 OpenShift Container Platform 4.11,Node Tuning Operator 会在启动时删除 Performance Addon Operator 以及所有相关的工件。

如需更多信息,请参阅 Node Tuning Operator

1.3.14. Jenkins

  • 此增强添加了一个新的 Jenkins 环境变量 JAVA_FIPS_OPTIONS,用于控制 JVM 在 FIPS 节点上运行。如需更多信息,请参阅 OpenJDK 支持文章 (BZ#2066019)

1.3.15. 机器 API

1.3.15.1. Amazon EC2 实例元数据服务的配置选项

现在,您可以使用机器集创建使用 Amazon EC2 实例元数据服务 (IMDS) 的特定版本的计算机器。机器集可以创建允许使用 IMDSv1 和 IMDSv2 的计算机器或需要使用 IMDSv2 的计算机器。

如需更多信息,请参阅 Amazon EC2 实例元数据服务的机器设置选项

1.3.15.2. Azureultra 磁盘的机器 API 支持

现在,您可以创建一个在 Azure 上运行的机器集,该机器集使用 ultra 磁盘部署机器。您可以将大量磁盘的机器部署为数据磁盘,也可以使用 in-tree 或 Container Storage Interface(CSI) PVC 的持久性卷声明(PVC)。

如需更多信息,请参阅以下主题:

1.3.15.3. Google Cloud Platform 持久磁盘类型的配置选项

现在支持 Google Cloud Platform(GCP)Compute Engine 的 pd-balanced 持久磁盘类型。如需更多信息,请参阅使用机器集配置持久性磁盘类型

1.3.15.4. Nutanix 集群的机器 API 支持

对 Nutanix 集群的新平台支持包括使用 Machine API 机器集管理机器的功能。如需更多信息,请参阅在 Nutanix 上创建机器集

1.3.15.5. 使用集群 API 管理虚拟机(技术预览)

OpenShift Container Platform 4.11 引进了使用上游 Cluster API(集成到 OpenShift Container Platform)作为 AWS 和 GCP 集群的技术预览来管理机器的功能。这个功能是使用 Machine API 管理机器的补充或替代功能。如需更多信息,请参阅使用集群 API 管理虚拟机

1.3.16. Machine Config Operator

1.3.16.1. MCO 现在根据区和年龄更新节点

Machine Config Operator(MCO)现在根据 topology.kubernetes.io/zone 标签按区按字母顺序更新受影响的节点。如果一个区域有多个节点,则首先更新最旧的节点。对于不使用区的节点,如裸机部署中的节点,节点会按使用的时间升级,首先更新最旧的节点。在以前的版本中,MCO 不会考虑区或节点年龄。

如需更多信息,请参阅机器配置概述

1.3.16.2. 增强在证书续订时暂停的机器配置池的通知

现在,如果 MCO 试图在机器配置池(MCP)上更新已过期的 kube-apiserver-to-kubelet-signer CA 证书,您现在会收到 OpenShift Container Platform Web 控制台的 Alerting UI 中的警报。如果 MCP 暂停,MCO 无法将新轮转的证书推送到这些节点,这会导致失败。

如需更多信息,请参阅暂停机器配置池

1.3.17. 节点

1.3.17.1. self Node Remediation Operator 替换 Poison Pill Operator

OpenShift Container Platform 4.11 引入了可替代 Poison Pill Operator 的 Self Node Remediation Operator。

Self Node Remediation Operator 提供了以下改进:

  • 根据补救策略引进单独的补救模板。
  • 如果补救失败,捕获最后的错误消息。
  • 通过提供参数的最小值,改进自助服务修复 Operator 配置参数的指标。

如需更多信息,请参阅使用自助节点修复 Operator 修复节点

1.3.17.2. 单节点 OpenShift 集群的 worker 节点

现在,您可以将 worker 节点添加到单节点 OpenShift 集群。这在需要向集群添加额外的容量时,在资源有约束的环境中部署或网络边缘部署非常有用。

如需更多信息,请参阅用于单节点 OpenShift 集群的 Worker 节点

1.3.17.3. descheduler 现在会默认模拟 pod 驱除

默认情况下,descheduler 现在以预测模式运行,这意味着它只模拟 pod 驱除。您可以查看 descheduler 指标来查看要被驱除的 pod 的详情。

要驱除 pod 而不是模拟驱除,将 descheduler 模式改为自动。

如需更多信息,请参阅使用 descheduler 驱除 pod

1.3.17.4. 新的 descheduler 自定义

此发行版本为 descheduler 引进了以下自定义:

  • priority threshold 过滤:按类名称(thresholdPriorityClassName)或数值(thresholdPriority)设置优先级阈值,而不是驱除优先级等于或大于该值的 pod。
  • 命名空间过滤:设置用户创建命名空间列表,以便从 descheduler 操作中包含或排除。请注意,受保护的命名空间(openshift-*kube-systemovershift)始终被排除。
  • LowNodeUtilization 策略的阈值:为利用不足并为 LowNodeUtilization 策略设置实验性阈值。

如需更多信息,请参阅使用 descheduler 驱除 pod

1.3.17.5. 节点维护 Operator 的改进

Node Maintenance Operator 提供以下改进:

  • 现在,针对 NodeMaintenance CR 任务的状态提供了额外的反馈、ddrainProgresslastUpdate
  • 对于使用裸机节点的集群,现在可在 web 控制台中使用简单的方法将节点置于维护模式,并从维护模式恢复节点。

如需更多信息,请参阅使用 Node Maintenance Operator 将节点设置为维护模式

1.3.18. 日志记录

1.3.18.1. RHV Logging 上的 Red Hat OpenShift(技术预览)

OpenShift Container Platform 4.11 为 RHV API 引入了一个新的连接器,它为集群中的所有安装和 oVirt 组件添加了自动日志消息。

1.3.19. 监控

此版本的监控堆栈包括以下新功能和修改后的功能。

1.3.19.1. 监控堆栈组件和依赖项更新

监控堆栈组件和依赖项的更新包括:

  • Alertmanager 更新到 0.24.0
  • kube-state-metrics 更新到 2.5.0
  • Prometheus 更新到 2.36.2
  • Prometheus operator 更新到 0.57.0
  • Thanos 更新到 0.26.0

1.3.19.2. 对警报规则的更改

注意

红帽不保证记录规则或警报规则的向后兼容性。

  • New

    • 添加了 KubePersistentVolumeInodesFillingUp 警报,它与现有 KubePersistentVolumeFillingUp 警报类似,但应用到内节点,而不是卷空间。
    • 添加了 PrometheusScrapeBodySizeLimitHit 警报,以检测目标达到正文大小限制。
    • 添加了 PrometheusScrapeSampleLimitHit 警报以检测目标达到示例限制。
  • 已更改

    • 修复了 KubeDaemonSetRolloutStuck 警报,以使用 kube-state-metrics 中的更新指标 kube_daemonset_status_updated_number_scheduled
    • KubeJobCompletion 警报替换为 KubeJobNotCompleted。新的 KubeJobNotCompleted 警报可以避免,当一个早期的作业失败但大多数当前的作业都成功的情况下产生假的正状态。
    • 更新了 NodeNetworkInterfaceFlapping 警报,以便从警报表达式中排除 tunbr 接口。

1.3.19.3. 为用户工作负载监控启用警报路由

集群管理员现在可以为用户工作负载监控启用警报路由,以便开发人员和其他用户能够为其用户定义的项目配置自定义警报和警报路由。

1.3.19.4. 为用户定义的警报启用专用 Alertmanager 实例

现在,您可以选择启用一个单独的 Alertmanager 实例,专门用于为用户定义的项目发送警报。这个功能可以帮助减少默认平台 Alertmanager 实例上的负载,并可更好地将用户定义的警报与默认平台警报分开。

1.3.19.5. 对远程写入配置使用额外的验证设置

现在,您可以使用以下身份验证方法访问远程写端点:AWS Signature Version 4、自定义授权标头和 OAuth 2.0。在此版本之前,您只能使用 TLS 客户端和基本身份验证。

1.3.19.6. 在 web 控制台中更轻松地创建、浏览和管理 PromQL 查询

OpenShift Container Platform Web 控制台的 Observe Metrics 页面中的 Query Browser 增加了各种改进,以改进您在创建、浏览和管理 PromQL 查询的功能。例如,管理员现在可以在构建和编辑查询时复制现有的查询并使用自动完成建议。

1.3.19.7. 在单一节点部署中为 ServiceMonitor 加倍的提取间隔

在单节点 OpenShift Container Platform 部署中,所有由 Cluster Monitoring Operator(CMO)控制的 ServiceMonitor 都重复提取间隔。现在,最大间隔为两分钟。

1.3.19.8. 基于平台监控指标创建警报规则(技术预览)

此发行版本引入了一个技术预览功能,管理员可基于现有平台监控指标创建警报规则。此功能可帮助管理员更快、更轻松地创建特定于其环境的新警报规则。

1.3.19.9. 将集群 ID 标签添加到远程写入存储中

现在,您可以在发送到远程写入存储的指标中添加集群 ID 标签。然后,您可以查询这些标签来标识指标的源集群,并区分与其他集群发送的类似指标数据的数据。

1.3.19.10. 使用联邦端点为用户工作负载监控查询指标

现在,您可以使用 Prometheus /federate 端点从集群外的网络位置提取用户定义的指标。在此版本前,您只能访问联邦端点,以便在默认平台监控中提取指标。

1.3.19.11. 为默认平台监控启用指标提取的正文大小限制

现在,您可以为默认平台监控设置 enforcedBodySizeLimit 配置映射选项,以启用指标提取的正文大小限制。当至少有一个 Prometheus 刮除提取目标回复带有的响应正文大于配置的 enforcedBodySizeLimit 时,此设置会触发新的 PrometheusScrapeBodySizeLimitHit 警报。此设置可以限制一个恶意目标可在整个集群中对 Prometheus 组件和集群上产生的影响。

1.3.19.12. 为指标存储配置保留大小设置

现在,您可以为默认平台监控和用户工作负载监控配置保留的 metrics 存储的最大磁盘空间量。在此发行版本中,您无法配置此设置。

1.3.19.13. 在用户定义的项目中为 Thanos Ruler 配置保留周期

现在,您可以为用户定义的项目中的 Thanos Ruler 数据配置保留时间周期。在此版本之前,您无法更改默认值 24h

1.3.20. Network Observability Operator

现在,您可以安装 Network Observability Operator 来在控制台中观察 OpenShift Container Platform 集群的网络流量。您可以使用不同的图形表示来查看和监控网络流量数据。Network Observability Operator 使用 eBPF 技术来创建网络流。网络流包括了 OpenShift Container Platform 的信息并存储在 Loki 中。您可以使用网络流量信息来详细地进行故障排除和分析。

如需更多信息,请参阅 Network Observability

1.3.21. 可伸缩性和性能

1.3.21.1. Node Tuning Operator 的工作负载提示

OpenShift Container Platform 4.11 支持对 Node Tuning Operator 的提示机制,它可以微调 PerformanceProfile 以满足不同行业标准的需求。在本发行版本中,工作负载提示可用于 highPowerConsumption (非常低的延迟,但会增加功耗的成本),以及 realtime (实现最佳延迟具有高优先级)。对于这些提示使用 true/false 设置的组合来处理特定于应用程序的工作负载配置文件和要求。

1.3.21.2. etcd 集群的扩展操作增强

Raft 算法允许使用新 learner 状态扩展 etcd 成员。因此,维护集群仲裁、添加和删除新成员,并在不影响集群操作的情况下提升 learner

OpenShift Container Platform 4.11 引进了 imageStorage 选项,作为 AgentServiceConfig 自定义资源的一部分。此选项允许用户指定用于镜像服务的持久性存储声明详情,从而提高了应用程序性能。

ClusterImageSet 自定义资源的 releaseImage 参数现在支持操作系统镜像版本标识。发现 ISO 基于操作系统镜像版本,作为 releaseImage,或者在指定的版本不可用时基于最新版本。

AgentServiceConfig 自定义资源(CR)的 openshiftVersion 参数现在支持 "x.y"(major.minor)或 "x.y.z"(major.minor.patch)格式。

1.3.21.3. 配置 Ingress Controller(路由器)存活度、就绪度和启动探测

OpenShift Container Platform 4.11 引入了为 kubelet 的存活度、就绪度和启动探测(由 OpenShift Container Platform ingress Operator 管理的路由器部署)配置超时值的功能。与较短的默认 1 秒超时相比,设置较大的超时值可以降低不必要的和非预期的重启风险。

如需更多信息,请参阅配置 Ingress Controller(路由器)存活度、就绪度和启动探测

1.3.21.4. 新的电源缩减 CPU 功能

您可以通过在性能配置集中的 offlined 字段中指定 CPU,通过 Node Tuning Operator 减少功耗。如需更多信息,请参阅通过使 CPU 离线来降低功耗

1.3.21.5. Node Observability Operator(技术预览)

OpenShift Container Platform 4.11 在技术预览中引入了 Node Observability Operator。

Node Observability Operator 提供了以下功能:

  • 在 worker 节点上部署节点 Observability 代理。
  • 触发 CRIO-O 和 Kubelet 分析。
  • 使性能分析数据文件可用于进一步分析。

如需更多信息,请参阅使用 Node Observability Operator 请求 CRI-O 和 Kubelet 分析数据

1.3.21.6. Performance Addon Operator 的功能现在包括在 Node Tuning Operator 中

在早期版本的 OpenShift Container Platform 中,Performance Addon Operator 为应用程序提供了自动、低延迟的性能调整。在 OpenShift Container Platform 4.11 中,这些功能是 Node Tuning Operator 的一部分。Node Tuning Operator 是 OpenShift Container Platform 4.11 的标准安装的一部分。如果您升级到 OpenShift Container Platform 4.11,Node Tuning Operator 会在启动时删除 Performance Addon Operator 以及所有相关的工件。

如需更多信息,请参阅 Node Tuning Operator

注意

当使用 Performance Profile Creator 运行 must-gather 命令时,仍必须使用 performance-addon-operator-must-gather 镜像。如需更多信息,请参阅使用 must-gather 收集有关集群的数据

1.3.21.7. 低延迟调整文档更新

在 OpenShift Container Platform 的早期版本中,低延迟调整的文档包括了对 Performance Addon Operator 的引用。因为 Node Tuning Operator 现在提供低延迟调整,所以文档标题从 "Performance Addon Operator for low latency nodes" 改为 "Low latency tuning",并相应地更新对本文档的多个跨引用。如需更多信息,请参阅延迟调整

1.3.21.8. hub 和 spoke 集群的支持

对于定制集群需要树外驱动程序支持的 hub 和 spoke 部署,您可以使用 hub 集群中部署的 Special Resource Operator(SRO)来管理将所需的内核模块部署到一个或多个受管集群。这使用 Red Hat Advanced Cluster Management(RHACM),不再需要使用 Node Feature Discovery(NFD)。如需更多信息,请参阅为 hub-and-spoke 拓扑构建并运行 simple-kmod SpecialResource

1.3.21.9. 增强的 SRO 集群升级支持

当升级要管理特殊资源的集群时,您可以运行预升级自定义资源,以验证是否存在新的驱动程序容器来支持内核更新。这有助于避免对受管特殊资源造成混乱。当前还没有这个功能的文档,它们将在以后发布。

1.3.21.10. 增强的 SRO 的调试和日志记录

Special Resource Operator(SRO)包含一致的日志输出格式,它更详细地用于故障排除。

1.3.21.11. 支持外部 registry

在此次更新之前,SRO 不支持在断开连接的环境中连接到 registry。此发行版本支持将驱动程序容器托管在 OpenShift Container Platform 集群之外的 registry 中的断开连接的环境。

1.3.22. Insights Operator

1.3.22.1. 深入了解 Operator 数据收集功能的增强

在 OpenShift Container Platform 4.11 中,Insights Operator 会收集以下额外信息:

  • images.config.openshift.io 资源定义
  • 当存在 "Internal error occurred: error resolving resource""syncing garbage collector with updated resources from discovery" 错误信息时,kube-controller-manager 容器会进行日志
  • storageclusters.ocs.openshift.io/v1 资源

通过这些附加信息,红帽改进了 OpenShift Container Platform 功能并增强了 Insights Advisor 建议。

1.3.23. 认证和授权

1.3.23.1. 其他支持的 OIDC 供应商

现在,OpenShift Container Platform 测试并支持以下 OpenID Connect(OIDC)供应商:

  • Active Directory Federation Services for Windows Server

    注意

    目前,在使用自定义声明时,不支持将 Active Directory Federation Services for Windows Server 用于 OpenShift Container Platform。

  • Microsoft 身份平台(Azure Active Directory v2.0)

    注意

    目前,当需要同步组名称时,不支持使用 Microsoft 身份平台。

有关 OIDC 供应商的完整列表,请参阅支持的 OIDC 供应商

1.3.23.2. Pod 安全准入

现在,OpenShift Container Platform 上启用了 Pod 安全准入

Pod 准入由 Pod 安全和安全性上下文约束 (SCC) 准入来实施。Pod 安全准入在全局范围内运行,并带有 privileged 强制和 restricted 审计日志记录和 API 警告。

控制器监控用户创建的命名空间中的服务帐户的 SCC 相关的权限,并使用 pod 安全准入 warnaudit 标签自动标记这些命名空间。

为了根据 restricted pod 安全配置集提高工作负载安全性,这个版本引入了根据新的 Pod 安全准入控制来强制使用 Pod 安全性的 SCC。这些 SCC 为:

  • restricted-v2
  • hostnetwork-v2
  • nonroot-v2

它们与旧的、类似命名的 SCC 相对应,但有以下改进:

  • ALL 能力会从容器中丢弃。在以前的版本中,只有 KILLMKNODSETUIDSETGID 能力会被丢弃。
  • NET_BIND_SERVICE 功能现在可以明确添加。
  • 如果未设置,则 seccompProfile 默认为 runtime/default。在以前的版本中,此字段必须为空。
  • 在安全上下文中,需要取消设置 allowPrivilegeEscalation 或将其设为 false。在以前的版本中,允许 true 值。

在 OpenShift Container Platform 4.11 中,对于新安装,用户被授予的 SCC 默认是 restricted-v2,而不是 restricted SCC。在新集群中,restricted-v2 SCC 用于任何经过身份验证的用户(取代了 restricted SCC)。restricted SCC 不再可供新集群用户使用,除非访问权限被明确授予。在最初在 OpenShift Container Platform 4.10 或更早版本安装的集群中,所有经过身份验证的用户都可以在升级到 OpenShift Container Platform 4.11 及之后的版本时使用 restricted SCC。这会把 OpenShift Container Platform 的默认安全权限保留为 secure-default,并与上游 Kubernetes 项目的 pod 安全准入和 pod 安全标准保持一致,同时保持升级的集群的权限与之前的状态一致。

您可以为大多数命名空间启用同步,并为所有命名空间禁用同步。

在本发行版本中,带有 openshift- 前缀的命名空间没有限制强制。计划将把此类命名空间的受限实施包含在未来的版本中。

如需更多信息,请参阅了解和管理 pod 安全准入

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.