第 6 章 File Integrity Operator
6.1. File Integrity Operator 发行注记
OpenShift Container Platform 的 File Integrity Operator 在 RHCOS 节点上持续运行文件完整性检查。
本发行注记介绍了 OpenShift Container Platform 中 File Integrity Operator 的开发。
有关 File Integrity Operator 的概述,请参阅了解 File Integrity Operator。
要访问最新版本,请参阅更新 File Integrity Operator。
6.1.1. OpenShift File Integrity Operator 1.3.3
以下公告可用于 OpenShift File Integrity Operator 1.3.3:
这个版本解决了底层依赖项中的 CVE。
6.1.1.1. 新功能及功能增强
- 您可以在以 FIPS 模式运行的 OpenShift Container Platform 集群中安装和使用 File Integrity Operator。
要为集群启用 FIPS 模式,您必须从配置为以 FIPS 模式操作的 RHEL 计算机运行安装程序。有关在 RHEL 上配置 FIPS 模式的更多信息,请参阅 (在 FIPS 模式中安装系统)
6.1.1.2. 程序错误修复
-
在以前的版本中,一些带有私有默认挂载传播的 FIO pod 与
hostPath: path: /
卷挂载会中断依赖多路径的 CSI 驱动程序。这个问题已被解决,CSI 驱动程序可以正常工作。(当使用多路径时,一些 OpenShift Operator pod 阻止卸载 CSI 卷。) - 这个版本解决了 CVE-2023-39325。(CVE-2023-39325)
6.1.2. OpenShift File Integrity Operator 1.3.2
以下公告可用于 OpenShift File Integrity Operator 1.3.2:
这个版本解决了底层依赖项中的 CVE。
6.1.3. OpenShift File Integrity Operator 1.3.1
以下公告可用于 OpenShift File Integrity Operator 1.3.1:
6.1.3.1. 新功能及功能增强
- FIO 现在将 kubelet 证书作为默认文件包括在 OpenShift Container Platform 管理时发出警告。(OCPBUGS-14348)
- FIO 现在可以正确地将电子邮件定向到红帽技术支持的地址。(OCPBUGS-5023)
6.1.3.2. 程序错误修复
-
在以前的版本中,当节点从集群中移除时,FIO 不会清理
FileIntegrityNodeStatus
CRD。FIO 已更新,以便在删除节点时正确清理节点状态 CRD。(OCPBUGS-4321) - 在以前的版本中,FIO 也错误地表示新节点无法进行完整性检查。FIO 已更新,在向集群添加新节点时正确显示节点状态 CRD。这提供了正确的节点状态通知。(OCPBUGS-8502)
-
在以前的版本中,当 FIO 协调
FileIntegrity
CRD 时,它将暂停扫描,直到协调完成为止。这会导致在节点上不受协调影响的积极重新初始化过程。这个问题还为机器配置池造成不必要的 daemonset,它们与FileIntegrity
无关。FIO 可以正确地处理这些情况,并只暂停受文件完整性更改影响的节点的 AIDE 扫描。(CMP-1097)
6.1.3.3. 已知问题
在 FIO 1.3.1 中,增加 IBM Z 集群中的节点可能会导致文件完整性节点状态 Failed
。如需更多信息,请参阅在 IBM Power 中添加节点可能会导致文件完整性节点状态失败。
6.1.4. OpenShift File Integrity Operator 1.2.1
以下公告可用于 OpenShift File Integrity Operator 1.2.1:
- RHBA-2023:1684 OpenShift File Integrity Operator 程序错误修复更新
- 此发行版本包括更新的容器依赖项。
6.1.5. OpenShift File Integrity Operator 1.2.0
以下公告可用于 OpenShift File Integrity Operator 1.2.0 :
6.1.5.1. 新功能及功能增强
-
File Integrity Operator 自定义资源 (CR) 现在包含一个
initialDelay
功能,该功能指定了在启动第一个 AIDE 完整性检查前等待的秒数。如需更多信息,请参阅创建 FileIntegrity 自定义资源。 -
File Integrity Operator 现在是稳定的,发行频道已升级到
stable
。将来的版本将遵循 Semantic Versioning。要访问最新版本,请参阅更新 File Integrity Operator。
6.1.6. OpenShift File Integrity Operator 1.0.0
以下公告可用于 OpenShift File Integrity Operator 1.0.0:
6.1.7. OpenShift File Integrity Operator 0.1.32
以下公告可用于 OpenShift File Integrity Operator 0.1.32:
6.1.7.1. 程序错误修复
- 在以前的版本中,File Integrity Operator 发布的警报没有设置命名空间,因此很难了解警报来自于哪个命名空间。现在,Operator 会设置适当的命名空间,提供有关该警报的更多信息。(BZ#2112394)
- 在以前的版本中,File Integrity Operator 不会更新 Operator 启动时的指标服务,从而导致指标目标无法访问。在这个版本中,File Integrity Operator 可确保在 Operator 启动时更新 metrics 服务。(BZ#2115821)
6.1.8. OpenShift File Integrity Operator 0.1.30
以下公告可用于 OpenShift File Integrity Operator 0.1.30:
6.1.8.1. 新功能及功能增强
File Integrity Operator 现在在以下构架中被支持:
- IBM Power
- IBM Z 和 LinuxONE
6.1.8.2. 程序错误修复
- 在以前的版本中,File Integrity Operator 发布的警报没有设置命名空间,因此很难了解警报的来源位置。现在,Operator 会设置适当的命名空间,从而增加对警报的了解。(BZ#2101393)
6.1.9. OpenShift File Integrity Operator 0.1.24
以下公告可用于 OpenShift File Integrity Operator 0.1.24:
6.1.9.1. 新功能及功能增强
-
现在,您可以使用
config.maxBackups
属性配置FileIntegrity
自定义资源(CR)中的最大备份数量。此属性指定从re-init
进程保留的 AIDE 数据库和日志备份数量,以保留在节点上。超出配置数目之外的旧备份会自动修剪。默认值为五个备份。
6.1.9.2. 程序错误修复
-
在以前的版本中,将 Operator 从 0.1.21 之前的版本升级到 0.1.22 可能会导致
re-init
功能失败。这是因为 Operator 无法更新configMap
资源标签。现在,升级到最新版本会修复资源标签。(BZ#2049206) -
在以前的版本中,当强制默认
configMap
脚本内容强制时,会比较错误的数据密钥。这会导致在 Operator 升级后,aide-reinit
脚本无法正确更新,并导致re-init
进程失败。现在,daemonSet
运行完毕,AIDE 数据库re-init
过程可以成功执行。(BZ#2072058)
6.1.10. OpenShift File Integrity Operator 0.1.22
以下公告可用于 OpenShift File Integrity Operator 0.1.22:
6.1.10.1. 程序错误修复
-
在以前的版本中,安装有 File Integrity Operator 的系统可能会因为
/etc/kubernetes/aide.reinit
文件而中断 OpenShift Container Platform 更新。如果/etc/kubernetes/aide.reinit
文件存在,则会出现这种情况,但稍后在ostree
验证前被删除。在这个版本中,/etc/kubernetes/aide.reinit
被移到/run
目录中,以便它不会与 OpenShift Container Platform 更新冲突。(BZ#2033311)
6.1.11. OpenShift File Integrity Operator 0.1.21
以下公告可用于 OpenShift File Integrity Operator 0.1.21:
6.1.11.1. 新功能及功能增强
-
web 控制台的 Monitoring 仪表板中会显示与
FileIntegrity
扫描结果和处理指标相关的指标。结果使用file_integrity_operator_
前缀标记。 -
如果节点在超过 1 秒的情况下存在完整性失败,则 operator 命名空间警报中提供的默认
PrometheusRule
带有一个警告。 以下动态 Machine Config Operator 和 Cluster Version Operator 相关文件路径不包括在默认的 AIDE 策略中,以帮助在节点更新过程中阻止假的正状态:
- /etc/machine-config-daemon/currentconfig
- /etc/pki/ca-trust/extracted/java/cacerts
- /etc/cvo/updatepayloads
- /root/.kube
- AIDE 守护进程进程具有 v0.1.16 的稳定性改进,并且对 AIDE 数据库初始化时可能发生的错误更具弹性。
6.1.11.2. 程序错误修复
- 在以前的版本中,当 Operator 自动升级时,过时的守护进程集不会被删除。在这个版本中,过期的守护进程集会在自动升级过程中被删除。