红帽全球峰会第 1 章 Network Observability Operator 发行注记
Network Observability Operator 可让管理员观察和分析 OpenShift Container Platform 集群的网络流量流。
本发行注记介绍了 OpenShift Container Platform 中 Network Observability Operator 的开发。
有关 Network Observability Operator 的概述,请参阅关于 Network Observability Operator。
1.1. Network Observability Operator 1.8.0
以下公告可用于 Network Observability Operator 1.8.0:
1.1.1. 新功能及功能增强
1.1.1.1. 数据包翻译
现在,您可以使用翻译的端点信息增强网络流,仅显示服务,以及特定的后端 pod,以便您可以查看提供请求的 pod。
1.1.1.2. Network Observability CLI
本发行版本的 Network Observability CLI 中添加了以下新功能、选项和过滤器:
-
运行
oc netobserv metrics命令捕获启用了过滤器的指标。 -
使用带有流和数据包捕获和运行
oc netobserv的-background选项,运行 CLI 会在后台运行 CLI,以查看后台运行和oc netobserv copy的进度,以下载生成的日志。 -
使用--
get-subnets选项,通过 Machine、Pod 和 Services 子网进行丰富的流和指标捕获。 包括了数据包、流和指标捕获的新过滤选项:
- IP、端口、协议、操作、TCP 标记等的 eBPF 过滤器。
-
使用-
-node-selector的自定义节点 -
只丢弃使用-
drops -
任何字段 use
-regexes
如需更多信息,请参阅 Network Observability CLI 参考。
1.1.2. 程序错误修复
- 在以前的版本中,Network Observability Operator 附带一个 "kube-rbac-proxy" 容器来管理其指标服务器的 RBAC。由于此外部组件已弃用,因此需要将其删除。现在,它通过 Kubernetes controller-runtime 替换为直接 TLS 和 RBAC 管理,而无需 side-car 代理。( NETOBSERV-1999)
- 在以前的版本中,在 OpenShift Container Platform 控制台插件中,对不等于多个值的键进行过滤不会过滤任何内容。在这个版本中,返回预期的结果,这是所有没有过滤的值的流。(NETOBSERV-1990)
- 在以前的版本中,在禁用了 Loki 的 OpenShift Container Platform 控制台插件中,由于选择不兼容的过滤器和聚合集合,这会产生一个 "Can't build query" 错误。现在,通过自动禁用不兼容的过滤器来避免这个错误,同时仍然使用户了解过滤器不兼容。( NETOBSERV-1977)
- 在以前的版本中,当从控制台插件查看流详情时,ICMP 信息总是显示在侧面面板中,显示非ICMP 流的"未定义"值。在这个版本中,非ICMP 流不会显示 ICMP 信息。(NETOBSERV-1969)
- 在以前的版本中,流量流视图 中的 "Export data" 链接无法按预期工作,生成空 CSV 报告。现在,导出功能会被恢复,生成非空 CSV 数据。( NETOBSERV-1958)
-
在以前的版本中,可以使用
processor.logTypesConversations,EndedConversations或Allwithloki.enable设置为false来配置FlowCollector,尽管在启用 Loki 时对话日志才有用。这会导致资源使用量被浪费。现在,此配置无效,由验证 Webhook 拒绝。( NETOBSERV-1957) -
使用将
processor.logTypes设置为All的FlowCollector配置消耗更多资源,如 CPU、内存和网络带宽,而不是其他选项。之前没有记录此内容。现在,它已被记录,并从验证 Webhook 触发警告。(NETOBSERV-1956) - 在以前的版本中,在高压力下,eBPF 代理生成的一些流被错误地忽略,从而导致流量带宽较低。现在,这些生成的流不会被忽略。( NETOBSERV-1954)
-
在以前的版本中,当在
FlowCollector配置中启用网络策略时,到 Operator Webhook 的流量会被阻断,破坏FlowMetricsAPI 验证。现在,允许 Webhook 流量。( NETOBSERV-1934) -
在以前的版本中,当部署默认网络策略时,在
additionalNamespaces字段中默认设置命名空间openshift-console和openshift-monitoring,从而导致重复的规则。现在,没有默认设置额外的命名空间,这有助于避免获取重复的规则。(NETOBSERV-1933) - 以前,在 OpenShift Container Platform 控制台插件中,对 TCP 标记进行过滤会匹配只有准确所需标记的流。现在,任何至少具有所需标志的流都会在过滤流中出现。(NETOBSERV-1890)
- 当 eBPF 代理以特权模式运行且 pod 持续添加或删除时,会发生文件描述符(FD)泄漏。此修复可确保删除网络命名空间时 FD 的正确冲突。( NETOBSERV-2063)
-
在以前的版本中,CLI 代理
DaemonSet不会在 master 节点上部署。现在,在代理DaemonSet上添加了一个容限,以便在设置污点时在每个节点上调度。现在,CLI 代理DaemonSetpod 在所有节点上运行。(NETOBSERV-2030) - 在以前的版本中,当只使用 Prometheus 存储时,Source Resource 和 Source Destination 过滤器自动完成功能无法正常工作。现在这个问题已被解决,建议会如预期显示。(NETOBSERV-1885)
- 在以前的版本中,Topology 视图中会单独显示使用多个 IP 的资源。现在,资源在视图中显示为单个拓扑节点。( NETOBSERV-1818)
- 在以前的版本中,当鼠标指针悬停在列上时,控制台会刷新 Network traffic 表查看内容。现在,显示已被修复,因此行高度会与鼠标指针一起保持恒定。(NETOBSERV-2049)
1.1.3. 已知问题
- 如果集群中有流量使用重叠的子网,则 eBPF 代理会有一些小的风险,从重叠的 IP 混合了流。如果不同的连接发生于具有相同源和目标 IP,并且端口和协议位于 5 秒时间内并在同一节点上发生,则会出现这种情况。除非配置了二级网络或 UDN,否则不应该执行此操作。即使在这种情况下,它仍然不太可能不太可能,因为源端口通常是一个很好的区分器。(NETOBSERV-2115)
-
在 OpenShift Container Platform Web 控制台表单视图中选择要在
FlowCollector资源spec.exporters部分中配置的导出类型后,该类型的详细配置不会以表单显示。解决办法是直接配置 YAML。(NETOBSERV-1981)
