1.4. 主要的技术变化
OpenShift Container Platform 4.13 包括以下显著的技术更改。
云控制器管理器用于其他云供应商
Kubernetes 社区计划弃用 Kubernetes 控制器管理器与底层云平台交互,而是使用云控制器管理器。因此,无法为任何新的云平台添加 Kubernetes 控制器管理器支持。
在这个 OpenShift Container Platform 发行版本中添加的 Nutanix 实现使用云控制器管理器。另外,这个版本引进了对 VMware vSphere 使用云控制器管理器的正式发布。
要了解有关云控制器管理器的更多信息,请参阅 Kubernetes Cloud Controller Manager 文档。
要管理云控制器管理器和云节点管理器部署和生命周期,请使用 Cluster Cloud Controller Manager Operator。
如需更多信息,请参阅平台 Operator 参考中的 Cluster Cloud Controller Manager Operator 条目。
MCD 现在在暂停池中同步 kubelet CA 证书
在以前的版本中,Machine Config Operator (MCO) 更新了 kubelet 客户端证书颁发机构 (CA) 证书 /etc/kubernetes/kubelet-ca.crt,作为常规机器配置更新的一部分。从 OpenShift Container Platform 4.13 开始,kubelet-ca.crt 不再作为常规机器配置更新的一部分更新。因此,Machine Config Daemon (MCD) 会在发生证书更改时自动保持 kubelet-ca.crt 最新状态。
另外,如果机器配置池暂停,MCD 现在可以将新轮转的证书推送到这些节点。为池生成一个新的呈现机器配置,其中包含对证书的更改,如之前的版本中所示。该池将表示需要更新;此条件将在此产品以后的发行版本中删除。但是,由于证书被单独更新,因此假设没有进一步的更新,则可以安全地让池保持暂停。
另外,MachineConfigControllerPausedPoolKubeletCA 警报已被删除,因为节点应该始终具有最新的 kubelet-ca.crt。
SSH 密钥位置的变化
OpenShift Container Platform 4.13 引入了基于 RHEL 9.2 的 RHCOS。在此次更新之前,SSH 密钥位于 RHCOS 上的 /home/core/.ssh/authorized_keys 中。在这个版本中,基于 RHEL 9.2 的 RHCOS 上,SSH 密钥位于 /home/core/.ssh/authorized_keys.d/ignition 中。
如果您自定义了默认 OpenSSH /etc/ssh/sshd_config 服务器配置文件,您需要根据红帽知识库文章进行更新。
以后对 pod 安全准入的限制强制
目前,pod 安全违反情况会显示为警告并在审计日志中记录,但不会导致 pod 被拒绝。
目前,计划在下一个 OpenShift Container Platform 次要发行本中对 pod 安全准入进行全局限制强制。启用此受限强制时,具有 Pod 安全违反情况的 Pod 将被拒绝。
要准备此即将推出的更改,请确保您的工作负载与应用到它们的 pod 安全准入配置集匹配。未根据全局或命名空间级别定义的强制安全标准配置的工作负载将被拒绝。restricted-v2 SCC 根据 Restricted Kubernetes 定义接受工作负载。
如果您要收到 pod 安全漏洞,请查看以下资源:
- 如需了解如何查找导致 pod 安全违反情况的信息,请参阅识别 pod 安全违反情况。
请参阅 安全上下文约束与 pod 安全标准同步,以了解何时执行 pod 安全准入标签同步。在某些情况下,Pod 安全准入标签不会同步,比如以下情况:
-
工作负载在系统创建的命名空间中运行,该命名空间前缀为
openshift-。 - 工作负载在没有 pod 控制器的情况下创建的 pod 上运行。
-
工作负载在系统创建的命名空间中运行,该命名空间前缀为
-
如果需要,您可以通过设置
pod-security.kubernetes.io/enforce标签,在命名空间或 pod 上设置自定义准入配置集。
oc-mirror 插件现在从 OpenShift API 端点检索图形数据容器镜像
oc-mirror OpenShift CLI (oc) 插件现在从 OpenShift API 端点下载图形数据 tarball,而不是从 GitHub 下载整个图形数据存储库。从红帽而不是外部供应商检索这些数据更适合对外部内容具有严格安全性和合规性限制的用户。
oc-mirror 插件下载的数据现在排除在图形数据存储库中,但 OpenShift Update Service 不需要的内容。容器也使用 UBI Micro 作为基础镜像而不是 UBI,从而生成一个比之前小的容器镜像。
这些更改不会影响 oc-mirror 插件的用户工作流。
图形数据容器镜像的 Dockerfile 现在从 OpenShift API 端点检索
如果要使用 Dockerfile 为 OpenShift Update Service 创建图形数据容器镜像,请注意图形数据 tarball 现在从 OpenShift API 端点而不是 GitHub 下载。
如需更多信息,请参阅创建 OpenShift Update Service 图形数据容器镜像。
nodeip-configuration 服务现在在 vSphere 用户置备的基础架构集群中启用
在 OpenShift Container Platform 4.13 中,nodeip-configuration 服务现在在 vSphere 用户置备的基础架构集群中启用。此服务决定 OpenShift Container Platform 在节点引导时用来与 Kubernetes API 服务器通信的网络接口控制器(NIC)。在个别情况下,服务可能会在升级后选择不正确的节点 IP。如果发生这种情况,您可以使用 NODEIP_HINT 功能来恢复原始节点 IP。请参阅对网络问题进行故障排除。
Operator SDK 1.28
OpenShift Container Platform 4.13 支持 Operator SDK 1.28。请参阅安装 Operator SDK CLI 来安装或更新到这个最新版本。
Operator SDK 1.28 支持 Kubernetes 1.26。
如果您之前使用 Operator SDK 1.25 创建或维护的 Operator 项目,请更新您的项目以保持与 Operator SDK 1.28 的兼容性。
根据 RHEL 9.2 更改 RHCOS 的磁盘排序行为
OpenShift Container Platform 4.13 引入了基于 RHEL 9.2 的 RHCOS。在这个版本中,符号链接磁盘命名可能会在重启后有所变化。如果您在安装后应用配置文件,或者在置备使用符号链接命名的磁盘(如 /dev/sda )的节点创建服务时,这可能会导致问题。此问题的影响取决于您配置的组件。建议您将特定的命名方案用于设备,包括针对任何特定磁盘引用,如 dev/disk/by-id。
在这个版本中,当监控为每个节点收集安装设备信息时,您可能需要调整现有的自动化工作流。
如需更多信息,请参阅 RHEL 文档。
有关托管 control plane 的备份、恢复和灾难恢复的文档
在 OpenShift Container Platform 4.13 的文档中,在托管集群上备份和恢复 etcd 的步骤,并将 AWS 区域中的托管集群从 "Backup and restore" 部分移到 "Hosted control planes" 部分。内容本身没有改变。
