9.2. cert-manager Operator for Red Hat OpenShift release notes
Red Hat OpenShift 的 cert-manager Operator 是一个集群范围的服务,可提供应用程序证书生命周期管理。
本发行注记介绍了 Red Hat OpenShift 的 cert-manager Operator 的开发。
如需更多信息,请参阅关于 Red Hat OpenShift 的 cert-manager Operator。
9.2.1. cert-manager Operator for Red Hat OpenShift 1.13.1
发布日期: 2024 年 5 月 15 日
以下公告可用于 Red Hat OpenShift 1.13.1 的 cert-manager Operator:
Red Hat OpenShift 的 cert-manager Operator 版本 1.13.1 基于上游 cert-manager 版本 v1.13.6。如需更多信息,请参阅 v1.13.6 的 cert-manager 项目发行注记。
9.2.1.1. CVE
9.2.2. cert-manager Operator for Red Hat OpenShift 1.13.0
发布日期: 2024 年 1 月 16 日
以下公告可用于 Red Hat OpenShift 1.13.0 的 cert-manager Operator:
Red Hat OpenShift 的 cert-manager Operator 版本 1.13.0 基于上游 cert-manager 版本 v1.13.3。如需更多信息,请参阅 v1.13.0 的 cert-manager 项目发行注记。
9.2.2.1. 新功能及功能增强
- 现在,您可以使用 Red Hat OpenShift 的 cert-manager Operator 管理 API 服务器和 Ingress Controller 的证书。如需更多信息,请参阅使用签发者配置证书。
-
在这个版本中,Red Hat OpenShift 的 cert-manager Operator 范围(以前仅限于 AMD64 架构上的 OpenShift Container Platform),现在已被扩展为支持对 IBM Z (
s390x)、IBM Power (ppc64le) 和 ARM64 架构上的证书的管理。 -
在这个版本中,您可以使用 DNS over HTTPS (DoH) 在 ACME DNS-01 质询验证过程中执行自我检查。可以使用命令行标志
--dns01-recursive-nameservers-only和--dns01-recursive-nameservers来控制 DNS 的自我检查方法。如需更多信息,请参阅通过覆盖 cert-manager Operator API 中的参数来自定义 cert-manager。
9.2.2.2. CVE
9.2.3. Red Hat OpenShift 1.12.1 的 cert-manager Operator 发行注记
发布日期:2023 年 11 月 15 日
以下公告可用于 Red Hat OpenShift 1.12.1 的 cert-manager Operator:
Red Hat OpenShift 的 cert-manager Operator 版本 1.12.1 基于上游 cert-manager 版本 v1.12.5。如需更多信息,请参阅 v1.12.5 的 cert-manager 项目发行注记。
9.2.3.1. 程序错误修复
- 在以前的版本中,在多架构环境中,因为节点关联性配置无效,cert-manager Operator pod 容易失败。在这个版本中,cert-manager Operator pod 在没有任何失败的情况下运行。(OCPBUGS-19446)
9.2.3.2. CVE
9.2.4. Red Hat OpenShift 1.12.0 的 cert-manager Operator 发行注记
发布日期:2023 年 10 月 2 日
以下公告可用于 Red Hat OpenShift 1.12.0 的 cert-manager Operator:
Red Hat OpenShift 的 cert-manager Operator 版本 1.12.0 基于上游 cert-manager 版本 v1.12.4。如需更多信息,请参阅 v1.12.4 的 cert-manager 项目发行注记。
9.2.4.1. 程序错误修复
- 在以前的版本中,您无法为 cert-manager 组件配置 CPU 和内存请求和限值,如 cert-manager controller、CA injector 和 Webhook。现在,您可以使用命令行界面(CLI)为 cert-manager 组件配置 CPU 和内存请求和限值。如需更多信息,请参 为 cert-manager 组件覆盖 CPU 和内存限值。(OCPBUGS-13830)
-
在以前的版本中,如果您更新了
ClusterIssuer对象,Red Hat OpenShift 的 cert-manager Operator 无法验证和更新集群签发者的更改。现在,如果您修改了ClusterIssuer对象,Red Hat OpenShift 的 cert-manager Operator 会验证 ACME 帐户注册并更新更改。(OCPBUGS-8210) -
在以前的版本中,Red Hat OpenShift 的 cert-manager Operator 不支持启用
--enable-certificate-owner-ref标志。现在,Red Hat OpenShift 的 cert-manager Operator 支持在cluster对象中添加spec.controllerConfig.overrideArgs字段来启用--enable-certificate-owner-ref标志。启用--enable-certificate-owner-ref标志后,cert-manager 可以在从集群中删除Certificate资源时自动删除 secret。有关启用--enable-certificate-owner-ref标志并删除 TLS secret 的更多信息,请参阅在证书删除时自动删除 TLS secret(CM-98)。 -
在以前的版本中,Red Hat OpenShift 的 cert-manager Operator 无法拉取
jetstack-cert-manager-container-v1.12.4-1镜像。cert-manager 控制器、CA injector 和 Webhook pod 处于ImagePullBackOff状态。现在,Red Hat OpenShift 的 cert-manager Operator 会拉取jetstack-cert-manager-container-v1.12.4-1镜像,以成功运行 cert-manager 控制器、CA injector 和 Webhook Pod。(OCPBUGS-19986)
9.2.5. Red Hat OpenShift 1.11.5 的 cert-manager Operator 发行注记
发布日期:2023 年 11 月 15 日
以下公告可用于 Red Hat OpenShift 1.11.5 的 cert-manager Operator:
golang 版本更新至 1.20.10 版本,以修复常见漏洞和暴露(CVE)。Red Hat OpenShift 的 cert-manager Operator 版本 1.11.5 基于上游 cert-manager 版本 v1.11.5。如需更多信息,请参阅 v1.11.5 的 cert-manager 项目发行注记。
9.2.5.1. 程序错误修复
- 在以前的版本中,在多架构环境中,因为节点关联性配置无效,cert-manager Operator pod 容易失败。在这个版本中,cert-manager Operator pod 在没有任何失败的情况下运行。(OCPBUGS-19446)
9.2.5.2. CVE
9.2.6. Red Hat OpenShift 1.11.4 的 cert-manager Operator 发行注记
发布日期:2023 年 7 月 26 日
以下公告可用于 Red Hat OpenShift 1.11.4 的 cert-manager Operator:
golang 版本更新至 1.19.10 版本,以修复常见漏洞和暴露 (CVE)。Red Hat OpenShift 的 cert-manager Operator 版本 1.11.4 基于上游 cert-manager 版本 v1.11.4。如需更多信息,请参阅 v1.11.4 的 cert-manager 项目发行注记。
9.2.6.1. 程序错误修复
- 在以前的版本中,Red Hat OpenShift 的 cert-manager Operator 不允许为 Red Hat OpenShift 安装旧版本的 cert-manager Operator。现在,您可以使用 Web 控制台或命令行界面 (CLI) 为 Red Hat OpenShift 安装旧版本的 cert-manager Operator。有关如何使用 Web 控制台安装旧版本的更多信息,请参阅为 Red Hat OpenShift 安装 cert-manager Operator。(OCPBUGS-16393)
9.2.7. Red Hat OpenShift 1.11.1 的 cert-manager Operator 发行注记
发布日期:2023 年 6 月 21 日
以下公告可用于 Red Hat OpenShift 1.11.1 的 cert-manager Operator:
Red Hat OpenShift 的 cert-manager Operator 版本 1.11.1 基于上游 cert-manager 版本 v1.11.1。如需更多信息,请参阅 v1.11.1 的 cert-manager 项目发行注记。
9.2.7.1. 新功能及功能增强
这是 Red Hat OpenShift 的 cert-manager Operator 正式发行 (GA) 发行版本。
9.2.7.1.1. 为 cert-manager 和 cert-manager Operator 设置日志级别
- 要排除 cert-manager 和 cert-manager Operator for Red Hat OpenShift 的问题,现在您可以通过为 cert-manager 和 cert-manager Operator 为 Red Hat OpenShift 设置日志级别来配置日志级别。如需更多信息,请参阅为 cert-manager 和 cert-manager Operator 配置日志级别。
9.2.7.1.2. 使用 AWS 为 Red Hat OpenShift 验证 cert-manager Operator
- 现在,您可以在使用 Security Token Service (STS) 和没有使用 STS 的 Red Hat OpenShift on AWS 集群上为 cert-manager Operator 配置云凭证。如需更多信息,请参阅在 AWS 安全令牌服务上为 Red Hat OpenShift 授权 cert-manager Operator,为 AWS 上的 Red Hat OpenShift 验证 cert-manager Operator。
9.2.7.1.3. 使用 GCP 为 Red Hat OpenShift 验证 cert-manager Operator
- 现在,您可以使用 Workload Identity 和 without Workload Identity 为 Red Hat OpenShift 在 GCP 集群上为 cert-manager Operator 配置云凭证。如需更多信息,请参阅 Authenticating the cert-manager Operator for Red Hat OpenShift with GCP Workload Identity 和 Authenticating the cert-manager Operator for Red Hat OpenShift with GCP
9.2.7.2. 程序错误修复
-
在以前的版本中,
cm-acme-http-solverpod 没有使用最新的已发布的红帽镜像registry.redhat.io/cert-manager/jetstack-cert-manager-acmesolver-rhel9。在这个版本中,cm-acme-http-solverpod 使用最新的已发布的红帽镜像registry.redhat.io/cert-manager/jetstack-cert-manager-acmesolver-rhel9。(OCPBUGS-10821) - 在以前的版本中,Red Hat OpenShift 的 cert-manager Operator 不支持更改 cert-manager pod 的标签,如 controller、CA injector 和 Webhook pod。在这个版本中,您可以在 cert-manager pod 中添加标签。(OCPBUGS-8466)
-
在以前的版本中,您无法为 Red Hat OpenShift 更新 cert-manager Operator 中的日志详细程度。现在,您可以在其订阅资源中使用环境变量
OPERATOR_LOG_LEVEL更新日志详细程度。(OCPBUGS-9994) - 在以前的版本中,卸载 Red Hat OpenShift 的 cert-manager Operator 时,如果在 OpenShift Container Platform Web 控制台中选择 Delete all operand instance for this operator 复选框,Operator 不会被正确卸载。现在,Red Hat OpenShift 的 cert-manager Operator 已被正确卸载。(OCPBUGS-9960)
- 在以前的版本中,Red Hat OpenShift 的 cert-manager Operator 不支持使用 Google 工作负载身份联邦。Red Hat OpenShift 的 cert-manager Operator 现在支持使用 Google 工作负载身份联邦。(OCPBUGS-9998)
9.2.7.3. 已知问题
-
为 Red Hat OpenShift 安装 cert-manager Operator 后,如果您进入到 Operators
Installed Operators,并在 OpenShift Container Platform Web 控制台中选择 Operator 详情,则无法看到在所有命名空间中创建的 cert-manager 资源。作为临时解决方案,您可以进入到 Home API Explorer 来查看 cert-manager 资源。(OCPBUGS-11647) -
使用 Web 控制台为 Red Hat OpenShift 卸载
cert-managerOperator 后,Red Hat OpenShift 的 cert-manager Operator 不会从 cert-manager 命名空间中自动删除 cert-manager 控制器、CA injector 和 Webhook Pod。作为临时解决方案,您可以手动删除cert-manager控制器、CA injector 和 Webhook pod 部署。(OCPBUGS-13679)
9.2.8. Red Hat OpenShift 1.10.3 的 cert-manager Operator 发行注记
发布日期:2023 年 8 月 8 日
以下公告可用于 Red Hat OpenShift 1.10.3 的 cert-manager Operator:
Red Hat OpenShift 的 cert-manager Operator 版本 1.10.3 基于 cert-manager 上游版本 v1.10.2。在这个版本中,Red Hat OpenShift 的 cert-manager Operator 的版本是 1.10.3,但 cert-manager 操作对象版本为 1.10.2。如需更多信息,请参阅 v1.10.2 的 cert-manager 项目发行注记。
9.2.8.1. CVE
9.2.9. Red Hat OpenShift 1.10.2 的 cert-manager Operator 发行注记
发布日期:2023 年 3 月 23 日
以下公告可用于 Red Hat OpenShift 1.10.2 的 cert-manager Operator:
Red Hat OpenShift 的 cert-manager Operator 版本 1.10.2 基于上游 cert-manager 版本 v1.10.2。如需更多信息,请参阅 v1.10.2 的 cert-manager 项目发行注记。
如果将 cert-manager Operator 的技术预览版本用于 Red Hat OpenShift,则必须卸载它并删除技术预览版本的所有相关资源,然后才能为 Red Hat OpenShift 安装这个版本的 cert-manager Operator。
如需更多信息,请参阅为 Red Hat OpenShift 卸载 cert-manager Operator。
9.2.9.1. 新功能及功能增强
这是 Red Hat OpenShift 的 cert-manager Operator 正式发行 (GA) 发行版本。
支持以下签发者类型:
- 自动证书管理环境 (ACME)
- 证书颁发机构 (CA)
- 自签名
支持以下 ACME 质询类型:
- DNS-01
- HTTP-01
对 ACME 签发者支持以下 DNS-01 供应商:
- Amazon Route 53
- Azure DNS
- Google Cloud DNS
- Red Hat OpenShift 的 cert-manager Operator 现在支持注入自定义 CA 证书并传播集群范围的出口代理环境变量。
- 您可以通过覆盖环境变量和参数来为 Red Hat OpenShift API 字段自定义 cert-manager Operator。如需更多信息,请参阅自定义 cert-manager Operator API 字段
- 您可以使用服务监控器执行自定义指标提取,为 Red Hat OpenShift 为 cert-manager Operator 启用监控和指标集合。为 Red Hat OpenShift 启用 cert-manager Operator 监控后,您可以使用 OpenShift Container Platform Web 控制台查询其指标。如需更多信息,请参阅为 Red Hat OpenShift 为 cert-manager Operator 启用监控
9.2.9.2. 程序错误修复
在以前的版本中,
unsupportedConfigOverrides字段替换了用户提供的参数,而不是附加它们。现在,unsupportedConfigOverrides字段可以正确地附加用户提供的参数。(CM-23)警告使用
unsupportedConfigOverrides部分修改 Operator 配置不受支持,并可能会阻止集群升级。- 在以前的版本中,Red Hat OpenShift 的 cert-manager Operator 安装为一个集群 Operator。在这个版本中,Red Hat OpenShift 的 cert-manager Operator 已被正确安装为 OLM Operator。(CM-35)
9.2.9.3. 已知问题
-
不支持使用
Route对象。目前,要将 cert-manager Operator 用于带有Routes的 Red Hat OpenShift,用户必须创建Ingress对象,这些对象由 Ingress-to-Route Controller 转换为Route对象。(CM-16) - Red Hat OpenShift 的 cert-manager Operator 不支持使用 Azure Active Directory (Azure AD) pod 身份为 pod 分配受管身份。作为临时解决方案,您可以使用服务主体来分配受管身份。(OCPBUGS-8665)
- Red Hat OpenShift 的 cert-manager Operator 不支持使用 Google 工作负载身份联邦。(OCPBUGS-9998)
- 在卸载 Red Hat OpenShift 的 cert-manager Operator 时,如果在 OpenShift Container Platform Web 控制台中选择 Delete all operand instance for this operator 复选框,Operator 不会被正确卸载。作为临时解决方案,在为 Red Hat OpenShift 卸载 cert-manager Operator 时不要选择此复选框。(OCPBUGS-9960)
