1.3. 新功能及功能增强
此版本对以下方面进行了改进。
1.3.1. Red Hat Enterprise Linux CoreOS (RHCOS)
1.3.1.1. RHCOS 现在使用 RHEL 9.2
RHCOS 现在在 OpenShift Container Platform 4.15 中使用 Red Hat Enterprise Linux (RHEL) 9.2 软件包。这些软件包可确保 OpenShift Container Platform 实例收到最新的修复、功能、增强功能、硬件支持和驱动程序更新。
1.3.1.2. 支持 iSCSI 设备(技术预览)
RHCOS 现在支持 iscsi_bft
驱动程序,可让您直接从使用 iSCSI Boot Firmware Table (iBFT) 的 iSCSI 设备引导(技术预览)。这可让您将 iSCSI 设备作为安装的根磁盘。
如需更多信息,请参阅 RHEL 文档。
1.3.2. 安装和更新
1.3.2.1. 在安装过程中加密 Azure 存储帐户
现在,您可以通过为安装程序提供客户管理的加密密钥来加密 Azure 存储帐户。有关加密 Azure 存储帐户所需的参数的描述,请参阅安装配置参数。
1.3.2.2. RHOSP 集成到 Cluster CAPI Operator (技术预览)
如果启用了 TechPreviewNoUpgrade
功能标记,Cluster CAPI Operator 将部署 Cluster API Provider OpenStack 并管理其生命周期。Cluster CAPI Operator 会自动为当前的 OpenShift Container Platform 集群创建 Cluster
和 OpenStackCluster
资源。
现在,可以配置 Cluster API Machine
和 OpenStackMachine
资源,类似于配置 Machine API 资源的方式。务必要注意,虽然 Cluster API 资源的功能等同于 Machine API 资源,但其结构上并不相同。
1.3.2.3. IBM Cloud 和用户管理的加密
现在,您可以在安装过程中为 IBM Cloud® root 密钥指定您自己的 IBM® 密钥保护。此 root 密钥用于加密 control plane 和计算机器的根(引导)卷,以及在部署集群后置备的持久性卷(数据卷)。
如需更多信息,请参阅 IBM Cloud 的用户管理加密。
1.3.2.4. 在具有有限互联网访问的 IBM Cloud 上安装集群
现在,您可以在具有有限互联网访问的环境(如断开连接的或受限网络集群)中的 IBM Cloud® 上安装集群。使用这种类型的安装,您可以创建一个 registry 来镜像 OpenShift Container Platform 安装镜像的内容。您可以在镜像主机上创建此 registry,该主机可同时访问互联网和受限网络。
如需更多信息,请参阅在受限网络中在 IBM Cloud 上安装集群。
1.3.2.5. 在 AWS 上安装集群以将节点扩展到 Wavelength 区域
您可以通过在 install-config.yaml
文件的边缘计算池中设置区名称,在 Amazon Web Services (AWS) Wavelength Zone 中快速安装 OpenShift Container Platform 集群,或在一个带有 Wavelength Zone 子网的现有的 VPC 中安装集群。
您还可以执行安装后任务,将 AWS 上的现有 OpenShift Container Platform 集群扩展为使用 AWS Wavelength Zone。
如需更多信息,请参阅在 AWS Wavelength Zones 中有计算节点在 AWS 上安装集群,和将现有集群扩展为使用 AWS Local Zones 或 Wavelength Zone。
1.3.2.6. 在 AWS 部署中自定义集群网络 MTU
在 AWS Local Zones 基础架构上部署集群前,您可以自定义集群网络的集群网络最大传输单元 (MTU) 来满足基础架构的需求。
您可以通过在 install-config.yaml
配置文件中指定 networking.clusterNetworkMTU 参数来自定义集群的 MTU。
如需更多信息,请参阅自定义集群网络 MTU。
1.3.2.7. 在带有 AWS Outposts 中的计算节点的 AWS 上安装集群
在 OpenShift Container Platform 版本 4.14 中,您可以安装带有在 AWS Outposts 中运行的计算节点的 AWS 中安装集群(技术预览)。在 OpenShift Container Platform 4.15 中,您可以在 AWS 上将集群安装到现有的 VPC 中,并在 AWS Outposts 上置备计算节点作为安装后配置任务。
如需更多信息,请参阅在 AWS 上将集群安装到现有的 VPC 中,和将 AWS VPC 集群扩展到 AWS Outpost。
1.3.2.8. Nutanix 和容错部署
默认情况下,安装程序会将 control plane 和计算机器安装到单个 Nutanix Prism Element (集群) 中。要改进 OpenShift Container Platform 集群的容错功能,您现在可以通过配置故障域来指定这些机器分布在多个 Nutanix 集群中。
如需更多信息,请参阅使用多个 Prism Elements 的容错部署。
1.3.2.9. 64 位 ARM 上的 OpenShift Container Platform
OpenShift Container Platform 4.15 现在支持使用 Machine Config Operator (MCO) 在 RHCOS 内核中启用 64k 页大小。此设置专用于具有 64 位 ARM 架构的机器。如需更多信息,请参阅 机器配置任务 文档。
1.3.2.10. 可选的 OLM 集群功能
在 OpenShift Container Platform 4.15 中,您可以在安装过程中禁用 Operator Lifecycle Manager (OLM) 功能。如需更多信息,请参阅 Operator Lifecycle Manager 功能。
1.3.2.11. 在本地磁盘中使用根卷和 etcd 部署 Red Hat OpenStack Platform (RHOSP) (技术预览)
现在,您可以将 etcd 从根卷(Cinder)移到专用临时本地磁盘,作为第 2 天部署。使用这个技术预览功能,您可以解决并防止 RHOSP 安装的性能问题。
如需更多信息,请参阅在本地磁盘上使用 rootVolume 和 etcd 在 OpenStack 上部署。
1.3.2.12. 配置 vSphere 与基于代理的安装程序集成
现在,您可以在为基于 Agent 的安装创建 install-config.yaml
文件时将集群配置为使用 vSphere。如需更多信息,请参阅其他 VMware vSphere 配置参数。
1.3.2.13. 基于代理的安装过程中的其他裸机配置
现在,您可以在为基于代理的安装创建 install-config.yaml
文件时为裸机平台提供额外的配置。这些新选项包括主机配置、网络配置和基板管理控制器 (BMC) 详情。
这些字段不会在集群初始置备过程中使用,但可以节省在安装后设置字段的过程。如需更多信息,请参阅基于代理的安装程序的其他裸机配置参数。
1.3.2.14. 使用 Dell iDRAC BMC 在安装程序置备的安装过程中配置 RAID
现在,您可以使用带有 Redfish 协议的 Dell iDRAC 基板管理控制器(BMC)在安装程序置备的安装过程中为裸机平台配置独立磁盘的冗余阵列(RAID)。如需更多信息,请参阅 可选:配置 RAID。
1.3.3. 安装后配置
1.3.3.1. 带有多架构计算机器的 OpenShift Container Platform 集群
在带有多架构计算机器的 OpenShift Container Platform 4.15 集群中,您现在可以在集群中的 64 位 ARM 计算机器中启用 64k 页大小。有关设置此参数的更多信息,请参阅在 Red Hat Enterprise Linux CoreOS (RHCOS) 内核中启用 64k 页。
1.3.4. Web 控制台
1.3.4.1. Administrator perspective (管理员视角)
此发行版本对 web 控制台的 Administrator 视角包括以下更新:
- 启用和禁用查看 pod 日志查看器的尾部的过程,以最大程度缩短加载时间。
-
在 Deployment 页面中查看
VerticalPodAutoscaler
的推荐值。
1.3.4.1.1. 节点正常运行时间信息
在这个版本中,您可以启用查看额外的节点正常运行时间信息,以跟踪节点重启或失败。进入到 Compute
1.3.4.1.2. 动态插件增强
在这个版本中,您可以使用 console.resource/details-item
将新详情项添加到 Details 页面中的默认资源摘要中。OpenShift Container Platform 发行版本还为 CronTab 动态插件添加了注解、标签和删除模态的示例实现。
如需更多信息,请参阅动态插件参考
如需有关 console.resource/details-item
的更多信息,请参阅 OpenShift Container Platform 控制台 API。
1.3.4.1.3. OperatorHub 支持 Microsoft Entra Workload ID
在这个版本中,OperatorHub 会检测在 Azure 上运行的 OpenShift Container Platform 集群是为 Microsoft Entra Workload ID 配置的。当检测到时,在安装 Operator 前,会显示一个 "Cluster in Workload Identity / Federated Identity Mode" 通知,然后再安装 Operator 以确保它正确运行。Operator 安装页面也会被修改,以添加所需 Azure 凭证信息的字段。
有关安装 Operator 页面的更新步骤,请参阅使用 Web 控制台从 OperatorHub 安装。
1.3.4.2. Developer Perspective (开发者视角)
此发行版本在 web 控制台的 Developer 视角包括以下更新:
- 仪表板中提供了基于 Tekton Results 的数据的管道历史记录和日志,而无需在集群中的 PipelineRun CR。
1.3.4.2.1. 软件供应链增强
web 控制台的 Developer 或 Administrator 视角中的 PipelineRun Details 页面提供了项目中 PipelineRuns 的可视化表示。
如需更多信息,请参阅 Red Hat OpenShift Pipelines。
1.3.4.2.2. Web 控制台中的 Red Hat Developer Hub
在这个版本中,可以使用一个快速启动来了解如何安装和使用开发人员 hub。
如需更多信息,请参阅 Red Hat Developer Hub 的产品文档。
1.3.4.2.3. Web 控制台支持 OpenShift Container Platform 的构建
在这个版本中,Web 控制台支持 OpenShift Container Platform 1.0 的构建。构建是一个可扩展的构建框架,它基于 Shipwright 项目。您可以使用 OpenShift Container Platform 的构建在 OpenShift Container Platform 集群上构建容器镜像。
如需更多信息,请参阅 OpenShift Container Platform 的构建。
1.3.5. IBM Z 和 IBM LinuxONE
在这个版本中,IBM Z® 和 IBM® LinuxONE 与 OpenShift Container Platform 4.15 兼容。您可以使用 z/VM、LPAR 或 Red Hat Enterprise Linux (RHEL) 基于内核的虚拟机 (KVM) 执行安装。有关安装说明,请参阅以下文档:
Compute 节点必须运行 Red Hat Enterprise Linux CoreOS (RHCOS)。
1.3.5.1. IBM Z 和 IBM LinuxONE 主要改进
OpenShift Container Platform 4.15 上的 IBM Z® 和 IBM® LinuxONE 发行版本为 OpenShift Container Platform 组件和概念提供了改进和新功能。
此发行版本引进了对 IBM Z® 和 IBM® LinuxONE 中的以下功能的支持:
- 基于代理的安装程序
- cert-manager Operator for Red Hat OpenShift
-
使用
x86_64
多架构计算节点的s390x
control plane
1.3.5.2. 在 IBM Z 和 IBM LinuxONE 的 LPAR 上安装集群
OpenShift Container Platform 现在支持在 IBM Z 和 IBM LinuxONE 上的逻辑分区 (LPAR) 中的用户置备的 OpenShift Container Platform 4.15 安装。
有关安装说明,请参阅以下文档:
1.3.6. IBM Power
IBM Power® 现在与 OpenShift Container Platform 4.15 兼容。有关安装说明,请参阅以下文档:
Compute 节点必须运行 Red Hat Enterprise Linux CoreOS (RHCOS)。
1.3.6.1. IBM Power 主要改进
OpenShift Container Platform 4.15 上的 IBM Power® 发行版本为 OpenShift Container Platform 组件增加了改进和新功能。
此发行版本引进了对 IBM Power® 的以下功能的支持:
- 基于代理的安装程序
- cert-manager Operator for Red Hat OpenShift
- IBM Power® Virtual Server Block CSI Driver Operator
- IBM Power® Virtual Server 的安装程序置备的基础架构支持
- 支持 Intel 和 IBM Power® worker 的多架构 IBM Power® control plane
- NX-gzip for Power10 (硬件加速)
-
openshift-install
工具支持 IBM Power® 上的各种 SMT 级别 (Hardware Acceleration)
1.3.7. IBM Power、IBM Z 和 IBM LinuxONE 支持列表
从 OpenShift Container Platform 4.14 开始,延长更新支持 (EUS) 已扩展到 IBM Power® 和 IBM Z® 平台。如需更多信息,请参阅 OpenShift EUS 概述。
功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
---|---|---|
备用身份验证供应商 | 支持 | 支持 |
基于代理的安装程序 | 支持 | 支持 |
支持的安装程序 | 支持 | 支持 |
使用 Local Storage Operator 自动设备发现 | 不支持 | 支持 |
使用机器健康检查功能自动修复损坏的机器 | 不支持 | 不支持 |
IBM Cloud® 的云控制器管理器。 | 支持 | 不支持 |
在节点上控制过量使用和管理容器密度 | 不支持 | 不支持 |
Cron 作业 | 支持 | 支持 |
Descheduler | 支持 | 支持 |
Egress IP | 支持 | 支持 |
加密数据存储在 etcd 中 | 支持 | 支持 |
FIPS 加密 | 支持 | 支持 |
Helm | 支持 | 支持 |
Pod 横向自动扩展 | 支持 | 支持 |
托管 control plane(技术预览) | 支持 | 支持 |
IBM 安全执行 | 不支持 | 支持 |
IBM Power® Virtual Server Block CSI Driver Operator | 支持 | 不支持 |
IBM Power® Virtual Server 的安装程序置备的基础架构支持 | 支持 | 不支持 |
在单一节点上安装 | 支持 | 支持 |
IPv6 | 支持 | 支持 |
用户定义项目的监控 | 支持 | 支持 |
多架构计算节点 | 支持 | 支持 |
多路径(Multipathing) | 支持 | 支持 |
网络绑定磁盘加密 - 外部 Tang 服务器 | 支持 | 支持 |
Non-volatile memory express drive (NVMe) | 支持 | 不支持 |
oc-mirror 插件 | 支持 | 支持 |
OpenShift CLI ( | 支持 | 支持 |
Operator API | 支持 | 支持 |
OpenShift Virtualization | 不支持 | 不支持 |
OVN-Kubernetes,包括 IPsec 加密 | 支持 | 支持 |
PodDisruptionBudget | 支持 | 支持 |
精度时间协议 (PTP) 硬件 | 不支持 | 不支持 |
Red Hat OpenShift Local | 不支持 | 不支持 |
Scheduler 配置集 | 支持 | 支持 |
流控制传输协议 (SCTP) | 支持 | 支持 |
支持多个网络接口 | 支持 | 支持 |
三节点集群支持 | 支持 | 支持 |
拓扑管理器 | 支持 | 不支持 |
SCSI 磁盘中的 z/VM 模拟 FBA 设备 | 不支持 | 支持 |
4K FCP 块设备 | 支持 | 支持 |
功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
---|---|---|
使用 iSCSI 的持久性存储 | 支持 [1] | 支持 [1],[2] |
使用本地卷 (LSO) 的持久性存储 | 支持 [1] | 支持 [1],[2] |
使用 hostPath 的持久性存储 | 支持 [1] | 支持 [1],[2] |
使用 Fibre Channel 持久性存储 | 支持 [1] | 支持 [1],[2] |
使用 Raw Block 的持久性存储 | 支持 [1] | 支持 [1],[2] |
使用 EDEV/FBA 的持久性存储 | 支持 [1] | 支持 [1],[2] |
- 必须使用 Red Hat OpenShift Data Foundation 或其他支持的存储协议来置备持久性共享存储。
- 必须使用本地存储(如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO)来置备持久性非共享存储。
功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
---|---|---|
cert-manager Operator for Red Hat OpenShift | 支持 | 支持 |
Cluster Logging Operator | 支持 | 支持 |
Cluster Resource Override Operator | 支持 | 支持 |
Compliance Operator | 支持 | 支持 |
Cost Management Metrics Operator | 支持 | 支持 |
File Integrity Operator | 支持 | 支持 |
HyperShift Operator | 技术预览 | 技术预览 |
Local Storage Operator | 支持 | 支持 |
MetalLB Operator | 支持 | 支持 |
Network Observability Operator | 支持 | 支持 |
NFD Operator | 支持 | 支持 |
NMState Operator | 支持 | 支持 |
OpenShift Elasticsearch Operator | 支持 | 支持 |
Vertical Pod Autoscaler Operator | 支持 | 支持 |
功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
---|---|---|
Bridge | 支持 | 支持 |
Host-device | 支持 | 支持 |
IPAM | 支持 | 支持 |
IPVLAN | 支持 | 支持 |
功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
---|---|---|
克隆 | 支持 | 支持 |
扩展 | 支持 | 支持 |
Snapshot | 支持 | 支持 |
1.3.8. 认证和授权
1.3.8.1. 基于 OLM 的 Operator 支持 Microsoft Entra Workload ID
在这个版本中,Azure 集群上的 Operator Lifecycle Manager (OLM) 管理的一些 Operator 可以在带有 Microsoft Entra Workload ID 的手动模式中使用 Cloud Credential Operator (CCO)。这些 Operator 使用在集群外管理的短期凭证进行身份验证。
如需更多信息,请参阅使用 Azure AD Workload Identity 的 OLM 管理的 Operator 的基于 CCO 的工作流。
1.3.9. 网络
1.3.9.1. 对外部流量的 IPsec 加密的 OVN-Kubernetes 网络插件支持为正式发布 (GA)
OpenShift Container Platform 现在支持加密外部流量,也称为南北流量。IPsec 已支持加密 pod 间的网络流量,称为 东西流量。您可以将这两个功能一起使用,为 OpenShift Container Platform 集群提供完整的转换加密。
在以下平台上支持此功能:
- 裸机
- Google Cloud Platform (GCP)
- Red Hat OpenStack Platform(RHOSP)
- VMware vSphere
如需更多信息,请参阅为外部 IPsec 端点启用 IPsec 加密。
1.3.9.2. IPv6 unsolicited neighbor 公告现在默认在 macvlan CNI 插件中
在以前的版本中,如果删除了一个 pod (Pod X
),并使用类似的配置创建了第二个 pod (Pod Y
),则 Pod Y
可能与 Pod X
具有相同的 IPv6 地址,但它有一个不同的 MAC 地址。在这种情况下,路由器不知道 MAC 地址更改,它会继续将流量发送到 Pod X
的 MAC 地址。
在这个版本中,使用 macvlan CNI 插件创建的 pod,其中 IP 地址管理 CNI 插件被分配了 IP,现在默认将 IPv6 非邀请的(unsolicited)邻居公告发送到网络。此功能增强会通知特定 IP 的新 pod MAC 地址的网络结构来刷新 IPv6 邻居缓存。
1.3.9.3. 配置 Whereabouts IP 协调器调度
Whereabouts 协调调度被硬编码为每天运行一次,且无法重新配置。在这个版本中,ConfigMap
对象启用了 Whereabouts cron 调度的配置。如需更多信息,请参阅配置 Whereabouts IP 协调器调度。
1.3.9.4. EgressFirewall 和 AdminPolicyBasedExternalRoute CR 的状态管理更新
对 EgressFirewall
和 AdminPolicyBasedExternalRoute
自定义资源策略的状态管理进行了以下更新:
-
如果至少有一个消息报告
失败
,则status.status
字段被设置为failure
。 -
如果没有报告失败,并且不是所有节点都报告其状态,则
status.status
字段为空。 -
如果所有节点都报告
成功
,则status.status
字段被设为success
。 -
status.mesages
字段列出消息。默认情况下,消息按节点名称列出,并以节点名称作为前缀。
1.3.9.5. MetalLB 的额外 BGP 指标
在这个版本中,MetalLB 会公开与 MetalLB 和 Border Gateway Protocol (BGP) 间通信相关的其他指标。如需更多信息,请参阅 BGP 和 BFD 的 MetalLB 指标。
1.3.9.6. 支持 all-multicast 模式
OpenShift Container Platform 现在支持使用 tuning CNI 插件配置 all-multicast 模式。在这个版本中,不再需要为 pod 的安全性上下文约束 (SCC) 授予 NET_ADMIN
功能,从而最大程度降低 pod 的潜在漏洞来提高安全性。
有关 all-multicast 模式的更多信息,请参阅关于 all-multicast 模式。
1.3.9.7. IPv6 网络的多网络策略支持
在这个版本中,您可以为 IPv6 网络创建多网络策略。如需更多信息,请参阅 IPv6 网络中支持多网络策略。
1.3.9.8. 可用的 Ingress Operator 指标仪表板
在这个版本中,Ingress 网络指标可从 OpenShift Container Platform Web 控制台查看。如需更多信息,请参阅 Ingress Operator 仪表板。
1.3.9.9. 对子域的 ExternalName 服务查询的 CoreDNS 编配
从 OpenShift Container Platform 4.15 开始,CoreDNS 从 1.10.1 更新至 1.11.1。
在这个版本中,CoreDNS 会错误地为 ExternalName
服务提供响应,该服务使用顶级域(如 com
或 org
)共享它的名称。对外部服务的子域的查询不应解析到那个外部服务。如需更多信息,请参阅相关的 CoreDNS GitHub 问题。
1.3.9.10. CoreDNS 指标弃用和删除
从 OpenShift Container Platform 4.15 开始,CoreDNS 从 1.10.1 更新至 1.11.1。
在这个版本中,CoreDNS 会导致弃用和删除已重新定位的某些指标,包括指标 coredns_forward_healthcheck_failures_total
, coredns_forward_requests_total
, coredns_forward_responses_total
, 和 coredns_forward_request_duration_seconds
如需更多信息,请参阅 CoreDNS 指标。
1.3.9.11. SR-IOV 支持的硬件(单根 I/O 虚拟化)
OpenShift Container Platform 4.15 添加了对以下 SR-IOV 设备的支持:
- Mellanox MT2910 系列 [ConnectX-7]
如需更多信息,请参阅支持的设备。
1.3.9.12. SR-IOV 网络 VF 的主机网络配置策略(技术预览)
在这个版本中,您可以使用 NodeNetworkConfigurationPolicy
资源来管理现有集群中单根 I/O 虚拟化 (SR-IOV) 网络虚拟功能 (VF) 的主机网络设置。
例如,您可以配置主机网络服务质量(QoS)策略,以通过附加的 SR-IOV 网络 VF 管理主机资源的网络访问。如需更多信息,请参阅虚拟功能的节点网络配置策略。
1.3.9.13. SR-IOV 网络策略更新过程中并行节点排空
在这个版本中,您可以将 SR-IOV Network Operator 配置为在网络策略更新过程中并行排空节点。并行排空节点的选项可以更快地推出 SR-IOV 网络配置。您可以使用 SriovNetworkPoolConfig
自定义资源配置并行节点排空,并在 Operator 可以并行排空池中定义最大节点数量。
如需更多信息,请参阅在 SR-IOV 网络策略更新过程中配置并行节点排空。
1.3.10. 容器镜像仓库(Registry)
1.3.10.1. 支持 Azure 上的私有存储端点
在这个版本中,可以利用 Image Registry Operator 来使用 Azure 上的私有存储端点。当 OpenShift Container Platform 部署到私有 Azure 集群上时,您可以使用此功能为存储帐户无缝配置私有端点,以便用户可以在不公开面向公共的存储端点的情况下部署镜像 registry。
如需更多信息,请参阅以下部分:
1.3.11. Storage
1.3.11.1. 从以前的 LVM 存储安装中恢复卷组
在这个版本中,LVMCluster
自定义资源 (CR) 支持从以前的 LVM Storage 安装中恢复卷组。如果 deviceClasses.name
字段被设置为之前 LVM 存储安装中的卷组名称,LVM 存储会在当前 LVM 存储安装中重新创建与该卷组相关的资源。这简化了通过重新安装 LVM 存储安装使用之前 LVM 存储安装中的设备的过程。
如需更多信息,请参阅在 worker 节点上创建逻辑卷管理器集群。
1.3.11.2. 支持在 LVM 存储中擦除设备
此功能在 LVMCluster
自定义资源 (CR) 中提供了一个新的可选字段 forceWipeDevicesAndDestroyAllData
来强制擦除所选设备。在此版本之前,擦除设备需要您手动访问主机。在这个版本中,您可以强制擦除磁盘,而无需人工干预。这简化了擦除磁盘的过程。
如果将 forceWipeDevicesAndDestroyAllData
设置为 true
,则 LVM 存储会擦除该设备上所有之前的数据。您必须谨慎使用此功能。
如需更多信息,请参阅在 worker 节点上创建逻辑卷管理器集群。
1.3.11.3. 支持在多节点集群中部署 LVM 存储
此功能支持在多节点集群中部署 LVM 存储。在以前的版本中,LVM 存储只支持单节点配置。在这个版本中,LVM 存储支持所有 OpenShift Container Platform 部署拓扑。这可在多节点集群中置备本地存储。
LVM 存储只支持多节点集群中的节点本地存储。它不支持跨节点的存储数据复制机制。在多节点集群中使用 LVM 存储时,您必须确保通过主动或被动复制机制进行存储数据,以避免出现单点故障。
如需更多信息,请参阅部署 LVM 存储。
1.3.11.4. 将 RAID 阵列与 LVM 存储集成
此功能支持将 mdadm
工具与 LVM 存储创建的 RAID 阵列集成。LVMCluster
自定义资源 (CR) 支持在 deviceSelector.paths
字段和 deviceSelector.optionalPaths
字段中向 RAID 阵列添加路径。
如需更多信息,请参阅将软件 RAID 阵列与 LVM 存储集成。
1.3.11.5. LVM 存储的 FIPS 合规性支持
在这个版本中,LVM 存储是为联邦信息处理标准 (FIPS) 而设计的。当在 FIPS 模式的 OpenShift Container Platform 上安装 LVM Storage 时,LVM Storage 使用 RHEL 加密库,该库只在 x86_64 架构上提交给 NIST 140-3 验证。
1.3.11.6. Retroactive 默认 StorageClass 分配已正式发布
在 OpenShift Container Platform 4.13 之前,如果没有默认存储类,则创建请求默认存储类的持久性卷声明 (PVC) 会无限期地处于 pending 状态,除非您手动删除并重新创建它们。从 OpenShift Container Platform 4.14 开始,作为技术预览功能,默认存储类会被分配给这些 PVC,以便它们不会处于待处理状态。创建默认存储类或声明了现有存储类之一后,这些部分 PVC 会被分配给默认存储类。这个功能现已正式发布。
如需更多信息,请参阅 Absent 默认存储类。
1.3.11.7. 有助于删除本地卷上的现有数据的 Local Storage Operator 选项已正式发布
此功能提供了一个可选字段 forceWipeDevicesAndDestroyAllData
定义是否调用 wipefs
,它会删除分区表签名 (magic string) 使磁盘可用于 Local Storage Operator (LSO) 置备。除了签名外,没有其它数据会被清除。这个功能现已正式发布。请注意,这个功能不适用于 LocalVolumeSet
(LVS)。
如需更多信息,请参阅使用 Local Storage Operator 置备本地卷。
1.3.11.8. 在非正常节点关闭后分离 CSI 卷已正式发布
从 OpenShift Container Platform 4.13 开始,当节点关闭为技术预览功能时,Container Storage Interface (CSI) 驱动程序可以自动分离卷。当出现非正常节点关闭时,您可以手动在节点上添加服务外污点,以允许卷从节点自动分离。这个功能现已正式发布。
如需更多信息,请参阅非正常节点关闭后分离 CSI 卷。
1.3.11.10. 用户管理的加密支持 IBM VPC Block 存储 (GA)
用户管理的加密功能允许您在安装过程中提供加密 OpenShift Container Platform 节点根卷的密钥,并允许所有受管存储类使用指定的加密密钥加密置备的存储卷。此功能在 Google Cloud Platform (GCP)持久磁盘(PD)存储、Microsoft Azure Disk 和 Amazon Web Services (AWS) Elastic Block 存储(EBS)的 OpenShift Container Platform 4.13 中引入,现在在 IBM Virtual Private Cloud (VPC) Block 存储上被支持。
1.3.11.11. 使用挂载选项进行 SELinux 重新标记(技术预览)
在以前的版本中,当启用 SELinux 时,当将 PV 附加到 pod 时,持久性卷 (PV) 文件会被重新标记,这可能会导致 PV 包含很多文件时造成超时,以及加载存储后端。
在 OpenShift Container Platform 4.15 中,对于支持此功能的 Container Storage Interface (CSI) 驱动程序,该驱动程序将使用正确的 SELinux 标签直接挂载卷,无需递归重新标记卷,pod 启动可能会非常快。
此功能支持技术预览状态。
如果以下条件为 true,则这个功能会被默认启用:
在 CSIDriver 实例中,通过
seLinuxMountSupported: true
提供支持这个功能的 CSI 驱动程序。作为 OpenShift Container Platform 的一部分提供的以下 CSI 驱动程序宣布了 SELinux 挂载支持:- AWS Elastic Block Storage(EBS)
- Azure Disk
- Google Compute Platform (GCP) 持久磁盘 (PD)
- IBM Virtual Private Cloud (VPC) Block
- OpenStack Cinder
- VMware vSphere
-
使用持久性卷的 pod 使用
restricted
SCC 在spec.securityContext
或spec.containers[*].securityContext
中指定完整的 SELinux 标签。 -
卷访问模式设置为
ReadWriteOncePod
。
1.3.12. Oracle® Cloud Infrastructure
1.3.12.1. 使用辅助安装程序在 OCI 上安装集群
您可以在支持专用、混合、公共和多个云环境的 Oracle® 云基础架构 (OCI) 基础架构上运行集群工作负载。红帽和 Oracle 都测试、验证和支持在 OCI 上的 OpenShift Container Platform 集群中运行 OCI。
OCI 提供可满足您的法规合规性、性能和成本效益的服务。您可以访问 OCI 资源管理器配置来置备和配置 OCI 资源。
如需更多信息,请参阅使用 Assisted Installer 在 OCI 上安装集群。
1.3.12.2. 使用基于代理的安装程序在 OCI 上安装集群
您可以使用基于代理的安装程序在 Oracle® Cloud Infrastructure (OCI) 上安装集群,以便在支持专用、混合、公共和多个云环境的基础架构上运行集群工作负载。
基于代理的安装程序提供了辅助安装服务的易用性,但可以在连接或断开连接的环境中安装集群。
OCI 提供可满足您的法规合规性、性能和符合成本效益的服务。OCI 支持 64 位 x86
实例和 64 位 ARM 实例。
如需更多信息,请参阅使用基于代理的安装程序在 OCI 上安装集群。
1.3.13. Operator 生命周期
1.3.13.1. Operator Lifecycle Manager (OLM) 1.0 (技术预览)
自 OpenShift Container Platform 4 初始发行以来,Operator Lifecycle Manager (OLM) 已包含在 OpenShift Container Platform 4 中。OpenShift Container Platform 4.14 引入了用于 OLM 的下一代迭代组件作为技术预览功能,在这个阶段称为 OLM 1.0。此更新的框架改变了很多属于以前版本的 OLM 的概念,并添加了新功能。
在 OpenShift Container Platform 4.15 中 OLM 1.0 的技术预览阶段,管理员可以探索本发行版本中添加的以下功能:
- 支持版本范围
- 您可以使用 Operator 或扩展的自定义资源 (CR) 中的比较字符串来指定版本范围。如果您在 CR 中指定版本范围,OLM 1.0 会安装或升级到可以在版本范围内解析的 Operator 的最新版本。如需更多信息,请参阅更新 Operator 和 版本范围的支持
- Catalog API 的性能改进
- Catalog API 现在使用 HTTP 服务提供集群中的目录内容。在以前的版本中,自定义资源定义 (CRD) 用于此目的。使用 HTTP 服务提供目录内容的更改可减少 Kubernetes API 服务器上的负载。如需更多信息,请参阅从目录中查找安装的 Operator。
对于 OpenShift Container Platform 4.15,适用于 OLM 1.0 的流程都是基于 CLI 的。另外,管理员也可以使用普通方法(如 Import YAML 和 Search 页面)在 web 控制台中创建和查看相关对象。但是,现有的 OperatorHub 和 Installed Operators 页面还不会显示 OLM 1.0 组件。
如需更多信息,请参阅关于 Operator Lifecycle Manager 1.0。
目前,OLM 1.0 支持符合以下条件的安装 Operator 和扩展:
-
Operator 或扩展必须使用
AllNamespaces
安装模式。 - Operator 或扩展不能使用 Webhook。
使用 Webhook 或指定命名空间集的 Operator 和扩展无法安装。
1.3.13.2. Operator 目录的弃用模式
可选的 olm.deprecations
模式定义了基于文件的目录中的 Operator 软件包、捆绑包和频道的弃用信息。Operator 作者可在 deprecations.yaml
文件中使用此模式,向从目录运行这些 Operator 的用户提供与 Operator 相关的信息,如支持状态和推荐的升级路径。安装 Operator 后,可以在相关的 Subscription
对象上查看任何指定的信息作为状态条件。
有关 olm.deprecations
模式的信息,请参阅 Operator Framework 打包格式。
1.3.14. Operator 开发
1.3.14.1. 云供应商上的 Operator 的令牌身份验证:Microsoft Entra Workload ID
在这个版本中,由 Operator Lifecycle Manager (OLM) 管理的 Operator 可以在为 Microsoft Entra Workload ID 配置的 Azure 集群上运行时支持令牌身份验证。只要 Operator 作者启用了其 Operator 支持 Microsoft Entra Workload ID,对 Cloud Credential Operator (CCO) 的更新会启用特定短期凭证的半自动化置备。
如需更多信息,请参阅使用 Azure AD Workload Identity 的 OLM 管理的 Operator 的基于 CCO 的工作流。
1.3.15. Builds
1.3.16. Machine Config Operator
1.3.16.1. 改进了节点的 MCO 状态报告(技术预览)
在这个版本中,您可以作为技术预览监控单个节点的更新。如需更多信息,请参阅检查机器配置节点状态。
1.3.17. 机器 API
1.3.17.1. 为 control plane 机器集定义 VMware vSphere 故障域(技术预览)
通过使用 vSphere 故障域资源,您可以使用 control plane 机器集在独立于主 VMware vSphere 基础架构的硬件上部署 control plane 机器。control plane 机器集帮助在定义的故障域间平衡 control plane 机器,以便为基础架构提供容错功能。
如需更多信息,请参阅 VMware vSphere 故障域配置和支持的云供应商示例。
1.3.18. 节点
1.3.18.1. /dev/fuse 设备在非特权 pod 上启用更快的构建
您可以使用 /dev/fuse
设备配置非特权 pod,以访问更快的构建。
如需更多信息,请参阅使用 /dev/fuse 访问更快的构建。
1.3.18.2. 默认启用日志链接
从 OpenShift Container Platform 4.15 开始,日志链接会被默认启用。日志链接可让您访问 pod 的容器日志。
1.3.18.3. ICSP、IDMS 和 ITMS 现在兼容
ImageContentSourcePolicy
(ICSP)、ImageDigestMirrorSet
(IDMS)和 ImageTagMirrorSet
(ITMS) 对象现在可同时在同一集群中正常工作。在以前的版本中,要使用较新的 IDMS 或 ITMS 对象,您需要删除任何 ICSP 对象。现在,您可以在安装集群后使用任意或全部三种对象来配置存储库镜像。如需更多信息,请参阅了解镜像 registry 存储库镜像。
使用 ICSP 对象配置存储库镜像是一个已弃用的功能。弃用的功能仍然包含在 OpenShift Container Platform 中,并被支持。但是,可能会在以后的发行版本中删除。由于它已被弃用,因此避免将其用于新部署。
1.3.19. 监控
此发行版本中的集群监控堆栈包括以下新功能和修改后的功能。
1.3.19.1. 监控堆栈组件和依赖项更新
此发行版本包括对集群监控堆栈组件和依赖项的以下版本更新:
- Alertmanager 更新到 0.26.0
- kube-state-metrics 更新到 2.10.1
- node-exporter 更新到 1.7.0
- Prometheus 更新到 2.48.0
- Prometheus Adapter 更新到 0.11.2
- Prometheus Operator 更新到 0.70.0
- Thanos Querier 更新到 0.32.5
1.3.19.2. 对警报规则的更改
红帽不保证记录规则或警报规则的向后兼容性。
-
现在,当使用 Precision Time Protocol (PTP)时,
NodeClockNotSynchronising
和NodeClockSkewDetected
警报规则会被禁用。
1.3.19.3. 新的 Metrics Server 组件用于访问 Metrics API (技术预览)
此发行版本引入了一个技术预览选项,可将 Metrics Server 组件添加到集群监控堆栈中。当 FeatureGate
自定义资源配置了 TechPreviewNoUpgrade
选项,会自动安装 Metrics Server 而不是 Prometheus Adapter(技术预览)。如果已安装,指标服务器会收集资源指标,并在 metrics.k8s.io
Metrics API 服务中公开它们,供其他工具和 API 使用。使用 Metrics Server 而不是 Prometheus Adapter 可释放核心平台 Prometheus 堆栈来处理此功能。如需更多信息,请参阅 Cluster Monitoring Operator 的配置映射 API 参考中的 MetricsServerConfig,以及 使用功能门启用功能。
1.3.19.4. 将 exemplar 数据发送到用户定义的项目的远程写入存储的新功能
用户定义的项目现在可以使用远程写入将 Prometheus 提取的 exemplar 数据发送到远程存储。要使用这个功能,请使用 RemoteWriteSpec
资源中的 sendExemplars
选项配置远程写入。如需更多信息,请参阅 Cluster Monitoring Operator 的配置映射 API 参考中的 RemoteWriteSpec。
1.3.19.5. 改进了用户定义的项目的警报查询
用户定义的项目中的应用程序现在可以使用 API,通过 Thanos Querier 的规则集端口查询应用程序命名空间的警报。现在,您可以构建一个查询,它使用 /api/v1/alerts
端点(通过 Thanos Querier 的端口 9093) ,提供包括一个 namespace
参数的 HTTP 请求。在以前的版本中,Thanos Querier 的规则租期端口没有提供对 /api/v1/alerts
端点的 API 访问。
1.3.19.6. Prometheus 更新为在提取时容许 jitters
监控堆栈中的默认 Prometheus 配置已更新,以便在提取时容许 jitter。对于为数据存储显示子优化块压缩的监控部署,这个更新有助于优化数据压缩,从而减少了这些部署中时间序列数据库所使用的磁盘空间。
1.3.19.7. 改进了对 kubelet 服务监控器的过时的处理
改进了对 kubelet 服务监控器的过时的处理,以确保警报和时间聚合准确。这个改进的功能默认处于活动状态,它使专用服务监控器功能过时。因此,专用服务监控器功能已被禁用,且现已弃用,并将 DedicatedServiceMonitors
资源设置为 enabled
无效。
1.3.19.8. 改进了对任务失败的报告进行故障排除的功能
现在,在监控组件中的任务失败时提供的原因更为精细,以便您可以更轻松地查明在 openshift-monitoring
命名空间中部署的组件或 openshift-user-workload-monitoring
命名空间中报告失败的原因。如果 Cluster Monitoring Operator (CMO) 报告任务失败,则会添加以下原因来识别故障的来源:
-
PlatformTasksFailed
原因表示来自openshift-monitoring
命名空间中的失败。 -
UserWorkloadTasksFailed
原因表示源自openshift-user-workload-monitoring
命名空间中的失败。
1.3.20. Network Observability Operator
Network Observability Operator 发行版本独立于 OpenShift Container Platform 次版本流的更新。更新可以通过单一的滚动流提供,该流在所有当前支持的 OpenShift Container Platform 4 版本中被支持。有关 Network Observability Operator 的新功能、功能增强和程序错误修复的信息,请参阅 Network Observability 发行注记。
1.3.21. 可伸缩性和性能
您可以将 control plane 硬件速度设置为 "Standard"
、"Slower"
或默认值(""
),允许系统决定使用哪个速度。这是一个技术预览功能。如需更多信息,请参阅为 etcd 设置调整参数。
1.3.21.1. PolicyGenTemplate CR 的 hub 端的模板
您可以使用 hub 模板在应用到受管集群的生成的策略中填充组和站点值来管理集群的配置。通过在组和站点 PolicyGenTemplate
(PGT) CR 中使用 hub 模板,您可以显著减少 hub 集群上的策略数量。如需更多信息,请参阅使用 hub 模板在组 PolicyGenTemplate CR 中指定组和站点配置。
1.3.21.2. Node Tuning Operator (NTO)
用于延迟测试的 Cloud-native Network Function (CNF) 测试镜像 cnf-tests
已被简化。新镜像有三个关于延迟的测试。测试默认运行,并需要在集群中配置性能配置集。如果没有配置性能配置集,则测试不会运行。
不建议使用以下变量:
-
ROLE_WORKER_CNF
-
NODES_SELECTOR
-
PERF_TEST_PROFILE
-
FEATURES
-
LATENCY_TEST_RUN
-
DISCOVERY_MODE
要生成 junit
报告,使用 --ginkgo.junit-report
标志替换 --junit
。
如需更多信息,请参阅为平台验证执行延迟测试。
1.3.21.3. Bare Metal Operator
对于 OpenShift Container Platform 4.15,当 Bare Metal Operator 从集群中删除了一个主机时,它还会关闭那个主机。此功能增强简化了硬件维护和管理。
1.3.22. 托管 control plane
1.3.22.1. 使用非裸机代理机器配置托管的 control plane 集群(技术预览)
在这个版本中,您可以使用非裸机代理机器置备托管的 control plane 集群。如需更多信息,请参阅使用非裸机代理机器配置托管的 control plane 集群(技术预览)。
1.3.22.2. 使用 OpenShift Container Platform 控制台创建托管集群
在这个版本中,您可以使用 OpenShift Container Platform 控制台创建带有 KubeVirt 平台的托管集群。Kubernetes Operator (MCE) 的多集群引擎启用托管集群视图。如需更多信息,请参阅使用控制台创建托管集群。
1.3.22.3. 为节点池配置额外网络、保证 CPU 和虚拟机调度
在这个版本中,您可以配置额外网络,对虚拟机(VM) 请求保证的 CPU 访问,并管理为节点池调度 KubeVirt VM。如需更多信息,请参阅为节点池配置额外网络、保证 CPU 和虚拟机调度。