Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

1.3. 新功能及功能增强

此版本对以下方面进行了改进。

1.3.1. Red Hat Enterprise Linux CoreOS (RHCOS)

1.3.1.1. RHCOS 现在使用 RHEL 9.4

现在,在 OpenShift Container Platform 4.16 中 RHCOS 使用 Red Hat Enterprise Linux (RHEL) 9.4。这些软件包可确保 OpenShift Container Platform 实例收到最新的修复、功能、增强功能、硬件支持和驱动程序更新。虽然作为一个延长更新支持 (EUS) 版本,OpenShift Container Platform 4.14 并不适用于这些变化,它将继续在整个生命周期中使用 RHEL 9.2 EUS 软件包。

1.3.1.2. 支持 iSCSI 引导卷

如果您的集群使用用户置备的基础架构,您现在可以将 RHCOS 安装到小型计算机系统接口(iSCSI)引导设备。iSCSI 的多路径也被支持。如需更多信息,请参阅在 iSCSI 引导设备上手动安装 RHCOS,以及使用 iBFT 在 iSCSI 引导设备上安装 RHCOS

1.3.1.3. 支持使用 Intel® Virtual RAID on CPU (VROC) 的 RAID 存储

在这个版本中,您可以将 RHCOS 安装到 Intel® VROC RAID 设备。有关将 RAID 配置为 Intel® VROC 设备的更多信息,请参阅在 CPU (VROC) 数据卷中配置 Intel® Virtual RAID

1.3.2. 安装和更新

1.3.2.1. 对于 AWS 安装,Cluster API 替换了 Terraform

对于 OpenShift Container Platform 4.16,在 Amazon Web Services 上安装时使用 Cluster API 而不是 Terraform 置备集群基础架构。由于这个变化,还需要一些额外的权限。如需更多信息,请参阅 IAM 用户所需的 AWS 权限

另外,对 control plane 和计算机器的 SSH 访问不再对机器网络开放,它仅限于与 control plane 和计算机器关联的安全组。

警告

在 OpenShift Container Platform 4.16 发布时,使用 Cluster API 在 Amazon Web Services (AWS) 中将集群安装到 secret 或 top-secret 区域还没有被测试。在对安装到 secret 区域进行了测试后,本文档会做相应的更新。Network Load Balancers 对 secret 或 top secret 区域中的安全组的支持存在一个已知的问题,这会导致在这些区域中安装失败。如需更多信息,请参阅 OCPBUGS-33311

1.3.2.2. 对于 VMware vSphere 安装,Cluster API 替换了 Terraform

在 OpenShift Container Platform 4.16 中,安装程序使用 Cluster API 而不是 Terraform 在 VMware vSphere 上安装时置备集群基础架构。

1.3.2.3. 对于 Nutanix 安装,Cluster API 替换了 Terraform

在 OpenShift Container Platform 4.16 中,安装程序使用 Cluster API 而不是 Terraform 在 Nutanix 上安装时置备集群基础架构。

1.3.2.4. 对于 Google Cloud Platform (GCP) 安装,Cluster API 替换了 Terraform(技术预览)

在 OpenShift Container Platform 4.16 中,安装程序使用 Cluster API 而不是 Terraform 在 GCP 上安装时置备集群基础架构。此功能在 OpenShift Container Platform 4.16 中作为技术预览提供。要启用技术预览功能,请在安装前在 install-config.yaml 文件中设置 featureSet: TechPreviewNoUpgrade 参数。另外,在安装前将以下小节添加到 install-config.yaml 文件中,以启用 Cluster API 安装,而无需任何其他技术预览功能: 

featureSet: CustomNoUpgrade
featureGates:
- ClusterAPIInstall=true

如需更多信息,请参阅可选配置参数

1.3.2.5. 使用 Assisted Installer 在 Alibaba Cloud 上安装(技术预览)

在这个版本中,OpenShift Container Platform 安装程序不再支持 Alibaba Cloud 平台上的安装程序置备的安装。您可以使用 Assisted Installer 在 Alibaba Cloud 上安装集群,它目前是一个技术预览功能。如需更多信息,请参阅在 Alibaba 云上安装

1.3.2.6. 可选的云控制器管理器集群功能

在 OpenShift Container Platform 4.16 中,您可以在安装过程中禁用云控制器管理器功能。如需更多信息,请参阅云控制器管理器功能

1.3.2.7. OpenShift Container Platform 4.16 中的 FIPS 安装要求

在这个版本中,如果安装启用了 FIPS 的集群,则必须从配置为以 FIPS 模式运行的 RHEL 9 计算机运行安装程序,且必须使用安装程序支持的 FIPS 版本。如需更多信息,请参阅 FIPS 加密的支持

1.3.2.8. VMware vSphere 的可选额外标签

在 OpenShift Container Platform 4.16 中,您可以添加最多 10 个标签来附加到 VMware vSphere 集群置备的虚拟机 (VM)。这些标签是安装程序在一个集群不再使用时用于识别和删除集群时使用的特定于集群的标签的补充。

您可以在集群创建过程中在 install-config.yaml 文件中的 VMware vSphere 虚拟机上定义标签。如需更多信息,请参阅 安装程序置备的 VMware vSphere 集群示例 install-config.yaml 文件

您可以使用机器集为现有集群上的计算或 control plane 机器定义标签。如需更多信息,请参阅为 computecontrol plane 机器集"使用机器集向机器添加标签"。

1.3.2.9. 从 OpenShift Container Platform 4.15 更新至 4.16 时所需的管理员确认

OpenShift Container Platform 4.16 使用 Kubernetes 1.29,它删除了几个已弃用的 API

集群管理员必须在从 OpenShift Container Platform 4.15 升级到 4.16 前提供手动确认。这有助于防止升级到 OpenShift Container Platform 4.16 后出现问题,防止仍然使用已删除的 API 运行工作负载、工具或于集群进行交互的组件。管理员必须针对将要删除的任何 API 评估其集群,并迁移受影响的组件,以使用适当的新 API 版本。完成此操作后,管理员可以向管理员提供确认。

所有 OpenShift Container Platform 4.15 集群都需要此管理员确认,然后才能升级到 OpenShift Container Platform 4.16。

如需更多信息,请参阅准备升级到 OpenShift Container Platform 4.16

1.3.2.10. 保护 kubeadmin 密码在控制台中显示

在这个版本中,您可以防止在安装后在控制台中显示 kubeadmin 密码,在集群创建过程中使用 --skip-password-print 标记。密码仍然可以在 auth 目录中访问。

1.3.2.11. 基于 OpenShift 的设备构建器(技术预览)

在这个版本中,提供了基于 OpenShift 的设备构建器(Appliance Builder)作为技术预览。Appliance Builder 提供了自我包含的 OpenShift Container Platform 集群安装,这意味着它不需要依赖于互联网连接或外部 registry。它是一个基于容器的实用程序,它会构建一个包含了基于代理的安装程序的磁盘镜像,然后使用它来安装多个 OpenShift Container Platform 集群。

如需更多信息,请参阅基于 OpenShift 的设备构建器用户指南

1.3.2.12. 在 AWS 的安装启用了 Bring your own IPv4 (BYOIP) 功能

在这个版本中,您可以使用 publicIpv4Pool 字段在 Amazon Web Services (AWS) 上安装时启用自己的公共 IPv4 地址 (BYOIP) 功能来分配 Elastic IP 地址 (EIPs)。您必须确保具有启用 BYOIP 所需的权限。如需更多信息,请参阅可选 AWS 配置参数

1.3.2.13. 在 Dammam (Saudi Arabia) 和 Johannesburg (South Africa) 区域部署 GCP

您可以在 Dammam、Saudi Arabia (me-central2) 区域和 Johannesburg, South Africa (africa-south1) 区域中的 Google Cloud Platform (GCP) 上部署 OpenShift Container Platform 4.16。如需更多信息,请参阅支持的 GCP 区域

1.3.2.14. 在 Google Cloud Platform (GCP) 上的 NVIDIA H100 实例类型上安装

在这个版本中,您可以在 GCP 上安装集群时,在启用了 GPU 的 NVIDIA H100 机器上部署计算节点。如需更多信息,请参阅为 GCP 测试的实例类型和 Google 文档 Accelerator-optimized machine family

1.3.3. 安装后配置

1.3.3.1. 使用 Multiarch Tuning Operator 管理多架构集群中的工作负载

在这个版本中,您可以使用 Multiarch Tuning Operator 在多架构集群中管理工作负载。此 Operator 增强了多架构集群中的操作体验,以及迁移到多架构计算配置的单架构集群。它实施 ClusterPodPlacementConfig 自定义资源(CR) 以支持架构感知的工作负载调度。

如需更多信息,请参阅使用 Multiarch Tuning Operator 在多架构集群中管理工作负载

1.3.3.2. 支持将 64 位 x86 计算机器添加到具有 64 位 ARM control plane 机器的集群中

此功能支持将 64 位 x86 计算机器添加到具有 64 位 ARM control plane 机器的多架构集群中。在这个版本中,您可以将 64 位 x86 计算机器添加到一个使用 64 位 ARM control plane 机器并且已包含了 64 位 ARM 计算机器的集群。

1.3.3.3. 支持安装带有多有效负载的基于代理的安装程序集群

此功能支持带有有效负载的基于代理的安装程序集群。在安装了带有有效负载的基于代理的安装程序集群后,您可以将具有不同架构的计算机器添加到集群中。

1.3.4. Web 控制台

1.3.4.1. 对法语和西班牙语的支持

在这个版本中,Web 控制台支持法语和西班牙语。您可以从 User Preferences 页面上的 Language 列表更新 web 控制台中的语言。

1.3.4.2. 4.16 现已弃用了 PatternFly 4

在这个版本中,Web 控制台中已弃用了 Patternfly 4 和 React Router 5。所有相关插件都应尽快迁移到 Patternfly 5 和 React Router 6。

1.3.4.3. Administrator perspective (管理员视角)

此发行版本对 web 控制台的 Administrator 视角包括以下更新:

  • 在 OperatorHub 中,为 Infrastructure features 过滤添加了 Google Cloud Platform (GCP) 令牌验证(Auth Token GCP)和一个可配置 TLS ciphers
  • 新的快速启动(模拟 system:admin 用户 ) 提供了模拟 system:admin 用户的信息。
  • 一个 pod 的最后终止状态现在可以在容器列表容器详情页中查看。
  • 现在,在不需要搜索适当的 RoleBinding 的情况下,在组详情页中进行模拟组操作
  • 您可以折叠并展开 Getting started 部分。
1.3.4.3.1. OpenShift Container Platform Web 控制台中的节点 CSR 处理

在这个版本中,OpenShift Container Platform Web 控制台支持节点证书签名请求 (CSR)。

1.3.4.3.2. 跨存储类克隆和恢复

在这个版本中,可以在完成克隆或恢复操作时从同一供应商中选择一个存储类。用户可以在有不同副本数的存储类之间进行无缝转换。例如,从具有 3 个副本的存储类移到 2/1 副本。

1.3.4.4. Developer Perspective (开发者视角)

此发行版本在 web 控制台的 Developer 视角包括以下更新:

  • 搜索时,搜索页的资源列表中有一个新的部分,它显示了当前搜索的项目,并按搜索的顺序排序。
1.3.4.4.1. 控制台 Telemetry

在这个版本中,如果启用了集群遥测,则可以使用匿名用户分析功能。这是大多数集群的默认设置,它为红帽提供了如何使用 Web 控制台的指标。集群管理员可以在每个集群中更新它,选择“选择使用(opt-in)“、”选择不使用(opt-out)“或“禁用(disable)”前端遥测。

1.3.5. OpenShift CLI (oc)

1.3.5.1. oc-mirror 插件 v2 (技术预览)

OpenShift Container Platform 的 oc-mirror 插件 v2 包括了一些新的功能,它改进了对 Operator 镜像和其他 OpenShift Container Platform 内容的镜像(mirror)过程。

以下是 oc-mirror 插件 v2 中的主要改进和功能:

  • 自动生成 IDMS 和 ITMS 对象

    oc-mirror 插件 v2 在每次运行后会自动生成 ImageDigestMirrorSet (IDMS)和 ImageTagMirrorSet (ITMS)对象的完整列表。这些对象替换了 oc-mirror 插件 v1 中使用的 ImageContentSourcePolicy (ICSP)。现在,用户无需手动合并和清理操作器镜像,确保包含所有必要的镜像。

  • CatalogSource 对象

    CatalogSource 对象创建,其中插件现在为所有相关目录索引生成 CatalogSource 对象,以便将 oc-mirror 的输出工件应用到断开连接的集群的应用程序。

  • 改进了验证过程

    oc-mirror 插件 v2 会验证镜像设置配置中指定的完整镜像集是否已镜像到 registry,无论在之前相关的镜像是否已被镜像 (mirror)。这样可确保全面可靠的镜像。

  • 缓存系统

    新的缓存系统替换了元数据,它通过仅将新镜像合并到存档中来维持最小的归档。这会优化存储并提高性能。

  • 按日期有选择地进行镜像

    现在,用户可以根据镜像日期生成镜像存档,从而可以实现有选择地包括新的镜像(image)。

  • 增强的镜像删除控制

    Delete 功能的引入可替换自动修剪功能,为用户提供对镜像删除更大的控制。

  • 支持 registry.conf

    oc-mirror 插件 v2 支持 registry.conf 文件,它有助于使用相同的缓存镜像到多个 enclaves。这提高了管理已镜像的镜像 (image) 的灵活性和效率。

  • Operator 版本过滤

    用户可以根据捆绑包名称过滤 Operator 版本,从而更加精确地控制镜像流程中包含的版本。

oc-mirror v1 和 v2 之间的区别

虽然 oc-mirror 插件 v2 提供了很多改进,但 oc-mirror 插件 v1 中的一些功能还没有被包括 oc-mirror 插件 v2 中。

  • Helm Charts:oc-mirror 插件 v2 中不包括 Helm chart。
  • ImageSetConfig v1alpha2: API 版本 v1alpha2 不可用,用户必须更新到 v2alpha1
  • 存储元数据 (storageConfig): oc-mirror 插件 v2 ImageSetConfiguration 没有使用存储元数据。
  • 自动修剪 :在 oc-mirror 插件 v2 中被新的 Delete 功能替代。
  • 发行版本签名:发行版本签名不会在 oc-mirror 插件 v2 中生成。
  • 一些命令:oc-mirror 插件 v2 中没有提供 initlistdescribe 命令。

使用 oc-mirror 插件 v2

要使用 oc-mirror 插件 v2,在 oc-mirror 命令行中使用 --v2 标志。

oc-mirror OpenShift CLI (oc)插件用于将所有所需的 OpenShift Container Platform 内容和其他镜像(image)镜像到您的镜像 (mirror) registry,简化了断开连接的集群的维护。

1.3.5.2. oc adm upgrade status 命令简介(技术预览)

在以前的版本中,oc adm upgrade 命令提供有关集群更新状态的有限信息。此发行版本添加了 oc adm upgrade status 命令,该命令与 oc adm upgrade 命令分离状态信息,并提供有关集群更新的特定信息,包括 control plane 和 worker 节点更新的状态。

1.3.5.3. 对重复的资源短名称的警告

在这个版本中,当您使用短名称查询资源时,如果集群中存在多个具有相同短名称的自定义资源定义 (CRD),OpenShift CLI (oc) 会返回一个警告。

警告示例

Warning: short name "ex" could also match lower priority resource examples.test.com

1.3.5.4. 删除资源时需要确认的新标志(技术预览)

此发行版本为 oc delete 命令引入了一个新的 --interactive 标志。当 --interactive 标志被设置为 true 时,只有在用户确认删除时才会删除该资源。这个标志作为技术预览提供。

1.3.6. IBM Z 和 IBM LinuxONE

在这个版本中,IBM Z® 和 IBM® LinuxONE 与 OpenShift Container Platform 4.16 兼容。您可以使用 z/VM、LPAR 或 Red Hat Enterprise Linux (RHEL) 基于内核的虚拟机 (KVM) 执行安装。有关安装说明,请参阅准备在 IBM Z 和 IBM LinuxONE 上安装

重要

Compute 节点必须运行 Red Hat Enterprise Linux CoreOS (RHCOS)。

1.3.6.1. IBM Z 和 IBM LinuxONE 主要改进

OpenShift Container Platform 4.16 上的 IBM Z® 和 IBM® LinuxONE 发行版本为 OpenShift Container Platform 组件和概念提供了改进和新功能。

此发行版本引进了对 IBM Z® 和 IBM® LinuxONE 中的以下功能的支持:

  • 基于代理的 RHEL KVM 安装程序 ISO 引导
  • Ingress Node Firewall Operator
  • LPAR 中的多架构计算机器
  • z/VM 和 LPAR 的安全引导

1.3.7. IBM Power

IBM Power® 现在与 OpenShift Container Platform 4.16 兼容。有关安装说明,请参阅以下文档:

重要

Compute 节点必须运行 Red Hat Enterprise Linux CoreOS (RHCOS)。

1.3.7.1. IBM Power 主要改进

OpenShift Container Platform 4.16 上的 IBM Power® 版本为 OpenShift Container Platform 组件添加了改进和新功能。

此发行版本引进了对 IBM Power® 的以下功能的支持:

  • CPU Manager
  • Ingress Node Firewall Operator

1.3.7.2. IBM Power、IBM Z 和 IBM LinuxONE 支持列表

从 OpenShift Container Platform 4.14 开始,延长更新支持 (EUS) 已扩展到 IBM Power® 和 IBM Z® 平台。如需更多信息,请参阅 OpenShift EUS 概述

表 1.1. OpenShift Container Platform 功能
功能IBM Power®IBM Z® 和 IBM® LinuxONE

备用身份验证供应商

支持

支持

基于代理的安装程序

支持

支持

支持的安装程序

支持

支持

使用 Local Storage Operator 自动设备发现

不支持

支持

使用机器健康检查功能自动修复损坏的机器

不支持

不支持

IBM Cloud® 的云控制器管理器。

支持

不支持

在节点上控制过量使用和管理容器密度

不支持

不支持

Cron 作业

支持

支持

Descheduler

支持

支持

Egress IP

支持

支持

加密数据存储在 etcd 中

支持

支持

FIPS 加密

支持

支持

Helm

支持

支持

Pod 横向自动扩展

支持

支持

托管 control plane(技术预览)

支持

支持

IBM 安全执行

不支持

支持

IBM Power® Virtual Server 的安装程序置备的基础架构支持

支持

不支持

在单一节点上安装

支持

支持

IPv6

支持

支持

用户定义项目的监控

支持

支持

多架构计算节点

支持

支持

多架构 control plane

支持

支持

多路径(Multipathing)

支持

支持

网络绑定磁盘加密 - 外部 Tang 服务器

支持

支持

Non-volatile memory express drives (NVMe)

支持

不支持

NX-gzip for Power10 (硬件加速)

支持

不支持

oc-mirror 插件

支持

支持

OpenShift CLI (oc) 插件

支持

支持

Operator API

支持

支持

OpenShift Virtualization

不支持

不支持

OVN-Kubernetes,包括 IPsec 加密

支持

支持

PodDisruptionBudget

支持

支持

精度时间协议 (PTP) 硬件

不支持

不支持

Red Hat OpenShift Local

不支持

不支持

Scheduler 配置集

支持

支持

安全引导

不支持

支持

流控制传输协议 (SCTP)

支持

支持

支持多个网络接口

支持

支持

openshift-install 工具支持 IBM Power® 上的各种 SMT 级别 (Hardware Acceleration)

支持

支持

三节点集群支持

支持

支持

拓扑管理器

支持

不支持

SCSI 磁盘中的 z/VM 模拟 FBA 设备

不支持

支持

4K FCP 块设备

支持

支持

表 1.2. 持久性存储选项
功能IBM Power®IBM Z® 和 IBM® LinuxONE

使用 iSCSI 的持久性存储

支持 [1]

支持 [1],[2]

使用本地卷 (LSO) 的持久性存储

支持 [1]

支持 [1],[2]

使用 hostPath 的持久性存储

支持 [1]

支持 [1],[2]

使用 Fibre Channel 持久性存储

支持 [1]

支持 [1],[2]

使用 Raw Block 的持久性存储

支持 [1]

支持 [1],[2]

使用 EDEV/FBA 的持久性存储

支持 [1]

支持 [1],[2]

  1. 必须使用 Red Hat OpenShift Data Foundation 或其他支持的存储协议来置备持久性共享存储。
  2. 必须使用本地存储(如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO)来置备持久性非共享存储。
表 1.3. Operator
功能IBM Power®IBM Z® 和 IBM® LinuxONE

cert-manager Operator for Red Hat OpenShift

支持

支持

Cluster Logging Operator

支持

支持

Cluster Resource Override Operator

支持

支持

Compliance Operator

支持

支持

Cost Management Metrics Operator

支持

支持

File Integrity Operator

支持

支持

HyperShift Operator

技术预览

技术预览

IBM Power® Virtual Server Block CSI Driver Operator

支持

不支持

Ingress Node Firewall Operator

支持

支持

Local Storage Operator

支持

支持

MetalLB Operator

支持

支持

Network Observability Operator

支持

支持

NFD Operator

支持

支持

NMState Operator

支持

支持

OpenShift Elasticsearch Operator

支持

支持

Vertical Pod Autoscaler Operator

支持

支持

表 1.4. Multus CNI 插件
功能IBM Power®IBM Z® 和 IBM® LinuxONE

Bridge

支持

支持

Host-device

支持

支持

IPAM

支持

支持

IPVLAN

支持

支持

表 1.5. CSI 卷
功能IBM Power®IBM Z® 和 IBM® LinuxONE

克隆

支持

支持

扩展

支持

支持

Snapshot

支持

支持

1.3.8. 认证和授权

1.3.8.1. 在现有集群中启用 Microsoft Entra Workload ID

在此发行版本中,您可以启用 Microsoft Entra Workload ID,以便在现有 Microsoft Azure OpenShift Container Platform 集群上使用简短凭证。此功能现在在 OpenShift Container Platform 的 4.14 和 4.15 版本中被支持。如需更多信息,请参阅启用基于令牌的身份验证

1.3.9. 网络

1.3.9.1. OpenShift SDN 网络插件会阻止将来的主要升级

作为 OpenShift Container Platform 过渡到 OVN-Kubernetes 是其唯一支持的网络插件的转换过程的一部分,从 OpenShift Container Platform 4.16 开始,如果集群使用 OpenShift SDN 网络插件,在没有将其迁移到 OVN-Kubernetes 的情况下,您无法将系统升级到以后的 OpenShift Container Platform 主版本。有关迁移到 OVN-Kubernetes 的更多信息,请参阅从 OpenShift SDN 网络插件迁移

如果尝试升级,Cluster Network Operator 会报告以下状态: 

- lastTransitionTime: "2024-04-11T05:54:37Z"
  message: Cluster is configured with OpenShiftSDN, which is not supported in the
    next version. Please follow the documented steps to migrate from OpenShiftSDN
    to OVN-Kubernetes in order to be able to upgrade. https://docs.openshift.com/container-platform/4.16/networking/ovn_kubernetes_network_provider/migrate-from-openshift-sdn.html
  reason: OpenShiftSDNConfigured
  status: "False"
  type: Upgradeable

1.3.9.2. Dual-NIC Intel E810 Westport Channel 作为 PTP grandmaster clock (GA)

linuxptp 服务配置为使用 Dual-NIC Intel E810 Westport Channel 网络接口控制器 (NIC) 作为 grandmaster clock (T-GM) 现在在 OpenShift Container Platform 中是一个正式发布(GA)功能。主机系统时钟从连接到 Global Navigation Satellite Systems (GNSS) 时间源的 NIC 同步。第二个 NIC 同步到由连接到 GNSS 的 NIC 提供的 1PPS 时间输出。如需更多信息,请参阅将 linuxptp 服务配置为双 E810 Westport Channel NIC 的 grandmaster 时钟

1.3.9.3. 带有高可用性系统时钟的 Dual-NIC Intel E810 PTP 边界时钟(GA)

您可以将 linuxptp 服务 ptp4lphc2sys 配置为双 PTP 边界时钟 (T-BC) 的高可用性 (HA) 系统时钟。

如需更多信息,请参阅 将 linuxptp 配置为 dual-NIC Intel E810 PTP 边界时钟的高可用性系统时钟

1.3.9.4. 配置 pod 放置以检查网络连接

要定期测试集群组件之间的网络连接,Cluster Network Operator (CNO) 会创建 network-check-source 部署以及 network-check-target 守护进程集。在 OpenShift Container Platform 4.16 中,您可以通过设置节点选择器并运行源和目标 pod 来检查网络连接来配置节点。如需更多信息,请参阅验证到端点的连接

1.3.9.5. 为一个网络安全组 (NSG) 规则定义多个 CIDR 块

在这个版本中,在 Microsoft Azure 上托管的 OpenShift Container Platform 集群的 NSG 中更有效地处理 IP 地址和范围。因此,对于 Microsoft Azure 集群中的所有 Ingress 控制器的最大 CIDR 限制(使用 allowedSourceRanges 字段定义)从大约 1000 个增加到 4000 个 CIDR。

1.3.9.6. 在 Nutanix 平台上,从 OpenShift SDN 迁移到 OVN-Kubernetes

在这个版本中,支持在 Nutanix 平台上从 OpenShift SDN 网络插件迁移到 OVN-Kubernetes。如需更多信息,请参阅迁移到 OVN-Kubernetes 网络插件

1.3.9.7. 改进了 CoreDNS 和出口防火墙之间的集成(技术预览)

在这个版本中,OVN-Kubernetes 使用新的 DNSNameResolver 自定义资源来跟踪出口防火墙规则中的 DNS 记录,并作为技术预览提供。此自定义资源支持同时使用通配符 DNS 名称和常规 DNS 名称,并允许访问 DNS 名称,无论与其更改相关联的 IP 地址是什么。

如需更多信息,请参阅增强 DNS 解析和解析通配符域名

1.3.9.8. SR-IOV 网络策略更新过程中并行节点排空

在这个版本中,您可以将 SR-IOV Network Operator 配置为在网络策略更新过程中并行排空节点。并行排空节点的选项可以更快地推出 SR-IOV 网络配置。您可以使用 SriovNetworkPoolConfig 自定义资源配置并行节点排空,并在 Operator 可以并行排空池中定义最大节点数量。

如需更多信息,请参阅在 SR-IOV 网络策略更新过程中配置并行节点排空

1.3.9.9. SR-IOV Network Operator 不再自动创建 SriovOperatorConfig CR

自 OpenShift Container Platform 4.16 起,SR-IOV Network Operator 不再自动创建一个 SriovOperatorConfig 自定义资源 (CR)。使用 配置 SR-IOV Network Operator中的步骤创建 SriovOperatorConfig CR

1.3.9.10. 支持双标记数据包 (QinQ)

此发行版本引入了 802.1Q-in-802.1Q,也称为 QinQ 支持。QinQ 引入了第二个 VLAN 标签,其中服务提供商为其使用指定外部标签,提供它们的灵活性,而内部标签则保留给客户的 VLAN 专用。当数据包中存在两个 VLAN 标签时,外部 VLAN 标签可以是 802.1Q 或 802.1ad。内部 VLAN 标签必须始终是 802.1Q。

如需更多信息,请参阅为启用 SR-IOV 的工作负载配置 QinQ 支持

1.3.9.11. 为内部基础架构配置用户管理的负载均衡器

在这个版本中,您可以在任何内部基础架构上配置 OpenShift Container Platform 集群,如裸机、VMware vSphere、Red Hat OpenStack Platform (RHOSP) 或 Nutanix,以使用用户管理的负载均衡器来代替默认负载均衡器。对于此配置,您必须在集群的 install-config.yaml 文件中指定 loadBalancer.type: UserManaged

有关裸机基础架构上此功能的更多信息,请参阅为 OpenShift 安装设置环境 中的服务中的为用户管理的负载均衡器的服务

1.3.9.12. 检测和警告 iptables

在这个版本中,如果您使用 iptables 规则的集群中 pod,会发出以下事件信息来警告将来的弃用: 

This pod appears to have created one or more iptables rules. IPTables is deprecated and will no longer be available in RHEL 10 and later. You should consider migrating to another API such as nftables or eBPF.

如需更多信息,请参阅开始使用 nftables。如果您正在运行第三方软件,请检查您的厂商以确保它们很快提供基于 nftables 的版本。

1.3.9.13. OpenShift Container Platform 服务的 Ingress 网络流

在这个版本中,您可以查看 OpenShift Container Platform 服务的入口网络流。您可以使用这些信息来管理网络的入口流量,并提高网络安全性。

如需更多信息,请参阅 OpenShift Container Platform 网络流列表

1.3.9.14. 修补现有的双栈网络

在这个版本中,您可以通过修补集群基础架构,将 API 和 Ingress 服务的 IPv6 虚拟 IP (VIP) 添加到现有的双栈集群中。

如果您已经将集群升级到 OpenShift Container Platform 4.16,且您需要将单堆栈集群网络转换为双栈集群网络,则必须在 YAML 配置补丁文件中为集群指定以下内容:

  • 第一个 machineNetwork 配置中 API 和 Ingress 服务的 IPv4 网络。
  • 第二个 machineNetwork 配置中的 API 和 Ingress 服务的 IPv6 网络。

如需更多信息,请参阅转换到 IPv4/IPv6 双栈网络中的转换为双栈网络

1.3.9.15. MetalLB 和 FRR-K8s 集成(技术预览)

此发行版本引进了 FRR-K8s,它是基于 Kubernetes 的 DaemonSet,它以兼容 Kubernetes 的方式公开 FRR API 的子集。作为集群管理员,您可以使用 FRRConfiguration 自定义资源 (CR) 将 MetalLB Operator 配置为使用 FRR-K8s 守护进程集作为后端。您可以使用它来运行 FRR 服务,如接收路由。

如需更多信息,请参阅配置 MetalLB 和 FRR-K8s 的集成

1.3.9.16. 使用外部受管证书创建路由(技术预览)

在这个版本中,OpenShift Container Platform 路由可以使用第三方证书管理解决方案来配置,使用路由 API 中的 .spec.tls.externalCertificate 字段。这可让您通过 secret 引用外部管理的 TLS 证书,通过消除手动证书管理来简化流程。通过使用外部受管证书,您可以减少错误,确保证书更新过程,并使 OpenShift 路由器能够及时提供更新的证书。如需更多信息,请参阅使用外部管理的证书创建路由。

1.3.9.17. AdminNetworkPolicy 已正式发布

此功能提供两个新的 API,即 AdminNetworkPolicy (ANP) 和 BaselineAdminNetworkPolicy (BANP)。在创建命名空间前,集群管理员可以使用 ANP 和 BANP 应用集群范围的网络策略并保护整个集群。由于它是集群范围的,因此 ANP 提供了一种解决方案,以便大规模管理其网络的安全性,而无需在每个命名空间中复制其网络策略。

如需更多信息,请参阅 网络安全 中的 AdminNetworkPolicy

1.3.9.18. 有限实时迁移到 OVN-Kubernetes 网络插件

在以前的版本中,当从 OpenShift SDN 迁移到 OVN-Kubernetes 时,唯一可用的选项是离线迁移方法。这个过程包括一些停机时间,在此期间集群无法访问。

此发行版本引入了一个有限的实时迁移方法。有限的实时迁移方法是在不中断服务的情况下将 OpenShift SDN 网络插件及其网络配置、连接和相关资源迁移到 OVN-Kubernetes 网络插件的过程。它可用于 OpenShift Container Platform。它不适用于托管 control plane 部署类型。这个迁移方法对于需要持续服务可用性的部署类型非常重要,并具有以下优点:

  • 持续服务可用性
  • 最小化停机时间
  • 自动节点重新引导
  • 从 OpenShift SDN 网络插件无缝过渡到 OVN-Kubernetes 网络插件

迁移到 OVN-Kubernetes 是一个单向过程。

如需更多信息,请参阅有限实时迁移到 OVN-Kubernetes 网络插件概述

1.3.9.19. 使用 Whereabouts 进行多租户网络的重叠 IP 配置

在以前的版本中,无法配置相同的 CIDR 范围两次,并让 Whereabouts CNI 插件单独分配 IP 地址。这个限制会导致在多租户环境中出现问题,不同的组可能需要选择重叠的 CIDR 范围。

在这个版本中,Whereabouts CNI 插件通过包含 network_name 参数来支持重叠的 IP 地址范围。管理员可以使用 network_name 参数在单独的 NetworkAttachmentDefinition 中多次配置相同的 CIDR 范围,这样可为每个范围启用独立的 IP 地址分配。

此功能还包括增强的命名空间处理,在适当的命名空间中存储 IPPool 自定义资源 (CR),并在 Multus 允许时支持跨命名空间。这些改进在多租户环境中提供更大的灵活性和管理功能。

有关此功能的更多信息,请参阅使用 Whereabouts 进行动态 IP 地址分配配置

1.3.9.20. 支持更改 OVN-Kubernetes 网络插件内部 IP 地址范围

如果使用 OVN-Kubernetes 网络插件,您可以配置传输、加入和伪装子网。可以在集群安装过程中或之后配置传输、加入和伪装子网。子网默认值为:

  • Transit 子网:100.88.0.0/16fd97::/64
  • Join 子网:100.64.0.0/16fd98::/64
  • Masquerade 子网:169.254.169.0/29fd69::/125

有关这些配置字段的更多信息,请参阅 Cluster Network Operator 配置对象。有关在现有集群中配置传输和加入子网的更多信息,请参阅配置 OVN-Kubernetes 内部 IP 地址子网。

1.3.9.21. IPsec 遥测

Telemetry 和 Insights Operator 会在 IPsec 连接上收集遥测功能。如需更多信息,请参阅显示 Telemetry 收集的数据

1.3.10. Storage

1.3.10.1. HashiCorp Vault 现在可用于 Secrets Store CSI Driver Operator (技术预览)

现在,您可以使用 Secrets Store CSI Driver Operator 将 secret 从 HashiCorp Vault 挂载到 OpenShift Container Platform 中的 Container Storage Interface (CSI) 卷。Secrets Store CSI Driver Operator 作为技术预览提供。

有关可用机密存储提供程序的完整列表,请参阅 Secret 存储提供程序

有关使用 Secrets Store CSI Driver Operator 从 HashiCorp Vault 挂载 secret 的详情,请参阅从 HashiCorp Vault 挂载 secret

1.3.10.2. Microsoft Azure File 支持的卷克隆(技术预览)

OpenShift Container Platform 4.16 引入了 Microsoft Azure File Container Storage Interface (CSI) Driver Operator 的卷克隆作为技术预览功能。卷克隆会复制现有的持久性卷 (PV),以帮助防止 OpenShift Container Platform 中的数据丢失。您还可以像使用任何标准卷一样使用卷克隆。

如需更多信息,请参阅 Azure File CSI Driver OperatorCSI 卷克隆

1.3.10.3. 节点扩展 Secret 已正式发布

节点扩展 Secret 功能允许集群扩展挂载卷的存储,即使访问这些卷也需要 secret (例如,用于访问存储区域网络 (SAN) fabric)的凭证来执行节点扩展操作。OpenShift Container Platform 4.16 正式发布(GA) 支持此功能。

1.3.10.4. 更改 vSphere CSI 最大快照数已正式发布

VMware vSphere Container Storage Interface (CSI) 中的默认最大快照数是每个卷 3 个。在 OpenShift Container Platform 4.16 中,您可以将这个最大快照数量改为每个卷最多 32 个。您还可以精细控制 vSAN 和虚拟磁盘数据存储的最大快照数量。OpenShift Container Platform 4.16 正式发布(GA) 支持此功能。

如需更多信息,请参阅更改 vSphere 的最大快照数

1.3.10.5. 持久性卷最后一个阶段转换时间参数(技术预览)

在 OpenShift Container Platform 4.16 中,引入了一个新的参数 LastPhaseTransitionTime,它有一个时间戳,每次持久性卷 (PV) 转换为不同的阶段 (pv.Status.Phase) 时都会更新。此功能以技术预览状态发布。

1.3.10.6. 使用 CIFS/SMB CSI Driver Operator 的持久性存储(技术预览)

OpenShift Container Platform 能够置备持久性卷 (PV),它带有一个用于通用互联网文件系统(CIFS) dialect/Server Message Block (SMB)协议的 Container Storage Interface (CSI) 驱动程序。管理此驱动程序的 CIFS/SMB CSI Driver Operator 处于技术预览状态。

如需更多信息,请参阅 CIFS/SMB CSI Driver Operator

1.3.10.7. 带有 SELinux 上下文挂载的 RWOP 已正式发布

OpenShift Container Platform 4.14 引入了一个新的访问模式,它带有技术预览状态用于持久性卷 (PV) 和持久性卷声明 (PVC),名为 ReadWriteOncePod (RWOP)。RWOP 只能在单个节点上的单个 pod 中使用,这与现有的 ReadWriteOnce 访问模式不同,一个 PV 或 PVC 可以被多个 pod 可以在一个单个节点上使用。如果驱动程序启用它,RWOP 将使用 PodSpec 或容器中设置的 SELinux 上下文挂载,它允许驱动程序使用正确的 SELinux 标签直接挂载卷。这消除了递归重新标记卷的需求,pod 启动可能会显著提高。

在 OpenShift Container Platform 4.16 中,此功能已正式发布。

如需更多信息,请参阅访问模式

1.3.10.8. vSphere CSI Driver 3.1 更新了 CSI 拓扑要求

要在多区集群中支持 VMware vSphere Container Storage Interface (CSI) 卷置备和使用,部署应该与 CSI 驱动程序施加的某些要求匹配。这些要求已从 3.1.0 开始改变,虽然 OpenShift Container Platform 4.16 接受旧的和新的标记方法,但您应该使用新的标记方法,因为 VMware vSphere 认为旧的方式是无效的配置。要防止问题,您不应该使用旧的标记方法。

如需更多信息,请参阅 vSphere CSI 拓扑要求

1.3.10.9. 支持配置 thick-provisioned 存储

此功能为配置厚置备的存储提供支持。如果您在 LVMCluster 自定义资源 (CR) 中排除了 deviceClasses.thinPoolConfig 字段,逻辑卷将是厚置备的。使用厚置备(thick-provisioned)存储有以下限制:

  • 不支持卷克隆。
  • 不支持 VolumeSnapshotClass。因此,不支持 CSI 快照。
  • 不支持过度配置。因此,置备的 PVC 容量会立即从卷组中减少。
  • 不支持精简指标。厚置备的设备只支持卷组指标。

有关配置 LVMCluster CR 的详情,请参考关于 LVMCluster 自定义资源

1.3.10.10. 当 LVMCluster 自定义资源中没有配置设备选择器时,支持新的警告信息

当您没有在 LVMCluster 自定义资源 (CR) 中配置 deviceSelector 字段时,这个版本提供了一个新的警告信息。

LVMCluster CR 支持一个新的字段 deviceDiscoveryPolicy,它表示是否配置了 deviceSelector 字段。如果没有配置 deviceSelector 字段,LVM Storage 会自动将 deviceDiscoveryPolicy 字段设置为 RuntimeDynamic。否则,deviceDiscoveryPolicy 字段被设置为 Preconfigured

不建议从 LMVCluster CR 中排除 deviceSelector 字段。有关不配置 deviceSelector 字段的限制的更多信息,请参阅关于在卷组中添加设备

1.3.10.11. 支持向卷组添加加密设备

此功能支持将加密设备添加到卷组。您可以在 OpenShift Container Platform 安装过程中在集群节点上启用磁盘加密。加密设备后,您可以在 LVMCluster 自定义资源的 deviceSelector 字段中指定 LUKS 加密设备的路径。有关磁盘加密的详情,请参阅关于磁盘加密配置磁盘加密和镜像

有关向卷组添加设备的更多信息,请参阅关于在卷组中添加设备

1.3.11. Operator 生命周期

1.3.11.1. Operator API 重命名为 ClusterExtension (技术预览)

Operator Lifecycle Manager (OLM) 1.0 的早期技术预览阶段引入了一个新的 Operator API,由 Operator Controller 组件以 operator.operators.operatorframework.io 提供。在 OpenShift Container Platform 4.16 中,这个 API 被重命名为 ClusterExtension,作为 OLM 1.0 技术预览阶段的一部分,以 clusterextension.olm.operatorframework.io 提供。

此 API 简化了对安装的扩展进行管理的过程,它包括了以 registry+v1 捆绑包格式提供的 Operator,可以将面向用户的 API 整合到一个单一对象中。重命名为 ClusterExtension 的目的是:

  • 更准确地反映了扩展集群功能的简化功能
  • 准确地代表了一个更灵活的打包格式
  • Cluster 前缀明确表示 ClusterExtension 对象是集群范围的。这与旧的 OLM 不同,其中 Operator 可以是命名空间范围的或集群范围的

如需更多信息,请参阅 Operator Controller

重要

OLM 1.0 不支持依赖项解析。如果扩展为其他 API 或软件包声明依赖关系,在尝试安装扩展前,集群中必须存在依赖项。

目前,OLM 1.0 支持安装满足以下条件的扩展:

  • 扩展必须使用 AllNamespaces 安装模式。
  • 扩展不能使用 Webhook。

使用 Webhook 或以单个或指定命名空间集合的集群扩展无法安装。

1.3.11.2. 改进了 Operator Lifecycle Manager (OLM) 1.0 中集群扩展的状态条件消息和弃用通知(技术预览)

在这个版本中,OLM 1.0 显示已安装集群扩展的以下状态条件信息:

  • 特定的捆绑包名称
  • 已安装的版本
  • 改进了健康报告
  • 软件包、频道和捆绑包的弃用通知

1.3.11.3. 支持 OLM 1.0 中的旧 OLM 升级边缘(技术预览)

在为已安装的集群扩展决定升级边缘时,Operator Lifecycle Manager (OLM) 1.0 支持从 OpenShift Container Platform 4.16 开始的传统 OLM 语义。这个支持遵循旧的 OLM 的行为,包括 replaces, skips, 和 skipRange 指令,但会有一些区别。

通过支持传统的 OLM 语义,OLM 1.0 现在可以准确地处理来自目录中的升级图表。

注意

OpenShift Container Platform 4.15 中引入了对语义版本 (semver) 升级限制的支持,但在 4.16 中被禁用,它在技术预览阶段使用传统的 OLM 语义。

如需更多信息,请参阅升级约束语义

1.3.12. Builds

1.3.12.1. 未经身份验证的用户已从 system:webhook 角色绑定中删除

在这个版本中,未经身份验证的用户不再能够访问 system:webhook 角色绑定。在 OpenShift Container Platform 4.16 之前,未经身份验证的用户可以访问 system:webhook 角色绑定。对于未经身份验证的用户,更改此访问权限会添加额外的安全层,并仅在需要时由用户启用。这个变化适用于新集群,以前的集群不受影响。

在有些用例中,您可能希望允许未经身份验证的用户特定命名空间的 system:webhook 角色绑定。system:webhook 集群角色允许用户触发不使用 OpenShift Container Platform 身份验证机制的外部系统的构建,如 GitHub、GitLab 和 Bitbucket。集群管理员可以授予未经身份验证的用户访问 system:webhook 角色绑定,以便于这个用例。

重要

在修改未经身份验证的访问时,始终验证符合您机构的安全标准。

要授予未经身份验证的用户访问特定命名空间中的 system:webhook 角色绑定,请参阅将未经身份验证的用户添加到 system:webhook 角色绑定

1.3.13. Machine Config Operator

1.3.13.1. 未使用的渲染机器配置的垃圾回收

在这个版本中,您可以垃圾回收未使用的渲染机器配置。通过使用 oc adm prune renderedmachineconfigs 命令,您可以查看未使用的渲染机器配置,决定要删除的机器配置,然后批量删除您不再需要的渲染机器配置。具有太多机器配置可能会导致机器配置混淆,并有助于提高磁盘空间和性能问题。如需更多信息,请参阅管理未使用的渲染的机器配置

1.3.13.2. 节点中断策略(技术预览)

默认情况下,当您对 MachineConfig 对象中的参数进行某些更改时,Machine Config Operator (MCO) 会排空并重启与该机器配置关联的节点。但是,您可以在 MCO 命名空间中创建节点中断策略,该策略定义了一组 Ignition 配置对象更改,这些配置对象对工作负载只需要少或不会中断。如需更多信息,请参阅使用节点中断策略来最大程度降低机器配置变化的中断

1.3.13.3. 集群 RHCOS 镜像分层(技术预览)

使用 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层,您现在可以直接在集群中自动构建自定义分层镜像,作为技术预览功能。在以前的版本中,您需要在集群之外构建自定义分层镜像,然后将镜像拉取到集群中。您可以通过将额外镜像分层到基础镜像,使用镜像层功能来扩展基本 RHCOS 镜像的功能。如需更多信息,请参阅 RHCOS 镜像分层

1.3.13.4. 更新引导镜像(技术预览)

默认情况下,MCO 不会删除用来启动 Red Hat Enterprise Linux CoreOS (RHCOS) 节点的引导镜像。因此,集群中的引导镜像不会随集群一起更新。现在,您可以将集群配置为在更新集群时更新引导镜像。如需更多信息,请参阅更新引导镜像

1.3.14. 机器管理

1.3.14.1. 为集群自动扩展配置扩展器

在这个版本中,集群自动扩展可以使用 LeastWastePriorityRandom 展开器。您可以配置这些扩展器,以便在扩展集群时影响机器集的选择。如需更多信息,请参阅配置集群自动扩展

1.3.14.2. 使用 VMware vSphere 的集群 API 管理机器(技术预览)

此发行版本引入了使用上游 Cluster API (集成到 OpenShift Container Platform)作为 VMware vSphere 集群的技术预览来管理机器的功能。这个功能是使用 Machine API 管理机器的补充或替代功能。如需更多信息,请参阅关于集群 API

1.3.14.3. 为 control plane 机器集定义 vSphere 故障域

在这个版本中,为 control plane 机器集定义 vSphere 故障域的以前技术预览功能正式发布。如需更多信息,请参阅 VMware vSphere 的 Control plane 配置选项

1.3.15. 节点

1.3.15.1. 移动 Vertical Pod Autoscaler Operator pod

Vertical Pod Autoscaler Operator (VPA)由三个组件组成:推荐器(recommender)、更新器(updater)和准入控制器(admission controller)。Operator 和每个组件在 control plane 节点上的 VPA 命名空间中都有自己的 pod。您可以将 VPA Operator 和组件 pod 移到基础架构或 worker 节点。如需更多信息,请参阅 Moving Vertical Pod Autoscaler Operator 组件

1.3.15.2. must-gather 收集的附加信息

在这个版本中,oc adm must-gather 命令收集以下附加信息:

  • OpenShift CLI (oc) 二进制版本
  • must-gather 日志

这些添加新信息有助于识别使用特定版本的 oc 的问题。oc adm must-gather 命令还会列出使用的镜像,以及没有在 must-gather 日志中收集的数据。

如需更多信息,请参阅关于 must-gather 工具

1.3.15.3. 编辑 BareMetalHost 资源

在 OpenShift Container Platform 4.16 及更高版本中,您可以编辑裸机节点的 BareMetalHost 资源中的基板管理控制器(BMC) 地址。节点必须处于 Provisioned, ExternallyProvisioned, Registering, 或 Available 状态。编辑 BareMetalHost 资源中的 BMC 地址不会取消置备节点。如需了解更多详细信息,请参阅编辑 BareMetalHost 资源

1.3.15.4. 附加不可启动的 ISO

在 OpenShift Container Platform 4.16 及更高版本中,您可以使用 DataImage 资源将一个通用的、不可启动的 ISO 虚拟介质镜像附加到置备的节点上。应用资源后,操作系统在下次重启时可以访问 ISO 镜像。节点必须使用 Redfish 或从中派生的驱动程序来支持此功能。节点必须处于 ProvisionedExternallyProvisioned 状态。如需了解更多详细信息,请参阅将不可启动的 ISO 附加到裸机节点

1.3.16. 监控

此发行版本中的集群监控堆栈包括以下新功能和修改后的功能。

1.3.16.1. 监控堆栈组件和依赖项更新

此发行版本包括对集群监控堆栈组件和依赖项的以下版本更新:

  • kube-state-metrics 更新到 2.12.0
  • Metrics Server 更新到 0.7.1
  • node-exporter 更新到 1.8.0
  • Prometheus 更新到 2.52.0
  • Prometheus Operator 更新到 0.73.2
  • Thanos 更新到 0.35.0

1.3.16.2. 对警报规则的更改

注意

红帽不保证记录规则或警报规则的向后兼容性。

  • 添加了 ClusterMonitoringOperatorDeprecatedConfig 警报,用于监控 Cluster Monitoring Operator 配置使用已弃用字段的情况。
  • 添加了 PrometheusOperatorStatusUpdateErrors 警报,用于监控 Prometheus Operator 无法更新对象状态的情况。

1.3.16.3. 用于访问 Metrics API 的 Metrics Server 组件正式发布(GA)

Metrics Server 组件现已正式发布,并被自动安装(而不是安装已弃用的 Prometheus Adapter)。Metrics Server 会收集资源指标,并在 metrics.k8s.io Metrics API 服务中公开这些资源指标,以便其他工具和 API 使用它们,从而释放核心平台 Prometheus 堆栈来处理此功能。如需更多信息,请参阅 Cluster Monitoring Operator 的配置映射 API 参考中的 MetricsServerConfig

1.3.16.4. 新的监控角色,允许对 Alertmanager API 进行只读访问

此发行版本引入了一个新的 monitoring-alertmanager-view 角色,允许对 openshift-monitoring 项目中的 Alertmanager API 进行只读访问。

1.3.16.5. VPA 指标包括在 kube-state-metrics 代理中

Vertical Pod Autoscaler (VPA) 指标可以通过 kube-state-metrics 代理获得。VPA 指标遵循类似的组成格式,就如在从原生支持上游被弃用和删除之前一样。

1.3.16.6. 监控组件的代理服务更改

在这个版本中,Prometheus、Alertmanager 和 Thanos Ruler 前面的代理服务已从 OAuth 更新至 kube-rbac-proxy。此更改可能会影响到服务帐户,以及没有适当角色和集群角色的用户对这些 API 端点的访问。

1.3.16.7. Prometheus 处理重复样本的方式有所改变

在这个版本中,当 Prometheus 提取目标时,重复的示例不再被静默忽略,即使它们具有相同的值。第一个样本会被接受,prometheus_target_scrapes_sample_duplicate_timestamp_total 计数器会递增,这可能会触发 PrometheusDuplicateTimestamps 警报。

1.3.17. Network Observability Operator

Network Observability Operator 发行版本独立于 OpenShift Container Platform 次版本流的更新。更新可以通过单一的滚动流提供,该流在所有当前支持的 OpenShift Container Platform 4 版本中被支持。有关 Network Observability Operator 的新功能、功能增强和程序错误修复的信息,请参阅 Network Observability 发行注记

1.3.18. 可伸缩性和性能

1.3.18.1. 工作负载分区的增强

在这个版本中,使用工作负载注解部署的平台 pod 包括 CPU 限制和 CPU 请求会准确计算并应用 CPU 限值,并作为特定 pod 的 CPU 配额进行计算并应用。在以前的版本中,如果工作负载分区 pod 同时设置了 CPU 限值和请求,则 Webhook 会忽略它们。pod 无法从工作负载分区中受益,且不会锁定到特定内核。在这个版本中,webhook 可以正确解释请求和限值。

注意

如果 CPU 限值的值与注解中请求的值不同,则 CPU 限值与请求相同。

如需更多信息,请参阅工作负载分区

1.3.18.2. 现在,性能配置集功能支持 Linux Control Groups 版本 2

从 OpenShift Container Platform 4.16 开始,控制组版本 2 (cgroup v2) (也称为 cgroup2 或 cgroupsv2)对于所有新部署都默认启用,即使性能配置集存在。

从 OpenShift Container Platform 4.14 开始,cgroup v2 是默认的,但性能配置集功能需要使用 cgroup v1。这个问题已解决。

cgroup v1 仍然会在其初始安装的日期早于 OpenShift Container Platform 4.16 的带有性能配置集的升级集群中使用。cgroup v1 仍可通过将 node.config 对象中的 cgroupMode 字段改为 v1 来在当前的版本中使用。

如需更多信息,请参阅在节点上配置 Linux cgroup 版本

1.3.18.3. 支持增加 etcd 数据库大小(技术预览)

在这个版本中,您可以在 etcd 中增加磁盘配额。这是一个技术预览功能。如需更多信息,请参阅增加 etcd 的数据库大小

1.3.18.4. 保留内核频率调整

在这个版本中,Node Tuning Operator 支持在 PerformanceProfile 中为保留和隔离的内核 CPU 设置 CPU 频率。这是一个可选的功能,用于定义特定频率。然后,Node Tuning Operator 通过在 Intel 硬件中启用 intel_pstate CPUFreq 驱动程序来设置这些频率。您必须遵循 Intel 对 FlexRAN-like 应用程序的建议,这需要将默认 CPU 频率设置为比默认运行频率低的值。

1.3.18.5. Node Tuning Operator intel_pstate 驱动程序默认设置

在以前的版本中,对于 RAN DU-profile,在 PerformanceProfile 中将 realTime 工作负载提示设置为 true 会禁用 intel_pstate。在这个版本中,Node Tuning Operator 会使用 TuneD 检测底层的 Intel 硬件,并根据处理器的型号正确设置 intel_pstate 内核参数。这会将 intel_pstaterealTimehighPowerConsumption 工作负载提示分离。intel_pstate 现在仅依赖于底层处理器的型号。

对于 IceLake 之前的处理器,会默认取消激活 intel_pstate;而对于 IceLake 及更新的处理器,intel_pstate 被设置为 active

1.3.18.6. 支持使用 AMD EPYC Zen 4 CPU 的计算节点

从 4.16.30 版本,您可以使用 PerformanceProfile 自定义资源(CR)在装有 AMD EPYC Zen 4 CPU 的机器上配置计算节点,如 Genoa 和 Bergamo。仅支持单个 NUMA 域(NPS=1)配置。AMD 目前不支持每个 pod 电源管理。

1.3.19. 边缘计算

1.3.19.1. 使用 RHACM PolicyGenerator 资源管理 GitOps ZTP 集群策略(技术预览)

现在,您可以使用 PolicyGenerator 资源和 Red Hat Advanced Cluster Management (RHACM) 来使用 GitOps ZTP 为受管集群部署策略。PolicyGenerator API 是 Open Cluster Management 标准的一部分,它提供了一种通用的修补资源的方法,这些资源无法通过 PolicyGenTemplate API 来实现。使用 PolicyGenTemplate 资源管理和部署策略将在即将发布的 OpenShift Container Platform 发行版本中弃用。

如需更多信息,请参阅使用 PolicyGenerator 资源配置受管集群策略

注意

PolicyGenerator API 目前不支持将补丁与包含项目列表的自定义 Kubernetes 资源合并。例如,在 PtpConfig CR 中。

1.3.19.2. TALM 策略补救

在这个版本中,Topology Aware Lifecycle Manager (TALM) 使用 Red Hat Advanced Cluster Management (RHACM) 功能来修复受管集群中的 inform 策略。此功能增强删除了 Operator 在策略补救过程中创建 inform 策略的 enforce 副本。由于复制策略,这个增强还减少了 hub 集群上的工作负载,并可减少在受管集群中修复策略所需的总体时间。

如需更多信息,请参阅在受管集群上更新策略

1.3.19.3. 加速置备 GitOps ZTP (技术预览)

在这个版本中,您可以通过为单节点 OpenShift 使用 GitOps ZTP 置备来缩短集群安装所需的时间。加速 ZTP 通过在早期阶段应用从策略派生的第 2 天清单来加快安装速度。

加速置备 GitOps ZTP 的好处会随着部署的规模增加而增加。完全加速对有大量集群的环境有更多好处。如果集群数量较少,则对减少安装时间的效果会显著减少。

如需更多信息,请参阅 GitOps ZTP 的加速置备

1.3.19.4. 使用 Lifecycle Agent 为单节点 OpenShift 集群进行基于镜像的升级

在这个版本中,您可以使用 Lifecycle Agent ,为单节点 OpenShift 集群编配从 OpenShift Container Platform <4.y> 到 <4.y+2> 和从 <4.y.z+n> 到 <4.y.z+n> 的基于镜像的升级。Lifecycle Agent 生成与参与集群的配置匹配的开放容器项目 (OCI) 镜像。除了 OCI 镜像外,基于镜像的升级使用 ostree 库和 OADP Operator 来降低在原始平台版本和目标平台版本间进行转换时的升级和服务中断持续的时间。

如需更多信息,请参阅了解单节点 OpenShift 集群的基于镜像的升级

1.3.19.5. 基于镜像的升级增强

在这个版本中,基于镜像的升级引进了以下改进:

  • 通过在 hub 集群中添加 ImageBasedGroupUpgrade API 来简化大量受管集群的升级过程
  • 在使用 ImageBasedGroupUpgrade API 时标记受管集群以完成操作
  • 在 seed 镜像生成前改进了 seed 集群验证
  • 如果用量在受管集群中达到特定阈值,则会自动清理容器存储磁盘
  • ImageBasedUpgrade CR 的新 status.history 字段中添加全面的事件历史记录

有关 ImageBasedGroupUpgrade API 的更多信息,请参阅在 hub 上使用 ImageBasedGroupUpgrade CR 大规模管理基于镜像的升级

1.3.19.6. 使用 GitOps ZTP 和 RHACM 将 IPsec 加密部署到受管集群

现在,您可以使用 GitOps ZTP 和 Red Hat Advanced Cluster Management (RHACM) 部署的受管单节点 OpenShift 集群中启用 IPsec 加密。您可以加密受管集群外部 pod 和 IPsec 端点之间的外部流量。OVN-Kubernetes 集群网络上的节点之间的所有 pod 到 pod 网络流量都使用 IPsec 传输模式加密。

如需更多信息,请参阅使用 GitOps ZTP 和 SiteConfig 资源为单节点 OpenShift 集群配置 IPsec 加密

1.3.20. 托管 control plane

1.3.20.1. 托管 control plane 在 Amazon Web Services (AWS) 上正式发布

OpenShift Container Platform 4.16 托管 control plane 现在在 AWS 平台上正式发布。

1.3.21. 安全性

新的签名者证书颁发机构 (CA) openshift-etcd 现在可以为证书签名。此 CA 包含在与现有 CA 的信任捆绑包中。另外还有两个可用于轮转的 CA secret (etcd-signeretcd-metric-signer )。从这个版本开始,所有证书都将移至一个经过验证的库。此更改允许自动轮转所有不是由 cluster-etcd-operator 管理的证书。所有基于节点的证书都将继续当前的更新过程。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.