1.4. 主要的技术变化
OpenShift Container Platform 4.16 包括以下显著的技术更改。
HAProxy 版本 2.8
OpenShift Container Platform 4.16 使用 HAProxy 2.8。
HAProxy 不再支持使用 SHA-1 证书
HAProxy 不再支持使用 SHA-1 证书在 OpenShift Container Platform 4.16 中,现有的和新的使用 SHA-1 证书的路由都会被拒绝,且无法正常工作。有关创建安全路由的更多信息,请参阅安全路由。
etcd 调优参数
在这个版本中,可以使用 etcd 调优参数来优化性能并降低延迟,如下所示。
-
""
(默认) -
Standard
-
Slower
未经身份验证的用户已从某些集群角色中删除
在这个版本中,未经身份验证的用户将不再能够访问某些功能集所需的特定集群角色。在 OpenShift Container Platform 4.16 之前,未经身份验证的用户可以访问某些集群角色。对于未经身份验证的用户,更改此访问权限会添加额外的安全层,并仅在需要时启用。这个变化适用于新集群,以前的集群不受影响。
在某些情况下,您可能想要为特定集群角色授予未经身份验证的用户访问权限。要授予未经身份验证的用户访问某些功能所需的特定集群角色,请参阅将未经身份验证的组添加到集群角色中。
在修改未经身份验证的访问时,始终验证符合您机构的安全标准。
IBM Z (R) 和 IBM (R) LinuxONE (s390x) 上不再支持 RHCOS dasd 镜像工件
在这个版本中,s390x
架构的 dasd
镜像工件已从 OpenShift Container Platform 镜像构建管道中删除。您仍然可以使用 metal4k
镜像工件,其相同并包含相同的功能。
支持带有 ExternalTrafficPolicy=Local 服务的 EgressIP
在以前的版本中,gressIP 所选 pod 不支持将 externalTrafficPolicy
设置为 Local
的服务作为后端。当尝试此配置时,到达 pod 的服务入口流量会错误地重新路由到托管 EgressIP 的出口节点。这会影响对传入服务流量连接的响应的处理,并在将 externalTrafficPolicy
设置为 Local
时服务无法正常工作,因为连接会被丢弃,服务变为不可用。
在 OpenShift Container Platform 4.16 中,OVN-Kubernetes 现在支持在同一组所选 pod 上同时使用 ExternalTrafficPolicy=Local
服务和 EgressIP 配置。OVN-Kubernetes 现在只将源自 EgressIP pod 的流量重新路由到出口节点,同时通过 pod 所在的同一节点将响应从 EgressIP pod 路由到 ingress 服务流量。
旧服务帐户 API 令牌 secret 不再为每个服务帐户生成
在 OpenShift Container Platform 4.16 之前,当启用了集成的 OpenShift 镜像 registry 时,会为集群中的每个服务帐户生成一个旧的服务帐户 API 令牌 secret。从 OpenShift Container Platform 4.16 开始,当启用集成的 OpenShift 镜像 registry 时,每个服务帐户不再会生成旧的服务帐户 API 令牌 secret。
另外,当启用集成的 OpenShift 镜像 registry 时,每个服务帐户生成的镜像 pull secret 不再使用旧的服务帐户令牌 API 令牌。现在,镜像 pull secret 使用绑定服务帐户令牌,该令牌会在过期前自动刷新。
如需更多信息,请参阅自动生成的镜像 pull secret。
有关检测集群中正在使用的旧服务帐户 API 令牌 secret 的详情,请参考 OpenShift Container Platform 中的长期服务帐户令牌 API 令牌。
支持外部云身份验证供应商
在本发行版本中,在 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Microsoft Azure 集群(OpenShift Container Platform) 上向私有 registry 进行身份验证的功能被从 in-tree 供应商移到 OpenShift Container Platform 附带的二进制文件中。此更改支持 Kubernetes 1.29 中引入的默认外部云身份验证供应商行为。
如果禁用 Build 集群功能,则 builder 服务帐户将不再创建
在这个版本中,如果您禁用 Build
集群功能,则不再会创建 builder
服务帐户及其对应的 secret。
如需更多信息,请参阅构建功能。
默认 OLM 1.0 升级限制已改为传统的 OLM 语义(技术预览)
在 OpenShift Container Platform 4.16 中,Operator Lifecycle Manager (OLM) 1.0 将其默认升级限制从语义版本 (semver) 改为旧的 OLM 语义。
如需更多信息,请参阅在 OLM 1.0 中支持旧的 OLM 升级边缘(技术预览)。
从 OLM 1.0 中删除了 RukPak Bundle API (技术预览)
在 OpenShift Container Platform 4.16 中,Operator Lifecycle Manager (OLM) 1.0 删除了 Bundle
API,它由 RukPak 组件提供。RukPak BundleDeployment
API 仍然保留,并支持 registry+v1
捆绑包以旧的 Operator Lifecycle Manager (OLM) 捆绑包格式解包 Kubernetes YAML 清单。
如需更多信息,请参阅 Rukpak (技术预览)。
添加了 dal12 区域
在这个版本中,dal12
区域被添加到 IBM Power® VS Installer 中。
添加至 IBM Power (R) 虚拟服务器的区域
此发行版本引入了部署到新的 IBM Power® Virtual Server (VS) 区域 osa21
、ssyd04
、lon06
和 sao01
的功能。
IBM Power (R) Virtual Server 更新至使用 Cluster API Provider IBM Cloud 0.8.0
在这个版本中,IBM Power® Virtual Server 已更新为使用 Cluster API Provider IBM Cloud 版本 0.8.0。
ServiceInstanceNameToGUID 的额外调试语句
在这个版本中,额外的调试语句被添加到 ServiceInstanceNameToGUID
功能中。