发行注记

OpenShift Container Platform 4.17

OpenShift Container Platform 发行版本中的主要新功能及变化信息

Red Hat OpenShift Documentation Team

摘要

此发行注记介绍了 OpenShift Container Platform 的新功能、功能增强、重要的技术变化、以及对以前版本中的错误作出的主要修正。另外，还包括在此版本正式发行（GA）时存在的已知问题的信息。

第 1 章 OpenShift Container Platform 4.17 发行注记

Red Hat OpenShift Container Platform 为软件开发人员和 IT 机构提供了一个混合云应用平台。使用这个平台可以在配置和管理成本最小化的情况下，利用安全、可扩展的资源部署新的或已有的应用程序。OpenShift Container Platform 支持大量编程语言和开发平台，如 Java、JavaScript、Python、Ruby 和 PHP。

OpenShift Container Platform 基于 Red Hat Enterprise Linux（RHEL）和 Kubernetes，为当今的企业级应用程序提供了一个更加安全、可扩展的多租户操作系统，同时提供了集成的应用程序运行时及程序库。OpenShift Container Platform 可以满足用户对安全性、隐私、合规性及监管的要求。

1.1. 关于此版本

OpenShift Container Platform (RHSA-2024:3718) 现已正式发布。此发行版本使用 Kubernetes 1.30 和 CRI-O 运行时。OpenShift Container Platform 4.17 的新功能、改变以及已知的问题包括在此文档中。

OpenShift Container Platform 4.17 集群位于 https://console.redhat.com/openshift。使用 OpenShift Container Platform 的 Red Hat OpenShift Cluster Manager 应用程序，您可以将 OpenShift Container Platform 集群部署到内部环境或云环境中。

OpenShift Container Platform 4.17 在 Red Hat Enterprise Linux (RHEL) 8.8 和更新的版本的 Red Hat Enterprise Linux (RHEL) 8 上被支持，它在 OpenShift Container Platform 4.17 生命周期结束前发布。OpenShift Container Platform 4.17 在 Red Hat Enterprise Linux CoreOS (RHCOS) 4.17 上也支持。

您必须将 RHCOS 机器用于 control plane，而 compute 系统可以使用 RHCOS 或 RHEL。RHEL 机器在 OpenShift Container Platform 4.16 中已被弃用，并将在以后的发行版本中删除。

对于为奇数的版本（如 OpenShift Container Platform 4.17），在所有支持的构架中，包括 x86_64, 64-bit ARM (aarch64), IBM Power® (ppc64le), and IBM Z® (s390x) 的支持生命周期 18 个月。有关所有版本支持的更多信息，请参阅 Red Hat OpenShift Container Platform 生命周期政策。

从 OpenShift Container Platform 4.14 版本开始，红帽通过三个新的生命周期分类（平台 Aligned、平台 Agnostic 和 Rolling Stream）简化红帽所提供的集群 Operator 的管理。这些生命周期类别为集群管理员提供了额外的简易性和透明度，以更好地了解每个 Operator 的生命周期策略，并以可预测的支持界限来计划对集群进行维护和升级。如需更多信息，请参阅 OpenShift Operator 生命周期。

OpenShift Container Platform 专为 FIPS 设计。当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 Validation。

有关 NIST 验证程序的更多信息，请参阅加密模块验证程序。有关为验证提交的 RHEL 加密库的单独版本的最新 NIST 状态，请参阅 Compliance Activities 和 Government Standards。

1.2. OpenShift Container Platform 层次和依赖组件支持和兼容性

OpenShift Container Platform 的层次组件和依赖组件的支持范围会独立于 OpenShift Container Platform 版本。要确定附加组件的当前支持状态和兼容性，请参阅其发行注记。如需更新相关信息，请参阅 Red Hat OpenShift Container Platform 生命周期政策。

1.3. 新功能及功能增强

此版本对以下方面进行了改进：

1.3.1. Cluster Resource Override Admission Operator

1.3.1.1. 移到 Cluster Resource Override Operator

默认情况下，安装过程会在 worker 节点上创建一个 Cluster Resource Override Operator pod，并在 control plane 节点上创建两个 Cluster Resource Override pod。您可以根据需要将这些 pod 移到其他节点，如基础架构节点。如需更多信息，请参阅移到 Cluster Resource Override Operator pod。

1.3.1.2. Cluster Resource Override Operator pod 由一个部署对象所有

Cluster Resource Override Operator pod 现在由一个部署对象所有。在以前的版本中，Operator 由一个守护进程集对象所有。使用 Operator 部署可以解决多个问题，包括额外的安全性，并添加了在 worker 节点上运行 pod 的功能。

1.3.2. 扩展 (OLM v1)

1.3.2.1. Operator Lifecycle Manager (OLM) v1 使用新的扩展指南（技术预览）

从 OpenShift Container Platform 4.14 开始，OLM v1 文档为技术预览，现在移动并重新编写为一个名为 Extensions（扩展）的单独指南。在以前的版本中，OLM v1 文档是现有 Operator 指南的一部分，它还记录了现有的 OLM 功能集。

新的指南提供了更好的文档体验，并旨在区分 OLM v1 和现有 OLM。

1.3.2.2. OLM v1 技术预览功能

OLM v1 的技术预览阶段引入了以下功能：

自定义资源定义 (CRD) 升级安全

当您更新由集群扩展提供的 CRD 时，OLM v1 现在运行 CRD 升级安全 preflight 检查，以确保与该 CRD 的早期版本向后兼容。在允许更改在集群中进行前，CRD 更新必须通过验证检查。

如需更多信息，请参阅自定义资源定义(CRD)升级安全。

集群扩展的单一对象所有权

在 OLM v1 中，Kubernetes 对象一次只能由单个 ClusterExtension 对象所有。这样可确保 OpenShift Container Platform 集群中的对象一致管理，并防止尝试控制同一对象的多个集群扩展冲突。

如需更多信息，请参阅集群扩展的对象所有权。

增强的安全性

OLM v1 现在需要一个专用的服务帐户来安装、更新和管理集群扩展。此外，目录使用 HTTPS 加密来保护目录服务器的响应。

如需更多信息，请参阅创建服务帐户来管理集群扩展。

改进了状态条件

在本发行版本中，OLM v1 包含通过 ClusterExtension API 的改进状态条件和错误消息传递。

1.3.2.3. OLM v1 支持的扩展和已知问题

目前，Operator Lifecycle Manager (OLM) v1 支持安装满足以下所有条件的集群扩展：

扩展必须使用现有 OLM 中引入的 registry+v1 捆绑包格式。
扩展必须通过 AllNamespaces 安装模式支持安装。
扩展不能使用 Webhook。
扩展不能使用以下基于文件的目录属性声明依赖项：
- olm.gvk.required
- olm.package.required
- olm.constraint

OLM v1 检查您要安装的扩展是否满足这些限制。如果要安装的扩展不符合这些限制，会在集群扩展条件中输出错误消息。

Operator Lifecycle Manager (OLM) v1 不支持现有 OLM 中引入的 OperatorConditions API。

如果扩展依赖于 OperatorConditions API 管理更新，扩展可能无法正确安装。大多数依赖此 API 的扩展都会在启动时失败，但在协调过程中可能会失败。

作为临时解决方案，您可以将扩展固定到特定的版本。当您想更新扩展时，请查阅扩展文档来查找何时安全将扩展固定到新版本。

重要

目前，Operator Lifecycle Manager (OLM) v1 无法验证私有 registry，如红帽提供的 Operator 目录。这是个已知问题。因此，依赖 Red Hat Operator 目录的 OLM v1 流程无法正常工作。(OCPBUGS-36364)

1.3.3. 边缘计算

1.3.3.1. 使用 GitOps ZTP 管理主机固件设置

现在，您可以为使用 GitOps ZTP 部署的受管集群配置主机固件设置。您可以保存主机配置集 YAML 文件以及用于部署受管集群的 SiteConfig 自定义资源(CR)。GitOps ZTP 使用主机配置集在部署过程中在受管集群主机中配置固件设置。在 hub 集群中，您可以使用 FirmwareSchema CR 发现受管集群主机固件模式，和 HostFirmwareSettings CR，并检索受管集群固件设置。

如需更多信息，请参阅使用 GitOps ZTP 管理主机固件设置。

1.3.3.2. 基于镜像的升级增强

在这个版本中，基于镜像的升级引进了以下改进：

通过在 hub 中添加 ImageBasedGroupUpgrade API 来简化大量受管集群的升级过程
在使用 ImageBasedGroupUpgrade API 时标记受管集群以完成操作
在 seed 镜像生成前改进了 seed 集群验证
如果用量在受管集群中达到特定阈值，则会自动清理容器存储磁盘
在 ImageBasedUpgrade CR 的新 status.history 字段中添加全面的事件历史记录

有关 ImageBasedGroupUpgrade API 的更多信息，请参阅在 hub 上使用 ImageBasedGroupUpgrade CR 大规模管理基于镜像的升级。

1.3.3.3. 使用 TPM 和 PCR 保护的磁盘加密（技术预览）

在这个版本中，您可以使用受信任的平台模块(TPM) 和平台配置寄存器 (PCR) 保护来启用磁盘加密。您可以使用 SiteConfig 自定义资源 (CR) 中的 diskEncryption 字段来配置磁盘加密。配置 SiteConfig CR 在集群安装时启用磁盘加密。

如需更多信息，请参阅使用 TPM 和 PCR 保护启用磁盘加密。

1.3.3.4. 使用 GitOps ZTP 和 SiteConfig 资源的多节点集群的 IPsec 加密

现在，您可以使用 GitOps ZTP 和 Red Hat Advanced Cluster Management (RHACM) 部署的受管多节点集群中启用 IPsec 加密。您可以加密受管集群和受管集群外部的 IPsec 端点之间的流量。OVN-Kubernetes 集群网络上的节点之间的所有网络流量都使用 IPsec 传输模式加密。

如需更多信息，请参阅使用 GitOps ZTP 和 SiteConfig 资源为多节点集群配置 IPsec 加密。

1.3.3.5. 单节点 OpenShift 集群的基于镜像的安装

基于镜像的安装通过显著减少安装和部署时间，简化了单节点 OpenShift 集群的部署过程。

使用基于镜像的工作流，您可以在目标主机上预安装单节点 OpenShift 实例。这些预安装的主机可以在网络边缘快速重新配置和部署，包括在断开连接的环境中，这只需要最少的人工干预。

如需更多信息，请参阅了解基于镜像的安装和部署单节点 OpenShift 集群。

1.3.4. IBM Z 和 IBM LinuxONE

在这个版本中，IBM Z® 和 IBM® LinuxONE 与 OpenShift Container Platform 4.17 兼容。您可以使用 z/VM、LPAR 或 Red Hat Enterprise Linux (RHEL) 基于内核的虚拟机 (KVM) 执行安装。有关安装说明，请参阅准备在 IBM Z 和 IBM LinuxONE 上安装。

重要

Compute 节点必须运行 Red Hat Enterprise Linux CoreOS (RHCOS)。

IBM Z 和 IBM LinuxONE 主要改进

OpenShift Container Platform 4.17 上的 IBM Z® 和 IBM® LinuxONE 发行版本为 OpenShift Container Platform 组件和概念提供了改进和新功能。

此发行版本引进了对 IBM Z® 和 IBM® LinuxONE 中的以下功能的支持：

CPU Manager
Multiarch Tuning Operator
对 LPAR 的非易失性内存表达 (NVMe) 的支持
Secondary Scheduler Operator
调整 etcd 延迟容错功能

1.3.5. IBM Power

IBM Power® 现在与 OpenShift Container Platform 4.17 兼容。有关安装说明，请参阅以下文档：

重要

Compute 节点必须运行 Red Hat Enterprise Linux CoreOS (RHCOS)。

IBM Power 主要改进

OpenShift Container Platform 4.17 上的 IBM Power® 发行版本为 OpenShift Container Platform 组件添加了改进和新功能。

此发行版本引进了对 IBM Power 中的以下功能的支持：

Multiarch Tuning Operator
Secondary Scheduler Operator
调整 etcd 延迟容错功能
IBM PowerVS 的安装程序置备基础架构 - 移至 CAPI

IBM Power、IBM Z 和 IBM LinuxONE 支持列表

从 OpenShift Container Platform 4.14 开始，延长更新支持 (EUS) 已扩展到 IBM Power® 和 IBM Z® 平台。如需更多信息，请参阅 OpenShift EUS 概述。

表 1.1. OpenShift Container Platform 功能
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
备用身份验证供应商	支持	支持
基于代理的安装程序	支持	支持
支持的安装程序	支持	支持
使用 Local Storage Operator 自动设备发现	不支持	支持
使用机器健康检查功能自动修复损坏的机器	不支持	不支持
IBM Cloud® 的云控制器管理器。	支持	不支持
在节点上控制过量使用和管理容器密度	不支持	不支持
CPU Manager	支持	支持
Cron 作业	支持	支持
Descheduler	支持	支持
Egress IP	支持	支持
加密数据存储在 etcd 中	支持	支持
FIPS 加密	支持	支持
Helm	支持	支持
Pod 横向自动扩展	支持	支持
托管 control plane	支持	支持
IBM 安全执行	不支持	支持
IBM Power® Virtual Server 的安装程序置备的基础架构支持	支持	不支持
在单一节点上安装	支持	支持
IPv6	支持	支持
用户定义项目的监控	支持	支持
多架构计算节点	支持	支持
多架构 control plane	支持	支持
多路径（Multipathing）	支持	支持
网络绑定磁盘加密 - 外部 Tang 服务器	支持	支持
Non-volatile memory express drives (NVMe)	支持	不支持
NX-gzip for Power10 （硬件加速）	支持	不支持
oc-mirror 插件	支持	支持
OpenShift CLI (`oc`) 插件	支持	支持
Operator API	支持	支持
OpenShift Virtualization	不支持	不支持
OVN-Kubernetes，包括 IPsec 加密	支持	支持
PodDisruptionBudget	支持	支持
精度时间协议 (PTP) 硬件	不支持	不支持
Red Hat OpenShift Local	不支持	不支持
Scheduler 配置集	支持	支持
安全引导	不支持	支持
流控制传输协议 (SCTP)	支持	支持
支持多个网络接口	支持	支持
`openshift-install` 工具支持 IBM Power® 上的各种 SMT 级别 (Hardware Acceleration)	支持	支持
三节点集群支持	支持	支持
拓扑管理器	支持	不支持
SCSI 磁盘中的 z/VM 模拟 FBA 设备	不支持	支持
4K FCP 块设备	支持	支持

表 1.2. 持久性存储选项
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
使用 iSCSI 的持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用本地卷 (LSO) 的持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用 hostPath 的持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用 Fibre Channel 持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用 Raw Block 的持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用 EDEV/FBA 的持久性存储	支持 ^[1]	支持 ^[1],^[2]

必须使用 Red Hat OpenShift Data Foundation 或其他支持的存储协议来置备持久性共享存储。
必须使用本地存储（如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO）来置备持久性非共享存储。

表 1.3. Operator
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
cert-manager Operator for Red Hat OpenShift	支持	支持
Cluster Logging Operator	支持	支持
Cluster Resource Override Operator	支持	支持
Compliance Operator	支持	支持
Cost Management Metrics Operator	支持	支持
File Integrity Operator	支持	支持
HyperShift Operator	技术预览	技术预览
IBM Power® Virtual Server Block CSI Driver Operator	支持	不支持
Ingress Node Firewall Operator	支持	支持
Local Storage Operator	支持	支持
MetalLB Operator	支持	支持
Multiarch Tuning Operator	支持	支持
Network Observability Operator	支持	支持
NFD Operator	支持	支持
NMState Operator	支持	支持
OpenShift Elasticsearch Operator	支持	支持
Secondary Scheduler Operator	支持	支持
Vertical Pod Autoscaler Operator	支持	支持

表 1.4. Multus CNI 插件
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
Bridge	支持	支持
Host-device	支持	支持
IPAM	支持	支持
IPVLAN	支持	支持

表 1.5. CSI 卷
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
克隆	支持	支持
扩展	支持	支持
Snapshot	支持	支持

1.3.6. Insights Operator

Insights Operator 现在从前缀为 openshift- 或 kube- 的命名空间收集更多 OpenShift Container Platform 容器日志数据，并更快地生成建议。另外，一些改进可以提高您如何为服务定义收集的数据的灵活性。

1.3.6.1. 快速建议

此发行版本引入了一个名为 Rapid Recommendations（快速建议）的新功能，它为远程配置规则提供了更动态和独立于版本的机制，用于远程配置 Insights Operator 收集的数据。

快速建议基于现有条件数据收集机制构建。Insights Operator 连接到在 /console.redhat.com 上运行的安全远程端点服务，以检索包含红帽过滤和收集哪些容器日志消息的规则的定义。

条件 data-gathering 定义（也称为规则），通过 pod.yml 配置文件中的名为 conditionalGathererEndpoint 的属性进行配置。

conditionalGathererEndpoint: https://console.redhat.com/api/gathering/v2/%s/gathering_rules

注意

在以前的版本中，用来确定 Insights Operator 收集的数据的规则被硬编码并与对应的 OpenShift Container Platform 版本关联。

预配置的端点 URL 现在提供了一个占位符 (%s)，用于定义 OpenShift Container Platform 的目标版本。

1.3.6.2. 添加了更多收集的数据和建议

Insights Operator 现在收集更多数据来检测以下情况，其他应用程序可以使用它们生成补救建议来主动管理 OpenShift Container Platform 部署：

检测使用已弃用的 OpenShift SDN CNI 插件的 pod 和命名空间，并根据部署收集的数据生成推荐操作。
从 RHOSP 收集自定义资源定义 (CRD)。
收集 haproxy_exporter_server_threshold 指标，以检测 OCPBUGS-36687 中报告的问题和补救。
收集数据以检测不在 openshift-monitoring 命名空间中的自定义 Prometheus Alertmanager 实例，因为它们可能会影响相应资源的管理。
检测默认 Ingress Controller 过期证书的即将到期，其他应用程序和服务可用于生成建议，以便在到期日期前更新证书。
- 在此次更新之前，Insights Operator 会收集有关所有 Ingress Controller 证书的信息，包括它们的 NotBefore 和 NotAfter 日期。现在，这个数据被编译到位于 aggregated/ingress_controllers_certs.json 的 JSON 文件中，以便更轻松地监控集群中的证书的有效性。(OCPBUGS-35727)

1.3.7. 安装和更新

1.3.7.1. GCP 用户定义的标签和标签

在这个版本中，Google Cloud Platform (GCP) 的用户定义标签和标签正式发布。

如需更多信息，请参阅为 GCP 管理用户定义的标签和标签。

1.3.7.2. 使用 GPU 在 Nutanix 上安装集群

在这个版本中，您可以使用 GPU 的计算机器在 Nutanix 上安装集群，以进行处理。您可以使用 install-config.yaml 文件中的 compute.platform.nutanix.gpus 参数将 GPU 附加到计算节点。

如需更多信息，请参阅 Nutanix 的安装配置参数。

1.3.7.3. 使用多个磁盘在 Nutanix 上安装集群

在这个版本中，您可以使用附加了多个磁盘的计算机器在 Nutanix 上安装集群。您可以使用 install-config.yaml 文件中的 compute.platform.nutanix.dataDisks 参数将多个磁盘附加到计算节点。

如需更多信息，请参阅 Nutanix 的安装配置参数。

1.3.7.4. 在 Central Spain 区的 Azure 上安装集群

现在，您可以在 Central Spain 区 spaincentral 的 Azure 上安装 OpenShift Container Platform 集群。

如需更多信息，请参阅支持的 Azure 区域。

1.3.7.5. 使用支持配置多架构计算机器安装集群

在这个版本中，您可以使用配置多架构计算机器的支持来安装 Amazon Web Services (AWS) 集群和 Google Cloud Platform (GCP) 集群。安装集群时，您可以使用以下方法为 control plane 和计算机器指定不同的 CPU 架构：

64 位 x86 计算机器和 64 位 ARM control plane 机器
64 位 ARM 计算机器和 64 位 x86 control plane 机器

具有多架构计算机器的 OpenShift Container Platform 集群支持具有不同架构的计算机器。如需更多信息，请参阅以下文档：

1.3.7.6. 使用流虚拟网络在 Nutanix 上安装集群

在 OpenShift Container Platform 4.17 中，您可以在启用了 Flow Virtual Networking 的 Nutanix 上安装集群。流虚拟网络是 Nutanix AHV 集群的软件定义网络解决方案，它通过 VPCs、子网和其他与物理网络分开的其他虚拟组件提供多租户隔离、自助服务置备和 IP 地址保留。要执行此安装，请在安装前在 Nutanix AHV 环境中启用流虚拟网络。

如需更多信息，请参阅流虚拟网络概述。

1.3.7.7. Cluster API 替换 Microsoft Azure 安装的 Terraform

在 OpenShift Container Platform 4.17 中，安装程序使用 Cluster API 而不是 Terraform 在 Azure 上安装时置备集群基础架构。

注意

使用 Terraform 的替换方案时，如果使用一个只有有限权限的服务主体，则需要以下权限：

Microsoft.Network/loadBalancers/inboundNatRules/read
Microsoft.Network/loadBalancers/inboundNatRules/write
Microsoft.Network/loadBalancers/inboundNatRules/join/action
Microsoft.Network/loadBalancers/inboundNatRules/delete
Microsoft.Network/routeTables/read
Microsoft.Network/routeTables/write
Microsoft.Network/routeTables/join/action

有关所需权限的更多信息，请参阅安装程序置备的基础架构所需的 Azure 权限。

1.3.7.8. 使用现有服务帐户在 Google Cloud Platform 上安装集群

在这个版本中，您可以使用现有服务帐户在 GCP 上安装集群，以便您可以最小化安装程序使用的服务帐户的权限。您可以在 install-config.yaml 文件中的 compute.platform.gcp.serviceAccount 和 controlPlane.platform.gcp.serviceAccount 参数中指定此服务帐户。如需更多信息，请参阅 GCP 的可用安装配置参数。

1.3.7.9. 使用现有 IAM 配置集在 AWS 上安装集群

在这个版本中，您可以使用现有的身份和访问管理 (IAM) 实例配置集在 Amazon Web Services (AWS) 上安装 OpenShift Container Platform。如需更多信息，请参阅可选 AWS 配置参数。

1.3.7.10. 使用 N4 机器集在 GCP 上安装集群

在这个版本中，您可以使用计算或 control plane 机器的 N4 机器集在 GCP 上部署集群。支持的 N4 机器集的磁盘类型是 hyperdisk-balanced。如需更多信息，请参阅 GCP 的安装配置参数。

1.3.7.11. Cluster API 替换了 Terraform for Google Cloud Platform (GCP) 安装

在这个版本中，安装程序会使用 Cluster API 而不是 Terraform 在 GCP 上安装时置备集群基础架构。

1.3.7.12. RHOSP 的三节点集群支持

现在，Red Hat OpenStack Platform (RHOSP)支持在安装程序置备的基础架构上部署三节点集群。

如需更多信息，请参阅在 OpenStack 上安装三节点集群。

1.3.7.13. 使用 root 卷和 etcd 在本地磁盘（正式发布）上部署 Red Hat OpenStack Platform (RHOSP)

现在，您可以使用这个通用功能将 etcd 从根卷 (Cinder) 移到专用的临时本地磁盘，来作为第 2 天部署。

如需更多信息，请参阅在本地磁盘上使用 rootVolume 和 etcd 在 OpenStack 上部署。

1.3.7.14. 对于在 AWS Public Cloud 上部署的集群，将计算节点扩展到 AWS Outposts 的已弃用

在这个版本中，为 AWS Public Cloud 上部署的集群将计算节点扩展到 AWS Outposts 已被弃用。安装后将计算节点部署到 AWS Outposts 中，作为在公共 AWS 区域中运行的现有 OpenShift Container Platform 集群的扩展，将在 OpenShift Container Platform 版本 4.20 时删除。

如需更多信息，请参阅将 AWS VPC 集群扩展到 AWS Outpost。

1.3.8. Operator 生命周期

1.3.8.1. Operator Lifecycle Manager (OLM) v1 的新指南位置和发行注记部分（技术预览）

有关 OpenShift Container Platform 4.17 及之后的版本中的 OLM v1 发行注记，包括开始这个版本的新指南位置，请参阅扩展(OLM v1) 的新功能和增强部分。

在以后的发行版本中，这个 "Operator 生命周期" 部分将继续记录现有 OLM 的新功能和增强。

1.3.8.2. 已弃用 Operator 的 Web 控制台警告

当目录中为 Operator 定义已弃用的软件包、频道或版本时，OpenShift Container Platform Web 控制台现在会在 OperatorHub 的安装前和安装后页面中都会显示 Operator 受影响元素的警告徽标，包括任何自定义弃用信息。

如需有关 Operator 目录的弃用模式的更多信息，请参阅 Operator Framework 打包格式 → Schemas → olm.deprecations 模式。

1.3.9. Operator 开发

1.3.9.1. 云供应商上 Operator 的令牌身份验证：GCP Workload Identity

在这个版本中，由 Operator Lifecycle Manager (OLM) 管理的 Operator 可以在为 GCP Workload Identity 配置的 Google Cloud Platform (GCP) 集群中运行时支持令牌身份验证。只要 Operator 作者启用了其 Operator 支持 GCP Workload Identity，对 Cloud Credential Operator (CCO) 的更新会启用特定短期凭证的半自动化置备。

1.3.10. OpenShift CLI (oc)

1.3.10.1. oc-mirror 包括了 HyperShift KubeVirt CoreOS 容器

在这个版本中，当镜像 OpenShift Container Platform 发行有效负载时，oc-mirror 现在会包括 HyperShift KubeVirt 供应商的 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像的 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像。

默认将 kubeVirtContainer 标志设置为 false，必须在 imageSetConfig.yaml 文件中设置为 true 来提取 KubeVirt Container RHCOS。这样可确保通过包含作为托管集群节点的 KubeVirt 虚拟机所需的镜像，以确保支持断开连接的环境。

1.3.11. Machine Config Operator

1.3.11.1. MCO 支持的 control plane TLS 安全配置集

Machine Config Operator (MCO) 和 Machine Config Server 现在使用为 control plane 组件配置的 TLS 安全配置集。如需更多信息，请参阅为 control plane 配置 TLS 安全配置集。

1.3.11.2. 现在，支持 AWS 更新了引导镜像（技术预览）

现在，更新的引导镜像作为 Amazon Web Services (AWS) 集群的技术预览功能被支持。此功能允许您配置集群，以便在更新集群时更新节点引导镜像。默认情况下，集群中的引导镜像不会随集群一起更新。如需更多信息，请参阅更新引导镜像。

1.3.11.3. 更新了 GCP 集群的引导镜像，提升到 GA

为 Google Cloud Platform (GCP) 集群将更新的引导镜像提升到 GA。如需更多信息，请参阅更新引导镜像。

1.3.11.4. 提升到 GA 的节点中断策略

节点中断策略功能已提升到 GA。节点中断策略允许您定义一组 Ignition 配置对象更改，这些配置对象只需要非常短的工作负载中断或不会造成工作负载中断。如需更多信息，请参阅使用节点中断策略来最大程度降低机器配置变化的中断。

1.3.12. 机器管理

1.3.12.1. 支持 AWS 放置组分区号

此发行版本在 Amazon Web Services (AWS) 上引入了 OpenShift Container Platform MachineSet 的 placementGroupPartition 字段。使用此功能，您可以在现有放置组中指定分区号，启用精确的实例分配并改进容错。例如，请参阅使用机器集将机器分配给 Elastic Fabric Adapter 实例的放置组。

1.3.12.2. 使用机器集配置容量保留

OpenShift Container Platform release 4.17 引进了对 Microsoft Azure 集群上的 Capacity Reservation with Capacity Reservation groups 的支持。如需更多信息，请参阅 使用计算机器集为 compute 或 control plane 机器集配置容量保留。

1.3.13. 监控

此发行版本中的集群监控堆栈包括以下新功能和修改后的功能。

1.3.13.1. 监控堆栈组件和依赖项更新

此发行版本包括对集群监控堆栈组件和依赖项的以下版本更新：

Alertmanager 更新到 0.27.0
Prometheus Operator 更新到 0.75.2
Prometheus 更新到 2.53.1
kube-state-metrics 更新到 2.13.0
node-exporter 更新到 1.8.2
Thanos 更新到 0.35.1

1.3.13.2. 对警报规则的更改

注意

红帽不保证记录规则或警报规则的向后兼容性。

添加了 PrometheusKubernetesListWatchFailures 警报，以警告用户有关 Prometheus 和 Kubernetes API 失败的用户，如无法访问 API 和权限问题，这可能会导致静默的服务发现失败。

1.3.13.3. 更新了 Prometheus，以在为用户定义的项目进行 scrape 时容忍 jitters 问题

在这个版本中，用于监控用户定义的项目的 Prometheus 配置会在 scrape 容忍 jitters 问题。这个版本优化了监控部署的数据压缩，这可以提高压缩数据的性能，这减少了对磁盘空间的使用。

1.3.13.4. Network Observability Operator

Network Observability Operator 发行版本独立于 OpenShift Container Platform 次版本流的更新。更新可以通过单一的滚动流提供，该流在所有当前支持的 OpenShift Container Platform 4 版本中被支持。有关 Network Observability Operator 的新功能、功能增强和程序错误修复的信息，请参阅 Network Observability 发行注记。

1.3.14. 节点

1.3.14.1. 新的 CRIO 命令行为

从 OpenShift Container Platform 4.17 开始，当节点重启时，crio wipe 命令会检查是否完全退出 CRI-O 二进制文件。未干净退出的镜像被标记为已损坏和删除。这个行为可防止 CRI-O 因半提取的镜像或其他未同步文件而无法启动。在 OpenShift Container Platform 4.15 和 4.16 中，crio wipe 命令在节点重启时删除所有镜像。crio wipe 命令的新行为提高了效率，同时在节点重启时仍然降低镜像崩溃的风险。

1.3.14.2. 为 must-gather 命令添加新标志

OpenShift Container Platform release 4.17 添加了两个新标记，用于 oc adm must-gather 命令，以限制收集的信息的时间。一次只能使用以下标记之一。为了支持这个功能，推荐使用插件，但这并不是必须的。

--since ：仅返回比相对持续时间更新的日志，如 5s、2m 或 3h。默认为所有日志。
--since-time ：仅在特定日期后返回日志，以 RFC3339 格式表示。默认为所有日志。

有关 oc adm must-gather 命令使用 的标记的完整列表，请参阅 Must-gather 标志。

1.3.14.3. 现在，pod 支持 Linux 用户命名空间（技术预览）

OpenShift Container Platform release 4.17 添加了对将 pod 和容器部署到 Linux 用户命名空间中的支持。在单个用户命名空间中运行 pod 和容器可以缓解受到破坏的容器可能会给其他 pod 和节点本身造成的一些漏洞。如需更多信息，请参阅在 Linux 用户命名空间中运行 pod。

1.3.14.4. CRI-O 指标端口现在使用 TLS

OpenShift Container Platform 监控现在使用 TLS 支持的端点来获取 CRI-O 容器运行时指标。这些证书由系统而不是用户管理。OpenShift Container Platform 监控查询已更新至新端口。如需有关监控使用的证书的信息，请参阅监控和 OpenShift Logging Operator 组件证书。

1.3.14.5. 将计算节点添加到内部集群

在这个版本中，您可以使用 OpenShift CLI (oc) 添加计算节点来生成 ISO 镜像，然后可用于引导目标集群中的一个或多个节点。无论如何安装集群，都可以使用此过程。

如需更多信息，请参阅将 worker 节点添加到内部集群。

1.3.15. 网络

1.3.15.1. 双 NIC Intel E810 Logan Beach 作为 PTP grandmaster 时钟

现在，您可以将 linuxptp 服务配置为双 Intel E810 Logan Beach 网络接口控制器(NIC) 的 grandmaster 时钟 (T-GM)。您可以为以下双 E810 NIC 将 linuxptp 服务配置为 T-GM：

Intel E810-XXVDA4T Westport Channel NIC
Intel E810-CQDA2T Logan Beach NIC

主机系统时钟从连接到 Global Navigation Satellite Systems (GNSS) 时间源的 NIC 同步。第二个 NIC 同步到由连接到 GNSS 的 NIC 提供的 1PPS 时间输出。如需更多信息，请参阅将 linuxptp 服务配置为双 E810 NIC 的 grandmaster 时钟。

1.3.15.2. 新集群的伪装子网更改

对于 OpenShift Container Platform 4.17 及更新的版本，集群使用 169.254.0.0/17（IPv4），或 fd69::/112（IPv6）作为默认的伪装子网。用户应避免这些范围。对于升级的集群，默认 masquerade 子网没有变化。

1.3.15.3. 启用 SR-IOV 网络指标导出器

在这个版本中，您可以使用 OpenShift Container Platform Web 控制台监控 SR-IOV pod 的网络活动，查询单根 I/O 虚拟化 (SR-IOV) 虚拟功能 (VF) 指标。当使用 web 控制台查询 SR-IOV VF 指标时，SR-IOV 网络指标导出器会获取并返回 VF 网络统计信息，以及 VF 附加到的 pod 的名称和命名空间。

如需更多信息，请参阅启用 SR-IOV 网络指标导出器。

1.3.15.4. Kubernetes NMState Operator 的 Microsoft Azure

红帽支持在 Microsoft Azure 上使用 Kubernetes NMState Operator，但有使用限制。支持仅限于将系统中的 DNS 服务器配置为安装后任务。

如需更多信息，请参阅关于 Kubernetes NMState Operator。

1.3.15.5. 查看 Kubernetes NMState Operator 收集的指标

Kubernetes NMState Operator kubernetes-nmstate-operator 可以从 kubernetes_nmstate_features_applied 组件收集指标，并将其公开为可随时使用的指标。您可以使用 Administrator 和 Developer 视角查看这些指标。

如需更多信息，请参阅关于 Kubernetes NMState Operator。

1.3.15.6. 新的 PTP 快速事件 REST API 版本 2 可用

提供了新的 PTP fast 事件 O-RAN Release 3 兼容 REST API 版本 2。现在，您可以开发 PTP 事件消费者应用程序，这些应用程序直接从 PTP Operator 管理的 pod 接收主机硬件 PTP 事件。

PTP 事件 REST API v1 和 PTP 事件消费者应用程序 sidecar 已被弃用。

注意

在 Event Consumers 3.0 的 O-RAN O-Cloud Notification API 规范中，该资源被定义为生成通知的子系统的层次结构路径。PTP 事件 REST API v2 没有资源路径中包含的所有较低层次结构资源的全局订阅。您可以将消费者应用程序订阅到不同的可用事件类型。

如需更多信息，请参阅使用 REST API v2 开发 PTP 事件消费者应用程序。

1.3.15.7. PTP grandmaster 时钟的自动秒处理

PTP Operator 现在通过使用全局位置系统 (GPS) 公告自动更新 leap second 文件。

闰秒信息存储在 openshift-ptp 命名空间中的名为 leap-configmap 的自动生成的 ConfigMap 资源中。

如需更多信息，请参阅为 PTP grandmaster 时钟配置动态 leap 秒处理。

1.3.15.8. SR-IOV 设备的 NIC 分区（正式发布）

在这个版本中，在安装时为单根 I/O 虚拟化 (SR-IOV) 设备启用 NIC 分区的功能是正式发布的（GA）。

如需更多信息，请参阅 SR-IOV 设备的 NIC 分区。

1.3.15.9. SR-IOV VF 的主机网络设置（正式发布）

在这个版本中，对现有集群中单根 I/O 虚拟化 (SR-IOV) 网络虚拟功能更新主机网络设置的功能正式发布。

如需更多信息，请参阅虚拟功能的节点网络配置策略。

1.3.15.10. 用户定义的网络分段（技术预览）

在 OpenShift Container Platform 4.17 中，用户可以创建多个网络，并通过 UserDefinedNetwork (UDN) 自定义资源定义(CRD) 的技术预览将它们声明为其工作负载的主要或从属网络。使用 UDN，用户可以在不配置和管理复杂网络策略的情况下隔离命名空间。

如需更多信息，请参阅了解用户定义的网络

1.3.15.11. CoreDNS 更新至 1.11.3 版本

OpenShift Container Platform 4.17 现在包含 CoreDNS 版本 1.11.3。

1.3.15.12. eBPF Manager Operator （技术预览）

eBPF Manager Operator 作为技术预览提供，允许您安全地部署和管理 eBPF 程序。它有助于在 OpenShift Container Platform 集群中对 eBPF 程序进行安全加载、卸载、修改和监控。有关部署 bpfman Operator 的更多信息，请参阅关于 eBPF Manager Operator。

1.3.15.13. Ingress Node Firewall Operator 的 eBPF 程序支持（技术预览）

为 Ingress Node Firewall Operator 安全管理 eBPF 程序作为技术预览提供。使用此功能需要安装 eBPF Manager Operator，也作为技术预览提供。如需更多信息，请参阅 Ingress Node Firewall Operator 集成。

1.3.15.14. 对 MetalLB 的更改

在这个版本中，MetalLB 使用 FRR-K8s 作为默认后端。在以前的版本中，这是技术预览功能。如需更多信息，请参阅配置 MetalLB 和 FRR-K8s 的集成。

MetalLB 还包括 Border Gateway Protocol (BGP) peer 自定义资源 connectTime 的新字段。您可以使用此字段指定 BGP 在连接尝试到邻居之间等待的时间。如需更多信息，请参阅关于 BGP peer 自定义资源。

1.3.15.15. 为 vfio-pci SR-IOV 设备公开 MTU

在这个版本中，在 network-status pod 注解和容器中，使用 vfio-pci 驱动程序的虚拟功能上的最大传输单元 (MTU)。

如需更多信息，请参阅将 vfio-pci SR-IOV 设备的 MTU 公开给 pod。

1.3.15.16. MetalLB 指标命名更新

在这个版本中，MetalLB 和 BFD 指标的命名约定已更新：

BGP 指标的命名已从 metallb_bgp_<metric_name> 更新到 frrk8s_bgp_<metric_name>。
BFD 指标的命名已从 metallb_bfd_<metric_name> 更新到 frrk8s_bfd_<metric_name>。

要以新格式查看所有指标，请参阅 BGP 和 BFD 的 MetalLB 指标。

1.3.16. 容器镜像仓库（Registry）

1.3.16.1. S3 registry 存储的新 chunkSizeMiB 配置参数

现在，使用 S3 API 兼容的后端存储部署提供了一个新的可选配置参数 chunkSizeMiB。配置后，它会决定 S3 API 的多部分上传块的大小。默认值为 10 MiB，最小值为 5 MiB。

如需更多信息，请参阅 AWS S3 的 Image Registry Operator 配置参数。

1.3.17. Red Hat Enterprise Linux CoreOS (RHCOS)

1.3.17.1. RHCOS 使用 RHEL 9.4

RHCOS 在 OpenShift Container Platform 4.17 中使用 Red Hat Enterprise Linux (RHEL) 9.4 软件包。这些软件包可确保 OpenShift Container Platform 实例收到最新的修复、功能、增强功能、硬件支持和驱动程序更新。

1.3.17.2. 支持 DNF 软件包管理器

在这个版本中，您可以使用 DNF 将额外的软件包安装到自定义的 Red Hat Enterprise Linux CoreOS (RHCOS) 构建中。如需更多信息，请参阅 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层。

1.3.18. Storage

1.3.18.1. AWS EFS CSI 存储使用指标已正式发布

Amazon Web Services (AWS) Elastic File Service (EFS) 使用指标允许您监控 EFS 卷使用的空间量。这个功能已正式发布。

重要

打开这些指标可能会导致性能下降，因为 CSI 驱动程序会遍历整个卷。因此，默认禁用这个选项。管理员必须显式启用此功能。

如需更多信息，请参阅 AWS EFS 存储 CSI 使用指标。

1.3.18.2. 防止未经授权的卷模式转换已正式发布

在以前的版本中，没有验证原始卷 (filesystem 或 raw 块) 的模式是否与新创建的卷的模式匹配。这会产生一个安全隐患，允许恶意用户利用主机操作系统中的非临时漏洞。

然而，某些用户确实需要执行此类转换。此功能允许集群管理员向可信用户或应用程序（如备份供应商）提供这些权限（无法对 VolumeSnapshotContents 对象执行更新或补丁操作）。

要转换卷模式，授权用户需要更改 snapshot.storage.kubernetes.io/allow-volume-mode-change: "true" 用于快照源的 VolumeSnapshotContent。

此功能作为正式发布 (GA) 被支持。

1.3.18.3. 为 GCP Filestore 自动删除资源已正式发布

在早期版本的 OpenShift Container Platform 中，在销毁集群时，Google Compute Platform (GCP) Filestore Storage 不会删除属于该集群的所有云资源。这需要在销毁集群前手动删除使用 Filestore 存储类的所有持久性卷声明 (PVC)。

在 OpenShift Container Platform 4.17 中，当销毁集群时，OpenShift Container Platform 安装程序通常会删除属于该集群的所有云资源，因此不需要手动删除 PVC。但是，由于 Google Compute Platform (GCP) Filestore 资源的特殊性质，在一些罕见的情况下，自动清理过程可能不会完全删除它们。此功能作为正式发布 (GA) 被支持。

如需更多信息，请参阅销毁集群和 GCP Filestore。

1.3.18.4. Azure File CSI 支持快照（技术预览）

OpenShift Container Platform 4.17 引入了对 Microsoft Azure File Container Storage Interface (CSI) Driver Operator 的卷快照支持。这个功能作为技术预览功能被支持。

如需更多信息，请参阅 OpenShift Container Platform 支持的 CSI 驱动和 CSI 卷快照。

1.3.18.5. 对 vSphere CSI 的多个 vCenter 支持（技术预览）

OpenShift Container Platform v4.17 引入了在多个 vSphere 集群(vCenters)上部署 OpenShift Container Platform 的功能。此功能支持技术预览状态。

多个 vCenter 只能在安装过程中配置。支持的 vCenter 集群的最大数量为三个。

如需更多信息，请参阅 vSphere CSI 的多个 vCenter 支持和 vSphere 的安装配置参数。

1.3.18.6. 在 vSphere 上禁用和启用存储（技术预览）

集群管理员可能希望禁用 VMWare vSphere Container Storage Interface (CSI) 驱动程序作为第 2 天操作，因此 vSphere CSI 驱动程序不与您的 vSphere 设置接口。对这个功能的支持为技术预览

如需更多信息，请参阅在 vSphere 上禁用和启用存储。

1.3.18.7. RWX/RWO SELinux Mount （开发者预览）

当卷包含大量文件时，Pod 可能需要很长时间才能启动。为了在使 SELinux 进行限制时避免 SELinux 标记的问题，您可以启用 ReadWriteMany/ReadWriteOnce (RWX/RWO) SELinux Mount 功能。请注意，RWX/RWO SELinux Mount 功能是一个开发人员预览功能。红帽目前不支持这个功能，您不应该在生产环境中或您计划长期维护的集群中启用此功能。

重要

RWX/RWO SELinux Mount 只是一个技术预览功能。Developer Preview（开发人员预览）功能不被红帽支持，其功能可能并不完善且不是生产环境就绪。不要将开发人员预览功能用于生产环境或业务关键型工作负载。开发人员预览功能可以在之前可能地包含在红帽产品产品中提前访问即将推出的产品功能，使客户能够测试功能并在开发过程中提供反馈。这些功能可能没有任何文档，可能会随时被更改或删除，测试也会受到限制。红帽可能会提供在没有关联 SLA 的情况下提交对开发人员预览功能的反馈。

有关 RWX/RWO SELinux 挂载功能的更多信息，包括如何启用它，请参阅 RWX/RWO SELinux 挂载功能知识库文章。

1.3.18.8. 使用 cns-migration在数据存储之间迁移 CNS 卷（开发者预览）

在 OpenShift Container Platform 4.17 中，如果当前数据存储的空间已耗尽，或希望使用一个性能更好的数据存储，您可以在这些数据存储之间迁移卷。请注意，此功能是开发者技术预览功能。红帽不支持它。

重要

在 Datastore 之间迁移 CNS 卷只是一个技术预览功能。Developer Preview（开发人员预览）功能不被红帽支持，其功能可能并不完善且不是生产环境就绪。不要将开发人员预览功能用于生产环境或业务关键型工作负载。开发人员预览功能可以在之前可能地包含在红帽产品产品中提前访问即将推出的产品功能，使客户能够测试功能并在开发过程中提供反馈。这些功能可能没有任何文档，可能会随时被更改或删除，测试也会受到限制。红帽可能会提供在没有关联 SLA 的情况下提交对开发人员预览功能的反馈。

有关 cns-migration 的更多信息，请参阅在数据存储间移动 CNS 卷。

1.3.18.9. Google Secret Manager 现在可用于 Secrets Store CSI Driver Operator （技术预览）

现在，您可以使用 Secrets Store CSI Driver Operator 将 secret 从 Google Secret Manager 挂载到 OpenShift Container Platform 中的 Container Storage Interface (CSI) 卷。Secrets Store CSI Driver Operator 作为技术预览提供。

有关可用机密存储提供程序的完整列表，请参阅 Secret 存储提供程序。

有关使用 Secrets Store CSI Driver Operator 从 Google Secret Manager 挂载 secret 的详情，请参考从 Google Secret Manager 挂载 secret。

1.3.19. 可伸缩性和性能

1.3.19.1. 内核模块管理 Operator

在本发行版本中，固件搜索路径已被更新，将指定路径的内容复制到 worker.setFirmwareClassPath 中指定的路径中（默认为 /var/lib/firmware）。如需更多信息，请参阅模块 CR 示例。

1.3.19.2. etcd 的节点扩展

在本发行版本中，如果在裸机平台上安装了集群，您可以将集群 control plane 扩展到 5 个节点作为安装后任务。etcd Operator 会相应地扩展，以考虑额外的 control plane 节点。如需更多信息，请参阅 etcd 的节点扩展。

1.3.20. 安全性

1.3.20.1. 自动轮转签名者证书

在这个版本中，所有 etcd 证书都源自一个新的命名空间：openshift-etcd。当新的签名者证书接近其过期日期时，会出现以下操作：

激活 signer 证书自动轮转。
证书捆绑包更新。
使用新签名者重新生成所有证书。

通过删除特定的 secret 并等待状态 pod rollout 完成，仍然支持手动轮转 signer 证书。

1.3.20.2. sigstore 签名镜像验证

在这个版本中，技术预览集群使用 Sigstore 签名来验证使用引用 quay.io/openshift-release-dev/ocp-release 仓库的 pull spec 检索的镜像。

目前，如果您要镜像镜像，还必须镜像 quay.io/openshift-release-dev/ocp-release:<release_image_digest_with_dash>.sig Sigstore 签名，以便镜像验证成功。

1.3.21. Web 控制台

1.3.21.1. OpenShift Lightspeed Operator 在 web 控制台中提供

从 OpenShift Container Platform 4.16 开始，OpenShift Lightspeed Operator 可以在 web 控制台中使用。在这个版本中，添加了浮动按钮来帮助您发现 OpenShift Lightspeed。点浮动按钮后，会弹出聊天窗口，其中会显示有关如何在集群中启用和安装 OpenShift Lightspeed 的说明。在更改默认用户首选项时，您可以隐藏 OpenShift Lightspeed 按钮。

1.3.21.2. Administrator perspective （管理员视角）

此发行版本对 web 控制台的 Administrator 视角包括以下更新：

弃用的 Operator 在安装后会在 OperatorHub 中显示，以及一条关于 Operator 弃用的警告通知。
您可以检查 MachineConfig 对象的配置文件的内容，而无需手动检索其内容。
如果您的集群位于带有 Workload Identity Foundation (WIF) 的 Google Cloud Platform (GCP) 上，在 Operator 详情页以及 Operator 安装页中会带有一个提示信息。
在 Shipwright 页中添加了一个 ShipWright BuildStrategy 页，它带有 ClusterBuildStrategy 和 BuildStrategy 选项卡。

1.3.21.2.2. 现在，外部 OpenID Connect (OIDC) 令牌签发者在 web 控制台中可以正常工作

在这个版本中，当内部 oauth-server 资源和 oauth-apiserver 资源被删除并替换为外部 OpenID Connect (OIDC)签发者时，web 控制台可以正常工作。

1.3.21.3. Developer Perspective (开发者视角)

此发行版本在 web 控制台的 Developer 视角包括以下更新：

当您使用其中一个添加流来创建新部署时，Import from Git 或容器镜像 会在侧边栏中自动打开它们。
如果 OpenShift Container Platform 无法识别类型，您可以轻松地选择所需的 Git Type，而无需使用列表。
Import from Git 支持 GitEA（GitHub 的一个开源替代方案）
如果达到了 PodDisruptionBudget 的限制，则 Topology 页会显示一个警告通知。
当通过 Import from Git 流导入应用程序时，您可以使用 Shipwright 构建策略，如 S2I、buildpack 和 buildah 策略来构建镜像。

1.4. 主要的技术变化

OpenShift Container Platform 4.17 包括以下显著的技术更改：

Operator SDK 1.36.1

OpenShift Container Platform 4.17 支持 Operator SDK 1.36.1。请参阅安装 Operator SDK CLI 来安装或更新到这个最新版本。

注意

Operator SDK 1.36.1 现在支持 Kubernetes 1.29 并使用 Red Hat Enterprise Linux (RHEL) 9 基础镜像。

如果您有之前使用 Operator SDK 1.31.0 创建或维护的 Operator 项目，请更新您的项目以保持与 Operator SDK 1.36.1 的兼容性。

1.5. 弃用和删除的功能

之前版本中的一些功能已被弃用或删除。

弃用的功能仍然包含在 OpenShift Container Platform 中，并将继续被支持。但是，这个功能会在以后的发行版本中被删除，且不建议在新的部署中使用。有关 OpenShift Container Platform 4.17 中已弃用并删除的主要功能的最新列表，请参考下表。表后列出了更多已弃用和删除的功能的更多详细信息。

在以下表格中，功能被标记为以下状态：

不可用
技术预览
公开发行
已弃用
删除

裸机监控已弃用和删除的功能

表 1.6. 裸机事件中继 Operator tracker
功能	4.15	4.16	4.17
裸机事件中继 Operator	已弃用	已弃用	删除

镜像已弃用和删除的功能

表 1.7. Cluster Samples Operator 弃用并删除了 tracker
功能	4.15	4.16	4.17
Cluster Samples Operator	公开发行	已弃用	已弃用

安装已弃用和删除的功能

表 1.8. 安装已弃用并删除跟踪器
功能	4.15	4.16	4.17
`oc adm release extract` 的 `--cloud` 参数	已弃用	已弃用	已弃用
对 `cluster.local` 域的 CoreDNS 通配符查询	已弃用	已弃用	已弃用
`compute.platform.openstack.rootVolume.type` for RHOSP	已弃用	已弃用	已弃用
`controlPlane.platform.openstack.rootVolume.type` for RHOSP	已弃用	已弃用	已弃用
安装程序置备的基础架构集群的 `install-config.yaml` 文件中的 `ingressVIP` 和 `apiVIP` 设置	已弃用	已弃用	已弃用
基于软件包的 RHEL 计算机器	公开发行	已弃用	已弃用
用于 Amazon Web Services (AWS) 的`platform.aws.preserveBootstrapIgnition` 参数	公开发行	已弃用	已弃用
Amazon Web Services (AWS), VMware vSphere 和 Nutanix 的 Terraform 基础架构供应商	公开发行	删除	删除
使用安装程序置备的基础架构在 Alibaba Cloud 上安装集群	技术预览	删除	删除
在带有 AWS Outposts 中的计算节点的 AWS 上安装集群	已弃用	已弃用	已弃用

Operator 生命周期和开发已弃用和删除的功能

表 1.9. Operator 生命周期和开发已弃用并删除 tracker
功能	4.15	4.16	4.17
Operator SDK	公开发行	已弃用	已弃用
为基于 Ansible 的 Operator 项目构建工具	公开发行	已弃用	已弃用
为基于 Helm 的 Operator 项目构建工具	公开发行	已弃用	已弃用
为基于 Go 的 Operator 项目构建工具	公开发行	已弃用	已弃用
为基于 Helm 的 Operator 项目构建工具	技术预览	已弃用	已弃用
为基于 Java 的 Operator 项目构建工具	技术预览	已弃用	已弃用
平台 Operator	技术预览	删除	删除
普通捆绑包	技术预览	删除	删除
Operator 目录的 SQLite 数据库格式	已弃用	已弃用	已弃用

机器管理已弃用和删除的功能

表 1.10. 机器管理已弃用并删除 tracker
功能	4.15	4.16	4.17
使用 Alibaba Cloud 的 Machine API 管理机器	技术预览	删除	删除
Alibaba Cloud 的云控制器管理器	技术预览	删除	删除

监控已弃用和删除的功能

表 1.11. 监控已弃用和删除的 tracker
功能	4.15	4.16	4.17
`dedicatedServiceMonitors` 设置，用于为核心平台监控启用专用的服务监控器	已弃用	删除	删除
`prometheus-adapter` 组件查询来自 Prometheus 的资源，并在 metrics API 中公开它们。	已弃用	删除	删除

已弃用和删除的网络功能

表 1.12. 已弃用和删除的网络功能跟踪器
功能	4.15	4.16	4.17
OpenShift SDN 网络插件	已弃用	已弃用	删除
iptables	已弃用	已弃用	已弃用
从 OpenShift SDN 到 OVN-Kubernetes 的有限的实时迁移	不可用	公开发行	删除
PTP 事件 REST API v1 和 PTP 事件消费者应用程序 sidecar	公开发行	公开发行	已弃用

存储已弃用和删除的功能

表 1.13. 存储已弃用和删除的 tracker
功能	4.15	4.16	4.17
AliCloud Disk CSI Driver Operator	公开发行	删除	删除
共享资源 CSI 驱动程序 ^[1]	已弃用	已弃用	已弃用

Shared Resource CSI Driver 功能现在包括在 Red Hat OpenShift 1.1 的构建中。此功能现在在 OpenShift Container Platform 中已弃用。要使用这个功能，请确保使用 Red Hat OpenShift 1.1 或更新版本的构建。

节点已弃用和删除的功能

表 1.14. 节点已弃用并删除 tracker
功能	4.15	4.16	4.17
`ImageContentSourcePolicy` (ICSP) 对象	已弃用	已弃用	已弃用
Kubernetes 拓扑标签 `failure-domain.beta.kubernetes.io/zone`	已弃用	已弃用	已弃用
Kubernetes 拓扑标签 `failure-domain.beta.kubernetes.io/region`	已弃用	已弃用	已弃用
cgroup v1	公开发行	已弃用	已弃用

Web 控制台已弃用和删除的功能

表 1.15. Web 控制台已弃用并删除 tracker
功能	4.15	4.16	4.17
PatternFly 4	已弃用	已弃用	已弃用
React Router 5	已弃用	已弃用	已弃用

工作负载已弃用和删除的功能

表 1.16. 工作负载已弃用和删除的 tracker
功能	4.15	4.16	4.17
`deploymentConfig` 对象	已弃用	已弃用	已弃用

1.5.1. 已弃用的功能

1.5.1.1. AWS 的 preserveBootstrapIgnition 参数

install-config.yaml 文件中的 AWS 的 preserveBootstrapIgnition 参数已弃用。您可以使用 bestEffortDeleteIgnition 参数替代。(OCPBUGS-33661)

1.5.1.2. kube-apiserver 不再获取有效的云配置对象

在 OpenShift Container Platform 4.17 中，kube-apiserver 不再获得有效的云配置对象。因此，PersistentVolumeLabel 准入插件会拒绝树内 Google Compute Engine (GCE) 持久磁盘持久性卷 (PD PV)，它们没有正确的拓扑。(OCPBUGS-34544)

1.5.1.3. kube-apiserver 不再获取有效的云配置对象

在 OpenShift Container Platform 4.16 中，Patternfly 4 和 React Router 5 已被弃用。在 OpenShift Container Platform 4.17 中弃用的静态保留相同。所有相关插件都应尽快迁移到 Patternfly 5 和 React Router 6。(OCPBUGS-34538)

1.5.2. 删除的功能

1.5.2.1. 裸机事件中继 Operator (BMER)

OpenShift Container Platform 版本 4.15 和 4.16 中已弃用 BMER。在这个版本中，BMER 不再被支持，相关的 BMER 内容已从文档中删除。

1.5.2.2. OpenShift SDN 网络插件（删除）

OpenShift SDN 网络插件在 4.15 和 4.16 中已弃用。在这个版本中，SDN 网络插件不再被支持，内容已从文档中删除。

1.5.2.3. 删除 RukPak （技术预览）

RukPak 在 OpenShift Container Platform 4.12 中作为技术预览功能引进。从 OpenShift Container Platform 4.14 开始，它被用作 Operator Lifecycle Manager (OLM) v1 技术预览中的组件。

从 OpenShift Container Platform 4.17 开始，OLM v1 已被删除，相关功能已移至其他组件。

1.6. 程序错误修复

裸机硬件置备

在以前的版本中，尝试使用 Redfish 在特定硬件型号上配置 RAID 可能会导致以下错误：The attribute StorageControllers/Name is missing from the resource。在这个版本中，验证逻辑不再需要 Name 字段，因为 Redfish 标准不强制使用该字段。(OCPBUGS-38465)
在以前的版本中，Red Hat Redfish Bare Metal Operator (BMO) 模块中的 iDRAC9 Redfish 管理接口错误地设置为 iPXE。这会导致错误 Could not find the following interface in the ironic.hardware.interfaces.management entrypoint: ipxe，部署在基于 Dell Remote Access Controller (iDRAC) 的服务器上会失败。在这个版本中，这个问题已解决。(OCPBUGS-37261)

Builds

在以前的版本中，构建无法设置 GIT_LFS_SKIP_SMUDGE 环境变量，并在克隆源代码时使用其值。这会导致构建对于带有 LFS 文件的一些 Git 仓库失败。在这个版本中，构建可以设置此环境变量，并在构建的 git clone 步骤中使用它，从而解决这个问题。(OCPBUGS-33215)
在以前的版本中，如果开发人员或集群管理员将小写环境变量名称用于代理信息，则这些环境变量会传送到构建输出容器镜像中。在运行时，代理设置处于活跃状态，必须取消设置。在这个版本中，*_PROXY 环境变量的小写版本无法泄漏构建的容器镜像。现在，buildDefaults 仅在为构建过程创建的构建和设置期间保留，仅在推送 registry 中的镜像前删除。(OCPBUGS-12699)

Cloud Compute

在以前的版本中，机器控制器无法保存实例模板克隆操作的 VMware vSphere 任务 ID。这会导致机器进入 Provisioning 状态并关闭电源。在这个版本中，VMware vSphere 机器控制器可以检测到这个状态并从这个状态恢复。(OCPBUGS-1735)
在以前的版本中，当 machine-api Operator 删除处于 ERROR 状态的服务器时，它会做出反应。这是因为服务器没有传递端口列表。在这个版本中，删除处于 ERROR 状态的机器不会造成 Operator 反应。(OCPBUGS-33806)
在以前的版本中，因为缺少权限，您无法在 Microsoft Azure Workload Identity 集群上配置容量保留。在这个版本中，Microsoft.Compute/capacityReservationGroups/deploy/action 权限作为默认凭证请求添加到 <infra-name>-openshift-machine-api-azure-cloud-credentials 自定义角色中，因此您可以按预期配置容量保留。(OCPBUGS-37154)
在以前的版本中，集群自动扩展的可选内部功能会在未实现时重复日志条目。这个问题已在本发行版本中解决。(OCPBUGS-33592)
在以前的版本中，与重新引导机器关联的节点会短暂处于 Ready=Unknown 状态，这会触发 Control Plane Machine Set Operator 中的 UnavailableReplicas 条件。此条件导致 Operator 进入 Available=False 状态并触发警报，因为该状态表示需要立即管理员干预的非功能组件。重新引导时，不应为简短和预期的未提供警报触发此警报。在这个版本中，添加了节点未就绪的宽限期，以避免触发不必要的警报。(OCPBUGS-20061)
在以前的版本中，当在没有功能且之后启用构建功能的情况下安装 OpenShift Container Platform 集群时，不会创建相关的 Build 集群配置自定义资源定义 (CRD)。在这个版本中，会创建 Build 集群配置 CRD 及其默认实例。这允许完全配置和自定义构建功能。(OCPBUGS-34395)
在以前的版本中，与 Image Registry、Build 和 DeploymentConfig 功能相关的角色绑定都会在每个命名空间中创建，即使禁用了功能。在这个版本中，只有在集群中启用了功能时，才会创建角色绑定。(OCPBUGS-34077)

Cloud Credential Operator

在以前的版本中，集群中的 secret 会在一个单一调用中获取。当有大量 secret 时，API 会超时。在这个版本中，Cloud Credential Operator 会批量获取 secret（每次仅限 100 个 secret）。这个更改可防止集群中出现大量 secret 超时。(OCPBUGS-41233)
在以前的版本中，当 AWS 安全令牌服务使用手动模式的集群中没有 awsSTSIAMRoleARN 角色时，Cloud Credential Operator 会报告一个错误。在这个版本中，Cloud Credential Operator 不再报告为错误。(OCPBUGS-33566)
在以前的版本中，当检查 passthrough 权限是否足够时，Cloud Credential Operator 有时会收到来自 Google Cloud Platform (GCP) API 的、项目的权限无效的响应。这个响应会导致 Operator 降级并安装失败。在这个版本中，Operator 已被更新，可以正确地处理这个错误。(OCPBUGS-36140)

Cluster Version Operator

在以前的版本中，在罕见的情况下，Go 例程间会出现竞争条件，会导致 CVO 启动后 Cluster Version Operator (CVO) 出现 panic。在这个版本中，改进了 Go 例程间的同步，这个问题已解决。(OCPBUGS-32678)

开发人员控制台

在以前的版本中，在一些浏览器中，示例目录中的一些图标被扩展，使其难以读取。在这个版本中，图标会被正确调整大小，现在图标不再扩展且更容易读取。(OCPBUGS-34516)
在以前的版本中，func.yml 中没有明确提到 s2i 构建策略。因此，您无法创建带有仓库的 OpenShift Serverless 功能。另外，如果没有提到 s2i 或 func.yml，则错误消息不可用。因此，识别失败的原因并不明显。在这个版本中，如果没有提到 s2i 构建策略，用户仍然可以创建功能。如果没有 s2i，用户无法创建功能。现在，对于这两种情况，错误消息会有所不同。(OCPBUGS-33733)
在以前的版本中，当在 OpenShift Container Platform Web 控制台中使用快速入门指南时，如果 检查您的工作 框被忽略，则需要多次点 Next 按钮来跳至下一步。在这个版本中，无论检查您的工作框的状态如何，只需要点一次。(OCPBUGS-25929)

Driver ToolKit (DTK)

在以前的版本中，DTK 错误地为 KERNEL_VERSION 和 RT_KERNEL_VERSION 包括相同的值，它们存在于 /etc/driver-toolkit-release.json 配置文件中。在这个版本中，RT_KERNEL_VERSION 会被正确显示。(OCPBUGS-33699)

etcd Cluster Operator

在以前的版本中，etcd Operator 会检查串行中的 etcd 成员的健康状况，并带有与单成员超时匹配的 all-member 超时。因此，一个较慢的成员检查可能会消耗整个超时时间，并导致后续成员检查失败，无论以后成员的健康状况是什么。在这个版本中，etcd 会并行检查成员的健康状况，因此一个成员检查的健康和速度不会影响其他成员的检查。(OCPBUGS-36301)
在以前的版本中，etcd Operator 的健康检查没有被排序。因此，健康检查有时会失败，即使所有 etcd 成员都健康。health-check 失败会触发缩减事件，这会导致 Operator 永久删除健康的成员。在这个版本中，Operator 中的健康检查会被排序。因此，健康检查可以正确地反映 etcd 成员的健康状况，且不会发生不正确的缩减事件。(OCPBUGS-36462)

托管 control plane

要查看 OpenShift Container Platform 4.17 上托管的 control plane 的程序错误修复，请参阅程序错误修复。

镜像 Registry

在以前的版本中，内部镜像 registry 无法正确验证使用外部 OpenID Connect (OIDC) 用户配置的集群中的用户。因此，用户无法在内部镜像 registry 中推送或拉取镜像。在这个版本中，内部镜像 registry 使用 SelfSubjectReview API 开始，丢弃使用 openshift 特定用户的 API，这在配置了外部 OIDC 用户的集群中不可用。现在，可以成功与内部镜像 registry 进行身份验证。(OCPBUGS-35335)
在以前的版本中，因为证书目录中的权限错误，镜像 registry 无法运行。这个问题已解决。(OCPBUGS-38885)
在以前的版本中，当启用镜像 registry Operator 配置中设置的 regionEndpoint 的 virtualHostedStyle 时，镜像 registry 会忽略虚拟托管的风格配置，且无法启动。在这个版本中，使用新的上游分发配置（强制路径风格）解决了这个问题，而使用下游仅是虚拟托管风格的版本。(OCPBUGS-32710)
在以前的版本中，当使用 Workload ID 在 Azure 集群上部署 OpenShift Container Platform 时，为集群创建的存储帐户，且镜像 registry 默认启用 Storage Account Key Access，这可能会给部署带来安全风险。
在这个版本中，在使用 Workload ID 的新安装中默认禁用共享访问密钥，从而防止使用共享访问密钥来增强安全性。
重要
只有在集群被配置为使用 Workload ID 时，才应禁用共享访问密钥。在没有使用 Microsoft Entra Workload ID 配置的集群中禁用共享访问密钥可能会导致 Image Registry Operator 降级。
对于在更新前创建的现有存储帐户，不会自动禁用共享访问密钥。管理员必须手动禁用这些存储帐户的共享访问密钥支持，以防止使用共享密钥。有关禁用共享访问密钥的更多信息，请参阅 Azure Storage 帐户的 Prevent Shared Key 授权。
(OCPBUGS-39428)

安装程序

在以前的版本中，从 Cluster API Machine 对象提取 IP 地址只返回单个地址。在 VMware vSphere 中，返回的地址始终是一个 IPv6 地址，如果地址不可路由，这会导致 must-gather 实现出现问题。在这个版本中，Cluster API Machine 对象会返回所有 IP 地址，包括 IPv4，以便在 VMware vSphere 上不再发生 must-gather 问题。(OCPBUGS-37427)
在以前的版本中，当在 IBM Cloud® 上安装集群到现有的 VPC 中时，安装程序会检索不支持的 VPC 区域。尝试安装到遵循不支持的 VPC 区域（按字母顺序排序）的 VPC 区域会导致安装程序崩溃。在这个版本中，安装程序被更新，以忽略在资源查找过程中没有完全可用的 VPC 区域。(OCPBUGS-14963)
在以前的版本中，安装程序尝试在 VMware vSphere 上下载 OVA，无论是否定义了 template 字段。在这个版本中，这个问题已被解决。安装程序会验证是否定义了 template 字段。如果未定义 template 字段，则会下载 OVA。如果定义了 template 字段，则不会下载 OVA。(OCPBUGS-39240)
在以前的版本中，如果没有启用功能门 ClusterAPIInstallAWS=true，则启用自定义功能门有时会导致 AWS 集群上安装失败。在这个版本中，不需要 ClusterAPIInstallAWS=true 功能门。(OCPBUGS-34708)
在以前的版本中，如果安装程序因为基础架构置备失败而退出，则一些进程可能会继续运行。在这个版本中，当安装程序终止时，所有与安装相关的进程都会被终止。(OCPBUGS-36378)
在以前的版本中，在 AWS 上安装集群时，安装程序需要创建和删除 IAM 角色，即使提供了现有的 IAM 角色。在这个版本中，安装程序仅在创建 IAM 角色时需要这些权限。(OCPBUGS-36390)
在以前的版本中，在不警告用户的情况下会修剪较长的集群名称。在这个版本中，安装程序会在修剪长集群名称时警告用户。(OCPBUGS-33840)
在以前的版本中，在收集 bootstrap 收集日志时，openshift-install CLI 有时无法连接到 bootstrap 节点。安装程序报告错误消息，如 The bootstrap machine did not execute the release-image.service systemd unit。在这个版本中，在 bootstrap 收集日志问题发生后，安装程序现在会报告更加准确的错误信息 Invalid log bundle or the bootstrap machine could not be reached and bootstrap logs were not collected。(OCPBUGS-34953)
在以前的版本中，当在 AWS 上安装集群时，安装程序创建的子网会错误地标记为 kubernetes.io/cluster/<clusterID>: shared 标签。在这个版本中，这些子网使用 kubernetes.io/cluster/<clusterID>: owned 标签正确标记。(OCPBUGS-36904)
在以前的版本中，如果安装失败，在安装过程中保存的本地 etcd 数据存储不会被删除，这会消耗安装主机上的额外空间。在这个版本中，如果基础架构置备失败，则存储的数会被删除。(OCPBUGS-36284)
在以前的版本中，当未定义文件夹，且数据中心位于一个数据中心文件夹中时，会创建一个错误的文件夹结构，vCenter 服务器的根目录开始。在使用 Govmomi DatacenterFolders.VmFolder 时，它会使用错误的路径。在这个版本中，文件夹结构使用数据中心清单路径，并将其与虚拟机 (VM) 和集群 ID 值连接，从而解决了这个问题。(OCPBUGS-38616)
在以前的版本中，当为每个故障域定义模板时，安装程序需要一个外部连接来下载 VMware vSphere 中的 OVA。在这个版本中，这个问题已解决。(OCPBUGS-39239)
在以前的版本中，在 Nutanix 中安装使用 DHCP 网络的集群会失败。在这个版本中，这个问题已解决。(OCPBUGS-38934)
在以前的版本中，由于 SCOS 中的 EFI 安全引导失败，当 FCOS 导向 SCOS 时，虚拟机 (VM) 无法引导。在这个版本中，只有在 coreos.ovf 配置文件中启用了安全引导时，才会禁用安全引导，并解决了这个问题。(OCPBUGS-37736)
在以前的版本中，如果您在 install-config.yaml 文件中指定了不支持的构架，安装程序会失败并显示 connection refused 信息。在这个版本中，安装程序会正确验证集群架构参数，安装可以成功。(OCPBUGS-38841)
在以前的版本中，在一个罕见的情况下 om VMware vSphere Cluster API 机器会导致 vCenter 会话管理意外超时。在这个版本中，对 Keepa Alive 的支持在当前及更新的 CAPV 版本中会被禁用的问题已被解决。(OCPBUGS-38677)
在以前的版本中，Amazon Web Services (AWS)上的安装程序使用多个 Amazon 启动了计费的 IPv4 公共 IP 地址。在这个版本中，为在 OpenShift Container Platform 中提供自己的(BYO)公共 IPv4 池的支持，以便用户可以控制其服务使用的 IP 地址。如果启用了 BYO 公共 IPv4 池功能，两个新权限 ec2:DescribePublicIpv4Pools 和 ec2:DisassociateAddress 是必需的，并解决了这个问题。(OCPBUGS-35504)
在以前的版本中，当用户在使用现有子网并创建私有集群时提供公共子网时，安装程序会偶尔在公共互联网上公开在公共子网中创建的负载均衡器。私有集群不应出现这个行为。在这个版本中，这个问题已被解决。现在，在一个私有集群的安装过程中会显示一个警告信息，告知提供公共子网可能会破坏私有集群，要解决这个问题需要修改相关的输入。(OCPBUGS-38963)
在以前的版本中，在安装过程中，oc adm node-image create 命令使用 kube-system/cluster-config-v1 资源来确定平台类型。在这个版本中，安装程序使用基础架构资源，它提供了有关平台类型的更准确的信息。(OCPBUGS-39092)
在以前的版本中，当针对带有代理的受限环境中的一个集群运行 oc adm node-image create 命令会失败，因为命令会忽略集群范围的代理设置。在这个版本中，在运行这个命令时，它会检查集群代理资源设置（如果可用）以确保命令成功运行，从而解决了这个问题。(OCPBUGS-39090)
在以前的版本中，当使用基于代理的安装程序安装集群时，assisted-installer 进程在试图在集群中添加 control plane 节点时可能会超时。在这个版本中，assisted-installer 进程从 assisted-service 进程加载新数据，从而防止超时问题的出现。(OCPBUGS-36779)
在以前的版本中，当 VMware vSphere vCenter 集群包含没有定义标准端口组的 ESXi 主机，且安装程序试图选择导入 OVA 的主机时，导入会失败，并报告 Invalid Configuration for device 0 错误。在这个版本中，安装程序会验证 ESXi 主机的标准端口组是否已定义，如果没有，会继续进行验证，直到找到带有定义的标准端口组的 ESXi 主机为止，或者报告错误消息（如果无法找到一个），从而解决了这个问题。(OCPBUGS-38560)
在以前的版本中，从 Cluster API Machine 对象提取 IP 地址只会返回一个单一的 IP 地址。在 VMware vSphere 中，返回的地址始终是一个 IPv6 地址，如果地址不可路由，这会导致 must-gather 实现出现问题。在这个版本中，Cluster API Machine 对象会返回所有 IP 地址，包括 IPv4，以便在 VMware vSphere 上不再发生 must-gather 问题。(OCPBUGS-37607)
在以前的版本中，当在 AWS 上安装集群时，即使要禁用 EKS，Elastic Kubernetes Service (EKS) 信息也会出现在安装日志中。在这个版本中，禁用了 EKS 日志消息。(OCPBUGS-35752)
在以前的版本中，当创建安装程序置备的基础架构 (IPI) 集群时，终端会出现意外输出。在这个版本中，这个问题已被解决，意外输出不再会出现。(OCPBUGS-35547)
在以前的版本中，当使用 ./openshift-install destroy cluster 命令删除集群后在 AWS 上安装集群时，安装会失败，并显示一个错误，表示可能已经有一个正在运行的集群。在这个版本中，在集群销毁后所有剩余的工件都会被删除，从而使以后的安装可以成功。(OCPBUGS-35542)
在以前的版本中，当在 AWS 上安装集群时，负载均衡器入口规则会持续撤销并重新授权，从而导致集群置备不必要的 API 调用和延迟。在这个版本中，在安装过程中不再撤销负载均衡器入口规则，从而减少 API 流量和安装延迟。(OCPBUGS-35440)
在以前的版本中，当在没有 fixedIPs 值的情况下设置 platform.openstack.controlPlanePort.network 时，安装程序会输出有关网络缺少子网的误导错误消息。在这个版本中，安装程序会验证 install-config 字段 controlPlanePort 是否具有有效的子网过滤器，因为它是一个必需的值。(OCPBUGS-37104)
在以前的版本中，为用户置备的安装平台添加 IPv6 支持会导致命名 Red Hat OpenStack Platform (RHOSP) 资源的问题，特别是在同一 Red Hat OpenStack Platform (RHOSP) 平台上运行两个用户置备的安装集群时。这是因为两个集群与网络、子网和路由器资源共享相同的名称。在这个版本中，集群的所有资源名称在那个集群中都是唯一的，因此不会相互干扰。(OCPBUGS-33973)
在以前的版本中，当在使用安装程序置备的基础架构的 IBM Power® Virtual Server 上安装集群时，安装可能会因为负载均衡器超时而失败。在这个版本中，安装程序会等待负载均衡器可用，而不是超时。(OCPBUGS-34869)
在以前的版本中，当使用 Assisted Installer 时，使用包含冒号字符 (:) 的密码会导致安装失败。在这个版本中，在密码中包含冒号的 pull secret 不会导致 Assisted Installer 失败。(OCPBUGS-31727)
在以前的版本中，使用 SATA 硬件的固态驱动器(SSD) 被识别为可移动。OpenShift Container Platform 的 Assisted Installer 报告没有找到合格的磁盘，安装会停止。在这个版本中，可移动磁盘可以进行安装。(OCPBUGS-33404)
在以前的版本中，当使用安装程序置备的基础架构在裸机上安装集群时，如果网络到 bootstrap 虚拟机较慢，则安装可能会超时。在这个版本中，超时持续时间已被增加，以满足更广泛的网络性能场景。(OCPBUGS-41500)
在以前的版本中，当在 IBM Power® Virtual Server 上安装集群时，安装程序不会在 madrid 区域中列出 e980 系统类型。在这个版本中，安装程序会正确列出这个区域。(OCPBUGS-38439)
在以前的版本中，在安装单节点 OpenShift 集群后，监控系统可能会生成应用到具有多个节点的集群的警报。在这个版本中，单节点 OpenShift 集群只生成应用到单节点 OpenShift 集群的监控警报。(OCPBUGS-35833)
在以前的版本中，当在 IBM Power® Virtual Server 上安装集群时，因为 DHCP 服务器网络冲突，安装可能会失败。在这个版本中，安装程序会选择一个随机数字来生成 DHCP 网络以避免冲突。(OCPBUGS-33912)
在以前的版本中，安装程序使用 Neutron API 端点来标记安全组。此 API 不支持特殊字符，因此一些 Red Hat OpenStack Platform (RHOSP) 集群无法在 RHOSP 上安装。在这个版本中，安装程序使用替代端点来标记安全组，以便问题不再保留。(OCPBUGS-36913)
在以前的版本中，为 install-config 配置文件中的机器池的 additionalNetworkIDs 参数设置无效的通用唯一标识符(UUID)可能会导致安装程序退出集群。在这个版本中，安装程序会在程序继续安装集群前，检查 additionalNetworkIDs 参数的有效性，从而解决了这个问题。(OCPBUGS-35420)
在以前的版本中，对于 IBM Power® Virtual Server 安装程序置备的基础架构集群，如果没有用于动态主机配置协议(DHCP)的网络名称，则销毁代码会跳过删除 DHCP 资源。在这个版本中，测试会检查 DHCP 是否处于 ERROR 状态，从而可以删除 DHCP 资源。(OCPBUGS-35039)

Insights Operator

在以前的版本中，在一些 Hypershift 托管的集群中，即使启用了网络模糊，IO 归档也可能会包含主机名。这个问题已被解决，当启用了网络模糊功能后，IO 归档将不再包含主机名。(OCPBUGS-33082)

Machine Config Operator

在以前的版本中，在运行带有 Telco RAN DU 参考配置的 OpenShift Container Platform 4.16 的集群，长时间的 cyclictest 或 timerlat 测试在检测到最大延迟超过 20 us 时会失败。出现这个问题的原因是，当启用 cgroup v2 时，psi 内核命令行参数被设置为 1。在这个版本中，在启用 cgroup v2 时，通过在内核参数中设置 psi=0 来解决这个问题。OCPBUGS-34022 中报告的 cyclictest 延迟问题现已解决。(OCPBUGS-37271)
在以前的版本中，如果集群管理员创建新的 MachineOSConfig 对象来引用旧的 pull secret，则创建此 secret 的规范版本不会在原始 pull secret 更改时更新。在这个版本中，这个问题已解决。(OCPBUGS-34079)
在以前的版本中，/etc/mco/internal-registry-pull-secret.json secret 由 Machine Config Operator (MCO) 管理。由于最近的更改，此 secret 以每小时的频率轮转。当 MCO 检测到此 secret 的更改时，它会将 secret 应用到集群中的每个节点，这会导致中断。在这个版本中，不同的内部机制处理对内部 registry pull secret 的更改，以避免推出重复的 MachineConfig 更新。(OCPBUGS-33913)
在以前的版本中，如果您创建了多个需要规范 secret 的 MachineOSConfig 对象，则只有第一个对象会构建。在这个版本中，构建控制器会处理使用相同的规范 secret 的多个 MachineOSBuild。(OCPBUGS-33671)
在以前的版本中，如果机器配置池 (MCP) 的 maxUnavailable 值高于集群的不可用节点，则 cordoned 节点可能会错误地选择为更新候选节点。在这个版本中，在节点控制器中添加了节点就绪度检查，以便封锁节点被排队以进行更新。(OCPBUGS-33397)
在以前的版本中，如果节点在排空控制器中多次排队，则节点可能会排空两次。这个行为可能是因为集群层功能在节点对象上增加的活动。在这个版本中，排队的节点只排空一次。(OCPBUGS-33134)
在以前的版本中，如果意外删除 MachineOSConfig/MachineOSBuild 来读取构建状态，Machine Config Controller 和 Machine Build Controller 对象会出现一个潜在的 panic。panic 使用额外的错误条件控制，以警告允许的 MachineOSConfig 删除。(OCPBUGS-33129)
在以前的版本中，在从 OpenShift Container Platform 4.1 或 4.2 升级到 4.15 后，一些机器可能会在置备过程中卡住，且永远不会可用。这是因为 machine-config-daemon-firstboot 服务因为这些节点上不兼容的 machine-config-daemon 二进制文件而失败。在这个版本中，在引导前，正确的 machine-config-daemon 二进制文件会复制到节点。(OCPBUGS-28974)
在以前的版本中，如果您试图在非 RHCOS 节点上配置集群 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像层，节点会降级。在这个版本中，在节点日志中会生成错误消息，但节点不会被降级。(OCPBUGS-19537)

管理控制台

在以前的版本中，Cluster overview 页包括了 View all steps in documentation 链接k，这会导致 Red Hat OpenShift Service on AWS 和 Red Hat OpenShift Dedicated 集群出现 404 错误。在这个版本中，Red Hat OpenShift Service on AWS 和 Red Hat OpenShift Dedicated 集群不会出现链接。(OCPBUGS-37054)
在以前的版本中，当您在支持 GCP Workload Identity 和 Operator 支持的 Google Cloud Platform (GCP) 集群中时，不会提供一个警告。在这个版本中，增加了逻辑来支持 GCP Workload Identity 和 Federated Identity Operator 安装，因此您现在会在 GCP 集群中收到警报。(OCPBUGS-38591)
在以前的版本中，当在 dark 模式下使用 Firefox 时，Cluster Settings 页中的 Updates 图形中的版本号文本会在黑色背景上显示为黑色文本。在这个版本中，文本显示为白色文本。(OCPBUGS-38427)
在以前的版本中，使用 PatternFly 4 的动态插件引用 OpenShift Container Platform 4.15 及更高版本中不可用的变量。这会导致在 dark 模式中比较 Red Hat Advanced Cluster Management (RHACM) 的问题。在这个版本中，可以使用旧的 chart 风格来支持动态插件使用的 PatternFly 4 chart。(OCPBUGS-36816)
在以前的版本中，当 Display Admission Webhook 警告实现中发现一些不正确的代码时。在这个版本中，不必要的警告信息已被删除。(OCPBUGS-35940)
在以前的版本中，应用到所有 HTTP 服务器的全局同步锁定会生成 goroutines，并带有特定于每个刷新令牌的同步锁定。在这个版本中，带有外部 OIDC 环境的集群中的全局刷新同步锁定被替换为为每个令牌刷新的同步。因此，刷新令牌性能会提高 30% 到 50%。(OCPBUGS-35080)
在以前的版本中，PodDisruptionBudget 创建和编辑表单中没有显示 minAvailable 警告。在这个版本中，添加了显示 minAvailable 警告的代码逻辑，如果违反，则会显示 minAvailable 警告。(OCPBUGS-34937)
在以前的版本中，OperandDetails 页会显示与名称匹配的第一个 CRD 的信息。在这个版本中，OperandDetails 页会显示与名称和操作对象版本匹配的 CRD 的信息。(OCPBUGS-34901)
在以前的版本中，一个不活跃或空闲的浏览器标签页会导致所有其他标签页的会话过期。在这个版本中，任何标签页中的活动都会防止会话过期，即使有一个不活跃或空闲的浏览器标签页。(OCPBUGS-34387)
在以前的版本中，文本区域无法调整大小。在这个版本中，您可以调整文本区域的大小。(OCPBUGS-34200)
在以前的版本中，对于状态为 Completed 的 pod，不会显示 Debug 容器 链接。在这个版本中，链接会出现。(OCPBUGS-33631)
在以前的版本中，因为 Prometheus 查询不正确，OpenShift Container Platform Web 控制台不会在 Nodes 列表中显示文件系统指标。在这个版本中，文件系统指标会被正确显示。(OCPBUGS-33136)
在以前的版本中，因为配置问题，伪本地化无法正常工作。在这个版本中，伪本地化可以正常工作。(OCPBUGS-30218)
在以前的版本中，如果将 --user-auth 标志设定为 disabled，则控制台 pod 将崩溃。在这个版本中，控制台后端可以正确地处理这个值。(OCPBUGS-29510)
在以前的版本中，使用卡会显示一个限制，它错误地暗示容量和限制之间的关系。在这个版本中，限制 的位置已更改，内容也被更新。(OCPBUGS-23332)
在以前的版本中，在一些边缘情况下，在使用 websocket 在没有提供命名空间的情况下监控命名空间资源时，可能会获取错误的资源。在这个版本中，添加了资源监控逻辑的验证，以防止 websocket 请求并记录此条件下的错误。(OCPBUGS-19855)
在以前的版本中，视角切换没有被正确处理。在这个版本中，使用 URL 搜索参数或插件路由页扩展传递的视角现在可以正确地切换视角，并保留正确的 URL 路径。(OCPBUGS-19048)

网络

在以前的版本中，SR-IOV Network Operator 会以随机顺序列出 SriovNetworkNodePolicies 资源。这会导致 sriov-device-plugin pod 进入持续重启循环。在这个版本中，SR-IOV Network Operator 以确定的顺序列出策略，以便 sriov-device-plugin pod 不会进入持续重启循环。(OCPBUGS-36243)
在以前的版本中，在新 pod 中创建的接口将保持不活跃，并且会生成 Gratuitous 地址解析协议(GARP) 通知。通知无法访问集群，这会阻止集群中的其他 pod 的 ARP 表更新新 pod 的 MAC 地址。这种情况会导致集群流量停滞，直到 ARP 表条目过期为止。在这个版本中，在 pod 中的接口活跃后发送 GARP 通知，以便 GARP 通知到达集群。因此，周围的 pod 可以识别早于之前新 pod 的行为。(OCPBUGS-30549)
在以前的版本中，为集群启用 FIPS 会导致 SR-IOV 设备插件 pod 失败。在这个版本中，SR-IOV 设备插件 pod 启用了 FIPS，以便在为集群启用 FIPS 时，pod 不会失败。(OCPBUGS-41131)
在以前的版本中，在重启使用带有少量保留 CPU 的性能配置集的 OpenShift Container Platform 节点后，会生成一个竞争条件。这是因为，单根 I/O 虚拟化 (SR-IOV) 虚拟功能 (VF) 共享同一 MAC 地址和任何使用 VF 的 pod 都会出现通信问题。在这个版本中，对 SR-IOV Network Operator 配置守护进程的更新可确保 Operator 检查 VF 上不存在重复的 MAC 地址。(OCPBUGS-33137)
在以前的版本中，如果您删除了 sriovOperatorConfig 自定义资源 (CR)，则无法创建新的 sriovOperatorConfig CR。在这个版本中，在删除 sriovOperatorConfig CR 时，单一根 I/O 虚拟化 (SR-IOV) Network Operator 会移除验证 Webhook，以便您可以创建新的 sriovOperatorConfig CR。(OCPBUGS-37567)
在以前的版本中，当将集群切换到使用不同的负载均衡器时，Ingress Operator 不会从 IngressController 自定义资源 (CR) 状态中的 classicLoadBalancer 和 networkLoadBalancer 参数中删除值。这种情况导致 CR 的状态报告来自 classicLoadBalancer 和 networkLoadBalancer 参数的错误信息。在这个版本中，在将集群切换为使用不同的负载均衡器后，Ingress Operator 会从这些参数中删除值，以便 CR 报告更准确且不太混淆的消息状态。(OCPBUGS-38646)
在以前的版本中，当同一节点上存在多播发送程序和多播接收器时，不会到达其预期的目标节点。这是因为 OVN-Kubernetes RPM 软件包更新。在这个版本中，在 OVN-Kubernetes RPM 软件包中解决了这个回归问题，因此这个问题不再保留。(OCPBUGS-34778)
在以前的版本中，当您为 Ingress Operator 创建 LoadBalancer 服务时，会生成一个日志消息，说明更改无效。此日志消息应仅针对 Infra 自定义资源的更改而触发。在这个版本中，当您为 Ingress Operator 创建 LoadBalancer 服务时，不再生成此日志消息。(OCPBUGS-34413)
在以前的版本中，DNSNameResolver 控制器为带有过期时间(TTL) 值的 DNS 名称将 DNS 请求发送到 CoreDNS pod。这会导致为这些 pod 持续生成 DNS 请求和内存泄漏问题。在这个版本中，DNSNameResolver 控制器会在向 DNS 名称发送任何请求前等待到接收 DNS 名称的 IP 地址和 TTL 值的更新列表。因此，控制器不再生成错误的请求，并将其发送到 pod。CoreDNS pod 现在可以及时响应 DNS 请求，并使用最新的 IP 地址和 TTL 更新 DNSNameResolver 对象。(OCPBUGS-33750)
在以前的版本中，当您使用 must-gather 工具时，Multus Container Network Interface (CNI) 日志文件 multus.log 存储在节点的文件系统中。这会导致工具在节点上生成不必要的调试 pod。在这个版本中，Multus CNI 不再创建一个 multus.log 文件，而是使用 CNI 插件模式检查 openshift-multus 命名空间中的 Multus DaemonSet pod 的日志。(OCPBUGS-33959)
在以前的版本中，在应该触发 OVNKubernetesNorthdInactive 时，不会触发警报。在这个版本中，这个问题已被解决，以便 OVNKubernetesNorthdInactive 的警报如预期触发。(OCPBUGS-33758)
在以前的版本中，对于自定义默认路由的所有 pod，Kubernetes-OVN 伪装地址缺少路由会导致每个 pod 无法通过它充当后端的服务连接到其自身。在这个版本中，Kubernetes-OVN masquerade 地址缺少的路由被添加到 pod 中，以便不再出现这个问题。(OCPBUGS-36865)
在以前的版本中，iptables-alerter pod 无法处理 crictl 命令行界面中的错误，这可能会导致 pod 错误地记录来自 host-network pod 的事件，或导致 pod 重启。在这个版本中，错误会被正确处理，相关问题已不存在。(OCPBUGS-37713)
在以前的版本中，如果您使用代理从计算节点访问 control plane 创建托管集群，则计算节点将无法使用集群。在这个版本中，为节点更新代理设置，以便节点可以使用代理与 control plane 成功通信。(OCPBUGS-37786)
在以前的版本中，当集群无法在配置了负载均衡器的内部平台中安装时，LoadBalancer 服务的 LoadBalancerReady 条件会收到 SyncLoadBalancerFailed 状态。状态生成以下信息：
```
The kube-controller-manager logs might contain more details.
```
此消息不正确，因为日志存储在项目的 cloud-controller-manager 命名空间中。在这个版本中，SyncLoadBalancerFailed 状态现在可以输出正确信息：
```
The cloud-controller-manager logs may contain more details.
```
(OCPBUGS-31664)
在以前的版本中，您无法控制为集群节点选择 IP 地址的内部组件的日志级别。在这个版本中，您可以启用 debug 日志级别，以便可以按需增加或减少日志级别。要调整日志级别，您必须使用类似如下的配置创建配置映射清单文件：
```
apiVersion: v1
data:
  enable-nodeip-debug: "true"
kind: ConfigMap
metadata:
  name: logging
  namespace: openshift-vsphere-infra
# ...
```
(OCPBUGS-32348)
在以前的版本中，Ingress Operator 无法成功更新 canary 路由，因为 Operator 没有更新现有路由上的 spec.host 或 spec.subdomain 字段的权限。在这个版本中，Operator ServiceAccount 的集群角色中添加了所需的权限，Ingress Operator 可以更新 canary 路由。(OCPBUGS-36465)
在以前的版本中，在支持的内部平台上运行一些网络容器（如 Keepalived ）需要管理员特权。在这个版本中，这些容器不再需要管理员特权才能在受支持的内部平台上运行。(OCPBUGS-36175)
在以前的版本中，如果您的 NodeNetworkConfigurationPolicy (NNCP)自定义资源 (CR) 被设置为使用默认覆盖树协议(STP) 实现，则 CR 配置文件将显示 stp.enabled: true，但 OpenShift Container Platform Web 控制台会清除 STP 复选框。在这个版本中，Web 控制台仅在 NNCP CR YAML 文件中定义 stp.enabled: false 后清除 STEP 复选框。(OCPBUGS-36238)
在以前的版本中，Ingress Controller 状态错误地显示为 Degraded=False，因为 CanaryRepetitiveFailures 条件出现迁移时间问题。在这个版本中，Ingress Controller 状态在 CanaryRepetitiveFailures 条件存在的适当时间被正确标记为 Degraded=True。(OCPBUGS-39220)

节点

在以前的版本中，Container Runtime Config 控制器不会在将 ClusterImagePolicy CR 中的范围添加到 /etc/containers/registries.d/sigstore-registries.yaml 文件前检测镜像配置是否使用。因此，镜像验证失败，并显示 Not looking for sigstore attachments 信息。在这个版本中，镜像会如预期从镜像 registry 中拉取。(OCPBUGS-36344)
在以前的版本中，当 pod 规格中设置了 spec.securityContext.runAsGroup 属性时，组 ID 不会添加到容器内的 /etc/group 目录中。在这个版本中，这个问题已被解决。(OCPBUGS-39478)
在以前的版本中，由于在早于 5.14.0-427.26.1.el9_4 的 RHEL 9.4 内核中存在一个回归的问题，mglru 功能被禁用。在本发行版本中，这个回归问题已被修复，现在 OpenShift Container Platform 4.17 中启用了 mglru 功能。(OCPBUGS-35436)

Node Tuning Operator (NTO)

在以前的版本中，由于内部错误，如果机器有 256 个 CPU，Node Tuning Operator 会错误地计算中断和网络处理 CPU 关联性的 CPU 掩码。这导致在这些机器上无法正确进行 CPU 隔离，并导致 systemd 单元失败。在这个版本中，Node Tuning Operator 可以正确地计算掩码。(OCPBUGS-39164)
在以前的版本中，Open vSwitch (OVS)固定流程设置主线程的 CPU 关联性，但其他 CPU 线程如果已经创建，则不会提取这个关联性。因此，一些 OVS 线程不会在正确的 CPU 集上运行，这可能会干扰服务质量(QoS)类为 Guaranteed 的 pod 的性能。在这个版本中，OVS 固定过程会更新所有 OVS 线程的关联性，确保所有 OVS 线程都在正确的 CPU 集上运行。(OCPBUGS-35347)

Observability（可观察性）

在以前的版本中，当您在 OpenShift Container Platform Web 控制台的 Administrator 视角下登录并使用 Observe → Alerting 功能时，在警报指标图中会显示 S is not a function。出现这个问题的原因是缺少功能验证检查。在这个版本中，添加了功能验证检查，以便警报指标图表可以显示收集的指标。(OCPBUGS-37291)

OpenShift CLI (oc)

在以前的版本中，当将 oc-mirror 插件 v2 与- delete 标志搭配使用时，从镜像 registry 中删除 Operator 目录，进程会失败并显示以下错误：
```
2024/08/02 12:18:03 [ERROR]: [OperatorImageCollector] pinging container registry localhost:55000: Get "https://localhost:55000/v2/": http: server gave HTTP response to HTTPS client.
```
这是因为 oc-mirror 插件 v2 使用 HTTPS 而不是 HTTP 查询本地缓存。在这个版本中，HTTP 客户端在查询前正确配置，从而解决了这个问题。(OCPBUGS-41503)
在以前的版本中，当在 mirror-to-disk 模式中使用 oc-mirror 插件 v2 时，目录镜像和内容会存储在 working-dir 下的子文件夹中，具体取决于镜像摘要。在完全断开连接的环境中的 disk-to-mirror 过程中，插件会尝试通过源 registry （不可用）解析目录镜像标签，从而导致此类错误：
```
[ERROR] : [OperatorImageCollector] pinging container registry registry.redhat.io: Get "http://registry.redhat.io/v2/": dial tcp 23.217.255.152:80: i/o timeout
```
在这个版本中，插件会在 disk-to-mirror 过程中检查本地缓存，以确定摘要，以避免查询 registry。(OCPBUGS-36214)
在以前的版本中，当在断开连接的环境中在 mirror-to-disk 模式下使用 oc-mirror 插件 v2 时，插件无法访问 api.openshift.com 来下载 graph.tar.gz，从而导致镜像失败。在这个版本中，插件会在设置了 UPDATE_URL_OVERRIDE 环境变量的断开连接的环境中搜索图形镜像的本地缓存。如果缺少图形镜像，则该插件会跳过它而不会失败。(OCPBUGS-38469)
在以前的版本中，oc-mirror 插件 v2 无法在完全断开连接的环境中从 disk-to-mirror 中镜像 Operator 目录。此问题也会影响在 ImageSetConfiguration 文件中指定了 targetCatalog 的目录。在这个版本中，插件可以在完全断开连接的环境中成功镜像目录，targetCatalog 功能可以正常工作。(OCPBUGS-34521)
在以前的版本中，使用 oc-mirror 插件 v2 时，对于 oc-mirror 命令不会验证 -v2 和 --v2 标识。因此，如果用户错误地使用了 -v2，（这会将日志级别设置为 2），而不是使用 --v2（这会切换为 oc-mirror plugin v2），会收到一个不明确的错误消息。在这个版本中，提供了标记验证。如果使用 -v2 标志，ImageSetConfig 使用 v2alpha1 API，且没有指定 --v2，会显示一个错误信息。现在，启用了以下信息，为用户提供清晰的信息：
```
[ERROR]: Detected a v2 `ImageSetConfiguration`, please use `--v2` instead of `-v2`.
```
(OCPBUGS-33121)
在以前的版本中，oc-mirror 插件 v2 在 registry 中遇到错误时不会自动执行重试，如超时、过期的身份验证令牌、HTTP 500 错误等。在这个版本中，这些错误的重试会被实现，用户可以使用以下标记配置重试行为：
- --retry-times ：指定重试尝试的次数。默认值为 2。
- --retry-delay ：设置重试之间的延迟。默认值为 1 秒。
- --image-timeout ：定义同步一个镜像的超时时间。默认值为 10 分钟。
- --max-parallel-downloads ：控制在单个复制操作期间同时拉取的最大层数。默认值为 6。
  (OCPBUGS-34021)
在以前的版本中，当将 oc-mirror 插件 v2 与 -rebuild-catalogs 标志搭配使用时，目录缓存会在本地重新生成，这会导致因为 opm 二进制文件和平台兼容性问题以及集群的缓存完整性问题而造成失败。在这个版本中，--rebuild-catalogs 标志默认为 true，因此目录会被重新构建，而不会重新生成内部缓存。另外，image 命令已被修改以在 pod 启动期间生成缓存，这可能会延迟 pod 初始化。(OCPBUGS-37667)
在以前的版本中，在使用系统代理设置代理后面运行时，oc-mirror 插件 v2 不使用系统代理配置为发行版本恢复签名。在这个版本中，系统代理设置会在签名恢复过程中应用。(OCPBUGS-37055)
在以前的版本中，当遇到与语义版本不兼容的捆绑包版本的 Operator 时，oc-mirror 插件 v2 会停止镜像过程，这也会阻止创建集群资源，如 IDMS、ITMS 和 CatalogSource 对象。在这个版本中，插件会跳过这些有问题的镜像，而不是停止进程。如果镜像使用不正确的语义版本化，控制台中会显示一条警告消息，其中包含相关的镜像详情。(OCPBUGS-33081)
在以前的版本中，当因为网络问题或无效的 Operator 目录失败时，oc-mirror 插件 v2 不会生成 ImageDigestMirrorSet (IDMS) 或 ImageTagMirrorSet (ITMS) 文件。在这个版本中，oc-mirror 会在 Operator 或额外镜像失败时继续镜像其他镜像，只有在发行镜像失败时停止。集群资源基于成功镜像的镜像生成，日志文件中收集所有错误以进行检查。(OCPBUGS-34020)
在以前的版本中，OpenShift Container Platform 发行镜像在某些 registry 中不可见，如 Red Hat Quay。这导致用户无法安装 OpenShift Container Platform，因为缺少发行镜像。在这个版本中，发行镜像总是被标记，以确保它们出现在 Red Hat Quay 等 registry 中，从而启用正确的安装。(OCPBUGS-36410)
在以前的版本中，oc adm must-gather 命令需要很长时间才能在大型集群中收集与 CPU 相关的性能数据。在这个版本中，数据会并行收集，而不是按顺序收集，这会缩短数据收集时间。(OCPBUGS-34360)
在以前的版本中，oc set env 命令错误地更改了 Route 和 DeploymentConfig 对象的 API 版本，如 apps.openshift.io/v1 变为 v1。这会导致命令退出并带有 unable to recognize no matches for kind 错误。在这个版本中，错误已被修复，os set env 命令会在 Route 和 DeploymentConfig 对象中保留正确的 API 版本。(OCPBUGS-32108)
在以前的版本中，当 must-gather 操作因任何原因且用户手动删除 leftover 命名空间失败时，must-gather 命令创建的集群角色绑定将保留在集群中。在这个版本中，当删除临时 must-gather 命名空间时，关联的集群角色绑定会自动删除。(OCPBUGS-31848)
在以前的版本中，当使用带有 oc-mirror 插件 v2 的 --v2 标志时，如果没有同步镜像，一些镜像被跳过，则会生成空的 imds.yaml 和 itms.yaml 文件。在这个版本中，只有在至少一个镜像被成功同步时，才会触发自定义资源生成，从而防止创建空文件。(OCPBUGS-33775)

Operator Lifecycle Manager (OLM)

在以前的版本中，具有许多自定义资源(CR)的集群会出现来自 API 服务器的超时问题，并在只有临时解决方案才能卸载，然后重新安装 stranded Operator。这是因为 OLM 使用动态客户端列表器评估潜在的更新。在这个版本中，OLM 将分页列表器用于自定义资源定义 (CRD) 来避免超时和框架的更新。(OCPBUGS-41549)
在以前的版本中，当 registryPoll 参数未设置时，目录源 pod 无法从集群节点失败中恢复。在这个版本中，OLM 会更新了其检查死 pod 的逻辑。现在，目录源 pod 会如预期从节点失败中恢复。(OCPBUGS-39574)
在以前的版本中，如果您在 OpenShift Container Platform 更新后尝试安装之前删除的 Operator，安装可能会失败。这是因为 OLM 无法找到之前创建的捆绑包解包作业。在这个版本中，OLM 可以正确地安装以前安装的 Operator。(OCPBUGS-32439)
在以前的版本中，当自定义资源定义 (CRD) 的新版本指定了一个新的转换策略时，这个转换策略应该可以成功转换资源。但是，OLM 无法在不实际执行更新操作的情况下，为 CRD 验证运行新的转换策略。在这个版本中，当 CRD 验证失败并显示现有转换策略，且新的转换策略在 CRD 的新版本中指定时，OLM 会在更新过程中生成警告信息。(OCPBUGS-31522)
在以前的版本中，如果 CatalogSource 对象中的 spec.grpcPodConfig.securityContextConfig 字段在带有 PodSecurityAdmission (PSA) 级别为 restricted 的命名空间中没有设置，则目录 pod 不会传递 PSA 验证。在这个版本中，OLM Catalog Operator 使用需要传递 PSA 验证所需的 securityContext 配置目录 pod。(OCPBUGS-29729)
在以前的版本中，尽管在调度队列中，catalogd-controller-manager pod 可能无法部署到节点，OLM Operator 将无法安装。在这个版本中，相关资源会减少 CPU 请求，这个问题不再发生。(OCPBUGS-29705)
在以前的版本中，Catalog Operator 有时会尝试连接到存储在缓存中的目录源。在这个版本中，Catalog Operator 会查询客户端来列出集群中的目录源。(OCPBUGS-8659)

Red Hat Enterprise Linux CoreOS (RHCOS)

在以前的版本中，使用 512 模拟磁盘的系统上 LUKS 加密会导致置备在 ignition-ostree-growfs 步骤中失败，因为 sfdisk 校准问题。在这个版本中，ignition-ostree-growfs 脚本检测到这种情况，并自动修复协调。因此，在置备过程中系统不再会失败。(OCPBUGS-35410)
在以前的版本中，growpart 工具中的一个错误会导致 LUKS 设备锁定。这会导致系统引导至紧急模式。在这个版本中，删除了对 growpart 工具的调用，系统会在没有问题的情况下成功引导。(OCPBUGS-33124)
在以前的版本中，如果一个新的部署是在主机上的 OSTree 级别进行的，这与不同 stateroot 上的当前部署相同，OSTree 会将它们识别为相等。当调用 set-default 命令时，这个行为会阻止引导装载程序更新，因为 OSTree 不会将两个 stateroot 识别为部署的不同因素。在这个版本中，OSTree 的逻辑被修改为考虑 stateroot。因此，OSTree 可以正确地将默认部署设置为具有不同 stateroot 的新部署。(OCPBUGS-30276)

Storage

在以前的版本中，在托管的 control plane 集群上，Secret Store Container Storage Interface (CSI)驱动程序无法挂载 secret，因为在使用托管的 control plane 命令行界面 hcp 时，在 Amazon Web Services 上创建 OpenID Connect (OIDC) 基础架构会失败。在这个版本中，这个问题已被解决，因此驱动程序现在可以挂载卷。(OCPBUGS-18711)

1.7. 技术预览功能状态

这个版本中的一些功能当前还处于技术预览状态。它们并不适用于在生产环境中使用。请注意红帽客户门户网站中的以下支持范围：

技术预览功能支持范围

在以下表格中，功能被标记为以下状态：

不可用
技术预览
公开发行
已弃用
删除

网络功能虚拟化功能

表 1.17. 网络技术预览跟踪器
功能	4.15	4.16	4.17
Ingress Node Firewall Operator	公开发行	公开发行	公开发行
eBPF manager Operator	N/A	N/A	技术预览
通过使用 L2 模式（通过特定的 IP 地址池从节点子集中使用 MetalLB 服务进行广告）	技术预览	技术预览	技术预览
SR-IOV 网络的多网络策略	公开发行	公开发行	公开发行
更新特定于接口的安全 sysctl 列表	技术预览	技术预览	技术预览
出口服务自定义资源	技术预览	技术预览	技术预览
`BGPPeer` 自定义资源中的 VRF 规格	技术预览	技术预览	技术预览
`NodeNetworkConfigurationPolicy` 自定义资源中的 VRF 规格	技术预览	技术预览	技术预览
Admin Network Policy (`AdminNetworkPolicy`)	技术预览	公开发行	公开发行
IPsec 外部流量 (north-south)	公开发行	公开发行	公开发行
SR-IOV VF 的主机网络设置	技术预览	技术预览	公开发行
MetalLB 和 FRR-K8s 集成	不可用	技术预览	公开发行
带有高可用性系统时钟的双 NIC Intel E810 PTP 边界时钟	不可用	公开发行	公开发行
Intel E810 Westport Channel NIC 作为 PTP grandmaster 时钟	技术预览	公开发行	公开发行
双 NIC Intel E810 Westport Channel 作为 PTP grandmaster 时钟	技术预览	公开发行	公开发行
PTP grandmaster 时钟的自动秒处理	不可用	不可用	公开发行
PTP 事件 REST API v2	不可用	不可用	公开发行
使用 NMState 配置 OVN-Kuberenetes 所需的 `br-ex` 网桥	不可用	技术预览	技术预览
使用 Whereabouts 进行多租户网络的重叠 IP 配置	不可用	公开发行	公开发行
用户定义的网络分段	不可用	不可用	技术预览

存储技术预览功能

表 1.18. 存储技术预览
功能	4.15	4.16	4.17
AWS EFS 存储 CSI 使用指标	不可用	不可用	公开发行
使用 Local Storage Operator 进行自动设备发现和置备	技术预览	技术预览	技术预览
Azure File CSI 快照支持	不可用	不可用	技术预览
IBM Power® Virtual Server Block CSI Driver Operator	公开发行	公开发行	公开发行
Read Write Once Pod 访问模式	技术预览	公开发行	公开发行
Secret Store CSI Driver Operator	技术预览	技术预览	技术预览
CIFS/SMB CSI Driver Operator	不可用	技术预览	技术预览
VMware vSphere 多个 vCenter 支持	不可用	不可用	技术预览
在 vSphere 上禁用/启用存储	不可用	不可用	技术预览
RWX/RWO SELinux Mount	不可用	不可用	开发者预览
在数据存储之间迁移 CNS 卷	不可用	不可用	开发者预览

安装技术预览功能

表 1.19. 安装技术预览
功能	4.15	4.16	4.17
在带有虚拟机的 Oracle® Cloud Infrastructure (OCI) 上安装 OpenShift Container Platform	公开发行	公开发行	公开发行
在裸机上的 Oracle® Cloud Infrastructure (OCI)上安装 OpenShift Container Platform	开发者预览	开发者预览	开发者预览
使用 kvc 向节点添加内核模块	技术预览	技术预览	技术预览
为 SR-IOV 设备启用 NIC 分区	技术预览	技术预览	公开发行
Google Cloud Platform (GCP) 的用户定义的标记和标签	技术预览	技术预览	公开发行
使用安装程序置备的基础架构在 Alibaba Cloud 上安装集群	技术预览	不可用	不可用
使用 Assisted Installer 在 Alibaba Cloud 上安装集群	不可用	技术预览	技术预览
在 RHEL 中的 BuildConfig 中挂载共享权利	技术预览	技术预览	技术预览
可选择 Cluster Inventory	技术预览	技术预览	技术预览
使用 VMware vSphere 的静态 IP 地址（仅限IPI）	技术预览	公开发行	公开发行
支持 RHCOS 中的 iSCSI 设备	技术预览	公开发行	公开发行
使用 Cluster API 实现在 GCP 上安装集群	不可用	技术预览	公开发行
支持 RHCOS 中启用了 Intel® VROC 的 RAID 设备	技术预览	公开发行	公开发行

节点技术预览功能

表 1.20. 节点技术预览
功能	4.15	4.16	4.17
`MaxUnavailableStatefulSet` 功能集	技术预览	技术预览	技术预览
Linux 用户命名空间支持	不可用	不可用	技术预览

多架构技术预览功能

表 1.21. 多架构技术预览
功能	4.15	4.16	4.17
使用安装程序置备的基础架构的 IBM Power® Virtual Server	公开发行	公开发行	公开发行
`arm64` 构架上的 `kdump`	技术预览	技术预览	技术预览
`s390x` 架构上的 `kdump`	技术预览	技术预览	技术预览
`ppc64le` 架构上的 `kdump`	技术预览	技术预览	技术预览
Multiarch Tuning Operator	不可用	技术预览	技术预览

可扩展性和性能技术预览功能

表 1.22. 可扩展性和性能技术预览
功能	4.15	4.16	4.17
factory-precaching-cli 工具	技术预览	技术预览	技术预览
超线程感知 CPU Manager 策略	技术预览	技术预览	技术预览
HTTP 传输替换了 PTP 和裸机事件的 AMQP	技术预览	公开发行	公开发行
挂载命名空间封装	技术预览	技术预览	技术预览
Node Observability Operator	技术预览	技术预览	技术预览
调整 etcd 延迟容错功能	技术预览	公开发行	公开发行
增加 etcd 数据库大小	不可用	技术预览	技术预览
使用 RHACM `PolicyGenerator` 资源管理 GitOps ZTP 集群策略	不可用	技术预览	技术预览
固定镜像设置	不可用	技术预览	技术预览

Operator 生命周期和开发技术预览功能

表 1.23. Operator 生命周期和开发技术预览
功能	4.15	4.16	4.17
Operator Lifecycle Manager (OLM) v1	技术预览	技术预览	技术预览
RukPak	技术预览	技术预览	删除
平台 Operator	技术预览	删除	删除
为基于 Helm 的 Operator 项目构建工具	技术预览	已弃用	已弃用
为基于 Java 的 Operator 项目构建工具	技术预览	已弃用	已弃用

OpenShift CLI (oc) 技术预览功能

表 1.24. OpenShift CLI (oc) 技术预览
功能	4.15	4.16	4.17
oc-mirror 插件 v2	不可用	技术预览	技术预览
Enclave 支持	不可用	技术预览	技术预览
删除功能	不可用	技术预览	技术预览

监控技术预览功能

表 1.25. 监控技术预览
功能	4.15	4.16	4.17
指标集合配置集	技术预览	技术预览	技术预览
指标服务器	技术预览	公开发行	公开发行

监控技术预览功能

表 1.26. 监控技术预览
功能	4.15	4.16	4.17
OpenShift Container Platform Web 控制台中的 Red Hat OpenShift Lightspeed	不可用	开发者预览	开发者预览

Red Hat OpenStack Platform (RHOSP) 技术预览功能

表 1.27. RHOSP 技术预览
功能	4.15	4.16	4.17
使用安装程序置备的基础架构的双栈网络	公开发行	公开发行	公开发行
使用用户置备的基础架构的双栈网络	公开发行	公开发行	公开发行
RHOSP 集成到 Cluster CAPI Operator	技术预览	技术预览	技术预览
在本地磁盘上使用 `rootVolumes` 和 `etcd` 的 Control Plane	技术预览	技术预览	公开发行

注意

要了解 OpenShift Container Platform 4.17 上托管的 control plane 功能的状态，请参阅托管 control plane 发行注记中的正式发布和技术预览功能。

托管 control plane 技术预览功能

表 1.28. 托管 control plane 技术预览
功能	4.15	4.16
在 Amazon Web Services (AWS) 上托管 OpenShift Container Platform 的 control plane。	技术预览	公开发行
在裸机上托管 OpenShift Container Platform 的 control plane	公开发行	公开发行
在 OpenShift Virtualization 上为 OpenShift Container Platform 托管 control plane	公开发行	公开发行
使用非裸机代理机器为 OpenShift Container Platform 托管 control plane	技术预览	技术预览
在 Amazon Web Services 上为 ARM64 OpenShift Container Platform 集群托管 control plane	技术预览	技术预览
在 IBM Power 上托管 OpenShift Container Platform 的 control plane	技术预览	技术预览
在 IBM Z 上托管 OpenShift Container Platform 的 control plane	技术预览	技术预览
在 RHOSP 上托管 OpenShift Container Platform 的 control plane	不可用	不可用

机器管理技术预览功能

表 1.29. 机器管理技术预览
功能	4.15	4.16	4.17
使用 Amazon Web Services 的集群 API 管理机器	技术预览	技术预览	技术预览
使用 Google Cloud Platform 的 Cluster API 管理机器	技术预览	技术预览	技术预览
使用 VMware vSphere 的集群 API 管理机器	不可用	技术预览	技术预览
为 control plane 机器集定义 vSphere 故障域	技术预览	公开发行	公开发行
Alibaba Cloud 的云控制器管理器	技术预览	删除	删除
Google Cloud Platform 的云控制器管理器	公开发行	公开发行	公开发行
IBM Power® Virtual Server 的云控制器管理器	技术预览	技术预览	技术预览

认证和授权技术预览功能

表 1.30. 认证和授权技术预览
功能	4.15	4.16	4.17
Pod 安全准入限制强制	技术预览	技术预览	技术预览

Machine Config Operator 技术预览功能

表 1.31. Machine Config Operator 技术预览
功能	4.15	4.16	4.17
改进了 MCO 状态报告	技术预览	技术预览	技术预览
On-cluster RHCOS 镜像分层	不可用	技术预览	技术预览
节点中断策略	不可用	技术预览	公开发行
为 GCP 集群更新引导镜像	不可用	技术预览	公开发行
为 AWS 集群更新引导镜像	不可用	不可用	技术预览

Edge 计算技术预览功能

表 1.32. Edge 计算技术预览
功能	4.15	4.16	4.17
加速置备 GitOps ZTP	不可用	技术预览	技术预览
使用 TPM 和 PCR 保护启用磁盘加密	不可用	不可用	技术预览

1.8. 已知问题

libreswan 中存在一个回归问题，会导致某些启用了 IPsec 的节点丢失与同一集群中其他节点上的 pod 的通信。要解决这个问题，请考虑为集群禁用 IPsec。(OCPBUGS-43714)

oc annotate 命令不适用于包含了等号（=）的 LDAP 组名称，因为命令使用等号作为注释名称和值之间的分隔符。作为临时解决方案，使用 oc patch 或 oc edit 添加注解。(BZ#1917280)
删除由 UserDefinedNetwork 资源创建的 NetworkAttachmentDefinition (NAD) 资源时存在一个已知问题。在删除 NAD 前，您必须检查 pod 是否引用 NAD。在 NAD 之前应删除 pod。如果不这样做，可能会导致 pod 处于意外状态。(OCPBUGS-39185)
Red Hat Enterprise Linux CoreOS (RHCOS)镜像中包含的 DNF 软件包管理器无法在运行时使用，因为 DNF 依赖于其他软件包访问处于红帽订阅的集群中授权的节点。作为临时解决方案，请使用 rpm-ostree 命令。(OCPBUGS-35247)
在 Microsoft Azure 上安装集群时，如果没有提供 install-config.yaml 文件，安装会失败。如果提供了 install-config.yaml 文件，并且存在 controlPlane.platform，但没有提供 controlPlane.platform.azure，则安装将失败。(OCPBUGS-42296)
如需示例配置文件，请参阅 Azure 示例自定义 install-config.yaml 文件，或者设置非null 参数，如下例所示：
```
controlPlane:
  platform:
    azure: {}
```
当在 Microsoft Azure 上安装多个集群时，同时从同一安装主机上运行多个安装会导致只有一个集群安装成功。如果按顺序运行安装而不是同时运行安装，您可以从同一安装主机上安装多个集群。(OCPBUGS-36202)
在 Microsoft Azure 上安装集群时，为 control plane 机器指定 Standard_M8-4ms 实例类型会导致错误，因为实例类型以十进制格式而不是整数格式指定内存。(OCPBUGS-42241)
由于 OpenShift Container Platform 4.17 中存储帐户命名的变化，Azure File Container Storage Interface (CSI) 驱动程序现在与 Image Registry Operator 的存储帐户匹配。在这个版本中，存在一个已知问题：当镜像 registry 配置为私有时，Azure File CSI 驱动程序无法挂载所有卷。因为 CSI 驱动程序尝试使用 Image Registry Operator 的存储帐户，所以挂载会失败，这没有配置为允许来自 worker 子网的连接。
作为临时解决方案，在使用 Azure File CSI 驱动程序时，镜像 registry 不能配置为私有。这是一个已知问题，并将在以后的 OpenShift Container Platform 版本中解决。(OCPBUGS-42308)
在 Azure 上安装集群时，如果指定了客户管理的加密密钥，安装会失败。(OCPBUGS-42349)
当镜像 Operator 和其他镜像时出现错误时，日志消息"Generating Catalog Source"可能仍然出现，即使没有生成文件也是如此。(OCPBUGS-42503)
如果您在集群中启用了 IPsec，在托管 north-south IPsec 连接的节点上，重启 ipsec.service systemd 单元或重启 ovn-ipsec-host pod 会导致 IPsec 连接丢失。(RHEL-26878)

当您在 OpenShift Container Platform 集群中运行 Cloud-native Network Functions (CNF)延迟测试时，测试有时可能会返回大于测试的延迟阈值的结果，例如： cyclictest 测试的 20 微秒。这会导致测试失败。(OCPBUGS-42328)

每个节点组只能匹配一个 MachineConfigPool 对象。在某些情况下，NUMA Resources Operator 可以允许节点组与多个 MachineConfigPool 对象匹配。此问题可能会导致资源管理意外行为。(OCPBUGS-42523)
如果您计划部署 NUMA Resources Operator，避免使用 OpenShift Container Platform 版本 4.17.7 或 4.17.8。(OCPBUGS-45639)
当 NetworkNodeConfigurationPolicy 中的绑定模式从 balance-rr 改为附加到 br-ex 接口的内核绑定上的 active-backup 时，更改可能会在任意节点上失败。作为临时解决方案，请创建一个 NetworkNodeConfigurationPolicy 对象，而不指定绑定端口配置。(OCPBUGS-42031)

如果控制器 pod 在克隆或恢复卷快照时终止，则 Microsoft Azure File 克隆或快照持久性卷声明(PVC) 会一直处于 Pending 状态。要解决这个问题，请删除任何受影响的克隆或快照 PVC，然后重新创建这些 PVC。(OCPBUGS-35977)

在 AWS 上部署自助管理的私有托管集群会失败，因为 bootstrap-kubeconfig 文件使用了不正确的 KAS 端口。因此，会置备 AWS 实例，但无法将托管集群作为节点加入。(OCPBUGS-31840)

1.9. 异步勘误更新

OpenShift Container Platform 4.17 的安全更新、程序错误修正、功能增强更新将会通过红帽网络以异步勘误的形式发布。所有的 OpenShift Container Platform 4.17 勘误都可以通过红帽客户门户网站获得。OpenShift Container Platform 生命周期包括了详细的与异步勘误相关的内容。

红帽客户门户网站的用户可以在红帽订阅管理（RHSM）帐户设置中启用勘误通知功能。当勘误通知被启用后，每当用户注册的系统相关勘误被发布时，用户会收到电子邮件通知。

注意

用户的红帽客户门户网站账户需要有注册的系统，以及使用 OpenShift Container Platform 的权限才可以接收到 OpenShift Container Platform 的勘误通知。

本节的内容将会持续更新，以提供以后发行的与 OpenShift Container Platform 4.17 相关的异步勘误信息。异步子版本（例如，OpenShift Container Platform 4.17.z）的具体信息会包括在相应的子章节中。此外，在发行公告中因为空间限制没有包括在其中的勘误内容也会包括在这里的相应的子章节中。

重要

对于任何 OpenShift Container Platform 发行版本，请仔细参阅有关更新集群的说明。

1.9.1. RHBA-2024:11522 - OpenShift Container Platform 4.17.10 程序错误修复和安全更新公告

发布日期： 2024 年 1 月 2 日

OpenShift Container Platform release 4.17.10 现已正式发布。其程序错误修正列表包括在 RHBA-2024:11522 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:11525 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.10 --pullspecs

1.9.1.1. 功能增强

1.9.1.1.1. Node Tuning Operator 架构检测

Node Tuning Operator 现在可以为 Intel 和 AMD CPU 正确选择内核参数和管理选项。(OCPBUGS-43664)

1.9.1.2. 程序错误修复

在以前的版本中，当 webhook 令牌验证器被启用并将授权类型设置为 None 时，OpenShift Container Platform Web 控制台会始终崩溃。在这个版本中，一个程序错误修复可确保此配置不会导致 OpenShift Container Platform Web 控制台崩溃。(OCPBUGS-46390)
在以前的版本中，用于为集群配置 ingress 规则和 sevice 的 SiteConfig 自定义资源(CR)配置会导致 BareMetalHost CR 处于已删除状态，而不是作为集群清理操作的一部分删除。在这个版本中，您不再提供升级到 GitOps Operator 到版本 1.13 或更高版本。(OCPBUGS-46071)
在以前的版本中，当尝试使用 Operator Lifecycle Manager (OLM)升级 Operator 时，升级会被阻断，并 会根据新 CRD 的 schema 信息验证现有 CR 的错误。OLM 存在了一个问题，其中 OLM 错误地发现了根据新 Operator 版本的自定义资源定义(CRD)验证现有自定义资源(CR)的问题。在这个版本中，验证会被修正，以便 Operator 升级不再被阻断。(OCPBUGS-46054)
在以前的版本中，在 OpenShift Container Platform Web 控制台中无法重新运行使用解析器的 PipelineRuns CR。如果您试图重新运行 CR，则生成 Invalid PipelineRun 配置，无法启动 Pipeline 信息。在这个版本中，您可以重新运行使用解析器的 PipelineRuns CR，而无需遇到这个问题。(OCPBUGS-45949)
在以前的版本中，当您使用 Form View 在 OpenShift Container Platform Web 控制台中编辑 Deployment 或 DeploymentConfig API 对象时，在其中一个对象的 YAML 配置中都存在重复的 ImagePullSecrets 参数。在这个版本中，确保没有为其中一个对象自动添加重复的 ImagePullSecrets 参数。(OCPBUGS-45948)
在以前的版本中，aws-sdk-go-v2 软件开发工具包(SDK)无法在 AWS 安全令牌服务(STS)集群中验证 AssumeRoleWithWebIdentity API 操作。在这个版本中，pod 身份 Webhook 包含一个默认区域，以便这个问题不再保留。(OCPBUGS-45938)
在以前的版本中，当服务控制策略(SCP)为其 AssociatePublicIpAddress 参数指定 false 时，AWS 集群的安装会失败。在这个版本中，一个修复可确保这个 SCP 配置不再会导致 AWS 集群的安装失败。(OCPBUGS-45186)
在以前的版本中，一个额外的过滤属性传递给组件，用于列出 Operator 详情页中的操作对象。如果列表由动态插件扩展，则 additional 属性会导致列表始终为空。在这个版本中，额外的属性已被删除，以便按预期列出可用的操作对象。(OCPBUGS-45667)
在以前的版本中，当运行 oc adm node-image create 命令时，命令有时会失败，并输出镜像 可能无法拉取 错误信息。在这个版本中，为命令添加了一个重试机制，以便在命令无法从发行版本工作负载拉取镜像时，重试操作可确保命令按预期运行。(OCPBUGS-45517)
在以前的版本中，IBM Power® Virtual Server 集群安装会在安装程序置备的基础架构中失败，因为安装程序使用随机网络类型，而不是使用 install-config.yaml 配置文件中指定的指定网络类型。在这个版本中，安装程序使用 install-config.yaml 中指定的网络类型，以便这个问题不再保留。(OCPBUGS-45484)
在以前的版本中，非统一内存访问(NUMA)节点拓扑验证预期等于内核索引。这预期会导致 Performance Profile Creator (PPC)报告计算节点不准确的信息。在这个版本中，验证检查不再需要相等的核心索引，以便 PPC 现在为计算节点报告准确的信息。(OCPBUGS-44644)

1.9.1.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.2. RHBA-2024:11010 - OpenShift Container Platform 4.17.9 程序错误修复和安全更新公告

发布日期：24 年 12 月 19 日

OpenShift Container Platform release 4.17.9 现已正式发布。其程序错误修正列表包括在 RHBA-2024:11010 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:11013 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.9 --pullspecs

1.9.2.1. 已知问题

如果您计划部署 NUMA Resources Operator，避免使用 OpenShift Container Platform 版本 4.17.7 或 4.17.8。(OCPBUGS-45639)

1.9.2.2. 程序错误修复

在以前的版本中，Google Cloud Platform (GCP) 项目号输入字段 被错误地标记为 GCP Pool ID。在这个版本中，GCP Project Number 输入字段 会被正确标记。(OCPBUGS-46000)
在以前的版本中，最大批量删除限制为 10。这个限制会导致 PreferNoSchedule 污点出现问题。在这个版本中，禁用最大批量删除率。(OCPBUGS-45929)
在以前的版本中，用户希望使用包含尾部周期的自定义域名配置其 Amazon Web Services DHCP 选项。当 EC2 实例的主机名转换为 Kubelet 节点名称时，尾部周期不会被删除。Kubernetes 对象名称中不允许使用尾部句点。在这个版本中，在 DHCP 选项集的域名中允许尾部句点。(OCPBUGS-45918)
在以前的版本中，当单个 CPU 在 Performance Profile 中有较长的字符串时，不会处理机器配置。在这个版本中，用户输入过程被更新为使用一系列数字，或内核命令行中的数字范围。(OCPBUGS-45627)
在以前的版本中，当从发行版本有效负载访问镜像时，运行 oc adm node-image 命令会失败。在这个版本中，添加了一个重试机制，以便在访问镜像时更正临时故障。(OCPBUGS-45517)
在以前的版本中，当使用 FCP 或 NVME 存储设备为 s390x 硬件中的多个镜像运行基于代理的安装程序时，第一次重启会失败。在这个版本中，这个问题已被解决，重新引导完成。(OCPBUGS-44904)
在以前的版本中，当使用自定义身份和访问管理(IAM)配置集时，缺少权限会导致集群取消置备失败。在这个版本中，所需权限列表包括 tag:UntagResource 和集群取消置备完成。(OCPBUGS-44848)
在以前的版本中，当使用集群创建者帐户中存在私有 DNS 托管区的共享 VPC 创建托管集群时，私有链接控制器无法在本地区中创建 route53 DNS 记录。在这个版本中，ingress shared 角色将记录添加到私有链路控制器中。VPC 端点用于共享角色，在 VPC 所有者帐户中创建 VPC 端点。在共享 VPC 配置中创建了一个托管集群，其中集群创建私有托管区。(OCPBUGS-44630)
在以前的版本中，在打开本地加密磁盘时 kdump initramfs 停止响应，即使 kdump 目的地是不需要访问本地机器的远程机器。在这个版本中，这个问题已被解决，kdump initranfs 成功打开本地加密磁盘。(OCPBUGS-43079)
在以前的版本中，Cluster Version Operator (CVO)不会过滤与 ClusterVersion Failing 条件 消息传播的内部错误。因此，在 ClusterVersion Failing 条件 消息中会显示不会影响更新的错误。在这个版本中，会过滤与 ClusterVersion Failing 条件 消息对应的错误。(OCPBUGS-39558)

1.9.2.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.3. RHSA-2024:10818 - OpenShift Container Platform 4.17.8 程序错误修复和安全更新公告

发布日期： 2024 年 12 月 11 日

OpenShift Container Platform release 4.17.8 现已正式发布。其程序错误修正列表包括在 RHSA-2024:10818 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:10821 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.8 --pullspecs

1.9.3.1. 程序错误修复

在以前的版本中，由于 IBM Cloud Workspace ID 不正确的检索，IBMPowerVSCluster 对象的供应商 ID 无法正确填充。因此，证书签名请求(CSR)在托管的集群中是待处理的。在这个版本中，供应商 ID 可以成功填充，问题已解决。(OCPBUGS-44880)
在以前的版本中，如果您只使用一个 finally 任务创建管道，则无法从编辑 Pipeline 表单中删除 finally 管道任务。在这个版本中，您可以从 edit Pipeline 表单中删除 finally 任务，并解决了这个问题。(OCPBUGS-44873)
在以前的版本中，如果您使用 oc adm node-image create 命令，且镜像生成步骤失败，它会报告一个简单的错误，且不会显示容器的日志。因此，错误消息没有显示导致镜像生成步骤失败的底层问题。在这个版本中，oc adm node-image create 命令显示容器的日志。(OCPBUGS-44508)
在以前的版本中，如果您为要在 IBM Power® 上安装的集群创建了负载均衡器，且创建负载均衡器超时，集群的安装会失败，且不会报告错误。集群失败，因为没有创建内部和外部 DNS 负载均衡器名称。在这个版本中，如果集群安装过程中没有内部和外部 DNS 负载均衡器名称，安装程序会生成错误通知，您可以添加名称以便集群安装过程继续。(OCPBUGS-44247)
在以前的版本中，用来决定 Dashboard 表中行数的 ID 是唯一的，如果其 ID 是相同的行，一些行被合并。在这个版本中，ID 使用更多信息来防止重复 ID，表可以显示每个预期的行。(OCPBUGS-43441)

1.9.3.2. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.4. RHSA-2024:10518 - OpenShift Container Platform 4.17.7 程序错误修复和安全更新公告

发布日期： 2024 年 12 月 3 日

OpenShift Container Platform release 4.17.7 现已正式发布。其程序错误修正列表包括在 RHSA-2024:10518 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:10521 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.7 --pullspecs

1.9.4.1. 功能增强

1.9.4.1.1. 弃用了 clusterTasks OpenShift Pipelines 版本 1.17

OpenShift Container Platform 4.17 发行版本弃用了 Red Hat OpenShift Pipelines 版本 1.17 中的 clusterTasks 资源。此发行版本还从 OpenShift Container Platform Web 控制台的 OpenShift Pipelines 页面中的静态插件中删除 clusterTasks 资源依赖项。(OCPBUGS-44183)

1.9.4.2. 程序错误修复

在以前的版本中，您无法在自定义模板中输入多行参数，如私钥。在这个版本中，您可以在自定义模板中的单行和多行模式间切换，以便在模板字段中输入多行输入。(OCPBUGS-44699)
在以前的版本中，当尝试使用 Cluster Network Operator (CNO)升级带有现有 localnet 网络的集群时，ovnkube-control-plane pod 将无法运行。这是因为 ovnkube-cluster-manager 容器无法处理没有定义子网的 OVN-Kubernetes localnet 拓扑网络。在这个版本中，确保 ovnkube-cluster-manager 容器可以处理没有定义子网的 OVN-Kubernetes localnet 拓扑网络。(OCPBUGS-43454)
在以前的版本中，当尝试使用对象的 deploymentconfigs/scale 子资源的准入 Webhook 扩展 DeploymentConfig 对象时，apiserver 无法处理请求。这会影响 DeploymentConfig 对象，因为它无法扩展。在这个版本中，一个修复可确保不再出现这个问题。(OCPBUGS-42752)

1.9.4.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.5. RHBA-2024:10137 - OpenShift Container Platform 4.17.6 程序错误修复和安全更新公告

发布日期：24 年 11 月 26 日

OpenShift Container Platform release 4.17.6 现已正式发布。其程序错误修正列表包括在 RHBA-2024:10137 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:10140 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.6 --pullspecs

1.9.5.1. 功能增强

1.9.5.1.1. 更新至 Kubernetes 版本 1.30.6

OpenShift Container Platform 版本 4.17.6 包含从升级到 Kubernetes 版本 1.30.6 的更改。(OCPBUGS-44512)

1.9.5.2. 程序错误修复

在以前的版本中，如果您在自定义资源(CR)中设置了自定义注解，SR-IOV Operator 将覆盖 SriovNetwork CR 中的所有默认注解。在这个版本中，当您在 CR 中定义自定义注解时，SR-IOV Operator 不会覆盖默认注解。(OCPBUGS-42252)
在以前的版本中，在 Red Hat OpenShift Container Platform Web 控制台通知部分中，静默的警报在 notification drawer 中可见，因为警报不包括外部标签。在这个版本中，警报包括外部标签，因此静默的警报在 notification drawer 上不可见。(OCPBUGS-44722)
在以前的版本中，当您点 Red Hat OpenShift Container Platform Web 控制台 Edit BuildConfig 页面中的 start lastrun 选项时，会出现错误阻止 lastrun 操作运行。在这个版本中，一个修复可确保 start lastrun 选项会如预期运行。(OCPBUGS-44587)
在以前的版本中，OpenShift Container Platform 4.17 在 Red Hat OpenShift Container Platform Web 控制台的 Administrator 视角中 引入了 collapsing 并扩展 Getting started 部分。当您折叠或展开该部分时，您无法关闭该部分。在这个版本中，一个修复可确保您可以关闭 Getting started 部分。(OCPBUGS-44586)
在以前的版本中，当一个或多个 spec.config.storage.files 没有包括标记为可选的数据字段时，Red Hat OpenShift Container Platform Web 控制台的 Details 页面中的 MachineConfig 选项卡会显示一个错误。在这个版本中，如果可选字段中没有填充值，则确保这个错误不再显示。(OCPBUGS-44479)
在以前的版本中，使用 IBM® 平台的托管 control plane 集群无法通过 oc login 命令接受 authentication。此行为导致了浏览器无法从集群中获取令牌的 Web broswer 错误。在这个版本中，可以确保基于云的端点不会代理，以便使用 oc login 命令进行身份验证可以正常工作。(OCPBUGS-44276)
在以前的版本中，如果 RendezvousIP 匹配了计算节点配置的 next-hop-address 字段中的子字符串，则验证错误。RendezvousIP 只能匹配 control plane 主机地址。在这个版本中，RendezvousIP 的子字符串比较仅用于 control plane 主机地址，因此不再存在错误。(OCPBUGS-44261)
在以前的版本中，当为要在 IBM Power® 上安装的集群创建负载均衡器和负载均衡器超时的集群创建负载均衡器时，集群的安装会失败，且不会报告错误。集群失败，因为没有创建内部和外部 DNS 负载均衡器名称。在这个版本中，如果集群安装过程中没有内部和外部 DNS 负载均衡器名称，安装程序会输出错误，以便您有机会添加名称，以便集群安装过程可以继续。(OCPBUGS-44247)
在以前的版本中，当您试图在使用精简配置的物理存储设备中运行磁盘清理操作时，清理操作会失败。在这个版本中，一个程序错误修复可确保您可以在物理存储设备中运行磁盘清理操作，而无需清理操作失败。(OCPBUGS-31570)
在以前的版本中，如果 Operator Lifecycle Manager (OLM)无法访问与服务帐户关联的 secret，OLM 依赖于 Kubernetes API 服务器来自动创建 bearer 令牌。在这个版本中，Kubernetes 版本 1.22 及更新的版本不会自动创建 bearer 令牌。现在，OLM 使用 TokenRequest API 来请求新的 Kubernetes API 令牌。(OCPBUGS-44760)

1.9.5.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.6. RHSA-2024:9610 - OpenShift Container Platform 4.17.5 程序错误修复和安全更新公告

发布日期：24 年 11 月 19 日

OpenShift Container Platform 版本 4.17.5 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:9610 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:9613 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.5 --pullspecs

1.9.6.1. 功能增强

1.9.6.1.1. 改进 Cluster Monitoring Operator 的验证标准

在这个版本中，Cluster Monitoring Operator (CMO)改进了验证标准。CMO 会阻止集群使用 openshift-monitoring/cluster-monitoring-config 或 openshift-user-workload-monitoring/user-workload-monitoring-config 中的配置进行更新，其中包括不支持的字段或错误配置。(OCPBUGS-43690)

1.9.6.2. 程序错误修复

在以前的版本中，Azure File Driver 会尝试重复使用现有存储帐户。在这个版本中，Azure File Driver 在动态置备过程中创建存储帐户。对于更新的集群，新创建的持久性卷使用新的存储帐户。之前置备的持久性卷继续使用集群更新前使用的相同存储帐户。(OCPBUGS-42949)
在以前的版本中，当您使用 must-gather 工具时，Multus Container Network Interface (CNI) 日志文件 multus.log 存储在节点的文件系统中。这会导致工具在节点上生成不必要的调试 pod。在这个版本中，Multus CNI 不再创建一个 multus.log 文件，而是使用 CNI 插件模式检查 openshift-multus 命名空间中的 Multus DaemonSet pod 的日志。(OCPBUGS-42835)
在以前的版本中，当您试图创建管道时，任务数据不会在 ArtifactHub 上完全加载。在这个版本中，控制台会完全从 ArtifactHub 加载数据，这个问题已解决。(OCPBUGS-16141)

1.9.6.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.7. RHSA-2024:8981 - OpenShift Container Platform 4.17.4 程序错误修复和安全更新公告

发布日期： 2024 年 11 月 13 日

OpenShift Container Platform release 4.17.4 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:8981 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:8984 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.4 --pullspecs

1.9.7.1. 功能增强

1.9.7.1.1. 使用 GCP Workload Identity 验证客户工作负载

在这个版本中，使用 Google Cloud Platform Workload Identity 的 OpenShift Container Platform 集群上的客户工作负载中的应用程序可以使用 GCP Workload Identity 进行身份验证。

要将这个验证方法用于应用程序，您必须在云供应商控制台和 OpenShift Container Platform 集群中完成配置步骤。

如需更多信息，请参阅为 GCP 上的应用程序配置 GCP Workload Identity 身份验证。

1.9.7.1.2. ansible-operator 上游版本信息

ansible-operator 版本现在显示对应的上游版本信息。(OCPBUGS-43836)

1.9.7.2. 程序错误修复

在以前的版本中，当在 IBM 平台上安装集群并将现有的 VPC 添加到集群中时，Cluster API Provider IBM Cloud 不会将端口 443、5000 和 6443 添加到 VPC 的安全组中。这种情况导致 VPC 无法添加到集群中。在这个版本中，可以确保 Cluster API Provider IBM Cloud 将端口添加到 VPC 的安全组中，以便 VPC 可以添加到集群中。(OCPBUGS-44226)
在以前的版本中，安装程序会填充 VMware vSphere control plane 机器集自定义资源 (CR)的 spec.template.spec.providerSpec.value 的 network.devices, template 和 workspace 字段。这些字段应该在 vSphere 故障域中设置，且安装程序填充它们会导致意外的行为。
更新这些字段不会触发对 control plane 机器的更新，并在删除 control plane 机器集时清除这些字段。在这个版本中，安装程序被更新，不再填充故障域配置中包含的值。如果在故障域配置中没有定义这些值，例如，从早期版本升级到 OpenShift Container Platform 4.17 的集群，则会使用安装程序定义的值。(OCPBUGS-44047)
在以前的版本中，因为 Open vSwitch 中的一个错误，在 Open vSwitch 中使用 IPSec 启用 ESP 硬件卸载会破坏连接问题。在这个版本中，OpenShift 会自动禁用 Open vSwitch 连接接口上的 ESP 硬件卸载，并解决了这个问题。(OCPBUGS-43917)
在以前的版本中，如果您将 OAuth 自定义资源 (CR) 的身份提供程序 (IDP) 名称配置为包含空格，oauth-server 会崩溃。在这个版本中，包含空格的身份提供程序 (IDP) 名称不会导致 oauth-server 崩溃。(OCPBUGS-44118)
在以前的版本中，由于 Go 1.22 中的一个行为回归问题，如果 IDP 配置包含多个基于密码的 IDP （如 htpasswd），则 oauth-server pod 会崩溃。请注意，如果 bootstrap 用户kubeadmin 仍存在于集群中，则用户也会作为一个基于密码的 IDP 被计算。在这个版本中，对 oauth-server 的修复解决了这个问题，可以防止服务器崩溃。(OCPBUGS-43587)
在以前的版本中，当使用基于代理的安装程序在带有不正确的日期的节点上安装集群时，集群安装会失败。在这个版本中，针对基于代理的安装程序实时 ISO 时间同步应用了一个补丁。补丁使用附加网络时间协议 (NTP) 服务器列表配置 /etc/chrony.conf 文件，以便您可以在不遇到集群安装问题的情况下在 agent-config.yaml 中设置这些额外的 NTP 服务器。(OCPBUGS-43846)
在以前的版本中，当您在 Google Cloud Platform (GCP) 上安装私有集群时，API 防火墙规则会使用 0.0.0.0/0 作为源的范围。这个地址允许非集群资源意外访问私有集群。在这个版本中，API 防火墙规则只允许 Machine Network 中具有源范围的资源访问私有集群。(OCPBUGS-43786)
在以前的版本中，无效的或无法访问的身份提供程序 (IDP) 会阻止对托管 control plane 的更新。在这个版本中，HostedCluster 对象中的 ValidIDPConfiguration 条件会报告 IDP 错误，因此这些错误不会阻止对托管 control plane 的更新。(OCPBUGS-43746)
在以前的版本中，如果您通过代理运行命令 attach, oc exec, 和 port-forward，则会收到错误。在这个版本中，应用于 kubectl 的补丁可确保 kubectl 可以处理这些命令的任何代理错误，以便命令按预期运行。(OCPBUGS-43696)
在以前的版本中，Machine Config Operator (MCO) 附带的 Red Hat Enterprise Linux (RHEL) CoreOS 模板会导致节点扩展在 Red Hat OpenStack Platform (RHOSP) 上失败。这是因为 systemd 中存在一个问题，存在一个来自旧版本的 OpenShift Container Platform 中的引导镜像。在这个版本中，通过一个补丁修复了 systemd 的问题，并删除旧的引导镜像，以便节点扩展可以如预期继续。(OCPBUGS-42577)
在以前的版本中，如果在 pod 初始化同步操作时，如果 Cluster Version Operator (CVO) pod 重启，则阻止升级请求的保护会失败。因此，会意外接受阻止的升级请求。在这个版本中，CVO pod 在初始化过程中会延迟协调，以便在 CVO pod 重启后保护阻断的升级请求。(OCPBUGS-42386)

1.9.7.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.8. RHSA-2024:8434 - OpenShift Container Platform 4.17.3 程序错误修复和安全更新公告

发布日期：2024 年 10 月 29 日

OpenShift Container Platform 版本 4.17.3 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:8434 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:8437 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.3 --pullspecs

1.9.8.1. 功能增强

1.9.8.1.1. 使用 Cluster Network Operator 公开网络重叠指标

当您启动有限的实时迁移方法，且网络重叠存在问题时，Cluster Network Operator (CNO) 可能会为问题公开网络重叠指标。这是因为 openshift_network_operator_live_migration_blocked 指标现在包含新的 NetworkOverlap 标签。(OCPBUGS-39121)

1.9.8.1.2. 从您的存储库中自动加载 git 存储库环境变量

在以前的版本中，当使用无服务器导入策略导入 git 存储库时，来自 func.yaml 文件中的环境变量不会自动加载到表单中。在这个版本中，环境变量会在导入时加载。(OCPBUGS-42474)

1.9.8.2. 程序错误修复

在以前的版本中，在 Power VS 部署过程中向 OpenShift 安装程序引入了回归问题。因此，不会创建 OpenShift Install 所需的安全组规则。在这个版本中，这个问题已解决。(OCPBUGS-43547)
在以前的版本中，如果在 Azure 中将镜像 registry Operator 配置为 Internal，则授权错误会阻止镜像 registry Operator 删除存储容器，并且 managementState 字段被设置为 Removed。在这个版本中，Operator 可以删除存储帐户和存储容器，managementState 字段可以成功设置为 Removed。(OCPBUGS-43350)
在以前的版本中，主动和被动高可用性(HA)部署都运行三个副本，而不是所需的两个副本。因此，control plane 包含超过所需 pod，这会导致扩展问题。在这个版本中，主动和被动 HA 部署中的副本数量从三个减少到两个。(OCPBUGS-42704)
在以前的版本中，当 INI 成功时，配置加载程序会记录 yaml unmarshal 错误。在这个版本中，当 INI 成功时，unmarshal 错误将不再记录。(OCPBUGS-42327)
在以前的版本中，Machine Config Operator (MCO) 的 vSphere resolve-prepender 脚本使用了与 OpenShift Container Platform 4 中使用的旧 bootimage 版本不兼容的 systemd 指令。在这个版本中，节点可以使用较新的 bootimage 版本 4.17 4.13 及更高版本、手动干预或升级到包含此修复的发行版本。(OCPBUGS-42108)
在以前的版本中，安装程序不会在 Red Hat Enterprise Linux CoreOS (RHCOS) 上验证自定义 IPv6 网络的最大传输单元 (MTU)。如果为 MTU 指定了低值，集群的安装将失败。在这个版本中，IPv6 网络的最小 MTU 值被设置为 1380，其中 1280 是 IPv6 的最小 MTU，100 是 OVN-Kubernetes 封装开销。在这个版本中，安装程序会在 Red Hat Enterprise Linux CoreOS (RHCOS) 上为自定义 IPv6 网络验证 MTU。(OCPBUGS-41812)
在以前的版本中，当您在实时环境中运行 RHCOS 时，rpm-ostree-fix-shadow-mode.service 服务将运行。因此，rpm-ostree-fix-shadow-mode.service 服务会记录不会影响部署或实时系统的故障。在这个版本中，如果 RHCOS 没有从安装环境运行且问题已解决，rpm-ostree-fix-shadow-mode.service 服务将不会运行。(OCPBUGS-41621)

1.9.8.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.9. RHSA-2024:8229 - OpenShift Container Platform 4.17.2 程序错误修复和安全更新公告

发布日期：2024 年 10 月 23 日

OpenShift Container Platform 版本 4.17.2 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:8229 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:8232 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.2 --pullspecs

1.9.9.1. 功能增强

Operator SDK 现在可以正确地构建 kube-rbac-proxy 的 Dockerfile。另外，Operator SDK 现在可以使用 -rhel9 容器镜像。(OCPBUGS-42953)
当您启动有限的实时迁移方法，且网络重叠存在问题时，Cluster Network Operator (CNO) 可能会为问题公开网络重叠指标。这是因为 openshift_network_operator_live_migration_blocked 指标现在包含新的 NetworkOverlap 标签。(OCPBUGS-39121)

1.9.9.2. 程序错误修复

在以前的版本中，证书签名请求 (CSR) 的批准机制会失败，因为 CSR 的节点名称和内部 DNS 条目在字符问题单差异方面不匹配。在这个版本中，对 CSR 的批准机制的更新会跳过区分大小写的检查，以便具有匹配节点名称和内部 DNS 条目的 CSR 不会因为字符问题单的不同而失败。(OCPBUGS-43312)
在以前的版本中，Cloud Credential Operator (CCO) 和 assisted-service 对象上的端口冲突会导致 VMware vSphere 上的集群安装失败。在这个版本中，安装程序会忽略 assisted-service 对象中的 pprof 模块，以便端口冲突不再存在。(OCPBUGS-43069)
在以前的版本中，当尝试使用 oc import-image 命令在托管的 control plane 集群中导入镜像时，命令会失败，因为访问私有镜像 registry 的问题。在这个版本中，对托管 control plane 集群中的 openshift-apiserver pod 的更新可以解析使用 data plane 的名称，以便 oc import-image 命令现在可以与私有镜像 registry 正常工作。(OCPBUGS-43051)
在以前的版本中，对于托管 control plane 上的受管服务，审计日志会发送到本地 webhook 服务 audit-webhook。这会导致通过 konnectivity 服务发送审计日志的托管 control plane pod 出现问题。在这个版本中，audit-webhook 添加到 no_proxy 主机列表中，以便托管 control plane pod 会向 audit-webhook 服务发送 auti 日志。(OCPBUGS-42974)
在以前的版本中，当使用基于代理的安装程序安装集群时，assisted-installer-controller 会超时或退出安装过程，具体取决于 assisted-service 在 rendezvous 主机上是否不可用。在这种情况下，集群安装会失败，在 CSR 批准检查过程中失败。在这个版本中，对 assisted-installer-controller 的更新可确保如果 assisted-service 不可用，控制器不会超时或退出。CSR 批准检查现在可以正常工作。(OCPBUGS-42839)
在以前的版本中，运行 openshift-install gather bootstrap --dir <workdir> 命令可能会导致安装程序跳过对收集日志的分析。该命令输出以下信息：
```
Invalid log bundle or the bootstrap machine could not be reached and bootstrap logs were not collected
```
在这个版本中，安装程序可以分析收集 bootstrap --dir <workdir> 参数生成的日志处理。(OCPBUGS-42806)
在以前的版本中，当您在 OpenShift Container Platform Web 控制台中使用自定义编辑器使用 Developer 视角时，输入 n 键盘快捷方式会导致命名空间菜单意外打开。出现这个问题的原因是，自定义编辑器没有考虑到键盘快捷键。在这个版本中，命名空间菜单帐户用于自定义编辑器，在输入 n 键盘快捷方式时不会意外打开。(OCPBUGS-42607)
在以前的版本中，安装程序不会在 Red Hat Enterprise Linux CoreOS (RHCOS) 上验证自定义 IPv6 网络的最大传输单元 (MTU)。如果为 MTU 指定了一个较低的值，集群的安装将失败。在这个版本中，IPv6 网络的最小 MTU 值被设置为 1380，其中 1280 是 IPv6 的最小 MTU，100 是 OVN-Kubernetes 封装开销。在这个版本中，安装程序会在 Red Hat Enterprise Linux CoreOS (RHCOS) 上为自定义 IPv6 网络验证 MTU (OCPBUGS-41812)
在以前的版本中，使用镜像的发行镜像的托管 control plane 集群可能会导致现有节点池使用托管的集群操作系统版本，而不是 NodePool 版本。在这个版本中，可以确保节点池使用自己的版本。(OCPBUGS-41552)
在以前的版本中，在 Microsoft Azure 上创建私有 OpenShift Container Platform 集群后，安装程序不会标记它所创建的存储帐户。因此，存储帐户是公开的。在这个版本中，安装程序可以正确地将存储帐户标记为私有，无论集群是公共的还是私有的。(OCPBUGS-42349)

1.9.9.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.10. RHSA-2024:7922 - OpenShift Container Platform 4.17.1 程序错误修复和安全更新公告

发布日期： 2024 年 10 月 16 日

OpenShift Container Platform release 4.17.1 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:7922 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:7925 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.1 --pullspecs

1.9.10.1. 功能增强

Operator SDK 现在可以正确地构建 ansible-operator 的 Dockerfile。另外，Operator SDK 现在可以使用 -rhel9 容器镜像。(OCPBUGS-42853)
Operator SDK 现在可以正确地构建 helm-operator 的 Dockerfile。另外，Operator SDK 现在可以使用 -rhel9 容器镜像。(OCPBUGS-42786)
当您安装 Red Hat OpenShift Lightspeed （目前仅为开发者预览功能）时，现在默认启用集群监控的复选框。(OCPBUGS-42380)
安装程序现在使用最新版本的 cluster-api-provider-ibmcloud 供应商，其中包括 Transit Gateway 修复。(OCPBUGS-42483)
迁移 CNS 卷功能（目前仅为开发者技术预览功能）包括以下改进：
- 现在，该功能会在将 CNS 卷移至 VMware vSphere 前检查 vCenter 版本。(OCPBUGS-42006)
- 即使某些卷不存在，该功能也会保留迁移 CNS 卷，以便在没有卷时不会退出迁移操作。(OCPBUGS-42008)
vSphere CSI Driver Operator 现在可以删除从集群中删除的 vSphere CSI 驱动程序的所有资源。(OCPBUGS-42007)

1.9.10.2. 程序错误修复

在以前的版本中，在 Operator 的关闭操作过程中，Single-Root I/O Virtualization (SR-IOV) Operator 不会使获取租期过期。这会影响 Operator 的新实例，因为新实例必须在新实例运行之前等待租期过期。在这个版本中，对 Operator 关闭逻辑的更新可确保 Operator 关闭时 Operator 过期租期。(OCPBUGS-37668)
在以前的版本中，当将镜像 registry 配置为使用位于集群资源组以外的资源组中的 Microsoft Azure 存储帐户时，Image Registry Operator 会降级。这是因为一个验证错误造成的。在这个版本中，对 Operator 的更新只允许使用存储帐户密钥进行身份验证。没有需要验证其他身份验证的要求。(OCPBUGS-42812)
在以前的版本中，如果 install-config.yaml 配置文件中的可用区没有特定顺序，安装程序会在保存 control plane 机器集清单前错误地对区进行排序。当程序创建机器时，会创建额外的 control plane 虚拟机将机器协调到每个区。这会导致一个 resource-constraint 问题。在这个版本中，安装程序不再对可用区进行排序，以便不再出现这个问题。(OCPBUGS-42699)
在以前的版本中，Red Hat OpenShift Container Platform Web 控制台不需要 Creator 字段作为必填字段。API 更改为为此字段指定一个空值，但用户配置集仍然可以创建静默警报。在这个版本中，API 会将 Creator 字段标记为用户配置集的强制字段。(OCPBUGS-42606)
在以前的版本中，在 root 认证轮转过程中，Ingress Operator 和 DNS Operator 无法启动。在这个版本中，对 Ingress Operator 和 DNS Operator 的 kubeconfig 更新可确保注解设置了管理公钥基础架构 (PKI) 的条件。在这个版本中，两个 Operator 可以在 root 认证轮转过程中按预期启动。(OCPBUGS-42261)
在以前的版本中，在 root 认证轮转过程中，data plane 中的 metrics-server pod 无法正确启动。这是因为存在一个证书问题造成的。在这个版本中，hostedClusterConfigOperator 资源将正确的证书发送到 data plane，以便 metrics-server pod 会如预期启动。(OCPBUGS-42098)
在以前的版本中，安装程序会尝试为需要在 Google Cloud Platform 共享虚拟专用网络 (VPC) 上安装的集群创建一个私有区。这会导致集群安装失败。在这个版本中，会跳过创建私有区，以便此集群安装问题不再存在。(OCPBUGS-42142)
在以前的版本中，当安装程序在 Google Cloud Platform VPC 上安装集群时，程序不会删除 control plane 服务帐户的角色绑定。在这个版本中，会删除角色绑定，以便集群不再包含这些工件。(OCPBUGS-42116)
在以前的版本中，如果您为集群启用了集群层，并试图在机器配置中配置内核参数，则机器配置池 (MCP) 和节点进入降级状态。这是因为配置不匹配。在这个版本中，检查带有启用了 OCL 的集群的内核参数可确保配置这些参数并应用到集群中的节点。在这个版本中，之前版本中的在机器配置和节点配置之间的不匹配问题已被避免。(OCPBUGS-42081)
在以前的版本中，为集群创建 cron 任务来创建 pod 会导致获取 pod 的组件失败。由于这个问题，OpenShift Container Platform Web 控制台中的 Topology 页会失败。在这个版本中，为组件配置了 3 秒延迟，用来获取从 cron 任务生成的 pod，从而不会再出现这个问题。(OCPBUGS-41685)
在以前的版本中，当部署在 RHOSP 上配置的 TechPreviewNoUpgrade 功能门中列出的 OpenShift Container Platform 集群时，cluster-capi-operator pod 会崩溃。这是因为 Cluster CAPI Operator 预期与提供的 API 版本不同。在这个版本中，对 Cluster CAPI Operator 的更新可确保 Operator 使用正确的 API 版本，以便不再出现这个问题。(OCPBUGS-41576)
在以前的版本中，使用 DNF 在自定义 Red Hat Enterprise Linux CoreOS (RHCOS) 构建上安装附加软件包会导致构建失败，因为无法找到软件包。在这个版本中，Subscription Manager 为 RHCOS 添加正确的软件包，以便不再出现这个问题。(OCPBUGS-41376)
在以前的版本中，在 active-backup 模式中配置的绑定会使 EFI 系统分区 (ESP) 卸载活跃，即使底层链接不支持 ESP 卸载。这会导致 IPsec 关联失败。在这个版本中，绑定禁用 ESP 卸载，以便 IPsec 关联可以通过。(OCPBUGS-41255)
在以前的版本中，当删除帐户时，新用户帐户的资源不会被删除。这会导致配置映射、角色和角色绑定中不必要的信息。在这个版本中，一个 ownerRef 标签添加到这些资源中，以便在删除用户帐户时也会从所有集群资源中删除资源。(OCPBUGS-39601)
在以前的版本中，一个编码问题会导致 RHCOS 用户置备的基础架构中的 Ansible 脚本失败。当为三节点集群启用 IPv6 时会出现这种情况。在这个版本中，支持在 RHCOS 上安装启用了 IPv6 的三节点集群。(OCPBUGS-39409)
在以前的版本中，Ansible Playbook 的顺序被修改为在创建 metadata.json 文件之前运行，这会导致旧版本 Ansible 出现问题。在这个版本中，playbook 对缺少的文件具有更大的灵活性，这个问题已解决。(OCPBUGS-39286)
在以前的版本中，当 Node Tuning Operator (NTO) 配置为使用 PerformanceProfiles 时，NTO 会创建一个 ocp-tuned-one-shot systemd 服务。systemd 服务会在 kubelet 之前运行，并阻止了执行。systemd 服务调用使用 NTO 镜像的 Podman，但当 NTO 镜像不存在时，Podman 仍然会尝试获取镜像，它将失败。在这个版本中，增加了对 /etc/mco/proxy.env 中定义的集群范围代理环境变量的支持。现在，Podman 会在环境中拉取 NTO 镜像，该镜像需要使用代理进行集群外连接。(OCPBUGS-39124)
在以前的版本中，当选择超过三个资源时，OpenShift Container Platform Web 控制台中的 Events 页的资源类型过滤器会错误地报告资源数量。在这个版本中，过滤器会根据资源选择报告正确的资源数量。(OCPBUGS-39091)
在以前的版本中，如果块设备的序列号中存在特殊或无效字符，Ironic 检查会失败。这是因为 lsblk 命令无法转义字符。在这个版本中，命令会转义字符，因此不会再有这个问题。(OCPBUGS-39013)
在以前的版本中，当使用 Redfish Virtual Media 在集群中添加 xFusion 裸机节点时，节点不会因为节点注册问题而添加。出现这个问题的原因是，硬件与 Redfish 不是 100% 兼容。在这个版本中，您可以在集群中添加 xFusion 裸机节点。(OCPBUGS-38784)
在以前的版本中，在 OpenShift Container Platform Web 控制台的 Developer 视角中，当您进入到 Observe > Metrics 时，存在两个 Metrics 标签页。在这个版本中，重复的标签页已被删除，现在存在于 openshift-monitoring/monitoring-plugin 应用程序中，它用于服务 web 控制台中的 Metrics 标签页。(OCPBUGS-38462)
在以前的版本中，因为配置问题，manila-csi-driver 和节点注册器 pod 缺少了健康检查。在这个版本中，健康检查被添加到这两个资源中。(OCPBUGS-38457)
在以前的版本中，更新托管 control plane 集群配置中的 additionalTrustBundle 参数不会应用到计算节点。在这个版本中，确保对 additionalTrustBundle 参数的更新会自动应用到托管 control plane 集群中存在的计算节点。(OCPBUGS-36680)
在以前的版本中，使用 oc-mirror 插件 v2 （技术预览）时，引用了 tag 和 digest 的镜像不被支持。在完全断开连接的环境中的 disk-to-mirror 过程中，会跳过镜像，这会导致存档文件的构建问题。在这个版本中，oc-mirror 插件 v2 支持包含这两个引用的镜像。现在，镜像是从 digest 引用中拉取的，并为信息目的保留 tag 引用，而控制台输出中会显示适当的警告信息。(OCPBUGS-42421)
在以前的版本中，与默认的非集群 API 安装相比，Cluster API 将不受支持的标签模板用于虚拟网络安装。这会导致在使用 networkAccess: Internal 配置时，Image Registry Operator 会进入 degraded 状态。在这个版本中，Image Registry Operator 支持两个标签模板，这个问题已被解决。(OCPBUGS-42394)
在以前的版本中，IBM Cloud 集群安装中使用的 Cloud Controller Manager (CCM) 存活度探测无法使用 loopback，这会导致探测持续重启。在这个版本中，探测可以使用回环，以便不会再发生这个问题。(OCPBUGS-41941)
在以前的版本中，当在 PerformanceProfile 对象中将 globallyDisableIrqLoadBalancing 字段设置为 true 时，隔离的 CPU 列在 IRQBALANCE_BANNED_CPULIST 变量中，而不是 IRQBALANCE_BANNED_CPUS 变量。这些变量存储在 /etc/sysconfig/irqbalance 中。将 globallyDisableIrqLoadBalancing 字段的值从 true 改为 false 无法正确更新 IRQBALANCE_BANNED_CPULIST 变量。因此，用于负载均衡的 CPU 数量不会增加，因为隔离的 CPU 保留在 IRQBALANCE_BANNED_CPULIST 变量中。在这个版本中，确保隔离 CPU 现在列在 IRQBALANCE_BANNED_CPUS 变量中，以便可以按预期增加负载重新平衡的 CPU 数量。(OCPBUGS-42323)

1.9.10.3. 更新

要将 OpenShift Container Platform 4.16 集群更新至此最新版本，请参阅使用 CLI 更新集群。

1.9.11. RHSA-2024:3718 - OpenShift Container Platform 4.17.0 镜像发行版本、程序错误修正和安全更新公告

发布日期： 2024 年 10 月 1 日

OpenShift Container Platform 版本 4.17.0 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:3718 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:3722 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.17.0 --pullspecs

1.9.11.1. 已知问题

当在 PerformanceProfile 对象中将 globallyDisableIrqLoadBalancing 字段设置为 true 时，隔离的 CPU 会在 IRQBALANCE_BANNED_CPULIST 变量中列出，而不是 IRQBALANCE_BANNED_CPUS 变量。但是，将 globallyDisableIrqLoadBalancing 字段的值从 true 改为 false 无法正确更新 IRQBALANCE_BANNED_CPULIST 变量。因此，用于负载均衡的 CPU 数量不会增加，因为隔离的 CPU 保留在 IRQBALANCE_BANNED_CPULIST 变量中。
注意
IRQBALANCE_BANNED_CPULIST 变量和 IRQBALANCE_BANNED_CPUS 变量存储在 /etc/sysconfig/irqbalance 文件中。
(OCPBUGS-42323)

1.9.11.2. 更新

要将 OpenShift Container Platform 4.16 集群更新至此最新版本，请参阅使用 CLI 更新集群。

第 2 章其他发行注记

没有包括在核心的 OpenShift Container Platform 4.17 发行注记中的额外的相关组件和产品的发行注记包括在以下文档中。

重要

以下发行注记仅用于下游红帽产品；不包括相关产品的上游或社区发行注记。

A: AWS Load Balancer Operator
B: 为 Red Hat OpenShift 构建
C: cert-manager Operator for Red Hat OpenShift

Cluster Observability Operator (COO)

Compliance Operator

Custom Metrics Autoscaler Operator
D: Red Hat Developer Hub Operator
E: 外部 DNS Operator
F: File Integrity Operator
H: 托管 control plane
K: kube Descheduler Operator
L: 日志记录
M: Migration Toolkit for Containers (MTC)
N: Network Observability Operator

Network-bound Disk Encryption (NBDE) Tang Server Operator
O: OpenShift API for Data Protection (OADP)

Red Hat OpenShift Dev Spaces

Red Hat OpenShift distributed tracing platform

Red Hat OpenShift GitOps

Red Hat OpenShift Local

Red Hat OpenShift Pipelines

OpenShift sandboxed containers

Red Hat OpenShift Serverless

Red Hat OpenShift Service Mesh 2.x

Red Hat OpenShift Service Mesh 3.x

Red Hat OpenShift support for Windows Containers

Red Hat OpenShift Virtualization

Red Hat build of OpenTelemetry
P: Power monitoring for Red Hat OpenShift
R: Run Once Duration Override Operator
S: Secondary Scheduler Operator for Red Hat OpenShift

Security Profiles Operator

Legal Notice

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.