支持控制台(Console)开发人员开始试用联系人

1.9. 异步勘误更新

OpenShift Container Platform 4.17 的安全更新、程序错误修正、功能增强更新将会通过红帽网络以异步勘误的形式发布。所有的 OpenShift Container Platform 4.17 勘误都可以通过红帽客户门户网站获得OpenShift Container Platform 生命周期包括了详细的与异步勘误相关的内容。

红帽客户门户网站的用户可以在红帽订阅管理(RHSM)帐户设置中启用勘误通知功能。当勘误通知被启用后,每当用户注册的系统相关勘误被发布时,用户会收到电子邮件通知。

注意

用户的红帽客户门户网站账户需要有注册的系统,以及使用 OpenShift Container Platform 的权限才可以接收到 OpenShift Container Platform 的勘误通知。

本节的内容将会持续更新,以提供以后发行的与 OpenShift Container Platform 4.17 相关的异步勘误信息。异步子版本(例如,OpenShift Container Platform 4.17.z)的具体信息会包括在相应的子章节中。此外,在发行公告中因为空间限制没有包括在其中的勘误内容也会包括在这里的相应的子章节中。

重要

对于任何 OpenShift Container Platform 发行版本,请仔细参阅有关 更新集群 的说明。

1.9.1. RHBA-2024:11522 - OpenShift Container Platform 4.17.10 程序错误修复和安全更新公告

发布日期: 2024 年 1 月 2 日

OpenShift Container Platform release 4.17.10 现已正式发布。其程序错误修正列表包括在 RHBA-2024:11522 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:11525 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.10 --pullspecs

1.9.1.1. 功能增强

1.9.1.1.1. Node Tuning Operator 架构检测

Node Tuning Operator 现在可以为 Intel 和 AMD CPU 正确选择内核参数和管理选项。(OCPBUGS-43664)

1.9.1.2. 程序错误修复

  • 在以前的版本中,当 webhook 令牌验证器被启用并将授权类型设置为 None 时,OpenShift Container Platform Web 控制台会始终崩溃。在这个版本中,一个程序错误修复可确保此配置不会导致 OpenShift Container Platform Web 控制台崩溃。(OCPBUGS-46390)
  • 在以前的版本中,用于为集群配置 ingress 规则和 sevice 的 SiteConfig 自定义资源(CR)配置会导致 BareMetalHost CR 处于已删除状态,而不是作为集群清理操作的一部分删除。在这个版本中,您不再提供升级到 GitOps Operator 到版本 1.13 或更高版本。(OCPBUGS-46071)
  • 在以前的版本中,当尝试使用 Operator Lifecycle Manager (OLM)升级 Operator 时,升级会被阻断,并 会根据新 CRD 的 schema 信息验证现有 CR 的错误。OLM 存在了一个问题,其中 OLM 错误地发现了根据新 Operator 版本的自定义资源定义(CRD)验证现有自定义资源(CR)的问题。在这个版本中,验证会被修正,以便 Operator 升级不再被阻断。(OCPBUGS-46054)
  • 在以前的版本中,在 OpenShift Container Platform Web 控制台中无法重新运行使用解析器的 PipelineRuns CR。如果您试图重新运行 CR,则生成 Invalid PipelineRun 配置,无法启动 Pipeline 信息。在这个版本中,您可以重新运行使用解析器的 PipelineRuns CR,而无需遇到这个问题。(OCPBUGS-45949)
  • 在以前的版本中,当您使用 Form View 在 OpenShift Container Platform Web 控制台中编辑 DeploymentDeploymentConfig API 对象时,在其中一个对象的 YAML 配置中都存在重复的 ImagePullSecrets 参数。在这个版本中,确保没有为其中一个对象自动添加重复的 ImagePullSecrets 参数。(OCPBUGS-45948)
  • 在以前的版本中,aws-sdk-go-v2 软件开发工具包(SDK)无法在 AWS 安全令牌服务(STS)集群中验证 AssumeRoleWithWebIdentity API 操作。在这个版本中,pod 身份 Webhook 包含一个默认区域,以便这个问题不再保留。(OCPBUGS-45938)
  • 在以前的版本中,当服务控制策略(SCP)为其 AssociatePublicIpAddress 参数指定 false 时,AWS 集群的安装会失败。在这个版本中,一个修复可确保这个 SCP 配置不再会导致 AWS 集群的安装失败。(OCPBUGS-45186)
  • 在以前的版本中,一个额外的过滤属性传递给组件,用于列出 Operator 详情页中的操作对象。如果列表由动态插件扩展,则 additional 属性会导致列表始终为空。在这个版本中,额外的属性已被删除,以便按预期列出可用的操作对象。(OCPBUGS-45667)
  • 在以前的版本中,当运行 oc adm node-image create 命令时,命令有时会失败,并输出镜像 可能无法拉取 错误信息。在这个版本中,为命令添加了一个重试机制,以便在命令无法从发行版本工作负载拉取镜像时,重试操作可确保命令按预期运行。(OCPBUGS-45517)
  • 在以前的版本中,IBM Power® Virtual Server 集群安装会在安装程序置备的基础架构中失败,因为安装程序使用随机网络类型,而不是使用 install-config.yaml 配置文件中指定的指定网络类型。在这个版本中,安装程序使用 install-config.yaml 中指定的网络类型,以便这个问题不再保留。(OCPBUGS-45484)
  • 在以前的版本中,非统一内存访问(NUMA)节点拓扑验证预期等于内核索引。这预期会导致 Performance Profile Creator (PPC)报告计算节点不准确的信息。在这个版本中,验证检查不再需要相等的核心索引,以便 PPC 现在为计算节点报告准确的信息。(OCPBUGS-44644)

1.9.1.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.2. RHBA-2024:11010 - OpenShift Container Platform 4.17.9 程序错误修复和安全更新公告

发布日期:24 年 12 月 19 日

OpenShift Container Platform release 4.17.9 现已正式发布。其程序错误修正列表包括在 RHBA-2024:11010 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:11013 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.9 --pullspecs

1.9.2.1. 已知问题

  • 如果您计划部署 NUMA Resources Operator,避免使用 OpenShift Container Platform 版本 4.17.7 或 4.17.8。(OCPBUGS-45639)

1.9.2.2. 程序错误修复

  • 在以前的版本中,Google Cloud Platform (GCP) 项目号输入字段 被错误地标记为 GCP Pool ID。在这个版本中,GCP Project Number 输入字段 会被正确标记。(OCPBUGS-46000)
  • 在以前的版本中,最大批量删除限制为 10。这个限制会导致 PreferNoSchedule 污点出现问题。在这个版本中,禁用最大批量删除率。(OCPBUGS-45929)
  • 在以前的版本中,用户希望使用包含尾部周期的自定义域名配置其 Amazon Web Services DHCP 选项。当 EC2 实例的主机名转换为 Kubelet 节点名称时,尾部周期不会被删除。Kubernetes 对象名称中不允许使用尾部句点。在这个版本中,在 DHCP 选项集的域名中允许尾部句点。(OCPBUGS-45918)
  • 在以前的版本中,当单个 CPU 在 Performance Profile 中有较长的字符串时,不会处理机器配置。在这个版本中,用户输入过程被更新为使用一系列数字,或内核命令行中的数字范围。(OCPBUGS-45627)
  • 在以前的版本中,当从发行版本有效负载访问镜像时,运行 oc adm node-image 命令会失败。在这个版本中,添加了一个重试机制,以便在访问镜像时更正临时故障。(OCPBUGS-45517)
  • 在以前的版本中,当使用 FCP 或 NVME 存储设备为 s390x 硬件中的多个镜像运行基于代理的安装程序时,第一次重启会失败。在这个版本中,这个问题已被解决,重新引导完成。(OCPBUGS-44904)
  • 在以前的版本中,当使用自定义身份和访问管理(IAM)配置集时,缺少权限会导致集群取消置备失败。在这个版本中,所需权限列表包括 tag:UntagResource 和集群取消置备完成。(OCPBUGS-44848)
  • 在以前的版本中,当使用集群创建者帐户中存在私有 DNS 托管区的共享 VPC 创建托管集群时,私有链接控制器无法在本地区中创建 route53 DNS 记录。在这个版本中,ingress shared 角色将记录添加到私有链路控制器中。VPC 端点用于共享角色,在 VPC 所有者帐户中创建 VPC 端点。在共享 VPC 配置中创建了一个托管集群,其中集群创建私有托管区。(OCPBUGS-44630)
  • 在以前的版本中,在打开本地加密磁盘时 kdump initramfs 停止响应,即使 kdump 目的地是不需要访问本地机器的远程机器。在这个版本中,这个问题已被解决,kdump initranfs 成功打开本地加密磁盘。(OCPBUGS-43079)
  • 在以前的版本中,Cluster Version Operator (CVO)不会过滤与 ClusterVersion Failing 条件 消息传播的内部错误。因此,在 ClusterVersion Failing 条件 消息中会显示不会影响更新的错误。在这个版本中,会过滤与 ClusterVersion Failing 条件 消息对应的错误。(OCPBUGS-39558)

1.9.2.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.3. RHSA-2024:10818 - OpenShift Container Platform 4.17.8 程序错误修复和安全更新公告

发布日期: 2024 年 12 月 11 日

OpenShift Container Platform release 4.17.8 现已正式发布。其程序错误修正列表包括在 RHSA-2024:10818 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:10821 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.8 --pullspecs

1.9.3.1. 程序错误修复

  • 在以前的版本中,由于 IBM Cloud Workspace ID 不正确的检索,IBMPowerVSCluster 对象的供应商 ID 无法正确填充。因此,证书签名请求(CSR)在托管的集群中是待处理的。在这个版本中,供应商 ID 可以成功填充,问题已解决。(OCPBUGS-44880)
  • 在以前的版本中,如果您只使用一个 finally 任务创建管道,则无法从编辑 Pipeline 表单中删除 finally 管道任务。在这个版本中,您可以从 edit Pipeline 表单中删除 finally 任务,并解决了这个问题。(OCPBUGS-44873)
  • 在以前的版本中,如果您使用 oc adm node-image create 命令,且镜像生成步骤失败,它会报告一个简单的错误,且不会显示容器的日志。因此,错误消息没有显示导致镜像生成步骤失败的底层问题。在这个版本中,oc adm node-image create 命令显示容器的日志。(OCPBUGS-44508)
  • 在以前的版本中,如果您为要在 IBM Power® 上安装的集群创建了负载均衡器,且创建负载均衡器超时,集群的安装会失败,且不会报告错误。集群失败,因为没有创建内部和外部 DNS 负载均衡器名称。在这个版本中,如果集群安装过程中没有内部和外部 DNS 负载均衡器名称,安装程序会生成错误通知,您可以添加名称以便集群安装过程继续。(OCPBUGS-44247)
  • 在以前的版本中,用来决定 Dashboard 表中行数的 ID 是唯一的,如果其 ID 是相同的行,一些行被合并。在这个版本中,ID 使用更多信息来防止重复 ID,表可以显示每个预期的行。(OCPBUGS-43441)

1.9.3.2. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.4. RHSA-2024:10518 - OpenShift Container Platform 4.17.7 程序错误修复和安全更新公告

发布日期: 2024 年 12 月 3 日

OpenShift Container Platform release 4.17.7 现已正式发布。其程序错误修正列表包括在 RHSA-2024:10518 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:10521 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.7 --pullspecs

1.9.4.1. 功能增强

1.9.4.1.1. 弃用了 clusterTasks OpenShift Pipelines 版本 1.17
  • OpenShift Container Platform 4.17 发行版本弃用了 Red Hat OpenShift Pipelines 版本 1.17 中的 clusterTasks 资源。此发行版本还从 OpenShift Container Platform Web 控制台的 OpenShift Pipelines 页面中的静态插件中删除 clusterTasks 资源依赖项。(OCPBUGS-44183)

1.9.4.2. 程序错误修复

  • 在以前的版本中,您无法在自定义模板中输入多行参数,如私钥。在这个版本中,您可以在自定义模板中的单行和多行模式间切换,以便在模板字段中输入多行输入。(OCPBUGS-44699)
  • 在以前的版本中,当尝试使用 Cluster Network Operator (CNO)升级带有现有 localnet 网络的集群时,ovnkube-control-plane pod 将无法运行。这是因为 ovnkube-cluster-manager 容器无法处理没有定义子网的 OVN-Kubernetes localnet 拓扑网络。在这个版本中,确保 ovnkube-cluster-manager 容器可以处理没有定义子网的 OVN-Kubernetes localnet 拓扑网络。(OCPBUGS-43454)
  • 在以前的版本中,当尝试使用对象的 deploymentconfigs/scale 子资源的准入 Webhook 扩展 DeploymentConfig 对象时,apiserver 无法处理请求。这会影响 DeploymentConfig 对象,因为它无法扩展。在这个版本中,一个修复可确保不再出现这个问题。(OCPBUGS-42752)

1.9.4.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.5. RHBA-2024:10137 - OpenShift Container Platform 4.17.6 程序错误修复和安全更新公告

发布日期:24 年 11 月 26 日

OpenShift Container Platform release 4.17.6 现已正式发布。其程序错误修正列表包括在 RHBA-2024:10137 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:10140 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.6 --pullspecs

1.9.5.1. 功能增强

1.9.5.1.1. 更新至 Kubernetes 版本 1.30.6

OpenShift Container Platform 版本 4.17.6 包含从升级到 Kubernetes 版本 1.30.6 的更改。(OCPBUGS-44512)

1.9.5.2. 程序错误修复

  • 在以前的版本中,如果您在自定义资源(CR)中设置了自定义注解,SR-IOV Operator 将覆盖 SriovNetwork CR 中的所有默认注解。在这个版本中,当您在 CR 中定义自定义注解时,SR-IOV Operator 不会覆盖默认注解。(OCPBUGS-42252)
  • 在以前的版本中,在 Red Hat OpenShift Container Platform Web 控制台 通知 部分中,静默的警报在 notification drawer 中可见,因为警报不包括外部标签。在这个版本中,警报包括外部标签,因此静默的警报在 notification drawer 上不可见。(OCPBUGS-44722)
  • 在以前的版本中,当您点 Red Hat OpenShift Container Platform Web 控制台 Edit BuildConfig 页面中的 start lastrun 选项时,会出现错误阻止 lastrun 操作运行。在这个版本中,一个修复可确保 start lastrun 选项会如预期运行。(OCPBUGS-44587)
  • 在以前的版本中,OpenShift Container Platform 4.17 在 Red Hat OpenShift Container Platform Web 控制台的 Administrator 视角中 引入了 collapsing 并扩展 Getting started 部分。当您折叠或展开该部分时,您无法关闭该部分。在这个版本中,一个修复可确保您可以关闭 Getting started 部分。(OCPBUGS-44586)
  • 在以前的版本中,当一个或多个 spec.config.storage.files 没有包括标记为可选的数据字段时,Red Hat OpenShift Container Platform Web 控制台的 Details 页面中的 MachineConfig 选项卡会显示一个错误。在这个版本中,如果可选字段中没有填充值,则确保这个错误不再显示。(OCPBUGS-44479)
  • 在以前的版本中,使用 IBM® 平台的托管 control plane 集群无法通过 oc login 命令接受 authentication。此行为导致了浏览器无法从集群中获取令牌的 Web broswer 错误。在这个版本中,可以确保基于云的端点不会代理,以便使用 oc login 命令进行身份验证可以正常工作。(OCPBUGS-44276)
  • 在以前的版本中,如果 RendezvousIP 匹配了计算节点配置的 next-hop-address 字段中的子字符串,则验证错误。RendezvousIP 只能匹配 control plane 主机地址。在这个版本中,RendezvousIP 的子字符串比较仅用于 control plane 主机地址,因此不再存在错误。(OCPBUGS-44261)
  • 在以前的版本中,当为要在 IBM Power® 上安装的集群创建负载均衡器和负载均衡器超时的集群创建负载均衡器时,集群的安装会失败,且不会报告错误。集群失败,因为没有创建内部和外部 DNS 负载均衡器名称。在这个版本中,如果集群安装过程中没有内部和外部 DNS 负载均衡器名称,安装程序会输出错误,以便您有机会添加名称,以便集群安装过程可以继续。(OCPBUGS-44247)
  • 在以前的版本中,当您试图在使用精简配置的物理存储设备中运行磁盘清理操作时,清理操作会失败。在这个版本中,一个程序错误修复可确保您可以在物理存储设备中运行磁盘清理操作,而无需清理操作失败。(OCPBUGS-31570)
  • 在以前的版本中,如果 Operator Lifecycle Manager (OLM)无法访问与服务帐户关联的 secret,OLM 依赖于 Kubernetes API 服务器来自动创建 bearer 令牌。在这个版本中,Kubernetes 版本 1.22 及更新的版本不会自动创建 bearer 令牌。现在,OLM 使用 TokenRequest API 来请求新的 Kubernetes API 令牌。(OCPBUGS-44760)

1.9.5.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.6. RHSA-2024:9610 - OpenShift Container Platform 4.17.5 程序错误修复和安全更新公告

发布日期:24 年 11 月 19 日

OpenShift Container Platform 版本 4.17.5 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:9610 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:9613 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.5 --pullspecs

1.9.6.1. 功能增强

1.9.6.1.1. 改进 Cluster Monitoring Operator 的验证标准
  • 在这个版本中,Cluster Monitoring Operator (CMO)改进了验证标准。CMO 会阻止集群使用 openshift-monitoring/cluster-monitoring-configopenshift-user-workload-monitoring/user-workload-monitoring-config 中的配置进行更新,其中包括不支持的字段或错误配置。(OCPBUGS-43690)

1.9.6.2. 程序错误修复

  • 在以前的版本中,Azure File Driver 会尝试重复使用现有存储帐户。在这个版本中,Azure File Driver 在动态置备过程中创建存储帐户。对于更新的集群,新创建的持久性卷使用新的存储帐户。之前置备的持久性卷继续使用集群更新前使用的相同存储帐户。(OCPBUGS-42949)
  • 在以前的版本中,当您使用 must-gather 工具时,Multus Container Network Interface (CNI) 日志文件 multus.log 存储在节点的文件系统中。这会导致工具在节点上生成不必要的调试 pod。在这个版本中,Multus CNI 不再创建一个 multus.log 文件,而是使用 CNI 插件模式检查 openshift-multus 命名空间中的 Multus DaemonSet pod 的日志。(OCPBUGS-42835)
  • 在以前的版本中,当您试图创建管道时,任务数据不会在 ArtifactHub 上完全加载。在这个版本中,控制台会完全从 ArtifactHub 加载数据,这个问题已解决。(OCPBUGS-16141)

1.9.6.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.7. RHSA-2024:8981 - OpenShift Container Platform 4.17.4 程序错误修复和安全更新公告

发布日期: 2024 年 11 月 13 日

OpenShift Container Platform release 4.17.4 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:8981 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:8984 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.4 --pullspecs

1.9.7.1. 功能增强

1.9.7.1.1. 使用 GCP Workload Identity 验证客户工作负载

在这个版本中,使用 Google Cloud Platform Workload Identity 的 OpenShift Container Platform 集群上的客户工作负载中的应用程序可以使用 GCP Workload Identity 进行身份验证。

要将这个验证方法用于应用程序,您必须在云供应商控制台和 OpenShift Container Platform 集群中完成配置步骤。

如需更多信息,请参阅为 GCP 上的应用程序配置 GCP Workload Identity 身份验证

1.9.7.1.2. ansible-operator 上游版本信息
  • ansible-operator 版本现在显示对应的上游版本信息。(OCPBUGS-43836)

1.9.7.2. 程序错误修复

  • 在以前的版本中,当在 IBM 平台上安装集群并将现有的 VPC 添加到集群中时,Cluster API Provider IBM Cloud 不会将端口 443、5000 和 6443 添加到 VPC 的安全组中。这种情况导致 VPC 无法添加到集群中。在这个版本中,可以确保 Cluster API Provider IBM Cloud 将端口添加到 VPC 的安全组中,以便 VPC 可以添加到集群中。(OCPBUGS-44226)

  • 在以前的版本中,安装程序会填充 VMware vSphere control plane 机器集自定义资源 (CR)的 spec.template.spec.providerSpec.valuenetwork.devices, templateworkspace 字段。这些字段应该在 vSphere 故障域中设置,且安装程序填充它们会导致意外的行为。

    更新这些字段不会触发对 control plane 机器的更新,并在删除 control plane 机器集时清除这些字段。在这个版本中,安装程序被更新,不再填充故障域配置中包含的值。如果在故障域配置中没有定义这些值,例如,从早期版本升级到 OpenShift Container Platform 4.17 的集群,则会使用安装程序定义的值。(OCPBUGS-44047)

  • 在以前的版本中,因为 Open vSwitch 中的一个错误,在 Open vSwitch 中使用 IPSec 启用 ESP 硬件卸载会破坏连接问题。在这个版本中,OpenShift 会自动禁用 Open vSwitch 连接接口上的 ESP 硬件卸载,并解决了这个问题。(OCPBUGS-43917)
  • 在以前的版本中,如果您将 OAuth 自定义资源 (CR) 的身份提供程序 (IDP) 名称配置为包含空格,oauth-server 会崩溃。在这个版本中,包含空格的身份提供程序 (IDP) 名称不会导致 oauth-server 崩溃。(OCPBUGS-44118)
  • 在以前的版本中,由于 Go 1.22 中的一个行为回归问题,如果 IDP 配置包含多个基于密码的 IDP (如 htpasswd),则 oauth-server pod 会崩溃。请注意,如果 bootstrap 用户kubeadmin 仍存在于集群中,则用户也会作为一个基于密码的 IDP 被计算。在这个版本中,对 oauth-server 的修复解决了这个问题,可以防止服务器崩溃。(OCPBUGS-43587)
  • 在以前的版本中,当使用基于代理的安装程序在带有不正确的日期的节点上安装集群时,集群安装会失败。在这个版本中,针对基于代理的安装程序实时 ISO 时间同步应用了一个补丁。补丁使用附加网络时间协议 (NTP) 服务器列表配置 /etc/chrony.conf 文件,以便您可以在不遇到集群安装问题的情况下在 agent-config.yaml 中设置这些额外的 NTP 服务器。(OCPBUGS-43846)
  • 在以前的版本中,当您在 Google Cloud Platform (GCP) 上安装私有集群时,API 防火墙规则会使用 0.0.0.0/0 作为源的范围。这个地址允许非集群资源意外访问私有集群。在这个版本中,API 防火墙规则只允许 Machine Network 中具有源范围的资源访问私有集群。(OCPBUGS-43786)
  • 在以前的版本中,无效的或无法访问的身份提供程序 (IDP) 会阻止对托管 control plane 的更新。在这个版本中,HostedCluster 对象中的 ValidIDPConfiguration 条件会报告 IDP 错误,因此这些错误不会阻止对托管 control plane 的更新。(OCPBUGS-43746)
  • 在以前的版本中,如果您通过代理运行命令 attach, oc exec, 和 port-forward,则会收到错误。在这个版本中,应用于 kubectl 的补丁可确保 kubectl 可以处理这些命令的任何代理错误,以便命令按预期运行。(OCPBUGS-43696)
  • 在以前的版本中,Machine Config Operator (MCO) 附带的 Red Hat Enterprise Linux (RHEL) CoreOS 模板会导致节点扩展在 Red Hat OpenStack Platform (RHOSP) 上失败。这是因为 systemd 中存在一个问题,存在一个来自旧版本的 OpenShift Container Platform 中的引导镜像。在这个版本中,通过一个补丁修复了 systemd 的问题,并删除旧的引导镜像,以便节点扩展可以如预期继续。(OCPBUGS-42577)
  • 在以前的版本中,如果在 pod 初始化同步操作时,如果 Cluster Version Operator (CVO) pod 重启,则阻止升级请求的保护会失败。因此,会意外接受阻止的升级请求。在这个版本中,CVO pod 在初始化过程中会延迟协调,以便在 CVO pod 重启后保护阻断的升级请求。(OCPBUGS-42386)

1.9.7.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.8. RHSA-2024:8434 - OpenShift Container Platform 4.17.3 程序错误修复和安全更新公告

发布日期:2024 年 10 月 29 日

OpenShift Container Platform 版本 4.17.3 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:8434 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:8437 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.3 --pullspecs

1.9.8.1. 功能增强

1.9.8.1.1. 使用 Cluster Network Operator 公开网络重叠指标
  • 当您启动有限的实时迁移方法,且网络重叠存在问题时,Cluster Network Operator (CNO) 可能会为问题公开网络重叠指标。这是因为 openshift_network_operator_live_migration_blocked 指标现在包含新的 NetworkOverlap 标签。(OCPBUGS-39121)
1.9.8.1.2. 从您的存储库中自动加载 git 存储库环境变量
  • 在以前的版本中,当使用无服务器导入策略导入 git 存储库时,来自 func.yaml 文件中的环境变量不会自动加载到表单中。在这个版本中,环境变量会在导入时加载。(OCPBUGS-42474)

1.9.8.2. 程序错误修复

  • 在以前的版本中,在 Power VS 部署过程中向 OpenShift 安装程序引入了回归问题。因此,不会创建 OpenShift Install 所需的安全组规则。在这个版本中,这个问题已解决。(OCPBUGS-43547)
  • 在以前的版本中,如果在 Azure 中将镜像 registry Operator 配置为 Internal,则授权错误会阻止镜像 registry Operator 删除存储容器,并且 managementState 字段被设置为 Removed。在这个版本中,Operator 可以删除存储帐户和存储容器,managementState 字段可以成功设置为 Removed。(OCPBUGS-43350)
  • 在以前的版本中,主动和被动高可用性(HA)部署都运行三个副本,而不是所需的两个副本。因此,control plane 包含超过所需 pod,这会导致扩展问题。在这个版本中,主动和被动 HA 部署中的副本数量从三个减少到两个。(OCPBUGS-42704)
  • 在以前的版本中,当 INI 成功时,配置加载程序会记录 yaml unmarshal 错误。在这个版本中,当 INI 成功时,unmarshal 错误将不再记录。(OCPBUGS-42327)
  • 在以前的版本中,Machine Config Operator (MCO) 的 vSphere resolve-prepender 脚本使用了与 OpenShift Container Platform 4 中使用的旧 bootimage 版本不兼容的 systemd 指令。在这个版本中,节点可以使用较新的 bootimage 版本 4.17 4.13 及更高版本、手动干预或升级到包含此修复的发行版本。(OCPBUGS-42108)
  • 在以前的版本中,安装程序不会在 Red Hat Enterprise Linux CoreOS (RHCOS) 上验证自定义 IPv6 网络的最大传输单元 (MTU)。如果为 MTU 指定了低值,集群的安装将失败。在这个版本中,IPv6 网络的最小 MTU 值被设置为 1380,其中 1280 是 IPv6 的最小 MTU,100 是 OVN-Kubernetes 封装开销。在这个版本中,安装程序会在 Red Hat Enterprise Linux CoreOS (RHCOS) 上为自定义 IPv6 网络验证 MTU。(OCPBUGS-41812)
  • 在以前的版本中,当您在实时环境中运行 RHCOS 时,rpm-ostree-fix-shadow-mode.service 服务将运行。因此,rpm-ostree-fix-shadow-mode.service 服务会记录不会影响部署或实时系统的故障。在这个版本中,如果 RHCOS 没有从安装环境运行且问题已解决,rpm-ostree-fix-shadow-mode.service 服务将不会运行。(OCPBUGS-41621)

1.9.8.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.9. RHSA-2024:8229 - OpenShift Container Platform 4.17.2 程序错误修复和安全更新公告

发布日期:2024 年 10 月 23 日

OpenShift Container Platform 版本 4.17.2 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:8229 公告中。此更新中包括的 RPM 软件包由 RHBA-2024:8232 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.2 --pullspecs

1.9.9.1. 功能增强

  • Operator SDK 现在可以正确地构建 kube-rbac-proxy 的 Dockerfile。另外,Operator SDK 现在可以使用 -rhel9 容器镜像。(OCPBUGS-42953)
  • 当您启动有限的实时迁移方法,且网络重叠存在问题时,Cluster Network Operator (CNO) 可能会为问题公开网络重叠指标。这是因为 openshift_network_operator_live_migration_blocked 指标现在包含新的 NetworkOverlap 标签。(OCPBUGS-39121)

1.9.9.2. 程序错误修复

  • 在以前的版本中,证书签名请求 (CSR) 的批准机制会失败,因为 CSR 的节点名称和内部 DNS 条目在字符问题单差异方面不匹配。在这个版本中,对 CSR 的批准机制的更新会跳过区分大小写的检查,以便具有匹配节点名称和内部 DNS 条目的 CSR 不会因为字符问题单的不同而失败。(OCPBUGS-43312)
  • 在以前的版本中,Cloud Credential Operator (CCO) 和 assisted-service 对象上的端口冲突会导致 VMware vSphere 上的集群安装失败。在这个版本中,安装程序会忽略 assisted-service 对象中的 pprof 模块,以便端口冲突不再存在。(OCPBUGS-43069)
  • 在以前的版本中,当尝试使用 oc import-image 命令在托管的 control plane 集群中导入镜像时,命令会失败,因为访问私有镜像 registry 的问题。在这个版本中,对托管 control plane 集群中的 openshift-apiserver pod 的更新可以解析使用 data plane 的名称,以便 oc import-image 命令现在可以与私有镜像 registry 正常工作。(OCPBUGS-43051)
  • 在以前的版本中,对于托管 control plane 上的受管服务,审计日志会发送到本地 webhook 服务 audit-webhook。这会导致通过 konnectivity 服务发送审计日志的托管 control plane pod 出现问题。在这个版本中,audit-webhook 添加到 no_proxy 主机列表中,以便托管 control plane pod 会向 audit-webhook 服务发送 auti 日志。(OCPBUGS-42974)
  • 在以前的版本中,当使用基于代理的安装程序安装集群时,assisted-installer-controller 会超时或退出安装过程,具体取决于 assisted-service 在 rendezvous 主机上是否不可用。在这种情况下,集群安装会失败,在 CSR 批准检查过程中失败。在这个版本中,对 assisted-installer-controller 的更新可确保如果 assisted-service 不可用,控制器不会超时或退出。CSR 批准检查现在可以正常工作。(OCPBUGS-42839)

  • 在以前的版本中,运行 openshift-install gather bootstrap --dir <workdir> 命令可能会导致安装程序跳过对收集日志的分析。该命令输出以下信息: 

    Invalid log bundle or the bootstrap machine could not be reached and bootstrap logs were not collected

    在这个版本中,安装程序可以分析收集 bootstrap --dir <workdir> 参数生成的日志处理。(OCPBUGS-42806)

  • 在以前的版本中,当您在 OpenShift Container Platform Web 控制台中使用自定义编辑器使用 Developer 视角时,输入 n 键盘快捷方式会导致命名空间菜单意外打开。出现这个问题的原因是,自定义编辑器没有考虑到键盘快捷键。在这个版本中,命名空间菜单帐户用于自定义编辑器,在输入 n 键盘快捷方式时不会意外打开。(OCPBUGS-42607)
  • 在以前的版本中,安装程序不会在 Red Hat Enterprise Linux CoreOS (RHCOS) 上验证自定义 IPv6 网络的最大传输单元 (MTU)。如果为 MTU 指定了一个较低的值,集群的安装将失败。在这个版本中,IPv6 网络的最小 MTU 值被设置为 1380,其中 1280 是 IPv6 的最小 MTU,100 是 OVN-Kubernetes 封装开销。在这个版本中,安装程序会在 Red Hat Enterprise Linux CoreOS (RHCOS) 上为自定义 IPv6 网络验证 MTU (OCPBUGS-41812)
  • 在以前的版本中,使用镜像的发行镜像的托管 control plane 集群可能会导致现有节点池使用托管的集群操作系统版本,而不是 NodePool 版本。在这个版本中,可以确保节点池使用自己的版本。(OCPBUGS-41552)
  • 在以前的版本中,在 Microsoft Azure 上创建私有 OpenShift Container Platform 集群后,安装程序不会标记它所创建的存储帐户。因此,存储帐户是公开的。在这个版本中,安装程序可以正确地将存储帐户标记为私有,无论集群是公共的还是私有的。(OCPBUGS-42349)

1.9.9.3. 更新

要将 OpenShift Container Platform 4.17 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.10. RHSA-2024:7922 - OpenShift Container Platform 4.17.1 程序错误修复和安全更新公告

发布日期: 2024 年 10 月 16 日

OpenShift Container Platform release 4.17.1 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:7922 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:7925 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.1 --pullspecs

1.9.10.1. 功能增强

  • Operator SDK 现在可以正确地构建 ansible-operator 的 Dockerfile。另外,Operator SDK 现在可以使用 -rhel9 容器镜像。(OCPBUGS-42853)
  • Operator SDK 现在可以正确地构建 helm-operator 的 Dockerfile。另外,Operator SDK 现在可以使用 -rhel9 容器镜像。(OCPBUGS-42786)
  • 当您安装 Red Hat OpenShift Lightspeed (目前仅为开发者预览功能)时,现在默认启用集群监控的复选框。(OCPBUGS-42380)
  • 安装程序现在使用最新版本的 cluster-api-provider-ibmcloud 供应商,其中包括 Transit Gateway 修复。(OCPBUGS-42483)

  • 迁移 CNS 卷功能(目前仅为开发者技术预览功能)包括以下改进:

    • 现在,该功能会在将 CNS 卷移至 VMware vSphere 前检查 vCenter 版本。(OCPBUGS-42006)
    • 即使某些卷不存在,该功能也会保留迁移 CNS 卷,以便在没有卷时不会退出迁移操作。(OCPBUGS-42008)
  • vSphere CSI Driver Operator 现在可以删除从集群中删除的 vSphere CSI 驱动程序的所有资源。(OCPBUGS-42007)

1.9.10.2. 程序错误修复

  • 在以前的版本中,在 Operator 的关闭操作过程中,Single-Root I/O Virtualization (SR-IOV) Operator 不会使获取租期过期。这会影响 Operator 的新实例,因为新实例必须在新实例运行之前等待租期过期。在这个版本中,对 Operator 关闭逻辑的更新可确保 Operator 关闭时 Operator 过期租期。(OCPBUGS-37668)
  • 在以前的版本中,当将镜像 registry 配置为使用位于集群资源组以外的资源组中的 Microsoft Azure 存储帐户时,Image Registry Operator 会降级。这是因为一个验证错误造成的。在这个版本中,对 Operator 的更新只允许使用存储帐户密钥进行身份验证。没有需要验证其他身份验证的要求。(OCPBUGS-42812)
  • 在以前的版本中,如果 install-config.yaml 配置文件中的可用区没有特定顺序,安装程序会在保存 control plane 机器集清单前错误地对区进行排序。当程序创建机器时,会创建额外的 control plane 虚拟机将机器协调到每个区。这会导致一个 resource-constraint 问题。在这个版本中,安装程序不再对可用区进行排序,以便不再出现这个问题。(OCPBUGS-42699)
  • 在以前的版本中,Red Hat OpenShift Container Platform Web 控制台不需要 Creator 字段作为必填字段。API 更改为为此字段指定一个空值,但用户配置集仍然可以创建静默警报。在这个版本中,API 会将 Creator 字段标记为用户配置集的强制字段。(OCPBUGS-42606)
  • 在以前的版本中,在 root 认证轮转过程中,Ingress Operator 和 DNS Operator 无法启动。在这个版本中,对 Ingress Operator 和 DNS Operator 的 kubeconfig 更新可确保注解设置了管理公钥基础架构 (PKI) 的条件。在这个版本中,两个 Operator 可以在 root 认证轮转过程中按预期启动。(OCPBUGS-42261)
  • 在以前的版本中,在 root 认证轮转过程中,data plane 中的 metrics-server pod 无法正确启动。这是因为存在一个证书问题造成的。在这个版本中,hostedClusterConfigOperator 资源将正确的证书发送到 data plane,以便 metrics-server pod 会如预期启动。(OCPBUGS-42098)
  • 在以前的版本中,安装程序会尝试为需要在 Google Cloud Platform 共享虚拟专用网络 (VPC) 上安装的集群创建一个私有区。这会导致集群安装失败。在这个版本中,会跳过创建私有区,以便此集群安装问题不再存在。(OCPBUGS-42142)
  • 在以前的版本中,当安装程序在 Google Cloud Platform VPC 上安装集群时,程序不会删除 control plane 服务帐户的角色绑定。在这个版本中,会删除角色绑定,以便集群不再包含这些工件。(OCPBUGS-42116)
  • 在以前的版本中,如果您为集群启用了集群层,并试图在机器配置中配置内核参数,则机器配置池 (MCP) 和节点进入降级状态。这是因为配置不匹配。在这个版本中,检查带有启用了 OCL 的集群的内核参数可确保配置这些参数并应用到集群中的节点。在这个版本中,之前版本中的在机器配置和节点配置之间的不匹配问题已被避免。(OCPBUGS-42081)
  • 在以前的版本中,为集群创建 cron 任务来创建 pod 会导致获取 pod 的组件失败。由于这个问题,OpenShift Container Platform Web 控制台中的 Topology 页会失败。在这个版本中,为组件配置了 3 秒延迟,用来获取从 cron 任务生成的 pod,从而不会再出现这个问题。(OCPBUGS-41685)
  • 在以前的版本中,当部署在 RHOSP 上配置的 TechPreviewNoUpgrade 功能门中列出的 OpenShift Container Platform 集群时,cluster-capi-operator pod 会崩溃。这是因为 Cluster CAPI Operator 预期与提供的 API 版本不同。在这个版本中,对 Cluster CAPI Operator 的更新可确保 Operator 使用正确的 API 版本,以便不再出现这个问题。(OCPBUGS-41576)
  • 在以前的版本中,使用 DNF 在自定义 Red Hat Enterprise Linux CoreOS (RHCOS) 构建上安装附加软件包会导致构建失败,因为无法找到软件包。在这个版本中,Subscription Manager 为 RHCOS 添加正确的软件包,以便不再出现这个问题。(OCPBUGS-41376)
  • 在以前的版本中,在 active-backup 模式中配置的绑定会使 EFI 系统分区 (ESP) 卸载活跃,即使底层链接不支持 ESP 卸载。这会导致 IPsec 关联失败。在这个版本中,绑定禁用 ESP 卸载,以便 IPsec 关联可以通过。(OCPBUGS-41255)
  • 在以前的版本中,当删除帐户时,新用户帐户的资源不会被删除。这会导致配置映射、角色和角色绑定中不必要的信息。在这个版本中,一个 ownerRef 标签添加到这些资源中,以便在删除用户帐户时也会从所有集群资源中删除资源。(OCPBUGS-39601)
  • 在以前的版本中,一个编码问题会导致 RHCOS 用户置备的基础架构中的 Ansible 脚本失败。当为三节点集群启用 IPv6 时会出现这种情况。在这个版本中,支持在 RHCOS 上安装启用了 IPv6 的三节点集群。(OCPBUGS-39409)
  • 在以前的版本中,Ansible Playbook 的顺序被修改为在创建 metadata.json 文件之前运行,这会导致旧版本 Ansible 出现问题。在这个版本中,playbook 对缺少的文件具有更大的灵活性,这个问题已解决。(OCPBUGS-39286)
  • 在以前的版本中,当 Node Tuning Operator (NTO) 配置为使用 PerformanceProfiles 时,NTO 会创建一个 ocp-tuned-one-shot systemd 服务。systemd 服务会在 kubelet 之前运行,并阻止了执行。systemd 服务调用使用 NTO 镜像的 Podman,但当 NTO 镜像不存在时,Podman 仍然会尝试获取镜像,它将失败。在这个版本中,增加了对 /etc/mco/proxy.env 中定义的集群范围代理环境变量的支持。现在,Podman 会在环境中拉取 NTO 镜像,该镜像需要使用代理进行集群外连接。(OCPBUGS-39124)
  • 在以前的版本中,当选择超过三个资源时,OpenShift Container Platform Web 控制台中的 Events 页的资源类型过滤器会错误地报告资源数量。在这个版本中,过滤器会根据资源选择报告正确的资源数量。(OCPBUGS-39091)
  • 在以前的版本中,如果块设备的序列号中存在特殊或无效字符,Ironic 检查会失败。这是因为 lsblk 命令无法转义字符。在这个版本中,命令会转义字符,因此不会再有这个问题。(OCPBUGS-39013)
  • 在以前的版本中,当使用 Redfish Virtual Media 在集群中添加 xFusion 裸机节点时,节点不会因为节点注册问题而添加。出现这个问题的原因是,硬件与 Redfish 不是 100% 兼容。在这个版本中,您可以在集群中添加 xFusion 裸机节点。(OCPBUGS-38784)
  • 在以前的版本中,在 OpenShift Container Platform Web 控制台的 Developer 视角中,当您进入到 Observe > Metrics 时,存在两个 Metrics 标签页。在这个版本中,重复的标签页已被删除,现在存在于 openshift-monitoring/monitoring-plugin 应用程序中,它用于服务 web 控制台中的 Metrics 标签页。(OCPBUGS-38462)
  • 在以前的版本中,因为配置问题,manila-csi-driver 和节点注册器 pod 缺少了健康检查。在这个版本中,健康检查被添加到这两个资源中。(OCPBUGS-38457)
  • 在以前的版本中,更新托管 control plane 集群配置中的 additionalTrustBundle 参数不会应用到计算节点。在这个版本中,确保对 additionalTrustBundle 参数的更新会自动应用到托管 control plane 集群中存在的计算节点。(OCPBUGS-36680)
  • 在以前的版本中,使用 oc-mirror 插件 v2 (技术预览)时,引用了 tagdigest 的镜像不被支持。在完全断开连接的环境中的 disk-to-mirror 过程中,会跳过镜像,这会导致存档文件的构建问题。在这个版本中,oc-mirror 插件 v2 支持包含这两个引用的镜像。现在,镜像是从 digest 引用中拉取的,并为信息目的保留 tag 引用,而控制台输出中会显示适当的警告信息。(OCPBUGS-42421)
  • 在以前的版本中,与默认的非集群 API 安装相比,Cluster API 将不受支持的标签模板用于虚拟网络安装。这会导致在使用 networkAccess: Internal 配置时,Image Registry Operator 会进入 degraded 状态。在这个版本中,Image Registry Operator 支持两个标签模板,这个问题已被解决。(OCPBUGS-42394)
  • 在以前的版本中,IBM Cloud 集群安装中使用的 Cloud Controller Manager (CCM) 存活度探测无法使用 loopback,这会导致探测持续重启。在这个版本中,探测可以使用回环,以便不会再发生这个问题。(OCPBUGS-41941)
  • 在以前的版本中,当在 PerformanceProfile 对象中将 globallyDisableIrqLoadBalancing 字段设置为 true 时,隔离的 CPU 列在 IRQBALANCE_BANNED_CPULIST 变量中,而不是 IRQBALANCE_BANNED_CPUS 变量。这些变量存储在 /etc/sysconfig/irqbalance 中。将 globallyDisableIrqLoadBalancing 字段的值从 true 改为 false 无法正确更新 IRQBALANCE_BANNED_CPULIST 变量。因此,用于负载均衡的 CPU 数量不会增加,因为隔离的 CPU 保留在 IRQBALANCE_BANNED_CPULIST 变量中。在这个版本中,确保隔离 CPU 现在列在 IRQBALANCE_BANNED_CPUS 变量中,以便可以按预期增加负载重新平衡的 CPU 数量。(OCPBUGS-42323)

1.9.10.3. 更新

要将 OpenShift Container Platform 4.16 集群更新至此最新版本,请参阅使用 CLI 更新集群

1.9.11. RHSA-2024:3718 - OpenShift Container Platform 4.17.0 镜像发行版本、程序错误修正和安全更新公告

发布日期: 2024 年 10 月 1 日

OpenShift Container Platform 版本 4.17.0 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2024:3718 公告中。此更新中包括的 RPM 软件包由 RHSA-2024:3722 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.17.0 --pullspecs

1.9.11.1. 已知问题

  • 当在 PerformanceProfile 对象中将 globallyDisableIrqLoadBalancing 字段设置为 true 时,隔离的 CPU 会在 IRQBALANCE_BANNED_CPULIST 变量中列出,而不是 IRQBALANCE_BANNED_CPUS 变量。但是,将 globallyDisableIrqLoadBalancing 字段的值从 true 改为 false 无法正确更新 IRQBALANCE_BANNED_CPULIST 变量。因此,用于负载均衡的 CPU 数量不会增加,因为隔离的 CPU 保留在 IRQBALANCE_BANNED_CPULIST 变量中。

    注意

    IRQBALANCE_BANNED_CPULIST 变量和 IRQBALANCE_BANNED_CPUS 变量存储在 /etc/sysconfig/irqbalance 文件中。

    (OCPBUGS-42323)

1.9.11.2. 更新

要将 OpenShift Container Platform 4.16 集群更新至此最新版本,请参阅使用 CLI 更新集群

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.