6.2. File Integrity Operator 发行注记
OpenShift Container Platform 的 File Integrity Operator 在 RHCOS 节点上持续运行文件完整性检查。
本发行注记介绍了 OpenShift Container Platform 中 File Integrity Operator 的开发。
有关 File Integrity Operator 的概述,请参阅了解 File Integrity Operator。
要访问最新版本,请参阅更新 File Integrity Operator。
6.2.1. OpenShift File Integrity Operator 1.3.4
以下公告可用于 OpenShift File Integrity Operator 1.3.4:
6.2.1.1. 程序错误修复
在以前的版本中,File Integrity Operator 会因为大量证书轮转而发出 NodeHasIntegrityFailure
警报。在这个版本中,警报和失败状态会被正确触发。(OCPBUGS-31257)
6.2.2. OpenShift File Integrity Operator 1.3.3
以下公告可用于 OpenShift File Integrity Operator 1.3.3:
这个版本解决了底层依赖项中的 CVE。
6.2.2.1. 新功能及功能增强
您可以在以 FIPS 模式运行的 OpenShift Container Platform 集群中安装和使用 File Integrity Operator。
重要要为集群启用 FIPS 模式,您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息,请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时,OpenShift Container Platform 核心组件使用 RHEL 加密库,在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
6.2.2.2. 程序错误修复
-
在以前的版本中,一些带有私有默认挂载传播的 FIO pod 与
hostPath: path: /
卷挂载会中断依赖多路径的 CSI 驱动程序。这个问题已被解决,CSI 驱动程序可以正常工作。(当使用多路径时,一些 OpenShift Operator pod 阻止卸载 CSI 卷。) - 这个版本解决了 CVE-2023-39325。(CVE-2023-39325)
6.2.3. OpenShift File Integrity Operator 1.3.2
以下公告可用于 OpenShift File Integrity Operator 1.3.2:
这个版本解决了底层依赖项中的 CVE。
6.2.4. OpenShift File Integrity Operator 1.3.1
以下公告可用于 OpenShift File Integrity Operator 1.3.1:
6.2.4.1. 新功能及功能增强
- FIO 现在将 kubelet 证书作为默认文件包括在 OpenShift Container Platform 管理时发出警告。(OCPBUGS-14348)
- FIO 现在可以正确地将电子邮件定向到红帽技术支持的地址。(OCPBUGS-5023)
6.2.4.2. 程序错误修复
-
在以前的版本中,当节点从集群中移除时,FIO 不会清理
FileIntegrityNodeStatus
CRD。FIO 已更新,以便在删除节点时正确清理节点状态 CRD。(OCPBUGS-4321) - 在以前的版本中,FIO 也错误地表示新节点无法进行完整性检查。FIO 已更新,在向集群添加新节点时正确显示节点状态 CRD。这提供了正确的节点状态通知。(OCPBUGS-8502)
-
在以前的版本中,当 FIO 协调
FileIntegrity
CRD 时,它将暂停扫描,直到协调完成为止。这会导致在节点上不受协调影响的积极重新初始化过程。这个问题还为机器配置池造成不必要的 daemonset,它们与FileIntegrity
无关。FIO 可以正确地处理这些情况,并只暂停受文件完整性更改影响的节点的 AIDE 扫描。(CMP-1097)
6.2.4.3. 已知问题
在 FIO 1.3.1 中,增加 IBM Z® 集群中的节点可能会导致文件完整性节点状态 Failed
。如需更多信息,请参阅在 IBM Power® 中添加节点可能会导致文件完整性节点状态失败。
6.2.5. OpenShift File Integrity Operator 1.2.1
以下公告可用于 OpenShift File Integrity Operator 1.2.1:
- RHBA-2023:1684 OpenShift File Integrity Operator 程序错误修复更新
- 此发行版本包括更新的容器依赖项。
6.2.6. OpenShift File Integrity Operator 1.2.0
以下公告可用于 OpenShift File Integrity Operator 1.2.0 :
6.2.6.1. 新功能及功能增强
-
File Integrity Operator 自定义资源 (CR) 现在包含一个
initialDelay
功能,该功能指定了在启动第一个 AIDE 完整性检查前等待的秒数。如需更多信息,请参阅创建 FileIntegrity 自定义资源。 -
File Integrity Operator 现在是稳定的,发行频道已升级到
stable
。将来的版本将遵循 Semantic Versioning。要访问最新版本,请参阅更新 File Integrity Operator。
6.2.7. OpenShift File Integrity Operator 1.0.0
以下公告可用于 OpenShift File Integrity Operator 1.0.0:
6.2.8. OpenShift File Integrity Operator 0.1.32
以下公告可用于 OpenShift File Integrity Operator 0.1.32:
6.2.8.1. 程序错误修复
- 在以前的版本中,File Integrity Operator 发布的警报没有设置命名空间,因此很难了解警报来自于哪个命名空间。现在,Operator 会设置适当的命名空间,提供有关该警报的更多信息。(BZ#2112394)
- 在以前的版本中,File Integrity Operator 不会更新 Operator 启动时的指标服务,从而导致指标目标无法访问。在这个版本中,File Integrity Operator 可确保在 Operator 启动时更新 metrics 服务。(BZ#2115821)
6.2.9. OpenShift File Integrity Operator 0.1.30
以下公告可用于 OpenShift File Integrity Operator 0.1.30:
6.2.9.1. 新功能及功能增强
File Integrity Operator 现在在以下构架中被支持:
- IBM Power®
- IBM Z® 和 IBM® LinuxONE
6.2.9.2. 程序错误修复
- 在以前的版本中,File Integrity Operator 发布的警报没有设置命名空间,因此很难了解警报的来源位置。现在,Operator 会设置适当的命名空间,从而增加对警报的了解。(BZ#2101393)
6.2.10. OpenShift File Integrity Operator 0.1.24
以下公告可用于 OpenShift File Integrity Operator 0.1.24:
6.2.10.1. 新功能及功能增强
-
现在,您可以使用
config.maxBackups
属性配置FileIntegrity
自定义资源(CR)中的最大备份数量。此属性指定从re-init
进程保留的 AIDE 数据库和日志备份数量,以保留在节点上。超出配置数目之外的旧备份会自动修剪。默认值为五个备份。
6.2.10.2. 程序错误修复
-
在以前的版本中,将 Operator 从 0.1.21 之前的版本升级到 0.1.22 可能会导致
re-init
功能失败。这是因为 Operator 无法更新configMap
资源标签。现在,升级到最新版本会修复资源标签。(BZ#2049206) -
在以前的版本中,当强制默认
configMap
脚本内容强制时,会比较错误的数据密钥。这会导致在 Operator 升级后,aide-reinit
脚本无法正确更新,并导致re-init
进程失败。现在,daemonSet
运行完毕,AIDE 数据库re-init
过程可以成功执行。(BZ#2072058)
6.2.11. OpenShift File Integrity Operator 0.1.22
以下公告可用于 OpenShift File Integrity Operator 0.1.22:
6.2.11.1. 程序错误修复
-
在以前的版本中,安装有 File Integrity Operator 的系统可能会因为
/etc/kubernetes/aide.reinit
文件而中断 OpenShift Container Platform 更新。如果/etc/kubernetes/aide.reinit
文件存在,则会出现这种情况,但稍后在ostree
验证前被删除。在这个版本中,/etc/kubernetes/aide.reinit
被移到/run
目录中,以便它不会与 OpenShift Container Platform 更新冲突。(BZ#2033311)
6.2.12. OpenShift File Integrity Operator 0.1.21
以下公告可用于 OpenShift File Integrity Operator 0.1.21:
6.2.12.1. 新功能及功能增强
-
web 控制台的 Monitoring 仪表板中会显示与
FileIntegrity
扫描结果和处理指标相关的指标。结果使用file_integrity_operator_
前缀标记。 -
如果节点在超过 1 秒的情况下存在完整性失败,则 operator 命名空间警报中提供的默认
PrometheusRule
带有一个警告。 以下动态 Machine Config Operator 和 Cluster Version Operator 相关文件路径不包括在默认的 AIDE 策略中,以帮助在节点更新过程中阻止假的正状态:
- /etc/machine-config-daemon/currentconfig
- /etc/pki/ca-trust/extracted/java/cacerts
- /etc/cvo/updatepayloads
- /root/.kube
- AIDE 守护进程进程具有 v0.1.16 的稳定性改进,并且对 AIDE 数据库初始化时可能发生的错误更具弹性。
6.2.12.2. 程序错误修复
- 在以前的版本中,当 Operator 自动升级时,过时的守护进程集不会被删除。在这个版本中,过期的守护进程集会在自动升级过程中被删除。