红帽全球峰会5.4. 自定义资源定义 (CRD) 升级安全
当您更新由集群扩展提供的自定义资源定义(CRD)时,Operator Lifecycle Manager (OLM) v1 运行 CRD 升级安全 preflight 检查,以确保与 CRD 的早期版本向后兼容。在允许更改在集群中进行前,CRD 更新必须通过验证检查。
5.4.1. 禁止 CRD 升级更改
CRD 升级安全 preflight 检查会发现对现有自定义资源定义 (CRD) 的以下更改,并阻止升级:
- 将新的必填字段添加到 CRD 的现有版本中
- 现有字段已从现有 CRD 版本中删除
- 在 CRD 的现有版本中更改现有字段类型
- 在之前没有默认值的字段中添加一个新的默认值
- 字段的默认值被改变
- 字段的现有默认值被删除
- 在之前没有 enum 限制的现有字段中添加了新的 enum 限制
- 现有字段中的现有 enum 值会被删除
- 现有字段的最小值会在现有版本中增加
- 在现有版本中现有字段的最大值会减少
- 在之前没有限制的字段中添加最小或最大字段限制
对最小和最大值的更改规则适用于 minimum, minLength, minProperties, minItems, maximum, maxLength, maxProperties, 和 maxItems 约束。
CRD 升级安全 preflight 检查会报告对现有 CRD 的以下更改,并防止升级,尽管 Kubernetes API 服务器在技术上处理操作:
-
范围从
Cluster改为Namespace或从Namespace改为Cluster - 删除现存已存储的 CRD 的现有版本
如果 CRD 升级安全 preflight 检查遇到禁止的升级更改之一,它会记录 CRD 升级过程中检测到的每个禁止更改的错误。
如果对 CRD 的更改没有属于被禁止更改类别之一,但也无法正确地探测到允许的 CRD 升级安全 preflight 检查,则 CRD 升级安全 preflight 检查将阻止升级并记录"未知更改"的错误。
5.4.2. 允许 CRD 升级更改
对现有自定义资源定义 (CRD) 的以下更改可以安全地向后兼容,且不会导致 CRD 升级安全 preflight 检查停止升级:
- 在字段中允许枚举值列表中添加新的 enum 值
- 在现有版本中将现有必填字段更改为 optional
- 在现有版本中现有字段的最小值会减少
- 在现有版本中增加现有字段的最大值
- 在不对现有版本进行任何修改的情况下,会添加 CRD 的新版本
5.4.3. 禁用 CRD 升级安全 preflight 检查
您可以禁用自定义资源定义(CRD)升级安全 preflight 检查。在提供 CRD 的 ClusterExtension 对象中,将 install.preflight.crdUpgradeSafety.enforcement 字段设置为 None。
禁用 CRD 升级安全 preflight 检查可能会破坏与 CRD 存储版本的向后兼容性,并在集群中造成其他意外后果。
您无法禁用单个字段验证器。如果您禁用 CRD 升级安全 preflight 检查,请禁用所有字段验证器。
如果您在 Operator Lifecycle Manager (OLM) v1 中禁用 CRD 升级安全 preflight 检查,Kubernetes API 服务器仍然会阻止以下操作:
-
将范围从
Cluster改为Namespace或从Namespace改为Cluster - 删除 CRD 的现有存储版本
先决条件
- 已安装集群扩展。
流程
编辑 CRD 的
ClusterExtension对象:oc edit clusterextension <clusterextension_name>
$ oc edit clusterextension <clusterextension_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将
install.preflight.crdUpgradeSafety.enforcement字段设置为None:ClusterExtension对象示例Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.4.4. 不安全的 CRD 更改示例
以下示例演示了 CRD 升级安全 preflight 检查示例自定义资源定义 (CRD) 中的具体更改。
对于以下示例,请考虑以下开始状态的 CRD 对象:
例 5.19. CRD 对象示例
5.4.4.1. 范围更改
在以下自定义资源定义 (CRD) 示例中,scope 字段从 Namespaced 改为 Cluster :
例 5.20. CRD 中的范围更改示例
例 5.21. 错误输出示例
validating upgrade for CRD "test.example.com" failed: CustomResourceDefinition test.example.com failed upgrade safety validation. "NoScopeChange" validation failed: scope changed from "Namespaced" to "Cluster"
validating upgrade for CRD "test.example.com" failed: CustomResourceDefinition test.example.com failed upgrade safety validation. "NoScopeChange" validation failed: scope changed from "Namespaced" to "Cluster"5.4.4.2. 删除存储的版本
在以下自定义资源定义 (CRD) 示例中,现有存储版本 v1alpha1 已被删除:
例 5.22. 在 CRD 中删除存储版本示例
例 5.23. 错误输出示例
validating upgrade for CRD "test.example.com" failed: CustomResourceDefinition test.example.com failed upgrade safety validation. "NoStoredVersionRemoved" validation failed: stored version "v1alpha1" removed
validating upgrade for CRD "test.example.com" failed: CustomResourceDefinition test.example.com failed upgrade safety validation. "NoStoredVersionRemoved" validation failed: stored version "v1alpha1" removed5.4.4.3. 删除现有字段
在以下自定义资源定义 (CRD) 示例中,pollInterval 属性字段已从 v1alpha1 模式中删除:
例 5.24. 在 CRD 中删除现有字段示例
例 5.25. 错误输出示例
validating upgrade for CRD "test.example.com" failed: CustomResourceDefinition test.example.com failed upgrade safety validation. "NoExistingFieldRemoved" validation failed: crd/test.example.com version/v1alpha1 field/^.spec.pollInterval may not be removed
validating upgrade for CRD "test.example.com" failed: CustomResourceDefinition test.example.com failed upgrade safety validation. "NoExistingFieldRemoved" validation failed: crd/test.example.com version/v1alpha1 field/^.spec.pollInterval may not be removed5.4.4.4. 添加必填字段
在以下自定义资源定义 (CRD) 示例中,pollInterval 属性已改为必填字段:
例 5.26. 在 CRD 中添加必填字段的示例
例 5.27. 错误输出示例
validating upgrade for CRD "test.example.com" failed: CustomResourceDefinition test.example.com failed upgrade safety validation. "ChangeValidator" validation failed: version "v1alpha1", field "^": new required fields added: [pollInterval]
validating upgrade for CRD "test.example.com" failed: CustomResourceDefinition test.example.com failed upgrade safety validation. "ChangeValidator" validation failed: version "v1alpha1", field "^": new required fields added: [pollInterval]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}