Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

1.3. 新功能及功能增强

此版本对以下方面进行了改进:

1.3.1. API Server
复制链接

在以前的版本中,Kubernetes API 服务器的自签名 loopback 证书在一年后过期。在这个版本中,证书的过期日期将延长至三年。

1.3.1.2. dry-run 选项连接到 'oc delete istag'
复制链接

在以前的版本中,使用 -dry-run=server 选项删除 istag 资源会意外导致从服务器中删除镜像的实际。这是因为 oc delete istag 命令中错误地实施了 dry-run 选项造成的意外删除。在这个版本中,dry-run 选项与 oc delete istag 命令关联。因此,意外删除镜像对象会被阻止,在使用 --dry-run=server 选项时 istag 对象保持不变。

1.3.1.3. 没有与证书相关的问题的服务中断
复制链接

在这个版本中,API 服务器中的自签名回送证书会被阻止过期,并确保 Kubernetes 4.16.z 中的稳定和安全连接。此功能增强移植了来自较新版本的、cherry-picks 特定拉取请求并将其应用到所选版本的解决方案。这可减少因为与证书相关的问题造成服务中断的可能性,在 Kubernetes 4.16.z 部署中提供更好的用户体验。

1.3.1.4. 增强的 TCP 端口的通信列表
复制链接

在这个版本中,OpenShift Container Platform 的通信流列表已被改进。该功能会在主节点上为开放端口 17697 (TCP) 和 6080 (TCP) 生成服务,并确保所有打开的端口都有对应的端点片段。这会产生准确和最新的通信流列表,提高了通信矩阵的整体安全性和效率,并为用户提供更加全面、可靠的通信列表。

1.3.2. 边缘计算
复制链接

1.3.2.1. 对 LVM Storage Operator 的 NetworkPolicy 支持
复制链接

LVM Storage Operator 现在在安装过程中应用 Kubernetes NetworkPolicy 对象,将网络通信限制为只所需的组件。此功能为 OpenShift Container Platform 集群上的 LVM Storage 部署强制实施默认网络隔离。

当使用 LVM Storage Operator 创建持久性卷(PV)时,PV 现在包含 kubernetes.io/hostname 标签。该标签显示 PV 所在的节点,以便更轻松地识别与工作负载关联的节点。这个更改只适用于新创建的 PV。现有 PV 不会被修改。

1.3.2.3. LVM Storage Operator 的默认命名空间
复制链接

LVM Storage Operator 的默认命名空间现在是 openshift-lvm-storage。您仍然可以在自定义命名空间中安装 LVM 存储。

1.3.2.4. SiteConfig CR 到 ClusterInstance CR 迁移工具
复制链接

OpenShift Container Platform 4.20 引进了 siteconfig-converter 工具,以帮助将受管集群从 SiteConfig 自定义资源(CR)迁移到 ClusterInstance CR。使用 SiteConfig CR 定义受管集群已弃用,并将在以后的发行版本中删除。ClusterInstance CR 提供了更加统一的定义集群方法,是在 GitOps ZTP 工作流中管理集群部署的首选方法。

使用 siteconfig-converter 工具,您可以将 SiteConfig CR 转换为 ClusterInstance CR,然后逐步迁移一个或多个集群。现有和新的管道并行运行,因此您可以以受控、分阶段的方式迁移集群,而无需停机。

注意

siteconfig-converter 工具不会转换使用已弃用的 spec.clusters.extraManifestPath 字段的 SiteConfig CR。

如需更多信息,请参阅从 SiteConfig CR 迁移到 ClusterInstance CR

1.3.3. etcd
复制链接

在这个版本中,Cluster etcd Operator 引入了 etcdDatabaseQuotaLowSpace 警报的警报级别,从而为管理员提供有关低 etcd 配额使用情况的通知。这种主动警报系统旨在防止出现 API 服务器不稳定的情况,并允许在受管 OpenShift 集群中进行有效的资源管理。警报级别是 infowarningcritical,为监控 etcd 配额使用情况提供了更精细的方法,这会实现动态 etcd 配额管理并改进了整个集群性能。

1.3.3.1. 配置本地仲裁节点
复制链接

您可以配置带有两个 control plane 节点的 OpenShift Container Platform 集群,以及一个本地仲裁程序节点,以便在降低集群的基础架构成本时保持高可用性 (HA)。

本地仲裁程序节点是一个低成本、共存的机器,它参与 control plane 仲裁决策。与标准的 control plane 节点不同,仲裁程序节点不会运行完整的 control plane 服务集合。通过此配置,只使用两个置备的 control plane 节点而不是三个就可以维护集群的高可用性(HA)。

这个功能现已正式发布。

如需更多信息,请参阅配置本地仲裁程序节点

具有隔离的双节点 OpenShift 集群提供可用性(HA),且对硬件的要求较小。此配置是为部署完整的三节点 control plane 集群的分布式或边缘环境而设计的。

双节点集群不包括计算节点。除了管理集群外,两个 control plane 机器还运行用户工作负载。

注意

您可以使用用户置备的基础架构方法或安装程序置备的基础架构方法部署带有隔离的双节点 OpenShift 集群。

如需更多信息,请参阅准备使用隔离安装双节点 OpenShift 集群

1.3.4. 扩展 (OLM v1)
复制链接

在这个版本中,您可以在启用了 TechPreviewNoUpgrade 功能集的集群中部署使用 webhook 的集群扩展。

如需更多信息,请参阅支持的扩展

1.3.5. 托管 control plane
复制链接

重要

计划在即将推出的 multicluster engine Operator 版本中提供 OpenShift Container Platform 4.20 的托管 control plane。同时,请参阅 OpenShift Container Platform 4.19 托管 control plane 文档

1.3.6. IBM Power
复制链接

OpenShift Container Platform 4.20 上的 IBM Power® 发行版本为 OpenShift Container Platform 组件添加了改进和新功能。

此发行版本引进了对 IBM Power 中的以下功能的支持:

  • 在 IBM Power® 上启用加速器

1.3.7. IBM Z 和 IBM LinuxONE
复制链接

OpenShift Container Platform 4.20 上的 IBM Z® 和 IBM® LinuxONE 版本为 OpenShift Container Platform 组件增加了改进和新功能。

此发行版本引进了对 IBM Z® 和 IBM® LinuxONE 中的以下功能的支持:

  • 在 IBM Z® 上启用加速器

1.3.8. IBM Power、IBM Z 和 IBM LinuxONE 支持列表
复制链接

从 OpenShift Container Platform 4.14 开始,延长更新支持 (EUS) 已扩展到 IBM Power® 和 IBM Z® 平台。如需更多信息,请参阅 OpenShift EUS 概述

Expand
表 1.1. CSI 卷
功能IBM Power®IBM Z® 和 IBM® LinuxONE

克隆

支持

支持

扩展

支持

支持

Snapshot

支持

支持

Expand
表 1.2. Multus CNI 插件
功能IBM Power®IBM Z® 和 IBM® LinuxONE

Bridge

支持

支持

Host-device

支持

支持

IPAM

支持

支持

IPVLAN

支持

支持

Expand
表 1.3. OpenShift Container Platform 功能
功能IBM Power®IBM Z® 和 IBM® LinuxONE

使用 OpenShift CLI (oc) 将计算节点添加到内部集群

支持

支持

备用身份验证供应商

支持

支持

基于代理的安装程序

支持

支持

支持的安装程序

支持

支持

使用 Local Storage Operator 自动设备发现

不支持

支持

使用机器健康检查功能自动修复损坏的机器

不支持

不支持

IBM Cloud® 的云控制器管理器。

支持

不支持

在节点上控制过量使用和管理容器密度

不支持

不支持

CPU Manager

支持

支持

Cron 作业

支持

支持

Descheduler

支持

支持

Egress IP

支持

支持

加密数据存储在 etcd 中

支持

支持

FIPS 加密

支持

支持

Helm

支持

支持

Pod 横向自动扩展

支持

支持

托管 control plane

支持

支持

IBM 安全执行

不支持

支持

IBM Power® Virtual Server 的安装程序置备的基础架构支持

支持

不支持

在单一节点上安装

支持

支持

IPv6

支持

支持

用户定义项目的监控

支持

支持

多架构计算节点

支持

支持

多架构 control plane

支持

支持

多路径(Multipathing)

支持

支持

网络绑定磁盘加密 - 外部 Tang 服务器

支持

支持

Non-volatile memory express drives (NVMe)

支持

不支持

NX-gzip for Power10 (硬件加速)

支持

不支持

oc-mirror 插件

支持

支持

OpenShift CLI (oc) 插件

支持

支持

Operator API

支持

支持

OpenShift Virtualization

不支持

支持

OVN-Kubernetes,包括 IPsec 加密

支持

支持

PodDisruptionBudget

支持

支持

精度时间协议 (PTP) 硬件

不支持

不支持

Red Hat OpenShift Local

不支持

不支持

Scheduler 配置集

支持

支持

安全引导

不支持

支持

流控制传输协议 (SCTP)

支持

支持

支持多个网络接口

支持

支持

openshift-install 工具支持 IBM Power® 上的各种 SMT 级别 (Hardware Acceleration)

支持

不支持

三节点集群支持

支持

支持

拓扑管理器

支持

不支持

SCSI 磁盘中的 z/VM 模拟 FBA 设备

不支持

支持

4K FCP 块设备

支持

支持

Expand
表 1.4. Operator
功能IBM Power®IBM Z® 和 IBM® LinuxONE

cert-manager Operator for Red Hat OpenShift

支持

支持

Cluster Logging Operator

支持

支持

Cluster Resource Override Operator

支持

支持

Compliance Operator

支持

支持

Cost Management Metrics Operator

支持

支持

File Integrity Operator

支持

支持

HyperShift Operator

支持

支持

IBM Power® Virtual Server Block CSI Driver Operator

支持

不支持

Ingress Node Firewall Operator

支持

支持

Local Storage Operator

支持

支持

MetalLB Operator

支持

支持

Network Observability Operator

支持

支持

NFD Operator

支持

支持

NMState Operator

支持

支持

OpenShift Elasticsearch Operator

支持

支持

Vertical Pod Autoscaler Operator

支持

支持

Expand
表 1.5. 持久性存储选项
功能IBM Power®IBM Z® 和 IBM® LinuxONE

使用 iSCSI 的持久性存储

支持 [1]

支持 [1],[2]

使用本地卷 (LSO) 的持久性存储

支持 [1]

支持 [1],[2]

使用 hostPath 的持久性存储

支持 [1]

支持 [1],[2]

使用 Fibre Channel 持久性存储

支持 [1]

支持 [1],[2]

使用 Raw Block 的持久性存储

支持 [1]

支持 [1],[2]

使用 EDEV/FBA 的持久性存储

支持 [1]

支持 [1],[2]

  1. 必须使用 Red Hat OpenShift Data Foundation 或其他支持的存储协议来置备持久性共享存储。
  2. 必须使用本地存储(如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO)来置备持久性非共享存储。

1.3.9. Insights Operator
复制链接

1.3.9.1. 支持在集群中获取 virt-launcher 日志
复制链接

在这个版本中,virt-launcher pod 的命令行日志可以在 Kubernetes 集群中收集。JSON 编码的日志保存在路径 namespaces/<namespace-name>/pods/<pod-name>/virt-launcher.json 中,这有助于对虚拟机进行故障排除和调试。

1.3.10. 安装和更新
复制链接

1.3.10.1. 更改 CVO 日志级别(技术预览)
复制链接

在这个版本中,集群管理员可更改 Cluster Version Operator (CVO)日志级别详细程度。

如需更多信息,请参阅 更改 CVO 日志级别

OpenShift Container Platform 4.18 可让您为节点安装具有多个网络接口控制器(NIC)的 VMware vSphere 集群作为技术预览功能。这个功能现已正式发布。

如需更多信息,请参阅配置多个 NIC

对于现有 vSphere 集群,您可以使用计算机器集添加多个子网。

在这个版本中,您可以在 Google Cloud 上安装集群到共享 VPC 时指定 DNS 私有区的位置。私有区域可以位于与主机项目或主要服务项目不同的服务项目中。

如需更多信息,请参阅 Google Cloud 配置参数

在这个版本中,您可以使用加密虚拟网络在 Azure 上安装集群。您需要使用将 PremiumIO 参数设置为 true 的 Azure 虚拟机。如需更多信息,请参阅 Microsoft 文档 Creating a virtual network with encryptionRequirements and Limitations

在这个版本中,如果使用 IBM Cloud Paks 安装集群,您必须在端口 443 上允许出站访问 icr.iocp.icr.io。IBM Cloud Pak 容器镜像需要这个访问权限。如需更多信息,请参阅配置防火墙

在这个版本中,您可以使用基于 Intel 的机密虚拟机在 Azure 上安装集群。现在支持以下机器类型:

  • DCesv5-series
  • DCedsv5-series
  • ECesv5-series
  • ECedsv5-series

如需更多信息,请参阅 启用机密虚拟机

在这个版本中,您可以使用 etcd 的专用数据磁盘在 Azure 上安装 OpenShift Container Platform 集群。此配置会将单独的受管磁盘附加到每个 control plane 节点,并只将其用于 etcd 数据,这可以提高集群性能和稳定性。此功能作为技术预览提供。如需更多信息,请参阅为 etcd 配置专用磁盘

1.3.10.8. 对裸机的多架构支持
复制链接

在这个版本中,您可以安装支持多架构功能的裸机环境。您可以使用虚拟介质从现有 x86_64 集群置备 x86_64aarch64 架构,这意味着您可以更有效地管理各种硬件环境。

如需更多信息,请参阅使用多架构计算机器配置集群

1.3.10.9. 支持为裸机更新 NIC 的主机固件组件
复制链接

在这个版本中,裸机的 HostFirmwareComponents 资源描述了网络接口控制器(NIC)。要更新 NIC 主机固件组件,服务器必须支持 Redfish,且必须允许使用 Redfish 更新 NIC 固件。

如需更多信息,请参阅关于 HostFirmwareComponents 资源

在 OpenShift Container Platform 4.17 中,之前删除的 Kubernetes API 会意外地重新引入。OpenShift Container Platform 4.20 中再次删除了它。

在集群从 OpenShift Container Platform 4.19 更新至 4.20 之前,集群管理员必须手动提供确认。这种保护有助于防止工作负载、工具或其他组件仍依赖于 OpenShift Container Platform 4.20 中删除的 Kubernetes API 时可能出现的更新问题。

在继续集群更新前,管理员必须执行以下操作:

  1. 评估集群以使用要删除的 API。
  2. 迁移受影响的清单、工作负载和 API 客户端以使用受支持的 API 版本。
  3. 向管理员提供所有必需的更新确认。

所有 OpenShift Container Platform 4.19 集群都需要此管理员确认,然后才能升级到 OpenShift Container Platform 4.20。

如需更多信息,请参阅 Kubernetes API 删除

在以前的版本中,当在 IBM Power Virtual Server 上安装集群时,您只能为现有的 Transit Gateway 或 Virtual Private Cloud (VPC) 指定名称。由于名称的唯一性无法保证,这可能导致冲突和安装失败。在这个版本中,您可以为 Transit Gateway 和 VPC 使用通用唯一标识符(UUID)。通过使用唯一标识符,安装程序可以明确地识别正确的 Transit Gateway 或 VPC。这可防止命名冲突,并解决了这个问题。

在这个版本中,您可以在新的 Oracle 基础架构产品上安装一个技术预览集群。

以下新的 Oracle 分布式云基础架构类型现在可用:

  • US Government Cloud
  • UK Sovereign Cloud
  • EU Sovereign Cloud
  • Isolated Region
  • Oracle Alloy

以下新的 Oracle Edge Cloud 基础架构类型现在可用:

  • Roving Edge

如需更多信息,请参阅使用 Assisted Installer 在 Oracle 分布式云上安装集群,和使用 Assisted Installer 在 Oracle Edge Cloud 上安装集群

1.3.11. Machine Config Operator
复制链接

现在,更新的引导镜像作为 VMware vSphere 集群的技术预览功能被支持。此功能允许您配置集群,以便在更新集群时更新节点引导镜像。默认情况下,集群中的引导镜像不会随集群一起更新。如需更多信息,请参阅 更新引导镜像

1.3.11.2. On-cluster 镜像模式重启改进
复制链接

以下机器配置更改不再会导致带有集群自定义分层镜像的节点重新引导:

  • 修改 /var/etc 目录中的配置文件
  • 添加或修改 systemd 服务
  • 更改 SSH 密钥
  • ICSPITMSIDMS 对象中删除镜像规则
  • 通过更新 openshift-config 命名空间中的 user-ca-bundle configmap 来更改可信 CA

如需更多信息,请参阅集群镜像模式已知限制

1.3.11.3. On-cluster 镜像模式状态报告改进
复制链接

当为 OpenShift 配置镜像模式时,会改进错误报告,包括以下更改:

  • 在构建并推送自定义分层镜像后,错误可能会导致构建过程失败。如果发生这种情况,MCO 现在会报告错误,machineosbuild 对象和构建程序 pod 会报告失败。
  • oc describe mcp 输出有一个新的 ImageBuildDegraded 状态字段,在自定义分层镜像构建失败时报告。

现在,您可以使用带有集群自定义分层镜像的 MachineConfig 对象中的 kernelType 参数,以便在节点上安装实时内核。在以前的版本中,在具有集群自定义分层镜像的节点上,会忽略 kernelType 参数。如需更多信息,请参阅向节点添加实时内核

1.3.11.5. 将镜像固定到节点
复制链接

在带有缓慢且不可靠的到镜像 registry 的集群中,您可以在需要前使用 PinnedImageSet 对象来拉取镜像,然后将这些镜像与机器配置池关联。这样可确保镜像在需要时可供该池中的节点使用。Machine Config Operator 的 must-gather 包括集群中的所有 PinnedImageSet 对象。如需更多信息,请参阅将镜像固定到节点

1.3.11.6. 改进了 MCO 状态报告现已正式发布
复制链接

机器配置节点自定义资源(可用于监控机器配置更新的进度)现已正式发布。

现在,除了 control plane 和 worker 池外,您还可以查看自定义机器配置池的更新状态。功能的功能没有改变。但是,命令输出和 MachineConfigNode 对象中的 status 字段中的一些信息已更新。Machine Config Operator 的 must-gather 现在包含集群中的所有 MachineConfigNodes 对象。如需更多信息,请参阅关于检查机器配置节点状态

1.3.11.7. 启用直接
复制链接

此发行版本包括一个新的安全性上下文约束(SCC),名为 hostmount-anyuid-v2。此 SCC 提供与 hostmount-anyuid SCC 相同的功能,但包含 seLinuxContext: RunAsAny。这个 SCC 被添加,因为 hostmount-anyuid SCC 旨在允许可信 pod 访问主机上的任何路径,但 SELinux 会阻止容器访问大多数路径。hostmount-anyuid-v2 允许以任何 UID 的身份访问主机文件系统,包括 UID 0,并旨在使用特权 SCC 而不是 privileged SCC。请谨慎授予。

1.3.12. 机器管理
复制链接

1.3.12.1. 其他 AWS 容量保留配置选项
复制链接

在使用 Cluster API 管理机器的集群上,您可以指定额外的限制来确定计算机器是否使用 AWS 容量保留。如需更多信息,请参阅容量保留配置选项

1.3.12.2. 集群自动扩展扩展延迟
复制链接

现在,您可以在集群自动扩展识别新待处理的 pod 前配置延迟,并使用 ClusterAutoscaler CR 中的 spec.scaleUp.newPodScaleUpDelay 参数将 pod 调度到新节点。如果节点在延迟后保持不变,集群自动扩展可以扩展新节点。此延迟可让集群自动扩展额外时间来定位适当的节点,或者可以等待现有 pod 上的空间可用。如需更多信息,请参阅配置集群自动扩展

1.3.13. 监控
复制链接

此发行版本中的集群监控堆栈包括以下新功能和修改后的功能:

1.3.13.1. 监控堆栈组件和依赖项更新
复制链接

此发行版本包括对集群监控堆栈组件和依赖项的以下版本更新:

  • Prometheus 更新到 3.5.0
  • Prometheus Operator 0.85.0
  • Metrics Server 更新到 0.8.0
  • Thanos 更新到 0.39.2
  • kube-state-metrics 代理更新到 2.16.0
  • prom-label-proxy 更新到 0.12.0

1.3.13.2. 对警报规则的更改
复制链接

注意

红帽不保证记录规则或警报规则的向后兼容性。

  • AlertmanagerClusterFailedToSendAlerts 警报的表达式已更改。该警报现在会在较长时间内评估速率,从 5m15m

在这个版本中,您可以为 Metrics Server 配置日志详细程度。您可以设置数字详细程度来控制日志信息的数量,其中较高的数字会增加日志记录详情。

如需更多信息,请参阅为监控组件设置日志级别

1.3.14. 网络
复制链接

1.3.14.1. 支持 Gateway API Inference Extension
复制链接

OpenShift Container Platform 4.20 将 Red Hat OpenShift Service Mesh 更新至 3.1.0 版本,现在支持 Red Hat OpenShift AI。这个版本包括了重要的 CVE 修复,解决了其他错误,并将 Istio 升级到 1.26.2 以提高安全性和性能。如需更多信息,请参阅 Service Mesh 3.1.0 发行注记

1.3.14.2. 支持 BGP 路由协议
复制链接

Cluster Network Operator (CNO)现在支持启用边框网关协议(BGP)路由。使用 BGP,您可以将路由导入到底层供应商网络,并使用多语言、链接冗余和快速聚合。BGP 配置通过 FRRConfiguration 自定义资源(CR)进行管理。

当从安装 MetalLB Operator 的早期版本的 OpenShift Container Platform 升级时,您必须手动将自定义 frr-k8s 配置从 metallb-system 命名空间迁移到 openshift-frr-k8s 命名空间。要移动这些 CR,请输入以下命令:

  1. 运行以下命令来创建 openshift-frr-k8s 命名空间: 

    $ oc create namespace openshift-frr-k8s
    Copy to Clipboard Toggle word wrap

  2. 要自动化迁移,请使用以下内容创建一个 migrate.sh 文件: 

    #!/bin/bash
OLD_NAMESPACE="metallb-system"
NEW_NAMESPACE="openshift-frr-k8s"
FILTER_OUT="metallb-"
oc get frrconfigurations.frrk8s.metallb.io -n "${OLD_NAMESPACE}" -o json |\
  jq -r '.items[] | select(.metadata.name | test("'"${FILTER_OUT}"'") | not)' |\
  jq -r '.metadata.namespace = "'"${NEW_NAMESPACE}"'"' |\
  oc create -f -
    Copy to Clipboard Toggle word wrap

  3. 要运行迁移脚本,请输入以下命令: 

    $ bash migrate.sh
    Copy to Clipboard Toggle word wrap

  4. 要验证迁移是否成功,请输入以下命令: 

    $ oc get frrconfigurations.frrk8s.metallb.io -n openshift-frr-k8s
    Copy to Clipboard Toggle word wrap

迁移完成后,您可以从 metallb-system 命名空间中删除 FRR-K8s 自定义资源。

如需更多信息,请参阅关于 BGP 路由

启用路由公告后,OVN-Kubernetes 网络插件支持将与集群用户定义的网络(CUDN)关联的 pod 和服务的路由直接公告到提供商网络。这个功能提供了以下一些优点:

  • 动态了解路由到 pod 的路由
  • 动态公告路由
  • 除了基于 gratuitous ARP 的第 2 层外,还启用 EgressIP 故障切换的第 3 层通知。
  • 支持外部路由反映器,这可减少大型网络中所需的 BGP 连接数

如需更多信息,请参阅关于路由公告

预配置的用户定义的网络端点作为技术预览提供,并由功能门 PreconfiguredUDNAddresses 控制。现在,您可以明确控制覆盖网络配置,包括:IP 地址、MAC 地址和默认网关。此功能可用于第 2 层,作为 ClusterUserDefinedNetwork (CUDN)自定义资源(CR)的一部分。管理员可以预先配置端点,在不中断的情况下迁移 KubeVirt 虚拟机(VM)。要启用该功能,请使用 CUDN CR 中的 reservedSubnetsinfrastructureSubnetsdefaultGatewayIPs 的新字段。有关配置的更多信息,请参阅用户定义的网络的其他配置详情。目前,只有 ClusterUserDefinedNetworks CR 支持静态 IP 地址,且只适用于 MTV。

1.3.14.5. 支持将配置的 br-ex 网桥迁移到 NMState
复制链接

如果您使用 configure-ovs.sh shell 脚本在集群安装过程中设置 br-ex 网桥,您可以将 br-ex 网桥迁移到 NMState 作为安装后任务。如需更多信息,请参阅将配置的 br-ex 网桥迁移到 NMState

1.3.14.6. 配置增强的 PTP 日志记录
复制链接

现在,您可以为 PTP Operator 配置增强的日志缩减,以减少 linuxptp-daemon 生成的日志卷。

此功能提供过滤日志的定期摘要,这些日志在基本日志时不可用。另外,您可以为概述日志设置特定的间隔,以及 master 偏移日志的纳秒阈值。

如需更多信息,请参阅配置增强的 PTP 日志记录

在这个版本中,您可以在仅使用以下双端口 NIC 的 AArch64 架构节点上为 PTP 普通时钟配置冗余:

  • NVIDIA ConnectX-7 系列
  • NVIDIA BlueField-3 系列,在 NIC 模式中

此功能作为技术预览提供。如需更多信息,请参阅使用双端口 NIC 来提高 PTP 普通时钟的冗余

在本发行版本中,您可以使用 xmitHashPolicy 作为绑定 CNI 插件配置的一部分,为聚合接口指定传输哈希策略。此功能作为技术预览提供。

如需更多信息,请参阅 Bond CNI secondary network 的配置

在 OpenShift Container Platform 4.20 中,您可以在应用程序命名空间中直接创建和管理 SR-IOV 网络。这个新功能提供对网络配置的更大控制,有助于简化您的工作流。

在以前的版本中,创建 SR-IOV 网络需要集群管理员为您配置它。现在,您可以直接在自己的命名空间中管理这些资源,它提供几个关键优点:

  • 增加自动和控制 :您现在可以创建自己的 SriovNetwork 对象,不再需要集群管理员进行网络配置任务。
  • 增强安全性:管理您自己的命名空间中的资源通过提供更好的应用程序分离来提高安全性,并有助于防止意外配置。
  • 简化权限 :现在,您可以使用命名空间的 SR-IOV 网络简化权限并减少操作开销。

如需更多信息,请参阅配置命名空间的 SR-IOV 资源

1.3.14.10. Unnumbered BGP peering
复制链接

在这个版本中,OpenShift Container Platform 包含未编号的 BGP 对等。这个功能以前作为技术预览提供。您可以使用 BGP peer 自定义资源的 spec.interface 字段来配置未编号的 BGP 对等。

如需更多信息,请参阅配置 MetalLB 和 FRR-K8s 的集成

此技术预览功能引入了 PF Status Relay Operator。Operator 使用链路聚合控制协议(LACP)作为健康检查来检测上游交换机失败,为使用带有 SR-IOV 网络虚拟功能(VF)的 pod 级别绑定的工作负载启用高可用性。

如果没有此功能,上游切换可能会失败,而底层物理功能(PF)仍然报告 up 状态。附加到 PF 的 VF 也保持启动,从而导致 pod 将流量发送到死端点,并导致数据包丢失。

PF Status Relay Operator 通过监控 PF 的 LACP 状态来防止这种情况。当检测到失败时,Operator 会强制关闭附加的 VF 链接状态,触发 pod 的绑定切换到备份路径。这样可确保工作负载保持可用,并最小化数据包丢失。

如需更多信息,请参阅 SR-IOV 网络中 pod 级别绑定的高可用性

1.3.14.12. 额外命名空间的网络策略
复制链接

在这个版本中,OpenShift Container Platform 将 Kubernetes 网络策略部署到额外的系统命名空间中,以控制入口和出口流量。预计将来的版本可能会包含适用于其他系统命名空间和 Red Hat Operator 的网络策略。

在这个版本中,PTP Operator 提供了无需协助的 holdover 作为技术预览功能。当上游计时信号丢失时,PTP Operator 会自动将 PTP 设备配置为边界时钟或时间从时钟进入 holdover 模式。自动放置进入 holdover 模式有助于为集群节点维护连续稳定的时间源,从而最大程度缩短时间同步中断。

注意

此功能仅适用于带有 Intel E810-XXVDA4T 网络接口卡的节点。

如需更多信息,请参阅配置 PTP 设备

1.3.14.14. NVIDIA BlueField-3 DPU 支持(技术预览)
复制链接

在这个版本中,OpenShift Container Platform 引入了作为技术预览的,由 Chip 架构(DOCA)平台框架(DOCA)平台框架(DPF) Operator 管理,用于自动置备和生命周期管理的 NVIDIA BlueField-3 Data Processing Unit (DPU)支持。这个解决方案提供以下主要客户优点:

  • 数据平面加速:卸载并加快网络处理。
  • 安全隔离:分离基础架构和租户工作负载以提高安全性。
  • 计算扩展:通过将基础架构工作负载(如网络)部署到 DPU 来释放主机 CPU 资源。

部署使用由基础架构和租户集群组成的双集群模型。它还为将来的 DOCA 服务提供了基础,例如 Firefly、SNAP、Telemetry 和第三方网络功能。

1.3.15. 节点
复制链接

1.3.15.1. sigstore 支持现已正式发布
复制链接

现在,提供了对 sigstore ClusterImagePolicyImagePolicy 对象的支持。API 版本现在是 config.openshift.io/v1。如需更多信息,请参阅使用 sigstore 管理安全签名

注意

默认 openshift 集群镜像策略是技术预览,且仅在启用了技术预览功能的集群中处于活跃状态。

现在,您可以使用 sigstore ClusterImagePolicyImagePolicy 对象生成 BYOPKI 配置到 policy.json 文件,可让您使用 BYOPKI 验证镜像签名。如需更多信息,请参阅关于集群和镜像策略参数

1.3.16.1. Linux 用户命名空间支持现已正式发布
复制链接

现在,默认启用将 pod 和容器部署到 Linux 用户命名空间中。在单个用户命名空间中运行 pod 和容器可以缓解受到破坏的容器可能会给其他 pod 和节点本身造成的一些漏洞。此更改还包括两个新的安全性上下文约束: restricted-v3nested-container,它们专门设计为用于用户命名空间。您还可以在 pod 中将 /proc 文件系统配置为 unmasked。如需更多信息,请参阅在 Linux 用户命名空间中运行 pod

通过使用原位 pod 大小调整功能,您可以应用调整大小的策略来更改正在运行的 pod 中的容器的 CPU 和内存资源,而无需重新创建或重启 pod。如需更多信息,请参阅 手动调整 pod 资源级别

1.3.16.3. 将 OCI 镜像挂载到 pod 中
复制链接

您可以使用一个镜像卷挂载兼容开放容器项目(OCI)的容器镜像或将工件直接挂载到 pod。如需更多信息,请参阅将 OCI 镜像挂载到 pod 中

1.3.16.4. 将特定的 GPU 分配给 pod (技术预览)
复制链接

现在,您可以启用 pod 根据特定设备属性(如产品名称、GPU 内存容量、计算功能、厂商名称和驱动程序版本)请求 GPU。这些属性由您安装的第三方 DRA 资源驱动程序公开。如需更多信息,请参阅将 GPU 分配给 pod

1.3.17. OpenShift CLI (oc)
复制链接

oc adm upgrade recommend 命令以前是技术预览,现在,oc adm upgrade recommend 命令允许系统管理员使用命令行界面(CLI)在其 OpenShift Container Platform 集群上执行预更新检查。预更新检查有助于发现潜在的问题,使用户在启动更新前解决它们。通过运行 precheck 命令并检查输出,用户可以准备更新集群,并决定何时启动更新。

如需更多信息,请参阅使用 CLI 更新集群

oc adm upgrade status 命令以前为技术预览,现在,oc adm upgrade status 命令允许使用命令行界面 (CLI) 获取有关 OpenShift Container Platform 集群更新状态的高级概述信息。输入命令时会提供三种信息:control plane 信息、worker 节点信息和健康见解。

目前,在 Hosted Control Plane (HCP) 集群中不支持该命令。

如需更多信息,请参阅使用 CLI 更新集群

操作对象镜像在运行时由 Operator 控制器动态部署,通常由控制器部署模板中的环境变量引用。

在 OpenShift Container Platform 4.20 之前,当 oc-mirror plugin v2 可以访问这些环境变量时,它会尝试镜像所有值,包括非镜像引用,如日志级别,从而导致失败。在这个版本中,OpenShift Container Platform 只标识并镜像这些环境变量中引用的容器镜像。

如需更多信息,请参阅 oc-mirror 插件 v2 的 ImageSet 配置参数

1.3.18. Operator 开发
复制链接

1.3.18.1. 支持的 Operator 基础镜像
复制链接

在这个版本中,Operator 项目的以下基础镜像已更新,以便与 OpenShift Container Platform 4.20 兼容。这些基础镜像的运行时功能和配置 API 仍然会有程序错误修复和并提供对相关 CVE 的解决方案。

  • 基于 Ansible 的 Operator 项目的基础镜像
  • 基于 Helm 的 Operator 项目的基础镜像

如需更多信息,请参阅为 OpenShift Container Platform 4.19 及之后的版本(红帽知识库)为现有基于 Ansible 或 Helm 的 Operator 项目更新基础镜像

1.3.19. Operator 生命周期
复制链接

在这个版本中,红帽提供的 Operator 目录已从 OperatorHub 移到软件目录中,在控制台中,Operator 导航项被重命名为生态系统(Ecosystem)。统一的软件目录在同一控制台视图中显示 Operator、Helm chart 和其他可安装的内容。

  • 要在控制台中访问红帽提供的 Operator 目录,请选择 Ecosystem Software Catalog
  • 要管理、更新和删除已安装的 Operator,请选择 Ecosystem Installed Operators
注意

目前,控制台只支持使用 Operator Lifecycle Manager (OLM) Classic 管理 Operator。如果要使用 OLM v1 来安装和管理集群扩展,如 Operator,则需要使用 CLI。

要管理默认或自定义目录源,您仍可以通过控制台 中的 OperatorHub 自定义资源 (CR) 进行,或使用 CLI。

1.3.20. 安装后配置
复制链接

在这个版本中,您可以将 AWS OpenShift Container Platform 集群配置为使用 STS,即使您在安装过程中没有这样做。

如需更多信息,请参阅在现有集群上启用 AWS 安全令牌服务(STS)

1.3.21. Red Hat Enterprise Linux CoreOS (RHCOS)
复制链接

1.3.21.1. 使用 kdump 调查内核崩溃(GA)
复制链接

在这个版本中,对于所有支持的构架,包括 x86_64,arm64,s390x, 和 ppc64lekdump 为 GA。这个增强可让用户更有效地诊断和解决内核问题。

1.3.21.2. Ignition 更新至版本 2.20.0
复制链接

RHCOS 引入了 Ignition 版本 2.20.0。此功能增强支持使用 partx 工具对挂载分区的磁盘进行分区,该工具现在包含在 dracut 模块安装中。另外,这个更新添加了对 Proxmox 虚拟环境的支持。

1.3.21.3. Butane 更新至 0.23.0 版本
复制链接

RHCOS 现在包括 Butane 版本 0.23.0。

1.3.21.4. Afterburn 更新到版本 5.7.0
复制链接

RHCOS 现在包括 Afterburn 版本 5.7.0。在这个版本中,增加了对 Proxmox 虚拟环境的支持。

1.3.21.5. coreos-installer 更新至 0.23.0 版本
复制链接

在这个版本中,coreos-installer 工具更新至 0.23.0 版本。

1.3.22. 可伸缩性和性能
复制链接

在 OpenShift Container Platform 4.20 中,NUMA Resources Operator 默认自动启用高可用性 (HA) 模式。在这个模式中,NUMA Resources Operator 为集群中的每个 control-plane 节点创建一个调度程序副本,以确保冗余。如果没有在 NUMAResourcesScheduler 自定义资源中指定 spec.replicas 字段,则会发生此默认行为。或者,您可以通过将 spec.replicas 字段设置为 0 来明确设置特定数量的调度程序副本来覆盖默认的 HA 行为,或者完全禁用调度程序。最多副本数为 3,即使 control plane 节点的数量超过 3。

如需更多信息,请参阅为 NUMA 感知调度程序管理高可用性(HA)

在这个版本中,NUMA Resources Operator 可以管理配置为可以调度的 control plane 节点。此功能允许您在 control plane 节点上部署拓扑感知工作负载,这在受限的资源环境中(如紧凑集群)特别有用。

此功能增强帮助 NUMA Resources Operator 使用最合适的 NUMA 拓扑在节点上调度 NUMA 感知 pod,即使在 control plane 节点上也是如此。

如需更多信息,请参阅 NUMA Resources Operator 支持可调度 control-plane 节点

1.3.22.3. 现在默认禁用 Receive Packet Steering (RPS)
复制链接

在这个版本中,当应用 Performance Profile 时不再配置 Receive Packet Steering (RPS)。RPS 配置会影响直接在对延迟敏感的线程中执行网络系统调用(如 send)的容器。为了避免在没有配置 RPS 时造成延迟影响,请将网络调用移到 helper 线程或进程。

以前的 RPS 配置可以解决延迟问题,但会牺牲整个 pod 内核的网络性能。当前的默认配置要求开发人员解决底层应用程序设计问题,而不是掩盖其对性能影响。这样可以提高透明度。

要恢复到之前的行为,请将 performance.openshift.io/enable-rps 注解添加到 PerformanceProfile 清单中: 

apiVersion: performance.openshift.io/v2
kind: PerformanceProfile
metadata:
  name: example-performanceprofile
  annotations:
    performance.openshift.io/enable-rps: "enable"
Copy to Clipboard Toggle word wrap
注意

此操作会恢复之前的功能,但同时在全局范围内降低了所有 pod 的网络性能。

在这个版本中,您可以使用 PerformanceProfile 自定义资源在具有 Intel Sierra Forest CPU 的机器上配置 worker 节点。使用单个 NUMA 域 (NPS=1) 配置时,这些 CPU 被支持。

在这个版本中,您可以使用 PerformanceProfile 自定义资源在装有 AMD Turin CPU 的机器上配置 worker 节点。使用单个 NUMA 域 (NPS=1) 配置时,这些 CPU 被完全支持。

1.3.22.6. 为 Kubernetes API Hitless TLS 证书轮转
复制链接

此新功能增强了 OpenShift Container Platform 中的 TLS 证书轮转,确保 95% 的预期集群的可用性。这对于高事务型集群和单节点 OpenShift 部署特别有用,确保即使负载过重,也能确保无缝操作。

1.3.22.7. etcd 的额外集群延迟要求
复制链接

在这个版本中,etcd 产品文档被更新,包含了额外的减少 OpenShift Container Platform 集群延迟的要求信息。在这个版本中,明确了使用 etcd 的先决条件和设置步骤,从而提高了用户体验。因此,这个功能引进了对 etcd 中的传输层安全(TLS) 1.3 的支持,这提高了数据传输的安全性和性能,并允许 etcd 遵守最新的安全标准,从而减少潜在的漏洞。改进的加密可确保 etcd 与其客户端间的更安全通信。如需更多信息,请参阅 etcd 的集群延迟要求

1.3.23. Storage
复制链接

Secrets Store CSI Driver Operator 版本 4.20 现在基于上游 v1.5.2 版本。Secrets Store CSI Driver Operator 现在在安装过程中应用 Kubernetes NetworkPolicy 对象,将网络通信限制为只在所需的组件间进行。

1.3.23.2. 卷填充器已正式发布
复制链接

卷填充器(volume populator)功能允许您创建预先填充的卷。

OpenShift Container Platform 4.20 为卷填充器功能引入了一个新的字段 dataSourceRef,它扩展了对象,该对象可用于预填充卷(从持久性卷声明(PVC)和快照)到任何适当的自定义资源(CR)的数据源。

OpenShift Container Platform 现在提供 volume-data-source-validator,它报告使用没有相应 VolumePopulator 实例的卷填充器的 PVC 的事件。以前的 OpenShift Container Platform 版本不需要 VolumePopulator 实例,因此如果您从 4.12 或更高版本升级,您可能会收到有关未注册填充器的事件。如果您之前自行安装了 volume-data-source-validator,则可以删除您的版本。

卷填充器功能在 OpenShift Container Platform 4.12 中作为技术预览功能引入,现在为 GA。

卷填充会被默认启用。但是,OpenShift Container Platform 不附带任何卷填充器。

有关卷填充器的更多信息,请参阅卷填充器

1.3.23.3. Azure Disk 的 Performance plus 为 GA
复制链接

通过启用 Performance plus,以下类型的磁盘的 input/output operations per second (IOPS) 和吞吐量限制(513 GiB 及更大)有所增加:

  • Azure Premium solid-state drives (SSD)
  • 标准 SSD
  • 标准硬盘 (HDD)

此功能在 OpenShift Container Platform 4.20 中正式发布。

有关性能加上的更多信息,请参阅 Azure 磁盘的 Performance plus

1.3.23.4. 已更改的块跟踪(开发者预览)
复制链接

更改的块跟踪可为支持此功能的 Container Storage Interface (CSI)驱动程序管理的持久性卷(PV)启用高效、增量备份和灾难恢复。

更改的块跟踪可让使用者请求两个快照之间更改的块列表,这对于备份解决方案供应商非常有用。通过仅备份更改的块,而不是整个卷,备份进程效率更高。

重要

更改的块跟踪只是一个技术预览功能。Developer Preview(开发人员预览)功能不被红帽支持,其功能可能并不完善且不是生产环境就绪。不要将开发人员预览功能用于生产环境或业务关键型工作负载。开发人员预览功能可以在之前可能地包含在红帽产品产品中提前访问即将推出的产品功能,使客户能够测试功能并在开发过程中提供反馈。这些功能可能没有任何文档,可能会随时被更改或删除,测试也会受到限制。红帽可能会提供在没有关联 SLA 的情况下提交对开发人员预览功能的反馈。

有关更改的块跟踪的更多信息,请参阅此 KB 文章

1.3.23.5. AWS EFS One Zone 卷支持已正式发布
复制链接

OpenShift Container Platform 4.20 引入了 AWS Elastic File Storage (EFS) One Zone 卷支持作为正式发布(GA)。通过这个功能,如果文件系统域名系统(DNS)解析失败,EFS CSI 驱动程序可以回退到挂载目标。挂载目标充当网络端点,它允许虚拟私有云(VPC)中的 AWS EC2 实例或其他 AWS 计算实例连接到并挂载 EFS 文件系统。

有关 One Zone 的更多信息,请参阅 对 One Zone 的支持

卷的某些操作可能会导致 pod 启动延迟,这可能会导致 pod 超时。

fsGroup: 对于具有多个文件的卷,pod 启动超时可能会发生。这是因为,在默认情况下,OpenShift Container Platform 会递归更改每个卷内容的所有权和权限,以便在挂载卷时与 pod 的 securityContext 中指定的 fsGroup 匹配。这可能会非常耗时,会减慢 pod 启动的速度。您可以使用 securityContext 中的 fsGroupChangePolicy 参数来控制 OpenShift Container Platform 检查和管理卷的所有权和权限的方式。

在 OpenShift Container Platform 4.10 中,可以在 pod 级别上更改此参数。在 4.20 中,除了 pod 级别外,您还可以在命名空间级别设置此参数。这个功能为 GA。

SELinux: SELinux (Security-Enhanced Linux)是一种安全机制,可为系统上的所有对象(文件、进程、网络端口等)分配安全标签(上下文)。这些标签决定了进程可以访问的内容。当 pod 启动时,容器运行时会以递归的方式重新标记卷中的所有文件,以匹配 pod 的 SELinux 上下文。对于具有大量文件的卷,这可能会显著提高 pod 启动时间。可以使用挂载选项来避免以递归方式重新标记所有文件。方法是使用 -o context 挂载选项直接挂载卷。这有助于避免出现 pod 超时的问题。

RWOP 和 SELinux 挂载选项: ReadWriteOncePod (RWOP) 持久性卷默认使用 SELinux 挂载功能。在 OpenShift Container Platform 4.15 中挂载选项作为技术预览功能被引入,在 4.16 中为 GA。

RWO 和 RWX 和 SELinux 挂载选项: ReadWriteOnce (RWO)和 ReadWriteMany (RWX) 卷默认使用递归重新标记。OpenShift Container Platform 4.17 中引入了 RWO/RWX 的挂载选项,作为一个开发者技术预览功能,现在在 4.20 中被支持。

重要

在以后的 OpenShift Container Platform 版本中,RWO 和 RWX 卷将默认使用挂载选项。

为了帮助您了解将会很快引入的挂载选项被默认使用的变化,OpenShift Container Platform 4.20 会在创建和运行 pod 时报告与 SELinux 相关的冲突,以便您了解潜在的冲突,并帮助您解决它们。有关此报告的更多信息,请参阅这个 KB 文章

如果您无法解决与 SELinux 相关的冲突,可以主动选择不使用所选 pod 或命名空间的挂载选项。

在 OpenShift Container Platform 4.20 中,RWO 和 RWX 卷的挂载选项功能作为技术预览功能提供,您可以试用它们。

重要

RWO/RWX SELinux 挂载只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围

有关 fsGroup 的更多信息,请参阅使用 fsGroup 缩减 pod 超时

有关 SELinux 的更多信息,请参阅使用 seLinuxChangePolicy 缩减 pod 超时

在 OpenShift Container Platform 4.18 之前,不会始终应用持久性卷(PV)重新声明策略。

对于绑定 PV 和持久性卷声明(PVC)对,PV-PVC 删除的顺序决定是否应用了 PV 删除重新声明策略。如果在删除 PV 前删除了 PVC,PV 会应用重新声明策略。但是,如果在删除 PVC 前删除了 PV,则不会应用重新声明策略。因此,外部基础架构中关联的存储资产不会被删除。

从 OpenShift Container Platform 4.18 开始,会始终应用 PV 重新声明策略。它是一个技术预览功能。在 OpenShift Container Platform 4.20 中,此功能已成为 GA。

如需更多信息,请参阅持久性卷的 Reclaim 策略

默认情况下,OpenShift Container Platform 会创建 Manila 存储类,用于为所有 IPv4 客户端提供访问,从而有可能将其更新为一个单一 IP 地址或子网。在 OpenShift Container Platform 4.20 中,您可以使用 nfs-ShareClient 参数定义使用多个客户端 IP 地址或子网的自定义存储类来限制客户端访问。

此功能在 OpenShift Container Platform 4.20 中正式发布。

如需更多信息,请参阅自定义 Manila 共享访问规则

1.3.23.9. AWS EFS 跨帐户流程修订
复制链接

为增强可用性并提供安全令牌服务(STS)和非STS 支持,Amazone Web Serivces (AWS) Elastic File Service (EFS)跨帐户支持流程已被修改。

要查看修订的流程,请参阅 AWS EFS 跨帐户支持

1.3.24. Web 控制台
复制链接

1.3.24.1. 支持导入流中的自定义应用程序图标
复制链接

在此次更新之前,容器镜像 表单流只为应用程序提供一组有限的预定义图标。

在这个版本中,您可以在通过 容器镜像 表单导入应用程序时添加自定义图标。对于现有应用程序,应用 app.openshift.io/custom-icon 注解,将自定义图标添加到对应的 Topology 节点。

因此,您可以在 Topology 视图中更好地识别应用程序,并更清晰地组织您的项目。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat