红帽全球峰会1.3. 新功能及功能增强
此版本对以下方面进行了改进:
1.3.1. API Server
1.3.1.1. kube-apiserver 的 loopback 证书的有效性延长到三年
在此次更新之前,Kubernetes API 服务器的自签名回送证书会在一年后过期。在这个版本中,证书的过期日期将延长至三年。
1.3.1.2. dry-run 选项连接到 'oc delete istag'
在此次更新之前,使用 -dry-run=server 选项删除 istag 资源会意外导致从服务器中删除镜像。这是因为 oc delete istag 命令中错误地实施了 dry-run 选项造成的意外删除。在这个版本中,dry-run 选项与 oc delete istag 命令有线。因此,意外删除镜像对象会被阻止,在使用 --dry-run=server 选项时 istag 对象保持不变。
1.3.2. 认证和授权
1.3.3. 文档
1.3.4. 边缘计算
1.3.4.1. 对 LVM Storage Operator 的 NetworkPolicy 支持
LVM Storage Operator 现在在安装过程中应用 Kubernetes NetworkPolicy 对象,将网络通信限制为只所需的组件。此功能为 OpenShift Container Platform 集群上的 LVM Storage 部署强制实施默认网络隔离。
1.3.4.2. 支持为使用 LVM Storage Operator 创建的持久性卷的主机名标签
当使用 LVM Storage Operator 创建持久性卷(PV)时,PV 现在包含 kubernetes.io/hostname 标签。该标签显示 PV 所在的节点,以便更轻松地识别与工作负载关联的节点。这个更改只适用于新创建的 PV。现有 PV 不会被修改。
1.3.4.3. LVM Storage Operator 的默认命名空间
LVM Storage Operator 的默认命名空间现在是 openshift-lvm-storage。您仍然可以在自定义命名空间中安装 LVM 存储。
1.3.4.4. SiteConfig CR 到 ClusterInstance CR 迁移工具
OpenShift Container Platform 4.20 引进了 siteconfig-converter 工具,以帮助将受管集群从 SiteConfig 自定义资源(CR)迁移到 ClusterInstance CR。使用 SiteConfig CR 定义受管集群已弃用,并将在以后的发行版本中删除。ClusterInstance CR 提供了更加统一的定义集群方法,是在 GitOps ZTP 工作流中管理集群部署的首选方法。
使用 siteconfig-converter 工具,您可以将 SiteConfig CR 转换为 ClusterInstance CR,然后逐步迁移一个或多个集群。现有和新的管道并行运行,因此您可以以受控、分阶段的方式迁移集群,而无需停机。
siteconfig-converter 工具不会转换使用已弃用的 spec.clusters.extraManifestPath 字段的 SiteConfig CR。
1.3.5. 扩展 (OLM v1)
1.3.5.1. 部署使用 Webhook 的集群扩展(技术预览)
在这个版本中,您可以在启用了 TechPreviewNoUpgrade 功能集的集群中部署使用 webhook 的集群扩展。
如需更多信息,请参阅支持的扩展。
1.3.6. 托管 control plane
因为托管的 control plane 的发布与 OpenShift Container Platform 不同,所以它有自己的发行注记。如需更多信息,请参阅 托管 control plane 发行注记。
1.3.7. IBM Power
OpenShift Container Platform 4.20 上的 IBM Power® 发行版本为 OpenShift Container Platform 组件添加了改进和新功能。
此发行版本引进了对 IBM Power 中的以下功能的支持:
- 在 IBM Power® 上启用加速器
1.3.8. IBM Z 和 IBM LinuxONE
OpenShift Container Platform 4.20 上的 IBM Z® 和 IBM® LinuxONE 版本为 OpenShift Container Platform 组件增加了改进和新功能。
此发行版本引进了对 IBM Z® 和 IBM® LinuxONE 中的以下功能的支持:
- 在 IBM Z® 上启用加速器
1.3.9. IBM Power、IBM Z 和 IBM LinuxONE 支持列表
从 OpenShift Container Platform 4.14 开始,延长更新支持 (EUS) 已扩展到 IBM Power® 和 IBM Z® 平台。如需更多信息,请参阅 OpenShift EUS 概述。
| 功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
|---|---|---|
| 克隆 | 支持 | 支持 |
| 扩展 | 支持 | 支持 |
| Snapshot | 支持 | 支持 |
| 功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
|---|---|---|
| Bridge | 支持 | 支持 |
| Host-device | 支持 | 支持 |
| IPAM | 支持 | 支持 |
| IPVLAN | 支持 | 支持 |
| 功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
|---|---|---|
|
使用 OpenShift CLI ( | 支持 | 支持 |
| 备用身份验证供应商 | 支持 | 支持 |
| 基于代理的安装程序 | 支持 | 支持 |
| 支持的安装程序 | 支持 | 支持 |
| 使用 Local Storage Operator 自动设备发现 | 不支持 | 支持 |
| 使用机器健康检查功能自动修复损坏的机器 | 不支持 | 不支持 |
| IBM Cloud® 的云控制器管理器。 | 支持 | 不支持 |
| 在节点上控制过量使用和管理容器密度 | 不支持 | 不支持 |
| CPU Manager | 支持 | 支持 |
| Cron 作业 | 支持 | 支持 |
| Descheduler | 支持 | 支持 |
| Egress IP | 支持 | 支持 |
| 加密数据存储在 etcd 中 | 支持 | 支持 |
| FIPS 加密 | 支持 | 支持 |
| Helm | 支持 | 支持 |
| Pod 横向自动扩展 | 支持 | 支持 |
| 托管 control plane | 支持 | 支持 |
| IBM 安全执行 | 不支持 | 支持 |
| IBM Power® Virtual Server 的安装程序置备的基础架构支持 | 支持 | 不支持 |
| 在单一节点上安装 | 支持 | 支持 |
| IPv6 | 支持 | 支持 |
| 用户定义项目的监控 | 支持 | 支持 |
| 多架构计算节点 | 支持 | 支持 |
| 多架构 control plane | 支持 | 支持 |
| 多路径(Multipathing) | 支持 | 支持 |
| 网络绑定磁盘加密 - 外部 Tang 服务器 | 支持 | 支持 |
| Non-volatile memory express drives (NVMe) | 支持 | 不支持 |
| NX-gzip for Power10 (硬件加速) | 支持 | 不支持 |
| oc-mirror 插件 | 支持 | 支持 |
|
OpenShift CLI ( | 支持 | 支持 |
| Operator API | 支持 | 支持 |
| OpenShift Virtualization | 不支持 | 支持 |
| OVN-Kubernetes,包括 IPsec 加密 | 支持 | 支持 |
| PodDisruptionBudget | 支持 | 支持 |
| 精度时间协议 (PTP) 硬件 | 不支持 | 不支持 |
| Red Hat OpenShift Local | 不支持 | 不支持 |
| Scheduler 配置集 | 支持 | 支持 |
| 安全引导 | 不支持 | 支持 |
| 流控制传输协议 (SCTP) | 支持 | 支持 |
| 支持多个网络接口 | 支持 | 支持 |
|
| 支持 | 不支持 |
| 三节点集群支持 | 支持 | 支持 |
| 拓扑管理器 | 支持 | 不支持 |
| SCSI 磁盘中的 z/VM 模拟 FBA 设备 | 不支持 | 支持 |
| 4K FCP 块设备 | 支持 | 支持 |
| 功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
|---|---|---|
| cert-manager Operator for Red Hat OpenShift | 支持 | 支持 |
| Cluster Logging Operator | 支持 | 支持 |
| Cluster Resource Override Operator | 支持 | 支持 |
| Compliance Operator | 支持 | 支持 |
| Cost Management Metrics Operator | 支持 | 支持 |
| File Integrity Operator | 支持 | 支持 |
| HyperShift Operator | 支持 | 支持 |
| IBM Power® Virtual Server Block CSI Driver Operator | 支持 | 不支持 |
| Ingress Node Firewall Operator | 支持 | 支持 |
| Local Storage Operator | 支持 | 支持 |
| MetalLB Operator | 支持 | 支持 |
| Network Observability Operator | 支持 | 支持 |
| NFD Operator | 支持 | 支持 |
| NMState Operator | 支持 | 支持 |
| OpenShift Elasticsearch Operator | 支持 | 支持 |
| Vertical Pod Autoscaler Operator | 支持 | 支持 |
| 功能 | IBM Power® | IBM Z® 和 IBM® LinuxONE |
|---|---|---|
| 使用 iSCSI 的持久性存储 | 支持 [1] | 支持 [1],[2] |
| 使用本地卷 (LSO) 的持久性存储 | 支持 [1] | 支持 [1],[2] |
| 使用 hostPath 的持久性存储 | 支持 [1] | 支持 [1],[2] |
| 使用 Fibre Channel 持久性存储 | 支持 [1] | 支持 [1],[2] |
| 使用 Raw Block 的持久性存储 | 支持 [1] | 支持 [1],[2] |
| 使用 EDEV/FBA 的持久性存储 | 支持 [1] | 支持 [1],[2] |
- 必须使用 Red Hat OpenShift Data Foundation 或其他支持的存储协议来置备持久性共享存储。
- 必须使用本地存储(如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO)来置备持久性非共享存储。
1.3.10. Insights Operator
1.3.10.1. 支持在集群中获取 virt-launcher 日志
在这个版本中,virt-launcher pod 的命令行日志可以在 Kubernetes 集群中收集。JSON 编码的日志保存在路径 namespaces/<namespace-name>/pods/<pod-name>/virt-launcher.json 中,这有助于对虚拟机进行故障排除和调试。
1.3.11. 安装和更新
1.3.11.1. 更改 CVO 日志级别(技术预览)
在这个版本中,集群管理员可更改 Cluster Version Operator (CVO)日志级别详细程度。
如需更多信息,请参阅 更改 CVO 日志级别。
1.3.11.2. 在具有多个网络接口控制器的 VMware vSphere 上安装集群(正式发布)
OpenShift Container Platform 4.18 可让您为节点安装具有多个网络接口控制器(NIC)的 VMware vSphere 集群作为技术预览功能。此功能现已正式发布。
如需更多信息,请参阅 配置多个 NIC。
对于现有 vSphere 集群,您可以使用 计算机器集 添加多个子网。
在这个版本中,您可以在 Google Cloud 上安装集群到共享 VPC 时指定 DNS 私有区的位置。private 区域可以位于与主机项目或主要服务项目不同的服务项目中。
如需更多信息,请参阅 其他 Google Cloud 配置参数。
1.3.11.4. 使用虚拟网络加密在 Microsoft Azure 上安装集群
在这个版本中,您可以使用加密虚拟网络在 Azure 上安装集群。您需要使用将 PremiumIO 参数设置为 true 的 Azure 虚拟机。如需更多信息,请参阅 Microsoft 文档中有关 使用 加密和要求和限制 创建虚拟网络 的内容。
1.3.11.5. 安装使用 IBM Cloud Paks 的集群时的防火墙要求
在这个版本中,如果使用 IBM Cloud Paks 安装集群,您必须在端口 443 上允许出站访问 icr.io 和 cp.icr.io。IBM Cloud Pak 容器镜像需要这个访问权限。如需更多信息,请参阅 配置防火墙。
1.3.11.6. 使用 Intel TDX 机密虚拟机在 Microsoft Azure 上安装集群
在这个版本中,您可以使用基于 Intel 的机密虚拟机在 Azure 上安装集群。现在支持以下机器类型:
- DCesv5-series
- DCedsv5-series
- ECesv5-series
- ECedsv5-series
如需更多信息,请参阅 启用机密虚拟机。
1.3.11.7. Microsoft Azure 上 etcd 的专用磁盘(技术预览)
在这个版本中,您可以使用 etcd 的专用数据磁盘在 Azure 上安装 OpenShift Container Platform 集群。此配置会将单独的受管磁盘附加到每个 control plane 节点,并只将其用于 etcd 数据,这可以提高集群性能和稳定性。此功能作为技术预览提供。如需更多信息,请参阅为 etcd 配置专用磁盘。
1.3.11.8. 对裸机的多架构支持
在这个版本中,您可以安装支持多架构功能的裸机环境。您可以使用虚拟介质从现有 x86_64 集群置备 x86_64 和 aarch64 架构,这意味着您可以更有效地管理各种硬件环境。
如需更多信息,请参阅使用多架构计算机器配置集群。
1.3.11.9. 支持为裸机更新 NIC 的主机固件组件
在这个版本中,裸机的 HostFirmwareComponents 资源描述了网络接口控制器(NIC)。要更新 NIC 主机固件组件,服务器必须支持 Redfish,且必须允许使用 Redfish 更新 NIC 固件。
如需更多信息,请参阅关于 HostFirmwareComponents 资源。
在 OpenShift Container Platform 4.17 中,之前删除的 Kubernetes API 会意外地重新引入。OpenShift Container Platform 4.20 中再次删除了它。
在集群从 OpenShift Container Platform 4.19 更新至 4.20 之前,集群管理员必须手动提供确认。这种保护有助于防止工作负载、工具或其他组件仍依赖于 OpenShift Container Platform 4.20 中删除的 Kubernetes API 时可能出现的更新问题。
在继续集群更新前,管理员必须执行以下操作:
- 评估集群以使用要删除的 API。
- 迁移受影响的清单、工作负载和 API 客户端以使用受支持的 API 版本。
- 向管理员提供所有必需的更新确认。
所有 OpenShift Container Platform 4.19 集群都需要此管理员确认,然后才能将其更新至 OpenShift Container Platform 4.20。
如需更多信息,请参阅 Kubernetes API 删除。
1.3.12. Machine Config Operator
1.3.12.1. 现在支持 vSphere 更新了引导镜像(技术预览)
现在,更新的引导镜像作为 VMware vSphere 集群的技术预览功能被支持。此功能允许您配置集群,以便在更新集群时更新节点引导镜像。默认情况下,集群中的引导镜像不会随集群一起更新。如需更多信息,请参阅 更新引导镜像。
1.3.12.2. On-cluster 镜像模式重启改进
以下机器配置更改不再会导致带有集群自定义分层镜像的节点重新引导:
-
修改
/var或/etc目录中的配置文件 - 添加或修改 systemd 服务
- 更改 SSH 密钥
-
从
ICSP、ITMS和IDMS对象中删除镜像规则 -
通过更新
openshift-config命名空间中的user-ca-bundleconfigmap 来更改可信 CA
如需更多信息,请参阅集群镜像模式已知限制。
1.3.12.3. On-cluster 镜像模式状态报告改进
当为 OpenShift 配置镜像模式时,会改进错误报告,包括以下更改:
-
在构建并推送自定义分层镜像后,错误可能会导致构建过程失败。如果发生这种情况,MCO 现在会报告错误,
machineosbuild对象和构建程序 pod 会报告失败。 -
oc describe mcp输出有一个新的ImageBuildDegradedstatus 字段,在自定义分层镜像构建失败时报告。
1.3.12.4. 现在,在集群镜像模式节点上支持设置内核类型参数
现在,您可以使用带有集群自定义分层镜像的 MachineConfig 对象中的 kernelType 参数,以便在节点上安装实时内核。在以前的版本中,在具有集群自定义分层镜像的节点上,会忽略 kernelType 参数。如需更多信息 ,请参阅 向节点添加实时内核。
1.3.12.5. 将镜像固定到节点
在带有缓慢且不可靠的到镜像 registry 的集群中,您可以在需要前使用 PinnedImageSet 对象来拉取镜像,然后将这些镜像与机器配置池关联。这样可确保镜像在需要时可供该池中的节点使用。Machine Config Operator 的 must-gather 包括集群中的所有 PinnedImageSet 对象。如需更多信息,请参阅将镜像 固定到节点。
1.3.12.6. 改进了 MCO 状态报告现已正式发布
机器配置节点自定义资源(可用于监控机器配置更新的进度)现已正式发布。
现在,除了 control plane 和 worker 池外,您还可以查看自定义机器配置池的更新状态。功能的功能没有改变。但是,命令输出和 MachineConfigNode 对象中的 status 字段中的一些信息已更新。Machine Config Operator 的 must-gather 现在包含集群中的所有 MachineConfigNodes 对象。如需更多信息,请参阅关于检查机器配置节点状态。
1.3.12.7. 启用直接
此发行版本包括一个新的安全性上下文约束(SCC),名为 hostmount-anyuid-v2。此 SCC 提供与 hostmount-anyuid SCC 相同的功能,但包含 seLinuxContext: RunAsAny。这个 SCC 被添加,因为 hostmount-anyuid SCC 旨在允许可信 pod 访问主机上的任何路径,但 SELinux 会阻止容器访问大多数路径。hostmount-anyuid-v2 允许以任何 UID 的身份访问主机文件系统,包括 UID 0,并旨在使用特权 SCC 而不是 privileged SCC。请谨慎授予。
1.3.13. 机器管理
1.3.13.1. 其他 AWS 容量保留配置选项
在使用 Cluster API 管理机器的集群上,您可以指定额外的限制来确定计算机器是否使用 AWS 容量保留。如需更多信息,请参阅 容量保留配置选项。
1.3.13.2. 集群自动扩展扩展延迟
现在,您可以在集群自动扩展识别新待处理的 pod 前配置延迟,并使用 ClusterAutoscaler CR 中的 spec.scaleUp.newPodScaleUpDelay 参数将 pod 调度到新节点。如果节点在延迟后保持不变,集群自动扩展可以扩展新节点。此延迟可让集群自动扩展额外时间来定位适当的节点,或者可以等待现有 pod 上的空间可用。如需更多信息 ,请参阅配置集群自动扩展。
1.3.14. 监控
此发行版本中的集群监控堆栈包括以下新功能和修改后的功能:
1.3.14.1. 监控堆栈组件和依赖项更新
此发行版本包括对集群监控堆栈组件和依赖项的以下版本更新:
- Prometheus 到 3.5.0
- Prometheus Operator 0.85.0
- 指标服务器为 0.8.0
- Thanos 更新到 0.39.2
- kube-state-metrics 代理到 2.16.0
- prom-label-proxy 到 0.12.0
1.3.14.2. 对警报规则的更改
红帽不保证记录规则或警报规则的向后兼容性。
-
AlertmanagerClusterFailedToSendAlerts警报的表达式已更改。该警报现在会在较长时间内评估速率,从5m到15m。
1.3.14.3. 支持 Metrics 服务器的日志详细程度配置
在这个版本中,您可以为 Metrics Server 配置日志详细程度。您可以设置数字详细程度来控制日志信息的数量,其中较高的数字会增加日志记录详情。
如需更多信息,请参阅为监控组件设置日志级别。
1.3.15. 网络
1.3.15.1. 支持 Gateway API Inference Extension
OpenShift Container Platform 4.20 将 Red Hat OpenShift Service Mesh 更新至 3.1.0 版本,现在支持 Red Hat OpenShift AI。这个版本包括了重要的 CVE 修复,解决了其他错误,并将 Istio 升级到 1.26.2 以提高安全性和性能。如需更多信息,请参阅 Service Mesh 3.1.0 发行注记。
1.3.15.2. 支持 BGP 路由协议
Cluster Network Operator (CNO)现在支持启用边框网关协议(BGP)路由。使用 BGP,您可以将路由导入到底层供应商网络,并使用多语言、链接冗余和快速聚合。BGP 配置通过 FRRConfiguration 自定义资源(CR)进行管理。
当从安装 MetalLB Operator 的早期版本的 OpenShift Container Platform 升级时,您必须手动将自定义 frr-k8s 配置从 metallb-system 命名空间迁移到 openshift-frr-k8s 命名空间。要移动这些 CR,请输入以下命令:
运行以下命令来创建
openshift-frr-k8s命名空间:oc create namespace openshift-frr-k8s
$ oc create namespace openshift-frr-k8sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要自动化迁移,请使用以下内容创建一个
migrate.sh文件:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要运行迁移脚本,请输入以下命令:
bash migrate.sh
$ bash migrate.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要验证迁移是否成功,请输入以下命令:
oc get frrconfigurations.frrk8s.metallb.io -n openshift-frr-k8s
$ oc get frrconfigurations.frrk8s.metallb.io -n openshift-frr-k8sCopy to Clipboard Copied! Toggle word wrap Toggle overflow
迁移完成后,您可以从 metallb-system 命名空间中删除 FRR-K8s 自定义资源。
如需更多信息,请参阅关于 BGP 路由。
1.3.15.3. 支持使用边框网关协议(BGP)的集群用户定义的网络(CUDN)的路由公告
启用路由公告后,OVN-Kubernetes 网络插件支持将与集群用户定义的网络(CUDN)关联的 pod 和服务的路由直接公告到提供商网络。这个功能启用了以下一些优点:
- 了解动态路由到 pod 的路由
- 动态公告路由
- 除了基于 gratuitous ARP 的第 2 层外,还启用 EgressIP 故障切换的第 3 层通知。
- 支持外部路由反映器,这可减少大型网络中所需的 BGP 连接数
如需更多信息,请参阅关于路由公告。
1.3.15.4. 支持将配置的 br-ex 网桥迁移到 NMState
如果您使用 configure-ovs.sh shell 脚本在集群安装过程中设置 br-ex 网桥,您可以将 br-ex 网桥迁移到 NMState 作为安装后任务。如需更多信息,请参阅 将配置的 br-ex 网桥迁移到 NMState。
1.3.15.5. 配置增强的 PTP 日志记录
现在,您可以为 PTP Operator 配置增强的日志缩减,以减少 linuxptp-daemon 生成的日志卷。
此功能提供过滤日志的定期摘要,这些日志在基本日志时不可用。另外,您可以为概述日志设置特定的间隔,以及 master 偏移日志的纳秒阈值。
如需更多信息,请参阅配置增强的 PTP 日志记录。
1.3.15.6. 在 AArch64 节点上带有添加冗余的 PTP 普通时钟(技术预览)
在这个版本中,您可以在仅使用以下双端口 NIC 的 AArch64 架构节点上为 PTP 普通时钟配置冗余:
- NVIDIA ConnectX-7 系列
- NVIDIA BlueField-3 系列,在 NIC 模式中
此功能作为技术预览提供。如需更多信息,请参阅使用双端口 NIC 来提高 PTP 普通时钟的冗余。
1.3.15.7. 使用绑定 CNI 插件进行负载平衡配置(技术预览)
在本发行版本中,您可以使用 xmitHashPolicy 作为绑定 CNI 插件配置的一部分,为聚合接口指定传输哈希策略。此功能作为技术预览提供。
1.3.15.8. 应用程序命名空间中的 SR-IOV 网络管理
在 OpenShift Container Platform 4.20 中,您可以在应用程序命名空间中直接创建和管理 SR-IOV 网络。这个新功能提供对网络配置的更大控制,有助于简化您的工作流。
在以前的版本中,创建 SR-IOV 网络需要集群管理员为您配置它。现在,您可以直接在自己的命名空间中管理这些资源,它提供几个关键优点:
-
增加自动和控制 :您现在可以创建自己的
SriovNetwork对象,不再需要集群管理员进行网络配置任务。 - 增强安全性:管理您自己的命名空间中的资源通过提供更好的应用程序分离来提高安全性,并有助于防止意外配置。
- 简化权限 :现在,您可以使用命名空间的 SR-IOV 网络简化权限并减少操作开销。
如需更多信息,请参阅配置命名空间的 SR-IOV 资源。
1.3.15.9. Unnumbered BGP peering
在这个版本中,OpenShift Container Platform 包含未编号的 BGP 对等。这以前作为技术预览提供。您可以使用 BGP peer 自定义资源的 spec.interface 字段来配置未编号的 BGP 对等。
如需更多信息,请参阅配置 MetalLB 和 FRR-K8s 的集成 。
1.3.15.10. SR-IOV 网络上 pod 级别绑定的高可用性(技术预览)
此技术预览功能引入了 PF Status Relay Operator。Operator 使用链路聚合控制协议(LACP)作为健康检查来检测上游交换机失败,为使用带有 SR-IOV 网络虚拟功能(VF)的 pod 级别绑定的工作负载启用高可用性。
如果没有此功能,上游切换可能会失败,而底层物理功能(PF)仍然报告状态。附加到 PF 的 VF 也保持启动,从而导致 pod 将流量发送到死端点,并导致数据包丢失。
PF Status Relay Operator 通过监控 PF 的 LACP 状态来防止这种情况。当检测到失败时,Operator 会强制关闭附加的 VF 链接状态,触发 pod 的绑定切换到备份路径。这样可确保工作负载保持可用,并最小化数据包丢失。
如需更多信息,请参阅 SR-IOV 网络中 pod 级别绑定的高可用性。
1.3.15.11. 额外命名空间的网络策略
在这个版本中,OpenShift Container Platform 将 Kubernetes 网络策略部署到额外的系统命名空间中,以控制入口和出口流量。预计将来的版本可能会包含适用于其他系统命名空间和 Red Hat Operator 的网络策略。
1.3.16. 节点
1.3.16.1. sigstore 支持现已正式发布
现在,提供了对 sigstore ClusterImagePolicy 和 ImagePolicy 对象的支持。API 版本现在是 config.openshift.io/v1。如需更多信息,请参阅使用 sigstore 管理安全签名。
默认 openshift 集群镜像策略是技术预览,且仅在启用了技术预览功能的集群中处于活跃状态。
1.3.17. 对 sigstore 的支持自有 PKI (BYOPKI)镜像验证
现在,您可以使用 sigstore Cluster 和 ImagePolicy 对象生成 BYOPKI 配置到 ImagePolicy policy.json 文件,可让您使用 BYOPKI 验证镜像签名。如需更多信息,请参阅关于集群和镜像策略参数。
1.3.17.1. Linux 用户命名空间支持现已正式发布
现在,默认启用将 pod 和容器部署到 Linux 用户命名空间中。在单个用户命名空间中运行 pod 和容器可以缓解受到破坏的容器可能会给其他 pod 和节点本身造成的一些漏洞。此更改还包括两个新的安全性上下文约束: restricted-v3 和 nested-container,它们专门设计为用于用户命名空间。您还可以在 pod 中将 /proc 文件系统配置为未 屏蔽 的。如需更多信息,请参阅在 Linux 用户命名空间中运行 pod。
1.3.17.2. 在不中断 pod 的情况下调整 pod 资源级别
通过使用原位 pod 大小调整功能,您可以应用调整大小的策略来更改正在运行的 pod 中的容器的 CPU 和内存资源,而无需重新创建或重启 pod。如需更多信息,请参阅 手动调整 pod 资源级别。
1.3.17.3. 将 OCI 镜像挂载到 pod 中
您可以使用镜像卷挂载兼容开放容器项目(OCI)的容器镜像或将工件直接挂载到 pod。如需更多信息,请参阅 将 OCI 镜像挂载到 pod 中。
1.3.17.4. 将特定的 GPU 分配给 pod (技术预览)
现在,您可以启用 pod 根据特定设备属性请求 GPU,如产品名称、GPU 内存容量、计算功能、厂商名称和驱动程序版本。这些属性由您安装的第三方 DRA 资源驱动程序公开。如需更多信息,请参阅将 GPU 分配给 pod。
1.3.18. OpenShift CLI (oc)
1.3.18.1. oc adm upgrade recommend 命令简介(正式发布)
oc adm upgrade recommend 命令以前是技术预览,现在,oc adm upgrade recommend 命令允许系统管理员使用命令行界面(CLI)在其 OpenShift Container Platform 集群上执行预更新检查。预更新检查有助于识别潜在的问题,使用户在启动更新前解决它们。通过运行 precheck 命令并检查输出,用户可以准备更新集群,并决定何时启动更新。
如需更多信息,请参阅使用 CLI 更新集群。
1.3.18.2. oc adm upgrade status 命令简介(正式发布)
oc adm upgrade status 命令以前称为技术预览,现在,oc adm upgrade status 命令允许使用命令行界面(CLI)获取有关 OpenShift Container Platform 集群更新状态的高级概述信息。输入命令时会提供三种信息:control plane 信息、worker 节点信息和健康见解。
目前,在 Hosted Control Plane (HCP)集群中不支持该命令。
如需更多信息,请参阅使用 CLI 更新集群。
1.3.18.3. oc-mirror v2 在部署模板的环境变量中镜像容器镜像
操作对象镜像在运行时由 Operator 控制器动态部署,通常由控制器部署模板中的环境变量引用。
在 OpenShift Container Platform 4.20 之前,当 oc-mirror 插件 v2 可以访问这些环境变量时,它会尝试镜像所有值,包括非镜像引用,如日志级别,从而导致失败。在这个版本中,OpenShift Container Platform 只标识并镜像这些环境变量中引用的容器镜像。
如需更多信息,请参阅 oc-mirror 插件 v2 的 ImageSet 配置参数。
1.3.19. Operator 开发
1.3.19.1. 支持的 Operator 基础镜像
在这个版本中,Operator 项目的以下基础镜像已更新,以便与 OpenShift Container Platform 4.20 兼容。这些基础镜像的运行时功能和配置 API 仍然会有程序错误修复和并提供对相关 CVE 的解决方案。
- 基于 Ansible 的 Operator 项目的基础镜像
- 基于 Helm 的 Operator 项目的基础镜像
如需更多信息,请参阅为 OpenShift Container Platform 4.19 及之后的版本(红帽知识库)为现有基于 Ansible 或 Helm 的 Operator 项目更新基础镜像。
1.3.20. Operator 生命周期
1.3.20.1. Red Hat Operator 目录从 OperatorHub 移到控制台中的软件目录
在这个版本中,红帽提供的 Operator 目录已从 OperatorHub 移到软件目录中,Operator 导航项被重命名为控制台中的 生态系统。统一软件目录在同一控制台视图中显示 Operator、Helm chart 和其他可安装的内容。
-
要在控制台中访问红帽提供的 Operator 目录,请选择 Ecosystem
Software Catalog。 -
要管理、更新和删除已安装的 Operator,请选择 Ecosystem
Installed Operators。
目前,控制台只支持使用 Operator Lifecycle Manager (OLM)经典管理 Operator。如果要使用 OLM v1 来安装和管理集群扩展,如 Operator,则必须使用 CLI。
要管理默认或自定义目录源,您仍会在控制台或 CLI 中与 OperatorHub 自定义资源(CR)进行交互。
1.3.21. 安装后配置
1.3.21.1. 在现有集群中启用 Amazon Web Services 安全令牌服务(STS)
在这个版本中,您可以将 AWS OpenShift Container Platform 集群配置为使用 STS,即使您在安装过程中没有这样做。
如需更多信息,请参阅在 现有集群上启用 AWS 安全令牌服务(STS)。
1.3.22. Red Hat Enterprise Linux CoreOS (RHCOS)
1.3.22.1. 使用 kdump 调查内核崩溃(通用可用性)
在这个版本中,kdump 对所有支持的构架正式发布,包括 x86_64,arm64,s390x, 和 ppc64le。这个增强可让用户更有效地诊断和解决内核问题。
1.3.22.2. Ignition 更新至版本 2.20.0
RHCOS 引入了 Ignition 版本 2.20.0。此功能增强支持使用 partx 工具对挂载分区的磁盘进行分区,该工具现在包含在 dracut 模块安装中。另外,这个更新添加了对 Proxmox 虚拟环境的支持。
1.3.22.3. Butane 更新至 0.23.0 版本
RHCOS 现在包括 Butane 版本 0.23.0。
1.3.22.4. 在刻录更新到 5.7.0
RHCOS 现在包括 Afterburn 版本 5.7.0。在这个版本中,增加了对 Proxmox 虚拟环境的支持。
1.3.22.5. coreos-installer 更新至 0.23.0 版本
在这个版本中,coreos-installer 工具更新至 0.23.0 版本。
1.3.23. 可伸缩性和性能
1.3.23.1. 配置 NUMA 感知调度程序副本和高可用性(技术预览)
在 OpenShift Container Platform 4.20 中,NUMA Resources Operator 默认自动启用高可用性(HA)模式。在这个模式中,NUMA Resources Operator 为集群中的每个 control-plane 节点创建一个调度程序副本,以确保冗余。如果没有在 NUMAResourcesScheduler 自定义资源中指定 spec.replicas 字段,则会发生此默认行为。或者,您可以通过将 spec.replicas 字段设置为 0 来明确设置特定数量的调度程序副本来覆盖默认的 HA 行为,或者完全禁用调度程序。最多副本数为 3,即使 control plane 节点的数量超过 3。
如需更多信息,请参阅为 NUMA 感知调度程序管理高可用性(HA)。
在这个版本中,NUMA Resources Operator 可以管理配置为可以调度的 control plane 节点。此功能允许您在 control plane 节点上部署拓扑感知工作负载,这在受限的资源环境中(如紧凑集群)特别有用。
此功能增强帮助 NUMA Resources Operator 使用最合适的 NUMA 拓扑在节点上调度 NUMA 感知 pod,即使在 control plane 节点上也是如此。
如需更多信息,请参阅 NUMA Resources Operator 支持可调度 control-plane 节点。
1.3.23.3. 默认禁用接收数据包稳定性(RPS)
在这个版本中,应用性能配置集时不再配置 Receive Packet Steering (RPS)。RPS 配置会影响执行网络系统调用的容器,如发送,直接在对延迟敏感的线程内。为了避免在没有配置 RPS 时造成延迟影响,请将网络调用移到帮助程序线程或进程。
以前的 RPS 配置解决了延迟问题,但会牺牲整个 pod 内核网络性能。当前的默认配置通过要求开发人员解决底层应用程序设计而不是模糊性能影响来提高透明度。
要恢复到之前的行为,请将 performance.openshift.io/enable-rps 注解添加到 PerformanceProfile 清单中:
此操作会以全局成本恢复之前的功能,同时降低了所有 pod 的网络性能。
1.3.23.4. 使用 Intel Sierra 用于 CPU 的 worker 节点性能调优
在这个版本中,您可以使用 PerformanceProfile 自定义资源在具有 Intel Sierra Forest CPU 的机器上配置 worker 节点。当使用单个 NUMA 域(NPS=1)配置时,支持这些 CPU。
1.3.23.5. 使用 AMD Turin CPU 的 worker 节点性能调优
在这个版本中,您可以使用 PerformanceProfile 自定义资源在装有 AMD Turin CPU 的机器上配置 worker 节点。使用单个 NUMA 域 (NPS=1) 配置时,这些 CPU 被完全支持。
1.3.23.6. 为 Kubernetes API Hitless TLS 证书轮转
此新功能增强了 OpenShift Container Platform 中的 TLS 证书轮转,确保 95% 的预期集群的可用性。这对于高事务型集群和单节点 OpenShift 部署特别有用,确保即使负载过重,也能确保无缝操作。
1.3.24. 安全性
1.3.25. Storage
Secrets Store CSI Driver Operator 版本 4.20 现在基于上游 v1.5.2 版本。Secrets Store CSI Driver Operator 现在在安装过程中应用 Kubernetes NetworkPolicy 对象,将网络通信限制为只所需的组件。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}