Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

1.9. 异步勘误更新

OpenShift Container Platform 4.20 的安全更新、程序错误修正、功能增强更新将会通过红帽网络以异步勘误的形式发布。所有的 OpenShift Container Platform 4.20 勘误都可以通过红帽客户门户网站获得OpenShift Container Platform 生命周期包括了详细的与异步勘误相关的内容。

红帽客户门户网站的用户可以在红帽订阅管理(RHSM)帐户设置中启用勘误通知功能。当勘误通知被启用后,每当用户注册的系统相关勘误被发布时,用户会收到电子邮件通知。

注意

用户的红帽客户门户网站账户需要有注册的系统,以及使用 OpenShift Container Platform 的权限才可以接收到 OpenShift Container Platform 的勘误通知。

本节的内容将会持续更新,以提供以后发行的与 OpenShift Container Platform 4.20 相关的异步勘误信息。异步子版本(例如,OpenShift Container Platform 4.20.z)的具体信息会包括在相应的子章节中。此外,在发行公告中因为空间限制没有包括在其中的勘误内容也会包括在这里的相应的子章节中。

重要

对于任何 OpenShift Container Platform 发行版本,请仔细参阅有关 更新集群 的说明。

发布日期:2025 年 11 月 25 日

OpenShift Container Platform 版本 4.20.5 现已正式发布。其程序错误修正列表包括在 RHBA-2025:21811 公告中。此更新中包括的 RPM 软件包由 RHBA-2025:21809 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.20.5 --pullspecs
Copy to Clipboard Toggle word wrap

1.9.2. 功能增强
复制链接

此 z-stream 发行版本中包括对外部 OpenID Connect (OIDC)身份提供程序进行直接身份验证的以下改进:

带有外部 OIDC 身份提供程序的直接身份验证正式发行(GA)
现在,外部 OIDC 身份提供程序使用直接身份验证是正式发布(GA)。此身份验证方法绕过内置的 OAuth 服务器,并直接使用外部身份提供程序。
支持其他身份提供程序

以下 OIDC 身份提供程序现在支持直接身份验证:

  • Active Directory Federation Services for Windows Server
  • GitLab
  • Google
  • Okta
  • Ping 身份
  • 红帽单点登录
取消激活 OAuth 服务

现在,当您配置直接身份验证时,以下内部 OAuth 资源会被禁用:

  • OpenShift OAuth 服务器和 OpenShift OAuth API 服务器
  • 用户和组 API (*.user.openshift.io)
  • OAuth API (*.oauth.openshift.io)
  • OAuth 服务器和客户端配置
重要

在配置直接身份验证前,请确保您没有依赖于这些删除的资源。

支持其他声明映射
现在,在配置外部 OIDC 供应商进行直接身份验证时,您可以使用 uidextra 声明映射字段。

如需更多信息,请参阅使用外部 OIDC 身份提供程序启用直接身份验证

1.9.3. 已知问题
复制链接

此发行版本包含以下已知问题:

  • 当使用 GitLab 或 Google 作为外部 OIDC 身份提供程序进行直接身份验证时,点 OpenShift Container Platform Web 控制台中的 Log out 不会从控制台注销。(OCPBUGS-61649)
  • 当使用 Active Directory Federation Services for Windows Server 作为外部 OIDC 身份提供程序进行直接身份验证时,登录到 OpenShift Container Platform Web 控制台会产生身份验证错误。作为临时解决方案,重新加载 Web 控制台直到正确显示为止。(OCPBUGS-62142)
  • 如果您使用外部 OIDC 供应商配置直接身份验证,且没有在 OIDC 供应商配置中为 issuerCertificateAuthority 提供值,Machine Config Operator 会降级。这可能导致 Console Operator 降级,一些 control plane 节点可能无法可用。作为临时解决方案,为签发者设置 issuerCertificateAuthority 值。(OCPBUGS-62011)

1.9.4. 程序错误修复
复制链接

这个版本解决了以下程序错误:

  • 在此次更新之前,当这些 pod 所在的其中一个节点未就绪或不可用时,openshift-authentication 命名空间中的 oauth pod 可能会卡住。这会导致身份验证完全停止,直到已阻断的 rollout 结束为止。在这个版本中,即使不健康的节点停机或不可用时,pod 也可以继续滚动更新 (OCPBUGS-61896)
  • 在此次更新之前,项目概述中的警报不可见,因为应用程序正在查询不正确的 API。在这个版本中,应用程序会查询正确的 API 并显示项目警报。(OCPBUGS-63125)
  • 在此次更新之前,OpenShift Container Platform 上的聚合 API 服务器置备了 in-memory 回送证书,它们只在 1 年有效期。在这个版本中,OpenShift Container Platform 上的聚合 API 服务器置备了 in-memory 回送证书,它们在 3 年内有效。(OCPBUGS-63532)
  • 在此次更新之前,当直接导航到由 Web 控制台动态插件创建的页时,Web 控制台可能会重定向到不同的 URL。在这个版本中,URL 重定向已被删除。(OCPBUGS-63616)
  • 在此版本之前,对 netpol 资源的任何不相关的更改都会触发对象的完整协调,包括删除和重新添加规则。在这个版本中,如果需要,netpol 对象会完全协调。否则,会跳过它。(OCPBUGS-64590)
  • 在此次更新之前,Horizontal Pod Autoscaler (HPA) 表单会错误地强制 CPU 和内存值强制用户使用 YAML 进行单统计 HPA (如仅内存)或依赖默认的 CPU 设置。在这个版本中,表单已被更新,并将字段留空,现在可以正确省略该指标,允许用户从 web 表单创建仅 CPU、仅内存或默认的 80% CPU HPA。(OCPBUGS-64639)
  • 在此次更新之前,使用 --node-name 参数用于 pod 的节点关联性时可以将一个 must-gather pod 调度到一个特定的 worker 节点,这只可以被 control plane 节点接受。在这个版本中,must-gather 逻辑会被更新,它在设置了 --node-name 参数时不再设置节点关联性。(OCPBUGS-65523)

1.9.5. 更新
复制链接

要将 OpenShift Container Platform 4.20 集群更新至此最新版本,请参阅使用 CLI 更新集群

发布日期:2025 年 11 月 18 日

OpenShift Container Platform 版本 4.20.4 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHBA-2025:21228 公告中。此更新中包括的 RPM 软件包由 RHBA-2025:21223 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.20.4 --pullspecs
Copy to Clipboard Toggle word wrap

1.9.6.1. 程序错误修复
复制链接

  • 在此次更新之前,Web 控制台中的 pod 横向自动扩展(HPA)表单错误地需要您为 CPU 和内存使用率提供值,即使 API 允许使用单一指标或没有指标(使用 API 默认)创建 HPA。因此,您无法使用表单来创建单指标 HPA,如仅限内存,或依赖 API 默认 (80% CPU) 的 HPA。此问题要求您对这些常见配置使用 YAML 视图。在这个版本中,HPA 表单逻辑被更新为与 API 一致,以便用户界面不再需要这两个字段才能完成。因此,空 utilization 字段可以正确地省略 HPA 清单中的 HPA 指标,它允许 API 应用其默认行为或创建单指标 HPA。您可以使用 HPA 表单来创建单指标 HPA,例如,仅限 CPU 或仅限内存。如果这两个使用字段都为空,则创建 HPA 并正确回退到 API 默认 80% CPU 使用率。(OCPBUGS-63339)
  • 在此次更新之前,在从 etcd 3.5.19 更新到 3.6 版本时,错误成员资格数据可能会传播到新成员。因此,集群更新失败,并显示在集群中有太多的 learner 成员错误。在这个版本中,etcd 被更新至 3.5.24,它解决了与成员资格相关的错误修复。(OCPBUGS-63474)
  • 在此次更新之前,如果没有找到私钥,ccoctl 工具会自动生成新的密钥对,即使用户有意只提供公钥(根据安全流程)。此行为会导致一个问题,因为新生成的密钥与集群的密钥不匹配,从而导致用户按照正确的流程进行会造成服务中断。在这个版本中,相关程序已被修改,确保在指定 -public-key-file 参数时永远不会生成新的密钥对,且此参数添加到所有 create-all 功能中以实现一致性。因此,指定公钥文件现在保证使用了提供的密钥,确保集群在不中断的情况下继续按预期工作。(OCPBUGS-63546)
  • 在此次更新之前,Kubernetes 二进制文件的二进制版本数据被错误地设置为 v0.0.0,这会导致漏洞扫描工具出现问题。在这个版本中,构建问题已被修复。因此,会显示最新的上游 kube 版本,如 v1.33.5。(OCPBUGS-63749)

1.9.6.2. 更新
复制链接

要将 OpenShift Container Platform 4.20 集群更新至此最新版本,请参阅使用 CLI 更新集群

发布日期:2025 年 11 月 11 日

OpenShift Container Platform 版本 4.20.3 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2025:19890 公告中。此更新中包括的 RPM 软件包由 RHBA-2025:19888 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.20.3 --pullspecs
Copy to Clipboard Toggle word wrap

1.9.7.1. 程序错误修复
复制链接

  • 在此次更新之前,因为缺少服务连接,通信列表项目无法为主节点上的开放端口 9193 和 9194 创建 EndPointSlice 对象。因此,会导致不准确的通信列表。在这个版本中,服务连接到打开端口 9193 和 9194,它解决了缺少的 EndPointSlice 对象。因此,在主节点上打开端口 9193 和 9194,为 OpenShift Container Platform 用户生成准确的通信列表。(OCPBUGS-63587)
  • 在此次更新之前,指标 denylist 会错误地格式化 kube_customresource 的正则表达式,省略 annotations 字段。因此,用户因为 denylist 配置不正确而缺少指标。在这个版本中,不必要的条目会从指标 denylist 中删除。因此,registry 指标包括缺少的注解,这提高了数据准确性。(OCPBUGS-64577)

1.9.7.2. 更新
复制链接

要将 OpenShift Container Platform 4.20 集群更新至此最新版本,请参阅使用 CLI 更新集群

发布日期: 2025 年 11 月 4 日

OpenShift Container Platform 版本 4.20.2 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2025:19296 公告中。此更新中包括的 RPM 软件包由 RHBA-2025:19294 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.20.2 --pullspecs
Copy to Clipboard Toggle word wrap

1.9.8.1. 功能增强
复制链接

  • 在这个版本中,adm upgrade recommend 命令检索并显示可用于集群更新的关键和非关键警报。集群管理员还可以在 --version 命令中使用一个新的 --accept 选项以接受特定的可接受的问题。如果检测到未接受的问题,命令会以非零值退出。(OCPBUGS-61757)

1.9.8.2. 程序错误修复
复制链接

  • 在此次更新之前,如果 NetworkManager 在由 NMState 管理的 br-ex 接口的节点上重启或崩溃,节点会丢失网络连接。在这个版本中,在分配程序脚本中添加了一个回退检查,以便在找不到标准 br-ex 网桥 ID 时检查 br-ex-br 网桥 ID 来检测 NMState 管理的 br-ex 接口。因此,当 NetworkManager 重启或崩溃时,具有此接口类型的节点不会丢失网络连接。(OCPBUGS-62167)
  • 在此次更新之前,配置映射内容中的 driver-config 参数会因为 Go randomized map iteration 顺序而波动。因此,即使实际数据没有改变,存储类和相关组件也出现在每个协调循环的不同序列中。在托管集群命名空间中频繁和不必要的配置映射更新会导致不稳定和潜在的性能问题。在这个版本中,为存储集群、每个组中的存储类、每个组中的卷快照类和 allowList 数组实施一致的字母排序来确保确定的输出。因此,driver-config 配置映射不会遇到内容流动,这消除了不必要的更新并提高了稳定性。(OCPBUGS-62806)
  • 在此次更新之前,在一个发行版本中缺少清单文件会导致 TechPreviewNoUpgrade 集群没有存在于集群中的 Cluster Version Operator (CVO) API 对象。因此,集群管理员无法在 TechPreviewNoUpgrade 集群中更改 CVO 的日志级别。在这个版本中,会添加缺少的清单文件。因此,CVO 日志级别可以在 TechPreviewNoUpgrade 集群中更改。(OCPBUGS-63001)
  • 在此次更新之前,当运行由 Node Tuning Operator (NTO) 拥有的 ocp-tuned-one-shot.service systemd 单元时,可能会为 kubelet 发生依赖项失败。因此,kubelet 不会启动。在这个版本中,运行 ocp-tuned-one-shot.service 单元不会导致依赖项失败。因此,kubelet 在运行单元时启动。(OCPBUGS-63334)
  • 在此次更新之前,Observe Metric 页使用集群范围的 metrics API,即使您没有集群范围的指标 API 权限。因此,查询输入会显示错误,查询输入的自动填充无法正常工作,而无需集群范围的指标 API 访问。在这个版本中,如果您没有集群范围的指标 API 权限,则会使用 namespace-tenancy metrics API 权限,因此不会发生错误,并自动填充用于所选命名空间中的指标。(OCPBUGS-63440)
  • 在此次更新之前,节点日志长度没有限制。因此,非常大的日志可能会阻止日志显示,或导致浏览器崩溃。在这个版本中,节点日志长度限制为 1,000 行。因此,日志会正确显示。(OCPBUGS-63470)
  • 在此次更新之前,Azure 机器供应商不会将 dataDisks 配置从 MachineSet 规格传递给 Azure Stack Hub 的虚拟机创建 API 请求。因此,在没有指定数据磁盘的情况下创建新机器,因为配置在虚拟机创建过程中静默忽略。在这个版本中,Azure Stack Hub 的虚拟机创建会被更新,使其包含 dataDisks 配置。额外的更新手动实现控制器中的 deletionPolicy: Delete 参数的行为,因为 Azure Stack Hub 不原生支持这个选项。因此,在 Azure Stack Hub 虚拟机上会正确置备数据磁盘。Delete 策略也可以正常工作,可确保在机器被删除时正确删除磁盘。(OCPBUGS-63535)
  • 在此次更新之前,internalUser 参数默认为 true。因此,如果您在创建或更新自定义资源(CR)时没有指定这个值,则外部用户的默认值为 true。在这个版本中,默认值改为 false。因此,如果外部用户尝试使用内部用户凭证访问 https://sftp.access.redhat.com,则参数值为 internalUser=false。(OCPBUGS-63579)

1.9.8.3. 更新
复制链接

要将 OpenShift Container Platform 4.20 集群更新至此最新版本,请参阅使用 CLI 更新集群

发布日期:2025 年 10 月 28 日

OpenShift Container Platform release 4.20.1 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2025:19003 公告中。此更新中包括的 RPM 软件包由 RHEA-2025:19001 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.20.1 --pullspecs
Copy to Clipboard Toggle word wrap

1.9.9.1. 已知问题
复制链接

  • 从 OpenShift Container Platform 4.20 开始,容器的默认最大打开文件软限制较低。因此,最终用户可能会遇到应用程序失败。要临时解决这个问题,请增加容器运行时(CRI-O) ulimit 配置。(OCPBUGS-62095)

1.9.9.2. 程序错误修复
复制链接

  • 在此次更新之前,i iDRAC10 硬件置备失败,因为 Dell Original Equipment Manufacturer (OEM) Target 属性的数据类型不正确,并使用不正确的虚拟介质插槽。因此,用户无法置备 Dell iDRAC10 服务器。在这个版本中,可以置备 Dell iDRAC10。(OCPBUGS-52427)
  • 在此版本之前,同一控制器的两个相同副本在 configmap 中更新相同的证书颁发机构(CA)捆绑包,从而导致它们接收不同的元数据输入,重写彼此的更改,并创建重复的事件。在这个版本中,控制器使用 optimistic update 和 server-side apply 来避免更新事件并处理更新冲突。因此,元数据更新不再触发重复的事件,并正确设置了预期的元数据。(OCPBUGS-55217)
  • 在此次更新之前,当在 IBM Power Virtual Server 上安装集群时,您只能为现有的 Transit Gateway 或虚拟私有云(VPC)指定名称。由于名称的唯一性无法保证,这可能导致冲突和安装失败。在这个版本中,您可以为 Transit Gateway 和 VPC 使用通用唯一标识符(UUID)。通过使用唯一标识符,安装程序可以明确地识别正确的 Transit Gateway 或 VPC。这可防止命名冲突,并解决了这个问题。(OCPBUGS-59678)
  • 在此次更新之前,Precision Time Protocol (PTP) Operator 的 Cloud 事件代理会错误地解析 BF3 网络接口卡(NIC)名称,从而导致接口别名被错误地格式化。因此,不正确的解析会导致最终用户错误地解释云事件。在这个版本中,Cloud 事件代理已被更新,以便在 PTP Operator 中正确解析 BF3 NIC 名称。在这个版本中,改进了对 BF3 NIC 名称的解析,确保 PTP Operator 的正确事件发布。(OCPBUGS-60466)
  • 在此次更新之前,带有 OVN-Kubernetes Localnet 网络(映射到 br-ex 网桥)中的二级接口的 pod 可以与使用默认网络连接的相同节点上的 pod 通信,只有在 Localnet IP 地址与主机网络位于同一个子网中时。在这个版本中,localnet IP 地址可以从任何子网中提取;在这种一般情况下,集群外的外部路由器应该将 localnet 子网连接到主机网络。(OCPBUGS-61453)
  • 在此次更新之前,Precision Time Protocol (PTP) Operator 会错误地解析网络接口控制器(NIC)名称。因此,接口别名被错误地格式化,这会影响在使用 Mellaonox 卡发送时钟状态事件时识别 PTP 硬件时钟(PHC)。在这个版本中,PTP 可以正确地解析 NIC 名称,以便生成的别名与 Mellanox 命名约定匹配。Mellanox 卡现在可以在发送时钟状态事件时准确识别 PHC。(OCPBUGS-61581)
  • 在此次更新之前,当只设置了 token-auth-azure 注解时,会缺少 cluster in workload identity mode 警告,这可能会导致错误配置。在这个版本中,在显示警告时添加了 token-auth-azure 注解的检查。因此,只使用 Azure Workload Identity 的集群现在会如预期在工作负载身份模式中显示 "cluster。(OCPBUGS-61861)
  • 在此次更新之前,Web 控制台中的 YAML 编辑器将默认为使用 4 个空格的缩进 YAML 文件。在这个版本中,默认的缩进已改为 2 个空格,使其与建议一致。(OCPBUGS-61990)
  • 在此次更新之前,使用用户提供的 ignition-server-serving-certignition-server-ca-cert secret' 以及 disable-pki-reconciliation 注解 部署托管 control plane,从而导致系统删除用户提供的 ignition secret 和 ignition-server pod 失败。在这个版本中,在删除 disable-pki-reconciliation 注解的 delete 操作后,ignition-server secret 会保留,确保 ignition-server pod 启动。(OCPBUGS-62006)
  • 在此次更新之前,如果节点上的 OVNKube-controller 无法处理更新并配置其本地 OVN 数据库,则 OVN-controller 可以连接到这个过时的数据库。这会导致 OVN-controller 使用过时的 EgressIP 配置,并为可能已移至不同节点的 IP 地址发送不正确的 Gratuitous ARP (GARP)。在这个版本中,当 OVNKube-controller 没有处理更新时,OVN-controller 会阻断发送这些 GARP。因此,确保 GARP 不会根据过时的数据库信息发送网络中断。(OCPBUGS-62273)
  • 在此次更新之前,当未处理的自定义资源定义(CRD)更改时,升级 ClusterExtension 可能会因为验证状态生成大型 JSON diff。这个 diff 通常会超过 Kubernetes 的32 KB 限制,从而导致状态更新失败,并使用户无法获得有关升级没有发生的原因的信息。在这个版本中,diff 输出会被截断并总结没有处理的情况,而不是包括完整的 JSON diff。这样可确保状态更新保持在大小限制范围内,允许它们成功发布,并为用户提供明确的、可操作的错误消息。(OCPBUGS-62722)
  • 在此次更新之前,gRPC 连接日志在高度详细的日志级别设置。这会生成大量消息,这会导致日志溢出。在这个版本中,gRPC 连接日志已移到 V (4)日志级别。因此,日志不再溢出,因为现在这些特定信息默认是不详细的方式。(OCPBUGS-62844)
  • 在此次更新之前,在没有显示其版本的情况下运行 oc-mirror 会导致调试时出现延迟,因为不知道带有所需修复的正确版本。因此,用户无法识别 oc-mirror 版本,从而会影响调试过程。在这个版本中,oc-mirror 会在输出中显示其版本,从而更快地调试并确保正确的修复应用程序。(OCPBUGS-62283)
  • 在此次更新之前,当 cluster-api-operator kubeconfig 控制器试图在令牌值被完全填充前使用重新生成身份验证令牌 secret 时会出现一个错误。这会导致用户每 30 分钟出现重复的、临时协调错误,这会使 Operator 处于短暂出现降级状态。在这个版本中,控制器会等待身份验证令牌在 secret 中填充,然后再继续,防止 Operator 进入降级状态并消除重复的错误。(OCPBUGS-62755)
  • 在此次更新之前,在 OpenShift Container Platform 4.19.9 中,Cluster Version Operator (CVO)开始在指标请求中需要 bearer 令牌身份验证。因此,这会破坏托管 control plane 集群上的指标提取器,因为它们没有提供客户端身份验证。在这个版本中,CVO 不再需要对托管 control plane 集群中的指标请求进行客户端身份验证。(OCPBUGS-62867)
  • 在此次更新之前,在故障切换过程中,如果在两个节点上都会短暂地存在,则系统的重复地址检测(DAD)可能会错误地禁用 Egress IPv6 地址,从而破坏了网络连接。在这个版本中,Egress IPv6 配置为跳过故障切换期间的 DAD 检查,保证 Egress IP 地址成功移到不同的节点后保持不间断的出口 IPv6 流量,并确保获得更大的网络稳定性。(OCPBUGS-62913)

1.9.9.3. 更新
复制链接

要将 OpenShift Container Platform 4.20 集群更新至此最新版本,请参阅使用 CLI 更新集群

发布日期:2025 年 10 月 21 日

OpenShift Container Platform release 4.20.0 现已正式发布,其中包括安全更新。其程序错误修正列表包括在 RHSA-2025:9562 公告中。此更新中包括的 RPM 软件包由 RHEA-2025:4782 公告提供。

因篇幅原因,没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像: 

$ oc adm release info 4.20.0 --pullspecs
Copy to Clipboard Toggle word wrap

1.9.10.1. 更新
复制链接

要将 OpenShift Container Platform 4.20 集群更新至此最新版本,请参阅使用 CLI 更新集群

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat