1.3. 新功能及功能增强

之前，使用 coreos-installer 程序安装的节点会在 /boot/ignition/config.ign 文件中保留安装 Ignition 配置。从 OpenShift Container Platform 4.9 安装镜像开始，在置备节点时会删除该文件。此更改不会影响在以前的 OpenShift Container Platform 版本上安装的集群，因为它们仍然使用较旧的 bootimage。

RHCOS 现在使用 OpenShift Container Platform 4.9 中的 Red Hat Enterprise Linux (RHEL) 8.4 软件包。这些软件包为您提供最新的修复、功能和增强，如 NetworkManager 功能，以及最新的硬件支持和驱动程序更新。

OpenShift Container Platform 4.9 引进了对使用用户置备的基础架构在 Azure Stack Hub 上安装集群的支持。

您可以使用红帽提供的 Azure Resource Manager (ARM) 示例模板来协助部署过程，或自行创建。您也可以自由选择通过其他方法创建所需的资源；ARM 模板仅作示例之用。

详情请参阅使用 ARM 模板在 Azure Stack Hub 上安装集群。

在升级过程中，集群中的节点可能会临时不可用。对于 worker 节点，机器健康检查可能会认为这样的节点不健康，并重新引导它们。为避免重新引导这样的节点，OpenShift Container Platform 4.9 引入了 cluster.x-k8s.io/paused="" 注解，允许您在更新集群前暂停 MachineHealthCheck 资源。

如需更多信息，请参阅暂停 MachineHealthCheck 资源。

Microsoft Azure 的 OpenShift Container Platform 安装程序现在在机器 CIDR 中创建尽量大的子网。这可让集群使用适当的大小来容纳集群中节点数量的机器 CIDR。

OpenShift Container Platform 4.9 引入了对中国 AWS 区域的支持。现在，您可以在 cn-north-1(Beijing) 和 cn-northwest-1 (Ningxia) 区域安装和更新 OpenShift Container Platform 集群。

如需更多信息，请参阅在 AWS 中国上安装集群。

在 OpenShift Container Platform 4.9 中，您可以使用 baremetal 网络上的 Virtual Media 扩展使用 provisioning 网络部署的安装程序置备的集群。当 ProvisioningNetwork 配置设置为 Managed 时，您可以使用此功能。要使用此功能，您必须在 provisioning 自定义资源 (CR) 中将 virtualMediaViaExternalNetwork 配置设置设置为 true。您还必须编辑机器集以使用 API VIP 地址。详情请参阅准备使用 baremetal 网络上的 Virtual Media 进行部署。

OpenShift Container Platform 4.9 使用 Kubernetes 1.22，它删除了大量已弃用的 v1beta1 API。

OpenShift Container Platform 4.8.14 引入了一项要求，即管理员必须先提供手动确认，然后才能从 OpenShift Container Platform 4.8 升级到 4.9。这有助于防止升级到 OpenShift Container Platform 4.9 后出现问题，其中已删除的 API 仍在由运行或与集群交互的工作负载、工具或其他组件使用。管理员必须针对将要删除的任何 API 评估其集群，并迁移受影响的组件，以使用适当的新 API 版本。完成此操作后，管理员可以向管理员提供确认。

所有 OpenShift Container Platform 4.8 集群都需要此管理员确认，然后才能升级到 OpenShift Container Platform 4.9。

如需更多信息，请参阅准备升级到 OpenShift Container Platform 4.9。

OpenShift Container Platform 4.9 引进了对在依赖 PCI 透传 的 Red Hat OpenStack Platform (RHOSP) 部署上安装的支持。

OpenShift Container Platform 4.9 支持 etcd 3.5。在升级集群前，请验证是否存在有效的 etcd 备份。etcd 备份可确保在发生升级失败时可以恢复集群。在 OpenShift Container Platform 4.9 中，etcd 升级是自动的。根据集群的转换状态到版本 4.9，etcd 备份可能会可用。但是，建议在集群升级开始前验证备份是否存在。

OpenShift Container Platform 4.9 引进了对使用安装程序置备的基础架构在 IBM Cloud® 上安装集群的支持。该流程与裸机上的安装程序置备的基础架构几乎相同，但有以下区别：

详情请参阅在 IBM Cloud 上部署安装程序置备的集群。

在 Fujitsu 硬件上部署安装程序置备的集群并使用 Fujitsu 集成 Remote Management Controller (iRMC) 时，OpenShift Container Platform 4.9 添加了对 worker 节点的 BIOS 配置支持。详情请参阅为 worker 节点配置 BIOS。

在这个版本中，管理员可以从 Node 页面访问节点日志。要查看节点日志，您可以通过单击 Logs 选项卡在单个日志文件和日志日志单元之间切换。

现在，您可以在集群仪表板上的 Cluster 使用率 卡中按节点类型过滤。创建时，其他节点类型将显示在列表中。

在这个版本中，添加了一个用户首选项页用于进行自定义设置，如默认项目、视角和拓扑视图。

在这个版本中，您可以从 web 控制台刊头的 Project 下拉菜单中隐藏 default projects默认项目。在搜索和过滤前，您仍然可以切换为显示 default projects。

在这个版本中，您可以在 web 控制台中添加用户首选项。用户可以选择自己的默认透视图、项目、拓扑和其他首选项。

现在，您可以更精细地控制 OpenShift Container Platform 的审计日志记录级别。您可以使用自定义规则为不同的组指定不同的审计策略配置集（Default、WriteRequestBodies、AllRequestBodies 或 None）。

如需更多信息，请参阅使用自定义规则配置审计日志策略。

现在，您可以使用 None audit 策略配置集禁用 OpenShift Container Platform 审计日志记录。

如需更多信息，请参阅禁用审计日志记录。

现在，您可以自定义内部 OAuth 服务器的 URL。如需更多信息，请参阅自定义内部 OAuth 服务器 URL。

OpenShift Container Platform 4.9 提供了持续维护 NBDE 配置系统的新程序。NBDE 允许您加密物理和虚拟机上的硬盘驱动器的根卷，而无需在重启机器时手动输入密码。如需更多信息，请参阅关于磁盘加密技术。

在 OpenShift Container Platform 4.9 中，etcd 证书会自动轮转，并由系统管理。

Kubernetes API 服务器 TLS 安全配置集设置现在也受到 etcd 的认可。

OpenShift Container Platform 4.9 对 PTP 包括以下更新：

如需更多信息，请参阅 将 linuxptp 服务配置为边界时钟。

现在，裸机集群提供了 PTP 事件的快速事件通知。PTP Operator 会为每个配置的 PTP 网络接口生成事件通知。事件通过 REST API 为在同一节点上运行的应用提供。快速事件通知由 AMQ Interconnect Operator 提供的高级消息队列协议 (AMQP) 消息总线传输。

如需更多信息，请参阅关于 PTP 和时钟同步错误事件。

现在，如果为给定命名空间分配多个出口 IP 地址，则 OVN-Kubernetes 的出口 IP 功能现在会在节点间平衡网络流量。每个 IP 地址必须位于不同的节点上。如需更多信息，请参阅为 OVN-Kubernetes 项目配置出口 IP。

容器化数据平面开发套件 (DPDK) 现在在 OpenShift Container Platform 4.9 中是 GA。如需更多信息，请参阅在DPDK 和 RDMA 模式中使用虚拟功能 (VF)。

SR-IOV 现在支持 vhost-net 用于 Intel 和 Mellanox NIC 上的 Fast Datapath DPDK 应用程序。您可以通过配置 SriovNetworkNodePolicy 资源来启用此功能。如需更多信息，请参阅 SR-IOV 网络配置对象。

单节点集群支持 SR-IOV 硬件和 SR-IOV Network Operator。请注意，配置 SR-IOV 网络设备会导致单个节点重新引导，并且您必须为 Operator 配置 disableDrain 字段。如需更多信息，请参阅配置 SR-IOV Network Operator。

OpenShift Container Platform 4.9 添加了对其他 Broadcom 和 Intel 硬件的支持。

如需更多信息，请参阅支持的设备。

此发行版本引入了 MetalLB Operator。安装和配置 MetalLB Operator 后，您可以部署 MetalLB，为裸机集群上的服务提供原生负载均衡器实现。其他类似裸机的内部基础架构也可以受益。

Operator 引入了自定义资源 AddressPool。您可以使用 MetalLB 可分配给服务的 IP 地址范围来配置地址池。当您添加类型为 LoadBalancer 的服务时，MetalLB 从池中分配 IP 地址。

在这个发行版本中，红帽只支持在第 2 层模式中使用 MetalLB。

如需更多信息，请参阅关于 MetalLB 和 MetalLB Operator。

CNI VRF 插件以前在 OpenShift Container Platform 4.7 中作为技术预览功能引进，现在包括在 OpenShift Container Platform 4.9 中。

如需更多信息，请参阅将二级网络分配给 VRF。

此发行版本为 Ingress Controller tuningOptions 参数引入了六个超时配置：

如需更多信息，请参阅 Ingress 控制器配置参数。

现在，您可以通过设置 spec.clientTLS 将 Ingress Controller 配置为启用 mutual TLS (mTLS )身份验证。clientTLS 字段指定 Ingress Controller 的配置，以验证客户端证书。

如需更多信息，请参阅配置双向 TLS 身份验证。

集群管理员可以为 503、404 或两个错误页面指定自定义 HTTP 错误代码响应页面。

如需更多信息，请参阅自定义 HAProxy 错误代码响应页面。

在 OpenShift Container Platform 4.9 中，安装程序置备的集群的 provisioningNetworkInterface 配置设置是可选的。provisioningNetworkInterface 配置设置标识用于 provisioning 网络的 NIC 名称。在 OpenShift Container Platform 4.9 中，您也可以在 install-config.yml 文件中指定 bootMACAddress 配置设置，它可让 Ironic 识别连接到 provisioning 网络并与其绑定的 NIC 的 IP 地址。您还可以在 provisioning 自定义资源中省略 provisioningInterface 配置设置，以便 provisioning 自定义资源使用 bootMACAddress 配置设置。

在 OpenShift Container Platform 4.9 中，现在可以更改 DNS Operator managementState。默认情况下，DNS Operator 的 managementState 设置为 Managed，这意味着 DNS Operator 会主动管理其资源。您可以将其更改为 Unmanaged，这意味着 DNS Operator 不管理其资源。

以下是更改 DNS Operator managementState 的用例：

如需更多信息，请参阅更改 DNS Operator managementState。

对于在 RHOSP 上运行的集群，现在可以将 Octavia 配置为云供应商选项进行负载均衡。

如需更多信息，请参阅设置云供应商选项。

此发行版本添加了对 TLS 1.3 和 HAProxy 中的 Modern 配置集的 Ingress Controller 支持。

如需更多信息，请参阅 Ingress Controller TLS 安全配置集。

集群管理员可以在每个域基础上配置 HTTP Strict Transport Security (HSTS) 验证，并为路由器添加准入插件，名为 route.openshift.io/RequiredRouteAnnotations。如果集群管理员将这个插件配置为强制 HSTS，那么任何新创建的路由都必须配置一个兼容的 HSTS 策略，该策略会根据集群 Ingress 配置上的全局设置进行验证，名为 ingresses.config.openshift.io/cluster。

如需更多信息，请参阅 HTTP 严格传输安全性。

在 OpenShift Container Platform 4.9 中，您可以通过设置 logEmptyRequests 和 HTTPEmptyRequests 字段将 Ingress Controller 配置为记录或忽略空请求。

如需更多信息，请参阅 Ingress 控制器配置参数。

使用 cluster-admin 角色登录到 web 控制台，现在您可以从控制台中的表单在集群中的任何命名空间中创建新网络策略。在以前的版本中，这只能在 YAML 中直接完成。

OpenShift Container Platform 可以使用 AWS Elastic Block Store（EBS）的 Container Storage Interface（CSI）驱动来置备持久性卷（PV）。此功能以前在 OpenShift Container Platform 4.5 中作为技术预览功能，现在在 OpenShift Container Platform 4.9 中正式发布并启用。

如需更多信息，请参阅 AWS EBS CSI Driver Operator。

OpenShift Container Platform 可以使用 Azure Stack Hub 存储的 CSI 驱动程序置备 PV。Azure Stack Hub 是 Azure Stack 产品组合的一部分，允许您在内部环境中运行应用程序，并在数据中心内提供 Azure 服务。管理此驱动程序的 Azure Stack Hub CSI Driver Operator 对 4.9 来说是新的，并正式发布。

如需更多信息，请参阅 Azure Stack Hub CSI Driver Operator。

OpenShift Container Platform 可以使用 AWS Elastic File Service (EFS) 的 CSI 驱动程序置备 PV。管理此驱动程序的 AWS EFS CSI Driver Operator 只是一个技术预览。

如需更多信息，请参阅 AWS EFS CSI Driver Operator。

从 OpenShift Container Platform 4.8 开始，树内卷插件自动迁移到其等同的 CSI 驱动程序作为一个技术预览功能提供。此功能现在支持从 Google Compute Engine Persistent Disk (GCE PD) in-tree 插件自动迁移到 Google Cloud Platform (GCP) Persistent Disk CSI 驱动程序。

如需更多信息，请参阅 CSI 自动迁移。

从 OpenShift Container Platform 4.8 开始，树内卷插件自动迁移到其等同的 CSI 驱动程序作为一个技术预览功能提供。此功能现在支持从 Azure Disk in-tree 插件自动迁移到 Azure Disk CSI 驱动程序。

如需更多信息，请参阅 CSI 自动迁移。

vSphere CSI Operator Driver 存储类现在使用 vSphere 的存储策略。OpenShift Container Platform 会自动创建一个存储策略，该策略以云配置中配置的数据存储为目标。

如需更多信息，请参阅 VMWare vSphere CSI Driver Operator。

OpenShift Container Platform 4.9 为 Local Storage Operator 提供了以下新指标：

如需更多信息，请参阅使用本地卷的持久性存储。

OpenShift Container Platform 4.9 为 oVirt CSI Driver 添加了重新定义大小功能，用户可以增加其现有持久性卷声明 (PVC) 的大小。在这个功能前，用户必须创建增大大小的新 PVC，并将所有内容从旧的持久性卷 (PV) 移到新 PV，这可能会导致数据丢失。现在，用户可以编辑现有的 PVC，oVirt CSI Driver 将调整底层 oVirt 磁盘的大小。

在 OpenShift Container Platform 4.9 中，集成的 Image Registry 对于使用用户置备的基础架构在 Microsoft Azure Stack Hub 上安装的集群使用 Azure Blob Storage。

详情请参阅使用 ARM 模板在 Azure Stack Hub 上安装集群。

从 OpenShift Container Platform 4.9 开始，Operator Lifecycle Manager (OLM) 支持 Kubernetes 1.22。因此，大量 v1beta1 API 已被删除并更新至 v1。依赖于删除的 v1beta1 API 的 Operator 不会在 OpenShift Container Platform 4.9 上运行。在将集群升级到 OpenShift Container Platform 4.9 之前，集群管理员应将其安装的 Operator 升级到 latest 频道。

基于文件的目录是 Operator Lifecycle Manager (OLM) 中目录格式的最新迭代。格式是之前基于纯文本（JSON 或 YAML）和声明式配置演进，现已弃用 SQLite 数据库格式，并且完全向后兼容。此格式的目标是启用 Operator 目录编辑、可组合性和可扩展性。

如需有关基于文件的目录规格的更多信息，请参阅 Operator Framework 打包格式。

有关使用 opm CLI 创建基于文件的目录的说明，请参阅管理自定义目录。

Operator Lifecycle Manager (OLM) 现在包括在 Single Node OpenShift (SNO) 集群中，启用自助服务 Operator 安装。

对于管理员，应该可以在不需要了解各种低级别 API 的交互过程或访问 OLM pod 日志的情况下，就可以成功调试这些问题，所以 OpenShift Container Platform 4.9 在 OLM 中引入了以下增强功能，以便为管理员提供更易理解的错误报告和消息：

为避免集群升级可能会使 Operator 安装处于不受支持的状态或没有持续更新路径，您可以启用自动更改 Operator 目录的索引镜像版本作为集群升级的一部分。

将 olm.catalogImageTemplate 注解设置为您的目录镜像名称，并在构建镜像标签的模板时使用一个或多个 Kubernetes 集群版本变量。

如需更多信息，请参阅自定义目录源的镜像模板。

OpenShift Container Platform 集群能够以高可用性 (HA) 模式配置，该模式使用多个节点，或者在非 HA 模式中使用单一节点。单一节点集群（也称为单节点 OpenShift(SNO)）可能会具有更为保守的资源限制。因此，在单一节点集群中安装 Operator 务必要进行相应调整，并且仍然运行良好。

通过访问 OpenShift Container Platform 中提供的集群高可用性模式 API，Operator 作者可使用 Operator SDK 来让 Operator 检测集群的基础架构拓扑，不论是 HA 模式还是非 HA 模式。可以开发使用检测到的集群拓扑的自定义 Operator 逻辑，以自动将 Operator 及其管理的任何 Operands 或工作负载的资源要求切换到最适合拓扑的配置集。

如需更多信息，请参阅高可用性或单节点集群检测和支持。

Operator 作者现在可以开发支持网络代理的 Operator。使用代理的 Operator 支持检查 Operator 部署中的环境变量，并将变量传递给所需的 Operands。集群管理员配置对 Operator Lifecycle Manager (OLM) 处理的环境变量的代理支持。如需更多信息，请参阅 Operator SDK 指南来使用 Go、Ansible 和 Helm 开发 Operator。

现在，您可以使用 bundle validate 子命令的 Operator Framework 套件检查从 Kubernetes 1.22 中删除的 API 捆绑包清单。

例如：

$ operator-sdk bundle validate .<bundle_dir_or_image> \
  --select-optional suite=operatorframework \
  --optional-values=k8s-version=1.22

如果您的捆绑包清单包含从 Kubernetes 1.22 中删除的 API，则命令会显示警告消息。警告消息指明您需要迁移的 API 以及 Kubernetes API 迁移指南的链接。

如需更多信息，请参阅从 Kubernetes 1.22 中删除的 beta API 列表和 Operator SDK CLI 。

此发行版本引入了在镜像 registry 设置中使用通配符域作为 registry 源的支持。使用通配符域，如 *.example.com，您可以将集群设置为从多个子域推送和拉取镜像，而无需手动输入每个子域的镜像。如需更多信息，请参阅镜像控制器配置参数。

从 OpenShift Container Platform 4.9 开始，计算机器可以使用 Red Hat Enterprise Linux (RHEL) 8.4。在以前的版本中，计算机器不支持 RHEL 8。

您无法将 RHEL 7 计算机器升级到 RHEL 8。您必须部署新的 RHEL 8 主机，并且应该删除旧的 RHEL 7 主机。

使用调度程序配置集调度 pod 现已正式发布。这是配置调度程序策略的替代。可用的调度程序配置集如下：

如需更多信息，请参阅使用调度程序配置集调度 pod。

descheduler 配置集现在可用：

您还可以自定义 LifecycleAndUtilization 配置集的 pod 生命周期值。

如需更多信息，请参阅使用 descheduler 驱除 pod。

在将 docker/config.json 文件配置为允许 pod 从私有 registry 拉取镜像时，您现在可以列出同一 registry 中的特定存储库，每个存储库都有特定于该 registry 路径的凭证。在以前的版本中，您只能从给定的 registry 中列出一个存储库。现在，您还可以使用特定命名空间定义 registry。

节点相关的指标和警报已被改进，您可以更早地表明节点何时受到影响。

Poison Pill Operator 现在通过使用 watchdog 设备来提供增强的补救。如需更多信息，请参阅关于 watchdog 设备。

您可以使用 Node Health Check Operator 来部署 NodeHealthCheck 控制器。控制器识别不健康的节点，并使用 Poison Pill Operator 来修复不健康的节点。

监控堆栈组件和依赖项的更新包括：

第三方 Prometheus UI 的链接已从 OpenShift Container Platform Web 控制台的 Observe Metrics 页面中删除。您仍然可以通过导航到 openshift-monitoring 项目中的 Networking Routes 页面来访问 Administrator 视角中 Web 控制台中的 Prometheus UI 的路由。

因为运行默认 Grafana 仪表板可能会从用户工作负载中获取资源，所以您可以禁用 Grafana 仪表板部署。

现在，您可以使用特殊资源 Operator (SRO) 来帮助管理现有 OpenShift Container Platform 集群上的内核模块和驱动程序的部署。目前，这是一个技术预览功能。

如需更多信息，请参阅关于特殊资源 Operator。

现在，由 Performance Addon Operator 配置了一个 kubelet 子组件，现在在使用以下 Topology Manager 策略配置的节点上都默认启用所有 pod：

OpenShift Container Platform 4.9 引入了两个额外的工具来测量系统延迟：

如需更多信息，请参阅运行延迟测试。

针对 OpenShift Container Platform 4.9 的集群最大限制指导信息已更新。

使用 OpenShift Container Platform Limit Calculator 可以估算出您的环境的集群限制。

OpenShift Container Platform 4.9 支持 zero touch provisioning (ZTP)，它允许您在远程站点使用裸机设备声明配置来置备新的边缘站点。ZTP 在基础架构部署中使用 GitOps 部署实践集。GitOps 使用 Git 存储库中存储的声明性规范（如 YAML 文件和其他定义的模式）来实现这些任务，从而提供用于部署基础架构的框架。Open Cluster Manager (OCM) 将声明性输出用于多站点部署。如需更多信息，请参阅大规模配置边缘站点。

在 OpenShift Container Platform 4.9 中，Insights Operator 可以从 Red Hat OpenShift Cluster Manager 导入 RHEL Simple Content Access (SCA) 证书。

如需更多信息，请参阅使用 Insights Operator 导入 RHEL Simple Content Access 证书。

在 OpenShift Container Platform 4.9 中，Insights Operator 会收集以下附加信息：

通过这些附加信息，红帽可在 Insights Advisor 中提供改进的补救步骤。

在这个版本中，可以通过以手动模式配置 Cloud Credential Operator (CCO) 在 Microsoft Azure Stack Hub 上安装。

如需更多信息，请参阅使用手动模式。