红帽全球峰会发行注记
摘要
对红帽文档提供反馈
您可以通过为 HCIDOCS 项目创建 Jira 问题来提供反馈或报告错误,您可以在其中跟踪您的反馈的过程。您必须有一个 Red Hat Jira 帐户并登录。
- 启动 Create Issue 表单。
完成 Summary、Description 和 Reporter 字段。
在 Description 字段中,包含文档 URL、章节号以及问题的详细描述。
- 点 Create。
第 1 章 关于此版本
本发行注记介绍了 OpenShift 沙盒容器 1.7 和 Red Hat OpenShift Container Platform 4.16 的开发。
OpenShift Container Platform 专为 FIPS 设计。当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时,OpenShift Container Platform 核心组件使用 RHEL 加密库,在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 Validation。
有关 NIST 验证程序的更多信息,请参阅加密模块验证程序。有关为验证提交的 RHEL 加密库的单独版本的最新 NIST 状态,请参阅 Compliance Activities 和 Government Standards。
第 2 章 新功能及功能增强
本节介绍 OpenShift 沙盒容器 1.7 中引入的新功能和增强。
2.1. 公有云
AWS 和 Azure 云供应商凭证会自动检索
Operator 默认使用 OpenShift 集群的云供应商凭证,除非用户明确设置 AWS 或 Azure 云供应商凭证。
Jira:KATA-2216
第 3 章 程序错误修复
本节论述了 OpenShift 沙盒容器 1.7 中修复的错误。
3.1. 性能和扩展
当资源请求注解与系统资源不匹配时,对等 pod 会失败
io.katacontainers.config.hypervisor.default_vcpus 和 io.katacontainers.config.hypervisor.default_memory 注解的值遵循 QEMU 的语义,它有以下对对等 pod 的限制:
如果将
io.katacontainers.config.hypervisor.default_memory设置为256,则会显示以下错误:Failed to create pod sandbox: rpc error: code = Unknown desc = CreateContainer failed: Memory specified in annotation io.katacontainers.config.hypervisor.default_memory is less than minimum required 256, please specify a larger value: unknown
Failed to create pod sandbox: rpc error: code = Unknown desc = CreateContainer failed: Memory specified in annotation io.katacontainers.config.hypervisor.default_memory is less than minimum required 256, please specify a larger value: unknownCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
如果将
io.katacontainers.config.hypervisor.default_memory设置为256,将io.katacontainers.config.hypervisor.default_vcpus设置为1,则会从列表中启动最小的实例类型或实例类型。 -
如果将
io.katacontainers.config.hypervisor.default_vcpus设置为0,则所有注解都会被忽略,并启动默认实例。
临时解决方案:将 io.katacontainers.config.hypervisor.machine_type 设置为配置映射中指定的默认 AWS 实例类型或 Azure 实例大小,以启用灵活的 pod 虚拟机大小。
Jira:KATA-2575, Jira:KATA-2577, Jira:KATA-2578
第 4 章 已知问题
本节介绍 OpenShift 沙盒容器 1.7 中已知的问题。
4.1. 沙盒容器
OpenShift 沙盒容器 1.7.0 不适用于 OpenShift Container Platform 4.14 和旧版本
在安装或升级 OpenShift 沙盒容器 Operator 前,您必须升级到 OpenShift Container Platform 4.15 或更高版本。如需更多信息,请参阅 OpenShift 沙盒容器 operator 1.7 不可用, 并升级到 OSC 1.7.0 将运行 Peer Pod 放入 knowledgeBase 中的 ContainerCreating 状态。
4.2. 性能和扩展
如果 CPU 离线,增加容器 CPU 资源限值会失败
如果请求的 CPU 离线,使用容器 CPU 资源限制来增加 pod 的可用 CPU 数量会失败。如果功能可用,您可以通过运行 oc rsh <pod> 命令来访问 pod,然后运行 lscpu 命令诊断 CPU 资源问题:
lscpu
$ lscpu输出示例:
CPU(s): 16 On-line CPU(s) list: 0-12,14,15 Off-line CPU(s) list: 13
CPU(s): 16
On-line CPU(s) list: 0-12,14,15
Off-line CPU(s) list: 13离线 CPU 列表是无法预计的,可以从 run 改为 run。
临时解决方案:使用 pod 注解来请求额外的 CPU,如下例所示:
metadata:
annotations:
io.katacontainers.config.hypervisor.default_vcpus: "16"
metadata:
annotations:
io.katacontainers.config.hypervisor.default_vcpus: "16"增加 sizeLimit 不会扩展临时卷
您不能使用 pod 规格中的 sizeLimit 参数来扩展临时卷,因为卷大小默认为分配给沙盒容器的 50%。
临时解决方案:通过重新挂载卷来更改大小。例如,如果分配给沙盒容器的内存为 6 GB,并且临时卷挂载到 /var/lib/containers,您可以通过运行以下命令来将此卷的大小增加到 3 GB:
mount -o remount,size=4G /var/lib/containers
$ mount -o remount,size=4G /var/lib/containers第 5 章 技术预览
本节列出了 OpenShift 沙盒容器 1.7 中的所有技术预览。
如需更多信息,请参阅技术预览功能支持范围。
Microsoft Azure Cloud Computing Services、IBM Z 和 IBM LinuxONE 上的机密容器
机密容器为云原生应用提供了增强的安全性,允许它们在称为受信任的执行环境(TEE)的安全和隔离的环境中运行,这样可以保护容器及其数据,即使在使用时也是如此。
请注意以下限制:
- 没有对机密虚拟机(CVM)根文件系统(rootfs)的加密和完整性保护:CVM 在 TEE 中执行,并运行容器工作负载。缺少对 rootfs 的加密和完整性保护功能可能会允许恶意管理员破坏写入 rootfs 的敏感数据,或者修改 rootfs 数据。rootfs 的完整性保护和加密目前正在进行中。您必须确保所有应用程序写入都在内存中。
- 没有加密的容器镜像支持:当前只有签名的容器镜像支持。加密的容器镜像支持正在进行中。
- Kata shim 和 CVM 中的代理组件之间的通信受到篡改:CVM 中的代理组件负责从 OpenShift worker 节点上运行的 Kata shim 执行 Kubernetes API 命令。我们使用 CVM 中的代理策略来关闭 Kubernetes exec 和日志 API,以避免通过 Kubernetes API 破坏敏感数据。但是,这是不完整的;进一步的工作是强化 shim 和代理组件之间的通信频道。可以使用 pod 注解在运行时覆盖代理策略。目前,pod 中的运行时策略注解不会通过 attestation 进程验证。
- 不支持加密的 pod 到 pod 通信:Pod 到 pod 的通信是未加密的。您必须在应用程序级别使用 TLS 进行所有 pod 到 pod 通信。
- worker 节点上和 CVM 内的镜像重复拉取:在 TEE 中执行的 CVM 中下载并执行容器镜像。但是,当前镜像也下载到 worker 节点上。
- 为机密容器构建 CVM 镜像需要集群中提供 OpenShift 沙盒容器 Operator。
Jira:KATA-2416
IBM Z 和 IBM LinuxONE 的对等 pod 支持
您可以通过在 IBM Z® 和 IBM® LinuxONE (s390x 架构)上使用对等 pod 部署 OpenShift 沙盒容器工作负载,而无需嵌套虚拟化。
Jira:KATA-2030
第 6 章 异步勘误更新
OpenShift 沙盒容器的安全更新、程序错误修正、功能增强更新将会通过红帽网络以异步勘误的形式发布。
Red Hat OpenShift Container Platform 4.16 勘误可以通过 红帽客户门户网站 获得。
如需了解有关异步勘误的详细信息,请参阅 OpenShift Container Platform 生命周期。
您可以在 Red Hat Subscription Management 设置中启用勘误电子邮件通知。您必须有一个有注册的系统和 OpenShift Container Platform 权利的红帽客户门户网站帐户。
本节的内容将会持续更新,以提供以后发行的与 OpenShift 沙盒容器相关的异步勘误信息。
发布日期:24 年 9 月 18 日
OpenShift 沙盒容器发行版本 1.7.0 现已正式发布。此公告包含带有改进和程序错误修复的 OpenShift 沙盒容器的更新。
其程序错误修正列表包括在 RHBA-2024:6709 公告中。
附录 A. 按组件划分的问题单列表
在本文档中列出了 Bugzilla 和 JIRA 问题单以供参考。这些链接会指向本文档中描述问题单的发行注记。
| 组件 | 票证 |
|---|---|
|
| |
|
| |
|
| |
|
|
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}