第 3 章 已知问题
本节介绍 OpenShift 沙盒容器 1.8 中已知的问题。
Azure 上的 Confidential Containers 默认禁用安全引导
对于 Azure 上的机密容器,默认禁用安全引导。这是一个安全风险。要临时解决这个问题,当您 更新对等 pod 配置映射 时,请将 ENABLE_SECURE_BOOT 设置为 true。
如果 CPU 离线,增加容器 CPU 资源限值会失败
如果请求的 CPU 离线,使用容器 CPU 资源限制来增加 pod 的可用 CPU 数量会失败。如果功能可用,您可以通过运行 oc rsh <pod> 命令来访问 pod,然后运行 lscpu 命令诊断 CPU 资源问题:
$ lscpu
输出示例:
CPU(s): 16 On-line CPU(s) list: 0-12,14,15 Off-line CPU(s) list: 13
离线 CPU 列表是无法预计的,可以从 run 改为 run。
要临时解决这个问题,请使用 pod 注解来请求额外的 CPU,如下例所示:
metadata:
annotations:
io.katacontainers.config.hypervisor.default_vcpus: "16"增加 sizeLimit 不会扩展临时卷
您不能使用 pod 规格中的 sizeLimit 参数来扩展临时卷,因为卷大小默认为分配给沙盒容器的 50%。
要临时解决这个问题,请通过重新挂载卷来更改大小。例如,如果分配给沙盒容器的内存为 6 GB,并且临时卷挂载到 /var/lib/containers,您可以通过运行以下命令来将此卷的大小增加到 3 GB:
$ mount -o remount,size=4G /var/lib/containers
请注意,mount 命令需要在 pod 中运行。您可以将它作为 pod 清单本身的一部分,或通过运行 oc rsh 并执行 mount 命令在 pod 中启动 shell 会话。
OpenShift 沙盒容器 1.7 及更高版本无法用于 OpenShift Container Platform 4.14 和旧版本
在安装或升级 OpenShift 沙盒容器 Operator 前,您必须升级到 OpenShift Container Platform 4.15 或更高版本。如需更多信息,请参阅 OpenShift 沙盒容器 operator 1.7 不可用, 并升级到 OSC 1.7.0 将运行 Peer Pod 放入 knowledgeBase 中的 ContainerCreating 状态。
AWS 上的 Podvm 镜像构建程序将快照保留后
Podvm 镜像构建器从快照创建一个 AMI 镜像,在删除正确的卸载过程中,快照本身不会被删除,需要手动删除手动删除
这会在 AWS 上的所有对等 pod 版本中发生。
Jira:KATA-3478
在集群停用前没有正确的 kataconfig 删除,活跃的 pod vms 可能会继续运行。
如果没有对等 pod 功能,您可以弃用具有对等 pod 的集群,但使用对等 pod,pod 在集群 worker 节点外运行(在每个对等 pod 上创建的 podvm 实例),在关闭集群前没有执行正确的 kataconfig 删除时,这些 podvm 实例会被取消,永远不会终止。
Jira:KATA-3480
