发行注记

要了解更多有关可观察性的信息，请参阅观察环境简介。

当 OpenShift Container Platform 集群处于升级阶段时，集群 Pod 会被重启，并且集群可能在大约 1 到 5 分钟之内会处于升级失败状态。这个行为是正常的，在几分钟后自动解决。

在安装 Red Hat Advanced Cluster Management for Kubernetes 时，不能存在证书管理器。

当集群中已存在证书管理器时，Red Hat Advanced Cluster Management for Kubernetes 安装会失败。

要解决这个问题，请运行以下命令确认集群中是否存在证书管理器：

kubectl get crd | grep certificates.certmanager

kubectl get crd | grep certificates.certmanager

您可能会看到 Cluster 页面中的节点信息与搜索结果之间的不同。

LDAP 用户名是区分大小写的。使用的名称必须与在 LDAP 目录中配置的方法完全相同。

该产品支持 Mozilla Firefox 74.0 或 Linux、macOS 和 Windows 提供的最新版本。为了获得最好的兼容性，请升级至最新版本。

在控制台和 Visual Web 终端中，用户无法搜索包括一个空空格的值。

在以 kubeadmin 登陆后，点下拉菜单中的 Log out 选项，控制台会返回到登录屏幕，但一个浏览器标签页会打开 /logout URL。该页面为空白，您可以关闭此页而不影响您的控制台。

出于安全考虑，搜索不再会显示在受管集群上发现的 secret 的内容。当您通过控制台搜索 secret 时，可能会收到以下出错信息：

Unable to load resource data - Check to make sure the cluster hosting this resource is online

Unable to load resource data - Check to make sure the cluster hosting this resource is online

当您更新 searchcustomization CR 中的存储大小时，PVC 配置不会改变。如果您需要更新存储大小，使用以下命令更新 PVC（<storageclassname>-search-redisgraph-0）：

oc edit pvc <storageclassname>-search-redisgraph-0

oc edit pvc <storageclassname>-search-redisgraph-0

当您使用 Safari v14.0.3 Web 浏览器时，不会显示来自Search 页的 YAML 文件。有关其他受支持的浏览器或升级 Safari 版本的信息，请参阅支持的浏览器。

从 2.2.z 升级到 2.2.5 时，不会刷新 redisgraph StatefulSet 和 pod。您必须手动删除 redisgraph StatefulSet，以便获取更改。完成以下步骤以解决这个问题：

redisgraph StatefulSet 和 pod 已重启。

如果您创建一个 pull-secret 用于部署到 MultiClusterObservability CustomResource（CR），且 open-cluster-management-observability 命名空间中没有 pull-secret，则 observability endpoint operator 会失败。当您导入新集群或导入使用 Red Hat Advanced Cluster Management 创建的 Hive 集群时，需要在受管集群上手动创建 pull-image secret。

如需更多信息，请参阅启用可观察性。

当受管集群被强制分离时，集群命名空间中的 ObservabilityAddon 资源（observability-addon）会处于 Terminating 状态，且无法被删除。另外，集群命名空间无法被删除。

要解决这个问题，您可以更新集群命名空间中的 ObervabilityAddon 资源。通过删除元数据中的 finalizers 参数来更新资源。运行以下命令：

kubectl edit observabilityaddon observability-addon -n <CLUSTER_NAMESPACE>

kubectl edit observabilityaddon observability-addon -n <CLUSTER_NAMESPACE>

CLUSTER_NAMESPACE 是分离集群的集群命名空间。

删除 finalizers 参数后，ObervabilityAddon 资源会被删除。

Red Hat Advanced Cluster Management observability 不会在内置仪表板中显示 ROKS 集群中的数据。这是因为 ROKS 不会从它们管理的服务器公开任何 API 服务器指标。以下 Grafana 仪表板包含不支持 ROKS 集群的面板：Kubernetes/API server, Kubernetes/Compute Resources/Workload, Kubernetes/Compute Resources/Namespace(Workload)

在将 Red Hat Advanced Cluster Management 从 2.2.3 升级到 2.2.4 后，您可能会注意到 open-cluster-management-addon-observability 命名空间中的 metrics-collector 会停止从受管集群收集数据。这是因为在 multicluster observability Operator 升级后，镜像清单 ConfigMap 已被升级。

您可能会在 endpoint-observabililty-operator YAML 文件中看到以下 Quay.io 镜像： Quay.io/open-cluster-management/endpoint-monitoring-operator:2.2.0-6a5ea47fc39d51fb4fade6157843f2977442996e 和 quay.io/open-cluster-management/metrics-collector:2.2.0-ff79e6ec8783756b942a77f08b3ab763dfd2dc15.

要解决这个问题，删除 hub 集群的 open-cluster-management 命名空间中的 multicluster-observability-operator pod。创建新 pod 后，受管集群中会使用正确的镜像创建新的 endpoint-observability-operator 部署。

在将 Red Hat Advanced Cluster Management 从 2.1 升级到 2.2.x 后，MultiClusterObservability 自定义资源(CR)将继续从 OpenShift Container Platform 控制台安装。您可以通过确保从 Grafana 控制台显示指标数据来确认 MultiClusterObservability 已被成功部署。

Red Hat OpenShift Container Platform verson 4.8 集群的 Grafana 仪表板上不会显示一些指标数据。您必须升级到 2.3 版本。如需更多信息，请参阅使用 Operator 升级。

当您尝试在 Google Cloud Platform(GCP)上置备集群时，可能会失败并显示以下错误：

Cluster initialization failed because one or more operators are not functioning properly.
The cluster should be accessible for troubleshooting as detailed in the documentation linked below,
https://docs.openshift.com/container-platform/latest/support/troubleshooting/troubleshooting-installations.html
The 'wait-for install-complete' subcommand can then be used to continue the installation

Cluster initialization failed because one or more operators are not functioning properly.
The cluster should be accessible for troubleshooting as detailed in the documentation linked below,
https://docs.openshift.com/container-platform/latest/support/troubleshooting/troubleshooting-installations.html
The 'wait-for install-complete' subcommand can then be used to continue the installation

您可以通过在 GCP 项目中启用 网络安全 API 来解决这个问题，它允许集群安装继续进行。

当您升级受管集群或集群 详情 页面中的本地集群时，在升级过程完成后，最多可能需要 10 分钟才能在 Cluster Details 页面中显示更新的版本号。

当 hub 集群在 OpenShift Container Platform 版本 4.7 上托管时，您无法使用 Red Hat Advanced Cluster Management hub 集群创建裸机受管集群。

当您分离一个受管集群时，Create resource 页面可能会临时中断并显示以下错误：

Error occurred while retrieving clusters info. Not found.

Error occurred while retrieving clusters info. Not found.

等待命名空间自动被删除，这在分离集群后需要 5-10 分钟完成。或者，如果命名空间处于终止状态，则需要手动删除命名空间。返回该页面查看错误是否已解决。

hub 集群和管理集群的时间可能会不同步，在控制台中显示 unknown，当在几分钟内会变为 available。确保正确配置了 Red Hat OpenShift Container Platform hub 集群时间。请参阅 自定义节点。

导入集群后，请登录导入的集群，确保 Klusterlet 部署的所有 pod 都在运行。否则，在控制台中看到的数据可能不一致。

例如，如果策略控制器没有运行，您可能无法在 监管和风险以及集群状态页中得到同样的结果。

例如，您可能会看到 Overview 状态中没有（0 个）违反的情况，但可能会在 监管和风险页面中报告有 12 个违反情况。

在这种情况下，页面间不一致表示受管集群的 policy-controller-addon 和 hub 集群上的策略控制器之间断开连接。另外，受管集群可能没有足够的资源来运行所有 Klusterlet 组件。

因此，不会向受管集群传播该策略，或者未向受管集群报告违反情况。

当您导入一个之前由 Red Hat Advanced Cluster Management hub 集群管理并分离的集群时，第一次导入过程可能会失败。集群状态为 pending import。再次运行命令，导入应可以成功。

您不能导入 IBM Red Hat OpenShift Kubernetes Service 版本 3.11 集群。支持 IBM OpenShift Kubernetes Service 的更新的版本。

当更改您的云供应商访问密钥时，置备的集群访问密钥不会在命名空间中更新。当凭证在托管受管集群的云供应商过期并尝试删除受管集群时，需要此项。如果发生了这种情况，请为您的云供应商运行以下命令来更新访问密钥：

您必须以 root 身份登录才能运行 management-ingress 服务。

搜索 hub 集群中资源的 RBAC 映射。根据 Red Hat Advanced Cluster Management 的用户 RBAC 设置，用户可能不会看到来自受管集群的节点数据。搜索的结果可能与集群的 Nodes 页面中显示的结果不同。

当销毁受管集群时，在一小时后仍然继续显示 Destroying 状态，且集群不会被销毁。要解决这个问题请完成以下步骤：

您不能使用 Red Hat Advanced Cluster Management 控制台升级 Red Hat OpenShift Dedicated 环境中的 OpenShift Container Platform 受管集群。

在销毁与其关联的集群后，裸机资产可能会保留为孤立资产。当您有销毁集群所需的权限但无法销毁裸机资产时，会出现这种情况。为确保不出现这个问题，当使用引用集群部署的 Red Hat Advanced Cluster Management 创建裸机资产时，将终结器添加到 ClusterDeployment 资源：

kubectl patch clusterdeployments <name> -n <namespace> -p '{"metadata":{"finalizers":["baremetalasset.inventory.open-cluster-management.io"]}}'

kubectl patch clusterdeployments <name> -n <namespace> -p '{"metadata":{"finalizers":["baremetalasset.inventory.open-cluster-management.io"]}}'

使用集群部署的名称替换 name。

使用集群资源命名空间替换 namespace。

如果删除集群部署，则必须输入以下命令手动删除终结器：

kubectl patch clusterdeployments <name> -n <namespace> -p '{"metadata":{"finalizers":[]}}'

kubectl patch clusterdeployments <name> -n <namespace> -p '{"metadata":{"finalizers":[]}}'

使用集群部署的名称替换 name。

使用集群资源命名空间替换 namespace。

当您创建带有在指定间隔内设置为 Active 的部署窗口的应用程序时，可能无法正确计算部署窗口，从而导致应用程序在未定义时间部署。

应用程序名称不能超过 37 个字符。如果字符超过这个数量，应用程序部署会显示以下错误：

status:
  phase: PropagationFailed

status:
  phase: PropagationFailed

特定受管集群中特定资源的搜索详情页面可能会失败。在进行搜索前，您必须确保受管集群中的 work-manager 附加组件处于 Available 状态。

在没有规格的情况下应用 Deployable 资源会使 pod multicluster-operators-application 容器 multicluster-operators-deployable 崩溃。可部署资源需要包含规格。

如果您意外地在没有规格的情况下创建资源，请删除不必要的可部署资源并重启 multicluster-operators-application pod。

请参阅以下示例，它是一个空的 Deployable 并导致 pod 崩溃：

apiVersion: apps.open-cluster-management.io/v1
kind: Deployable
metadata:
  labels:
    app: simple-app-tester
  name: simple-app-tester-deployable
  namespace: grp-proof-of-concept-acm

apiVersion: apps.open-cluster-management.io/v1
kind: Deployable
metadata:
  labels:
    app: simple-app-tester
  name: simple-app-tester-deployable
  namespace: grp-proof-of-concept-acm

当您部署一个直接创建 ReplicationController 或 ReplicaSet 资源的应用程序时，Application topology 中不会显示 Pod 资源。您可以使用 Deployment 或 DeploymentConfig 资源来创建 Pod 资源。

Ansible 测试作为订阅的 hook 运行，而不是作为常规任务运行。您需要将 Ansible 任务存储在 prehook 和 posthook 文件夹中。您可以选择将 Ansible 任务部署为常规任务，而不是 hook，但本例中无法正确报告应用程序拓扑 Ansible 作业状态。

不支持 Ansible hook 独立模式。要使用订阅在 hub 集群上部署 Ansible hook，您可以使用以下订阅 YAML：

apiVersion: apps.open-cluster-management.io/v1
kind: Subscription
metadata:
  name: sub-rhacm-gitops-demo
  namespace: hello-openshift
annotations:
  apps.open-cluster-management.io/github-path: myapp
  apps.open-cluster-management.io/github-branch: master
spec:
  hooksecretref:
      name: toweraccess
  channel: rhacm-gitops-demo/ch-rhacm-gitops-demo
  placement:
     local: true

apiVersion: apps.open-cluster-management.io/v1
kind: Subscription
metadata:
  name: sub-rhacm-gitops-demo
  namespace: hello-openshift
annotations:
  apps.open-cluster-management.io/github-path: myapp
  apps.open-cluster-management.io/github-branch: master
spec:
  hooksecretref:
      name: toweraccess
  channel: rhacm-gitops-demo/ch-rhacm-gitops-demo
  placement:
     local: true

但是，此配置可能永远不会创建 Ansible 实例，因为 spec.placement.local:true 有以 standalone 模式运行的订阅。您需要在 hub 模式中创建订阅。

应用两者后，您应该看到 hub 集群中创建的 Ansible 实例。

如果在创建或编辑应用程序时选择了 Deploy on local cluster，则应用程序拓扑无法正确显示。在本地集群上部署 是选项,可在 hub 集群上部署资源,以便可以将其作为 本地集群 管理,但这不是本发行版本的最佳实践。

要解决这个问题，请执行以下步骤：

当订阅了命名空间频道且修复其他相关资源（如频道、secret、ConfigMap 或放置规则等）后，订阅会处于 FAILED 状态，命名空间订阅不会持续被协调。

要强制订阅再次进行协调以退出 FAILED 状态，完成以下步骤：

oc label subscriptions.apps.open-cluster-management.io the_subscription_name reconcile=true

oc label subscriptions.apps.open-cluster-management.io the_subscription_name reconcile=true

具有 Editor 角色的用户应只拥有应用程序的 read 或 update 授权。但这样的用户会错误地具有应用程序的 create 和 delete 的权限。Red Hat OpenShift Operator Lifecycle Manager 默认设置更改产品的设置。要解决这个问题，请遵循以下步骤：

在 Editor 角色中执行的用户应该对放置规则只有 read 或 update权限，但因为存在错误，编辑器也可能会有 create 和 delete 权限。Red Hat OpenShift Operator Lifecycle Manager 默认设置更改产品的设置。要解决这个问题，请遵循以下步骤：

如果应用程序在更新放置规则后没有部署，验证 klusterlet-addon-appmgr pod 是否正在运行。klusterlet-addon-appmgr 是需要在端点集群中运行的订阅容器。

您可以运行 oc get pods -n open-cluster-management-agent-addon 来验证。

您还可以在控制台中搜索 kind:pod cluster:yourcluster 来查看 klusterlet-addon-appmgr 是否在运行。

如果无法验证，请尝试再次导入集群并重新验证。

如需了解更多与 Red Hat OpenShift Container Platform SCC 相关的信息，请参阅 管理 Security Context Constraints (SCC)。它是受管集群所需的一个额外的配置。

不同的部署有不同的安全性上下文和不同的服务帐户。订阅 operator 无法自动创建一个 SCC。pod 的管理员控制权限。需要一个安全性上下文约束（SCC）CR，以便为相关服务帐户启用适当的权限，以便在非默认命名空间中创建 pod:

要手动在命名空间中创建 SCC CR，完成以下操作：

在同一命名空间中创建多个频道可能会导致 hub 集群出现错误。

例如，安装程序将命名空间 charts-v1 作为 Helm 类型频道使用，因此不要在 charts-v1 中创建任何其他频道。确保您在唯一命名空间中创建频道。所有频道需要单独的命名空间，但 GitHub 频道除外，它们可与另一个 GitHub 频道共享命名空间。

参阅控制台中不同 Application 表的限制：

Red Hat Advanced Cluster Management 的 API 会遵循 Kubernetes 弃用指南。有关相关策略的详情，请参阅 Kubernetes 弃用策略。

Red Hat Advanced Cluster Management API 只在以下时间线外才会被弃用或删除：

GDPR 为处理个人数据建立了更强大的数据保护框架。GDPR 可以带来：

作为一个平台，Red Hat Advanced Cluster Management for Kubernetes 需要不同类别的技术数据，这些数据可能会被视为个人数据，如管理员用户 ID 和密码、服务用户 ID 和密码、IP 地址以及 Kubernetes 节点名称。Red Hat Advanced Cluster Management for Kubernetes 平台还处理管理平台的用户的信息。在平台中运行的应用程序可能会使用与平台无关的其他类别的个人数据。

本文档后续部分将介绍如何收集/创建这些技术数据、存储、访问、安全、日志和删除。

用户可以以各种方式提交在线评论/反馈/请求，主要有：

通常，只使用客户名称和电子邮件地址，以便可以进行回复，对个人数据的使用符合 红帽在线隐私声明。

Red Hat Advanced Cluster Management for Kubernetes 平台的身份验证管理程序接受来自控制台的用户凭证，并将凭证转发到后端的 OIDC 供应商，后者根据企业目录验证用户凭证。然后，OIDC 供应商会向身份验证程序返回一个带有 JSON Web Token（JWT）内容的身份验证 cookie（auth-cookie）。JWT 令牌包括了身份验证请求时的组成员信息，以及用户 ID 和电子邮件地址等信息。然后，这个身份验证 cookie 会发送到控制台。在会话存在期间，cookie 会被刷新。在退出控制台或关闭浏览器后，这个 cookie 会在 12 小时内有效。

对于所有来自控制台的验证请求，前端 NGINX 服务器对请求中的可用身份验证 cookie 进行解码，并通过调用验证管理程序来验证请求。

Red Hat Advanced Cluster Management for Kubernetes 平台的 CLI 需要用户在登陆时提供凭证。

kubectl 和 oc CLI 也需要凭证来访问集群。这些凭证可以从管理控制台获得，并在 12 小时后过期。支持通过服务帐户访问。

Red Hat Advanced Cluster Management for Kubernetes 平台支持的基于角色的控制访问（RBAC）。在角色映射阶段，身份验证阶段提供的用户名映射到用户或组角色。在授权哪些管理操作可由经过身份验证的用户执行时使用角色。

Red Hat Advanced Cluster Management for Kubernetes 平台对集群配置操作的角色控制访问，适用于 catalog 和 Helm 资源，以及 Kubernetes 资源。提供了几个 IAM（Identity and Access Management）角色，包括 Cluster Administrator、Administrator、Operator、Editor、Viewer。在将用户或用户组添加到一个团队时，会为用户或用户组分配一个角色。对资源的团队访问可以由命名空间控制。

Pod 安全策略用于设置集群级别的控制，控制 pod 可以做什么或可以访问什么。