1.2. 新功能

在这个版本中，RHACS 包括主要的架构更改，将 Central 数据库移到 PostgreSQL。这个变化提供了重要的性能和扩展优势。

默认情况下，RHACS 安装包含 PostgreSQL 数据库。未来计划包括能够使用您自己的 PostgreSQL 兼容软件。RHACS 4.0 将此功能作为技术预览功能，但有一些限制。如需更多信息，请参阅"使用外部 PostgreSQL 数据库安装 Central" （技术预览）。

RHACS 包括依赖于新架构的功能。具体来说，3.74 中引入了使用集合的策略标准和漏洞报告，现已正式发布。

有关 RHACS 4.0 新安装的说明，请参阅支持的平台和安装方法。

为了防止在使用 Operator 时自动升级，RHACS 4.0 使用新的订阅频道。在这个版本中，RHACS Operator 能够遵守红帽标准，并提供与其他 Red Hat Operator 的一致性。如升级说明所述，升级时必须明确更改订阅频道。在当前 RHACS Operator 频道中保留 latest 频道的客户将继续接收 3.74 更新，直到它不再被支持为止。RHACS 3.74 的生命周期已延长 3 个月，以便您有更多时间迁移到 RHACS 4.0。升级过程包括自动迁移数据库，不需要干预。

升级 Central 后，在所有安全集群中升级订阅频道。

建议您在暂存环境中评估升级，然后再将其推送到生产环境，以确保您的唯一环境不存在不可预见的问题。

文档提供了回滚到以前的版本（如有必要）的详细信息。在升级前，按照 记录的备份步骤备份 现有的 Central 数据库，以便在需要时可以回滚到以前的版本。建议您将回滚到暂存环境中的旧版本，以确保您的备份成功，并且回滚之前的版本会使系统返回到预期的操作状态。

要将 RHACS 升级到 4.0，请执行以下步骤：

有关升级的其他说明，请参阅"升级文档"部分中的文档。使用 Helm 和 roxctl 升级的流程现在包括升级 Central 前备份 Central 数据库的步骤。

要升级 RHACS，您必须为安全集群将 Operator 频道切换到 stable。

有关升级到 4.0 版本的更多信息，请参阅以下文档：

在这个版本中，您可以测试使用现有 PostgreSQL 基础架构为 RHACS 置备数据库。

RHACS 4.0 将此功能作为技术预览功能包含在生产系统中，它不被支持。它目前有一些限制，包括特权超级用户访问权限的需求。红帽正在寻求客户反馈和测试。

如需更多信息，请参阅使用 Operator 方法安装带有外部数据库的 Central。

Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service)提供了一个完全托管的中央实例，允许您保护内部和基于云的 Kubernetes 集群。

RHACS 云服务可供批准的客户使用。客户可以使用 Amazon Web Services (AWS) Marketplace 或其常规的红帽频道获取 RHACS 云服务。如需更多信息，请联系红帽销售。

在有限可用性阶段，红帽将为承诺的服务级别协议(SLA)和响应时间提供全面支持。红帽还会继续提供反馈和常规问题的电子邮件列表。以下项目适用于 RHACS 云服务有限的可用性：

在这个版本中，RHACS Cloud Service 会收集有关产品使用和产品配置的匿名聚合信息，默认启用。要了解更多有关遥测的信息，或参阅选择停用的说明，请参阅关于 Telemetry。

RHACS 为安全漏洞提供 RHCOS 节点主机扫描。此功能的范围仅限于扫描在节点主机上安装的 RHCOS RPM，作为任何已知漏洞的 RHCOS 安装的一部分。此功能提供以下功能：

要查看 OpenShift Container Platform 和 RHCOS 的 RHEL 版本列表，请参阅 RHEL CoreOS 和 OCP 使用的 RHEL 版本。

有关漏洞扫描的更多信息，请参阅 扫描 RHCOS 节点主机。

RHACS 现在提供在安全集群中侦听端口的所有进程列表。这些信息可帮助您关联哪些部署和相关进程具有开放端口，并更好地评估集群安全性。

此功能可用于使用 v1/listening_endpoints API 的部署。计划在以后的发行版本中对这个功能的 RHACS Web 门户更改。在这个发行版本中，存在以下已知的限制：

如需更多信息，进入 RHACS 门户中的 Help API 参考。

Network Graph (2.0 preview)已更新，以解决用户反馈并增加改进。进行了以下更改：

如需更多信息，请参阅 网络图(2.0 preview)。

在以联邦信息处理标准(FIPS)模式运行的 OpenShift Container Platform 4.12 集群中验证 RHACS 功能。

在 RHACS 中使用 API 令牌进行某些系统集成、身份验证进程和系统功能。API 令牌将在 1 年后过期。此发行版本添加了一个自动通知过程，为令牌创建在不到 1 周的警告信息。这些消息会出现在 Central 日志中。您可以将您的系统配置为在收到这些消息时提醒您，以便您了解何时需要生成新令牌。如需更多信息，请参阅关于 API 令牌过期。

RHACS 减少了 Sensor 与 Central 重新同步所需的 CPU 用量量。在运行 RHACS 版本 4.0 的所有 sensors 中，可以使用 ROX_RESYNC_DISABLED="true" 环境标记启用改进。默认情况下，此变量被禁用，或设置为 false。

如果没有改进，Sensor 会每分钟重新处理 Kubernetes 和 Red Hat OpenShift 特定事件，这会显著增加 CPU 消耗，特别是对于有很多 pod 或部署的大型集群。在这个版本中，不再需要重新处理，这可显著减少 CPU 的负载。