第 3 章 功能增强

Cryostat 3.0 包括了在 Cryostat 2.4 产品上构建的功能增强。

Cryostat 容器的改进

在本发行版本中，主 Cryostat 容器(cryostat)已被使用 Quarkus 重新实现。在以前的版本中，cr yostat 容器直接使用 Eclipse Vert.x 构建。

此功能增强允许 Cryostat 利用 Quarkus 框架的优点和功能，这使得 Cryostat 能够为您的 JDK Flight Recorder 数据提供更高的性能访问，以及更好的数据完整性和安全性。

Cryostat API 支持创建多命名空间 Cryostat 实例

从 Cryostat 3.0 开始，Cryostat API 支持创建单命名空间和多命名空间 Cryostat 实例。当使用 Cryostat Operator 安装 Cryostat 实例时，Cryostat API 现在允许您指定可选的目标命名空间列表。这会替换之前的一个版本中的 behavior，其中 Cryostat API 仅支持创建单命名空间实例。

访问 Cryostat 的 RBAC 增强

Cryostat 现在对所有用户应用相同的基于角色的访问控制(RBAC)权限检查，以便允许或拒绝对产品的访问。默认情况下，Cryostat 应用程序的安装命名空间中的所需的 RBAC 角色是 创建 pod/exec。

任何分配了所需 RBAC 角色的 Red Hat OpenShift 用户帐户现在都具有对 Cryostat web 控制台和所有 Cryostat 功能的完整访问权限。如果 Red Hat OpenShift 帐户没有所需的 RBAC 角色，则此用户将阻止访问 Cryostat。

当使用 Cryostat Operator 安装 Cryostat 实例时，您可以选择使用 Cryostat 自定义资源(CR)中的 .spec.authorizationOptions.openShiftSSO.accessReview 字段来自定义访问 Cryostat 所需的 RBAC 权限。

此增强会取代之前版本的行为，您可以在其中为不同的用户帐户配置不同的授权级别。

Cryostat CR 验证增强

Cryostat Operator 现在会在接受这些对象进行处理前对 Cryostat CR 对象执行额外的验证检查。一个值得注意的验证检查是，创建一个带有目标命名空间列表的 Cryostat CR 的用户必须具有足够权限才能在这些目标命名空间中创建单命名空间 Cryostat CR。

Cryostat Helm Chart 配置更改

现在，您可以为 Cryostat Helm Chart 设置以下配置参数：

有关配置参数的完整列表，请参阅 Cryostat Helm Chart readme 文件。

Cryostat 代理嵌入的 Web 服务器

在 Cryostat 代理启动时，代理启动嵌入的 Web 服务器，用于服务来自 Cryostat 服务器的请求。嵌入的 Web 服务器使用基本身份验证保护其自身。

在以前的版本中，基本用户名始终是 用户，并且随机生成的密码由 24 ASCII 字符组成。在 Cryostat 3.0 中，默认用户名是 user，默认密码长度为 24 个字符，但用户名和密码长度都是可配置的。在本发行版本中，与之前版本相比，随机生成的密码也基于更大的字符集。

Cryostat 代理端口增强

将应用程序配置为使用 Cryostat 代理时，代理基本 URI 现在默认使用端口 4180。这会取代之前版本的行为，其中代理基础 URI 使用端口 8181。

此功能增强是因为在 Cryostat 3.0 中引入了反向代理架构。端口 4180 是 auth 代理的 HTTP 端口，它将授权请求传递给 Cryostat。因此，您必须配置 Cryostat 代理，将请求发送到端口 4180 而不是直接发送到端口 8181，因为 Cryostat HTTP 端口现在在代理后面被隐藏。