5.4. OpenShift Data Foundation 控制台

由最终用户在 openshift-storage 中创建的 Pod 不再导致错误

在以前的版本中，当 pod 由最终用户在 openshift-storage 中创建时，可能会导致控制台拓扑页面中断。这是因为没有 ownerReferences 的 pod 不被视为设计的一部分。

在这个版本中，没有所有者引用的 pod 会过滤掉，只有具有正确 ownerReferences 的 pod 才会显示。这允许拓扑页面正常工作，即使 pod 任意添加到 openshift-storage 命名空间。

(BZ#2245068)

应用对象存储桶声明(OBC)不再会导致错误

在以前的版本中，当使用 OpenShift Web 控制台将 OBC 附加到部署时，即使 表单中没有错误，也会显示错误 Address 表单错误。在这个版本中，表单验证已被更改，不再出现错误。

(BZ#2302575)

禁用服务帐户令牌的自动挂载以提高安全性

默认情况下，无论 pod 是否需要与 OpenShift API 交互，OpenShift 会自动将服务帐户令牌挂载到每个 pod 中。此行为可以公开 pod 的服务帐户令牌来意外的使用。如果 pod 被破坏，攻击者可以获得对此令牌的访问权限，从而导致集群中的权限升级可能。

如果默认服务帐户令牌不必要地挂载，并且 pod 被破坏，攻击者可以使用服务帐户凭证与 OpenShift API 交互。此访问可能会导致严重的安全漏洞，如集群内的未授权操作、暴露敏感信息或整个集群中的特权升级。

为缓解此漏洞，除非应用程序在 pod 中运行，否则禁用服务帐户令牌的自动挂载。对于 ODF 控制台 pod，通过设置 pod 或服务帐户定义中的 automountServiceAccountToken: false 来禁用默认服务帐户令牌的自动挂载。

在这个版本中，除非明确需要，pod 不再自动挂载服务帐户令牌。这降低了在 pod 被破坏时，权限升级或服务帐户滥用的风险。

(BZ#2302857)

供应商模式集群不再有连接到外部 RHCS 集群的选项

在以前的版本中，在供应商模式部署期间，可以选择部署外部 RHCS。这会导致部署不被支持。

在这个版本中，连接到外部 RHCS 已被阻止，因此用户不会与不受支持的部署结束。

(BZ#2312442)