红帽全球峰会1.24. Red Hat OpenShift GitOps 1.10.0 发行注记
Red Hat OpenShift GitOps 1.10.0 现在包括在 OpenShift Container Platform 4.12、4.13 和 4.14 中。
1.24.1. 勘误更新
1.24.1.1. RHSA-2023:5407 和 RHEA-2023:5408 - Red Hat OpenShift GitOps 1.10.0 安全更新公告
发布日期:2023 年 9 月 29 日
此发行版本中包括的安全修复和增强列表记录在以下公告中:
如果您在 default 命名空间中安装了 Red Hat OpenShift GitOps Operator,请运行以下命令来查看此发行版本中的容器镜像:
$ oc describe deployment gitops-operator-controller-manager -n openshift-gitops-operator
1.24.2. 新功能
当前发行版本包括以下改进:
在这个版本中,Argo CD CRD API 版本从
v1alpha1升级到v1beta1到 accomodate 破坏的变化,从而导致.spec.dex和某些.spec.sso字段造成的中断更改。为了简化现有v1alpha1Argo CD CR 的自动迁移到v1beta1,实施了转换 Webhook 支持。GITOPS-3040注意默认情况下,只有 OLM 安装的 Operator 启用了转换 Webhook。对于 Operator 的非OLM 安装,启用 Webhook 是可选的。但是,在没有转换 Webhook 支持的情况下,您必须手动将任何现有的 Argo CD
v1alpha1CR 迁移到v1beta1。在这个版本中,Red Hat OpenShift GitOps Operator 在 web 控制台的 Administrator 视角中部署三个监控仪表板。三个仪表板包括 GitOps 概述、GitOps 组件和 GitOps gRPC。要访问这些仪表板,请访问 Observe
Monitoring。GITOPS-1767 注意不支持禁用或更改仪表板的内容。
- 在以前的版本中,时间戳以 Unix epoch 格式显示。在这个版本中,时间戳被改为 RFC3339 格式,例如:2023-06-27T07:12:48-04:00 来提高总体可读性。GITOPS-2898
-
在这个版本中,
openshift-gitops命名空间中的默认 Argo CD 实例默认为非管理员用户具有 restricted 权限。这提高了安全性,因为非管理员用户无法再访问敏感信息。但是,作为管理员,您可以通过配置 Argo CD RBAC,为非 admin 用户授予由默认openshift-gitopsArgo CD 实例管理的资源的访问权限。这个更改只适用于默认的openshift-gitopsArgo CD 实例。GITOPS-3032 在这个版本中,Red Hat OpenShift GitOps Operator 的默认安装命名空间被改为自己的命名空间,名为
openshift-gitops-operator。您仍然可以在安装时通过 OperatorHub UI 中的下拉菜单选择旧的默认安装命名空间openshift-operators。您还可以通过选择复选框在新命名空间中启用集群监控,从而使 Operator 的性能指标可在 OpenShift Container Platform Web 控制台中访问。GITOPS-3073注意只有在 Operator 安装至默认命名空间
openshift-gitops-operator时,Red Hat OpenShift GitOps Operator 的指标才可用。在这个版本中,Red Hat OpenShift GitOps Operator 会导出自定义指标,允许您跟踪 Operator 的性能。以下是导出的指标:
-
active_argocd_instances_total:这显示了当前在集群中管理的 Argo CD 实例的数量。 -
active_argocd_instances_by_phase{phase="<_PHASE>"}:这显示了给定阶段中的 Argo CD 实例数量,如 pending, available 等。 -
active_argocd_instance_reconciliation_count{namespace="<_YOUR-DEFINED-NAMESPACE>"}: 这显示了给定命名空间中实例被协调的次数。 controller_runtime_reconcile_time_seconds_per_instance{namespace="<_YOUR-DEFINED-NAMESPACE>"}: 此指标按给定命名空间中实例的持续时间显示协调周期的分布。要访问这些指标,请进入 web 控制台中的 Observe 选项卡,并针对监控堆栈运行查询。GITOPS-2645
注意您需要在默认的
openshift-gitops-operator命名空间中安装 Red Hat OpenShift GitOps Operator,并启用了监控来自动提供这些指标。
-
在此次更新之前,没有选择在不同应用程序控制器分片中平均分布目标集群的算法。现在,您可以将分片算法设置为
round-robin参数,该参数在不同的应用程序控制器分片中平均分配集群,以便在分片中平均分配同步负载。GITOPS-3288重要循环分片算法是一个技术预览功能。在此次更新之前,没有动态扩展应用程序控制器副本的选项。现在,您可以根据每个应用程序控制器管理的集群数量动态扩展应用程序控制器的数量。GITOPS-3287
重要动态扩展分片是一项技术预览功能。
1.24.3. 弃用和删除的功能
在这个版本中,以下已弃用的
sso和dex字段已从 Argo CD CR 中删除:-
.spec.sso.image,.spec.sso.version,.spec.sso.resources, 和.spec.sso.verifyTLS字段(用于 keycloak SSO 配置) .spec.dex字段以及DISABLE_DEX环境变量另外,也会删除
.status.dex和.status.ssoConfig字段,并引入了一个新的 status 字段.status.sso。新字段反映通过.spec.sso.provider字段配置的 SSO 提供程序(dex 或 keycloak)的工作负载状态。GITOPS-2473重要要配置 dex 或 keycloak SSO,请使用
.spec.sso下的等效字段。
-
在这个版本中,已弃用的
.spec.resourceCustomizations字段已从 Argo CD CR 中删除。程序错误修复和支持仅在 Red Hat OpenShift GitOps v1.9 生命周期结束时提供。作为.spec.resourceCustomizations的替代选择,您可以使用.spec.resourceHealthChecks、.spec.resourceIgnoreDifferences和.spec.resourceActions字段。GITOPS-3041重要为了防止在升级到 Red Hat OpenShift GitOps Operator v1.10.0 时出现数据丢失,请确保在 Argo CD CR 中使用它时备份
.spec.resourceCustomization值。-
在这个版本中,已弃用的传统配置管理插件(CMPs)功能,在
argocd-cm配置映射或 Operator 中指定,通过 Argo CD CR 中的.spec.configManagementPlugins字段删除。要继续使用旧插件,请考虑通过 Argo CD CR 中的.spec.repo.sidecarContainers字段将它们迁移到 Operator 中可用的新 sidecar。GITOPS-3462
1.24.4. 修复的问题
在当前发行版本中解决了以下问题:
-
在此次更新之前,Red Hat Redis 有漏洞。在这个版本中解决了这个问题,将 Redis 升级到
registry.redhat.io/rhel-8/redis-6的最新版本。GITOPS-3069 -
在此次更新之前,当用户在 GitLab 中使用 scmProvider 时,会出现一个 "x509: certificate signed by unknown authority" 错误。在这个版本中,为带有 GitLab 的 scmProvider 的
Insecure标志添加对 Insecure 标志的支持,并在 applicationSet 控制器上挂载 TLS 证书的选项解决了这个问题。然后,这个证书可用于与 GitLab 的 scmProvider 交互。GITOPS-3107
