红帽全球峰会1.16. RHBA-2023:3256 - Red Hat Quay 3.9.0 发行版本
2023 年 8 月 14 日发布
Red Hat Quay 版本 3.9.0 现在包括在 Clair 4.7 中。此更新包括的程序错误修正信息包括在 RHBA-2023:3256 公告中。
1.16.1. Red Hat Quay 发行节奏
在下一个 Red Hat Quay 版本 3.10 发行版本中,产品将开始与 OpenShift Container Platform 的发布节奏和生命周期保持一致。因此,Red Hat Quay 3.10 会在 OpenShift Container Platform 4.14 发行版本的大约四周内提供,该版本当前计划于 2024 年初期发布。
使用当前发行版本模型,Red Hat Quay 3.8 和 Red Hat Quay 3.9 的总支持长度会因为 Red Hat Quay 3.10 的版本早于之前的版本而缩短。为了方便客户准备更新,在 Red Hat Quay 3.8 和 Red Hat Quay 3.9 发布之外,已修改对 Red Hat Quay 3.8 和 Red Hat Quay 3.9 的全面支持和维护阶段。这是一次修改。在 Red Hat Quay 3.10 及后续版本发布后,用户可以期望 Red Hat Quay 的支持生命周期阶段与 OpenShift Container Platform 版本保持一致。
如需更多信息,请参阅 Red Hat Quay 生命周期政策。
1.16.2. Red Hat Quay 的新功能和增强
对 Red Hat Quay 进行了以下更新:
1.16.2.1. Clair 4.7
Clair 4.7 作为 Red Hat Quay 3.9 的一部分发布。
自 2023 年 9 月 25 日起,用于 Java 漏洞匹配的代码 Ready Dependency Analytics (CRDA)服务将不再可用于 Clair。服务的 API 移到不同的端点,没有计划更新 Clair 来支持这个新端点。相反,用户应升级到 Red Hat Quay 3.9,以便继续获取由 Clair 从存储在 Red Hat Quay 的容器镜像索引的 Java Maven 软件包的 CVE 报告,并不需要单独的 API 密钥。
Clair 的其他改进包括:
- 对容器镜像中的 Golang 模块和 RubeGems 进行原生支持。
更改为 OSV.dev 作为任何编程语言软件包管理器的漏洞数据库源。
- 这包括 GitHub 安全公告或 PyPA 等流行源。
- 这允许离线功能。
- 将 pyup.io 用于 Python,CRDA 用于 Java 已被暂停。
- Clair 现在支持 Java、Golang、Python 和 Ruby 依赖项。
1.16.2.2. 在地理复制环境中删除单个站点
Red Hat Quay 管理员现在可以从其地理复制的环境中删除特定的站点。
1.16.2.3. 配额管理增强
在 Red Hat Quay 3.9 之前,配额管理功能通过将清单大小合并到存储库和命名空间级别来创建总计。这会产生一个问题,因为在单个 blob 中可以计算总数内多次。例如,在以前的 Red Hat Quay 版本中,如果在存储库和命名空间中多次引用 blob,则 blob 每次被引用时计算为分配的配额。
在这个版本中,单个 blob 大小总和在存储库和命名空间级别。例如,如果同一存储库中的两个标签引用同一 blob,则该 blob 的大小现在仅为总存储库计算一次。此配额管理功能的增强的工作原理是计算使用回填 worker 的现有存储库和命名空间的大小,然后为在words 后推送或垃圾收集的每个镜像添加或减小。另外,当清单垃圾回收时,从总中减去会发生,而过去在标签被删除时发生。
注意因为在收集清单时从总数中减去,所以大小计算中有一个延迟,直到能够收集垃圾回收为止。有关 Red Hat Quay 垃圾回收的更多信息,请参阅 Red Hat Quay 垃圾回收。
另外,清单列表总数现在计算在存储库总数中,从以前的 Red Hat Quay 版本升级时所消耗的配额总数可能会在 Red Hat Quay 3.9 中报告不同。在某些情况下,新总计可能会超过存储库的之前设置的限制。Red Hat Quay 管理员可能需要调整一个存储库分配的配额,以考虑这些更改。
Red Hat Quay 3.9 中的配额管理功能一起提供了更准确的存储增长和 registry 消耗描述。因此,用户可以根据 Red Hat Quay 的实际使用存储,对命名空间和存储库大小设置配额限制。
如需更多信息,请参阅 Red Hat Quay 3.9 的配额管理
1.16.2.4. 为 Splunk 配置操作日志存储
在这个版本中,Red Hat Quay 管理员可以将日志转发到 Splunk 部署。这样,管理员可以执行日志分析和卸载内部数据库。
如需更多信息,请参阅为 Splunk 配置操作日志存储。
1.16.2.5. Red Hat Quay UI v2 的改进
在 Red Hat Quay 3.8 中,引入了一个新的 UI 作为技术预览。在 Red Hat Quay 3.9 中,对 UI v2 进行了以下改进:
- 创建机器人帐户的选项卡。
- 机构设置标签页。
- 镜像标签选项卡。
- 存储库设置选项卡。
- 概述、安全报告和软件包漏洞报告.
有关 UI v2 启用的更多信息,请参阅使用 Red Hat Quay v2 UI。
1.16.2.6. Nutanix 对象存储
在这个版本中,支持 Nutanix Object Storage。如需更多信息,请参阅 Nutanix Object Storage。
1.16.3. 新的 Red Hat Quay 配置字段
在 Red Hat Quay 3.9 中添加以下配置字段:
在配额管理功能中添加了以下配置字段:
QUOTA_BACKFILL :启用配额回填 worker 来计算预先存在的 Blob 的大小。因为此参数总和数据库中的重复数据删除总数,所以可能会增加数据库负载。
默认 :
TrueQUOTA_TOTAL_DELAY_SECONDS :启动配额回填的时间延迟。滚动部署可能会导致总数不正确。此字段 必须设置为 比滚动部署完成的时间更长的时间。
默认 :
1800PERMANENTLY_DELETE_TAGS :启用与从时间窗移除标签相关的功能。
默认 :
FalseRESET_CHILD_MANIFEST_EXPIRATION :重置以子清单为目标的临时标签过期。将此功能设置为
True时,子清单会立即收集垃圾回收。默认 :
False
如需更多信息,请参阅 Red Hat Quay 3.9 的配置更新。
添加了以下配置字段来增强 Red Hat Quay 安全扫描程序功能:
FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX :是否允许向新推送发送漏洞通知。
默认 :
True如需更多信息,请参阅 安全扫描程序配置字段。
添加了以下配置字段来配置,在从 3.8
3.9 升级时,Red Hat Quay 是否会自动删除旧的持久性卷声明(PVC): POSTGRES_UPGRADE_RETAIN_BACKUP :设置为
True时,PostgreSQL 10 中的持久性卷声明会被备份。默认 :
False
添加了以下配置字段来跟踪各种事件:
ACTION_LOG_AUDIT_LOGINS :当设为
True时,跟踪高级事件,如登录和注销、UI 以及将 Docker 用于常规用户、机器人帐户,以及特定于应用的令牌帐户。默认 :
True
1.16.4. Red Hat Quay Operator
对 Red Hat Quay Operator 进行了以下更新:
目前,Red Hat Quay Operator 和 Clair 使用 PostgreSQL 10。PostgreSQL 10 在 2022 年 11 月 10 日已发布,并不再被支持。
在这个版本中,如果您的数据库由 Red Hat Quay Operator 管理,则从 Red Hat Quay 3.8
3.9 更新会自动处理将 PostgreSQL 10 升级到 PostgreSQL 13。 重要需要具有受管数据库的用户从 10 到 13 升级其 PostgreSQL 数据库。
如果您不希望 Red Hat Quay Operator 从 10
13 升级 PostgreSQL 部署,您必须在 quayregistry.yaml文件中将 PostgreSQL 参数设置为managed: false。有关将数据库设置为非受管的更多信息,请参阅使用现有的 Postgres 数据库。重要- 强烈建议您升级到 PostgreSQL 13。PostgreSQL 10 在 2022 年 11 月 10 日已发布,并不再被支持。如需更多信息,请参阅 PostgreSQL 版本策略。
如果您希望 PostgreSQL 数据库与 Red Hat Enterprise Linux (RHEL)系统相同的版本,请参阅 迁移到 RHEL 8 的 RHEL 8 版本 ,或迁移到 RHEL 9 的 PostgreSQL 版本。
有关 Red Hat Quay 3.8
1.16.5. Red Hat Quay 3.9 已知问题和限制
以下小节记录了 Red Hat Quay 3.9 的已知问题和限制。
1.16.5.1. 已知问题:
1.16.5.1.1. 升级已知问题
升级 Red Hat Quay 部署时有两个已知问题:
-
如果您的 Red Hat Quay 部署从一个 y-stream 升级到下一个版本,例如从 3.8.10
3.8.11,则不得将升级频道从 stable-3.8切换到stable-3.9。在 y-stream 升级过程中更改升级频道将不允许 Red Hat Quay 升级到 3.9。这是一个已知问题,并将在以后的 Red Hat Quay 版本中解决。 -
当从 Red Hat Quay 3.7 升级到 3.9 时,您可能会收到以下错误:
pg_dumpall: error: query failed: ERROR: xlog flush request 1/B446CCD8 is not satisfied --- flushed only to 1/B0013858.这个问题的一个临时解决方案是,您可以删除 OpenShift Container Platform 部署上的quayregistry-clair-postgres-upgrade作业,这应该解决这个问题。
1.16.5.1.2. 其他已知问题
使用
conftest pull命令获取策略可能会返回以下错误:Error: download policies: client get: stat /policy/quayregistry-quay-quay-enterprise-847.apps.quaytest-847.qe.devcluster.openshift.com/conf/test/policy:latest: no such file or directory.作为临时解决方案,您可以在 registry 主机上添加oci://前缀。例如:conftest pull oci://mkoktest.quaydev.org/admin/conftest:v1
$ conftest pull oci://mkoktest.quaydev.org/admin/conftest:v1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 这是一个已知问题,并将在以后的 Red Hat Quay 版本中解决。(PROJQUAY-5573)
Red Hat Quay 3.9 引入了对配额管理功能的更改。其中一个变化是,机器窗口中的标签现在计算到您的机构配额总数中。
当代理缓存功能在新机构中启用和配置时,存在一个已知问题:在机构设置下将 硬配额检查 和时间机器集设置为超过 几秒钟 的时间。在 sum 中,代理机构中的标签都会获得一个标签过期,默认为 1 天。如果您的代理机构在机构设置下将时间机器策略设置为 几秒钟 的时间超过几秒钟,标签过期就不能立即用于垃圾回收;它必须等待到时间机器窗口之外,然后才能收集垃圾回收。由于垃圾回收后发生减法,并且修剪的标签将在您的组织设置分配的时间内保留,因此镜像标签不会立即收集垃圾回收。这会导致配额消耗指标没有更新,并运行代理机构面临分配的配额的风险。
当为代理机构配置了硬配额检查时,Red Hat Quay 管理员将想要回收时间窗内标签所占用的空间,以防止机构达到分配的配额。作为临时解决方案,您可以在 Red Hat Quay UI 上的 Organizations
Settings 下将代理机构的时间机器过期时间设置为 几秒钟。这会立即删除镜像标签,并允许更准确的配额消耗指标。 这是使用软配额检查的代理机构的非发布的非发布,可以忽略。
-
当从地理复制的 Red Hat Quay 部署中删除站点时,您可能会在运行
python -m util.removelocation:/app/lib/python3.9/site-packages/tzlocal/unix.py:141: SyntaxWarning: "is not" with literal 时收到以下错误。您是否意味着 "!="? while start is not 0: /app/lib/python3.9/site-packages/netaddr/strategy/{}init{}.py:189: SyntaxWarning: "is not" with a literal.您是否意味着 "!="? if word_sep 不是 '.您可以通过输入y来确认站点删除。这个错误是一个已知问题,并将在以后的 Red Hat Quay 版本中删除。
1.16.5.2. Red Hat Quay 3.9 限制
-
您必须使用 Splunk UI 来查看 Red Hat Quay 操作日志。目前,在 Red Hat Quay Usage Logs 页中查看 Splunk 操作日志不被支持,并返回以下消息:
Method not implemented。Splunk 不支持日志查找。
1.16.6. Red Hat Quay 程序错误修复
- 在以前的版本中,在 Red Hat Quay 轻量级目录访问协议(LDAP)部署中,存在一个禁止在团队同步和其他情况下被引用的错误。在这个版本中,Red Hat Quay 可以在全局范围内关闭引用,以确保所有组件中的正确行为。
在以前的版本中,只有最后一个访问时间戳才会记录在 Red Hat Quay 中。这个问题已被解决,现在记录以下时间戳:
- 登录到 Red Hat Quay UI。
- 从 Red Hat Quay UI 注销。
- 通过 Docker CLI (registry API)为常规用户登录。
- 通过 Docker CLI (Registry API)登录机器人帐户。
通过 Docker CLI (Registry API)登录应用特定令牌帐户。
您可以通过将
config.yaml文件中的ACTION_LOG_AUDIT_LOGINS设置为False来禁用此时间戳功能。此字段默认设置为True。注意从客户端(Docker 或 Podman)注销事件不会导致请求到 registry API,因此不可跟踪。
- PROJQUAY-4614.将 conftest mediatypes 添加到默认的 Quay 配置。
- PROJQUAY-4865.删除未使用的依赖项。
- PROJQUAY-4957.限制持续失败的清单索引。
- PROJQUAY-5009. secscan: add api client timeout.
- PROJQUAY-5018.忽略清单中的未知介质类型。
- PROJQUAY-5237.在新 UI 中,机构中的存储库数量不正确。
- PROJQUAY-4993.支持操作日志进入 Splunk.
- PROJQUAY-4567.机器人令牌.
- PROJQUAY-5289.在新 UI 中通过 SSO 登录的帐户创建一个新用户名。
- PROJQUAY-5362.API:为标签 API 添加过滤。
- PROJQUAY-5207.第 3 阶段:Quay.io 峰会交付.
- PROJQUAY-4608.Quay Operator 应该安装完全支持的 Postgres for Quay 和 Clair 版本。
- PROJQUAY-5050.无法直接向旧 UI 和新 UI 中工作的镜像提供 quay 的链接。
- PROJQUAY-5253.不要在首次登录时将短划线转换为下划线。
- PROJQUAY-4303.在存储消耗计算中会忽略多架构镜像。
- PROJQUAY-4304.空软件仓库会报告存储消耗。
- PROJQUAY-5634.oci:允许镜像配置中的可选组件设置为"null"。
- PROJQUAY-5639.通过超级用户在普通用户下删除组织 3.9.0 失败并显示未授权错误。
- PROJQUAY-5642.Redhat ACS 报告的 Quay 3.9.0 镜像高漏洞。
- PROJQUAY-5630.Quay 3.9.0 Quay 镜像高安全漏洞问题 CVE-2022-28948。
1.16.7. Red Hat Quay 功能跟踪器
Red Hat Quay 添加了新的功能,其中的一些功能当前还只是一个技术预览。技术预览功能是实验性功能,不适用于生产环境。
之前版本中的一些功能已被弃用或删除。弃用的功能仍然包含在 Red Hat Quay 中,但计划在以后的发行版本中删除,且不建议在新的部署中使用。有关 Red Hat Quay 中已弃用和删除的功能的最新列表,请参阅表 1.1。表后列出了更详细的、已弃用和删除的功能信息。
| 功能 | Quay 3.9 | Quay 3.8 | Quay 3.7 |
|---|---|---|---|
| 公开发行 | - | - | |
| 公开发行 | - | - | |
| 公开发行 | - | - | |
| Docker v1 支持 | Deprecated | 已弃用 | 公开发行 |
| 技术预览 | 技术预览 | - | |
| 公开发行 | 公开发行 | - | |
| 公开发行 | 公开发行 | - | |
| 公开发行 | 公开发行 | - | |
| 公开发行 | 公开发行 | - | |
| 公开发行 | 公开发行 | - | |
| 公开发行 | 公开发行 | - | |
| 公开发行 | 公开发行 | - | |
| 公开发行 | 公开发行 | 公开发行 | |
| 公开发行 | 公开发行 | 公开发行 | |
| 公开发行 | 公开发行 | 技术预览 | |
| 公开发行 | 公开发行 | 公开发行 | |
| 公开发行 | 公开发行 | 公开发行 | |
| 支持 Microsoft Azure Government (MAG) | 公开发行 | 公开发行 | 公开发行 |
| 技术预览 | 技术预览 | 技术预览 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}