红帽全球峰会第 3 章 程序错误修复
在此 Red Hat Trusted Artifact Signer (RHTAS)发行版本中,我们修复了以下 bug。除了这些修复外,我们还列出了我们修复的早期版本中已知的问题描述。
检测 OpenShift 环境时对 operator 逻辑的更新
在 OpenShift 集群重启期间,T RHTAS 操作器逻辑用于检测 OpenShift 环境是不可靠的。Operator 会错误地认为它在非 OpenShift 环境中运行,并错误地配置了系统。这会导致 API 不可用,Trillian 数据库 pod 无法启动。这也会导致 OpenShift 安全性上下文约束(SCC)违反。
在这个版本中,我们删除了 RHTAS 操作器中的 OpenShift 环境的动态检测。在安装 RHTAS operator 期间,必须使用新的 OPENSHIFT 环境变量明确配置目标环境。这样做可确保 RHTAS 操作器一致应用用于部署的正确配置。使用 Operator Lifecycle Manager (OLM)部署 RHTAS 操作器,默认情况下将 OPENSHIFT 环境变量设置为 true。因此,RHTAS 操作器一致配置系统,从而防止重新启动服务启动问题,不再违反 OpenShift SCC。
企业合同速度更快且效率更高
在此次更新之前,企业合同(EC)将从配置的源下载策略和策略数据,以验证每个组件。这会导致 ec validate image 命令通过下载超过所需数据来运行更长。在本发行版本中,当 ec validate image 命令检测到相同的策略源来验证不同的容器镜像时,它不再会多次下载策略数据。
Operator 在 nil pointer 异常上终止
当 fulcio.spec.privateKeyPasswordRef 的 Certificate Transparency 日志'(CTlog)密码被错误设置时,RH RHTAS operator 会终止且没有有意义的错误消息。在这个版本中,我们为此场景添加了更强大的错误处理,并在未正确设置 CTlog 时更有意义的 operator 错误消息。
Fulcio 证书的常见名称错误
sigstore.issuer 字段被硬编码为使用 spec.certificate.commonName 中指定的通用 name 值用于 Fulcio 证书。在这个版本中,我们添加了相应的逻辑来正确设置 sigstore.issuer 字段。如果 spec.certificate.commonName 为空,则我们根据 spec.externalAccess.host 值设置 sigstore.issuer。如果 spec.certificate.commonName 和 spec.externalAccess.host 为空,则将 sigstore.issuer 设置为 OpenShift 集群的域名。因此,我们为 Fulcio 证书正确设置了通用名称。
从 Operator 中删除了 kube-rbac-proxy
弃用了 kube-rbac-proxy 的 -- 标志后,我们在安装 RHTAS operator 时删除了基于角色的访问控制(RBAC) HTTP 代理资源。因此,您需要在 Operator 命名空间中有一个预定义的证书和私钥。默认 operator 命名空间为 tls-cert-file 和--tls-private-key-fileopenshift-operators。因此,我们不再使用此 RBAC HTTP 代理资源来保护 Operator 控制器的 /metrics API 端点。
默认启用 Rekor 搜索 UI
在这个版本中,用户不再需要手动安装 Rekor 搜索用户界面(UI)。我们默认启用 Rekor 搜索 UI。
CreateTree 任务在失败后继续运行
在删除并重新安装 RHTAS 服务时,CreateTree 任务在某些情况下可能会持续运行,从而防止后续安装成功。在这个版本中,如果 RHTAS 安装过程检测到 CreateTree 任务正在运行,则它将清理任务而无需用户干预。如需了解更多详细信息,请参阅 GitHub 问题 #230。
将 kube-rbac-proxy 的上游版本替换为支持的版本
Red Hat Trusted Artifact Signer 1.0 与 Role-base 访问控制(RBAC)代理容器( gcr.io/kubebuilder/kube-rbac-proxy )提供的上游版本提供。在这个版本中,我们将上游版本替换为官方支持的红帽版本 registry.redhat.io/openshift4/ose-kube-rbac-proxy。
当没有足够的内存可用时,可信工件 Signer operator 可能会崩溃
在安装 RHTAS 操作器的过程中,如果没有足够的内存分配,这会导致 CrashLoopBackoff 状态。此崩溃导致 RHTAS 操作器无法正确安装。
在这个版本中,我们增加了 RHTAS operator 的内存分配,使其成功安装。
缺少企业合同二进制下载
当用户试图下载企业合同(EC)二进制文件时,它们会收到 404 页面。由于 Windows 的 EC 二进制文件的路径设置不正确,因此这会产生 404 页面。在这个版本中,Windows 的 EC 二进制文件的路径会被正确设置,不再提供 404 页面。
cosign Windows 可执行文件缺少 .exe 扩展
下载二进制文件时,Windows 的 cosign 二进制文件缺少 .exe 文件扩展名。缺少 .exe 文件名扩展不允许 cosign 二进制文件在 Windows 上运行。在这个版本中,co sign 二进制文件扩展 .exe 文件名,并在 Windows 中按预期运行。
升级 Trusted Artifact Signer operator 的技术预览版本会失败
在以前的版本中,RHTAS operator 的技术预览版本(0.0.2)会自动升级到 GA 版本(1.0.0),从而导致升级失败。如果 Securesign 实例及其自定义资源(CR)已存在,则从技术预览版本升级不再会失败。
分段备份作业的集群权限
在以前的版本中,负责收集 Rekor 和 Fulcio 指标的片段备份服务帐户的基于角色的访问控制(RBAC)错误配置有升级的权限。在启用片段备份作业时,这些升级的特权可以读取集群范围的 secret。
随着此版本的 RHTAS,我们通过限制片段备份服务帐户的特权来解决错误配置。现在,我们默认启用收集这些指标。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}