第 4 章 已知问题
已解决此 Red Hat Trusted Artifact Signer 发行版本的已知问题(RHTAS):
此版本 RHTAS 中已知的问题列表:
当将 Trusted Artifact Signer 恢复到不同的 OpenShift 集群时,ownerReferences
会丢失
将 RHTAS 数据恢复到新的 Red Hat OpenShift 集群时,组件的 ownerReferences
将会丢失。这是因为 Securesign UUID 在在新集群中恢复时发生了变化,并且每个组件的 ownerReferences
会被删除,因为它们不再有效。要临时解决这个问题,请在恢复 Securesign 资源后运行提供的脚本。https://docs.redhat.com/en/documentation/red_hat_trusted_artifact_signer/1/html/administration_guide/protect-your-signing-data#restore-owner-references-script_admin此脚本使用新的 Securesign UUID 重新创建 ownerReferences
。
为 TUF 存储库指定 PVC 名称会失败
当在更新框架(TUF)资源中指定持久性卷声明(PVC)名称时,TLTAS 操作器会导致 TUF 存储库的初始化失败。例如:
要解决这个问题,请不要在 TUF 资源中指定 PVC 名称。这允许 RHTAS 操作器自动创建 PVC,将其命名为 tuf
,并正确初始化 TUF 存储库。
升级后,Rekor Search UI 不会显示记录
在将 RHTAS 操作器升级到最新版本(1.0.1)后,在按电子邮件地址搜索时找不到现有的 Rekor 数据。backfill-redis
CronJob,它确保 Rekor Search UI 可以在午夜仅查询每天运行一次的透明日志。要解决这个问题,您可以手动触发 backfill-redis
作业,而不是等待午夜。
要从命令行界面触发 backfill-redis
作业,请运行以下命令:
oc create job --from=cronjob/backfill-redis backfill-redis -n trusted-artifact-signer
$ oc create job --from=cronjob/backfill-redis backfill-redis -n trusted-artifact-signer
这样做会将缺少的数据重新添加到 Rekor Search UI 中。
Trusted Artifact Signer operator 不会应用配置更改
我们发现了 RHTAS 操作器逻辑的潜在问题,在重新部署时可能会导致意外状态。如果从 RHTAS 资源中删除配置,并且操作员尝试重新部署这些资源,则可能会出现不一致的状态。要解决这个问题,您可以删除特定资源,然后使用以前的实例配置(如密钥和持久性卷)重新创建该资源。RHTAS 资源为:Securesign、Fulcio、更新框架(TUF)、Rekor、证书转换(CT)日志或 Trillian。
例如,要删除 Securesign
资源:
oc delete Securesign securesign-sample
$ oc delete Securesign securesign-sample
例如,要从配置文件重新创建 Securesign
资源:
oc create -f ./securesign-sample.yaml
$ oc create -f ./securesign-sample.yaml
Operator 在恢复到不同的 OpenShift 集群后不会更新组件状态
当将 RHTAS 签名器数据从备份恢复到新的 OpenShift 集群时,组件状态链接不会如预期更新。目前,您必须手动删除 securesign-sample-trillian-db-tls
资源,并手动更新组件状态链接。RHTAS 操作器将在移除后自动重新创建更新的 securesign-sample-trillian-db-tls
资源。
在备份过程启动后,删除 securesign-sample-trillian-db-tls
资源:
Example
oc delete secret securesign-sample-trillian-db-tls
$ oc delete secret securesign-sample-trillian-db-tls
所有 pod 启动后,更新 Securesign
、和 TimestampAuthority
的状态文件:
Example
oc edit --subresource=status Securesign securesign-sample oc edit --subresource=status TimestampAuthority securesign-sample
$ oc edit --subresource=status Securesign securesign-sample
$ oc edit --subresource=status TimestampAuthority securesign-sample
可信工件签名程序需要 cosign
2.2 或更高版本
由于最近对生成更新框架(TUF)存储库和使用不同的校验和算法的改变,因此我们需要使用 cosign
版本 2.2 或更高版本。在这个版本中,您可以下载 cosign
版本 2.4 以用于受信任的 Artifact Signer。