第 4 章 已知问题


已解决此 Red Hat Trusted Artifact Signer 发行版本的已知问题(RHTAS):

此版本 RHTAS 中已知的问题列表:

当将 Trusted Artifact Signer 恢复到不同的 OpenShift 集群时,ownerReferences 会丢失

将 RHTAS 数据恢复到新的 Red Hat OpenShift 集群时,组件的 ownerReferences 将会丢失。这是因为 Securesign UUID 在在新集群中恢复时发生了变化,并且每个组件的 ownerReferences 会被删除,因为它们不再有效。要临时解决这个问题,请在恢复 Securesign 资源后运行提供的脚本。https://docs.redhat.com/en/documentation/red_hat_trusted_artifact_signer/1/html/administration_guide/protect-your-signing-data#restore-owner-references-script_admin此脚本使用新的 Securesign UUID 重新创建 ownerReferences

为 TUF 存储库指定 PVC 名称会失败

当在更新框架(TUF)资源中指定持久性卷声明(PVC)名称时,TLTAS 操作器会导致 TUF 存储库的初始化失败。例如:

spec:
...
  tuf:
    ...
      pvc:
        name: tuf-pvc-example-name
...
Copy to Clipboard Toggle word wrap

要解决这个问题,请不要在 TUF 资源中指定 PVC 名称。这允许 RHTAS 操作器自动创建 PVC,将其命名为 tuf,并正确初始化 TUF 存储库。

升级后,Rekor Search UI 不会显示记录

在将 RHTAS 操作器升级到最新版本(1.0.1)后,在按电子邮件地址搜索时找不到现有的 Rekor 数据。backfill-redis CronJob,它确保 Rekor Search UI 可以在午夜仅查询每天运行一次的透明日志。要解决这个问题,您可以手动触发 backfill-redis 作业,而不是等待午夜。

要从命令行界面触发 backfill-redis 作业,请运行以下命令:

$ oc create job --from=cronjob/backfill-redis backfill-redis -n trusted-artifact-signer
Copy to Clipboard Toggle word wrap

这样做会将缺少的数据重新添加到 Rekor Search UI 中。

Trusted Artifact Signer operator 不会应用配置更改

我们发现了 RHTAS 操作器逻辑的潜在问题,在重新部署时可能会导致意外状态。如果从 RHTAS 资源中删除配置,并且操作员尝试重新部署这些资源,则可能会出现不一致的状态。要解决这个问题,您可以删除特定资源,然后使用以前的实例配置(如密钥和持久性卷)重新创建该资源。RHTAS 资源为:Securesign、Fulcio、更新框架(TUF)、Rekor、证书转换(CT)日志或 Trillian。

例如,要删除 Securesign 资源:

$ oc delete Securesign securesign-sample
Copy to Clipboard Toggle word wrap

例如,要从配置文件重新创建 Securesign 资源:

$ oc create -f ./securesign-sample.yaml
Copy to Clipboard Toggle word wrap

Operator 在恢复到不同的 OpenShift 集群后不会更新组件状态

当将 RHTAS 签名器数据从备份恢复到新的 OpenShift 集群时,组件状态链接不会如预期更新。目前,您必须手动删除 securesign-sample-trillian-db-tls 资源,并手动更新组件状态链接。RHTAS 操作器将在移除后自动重新创建更新的 securesign-sample-trillian-db-tls 资源。

在备份过程启动后,删除 securesign-sample-trillian-db-tls 资源:

Example

$ oc delete secret securesign-sample-trillian-db-tls
Copy to Clipboard Toggle word wrap

所有 pod 启动后,更新 Securesign、和 TimestampAuthority 的状态文件:

Example

$ oc edit --subresource=status Securesign securesign-sample
$ oc edit --subresource=status TimestampAuthority securesign-sample
Copy to Clipboard Toggle word wrap

可信工件签名程序需要 cosign 2.2 或更高版本

由于最近对生成更新框架(TUF)存储库和使用不同的校验和算法的改变,因此我们需要使用 cosign 版本 2.2 或更高版本。在这个版本中,您可以下载 cosign 版本 2.4 以用于受信任的 Artifact Signer。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat