搜索

3.3. 迁移考虑

download PDF

查看可能会影响 OpenShift Container Platform 3.11 转换到 OpenShift Container Platform 4 的更改和其他注意事项。

3.3.1. 存储注意事项

在从 OpenShift Container Platform 3.11 转换到 OpenShift Container Platform 4.12 时,请考虑以下与存储相关的变化。

本地卷持久性存储

只有在 OpenShift Container Platform 4.12 中使用 Local Storage Operator 才支持本地存储。不支持使用 OpenShift Container Platform 3.11 的 local provisioner 方法。

如需更多信息,请参阅 使用本地卷的持久性存储

FlexVolume 持久性存储

FlexVolume 插件位置已与 OpenShift Container Platform 3.11 中的不同。OpenShift Container Platform 4.12 中的新位置为 /etc/kubernetes/kubelet-plugins/volume/exec。不再支持可附加的 FlexVolume 插件。

如需更多信息,请参阅使用 FlexVolume 的持久性存储

使用容器存储接口 (CSI) 的持久性存储

使用 Container Storage Interface (CSI) 的持久性存储在 OpenShift Container Platform 3.11 中是一个技术预览功能 。OpenShift Container Platform 4.12 提供了几个 CSI 驱动程序。您还可以安装自己的驱动程序。

如需更多信息,请参阅 使用容器存储接口(CSI)的持久性存储

Red Hat OpenShift Data Foundation

OpenShift Container Storage 3 可以与 OpenShift Container Platform 3.11 一起使用,使用 Red Hat Gluster Storage 作为后端存储。

Red Hat OpenShift Data Foundation 4 可用于 OpenShift Container Platform 4,使用 Red Hat Ceph Storage 作为后备存储。

如需更多信息,请参阅使用 Red Hat OpenShift Data Foundation 的持久性存储互操作性文档。

可用的持久性存储选项

OpenShift Container Platform 4.12 中更改了对 OpenShift Container Platform 3.11 的以下持久性存储选项的支持:

  • GlusterFS 不再被支持。
  • CephFS 作为独立产品不再被支持。
  • Ceph RBD 作为独立产品不再被支持。

如果您在 OpenShift Container Platform 3.11 中使用了其中之一,则需要选择不同的持久性存储选项以便在 OpenShift Container Platform 4.12 中获得全面支持。

如需更多信息,请参阅了解持久性存储

将 in-tree 卷迁移到 CSI 驱动程序

OpenShift Container Platform 4 将树内卷插件迁移到其 Container Storage Interface (CSI) 对应部分。在 OpenShift Container Platform 4.12 中,CSI 驱动程序是以下 in-tree 卷类型的新默认值:

  • Amazon Web Services(AWS)Elastic Block Storage(EBS)
  • Azure Disk
  • Google Cloud Platform Persistent Disk (GCP PD)
  • OpenStack Cinder

卷生命周期(如创建、删除、挂载和卸载)的所有方面都由 CSI 驱动程序处理。

如需更多信息,请参阅 CSI 自动迁移

3.3.2. 网络注意事项

在从 OpenShift Container Platform 3.11 转换到 OpenShift Container Platform 4.12 时,请考虑以下与网络相关的变化。

网络隔离模式

虽然用户经常切换为使用 ovn-multitenant,但是 OpenShift Container Platform 3.11 的默认网络隔离模式是 ovs-subnet。OpenShift Container Platform 4.12 的默认网络隔离模式由网络策略控制。

如果您的 OpenShift Container Platform 3.11 集群使用了 ovs-subnetovs-multitenant 模式,则建议在 OpenShift Container Platform 4.12 集群中使用网络策略。网络策略由上游社区支持,它更灵活并提供 ovs-multitenant 的功能。如果您要在 OpenShift Container Platform 4.12 中使用网络策略时仍然希望维持 ovs- multitenant 的行为,请按照以下步骤使用网络策略配置多租户隔离

如需更多信息,请参阅关于网络策略

OVN-Kubernetes 是 Red Hat OpenShift Networking 中的默认网络插件。

在 OpenShift Container Platform 3.11 中,OpenShift SDN 是 Red Hat OpenShift Networking 中的默认网络插件。在 OpenShift Container Platform 4.12 中,OVN-Kubernetes 现在是默认的网络插件。

有关从 OpenShift SDN 迁移到 OVN-Kubernetes 的详情,请参考从 OpenShift SDN 网络插件 迁移。

3.3.3. 日志记录注意事项

在从 OpenShift Container Platform 3.11 转换到 OpenShift Container Platform 4.12 时,请考虑以下与日志相关的变化。

部署 OpenShift Logging

OpenShift Container Platform 4 通过使用集群日志记录自定义资源为 OpenShift Logging 提供了一个简单的部署机制。

如需更多信息,请参阅安装 OpenShift Logging

聚合日志数据

您无法将 OpenShift Container Platform 3.11 的聚合日志记录数据转换到新的 OpenShift Container Platform 4 集群中。

如需更多信息,请参阅关于 OpenShift Logging

不支持的日志配置

OpenShift Container Platform 4.12 不再支持 OpenShift Container Platform 3.11 中的一些日志记录配置。

有关明确不支持的日志问题单的更多信息,请参阅 日志支持文档

3.3.4. 安全考虑

在从 OpenShift Container Platform 3.11 转换到 OpenShift Container Platform 4.12 时,请考虑以下与安全相关的变化。

对发现端点的未验证访问

在 OpenShift Container Platform 3.11 中,未经身份验证的用户可以访问发现端点(例如: /api/*/apis/*)。为了安全起见,OpenShift Container Platform 4.12 不再允许对发现端点进行未经身份验证的访问。如果确实需要允许未经身份验证的访问,可根据需要配置 RBAC 设置,但请务必考虑安全性影响,因为这可能会使内部集群组件暴露给外部网络。

用户身份供应商

为 OpenShift Container Platform 4 配置身份供应商包括以下显著的更改:

  • OpenShift Container Platform 4.12 中的请求标头身份提供程序需要 mutual TLS,而这在 OpenShift Container Platform 3.11 中不需要。
  • OpenShift Container Platform 4.12 中简化了 OpenID Connect 身份提供程序的配置。现在,它从供应商的 /.well-known/OpenID-configuration 端点获取数据。而之前需要在 OpenShift Container Platform 3.11 中指定。

如需更多信息,请参阅 了解身份提供程序配置

OAuth 令牌存储格式

新创建的 OAuth HTTP 持有者令牌不再匹配其 OAuth 访问令牌对象的名称。对象名称现在是一个 bearer 令牌哈希,它不再敏感。这可减少泄漏敏感信息的风险。

默认安全性上下文约束

OpenShift Container Platform 4 中的 受限 安全性上下文约束(SCC)不再能被作为 OpenShift Container Platform 3.11 中的 受限 SCC 进行访问。现在,为 restricted-v2 SCC 授予广泛的身份验证访问权限,该 SCC 比旧的 restricted SCC 的限制要更高。restricted SCC 仍然存在;希望使用它的用户必须特别授予其权限。

如需更多信息,请参阅管理安全性上下文约束

3.3.5. 监控注意事项

在从 OpenShift Container Platform 3.11 转换到 OpenShift Container Platform 4.12 时,请考虑以下与监控相关的变化。您不能将 Hawkular 配置和指标迁移到 Prometheus。

监控基础架构可用性的警报

OpenShift Container Platform 3.11 中,触发的确保监控结构可用的默认警报称为 DeadMansSwitch 。在 OpenShift Container Platform 4 中,它被重新命名为 Watchdog 。如果您在 OpenShift Container Platform 3.11 中使用带有此警报设置的 PagerDuty 集成,则需要在 OpenShift Container Platform 4 中使用带有 Watchdog 警报设置的 PagerDuty 集成。

如需更多信息,请参阅 应用自定义 Alertmanager 配置

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.