1.4. 主要的技术变化
OpenShift Container Platform 4.15 包括以下显著的技术更改。
集群指标端口安全
在这个版本中,为 Cluster Machine Approver Operator 和 Cluster Cloud Controller Manager Operator 提供指标的端口使用传输层安全 (TLS) 协议来实现额外的安全性。(OCPCLOUD-2272, OCPCLOUD-2271)
Google Cloud Platform 的云控制器管理器
Kubernetes 社区计划弃用 Kubernetes 控制器管理器与底层云平台交互,而是使用云控制器管理器。因此,无法为任何新的云平台添加 Kubernetes 控制器管理器支持。
此发行版本引入了在 Google Cloud Platform 中使用云控制器管理器的正式发布。
要了解有关云控制器管理器的更多信息,请参阅 Kubernetes Cloud Controller Manager 文档。
要管理云控制器管理器和云节点管理器部署和生命周期,请使用 Cluster Cloud Controller Manager Operator。
如需更多信息,请参阅 集群 Operator 参考中的 Cluster Cloud Controller Manager Operator 条目。
以后对 pod 安全准入的限制强制
目前,pod 安全违反情况在审计日志中显示为警告,而不会导致 pod 的拒绝。
目前,计划在下一个 OpenShift Container Platform 次要发行本中对 pod 安全准入进行全局限制强制。启用此受限强制时,具有 Pod 安全违反情况的 Pod 将被拒绝。
要准备此即将推出的更改,请确保您的工作负载与应用到它们的 pod 安全准入配置集匹配。未根据全局或命名空间级别定义的强制安全标准配置的工作负载将被拒绝。restricted-v2 SCC 根据 Restricted Kubernetes 定义接受工作负载。
如果您要收到 pod 安全漏洞,请查看以下资源:
- 如需了解如何查找导致 pod 安全违反情况的信息,请参阅识别 pod 安全违反情况。
请参阅关于 pod 安全准入同步,以了解何时执行 pod 安全准入标签同步。在某些情况下,Pod 安全准入标签不会同步,比如以下情况:
-
工作负载在系统创建的命名空间中运行,该命名空间前缀为
openshift-。 - 工作负载在没有 pod 控制器的情况下创建的 pod 上运行。
-
工作负载在系统创建的命名空间中运行,该命名空间前缀为
-
如果需要,您可以通过设置
pod-security.kubernetes.io/enforce标签,在命名空间或 pod 上设置自定义准入配置集。
当禁用了集成的 OpenShift 镜像 registry 时,secret 不再自动生成
如果您禁用 ImageRegistry 集群功能,或者在 Cluster Image Registry Operator 配置中禁用集成的 OpenShift 镜像 registry,则每个服务帐户令牌 secret 和镜像 pull secret 不再为每个服务帐户生成。
如需更多信息,请参阅自动生成的 secret。
打开虚拟网络基础架构控制器默认范围
在以前的版本中,IP 地址范围 168.254.0.0/16 是用于传输交换机子网的 Open Virtual Network Infrastructure Controller 的默认 IP 地址范围。在这个版本中,控制器使用 100.88.0.0/16 作为默认的 IP 地址范围。不要在您的生产环境基础架构网络中使用这个 IP 范围。(OCPBUGS-20178)
HAProxy 简介没有 strict-limits 变量
过渡到 HAProxy 2.6 包含了对 strict-limits 配置的强制性,这会导致在无法满足 maxConnections 要求时造成无法恢复的错误。strict-limits 设置无法被最终用户配置,并保持在 HAProxy 模板控制之下。
此发行版本引进了配置调整,以应对迁移到 maxConnections 的问题。现在,HAProxy 配置切换到使用 no strict-limits。因此,当无法满足 maxConnection 配置时,HAProxy 不再失败退出。相反,它会发出警告并继续运行。当无法满足 maxConnection 限制时,可能会返回类似以下示例的警告:
-
[WARNING] (50) : [/usr/sbin/haproxy.main()] Cannot raise FD limit to 4000237, limit is 1048576. -
[ALERT] (50) : [/usr/sbin/haproxy.main()] FD limit (1048576) too low for maxconn=2000000/maxsock=4000237.Please raise 'ulimit-n' to 4000237 or more to avoid any trouble.
要解决这些警告,我们建议在调整 IngressController 时为 maxConnections 字段指定 -1 或 auto。这种选择允许 HAProxy 根据正在运行的容器中的可用资源限制动态计算最大值,从而消除了这些警告。(OCPBUGS-21803)
如果禁用了 DeploymentConfig 集群功能,则部署器服务帐户不再被创建
如果您禁用 DeploymentConfig 集群功能,则 deployer 服务帐户及其对应的 secret 不再被创建。
如需更多信息,请参阅 DeploymentConfig 功能。
must-gather 存储限制默认
为 oc adm must-gather 命令收集的数据添加了节点存储容量的默认限制 30%。如果需要,您可以使用 --volume-percentage 标志来调整默认存储限制。
如需更多信息,请参阅更改 must-gather 存储限制。
串行控制台会显示基于代理的安装程序互动网络配置
在这个版本中,当在没有图形控制台的服务器上引导代理 ISO 时,可以在串行控制台中进行交互式网络配置。状态显示在所有其他控制台上暂停,而交互式网络配置处于活动状态。在以前的版本中,显示只能在图形控制台中显示。(OCPBUGS-19688)
