1.3. 新功能及功能增强

现在，在 OpenShift Container Platform 4.16 中 RHCOS 使用 Red Hat Enterprise Linux (RHEL) 9.4。这些软件包可确保 OpenShift Container Platform 实例收到最新的修复、功能、增强功能、硬件支持和驱动程序更新。虽然作为一个延长更新支持 (EUS) 版本，OpenShift Container Platform 4.14 并不适用于这些变化，它将继续在整个生命周期中使用 RHEL 9.2 EUS 软件包。

在这个版本中，您可以将 RHCOS 安装到 Small Computer Systems Interface (iSCSI) 引导设备。iSCSI 的多路径也被支持。如需更多信息，请参阅在 iSCSI 引导设备上手动安装 RHCOS，以及使用 iBFT 在 iSCSI 引导设备上安装 RHCOS

在这个版本中，您可以将 RHCOS 安装到 Intel® VROC RAID 设备。有关将 RAID 配置为 Intel® VROC 设备的更多信息，请参阅在 CPU (VROC) 数据卷中配置 Intel® Virtual RAID。

对于 OpenShift Container Platform 4.16，在 Amazon Web Services 上安装时使用 Cluster API 而不是 Terraform 置备集群基础架构。由于这个变化，还需要一些额外的权限。如需更多信息，请参阅 IAM 用户所需的 AWS 权限。

另外，对 control plane 和计算机器的 SSH 访问不再对机器网络开放，它仅限于与 control plane 和计算机器关联的安全组。

在 OpenShift Container Platform 4.16 中，安装程序使用 Cluster API 而不是 Terraform 在 VMware vSphere 上安装时置备集群基础架构。

在 OpenShift Container Platform 4.16 中，安装程序使用 Cluster API 而不是 Terraform 在 Nutanix 上安装时置备集群基础架构。

在 OpenShift Container Platform 4.16 中，安装程序使用 Cluster API 而不是 Terraform 在 GCP 上安装时置备集群基础架构。此功能在 OpenShift Container Platform 4.16 中作为技术预览提供。要启用技术预览功能，请在安装前在 install-config.yaml 文件中设置 featureSet: TechPreviewNoUpgrade 参数。另外，在安装前将以下小节添加到 install-config.yaml 文件中，以启用 Cluster API 安装，而无需任何其他技术预览功能：

featureSet: CustomNoUpgrade
featureGates:
- ClusterAPIInstall=true

如需更多信息，请参阅可选配置参数。

Ingress 功能现在是可配置的集群功能，对于 Red Hat HyperShift 是可选的。它不是可配置的，始终为独立的 OpenShift Container Platform 启用。

在这个版本中，OpenShift Container Platform 安装程序不再支持 Alibaba Cloud 平台上的安装程序置备的安装。您可以使用 Assisted Installer 在 Alibaba Cloud 上安装集群，它目前是一个技术预览功能。如需更多信息，请参阅在 Alibaba 云上安装。

在 OpenShift Container Platform 4.16 中，您可以在安装过程中禁用云控制器管理器功能。如需更多信息，请参阅云控制器管理器功能。

在这个版本中，如果安装启用了 FIPS 的集群，则必须从配置为以 FIPS 模式运行的 RHEL 9 计算机运行安装程序，且必须使用安装程序支持的 FIPS 版本。如需更多信息，请参阅 FIPS 加密的支持。

在 OpenShift Container Platform 4.16 中，您可以添加最多 10 个标签来附加到 VMware vSphere 集群置备的虚拟机 (VM)。这些标签是安装程序在一个集群不再使用时用于识别和删除集群时使用的特定于集群的标签的补充。

您可以在集群创建过程中在 install-config.yaml 文件中的 VMware vSphere 虚拟机上定义标签。如需更多信息，请参阅安装程序置备的 VMware vSphere 集群的 install-config.yaml 文件示例。

您可以使用机器集为现有集群上的计算或 control plane 机器定义标签。如需更多信息，请参阅为 compute 或 control plane 机器集"使用机器集向机器添加标签"。

OpenShift Container Platform 4.16 使用 Kubernetes 1.29，它删除了几个已弃用的 API。

集群管理员必须在从 OpenShift Container Platform 4.15 升级到 4.16 前提供手动确认。这有助于防止升级到 OpenShift Container Platform 4.16 后出现问题，防止仍然使用已删除的 API 运行工作负载、工具或于集群进行交互的组件。管理员必须针对将要删除的任何 API 评估其集群，并迁移受影响的组件，以使用适当的新 API 版本。完成此操作后，管理员可以向管理员提供确认。

所有 OpenShift Container Platform 4.15 集群都需要此管理员确认，然后才能升级到 OpenShift Container Platform 4.16。

如需更多信息，请参阅准备升级到 OpenShift Container Platform 4.16。

在这个版本中，您可以防止在安装后在控制台中显示 kubeadmin 密码，在集群创建过程中使用 --skip-password-print 标记。密码仍然可以在 auth 目录中访问。

在这个版本中，提供了基于 OpenShift 的设备构建器（Appliance Builder）作为技术预览。Appliance Builder 提供了自我包含的 OpenShift Container Platform 集群安装，这意味着它不需要依赖于互联网连接或外部 registry。它是一个基于容器的实用程序，它会构建一个包含了基于代理的安装程序的磁盘镜像，然后使用它来安装多个 OpenShift Container Platform 集群。

如需更多信息，请参阅基于 OpenShift 的设备构建器用户指南。

在这个版本中，您可以使用 publicIpv4Pool 字段在 Amazon Web Services (AWS) 上安装时启用自己的公共 IPv4 地址 (BYOIP) 功能来分配 Elastic IP 地址 (EIPs)。您必须确保具有启用 BYOIP 所需的权限。如需更多信息，请参阅可选 AWS 配置参数。

您可以在 Dammam、Saudi Arabia (me-central2) 区域和 Johannesburg, South Africa (africa-south1) 区域中的 Google Cloud Platform (GCP) 上部署 OpenShift Container Platform 4.16。如需更多信息，请参阅支持的 GCP 区域。

在这个版本中，您可以在 GCP 上安装集群时，在启用了 GPU 的 NVIDIA H100 机器上部署计算节点。如需更多信息，请参阅为 GCP 测试的实例类型和 Google 文档 Accelerator-optimized machine family。

在这个版本中，您可以使用 Multiarch Tuning Operator 在多架构集群中管理工作负载。此 Operator 增强了多架构集群中的操作体验，以及迁移到多架构计算配置的单架构集群。它实施 ClusterPodPlacementConfig 自定义资源(CR) 以支持架构感知的工作负载调度。

如需更多信息，请参阅使用 Multiarch Tuning Operator 在多架构集群中管理工作负载。

此功能支持将 64 位 x86 计算机器添加到具有 64 位 ARM control plane 机器的多架构集群中。在这个版本中，您可以将 64 位 x86 计算机器添加到一个使用 64 位 ARM control plane 机器并且已包含了 64 位 ARM 计算机器的集群。

此功能支持带有多有效负载的基于代理的安装程序集群。在安装了带有多有效负载的基于代理的安装程序集群后，您可以将具有不同架构的计算机器添加到集群中。

在这个版本中，Web 控制台支持法语和西班牙语。您可以从 User Preferences 页面上的 Language 列表更新 web 控制台中的语言。

在这个版本中，Web 控制台中已弃用了 Patternfly 4 和 React Router 5。所有相关插件都应尽快迁移到 Patternfly 5 和 React Router 6。

此发行版本对 web 控制台的 Administrator 视角包括以下更新：

此发行版本在 web 控制台的 Developer 视角包括以下更新：

OpenShift Container Platform 的 oc-mirror 插件 v2 包括新的特性和功能，改进 Operator 镜像和其他 OpenShift Container Platform 内容的镜像过程。

以下是 oc-mirror 插件 v2 中的主要改进和功能：

oc-mirror OpenShift CLI (oc)插件用于将所有所需的 OpenShift Container Platform 内容和其他镜像(mirror)镜像到您的镜像 registry，简化了断开连接的集群的维护。

在以前的版本中，oc adm upgrade 命令提供有关集群更新状态的有限信息。此发行版本添加了 oc adm upgrade status 命令，该命令与 oc adm upgrade 命令分离状态信息，并提供有关集群更新的特定信息，包括 control plane 和 worker 节点更新的状态。

在这个版本中，如果您使用其短名称查询资源，如果集群中存在多个具有相同短名称的自定义资源定义(CRD)，则 OpenShift CLI (oc)会返回警告。

Warning: short name "ex" could also match lower priority resource examples.test.com

此发行版本为 oc delete 命令引入了一个新的 --interactive 标志。当 --interactive 标志被设置为 true 时，只有在用户确认删除时才会删除该资源。这个标志作为技术预览提供。

在本发行版本中，您可以启用 Microsoft Entra Workload ID，以便在现有 Microsoft Azure OpenShift Container Platform 集群上使用简短凭证。此功能现在在 OpenShift Container Platform 的 4.14 和 4.15 版本中被支持。如需更多信息，请参阅启用基于令牌的身份验证。

作为 OpenShift Container Platform 的一部分，作为唯一支持的网络插件，从 OpenShift Container Platform 4.16 开始，如果集群使用 OpenShift SDN 网络插件，在没有迁移到 OVN-Kubernetes 的情况下，您无法升级到将来的 OpenShift Container Platform 主版本。有关迁移到 OVN-Kubernetes 的更多信息，请参阅从 OpenShift SDN 网络插件 迁移。

如果尝试升级，Cluster Network Operator 会报告以下状态：

- lastTransitionTime: "2024-04-11T05:54:37Z"
  message: Cluster is configured with OpenShiftSDN, which is not supported in the
    next version. Please follow the documented steps to migrate from OpenShiftSDN
    to OVN-Kubernetes in order to be able to upgrade. https://docs.openshift.com/container-platform/4.16/networking/ovn_kubernetes_network_provider/migrate-from-openshift-sdn.html
  reason: OpenShiftSDNConfigured
  status: "False"
  type: Upgradeable

将 linuxptp 服务配置为双 Intel E810 Westport Channel 网络接口控制器(NIC)的 grandmaster 时钟(T-GM)现在是 OpenShift Container Platform 中的通用功能。主机系统时钟从连接到 Global Navigation Satellite Systems (GNSS)时间源的 NIC 同步。第二个 NIC 同步到由连接到 GNSS 的 NIC 提供的 1PPS 时间输出。如需更多信息，请参阅 将 linuxptp 服务配置为双 E810 Westport Channel NIC 的 grandmaster 时钟。

您可以将 linuxptp 服务 ptp4l 和 phc2sys 配置为双 PTP 边界时钟 (T-BC) 的高可用性 (HA) 系统时钟。

如需更多信息，请参阅 将 linuxptp 配置为双 NIC Intel E810 PTP 边界时钟的高可用性系统时钟。

要定期测试集群组件之间的网络连接，Cluster Network Operator (CNO)会创建 network-check-source 部署以及 network-check-target 守护进程集。在 OpenShift Container Platform 4.16 中，您可以通过设置节点选择器并运行源和目标 pod 来检查网络连接来配置节点。如需更多信息，请参阅 验证到端点的连接。

在这个版本中，在 Microsoft Azure 上托管的 OpenShift Container Platform 集群的 NSG 中更有效地处理 IP 地址和范围。因此，使用允许的SourceRanges 字段（从大约 1000 到 4000 CIDR）中，Microsoft Azure 集群中的所有 Ingress Controller 的最大无类别域间路由(CIDR)限制最大限制。

在这个版本中，在 Nutanix 平台上支持从 OpenShift SDN 网络插件迁移到 OVN-Kubernetes。如需更多信息，请参阅 迁移到 OVN-Kubernetes 网络插件。

在这个版本中，OVN-Kubernetes 使用新的 DNSNameResolver 自定义资源来跟踪出口防火墙规则中的 DNS 记录，并作为技术预览提供。此自定义资源支持同时使用通配符 DNS 名称和常规 DNS 名称，并允许访问 DNS 名称，无论与其更改相关联的 IP 地址是什么。

如需更多信息，请参阅 增强 DNS 解析和解析通配符域名。

在这个版本中，您可以将 SR-IOV Network Operator 配置为在网络策略更新过程中并行排空节点。并行排空节点的选项可以更快地推出 SR-IOV 网络配置。您可以使用 SriovNetworkPoolConfig 自定义资源配置并行节点排空，并在 Operator 可以并行排空池中定义最大节点数量。

如需更多信息，请参阅在 SR-IOV 网络策略更新过程中配置并行节点排空。

自 OpenShift Container Platform 4.16 起，SR-IOV Network Operator 不再自动创建一个 SriovOperatorConfig 自定义资源(CR)。使用 配置 SR-IOV Network Operator 中的步骤创建 SriovOperatorConfig CR。

此发行版本引入了 802.1Q-in-802.1Q，也称为 QinQ 支持。QinQ 引入了第二个 VLAN 标签，其中服务提供商为其使用指定外部标签，提供它们的灵活性，而内部标签则保留给客户的 VLAN 专用。当数据包中存在两个 VLAN 标签时，外部 VLAN 标签可以是 802.1Q 或 802.1ad。内部 VLAN 标签必须始终是 802.1Q。

如需更多信息，请参阅为启用 SR-IOV 的工作负载配置 QinQ 支持。

在这个版本中，您可以在任何内部基础架构上配置 OpenShift Container Platform 集群，如裸机、VMware vSphere、Red Hat OpenStack Platform (RHOSP)或 Nutanix，以使用用户管理的负载均衡器来代替默认负载均衡器。对于此配置，您必须在集群的 install-config.yaml 文件中指定 loadBalancer.type: UserManaged。

有关裸机基础架构上此功能的更多信息，请参阅为用户管理的负载均衡器的服务，请参阅为 OpenShift 安装设置环境 中的服务。

在这个版本中，如果您使用 iptables 规则的集群中 pod，会发出以下事件信息来警告将来的弃用：

This pod appears to have created one or more iptables rules. IPTables is deprecated and will no longer be available in RHEL 10 and later. You should consider migrating to another API such as nftables or eBPF.

如需更多信息，请参阅开始使用 nftables。如果您正在运行第三方软件，请检查您的厂商以确保它们很快提供基于 nftables 的版本。

在这个版本中，您可以查看 OpenShift Container Platform 服务的入口网络流。您可以使用这些信息来管理网络的入口流量，并提高网络安全性。

如需更多信息，请参阅 OpenShift Container Platform 网络流列表。

在这个版本中，您可以通过修补集群基础架构，将 API 和 Ingress 服务的 IPv6 虚拟 IP (VIP)添加到现有的双栈集群中。

如果您已经将集群升级到 OpenShift Container Platform 4.16，且您需要将单堆栈集群网络转换为双栈集群网络，则必须在 YAML 配置补丁文件中为集群指定以下内容：

如需更多信息，请参阅 转换到 IPv4/IPv6 双栈网络 中的 转换为双栈网络。

此发行版本引进了 FRR-K8s，它是基于 Kubernetes 的 DaemonSet，它以兼容 Kubernetes 的方式公开 FRR API 的子集。作为集群管理员，您可以使用 FRRConfiguration 自定义资源(CR)将 MetalLB Operator 配置为使用 FRR-K8s 守护进程集作为后端。您可以使用它来运行 FRR 服务，如接收路由。

如需更多信息，请参阅配置 MetalLB 和 FRR-K8s 的集成。

在这个版本中，OpenShift Container Platform 路由可以使用第三方证书管理解决方案来配置，使用路由 API 中的 .spec.tls.externalCertificate 字段。这可让您通过 secret 引用外部管理的 TLS 证书，通过消除手动证书管理来简化流程。通过使用外部受管证书，您可以减少错误，确保证书更新过程，并使 OpenShift 路由器能够及时提供更新的证书。如需更多信息 ，请参阅使用外部管理的证书创建路由。

此功能提供两个新的 API，即 AdminNetworkPolicy (ANP)和 BaselineAdminNetworkPolicy (BANP)。在创建命名空间前，集群管理员可以使用 ANP 和 BANP 应用集群范围的网络策略并保护整个集群。由于它是集群范围的，因此 ANP 提供了一种解决方案，以便大规模管理其网络的安全性，而无需在每个命名空间中复制其网络策略。

如需更多信息，请参阅 转换到 IPv4/IPv6 双栈网络 中的 转换为双栈网络。

在以前的版本中，当从 OpenShift SDN 迁移到 OVN-Kubernetes 时，唯一可用的选项是 离线 迁移方法。这个过程包括一些停机时间，在此期间集群无法访问。

此发行版本引入了 实时迁移 方法。实时迁移方法是在不中断服务的情况下将 OpenShift SDN 网络插件及其网络配置、连接和相关资源迁移到 OVN-Kubernetes 网络插件的过程。它可用于 OpenShift Container Platform、Red Hat OpenShift Dedicated、Red Hat OpenShift Service on AWS 和 Microsoft Azure Red Hat OpenShift 部署类型。它不适用于 HyperShift 部署类型。这个迁移方法对于需要持续服务可用性的部署类型非常重要，并具有以下优点：

迁移到 OVN-Kubernetes 旨在是一个单向过程。

如需更多信息，请参阅 实时迁移到 OVN-Kubernetes 网络插件概述。

在以前的版本中，无法配置相同的 CIDR 范围两次，并让 Whereabouts CNI 插件单独分配 IP 地址。这个限制会导致在多租户环境中出现问题，不同的组可能需要选择重叠的 CIDR 范围。

在这个版本中，Whereabouts CNI 插件通过包含 network_name 参数来支持重叠的 IP 地址范围。管理员可以使用 network_name 参数在单独的 NetworkAttachmentDefinition 中多次配置相同的 CIDR 范围，这样可为每个范围启用独立的 IP 地址分配。

此功能还包括增强的命名空间处理，在适当的命名空间中存储 IPPool 自定义资源(CR)，并在 Multus 允许时支持跨命名空间。这些改进在多租户环境中提供更大的灵活性和管理功能。

有关此功能的更多信息，请参阅使用 Whereabouts 进行动态 IP 地址分配配置。

如果使用 OVN-Kubernetes 网络插件，您可以配置传输、加入和伪装子网。在集群安装过程中或之后，可以配置传输和加入子网。伪装子网必须在安装过程中配置，且之后无法更改。子网默认值为：

有关这些配置字段的更多信息，请参阅 Cluster Network Operator 配置对象。有关在现有集群中配置传输和加入子网的更多信息，请参阅配置 OVN-Kubernetes 内部 IP 地址子网。

Telemetry 和 Insights Operator 会在 IPsec 连接上收集遥测功能。如需更多信息，请参阅 显示 Telemetry 收集的数据。

现在，您可以使用 Secrets Store CSI Driver Operator 将 secret 从 HashiCorp Vault 挂载到 OpenShift Container Platform 中的 Container Storage Interface (CSI)卷。Secrets Store CSI Driver Operator 作为技术预览提供。

有关可用 机密存储提供程序的完整列表，请参阅 Secret 存储提供程序。

有关使用 Secrets Store CSI Driver Operator 从 HashiCorp Vault 挂载 secret 的详情，请参考 从 HashiCorp Vault 挂载 secret。

OpenShift Container Platform 4.16 引入了 Microsoft Azure File Container Storage Interface (CSI) Driver Operator 的卷克隆作为技术预览功能。卷克隆会复制现有的持久性卷(PV)，以帮助防止 OpenShift Container Platform 中的数据丢失。您还可以像使用任何标准卷一样使用卷克隆。

如需更多信息，请参阅 Azure File CSI Driver Operator 和 CSI 卷克隆。

节点扩展 Secret 功能允许集群扩展挂载卷的存储，即使访问这些卷也需要 secret （例如，用于访问存储区域网络(SAN) fabric）的凭证来执行节点扩展操作。OpenShift Container Platform 4.16 正式发布(GA)支持此功能。

VMware vSphere Container Storage Interface (CSI)中的默认快照数是每个卷的默认最多快照数。在 OpenShift Container Platform 4.16 中，您可以将这个最大快照数量改为每个卷最多 32 个。您还可以精细控制 vSAN 和虚拟磁盘数据存储的最大快照数量。OpenShift Container Platform 4.16 正式发布(GA)支持此功能。

如需更多信息，请参阅 更改 vSphere 的最大快照数。

在 OpenShift Container Platform 4.16 中，引入了一个新的参数 LastPhaseTransitionTime，它有一个时间戳，每次持久性卷(PV)转换为不同的阶段(pv.Status.Phase)时都会更新。此功能以技术预览状态发布。

OpenShift Container Platform 能够置备持久性卷(PV)，并带有通用互联网文件系统(CIFS) dialect/Server Message Block (SMB)协议的 Container Storage Interface (CSI)驱动程序。管理此驱动程序的 CIFS/SMB CSI Driver Operator 处于技术预览状态。

如需更多信息，请参阅 CIFS/SMB CSI Driver Operator。

OpenShift Container Platform 4.14 引入了一个新的访问模式，它带有技术预览状态用于持久性卷(PV)和持久性卷声明(PVC)，名为 ReadWriteOncePod (RWOP)。RWOP 只能在单个节点上的单个 pod 中使用，与多个 pod 可以在单个节点上使用 PV 或 PVC 的现有 ReadWriteOnce 访问模式。如果驱动程序启用它，RWOP 将使用 PodSpec 或容器中设置的 SELinux 上下文挂载，它允许驱动程序使用正确的 SELinux 标签直接挂载卷。这消除了递归重新标记卷的需求，pod 启动可能会显著提高。

在 OpenShift Container Platform 4.16 中，此功能已正式发布。

如需更多信息，请参阅 访问模式。

要在多zonal 集群中支持 VMware vSphere Container Storage Interface (CSI)卷置备和使用，部署应该与 CSI 驱动程序施加的某些要求匹配。这些要求已从 3.1.0 开始改变，虽然 OpenShift Container Platform 4.16 接受旧的和新的标记方法，但您应该使用新的标记方法，因为 VMware vSphere 认为是无效的配置。要防止问题，您不应该使用旧的标记方法。

如需更多信息，请参阅 vSphere CSI 拓扑要求。

此功能为配置厚置备的存储提供支持。如果您在 LVMCluster 自定义资源(CR)中排除 deviceClasses.thinPoolConfig 字段，逻辑卷是厚置备的。使用厚置备的存储包括以下限制：

有关配置 LVMCluster CR 的详情，请参考 关于 LVMCluster 自定义资源。

当您没有在 LVMCluster 自定义资源(CR)中配置 deviceSelector 字段时，这个版本提供了一个新的警告信息。

LVMCluster CR 支持一个新的字段 deviceDiscoveryPolicy，它表示是否配置了 deviceSelector 字段。如果没有配置 deviceSelector 字段，LVM Storage 会自动将 deviceDiscoveryPolicy 字段设置为 RuntimeDynamic。否则，deviceDiscoveryPolicy 字段被设置为 Preconfigured。

不建议从 LMVCluster CR 中排除 deviceSelector 字段。有关没有配置 deviceSelector 字段的限制的更多信息，请参阅关于在卷组中添加设备。

此功能支持将加密设备添加到卷组。您可以在 OpenShift Container Platform 安装过程中在集群节点上启用磁盘加密。加密设备后，您可以在 LVMCluster 自定义资源的 deviceSelector 字段中指定 LUKS 加密设备的路径。有关磁盘加密的详情，请参阅 关于磁盘加密和配置磁盘加密和镜像。https://docs.redhat.com/en/documentation/openshift_container_platform/4.16/html-single/installing/#installation-special-config-encrypt-disk_installing-customizing

有关向卷组添加设备的更多信息，请参阅关于在卷组中添加设备。

Operator Lifecycle Manager (OLM) 1.0 的早期技术预览阶段引入了一个新的 Operator API，由 Operator Controller 组件以 operator.operators.operatorframework.io 提供。在 OpenShift Container Platform 4.16 中，这个 API 被重命名为 ClusterExtension，为 OLM 1.0 的这个技术预览阶段提供 clusterextension.olm.operatorframework.io。

此 API 仍然通过 registry+v1 捆绑包格式简化安装的扩展管理，其中包括通过 registry+v1 捆绑包格式的 Operator，方法是将面向用户的 API 整合到单个对象中。重命名至 ClusterExtension 地址，如下所示：

如需更多信息，请参阅 Operator Controller。

在这个版本中，OLM 1.0 显示已安装集群扩展的以下状态条件信息：

在为已安装的集群扩展决定升级边缘时，Operator Lifecycle Manager (OLM) 1.0 支持从 OpenShift Container Platform 4.16 开始的传统 OLM 语义。这个支持遵循旧的 OLM 的行为，包括 替换、跳过、和 skipRange 指令，但有一些区别。

通过支持传统的 OLM 语义，OLM 1.0 现在从目录中准确遵循升级图表。

如需更多信息，请参阅升级 约束语义。

在这个版本中，您可以垃圾回收未使用的呈现机器配置。通过使用 oc adm prune renderedmachineconfigs 命令，您可以查看未使用的渲染机器配置，决定要删除的机器配置，然后批量删除您不再需要的渲染机器配置。具有太多机器配置可能会导致机器配置混淆，并有助于提高磁盘空间和性能问题。如需更多信息，请参阅管理未使用的呈现的机器配置。

默认情况下，当您对 MachineConfig 对象中的参数进行某些更改时，Machine Config Operator (MCO)会排空并重启与该机器配置关联的节点。但是，您可以在 MCO 命名空间中创建节点中断策略，该策略定义了一组 Ignition 配置对象更改，这些配置对象对工作负载只需要少或不会中断。如需更多信息，请参阅使用节点中断策略来最大程度降低机器配置变化的中断。

使用 Red Hat Enterprise Linux CoreOS (RHCOS)镜像分层，您现在可以直接在集群中自动构建自定义分层镜像，作为技术预览功能。在以前的版本中，您需要在集群之外构建自定义分层镜像，然后将镜像拉取到集群中。您可以通过将额外镜像分层到基础镜像，使用镜像层功能来扩展基本 RHCOS 镜像的功能。如需更多信息，请参阅 RHCOS 镜像分层。

默认情况下，MCO 不会删除它用来启动 Red Hat Enterprise Linux CoreOS (RHCOS)节点的引导镜像。因此，集群中的引导镜像不会随集群一起更新。现在，您可以将集群配置为在更新集群时更新引导镜像。如需更多信息，请参阅更新引导镜像。

在这个版本中，集群自动扩展可以使用 LeastWaste、Priority 和 Random 展开器。您可以配置这些扩展器，以便在扩展集群时影响机器集的选择。如需更多信息 ，请参阅配置集群自动扩展。

此发行版本引入了使用上游 Cluster API （集成到 OpenShift Container Platform）作为 VMware vSphere 集群的技术预览来管理机器的功能。这个功能是使用 Machine API 管理机器的补充或替代功能。如需更多信息 ，请参阅关于集群 API。

在这个版本中，为 control plane 机器集定义 vSphere 故障域的以前技术预览功能正式发布。如需更多信息，请参阅 VMware vSphere 的 Control plane 配置选项。

Vertical Pod Autoscaler Operator (VPA)由三个组件组成：推荐器、更新器和准入控制器。Operator 和每个组件在 control plane 节点上的 VPA 命名空间中都有自己的 pod。您可以将 VPA Operator 和组件 pod 移到基础架构或 worker 节点。如需更多信息，请参阅 Moving Vertical Pod Autoscaler Operator 组件。

在这个版本中，oc adm must-gather 命令收集以下附加信息：

这些添加有助于识别使用特定版本的 oc 的问题。oc adm must-gather 命令还会列出使用的镜像，以及任何数据在 must-gather 日志中无法收集到的信息。

如需更多信息，请参阅关于 must-gather 工具。

在 OpenShift Container Platform 4.16 及更高版本中，您可以编辑裸机节点的 BareMetalHost 资源中的基板管理控制器(BMC)地址。节点必须处于 Provisioned、Externally Provisioned 、Registering 或 Available 状态。编辑 BareMetalHost 资源中的 BMC 地址不会取消置备节点。如需了解更多详细信息 ，请参阅编辑 BareMetalHost 资源。

在 OpenShift Container Platform 4.16 及更高版本中，您可以使用 DataImage 资源将一个通用的、不可启动的 ISO 虚拟介质镜像附加到置备的节点上。应用资源后，操作系统在下次重启时可以访问 ISO 镜像。节点必须使用 Redfish 或从中派生的驱动程序来支持此功能。节点必须处于 Provisioned 或 ExternallyProvisioned 状态。如需了解更多详细信息，请参阅将不可启动的 ISO 附加到裸机节点。

此发行版本包括对集群监控堆栈组件和依赖项的以下版本更新：

Metrics Server 组件现已正式发布，并自动安装，而不是已弃用的 Prometheus Adapter。指标服务器收集资源指标，并在 metrics.k8s.io Metrics API 服务中公开它们，供其他工具和 API 使用，从而释放核心平台 Prometheus 堆栈处理此功能。如需更多信息，请参阅 Cluster Monitoring Operator 的配置映射 API 参考中的 MetricsServerConfig。

此发行版本引入了一个新的 monitoring-alertmanager-view 角色，允许对 openshift-monitoring 项目中的 Alertmanager API 进行只读访问。

Vertical Pod Autoscaler (VPA)指标可以通过 kube-state-metrics 代理获得。VPA 指标遵循类似的组成格式，就如在从原生支持上游弃用和删除之前一样。

在这个版本中，Prometheus、Alertmanager 和 Thanos Ruler 前面的代理服务已从 OAuth 更新至 kube-rbac-proxy。此更改可能会影响服务帐户和用户访问这些 API 端点，而无需适当的角色和集群角色。

在这个版本中，当 Prometheus 提取目标时，重复的示例不再被静默忽略，即使它们具有相同的值。第一个示例被接受，prometheus_target_scrapes_sample_duplicate_timestamp_total 计数器会递增，这可能会触发 PrometheusDuplicateTimestamps 警报。

在这个版本中，使用工作负载注解部署的平台 pod 包括 CPU 限制和 CPU 请求会准确计算并应用 CPU 限值，并作为特定 pod 的 CPU 配额进行计算并应用。在以前的版本中，如果工作负载分区 pod 同时设置了 CPU 限值和请求，则 Webhook 会忽略它们。pod 无法从工作负载分区中受益，且不会锁定到特定内核。在这个版本中，webhook 可以正确解释请求和限值。

如需更多信息，请参阅 工作负载分区。

从 OpenShift Container Platform 4.16 开始，控制组群版本 2 (cgroup v2) （也称为 cgroup2 或 cgroupsv2）对于所有新部署都默认启用，即使性能配置集存在。

从 OpenShift Container Platform 4.14 开始，cgroup v2 是默认的，但性能配置集功能需要使用 cgroup v1。这个问题已解决。

通过将 node.config 对象中的 cgroupMode 字段更改为 v1，在 OpenShift Container Platform 4.16. cgroup v1 之前，仍会在当前版本中使用 cgroup v1 的升级集群。

如需更多信息，请参阅 在节点上配置 Linux cgroup 版本。

在这个版本中，您可以在 etcd 中增加磁盘配额。这是一个技术预览功能。如需更多信息，请参阅 增加 etcd 的数据库大小。

在这个版本中，Node Tuning Operator 支持在 PerformanceProfile 中为保留和隔离的内核 CPU 设置 CPU 频率。这是可用于定义特定频率的可选功能。然后，Node Tuning Operator 通过在 Intel 硬件中启用 intel_pstate CPUFreq 驱动程序来设置这些频率。您必须遵循 Intel 对 FlexRAN-like 应用程序的建议，这需要将默认 CPU 频率设置为比默认运行频率低的值。

在以前的版本中，对于 RAN DU-profile，在 PerformanceProfile 中将 realTime 工作负载提示设置为 true 会始终禁用 intel_pstate。在这个版本中，Node Tuning Operator 会检测使用 TuneD 的底层 Intel 硬件，并根据处理器的生成正确设置 intel_pstate 内核参数。这会将 intel_pstate 与 realTime 和 highPowerConsumption 工作负载提示分离。intel_pstate 现在依赖于底层处理器的生成。

对于 pre-IceLake 处理器的处理器，默认情况下为 intel_pstate，而对于 IceLake 及更新的生成处理器，intel_pstate 设置为 active。

现在，您可以使用 PolicyGenerator 资源和 Red Hat Advanced Cluster Management (RHACM)来使用 GitOps ZTP 为受管集群部署策略。PolicyGenerator API 是 Open Cluster Management 标准的一部分，它提供了一种通用的修补资源的方法，这些资源无法通过 PolicyGenTemplate API 来实现。使用 PolicyGenTemplate 资源管理和部署策略将在即将发布的 OpenShift Container Platform 发行版本中弃用。

如需更多信息，请参阅使用 PolicyGenerator 资源配置受管集群策略。

在这个版本中，Topology Aware Lifecycle Manager (TALM)使用 Red Hat Advanced Cluster Management (RHACM)功能来修复受管集群中的 inform 策略。此功能增强删除了 Operator 在策略补救过程中创建 inform 策略的 强制 副本。由于复制策略，这个增强还减少了 hub 集群上的工作负载，并可减少在受管集群中修复策略所需的总体时间。

如需更多信息，请参阅在受管集群上更新策略。

在这个版本中，您可以通过为单节点 OpenShift 使用 GitOps ZTP 置备来缩短集群安装所需的时间。加速 ZTP 通过在早期阶段应用从策略派生的第 2 天清单来加快安装速度。

加速置备 GitOps ZTP 的好处会随着部署的规模增加。完全加速为更多集群带来更多好处。使用较少的集群，安装时间缩短会显著减少。

如需更多信息，请参阅 GitOps ZTP 的加速置备。

在这个版本中，您可以使用 Lifecycle Agent 编配从 OpenShift Container Platform <4.y> 到 <4.y+2> 的单节点 OpenShift 集群的基于镜像的升级，并将 <4.y.z+n> 升级到 <4.y.z+n>。Lifecycle Agent 生成与参与集群的配置匹配的开放容器项目(OCI)镜像。除了 OCI 镜像外，基于镜像的升级使用 ostree 库和 OADP Operator 来降低在原始平台版本和目标平台版本间进行转换时的升级和服务中断持续时间。

如需更多信息，请参阅了解单节点 OpenShift 集群的基于镜像的升级。

现在，您可以使用 GitOps ZTP 和 Red Hat Advanced Cluster Management (RHACM)部署的受管单节点 OpenShift 集群中启用 IPsec 加密。您可以加密受管集群外部 pod 和 IPsec 端点之间的外部流量。OVN-Kubernetes 集群网络上的节点之间的所有 pod 到 pod 网络流量都使用 IPsec 在传输模式中加密。

如需更多信息，请参阅使用 GitOps ZTP 和 SiteConfig 资源为单节点 OpenShift 集群配置 IPsec 加密。