6.2. File Integrity Operator 发行注记


OpenShift Container Platform 的 File Integrity Operator 在 RHCOS 节点上持续运行文件完整性检查。

本发行注记介绍了 OpenShift Container Platform 中 File Integrity Operator 的开发。

有关 File Integrity Operator 的概述,请参阅了解 File Integrity Operator

要访问最新版本,请参阅更新 File Integrity Operator

6.2.1. OpenShift File Integrity Operator 1.3.5

以下公告可用于 OpenShift File Integrity Operator 1.3.5:

在这个版本中,底层基础镜像中的升级的依赖项包括。

6.2.2. OpenShift File Integrity Operator 1.3.4

以下公告可用于 OpenShift File Integrity Operator 1.3.4:

6.2.2.1. 程序错误修复

在以前的版本中,File Integrity Operator 会因为大量证书轮转而发出 NodeHasIntegrityFailure 警报。在这个版本中,警报和失败状态会被正确触发。(OCPBUGS-31257)

6.2.3. OpenShift File Integrity Operator 1.3.3

以下公告可用于 OpenShift File Integrity Operator 1.3.3:

这个版本解决了底层依赖项中的 CVE。

6.2.3.1. 新功能及功能增强

  • 您可以在以 FIPS 模式运行的 OpenShift Container Platform 集群中安装和使用 File Integrity Operator。

    重要

    要为集群启用 FIPS 模式,您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息,请参阅将 RHEL 切换到 FIPS 模式

    当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时,OpenShift Container Platform 核心组件使用 RHEL 加密库,在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。

6.2.3.2. 程序错误修复

6.2.4. OpenShift File Integrity Operator 1.3.2

以下公告可用于 OpenShift File Integrity Operator 1.3.2:

这个版本解决了底层依赖项中的 CVE。

6.2.5. OpenShift File Integrity Operator 1.3.1

以下公告可用于 OpenShift File Integrity Operator 1.3.1:

6.2.5.1. 新功能及功能增强

  • FIO 现在将 kubelet 证书作为默认文件包括在 OpenShift Container Platform 管理时发出警告。(OCPBUGS-14348)
  • FIO 现在可以正确地将电子邮件定向到红帽技术支持的地址。(OCPBUGS-5023)

6.2.5.2. 程序错误修复

  • 在以前的版本中,当节点从集群中移除时,FIO 不会清理 FileIntegrityNodeStatus CRD。FIO 已更新,以便在删除节点时正确清理节点状态 CRD。(OCPBUGS-4321)
  • 在以前的版本中,FIO 也错误地表示新节点无法进行完整性检查。FIO 已更新,在向集群添加新节点时正确显示节点状态 CRD。这提供了正确的节点状态通知。(OCPBUGS-8502)
  • 在以前的版本中,当 FIO 协调 FileIntegrity CRD 时,它将暂停扫描,直到协调完成为止。这会导致在节点上不受协调影响的积极重新初始化过程。这个问题还为机器配置池造成不必要的 daemonset,它们与 FileIntegrity 无关。FIO 可以正确地处理这些情况,并只暂停受文件完整性更改影响的节点的 AIDE 扫描。(CMP-1097)

6.2.5.3. 已知问题

在 FIO 1.3.1 中,增加 IBM Z® 集群中的节点可能会导致文件完整性节点状态 Failed。如需更多信息,请参阅在 IBM Power® 中添加节点可能会导致文件完整性节点状态失败

6.2.6. OpenShift File Integrity Operator 1.2.1

以下公告可用于 OpenShift File Integrity Operator 1.2.1:

6.2.7. OpenShift File Integrity Operator 1.2.0

以下公告可用于 OpenShift File Integrity Operator 1.2.0 :

6.2.7.1. 新功能及功能增强

  • File Integrity Operator 自定义资源 (CR) 现在包含一个 initialDelay 功能,该功能指定了在启动第一个 AIDE 完整性检查前等待的秒数。如需更多信息,请参阅创建 FileIntegrity 自定义资源
  • File Integrity Operator 现在是稳定的,发行频道已升级到 stable。将来的版本将遵循 Semantic Versioning。要访问最新版本,请参阅更新 File Integrity Operator

6.2.8. OpenShift File Integrity Operator 1.0.0

以下公告可用于 OpenShift File Integrity Operator 1.0.0:

6.2.9. OpenShift File Integrity Operator 0.1.32

以下公告可用于 OpenShift File Integrity Operator 0.1.32:

6.2.9.1. 程序错误修复

  • 在以前的版本中,File Integrity Operator 发布的警报没有设置命名空间,因此很难了解警报来自于哪个命名空间。现在,Operator 会设置适当的命名空间,提供有关该警报的更多信息。(BZ#2112394)
  • 在以前的版本中,File Integrity Operator 不会更新 Operator 启动时的指标服务,从而导致指标目标无法访问。在这个版本中,File Integrity Operator 可确保在 Operator 启动时更新 metrics 服务。(BZ#2115821)

6.2.10. OpenShift File Integrity Operator 0.1.30

以下公告可用于 OpenShift File Integrity Operator 0.1.30:

6.2.10.1. 新功能及功能增强

  • File Integrity Operator 现在在以下构架中被支持:

    • IBM Power®
    • IBM Z® 和 IBM® LinuxONE

6.2.10.2. 程序错误修复

  • 在以前的版本中,File Integrity Operator 发布的警报没有设置命名空间,因此很难了解警报的来源位置。现在,Operator 会设置适当的命名空间,从而增加对警报的了解。(BZ#2101393)

6.2.11. OpenShift File Integrity Operator 0.1.24

以下公告可用于 OpenShift File Integrity Operator 0.1.24:

6.2.11.1. 新功能及功能增强

  • 现在,您可以使用 config.maxBackups 属性配置 FileIntegrity 自定义资源(CR)中的最大备份数量。此属性指定从 re-init 进程保留的 AIDE 数据库和日志备份数量,以保留在节点上。超出配置数目之外的旧备份会自动修剪。默认值为五个备份。

6.2.11.2. 程序错误修复

  • 在以前的版本中,将 Operator 从 0.1.21 之前的版本升级到 0.1.22 可能会导致 re-init 功能失败。这是因为 Operator 无法更新 configMap 资源标签。现在,升级到最新版本会修复资源标签。(BZ#2049206)
  • 在以前的版本中,当强制默认 configMap 脚本内容强制时,会比较错误的数据密钥。这会导致在 Operator 升级后,aide-reinit 脚本无法正确更新,并导致 re-init 进程失败。现在,daemonSet 运行完毕,AIDE 数据库 re-init 过程可以成功执行。(BZ#2072058)

6.2.12. OpenShift File Integrity Operator 0.1.22

以下公告可用于 OpenShift File Integrity Operator 0.1.22:

6.2.12.1. 程序错误修复

  • 在以前的版本中,安装有 File Integrity Operator 的系统可能会因为 /etc/kubernetes/aide.reinit 文件而中断 OpenShift Container Platform 更新。如果 /etc/kubernetes/aide.reinit 文件存在,则会出现这种情况,但稍后在 ostree 验证前被删除。在这个版本中,/etc/kubernetes/aide.reinit 被移到 /run 目录中,以便它不会与 OpenShift Container Platform 更新冲突。(BZ#2033311)

6.2.13. OpenShift File Integrity Operator 0.1.21

以下公告可用于 OpenShift File Integrity Operator 0.1.21:

6.2.13.1. 新功能及功能增强

  • web 控制台的 Monitoring 仪表板中会显示与 FileIntegrity 扫描结果和处理指标相关的指标。结果使用 file_integrity_operator_ 前缀标记。
  • 如果节点在超过 1 秒的情况下存在完整性失败,则 operator 命名空间警报中提供的默认 PrometheusRule 带有一个警告。
  • 以下动态 Machine Config Operator 和 Cluster Version Operator 相关文件路径不包括在默认的 AIDE 策略中,以帮助在节点更新过程中阻止假的正状态:

    • /etc/machine-config-daemon/currentconfig
    • /etc/pki/ca-trust/extracted/java/cacerts
    • /etc/cvo/updatepayloads
    • /root/.kube
  • AIDE 守护进程进程具有 v0.1.16 的稳定性改进,并且对 AIDE 数据库初始化时可能发生的错误更具弹性。

6.2.13.2. 程序错误修复

  • 在以前的版本中,当 Operator 自动升级时,过时的守护进程集不会被删除。在这个版本中,过期的守护进程集会在自动升级过程中被删除。

6.2.14. 其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.