第 3 章 程序错误修复
在此 Red Hat Trusted Artifact Signer (RHTAS)发行版本中,我们修复了以下错误:除了这些修复外,我们列出了之前在我们修复的早期版本中发现的问题的描述。
检测 OpenShift 环境时对 operator 逻辑的更新
在 OpenShift 集群重启期间,T RHTAS 操作器逻辑用于检测 OpenShift 环境是不可靠的。Operator 会错误地认为它在非 OpenShift 环境中运行,并错误地配置了系统。这会导致 API 不可用,Trillian 数据库 pod 无法启动。这也会导致 OpenShift 安全性上下文约束(SCC)违反。
在这个版本中,我们删除了 RHTAS 操作器中的 OpenShift 环境的动态检测。在安装 RHTAS operator 期间,必须使用新的 OPENSHIFT 环境变量明确配置目标环境。这样做可确保 RHTAS 操作器一致应用用于部署的正确配置。使用 Operator Lifecycle Manager (OLM)部署 RHTAS 操作器,默认情况下将 OPENSHIFT 环境变量设置为 true。因此,RHTAS 操作器一致配置系统,从而防止重新启动服务启动问题,不再违反 OpenShift SCC。
企业合同速度更快且效率更高
在此次更新之前,企业合同(EC)将从配置的源下载策略和策略数据,以验证每个组件。这会导致 ec validate image 命令通过下载超过所需数据来运行更长。在本发行版本中,当 ec validate image 命令检测到相同的策略源来验证不同的容器镜像时,它不再会多次下载策略数据。
Operator 在 nil pointer 异常上终止
当 fulcio.spec.privateKeyPasswordRef 的 Certificate Transparency 日志'(CTlog)密码被错误设置时,RH RHTAS operator 会终止且没有有意义的错误消息。在这个版本中,我们为此场景添加了更强大的错误处理,并在未正确设置 CTlog 时更有意义的 operator 错误消息。
Fulcio 证书的常见名称错误
sigstore.issuer 字段被硬编码为使用 spec.certificate.commonName 中指定的通用 name 值用于 Fulcio 证书。在这个版本中,我们添加了相应的逻辑来正确设置 sigstore.issuer 字段。如果 spec.certificate.commonName 为空,则我们根据 spec.externalAccess.host 值设置 sigstore.issuer。如果 spec.certificate.commonName 和 spec.externalAccess.host 为空,则将 sigstore.issuer 设置为 OpenShift 集群的域名。因此,我们为 Fulcio 证书正确设置了通用名称。
从 Operator 中删除了 kube-rbac-proxy
弃用了 kube-rbac-proxy 的 -- 标志后,我们在安装 RHTAS operator 时删除了基于角色的访问控制(RBAC) HTTP 代理资源。因此,您需要在 Operator 命名空间中有一个预定义的证书和私钥。默认 operator 命名空间为 tls-cert-file 和--tls-private-key-fileopenshift-operators。因此,我们不再使用此 RBAC HTTP 代理资源来保护 Operator 控制器的 /metrics API 端点。
默认启用 Rekor 搜索 UI
在这个版本中,不再需要用户手动安装 Rekor 搜索用户界面(UI)。我们默认启用 Rekor 搜索 UI。
CreateTree 任务在安装失败后继续运行
删除然后重新安装 RHTAS 服务时,CreateTree 任务在某些情况下可能会持续运行,从而防止后续安装成功。在这个版本中,如果 RHTAS 安装过程检测到运行 CreateTree 任务,则它会清理该任务,而无需用户干预。如需了解更多详细信息,请参阅 GitHub 问题 #230。
将 kube-rbac-proxy 的上游版本替换为支持的版本
Red Hat Trusted Artifact Signer 1.0 附带的 Role-base 访问控制(RBAC)代理容器 gcr.io/kubebuilder/kube-rbac-proxy。在这个版本中,我们使用官方支持的红帽版本 registry.redhat.io/openshift4/ose-kube-rbac-proxy 替换上游版本。
当没有足够的内存可用时,可信 Artifact Signer operator 可能会崩溃
在安装 RHTAS 运算符期间,如果未分配足够的内存,这会导致 CrashLoopBackoff 状态。此崩溃会阻止 RHTAS 操作器正确安装。
在这个版本中,增加了 RHTAS 运算符的内存分配,允许它成功安装。
缺少企业合同二进制下载
当用户试图下载企业合同(EC)二进制文件时,他们会收到 404 页面。因为 Windows 的 EC 二进制文件的路径被错误设置,所以会生成 404 页面。在这个版本中,Windows 的 EC 二进制文件的路径被正确设置,不再提供 404 页面。
cosign Windows 可执行文件缺少 .exe 扩展
下载二进制文件时,Windows 的 cosign 二进制文件缺少 .exe 文件名扩展。缺少 .exe 文件扩展名不允许在 Windows 上运行 cosign 二进制文件。在这个版本中,co sign 二进制文件具有 .exe 文件名扩展名,并在 Windows 上按预期运行。
升级 Trusted Artifact Signer operator 的技术预览版本失败
在以前的版本中,RHTDAS 运算符的技术预览版本(0.0.2)会自动升级到正式发布的版本(1.0.0),从而导致升级失败。如果 Securesign 实例及其自定义资源(CR)已存在,则从技术预览版本升级不再会失败。
片段备份作业的集群权限
在以前的版本中,负责收集 Rekor 和 Fulcio 指标的片段备份服务帐户的基于角色的访问控制(RBAC)错误配置已提升了权限。启用片段备份作业时,这些升级的权限可能会读取集群范围的 secret。
在这个版本中,我们通过限制网段备份服务帐户的特权来解决错误配置。现在,我们默认启用这些指标的收集。
