Language:
Format:

发行注记

OpenShift Container Platform 4.13

OpenShift Container Platform 发行版本中的主要新功能及变化信息

Red Hat OpenShift Documentation Team

摘要

此发行注记介绍了 OpenShift Container Platform 的新功能、功能增强、重要的技术变化、以及对以前版本中的错误作出的主要修正。另外，还包括在此版本正式发行（GA）时存在的已知问题的信息。

第 1 章 OpenShift Container Platform 4.13 发行注记

Red Hat OpenShift Container Platform 为软件开发人员和 IT 机构提供了一个混合云应用平台。使用这个平台可以在配置和管理成本最小化的情况下，利用安全、可扩展的资源部署新的或已有的应用程序。OpenShift Container Platform 支持大量编程语言和开发平台，如 Java、JavaScript、Python、Ruby 和 PHP。

OpenShift Container Platform 基于 Red Hat Enterprise Linux（RHEL）和 Kubernetes，为当今的企业级应用程序提供了一个更加安全、可扩展的多租户操作系统，同时提供了集成的应用程序运行时及程序库。OpenShift Container Platform 可以满足用户对安全性、隐私、合规性及监管的要求。

1.1. 关于此版本

OpenShift Container Platform (RHSA-2023:1326) 现已正式发布。此发行版本使用了带有 CRI-O 运行时的 Kubernetes 1.26 。OpenShift Container Platform 4.13 的新功能、改变以及已知的问题包括在此文档中。

OpenShift Container Platform 4.13 集群位于 https://console.redhat.com/openshift。使用 OpenShift Container Platform 的 Red Hat OpenShift Cluster Manager 应用程序，您可以将 OpenShift Container Platform 集群部署到内部环境或云环境中。

OpenShift Container Platform 4.13 基于 Red Hat Enterprise Linux (RHEL) 9.2。RHEL 9.2 尚未提交用于 FIPS 验证。红帽计划获取 RHEL 9.0 和 RHEL 9.2 以及以后的 RHEL 9.x 偶数的次版本模块的 FIPS 验证，但没有具体的时间表。更新将包括在 Compliance Activities and Government Standards 中。

OpenShift Container Platform 4.13 需要运行在 Red Hat Enterprise Linux (RHEL) 8.6、8.7 和 8.8 上，以及 Red Hat Enterprise Linux CoreOS (RHCOS) 4.13 上。

您必须将 RHCOS 机器用于 control plane，而 compute 系统可以使用 RHCOS 或 RHEL。

1.2. OpenShift Container Platform 层次和依赖组件支持和兼容性

OpenShift Container Platform 的层次组件和依赖组件的支持范围会独立于 OpenShift Container Platform 版本。要确定附加组件的当前支持状态和兼容性，请参阅其发行注记。如需更新相关信息，请参阅 Red Hat OpenShift Container Platform 生命周期政策。

1.3. 新功能及功能增强

此版本对以下方面进行了改进。

1.3.1. Red Hat Enterprise Linux CoreOS (RHCOS)

1.3.1.1. RHCOS 现在使用 RHEL 9.2

RHCOS 现在在 OpenShift Container Platform 4.13 中使用 Red Hat Enterprise Linux (RHEL) 9.2 软件包。这可让您获得最新的修复、功能和增强，以及最新的硬件支持和驱动程序更新。

1.3.1.1.1. 使用 RHEL 9.2 升级到 OpenShift Container Platform 的注意事项

在这个版本中，OpenShift Container Platform 4.13 引入了基于 RHEL 9.2 的 RHCOS，在升级前需要做一些注意事项：

RHEL 8.6 和 RHEL 9.2 之间可能会更改了一些组件配置选项和服务，这意味着现有机器配置文件可能不再有效。
RHCOS 容器主机不支持 RHEL 6 基础镜像容器，但在 RHEL 8 worker 节点上支持。如需更多信息，请参阅红帽容器兼容性列表。
有些设备驱动程序已弃用，请参阅RHEL 文档以了解更多信息。

1.3.1.2. 使用安装程序置备的基础架构的 IBM Power Virtual Server （技术预览）

安装程序置备的基础架构(IPI)提供 OpenShift Container Platform 的完整安装和设置。

如需更多信息，请参阅准备在 IBM Power Virtual Server 上安装。

1.3.1.3. IBM Z 和 IBM (R) Linux 上的 IBM Secure Execution

此功能在 OpenShift Container Platform 4.12 中作为技术预览引进，现在在 OpenShift Container Platform 4.13 中正式发布。IBM Secure Execution 是一种硬件增强，可为 KVM 客户机保护内存边界。IBM Secure Execution 为集群工作负载提供最高级别的隔离和安全，您可以使用支持 IBM Secure Execution 的 QCOW2 引导镜像启用它。

要使用 IBM Secure Execution，您需要有主机机器的主机密钥，且必须在 Ignition 配置文件中指定它们。IBM Secure Execution 会使用 LUKS 加密自动加密引导卷。

如需更多信息，请参阅使用 IBM 安全执行安装 RHCOS。

1.3.1.4. 支持的安装程序 SaaS 为 IBM Power、IBM Z 和 IBM (R) Linux 提供平台集成支持

在 console.redhat.com 上支持的安装程序 SaaS 支持使用 Assisted Installer 用户界面或 REST API 在 IBM Power、IBM Z 和 IBM® LinuxONE 平台上安装 OpenShift Container Platform。集成允许用户从单一界面管理其基础架构。启用 IBM Power、IBM Z 和 IBM® LinuxONE 与辅助安装程序 SaaS 集成有几个额外的安装步骤。

如需更多信息，请参阅使用 Assisted Installer 安装内部集群。

1.3.1.5. RHCOS 现在包含 lsof

OpenShift Container Platform 4.13 现在在 RHCOS 中包含 lsof 命令。

1.3.2. 安装和更新

1.3.2.1. 支持 VMware vSphere 版本 8.0

OpenShift Container Platform 4.13 支持 VMware vSphere 版本 8.0。您可以继续在 VMware vSphere 版本 7.0 Update 2 上安装 OpenShift Container Platform 集群。

1.3.2.2. VMware vSphere 区域和区启用

您可以将 OpenShift Container Platform 集群部署到在单个 VMware vCenter 中运行的多个 vSphere 数据中心或区域。每个数据中心都可以运行多个集群或区域。此配置降低了硬件故障或网络中断的风险，从而导致集群失败。

重要

VMware vSphere 区域和区启用功能仅适用于新安装的集群，因为此功能需要 vSphere Container Storage Interface (CSI) 驱动程序作为集群中的默认存储驱动程序。

从上一版本升级的集群默认使用树内 vSphere 驱动程序。因此，您必须为集群启用 CSI 自动迁移才能使用此功能。然后，您可以为升级的集群配置多个区域和区域。

如需更多信息，请参阅 VMware vSphere 区域和区启用。

1.3.2.3. 对默认 vSphere install-config.yaml 文件的更改

在 vSphere 上运行 OpenShift Container Platform 安装程序后，默认的 install-config.yaml 文件现在包含 vcenters 和 failureDomains 字段，以便您可以选择为集群指定多个数据中心、区域和区域信息。如果要在由 VMware vCenter 中运行的单一数据中心组成的 vSphere 环境中安装 OpenShift Container Platform 集群，请将这些字段留空。

如需更多信息，请参阅为 VMware vCenter 配置区域和区域。

1.3.2.4. 支持多个 vSphere 子网的外部负载均衡器

您可以将 OpenShift Container Platform 集群配置为使用支持多个子网的外部负载均衡器。如果使用多个子网，您可以明确列出负载均衡器目标使用的任何网络中的所有 IP 地址。此配置可减少维护开销，因为您可以在这些网络中创建和销毁节点，而无需重新配置负载均衡器目标。

如需更多信息，请参阅配置外部负载均衡器。

1.3.2.5. 支持在 VMware vSphere 上安装集群前对虚拟机进行加密

对于 OpenShift Container Platform 4.13，您可以在使用用户置备的基础架构的 VMware vSphere 上安装集群前对虚拟机进行加密。

如需更多信息，请参阅加密虚拟机的要求

1.3.2.6. 三节点集群支持

从 OpenShift Container Platform 4.13 开始，在 Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)和 VMware vSphere 上支持部署三节点集群。这种类型的 OpenShift Container Platform 集群是一个较小的、效率更高的集群，因为它仅包含三台 control plane 机器，它也充当计算机器。

1.3.2.7. IBM Cloud VPC 和现有的 VPC 资源

如果要将 OpenShift Container Platform 集群部署到现有的虚拟私有云 (VPC) 中，您现在可以使用 networkResourceGroupName 参数指定包含这些资源的资源组的名称。此功能增强可让您保留与安装程序置备的集群资源分开的现有 VPC 资源和子网。然后，您可以使用 resourceGroupName 参数指定安装程序可用于部署所有安装程序置备的集群资源的现有资源组的名称。如果 resourceGroupName 未定义，则会为集群创建新的资源组。

如需更多信息，请参阅 IBM Cloud VPC 配置参数。

1.3.2.8. GCP 安装和删除 OpenShift Container Platform 集群的最低所需的权限

在 OpenShift Container Platform 4.13 中，您可以定义自定义角色以包括 Google Cloud Platform (GCP) 的最低所需权限，以安装和删除 OpenShift Container Platform 集群。这些权限可用于安装程序置备的基础架构和用户置备的基础架构。

1.3.2.9. Azure 的用户定义的标签

在 OpenShift Container Platform 4.13 中，您可以在 Azure 中配置标签，以分组资源并管理资源访问和成本。对标签的支持仅适用于在 Azure Public Cloud 中创建的资源，在 OpenShift Container Platform 4.13 中作为技术预览 (TP)。您只能在 OpenShift Container Platform 集群创建过程中在 install-config.yaml 文件中定义 Azure 资源的标签。

1.3.2.10. 在 GCP 上安装 OpenShift Container Platform 集群到共享 Virtual Private Cloud (VPC)

在 OpenShift Container Platform 4.13 中，您可以在 Google Cloud Platform (GCP) 上将集群安装到共享 VPC 中。这个安装方法将集群配置为与其他 GCP 项目共享 VPC。共享 VPC 可让机构通过通用 VPC 网络从多个项目连接资源。常见的 VPC 网络可以使用内部 IP 地址提高组织通信的安全性和效率。

如需更多信息，请参阅在 GCP 上安装集群到共享 VPC 中。

1.3.2.11. 使用 Shielded 虚拟机在 GCP 上安装集群

在 OpenShift Container Platform 4.13 中，您可以在安装集群时使用 Shielded 虚拟机。Shielded 虚拟机具有额外的安全功能，包括安全引导、固件和完整性监控和 rootkit 检测。如需更多信息，请参阅启用 Shielded VMs 和 Google 文档 Shielded VMs。

1.3.2.12. 使用机密的虚拟机在 GCP 上安装集群

在 OpenShift Container Platform 4.13 中，您可以安装集群时使用机密的虚拟机。机密虚拟机在处理数据时加密数据。如需更多信息，请参阅 Google 文档中有关机密计算的内容。您可以同时启用机密虚拟机和 Shielded 虚拟机，虽然它们不相互依赖。

重要

由于一个已知问题，无法在带有机密虚拟机的集群中使用持久性卷存储。如需更多信息，请参阅 OCPBUGS-7582。

1.3.2.13. 在 AWS 上将集群安装到现有的 Virtual Private Cloud (VPC) 改进

在 OpenShift Container Platform 4.13 中，使用 AWS VPC 的集群安装过程已被简化。此发行版本还引入了边缘池，这是为 AWS Local Zones 优化的机器池。

如需更多信息，请参阅使用 AWS 本地区安装集群。

1.3.2.14. 从 OpenShift Container Platform 4.12 升级到 4.13 时，需要管理员确认

OpenShift Container Platform 4.13 使用 Kubernetes 1.26，它删除了几个已弃用的 API。

集群管理员必须在从 OpenShift Container Platform 4.12 升级到 4.13 前提供手动确认。这有助于防止升级到 OpenShift Container Platform 4.13 后出现问题，其中已删除的 API 仍在由运行或与集群交互的工作负载、工具或其他组件使用。管理员必须针对将要删除的任何 API 评估其集群，并迁移受影响的组件，以使用适当的新 API 版本。完成此操作后，管理员可以向管理员提供确认。

所有 OpenShift Container Platform 4.12 集群都需要此管理员确认，然后才能升级到 OpenShift Container Platform 4.13。

如需更多信息，请参阅准备升级到 OpenShift Container Platform 4.13。

1.3.2.15. Microsoft Azure 的最低所需的权限来安装和删除 OpenShift Container Platform 集群

在 OpenShift Container Platform 4.13 中，您可以定义自定义角色，使其包含 Microsoft Azure 安装和删除 OpenShift Container Platform 集群的最低所需的权限。这些权限可用于安装程序置备的基础架构和用户置备的基础架构。

1.3.2.16. 单架构到多架构有效负载迁移

OpenShift Container Platform 4.13 引入了 oc adm upgrade --to-multi-arch 命令，可让您使用单架构计算机器将集群迁移到具有多架构计算机器的集群。通过升级到多架构、清单列出的有效负载，您可以将混合架构计算机器添加到集群中。

1.3.2.17. 配置要在 vSphere 的 control plane 上运行的网络组件

如果您需要在 vSphere 安装的 control plane 节点上运行虚拟 IP (VIP) 地址，您必须将 ingressVIP 地址配置为仅在 control plane 节点上运行。默认情况下，OpenShift Container Platform 允许 worker 机器配置池中的任何节点托管 ingressVIP 地址。因为 vSphere 环境在与 control plane 节点独立的子网中部署 worker 节点，将 ingressVIP 地址配置为完全在 control plane 节点上运行，从而防止在不同的子网中部署 worker 节点导致问题。如需了解更多详细信息，请参阅配置要在 vSphere 的 control plane 上运行的网络组件。

1.3.2.18. 使用单一节点在 AWS 上安装 OpenShift Container Platform 集群

在 OpenShift Container Platform 4.13 中，您可以在 Amazon Web Services (AWS) 上使用单一节点安装集群。在单一节点上安装会增加节点的资源要求。如需了解更多详细信息，请参阅在单一节点上安装集群。

1.3.2.19. 使用内部裸机节点扩展 AWS 集群

在 OpenShift Container Platform 4.12 中，在 AWS 上部署的 OpenShift Container Platform 集群中启用了 Baremetal Operator。在 OpenShift Container Platform 4.13 中，您可以使用内部裸机节点扩展在 AWS 上部署的集群。这需要在 AWS 环境和内部裸机环境之间建立安全连接。如需了解更多详细信息，请参阅使用内部裸机节点扩展集群。

1.3.2.20. 使用 Bare Metal Operator 在用户置备的集群中扩展裸机主机

在 OpenShift Container Platform 4.13 中，您可以使用 Bare Metal Operator (BMO) 和其他裸机³ 组件在现有用户置备的基础架构集群中扩展裸机主机。通过在用户置备的集群中使用 Bare Metal Operator，您可以简化和自动化主机的管理和扩展。

使用 BMO，您可以通过配置 BareMetalHost 对象来添加或删除主机。您还可以通过在 BareMetalHost 对象清单中将主机注册 externallyProvisioned 来跟踪现有主机。

注意

您不能使用 provisioning 网络来扩展用户置备的基础架构集群，使用 Bare Metal Operator。由于此工作流不支持 provisioning 网络，因此只能使用支持虚拟介质网络引导的裸机主机驱动程序，如 redfish-virtualmedia 和 idrac-virtualmedia。

有关使用 BMO 扩展用户置备的集群的更多信息，请参阅使用 Bare Metal Operator 扩展用户置备的集群。

1.3.2.21. 64 位 ARM 上的 OpenShift Container Platform

OpenShift Container Platform 4.13 现在支持基于 64 位 ARM 架构的 Azure 用户置备的安装。64 位 ARM 系统现在支持基于 Agent 的安装程序。有关实例可用性和安装文档的更多信息，请参阅支持的安装方法。

1.3.2.22. 支持 git-lfs 软件包

OpenShift Jenkins 镜像现在支持 git-lfs 软件包。使用此软件包，您可以使用大于 OpenShift Jenkins 镜像 200MB (MB) 的工件。

1.3.2.23. 使用 oc-mirror 插件包含本地 OCI Operator 目录现已正式发布

现在，您可以使用 oc-mirror 插件将磁盘上的本地 OCI Operator 目录镜像到镜像 registry。此功能以前作为技术预览功能在 OpenShift Container Platform 4.12 中引入，现在在 OpenShift Container Platform 4.13 中正式发布。

此发行版本引进了对本地 OCI 目录时的以下功能的支持：

从目标镜像 registry 修剪镜像
增量 mirror 仅 mirror 自上次运行该工具起变化的内容
目标 mirror registry 中目录的替代名称的命名空间层次结构

重要

如果您为 OpenShift Container Platform 4.12 的 oc-mirror 插件使用了预览预览的 OCI 功能，则无法再使用 oc-mirror 插件的 OCI 本地目录功能在本地复制目录，并将其转换为 OCI 格式作为 mirror 到一个完全断开连接的集群中的第一步。
在镜像本地 OCI 目录时，所有您要 mirror 的 OpenShift Container Platform 发行版本或其他需要和本地 OCI 格式目录一起 mirror 的镜像都必须从 registry 中拉取。您无法在磁盘中一起 mirror OCI 目录和一个 oc-mirror 镜像集文件镜像。
--use-oci-feature 标志已弃用。使用 --include-local-oci-catalogs 标志改为启用本地 OCI 目录的镜像。

如需更多信息，请参阅包含本地 OCI Operator 目录。

1.3.2.24. 在 RHOSP 上部署使用故障域的集群（技术预览）

现在，您可以在 RHOSP 上部署跨多个故障域的集群。对于大规模部署，故障域提高了弹性和性能。

如需更多信息，请参阅故障域的 RHOSP 参数。

1.3.2.25. 在 RHOSP 上部署带有用户管理的负载均衡器的集群（技术预览）

现在，您可以使用用户管理的负载均衡器而不是默认的内部负载均衡器在 RHOSP 上部署集群。

如需更多信息，请参阅使用用户管理的负载均衡器在 OpenStack 上安装集群配置。

1.3.2.26. 在 Nutanix 上安装集群时使用项目和类别

在 OpenShift Container Platform 4.13 中，您可以使用项目和类别在 Nutanix 上安装的集群中组织 compute plane 虚拟机。项目定义用于管理权限、网络和其他参数的用户角色的逻辑组。您可以使用类别根据共享特征将策略应用到一组虚拟机。

如需更多信息，请参阅在 Nutanix 上安装集群。

1.3.2.27. 基于代理的安装程序现在执行网络连接检查

对于使用基于 Agent 的安装程序安装 OpenShift Container Platform 4.13，控制台应用程序（带有文本用户界面）会提前执行拉取检查，以验证当前主机是否可以检索配置的发行镜像。控制台应用程序支持通过允许用户直接修改网络配置来进行故障排除。

如需更多信息，请参阅验证当前安装主机是否可以拉取发行镜像。

1.3.3. 安装后配置

1.3.3.1. 带有多架构计算机器的 OpenShift Container Platform 集群

带有多架构计算机器的 OpenShift Container Platform 4.13 集群现已正式发布。作为第 2 天操作，您现在可以在 AWS 和 Azure 安装程序置备的基础架构上创建带有不同架构的计算节点的集群。裸机上的用户置备的安装只是一个技术预览。有关使用多架构计算机器创建集群的更多信息，请参阅在 OpenShift Container Platform 集群上配置多架构计算机器。

1.3.3.2. 在 VSphere 上为集群指定多个故障域

作为管理员，您可以为在 VMware VSphere 实例上运行的 OpenShift Container Platform 集群指定多个故障域。这意味着，您可以在数据中心的不同硬件资源中分发关键 control plane 和工作负载元素。另外，您可以将集群配置为使用多个第 2 层网络配置，以便节点间的数据传输可以跨越多个网络。

如需更多信息，请参阅在 VSphere 上为集群指定多个故障域。

1.3.4. Web 控制台

1.3.4.1. Developer Perspective (开发者视角)

在这个版本中，您可以在 web 控制台的 Developer 视角中执行以下操作：

使用 Import from Git 流创建 Serverless 函数。
使用 Add 页上的 Create Serverless Function 流创建 Serverless 函数。
选择 pipeline-as-code 作为 Import from Git 工作流中的选项。
查看用户界面中的以下位置接收流量：
- Topology 视图的侧面板
- pod 的 Details 视图
- Pods 列表视图
自定义超时时间，或者在实例化 Web Terminal 时提供自己的镜像。
作为管理员，将默认资源设置为预先固定到所有用户的 Developer 视角导航中。

1.3.4.1.1. Pipelines 页面的改进

在 OpenShift Container Platform 4.13 中，您可以在 Pipelines 页面中看到以下导航改进：

当您返回到 Pipelines 页面时，您之前选择的标签页会保持可见。
Repository 详情页面的默认标签页现在是 PipelinesRuns，但当您遵循 Create Git Repository 流时，默认标签页为 Details。

1.3.4.1.2. Helm 页的改进

在 OpenShift Container Platform 4.13 中，Helm 页面现在包含以下新功能和更新的功能：

现在，该页面中使用的术语指的是创建和删除 Helm 发行版本，而不是安装和卸载 Helm chart。
您可以在 web 控制台中执行下一个任务前，异步创建和删除 Helm 发行版本，而不是等待操作完成。
Helm release 列表现在包含 Status 列。

1.3.5. OpenShift CLI (oc)

1.3.5.1. 在指定命名空间中运行 must-gather 的新标记

在 OpenShift Container Platform 4.13 中，oc adm must-gather 命令提供了 --run-namespace 标志。您可以使用此标志指定一个现有命名空间来运行 must-gather 工具。

如需更多信息，请参阅关于 must-gather 工具。

1.3.5.2. 使用 OpenShift CLI (oc) 导入清单

在 OpenShift Container Platform 4.13 中，一个新的 oc 命令行界面 (CLI) 标记 --import-mode 添加到以下 oc 命令中：

oc import-image
oc tag

有了这个增强，用户可以将 --import-mode 标志设置为 Legacy 或 PreserveOriginal，这为用户提供在运行 oc import-image 或 oc tag 命令时导入单个子清单或所有清单列表的选项。

如需更多信息，请参阅使用清单列表。

1.3.5.3. 返回镜像的 os/arch 和摘要

在 OpenShift Container Platform 4.13 中，在镜像上运行 oc describe 现在返回每个清单的 os/arch 和摘要。

1.3.6. IBM Z 和 IBM (R) Linux

在这个版本中，IBM Z 和 IBM® LinuxONE 与 OpenShift Container Platform 4.13 兼容。可以使用 z/VM 或 Red Hat Enterprise Linux (RHEL) 内核的虚拟机 (KVM) 执行安装。有关安装说明，请参阅以下文档：

重要

Compute 节点必须运行 Red Hat Enterprise Linux CoreOS(RHCOS)

IBM Z 和 IBM (R) Linux 主要改进

OpenShift Container Platform 4.13 上的 IBM Z 和 IBM® LinuxONE 发行版本为 OpenShift Container Platform 组件和概念提供了改进和新功能。

此发行版本引进了对 IBM Z 和 IBM® LinuxONE 中的以下功能的支持：

支持的安装程序
Cluster Resource Override Operator
Egress IP
MetalLB Operator
网络绑定磁盘加密 - 外部 Tang 服务器

IBM 安全执行

OpenShift Container Platform 现在支持为 IBM Z 和 IBM® LinuxONE (s390x 架构)上的 IBM Secure Execution 配置 Red Hat Enterprise Linux CoreOS (RHCOS)节点。

有关安装说明，请参阅以下文档：

使用 IBM 安全执行安装 RHCOS

1.3.7. IBM Power

在这个版本中，IBM Power 与 OpenShift Container Platform 4.13 兼容。有关安装说明，请参阅以下文档：

重要

Compute 节点必须运行 Red Hat Enterprise Linux CoreOS(RHCOS)

IBM Power 主要改进

OpenShift Container Platform 4.13 上的 IBM Power 发行版本为 OpenShift Container Platform 组件和概念添加了改进和新功能。

此发行版本引进了对 IBM Power 中的以下功能的支持：

支持的安装程序
Cluster Resource Override Operator
IBM Power Virtual Server Block CSI Driver Operator （技术预览）
Egress IP
IBM Power Virtual Server 的安装程序置备的基础架构启用（技术预览）
MetalLB Operator
网络绑定磁盘加密 - 外部 Tang 服务器

IBM Power、IBM Z 和 IBM (R) Linux 支持列表

表 1.1. OpenShift Container Platform 功能

功能	IBM Power	IBM Z 和 IBM® LinuxONE
备用身份验证供应商	支持	支持
支持的安装程序	支持	支持
使用 Local Storage Operator 自动设备发现	不支持	支持
使用机器健康检查功能自动修复损坏的机器	不支持	不支持
IBM Cloud 的云控制器管理器	支持	不支持
在节点上控制过量使用和管理容器密度	不支持	不支持
Cron 作业	支持	支持
Descheduler	支持	支持
Egress IP	支持	支持
加密数据存储在 etcd 中	支持	支持
Helm	支持	支持
Pod 横向自动扩展	支持	支持
IPv6	支持	支持
用户定义项目的监控	支持	支持
多路径（Multipathing）	支持	支持
网络绑定磁盘加密 - 外部 Tang 服务器	支持	支持
Non-volatile memory express drive (NVMe)	支持	不支持
OpenShift CLI (`oc`) 插件	支持	支持
Operator API	支持	支持
OpenShift Virtualization	不支持	不支持
OVN-Kubernetes，包括 IPsec 加密	支持	支持
PodDisruptionBudget	支持	支持
精度时间协议 (PTP) 硬件	不支持	不支持
Red Hat OpenShift Local	不支持	不支持
Scheduler 配置集	支持	支持
流控制传输协议 (SCTP)	支持	支持
支持多个网络接口	支持	支持
三节点集群支持	支持	支持
拓扑管理器	支持	不支持
SCSI 磁盘中的 z/VM 模拟 FBA 设备	不支持	支持
4K FCP 块设备	支持	支持

表 1.2. 持久性存储选项

功能	IBM Power	IBM Z 和 IBM® LinuxONE
使用 iSCSI 的持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用本地卷 (LSO) 的持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用 hostPath 的持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用 Fibre Channel 持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用 Raw Block 的持久性存储	支持 ^[1]	支持 ^[1],^[2]
使用 EDEV/FBA 的持久性存储	支持 ^[1]	支持 ^[1],^[2]

必须使用 Red Hat OpenShift Data Foundation 或其他支持的存储协议来置备持久性共享存储。
必须使用本地存储（如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO）来置备持久性非共享存储。

表 1.3. Operator

功能	IBM Power	IBM Z 和 IBM® LinuxONE
Cluster Logging Operator	支持	支持
Cluster Resource Override Operator	支持	支持
Compliance Operator	支持	支持
File Integrity Operator	支持	支持
Local Storage Operator	支持	支持
MetalLB Operator	支持	支持
NFD Operator	支持	支持
NMState Operator	支持	支持
OpenShift Elasticsearch Operator	支持	支持
Service Binding Operator	支持	支持
Vertical Pod Autoscaler Operator	支持	支持

表 1.4. Multus CNI 插件

功能	IBM Power	IBM Z 和 IBM® LinuxONE
Bridge	支持	支持
Host-device	支持	支持
IPAM	支持	支持
IPVLAN	支持	支持

表 1.5. CSI 卷

功能	IBM Power	IBM Z 和 IBM® LinuxONE
克隆	支持	支持
扩展	支持	支持
Snapshot	支持	支持

1.3.8. 镜像

1.3.8.1. 支持镜像流中列出的清单镜像

在 OpenShift Container Platform 4.13 中，对镜像流中列出的清单镜像的支持现已正式发布。

1.3.9. 安全性与合规性

1.3.9.1. 现在支持 AES-GCM 加密

现在，在为 OpenShift Container Platform 启用 etcd 加密时，支持 AES-GCM 加密类型。AES-GCM 加密类型的加密密钥每周轮转。

如需更多信息，请参阅支持的加密类型。

1.3.10. 网络

1.3.10.1. 网络指标的改进

1.3.10.1.1. egress_ips_rebalance_total

指标名称：ovnkube_master_egress_ips_rebalance_total
帮助消息：分配到不同节点所需的出口 IP 的次数总数。

1.3.10.1.2. egress_ips_node_unreachable_total

指标名称：ovnkube_master_egress_ips_node_unreachable_total
帮助消息 ：分配的出口 IP 的次数无法访问。

1.3.10.1.3. egress_ips_unassign_latency_seconds

指标名称：ovnkube_master_egress_ips_unassign_latency_seconds
帮助消息 ：出口 IP 从 OVN 北向数据库分配的延迟。

1.3.10.1.4. interfaces_total

指标名称： ovs_vswitchd_interfaces_total
帮助消息 ：为 pod 创建的 Open vSwitch 接口的总数和直到可用时的 Open vSwitch 接口。

1.3.10.1.5. interface_up_wait_seconds_total

指标名称：ovs_vswitchd_interface_up_wait_seconds_total
帮助消息 ：等待 pod 所需的秒数。 和直到可用时的 Open vSwitch 接口。

1.3.10.1.6. ovnkube_resource_retry_failures_total

指标名称：ovnkube_resource_retry_failures_total
帮助消息 ：处理 Kubernetes 资源的次数达到最大重试限制，不再被处理。

1.3.10.2. 网络警报的改进

OVN Kubernetes 在丢弃前重试最多 15 次。在这个版本中，如果发生此故障，OpenShift Container Platform 会警告集群管理员。在控制台中可以查看每个警报的描述。

1.3.10.2.1. NoOvnMasterLeader

概述：没有 ovn-kubernetes master leader。

控制台中的描述：

Networking control plane is degraded. Networking configuration updates applied to the cluster will not be implemented while there is no OVN Kubernetes leader. Existing workloads should continue to have connectivity. OVN-Kubernetes control plane is not functional.

1.3.10.2.2. OVNKubernetesNodeOVSOverflowUserspace

概述：OVS vSwitch 守护进程会因为缓冲区溢出而丢弃数据包。

控制台中的描述：

Netlink messages dropped by OVS vSwitch daemon due to netlink socket buffer overflow. This will result in packet loss.

1.3.10.2.3. OVNKubernetesNodeOVSOverflowKernel

概述：OVS 内核模块会因为缓冲区溢出而丢弃数据包。

控制台中的描述：

Netlink messages dropped by OVS kernel module due to netlink socket buffer overflow. This will result in packet loss.

1.3.10.3. Network Observability Operator

Network Observability Operator 发行版本独立于 OpenShift Container Platform 次版本流的更新。更新可以通过单一的滚动流提供，该流在所有当前支持的 OpenShift Container Platform 4 版本中被支持。有关 Network Observability Operator 的新功能、功能增强和程序错误修复的信息，请参阅 Network Observability 发行注记。

1.3.10.4. 将 MetalLB IPAddressPool 资源中的 IP 地址分配给特定的命名空间和服务

在这个版本中，您可以将 IP 地址从 MetalLB IPAddressPool 资源分配给服务、命名空间或两者。这在需要 MetalLB 将 IP 地址从 IP 地址池固定到特定的服务和命名空间中时很有用。您可以从多个 IP 地址池为服务和命名空间分配 IP 地址。然后，您可以为这些 IP 地址池定义优先级，以便 MetalLB 从优先级更高的 IP 地址池分配 IP 地址。

有关将 IP 地址池分配给服务和命名空间的更多信息，请参阅配置 MetalLB 地址池。

1.3.10.5. 支持在带有双端口 NIC 的节点上安装 OpenShift Container Platform （技术预览）

在这个版本中，使用以下方法，可以将 OpenShift Container Platform 集群部署到在 2 个物理功能（PF）中的 2 个虚拟功能（VF）的绑定接口：

基于代理的安装程序
安装程序置备的基础架构安装
用户置备的基础架构安装

有关在带有双端口 NIC 的节点上安装 OpenShift Container Platform 的更多信息，请参阅 SR-IOV 设备的 NIC 分区。

1.3.10.6. 现在，支持将 BlueField-2 网络设备从数据处理单元(DPU)模式切换到网络接口控制器(NIC)模式

在这个发行版本中，将 BlueField-2 网络设备从数据处理单元(DPU)模式切换到网络接口控制器(NIC)模式现已正式发布。

如需更多信息，请参阅将 BlueField-2 从 DPU 切换到 NIC。

1.3.10.7. 网卡的 MT2892 系列的硬件卸载 [ConnectX-6 Dx]

OpenShift Container Platform 4.13 添加了对网卡的 MT2892 系列 [ConnectX-6 Dx] 的 OvS Hardware Offload 支持。

如需更多信息，请参阅支持的设备。

1.3.10.8. 迁移到 OpenShift SDN 网络插件

如果使用 OVN-Kubernetes 网络插件，您可以迁移到 OpenShift SDN 网络插件。

如需更多信息，请参阅迁移到 OpenShift SDN 网络插件。

1.3.10.9. CoreDNS 更新至 1.10.1

OpenShift Container Platform 4.13 将 CoreDNS 更新至 1.10.1。CoreDNS 现在使用在原始客户端查询上指定的 DNSSEC DO Bit。当客户端没有请求 DNSSEC 时，这可以减少 DNS 响应 UDP 数据包大小。因此，较小的数据包大小可减少 DNS 连接重试和总体 DNS 带宽所减少的可能性。

1.3.10.10. 扩展集群网络 IP 地址范围

可以扩展集群网络以支持在集群中添加节点。例如，如果您部署了集群，并将 10.128.0.0/19 指定为集群网络范围，主机前缀为 23，则限制为 16 个节点。您可以通过将集群中的 CIDR 掩码更改为 /14 来扩展到 510 个节点。如需更多信息，请参阅配置集群网络范围。

1.3.10.11. VMware vSphere 集群上的双栈 IPv4/IPv6

在安装程序置备的 vSphere 集群中，您可以使用带有 IPv4 的双栈网络作为主 IP 系列，IPv6 作为辅助地址系列。如需更多信息，请参阅网络配置参数。

1.3.10.12. 在裸机双栈集群中将 IPv6 作为主要 IP 地址系列

在裸机上安装过程中，您可以将 IPv6 配置为双栈集群中的主 IP 地址系列。要在安装新集群时启用此功能，请在机器网络、集群网络、服务网络、API VIP 和入口 VIP 的 IPv4 地址系列前指定 IPv6 地址系列。

如需更多信息，请参阅以下源：

安装程序置备的基础架构：使用双栈网络进行部署
用户置备的基础架构：网络配置参数

1.3.10.13. OVN-Kubernetes 作为二级网络提供（技术预览）

在这个版本中，Red Hat OpenShift Networking OVN-Kubernetes 网络插件允许为 pod 配置二级网络接口。作为二级网络，OVN-Kubernetes 支持第 2 层（切换）拓扑网络。这作为技术预览功能提供。

有关 OVN-Kubernetes 作为二级网络的更多信息，请参阅 OVN-Kubernetes 额外网络的配置。

1.3.10.14. 添加到 OVN-Kubernetes 网络插件的出口防火墙中的节点选择器

在 OpenShift Container Platform 4.13 中，nodeSelector 已添加到 OVN-Kubernetes 网络插件中的出口防火墙目的地规格中。此功能允许用户向一个或多个节点添加标签，所选节点的 IP 地址包含在关联的规则中。如需更多信息，请参阅 EgressFirewall 的 nodeSelector 示例

1.3.10.15. 对于在 RHOSP 上运行的集群，Kuryr 到 OVN-Kubernetes 迁移过程（技术预览）

现在，您可以将在 RHOSP 上运行的集群迁移到 OVN-Kubernetes。

如需更多信息，请参阅从 Kuryr 网络插件迁移到 OVN-Kubernetes 网络插件。

1.3.10.16. 改进了在 RHOSP 上运行的集群的出口 IP 支持

对于在 RHOSP 上运行并使用 OVN-Kubernetes 的集群，不再需要为保留端口手动重新分配浮动 IP 地址。如果保留端口从一个节点中删除，并在另一个节点上重新创建，则会自动重新分配。

1.3.11. 存储

1.3.11.1. 支持在 KMS 中重新加密的客户管理的密钥

在这个版本中，AWS 的默认凭证请求已被修改，以允许客户管理的密钥用于在密钥管理服务(KMS)中重新加密。对于将 Cloud Credential Operator (CCO)配置为使用手动模式的集群，管理员必须通过在密钥策略中添加 kms:ReEncrypt* 权限来手动应用这些更改。其他管理员不受此更改的影响。(OCPBUGS-5410)

1.3.11.2. 逻辑卷管理器存储 (LVM Storage) 的双栈支持

在 OpenShift Container Platform 4.13 中，对于 IPv4 和 IPv6 网络环境，LVM Storage 支持双栈。如需更多信息，请参阅转换到双栈集群网络。

1.3.11.3. 支持 GitOps ZTP 中的 LVM 存储

在 OpenShift Container Platform 4.13 中，您可以通过 GitOps ZTP 添加和配置逻辑卷管理器存储 (LVM Storage)。如需更多信息，请参阅使用 PolicyGenTemplate CR 配置存储和 LVM 存储。

1.3.11.4. 支持在断开连接的环境中的 LVM 存储

在 OpenShift Container Platform 4.13 中，您可以在断开连接的环境中安装 LVM Storage。如需更多信息，请参阅在断开连接的环境中安装 LVM 存储。

1.3.11.5. 用户管理的加密已正式发布

用户管理的加密功能允许您在安装过程中提供加密 OpenShift Container Platform 节点根卷的密钥，并允许所有受管存储类使用这些密钥加密置备的存储卷。这可让您使用所选密钥加密存储卷，而不是平台的默认帐户密钥。

此功能支持以下存储类型：

Amazon Web Services (AWS) Elastic Block storage (EBS) （如需更多信息，请参阅用户管理的加密）
Microsoft Azure Disk 存储（如需更多信息，请参阅用户管理的加密）
Google Cloud Platform (GCP) 持久磁盘 (PD) 存储（如需更多信息，请参阅用户管理的加密）

1.3.11.6. 在非正常节点关闭后分离 CSI 卷（技术预览）

现在，当节点出现非正常时，容器存储接口(CSI)驱动程序可以自动分离卷。当出现非正常节点关闭时，您可以手动在节点上添加服务外污点，以允许卷从节点自动分离。此功能支持技术预览状态。

如需更多信息，请参阅在非正常节点关闭后分离 CSI 卷。

1.3.11.7. VMware vSphere 加密支持已正式发布

您可以在 vSphere 上运行的 OpenShift Container Platform 上加密虚拟机(VM)和持久性卷(PV)。

如需更多信息，请参阅 vSphere 持久性磁盘加密。

1.3.11.8. 对多个数据中心的 VMware vSphere CSI 拓扑支持已正式发布

OpenShift Container Platform 4.12 引入了将 OpenShift Container Platform for vSphere 部署到不同的区域和区域的功能，允许您在多个计算集群中部署，这有助于避免单点故障。OpenShift Container Platform 4.13 引进了对在多个数据中心上部署的支持，并使用在安装过程中或安装后创建的故障域设置拓扑。

如需更多信息，请参阅 vSphere CSI 拓扑。

1.3.11.9. 创建多个默认存储类已正式发布

OpenShift Container Platform 4.13 允许您创建多个默认存储类。此功能可以更轻松地更改默认存储类，因为您可以创建一个定义为默认存储类的第二个存储类。然后，在从之前的默认存储类中删除默认状态前，您临时有两个默认存储类。虽然短时间内可以接受有多个默认存储类，但您应该确保最终只有一个默认存储类。

如需更多信息，请参阅更改默认存储类和多个默认存储类。

1.3.11.10. 管理默认存储类已正式发布

OpenShift Container Platform 4.13 在 ClusterCSIDriver 对象中引入了 spec.storageClassState 字段，它允许您管理 OpenShift Container Platform 生成的默认存储类来完成几个不同的目标：

当您有其他首选存储类时，防止存储操作器重新创建初始默认存储类。
重命名或更改默认存储类
禁用动态置备来强制静态置备。

如需更多信息，请参阅管理默认存储类。

1.3.11.11. Retroactive 默认 StorageClass 分配（技术预览）

在以前的版本中，如果没有默认存储类，则创建请求默认存储类的持久性卷声明(PVC)会无限期保持在待处理状态，除非您手动删除并重新创建它们。OpenShift Container Platform 现在可以重新主动为这些 PVC 分配默认存储类，以便它们不会处于待处理状态。启用此功能后，在创建默认存储类后，或者声明其中一个现有存储类后，之前的 PVC 将分配给默认存储类。

此功能支持技术预览状态。

如需更多信息，请参阅 Absent 默认存储类。

1.3.11.12. IBM Power Virtual Server Block CSI Driver Operator （技术预览）

OpenShift Container Platform 可以使用 IBM Power Virtual Server Block Storage 的 Container Storage Interface (CSI) 驱动程序置备持久性卷 (PV)。

如需更多信息，请参阅 IBM Power Virtual Server Block CSI Driver Operator。

1.3.11.13. CSI 内联临时卷已正式发布

OpenShift Container Platform 4.5 中引入了容器存储接口(CSI)内联临时卷作为技术预览功能，允许您定义一个 pod 规格，以便在部署 pod 时创建内联临时卷，并在 pod 被销毁时删除它们。这个功能现已正式发布。

此功能仅可用于受支持的 Container Storage Interface (CSI) 驱动程序。

此功能还包括 CSI Volume Admission 插件，它提供了一个使用单一 CSI 驱动程序机制，以便在 pod 准入上限制置备 CSI 临时卷。管理员可以向 CSIDriver 对象添加 csi-ephemeral-volume-profile 标签，然后 Admission 插件会检查该标签，并在强制、警告和审核决策中使用。

如需更多信息，请参阅 CSI 内联临时卷。

1.3.11.14. Microsoft Azure File 自动 CSI 迁移已正式发布

从 OpenShift Container Platform 4.8 开始，在树内卷插件自动迁移到对应的 Container Storage Interface(CSI)驱动程序作为技术预览。OpenShift Container Platform 4.10 中提供了对 Azure File 的支持。OpenShift Container Platform 4.13 现在支持对 Azure File 进行自动迁移 (GA)。现在，Azure File 的 CSI 迁移会被默认启用，且管理员不需要操作。

这个功能会自动将树内对象转换为对应的 CSI 表示，并对用户完全透明。翻译的对象不存储在磁盘上，用户数据不会迁移。

虽然引用 in-tree 存储插件的存储类将继续工作，但我们建议将默认存储类切换到 CSI 存储类。

如需更多信息，请参阅 CSI 自动迁移。

1.3.11.15. VMware vSphere 自动 CSI 迁移已正式发布

从 OpenShift Container Platform 4.8 开始，在树内卷插件自动迁移到对应的 Container Storage Interface(CSI)驱动程序作为技术预览。OpenShift Container Platform 4.10 中提供了对 vSphere 的支持。OpenShift Container Platform 4.13 现在支持 vSphere 的自动迁移 (GA)。现在，vSphere 的 CSI 迁移会被默认启用，且管理员不需要操作。

这个功能会自动将树内对象转换为对应的 CSI 表示，并对用户完全透明。

虽然引用 in-tree 存储插件的存储类将继续工作，但我们建议将默认存储类切换到 CSI 存储类。

对于 OpenShift Container Platform 4.13 或更高版本的新安装，默认启用自动迁移。但是，只有在选择时，才会从 OpenShift Container Platform 4.12 或更早版本升级到 4.13 时，才会为 vSphere 自动 CSI 迁移。在选择迁移前，请仔细查看相关的结果。

如需更多信息，请参阅 CSI 自动迁移。

1.3.11.16. 对 AWS EFS CSI 驱动程序的跨帐户支持已正式发布

跨帐户支持允许您在一个 Amazon Web Services (AWS)帐户中有一个 OpenShift Container Platform 集群，并使用 AWS Elastic File System (EFS) Container Storage Interface (CSI) 驱动程序将文件系统挂载到另一个 AWS 帐户中。

如需更多信息，请参阅 AWS EFS CSI 跨帐户支持。

1.3.11.17. 将 FSGroup 委派给 CSI Driver 而不是 Kubelet 已正式发布

此功能允许 OpenShift Container Platform 在卷挂载时为 Container Storage Interface (CSI) 驱动程序提供 pod 的 FSGroup。Microsoft Azure File CSI 驱动程序取决于此功能。

1.3.12. Operator 生命周期

1.3.12.1. 使用 OpenShift CLI 查找 Operator 版本

在 OpenShift Container Platform 4.13 中，您可以通过运行以下 OpenShift CLI (oc) 命令来查找 Operator 的哪个版本和频道：

oc describe 命令语法示例

$ oc describe packagemanifests <operator_name> -n <catalog_namespace>

您可以运行以下命令来指定 Operator 版本和频道信息的输出格式：

oc get 命令语法示例

$ oc get packagemanifests <operator_name> -n <catalog_namespace> -o <output_format>

如需更多信息，请参阅安装 Operator 的特定版本。

1.3.12.2. 多租户集群中的 Operator

Operator Lifecycle Manager (OLM) 的默认行为旨在简化 Operator 的安装过程。但是，此行为可能会缺少灵活性，特别是在多租户集群中。

以下主题添加了在多租户集群中管理 Operator 管理的指导和推荐解决方案：

1.3.12.3. 命名空间中的 Operator 共处

Operator Lifecycle Manager (OLM) 处理在同一命名空间中安装的 OLM 管理的 Operator，这意味着其 Subscription 资源与相关 Operator 位于同一个命名空间中。即使它们实际不相关，OLM 会在更新其中任何一个时考虑其状态，如它们的版本和更新策略。

以下介绍了有关 Operator colocation 以及使用自定义命名空间的替代流程的指导：

1.3.12.4. 更新了禁用复制的 CSV 时的 Web 控制台行为

OpenShift Container Platform Web 控制台已更新，在集群中禁用复制的集群服务版本 (CSV) 时提供更好的 Operator 发现功能。

当集群管理员禁用复制的 CSV 时，web 控制台会被修改为显示常规用户的每个命名空间中的 openshift 命名空间中复制的 CSV，即使 CSV 不会实际复制到每个命名空间中。这允许常规用户仍然能够在其命名空间中查看这些 Operator 的详情，并为全局安装的 Operator 创建自定义资源(CR)。

如需更多信息，请参阅禁用复制的 CSV。

1.3.13. Operator 开发

1.3.13.1. 使用默认节点选择器设置建议的命名空间模板

在这个版本中，Operator 作者可以在 Operator 运行的建议命名空间中设置默认节点选择器。建议的命名空间使用 YAML 中的命名空间清单创建，该清单包含在 ClusterServiceVersion (CSV)中。当使用 OperatorHub 将 Operator 添加到集群时，Web 控制台会在安装过程中为集群管理员自动填充推荐的命名空间。

如需更多信息，请参阅使用默认节点选择器设置建议的命名空间。

1.3.13.2. Node Tuning Operator

Node Tuning Operator (NTO) 现在可以使用 NodeTuning 集群功能启用/禁用。如果在集群安装中禁用，则可以稍后重新启用它。如需更多信息，请参阅节点调优功能。

1.3.14. 机器 API

1.3.14.1. control plane 机器集的额外平台支持

在这个版本中，Google Cloud Platform 集群支持 control plane 机器集。
此发行版本包括对 Microsoft Azure 集群上 control plane 机器集的用户体验的增强。对于安装或升级到 OpenShift Container Platform 版本 4.13 的 Azure 集群，不再需要创建 control plane 机器集自定义资源 (CR)。
- 使用版本 4.13 安装的集群有一个 control plane 机器集，默认处于活跃状态。
- 对于升级到 4.13 版本的集群，集群会生成一个不活跃的 CR，并在验证 CR 中的值是否正确后激活。

如需更多信息，请参阅开始使用 Control Plane Machine Set Operator。

1.3.15. Machine Config Operator

1.3.15.1. Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层已正式发布

Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层现已正式发布。通过此功能，您可以通过将额外的镜像分层到基础镜像来扩展基本 RHCOS 镜像的功能。

如需更多信息，请参阅 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层。

1.3.15.2. 支持在 RHCOS 中添加第三方和自定义内容

现在，您可以使用 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层将 Red Hat Enterprise Linux (RHEL) 和第三方软件包添加到集群节点。

如需更多信息，请参阅 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层。

1.3.15.3. 支持设置核心用户密码

现在，您可以为 RHCOS core 用户创建一个密码。如果无法使用 SSH 或 oc debug node 命令访问节点，这个密码允许您使用 core 用户通过云供应商串口控制台或裸机基板管理控制器管理器 (BMC) 访问节点。

如需更多信息，请参阅更改节点访问的核心用户密码。

1.3.16. 节点

1.3.16.1. 按标签的镜像 registry 存储库

现在，除了摘要规格外，您还可以使用镜像标签从镜像 registry 中拉取镜像。要实现此更改，ImageContentSourcePolicy (ICSP) 对象已弃用。现在，您可以使用 ImageDigestMirrorSet (IDMS) 对象通过摘要规格或 ImageTagMirrorSet (ITMS) 对象拉取镜像来拉取镜像。

如果您有用于创建 ICSP 对象的 YAML 文件，您可以使用 oc adm migrate icsp 命令将这些文件转换为 IDMS YAML 文件。

有关这些新对象的更多信息，请参阅配置镜像 registry 存储库镜像。

有关将现有 ICSP YAML 文件转换为 IDMS YAML 文件的更多信息，请参阅为镜像 registry 存储库镜像转换 ImageContentSourcePolicy (ICSP)文件。

1.3.16.2. crun 正式发行 (GA)

crun 低级容器运行时现在包括在 OpenShift Container Platform 4.13 中。GA 版本中没有新功能。

1.3.16.3. Linux Control Group 版本 2 (cgroup v2) 正式发布

Linux Control Group 版本 2 (cgroup v2) 现在包括在 OpenShift Container Platform 4.13 中。GA 版本中没有新功能。

1.3.16.4. Pod 中断预算 (PDB) 不健康的 pod 驱除策略（技术预览）

在这个版本中，为 pod 中断预算 (PDB) 指定不健康的 pod 驱除策略作为技术预览提供。这有助于在节点排空过程中驱除出现故障的应用程序。

要使用此技术预览功能，您必须启用 TechPreviewNoUpgrade 功能集。

警告

在集群中启用 TechPreviewNoUpgrade 功能集无法撤消，并会阻止次版本更新。您不应该在生产环境集群中启用此功能。

如需更多信息，请参阅为不健康的 pod 指定驱除策略。

1.3.16.5. 支持安全节点关闭

在节点关闭过程中，正常节点关闭会延迟驱除 pod。在 OpenShift Container Platform 4.13 中，您可以将 kubelet 配置为启用安全节点关闭，以便运行关键工作负载的 pod 不会中断。

要配置安全节点关闭，您可以在 KubeletConfig 自定义资源中为常规和关键 pod 指定终止宽限期。终止宽限期定义了 pod 在终止前完成任何持续任务的时间周期。您还可以在 pod 中添加优先级类，以指定终止顺序。

如需更多信息，请参阅管理安全节点关闭。

1.3.16.6. Metal3 补救支持

在以前的版本中，Machine Health Checks 可以自助修复或使用 Self Node Remediation 供应商。在这个版本中，裸机集群还支持新的 Metal3 补救供应商。

如需更多信息，请参阅关于裸机的基于电源的补救。

1.3.17. 监控

此版本的监控堆栈包括以下新功能和修改后的功能。

1.3.17.1. 监控堆栈组件和依赖项更新

此发行版本包括监控堆栈组件和依赖项的以下版本更新：

Alertmanager 更新到 0.25.0
kube-state-metrics 更新到 2.8.1
node-exporter 更新到 1.5.0
prom-label-proxy 更新到 0.6.0
Prometheus 更新到 2.42.0
prometheus-operator 更新到 0.63.0
Thanos 更新到 0.30.2

1.3.17.2. 对警报规则的更改

注意

红帽不保证记录规则或警报规则的向后兼容性。

NodeFilesystemAlmostOutOfSpace 警报不再针对设计始终满的特定 tmpfs 挂载点触发。

1.3.17.3. 在 Alertmanager 配置中添加 secret 的新选项

在这个版本中，您可以在用于核心平台监控和用户定义的项目的 Alertmanager 配置中添加 secret。如果您需要通过接收器进行身份验证以便 Alertmanager 能够向它发送警报，您可以将 Alertmanager 配置为使用包含接收器身份验证凭据的 secret。

1.3.17.4. 配置 node-exporter 收集器的新选项

在这个版本中，您可以自定义以下 node-exporter 收集器的 Cluster Monitoring Operator (CMO) 配置映射设置。以下 node-exporter 收集器现在是可选的，并可启用或禁用：

buddyinfo 收集器
cpufreq 收集器
netclass 收集器
netdev collector
netclass 收集器的 netlink 后端
tcpstat 收集器

1.3.17.6. 启用指标集合配置集的新选项（技术预览）

此发行版本为默认平台监控引入了一个技术预览功能，管理员可以设置指标收集配置集来收集默认指标数据数量或最小指标数据。当您启用 minimal 配置集时，警报等基本监控功能将继续工作，但 Prometheus 所需的 CPU 和内存资源会减少。

1.3.18. 可伸缩性和性能

1.3.18.1. 使用 NUMA Resources Operator 进行 NUMA 感知调度已正式发布

使用 NUMA Resources Operator 进行 NUMA 感知调度以前在 OpenShift Container Platform 4.10 中作为技术预览引入，现在在 OpenShift Container Platform 4.13 中正式发布。

NUMA Resources Operator 部署 NUMA 感知辅助调度程序，它根据集群中可用 NUMA 区域的完整概述，为工作负载做出调度决策。这种增强的 NUMA 感知调度可确保在单个 NUMA 区域中处理对延迟敏感的工作负载，以最大化效率和性能。

在这个版本中添加了以下功能：

对 NUMA 资源报告的 API 轮询进行微调。
节点拓扑 exporter 的节点组级别的配置选项。

如需更多信息，请参阅调度 NUMA 感知工作负载。

1.3.18.2. 支持三节点集群和标准集群的工作负载分区（技术预览）

在此次更新之前，单节点 OpenShift 集群只支持工作负载分区。现在，您还可以为三节点紧凑集群和标准集群配置工作负载分区。使用工作负载分区隔离 OpenShift Container Platform 服务、集群管理工作负载和基础架构 pod，以便在保留的一组 CPU 上运行。

如需更多信息，请参阅工作负载分区。

1.3.18.3. 使用 GitOps ZTP 配置电源状态

OpenShift Container Platform 4.12 引入了为关键和非关键工作负载设置电源状态的功能。在 OpenShift Container Platform 4.13 中，您现在可以使用 GitOps ZTP 配置电源状态。

有关该功能的更多信息，请参阅使用 PolicyGenTemplates CR 配置电源状态。

1.3.18.4. 使用 TALM 和 GitOps ZTP 为受管集群更新预缓存容器镜像

此发行版本添加了两个新的 Topology Aware Lifecycle Manager (TALM)功能，用于 GitOps ZTP：

新检查可确保受管集群主机上有足够的可用磁盘空间在集群更新前。现在，在容器镜像预缓存过程中，TALM 会将可用的主机磁盘空间与预计的 OpenShift Container Platform 镜像大小进行比较，以确保主机上有足够的磁盘空间。
ConfigMap CR 中的新 excludePrecachePatterns 字段可用，用于控制在更新前控制 TALM 下载至集群主机。

如需更多信息，请参阅使用容器镜像预缓存过滤器。

1.3.18.5. HTTP 传输替换了 PTP 和裸机事件的 AMQP （技术预览）

HTTP 现在是 PTP 和裸机事件基础架构的默认传输。AMQ Interconnect 于 2024 年 6 月 30 日结束生命周期(EOL)。

如需更多信息，请参阅关于 PTP 快速事件通知框架。

1.3.18.6. 支持将 Intel E810 Westport Channel NIC 作为 PTP grandmaster 时钟（技术预览）

现在，您可以使用 PTP Operator 将 Intel E810 Westport Channel NIC 配置为 PTP grandmaster 时钟。PTP grandmaster 时钟将 ts2phc （时间戳 2 个物理时钟）用于系统时钟和网络时间同步。

如需更多信息，请参阅将 linuxptp 服务配置为 grandmaster 时钟。

1.3.18.7. 将 crun 配置为 GitOps ZTP 中受管集群的默认容器运行时

将 crun 配置为默认容器运行时的 ContainerRuntimeConfig CR 已添加到 GitOps ZTP ztp-site-generate 容器中。

要使用 GitOps ZTP 安装的集群中获得最佳性能，请在单节点 OpenShift、三节点 OpenShift 和标准集群中为 control plane 和 worker 节点启用 crun，以及其他第 0 天安装清单 CR。

如需更多信息，请参阅将 crun 配置为默认容器运行时。

1.3.18.8. 文档增强：etcd 概述现在可用

OpenShift Container Platform 文档中的 etcd 概述（包括它提供的好处及其工作方式）。作为 Kubernetes 的主要数据存储，etcd 通过 etcd Operator 在 OpenShift Container Platform 上提供可靠的方法。如需更多信息，请参阅 etcd 概述。

1.3.19. Insights Operator

Insights Operator 现在可以收集 openshift_apps_deploymentconfigs_strategy_total 指标。此指标从部署配置收集部署策略信息。

1.3.20. 托管 control plane（技术预览）

1.3.20.1. 托管 control planes 部分现在包括在文档中

OpenShift Container Platform 文档现在包含专用于托管 control plane 的部分，您可以在其中找到有关配置和管理托管集群的功能和信息。如需更多信息，请参阅托管的 control plane。

1.3.20.2. 更新托管的 control plane

OpenShift Container Platform 文档现在包含有关更新托管 control plane 的信息。更新托管的 control plane 涉及更新托管集群和节点池。如需更多信息，请参阅托管 control plane 的更新。

1.3.21. 在单一节点上安装 OpenShift Container Platform 的要求

4.13 现在支持 x86_64 和 arm64 CPU 架构。

1.4. 主要的技术变化

OpenShift Container Platform 4.13 包括以下显著的技术更改。

云控制器管理器用于其他云供应商

Kubernetes 社区计划弃用 Kubernetes 控制器管理器与底层云平台交互，而是使用云控制器管理器。因此，无法为任何新的云平台添加 Kubernetes 控制器管理器支持。

在这个 OpenShift Container Platform 发行版本中添加的 Nutanix 实现使用云控制器管理器。另外，这个版本引进了对 VMware vSphere 使用云控制器管理器的正式发布。

要了解有关云控制器管理器的更多信息，请参阅 Kubernetes Cloud Controller Manager 文档。

要管理云控制器管理器和云节点管理器部署和生命周期，请使用 Cluster Cloud Controller Manager Operator。

如需更多信息，请参阅平台 Operator 参考中的 Cluster Cloud Controller Manager Operator 条目。

MCD 现在在暂停池中同步 kubelet CA 证书

在以前的版本中，Machine Config Operator (MCO) 更新了 kubelet 客户端证书颁发机构 (CA) 证书 /etc/kubernetes/kubelet-ca.crt，作为常规机器配置更新的一部分。从 OpenShift Container Platform 4.13 开始，kubelet-ca.crt 不再作为常规机器配置更新的一部分更新。因此，Machine Config Daemon (MCD) 会在发生证书更改时自动保持 kubelet-ca.crt 最新状态。

另外，如果机器配置池暂停，MCD 现在可以将新轮转的证书推送到这些节点。为池生成一个新的呈现机器配置，其中包含对证书的更改，如之前的版本中所示。该池将表示需要更新；此条件将在此产品以后的发行版本中删除。但是，由于证书被单独更新，因此假设没有进一步的更新，则可以安全地让池保持暂停。

另外，MachineConfigControllerPausedPoolKubeletCA 警报已被删除，因为节点应该始终具有最新的 kubelet-ca.crt。

SSH 密钥位置的变化

OpenShift Container Platform 4.13 引入了基于 RHEL 9.2 的 RHCOS。在此次更新之前，SSH 密钥位于 RHCOS 上的 /home/core/.ssh/authorized_keys 中。在这个版本中，基于 RHEL 9.2 的 RHCOS 上，SSH 密钥位于 /home/core/.ssh/authorized_keys.d/ignition 中。

以后对 pod 安全准入的限制强制

目前，pod 安全违反情况会显示为警告并在审计日志中记录，但不会导致 pod 被拒绝。

目前，计划在下一个 OpenShift Container Platform 次要发行本中对 pod 安全准入进行全局限制强制。启用此受限强制时，具有 Pod 安全违反情况的 Pod 将被拒绝。

要准备此即将推出的更改，请确保您的工作负载与应用到它们的 pod 安全准入配置集匹配。未根据全局或命名空间级别定义的强制安全标准配置的工作负载将被拒绝。restricted-v2 SCC 根据 Restricted Kubernetes 定义接受工作负载。

如果您要收到 pod 安全漏洞，请查看以下资源：

如需了解如何查找导致 pod 安全违反情况的信息，请参阅识别 pod 安全违反情况。
请参阅安全上下文约束与 pod 安全标准同步，以了解何时执行 pod 安全准入标签同步。在某些情况下，Pod 安全准入标签不会同步，比如以下情况：
- 工作负载在系统创建的命名空间中运行，该命名空间前缀为 openshift-。
- 工作负载在没有 pod 控制器的情况下创建的 pod 上运行。
如果需要，您可以通过设置 pod-security.kubernetes.io/enforce 标签，在命名空间或 pod 上设置自定义准入配置集。

oc-mirror 插件现在从 OpenShift API 端点检索图形数据容器镜像

oc-mirror OpenShift CLI (oc) 插件现在从 OpenShift API 端点下载图形数据 tarball，而不是从 GitHub 下载整个图形数据存储库。从红帽而不是外部供应商检索这些数据更适合对外部内容具有严格安全性和合规性限制的用户。

oc-mirror 插件下载的数据现在排除在图形数据存储库中，但 OpenShift Update Service 不需要的内容。容器也使用 UBI Micro 作为基础镜像而不是 UBI，从而生成一个比之前小的容器镜像。

这些更改不会影响 oc-mirror 插件的用户工作流。

图形数据容器镜像的 Dockerfile 现在从 OpenShift API 端点检索

如果要使用 Dockerfile 为 OpenShift Update Service 创建图形数据容器镜像，请注意图形数据 tarball 现在从 OpenShift API 端点而不是 GitHub 下载。

如需更多信息，请参阅创建 OpenShift Update Service 图形数据容器镜像。

nodeip-configuration 服务现在在 vSphere 用户置备的基础架构集群中启用

在 OpenShift Container Platform 4.13 中，nodeip-configuration 服务现在在 vSphere 用户置备的基础架构集群中启用。此服务决定 OpenShift Container Platform 在节点引导时用来与 Kubernetes API 服务器通信的网络接口控制器(NIC)。在个别情况下，服务可能会在升级后选择不正确的节点 IP。如果发生这种情况，您可以使用 NODEIP_HINT 功能来恢复原始节点 IP。请参阅对网络问题进行故障排除。

Operator SDK 1.28

OpenShift Container Platform 4.13 支持 Operator SDK 1.28。请参阅安装 Operator SDK CLI 来安装或更新到这个最新版本。

注意

Operator SDK 1.28 支持 Kubernetes 1.26。

如果您之前使用 Operator SDK 1.25 创建或维护的 Operator 项目，请更新您的项目以保持与 Operator SDK 1.28 的兼容性。

根据 RHEL 9.2 更改 RHCOS 的磁盘排序行为

OpenShift Container Platform 4.13 引入了基于 RHEL 9.2 的 RHCOS。在这个版本中，符号链接磁盘命名可能会在重启后有所变化。如果您在安装后应用配置文件，或者在置备使用符号链接命名的磁盘（如 /dev/sda ）的节点创建服务时，这可能会导致问题。此问题的影响取决于您配置的组件。建议您将特定的命名方案用于设备，包括针对任何特定磁盘引用，如 dev/disk/by-id。

在这个版本中，当监控为每个节点收集安装设备信息时，您可能需要调整现有的自动化工作流。

如需更多信息，请参阅 RHEL 文档。

有关托管 control plane 的备份、恢复和灾难恢复的文档

在 OpenShift Container Platform 4.13 的文档中，在托管集群上备份和恢复 etcd 的步骤，并将 AWS 区域中的托管集群从 "Backup and restore" 部分移到 "Hosted control planes" 部分。内容本身没有改变。

1.5. 弃用和删除的功能

之前版本中的一些功能已被弃用或删除。

弃用的功能仍然包含在 OpenShift Container Platform 中，并将继续被支持。但是，这个功能会在以后的发行版本中被删除，且不建议在新的部署中使用。有关 OpenShift Container Platform 4.13 中已弃用并删除的主要功能的最新列表，请参考下表。表后列出了更多已弃用和删除的功能的更多详细信息。

在以下表格中，功能被标记为以下状态：

公开发行
已弃用
删除

Operator 弃用和删除的功能

表 1.6. Operator 已弃用并删除 tracker

功能	4.11	4.12	4.13
Operator 目录的 SQLite 数据库格式	已弃用	已弃用	已弃用

镜像已弃用和删除的功能

表 1.7. 镜像已弃用和删除的 tracker

功能	4.11	4.12	4.13
Cluster Samples Operator 的 `ImageChangesInProgress` 条件	已弃用	已弃用	已弃用
Cluster Samples Operator 的 `MigrationInProgress` 条件	已弃用	已弃用	已弃用

安装已弃用和删除的功能

表 1.8. 安装已弃用并删除跟踪器

功能	4.11	4.12	4.13
vSphere 7.0 Update 1 或更早版本	已弃用	已弃用	删除 ^[1]
VMware ESXi 7.0 Update 1 或更早版本	已弃用	已弃用	删除 ^[1]
对 `cluster.local` 域的 CoreDNS 通配符查询	公开发行	已弃用	已弃用
安装程序置备的基础架构集群的 `install-config.yaml` 文件中的 `ingressVIP` 和 `apiVIP` 设置	公开发行	已弃用	已弃用

对于 OpenShift Container Platform 4.13，您必须在 VMware vSphere 版本 7.0 Update 2 或更高版本的实例（包括 VMware vSphere 版本 8.0）上安装 OpenShift Container Platform 集群，它需要满足您使用的组件的要求。

存储已弃用和删除的功能

表 1.9. 存储已弃用和删除的 tracker

功能	4.11	4.12	4.13
使用 FlexVolume 的持久性存储	已弃用	已弃用	已弃用

特定的硬件和驱动程序启用已弃用和删除的功能

表 1.10. 专用硬件和驱动程序启用已弃用并删除跟踪器

功能	4.11	4.12	4.13
Special Resource Operator (SRO)	技术预览	删除	删除

多架构已弃用和删除的功能

表 1.11. 多架构已弃用并删除 tracker

功能	4.11	4.12	4.13
IBM Power8 所有模型 (`ppc64le`)	公开发行	已弃用	删除
IBM Power AC922 (`ppc64le`)	公开发行	已弃用	删除
IBM Power IC922 (`ppc64le`)	公开发行	已弃用	删除
IBM Power LC922 (`ppc64le`)	公开发行	已弃用	删除
IBM z13 所有模型 (`s390x`)	公开发行	已弃用	删除
IBM® LinuxONE Emperor (`s390x`)	公开发行	已弃用	删除
IBM® LinuxONE Rockhopper (`s390x`)	公开发行	已弃用	删除
AMD64 (x86_64) v1 CPU	公开发行	已弃用	删除

已弃用和删除的网络功能

表 1.12. 已弃用和删除的网络功能跟踪器

功能	4.11	4.12	4.13
RHOSP 上的 Kuryr	公开发行	已弃用	已弃用

Web 控制台已弃用和删除的功能

表 1.13. Web 控制台已弃用并删除 tracker

功能	4.11	4.12	4.13
多集群控制台	技术预览	技术预览	删除

节点已弃用和删除的功能

表 1.14. 节点已弃用并删除 tracker

功能	4.11	4.12	4.13
`ImageContentSourcePolicy` (ICSP) 对象	公开发行	公开发行	已弃用
Kubernetes 拓扑标签 `failure-domain.beta.kubernetes.io/zone`	公开发行	公开发行	已弃用
Kubernetes 拓扑标签 `failure-domain.beta.kubernetes.io/region`	公开发行	公开发行	已弃用

1.5.1. 已弃用的功能

1.5.1.1. Red Hat Virtualization(RHV)作为 OpenShift Container Platform 的主机平台已弃用

Red Hat Virtualization (RHV) 作为 OpenShift Container Platform 的主机平台已弃用，并将在下一个 OpenShift Container Platform 发行版本中删除，目前计划为 OpenShift Container Platform 4.14。

1.5.1.2. cluster.local 域的通配符 DNS 查询已弃用

CoreDNS 将停止支持通配符 DNS 查询 cluster.local 域下的名称。这些查询将在 OpenShift Container Platform 4.13 中解决，就像在早期版本中一样，但将在以后的 OpenShift Container Platform 发行版本中删除支持。

1.5.1.3. Kuryr 支持在 RHOSP 上运行的集群

在 OpenShift Container Platform 4.12 中，在 RHOSP 上运行的集群上对 Kuryr 的支持已弃用。这个支持最早不会在早于 OpenShift Container Platform 4.14 的版本中被删除。

1.5.1.4. ImageContentSourcePolicy 对象

ImageContentSourcePolicy (ICSP) 对象现已弃用。现在，您可以使用 ImageDigestMirrorSet (IDMS) 对象通过摘要规格或 ImageTagMirrorSet (ITMS) 对象拉取镜像来拉取镜像。

有关这些新对象的更多信息，请参阅配置镜像 registry 存储库镜像。

有关将现有 ICSP YAML 文件转换为 IDMS YAML 文件的更多信息，请参阅为镜像 registry 存储库镜像转换 ImageContentSourcePolicy (ICSP)文件。

1.5.1.5. toolbox 在 RHCOS 中已弃用

toolbox 脚本已弃用，并将在以后的 OpenShift Container Platform 发行版本中删除支持。

1.5.1.6. RHEL 9 驱动程序弃用

OpenShift Container Platform 4.13 引入了基于 RHEL 9.2 的 RHCOS。RHEL 9 中已弃用一些内核设备驱动程序。如需更多信息，请参阅 RHEL 文档。

1.5.1.7. VMware vSphere 配置参数

OpenShift Container Platform 4.13 弃用以下 vSphere 配置参数。您可以继续使用这些参数，但安装程序不会在 install-config.yaml 文件中自动指定这些参数。

platform.vsphere.vCenter
platform.vsphere.username
platform.vsphere.password
platform.vsphere.datacenter
platform.vsphere.defaultDatastore
platform.vsphere.cluster
platform.vsphere.folder
platform.vsphere.resourcePool
platform.vsphere.apiVIP
platform.vsphere.ingressVIP
platform.vsphere.network

如需更多信息，请参阅已弃用的 VMware vSphere 配置参数。

1.5.1.8. Kubernetes 拓扑标签

常用的 Kubernetes 拓扑标签将被替换。failure-domain.beta.kubernetes.io/zone 标签替换为 topology.kubernetes.io/zone。failure-domain.beta.kubernetes.io/region 标签替换为 topology.kubernetes.io/region。从 Kubernetes 1.17 和 OpenShift Container Platform 版本 4.4 开始，可以使用替换标签。

目前，支持已弃用和替换标签，但计划在以后的发行版本中删除对已弃用标签的支持。要准备移除，您可以修改引用已弃用标签的任何资源（如卷、部署或其他工作负载），以改用替换标签。

1.5.2. 删除的功能

1.5.2.1. 从 Kubernetes 1.26 中删除的 beta API

Kubernetes 1.26 删除了以下已弃用的 API，因此您必须迁移清单和 API 客户端以使用适当的 API 版本。有关迁移已删除 API 的更多信息，请参阅 Kubernetes 文档。

表 1.15. 从 Kubernetes 1.26 中删除的 API

资源	删除的 API	迁移到
`FlowSchema`	`flowcontrol.apiserver.k8s.io/v1beta1`	`flowcontrol.apiserver.k8s.io/v1beta3`
`HorizontalPodAutoscaler`	`autoscaling/v2beta2`	`autoscaling/v2`
`PriorityLevelConfiguration`	`flowcontrol.apiserver.k8s.io/v1beta1`	`flowcontrol.apiserver.k8s.io/v1beta3`

1.5.3. 将来的 Kubernetes API 删除

OpenShift Container Platform 的下一个次发行版本应该使用 Kubernetes 1.27。目前，Kubernetes 1.27 被调度以删除已弃用的 API。

如需计划中要被删除的 Kubernetes API 列表，请参阅上游 Kubernetes 文档中的已弃用 API 迁移指南。

如需了解如何检查集群是否有 Kubernetes API 进行删除的信息，请参阅浏览启用和删除的 Kubernetes API。

1.5.3.1. ppc64le、s390x 和 x86_64 v1 CPU 架构上的特定硬件模型已被删除

在 OpenShift Container Platform 4.13 中，以下已弃用的硬件模型删除了对 RHCOS 功能的支持：

IBM Power8 所有模型 (ppc64le)
IBM Power AC922 (ppc64le)
IBM Power IC922 (ppc64le)
IBM Power LC922 (ppc64le)
IBM z13 所有模型 (s390x)
IBM® LinuxONE Emperor (s390x)
IBM® LinuxONE Rockhopper (s390x)
AMD64 (x86_64) v1 CPU

1.6. 程序错误修复

裸机硬件置备

在以前的版本中，当您试图在配置了 Integrated Lights-Out (iLO) 管理接口驱动程序的服务器上部署 OpenShift Container Platform 集群节点时，置备节点将失败。故障的原因是 iLO 驱动器中缺少 [ilo]/use_web_server_for_images 配置参数，这会导致驱动程序尝试使用对象存储作为默认存储机制。产品中不存在对象存储。在这个版本中，OpenShift Container Platform 4.13 及更新的版本在 iLO 驱动程序配置中包含 [ilo]/use_web_server_for_images，因此驱动程序使用 metal3 pod 中运行的 Web 服务器。(OCPBUGS-5068)

Cloud Compute

对于 Google Cloud Platform 集群的一些配置，内部负载均衡器使用安装程序创建的实例组。在以前的版本中，当手动替换 control plane 机器时，新的 control plane 节点不会分配给 control plane 实例组。这导致节点无法通过内部负载均衡器访问。要解决这个问题，管理员必须使用 Google Cloud 控制台手动将 control plane 机器移到正确的实例组。
在这个版本中，替换的 control plane 节点被分配给正确的实例组。(BZ#1970464, OCPCLOUD-1562)
在以前的版本中，Google Cloud Platform 的计算机器集可能会尝试协调无效的机器，这会导致它们处于没有分配阶段。在这个版本中，具有无效配置的机器会进入 Failed 状态。(OCPBUGS-4574)
在以前的版本中，当其后台机器进入 Running 状态时，control plane 机器集副本被视为是就绪状态，即使链接的节点也需要就绪才可将副本视为就绪。在这个版本中，节点及其机器必须处于 Ready 状态，以便 control plane 机器集副本被视为就绪。(OCPBUGS-8424)
在以前的版本中，当 Microsoft Azure 集群上为加速网络功能出现错误时，mapi_instance_create_failed 警报指标不会启动。此发行版本添加了缺少的警报，以便启用加速网络的集群在需要时可以生成警报。(OCPBUGS-5235)
在以前的版本中，当机器进入 Running 状态时，不会进一步检查节点的状态。以前 OCPBUGS-8424 的解析引入了节点及其机器处于 Ready 状态的要求，以便 control plane 机器集副本被视为就绪。因此，如果 control plane 机器集错过了节点和机器就绪的阶段，则其副本无法就绪。此行为导致 Control Plane Machine Set Operator 不可用，并无法进行升级。在这个版本中，当机器正在运行但节点未就绪时，会定期检查该节点，直到节点就绪为止。在这个版本中，解决了 Control Plane Machine Set Operator 无法正常工作并无法升级的问题。(OCPBUGS-10771)
在以前的版本中，当机器健康检查超过 maxUnhealthy 阈值并生成警报时，当集群的健康足以成功协调机器健康检查时，指标不会被重置，警报将继续。在这个版本中，决定何时触发警报的逻辑有所改进，以便在集群健康时清除警报。(OCPBUGS-4725)
以前针对 OCPBUGS-5546 的解决方案在机器配置对象中删除的 MachineConfig.Name 的 clusterName 分配。因此，参数的值是一个空字符串，当与 machineName 值相结合以创建 IP 地址名称时，会创建一个无效的值。无效的值会导致机器在置备过程中失败。在这个版本中，clusterName 的值从基础架构对象获取，以便它可以创建有效的 IP 地址名称。(OCPBUGS-7696)
Kubernetes 1.26 发行版本引入了对节点基础架构的更改，例如从公共负载均衡器中删除具有 NotReady 状态的不健康节点，以防止该节点接收路由流量。这些更改会影响在 Microsoft Azure 上运行的节点。因此，节点无法重新获得 Ready 状态并随后建立出站连接。在这个版本中，kube-proxy 健康探测会检测到标记为 NotReady 状态的节点，而无需将该节点从公共负载均衡器中分离。这意味着节点可以在这些阶段保留出站互联网连接。(OCPBUGS-7359)

Cloud Credential Operator

Amazon Simple Storage Service (Amazon S3) 更新了其 Amazon S3 存储桶配置，在 Amazon Web Services (AWS) 区域中创建的存储桶默认启用 S3 Block Public Access，并默认禁用访问控制限制 (ACL)。此配置将 S3 存储桶资源限制为私有使用。OpenShift Container Platform 4.13 更新了 CCO 实用程序(ccoctl) 和安装程序，现在可以正确考虑默认的 S3 存储桶配置，以便 S3 存储桶资源可以被公开可用。(OCPBUGS-11706 和 OCPBUGS-11661)

开发人员控制台

在以前的版本中，OpenShift Container Platform 将 API 版本 v1alpha1 用于 Knative Serving 和 Eventing，但因为一个程序错误，API 版本 v1beta1 不被支持。在这个版本中，OpenShift Container Platform 支持这两个 API 版本。(OCPBUGS-5164)
在以前的版本中，当在 OpenShift Container Platform 控制台中编辑任何管道时，Pipeline 构建器和YAML 视图配置选项中不会呈现正确的数据。因此，您无法在 Pipeline 构建器中编辑管道。在这个版本中，数据会被正确解析，您可以使用构建器编辑管道。(OCPBUGS-5016)
在以前的版本中，拓扑侧边栏不会显示更新的信息。当您直接从拓扑边栏中更新资源时，您必须重新打开侧边栏来查看更改。在这个版本中，更新的资源会被正确显示。因此，您可以在拓扑侧边栏中直接看到最新的更改。(OCPBUGS-4691)
在以前的版本中，OpenShift Container Platform 中的 Samples 页面无法区分列出的样本类型。在这个版本中，您可以通过 Samples 页面中显示的徽标来区分样本。(OCPBUGS-10679)

etcd Cluster Operator

在以前的版本中，Control Plane Machine Set Operator 会尝试在集群引导完成前重新创建 control plane 机器。这会导致从 etcd 集群成员资格中删除 bootstrap 节点，并导致 etcd 仲裁丢失，集群离线。在这个版本中，Control Plane Machine Set Operator 仅在 etcd Cluster Operator 删除 bootstrap 节点后重新创建 control plane 机器。(OCPBUGS-10960)

托管 Control Plane

在以前的版本中，managedControlPlane 对象无法识别由 HostedCluster 资源设置的调度程序配置集的更改。另外，managedControlPlane 不会向调度程序传播更改，因此调度程序不会重启 control plane pod，以便它们接收最新的调度程序配置集更改。在这个版本中，HostedControlPlane 会识别对调度程序配置集的更改，然后动态重启调度程序，以便调度程序可以将配置集更改应用到 pod。(OCPBUGS-7091)
在以前的版本中，托管集群不会考虑 OpenID Connect (OIDC) 供应商 oidc 的不开用性，这会导致删除 machine 和 machineset 对象的操作无法完成。在这个版本中，托管集群可以检测一个不可用的 odic 供应商的状态，因此不会因为一个不可用的 oidc 供应商导致删除 machine 和 machineset 操作无法完成。(OCPBUGS-10227)
在以前的版本中，Amazon Web Services (AWS) 计算机器集中的 spec.metadata.annotations 参数值没有从计算机器复制到其节点。这会导致节点缺少在计算机器集中指定的注解。在这个版本中，注解可以正确地应用到节点。(OCPBUGS-4566)

安装程序

在以前的版本中，在卸载私有集群时，安装程序创建的 DNS 记录不会被删除。在这个版本中，安装程序可以正确地删除这些 DNS 记录。(OCPBUGS-7973)
在以前的版本中，裸机安装程序置备的基础架构使用端口 80 向 Baseboard Management Controller (BMC) 和部署代理提供镜像。端口 80 可能会存在安全风险，因为此端口通常用于互联网通信。裸机安装程序置备的基础架构现在使用端口 6180 来提供部署的集群上 metal3 pod 使用的镜像。(OCPBUGS-8511)
在以前的版本中，当堡垒主机在与集群节点相同的 VPC 网络中运行时，对 bootstrap 和集群节点的 SSH 访问会失败。另外，此配置会导致从临时 bootstrap 节点到集群节点的 SSH 访问失败。现在，通过更新 IBM Cloud 安全组规则来支持临时 bootstrap 节点和集群节点之间的 SSH 流量来解决这些问题，并支持从堡垒主机到同一 VPC 网络上的集群节点的 SSH 流量。可以在安装程序置备的基础架构失败时准确收集日志和调试信息以进行分析。(OCPBUGS-8035)
在以前的版本中，如果您将 rendezvous IP 配置为其 role 参数设置为 worker 的主机的 IP 地址，且您生成了 ISO 镜像，则基于代理的安装程序将无法安装集群。现在，当您尝试基于此配置生成 ISO 镜像时，您将收到验证失败信息。在收到此消息时，您必须更新 agent-config.yaml 文件中的 rendezvousIP 字段，以使用具有 master 角色的主机 IP。(OCPBUGS-2088)
在以前的版本中，安装程序不接受 aws-sdk-go 库中定义的以下新区域：ap-south-2, ap-southeast-4, eu-central-2, eu-south-2, 和 me-central-1。当您使用安装程序创建安装配置文件时，安装程序不会列出这些新区域，或者接受这些区域的手动条目。在这个版本中，安装程序支持这些区域，您可以在创建安装配置文件时指定它们。(OCPBUGS-10213)
在以前的版本中，代码库中有一个问题，它根据 install-config.yaml 文件中的 controlPlane.platform.openstack.failureDomain 字段设置 Machine.PrimaryNetwork。此问题会影响使用 Kuryr 运行的 OpenShift Container Platform，无法识别 control plane 机器用来在它们间通信的 Red Hat OpenStack Platform (RHOSP) 子网中的端口。在这个版本中，当您为技术预览组件 failureDomain 中的 portTarget 设置 control-plane 时，安装程序会在 Machine.PrimaryNetwork 字段中设置端口的信息，以便 OpenShift Container Platform 集群可以使用 Kuryr 成功运行。(OCPBUGS-10658)
在以前的版本中，卸载部署到 us-gov-west-1 区域的 AWS 集群会失败，因为 AWS 资源无法取消标记。这会导致进程进入无限循环，安装程序会尝试取消标记资源。在这个版本中，不会进行重试。因此，卸载集群可以成功。(BZ#2070744)
在以前的版本中，在 Google Cloud Platform (GCP) 上运行的私有 OpenShift Container Platform 集群会接收额外的防火墙规则，以便 GCP 能够对内部和外部负载均衡器执行健康检查。私有集群只使用内部负载均衡器，因此不需要对外部负载均衡器执行健康检查。在这个版本中，在 GCP 上运行的私有集群不再接收这些额外的防火墙规则，这些额外的防火墙规则会因为外部负载均衡器的健康检查而造成。(BZ#2110982)

Kubernetes 调度程序

在以前的版本中，当 LifeCycleUtilization 配置集被用来测试命名空间过滤时，在 Descheduler Operator 日志中会出现以下记录：belowE0222 12:43:14.331258 1 target_config_reconciler.go:668] key failed with : only namespace exclusion supported with LowNodeUtilization。因此，descheduler 集群 pod 不会启动。在这个版本中，命名空间排除可用于 LifeCycleUtilization 配置集。(OCPBUGS-7876)

管理控制台

在以前的版本中，在生成 Create Pod 按钮时不会检查用户权限，没有所需权限的用户也会看到这个按钮。在这个版本中，在生成 Create Pod 按钮时会检查用户权限，它只为具有所需权限的用户生成这个按钮。(BZ#2005232)
在以前的版本中，Pod 资源在 Pod 资源操作菜单中有 PDBadd, edit, 和 remove 操作，它们并不需要。在这个版本中，删除了这些操作。(BZ#2110565)
在以前的版本中，Details 页面中的 PodDisruptionBudget 字段有一个不正确的帮助信息。在这个版本中，帮助信息更加明确。(BZ#2084452)
在以前的版本中，当进入到控制台的根路径时，即使禁用了指标且它们没有出现在导航菜单中，也会被重新定向到 Overview 页面。在这个版本中，当点 masthead 徽标或导航到控制台的根路径时，URL 会在禁用指标时重定向到项目列表页面。(OCPBUGS-3033)
在以前的版本中，集群下拉菜单并不是始终可见，从而可能导致您不知道在查看哪个集群。在这个版本中，集群下拉菜单位于 masthead 中，因此集群下拉菜单始终可见，您可以看到您要查看的集群。(OCPBUGS-7089)
在以前的版本中，当集群版本的状态为 Failing, UpdatingAndFailing, 和 Updating 时，节点进度条会显示，从而导致在集群没有更新时也会显示节点进度条。在这个版本中，只有在集群版本的状态为 UpdatingAndFailing 或 Updating 时，节点进度条才会显示。(OCPBUGS-6049)
在以前的版本中，当为 ServiceAccount 下载 kubeconfig 文件时，会显示错误，并且无法访问 ServiceAccount 令牌。造成这个错误的原因是删除了自动生成的 secret。在这个版本中，下载 kubeconfig 操作已被删除，不再发生错误。(OCPBUGS-7308)
在以前的版本中，Node 详情页上的 Terminal 选项卡会显示一个错误，因为缺少由 pod 安全措施导致的注解。如果没有所需的注解，节点调试 pod 无法启动。在这个版本中，OpenShift Container Platform 会添加这些注解，因此节点调试 pod 可以启动，并且重新加载 Terminal 选项卡而无需任何错误。(OCPBUGS-4252)
在以前的版本中，如果在卸载 Operator 时尝试发出 oc delete csv 命令，Operator 的订阅会卡住。管理员无法重新安装 Operator，因为订阅存在冲突。在这个版本中，当管理员尝试重新安装卸载的 Operator 时，会显示详细的错误消息。(OCPBUGS-3822)
在以前的版本中，如果一个或多个现有插件失败，Web 控制台不会显示提示刷新控制台的 toast 通知。需要此操作，以便在 Operator 将插件添加到控制台后查看插件。在这个版本中，Web 控制台会检查 Operator 添加插件的时间，然后在控制台中显示一个 toast 通知，而不考虑之前失败的插件。(OCPBUGS-10249)
在以前的版本中，终止的容器会为每个终止的容器呈现 {{label}} 和 {{exitCode}} 代码。在这个版本中，国际化代码已被修复，以呈现可读的输出信息。(OCPBUGS-4206)
在以前的版本中，因为一个回归的错误会导致，当 clusterversion status.availableUpdates 有 null 和 Upgradeable=False 值时，Cluster Settings 页面会返回一个错误。在这个版本中，status.availableUpdates 只允许 null 值。(OCPBUGS-6053)

监控

在以前的版本中，Kubernetes 调度程序可以为接收多个重启操作的节点跳过调度某些 pod。OpenShift Container Platform 4.13 通过为在 30 分钟内无法调度的 pod 包括一个 KubePodNotScheduled 警报来解决这个问题。(OCPBUGS-2260)
在以前的版本中，如果为 Thanos Ruler 定义了多个标签，则 statefulset 可能会进入重新创建循环，因为 prometheus-operator 每次协调自定义资源时不会以指定顺序添加标签。在这个版本中，prometheus-operator 会在将额外标签添加到 statefulset 前对额外的标签进行排序。(OCPBUGS-6055)
在这个版本中，对于特定的只读 tmpfs 实例，FilesystemAlmostOutOfSpace 不再启动。这个变化可以解决一个问题：为已满的特定 tmpfs 挂载点启动警报。(OCPBUGS-6577)

网络

在以前的版本中，当应该显示错误消息时，Ingress Operator 会为 updateIngressClass 功能日志显示一个成功信息。在这个版本中，Ingress Operator 的日志消息是准确的。(OCPBUGS-6700)
在以前的版本中，Ingress Operator 没有指定 ingressClass.spec.parameters.scope，而 Ingress Class API 对象则默认指定类型 cluster。这会导致 Operator 启动时对所有 Ingress 类进行不必要的更新。在这个版本中，Ingress Operator 将 ingressClass.spec.parameters.scope 的类型指定为指定类型为 cluster。(OCPBUGS-6701)
在以前的版本中，Ingress Operator 在 ensureNodePortService 日志消息中存在一个不正确的服务名称，从而导致记录不正确的信息。在这个版本中，Ingress Operator 准确将服务记录在 ensureNodePortService 中。(OCPBUGS-6698)
在以前的版本中，在 OpenShift Container Platform 4.7.0 和 4.6.20 中，Ingress Operator 为特定于 OpenShift Container Platform 的路由器 pod 使用注解。这是配置存活度探测的宽限期来修复程序错误的临时方法。因此，OpenShift Container Platform 需要执行补丁来实现这个修复。在这个版本中，Ingress Operator 使用 terminationGracePeriodSeconds API 字段，使之前的补丁可在以后的版本中移动。(OCPBUGS-4703)
在以前的版本中，CoreDNS 使用旧的工具链来构建主二进制文件和旧基础镜像。在这个版本中，OpenShift Container Platform 对构建工具链和基础镜像使用 4.13。(OCPBUGS-6228)

节点

在以前的版本中，由 LifecycleAndUtilization descheduler 配置集启用的 LowNodeUtilization 策略不支持命名空间排除。在这个版本中，当设置 LifecycleAndUtilization descheduler 配置集时，命名空间会被正确排除。(OCPBUGS-513)
在以前的版本中，一个行为回归会导致 Machine Config Operator (MCO) 在 kubeletconfig 或 containerruntimeconfig 自定义资源 (CR)中创建重复的 MachineConfig 对象。重复的对象降级，集群无法升级。在这个版本中，kubeletconfig 和 containerruntimeconfig 控制器可以检测任何重复的对象，然后将其删除。此操作会删除降级的 MachineConfig 对象错误，不会影响集群升级操作。(OCPBUGS-7719)

Node Tuning Operator (NTO)

在以前的版本中，Cloud-native Function (CNF) 测试镜像在启用了 CNF 的 OpenShift Container Platform 集群上运行延迟测试的 hwlatdetect 工具被配置为一个检测周期 10 秒。当与检测宽度配置为 0.95 时，这个配置会增加 hwlatdetect 的可能性缺少延迟激增，因为工具会在分配的检测周期内监控节点大约 9.5%。在这个版本中，检测周期被设置为 1 秒，因此工具现在可以在分配的检测周期内监控节点大约 95%。剩余的 5% 监控时间保留未分配，以便内核能够执行系统任务。(OCPBUGS-12433)

OpenShift CLI (oc)

在以前的版本中，oc adm upgrade 命令在 ClusterVersion 中不会读取 Failing=True 状态。在这个版本中，oc adm upgrade 在总结集群状态时包括 Failing=True 条件信息。这会提高 ClusterOperators 的 Degraded=True 状态的可见性，以及其他可能会影响当前集群或将来的更新行为的问题。(OCPBUGS-3714)
在以前的版本中，oc-mirror 命令在控制台中从镜像磁盘镜像中为 OCI 和 FBC Operator 构建目录内容。因此，不是目录的所有内容，因此目录中缺少一些内容。在这个版本中，在将目录镜像推送到目标 registry 前，会构建目录镜像来反映镜像的内容，从而获得更完整的目录。(OCPBUGS-5805)
在以前的版本中，oc-mirror OpenShift CLI (oc) 插件将 Operator 目录作为 ImageContentSourcePolicy 资源中的一个条目添加。此资源并不需要此条目，因为 Operator 目录直接从 CatalogSource 资源的目标 registry 中使用。这个问题会影响集群接收发行版本镜像签名资源，因为 ImageContentSourcePolicy 资源中有一个意外的条目。在这个版本中，oc-mirror 插件从 ImageContentSourcePolicy 资源中删除了 Operator 目录条目，以便集群从 CatalogSource 资源中的 Operator 目录中接收签名资源。(OCPBUGS-10320)

Operator Lifecycle Manager (OLM)

Operator 自定义资源 (CR) 的状态包括了 Operator 拥有的组件列表。此列表根据 group/version/kind (GVK) 排序，但具有相同 GVK 的对象顺序可能会改变。如果 Operator 拥有许多具有相同 GVK 的组件，可能会导致 Operator Lifecycle Manager (OLM) 持续更新 Operator CR 的状态，因为其组件的顺序发生了变化。在这个版本中更新了 OLM，以便 Operator 组件引用的顺序是确定的。因此，当组件列表保持恒定时，OLM 不再尝试重复更新 CR。(OCPBUGS-2556)
Operator Lifecycle Manager (OLM) 管理一组 CatalogSource 对象，可以从中搜索和安装 Operator。这些目录源是此操作的默认源，由红帽管理。但是，可以使用不会被 OLM 系统注意到的方式更改这些默认目录源。如果通过这样的方式更改默认目录源导致它无法操作，则可能会进而造成 OLM 的问题，使用户无法在集群上安装新的或升级现有 Operator。在这个版本中更新了 catalog-operator 运行时，它会管理默认目录源，并会了解到对 CatalogSource spec 的其他更改。因此，当对默认目录源进行更改时，OLM 会检测到更改并将其重置回默认设置。(OCPBUGS-5466)

Red Hat Enterprise Linux CoreOS (RHCOS)

在以前的版本中，在 Azure 上，SR-IOV 接口由 NetworkManager 在引导时配置，因为将它标记为 NM_UNMANAGED 的 udev 规则没有存在于 initramfs 文件中。在这个版本中，udev 规则位于 initramfs 文件中，SR-IOV 接口应该始终由 NetworkManager 管理。(OCPBUGS-7173)

Security Profiles Operator

在以前的版本中，如果您选择了另外一个模板，如 net_container，Security Profiles Operator (SPO) SELinux 策略不会继承容器模板的低级别策略定义。因此策略将无法正常工作，因为它需要仅存在于容器模板中的低级别策略定义。当 SPO SELinux 策略试图将 SELinux 策略从 SPO 自定义格式转换为通用中间语言 (CIL) 格式时，会发生此问题。在这个版本中，容器模板会附加到需要从 SPO 转换到 CIL 的任何 SELinux 策略中。另外，SPO SELinux 策略可以从任何支持的策略模板中继承低级策略定义。(OCPBUGS-12879)

可伸缩性和性能

在以前的版本中，当生成性能配置集时，自动创建的 CRI-O 运行时文件被配置为使用 runc 作为 CRI-O 运行时。
现在，当生成性能配置集时，将 crun 设置为容器运行时通常可用，创建的运行时 CRI-O 文件与 ContainerRuntimeConfig CR 中配置的 defaultRuntime 匹配。这可以是 crun 或 runc。默认为 runc。(OCPBUGS-11813)

存储

在以前的版本中，openshift-manila-csi-driver 命名空间不包含管理工作负载分区所需的标签。这些缺少的标签会影响在所选 CPU 集合中运行 Manila CSI pod 的操作。在这个版本中，openshift-manila-csi-driver 命名空间现在包含了 workload.openshift.io/allowed 标签。(OCPBUGS-11341)

Windows 容器

在以前的版本中，在 Windows 节点升级过程中，Microsoft Windows 容器工作负载不会被完全阻止。这会导致服务中断，因为工作负载在升级的节点上仍然存在。在这个版本中，Windows Machine Config Operator (WMCO) 会排空工作负载，然后对节点进行 cordon 操作，直到节点升级完成为止。此操作可确保 Microsoft Windows 实例无缝升级。(OCPBUGS-5732)
在以前的版本中，Windows Machine Config Operator (WMCO) 无法排空 DaemonSet 工作负载。这会导致 Windows 的DaemonSet 的 pod 阻止 WMCO 尝试删除或升级的 Windows 节点。在这个版本中，WMCO 包含了额外的基于角色的访问控制(RBAC) 权限，以便 WMCO 可以移除 DaemonSet 工作负载。WMCO 也可以删除任何使用 containerd shim 创建的进程，以便在 WMCO 从集群中删除节点后，Windows 实例中不存在 DaemonSet 容器。(OCPBUGS-5354)
在以前的版本中，containerd 容器运行时在每个 Windows 节点上报告了一个不正确的版本，因为存储库标签没有传播到构建系统。此配置会导致 containerd 将其 Go 构建版本报告为每个 Windows 节点的版本。在这个版本中，在构建期间将正确的版本注入二进制文件，以便 containerd 报告每个 Windows 节点的正确版本。(OCPBUGS-5378)

1.7. 技术预览功能

这个版本中的一些功能当前还处于技术预览状态。它们并不适用于在生产环境中使用。请参阅红帽门户网站中关于对技术预览功能支持范围的信息：

技术预览功能支持范围

在以下表格中，功能被标记为以下状态：

技术预览
公开发行
不可用
已弃用

网络功能虚拟化功能

表 1.16. 网络技术预览跟踪器

功能	4.11	4.12	4.13
PTP dual NIC 硬件配置为边界时钟	技术预览	技术预览	公开发行
Ingress Node Firewall Operator	不可用	技术预览	技术预览
通过 BGP 模式，使用节点的一个子集（由特定的 IP 地址池指定）中的 MetalLB 服务进行广告	技术预览	公开发行	公开发行
通过 L2 模式，使用节点的一个子集（由特定的 IP 地址池指定）中的 MetalLB 服务进行广告	技术预览	技术预览	技术预览
SR-IOV 网络的多网络策略	不可用	技术预览	技术预览
OVN-Kubernetes 网络插件作为二级网络	不可用	不可用	技术预览
更新特定于接口的安全 sysctl 列表	不可用	技术预览	技术预览
MT2892 系列 [ConnectX-6 Dx] SR-IOV 支持	不可用	技术预览	公开发行
MT2894 系列 [ConnectX-6 Lx] SR-IOV 支持	不可用	技术预览	公开发行
ConnectX-6 NIC 模式的 MT42822 BlueField-2 的 SR-IOV 支持	不可用	技术预览	公开发行
Silicom STS 系列的 SR-IOV 支持	不可用	技术预览	公开发行
MT2892 系列 [ConnectX-6 Dx] OvS Hardware Offload 支持	不可用	技术预览	公开发行
MT2894 系列 [ConnectX-6 Lx] OvS Hardware Offload 支持	不可用	技术预览	公开发行
ConnectX-6 NIC 模式的 MT42822 BlueField-2 的 OvS Hardware Offload 支持	不可用	技术预览	公开发行
将 Bluefield-2 从 DPU 切换到 NIC	不可用	技术预览	公开发行
Intel E810-XXVDA4T	不可用	不可用	公开发行

存储技术预览功能

表 1.17. 存储技术预览

功能	4.11	4.12	4.13
共享资源 CSI 驱动程序和 OpenShift 构建中的 CSI 卷	技术预览	技术预览	技术预览
CSI 卷扩展	技术预览	公开发行	公开发行
CSI Azure File Driver Operator	技术预览	公开发行	公开发行
CSI Google Filestore Driver Operator	不可用	技术预览	技术预览
CSI 自动迁移 (Azure 文件、VMware vSphere)	技术预览	技术预览	公开发行
CSI 自动迁移（Azure Disk、OpenStack Cinder）	公开发行	公开发行	公开发行
CSI 自动迁移 (AWS EBS、GCP 磁盘)	技术预览	公开发行	公开发行
CSI inline 临时卷	技术预览	技术预览	公开发行
CSI 通用临时卷	不可用	公开发行	公开发行
IBM Power Virtual Server Block CSI Driver Operator	不可用	不可用	技术预览
使用 Local Storage Operator 进行自动设备发现和置备	技术预览	技术预览	技术预览

安装技术预览功能

表 1.18. 安装技术预览

功能	4.11	4.12	4.13
使用 kvc 向节点添加内核模块	技术预览	技术预览	技术预览
IBM Cloud VPC 集群 (x86_64)	技术预览	公开发行	公开发行
可选择 Cluster Inventory	技术预览	技术预览	技术预览
多架构计算机器	不可用	技术预览	公开发行
在 RHEL 中的 BuildConfig 中挂载共享权利	技术预览	技术预览	技术预览
基于代理的 OpenShift Container Platform 安装程序	不可用	公开发行	公开发行
为 SR-IOV 设备启用 NIC 分区	不可用	不可用	技术预览
Azure 标记	不可用	不可用	技术预览
GCP 机密虚拟机	不可用	不可用	技术预览

节点技术预览功能

表 1.19. 节点技术预览

功能	4.11	4.12	4.13
非抢占优先级类	公开发行	公开发行	公开发行
Linux Control Group 版本 2 (cgroup v2)	开发者预览	技术预览	公开发行
crun 容器运行时	不可用	技术预览	公开发行
Cron job 时区	不可用	技术预览	技术预览

多架构技术预览功能

表 1.20. 多架构技术预览

功能	4.11	4.12	4.13
`arm64` 构架上的 `kdump`	不可用	技术预览	技术预览
`s390x` 架构上的 `kdump`	技术预览	技术预览	技术预览
`ppc64le` 架构上的 `kdump`	技术预览	技术预览	技术预览
IBM Z 和 IBM® LinuxONE 上的 IBM Secure Execution	不可用	技术预览	公开发行
使用安装程序置备的基础架构 IBM Power Virtual Server	不可用	不可用	技术预览

专用硬件和驱动程序启用技术预览功能

表 1.21. 专用硬件和驱动程序启用技术预览

功能	4.11	4.12	4.13
驱动程序工具包	技术预览	技术预览	公开发行
Special Resource Operator (SRO)	技术预览	技术预览	不可用
hub 和 spoke 集群的支持	不可用	不可用	技术预览

Web 控制台技术预览功能

表 1.22. Web 控制台技术预览跟踪程序

功能	4.11	4.12	4.13
动态插件	技术预览	公开发行	公开发行

可扩展性和性能技术预览功能

表 1.23. 可扩展性和性能技术预览

功能	4.11	4.12	4.13
超线程感知 CPU Manager 策略	技术预览	技术预览	技术预览
Node Observability Operator	不可用	技术预览	技术预览
factory-precaching-cli 工具	不可用	不可用	技术预览
使用 worker 节点的单节点 OpenShift 集群扩展	不可用	技术预览	公开发行
Topology Aware Lifecycle Manager (TALM)	技术预览	技术预览	公开发行
挂载命名空间封装	不可用	不可用	技术预览
使用 NUMA Resources Operator 进行 NUMA 感知调度	技术预览	技术预览	公开发行
HTTP 传输替换了 PTP 和裸机事件的 AMQP	不可用	不可用	技术预览
Intel E810 Westport Channel NIC 作为 PTP grandmaster 时钟	不可用	不可用	技术预览
三节点集群和标准集群的工作负载分区	不可用	不可用	技术预览

Operator 技术预览功能

表 1.24. Operator 技术预览

功能	4.11	4.12	4.13
混合 Helm Operator	技术预览	技术预览	技术预览
基于 Java 的 Operator	不可用	技术预览	技术预览
多集群引擎 Operator	技术预览	技术预览	技术预览
Node Observability Operator	不可用	不可用	技术预览
Network Observability Operator	不可用	公开发行	公开发行
平台 Operator	不可用	技术预览	技术预览
RukPak	不可用	不可用	技术预览
Cert-manager Operator	技术预览	公开发行	公开发行

监控技术预览功能

表 1.25. 监控技术预览

功能	4.11	4.12	4.13
用户定义的项目监控的警报路由	技术预览	公开发行	公开发行
基于平台监控指标的警报规则	不可用	技术预览	技术预览
指标集合配置集	不可用	不可用	技术预览

Red Hat OpenStack Platform (RHOSP) 技术预览功能

表 1.26. RHOSP 技术预览

功能	4.11	4.12	4.13
支持 RHOSP DCN	技术预览	公开发行	公开发行
支持 RHOSP 上集群的外部云供应商	技术预览	公开发行	公开发行

架构技术预览功能

表 1.27. 架构技术预览

功能	4.11	4.12	4.13
在裸机上托管 OpenShift Container Platform 的 control plane	不可用	技术预览	技术预览
在 Amazon Web Services (AWS) 上托管 OpenShift Container Platform 的 control plane。	技术预览	技术预览	技术预览
在 OpenShift Virtualization 上为 OpenShift Container Platform 托管 control plane	不可用	不可用	技术预览

机器管理技术预览功能

表 1.28. 机器管理技术预览

功能	4.11	4.12	4.13
使用 Cluster API 管理机器	技术预览	技术预览	技术预览
Alibaba Cloud 的云控制器管理器	技术预览	技术预览	技术预览
Amazon Web Services 的云控制器管理器	技术预览	技术预览	技术预览
Google Cloud Platform 的云控制器管理器	技术预览	技术预览	技术预览
Microsoft Azure 的云控制器管理器	技术预览	技术预览	技术预览
Nutanix 的云控制器管理器	不可用	不可用	公开发行
Red Hat OpenStack Platform(RHOSP)的云控制器管理器	技术预览	公开发行	公开发行
VMware vSphere 的云控制器管理器	技术预览	技术预览	公开发行

认证和授权技术预览功能

表 1.29. 认证和授权技术预览

功能	4.11	4.12	4.13
Pod 安全准入限制强制	不可用	技术预览	技术预览

Machine Config Operator 技术预览功能

表 1.30. Machine Config Operator 技术预览

功能	4.11	4.12	4.13
Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层	不可用	技术预览	公开发行

1.8. 已知问题

在 OpenShift Container Platform 4.1 中，匿名用户可以访问发现端点。之后的版本会取消对这端点的访问，以减少可能的安全漏洞攻击面。一些发现端点被转发到聚合的 API 服务器。但是，升级的集群中会保留未经身份验证的访问，因此现有用例不会中断。
如果您是一个从 OpenShift Container Platform 4.1 升级到 4.13 的集群的集群管理员，您可以撤销或继续允许未经身份验证的访问。除非对未经身份验证的访问有特殊需要，否则您应该撤销它。如果您继续允许未经身份验证的访问，请注意相关的风险。
警告
如果您的应用程序依赖未经身份验证的访问，在撤销了未经身份验证的访问后可能会收到 HTTP 403 错误。
使用以下脚本撤销对发现端点的未经身份验证的访问：
```
## Snippet to remove unauthenticated group from all the cluster role bindings
$ for clusterrolebinding in cluster-status-binding discovery system:basic-user system:discovery system:openshift:discovery ;
do
### Find the index of unauthenticated group in list of subjects
index=$(oc get clusterrolebinding ${clusterrolebinding} -o json | jq 'select(.subjects!=null) | .subjects | map(.name=="system:unauthenticated") | index(true)');
### Remove the element at index from subjects array
oc patch clusterrolebinding ${clusterrolebinding} --type=json --patch "[{'op': 'remove','path': '/subjects/$index'}]";
done
```
此脚本从以下集群角色绑定中删除未经身份验证的对象：
- cluster-status-binding
- discovery
- system:basic-user
- system:discovery
- system:openshift:discovery
(BZ#1821771)

oc annotate 命令不适用于包含了等号（=）的 LDAP 组名称，因为命令使用等号作为注释名称和值之间的分隔符。作为临时解决方案，使用 oc patch 或 oc edit 添加注解。(BZ#1917280)
添加 Git 存储库并使用 GitLab 和 Bitbucket pipeline-as-code 存储库进行配置，会创建一个无效的存储库资源。因此，对于 GitLab 和 Bitbucket 提供程序，删除了 spec.git_provider.url Git 供应商 URL。
临时解决方案：为 Bitbucket 添加必需的 spec.git_provider.user 字段。另外，选择 Git 访问令牌或 Git 访问令牌 secret 来继续添加 Git 存储库。(OCPBUGS-7036)
目前，当您在 macOS 上运行安装程序以便在 VMware vSphere 上安装 OpenShift Container Platform 集群时，存在一个证书合规问题，特别是 x509: certificate is not standards compliant。这个问题与 golang 编译器的已知问题相关，其中编译器无法识别新支持的 macOS 证书标准。这个问题不存在临时解决方案。(OSDOCS-5694)
当您在 ControlPlaneMachineSet 定义中包含超过三个故障域时，负载均衡算法不会优先选择现有的 control plane 机器。如果您添加一个第四个故障域，其优先级高于定义的现有三个故障域，则第四个故障域优先于任何现有故障域。此行为可将滚动更新应用到 control plane 机器。您可以通过将现有的 in-use 故障域设置为高于新的和未使用的故障域来防止这个问题。此操作在向定义中添加多个故障域时，设置每个 control plane 机器。(OCPBUGS-11968)
在单节点 OpenShift 实例上，重新引导而不排空节点以删除所有正在运行的 pod 可能会导致工作负载容器恢复出现问题。重启后，工作负载会在所有设备插件就绪前重启，从而导致资源不可用或在错误的 NUMA 节点上运行的工作负载。当所有设备插件在重启恢复过程中重新注册时，可以重启工作负载 pod。(OCPBUGS-2180)
删除使用 SR-IOV netdevice 的 pod 时可能会出现错误。这个错误是由 RHEL 9 中的更改造成的，其中之前网络接口的名称会在重命名时添加到其替代名称列表中。因此，当删除附加到 SR-IOV 虚拟功能 (VF) 的 pod 时，VF 会返回到具有新意外名称的池，如 dev69，而不是其原始名称，如 ensf0v2。虽然这个错误不是致命的，但 Multus 和 SR-IOV 日志可能会在系统自行恢复时显示错误。由于这个错误，删除 pod 可能需要几秒钟。(OCPBUGS-11281)
在守护进程集的 YAML 定义中有一个不正确的优先级类名称和语法错误，负责更新特定于接口的安全 sysctl 可防止使用 openshift-multus 命名空间中的 cni-sysctl-allowlist 配置映射为接口修改安全 sysctl 列表。
临时解决方案：手动或使用守护进程集，修改节点上的文件 /etc/cni/tuning/allowlist.conf 来解决这个问题。(OCPBUGS-11046)
OpenShift Container Platform 4.12 中引入的一项新功能，它允许 UDP GRO 导致所有 veth 设备为每个可用 CPU 都有一个 RX 队列（以前每个 veth 都有一个队列）。这些队列由 Open Virtual Network 动态配置，延迟调整和此队列创建之间没有同步。延迟调优逻辑监控 veth NIC 创建事件，并在所有队列被正确创建前开始配置 RPS 队列 cpu 掩码。这意味着没有配置某些 RPS 队列掩码。因为不是所有 NIC 队列都正确配置，实时应用程序（使用对时间敏感的 cpu 与其它容器中的服务进行通信）可能会有延迟激增的问题。不使用内核网络堆栈的应用程序不会受到影响。(OCPBUGS-4194)
Cluster Network Operator (CNO) 控制器监控的资源超过需要的资源。因此，协调器会太频繁地触发，从而导致 API 请求的比率比实际需要的要高。大约有 1 个配置映射访问请求每秒发出。这会增加 CNO 和 kube-apiserver 的负载。(OCPBUGS-11565)
对于 OpenShift Container Platform 4.13，Driver Toolkit (DTK) 容器镜像需要 ubi9 镜像作为构建驱动程序容器的软件堆栈的第二层。如果您尝试使用 ubi8 镜像作为软件堆栈中的第二层，您将收到构建错误。(OCPBUGS-11120)
在使用 CSI 驱动程序时 vSphere 平台上的一些 OpenShift Container Platform 安装中，vSphere CSI 驱动程序可能无法正确出现，因为在启动过程中它无法从 vCenter 检索节点的信息，因此 CSI 驱动程序不会重试。
临时解决方案：通过使用 SSH 连接到作为 vsphere-syncer 进程的当前领导节点，并重启 vsphere-syncer 容器（使用 crictl），可以缓解这个问题，驱动程序可以成功启动。(OCPBUGS-13385)
对于 OpenShift Container Platform 4.13，在带有 baremetal worker 的 Red Hat OpenStack Platform (RHOSP) 16.2 上安装 4.13 版本会失败，因为 baremetal worker 无法从 OpenShift 4.13 附带的 Red Hat Enterprise Linux CoreOS (RHCOS)镜像引导。基本问题是 RHCOS 镜像缺少字节顺序标记。计划对下一个 16.2 构建进行这些修复。(OCPBUGS-13395)
由于 RHEL 9.2 中存在一个已知问题，所以无法在带有机密虚拟机的 GCP 集群中使用持久性卷。(OCPBUGS-7582)
在升级到 OpenShift Container Platform 4.13 时，在带有 openvswitch2.15 的 OpenShift Container Platform 4.12 集群中运行的 Red Hat Enterprise Linux (RHEL) worker 会失败。upgrade.yml playbook 失败，并显示以下错误消息 package openvswitch2.17-2.17.0-88.el8fdp.x86_64 conflicts with openvswitch2.15 provided by openvswitch2.15-2.15.0-136.el8fdp.x86_64。
要临时解决这个问题，在升级到 OpenShift Container Platform 4.13 之前，手动删除 openvswitch2.15 软件包并安装 openvswitch2.17 软件包。然后，运行 upgrade.yml playbook 以更新 RHEL worker 并完成更新过程。(OCPBUGS-11677)
将将存储附加到工作负载时，会出现磁盘延迟问题。(OCPBUGS-11149)
当从 OpenShift Container Platform 4.12 更新至 4.13 时，Mella NIC 将 SR-IOV 网络节点策略（如 ens7f0） 重命名为 ens7f0np0。这个名称更改是因为对 RHEL 9 内核的更新。因此，无法创建虚拟功能 (VF)，因为无法找到接口。您的 SR-IOV 网络节点策略必须考虑这个重命名。例如，如果您的策略中引用了 ens7f0，请在更新前将 ens7f0np0 添加到您的策略中。
要临时解决这个问题，您必须手动编辑 SriovNetworkNodePolicy 自定义资源 (CR) 以添加 ens7f0np0，然后才能升级到 OpenShift Container Platform 4.13。(OCPBUGS-13186) 以下代码提供了一个策略更新示例，其中两个名称都添加到 SriovNetworkNodePolicy 中，以确保兼容性：
```
  # ...
  deviceType: netdevice
  nicSelector:
    deviceID: “101d”
    pfNames:
      - ens7f0
      - ens7f0np0
    vendor: ‘15b3’
  nodeSelector:
    feature.node.kubernetes.io/sriov-capable: ‘true’
  numVfs: 4
 # ...
```
对于 Intel E810 NIC，在 pod 删除时重置 SR-IOV 虚拟功能 (VF) 上的 MAC 地址可能会失败。因此，在 Intel E810 NIC 卡上使用 SR-IOV VF 创建 pod 可能需要 2 分钟。(OCPBUGS-5892)

如果您在用于执行集群升级的订阅策略中指定无效的订阅频道，则 Topology Aware Lifecycle Manager (TALM) 表示在 TALM 强制策略后升级会立即成功，因为 Subscription 资源保持在 AtLatestKnown 状态。(OCPBUGS-9239)
系统崩溃后，kdump 无法在 HPE Edgeline e920t 和 HPE DL110 Gen10 服务器上生成 vmcore 崩溃转储文件，安装有 Intel E810 NIC 和 ice 驱动程序。(RHELPLAN-138236)
在 GitOps ZTP 中，当使用 SiteConfig CR 置备包含多个节点的受管集群时，当一个或多个节点在 SiteConfig CR 中配置了一个 diskPartition 资源时，磁盘分区会失败。(OCPBUGS-9272)
在配置了 PTP 边界时钟 (T-BC) 和部署的 DU 应用程序的集群中，消息不会从 vDU 主机上的 T-BC 的后续接口发送，最多 40 秒。日志中的错误率可能会有所不同。错误日志示例如下：
输出示例
```
2023-01-15T19:26:33.017221334+00:00 stdout F phc2sys[359186.957]: [ptp4l.0.config] nothing to synchronize
```
(RHELPLAN-145492)
当使用 GitOps ZTP 安装单节点 OpenShift 集群时，并使用 HTTP 传输配置 PTP 和裸机事件，linuxptp-daemon 守护进程 pod 会间歇性部署。所需的 PersistentVolumeClaim (PVC) 资源已创建，但不会挂载到 pod 中。报告以下卷挂载错误：
输出示例
```
mount: /var/lib/kubelet/plugins/kubernetes.io/local-volume/mounts/local-pv-bc42d358: mount(2) system call failed: Structure needs cleaning.
```
要解决这个问题，删除 cloud-event-proxy-store-storage-class-http-events PVC CR 并重新部署 PTP Operator。(OCPBUGS-12358)

在 GitOps Zero Touch Provisioning (ZTP) 置备一个在 SiteConfig CR 中启用了安全引导的单节点 OpenShift 受管集群的置备过程中，在托管置备时会为 BareMetalHost CR 报告多个 ProvisioningError 错误。这个错误代表，安全引导设置在 Baseboard Management Controller (BMC) 中被成功应用，但主机在应用了 BareMetalHost CR 后无法开机。要解决这个问题，请执行以下步骤：
1. 重启主机。这可确保 GitOps ZTP 管道应用了安全引导设置。
2. 使用相同配置重启集群的 GitOps ZTP 置备。
(OCPBUGS-8434)
安装双栈 GitOps ZTP hub 集群后，启用双栈虚拟 IP 地址(VIP)，并在 Provisioning CR 中启用 virtualMediaViaExternalNetwork 标志，IRONIC_EXTERNAL_URL_V6 环境变量会被错误地被分配一个 IPv4 地址。(OCPBUGS-4248)
ZT 服务器将 BiosRegistry 语言设置为 en-US 而不是 en。这会导致受管集群主机的 GitOps ZTP 置备过程中出现问题。为 ZT 服务器生成的 FirmwareSchema CR 没有包括 allowable_values,attribute_type, 和 read_only 字段。(OCPBUGS-4388)
在 OpenShift Container Platform 版本 4.13.0 中，当您尝试使用基于 Agent 的安装程序安装集群时会出现一个错误。在读取磁盘阶段后，会返回一个错误，集群安装的过程会卡住。HPEconfirm Gen10 服务器上已检测到此错误。(OCPBUGS-13138)
RFC2544 性能测试显示数据包的 Max delay 值以遍历网络超过最小阈值。此回归可在运行 Telco RAN DU 配置集的 OpenShift Container Platform 4.13 集群中找到。(OCPBUGS-13224)
性能测试在安装了 OpenShift Container Platform 4.13 的单节点 OpenShift 集群上运行，显示 oslat 最大延迟结果大于 20 微秒。(RHELPLAN-155443)
性能测试在安装了 OpenShift Container Platform 4.13 的单节点 OpenShift 集群上运行，显示 cyclictest 最大延迟结果超过 20 微秒。(RHELPLAN-155460)
在为 DPDK 禁用 CPU 负载均衡功能中介绍的与低延迟微调相关联的 cpu-load-balancing.crio.io: "disable" 注解在没有配置负载分区的系统上无法正常工作。更具体地说，这会影响到基础架构没有将 cpuPartitioningMode 设置为 AllNodes 值的集群，如 Workload partitioning 所述。
这会影响此类集群的可选项延迟，并可能会阻止正确操作低延迟工作负载。(OCPBUGS-13163)
如果 Nutanix 平台缺少了 Nutanix Cloud Control Manager (CCM) 所需的配置，则 Nutanix 平台上的 OpenShift Container Platform 4.12 集群可能会有 Upgradeable=False 条件。要解决这个问题，请参阅：在使用 Nutanix 作为平台时，如何创建升级到 OpenShift 4.13 所需的 ConfigMap 和 Secret。
目前，当使用包含大量文件的持久性卷 (PV) 时，pod 可能无法启动，或者可能需要很长时间才能启动。如需更多信息，请参阅此知识库文章。(BZ1987112)

1.9. 异步勘误更新

OpenShift Container Platform 4.13 的安全更新、程序漏洞修正、功能增强更新将会通过红帽网络以异步勘误的形式发布。所有的 OpenShift Container Platform 4.13 勘误都可以通过红帽客户门户网站获得。OpenShift Container Platform 生命周期包括了详细的与异步勘误相关的内容。

红帽客户门户网站的用户可以在红帽订阅管理（RHSM）帐户设置中启用勘误通知功能。当勘误通知被启用后，每当用户注册的系统相关勘误被发布时，用户会收到电子邮件通知。

注意

用户的红帽客户门户网站账户需要有注册的系统，以及使用 OpenShift Container Platform 的权限才可以接收到 OpenShift Container Platform 的勘误通知。

本节的内容将会持续更新，以提供以后发行的与 OpenShift Container Platform 4.13 相关的异步勘误信息。异步子版本（例如，OpenShift Container Platform 4.13.z）的具体信息会包括在相应的子章节中。此外，在发行公告中因为空间限制没有包括在其中的勘误内容也会包括在这里的相应的子章节中。

重要

对于任何 OpenShift Container Platform 发行版本，请仔细参阅有关更新集群的说明。

1.9.1. RHSA-2023:1326 - OpenShift Container Platform 4.13.0 镜像发行版本、程序错误修正和安全更新公告

发布日期：2023 年 5 月 17 日

OpenShift Container Platform 版本 4.13.0 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:1326 公告中。此更新中包括的 RPM 软件包由 RHSA-2023:1325 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.0 --pullspecs

1.9.2. RHSA-2023:3304 - OpenShift Container Platform 4.13.1 程序错误修复和安全更新

发布日期：2023 年 5 月 30 日

OpenShift Container Platform release 4.13.1 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:3304 公告中。此更新中包括的 RPM 软件包由 RHSA-2023:3303 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.1 --pullspecs

1.9.2.1. 程序错误修复

在以前的版本中，支持的安装可能会遇到临时错误。如果发生错误，安装将无法恢复。在这个版本中，临时错误会被正确检索。(OCPBUGS-13138)
在以前的版本中，当嵌套路径超过预期的最大路径时，对于一些 registry，oc-mirror OpenShift CLI (oc) 插件会失败，并带有 401 unauthorized 错误。在这个版本中，--max-nested-paths 标记的默认整数被设置为 0 （无限制）。因此，生成的 ImageContentSourcePolicy 将包含到存储库级别的源和目标引用，而不是默认使用的命名空间级别。(OCPBUGS-13591)

1.9.2.2. 更新

要将现有 OpenShift Container Platform 4.13 集群更新到此最新版本，请参阅使用 CLI 更新集群以获取相关说明。

1.9.3. RHSA-2023:3367 - OpenShift Container Platform 4.13.2 程序错误修复和安全更新

发布日期：2023 年 6 月 7 日

OpenShift Container Platform release 4.13.2 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:3367 公告中。此更新中包括的 RPM 软件包由 RHSA-2023:3366 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.2 --pullspecs

1.9.3.1. 更新

要将现有 OpenShift Container Platform 4.13 集群更新到此最新版本，请参阅使用 CLI 更新集群以获取相关说明。

1.9.4. RHSA-2023:3537 - OpenShift Container Platform 4.13.3 程序错误修复和安全更新

发布日期：2023 年 6 月 13 日

OpenShift Container Platform 版本 4.13.3 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:3537 公告中。此更新中包括的 RPM 软件包由 RHSA-2023:3536 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.3 --pullspecs

1.9.4.1. 功能

1.9.4.1.1. 支持使用 ZTP 进行 iPXE 网络引导

GitOps Zero Touch Provisioning (ZTP) 使用 Bare Metal Operator (BMO) 作为 spoke 集群部署的一部分在目标主机上引导 Red Hat Enterprise Linux CoreOS (RHCOS)。在这个版本中，GitOps ZTP 通过为这些 RHCOS 安装添加 Preboot Execution Environment (iPXE) 网络引导的选项来利用 BMO 的功能。

注意

要使用 iPXE 网络引导，您必须使用 Red Hat Advanced Cluster Management (RHACM) 2.8 或更高版本。

如需更多信息，请参阅使用 SiteConfig 和 GitOps ZTP 部署受管集群。

1.9.4.2. 程序错误修复

在以前的版本中，在单节点 OpenShift 中，当节点重启时，有一个竞争条件可能会导致节点上请求设备的应用程序 pod 准入，即使设备不健康或无法分配。这会导致应用程序试图访问设备时运行时失败。在这个版本中，只有在设备插件已向 kubelet 和要分配的健康设备注册时，pod 请求的资源才会被分配。
如果没有满足这些条件，pod 可能会在准入时失败，并显示 UnexpectedAdmissionError 错误，这是预期的行为。如果应用程序 pod 是部署的一部分，如果后续 pod 无法启动，并在设备适合分配时最终成功运行。(OCPBUGS-14438)
在以前的版本中，在 Ingress Controller 上配置客户端 TLS (mTLS)，客户端 CA 捆绑包中的证书颁发机构 (CA) 需要超过 1MB 的证书撤销列表 (CRL)。CRL ConfigMap 对象大小限制会阻止更新发生。由于缺少 CRL，带有有效客户端证书的连接可能会被拒绝，错误为 unknown ca。在这个版本中，每个 Ingress Controller 的 CRL ConfigMap 不再存在；相反，每个路由器 pod 直接下载 CRL，确保与有效客户端证书的连接不再被拒绝。(OCPBUGS-13967)
在以前的版本中，因为 Ingress Controller 上配置客户端 TLS (mTLS)，所以分发证书颁发机构 (CA) 和发布 CA 不匹配会导致下载不正确的证书撤销列表 (CRL)。因此，下载了不正确的 CRL 而不是正确的 CRL，从而导致具有有效客户端证书的连接被拒绝，并显示错误消息 unknown ca。在这个版本中，下载的 CRL 由发布它们的 CA 跟踪。这样可确保有效的客户端证书不再被拒绝。(OCPBUGS-13964)

1.9.4.3. 更新

要将现有 OpenShift Container Platform 4.13 集群更新到此最新版本，请参阅使用 CLI 更新集群以获取相关说明。

1.9.5. RHSA-2023:3614 - OpenShift Container Platform 4.13.4 程序错误修复和安全更新

发布日期：2023 年 6 月 23 日

OpenShift Container Platform 版本 4.13.4 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:3614 公告中。此更新中包括的 RPM 软件包由 RHSA-2023:3612 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.4 --pullspecs

1.9.5.1. 更新

要将现有 OpenShift Container Platform 4.13 集群更新到此最新版本，请参阅使用 CLI 更新集群以获取相关说明。

1.9.6. RHSA-2023:4091 - OpenShift Container Platform 4.13.5 程序错误修复和安全更新

发布日期：2023 年 7 月 20 日

OpenShift Container Platform 版本 4.13.5 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:4091 公告中。此更新中包括的 RPM 软件包由 RHSA-2023:4093 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.5 --pullspecs

1.9.6.1. 程序错误修复

目前，网关 API 功能没有提供 DNS 记录，并带有网关域的尾部点。这会导致 DNS 记录的状态永远不会在 GCP 平台上可用。在这个版本中，网关 API 网关的 DNS 记录会被正确置备，网关 API 功能在 GCP 上可以正常工作，因为网关服务 dns 控制器会在域中缺少尾部点时添加尾随点。(OCPBUGS-15434)
在以前的版本中，如果您使用 Developer 控制台的 Pipelines 页面添加存储库，并且输入 GitLab 或 Bitbucket Pipelines 作为 Git Repo URL，则创建的 Repository 资源无效。这是因为 git_provider.url spec 中缺少 schema 问题，它现已解决。(OCPBUGS-15410)
在本发行版本中，git_provider.user spec 已被添加为 Pipelines as Code Repository 对象。如果 Git 供应商是 Bitbucket，则此 spec 要求您提供一个用户名。(OCPBUGS-15410)
在这个发行版本中，Pipelines → Create → Add Git Repository 页面中的 Secret 字段现在是必须的。您必须点 Show configuration options，然后为您的存储库配置 Git 访问令牌或 Git 访问令牌 secret。(OCPBUGS-15410)
在以前的版本中，如果您试图通过进入到 Helm，在 Developer 控制台中编辑 Helm Chart 仓库，点 Repositories 选项卡，然后通过 Helm Chart 仓库的 kebab 菜单选择 Edit HelmChartRepository，则会出现 Error 页面显示 404: Page Not Found 错误。这是因为一个不是最新的组件路径所致。这个问题现已解决。(OCPBUGS-15130)

1.9.6.2. 更新

要将现有 OpenShift Container Platform 4.13 集群更新到此最新版本，请参阅使用 CLI 更新集群以获取相关说明。

1.9.7. RHSA-2023:4226 - OpenShift Container Platform 4.13.6 程序错误修复和安全更新

发布日期：2023 年 7 月 27 日

OpenShift Container Platform 版本 4.13.6 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:4226 公告中。此更新中包括的 RPM 软件包由 RHBA-2023:4229 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.6 --pullspecs

1.9.7.1. 更新

要将现有 OpenShift Container Platform 4.13 集群更新到此最新版本，请参阅使用 CLI 更新集群以获取相关说明。

1.9.8. RHSA-2023:4456 - OpenShift Container Platform 4.13.8 程序错误修复和安全更新

发布日期：2023 年 8 月 8 日

OpenShift Container Platform 版本 4.13.8 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:4456 公告中。此更新中包括的 RPM 软件包由 RHSA-2023:4459 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.8 --pullspecs

1.9.8.1. 程序错误修复

在以前的版本中，Red Hat OpenStack Platform (RHOSP) 中的实际负载均衡器地址不可见。在这个版本中，添加了实际负载均衡器地址，并在 RHOSP loadbalancer 对象注解中可见。(OCPBUGS-15973)

1.9.8.2. 更新

要将现有 OpenShift Container Platform 4.13 集群更新到此最新版本，请参阅使用 CLI 更新集群以获取相关说明。

1.9.9. RHSA-2023:4603 - OpenShift Container Platform 4.13.9 程序错误修复和安全更新

发布日期：2023 年 8 月 16 日

OpenShift Container Platform 版本 4.13.9 现已正式发布，其中包括安全更新。其程序错误修正列表包括在 RHSA-2023:4603 公告中。此更新中包括的 RPM 软件包由 RHBA-2023:4606 公告提供。

因篇幅原因，没有在这个公告中包括此版本的所有容器镜像信息。

您可以运行以下命令来查看此发行版本中的容器镜像：

$ oc adm release info 4.13.9 --pullspecs

1.9.9.1. 更新

要将现有 OpenShift Container Platform 4.13 集群更新到此最新版本，请参阅使用 CLI 更新集群以获取相关说明。

法律通告

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Language and Page Formatting Options

发行注记

OpenShift Container Platform 发行版本中的主要新功能及变化信息

第 1 章 OpenShift Container Platform 4.13 发行注记

1.1. 关于此版本

1.2. OpenShift Container Platform 层次和依赖组件支持和兼容性

1.3. 新功能及功能增强

1.3.1. Red Hat Enterprise Linux CoreOS (RHCOS)

1.3.1.1. RHCOS 现在使用 RHEL 9.2

1.3.1.1.1. 使用 RHEL 9.2 升级到 OpenShift Container Platform 的注意事项

1.3.1.2. 使用安装程序置备的基础架构的 IBM Power Virtual Server （技术预览）

1.3.1.3. IBM Z 和 IBM (R) Linux 上的 IBM Secure Execution

1.3.1.4. 支持的安装程序 SaaS 为 IBM Power、IBM Z 和 IBM (R) Linux 提供平台集成支持

1.3.1.5. RHCOS 现在包含 lsof

1.3.2. 安装和更新

1.3.2.1. 支持 VMware vSphere 版本 8.0

1.3.2.2. VMware vSphere 区域和区启用

1.3.2.3. 对默认 vSphere install-config.yaml 文件的更改

1.3.2.4. 支持多个 vSphere 子网的外部负载均衡器

1.3.2.5. 支持在 VMware vSphere 上安装集群前对虚拟机进行加密

1.3.2.6. 三节点集群支持

1.3.2.7. IBM Cloud VPC 和现有的 VPC 资源

1.3.2.8. GCP 安装和删除 OpenShift Container Platform 集群的最低所需的权限

1.3.2.9. Azure 的用户定义的标签

1.3.2.10. 在 GCP 上安装 OpenShift Container Platform 集群到共享 Virtual Private Cloud (VPC)

1.3.2.11. 使用 Shielded 虚拟机在 GCP 上安装集群

1.3.2.12. 使用机密的虚拟机在 GCP 上安装集群

1.3.2.13. 在 AWS 上将集群安装到现有的 Virtual Private Cloud (VPC) 改进

1.3.2.14. 从 OpenShift Container Platform 4.12 升级到 4.13 时，需要管理员确认

1.3.2.15. Microsoft Azure 的最低所需的权限来安装和删除 OpenShift Container Platform 集群

1.3.2.16. 单架构到多架构有效负载迁移

1.3.2.17. 配置要在 vSphere 的 control plane 上运行的网络组件

1.3.2.18. 使用单一节点在 AWS 上安装 OpenShift Container Platform 集群

1.3.2.19. 使用内部裸机节点扩展 AWS 集群

1.3.2.20. 使用 Bare Metal Operator 在用户置备的集群中扩展裸机主机

1.3.2.21. 64 位 ARM 上的 OpenShift Container Platform

1.3.2.22. 支持 git-lfs 软件包

1.3.2.23. 使用 oc-mirror 插件包含本地 OCI Operator 目录现已正式发布

1.3.2.24. 在 RHOSP 上部署使用故障域的集群（技术预览）

1.3.2.25. 在 RHOSP 上部署带有用户管理的负载均衡器的集群（技术预览）

1.3.2.26. 在 Nutanix 上安装集群时使用项目和类别

1.3.2.27. 基于代理的安装程序现在执行网络连接检查

1.3.3. 安装后配置

1.3.3.1. 带有多架构计算机器的 OpenShift Container Platform 集群

1.3.3.2. 在 VSphere 上为集群指定多个故障域

1.3.4. Web 控制台

1.3.4.1. Developer Perspective (开发者视角)

1.3.4.1.1. Pipelines 页面的改进

1.3.4.1.2. Helm 页的改进

1.3.5. OpenShift CLI (oc)

1.3.5.1. 在指定命名空间中运行 must-gather 的新标记

1.3.5.2. 使用 OpenShift CLI (oc) 导入清单

1.3.5.3. 返回镜像的 os/arch 和摘要

1.3.6. IBM Z 和 IBM (R) Linux

IBM Z 和 IBM (R) Linux 主要改进

IBM 安全执行

1.3.7. IBM Power

IBM Power 主要改进

IBM Power、IBM Z 和 IBM (R) Linux 支持列表

1.3.8. 镜像

1.3.8.1. 支持镜像流中列出的清单镜像

1.3.9. 安全性与合规性

1.3.9.1. 现在支持 AES-GCM 加密

1.3.10. 网络

1.3.10.1. 网络指标的改进

1.3.10.1.1. egress_ips_rebalance_total

1.3.10.1.2. egress_ips_node_unreachable_total

1.3.10.1.3. egress_ips_unassign_latency_seconds

1.3.10.1.4. interfaces_total

1.3.10.1.5. interface_up_wait_seconds_total

1.3.10.1.6. ovnkube_resource_retry_failures_total

1.3.10.2. 网络警报的改进

1.3.10.2.1. NoOvnMasterLeader

1.3.10.2.2. OVNKubernetesNodeOVSOverflowUserspace

1.3.10.2.3. OVNKubernetesNodeOVSOverflowKernel

1.3.10.3. Network Observability Operator

1.3.10.4. 将 MetalLB IPAddressPool 资源中的 IP 地址分配给特定的命名空间和服务

1.3.10.5. 支持在带有双端口 NIC 的节点上安装 OpenShift Container Platform （技术预览）

1.3.10.6. 现在，支持将 BlueField-2 网络设备从数据处理单元(DPU)模式切换到网络接口控制器(NIC)模式

1.3.10.7. 网卡的 MT2892 系列的硬件卸载 [ConnectX-6 Dx]