1.3. 新功能及功能增强

此版本对以下方面进行了改进

1.3.1. Red Hat Enterprise Linux CoreOS (RHCOS)

1.3.1.1. 增强 LUKS、RAID 和 FBA DASD 的磁盘置备

OpenShift Container Platform 4.7 包括对裸机部署的磁盘置备的一些改进。新的 4.7 集群当前仅支持以下功能:

  • 对 LUKS 磁盘加密的原生 Ignition 支持为加密的根文件系统提供额外的可配置性,并支持加密额外的数据文件系统。
  • RHCOS 现在支持引导磁盘镜像(s390x 除外),从而在磁盘失败时提供冗余功能。如需更多信息,请参阅在安装过程中镜像磁盘
  • s390x 上的 RHCOS 可以安装到固定块架构(FBA)类型直接访问存储设备(DASD)磁盘中。
  • RHCOS 现在支持使用多路径的主要磁盘。
注意

在新集群中,LUKS 配置必须使用原生 Ignition 机制,因为如果机器配置中包含旧的 /etc/clevis.json 文件,置备会失败。在从 OpenShift Container Platform 4.6 或更早版本升级的集群上,LUKS 只能使用 /etc/clevis.json 进行配置。

1.3.1.2. 使用 bootupd 更新引导装载程序

通过 bootupd,RHCOS 用户现在可以访问跨系统发行、系统分析操作系统更新工具,该工具管理在现代架构中运行的 UEFI 和旧 BIOS 引导模式中的固件和引导更新。

1.3.1.3. RHCOS 现在支持 RHEL 8.3

RHCOS 现在使用 Red Hat Enterprise Linux(RHEL)8.3 软件包。OpenShift Container Platform 4.6 和以下软件包仍保留在 RHEL 8.2 软件包中。这可让您获得最新修复、功能及改进,比如 NetworkManager 功能,以及最新的硬件支持和驱动程序更新。

1.3.1.4. RHCOS 现在支持 kdump 服务(技术预览)

在 RHCOS 中引进了 kdump 服务,以提供一个用于调试内核问题的崩溃转储机制。您可以使用这个服务保存系统内存内容以便稍后进行分析。kdump 服务不是在集群级别管理的,它必须基于每个节点手动启用和配置。如需更多信息,请参阅启用 kdump

1.3.1.5. Ignition 更新

现在提供了以下 Ignition 更新:

  • RHCOS 现在支持 Ignition 配置规格 3.2.0。这个版本支持磁盘分区调整大小、LUKS 加密存储和 gs:// URL。
  • 在非默认 AWS 分区中执行时,如 GovCloud 或 AWS China,Ignition 现在会从同一分区获取 s3:// 资源。
  • Ignition 现在支持 AWS EC2 实例元数据服务版本 2(IMDSv2)。

1.3.1.6. 配置尝试获取 DHCP 租期时使用的超时值

在以前的版本中,RHCOS DHCP 内核参数无法正常工作,因为获取 DHCP 租期的时间会超过默认的 45 秒。在这个版本中,可以配置在试图获取 DHCP 租期时使用的超时值。如需更多信息,请参阅 BZ#1879094

1.3.1.7. RHCOS 支持多路径

RHCOS 现在支持主磁盘上的多路径,对硬件的故障有更强的抵抗力。您可以在多路径上设置 RHCOS,从而实现更高的主机可用性。如需更多信息,请参阅 BZ#1886229

重要

仅在机器配置中使用内核参数启用多路径,如文档所述。不要在安装过程中启用多路径。

如需更多信息,请参阅在 RHCOS 上使用内核参数启用多路径

重要

要在 IBM Z 和 LinuxONE 上启用多路径,在安装过程中需要额外的步骤。

如需更多信息,请参阅创建 Red Hat Enterprise Linux CoreOS(RHCOS)机器

1.3.1.8. 从 Instance Metadata Service Version 2(IMDSv2)获取 AWS 配置

Ignition 现在支持从 Instance Metadata Service Version 2(IMDSv2)获取 AWS 上的配置。在这个版本中,AWS EC2 实例可以在禁用 IMDSv1 的情况下创建,因此需要 IMDSv2 从实例用户数据中读取 Ignition 配置。现在,Ignition 可以从实例用户数据读取其配置,无论 IMDSv1 是否启用。如需更多信息,请参阅 BZ#1899220

1.3.1.9. qemu 客户机代理现在包括在 RHCOS 中

现在,RHCOS 中默认包括 Qemu 客户机代理。在这个版本中,通过向 RHV 管理接口报告有关 RHCOS 节点的有用信息,Red Hat Virtualization(RHV)管理员可以查看有关 RHCOS 节点的更详细的信息。如需更多信息,请参阅 BZ#1900759

1.3.2. 安装和升级

1.3.2.1. 将集群安装到 AWS C2S Secret 区域

现在,您可以在 Amazon Web Services(AWS)上将集群安装到 Commercial Cloud Services(C2S)Secret 区域。由于 C2S 区域没有红帽发布的 RHCOS AMI,您必须上传属于该区的自定义 AMI。您还需要在集群安装过程中将 C2S 的 CA 证书包括在 install-config.yaml 文件的 additionalTrustBundle 字段中。部署到 C2S Secret 区域的集群无法访问互联网,因此您必须配置私有镜像 registry。

重要

由于当前 OpenShift Container Platform 的限制,目前还无法在安装到 AWS C2S Secret 区域的集群中使用 AWS 安全令牌服务(STS)。这包括使用 C2S Access Portal(CAP)提供的临时凭证。

安装程序不支持销毁部署到 C2S 区域的集群,您必须手动删除集群的资源。

如需更多信息,请参阅 AWS 政府和 secret 区域

1.3.2.2. 使用个人加密密钥在 GCP 上安装集群

现在,您可以在 Google Cloud Platform(GCP)上安装集群,并使用个人加密密钥来加密虚拟机和持久性卷。这可以通过在 install-config.yaml 文件中设置 controlPlane.platform.gcp.osDisk.encryptionKeycompute.platform.gcp.osDisk.encryptionKeygcp.defaultMachinePlatform.osDisk.encryptionKey 项来实现。

1.3.2.3. 使用裸机在 RHOSP 上安装集群

现在,您可以使用裸机在自己的 Red Hat OpenStack Platform(RHOSP)基础架构上安装集群。集群可以同时在裸机上运行 control plane 和计算机器,或只运行计算机器。如需更多信息,请参阅使用裸机部署集群

使用 Kuryr 的集群不支持此功能。

1.3.2.4. 改进了安装时的 RHOSP 要求验证

OpenShift Container Platform 安装程序现在在尝试在 RHOSP 上安装集群前执行额外的验证。这些新验证包括:

  • 资源配额
  • 浮动 IP 地址重复
  • 自定义集群操作系统镜像可用性

1.3.2.5. RHOSP 上新计算机器的自定义子网

现在,您可以使用您选择的网络和子网在 RHOSP 上运行的集群中创建计算机器。

1.3.2.6. 更轻松地访问 RHOSP 用户置备的基础架构 playbook

现在,使用安装文档中的脚本打包了在您自己的 RHOSP 基础架构上安装集群的 Ansible playbook。

1.3.2.7. 支持 RHOSP 上的 QEMU 客户机代理

现在您可以在安装过程中启用 QEMU 客户机代理支持。

1.3.2.8. 为 RHOSP 上的集群增加持久性卷限制

现在,您可以将节点配置为在安装过程中在 RHOSP 的集群中具有超过 26 个持久性 Cinder 卷。

1.3.2.9. 在 install-config.yaml 文件中弃用 computeFlavor 属性

install-config.yaml 文件中使用的 computeFlavor 属性已弃用。作为替代,您可以在 platform.openstack.defaultMachinePlatform 属性中配置机器池类型(flavor)。

1.3.2.10. 为带有安装程序置备的基础架构的集群的 bootstrap 主机使用静态 DHCP 保留

在以前的 OpenShift Container Platform 版本中,您无法为使用安装程序置备的基础架构的裸机安装的 bootstrap 主机分配静态 IP 地址。现在,您可以指定 bootstrap 虚拟机使用的 MAC 地址,即您可以为 bootstrap 主机使用静态 DHCP 保留。如需更多信息,请参阅 BZ#1867165

1.3.2.11. 安装程序置备安装的改进

现在,裸机节点上的安装程序置备安装的安装程序会自动创建一个存储池来存储安装过程中所需的相关数据文件,如 ignition 文件。

在裸机节点上安装程序置备安装的安装程序提供了一组问题,要求用户回答一些问题,并使用适当的默认值生成 install-config.yaml 文件。您可以使用生成的 install-config.yaml 文件来创建集群,或者在创建集群前手动编辑该文件。

1.3.2.12. 安装程序置备的集群可将 DHCP 租期转换为静态 IP 地址

使用安装程序置备安装在裸机集群中部署的集群节点可使用静态 IP 地址部署。要部署集群以便节点使用静态 IP 地址,请配置 DHCP 服务器来为集群节点提供无限租期。当安装程序置备完每个节点后,分配程序脚本将在每个置备的节点上执行,并使用 DHCP 服务器提供的同一静态 IP 地址将 DHCP 租期转换为静态 IP 地址。

1.3.2.13. 如果机器配置池被降级,则立即阻止更新

如果机器配置池(MCP)处于 degraded 状态,Machine Config Operator(MCO)现在会将它的 Upgradeable 报告为 False。现在,在所有机器配置池都健康前,您将无法在次版本中执行更新(如从 4.7 升级到 4.8)。在以前的版本中,在一个降级的机器配置池中,Machine Config Operator 不会报告其 Upgradeable 状态为 false。因此,更新被允许,但最终会在更新 Machine Config Operator 时因为降级的机器配置池而失败。在 z-stream 版本中(例如从 4.7.1 到 4.7.2)没有对这个行为的改变。因此,您应该在执行 z-stream 更新前检查机器配置池状态。

1.3.3. Web 控制台

1.3.3.1. Web 控制台本地化

Web 控制台现在本地化,为全球用户提供语言支持。目前支持英语、日语和简体中文。显示的语言根据您的浏览器设置决定,但您可以选择语言来覆盖浏览器默认选项。在 User 下拉菜单中,选 Language preferences 来改变您的语言设置。现在,支持本地化的日期和时间。

1.3.3.2. 快速开始指南

快速开始是用户任务的指导教程。在 Web 控制台中,您可以在 Help 菜单下快速启动访问。它们在使用应用程序、Operator 或其他产品时特别有用。

如需更多信息,请参阅 web 控制台中创建快速启动指南

1.3.3.3. Insights 插件

Insights 插件现在集成到 OpenShift Container Platform Web 控制台中。深入了解信息包括集群健康数据,如问题的总数以及问题的总风险。风险被标记为 CriticalImportantModerateLow。您可以快速导航到 Red Hat OpenShift Cluster Manager,以了解更多有关问题和如何修复它们的详细信息。

1.3.3.4. Developer Perspective (开发者视角)

  • 控制台现在提供了一个可扩展的机制,允许 Red Hat Operator 构建并打包其自身的用户界面扩展控制台。通过这个功能,客户和 Operator 还可以添加自己的快速启动功能。现在,添加了来自 AdministratorDeveloper 视角的提示、过滤和访问权限,以便快速启动,并使相关内容更易用。
  • 现在,您可以快速搜索通过拓扑 ListGraph 视图进行分组的工作负载和应用程序。
  • 现在提供了用户首选项的持久性存储,因此,当用户从一个机器或浏览器移动到另一个机器或浏览器时,会获得一致性的体验。
  • 如果您在集群中安装了 OpenShift GitOps Operator,可以使用 Environments 视图中的 Argo CD 链接导航到 Argo CD 用户界面。
  • 可用性增强,如 in-context 菜单映射到 Developer Catalog,增加了使用 FormYAML 选项来更新 Pipelines、Helm 和 Event Sources 配置的功能。
  • 现在,在 Developer Catalog 中为特定服务(如 Operator Backed)、Helm、Builder Image、Template 和 Event Source 等服务增加了查看过滤条目的功能。
  • 在集群中安装 Quay Container Security Operator 后:

    • 您可以查看所选项目的以下漏洞信息:

      • 漏洞和有漏洞镜像的总计数,
      • 基于严重性的、所有存在安全漏洞镜像的数量,
      • 可修复的漏洞数量,
      • 每个存在安全漏洞镜像会影响到的 pod 数量
    • 您可以查看漏洞的严重性详情,并启动存储在该存储库中漏洞镜像清单的 Quay 用户界面,以获取有关该漏洞的更多详情。
  • 在集群中安装 OpenShift Virtualization Operator 后,您可以选择 +Add 视图中的 Virtual Machines 选项,然后使用 Developer Catalog 中的模板来创建虚拟机。
  • 现在,web 终端的可用性有所提高:

    • 无论用户权限如何,所有用户都可以在控制台上访问 Web 终端。
    • 当 Web 终端长时间不活跃时,它会停止,并为用户提供重启的选项。
  • 现在,管道工作流已被改进:

    • 与默认的构建配置系统相比,现在的管道创建过程可以更好地使用管道。当使用 Import from git 工作流时,构建配置默认不再与 Pipelines 一起创建,管道会在创建应用程序时立即启动。
    • 现在,您可以在 Pipeline builder 页中使用 Pipeline builder 选项或 YAML view 选项来配置管道。您还可以使用 Operator 安装的、可重复使用的代码片断和样本来创建详细的管道。
    • PipelineRun 页面现在包含一个 TaskRuns 标签页,该标签页列出了关联的任务运行。您可以点击所需的任务运行来查看任务运行和调试管道的详情。
    • 现在,您可以在 Pipeline Details 页面中看到管道的以下指标:管道运行持续时间、任务运行时间、每天运行的管道数量以及每天的管道成功比例。
    • 现在,Pipeline Run detailsTask Run details 页中包括了一个 Events 标签页,它显示了特定 PipelineRun 或 TaskRun 的事件。
  • 现在,无服务器(serverless)的可用性已被改进:

    • 您可以从 Administrator 视角访问 ServingEventing 页面,并使用控制台创建无服务器组件。
    • 您可以使用事件源创建工作流创建 Camel 连接器。
  • Helm Chart 的可用性现已提高。

    • 作为集群管理员,您可以:

      • 添加或删除 Chart 仓库。
      • 删除了使用 Helm chart 的功能。
      • 使用快速入门来了解如何管理 Helm Chart 仓库。
    • 作为开发者,您可以:

      • 可以参阅目录中 Chart 卡上的 Chart 存储库名称,以便区分名称相同但来自不同 chart 存储库的 chart。
      • 在卡的目录级别中了解更多有关 chart 的信息。
      • 如果配置了多个存储库,可以按 Chart 存储库过滤目录。

1.3.3.5. IBM Z 和 LinuxONE

在这个版本中,IBM Z 和 LinuxONE 与 OpenShift Container Platform 4.7 兼容。请参阅 在 IBM Z 和 LinuxONE 上使用 z/VM 安装集群,或在受限网络中的 IBM Z 和 LinuxONE 中使用 z/VM安装集群

显著改进

IBM Z 和 LinuxONE 中的 OpenShift Container Platform 4.7 支持以下新功能:

  • IBM Z 和 LinuxONE 上的、用户置备安装的 OpenShift Container Platform 4.7 支持 RHEL 8.3 或更高版本的 KVM 作为的虚拟机监控程序(hypervisor)。有关安装说明,请参阅在 IBM Z 和 LinuxONE 上使用 RHEL KVM 安装集群
  • 多路径(Multipathing)
  • OpenShift Pipelines TP
  • OpenShift Service Mesh
  • 初始安装 OpenShift Container Platform 4.7 的 OVN-Kubernetes
  • 使用 Fibre Channel 持久性存储
  • 使用 Raw Block 的持久性存储
  • SCSI 磁盘中的 z/VM 模拟 FBA 设备
支持的功能

IBM Z 和 LinuxONE 也支持以下功能:

  • CodeReady Workspaces
  • 开发人员 CLI - odo
  • 使用 iSCSI 的持久性存储
  • 使用本地卷的持久性存储(本地存储 Operator)
限制

请注意,OpenShift Container Platform 对 IBM Z 和 LinuxONE 有如下限制:

  • 用于 IBM Z 的 OpenShift Container Platform 不包括以下技术预览功能:

    • 精度时间协议 (PTP) 硬件
    • CSI 卷快照
  • 以下 OpenShift Container Platform 功能不被支持:

    • 日志转发
    • OpenShift Virtualization
    • CodeReady Containers (CRC)
    • OpenShift Metering
    • Multus CNI 插件
    • FIPS 加密
    • 加密数据存储在 etcd 中
    • 使用机器健康检查功能自动修复损坏的机器
    • 在 OpenShift Container Platform 部署过程中启用 Tang 模式磁盘加密。
    • OpenShift Serverless
    • Helm 命令行界面 (CLI) 工具
    • 在节点上控制过量使用和管理容器密度
    • etcd 集群 Operator
    • CSI 卷克隆
    • NVMe
    • 4K FCP 块设备
  • worker 节点必须运行 Red Hat Enterprise Linux CoreOS(RHCOS)。
  • 必须使用 NFS 或其他支持的存储协议来置备持久性共享存储
  • 必须使用本地存储(如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO)来置备持久性非共享存储。
  • 以下功能仅适用于 IBM Z 上的 OpenShift Container Platform 4.7:

    • IBM System Z /LinuxONE 为附加的 ECKD 存储的虚拟机启用了 HyperPAV

1.3.3.6. IBM Power 系统

在这个版本中,IBM Power Systems 与 OpenShift Container Platform 4.7 兼容。有关安装说明,请参阅在 IBM Power Systems 上安装集群,或在受限网络中在 IBM Power Systems 上安装集群。

显著改进

使用 OpenShift Container Platform 4.7 的 IBM Power Systems 支持以下新功能:

  • 多路径(Multipathing)
  • OpenShift Pipelines TP
  • OpenShift Service Mesh
  • 初始安装 OpenShift Container Platform 4.7 的 OVN-Kubernetes
  • 使用 Fibre Channel 持久性存储
  • 使用 Raw Block 的持久性存储
  • 4K 磁盘支持
支持的功能

IBM Power 系统还支持以下功能:

  • 目前,支持四个 Operator:

    • Cluster-Logging-Operator
    • Cluster-NFD-Operator
    • Elastic Search-Operator
    • Local Storage Operator
  • 开发人员 CLI - odo
  • CodeReady Workspaces
  • 使用 iSCSI 的持久性存储
  • HostPath
限制

OpenShift Container Platform 在 IBM Power 上会有以下限制:

  • 以下 OpenShift Container Platform 功能不被支持:

    • OpenShift Metering
    • OpenShift Serverless
    • OpenShift Virtualization
    • CodeReady Containers (CRC)
  • worker 节点必须运行 Red Hat Enterprise Linux CoreOS(RHCOS)。
  • 持久性存储必须是使用本地卷、网络文件系统(NFS)或 Container Storage Interface(CSI)的 Filesystem 类型

1.3.4. 安全性与合规性

1.3.4.1. 管理用户拥有的 OAuth 访问令牌

用户现在可以管理自己的 OAuth 访问令牌。这允许用户查看其令牌并删除任何超时或不再需要的令牌。

如需更多信息,请参阅管理用户拥有的 OAuth 访问令牌

1.3.4.2. Cloud Credential Operator 支持在安装后删除 GCP 根凭证

现在,您可以删除或轮转 Cloud Credential Operator 在 Mint 模式中使用的 GCP admin 级别的凭证。这个选项需要在安装过程中存在管理员级别的凭证,但凭证不会永久存储在集群中,且无需长期存在。

1.3.4.3. Compliance Operator 的 CIS Kubernetes Benchmark 配置集

现在,您可以使用 Compliance Operator 执行互联网安全中心(CIS)Kubernetes Benchmark 检查。OpenShift Container Platform 的 CIS 配置集基于 CIS Kubernetes 检查。

在发布 CIS OpenShift Container Platform Benchmark 前,可以参阅 Red Hat OpenShift Container Platform Hardening Guide

1.3.4.4. 安装程序置备的集群的安全引导支持

现在,在裸机节点上使用安装程序置备的基础架构部署集群时,可以使用安全引导机制部署集群。使用安全引导部署集群需要 UEFI 引导模式和 Red Fish Virtual Media。您不能在安全引导时使用自生成的密钥。

1.3.4.5. Advanced Cluster Management 2.2 的集成

Red Hat Advanced Cluster Management 2.2 现在与 Compliance Operator 集成。

1.3.5. 网络

1.3.5.1. 扩展了对从 OpenShift SDN 集群网络供应商迁移到 OVN-Kubernetes 集群网络供应商的平台支持

现在,在以下平台上的安装程序置备的集群中支持迁移至 OVN-Kubernetes 集群供应商

  • 裸机硬件
  • Amazon Web Services (AWS)
  • Google Cloud Platform (GCP)
  • Microsoft Azure
  • Red Hat OpenStack Platform (RHOSP)
  • VMware vSphere

1.3.5.2. API 服务器、负载均衡器和节点的网络连接健康检查

为了帮助诊断集群网络连接问题,Cluster Network Operator(CNO)现在运行了一个连接性检查控制器来在集群中执行连接健康检查。连接测试的结果可在 openshift-network-diagnostics 命名空间中的 PodNetworkConnectivityCheck 对象中找到。如需更多信息,请参阅验证到端点的连接

1.3.5.3. OVN-Kubernetes 出口防火墙支持 DNS 规则

在配置出口防火墙规则时,现在可以使用 DNS 域名 而不是 IP 地址。除了 OVN-Kubernetes 集群网络供应商出口防火墙实现中的 DNS 支持外,OpenShift SDN 集群网络供应商出口防火墙也可以实现 parity。

1.3.5.4. 用于在容器中在 DPDK 模式中与 SR-IOV 虚拟功能交互的程序库

对于与 Data Plane Development Kit(DPDK)模式中的 SR-IOV 虚拟功能(VF)交互的容器,app-netutil 库现在提供以下功能: GetCPUInfo()GetHugepages()GetInterfaces()。如需更多信息,请参阅 DPDK 库以用于容器应用程序

1.3.5.5. 出口路由器 CNI(技术预览)

egress router CNI 插件以技术预览的形式引进。您可以使用插件以重定向模式部署出口路由器。与 OpenShift SDN 相比,这个出口路由器为 OVN-Kubernetes 提供奇偶校验,但只适用于重定向模式。该插件不会在 HTTP 代理或 DNS 代理模式下执行,这与 OpenShift SDN 实现不同。如需更多信息,请参阅在重定向模式下部署出口路由器 Pod

1.3.5.6. OVN-Kubernetes IPsec 支持 pod 间加密流量

安装集群时,您可以使用启用 IPsec 配置 OVN-Kubernetes 集群网络供应商。通过启用 IPsec,pod 间的所有集群网络流量都通过加密的 IPsec 隧道发送。您不能在集群安装后启用或禁用 IPsec。

IPsec 隧道不用于配置为使用主机网络的 pod 间的网络流量。但是,主机网络上的 pod 发送的流量并由使用集群网络的 pod 接收的流量会使用 IPsec 隧道。如需更多信息,请参阅 IPsec 加密配置

1.3.5.7. 用于使用 Red Hat OpenStack Platform(RHOSP)部署的 SR-IOV 网络节点策略增强

SR-IOV Network Operator 被改进,在 SR-IOV 网络节点策略的自定义资源中支持额外的字段 spec.nicSelector.netFilter。您可以使用新字段通过网络 ID 指定 RHOSP 网络。如需更多信息,请参阅配置 SR-IOV 网络设备

1.3.5.8. 对没有 pod 选择器的服务的 RHOSP Kuryr 支持

在 RHOSP 上运行并使用 Kuryr 的集群, 现在支持没有指定 pod 选择器的服务。

1.3.5.9. 调整 HTTP 标头名称

如果旧应用程序对 HTTP 标头名称中使用大小写敏感,请使用 Ingress Controller spec.httpHeaders.headerNameCaseAdjustments API 字段进行调整来适应旧的应用程序,直到它们被改变。

OpenShift Container Platform 将更新至 HAProxy 2.2(默认情况下 HTTP 标头名称是小写),例如,将 Host: xyz.com 改为 host: xyz.com。当 HAProxy 2.2 可用时,在升级 OpenShift Container Platform 前,确保使用 spec.httpHeaders.headerNameCaseAdjustments 来添加必要的配置。

1.3.5.10. Kubernetes NMState Operator(技术预览)

OpenShift Container Platform 4.7 使用 Kubernetes NMState Operator 作为技术预览功能在集群节点的第二个网络接口上提供安装后基于状态的网络配置。如需更多信息,请参阅使用 Kubernetes NMState(技术预览)

注意

配置必须在调度 pod 前进行。

1.3.6. 存储

1.3.6.1. 使用 CSI 卷快照的持久性存储已正式发布

当使用支持卷快照的 CSI 驱动程序时,您可以使用 Container Storage Interface(CSI)创建、恢复和删除卷快照。此功能之前在 OpenShift Container Platform 4.4 中作为技术预览功能提供,现在在 OpenShift Container Platform 4.7 中正式发布并启用。

如需更多信息,请参阅使用 CSI 卷快照

1.3.6.2. 使用 GCP PD CSI Driver Operator 的持久性存储(技术预览)

Google Cloud Platform(GCP)CSI 驱动程序会在 GCP 环境中自动部署和管理,允许您在不需要手动安装驱动程序的情况下动态置备这些卷。管理此驱动程序的 GCP PD CSI Driver Operator 只是一个技术预览。

如需更多信息,请参阅 GCP PD CSI Driver Operator

1.3.6.3. 使用 OpenStack Cinder CSI Driver Operator 的持久性存储

现在,您可以使用 CSI 为 OpenStack Cinder 使用 CSI 驱动程序置备持久性卷。

如需更多信息,请参阅 OpenStack Cinder CSI Driver Operator

1.3.6.4. vSphere 问题检测器(vSphere Problem Detector) Operator

vSphere 问题检测程序 Operator 会定期检查在 vSphere 环境中安装的 OpenShift Container Platform 集群的功能。Cluster Storage Operator 默认安装 vSphere Problem Detector Operator,允许您在 vSphere 集群上快速识别和排除常见的存储问题,如配置和权限。

1.3.6.5. Local Storage Operator 现在收集自定义资源

Local Storage Operator 现在包含 must-gather 镜像,允许您为诊断目的收集特定于此 Operator 的自定义资源。如需更多信息,请参阅 BZ#1756096

1.3.6.6. 已删除 AWS EFS(技术预览)功能的外部置备程序

Amazon Web Services(AWS)Elastic File System(EFS)技术预览功能已被删除,且不再被支持。

1.3.7. 容器镜像仓库(Registry)

1.3.7.1. 开放容器计划镜像支持

OpenShift Container Platform 内部 registry 和镜像流现在支持 Open Container Initiative(OCI)镜像。您可以通过与使用 Docker schema2 镜像相同的方式使用 OCI 镜像。

1.3.7.2. 新的镜像流指标

在这个功能增强中,可以了解客户端是否使用 docker registry v1 协议利用镜像流导入,它会将 Operator 指标导出到 telemetry。与协议 v1 相关的指标数据现在包括在 telemetry 中。如需更多信息,请参阅 BZ#1885856

1.3.8. Operator 生命周期

1.3.8.1. 安全 Operator 升级

要使升级更加稳定,建议 Operator 主动地与要更新的服务进行通信。如果一个服务正在处理关键操作,如在 OpenShift Virtualization 中实时迁移虚拟机(VM)或恢复数据库,则此时升级相关 Operator 可能会不安全。

在 OpenShift Container Platform 4.7 中,Operator 可以利用新的 OperatorCondition 资源与 Operator Lifecycle Manager(OLM)交流存在一个不可升级状态的信息,如相关的服务正在执行关键操作时。不可升级状态会延迟任何待处理的 Operator 升级(无论是自动还是手动批准),直到 Operator 完成操作并报告升级就绪状态。

如需有关 OLM 如何使用此通信方式的更多信息,请参阅 Operator 条件

如需了解以集群管理员身份覆盖 OLM 中的状态的详细信息,请参阅管理 Operator 条件

如需了解将项目更新为Operator 开发人员以使用通信频道的详细信息,请参阅启用 Operator 条件

1.3.8.2. 将 pull secret 添加到目录源中

如果与 Operator Lifecycle Manager(OLM)管理的 Operator 相关的某些镜像托管在需要经过身份验证的容器镜像 registry(也称为私有 registry)中时,在默认情况下,OLM 和 OperatorHub 将无法拉取镜像。要启用访问权限,可以创建一个包含 registry 验证凭证的 pull secret。

通过在目录源中引用一个或多个 secret,可以拉取其中的一些所需镜像以便在 OperatorHub 中使用,其他镜像则需要更新全局集群 pull secret 或命名空间范围的 secret。

如需了解更多详细信息,请参阅从私有 registry 访问 Operator 镜像

1.3.8.3. 将 Operator 目录的内容镜像(mirror)到容器镜像 registry

集群管理员可以使用 oc adm catalog mirror 命令将 Operator 目录的内容镜像(mirror)到容器镜像 registry 中。此增强更新了 oc adm catalog mirror 命令,现在还会将操作使用的索引镜像镜像(之前是一个需要 oc image mirror 命令的单独步骤)。如需更多信息,请参阅 BZ#1832968

1.3.8.4. 创建新安装计划以获得更好的体验

删除一个等待用户批准的 InstallPlan 对象会导致 Operator 处于不可恢复的状态,因为无法完成 Operator 安装。此增强更新了 Operator Lifecycle Manager(OLM)以在以前待处理的项目被删除时创建新的安装计划。现在,用户可以批准新的安装计划,并开始安装 Operator。(BZ#1841175)

1.3.8.5. 通过首先将镜像镜像(mirror)到本地文件来将镜像镜像到断开连接的 registry

此增强更新了 oc adm catalog mirror 命令,通过首先将镜像镜像到本地文件来支持将镜像镜像到断开连接的 registry 中。例如:

$ oc adm catalog mirror <source_registry>/<repository>/<index_image>:<tag> file:///local/index

然后,您可以将本地 v2/local/index 目录移到断开连接的网络内的位置,并将本地文件镜像到断开连接的 registry 中:

$ oc adm catalog mirror file:///v2/local/index <disconnected_registry>/<repository>

如需更多信息,请参阅 BZ#1841885

1.3.9. Operator 开发

1.3.9.1. operator SDK 现在被完全支持

从 OpenShift Container Platform 4.7 开始,Operator SDK 是一个完全支持的红帽服务。随着 Operator SDK v1.3.0 的下游发行版本,现在可以可直接从红帽下载官方支持的 Operator SDK 工具。

Operator SDK CLI 可以帮助 Operator 开发人员和独立的软件供应商(ISV)合作伙伴编写 Operator,这些 Operator 可以为用户提供更好的用户体验,并与 OpenShift 发行版和 Operator Lifecycle Manager(OLM)兼容。

Operator SDK 可让具有集群管理员权限的 Operator 作者访问基于 Kubernetes 的集群(如 OpenShift Container Platform),用以开发基于 Go、Ansible 或 Helm 的自己的 Operator。对于基于 Go 的 Operator,Kubebuilder 被嵌入到 SDK 中作为构建解决方案。这意味着现有的 Kubebuilder 项目可以和 SDK 一起使用,并可以继续正常工作。

以下是 Operator SDK 的一些主要特性:

对 Operator Bundle Format 的原生支持
Operator SDK 包括对 OpenShift Container Platform 4.6 中引入的 Operator Bundle Format 的原生支持。为 OLM 打包 Operator 所需的所有元数据均会自动生成。Operator 开发人员可以使用此功能直接从 CI 管道打包并测试其 Operator 以 OLM 和 OpenShift 发行版。
Operator Lifecycle Manager 集成
Operator SDK 为开发人员提供了从其工作站使用 OLM 测试 Operator 的简洁体验。您可以使用 run bundle 子命令在集群中运行 Operator,并测试在由 OLM 管理时 Operator 的行为是否正确。
Webhook 集成
Operator SDK 支持与 OLM 集成的 webhook,简化了安装具有准入或自定义资源定义(CRD)转换 Webhook 的 Operator。此功能使集群管理员需要手动注册 webhook、添加 TLS 证书和设置证书轮转。
验证 scorecard
Operator 作者应验证其 Operator 已正确打包且没有语法错误。要验证 Operator,Operator SDK 提供的 scorecard 工具将首先创建任何相关自定义资源(CR)和 Operator 所需的所有资源。然后,scorecard 在 Operator 部署中创建代理容器,用于记录对 API 服务器的调用并运行一些测试。执行的测试还会检查 CR 中的部分参数。
升级就绪度报告
Operator 开发人员可以使用 Operator SDK 来利用代码构建对 Operator 状况的支持,包括向 OLM 报告就绪状态
触发 Operator 升级
您可以通过在 Operator SDK 中使用 OLM 集成来快速测试 Operator 升级,而无需手动管理索引镜像和目录源。run bundle-upgrade 子命令通过为以后的版本指定捆绑包镜像来自动触发已安装的 Operator 以升级到更新的版本。
注意

operator SDK v1.3.0 支持 Kubernetes 1.19。

如需有关 Operator SDK 的完整文档,请参阅 Operators

1.3.10. Builds

将 buildah 版本输出到构建日志

在当前版本中,当 OpenShift Container Platform 执行构建且日志级别为 5 或更高级别时,集群会将 buildah 版本信息写入构建日志。这些信息可帮助红帽工程团队重现程序漏洞报告。在以前的版本中,构建日志中没有此版本信息。

协助镜像的 Cluster Samples Operator

OpenShift Container Platform 现在会在 openshift-cluster-samples-operator 命名空间中创建一个名为 imagestreamtag-to-image 的配置映射,它包含每个镜像流标签的条目(填充镜像)。您可以使用此配置映射作为导入镜像流所需的镜像的引用。

如需更多信息,请参阅用于镜像的 Cluster Samples Operator 帮助

1.3.11. 机器 API

1.3.11.1. 在 AWS 支持的实例上运行的机器集

在 AWS 上运行的机器集现在支持 Dedicated 实例。通过在机器设置 YAML 文件中的 providerSpec 字段中指定一个专用租户来配置 Dedicated Instances。

如需更多信息,请参阅部署 Dedicated 实例的机器设置

1.3.11.2. 在 GCP 上运行的机器集支持客户管理的加密密钥

现在,您可以为在 GCP 上运行的机器集启用客户管理的密钥加密。用户可以在机器设置 YAML 文件中的 providerSpec 字段下配置加密密钥。密钥用于对数据加密密钥进行加密,而不是加密客户的数据。

如需更多信息,请参阅启用机器集的客户管理的加密密钥

1.3.11.3. 机器 API 组件遵循集群范围代理设置

Machine API 现在遵循集群范围的代理设置。当配置了集群范围的代理时,所有 Machine API 组件都会通过配置的代理路由流量。

1.3.11.4. 有些机器配置更新不再导致自动重启

Machine Config Operator(MCO)不再会在以下机器配置更改时自动重新引导所有对应的节点:

  • 在机器配置的 spec.config.ignition.passwd.users.sshAuthorizedKeys 参数中更改 SSH 密钥
  • openshift-config 命名空间中更改全局 pull secret 或 pull secret
  • /etc/containers/registries.conf 文件的更改,如添加或编辑一个 ImageContentSourcePolicy 对象

如需更多信息,请参阅了解 Machine Config Operator

1.3.11.5. BareMetalHost API 支持软关闭

在 OpenShift Container Platform 4.6 中,当 BareMetalHost API 中的在线标记设置为 false 时,Bare Metal Operator 会“硬”关闭节点。 也就是说,它在不给出操作系统或工作负载时间响应的情况下关闭电源。在 OpenShift Container Platform 4.7 及后续版本中,API 会向节点的操作系统发送信号,提示其关闭,然后等待节点以"软"模式关闭。如果操作系统在三分钟内没有关闭节点,Bare Metal Operator 会执行"硬"关闭。

OpenShift Container Platform 4.8 为补救目的执行"硬"关闭,比如节点存在已知问题。为补救执行"硬"关闭的行为将返回到 OpenShift Container Platform 4.7。

1.3.12. 节点

1.3.12.1. descheduler 已正式发布

descheduler 现已正式发布。Descheduler 提供了驱除正在运行的 pod 的功能,以便可将 pod 重新调度到更合适的节点上。您可以启用一个或多个 descheduler 配置集:

  • AffinityAndTaints:驱除违反了 pod 间的反关联性、节点关联性和节点污点的 pod。
  • TopologyAndDuplicates:驱除 pod 以尽量在节点间平均分配类似的 pod 或相同拓扑域的 pod。
  • LifecycleAndUtilization:驱除长时间运行的 pod,并平衡节点之间的资源使用情况。
注意

在 GA 时,您可以启用 descheduler 配置集并配置 descheduler 间隔。在技术预览期间可用的其他设置都不再可用。

如需更多信息,请参阅使用 descheduler 驱除 pod

1.3.12.2. 调度程序配置集(技术预览)

现在,您可以指定一个调度程序配置集来控制 pod 如何调度到节点上。这是配置调度程序策略的替代。可用的调度程序配置集如下:

  • LowNodeUtilization:此配置集尝试在节点间平均分配 pod,以获得每个节点的资源用量较低。
  • HighNodeUtilization:此配置集会尽量将 pod 放置到尽量少的节点中,以最小化每个节点用量。
  • NoScoring:这是一个低延迟配置集,通过禁用所有分数(score)插件来实现最快的调度周期。这可能会为更快的调度决策提供更好的要求。

如需更多信息,请参阅使用调度程序配置集调度 pod

1.3.12.3. 内存使用率自动缩放 GA

现在,根据内存使用率自动缩放已被正式发布(GA)。您可以创建 pod 横向自动扩展自定义资源,以自动扩展与部署配置或复制控制器关联的 pod,以维护您指定的平均内存使用率(可以是一个直接值,也可以是请求的内存百分比)。如需更多信息,请参阅根据内存使用率创建 pod 横向自动扩展对象

1.3.12.4. 对于 RHOSP 上的集群自动缩放至零台机器

在 RHOSP 上运行的集群现在可以自动缩放为零台机器。

1.3.12.5. 优先级类的非抢占选项(技术预览)

现在,您可以通过将 preemptionPolicy 字段设置为 Never,将优先级类配置为非抢占。具有此优先级类设置的 Pod 放置在较低优先级 pod 的调度队列中,但不抢占其他 pod。

如需更多信息,请参阅非抢占优先级类

1.3.12.6. 使用 CRI-O 为节点主机进程指定 CPU

CRI-O 现在支持为节点主机进程(如 kubelet、CRI-O 等)指定 CPU。通过在 crio.conf 文件中使用 infra_ctr_cpuset 参数,您可以为节点主机进程保留 CPU,以便 OpenShift Container Platform pod 在不需要这些 CPU 上运行其他进程的情况下运行需要保证 CPU 操作的 OpenShift Container Platform pod。如果 Pod 请求有保证的 CPU,则不需要与节点主机进程争用 CPU 时间。如需更多信息,请参阅 BZ#1775444

1.3.13. Red Hat OpenShift Logging

Cluster Logging 变为 Red Hat OpenShift Logging

在这个版本中,Cluster Logging 变为 Red Hat OpenShift Logging 版本 5.0。如需更多信息,请参阅 Red Hat OpenShift Logging 5.0 发行注记

1.3.14. 监控

1.3.14.1. 对规则更改的警报

OpenShift Container Platform 4.7 包含以下警报规则更改:

例 1.1. 对规则更改的警报

  • 添加了 AlertmanagerClusterCrashlooping 警报。如果集群中至少有一半 Alertmanager 实例处于 crashlooping 状态时,会发出关键警报通知。
  • 添加 AlertmanagerClusterDown 警报。如果集群中至少有一半 Alertmanager 实例停机,会发出关键警报通知。
  • 添加 AlertmanagerClusterFailedToSendAlerts 警报。如果集群中的所有 Alertmanager 实例都无法发送通知,会发出关键警报通知。
  • 添加 AlertmanagerFailedToSendAlerts 警报。如果 Alertmanager 实例无法发送通知,发出警告警报通知。
  • 添加了 etcdBackendQuotaLowSpace 警报。如果 etcd 集群的数据库大小超过 etcd 实例上定义的配额,会发出关键警报通知。
  • 添加了 etcdExcessiveDatabaseGrowth 警报。如果发现有大量的 etcd 写入,导致 etcd 实例在四小时的时间内数据库大小增加了 50%,会发送警告警报通知。
  • 添加了 etcdHighFsyncDurations 警报。如果一个 etcd 集群的 99% 的 fsync 持续时间都太高时,会发送关键警报通知。
  • 添加了 KubeletClientCertificateRenewalErrors 警报。如果 Kubelet 无法更新其客户端证书,发送警告警报通知。
  • 添加了 KubeletServerCertificateRenewalErrors 警报。如果 Kubelet 无法更新其服务器证书,发送警告警报通知。
  • 添加了 NTODegraded 警报。如果 Node Tuning Operator 降级,发送警告警报通知。
  • 添加了 NTOPodsNotReady 警报。如果节点上的特定 pod 没有就绪,发送警告警报通知。
  • 添加了 PrometheusOperatorNotReady 警报。如果 Prometheus Operator 实例未就绪,发送警告警报通知。
  • 添加了 PrometheusOperatorRejectedResources 警报。如果 Prometheus Operator 拒绝特定资源,发送警告警报通知。
  • 添加了 PrometheusOperatorSyncFailed 警报。如果 Prometheus Operator 控制器无法协调特定对象,发送警告警报通知。
  • 添加了 PrometheusTargetLimitHit 警报。如果因为有些提取配置超过目标限制,Prometheus 放弃了目标,发送警告警报通知。
  • 添加了 ThanosSidecarPrometheusDown 警报。如果 Thanos sidecar 无法连接到 Prometheus,发送关键警报通知。
  • 添加了 ThanosSidecarUnhealthy 警报。如果在指定时间段内 Thanos sidecar 不健康,发送关键警报通知。
  • 更新了 NodeClockNotSynchronising 警报,以防止在使用 chrony 时间服务 chronyd 的环境中出现假的正数。
  • NodeNetworkReceiveErrs 警报进行了更新,以确保当只报告少量错误时,警报不会触发。该规则现在使用错误与数据包总数的比例,而不是错误的绝对数量。
  • NodeNetworkTransmitErrs 警报进行了更新,以确保当只报告少量错误时,警报不会触发。该规则现在使用错误与数据包总数的比例,而不是错误的绝对数量。
  • 带有严重性级别 warningcriticaletcdHighNumberOfFailedHTTPRequests 警告会被删除。如果 etcd 实例上有高百分比的 HTTP 请求失败,这些警报就会触发。
注意

红帽不保证指标、记录规则或警报规则的向后兼容。

1.3.14.2. 监控堆栈组件和依赖项的版本更新

OpenShift Container Platform 4.7 包括对以下监控堆栈组件和依赖项的版本更新:

  • Prometheus Operator 现在为 0.44.1 版本。
  • Thanos 现在为 0.17.2 版本。

1.3.14.3. 不支持 Prometheus Operator 中的 AlertmanagerConfig CRD

不支持使用 Prometheus Operator 中的 AlertmanagerConfig 自定义资源定义(CRD)修改 Alertmanager 配置。

如需更多信息,请参阅监控的支持注意事项

1.3.14.4. 新的 API 性能监控仪表板

API Performance 仪表板现在可以通过 web 控制台获得。此仪表板可用于帮助解决 Kubernetes API 服务器或 OpenShift API 服务器的性能问题。您可以通过导航到 MonitoringDashboards 并选择 API Performance 仪表板,从 Administrator 视角中的 Web 控制台访问 API Performance 仪表板。

此仪表板提供 API 服务器指标,例如:

  • 请求持续时间
  • 请求率
  • 请求终止
  • 进行中的请求
  • 请求被终止
  • etcd 请求持续时间
  • etcd 对象计数
  • 长时间运行的请求
  • 响应状态代码
  • 响应大小
  • 优先级和公平

1.3.14.5. 命名空间(Pods)和 Pod Kubernetes 网络仪表板在 Grafana 中启用

Namespace(Pods)Pod Kubernetes 网络仪表板现在在 Grafana 中启用。您可以通过导航到 Monitoring → DashboardsGrafana UI,从 Administrator 视角中的 Web 控制台访问 Namespace(Pods)Pod 仪表板。

这些仪表板提供网络指标,例如:

  • 每个命名空间或每个 pod 的当前字节率
  • 每个命名空间或每个 pod 传输的字节率
  • 接收的带宽
  • 传输的带宽
  • 接收到的数据包的比例
  • 传输的数据包的比例
  • 接收到的数据包丢弃的比例
  • 发送数据包丢弃的比例

1.3.14.6. 用于裸机集群的硬件遥测的 hwmon 数据收集

hwmon 数据收集功能可用于硬件健康遥测,比如 CPU 温度和裸机集群的风扇速度。

1.3.14.7. Thanos Querier 的 loglevel 配置字段

现在您可以为调试等目的配置 Thanos Querier logLevel 字段。

1.3.14.8. 为监控用户定义的项目在 config-reloader 容器上删除了内存限值

对于 Prometheus 和 Thanos Ruler pod,内存限制从 openshift-user-workload-monitoring 命名空间中的 config-reloader 容器中删除。在以前的版本中,当容器使用的内存超过了定义的限制时,会出现 OOM 终止 config-reloader 容器的问题。现在,这个问题已解决。

1.3.14.9. 删除了用于监控您自己的服务的已弃用的技术预览配置

现在,启用了监控其自身服务的前一个技术预览配置已被删除,在 OpenShift Container Platform 4.7 中不被支持。techPreviewUserWorkload 字段从 cluster-monitoring-config ConfigMap 对象中删除,不再被支持。

如需了解更多与监控用户定义的项目相关的信息,请参阅了解监控堆栈

1.3.15. 扩展

1.3.15.1. 集群最大限制

针对 OpenShift Container Platform 4.7 的集群最大限制指导信息已更新。

使用 OpenShift Container Platform Limit Calculator 可以估算出您的环境的集群限制。

1.3.15.2. 测试来确定 CPU 延迟

作为 CNF-test 容器一部分的延迟测试提供了一种方式来测量隔离的 CPU 延迟是否低于请求的上限。

有关运行延迟测试的详情,请参阅运行延迟测试

1.3.15.3. Performance Addon Operator 中新的全局DisableIrqLoadBalancing 功能允许为保证的 pod CPU 禁用全局设备中断处理

Performance Addon Operator 通过将其划分为为集群和操作系统日常任务处理保留 CPU 以及为工作负载隔离隔离的 CPU 来管理主机 CPU。新的性能配置集 globallyDisableIrqLoadBalancing 字段可用来管理设备中断是否由隔离的 CPU 集处理。

新的 pod 注解 irq-load-balancing.crio.iocpu-quota.crio.iogloballyDisableIrqLoadBalancing 一起使用,用于定义是否为 pod 处理设备中断。配置后,CRI-O 仅在 pod 正在运行时禁用设备中断。

如需更多信息,请参阅管理设备中断处理以获得保证 pod 隔离的 CPU

1.3.15.4. 新的 VRF CNI 插件允许将二级网络分配给 VRF

现在提供了一个新的 VRF CNI 插件,供您为 VRF 分配额外网络。当使用 CNO 自定义资源的 rawConfig 配置创建二级网络并为其配置 VRF 时,为 pod 创建的接口与 VRF 关联。您还可以使用 VRF CNI 插件将 SR-IOV 网络分配给 VRF。

如需更多信息,请参阅将二级网络分配给 VRF将 SR-IOV 网络分配给 VRF

1.3.15.5. 为 CNF 启用了 xt_u32 端到端测试

xt_u32 是一个 iptables 内核模块,它允许基于任意内容进行数据包过滤。它可查看没有被其他 iptables 模块覆盖的标头或者特殊协议。

如需更多信息,请参阅为平台验证执行端到端测试

1.3.16. 开发者体验

1.3.16.1. Red Hat OpenShift GitOps(技术预览)

Red Hat OpenShift GitOps 1.0 技术预览发行版本引入了一个声明式方法,可为云原生应用程序实施持续部署。您可以使用 Red Hat OpenShift GitOps 遵循 GitOps 原则来管理集群配置,并在混合集群、多集群、Kubernetes 环境间自动化安全、可预测的、可追踪和可重复的应用程序交付。它使用 Argo CD 作为核心,并添加其他工具,以便团队在集群间实施 GitOps 工作流。如需更多信息,请参阅了解 OpenShift GitOps

1.3.17. Insights Operator

1.3.17.1. 深入了解 Operator 数据收集功能的增强

在 OpenShift Container Platform 4.7 中,Insights Operator 会收集以下附加信息:

  • 最顶层的 100 个 InstallPlan 条目用于识别无效的 Operator Lifecycle Manager(OLM)安装
  • 来自 Kubernetes 默认命名空间和 openshift* 内置命名空间的服务帐户
  • ContainerRuntimeConfigMachineConfigPools 配置文件,用以验证容器存储限制
  • 所有可用的 operator.openshift.io 控制窗格资源的配置文件,以标识处于非受管状态的 Operator
  • NetNamespaces 名称,包括它们的 netID 和 egress IP 地址
  • 所有安装的 Operator Lifecycle Manager Operator 列表,包括版本信息
  • 持久性卷定义(如果在 openshift-image-registry 配置中使用)
  • openshift-apiserver-operator 命名空间中出现特定的 pod 日志条目
  • openshift-sdn 命名空间中出现 sdn pod 的特定日志条目

通过这些额外的信息,红帽可以在 Red Hat OpenShift Cluster Manager 中提供改进的补救步骤。

1.3.18. 认证和授权

1.3.18.1. 使用 AWS 安全令牌服务(STS)为凭证运行 OpenShift Container Platform(技术预览)

现在,您可以配置 Cloud Credential Operator(CCO),以使用 Amazon Web Services Security Token Service(AWS STS)。当 CCO 配置为使用 STS 时,它会分配组件 IAM 角色,它提供短暂的、有限制权限的安全凭证。

如需更多信息,请参阅对 Amazon Web Services Secure Token Service(AWS STS)的支持