1.4. 新功能及功能增强

RHCOS 现在在 OpenShift Container Platform 4.8 中使用 Red Hat Enterprise Linux (RHEL) 8.4，以及 OpenShift Container Platform 4.7.24 及更高版本。这可让您获得最新的修复、功能和增强，以及最新的硬件支持和驱动程序更新。OpenShift Container Platform 4.6 是一个延长更新支持（EUS）版本，其整个生命周期中将继续使用 RHEL 8.2 EUS 软件包。

流元数据提供标准化的 JSON 格式，用于在 OpenShift Container Platform 安装过程中将元数据注入集群中。为改进自动化，新的 openshift-install coreos print-stream-json 命令提供了一种以可脚本、机器可读格式打印流元数据的方法。

对于用户置备的安装，openshift-install 二进制文件包含对经过测试用于 OpenShift Container Platform 的 RHCOS 引导镜像版本的引用，如 AWS AMI。现在，您可以使用 https://github.com/coreos/stream-metadata-go 官方 stream-metadata-go 库从 Go 程序解析流元数据。

如需更多信息，请参阅使用流元数据访问 RHCOS AMI。

OpenShift Container Platform 现在包含 Butane config transpiler，可协助生成和验证机器配置。现在，文档建议使用 Butane 为 LUKS 磁盘加密、引导磁盘镜像和自定义内核模块创建机器配置。

如需更多信息，请参阅使用 Butane 创建机器配置。

如果云管理员已经设置了自定义 /etc/chrony.conf 配置，RHCOS 不再默认在云平台上设置 PEERNTP=no 选项。否则，默认仍会设置 PEERNTP=no 选项。如需更多信息，请参阅 BZ#1924869。

现在，OpenShift Container Platform 4.8 或更高版本置备的节点支持在裸机安装过程中启用多路径。您可以通过在 coreos-installer install 命令中附加内核参数来启用多路径，以便安装的系统本身从第一次引导开始使用多路径。虽然安装后支持仍可通过机器配置激活多路径，但建议在安装过程中为从 OpenShift Container Platform 4.8 开始置备的节点启用多路径。

如需更多信息，请参阅在 RHCOS 上启用使用内核参数的多路径。

现在，您可以通过在 install-config.yaml 文件中定义 platform.azure.resourceGroupName 字段来定义一个已存在的资源组，以便在 Azure 上安装集群。此资源组必须为空，且仅适用于单个集群 ; 集群组件假定资源组中所有资源的所有权。

如果您将安装程序的服务主体范围限制到这个资源组，您必须确保您的环境中安装程序使用的所有其他资源都有必要的权限，如公共 DNS 区和虚拟网络。使用安装程序销毁集群会删除用户定义的资源组。

现在，您可以通过在 install-config.yaml 文件中设置 compute.platform.aws.iamRole 和 controlPlane.platform.aws.iamRole 字段来为机器实例配置集定义预先存在的 Amazon Web Services（AWS）IAM 角色。这可让您为 IAM 角色执行以下操作：

现在，您可以通过在 install-config.yaml 文件中设置 platform.aws.hostedZone 字段来为集群定义一个现有 Route 53 私有托管区。您只能在提供自己的 VPC 时使用已存在的托管区。

Google Cloud Platform（GCP）的 OpenShift Container Platform 安装程序现在在机器 CIDR 中尽可能多地创建子网。这允许集群使用机器 CIDR 大小来容纳集群中的节点数量。

在这个版本中，将守护进程集部署到所有节点的集群 Operator 的升级周期会被显著降低。例如，一个 250 个节点的测试集群的升级持续时间从 7.5 小时减少到 1.5 小时，这代表为每个额外节点进行升级的时间被缩减为少于一分钟。

更新时，如果任何机器配置池没有完成更新，Machine Config Operator（MCO）现在会在 machine-config Cluster Operator 中报告 Upgradeable=False 条件。这个状态会阻止将来的次要更新，但不会阻止将来的补丁更新或当前更新。在以前的版本中，MCO 仅根据 control plane 机器配置池的状态报告 Upgradeable 状态，即使 worker 池没有更新。

在 OpenShift Container Platform 4.8 中，您可以在裸机上部署安装程序置备的集群时，使用 Fujitsu 硬件和 Fujitsu iRMC 基本管理控制器协议。目前，Fujitsu 支持 iRMC S5 固件版本 3.05P 及更高版本，用于裸机上的安装程序置备安装。OpenShift Container Platform 4.8 的改进和程序错误修复包括：

现在，您可以在 RHOSP 上部署集群，这些集群使用单根 I/O 虚拟化（SR-IOV）网络用于计算机器。

如需更多信息，请参阅在支持 SR-IOV 连接计算机器的 OpenStack 上安装集群 。

在这个版本中，Ironic Python 代理会在内省期间在接口列表中报告 VLAN 接口。此外，IP 地址包含在接口中，允许正确创建 CSR。因此，可以为所有接口（包括 VLAN 接口）获取 CSR。如需更多信息，请参阅 BZ#1888712。

OpenShift 更新服务（OpenShift Update Service，简称 OSUS）为 OpenShift Container Platform（包括 Red Hat Enterprise Linux CoreOS（RHCOS））提供了无线更新（over-the air update）功能。它以前只能作为红帽托管服务（位于公共 API 后面）进行访问，但现在可以在本地安装。OpenShift Update Service 由 Operator 和一个或多个应用程序实例组成，现在在 OpenShift Container Platform 4.6 及更高版本中正式发布。

如需更多信息，请参阅了解 OpenShift Update Service。

对于 console 和 downloads 路由，自定义路由功能现在会使用新的 ingress 配置路由配置 API spec.componentRoutesConsole Operator 配置已包含自定义路由自定义，但仅适用于 console 路由。通过 console-operator 配置的路由配置已弃用。因此，如果 console 自定义路由在 ingress 配置和 console-operator 配置中都设置时，新的 ingress 配置自定义路由配置有高的优先级。

如需更多信息，请参阅自定义控制台路由。

现在，您可以在 web 控制台的 Quick Start 中包含 CLI 片段时执行它。要使用这个功能，您必须首先安装 Web Terminal Operator。如果您没有安装 Web Terminal Operator，则 web 终端中执行的 web 终端和代码片段操作将不存在。另外，无论您是否安装了 Web Terminal Operator，您都可以将代码片段复制到剪贴板中。

在以前的版本中，快速入门先决条件以组合文本而不是 Quick Start 卡中的列表显示。考虑到可扩展性，现在会在弹出窗口中显示先决条件，而不是在卡中显示。

在这个版本中，您可以：

现在， Default 审计日志策略会记录 OAuth 访问令牌创建（登录）和删除（注销）请求的请求正文。在以前的版本中，删除请求正文不会被记录。

有关审计日志策略的更多信息，请参阅配置节点审计日志策略。

为无头服务生成服务服务证书现在包括一个通配符主题，格式为 *.<service.name>.<service.namespace>.svc。这允许 TLS 保护连接到单个有状态集 pod，而无需为这些 pod 手动生成证书。

如需更多信息，请参阅添加服务证书。

Compliance Operator 为 OpenShift Container Platform 集群自动执行许多检查和补救。但是，使集群进入合规的完整过程通常需要管理员与 Compliance Operator API 和其他组件进行交互。oc-compliance 插件现在可用，并使进程变得更加容易。

如需更多信息，请参阅使用 oc-compliance 插件

Kubernetes API 服务器 TLS 安全配置集设置现在也被 Kubernetes 调度程序和 Kubernetes 控制器管理器实现。

如需更多信息，请参阅配置 TLS 安全配置集。

现在，当作为 Kubernetes API 服务器的 HTTP 服务器时，您可以为 kubelet 设置 TLS 安全配置集。

如需更多信息，请参阅配置 TLS 安全配置集。

在以前的版本中, oauth-proxy 命令只允许在用于身份验证的 htpasswd 文件中使用 SHA-1 哈希密码。OAuth-proxy 现在包含对使用 bcrypt 密码散列的 htpasswd 条目的支持。如需更多信息，请参阅 BZ#1874322。

OpenShift Container Platform 4.8 支持为置备的 control plane 和 worker 节点自动打开 UEFI 安全引导（Secure Boot）模式，并在删除节点时将其关闭。要使用这个功能，在 install-config.yaml 文件中将节点的 bootMode 配置设置为 UEFISecureBoot。红帽仅在第 10 代 HPE 硬件上支持带有管理的安全引导机制的安装程序置备安装，第 13 代的 Dell 硬件运行固件版本 2.75.75.75 或更高版本。如需了解更多详细信息，请参阅 install-config.yaml 文件中配置受管安全引导。

对于安装程序置备的裸机基础架构上的集群，OVN-Kubernetes 集群网络供应商支持 IPv4 和 IPv6 地址系列。

对于安装程序置备的裸机集群从以前的 OpenShift Container Platform 版本升级，您必须转换集群来支持双栈网络。如需更多信息，请参阅转换到 IPv4/IPv6 双栈网络。

用户置备的集群支持 OpenShift SDN 集群网络供应商迁移到 OVN-Kubernetes 集群网络供应商。如需更多信息，请参阅从 OpenShift SDN 集群网络供应商迁移。

现在，当命名空间被分配了多个出口 IP（egress IP）地址时， OpenShift SDN 的 egress IP 功能会以大致相等的方式在命名空间的节点间平衡网络流量。每个 IP 地址必须位于不同的节点上。如需更多信息，请参阅为 OpenShift SDN 配置项目的出口 IP。

使用 OpenShift SDN 或 OVN-Kubernetes 集群网络供应商时，您可以在网络策略规则中选择来自 Ingress Controller 的流量，无论 Ingress Controller 在集群网络还是主机网络上运行。在网络策略规则中，policy-group.network.openshift.io/ingress: "" 命名空间选择器标签与来自 Ingress Controller 的流量匹配。您可以继续使用 network.openshift.io/policy-group: ingress 命名空间选择器标签，但在以后的 OpenShift Container Platform 发行版本中可能会删除这个旧标签。

在以前的 OpenShift Container Platform 版本中，存在以下限制：

如需更多信息，请参阅关于网络策略。

使用 OVN-Kubernetes 集群网络供应商或 OpenShift SDN 集群网络供应商时，您可以使用 policy-group.network.openshift.io/host-network: "" 命名空间选择器在网络策略规则中选择主机网络流量。

如果使用 OVN-Kubernetes 集群网络供应商，您可以为命名空间中的网络策略启用审计日志。日志采用 syslog 兼容格式，可以保存在本地、通过 UDP 连接发送或定向到 UNIX 域套接字。您可以指定是否记录允许、丢弃的连接，以及是否允许和丢弃的连接。如需更多信息，请参阅日志记录网络策略事件。

您可以使用实现 NetworkPolicy API 的 MultiNetworkPolicy API 创建适用于 macvlan 额外网络的网络策略。如需更多信息，请参阅配置多网络策略。

OpenShift Container Platform 4.8 添加了对额外的 Intel 和 Mellanox 网络接口控制器的支持。

如需更多信息，请参阅支持的设备。

使用 Operator 部署的 Network Resources Injector 被改进，以通过 Downward API 来公开有关巨页请求和限制的信息。当 pod 规格包含巨页请求或限制时，信息会在 /etc/podnetinfo 路径中公开。

如需更多信息，请参阅 Downward API 的 Huge page 资源注入。

OpenShift Container Platform 4.8 添加了对将 pod 网络上网络流的元数据发送到网络流收集器的支持。支持以下协议：

数据包数据不会发送到网络流收集器。数据包级元数据（如协议、源地址、目标地址、端口号、字节数和其他数据包级别信息）将发送到网络流收集器。

如需更多信息，请参阅跟踪网络流。

OpenShift Container Platform 4.8 及更新的版本包括使用集群成员资格信息生成 A/AAAA 记录的功能。这会将节点名称解析为其 IP 地址。使用 API 注册节点后，集群就可以分布节点信息，而无需使用 CoreDNS-mDNS。这可消除与多播 DNS 关联的网络流量。

OpenShift Container Platform 更新至 HAProxy 2.2，它默认将 HTTP 标头名称更改为小写，例如将 Host: xyz.com 改为 host: xyz.com。对于对 HTTP 标头名称大小写敏感的传统应用程序，请使用 Ingress Controller spec.httpHeaders.headerNameCaseAdjustments API 字段来适应旧的应用程序，直到它们被修复为止。当 HAProxy 2.2 可用时，在升级 OpenShift Container Platform 前，确保使用 spec.httpHeaders.headerNameCaseAdjustments 来添加必要的配置。

如需更多信息，请参阅转换 HTTP 标头问题单。

OpenShift Container Platform 更新至 HAProxy 2.2，它对 HTTP 标头强制执行一些额外的限制。这些限制旨在缓解应用中可能存在的安全性弱点。特别是，如果一个请求没有在请求行和 HTTP host 标头中同时指定或忽略端口号，则可能拒绝 HTTP 请求行中指定主机名的 HTTP 客户端请求。例如，带有标头 host: hostname 的请求 GET http://hostname:80/path 将被拒绝并带有 HTTP 400 "Bad request" 响应，因为请求行指定了端口号，而 host 标头没有指定端口号。这个限制的目的是减少 request smuggling 攻击。

在启用了 HTTP/2 时，在以前的 OpenShift Container Platform 版本中也可以启用了这个严格的 HTTP 标头验证。这意味着，您可以通过在 OpenShift Container Platform 4.7 集群中启用 HTTP/2 并检查 HTTP 400 错误来测试有问题的客户端请求。有关如何启用 HTTP/2 的详情，请参考启用 HTTP/2 Ingress 连接。

OpenShift Container Platform 4.8 添加了对使用内部负载均衡器在 GCP 上创建的 Ingress Controller 的全局访问选项的支持。启用全局访问选项后，同一 VPC 网络和计算区域内任何区域中的客户端都可以访问集群中运行的工作负载。

如需更多信息，请参阅为 GCP 上的 Ingress Controller 配置全局访问。

OpenShift Container Platform 4.8 添加了对设置线程数的支持，以增加集群可以处理的进入连接量。

如需更多信息，请参阅设置 Ingress Controller 线程计数。

OpenShift Container Platform 4.8 添加了对在非云平台上为 Ingress Controller 配置 PROXY 协议的支持，特别是 HostNetwork 或 NodePortService 端点发布策略类型。

如需更多信息，请参阅为 Ingress Controller 配置 PROXY 协议。

在 OpenShift Container Platform 4.8 中，安装程序置备的集群可以在 control plane 节点上配置和部署网络时间协议（NTP）服务器，并在 worker 节点上配置和部署 NTP 客户端。这可让 worker 从 control plane 节点上的 NTP 服务器检索日期和时间，即使从可路由的网络断开连接。您也可以在部署后配置和部署 NTP 服务器和 NTP 客户端。

在带有 Kuryr-Kubernetes 的 Red Hat OpenStack Platform（RHOSP）上的 OpenShift Container Platform 4.8 部署中，default/kubernetes 服务的 API 负载均衡器不再由 Cluster Network Operator（CNO）管理，而是由 kuryr-controller 本身管理。这意味着：

通过为裸机集群提供支持的安装程序和安装程序置备安装，可以在没有 provisioning 网络的情况下部署集群。在 OpenShift Container Platform 4.8 及更新版本中，您可以使用 Cluster Baremetal Operator（CBO）在安装后启用 provisioning 网络。

如果您需要在裸机安装中的 control plane 节点上运行虚拟 IP（VIP）地址，您必须将 apiVIP 和 ingressVIP VIP 地址配置为仅在 control plane 节点上运行。默认情况下，OpenShift Container Platform 允许 worker 机器配置池中的任何节点托管 apiVIP 和 ingressVIP VIP 地址。由于许多裸机环境在与 control plane 节点独立的子网中部署 worker 节点，因此将 apiVIP 和 ingressVIP 虚拟 IP 地址配置为完全在 control plane 节点上运行，从而防止在不同的子网中部署 worker 节点导致问题。如需了解更多详细信息，请参阅配置在 control plane 上运行的网络组件。

在 OpenShift Container Platform 4.8 中，您可以配置一个外部负载均衡器来处理 Red Hat OpenStack Platform (RHOSP) 和裸机安装程序置备的集群的 apiVIP 和 ingressVIP 流量。当使用 VLAN 在负载均衡服务和 control plane 节点之间路由流量时，外部负载平衡服务和 control plane 节点必须在同一个 L2 网络上运行，并使用 VLAN 来路由负载平衡服务和 control plane 节点之间的流量。

VMware 安装程序置备的集群不支持将负载均衡器来处理 apiVIP 和 ingressVIP 流量。

OpenShift Container Platform 4.8 为配置为使用双栈网络的集群添加了 OVN-Kubernetes IPsec 支持。

egress router CNI 插件已正式发布。Cluster Network Operator 被改进以支持 EgressRouter API 对象。在使用 OVN-Kubernetes 的集群中添加出口路由器的过程已被简化。当您创建出口路由器对象时，Operator 会自动添加网络附加定义和部署。部署的容器集充当出口路由器。

如需更多信息，请参阅使用出口路由器 pod 的注意事项。

现在，裸机上的 OpenShift Container Platform 集群支持 IP 故障切换。IP 故障转移使用 keepalived 在一组主机上托管一组外部访问的 VIP 地址。在一个时间点上，每个 VIP 仅由一个主机提供服务。keepalived 使用虚拟路由器冗余协议（VRRP）决定在主机集合中使用哪个主机提供 VIP 服务。如果主机不可用，或者 keepalived 正在监视的服务没有响应，则 VIP 会切换到主机集中的另外一个主机。这意味着只要主机可用，便始终可以提供 VIP 服务。

如需更多信息，请参阅配置 IP 故障切换。

在 OpenShift Container Platform 4.8 中，您可以使用自定义节点选择器和容限配置 CoreDNS 的守护进程集，使其在特定节点上运行。

如需更多信息，请参阅控制 DNS pod 放置。

Red Hat OpenStack Platform（RHOSP）上的 OpenShift Container Platform 集群现在支持所有部署类型的供应商网络。

集群管理员现在可以设置 headerBufferMaxRewriteByte 和 headerBufferBytes Ingress Controller 调整参数，以配置每个 Ingress Controller 的 tune.maxrewrite 和 tune.bufsize HAProxy 内存选项。

如需更多信息，请参阅 Ingress Controller 配置参数。

Google Cloud Platform（GCP）持久性磁盘（PD）Container Storage Interface（CSI）驱动程序会在 GCP 环境中自动部署和管理，允许您动态置备这些卷，而无需手动安装驱动程序。此功能以前在 OpenShift Container Platform 4.7 中作为技术预览功能，现在在 OpenShift Container Platform 4.8 中正式发布并启用。

如需更多信息，请参阅 GCP PD CSI Driver Operator。

Azure Disk CSI Driver Operator 默认提供一个存储类,您可以使用它来创建持久性卷声明（PVC）。管理此驱动程序的 Azure Disk CSI Driver Operator 只是一个技术预览。

如需更多信息，请参阅 Azure Disk CSI Driver Operator。

vSphere CSI Driver Operator 默认提供一个存储类，您可以使用它来创建持久性卷声明（PVC）。管理此驱动程序的 vSphere CSI Driver Operator 只是一个技术预览。

如需更多信息，请参阅 vSphere CSI Driver Operator。

从 OpenShift Container Platform 4.8 开始，以下树内（in-tree）卷插件自动迁移到对应的 CSI 驱动程序作为技术预览功能：

如需更多信息，请参阅自动 CSI 迁移。

Amazon Web Services（AWS）Elastic File System（EFS）技术预览功能已被删除，且不再被支持。

现在，您可以在安装过程中为 Cinder 卷选择可用性区域。您还可以将特定可用区中的 Cinder 卷用于镜像 registry。

使用 Operator Lifecycle Manager（OLM）安装 Operator 的集群管理员可能会遇到与当前 API 或低级别 API 相关的错误条件。在以前的版本中，很难了解 OLM 无法履行安装或更新 Operator 的请求。这些错误的范围包括一些微不足道的问题（如对象属性中的拼写错误或缺少 RBAC 等）以及一些比较复杂的问题（如因为元数据解析而无法从目录中加载项目）。

对于管理员，应该可以在不需要了解各种低级别 API 的交互过程或访问 OLM pod 日志的情况下，就可以成功调试这些问题，所以 OpenShift Container Platform 4.8 在 OLM 中引入了以下增强功能，以便为管理员提供更易理解的错误报告和消息：

安装计划由 InstallPlan 对象定义，可能会遇到临时错误，例如，因为 API 服务器可用性或其他写入器冲突。在以前的版本中，这些错误会导致部分应用的安装计划终止需要手动清理。在这个版本中， Catalog Operator 在安装计划执行过程中重试错误最多一分钟。新的 .status.message 字段在进行重试时提供人类可读指示。

在没有 Operator 组或多个 Operator 组的命名空间中创建订阅会导致 Operator 安装停止，并永久保留在 phase=Installing 中。在这个版本中，安装计划会立即转换为 phase=Failed，以便管理员可以更正无效的 Operator 组，然后删除并重新创建订阅。

当命名空间中依赖项解析失败时创建的 ResolutionFailed 事件现在在命名空间包含引用的目录源中不存在的软件包或频道的订阅时提供更具体的文本。在以前的版本中，这个消息比较通用：

no candidate operators found matching the spec of subscription '<name>'

在这个版本中，信息更为具体：

no operators found in package <name> in the catalog referenced by subscription <name>

no operators found from catalog <name> in namespace openshift-marketplace referenced by subscription <name>

no operators found in channel <name> of package <name> in the catalog referenced by subscription <name>

no operators found with name <name>.<version> in channel <name> of package <name> in the catalog referenced by subscription <name>

OpenShift Container Platform 4.8 及更高版本中删除了对 Operator 的传统软件包清单格式的支持。从 OpenShift Container Platform 4.6 开始，捆绑包格式是 Operator Lifecycle Manager（OLM）的首选 Operator 打包格式。如果您有一个 Operator 项目最初以软件包清单格式创建（已弃用），则可以使用 Operator SDK pkgman-to-bundle 命令将项目迁移到捆绑包格式。

如需更多信息，请参阅迁移软件包清单项目到捆绑包格式。

要安装和管理 Operator，Operator Lifecycle Manager（OLM）要求 Operator 捆绑包列在索引镜像中，该镜像由集群中的目录引用。作为 Operator 作者，您可以使用 Operator SDK 为 Operator 及其所有依赖项创建一个包含捆绑包的索引。这可用于测试远程集群并发布到容器 registry。

如需更多信息，请参阅发布包含捆绑的 Operator 的目录。

Operator SDK 的 run bundle-upgrade 子命令通过为以后的版本指定捆绑包镜像来自动触发已安装的 Operator 以升级到更新的版本。在以前的版本中，子命令只能升级最初使用 run bundle 子命令安装的 Operator。在这个版本中，run bundle-upgrade 还可用于最初与传统 Operator Lifecycle Manager（OLM）工作流一起安装的 Operator。

如需更多信息，请参阅在 Operator Lifecycle Manager 上测试 Operator 升级。

当从 OpenShift Container Platform 版本中删除 API 时，在该集群版本上运行的仍使用删除的 API 的 Operator 将不再正常工作。作为 Operator 作者，您应该计划更新 Operator 项目，以适应 API 弃用和删除情况，以避免 Operator 用户中断。

如需了解更多与 OpenShift Container Platform 版本的Operator 兼容性，请参阅控制与 OpenShift Container Platform 版本的 Operator 兼容性。

Builds

Telemetry 包括一个新的 openshift:build_by_strategy:sum 量表指标，它将按照策略类型向 Telemeter 客户端发送构建数量。此指标可让站点可靠性工程师（SRE）和产品经理查看在 OpenShift Container Platform 集群上运行的构建类型。

在以前的版本中，构建无法使用有时需要的集群 PKI 证书颁发机构来访问公司工件存储库。现在，您可以通过将 mountTrustedCA 设置为 true，将 BuildConfig 对象配置为挂载集群自定义 PKI 证书颁发机构。

在 vSphere 中运行机器时，您可以在 MachineAutoscaler 资源定义中将 minReplicas 值设置为 0。当将此值设置为 0 时，取决于机器是否在使用，集群自动扩展器会将机器集缩到零，或从零进行扩展。如需更多信息，请参阅 MachineAutoscaler 资源定义。

自动轮转 /etc/kubernetes/kubelet-ca.crt 证书颁发机构（CA）不再需要 Machine Config Operator（MCO）来排空节点或重启集群。

作为这一更改的一部分，以下修改不需要 MCO 排空节点：

当 MCO 检测到任何这些更改时，它会应用更改并取消记录节点。

如需更多信息，请参阅了解 Machine Config Operator。

在以前的版本中，创建机器集需要用户手动配置 CPU 固定设置、NUMA 固定设置和 CPU 拓扑更改，以便从主机获得更好的性能。在这个版本中，用户可以在 MachineSet 资源中选择一个策略来自动填充设置。如需更多信息，请参阅BZ#1941334。

现在，可以在 MachineSet 资源中提供 hugepages 属性。此增强使用 oVirt 中的自定义属性创建 MachineSet 资源的节点，并指示这些节点使用虚拟机监控程序的巨页（hugepage）。如需更多信息，请参阅 BZ#1948963。

OpenShift Container Platform 4.8 避免了所选 ImageContentSourcePolicy 对象更改的工作负载中断。此功能帮助用户和团队在不中断工作负载的情况下添加额外的镜像和 registry。因此，/etc/containers/registries.conf 文件中的以下更改将不再发生工作负载分离：

对于 /etc/containers/registries.conf 文件中的任何其他更改，Machine Config Operator 默认排空节点以应用更改。如需更多信息，请参阅BZ#1943315。

现在，descheduler 可以使用 operator.openshift.io/v1 API 组。在以后的发行版本，可能会删除对 descheduler 使用 operator.openshift.io/v1beta1 API 组的支持。

现在，您可以把 openshift.io/cluster-monitoring=true 标识添加到您安装 descheduler 的 openshift-kube-descheduler-operator 命令空间中来启用 descheduler 的 Prometheus 指标功能。

可用的 descheduler 指标如下：

在这个版本中，当您为 pod 规格中的巨页设置请求和限值时，您可以使用 Downward API 从容器中查看 pod 的分配。这个改进依赖于 DownwardAPIHugePages 功能门。OpenShift Container Platform 4.8 启用功能门。

如需更多信息，请参阅使用 Downward API 消耗巨页资源。

Node Feature Discovery（NFD）Operator 会检测 OpenShift Container Platform 集群中每个节点上可用的硬件功能。然后，它会使用节点标签修改节点对象。这可让 NFD Operator 公告特定节点的功能。OpenShift Container Platform 4.8 支持 NFD Operator 的三个额外标签。

您可以使用 Poison Pill Operator 来允许不健康的节点自动重新引导。这可最小化有状态应用程序和 ReadWriteOnce (RWO) 卷的停机时间，并在发生临时故障时恢复计算容量。

Poison Pill Operator 适用于所有集群和硬件类型。

如需更多信息，请参阅使用 Poison Pill Operator 修复节点。

自动轮转 /etc/kubernetes/kubelet-ca.crt 证书颁发机构（CA）不再需要 Machine Config Operator（MCO）来排空节点或重启集群。

作为这一更改的一部分，以下修改不需要 MCO 排空节点：

当 MCO 检测到任何这些更改时，它会应用更改并取消记录节点。

如需更多信息，请参阅了解 Machine Config Operator。

OpenShift Container Platform 垂直 pod 自动扩展（VPA）现已正式发布。VPA 会自动检查 pod 中容器的运行状况和当前的 CPU 和内存资源，并根据它所了解的用量值更新资源限值和请求。

您还可以通过修改 VerticalPodAutoscalerController 对象，将 VPA 与只需要一个副本的 pod 搭配使用，如下所述。在以前的版本中，VPA 只适用于需要两个或多个副本的 pod。

如需更多信息，请参阅使用垂直 pod 自动扩展自动调整 pod 资源级别。

默认情况下，工作负载对象必须至少指定两个副本，以便 VPA 自动更新 pod。因此，VPA 不会对指定少于两个副本的工作负载对象执行操作。您可以通过修改 VerticalPodAutoscalerController 对象来添加 minReplicas 参数，用来更改这个集群范围的最小值。

如需更多信息，请参阅使用垂直 pod 自动扩展自动调整 pod 资源级别。

当节点启动时，OpenShift Container Platform 可以自动决定 system-reserved 设置的最佳大小调整值。在以前的版本中，system-reserved 设置中的 CPU 和内存分配是手动决定和设置所需的固定限制。

启用自动资源分配后，每个节点上的脚本会根据节点上安装的 CPU 和内存容量来计算相应保留资源的优化值。

如需更多信息，请参阅自动为节点分配资源。

现在，您可以在创建允许和阻止的 registry 列表来拉取和推送镜像时，在 registry 中指定单独的存储库。在以前的版本中，您只能指定 registry。

如需更多信息，请参阅添加特定 registry 和阻塞特定的 registry。

Cron Job 自定义资源现已正式发布。作为这一变化的一部分，新的控制器已实施以显著提高 cron 作业的性能。如需有关 cron 作业的更多信息，请参阅了解作业和 cron 作业。

OpenShift Container Platform 4.8 包括以下警报规则更改：

OpenShift Container Platform 4.8 引入了两个新警报，它们会在使用了下一发行版本中将被删除的 API 时触发：

您可以使用新的 APIRequestCount API 来跟踪使用已弃用 API 的内容。这可让您规划在升级到下一版本时是否需要进行一些相关的操作。

OpenShift Container Platform 4.8 包括对以下监控堆栈组件和依赖项的版本更新：

kube-state-metrics 升级到 2.0.0 版本。kube-state-metrics 版本 1.9 中弃用了以下指标，并在 2.0.0 版本中实际删除：

第三方 Alertmanager UI 的链接已从 OpenShift Container Platform Web 控制台的 Monitoring → Alerting 页面中删除。另外，第三方 Grafana UI 的链接也会从 Monitoring → Dashboards 页面中删除。您仍然可以通过导航到 openshift-monitoring 项目中的 Networking → Routes 页面，在 Administrator 视角中的 Web 控制台中访问到 Grafana 和 Alertmanager UI 的路由。

OpenShift Container Platform Web 控制台的 Monitoring → Dashboards 页面中提供了新的增强功能：

在单一节点集群中运行测试会导致特定测试的超时时间较长，包括 SR-IOV 和 SCTP 测试，并跳过需要 control plane 和 worker 节点的测试。需要节点重启的重新配置会导致重启整个环境，包括 OpenShift control plane，因此完成时间较长。所有需要 control plane 节点和 worker 节点的 PTP 测试都会跳过。不需要额外的配置，因为测试会在启动时检查节点数量并相应地调整测试行为。

PTP 测试可在发现模式下运行。测试会查找在集群外配置的 PTP control plane。需要以下参数：

Performance Addon Operator 允许您配置性能配置集来调整每个网络设备的网络接口卡（NIC）队列数量。设备网络队列允许数据包分布到不同的物理队列中，每个队列获得用于数据包处理的独立线程。

对于基于 Data Plane Development Kit（DPDK）的工作负载，务必要将 NIC 队列减少到仅保留或托管 CPU 的数量，以确保实现所需的低延迟。

如需更多信息，请参阅使用 Performance Addon Operator 缩减 NIC 队列。

针对 OpenShift Container Platform 4.8 的集群最大限制指导信息已更新。

使用 OpenShift Container Platform Limit Calculator 可以估算出您的环境的集群限制。

现在，您可以使用 Performance Profile Creator（PPC）工具创建性能配置集。该工具会消耗来自集群和几个用户提供的配置集参数的 must-gather 数据，并使用这些信息生成适合您的硬件和拓扑的性能配置集。

如需更多信息，请参阅创建性能配置集。

Node Feature Discovery（NFD）Operator 现已可用。使用它来通过编排节点功能发现（用于检测硬件功能和系统配置的 Kubernetes 附加组件）来公开节点级信息。

现在，您可以使用 Driver Toolkit 作为驱动程序容器的基础镜像，以便您可以在 Kubernetes 上启用特殊软件和硬件设备。目前，这是一个技术预览功能。

一个新的改进会在备份后并在恢复前验证 etcd 快照的状态。在以前的版本中，备份过程无法验证所执行的快照是否已完成，恢复过程也不会验证正在恢复的快照是否有效，没有损坏。现在，如果磁盘在备份或恢复过程中被破坏，则错误会明确报告给管理员。如需更多信息，请参阅 BZ#1965024。

在 OpenShift Container Platform 4.8 中，在受限网络中运行的用户可以收集 Insights Operator 存档并上传到 Insights 顾问，以诊断潜在的问题。另外，用户也可以在上传前模糊处理 Insights Operator 归档中包含的敏感数据。

如需更多信息，请参阅在受限网络中使用远程健康报告。

OpenShift Container Platform Web 控制台中的 insights Advisor 现在可以正确地报告有 0 个问题。在以前的版本中，在这种情况下，Insights Advisor 没有提供任何信息。

在 OpenShift Container Platform 4.8 中，Insights Operator 会收集以下附加信息：

通过这些附加信息，红帽可在 Insights Advisor 中提供改进的补救步骤。

Insights Operator 现在可以为不健康的 SAP pod 收集数据。当 SDI 安装失败时，可以通过查看哪个初始化 pod 失败来检测到问题。Insights Operator 现在会在 SAP/SDI 命名空间中收集有关失败 pod 的信息。如需更多信息，请参阅 BZ#1930393。

Insights Operator 现在可以从 SAP 集群收集 Datahubs 资源。通过这些数据，SAP 集群可以被与 Insights Operator 归档中的非 SAP 集群区分开，即使缺少所有从 SAP 集群收集的数据，否则就无法确定集群是否有 SDI 安装。如需更多信息，请参阅 BZ#1940432。

现在，您可以使用 Cloud Credential Operator（CCO）实用程序（ccoctl）将 CCO 配置为使用 Amazon Web Services Security Token Service（AWS STS）。当 CCO 配置为使用 STS 时，它会分配 IAM 角色，它提供短暂的、有限制权限的安全凭证。

此功能以前作为技术预览功能在 OpenShift Container Platform 4.7 中引入，现在正式包括在 OpenShift Container Platform 4.8 中。

如需更多信息，请参阅在 STS 中使用手动模式。

要查看 OpenShift 沙盒容器新功能、程序错误修复、已知问题和异步勘误更新，请参阅 OpenShift 沙盒容器 1.0 发行注记。