2.5. Red Hat Windows Machine Config Operator 3.1.0 发行注记

发布日期:2021 年 9 月 21 日

WMCO 3.1.0 现在提供了程序错误修正和新功能。WMCO 组件在 RHBA-2021:3215 中发布。

2.5.1. 新功能

2.5.1.1. 使用 Bring-Your-Own-Host(BYOH)Windows 实例

现在,您可以将现有 Windows 实例作为计算节点添加到 OpenShift Container Platform 集群中。这需要在 WMCO 命名空间中创建配置映射。

以下平台的安装程序置备的基础架构支持 BYOH Windows 实例:

  • Amazon Web Services (AWS)
  • Microsoft Azure
  • VMware vSphere

用户置备的基础架构支持 BYOH Windows 实例,只有在 install-config.yaml 文件中设置了 platform: none 字段时才支持以下平台:

  • VMware vSphere
  • 裸机

有关如何配置 BYOH Windows 实例的更多信息,请参阅配置 BYOH Windows 实例

2.5.2. 程序错误修复

  • 对于 VMware vSphere 上安装的集群,WMCO 会忽略 Deleting 阶段通知事件,在 windows-exporter 指标端点中保留不正确的节点信息。这会导致 Prometheus metrics 端点的映射无效。这个程序错误已被解决。WMCO 现在可识别 Deleting 阶段通知事件,并相应地映射 Prometheus metrics 端点。(BZ#1995341)

2.5.3. 已知问题

  • 当使用配置映射中的 DNS 名称条目安装 BYOH Windows 实例时,WMCO 会在将其标记为 Ready 节点前配置实例两次。以后的 WMCO 发行版本中会解决这个问题。(BZ#2005360)
  • 当在基于 Linux 的 Pod 的安全上下文中设置 RunAsUser 权限时,投射文件具有正确的权限集,包括容器用户所有权。但是,如果在 Windows pod 中设置 Windows 等同的 RunAsUsername 权限,kubelet 将无法为投射卷中的文件设置正确的所有权。如果与一个 hostPath 卷 一起使用时,不遵循最佳实践,则此问题可能更加严重。例如,为 pod 授予对 C:\var\lib\kubelet\pods\ 文件夹的访问权限,会导致该 pod 能够从其他 pod 访问服务帐户令牌。

    默认情况下,投射文件具有以下所有权,如本例 Windows projected 卷文件所示:

    Path   : Microsoft.PowerShell.Core\FileSystem::C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt
    Owner  : BUILTIN\Administrators
    Group  : NT AUTHORITY\SYSTEM
    Access : NT AUTHORITY\SYSTEM Allow  FullControl
             BUILTIN\Administrators Allow  FullControl
             BUILTIN\Users Allow  ReadAndExecute, Synchronize
    Audit  :
    Sddl   : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)

    这表示所有管理员用户,如具有 ContainerAdministrator 角色的用户,都具有读取、写入和执行访问权限,非管理员用户具有读取和执行访问权限。

    重要

    OpenShift Container Platform 将 RunAsUser 安全上下文应用于所有 pod,而不考虑其操作系统。这意味着 Windows Pod 会自动将 RunAsUser 权限应用到其安全上下文。

    另外,如果使用设置了默认 RunAsUser 权限的投射卷创建了 Windows pod,则 pod 会停留在 ContainerCreating 阶段。

    为了解决这些问题,OpenShift Container Platform 会在 Pod 安全上下文中设置的服务帐户卷中强制文件权限处理,对于 Windows 上的投射卷,不会满足它们。请注意,Windows pod 的这个行为是 OpenShift Container Platform 4.7 之前用于处理所有 pod 类型的文件权限处理方式。(BZ#1971745)