- 文档
- OpenShift Container Platform
- 容器迁移工具包
- MTC 版本说明
- MTC 1.7 版本说明 history bug_report picture_as_pdf
- 关于
- 版本说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在用户提供的基础架构的受限网络中在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud (经典版) 上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装具有自定义设置的集群
- 在您自己的基础设施上安装 OpenStack 上的集群
- 在 OpenStack 受限网络中安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在本地磁盘上使用 rootVolume 和 etcd 部署 OpenStack
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 集群更新
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang Server 运算符
- Red Hat OpenShift 的 cert-manager 操作员
- Red Hat OpenShift 的 cert-manager 操作员概述
- Red Hat OpenShift 的 cert-manager 操作员发行说明
- 安装 Red Hat OpenShift 的 cert-manager 操作员
- 配置出站代理
- 使用 cert-manager 操作员 API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager 操作员
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager 操作员保护路由
- 监控 Red Hat OpenShift 的 cert-manager 操作员
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager 操作员的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 操作员
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络操作员
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- 在 OpenStack 上进行负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络附件
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作员
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非优雅节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作员
- AWS Elastic File Service CSI 驱动程序操作员
- Azure 磁盘 CSI 驱动程序操作员
- Azure 文件 CSI 驱动程序操作员
- Azure Stack Hub CSI 驱动程序操作员
- GCP PD CSI 驱动程序操作员
- GCP Filestore CSI 驱动程序操作员
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作员
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作员
- OpenStack Cinder CSI 驱动程序操作员
- OpenStack Manila CSI 驱动程序操作员
- Secrets Store CSI 驱动程序操作员
- CIFS/SMB CSI 驱动程序操作员
- VMware vSphere CSI 驱动程序操作员
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作员
- 操作员概述
- 了解操作员
- 用户任务
- 管理员任务
- 开发操作员
- 集群 Operator 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用作业和 DaemonSet
- 操作节点
- 操作容器
- 操作集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- vDU 应用程序工作负载的推荐单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的日常运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到版本 4
- 容器迁移工具包 (MTC)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符API
- 关于操作符API
- 身份验证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群CSIDriver [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSISnapshot控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress控制器 [operator.openshift.io/v1]
- Insights操作符 [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersion迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- 操作符PKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM配置 [operators.coreos.com/v1]
- 操作符 [operators.coreos.com/v1]
- 操作符状态 [operators.coreos.com/v2]
- 操作符组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略API
- 项目API
- 供应API
- 关于供应API
- BMCEvent订阅 [metal3.io/v1alpha1]
- 裸机主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC API
- 角色API
- 调度和配额API
- 安全API
- 关于安全API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod安全策略审查 [security.openshift.io/v1]
- Pod安全策略自身主体审查 [security.openshift.io/v1]
- Pod安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储API
- 关于存储API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSI存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板API
- 用户和组API
- 工作负载API
- 关于工作负载API
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时任务 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 虚拟化
容器迁移工具包 1.7 版本说明
- 容器迁移工具包 1.7.17 版本说明
- 容器迁移工具包 1.7.16 版本说明
- 容器迁移工具包 1.7.15 版本说明
- 容器迁移工具包 1.7.14 版本说明
- 容器迁移工具包 1.7.13 版本说明
- 容器迁移工具包 1.7.12 版本说明
- 容器迁移工具包 1.7.11 版本说明
- 容器迁移工具包 1.7.10 版本说明
- 容器迁移工具包 1.7.9 版本说明
- 容器迁移工具包 1.7.8 版本说明
- 容器迁移工具包 1.7.7 版本说明
- 容器迁移工具包 1.7.6 版本说明
- 容器迁移工具包 1.7.5 版本说明
- 容器迁移工具包 1.7.4 版本说明
- 容器迁移工具包 1.7.3 版本说明
- 容器迁移工具包 1.7.2 版本说明
- 容器迁移工具包 1.7.1 版本说明
- 容器迁移工具包 1.7.0 版本说明
容器迁移工具包 (MTC) 的发行说明描述了新功能和增强功能、已弃用的功能以及已知问题。
MTC 允许您以命名空间为粒度在 OpenShift Container Platform 集群之间迁移应用程序工作负载。
您可以从OpenShift Container Platform 3 迁移到 4.17,以及在 OpenShift Container Platform 4 集群之间迁移。
MTC 提供了一个基于 Kubernetes 自定义资源的 Web 控制台和 API,以帮助您控制迁移并最大限度地减少应用程序停机时间。
有关 MTC 支持策略的信息,请参阅OpenShift 应用程序和集群迁移解决方案,它是Red Hat OpenShift Container Platform 生命周期策略的一部分。
容器迁移工具包 1.7.17 发行说明
容器迁移工具包 (MTC) 1.7.17 是仅限容器等级 (CGO) 版本,发布目的是刷新容器的健康等级,与 MTC 1.7.16 相比,产品本身没有任何代码更改。
容器迁移工具包 1.7.16 发行说明
已解决的问题
此版本解决了以下问题:
net/http:Request.ParseMultipartForm 方法中的内存耗尽在 net/http Golang 标准库包中发现了一个缺陷,它会影响早期版本的 MTC。解析 multipart 表单时(无论是使用 Request.ParseMultipartForm 显式解析,还是使用 Request.FormValue、Request.PostFormValue 或 Request.FormFile 方法隐式解析),对已解析表单的总大小的限制不会应用于读取单个表单行时消耗的内存。这允许恶意制作的输入包含长行,从而导致分配任意大量的内存,可能导致内存耗尽。
要解决此问题,请升级到 MTC 1.7.16。
更多详细信息,请参阅CVE-2023-45290
crypto/x509:对具有未知公钥算法的证书进行验证时出现恐慌在 crypto/x509 Golang 标准库包中发现了一个缺陷,它会影响早期版本的 MTC。验证包含具有未知公钥算法的证书的证书链会导致 Certificate.Verify 出现恐慌。这会影响所有将 Config.ClientAuth 设置为 VerifyClientCertIfGiven 或 RequireAndVerifyClientCert 的 crypto/tls 客户端和服务器。默认行为是 TLS 服务器不验证客户端证书。
要解决此问题,请升级到 MTC 1.7.16。
更多详细信息,请参阅CVE-2024-24783。
net/mail:显示名称中的注释处理不正确在 net/mail Golang 标准库包中发现了一个缺陷,它会影响早期版本的 MTC。ParseAddressList 函数处理注释、括号中的文本和显示名称的方式不正确。由于这与符合标准的地址解析器不一致,因此使用不同解析器的程序可能会做出不同的信任决策。
要解决此问题,请升级到 MTC 1.7.16。
更多详细信息,请参阅CVE-2024-24784。
html/template:从 MarshalJSON 方法返回的错误可能会破坏模板转义在 html/template Golang 标准库包中发现了一个缺陷,它会影响早期版本的 MTC。如果从 MarshalJSON 方法返回的错误包含用户控制的数据,则它们可用于破坏 html/template 包的上下文自动转义行为,从而允许后续操作将意外内容注入模板。
要解决此问题,请升级到 MTC 1.7.16。
更多详细信息,请参阅CVE-2024-24785。
webpack-dev-middleware:缺乏 URL 验证可能导致文件泄露在 webpack-dev-middleware 包中发现了一个缺陷,它会影响早期版本的 MTC。此缺陷在返回本地文件之前未能充分验证提供的 URL 地址,这可能允许攻击者创建 URL 以从开发人员的机器返回任意本地文件。
要解决此问题,请升级到 MTC 1.7.16。
更多详细信息,请参阅CVE-2024-29180。
envoy:由于 CONTINUATION 帧泛滥导致 HTTP/2 CPU 耗尽在 envoy 代理实现 HTTP/2 编解码器的方式中发现了一个缺陷,它会影响早期版本的 MTC。对可以在单个流中发送的 CONTINUATION 帧的数量施加的限制不足,即使在超过 envoy 的报头映射限制之后也是如此。此缺陷可能允许未经身份验证的远程攻击者向易受攻击的服务器发送数据包。这些数据包可能会消耗计算资源并导致拒绝服务 (DoS)。
要解决此问题,请升级到 MTC 1.7.16。
更多详细信息,请参阅CVE-2024-30255。
已知问题
此版本存在以下已知问题:
错误状态迁移任何具有持久卷声明 (PVC) 的应用程序时,阶段迁移操作会成功并发出警告,但直接卷迁移 (DVM) 失败,源命名空间上的 rsync pod 进入 错误状态。(BZ#2256141)
创建返回冲突错误消息的新状态迁移计划时,错误消息会在显示后很快被清除。(BZ#2144299)
当集群中存在多个具有不同提供商类型的卷快照位置 (VSL),但您未将任何一个设置为默认 VSL 时,Velero 会导致验证错误,从而导致迁移操作失败。(BZ#2180565)
容器迁移工具包 1.7.15 发行说明
已解决的问题
此版本解决了以下问题:
在 protojson.Unmarshal 函数中发现了一个缺陷,在解组某些形式的无效 JSON 消息时,该函数可能会进入无限循环。当解组到包含 google.protobuf.Any 值的消息中,或者在 JSON 格式的消息中设置了 UnmarshalOptions.DiscardUnknown 选项时,可能会发生这种情况。
要解决此问题,请升级到 MTC 1.7.15。
更多详细信息,请参阅(CVE-2024-24786)。
jose-go 对高度压缩数据的处理不当由于对高度压缩数据的处理不当,在 Jose 中发现了一个漏洞。攻击者可以发送包含压缩数据的 JSON Web Encryption (JWE) 加密消息,这些数据在由 Decrypt 或 DecryptMulti 函数解压缩时会使用大量的内存和 CPU。
要解决此问题,请升级到 MTC 1.7.15。
更多详细信息,请参阅(CVE-2024-28180)。
已知问题
此版本存在以下已知问题:
错误状态迁移任何具有持久卷声明 (PVC) 的应用程序时,阶段迁移操作会成功并发出警告,但直接卷迁移 (DVM) 失败,源命名空间上的 rsync pod 进入 错误状态。(BZ#2256141)
创建新的状态迁移计划时,如果导致冲突错误消息,则该错误消息显示后不久就会清除。(BZ#2144299)
如果集群中有多个不同提供程序类型的 VSL,并且您未将它们中的任何一个设置为默认 VSL,则 Velero 将导致验证错误,从而导致迁移操作失败。(BZ#2180565)
容器迁移工具包 1.7.14 版本说明
已解决的问题
此版本解决了以下问题:
在容器迁移工具包 (MTC) 使用的 HTTP/2 协议中处理多路复用流的过程中发现了一个漏洞。客户端可以重复请求新的多路复用流,然后立即发送RST_STREAM帧以取消这些请求。此活动在设置和拆除流方面为服务器创建了额外的负载,但避免了服务器端对每个连接上的最大活动流数的任何限制。结果,由于服务器资源消耗,导致拒绝服务攻击。
要解决此问题,请升级到 MTC 1.7.14。
有关更多详细信息,请参阅 (CVE-2023-44487) 和 (CVE-2023-39325)。
-
(CVE-2023-39318):在 MTC 使用的 Golang 中发现了一个漏洞。
html/template包未正确处理 HTML 式的""注释标记或"#!"注释标记(在<script>上下文中)。此漏洞可能导致模板解析器错误地解释<script>上下文的内容,从而导致操作转义不正确。 -
(CVE-2023-39319):在 MTC 使用的 Golang 中发现了一个漏洞。
html/template包未应用正确的规则来处理"<script"、"<!--"和"</script"在<script>上下文中的 JavaScript 文字中的出现。这可能导致模板解析器错误地认为脚本上下文过早终止,从而导致操作转义不正确。 -
(CVE-2023-39321):在 MTC 使用的 Golang 中发现了一个漏洞。处理 QUIC 连接的不完整后握手消息可能会导致 panic。
-
(CVE-2023-39322):在 MTC 使用的 Golang 中发现了一个漏洞。使用 QUIC 传输协议的连接未设置读取后握手消息时缓冲的数据量上限,允许恶意 QUIC 连接导致无限制的内存增长。
要解决这些问题,请升级到 MTC 1.7.14。
有关更多详细信息,请参阅 (CVE-2023-39318)、(CVE-2023-39319) 和 (CVE-2023-39321)。
容器迁移工具包 1.7.12 版本说明
已知问题
此版本存在以下已知问题:
在**迁移详细信息**页面上,首先会显示迁移详细信息,没有任何问题。但是,一段时间后,详细信息会消失,并返回504错误。(BZ#2231106)
将容器迁移工具包 (MTC) 运算符从 1.7.x 升级到 1.8.x 后,不会删除旧的 restic pod。升级后,restic 和 node-agent pod 都在命名空间中可见。(BZ#2236829)
容器迁移工具包 1.7.10 版本说明
已解决的问题
此版本包含以下主要已解决的问题
在此版本中,您可以防止在直接卷迁移 (DVM) 过程中 Rsync 操纵绝对符号链接。在特权模式下运行 DVM 会保留持久卷声明 (PVC) 内的绝对符号链接。要切换到特权模式,请在MigrationController CR 中将migration_rsync_privileged规范设置为true。(BZ#2204461)
容器迁移工具包 1.7.8 版本说明
已解决的问题
此版本包含以下主要已解决的问题
在以前的版本中,无法使用MigrationController自定义资源 (CR) 中的velero_image_fqin参数覆盖 velero 镜像。(BZ#2143389)
在之前的版本中,当域名超过六个字符时,通过UI添加MigCluster会失败。UI代码预期域名长度在两到六个字符之间。(BZ#2152149)
在之前的版本中,UI无法渲染“迁移”页面,返回错误代码Cannot read properties of undefined (reading 'name')。(BZ#2163485)
在之前的版本中,在OpenShift Container Platform 4.6集群上部署MTC时,根据日志,DPA创建失败,导致一些Pod缺失。OpenShift Container Platform 4.6集群中migration-controller的日志表明,传递了一个意外的null值,导致了错误。(BZ#2173742)
容器迁移工具包 1.7.6 版本说明
新功能
随着OpenShift Container Platform 4.12中Pod安全准入(PSA)的强制执行,默认Pod将以restricted配置文件运行。这个restricted配置文件意味着要迁移的工作负载将违反此策略,并且从现在开始将不再工作。以下增强功能概述了为保持与OCP 4.12兼容所需进行的更改。(MIG-1240)
已解决的问题
此版本包含以下主要已解决的问题
在之前的版本中,在持久卷页面上,会抛出一个错误,指出在batch/v1beta1版本中CronJob不可用,并且单击取消后,migplan将创建并状态为Not ready。(BZ#2143628)
容器迁移工具包 1.7.5 版本说明
已解决的问题
此版本包含以下主要已解决的问题
在之前的版本中,迁移成功但带有警告,但直接卷迁移失败,源命名空间上的rsync pod进入错误状态。(BZ#2132978)
已知问题
此版本存在以下已知问题:
在以前的版本中,无法使用MigrationController自定义资源 (CR) 中的velero_image_fqin参数覆盖 velero 镜像。(BZ#2143389)
如果存在网络连接问题,则在编辑hook时,UI可能无法重新加载。网络连接恢复后,页面将无法重新加载,直到缓存被清除。(BZ#2140208)
容器迁移工具包 1.7.4 版本说明
已知问题
在执行容器迁移工具包(MTC)UI的应用程序回滚时,某些资源未从目标集群中删除,回滚显示状态为成功完成。(BZ#2126880)
容器迁移工具包 1.7.3 版本说明
已解决的问题
此版本包含以下主要已解决的问题
在之前的版本中,如果目标命名空间以非字母字符开头,则无法验证MigPlan。(BZ#2102231)
在之前的版本中,在执行完全迁移时,取消选择持久卷声明(PVC)不会跳过选择PVC,仍然会尝试迁移它们。(BZ#2106073)
在之前的版本中,由于目标命名空间以非字母字符开头,因此无法验证MigPlan。(BZ#2102231)
容器迁移工具包 1.7.2 版本说明
已解决的问题
此版本包含以下主要已解决的问题
在之前的版本中,容器迁移工具包(MTC)UI无法正确显示日志。(BZ#2062266)
在之前的版本中,即使没有使用,存储类转换计划也具有migstorage引用。(BZ#2078459)
在之前的版本中,下载所有日志的压缩(.zip)文件夹时,缺少velero pod。(BZ#2076599)
在之前的版本中,执行迁移后,下拉列表中提供的日志中不包含velero pod日志。(BZ#2076593)
在之前的版本中,当尝试在migrationcontroller中设置任何有效或无效的rsync选项时,log-reader不会显示任何关于无效选项或关于正在使用的rsync命令的日志。(BZ#2079252)
在之前的版本中,Velero/Restic的默认CPU请求过高,在某些环境中会失败。Velero和Restic Pod的默认CPU请求设置为500m。这些值过高。(BZ#2088022)
已知问题
此版本存在以下已知问题:
将复制存储库更新到不同的类型并单击“更新存储库”后,它会显示连接成功,但UI不会使用正确的详细信息更新。再次单击“编辑”按钮时,它仍然显示旧的复制存储库信息。
此外,当尝试再次更新复制存储库时,它仍然显示旧的复制详细信息。选择新的存储库时,它还会显示您之前输入的所有信息,并且“更新存储库”未启用,就好像没有要提交的更改一样。(BZ#2102020)
迁移在还原阶段失败,因为找不到初始备份。(BZ#2104874)
更新远程集群时,选中**Azure 资源组**复选框并添加资源组不会启用**更新集群**选项。(BZ#2098594)
在 OpenShift Container Platform 中创建backupStorage凭据密钥时,如果从 UI 中删除migstorage,则会返回 404 错误,并且底层密钥不会被删除。(BZ#2100828)
从后端创建 migplan 后,Miganalytic 资源在 UI 中显示资源计数为0。(BZ#2102139)
在公开的注册表路由中添加两个尾部斜杠(即//)后,MigCluster 资源的状态显示为已连接。当使用 DIM 从后端创建 migplan 时,计划将变为未就绪状态。(BZ#2104864)
在 UI 中编辑已添加并处于**已连接**状态的源集群时,服务帐户令牌在字段中不可见。要保存向导,必须再次获取令牌并在字段中提供详细信息。(BZ#2097668)
容器迁移工具包 1.7.1 发行说明
已知问题
此版本存在以下已知问题:
由于目标命名空间以非字母字符开头,因此无法验证 MigPlan。(BZ#2102231)
由于 Velero Pod 上缺少标签,迁移控制器的云传播阶段无法正常工作。迁移控制器中的EnsureCloudSecretPropagated阶段将等待直到复制存储库密钥在两侧都传播。由于 Velero Pod 上缺少此标签,因此该阶段无法按预期工作。(BZ#2088026)
Velero/Restic 的默认 CPU 请求过高,导致某些环境中调度失败。Velero 和 Restic Pod 的默认 CPU 请求设置为 500m。这些值过高。可以使用 DPA 中的podConfig字段配置 Velero 和 Restic 的资源。迁移操作符应将 CPU 请求设置为较低的值,例如 100m,以便在资源受限的环境中调度 Velero 和 Restic Pod,容器迁移工具包 (MTC) 通常在这些环境中运行。(BZ#2088022)
编辑存储类转换计划后,在**persistentVolumes**页面上显示警告。编辑现有迁移计划时,UI 上会显示警告必须至少选择一个 PVC 用于存储类转换。(BZ#2079549)
下载所有日志的压缩(.zip)文件夹时,缺少 velero pod。(BZ#2076599)
执行迁移后,下拉列表中提供的日志中不包含 velero pod 日志。(BZ#2076593)
容器迁移工具包 1.7.0 发行说明
新功能和增强功能
此版本包含以下新功能和增强功能:
-
容器迁移工具包 (MTC) 运算符现在依赖于用于数据保护的 OpenShift API (OADP) 运算符。安装 MTC 运算符时,运算符生命周期管理器 (OLM) 会自动在同一命名空间中安装 OADP 运算符。
-
您可以通过使用
crane tunnel-api命令在两个集群之间建立网络隧道,将数据从位于防火墙后的源集群迁移到基于云的目标集群。 -
在 MTC Web 控制台中转换存储类:您可以通过在同一集群内迁移持久卷 (PV) 来转换其存储类。
已知问题
此版本存在以下已知问题:
-
当 AWS gp2 PVC 没有可用空间时,
MigPlan自定义资源不会显示警告。(BZ#1963927) -
如果目标存储是由 AWS Elastic File System (EFS) 动态配置的 PV,则直接和间接数据传输将无法工作。这是由于 AWS EFS 容器存储接口 (CSI) 驱动程序的限制。(BZ#2085097)
-
IBM Cloud 的块存储必须位于同一可用区。请参阅IBM 关于虚拟私有云块存储的常见问题解答。
-
MTC 1.7.6 无法将支持
v1beta1cron 作业的源集群中的 cron 作业迁移到不支持v1beta1cron 作业的 OpenShift Container Platform 4.12 及更高版本的集群。(BZ#2149119)