OpenShift 容器平台 4.17 版本说明

更新基于Go的Operator项目

更新基于Ansible的Operator项目

更新基于Helm的Operator项目

更新基于混合Helm的Operator项目

更新基于Java的Operator项目

不可用

技术预览

正式可用

已弃用

已移除

以前，尝试使用 Redfish 在特定硬件型号上配置 RAID 可能导致以下错误：The attribute StorageControllers/Name is missing from the resource。通过此更新，验证逻辑不再需要Name字段，因为该字段并非 Redfish 标准强制要求。（OCPBUGS-38465)

以前，Redfish 裸金属操作符 (BMO) 模块中 iDRAC9 Redfish 管理接口的管理接口错误地设置为 iPXE。这导致错误Could not find the following interface in the ironic.hardware.interfaces.management entrypoint: ipxe，并在基于戴尔远程访问控制器 (iDRAC) 的服务器上导致部署失败。在此版本中，此问题已解决。（OCPBUGS-37261)

以前，构建无法设置GIT_LFS_SKIP_SMUDGE环境变量并使用其值克隆源代码。这导致某些包含 LFS 文件的 Git 仓库构建失败。在此版本中，构建能够设置此环境变量并在构建的git clone步骤中使用它，从而解决了此问题。（OCPBUGS-33215)

以前，如果开发者或集群管理员使用小写环境变量名称表示代理信息，则这些环境变量会被传递到构建输出容器镜像中。在运行时，代理设置处于活动状态，必须取消设置。在此版本中，防止小写版本的_PROXY环境变量泄漏到构建的容器镜像中。现在，buildDefaults仅在构建期间保留，并且仅为构建过程创建的设置在将镜像推送到注册表之前被移除。（OCPBUGS-12699)

以前，机器控制器未能保存实例模板克隆操作的 VMware vSphere 任务 ID。这导致机器进入Provisioning状态并关闭电源。在此版本中，VMware vSphere 机器控制器可以检测并恢复此状态。（OCPBUGS-1735)

以前，machine-api 操作符在删除处于ERROR状态的服务器时会做出反应。发生这种情况是因为服务器未通过端口列表。在此版本中，删除卡在ERROR状态的机器不会导致操作符做出反应。（OCPBUGS-33806)

以前，由于缺少权限，无法在 Microsoft Azure 工作负载身份集群上配置容量预留。在此版本中，Microsoft.Compute/capacityReservationGroups/deploy/action权限已作为默认凭据请求添加到<infra-name>-openshift-machine-api-azure-cloud-credentials自定义角色中，以便您可以按预期配置容量预留。（OCPBUGS-37154)

以前，集群自动缩放器的可选内部函数在未实现时会导致重复的日志条目。此问题已在此版本中解决。（OCPBUGS-33592)

以前，与正在重启的机器关联的节点短暂地具有Ready=Unknown状态会触发控制平面机器集操作符中的UnavailableReplicas条件。此条件导致操作符进入Available=False状态并触发警报，因为该状态表示需要立即进行管理员干预的非功能性组件。此警报不应在重启期间短暂且预期的不可用性期间触发。在此版本中，添加了节点未就绪的宽限期，以避免触发不必要的警报。（OCPBUGS-20061)

以前，当 OpenShift Container Platform 集群安装时没有任何功能，后来启用了构建功能时，不会创建相关的构建集群配置自定义资源定义 (CRD)。在此版本中，将创建构建集群配置 CRD 及其默认实例。这允许完全配置和自定义构建功能。（OCPBUGS-34395)

以前，即使禁用了功能，与镜像注册表、构建和DeploymentConfig功能相关的角色绑定也会在每个命名空间中创建。在此版本中，只有在集群上启用了功能时才会创建角色绑定。（OCPBUGS-34077)

以前，集群中的密钥是在单个调用中获取的。当存在大量密钥时，API 会超时。在此版本中，云凭据操作符批量获取密钥，每次最多 100 个密钥。此更改可以防止在集群中存在大量密钥时出现超时。（OCPBUGS-41233)

以前，当使用 AWS 安全令牌服务的手动模式的集群中不存在awsSTSIAMRoleARN角色时，云凭据操作符会报告错误。在此版本中，云凭据操作符不再将其报告为错误。（OCPBUGS-33566)

以前，在检查直通权限是否足够时，云凭据操作符有时会从 Google Cloud Platform (GCP) API 收到关于某个权限对项目无效的响应。此响应导致操作符降级并导致安装失败。在此版本中，操作符已更新为优雅地处理此错误。（OCPBUGS-36140)

以前，Go 协程之间很少发生的竞争条件会导致集群版本操作符 (CVO) 在 CVO 启动后发生恐慌。在此版本中，改进了 Go 协程同步，并解决了此问题。（OCPBUGS-32678)

以前，在某些浏览器上，示例目录中的一些图标被拉伸，难以阅读。通过此更新，图标已正确调整大小，现在图标不再拉伸，更易于阅读。（OCPBUGS-34516)

之前，s2i 构建策略并未在func.yml中明确提及。因此，无法使用该仓库创建 OpenShift Serverless 函数。此外，如果未提及 s2i 或func.yml文件存在问题，则不会显示错误消息。结果，无法明显识别故障原因。通过此更新，即使未提及 s2i 构建策略，用户仍然可以创建函数。如果它不是 s2i，则用户无法创建函数。现在这两种情况的错误消息有所不同。(OCPBUGS-33733)

之前，在 OpenShift Container Platform Web 控制台中使用快速入门引导教程时，如果忽略了检查您的工作对话框，则需要多次点击下一步按钮才能跳到下一步。通过此更新，无论检查您的工作框的状态如何，只需点击一次即可。(OCPBUGS-25929)

之前，DTK 错误地包含了/etc/driver-toolkit-release.json配置文件中存在的相同KERNEL_VERSION和RT_KERNEL_VERSION值。通过此更新，RT_KERNEL_VERSION将正确显示。(OCPBUGS-33699)

早期版本的 etcd 操作符以串行方式检查 etcd 成员的健康状况，其所有成员超时时间与单个成员超时时间匹配。结果，一个缓慢的成员检查可能会消耗整个超时时间，并导致后续成员检查失败，而不管后续成员的健康状况如何。在此版本中，etcd 操作符并行检查成员的健康状况，因此一个成员检查的健康状况和速度不会影响其他成员的检查。(OCPBUGS-36301)

之前，etcd 操作符的健康检查没有顺序。因此，即使所有 etcd 成员都处于健康状态，健康检查有时也会失败。健康检查失败会触发缩容事件，导致操作符过早地移除健康成员。在此版本中，操作符中的健康检查已排序。因此，健康检查正确反映了 etcd 成员的健康状况，并且不会发生不正确的缩容事件。(OCPBUGS-36462)

之前，内部镜像仓库无法在配置了外部 OpenID Connect (OIDC) 用户的集群上正确验证用户身份。因此，这使得用户无法向内部镜像仓库推送或拉取镜像。通过此更新，内部镜像仓库开始使用SelfSubjectReview API，放弃使用openshift 特定用户API（在配置了外部 OIDC 用户的集群上不可用）。因此，现在可以再次成功验证内部镜像仓库的身份。(OCPBUGS-35335)

之前，由于证书目录中的权限错误，镜像仓库无法运行。此问题已解决。(OCPBUGS-38885)

之前，在启用virtualHostedStyle并设置镜像仓库操作符配置中的regionEndpoint时，镜像仓库会忽略虚拟托管样式配置，并且无法启动。此更新通过使用新的上游分发配置（强制路径样式）来解决此问题，而不是使用下游专用版本（虚拟托管样式）。(OCPBUGS-32710)

之前，当 OpenShift Container Platform 部署在具有工作负载 ID 的 Azure 集群上时，为集群和镜像仓库创建的存储帐户默认情况下启用了存储帐户密钥访问，这可能会对部署造成安全风险。

之前，从集群 API 机器对象中提取 IP 地址只会返回单个地址。在 VMware vSphere 上，返回的地址始终是 IPv6 地址，如果地址不可路由，这会导致must-gather实现出现问题。在此版本中，集群 API 机器对象返回所有 IP 地址（包括 IPv4），因此 VMware vSphere 上不再出现must-gather问题。(OCPBUGS-37427)

之前，在 IBM Cloud® 上将集群安装到现有 VPC 时，安装程序会检索不受支持的 VPC 区域。尝试安装到按字母顺序排列在不受支持的 VPC 区域后面的受支持的 VPC 区域会导致安装程序崩溃。在此版本中，安装程序已更新为忽略在资源查找期间不可用的任何 VPC 区域。(OCPBUGS-14963)

之前，无论模板字段是否定义，安装程序都会尝试在 VMware vSphere 上下载 OVA。通过此更新，此问题已解决。安装程序会验证模板字段是否已定义。如果未定义模板字段，则下载 OVA。如果定义了模板字段，则不下载 OVA。(OCPBUGS-39240)

之前，如果未启用特性门ClusterAPIInstallAWS=true，启用自定义特性门有时会导致 AWS 集群上的安装失败。在此版本中，不需要ClusterAPIInstallAWS=true特性门。(OCPBUGS-34708)

之前，如果安装程序由于基础设施配置失败而退出，则某些进程可能会继续运行。通过此更新，当安装程序终止时，所有与安装相关的进程都会终止。(OCPBUGS-36378)

之前，即使提供了现有的 IAM 角色，安装程序在 AWS 上安装集群时也需要权限来创建和删除 IAM 角色。此更新后，安装程序仅在创建 IAM 角色时才需要这些权限。（OCPBUGS-36390）

之前，较长的集群名称会被裁剪，而不会向用户发出警告。此更新后，安装程序会在裁剪较长的集群名称时向用户发出警告。（OCPBUGS-33840）

之前，openshift-install CLI 在收集引导程序收集日志时有时无法连接到引导程序节点。安装程序报告的错误消息例如 引导机器未执行 release-image.service systemd 单元。在此版本中，引导程序收集日志问题发生后，安装程序现在报告 无效的日志包或无法访问引导程序机器且未收集引导程序日志，这是一个更准确的错误消息。（OCPBUGS-34953）

之前，在 AWS 上安装集群时，安装程序创建的子网被错误地标记为 kubernetes.io/cluster/: shared 标签。此更新后，这些子网被正确标记为 kubernetes.io/cluster/: owned 标签。（OCPBUGS-36904）

之前，如果安装失败，则安装过程中保存的本地 etcd 数据存储不会被删除，从而消耗安装主机上的额外空间。此更新后，如果基础设施配置失败导致安装失败，则会删除数据存储。（OCPBUGS-36284）

之前，当文件夹未定义且数据中心位于数据中心文件夹中时，会从 vCenter 服务器的根目录开始创建错误的文件夹结构。通过使用 Govmomi DatacenterFolders.VmFolder，它使用了错误的路径。在此版本中，文件夹结构使用数据中心清单路径并将其与虚拟机 (VM) 和集群 ID 值连接，问题已解决。（OCPBUGS-38616）

之前，当为每个故障域定义模板时，安装程序需要外部连接才能下载 VMware vSphere 中的 OVA。在此版本中，问题已解决。（OCPBUGS-39239）

之前，在 Nutanix 上使用动态主机配置协议 (DHCP) 网络安装集群会导致失败。在此版本中，此问题已解决。（OCPBUGS-38934）

之前，由于 SCOS 中的 EFI 安全启动失败，当 FCOS 切换到 SCOS 时，虚拟机 (VM) 无法启动。在此版本中，只有在coreos.ovf配置文件中启用了安全启动时才禁用安全启动，问题已解决。（OCPBUGS-37736）

之前，如果在install-config.yaml文件中指定了不受支持的架构，安装程序将失败并显示连接被拒绝消息。此更新后，安装程序会正确验证集群架构参数，从而实现成功安装。（OCPBUGS-38841）

之前，VMware vSphere 集群 API 机器上的一种罕见情况会导致 vCenter 会话管理意外超时。在此版本中，在当前版本和更高版本的 CAPV 中禁用了保持活动支持，问题已解决。（OCPBUGS-38677）

之前，Amazon Web Services (AWS) 上的安装程序使用了多个 Amazon 已开始收费的 IPv4 公共 IP 地址。在此版本中，OpenShift Container Platform 提供了自带 (BYO) 公共 IPv4 池的支持，以便用户可以控制其服务使用的 IP 地址。启用 BYO 公共 IPv4 池功能后，需要两个新的权限，ec2:DescribePublicIpv4Pools 和 ec2:DisassociateAddress，问题已解决。（OCPBUGS-35504）

之前，当用户在使用现有子网并创建私有集群时提供公共子网时，安装程序偶尔会将公共子网中创建的负载均衡器暴露在公共互联网上。这使得私有集群的理由无效。在此版本中，通过在私有安装过程中显示警告来解决此问题，警告指出提供公共子网可能会破坏私有集群，为了防止这种情况，用户必须修复其输入。（OCPBUGS-38963）

之前，在安装过程中，oc adm node-image create 命令使用 kube-system/cluster-config-v1 资源来确定平台类型。在此版本中，安装程序使用基础设施资源，该资源提供有关平台类型的更准确信息。（OCPBUGS-39092）

之前，在受限环境中使用代理对集群运行 oc adm node-image create 命令时会失败，因为该命令忽略了集群范围的代理设置。在此版本中，运行该命令时，它会检查集群代理资源设置（如果可用），以确保命令成功运行，问题已解决。（OCPBUGS-39090）

之前，使用基于代理的安装程序安装集群时，assisted-installer 进程在尝试将控制平面节点添加到集群时可能会超时。此更新后，assisted-installer 进程会从 assisted-service 进程加载最新数据，从而防止超时。（OCPBUGS-36779）

之前，当 VMware vSphere vCenter 集群包含一个未定义标准端口组的 ESXi 主机并且安装程序尝试选择该主机来导入 OVA 时，导入会失败并报告错误 设备 0 配置无效。在此版本中，安装程序会验证是否为 ESXi 主机定义了标准端口组，如果没有，则继续直到找到具有定义的标准端口组的 ESXi 主机，或者如果找不到则报告错误消息，从而解决问题。（OCPBUGS-38560）

之前，从集群 API 机器对象中提取 IP 地址只会返回单个 IP 地址。在 VMware vSphere 上，返回的地址始终是 IPv6 地址，如果地址不可路由，这会导致must-gather实现出现问题。在此版本中，集群 API 机器对象返回所有 IP 地址，包括 IPv4，因此 VMware vSphere 上不再出现must-gather问题。（OCPBUGS-37607）

之前，在 AWS 上安装集群时，即使禁用了 EKS，Elastic Kubernetes Service (EKS) 消息也可能出现在安装日志中。此更新禁用了 EKS 日志消息。(OCPBUGS-35752)

之前，在创建安装程序预配的基础设施集群时，终端会显示意外输出。在此版本中，此问题已解决，不再显示意外输出。(OCPBUGS-35547)

之前，在使用./openshift-install destroy cluster命令删除集群后，在 AWS 上安装集群会失败，并显示错误消息，指出可能已经有正在运行的集群。此更新在销毁集群时会删除所有剩余的构件，从而确保后续安装成功。(OCPBUGS-35542)

之前，在 AWS 上安装集群时，负载均衡器入口规则会不断被撤销和重新授权，导致不必要的 API 调用和集群预配延迟。此更新不再在安装过程中撤销负载均衡器入口规则，从而减少了 API 流量和安装延迟。(OCPBUGS-35440)

之前，在设置platform.openstack.controlPlanePort.network且未设置fixedIPs值时，安装程序会输出关于网络缺少子网的误导性错误消息。在此版本中，安装程序会验证install-config字段controlPlanePort是否设置了有效的子网过滤器，因为这是一个必需的值。(OCPBUGS-37104)

之前，为用户预配的安装平台添加 IPv6 支持会导致 Red Hat OpenStack Platform (RHOSP) 资源命名问题，尤其是在同一 Red Hat OpenStack Platform (RHOSP) 平台上运行两个用户预配的安装集群时。这是因为这两个集群共享网络、子网和路由器资源的相同名称。在此版本中，集群的所有资源名称对于该集群都是唯一的，因此不会发生冲突。(OCPBUGS-33973)

之前，在使用安装程序预配的基础设施在 IBM Power® 虚拟服务器上安装集群时，安装可能会由于负载均衡器超时而失败。此更新使安装程序等待负载均衡器可用，而不是超时。(OCPBUGS-34869)

之前，在使用 Assisted Installer 时，使用包含冒号字符 (:) 的密码会导致安装失败。此更新后，密码中包含冒号的拉取密钥不会导致 Assisted Installer 失败。(OCPBUGS-31727)

之前，使用 SATA 硬件的固态硬盘 (SSD) 被识别为可移动硬盘。OpenShift Container Platform 的 Assisted Installer 报告未找到合格的磁盘，安装停止。在此版本中，可移动磁盘符合安装条件。(OCPBUGS-33404)

之前，在使用安装程序预配的基础设施在裸机上安装集群时，如果引导虚拟机的网络速度慢，安装可能会超时。此更新增加了超时持续时间，以涵盖更广泛的网络性能场景。(OCPBUGS-41500)

之前，在 IBM Power® 虚拟服务器上安装集群时，安装程序未在madrid区域列出e980系统类型。此更新后，安装程序会正确列出此区域。(OCPBUGS-38439)

之前，安装单节点 OpenShift 集群后，监控系统可能会产生适用于多节点集群的警报。此更新后，单节点 OpenShift 集群只会产生适用于单节点 OpenShift 集群的监控警报。(OCPBUGS-35833)

之前，在 IBM Power® 虚拟服务器上安装集群时，安装可能会由于 DHCP 服务器网络冲突而失败。此更新后，安装程序会选择一个随机数来生成 DHCP 网络，以避免冲突。(OCPBUGS-33912)

之前，安装程序使用 Neutron API 端点来标记安全组。此 API 不支持特殊字符，因此一些 Red Hat OpenStack Platform (RHOSP) 集群无法在 RHOSP 上安装。在此版本中，安装程序使用替代端点来标记安全组，因此此问题不再存在。(OCPBUGS-36913)

之前，在你的install-config配置文件中为机器池的additionalNetworkIDs参数设置无效的通用唯一标识符 (UUID) 会导致安装程序退出集群安装。在此版本中，安装程序会在程序继续安装集群之前检查additionalNetworkIDs参数的有效性，因此此问题不再存在。(OCPBUGS-35420)

之前，对于 IBM Power® 虚拟服务器安装程序预配的基础设施集群，如果动态主机配置协议 (DHCP) 没有网络名称，则销毁代码将跳过删除 DHCP 资源。在此版本中，现在会测试 DHCP 是否处于ERROR状态，以便删除 DHCP 资源。(OCPBUGS-35039)

之前，在一些 Hypershift 托管集群中，即使启用了网络模糊处理，IO 存档也包含主机名。此问题已解决，启用模糊处理后，IO 存档不再包含主机名。(OCPBUGS-33082)

之前，在运行 OpenShift Container Platform 4.16 和 Telco RAN DU 参考配置的集群中，长时间运行的cyclictest或timerlat测试可能会失败，检测到的最大延迟超过20 us。出现此问题是因为启用 cgroup v2 时，psi内核命令行参数默认设置为1。在此版本中，通过在启用 cgroup v2 时将内核参数中的psi设置为0来修复此问题。OCPBUGS-34022中报告的cyclictest延迟问题也已修复。(OCPBUGS-37271)

之前，如果集群管理员创建引用旧版拉取密钥的新MachineOSConfig对象，则每当原始拉取密钥更改时，都不会更新此密钥的规范化版本。在此版本中，此问题已解决。(OCPBUGS-34079)

之前，/etc/mco/internal-registry-pull-secret.json 密钥由机器配置操作符 (MCO) 管理。由于最近的更改，此密钥每小时轮换一次。每当 MCO 检测到此密钥发生更改时，它都会将密钥部署到集群中的每个节点，这会导致中断。通过此修复，不同的内部机制处理内部注册表拉取密钥的更改，以避免重复部署 MachineConfig 更新。（OCPBUGS-33913）

之前，如果您创建了多个需要规范化密钥的MachineOSConfig 对象，则只有第一个对象能够构建。通过此修复，构建控制器可以处理使用相同规范化密钥的多个MachineOSBuilds。（OCPBUGS-33671）

之前，如果机器配置池 (MCP) 的maxUnavailable 值高于集群中不可用节点的数量，则可能会错误地选择隔离的节点作为更新候选者。此修复在节点控制器中添加了节点就绪性检查，以便将隔离的节点排队等待更新。（OCPBUGS-33397）

之前，如果节点在 drain 控制器中多次排队，则可能会两次 drain 节点。此行为可能是由于集群内分层功能对节点对象的活动增加所致。通过此修复，排队等待 drain 的节点只会 drain 一次。（OCPBUGS-33134）

之前，如果取消引用意外删除MachineOSConfig/MachineOSBuild 来读取构建状态，则在机器配置控制器和机器构建控制器对象中可能会出现恐慌。通过额外的错误条件来控制恐慌，并警告允许的 MachineOSConfig 删除。（OCPBUGS-33129）

之前，从 OpenShift Container Platform 4.1 或 4.2 升级到 4.15 版本后，某些机器可能会在预配过程中卡住，并且永远无法可用。这是因为这些节点上的machine-config-daemon 二进制文件不兼容，导致machine-config-daemon-firstboot 服务失败。在此版本中，在启动之前会将正确的machine-config-daemon 二进制文件复制到节点。（OCPBUGS-28974）

之前，如果您尝试在非 RHCOS 节点上配置集群内 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像分层，则节点将降级。通过此修复，在这种情况下，节点日志中会生成一条错误消息，但节点不会降级。（OCPBUGS-19537）

之前，“集群概览”页面包含一个“查看文档中的所有步骤”链接，该链接对 AWS 上的 Red Hat OpenShift 服务和 Red Hat OpenShift 专用集群导致 404 错误。在此更新中，AWS 上的 Red Hat OpenShift 服务和 Red Hat OpenShift 专用集群不会显示此链接。（OCPBUGS-37054）

之前，如果您在支持 GCP 工作负载身份的 Google Cloud Platform (GCP) 集群上，并且操作符支持它，则不会提供警告。在此版本中，添加了支持 GCP 工作负载身份和联合身份操作符安装的逻辑，因此现在您在 GCP 集群上会收到警报。（OCPBUGS-38591）

之前，在“集群设置”页面上的“更新”图表中，版本号文本在使用 Firefox 深色模式时显示为深色背景上的黑色文本。在此更新中，文本显示为白色。（OCPBUGS-38427）

之前，使用 PatternFly 4 的动态插件引用了 OpenShift Container Platform 4.15 及更高版本中不可用的变量。这导致 Red Hat Advanced Cluster Management (RHACM) 在深色模式下出现对比度问题。在此更新中，现在可以使用旧的图表样式来支持动态插件使用的 PatternFly 4 图表。（OCPBUGS-36816）

之前，显示准入 Webhook 警告实现存在一些不正确的代码问题。在此更新中，已删除不必要的警告消息。（OCPBUGS-35940）

之前，应用于所有 HTTP 服务器的全局同步锁使用特定于每个刷新令牌的同步锁来生成 goroutine。在此版本中，使用为每个令牌刷新的同步替换了具有外部 OIDC 环境的集群上的全局刷新同步锁。因此，刷新令牌性能提高了 30% 到 50%。（OCPBUGS-35080）

之前，在PodDisruptionBudget 创建和编辑表单中，没有显示minAvailable 警告。在此更新中，添加了显示minAvailable 警告的代码逻辑，如果违反了minAvailable，则会显示警告。（OCPBUGS-34937）

之前，**OperandDetails** 页面显示与名称匹配的第一个 CRD 的信息。在此修复之后，**OperandDetails** 页面显示与名称和操作数版本匹配的 CRD 的信息。（OCPBUGS-34901）

之前，一个非活动或空闲的浏览器选项卡会导致所有其他选项卡的会话过期。在此更改后，即使存在一个非活动或空闲的浏览器选项卡，任何选项卡中的活动也能防止会话过期。（OCPBUGS-34387）

之前，文本区域不可调整大小。在此更新中，您现在可以调整文本区域的大小。（OCPBUGS-34200）

之前，对于状态为“已完成”的 Pod，不会显示“调试容器”链接。在此更改后，该链接现在显示。（OCPBUGS-33631）

之前，由于 Prometheus 查询错误，OpenShift Container Platform Web 控制台未在“节点列表”页面上显示filesystem 指标。在此更新中，filesystem 指标已正确显示。（OCPBUGS-33136）

之前，由于配置问题，伪本地化不起作用。在此修复之后，伪本地化再次起作用。（OCPBUGS-30218）

之前，如果将--user-auth 标志设置为disabled，则控制台 Pod 会崩溃循环。在此更新中，控制台后端正确处理此值。（OCPBUGS-29510）

之前，利用率卡显示的limit 错误地暗示了容量和限制之间的关系。在此更新中，已更改limit 的位置并更新了措辞。（OCPBUGS-23332）

之前，在某些极端情况下，在使用 Websocket 监视命名空间资源而不提供命名空间时，可能会获取错误的资源。在此更新中，已向资源监视逻辑添加了验证，以防止 Websocket 请求并在这种情况下记录错误。（OCPBUGS-19855）

之前，视角切换处理不当。此更新后，通过 URL 搜索参数或插件路由页面扩展传递的视角现在可以正确切换视角并保留正确的 URL 路径。（OCPBUGS-19048）

之前，SR-IOV 网络操作员以随机顺序列出SriovNetworkNodePolicies资源。这导致sriov-device-plugin pod 进入持续重启循环。在此版本中，SR-IOV 网络操作员以确定性顺序列出策略，从而避免sriov-device-plugin pod 进入持续重启循环。（OCPBUGS-36243）

之前，在新 pod 内创建的接口将保持无效，并会生成 Gratuitous Address Resolution Protocol (GARP) 通知。该通知未到达集群，这阻止了集群内其他 pod 的 ARP 表更新新 pod 的 MAC 地址。这种情况导致集群流量停滞，直到 ARP 表项过期。在此版本中，现在在 pod 内的接口处于活动状态后发送 GARP 通知，以便 GARP 通知到达集群。因此，周围的 pod 可以比之前的行为更早地识别新 pod。（OCPBUGS-30549）

之前，为集群启用 FIPS 会导致 SR-IOV 设备插件 pod 失败。在此版本中，SR-IOV 设备插件 pod 已启用 FIPS，以便在为集群启用 FIPS 时，pod 不会失败。（OCPBUGS-41131）

之前，在重新引导使用具有少量预留 CPU 的性能配置文件的 OpenShift Container Platform 节点后，会产生竞争条件。这是因为单根 I/O 虚拟化 (SR-IOV) 虚拟函数 (VF) 共享相同的 MAC 地址，并且使用 VF 的任何 pod 都会遇到通信问题。在此版本中，对 SR-IOV 网络操作员配置守护程序的更新确保操作员检查 VF 上不存在重复的 MAC 地址。（OCPBUGS-33137）

之前，如果删除sriovOperatorConfig自定义资源 (CR)，则无法创建新的sriovOperatorConfig CR。在此版本中，删除sriovOperatorConfig CR 时，单根 I/O 虚拟化 (SR-IOV) 网络操作员会删除验证 Webhook，以便可以创建新的sriovOperatorConfig CR。（OCPBUGS-37567）

之前，当切换集群以使用不同的负载均衡器时，Ingress 操作员不会从IngressController自定义资源 (CR) 状态中的classicLoadBalancer和networkLoadBalancer参数中删除值。这种情况导致 CR 的状态报告来自classicLoadBalancer和networkLoadBalancer参数的错误信息。在此版本中，切换集群以使用不同的负载均衡器后，Ingress 操作员会从这些参数中删除值，以便 CR 报告更准确、更清晰的状态消息。（OCPBUGS-38646）

之前，当多播发送方和多播接收方存在于同一节点上时，没有多播数据包到达预期的目标节点。这是由于 OVN-Kubernetes RPM 包更新造成的。在此版本中，OVN-Kubernetes RPM 包已修复此回归问题，因此该问题不再持续存在。（OCPBUGS-34778）

之前，为 Ingress 操作员创建LoadBalancer服务时，会生成一条日志消息，指出更改无效。此日志消息应仅针对对Infra自定义资源的更改触发。在此版本中，为 Ingress 操作员创建LoadBalancer服务时，不再生成此日志消息。（OCPBUGS-34413）

之前，DNSNameResolver控制器向 CoreDNS pod 发送 DNS 请求，这些请求针对具有生存时间 (TTL) 值已过期的 IP 地址的 DNS 名称。这导致为这些 pod 持续生成 DNS 请求和内存泄漏问题。在此版本中，DNSNameResolver控制器会在收到 DNS 名称的更新的 IP 地址和 TTL 值列表后，才会向 DNS 名称发送更多请求。因此，控制器不再生成错误请求并将其发送到 pod。CoreDNS pod 现在可以及时响应 DNS 请求，并使用最新的 IP 地址和 TTL 更新DNSNameResolver对象。（OCPBUGS-33750）

之前，使用must-gather工具时，Multus 容器网络接口 (CNI) 日志文件multus.log存储在节点的文件系统中。这种情况导致该工具在节点中生成不必要的调试 pod。在此版本中，Multus CNI 不再创建multus.log文件，而是使用 CNI 插件模式检查openshift-multus命名空间中 Multus DaemonSet pod 的任何日志。（OCPBUGS-33959）

之前，在OVNKubernetesNorthdInactive应该触发的情况下，不会触发其警报。在此版本中，已修复此问题，以便OVNKubernetesNorthdInactive警报按预期触发。（OCPBUGS-33758）

之前，对于所有已自定义默认路由的 pod，Kubernetes-OVN 伪装地址的缺失路由导致每个 pod 都无法通过其充当后端的服务连接到自身。在此版本中，已将 Kubernetes-OVN 伪装地址的缺失路由添加到 pod，因此问题不再发生。（OCPBUGS-36865）

之前，iptables-alerter pod 未处理来自crictl命令行界面的错误，这可能导致 pod 错误地记录来自host-network pod 的事件或导致 pod 重启。在此版本中，错误已得到正确处理，因此这些问题不再持续存在。（OCPBUGS-37713）

之前，如果使用代理来创建托管集群，以便集群从计算节点访问控制平面，则计算节点将无法访问集群。在此版本中，已更新节点的代理设置，以便节点可以使用代理成功与控制平面通信。（OCPBUGS-37786）

之前，当集群无法在配置了负载均衡器的本地平台上安装时，LoadBalancer服务的LoadBalancerReady条件会收到SyncLoadBalancerFailed状态。该状态会生成以下消息：

The kube-controller-manager logs might contain more details.

The cloud-controller-manager logs may contain more details.

之前，无法控制为集群节点选择IP地址的内部组件的日志级别。在此版本中，现在可以启用调试日志级别，以便可以按需增加或减少日志级别。要调整日志级别，必须创建一个类似于以下内容的配置映射清单文件：

apiVersion: v1
data:
  enable-nodeip-debug: "true"
kind: ConfigMap
metadata:
  name: logging
  namespace: openshift-vsphere-infra
# ...

之前，Ingress Operator无法成功更新金丝雀路由，因为Operator没有权限更新现有路由上的spec.host或spec.subdomain字段。在此版本中，已向Operator的服务帐户的集群角色添加了所需的权限，Ingress Operator可以更新金丝雀路由。(OCPBUGS-36465)

之前，需要管理员权限才能在受支持的本地平台上运行某些网络容器，例如Keepalived。在此版本中，这些容器不再需要管理员权限即可在受支持的本地平台上运行。(OCPBUGS-36175)

之前，如果您的NodeNetworkConfigurationPolicy (NNCP)自定义资源 (CR) 设置为使用默认生成树协议 (STP) 实现，则CR配置文件将显示stp.enabled: true，但OpenShift Container Platform Web控制台会清除STP复选框。在此版本中，只有在NNCP CR YAML文件中定义stp.enabled: false后，Web控制台才会清除STEP复选框。(OCPBUGS-36238)

之前，由于CanaryRepetitiveFailures条件的定时更新问题，Ingress Controller状态错误地显示为Degraded=False。在此版本中，Ingress Controller状态会在CanaryRepetitiveFailures条件存在的时间内正确标记为Degraded=True。(OCPBUGS-39220)

之前，容器运行时配置控制器在将作用域从ClusterImagePolicy CR添加到/etc/containers/registries.d/sigstore-registries.yaml文件之前，不会检测是否正在使用镜像配置。结果，镜像验证失败，并显示Not looking for sigstore attachments消息。通过此修复，镜像将按预期从镜像注册表中提取。(OCPBUGS-36344)

之前，当在Pod规范中设置spec.securityContext.runAsGroup属性时，不会将组ID添加到容器内的/etc/group目录中。在此版本中，此问题已修复。(OCPBUGS-39478)

之前，由于RHEL 9.4内核（早于5.14.0-427.26.1.el9_4）上的严重回归，mglru功能的内存管理已禁用。在此版本中，回归问题已修复，因此mglru功能现在已在OpenShift Container Platform 4.17中启用。(OCPBUGS-35436)

之前，由于内部错误，如果机器拥有超过256个CPU，节点调整操作器会错误地计算中断和网络处理CPU亲和性的CPU掩码。这会阻止在这些机器上进行正确的CPU隔离，并导致systemd单元故障。在此版本中，节点调整操作器会正确计算掩码。(OCPBUGS-39164)

之前，Open vSwitch (OVS) 固定过程设置了主线程的CPU亲和性，但是如果其他CPU线程已创建，则它们不会获取此亲和性。结果，一些OVS线程没有在正确的CPU集合上运行，这可能会干扰服务质量 (QoS) 类别为Guaranteed的Pod的性能。通过此更新，OVS固定过程会更新所有OVS线程的亲和性，确保所有OVS线程都在正确的CPU集合上运行。(OCPBUGS-35347)

之前，当您在OpenShift Container Platform Web控制台上以**管理员**视角登录并使用**观察** → **告警**功能时，警报指标图表上会显示S is not a function。此问题是由于缺少函数验证检查造成的。在此版本中，添加了函数验证检查，因此警报指标图表会显示收集到的指标。(OCPBUGS-37291)

之前，当使用带--delete标志的oc-mirror插件v2从镜像注册表中删除Operator目录时，该过程会失败并显示以下错误：

2024/08/02 12:18:03 [ERROR]: [OperatorImageCollector] pinging container registry localhost:55000: Get "https://127.0.0.1:55000/v2/": http: server gave HTTP response to HTTPS client.

之前，当在镜像到磁盘模式下使用oc-mirror插件v2时，目录映像和内容会基于映像摘要存储在working-dir下的子文件夹中。在完全断开的环境中进行磁盘到镜像过程期间，插件会尝试通过不可用的源注册表解析目录映像标签，从而导致此类错误：

[ERROR] : [OperatorImageCollector] pinging container registry registry.redhat.io: Get "http://registry.redhat.io/v2/": dial tcp 23.217.255.152:80: i/o timeout

之前，在断开连接的环境中以镜像到磁盘模式使用oc-mirror插件v2时，插件无法访问api.openshift.com来下载graph.tar.gz，导致镜像失败。通过此更新，插件现在会在设置了UPDATE_URL_OVERRIDE环境变量的断开连接环境中搜索本地缓存中的图形映像。如果缺少图形映像，插件会跳过它而不会失败。(OCPBUGS-38469)

之前，oc-mirror插件v2无法在完全断开的环境中将Operator目录从磁盘镜像到镜像。此问题还会影响在ImageSetConfiguration文件中指定了targetCatalog的目录。通过此更新，插件现在可以成功地在完全断开的环境中镜像目录，并且targetCatalog功能可以按预期工作。(OCPBUGS-34521)

之前，使用oc-mirror插件v2时，oc-mirror命令的-v2与--v2标志没有验证。因此，错误地使用-v2（将日志级别设置为2）而不是--v2（切换到oc-mirror插件v2）的用户会收到不清楚的错误消息。通过此更新，提供了标志验证。如果在ImageSetConfig使用v2alpha1 API且未指定--v2的情况下使用-v2标志，则会显示错误消息。现在启用了以下消息，为用户提供了清晰的指导：

[ERROR]: Detected a v2 `ImageSetConfiguration`, please use `--v2` instead of `-v2`.

之前，oc-mirror 插件 v2 在遇到注册表错误（例如超时、身份验证令牌过期、HTTP 500 错误等）时不会自动重试。此更新实现了对这些错误的重试，用户可以使用以下标志配置重试行为：

之前，在使用带有--rebuild-catalogs标志的 oc-mirror 插件 v2 时，本地会重新生成目录缓存，这会导致由于opm二进制文件与平台的兼容性问题或集群上的缓存完整性问题而导致失败。在此更新中，--rebuild-catalogs标志默认为 true，因此目录会在不重新生成内部缓存的情况下重建。此外，镜像命令已修改为在 Pod 启动期间生成缓存，这可能会延迟 Pod 初始化。(OCPBUGS-37667)

之前，oc-mirror 插件 v2 在使用系统代理设置的代理后端运行时，不会使用系统代理配置来恢复版本的签名。在此版本中，系统代理设置现在应用于签名恢复过程。(OCPBUGS-37055)

之前，oc-mirror 插件 v2 在遇到使用与语义版本不兼容的 bundle 版本的 Operators 时会停止镜像过程，这也阻止了创建 IDMS、ITMS 和CatalogSource对象等集群资源。通过此修复，插件现在跳过这些有问题的镜像，而不是停止进程。如果镜像使用不正确的语义版本，控制台会显示包含相关镜像详细信息的警告消息。(OCPBUGS-33081)

之前，oc-mirror 插件 v2 在由于网络问题或无效的 Operator 目录导致镜像失败时，不会生成ImageDigestMirrorSet (IDMS) 或ImageTagMirrorSet (ITMS) 文件。在此更新中，当 Operator 或其他镜像失败时，oc-mirror继续镜像其他镜像，仅当发行版镜像失败时才停止。集群资源是基于成功镜像的镜像生成的，所有错误都收集在日志文件中以供审查。(OCPBUGS-34020)

之前，OpenShift Container Platform 发行版镜像在某些注册表（例如 Red Hat Quay）中不可见。这阻止了用户由于缺少发行版镜像而无法安装 OpenShift Container Platform。在此更新中，发行版镜像始终带有标签，以确保它们出现在 Red Hat Quay 等注册表中，从而实现正确的安装。(OCPBUGS-36410)

之前，oc adm must-gather命令在大型集群中收集与 CPU 相关的性能数据需要很长时间。在此版本中，数据是并行收集的，而不是顺序收集的，这缩短了数据收集时间。(OCPBUGS-34360)

之前，oc set env命令错误地更改了Route和DeploymentConfig对象的 API 版本，例如，apps.openshift.io/v1变为v1。这导致命令退出并出现无法识别与 kind 匹配项错误。在此版本中，错误已修复，以便os set env命令在Route和DeploymentConfig对象中保留正确的 API 版本。(OCPBUGS-32108)

之前，如果must-gather操作由于任何原因失败，并且用户手动删除了剩余的命名空间，则must-gather命令创建的集群角色绑定将保留在集群中。在此版本中，当临时must-gather命名空间被删除时，相关的集群角色绑定也会自动删除。(OCPBUGS-31848)

之前，在使用 oc-mirror 插件 v2 的--v2标志时，如果没有镜像任何镜像并且跳过了某些镜像，则会生成空的imds.yaml和itms.yaml文件。在此版本中，自定义资源生成仅在至少成功镜像了一个镜像时才触发，从而防止创建空文件。(OCPBUGS-33775)

之前，具有许多自定义资源 (CR) 的集群会遇到来自 API 服务器的超时和中断的更新，唯一的解决方法是卸载然后重新安装中断的 Operators。这是因为 OLM 通过使用动态客户端列出器来评估潜在的更新。通过此修复，OLM 使用自定义资源定义 (CRD) 的分页列出器来避免超时和中断的更新。(OCPBUGS-41549)

之前，当registryPoll参数未设置时，目录源 Pod 无法从集群节点故障中恢复。通过此修复，OLM 更新了其检查死 Pod 的逻辑。因此，目录源 Pod 现在可以按预期从节点故障中恢复。(OCPBUGS-39574)

之前，如果在 OpenShift Container Platform 更新后尝试安装以前已删除的 Operator，则安装可能会失败。这是因为 OLM 找不到以前创建的 bundle 解包作业。通过此修复，OLM 可以正确安装以前安装的 Operators。(OCPBUGS-32439)

之前，当自定义资源定义 (CRD) 的新版本指定新的转换策略时，此转换策略应该能够成功转换资源。但是，OLM 无法在不实际执行更新操作的情况下运行新的转换策略进行 CRD 验证。在此版本中，当 CRD 验证使用现有转换策略失败且新版本 CRD 中指定了新的转换策略时，OLM 在更新过程中会生成警告消息。(OCPBUGS-31522)

之前，如果CatalogSource对象中的spec.grpcPodConfig.securityContextConfig字段在具有restricted级别的PodSecurityAdmission (PSA) 值的命名空间内未设置，则目录 Pod 将无法通过 PSA 验证。在此版本中，OLM 目录 Operator 现在使用必要的securityContexts配置目录 Pod 以通过 PSA 验证。(OCPBUGS-29729)

之前，catalogd-controller-manager Pod 可能未部署到节点，尽管它在调度队列中，并且 OLM Operator 将无法安装。通过此修复，相关资源的 CPU 请求已减少，并且问题不再发生。(OCPBUGS-29705)

之前，目录 Operator 有时会尝试连接到存储在缓存中的已删除目录源。通过此修复，目录 Operator 查询客户端以列出集群上的目录源。(OCPBUGS-8659)

之前，使用 512 模拟磁盘的系统上的 LUKS 加密会导致在ignition-ostree-growfs步骤中配置失败，因为存在sfdisk对齐问题。在此版本中，ignition-ostree-growfs脚本检测到这种情况并自动修复对齐。因此，系统在配置期间不再失败。(OCPBUGS-35410)

之前，growpart实用程序中的错误导致 LUKS 设备锁定。这导致系统启动到紧急模式。在此版本中，对growpart实用程序的调用已删除，系统成功启动且没有问题。(OCPBUGS-33124)

之前，如果在主机上 OSTree 级别进行了新的部署，并且与不同 stateroot 上的当前部署相同，OSTree 会将其识别为相等。这种行为阻止了在调用set-default命令时引导加载程序更新，因为 OSTree 没有将两个 stateroot 识别为部署的区分因素。在此版本中，OSTree 的逻辑已修改为考虑 stateroots。因此，OSTree 会正确地将默认部署设置为具有不同 stateroots 的新部署。（OCPBUGS-30276)

之前，托管控制平面集群上的 Secrets Store Container Storage Interface (CSI) 驱动程序由于在使用托管控制平面命令行界面hcp在 Amazon Web Services 上创建 OpenID Connect (OIDC) 基础设施时出现问题而无法挂载密钥。在此版本中，此问题已得到修复，因此驱动程序现在可以挂载卷。（OCPBUGS-18711)

不可用

技术预览

正式可用

已弃用

已移除