$ oc adm upgrade --include-not-recommended- 文档
- OpenShift Container Platform
- 更新集群
- 了解 OpenShift 更新
- 集群更新工作原理 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在受限网络中使用用户自备基础设施在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用 Assisted Installer 安装本地集群
- 使用基于 Agent 的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud (经典版) 上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装具有自定义设置的集群
- 在您自己的基础设施上在 OpenStack 上安装集群
- 在受限网络中在 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整运算符管理多架构集群上的工作负载
- 多架构调整运算符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器操作符
- 适用于 Red Hat OpenShift 的 cert-manager 操作符
- 适用于 Red Hat OpenShift 的 cert-manager 操作符概述
- 适用于 Red Hat OpenShift 的 cert-manager 操作符发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置出口代理
- 使用 cert-manager 操作符 API 字段自定义 cert-manager
- 对适用于 Red Hat OpenShift 的 cert-manager 操作符进行身份验证
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用适用于 Red Hat OpenShift 的 cert-manager 操作符保护路由
- 监控适用于 Red Hat OpenShift 的 cert-manager 操作符
- 为 cert-manager 和适用于 Red Hat OpenShift 的 cert-manager 操作符配置日志级别
- 卸载适用于 Red Hat OpenShift 的 cert-manager 操作符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络操作符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围的代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作员
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非正常关机后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作员
- AWS Elastic File Service CSI 驱动程序操作员
- Azure 磁盘 CSI 驱动程序操作员
- Azure 文件 CSI 驱动程序操作员
- Azure Stack Hub CSI 驱动程序操作员
- GCP PD CSI 驱动程序操作员
- GCP Filestore CSI 驱动程序操作员
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作员
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作员
- OpenStack Cinder CSI 驱动程序操作员
- OpenStack Manila CSI 驱动程序操作员
- Secrets Store CSI 驱动程序操作员
- CIFS/SMB CSI 驱动程序操作员
- VMware vSphere CSI 驱动程序操作员
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作员
- 操作员概述
- 理解操作员
- 用户任务
- 管理员任务
- 开发操作员
- 集群 Operators 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 准备中心集群以进行 ZTP
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证用于 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第 2 天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符 API
- 关于操作符 API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- ImagePruner [imageregistry.operator.openshift.io/v1]
- IngressController [operator.openshift.io/v1]
- InsightsOperator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- MachineConfiguration [operator.openshift.io/v1]
- Network [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- ServiceCA [operator.openshift.io/v1]
- Storage [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略API
- 项目API
- 供应API
- 关于供应API
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸金属主机[metal3.io/v1alpha1]
- 数据镜像[metal3.io/v1alpha1]
- 固件模式[metal3.io/v1alpha1]
- 硬件数据[metal3.io/v1alpha1]
- 主机固件组件[metal3.io/v1alpha1]
- 主机固件设置[metal3.io/v1alpha1]
- Metal3修复[infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板[infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像[metal3.io/v1alpha1]
- 供应[metal3.io/v1alpha1]
- RBAC API
- 角色API
- 调度和配额API
- 安全API
- 存储API
- 关于存储API
- CSI驱动程序[storage.k8s.io/v1]
- CSINode[storage.k8s.io/v1]
- CSI存储容量[storage.k8s.io/v1]
- 持久卷[undefined/v1]
- 持久卷声明[undefined/v1]
- 存储类[storage.k8s.io/v1]
- 存储状态[migration.k8s.io/v1alpha1]
- 存储版本迁移[migration.k8s.io/v1alpha1]
- 卷附加[storage.k8s.io/v1]
- 卷快照[snapshot.storage.k8s.io/v1]
- 卷快照类[snapshot.storage.k8s.io/v1]
- 卷快照内容[snapshot.storage.k8s.io/v1]
- 模板API
- 用户和组API
- 工作负载API
- 关于工作负载API
- 构建配置[build.openshift.io/v1]
- 构建[build.openshift.io/v1]
- 构建日志[build.openshift.io/v1]
- 构建请求[build.openshift.io/v1]
- 定时作业[batch/v1]
- 守护进程集[apps/v1]
- 部署[apps/v1]
- 部署配置[apps.openshift.io/v1]
- 部署配置回滚[apps.openshift.io/v1]
- 部署日志[apps.openshift.io/v1]
- 部署请求[apps.openshift.io/v1]
- 作业[batch/v1]
- Pod[undefined/v1]
- 复制控制器[undefined/v1]
- 副本集[apps/v1]
- 有状态集[apps/v1]
- Lightspeed
- 服务网格
- 服务网格3.x
- 服务网格2.x
- 关于OpenShift服务网格
- 服务网格2.x发行说明
- 升级服务网格
- 了解服务网格
- 服务网格部署模型
- 服务网格和Istio的区别
- 准备安装服务网格
- 安装Operators
- 创建ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用sidecar注入
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift服务网格控制台插件
- 适用于2.1的3scale WebAssembly
- 适用于2.0的3scale Istio适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali配置参考
- Jaeger配置参考
- 卸载服务网格
- 服务网格1.x
- 虚拟化
×
集群更新工作原理
以下部分详细描述了 OpenShift Container Platform (OCP) 更新过程的各个主要方面。有关更新工作原理的概述,请参阅OpenShift 更新简介。
集群版本操作符 (Cluster Version Operator)
集群版本操作符 (CVO) 是协调和促进 OpenShift Container Platform 更新过程的主要组件。在安装和标准集群操作期间,CVO 不断将托管集群操作符的清单与集群内资源进行比较,并协调差异以确保这些资源的实际状态与其期望状态匹配。
ClusterVersion 对象
集群版本操作符 (CVO) 监控的资源之一是ClusterVersion资源。
管理员和 OpenShift 组件可以通过ClusterVersion对象与 CVO 进行通信或交互。期望的 CVO 状态通过ClusterVersion对象声明,而当前的 CVO 状态则反映在对象的 status 中。
|
请勿直接修改 |
CVO 不断将集群与ClusterVersion资源的spec属性中声明的目标状态进行协调。当期望的发行版与实际发行版不同时,该协调将更新集群。
更新可用性数据
ClusterVersion资源还包含有关可用于集群的更新的信息。这包括可用的更新,但不建议由于适用于集群的已知风险而使用这些更新。这些更新称为条件更新。要了解 CVO 如何在ClusterVersion资源中维护有关可用更新的信息,请参阅“更新可用性评估”部分。
-
您可以使用以下命令检查所有可用更新
附加的
--include-not-recommended参数包含具有适用于集群的已知问题的可用更新。示例输出Cluster version is 4.13.40 Upstream is unset, so the cluster will use an appropriate default. Channel: stable-4.14 (available channels: candidate-4.13, candidate-4.14, eus-4.14, fast-4.13, fast-4.14, stable-4.13, stable-4.14) Recommended updates: VERSION IMAGE 4.14.27 quay.io/openshift-release-dev/ocp-release@sha256:4d30b359aa6600a89ed49ce6a9a5fdab54092bcb821a25480fdfbc47e66af9ec 4.14.26 quay.io/openshift-release-dev/ocp-release@sha256:4fe7d4ccf4d967a309f83118f1a380a656a733d7fcee1dbaf4d51752a6372890 4.14.25 quay.io/openshift-release-dev/ocp-release@sha256:a0ef946ef8ae75aef726af1d9bbaad278559ad8cab2c1ed1088928a0087990b6 4.14.24 quay.io/openshift-release-dev/ocp-release@sha256:0a34eac4b834e67f1bca94493c237e307be2c0eae7b8956d4d8ef1c0c462c7b0 4.14.23 quay.io/openshift-release-dev/ocp-release@sha256:f8465817382128ec7c0bc676174bad0fb43204c353e49c146ddd83a5b3d58d92 4.13.42 quay.io/openshift-release-dev/ocp-release@sha256:dcf5c3ad7384f8bee3c275da8f886b0bc9aea7611d166d695d0cf0fff40a0b55 4.13.41 quay.io/openshift-release-dev/ocp-release@sha256:dbb8aa0cf53dc5ac663514e259ad2768d8c82fd1fe7181a4cfb484e3ffdbd3ba Updates with known issues: Version: 4.14.22 Image: quay.io/openshift-release-dev/ocp-release@sha256:7093fa606debe63820671cc92a1384e14d0b70058d4b4719d666571e1fc62190 Reason: MultipleReasons Message: Exposure to AzureRegistryImageMigrationUserProvisioned is unknown due to an evaluation failure: client-side throttling: only 18.061µs has elapsed since the last match call completed for this cluster condition backend; this cached cluster condition request has been queued for later execution In Azure clusters with the user-provisioned registry storage, the in-cluster image registry component may struggle to complete the cluster update. https://issues.redhat.com/browse/IR-468 Incoming HTTP requests to services exposed by Routes may fail while routers reload their configuration, especially when made with Apache HTTPClient versions before 5.0. The problem is more likely to occur in clusters with higher number of Routes and corresponding endpoints. https://issues.redhat.com/browse/NE-1689 Version: 4.14.21 Image: quay.io/openshift-release-dev/ocp-release@sha256:6e3fba19a1453e61f8846c6b0ad3abf41436a3550092cbfd364ad4ce194582b7 Reason: MultipleReasons Message: Exposure to AzureRegistryImageMigrationUserProvisioned is unknown due to an evaluation failure: client-side throttling: only 33.991µs has elapsed since the last match call completed for this cluster condition backend; this cached cluster condition request has been queued for later execution In Azure clusters with the user-provisioned registry storage, the in-cluster image registry component may struggle to complete the cluster update. https://issues.redhat.com/browse/IR-468 Incoming HTTP requests to services exposed by Routes may fail while routers reload their configuration, especially when made with Apache HTTPClient versions before 5.0. The problem is more likely to occur in clusters with higher number of Routes and corresponding endpoints. https://issues.redhat.com/browse/NE-1689oc adm upgrade命令查询ClusterVersion资源以获取有关可用更新的信息,并以人类可读的格式呈现。 -
直接检查 CVO 创建的基础可用性数据的一种方法是使用以下命令查询
ClusterVersion资源$ oc get clusterversion version -o json | jq '.status.availableUpdates'示例输出[ { "channels": [ "candidate-4.11", "candidate-4.12", "fast-4.11", "fast-4.12" ], "image": "quay.io/openshift-release-dev/ocp-release@sha256:400267c7f4e61c6bfa0a59571467e8bd85c9188e442cbd820cc8263809be3775", "url": "https://access.redhat.com/errata/RHBA-2023:3213", "version": "4.11.41" }, ... ] -
可以使用类似的命令来检查条件更新
$ oc get clusterversion version -o json | jq '.status.conditionalUpdates'示例输出[ { "conditions": [ { "lastTransitionTime": "2023-05-30T16:28:59Z", "message": "The 4.11.36 release only resolves an installation issue https://issues.redhat.com//browse/OCPBUGS-11663 , which does not affect already running clusters. 4.11.36 does not include fixes delivered in recent 4.11.z releases and therefore upgrading from these versions would cause fixed bugs to reappear. Red Hat does not recommend upgrading clusters to 4.11.36 version for this reason. https://access.redhat.com/solutions/7007136", "reason": "PatchesOlderRelease", "status": "False", "type": "Recommended" } ], "release": { "channels": [...], "image": "quay.io/openshift-release-dev/ocp-release@sha256:8c04176b771a62abd801fcda3e952633566c8b5ff177b93592e8e8d2d1f8471d", "url": "https://access.redhat.com/errata/RHBA-2023:1733", "version": "4.11.36" }, "risks": [...] }, ... ]
更新可用性评估
集群版本操作符 (CVO) 定期查询 OpenShift 更新服务 (OSUS) 以获取有关更新可能性的最新数据。此数据基于集群的订阅频道。然后,CVO 将有关更新建议的信息保存到其ClusterVersion资源的availableUpdates或conditionalUpdates字段中。
CVO 定期检查条件更新的更新风险。这些风险通过 OSUS 提供的数据传达,该数据包含每个版本的有关可能影响更新到该版本的集群的已知问题的信息。大多数风险仅限于具有特定特征的集群,例如特定大小的集群或在特定云平台上部署的集群。
CVO 不断将集群特征与每个条件更新的条件风险信息进行评估。如果 CVO 发现集群与条件相符,则 CVO 将此信息存储在其ClusterVersion资源的conditionalUpdates字段中。如果 CVO 发现集群与更新的风险不匹配,或者更新没有关联的风险,则它将目标版本存储在其ClusterVersion资源的availableUpdates字段中。
用户界面(Web 控制台或 OpenShift CLI (oc))将此信息以分段标题的形式呈现给管理员。与更新路径相关的每个已知问题都包含指向有关风险的更多资源的链接,以便管理员可以就更新做出明智的决定。
其他资源
发行版镜像
发行版镜像是特定 OpenShift Container Platform (OCP) 版本的交付机制。它包含发行版元数据、与发行版版本匹配的集群版本操作符 (CVO) 二进制文件、部署各个 OpenShift 集群操作符所需的每个清单,以及构成此 OpenShift 版本的所有容器镜像的 SHA 散列版本引用列表。
您可以通过运行以下命令来检查特定发行版镜像的内容
$ oc adm release extract <release image>示例输出
$ oc adm release extract quay.io/openshift-release-dev/ocp-release:4.12.6-x86_64
Extracted release payload from digest sha256:800d1e39d145664975a3bb7cbc6e674fbf78e3c45b5dde9ff2c5a11a8690c87b created at 2023-03-01T12:46:29Z
$ ls
0000_03_authorization-openshift_01_rolebindingrestriction.crd.yaml
0000_03_config-operator_01_proxy.crd.yaml
0000_03_marketplace-operator_01_operatorhub.crd.yaml
0000_03_marketplace-operator_02_operatorhub.cr.yaml
0000_03_quota-openshift_01_clusterresourcequota.crd.yaml (1)
...
0000_90_service-ca-operator_02_prometheusrolebinding.yaml (2)
0000_90_service-ca-operator_03_servicemonitor.yaml
0000_99_machine-api-operator_00_tombstones.yaml
image-references (3)
release-metadata| 1 | ClusterResourceQuota CRD 清单文件,将在运行级别 03 应用 |
| 2 | service-ca-operator 的 PrometheusRoleBinding 资源清单文件,将在运行级别 90 应用 |
| 3 | 所有必需镜像的 SHA 摘要版本引用列表 |
更新流程
以下步骤详细描述了 OpenShift Container Platform (OCP) 更新流程
-
目标版本存储在
ClusterVersion资源的spec.desiredUpdate.version字段中,可以通过 Web 控制台或 CLI 进行管理。 -
集群版本操作符 (CVO) 检测到
ClusterVersion资源中的desiredUpdate与当前集群版本不同。CVO 使用来自 OpenShift 更新服务的图形数据,将所需的集群版本解析为发行版镜像的拉取规范。 -
CVO 验证发行版镜像的完整性和真实性。Red Hat 使用镜像 SHA 摘要作为唯一且不可变的发行版镜像标识符,在预定义位置发布关于已发布发行版镜像的加密签名声明。CVO 使用内置公钥列表来验证与已检查的发行版镜像匹配的声明的存在性和签名。
-
CVO 在
openshift-cluster-version命名空间中创建一个名为version-$version-$hash的作业。此作业使用执行发行版镜像的容器,因此集群通过容器运行时下载镜像。然后,该作业将清单文件和元数据从发行版镜像提取到 CVO 可访问的共享卷中。 -
CVO 验证提取的清单文件和元数据。
-
CVO 检查一些前提条件,以确保在集群中未检测到任何问题条件。某些条件可能会阻止更新继续进行。这些条件是由 CVO 本身确定,或由检测到操作符认为对更新有问题的集群某些细节的各个集群操作符报告。
-
CVO 将接受的发行版记录在
status.desired中,并创建一个关于新更新的status.history条目。 -
CVO 开始协调发行版镜像中的清单文件。集群操作符在称为运行级别的单独阶段进行更新,CVO 确保在一个运行级别中的所有操作符完成更新后才能继续到下一个级别。
-
CVO 本身的清单文件在流程早期应用。当应用 CVO 部署时,当前 CVO pod 将停止,并启动使用新版本的 CVO pod。新的 CVO 将继续协调剩余的清单文件。
-
更新将持续进行,直到整个控制平面更新到新版本。各个集群操作符可能会在其集群域上执行更新任务,并且在执行这些任务时,它们会通过
Progressing=True条件报告其状态。 -
机器配置操作符 (MCO) 清单文件在流程结束时应用。更新后的 MCO 然后开始更新每个节点的系统配置和操作系统。
在控制平面更新完成后,通常在所有节点更新之前,集群报告已更新。更新后,CVO 保持所有集群资源与发行版镜像中交付的状态匹配。
了解更新期间清单文件的应用方式
发行版镜像中提供的一些清单文件必须按照一定的顺序应用,因为它们之间存在依赖关系。例如,必须在创建匹配的自定义资源之前创建 CustomResourceDefinition 资源。此外,各个集群操作符的更新还存在逻辑顺序,以最大限度地减少集群中断。集群版本操作符 (CVO) 通过运行级别的概念实现此逻辑顺序。
这些依赖关系编码在发行版镜像中清单文件的名称中。
0000_<runlevel>_<component>_<manifest-name>.yaml例如
0000_03_config-operator_01_proxy.crd.yamlCVO 在内部为清单文件构建依赖关系图,其中 CVO 遵守以下规则:
-
在更新期间,较低运行级别的清单文件先于较高运行级别的清单文件应用。
-
在一个运行级别内,不同组件的清单文件可以并行应用。
-
在一个运行级别内,单个组件的清单文件按字典顺序应用。
然后,CVO 按照生成的依赖关系图应用清单文件。
|
对于某些资源类型,CVO 在应用其清单文件后会监控该资源,并且只有在该资源达到稳定状态后才认为它已成功更新。达到此状态可能需要一些时间。这对于 |
在 CVO 继续到下一个运行级别之前,它会等待该运行级别中的所有集群操作符满足以下条件:
-
集群操作符具有
Available=True条件。 -
集群操作符具有
Degraded=False条件。
-
集群操作符声明它们已在其 ClusterOperator 资源中达到所需版本。
某些操作可能需要大量时间才能完成。CVO 等待操作完成,以确保后续运行级别可以安全地继续进行。最初协调新发行版的清单文件预计总共需要 60 到 120 分钟;有关影响更新持续时间的因素的更多信息,请参见**了解 OpenShift Container Platform 更新持续时间**。
在前面的示例图中,CVO 正在等待运行级别 20 中的所有工作完成。CVO 已将所有清单文件应用于运行级别中的操作符,但 kube-apiserver-operator ClusterOperator 在其新版本部署后执行某些操作。kube-apiserver-operator ClusterOperator 通过 Progressing=True 条件以及在其 status.versions 中未声明新版本已协调来声明此进度。CVO 将等待 ClusterOperator 报告可接受的状态,然后它将开始协调运行级别 25 的清单文件。
了解机器配置操作符如何更新节点
机器配置操作符 (MCO) 将新的机器配置应用于每个控制平面节点和计算节点。在机器配置更新期间,控制平面节点和计算节点被组织到它们自己的机器配置池中,其中机器池并行更新。.spec.maxUnavailable 参数(默认值为 1)决定机器配置池中可以同时进行更新过程的节点数量。
|
OpenShift Container Platform 中所有机器配置池的 |
当机器配置更新过程开始时,MCO 检查池中当前不可用节点的数量。如果不可用节点少于 .spec.maxUnavailable 的值,则 MCO 将在池中可用的节点上启动以下操作序列:
-
隔离并驱逐节点
隔离节点后,无法将工作负载调度到该节点。
-
更新节点的系统配置和操作系统 (OS)
-
重新启动节点
-
取消隔离节点
正在进行此过程的节点在取消隔离并可以再次将工作负载调度到其之前都不可用。MCO 开始更新节点,直到不可用节点的数量等于 .spec.maxUnavailable 的值。
当节点完成更新并变为可用时,机器配置池中不可用节点的数量再次少于 .spec.maxUnavailable。如果还有需要更新的节点,则 MCO 将启动对节点的更新过程,直到再次达到 .spec.maxUnavailable 限制。此过程将重复进行,直到每个控制平面节点和计算节点都已更新。
以下示例工作流程描述了此过程如何在具有 5 个节点的机器配置池中发生,其中.spec.maxUnavailable 为 3,并且所有节点最初都可用。
-
MCO cordon 了节点 1、2 和 3,并开始将其 draining。
-
节点 2 完成 draining,重新启动并再次可用。MCO cordon 了节点 4 并开始将其 draining。
-
节点 1 完成 draining,重新启动并再次可用。MCO cordon 了节点 5 并开始将其 draining。
-
节点 3 完成 draining,重新启动并再次可用。
-
节点 5 完成 draining,重新启动并再次可用。
-
节点 4 完成 draining,重新启动并再次可用。
由于每个节点的更新过程与其他节点无关,因此上述示例中某些节点的更新完成顺序与其被 MCO cordon 的顺序不同。
您可以运行以下命令检查机器配置更新的状态
$ oc get mcp示例输出
NAME CONFIG UPDATED UPDATING DEGRADED MACHINECOUNT READYMACHINECOUNT UPDATEDMACHINECOUNT DEGRADEDMACHINECOUNT AGE
master rendered-master-acd1358917e9f98cbdb599aea622d78b True False False 3 3 3 0 22h
worker rendered-worker-1d871ac76e1951d32b2fe92369879826 False True False 2 1 1 0 22h其他资源