服务网格发行说明

Red Hat OpenShift 的 cert-manager 运算符现在支持 IBM Power、IBM Z 和 IBM® LinuxONE。

OSSM-8099 此前，在端点处于排水阶段时，支持持久会话标签存在问题。现在，有一种方法可以处理有状态标头会话的排水端点。

OSSM-8001之前，当Pod中的runAsUser和runAsGroup设置为相同值时，代理GID会错误地设置为与容器GID匹配，这会导致Istio CNI应用的iptables规则出现流量拦截问题。现在，容器可以为runAsUser和runAsGroup参数设置相同的值，iptables规则可以正确应用。

OSSM-8074之前，当服务网格使用纯数字命名空间（例如12345）时，Kiali Operator无法安装Kiali服务器。现在，纯数字命名空间可以正常工作。

OSSM-8001之前，当Pod中的runAsUser和runAsGroup参数设置为相同值时，代理GID会错误地设置为与容器GID匹配，这会导致Istio CNI应用的iptables规则出现流量拦截问题。现在，容器可以为runAsUser和runAsGroup参数设置相同的值，iptables规则可以正确应用。

OSSM-8074之前，Red Hat提供的Kiali Operator在服务网格使用纯数字命名空间（例如12345）时，无法安装Kiali服务器。现在，纯数字命名空间可以正常工作。

OSSM-8001之前，当Pod中的runAsUser和runAsGroup参数设置为相同值时，代理GID会错误地设置为与容器GID匹配，这会导致Istio CNI应用的iptables规则出现流量拦截问题。现在，容器可以为runAsUser和runAsGroup参数设置相同的值，iptables规则可以正确应用。

OSSM-8074之前，Red Hat提供的Kiali Operator在服务网格使用纯数字命名空间（例如12345）时，无法安装Kiali服务器。现在，纯数字命名空间可以正常工作。

OSSM-6766之前，如果用户想要更新命名空间（例如，启用或禁用注入），或创建任何Istio对象（例如，创建流量策略），OpenShift Service Mesh控制台(OSSMC)插件将会失败。现在，如果用户更新命名空间或创建任何Istio对象，OpenShift Service Mesh控制台(OSSMC)插件不会失败。

在OpenShift Dedicated 4.16或更高版本上支持原生Sidecar。

apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
  name: basic
spec:
  runtime:
    components:
      pilot:
        container:
          env:
            ENABLE_NATIVE_SIDECARS: "true"

Istio 1.20中的流量镜像现在支持多个目标。此功能允许将流量镜像到各种端点，从而允许跨不同服务版本或配置同时进行观察。

不支持环境网格(Ambient mesh)

不支持Istio中的QuickAssist Technology (QAT) PrivateKeyProvider

Istio捆绑镜像名称：openshift-service-mesh/istio-operator-bundle

Kiali捆绑镜像名称：openshift-service-mesh/kiali-operator-bundle

OSSM-6754 之前，在 OpenShift Dedicated 4.15 中，当用户导航到“服务详情”页面，点击“服务网格”选项卡并刷新页面时，“服务网格详情”页面会停留在服务网格内容信息上，即使活动选项卡是默认的“详情”选项卡。现在，刷新后，用户可以无问题地浏览“服务详情”页面的不同选项卡。

OSSM-2101 之前，Istio Operator 在不再需要时从未删除 istio-cni-node DaemonSet 和其他 CNI 资源。现在，升级 Operator 后，如果集群中至少安装了一个 SMCP，Operator 将协调此 SMCP，然后删除所有未使用的 CNI 安装（甚至包括早期版本，例如 v2.0）。

OSSM-6099 在 IPv6 集群上安装 OpenShift Service Mesh 控制台 (OSSMC) 插件失败。

OSSM-6331 之前，smcp.general.logging.componentLevels规范接受无效的LogLevel值，并且仍然会创建ServiceMeshControlPlane资源。现在，如果使用了无效值，终端将显示错误消息，并且不会创建控制平面。

OSSM-6290 之前，“Istio 配置”列表页面的“项目”筛选器下拉菜单无法正常工作。即使从下拉菜单中选择特定项目，也会显示所有命名空间中的所有 istio config 项目。现在，仅显示属于筛选器下拉菜单中所选项目的 istio config 项目。

OSSM-6298 之前，当您点击 OpenShift Service Mesh 控制台 (OSSMC) 插件中的项目引用时，控制台有时会在打开所需页面之前执行多次重定向。因此，导航回控制台中打开的上一个页面会导致您的 Web 浏览器打开错误的页面。现在，这些重定向不会发生，并且在 Web 浏览器中点击“后退”会打开正确的页面。

OSSM-6299 之前，在 OpenShift Dedicated 4.15 中，当您点击流量图中任何节点菜单的“节点图”菜单选项时，不会显示节点图。相反，页面会刷新，显示相同的流量图。现在，点击“节点图”菜单选项会正确显示节点图。

OSSM-6267 之前，在 Red Hat OpenShift Service Mesh 2.5 Grafana 中配置数据源会导致数据查询身份验证错误，用户无法在 Istio 服务和工作负载仪表板中查看数据。现在，将现有 2.5 SMCP 升级到 2.5.2 或更高版本可以解决 Grafana 错误。

已添加 `envoyExtAuthzGrpc` 字段，用于使用 gRPC API 配置外部授权提供程序。

已解决常见漏洞和披露 (CVE)。

此版本支持 OpenShift Dedicated 4.10 和更高版本。

为must-gather数据收集工具添加了一个选项，用于收集来自指定服务网格控制平面命名空间的信息。更多信息，请参见 OSSM-351。

改进了拥有数百个命名空间的服务网格控制平面的性能

简化了服务网格控制平面的安装、升级和管理。

减少了服务网格控制平面的资源使用和启动时间。

通过减少网络上的控制平面间通信来提高性能。

无需使用 Kubernetes Secrets，Kubernetes Secrets 存在众所周知的安全风险。

改进了证书轮换期间的性能，因为代理不再需要重新启动即可识别新证书。

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA

不再支持Policy (authentication.istio.io/v1alpha1)。根据您的 Policy 资源中的特定配置，您可能需要配置多个资源才能获得相同的效果。

不再支持ServiceMeshPolicy (maistra.io/v1)。

不再支持RbacConfig (rbac.istio.io/v1alpha1)。

不再支持ServiceMeshRbacConfig (maistra.io/v1)。

不再支持ServiceRole (rbac.istio.io/v1alpha1)。

不再支持ServiceRoleBinding (rbac.istio.io/v1alpha1)。

在 Kiali 中，login和LDAP策略已弃用。未来版本将引入使用 OpenID 提供商进行身份验证。

OSSM-3890 尝试在多租户网格部署中使用网关 API 会生成类似于以下内容的错误消息

2023-05-02T15:20:42.541034Z	error	watch error in cluster Kubernetes: failed to list *v1alpha2.TLSRoute: the server could not find the requested resource (get tlsroutes.gateway.networking.k8s.io)
2023-05-02T15:20:42.616450Z	info	kube	controller "gateway.networking.k8s.io/v1alpha2/TCPRoute" is syncing...

$ kubectl get crd gateways.gateway.networking.k8s.io ||   { kubectl kustomize "github.com/kubernetes-sigs/gateway-api/config/crd/experimental?ref=v0.5.1" | kubectl apply -f -; }

OSSM-2042 名为 default 的 SMCP 部署失败。如果您正在创建 SMCP 对象并将它的版本字段设置为 v2.3，则对象名称不能为 default。如果名称为 default，则控制平面将无法部署，OpenShift 将生成一条包含以下消息的 警告 事件

OSSM-1655 在 SMCP 中启用 mTLS 后，Kiali 仪表板显示错误。

OSSM-1505 此问题仅在 OpenShift Container Platform 4.11 上使用 ServiceMeshExtension 资源时才会发生。当您在 OpenShift Container Platform 4.11 上使用 ServiceMeshExtension 时，资源永远不会变为就绪状态。如果您使用 oc describe ServiceMeshExtension 检查问题，您将看到以下错误：stderr: Error creating mount namespace before pivot: function not implemented。

OSSM-1396 如果网关资源包含 spec.externalIPs 设置，则在更新 ServiceMeshControlPlane 时，网关不会被重新创建，而是会被删除并且永远不会重新创建。

OSSM-1168 当服务网格资源作为单个 YAML 文件创建时，Envoy 代理 sidecar 不会可靠地注入到 Pod 中。当 SMCP、SMMR 和 Deployment 资源分别创建时，部署按预期工作。

OSSM-1115 spec.proxy API 的 concurrency 字段未传播到 istio-proxy。使用 ProxyConfig 设置时，concurrency 字段有效。concurrency 字段指定要运行的工作线程数。如果该字段设置为 0，则可用工作线程数等于 CPU 内核数。如果未设置该字段，则可用工作线程数默认为 2。

apiVersion: networking.istio.io/v1beta1
kind: ProxyConfig
metadata:
  name: mesh-wide-concurrency
  namespace: <istiod-namespace>
spec:
  concurrency: 0

OSSM-1052 为服务网格控制平面中的 ingressgateway 配置服务 ExternalIP 时，不会创建该服务。SMCP 的模式缺少服务的参数。

OSSM-882 这适用于 Service Mesh 2.1 及更早版本。命名空间在 accessible_namespace 列表中，但在 Kiali UI 中未显示。默认情况下，Kiali 不会显示任何以“kube”开头的命名空间，因为这些命名空间通常仅用于内部使用，而不是网格的一部分。

api:
  namespaces:
    exclude:
    - "^istio-operator"
    - "^kube-.*"
    - "^openshift.*"
    - "^ibm.*"
    - "^kiali-operator"

MAISTRA-2692 随着 Mixer 的移除，在 Service Mesh 2.0.x 中定义的自定义指标无法在 2.1 中使用。可以使用 EnvoyFilter 配置自定义指标。Red Hat 无法支持 EnvoyFilter 配置，除非在文档中明确说明。这是由于与底层 Envoy API 紧密耦合造成的，这意味着无法维护向后兼容性。

MAISTRA-2648 服务网格扩展目前与在 IBM Z® 上部署的网格不兼容。

MAISTRA-1959 迁移到 2.0 当启用 mTLS 时，Prometheus 抓取 (spec.addons.prometheus.scrape 设置为 true) 不起作用。此外，当禁用 mTLS 时，Kiali 会显示多余的图形数据。

spec:
  proxy:
    networking:
      trafficControl:
        inbound:
          excludedPorts:
          - 15020

MAISTRA-453 如果您创建一个新项目并立即部署 Pod，则不会发生 sidecar 注入。在创建 Pod 之前，操作员未能添加 maistra.io/member-of，因此必须删除并重新创建 Pod 才能进行 sidecar 注入。

MAISTRA-158 应用多个引用相同主机名的网关将导致所有网关停止运行。

OSSM-6299 在 OpenShift Dedicated 4.15 中，当您单击流量图中任何节点菜单的 **节点图** 菜单选项时，不会显示节点图。而是页面将刷新为相同的流量图。目前，此问题没有变通方法。

OSSM-6298 当您单击 OpenShift Service Mesh 控制台 (OSSMC) 插件中的项目引用（例如与特定服务相关的负载链接）时，控制台有时会在打开所需页面之前执行多次重定向。如果您在 Web 浏览器中单击 **后退**，则会打开控制台的不同页面，而不是前一个页面。作为变通方法，请单击两次 **后退** 以导航到前一个页面。

OSSM-6290 对于 OpenShift Dedicated 4.15，Istio 配置列表页面的项目筛选器无法正常工作。即使您从下拉菜单中选择特定项目，也会显示所有istio项。目前，此问题没有解决方法。

KIALI-2206 当您第一次访问 Kiali 控制台，并且 Kiali 没有缓存的浏览器数据时，“查看 Grafana”链接（位于 Kiali 服务详细信息页面上的指标选项卡）会重定向到错误的位置。您只有在第一次访问 Kiali 时才会遇到此问题。

KIALI-507 Kiali 不支持 Internet Explorer 11。这是因为底层框架不支持 Internet Explorer。要访问 Kiali 控制台，请使用 Chrome、Edge、Firefox 或 Safari 浏览器中的最新两个版本之一。

OSSM-6177 此前，当在ServiceMeshControlPlane (SMCP) 中启用验证消息时，除非启用了GatewayAPI支持，否则istiod会持续崩溃。现在，当启用验证消息但未启用GatewayAPI支持时，istiod不会持续崩溃。

OSSM-6163 解决以下问题

OSSM-6148 此前，当用户点击流量图页面上任何节点的菜单中的任何选项时，OpenShift 服务网格控制台 (OSSMC) 插件无响应。现在，插件通过重定向到相应的详细信息页面来响应菜单中选择的选项。

OSSM-6099 此前，OpenShift 服务网格控制台 (OSSMC) 插件在 IPv6 集群中无法正确加载。现在，OSSMC 插件配置已修改，以确保在 IPv6 集群中正确加载。

OSSM-5960 此前，OpenShift 服务网格控制台 (OSSMC) 插件不显示通知消息，例如后端错误或 Istio 验证。现在，这些通知会正确显示在插件页面的顶部。

OSSM-5959 此前，OpenShift 服务网格控制台 (OSSMC) 插件未在概述页面中显示 TLS 和 Istio 证书信息。现在，此信息已正确显示。

OSSM-5902 此前，当用户点击概述页面上的Istio 配置健康符号时，OpenShift 服务网格控制台 (OSSMC) 插件会重定向到“未找到页面”错误。现在，插件会重定向到正确的Istio 配置详细信息页面。

OSSM-5541 此前，在某些重启情况下，Istio 操作符 Pod 可能会一直等待领导者租约。现在，领导者选举实现已得到增强，以避免此问题。

OSSM-1397 此前，如果您从命名空间中删除了maistra.io/member-of标签，服务网格操作符不会自动将标签重新应用到命名空间。结果，sidecar注入在命名空间中不起作用。

OSSM-3647 此前，在服务网格控制平面 (SMCP) v2.2（Istio 1.12）中，WasmPlugins 仅应用于入站侦听器。自 SMCP v2.3（Istio 1.14）以来，WasmPlugins 默认应用于入站和出站侦听器，这为 3scale WasmPlugin 的用户引入了回归。现在，添加了环境变量APPLY_WASM_PLUGINS_TO_INBOUND_ONLY，允许从 SMCP v2.2 安全迁移到 v2.3 和 v2.4。

spec:
  runtime:
    components:
      pilot:
        container:
          env:
            APPLY_WASM_PLUGINS_TO_INBOUND_ONLY: "true"

OSSM-4851 此前，当runAsGroup、runAsUser或fsGroup参数为nil时，操作符在网格内命名空间中部署新 Pod 时发生错误。现在，已添加 YAML 验证以避免nil值。

OSSM-3771 此前，无法为在服务网格控制平面 (SMCP) 中定义的其他入口网关禁用 OpenShift 路由。现在，可以向每个additionalIngress网关添加routeConfig块，以便可以为每个网关启用或禁用 OpenShift 路由的创建。

OSSM-4197 此前，如果您部署了 v2.2 或 v2.1 的“ServiceMeshControlPlane”资源，则不会创建/etc/cni/multus/net.d/目录。结果，istio-cni Pod 无法准备好，并且istio-cni Pod 日志包含以下消息

$ error   Installer exits with open /host/etc/cni/multus/net.d/v2-2-istio-cni.kubeconfig.tmp.841118073: no such file or directory

OSSM-3993 此前，Kiali 仅通过标准 HTTPS 端口443上的代理支持 OpenShift OAuth。现在，Kiali 支持通过非标准 HTTPS 端口进行 OpenShift OAuth。要启用端口，必须在 Kiali CR 中将spec.server.web_port字段设置为代理的非标准 HTTPS 端口。

OSSM-3936 此前，injection_label_rev和injection_label_name属性的值是硬编码的。这阻止了自定义配置在 Kiali 自定义资源定义 (CRD) 中生效。现在，属性值不是硬编码的。您可以在spec.istio_labels规范中自定义injection_label_rev和injection_label_name属性的值。

OSSM-3644 之前，联邦出口网关接收到了错误的网络网关端点更新，导致额外的端点条目。现在，联邦出口网关已在服务器端更新，因此它接收正确的网络网关端点。

OSSM-3595 之前，istio-cni 插件有时在 RHEL 上失败，因为 SELinux 不允许实用程序 iptables-restore 打开 /tmp 目录中的文件。现在，SELinux 通过 stdin 输入流而不是通过文件传递 iptables-restore。

OSSM-3586 之前，当 Google Cloud Platform (GCP) 元数据服务器不可用时，Istio 代理启动速度很慢。当您升级到 Istio 1.14.6 时，即使元数据服务器不可用，Istioproxy 也能够按预期在 GCP 上启动。

OSSM-3025 Istiod 有时无法准备好。有时，当网格包含许多成员命名空间时，由于 Istiod 内部的死锁，Istiod pod 无法准备好。现在已解决死锁问题，pod 现在可以按预期启动。

OSSM-2493 SMCP 中的默认 nodeSelector 和 tolerations 未传递给 Kiali。现在，您添加到 SMCP.spec.runtime.defaults 中的 nodeSelector 和 tolerations 将传递给 Kiali 资源。

OSSM-2492 SMCP 中的默认容差未传递给 Jaeger。现在，您添加到 SMCP.spec.runtime.defaults 中的 nodeSelector 和 tolerations 将传递给 Jaeger 资源。

OSSM-2374 如果您删除了其中一个 ServiceMeshMember 资源，则服务网格操作员会删除 ServiceMeshMemberRoll。虽然删除最后一个 ServiceMeshMember 时这是预期的行为，但如果操作员包含除已删除的成员之外的任何成员，则操作员不应删除 ServiceMeshMemberRoll。此问题现已修复，操作员仅在删除最后一个 ServiceMeshMember 资源时才删除 ServiceMeshMemberRoll。

OSSM-2373 登录时尝试获取 OAuth 元数据出错。为了获取集群版本，使用了 system:anonymous 帐户。使用集群的默认捆绑的 ClusterRoles 和 ClusterRoleBinding，匿名帐户可以正确获取版本。如果 system:anonymous 帐户失去了获取集群版本的权限，则 OpenShift 身份验证将无法使用。

OSSM-2371 即使 Kiali 配置为“只读”，用户也可以通过工作负载详细信息的“日志”选项卡的 kebab 菜单更改代理日志级别。此问题已修复，因此当 Kiali 配置为“只读”时，“设置代理日志级别”下的选项将被禁用。

OSSM-2344 重启 Istiod 会导致 Kiali 向 CRI-O 发送大量端口转发请求。当 Kiali 无法连接到 Istiod 时，此问题就会发生，并且 Kiali 会同时向 istiod 发出大量请求。现在，Kiali 会限制它发送到 istiod 的请求数量。

OSSM-2335 将鼠标指针拖动到轨迹散点图上有时会导致 Kiali 控制台由于并发后端请求而停止响应。

OSSM-2221 之前，由于默认情况下将 ignore-namespace 标签应用于命名空间，因此无法在 ServiceMeshControlPlane 命名空间中进行网关注入。

$ oc label namespace istio-system maistra.io/ignore-namespace-

OSSM-2053 使用 Red Hat OpenShift Service Mesh Operator 2.2 或 2.3，在 SMCP 调和期间，SMMR 控制器会从 SMMR.status.configuredMembers 中删除成员命名空间。这导致成员命名空间中的服务在几分钟内不可用。

OSSM-1962 在联邦控制器中使用 EndpointSlices。联邦控制器现在使用 EndpointSlices，这提高了大型部署的可扩展性和性能。PILOT_USE_ENDPOINT_SLICE 标志默认启用。禁用该标志将阻止使用联邦部署。

OSSM-1668 一个新的字段 spec.security.jwksResolverCA 已添加到 2.1 版 SMCP 中，但在 2.2.0 和 2.2.1 版本中缺失。从存在此字段的操作员版本升级到缺少此字段的操作员版本时，.spec.security.jwksResolverCA 字段在 SMCP 中不可用。

OSSM-1325 istiod pod 崩溃并显示以下错误消息：fatal error: concurrent map iteration and map write。

OSSM-1211 配置用于故障转移的联合服务网格无法按预期工作。

OSSM-1099 Kiali 控制台显示消息 抱歉，出现问题。请尝试刷新或导航到其他页面。

OSSM-1074 在 SMCP 中定义的 Pod 注解未注入到 Pod 中。

OSSM-999 Kiali 保留功能无法按预期工作。日历时间在仪表板图表中显示为灰色。

OSSM-797 Kiali Operator pod 在安装或更新操作员时生成 CreateContainerConfigError。

OSSM-722 以 kube 开头的命名空间隐藏在 Kiali 中。

OSSM-569 Prometheus istio-proxy 容器没有 CPU 内存限制。Prometheus istio-proxy sidecar 现在使用 spec.proxy.runtime.container 中定义的资源限制。

OSSM-535 支持 SMCP 中的 validationMessages。现在可以将服务网格控制平面中的 ValidationMessages 字段设置为 True。这会为资源的状态写入日志，这在排查问题时非常有用。

OSSM-449 VirtualService 和 Service 导致错误“域仅允许唯一值。重复的域条目”。

OSSM-419 即使命名空间可能未在服务网格成员角色中定义，具有相似名称的命名空间也都会显示在 Kiali 命名空间列表中。

OSSM-296 向 Kiali 自定义资源 (CR) 添加运行状况配置时，它不会复制到 Kiali configmap。

OSSM-291 在 Kiali 控制台的“应用程序”、“服务”和“工作负载”页面上，“从过滤器中删除标签”功能不起作用。

OSSM-289 在 Kiali 控制台的“istio-ingressgateway”和“jaeger-query”服务的“服务详细信息”页面上，没有显示任何跟踪。跟踪存在于 Jaeger 中。

OSSM-287 Kiali 控制台中未显示图服务上的任何跟踪。

OSSM-285 尝试访问 Kiali 控制台时，收到以下错误消息：“尝试获取 OAuth 元数据时出错”。

MAISTRA-2735 在 Red Hat OpenShift Service Mesh 2.1 版本中，服务网格操作符在协调 SMCP 时删除的资源发生了变化。以前，操作符会删除具有以下标签的资源

MAISTRA-2687 Red Hat OpenShift Service Mesh 2.1 联邦网关在使用外部证书时不会发送完整的证书链。服务网格联邦出口网关仅发送客户端证书。由于联邦入口网关只知道根证书，因此除非您将根证书添加到联邦导入ConfigMap，否则它无法验证客户端证书。

MAISTRA-2635 替换已弃用的 Kubernetes API。为了与 OpenShift Dedicated 4.8 保持兼容性，从 Red Hat OpenShift Service Mesh 2.0.8 开始，apiextensions.k8s.io/v1beta1 API 已弃用。

MAISTRA-2631 WASM 功能无法正常工作，因为 podman 由于缺少 nsenter 二进制文件而失败。Red Hat OpenShift Service Mesh 生成以下错误消息：Error: error configuring CNI network plugin exec: "nsenter": executable file not found in $PATH。容器镜像现在包含 nsenter，WASM 可以正常工作。

MAISTRA-2534 当 istiod 尝试为 JWT 规则中指定的颁发者获取 JWKS 时，颁发者服务返回 502 错误。这阻止了代理容器就绪并导致部署挂起。社区错误 的修复程序已包含在 Service Mesh 2.0.7 版本中。

MAISTRA-2411 当操作符使用ServiceMeshControlPlane中的spec.gateways.additionaIngress创建新的入口网关时，操作符不会像对默认 istio-ingressgateway 所做的那样为附加入口网关创建NetworkPolicy。这导致新网关的路由返回 503 响应。

MAISTRA-2401 CVE-2021-3586 servicemesh-operator：NetworkPolicy 资源错误地指定了入口资源的端口。为 Red Hat OpenShift Service Mesh 安装的 NetworkPolicy 资源没有正确指定可以访问哪些端口。这允许从任何 pod 访问这些资源上的所有端口。应用于以下资源的网络策略受到影响

MAISTRA-2378 当集群配置为使用带有ovs-multitenant的 OpenShift SDN 并且网格包含大量命名空间（200+）时，OpenShift Dedicated 网络插件无法快速配置命名空间。服务网格超时导致命名空间不断从服务网格中删除然后重新加入。

MAISTRA-2370 在 listerInformer 中处理墓碑。更新的缓存代码库在将事件从命名空间缓存转换为聚合缓存时没有处理墓碑，导致 go 协程中出现 panic。

MAISTRA-2117 向操作符添加可选的ConfigMap挂载。CSV 现在包含一个可选的ConfigMap卷挂载，如果存在，则挂载smcp-templates ConfigMap。如果smcp-templates ConfigMap不存在，则挂载的目录为空。创建ConfigMap时，目录将填充ConfigMap中的条目，并且可以在SMCP.spec.profiles中引用。无需重启服务网格操作符。

MAISTRA-2010 AuthorizationPolicy 不支持request.regex.headers字段。validatingwebhook会拒绝任何包含此字段的 AuthorizationPolicy，即使您禁用了它，Pilot 也会使用相同的代码来验证它，并且它不起作用。

MAISTRA-1979 *迁移到 2.0* 转换 webhook 在将SMCP.status从 v2 转换为 v1 时会删除以下重要字段

MAISTRA-1983 *迁移到 2.0* 使用现有的无效ServiceMeshControlPlane升级到 2.0.0 难以修复。ServiceMeshControlPlane资源中的无效项目导致无法恢复的错误。此修复使错误可恢复。您可以删除无效的资源并将其替换为新的资源，或者编辑资源以修复错误。有关编辑资源的更多信息，请参见[配置 Red Hat OpenShift Service Mesh 安装]。

MAISTRA-1502 由于 1.0.10 版本中的 CVE 修复，Grafana 中的**主页仪表板**菜单中无法使用 Istio 仪表板。要访问 Istio 仪表板，请单击导航面板中的**仪表板**菜单，然后选择**管理**选项卡。

MAISTRA-1399 Red Hat OpenShift Service Mesh 不再阻止您安装不受支持的 CNI 协议。支持的网络配置没有改变。

MAISTRA-1089 *迁移到 2.0* 在非控制平面命名空间中创建的网关将被自动删除。从 SMCP spec 中删除网关定义后，您需要手动删除这些资源。

MAISTRA-858 描述与 Istio 1.1.x 相关的已弃用选项和配置 的以下 Envoy 日志消息是预期的

MAISTRA-806 Istio Operator Pod 被驱逐导致网格和 CNI 无法部署。

MAISTRA-681 当服务网格控制平面拥有许多命名空间时，可能会导致性能问题。

MAISTRA-193 为 Citadel 启用健康检查时，会显示意外的控制台信息消息。

Bugzilla 1821432 OpenShift Dedicated 自定义资源详情页面中的切换控件无法正确更新 CR。OpenShift Dedicated Web 控制台中服务网格控制平面 (SMCP) 概述页面中的 UI 切换控件有时会更新资源中的错误字段。要更新 SMCP，请直接编辑 YAML 内容或从命令行更新资源，而不是单击切换控件。