服务网格发行说明

Red Hat OpenShift 的 cert-manager Operator 现在支持 IBM Power、IBM Z 和 IBM® LinuxONE。

OSSM-8099 之前，在端点处于 draining 阶段时，支持持久会话标签存在问题。现在，有一种方法可以处理有状态标头会话的 draining 端点。

OSSM-8001 之前，当在 Pod 中将runAsUser和runAsGroup设置为相同值时，代理 GID 会错误地设置为与容器的 GID 匹配，从而导致 Istio CNI 应用的 iptables 规则出现流量拦截问题。现在，容器可以对runAsUser和runAsGroup具有相同的值，并且 iptables 规则可以正确应用。

OSSM-8074 之前，当 Service Mesh 具有纯数字命名空间（例如12345）时，Kiali Operator 无法安装 Kiali 服务器。现在，仅包含数字的命名空间可以正常工作。

OSSM-8001 之前，当在 Pod 中将runAsUser和runAsGroup参数设置为相同值时，代理 GID 会错误地设置为与容器的 GID 匹配，从而导致 Istio CNI 应用的 iptables 规则出现流量拦截问题。现在，容器可以对runAsUser和runAsGroup参数具有相同的值，并且 iptables 规则可以正确应用。

OSSM-8074 之前，Red Hat 提供的 Kiali Operator 在 Service Mesh 具有纯数字命名空间（例如12345）时，无法安装 Kiali Server。现在，仅包含数字的命名空间可以正常工作。

OSSM-8001 之前，当在 Pod 中将runAsUser和runAsGroup参数设置为相同值时，代理 GID 会错误地设置为与容器的 GID 匹配，从而导致 Istio CNI 应用的 iptables 规则出现流量拦截问题。现在，容器可以对runAsUser和runAsGroup参数具有相同的值，并且 iptables 规则可以正确应用。

OSSM-8074 之前，Red Hat 提供的 Kiali Operator 在 Service Mesh 具有纯数字命名空间（例如12345）时，无法安装 Kiali Server。现在，仅包含数字的命名空间可以正常工作。

OSSM-6766 之前，如果用户想要更新命名空间（例如，启用或禁用注入），或创建任何Istio对象（例如，创建流量策略），OpenShift Service Mesh控制台 (OSSMC) 插件会失败。现在，如果用户更新命名空间或创建任何Istio对象，OpenShift Service Mesh控制台 (OSSMC) 插件不会失败。

在Red Hat OpenShift Service on AWS 4.16或更高版本上支持原生Sidecar。

apiVersion: maistra.io/v2
kind: ServiceMeshControlPlane
metadata:
  name: basic
spec:
  runtime:
    components:
      pilot:
        container:
          env:
            ENABLE_NATIVE_SIDECARS: "true"

Istio 1.20中的流量镜像现在支持多个目标。此功能能够将流量镜像到不同的端点，允许同时观察不同服务版本或配置。

不支持环境网格

不支持Istio中的QuickAssist技术(QAT) PrivateKeyProvider

Istio捆绑镜像名称：openshift-service-mesh/istio-operator-bundle

Kiali捆绑镜像名称：openshift-service-mesh/kiali-operator-bundle

OSSM-6754 之前，在Red Hat OpenShift Service on AWS 4.15中，当用户导航到“服务详细信息”页面，单击“服务网格”选项卡并刷新页面时，“服务网格详细信息”页面会停留在服务网格内容信息上，即使活动选项卡是默认的“详细信息”选项卡。现在，刷新后，用户可以无问题地浏览“服务详细信息”页面的不同选项卡。

OSSM-2101 之前，Istio Operator 在不再需要时从未删除 `istio-cni-node` DaemonSet 和其他 CNI 资源。现在，升级 Operator 后，如果集群中至少安装了一个 SMCP，Operator 会协调此 SMCP，然后删除所有未使用的 CNI 安装（即使是很旧的 CNI 版本，最早可追溯到 v2.0）。

OSSM-6099 在 IPv6 集群上安装 OpenShift Service Mesh 控制台 (OSSMC) 插件失败。

OSSM-6331 之前，`smcp.general.logging.componentLevels` 规范接受无效的 `LogLevel` 值，并且仍然创建 `ServiceMeshControlPlane` 资源。现在，如果使用无效值，终端会显示错误消息，并且不会创建控制平面。

OSSM-6290 之前，**Istio 配置**列表页面的**项目**筛选器下拉菜单无法正常工作。即使您从下拉菜单中选择了一个特定项目，也会显示来自所有命名空间的所有 `istio config` 项目。现在，只显示属于筛选器下拉菜单中所选项目的 `istio config` 项目。

OSSM-6298 之前，当您单击 OpenShift Service Mesh 控制台 (OSSMC) 插件中的项目引用时，控制台有时会在打开所需页面之前执行多次重定向。结果，导航回控制台中打开的上一个页面会导致您的 Web 浏览器打开错误的页面。现在，这些重定向不会发生，并且在 Web 浏览器中单击**后退**会打开正确的页面。

OSSM-6299 之前，在 Red Hat OpenShift Service on AWS 4.15 中，当您单击流量图中任何节点菜单的**节点图**菜单选项时，不会显示节点图。相反，页面会刷新并显示相同的流量图。现在，单击**节点图**菜单选项会正确显示节点图。

OSSM-6267 之前，在 Red Hat OpenShift Service Mesh 2.5 Grafana 中配置数据源会导致数据查询身份验证错误，用户无法在 Istio 服务和工作负载仪表板上查看数据。现在，将现有 2.5 SMCP 升级到 2.5.2 或更高版本可以解决 Grafana 错误。

已添加envoyExtAuthzGrpc字段，用于使用 gRPC API 配置外部授权提供程序。

已解决常见漏洞和披露 (CVE)。

此版本支持 Red Hat OpenShift Service on AWS 4.10 和更高版本。

为must-gather数据收集工具添加了一个选项，该选项可以从指定的 Service Mesh 控制平面命名空间收集信息。有关更多信息，请参阅OSSM-351。

提高了拥有数百个命名空间的服务网格控制平面的性能。

简化了服务网格控制平面的安装、升级和管理。

减少了服务网格控制平面的资源使用和启动时间。

通过减少网络上的控制平面间通信来提高性能。

消除了使用 Kubernetes Secrets 的需要，Kubernetes Secrets 具有众所周知的安全风险。

改进了证书轮换期间的性能，因为代理不再需要重启即可识别新的证书。

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

AES128-GCM-SHA256

AES128-SHA

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES256-SHA

AES256-GCM-SHA384

AES256-SHA

Policy (authentication.istio.io/v1alpha1) 不再受支持。根据您的 Policy 资源中的特定配置，您可能需要配置多个资源才能达到相同的效果。

ServiceMeshPolicy (maistra.io/v1) 不再受支持。

RbacConfig (rbac.istio.io/v1alpha1) 不再受支持。

ServiceMeshRbacConfig (maistra.io/v1) 不再受支持。

ServiceRole (rbac.istio.io/v1alpha1) 不再受支持。

ServiceRoleBinding (rbac.istio.io/v1alpha1) 不再受支持。

在 Kiali 中，login 和 LDAP 策略已弃用。未来版本将引入使用 OpenID 提供商进行身份验证。

OSSM-3890 尝试在多租户网格部署中使用网关 API 会生成类似于以下内容的错误消息

2023-05-02T15:20:42.541034Z	error	watch error in cluster Kubernetes: failed to list *v1alpha2.TLSRoute: the server could not find the requested resource (get tlsroutes.gateway.networking.k8s.io)
2023-05-02T15:20:42.616450Z	info	kube	controller "gateway.networking.k8s.io/v1alpha2/TCPRoute" is syncing...

$ kubectl get crd gateways.gateway.networking.k8s.io ||   { kubectl kustomize "github.com/kubernetes-sigs/gateway-api/config/crd/experimental?ref=v0.5.1" | kubectl apply -f -; }

OSSM-2042 命名为 default 的 SMCP 部署失败。如果您正在创建 SMCP 对象并将它的版本字段设置为 v2.3，则该对象的名称不能为 default。如果名称为 default，则控制平面将无法部署，OpenShift 将生成一条包含以下消息的 Warning 事件

OSSM-1655 在 SMCP 中启用 mTLS 后，Kiali 仪表板显示错误。

OSSM-1505 此问题仅在 OpenShift Container Platform 4.11 上使用 ServiceMeshExtension 资源时发生。当您在 OpenShift Container Platform 4.11 上使用 ServiceMeshExtension 时，资源永远不会变为就绪状态。如果您使用 oc describe ServiceMeshExtension 检查问题，您将看到以下错误：stderr: Error creating mount namespace before pivot: function not implemented。

OSSM-1396 如果网关资源包含 spec.externalIPs 设置，则在更新 ServiceMeshControlPlane 时，网关不会被重新创建，而是会被删除并且永远不会重新创建。

OSSM-1168 当服务网格资源作为单个 YAML 文件创建时，Envoy 代理 sidecar 不会可靠地注入到 Pod 中。当单独创建 SMCP、SMMR 和 Deployment 资源时，部署按预期工作。

OSSM-1115 spec.proxy API 的 concurrency 字段未传播到 istio-proxy。使用 ProxyConfig 设置时，concurrency 字段有效。concurrency 字段指定要运行的工作线程数。如果该字段设置为 0，则可用工作线程数等于 CPU 核心数。如果未设置该字段，则可用工作线程数默认为 2。

apiVersion: networking.istio.io/v1beta1
kind: ProxyConfig
metadata:
  name: mesh-wide-concurrency
  namespace: <istiod-namespace>
spec:
  concurrency: 0

OSSM-1052 为服务网格控制平面中的 ingressgateway 配置服务 ExternalIP 时，不会创建服务。SMCP 的模式缺少服务的参数。

OSSM-882 这适用于 Service Mesh 2.1 和更早版本。命名空间在 accessible_namespace 列表中，但在 Kiali UI 中未显示。默认情况下，Kiali 不会显示任何以“kube”开头的命名空间，因为这些命名空间通常仅供内部使用，而不是网格的一部分。

api:
  namespaces:
    exclude:
    - "^istio-operator"
    - "^kube-.*"
    - "^openshift.*"
    - "^kiali-operator"

MAISTRA-2692 删除 Mixer 后，在 Service Mesh 2.0.x 中定义的自定义指标无法在 2.1 中使用。可以使用 EnvoyFilter 配置自定义指标。Red Hat 无法支持 EnvoyFilter 配置，除非在文档中明确说明。这是由于与底层 Envoy API 的紧密耦合，这意味着无法维护向后兼容性。

MAISTRA-1959迁移到 2.0 启用 mTLS 时，Prometheus 刮取 (spec.addons.prometheus.scrape 设置为 true) 不起作用。此外，禁用 mTLS 时，Kiali 会显示多余的图形数据。

spec:
  proxy:
    networking:
      trafficControl:
        inbound:
          excludedPorts:
          - 15020

MAISTRA-453 如果您创建一个新项目并立即部署 Pod，则不会发生 sidecar 注入。操作员在创建 Pod 之前未能添加 maistra.io/member-of，因此必须删除并重新创建 Pod 才能进行 sidecar 注入。

MAISTRA-158 应用多个引用相同主机名的网关将导致所有网关停止工作。

OSSM-6299 在 Red Hat OpenShift Service on AWS 4.15 中，当您单击流量图中任何节点菜单的**节点图**菜单选项时，不会显示节点图。页面将刷新并显示相同的流量图。目前，此问题没有变通方法。

OSSM-6298 当您单击 OpenShift Service Mesh 控制台 (OSSMC) 插件中的项目引用（例如与特定服务相关的负载链接）时，控制台有时会在打开所需页面之前执行多次重定向。如果您在 Web 浏览器中单击**后退**，则会打开控制台的不同页面，而不是上一个页面。作为变通方法，请单击两次**后退**以导航到上一页。

OSSM-6290 对于 Red Hat OpenShift Service on AWS 4.15，**Istio 配置**列表页面的**项目**筛选器无法正常工作。即使您从下拉列表中选择特定项目，也会显示所有 istio 项目。目前，此问题没有变通方法。

KIALI-2206 当您第一次访问 Kiali 控制台时，并且没有 Kiali 的缓存浏览器数据，“查看 Grafana”链接在 Kiali 服务详细信息页面的“指标”选项卡上会重定向到错误的位置。您唯一会遇到此问题的情况是您第一次访问 Kiali。

KIALI-507 Kiali 不支持 Internet Explorer 11。这是因为底层框架不支持 Internet Explorer。要访问 Kiali 控制台，请使用 Chrome、Edge、Firefox 或 Safari 浏览器中的最新两个版本之一。

OSSM-6177 之前，当在 ServiceMeshControlPlane (SMCP) 中启用验证消息时，除非启用了 GatewayAPI 支持，否则 istiod 会持续崩溃。现在，当启用验证消息但未启用 GatewayAPI 支持时，istiod 不会持续崩溃。

OSSM-6163 解决以下问题

OSSM-6148 之前，当用户单击**流量图**页面上任何节点菜单中的任何选项时，OpenShift 服务网格控制台 (OSSMC) 插件无响应。现在，该插件通过重定向到相应的详细信息页面来响应菜单中选择的选项。

OSSM-6099 之前，OpenShift 服务网格控制台 (OSSMC) 插件在 IPv6 集群中无法正确加载。现在，OSSMC 插件配置已修改，以确保在 IPv6 集群中正确加载。

OSSM-5960 之前，OpenShift 服务网格控制台 (OSSMC) 插件不会显示通知消息，例如后端错误或 Istio 验证。现在，这些通知会正确显示在插件页面的顶部。

OSSM-5959 之前，OpenShift 服务网格控制台 (OSSMC) 插件不会在**概述**页面中显示 TLS 和 Istio 证书信息。现在，这些信息已正确显示。

OSSM-5902 之前，当用户单击**概述**页面上的**Istio 配置**健康符号时，OpenShift 服务网格控制台 (OSSMC) 插件会重定向到“找不到页面”错误。现在，插件会重定向到正确的**Istio 配置**详细信息页面。

OSSM-5541 之前，在某些重启情况下，Istio 操作符 pod 可能会一直等待领导者租约。现在，领导者选举实现已增强，以避免此问题。

OSSM-1397 之前，如果从命名空间中删除了maistra.io/member-of标签，服务网格操作符不会自动将标签重新应用到命名空间。结果，sidecar注入在命名空间中不起作用。

OSSM-3647 之前，在服务网格控制平面 (SMCP) v2.2（Istio 1.12）中，WasmPlugins 仅应用于入站侦听器。从 SMCP v2.3（Istio 1.14）开始，WasmPlugins 默认应用于入站和出站侦听器，这为 3scale WasmPlugin 的用户引入了回归。现在，添加了环境变量APPLY_WASM_PLUGINS_TO_INBOUND_ONLY，允许从 SMCP v2.2 安全迁移到 v2.3 和 v2.4。

spec:
  runtime:
    components:
      pilot:
        container:
          env:
            APPLY_WASM_PLUGINS_TO_INBOUND_ONLY: "true"

OSSM-4851 之前，当runAsGroup、runAsUser或fsGroup参数为nil时，操作符在网格内部的命名空间中部署新 pod 时会发生错误。现在，已添加 yaml 验证以避免nil值。

OSSM-3771 之前，无法为在服务网格控制平面 (SMCP) 中定义的附加入口网关禁用 OpenShift 路由。现在，可以向每个additionalIngress网关添加routeConfig块，以便可以为每个网关启用或禁用 OpenShift 路由的创建。

OSSM-4197 之前，如果您部署了 v2.2 或 v2.1 版本的“ServiceMeshControlPlane”资源，则不会创建/etc/cni/multus/net.d/目录。结果，istio-cni pod 无法准备好，并且istio-cni pod 日志包含以下消息

$ error   Installer exits with open /host/etc/cni/multus/net.d/v2-2-istio-cni.kubeconfig.tmp.841118073: no such file or directory

OSSM-3993 之前，Kiali 仅通过标准 HTTPS 端口 443 上的代理支持 OpenShift OAuth。现在，Kiali 支持通过非标准 HTTPS 端口的 OpenShift OAuth。要启用该端口，必须在 Kiali CR 中将spec.server.web_port字段设置为代理的非标准 HTTPS 端口。

OSSM-3936 之前，injection_label_rev和injection_label_name属性的值是硬编码的。这阻止了自定义配置在 Kiali 自定义资源定义 (CRD) 中生效。现在，属性值不是硬编码的。您可以在spec.istio_labels规范中自定义injection_label_rev和injection_label_name属性的值。

OSSM-3644 之前，联合出口网关接收了错误的网络网关端点更新，导致额外的端点条目。现在，已在服务器端更新了联合出口网关，以便它接收正确的网络网关端点。

OSSM-3595 之前，istio-cni插件有时在 RHEL 上失败，因为 SELinux 不允许实用程序iptables-restore打开/tmp目录中的文件。现在，SELinux 通过stdin输入流而不是通过文件传递iptables-restore。

OSSM-3586 之前，当 Google Cloud Platform (GCP) 元数据服务器不可用时，Istio 代理启动速度很慢。升级到 Istio 1.14.6 后，即使元数据服务器不可用，Istio 代理也能在 GCP 上按预期启动。

OSSM-3025 Istiod 有时无法准备好。有时，当网格包含许多成员命名空间时，由于 Istiod 内部的死锁，Istiod pod 无法准备好。现在已解决死锁问题，pod 现在可以按预期启动。

OSSM-2493 SMCP 中的默认nodeSelector和tolerations未传递给 Kiali。现在，您添加到SMCP.spec.runtime.defaults中的nodeSelector和tolerations将传递给 Kiali 资源。

OSSM-2492 SMCP 中的默认容忍度未传递给 Jaeger。现在，您添加到SMCP.spec.runtime.defaults中的nodeSelector和tolerations将传递给 Jaeger 资源。

OSSM-2374 如果您删除了其中一个ServiceMeshMember资源，则服务网格操作员会删除ServiceMeshMemberRoll。当您删除最后一个ServiceMeshMember时，这是预期的行为，但如果ServiceMeshMemberRoll除了被删除的那个之外还包含任何成员，则操作员不应删除ServiceMeshMemberRoll。此问题现已修复，操作员仅在删除最后一个ServiceMeshMember资源时才删除 ServiceMeshMemberRoll。

OSSM-2373 登录时尝试获取 OAuth 元数据时出错。为了获取集群版本，使用了system:anonymous帐户。使用集群的默认捆绑的 ClusterRoles 和 ClusterRoleBinding，匿名帐户可以正确获取版本。如果system:anonymous帐户失去了获取集群版本的权限，则 OpenShift 身份验证将无法使用。

OSSM-2371 即使 Kiali 被配置为“只读”，用户也可以通过工作负载详细信息的“日志”选项卡的 kebab 菜单更改代理日志级别。此问题已修复，因此当 Kiali 配置为“只读”时，“设置代理日志级别”下的选项将被禁用。

OSSM-2344 重启 Istiod 会导致 Kiali 向 CRI-O 发送大量端口转发请求。当 Kiali 无法连接到 Istiod 时，会出现此问题，并且 Kiali 会同时向 istiod 发出大量请求。Kiali 现在限制了它发送到 istiod 的请求数量。

OSSM-2335 将鼠标指针拖动到 Traces 散点图上有时会导致 Kiali 控制台由于并发后端请求而停止响应。

OSSM-2221 之前，由于默认情况下向命名空间应用了ignore-namespace标签，因此无法在ServiceMeshControlPlane命名空间中进行网关注入。

$ oc label namespace istio-system maistra.io/ignore-namespace-

OSSM-2053 使用 Red Hat OpenShift Service Mesh Operator 2.2 或 2.3，在 SMCP 调和期间，SMMR 控制器会从SMMR.status.configuredMembers中删除成员命名空间。这导致成员命名空间中的服务短暂不可用。

OSSM-1962 在联合控制器中使用EndpointSlices。联合控制器现在使用EndpointSlices，这提高了大型部署的可扩展性和性能。PILOT_USE_ENDPOINT_SLICE 标志默认启用。禁用此标志会阻止使用联合部署。

OSSM-1668 一个新的字段spec.security.jwksResolverCA已添加到 2.1 版SMCP中，但在 2.2.0 和 2.2.1 版本中缺失。从存在此字段的操作员版本升级到缺少此字段的操作员版本时，SMCP中将无法使用.spec.security.jwksResolverCA字段。

OSSM-1325 istiod pod 崩溃并显示以下错误消息：fatal error: concurrent map iteration and map write。

OSSM-1211 配置用于故障转移的联合服务网格无法按预期工作。

OSSM-1099 Kiali 控制台显示消息对不起，出现问题。请尝试刷新或导航到其他页面。

OSSM-1074 在 SMCP 中定义的 Pod 注解未注入到 Pod 中。

OSSM-999 Kiali 保留功能无法按预期工作。日历时间在仪表板图表中显示为灰色。

OSSM-797 Kiali Operator pod 在安装或更新操作员时生成CreateContainerConfigError。

OSSM-722 以kube开头的命名空间在 Kiali 中隐藏。

OSSM-569 Prometheus istio-proxy容器没有 CPU 内存限制。Prometheus istio-proxy sidecar 现在使用spec.proxy.runtime.container中定义的资源限制。

OSSM-535 支持 SMCP 中的 validationMessages。现在可以将服务网格控制平面中的ValidationMessages字段设置为True。这会为资源的状态写入日志，这在排查问题时非常有用。

OSSM-449 VirtualService 和 Service 导致错误“仅允许域的唯一值。重复输入域”。

OSSM-419 即使命名空间可能未在服务网格成员角色中定义，具有相似名称的命名空间也会全部显示在 Kiali 命名空间列表中。

OSSM-296 向 Kiali 自定义资源 (CR) 添加健康配置时，它不会复制到 Kiali configmap。

OSSM-291 在 Kiali 控制台的应用程序、服务和工作负载页面上，“从过滤器中删除标签”功能不起作用。

OSSM-289 在 Kiali 控制台的“istio-ingressgateway”和“jaeger-query”服务的“服务详细信息”页面上，没有显示任何跟踪。跟踪存在于 Jaeger 中。

OSSM-287 Kiali 控制台中图服务没有显示任何追踪信息。

OSSM-285 尝试访问 Kiali 控制台时，收到以下错误消息：“获取 OAuth 元数据失败”。

MAISTRA-2735 Red Hat OpenShift Service Mesh 2.1 版本中，服务网格操作符在协调 SMCP 时删除的资源发生了变化。之前，操作符会删除具有以下标签的资源：

MAISTRA-2687 Red Hat OpenShift Service Mesh 2.1 联邦网关在使用外部证书时不会发送完整的证书链。服务网格联邦出口网关仅发送客户端证书。由于联邦入口网关只知道根证书，因此除非您将根证书添加到联邦导入ConfigMap，否则它无法验证客户端证书。

MAISTRA-2635 替换已弃用的 Kubernetes API。为了与 Red Hat OpenShift Service on AWS 4.8 保持兼容性，从 Red Hat OpenShift Service Mesh 2.0.8 版本开始，apiextensions.k8s.io/v1beta1 API 已弃用。

MAISTRA-2631 由于 podman 由于缺少 nsenter 二进制文件而失败，WASM 功能无法正常工作。Red Hat OpenShift Service Mesh 生成以下错误消息：Error: error configuring CNI network plugin exec: "nsenter": executable file not found in $PATH。容器镜像现在包含 nsenter，WASM 能够正常工作。

MAISTRA-2534 当 istiod 尝试为 JWT 规则中指定的颁发者获取 JWKS 时，颁发者服务返回 502 错误。这阻止了代理容器就绪，并导致部署挂起。社区漏洞 的修复程序已包含在 Service Mesh 2.0.7 版本中。

MAISTRA-2411 当操作符使用ServiceMeshControlPlane中的spec.gateways.additionaIngress创建新的入口网关时，操作符不会像对默认 istio-ingressgateway 一样为附加的入口网关创建NetworkPolicy。这会导致新网关路由返回 503 响应。

MAISTRA-2401 CVE-2021-3586 servicemesh-operator：NetworkPolicy 资源错误地指定了入口资源的端口。为 Red Hat OpenShift Service Mesh 安装的 NetworkPolicy 资源没有正确指定哪些端口可以访问。这允许从任何 pod 访问这些资源上的所有端口。应用于以下资源的网络策略受到影响：

MAISTRA-2378 当集群配置为使用带有ovs-multitenant的 OpenShift SDN 并且网格包含大量命名空间（200+）时，Red Hat OpenShift on AWS 网络插件无法快速配置命名空间。服务网格超时导致命名空间不断从服务网格中删除然后重新加入。

MAISTRA-2370 处理 listerInformer 中的墓碑。更新的缓存代码库在将事件从命名空间缓存转换为聚合缓存时没有处理墓碑，导致 go 协程中出现 panic。

MAISTRA-2117 向操作符添加可选的ConfigMap挂载。CSV 现在包含一个可选的ConfigMap卷挂载，如果存在，则挂载smcp-templatesConfigMap。如果smcp-templatesConfigMap不存在，则挂载的目录为空。创建ConfigMap时，目录将填充ConfigMap中的条目，并且可以在SMCP.spec.profiles中引用。无需重启服务网格操作符。

MAISTRA-2010 AuthorizationPolicy 不支持request.regex.headers字段。validatingwebhook会拒绝任何包含此字段的 AuthorizationPolicy，即使您禁用了它，Pilot 也会使用相同的代码尝试验证它，并且它不起作用。

MAISTRA-1979 迁移到 2.0 转换 webhook 在将SMCP.status从 v2 转换为 v1 时会删除以下重要字段：

MAISTRA-1983 迁移到 2.0 使用现有的无效ServiceMeshControlPlane升级到 2.0.0 难以修复。ServiceMeshControlPlane资源中的无效项目导致不可恢复的错误。此修复使错误可恢复。您可以删除无效资源并用新的资源替换它，或者编辑资源以修复错误。有关编辑资源的更多信息，请参阅[配置 Red Hat OpenShift Service Mesh 安装]。

MAISTRA-1502 由于 1.0.10 版本中 CVE 修复的结果，Grafana 中的**主页板**菜单无法访问 Istio 仪表板。要访问 Istio 仪表板，请单击导航面板中的**仪表板**菜单，然后选择**管理**选项卡。

MAISTRA-1399 Red Hat OpenShift Service Mesh 不再阻止您安装不受支持的 CNI 协议。受支持的网络配置没有变化。

MAISTRA-1089 迁移到 2.0 在非控制平面命名空间中创建的网关将被自动删除。从 SMCP spec 中删除网关定义后，您需要手动删除这些资源。

MAISTRA-858 描述与 Istio 1.1.x 相关的已弃用选项和配置 的以下 Envoy 日志消息是预期的：

MAISTRA-806 Istio Operator Pod 被驱逐会导致网格和 CNI 未部署。

MAISTRA-681 当服务网格控制平面拥有大量命名空间时，可能会导致性能问题。

MAISTRA-193 启用Citadel健康检查时，会显示意外的控制台信息消息。

Bugzilla 1821432 在AWS自定义资源详情页中，Red Hat OpenShift Service on AWS的切换控件无法正确更新CR。在Red Hat OpenShift Service on AWS Web控制台中，服务网格控制平面(SMCP)概述页面中的UI切换控件有时会更新资源中的错误字段。要更新SMCP，请直接编辑YAML内容或从命令行更新资源，而不是点击切换控件。