Power 系统 限制 支持的功能 1.2.2.20. Red Hat Virtualization（RHV）全堆栈安装程序的改进 1.2.2.21. 使用安装程序置备的基础架构为裸机部署改进修复失败的节点 1.2.3. 安全性与合规性 1.2.3.1. Compliance Operator 1.2.3.2. 配置 OAuth 令牌不活跃超时 1.2.3.3. 安全 OAuth 令牌存储格式 的外部置备程序（技术预览） 1.4.2.4. TLS 验证返回到 Common Name 字段 1.4.2.5. 删除了对 Microsoft Azure 的 mint 凭证的支持 1.5. 程序错误修复 1.6. 技术预览功能 1.7. 已知问题 29 29 29 29 29 29 29 29 29 29 29 29 30 30 30 30 30 30 30 30 4.6.3 程序错误修复更新 1.8.4.1. 程序错误修复 1.8.4.2. 更新 1.8.5. RHBA-2020:4987 - OpenShift Container Platform 4.6.4 程序错误修复更新 1.8.5.1. 更新 1.8.6. RHBA-2020:5115 - OpenShift Container Platform 4.6.6 程序错误修复更新 1.8.6

方法转发日志已被弃用 1.2.1.3. 程序错误修复 1.2.2. OpenShift Logging 5.0.9 1.2.2.1. 程序错误修复 1.2.2.2. CVE 1.2.3. OpenShift Logging 5.0.8 1.2.3.1. 程序错误修复 1.2.4. OpenShift Logging 5.0.7 1.2.4.1. 程序错误修复 1.2.4.2. CVE 1.2.5 1. 程序错误修复 1.2.5.2. CVE 1.2.6. OpenShift Logging 5.0.5 1.2.6.1. 安全修复 1.2.7. OpenShift Logging 5.0.4 1.2.7.1. 安全修复 1.2.7.2. 程序错误修复 1.2.8. OpenShift Logging 5.0.3 1.2.8.1. 安全修复 1.2.8.2. 程序错误修复 1.2.9 9. OpenShift Logging 5.0.2 1.2.9.1. 程序错误修复 1.2.10. OpenShift Logging 5.0.1 1.2.10.1. 程序错误修复 1.2.11. OpenShift Logging 5.0.0 1.2.11.1. 新功能及功能增强 Cluster Logging 变为 Red Hat OpenShift Logging 每个索引最多五个主分片

1.2. OPENSHIFT CONTAINER PLATFORM 层次和依赖组件支持和兼容性 1.3. 新功能及功能增强 1.4. 主要的技术变化 1.5. 弃用和删除的功能 1.6. 程序错误修复 1.7. 技术预览功能 1.8. 已知问题 1.9. 异步勘误更新 3 3 3 4 29 31 35 47 53 60 目 目录 录 1 OpenShift Container Platform 4.14 中使用 Red Hat Enterprise Linux (RHEL) 9.2 软件 包。这些软件包可确保 OpenShift Container Platform 实例收到最新的修复、功能、增强功能、硬件支持 和驱动程序更新。不包括在这个更改中，OpenShift Container Platform 4.12 是一个延长更新支持 (EUS) 版本，它将继续对整个生命周期使用 RHEL Power® IBM Z® 和 和 IBM® LinuxONE 备用身份验证供应商 支持 支持 使用 Local Storage Operator 自动设备发现 不支持 支持 使用机器健康检查功能自动修复损坏的机器 不支持 不支持 IBM Cloud 的云控制器管理器 支持 不支持 在节点上控制过量使用和管理容器密度 不支持 不支持 Cron 作业 支持 支持 Descheduler 支持 支持

Container Platform 生命周期政策 概述了发行版本兼 容性。 1.1. 日志记录 5.4.9 此发行版本包括 OpenShift Logging 程序错误修复 5.4.9 。 1.1.1. 程序错误修复 在此次更新之前，Fluentd 收集器会警告未使用的配置参数。在这个版本中，删除了这些配置参 数及其警告信息。(LOG-3074) 在此次更新之前，Kibana 有一个固定的 CVE-2022-37434 CVE-2022-39399 1.2. LOGGING 5.4.8 此发行版本包括 RHSA-2022:7435-OpenShift Logging 程序错误修复 5.4.8。 1.2.1. 程序错误修复 第 第 1 章 章 LOGGING 发 发行注 行注记 记 7 无。 1.2.2. CVE CVE-2016-3709 CVE-2020-35525 CVE-2020-35527 CVE-2022-40674 CVE-2022-42003 CVE-2022-42004 1.3. LOGGING 5.4.6 此发行版本包括 OpenShift Logging 程序错误修复 5.4.6 。 1.3.1. 程序错误修复 在此次更新之前，Fluentd 有时无法识别 Kubernetes 平台轮转日志文件，且不会读取日志消息。 OpenShift Container Platform 4.8

distributed tracing 3.0 中，Jaeger 和 Elasticsearch 已被弃用，并计划在以后的发 行版本中删除。红帽将在当前发行生命周期中对这些组件提供关键及以上的 CVE 程序错误修复和支持， 但这些组件将不再获得功能增强。 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 行注记 记 3 在 Red Hat OpenShift distributed tracing 3 在这个版本中，对分布式追踪平台(Jaeger)引进了以下改进： 支持 ARM 架构。 支持集群范围的代理环境。 1.1.3.3. 程序 程序错误 错误修复 修复 在这个版本中，为分布式追踪平台(Jaeger)引入了以下程序错误修复： 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3546) 1.1.3.4. 已知 已知问题 控制台中视觉化指标。 1.1.4.2. 程序 程序错误 错误修复 修复 在这个版本中，为分布式追踪平台(Tempo)引入了以下程序错误修复： 修复了连接到对象存储的自定义 TLS CA 选项支持。(TRACING-3462) 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3523) 修复了没有部署网关时的 mTLS。(TRACING-3510)

满足您的业务需求。我们承诺向您 提供企业级的全球支持，因为您的成功是我们唯一的目标。 VMware 提供了三种支持和升级定购计划（白金、黄金和白银），其中包括 VMware 支持与产品的定期 修复和增强。这些计划根据每年或多年升级定购提供。您可以购买使您有权收到主要、次要和维护版 本的服务级别。 为回馈参加白金支持和升级定购计划的客户，我们还将提供业务关键支持，该服务可为客户的集中式 包括完整的产品文档、技术文章、开发人员资源、知识库访问、论坛讨论、有关 VMware 用户组的信息， 以及面向 VMware 产品最终用户的技术新闻月刊。 VMware 将通过提供新的技术信息、修复措施、解决方法及其他与 VMware 软件的操作有关的信息来 不断更新 VMTN Online。我们建议您在提交 SR 之前先搜索 VMware 网站来寻找问题的答案。 文档资料 所有客户都可以不受限制地访问所有 将结束。 如果我们无法解决或选择不解决某些问题，并得到您的确认和同意，我们也可能结束 SR。 与错误相关的 SR 的解决方法 我们会保持您的请求处于未决状态并一直与您保持联系，直到生产版本中提供了修复。如果我们发 布了可解决您问题的试验版本，我们也会联系您。 客户满意度调查 我们目前提供的服务以及我们今后将要提供的服务主要以您的反馈作为基础。此外，您对我们服务 的满意度还是衡量我们成功的

原生使用模式，开发组件一键部署 云原生CI持续集成 使用Dockerfile进行云原生方式的CI构建， 拓展形成ARM、x86双架构流水线，底层 安全漏洞统一修复 全面云原生安全 支持代码安全扫描、镜像安全扫描、开源 协议扫描、依赖漏洞扫描。并可给出修复 建议。支持开源风险持续治理。 108 48 78 6 84 1 1 16 14 0 50 100 150 200 250 90%效率提升 可防 100%流程覆盖 ü 建立资产台账 ü 分类分级标记 ü 关联责任人 ü 关联内外网业务 ü 漏洞及投毒检测 ü 自主可控率分析 ü 许可证合规分析 ü 自动化修复技术 ü 安全可信私有源 ü 供应链准入审查 ü 供应链准出机制 ü 过程持续验证 !"#$%&'( !"#$)*+,- !"#$%&' 安全开发-代码扫描SAST 源代码审计针对 灰盒审计与需求安全分析呼应，保障安全设计的落地 与CI/CD流水线集成，常态化检测，研发自行修复 IAST扫描结果提供DevSecOps常态化安全运营指标 通过将IAST集成到CI/CD流水线，在测试环境的构建过程中自动部署IAST检测逻辑，可以实现与功能测试同步进行的自动化 安全测试，给出漏洞的实际触发路径并提供实际可落地的修复建议。根据需求阶段提出的安全设计方案，配置IAST中的自定义规 则，基于IA

49 SCA 针对第三方开源软件以及商业软件涉及的各种源码、模块、框架和库 进行分析、清点和识别，通过分析开源软件的组件及其构成和依赖关系，识别出 已知的安全漏洞，并提供相应的修复建议，能够有效的帮助开发人员修复安全问 题，从而把这些风险排查在应用系统投产之前，对开源组件及风险进行统一管理。 开源组件信息统一管理：在现今开源组件大量使用情况下，需对所有的开源 组件库的信息进行统一管理， 险、合规性和漏洞修复。 开源组件的软件许可检测：软件许可的滥用可能会引发法律风险，需针对应 用程序中使用的开源组件进行周期性或实时性的许可证分析和监测，以确保开源 组件的许可证与应用程序的许可证要求和法律合规性相符。使得组织避免潜在的 法律纠纷和合规性问题，同时维护开源组件的合法使用。 开源组件中的风险检测：开源组件的风险包括安全漏洞、组件可信度、社区 活跃程度、漏洞修复状态等。应建立有效的流程机制，对风险进行周期性的检测， 相关依赖， 依然会引入一定量的软件、文件等内容，所以需建立相关能力，对镜像可能存在 的漏洞、软件成分、敏感信息（备份文件、SSH 密钥、敏感环境变量等）、木马 病毒等风险进行审查，并建立卡点及修复流程机制，形成规范。 （3）镜像来源检测 镜像来源检测，也称为可信镜像，是一项安全实践，旨在验证和确保容器镜 像的来源可信度和完整性。通过使用数字签名、加密哈希等技术，可以验证镜像 的真实性

Platform 的云平台具有 API 请求限制，如果出现过 量查询，则可能会因为云平台的限制而导致机器创建失败。 当扩展到具有大量节点时，启用机器健康检查。如果出现故障，健康检查会监控状况并自动修复不健康的 机器。 注意 注意 当对大型且高密度的集群减少节点数时，可能需要大量时间，因为这个过程涉及排空或驱 除在同时终止的节点上运行的对象。另外，如果要驱除的对象太多，对客户端的请求处理 会出现瓶颈。目前将默认的客户端 可伸 可伸缩 缩性和性能 性和性能 38 提示 提示 您还可以应用以下 YAML 来扩展机器集： 等待机器启动。新机器包含您对机器集所做的更改。 3.3. 关于机器健康检查 机器健康检查自动修复特定机器池中不健康的机器。 要监控机器的健康状况，创建资源来定义控制器的配置。设置要检查的条件（例如，处于 NotReady 状态 达到五分钟或 node-problem-detector 中显示 部署机器健康检查前需要考虑以下限制： 只有机器集拥有的机器才可以由机器健康检查修复。 目前不支持 control plane 机器，如果不健康，则不会被修复。 如果机器的节点从集群中移除，机器健康检查会认为机器不健康，并立即修复机器。 如果机器对应的节点在 nodeStartupTimeout 之后没有加入集群，则会修复机器。 apiVersion: machine.openshift.io/v1beta1

spec.security.manageNetworkPolicy，Red Hat OpenShift Service Mesh 不 会创建 任何 NetworkPolicy 对象。系统管理员负责管理网络并修复可能导致的任何问题。 流程 1. 在 OpenShift Container Platform web 控制台中，点击 Operators → Installed Operators。 2. 从 要解决这个问题，将 AMQ Streams Operator 的订阅频道切换到 amq-streams-1.7.x 或 stable。 1.2.6. 修复的问题 在当前发行本中解决了以下问题： 1.2.6.1. Service Mesh 修复的 修复的问题 问题 OSSM-2053 使用 Red Hat OpenShift Service Mesh Operator 2.2 或 2.3，在 SMCP istiod 试图为 JWT 规则中指定的签发者获取 JWKS 时，签发者服务会使用 502 响应。这导致代理容器就绪，并导致部署挂起。Service Mesh 2.0.7 版本中包括了对社区程 序漏洞的修复。 MAISTRA-2411 当 Operator 使用 ServiceMeshControlPlane 中的 spec.gateways.additionaIngress 创建新的入口网关时，Operator