their respective owners. 摘要 摘要 此发行注记介绍了 OpenShift Container Platform 的新功能、功能增强、重要的技术变化、以及对以 前版本中的错误作出的主要修正。另外，还包括在此版本正式发行（GA）时存在的已知问题的信 息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Power 系统 限制 支持的功能 1.2.2.20. Red Hat Virtualization（RHV）全堆栈安装程序的改进 1.2.2.21. 使用安装程序置备的基础架构为裸机部署改进修复失败的节点 1.2.3. 安全性与合规性 1.2.3.1. Compliance Operator 1.2.3.2. 配置 OAuth 令牌不活跃超时 1.2.3.3. 安全 OAuth 令牌存储格式 的外部置备程序（技术预览） 1.4.2.4. TLS 验证返回到 Common Name 字段 1.4.2.5. 删除了对 Microsoft Azure 的 mint 凭证的支持 1.5. 程序错误修复 1.6. 技术预览功能 1.7. 已知问题 29 29 29 29 29 29 29 29 29 29 29 29 30 30 30 30 30 30 30 30

their respective owners. 摘要 摘要 此发行注记介绍了 OpenShift Container Platform 的新功能、功能增强、重要的技术变化、以及对以 前版本中的错误作出的主要修正。另外，还包括在此版本正式发行（GA）时存在的已知问题的信 息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2. OPENSHIFT CONTAINER PLATFORM 层次和依赖组件支持和兼容性 1.3. 新功能及功能增强 1.4. 主要的技术变化 1.5. 弃用和删除的功能 1.6. 程序错误修复 1.7. 技术预览功能 1.8. 已知问题 1.9. 异步勘误更新 3 3 3 4 29 31 35 47 53 60 目 目录 录 1 OpenShift Container Platform 4.14 中使用 Red Hat Enterprise Linux (RHEL) 9.2 软件 包。这些软件包可确保 OpenShift Container Platform 实例收到最新的修复、功能、增强功能、硬件支持 和驱动程序更新。不包括在这个更改中，OpenShift Container Platform 4.12 是一个延长更新支持 (EUS) 版本，它将继续对整个生命周期使用 RHEL

方法转发日志已被弃用 1.2.1.3. 程序错误修复 1.2.2. OpenShift Logging 5.0.9 1.2.2.1. 程序错误修复 1.2.2.2. CVE 1.2.3. OpenShift Logging 5.0.8 1.2.3.1. 程序错误修复 1.2.4. OpenShift Logging 5.0.7 1.2.4.1. 程序错误修复 1.2.4.2. CVE 1.2 1. 程序错误修复 1.2.5.2. CVE 1.2.6. OpenShift Logging 5.0.5 1.2.6.1. 安全修复 1.2.7. OpenShift Logging 5.0.4 1.2.7.1. 安全修复 1.2.7.2. 程序错误修复 1.2.8. OpenShift Logging 5.0.3 1.2.8.1. 安全修复 1.2.8.2. 程序错误修复 1.2 2.9. OpenShift Logging 5.0.2 1.2.9.1. 程序错误修复 1.2.10. OpenShift Logging 5.0.1 1.2.10.1. 程序错误修复 1.2.11. OpenShift Logging 5.0.0 1.2.11.1. 新功能及功能增强 Cluster Logging 变为 Red Hat OpenShift Logging 每个索引最多五个主分片

OpenShift Container Platform 生命周期政策 概述了发行版本兼 容性。 1.1. 日志记录 5.4.9 此发行版本包括 OpenShift Logging 程序错误修复 5.4.9 。 1.1.1. 程序错误修复 在此次更新之前，Fluentd 收集器会警告未使用的配置参数。在这个版本中，删除了这些配置参 数及其警告信息。(LOG-3074) 在此次更新之前，Kibana 有一个固定的 有一个固定的 24h OAuth cookie 过期时间，当 accessTokenInactivityTimeout 字段被设置为小于 24h 的值时，会导致 Kibana 中的 401 错误。 在这个版本中，Kibana 的 OAuth cookie 过期时间与 accessTokenInactivityTimeout 同步，默 认值为 24h。(LOG-3306) 1.1.2. CVE CVE-2016-3709 CVE-2022-37434 CVE-2022-39399 1.2. LOGGING 5.4.8 此发行版本包括 RHSA-2022:7435-OpenShift Logging 程序错误修复 5.4.8。 1.2.1. 程序错误修复 第 第 1 章 章 LOGGING 发 发行注 行注记 记 7 无。 1.2.2. CVE CVE-2016-3709 CVE-2020-35525 CVE-2020-35527

distributed tracing 3.0 中，Jaeger 和 Elasticsearch 已被弃用，并计划在以后的发 行版本中删除。红帽将在当前发行生命周期中对这些组件提供关键及以上的 CVE 程序错误修复和支持， 但这些组件将不再获得功能增强。 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 行注记 记 3 在 Red Hat OpenShift distributed tracing 在这个版本中，对分布式追踪平台(Jaeger)引进了以下改进： 支持 ARM 架构。 支持集群范围的代理环境。 1.1.3.3. 程序 程序错误 错误修复 修复 在这个版本中，为分布式追踪平台(Jaeger)引入了以下程序错误修复： 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3546) 1.1.3.4. 已知 已知问题 控制台中视觉化指标。 1.1.4.2. 程序 程序错误 错误修复 修复 在这个版本中，为分布式追踪平台(Tempo)引入了以下程序错误修复： 修复了连接到对象存储的自定义 TLS CA 选项支持。(TRACING-3462) 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3523) 修复了没有部署网关时的 mTLS。(TRACING-3510)

满足您的业务需求。我们承诺向您 提供企业级的全球支持，因为您的成功是我们唯一的目标。 VMware 提供了三种支持和升级定购计划（白金、黄金和白银），其中包括 VMware 支持与产品的定期 修复和增强。这些计划根据每年或多年升级定购提供。您可以购买使您有权收到主要、次要和维护版 本的服务级别。 为回馈参加白金支持和升级定购计划的客户，我们还将提供业务关键支持，该服务可为客户的集中式 包括完整的产品文档、技术文章、开发人员资源、知识库访问、论坛讨论、有关 VMware 用户组的信息， 以及面向 VMware 产品最终用户的技术新闻月刊。 VMware 将通过提供新的技术信息、修复措施、解决方法及其他与 VMware 软件的操作有关的信息来 不断更新 VMTN Online。我们建议您在提交 SR 之前先搜索 VMware 网站来寻找问题的答案。 文档资料 所有客户都可以不受限制地访问所有 • 严重性 3 适用于软件的部分非关键性功能丢失，或者某些操作受到影响但仍允许用户继续使用软件 的情况。 • 严重性 4 适用于表面问题，包括文档资料、一般使用问题和产品增强建议或修改建议中的错误。 提交支持请求 有几种方法可访问 VMware 支持服务。访问方法因许可证类型、支持服务和产品而异。 基于 Web 的支持 如果您有未使用的按事件支持 SR，可以在我们的网站上提出 SR。要请求在线支持，请访问

OpenShift Service Mesh 版本 版本 2.2.3 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.1.1. Red Hat OpenShift Service Mesh 2.2.3 版中包含的组件版本 OpenShift Service Mesh 版本 版本 2.2.2 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.2.1. Red Hat OpenShift Service Mesh 2.2.2 版中包含的组件版本 OpenShift Service Mesh 版本 版本 2.2.1 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.3.1. Red Hat OpenShift Service Mesh 2.2.1 版中包含的组件版本

15.6. 生成 JUNIT 延迟测试报告 15.7. 在单节点 OPENSHIFT 集群上运行延迟测试 15.8. 在断开连接的集群中运行延迟测试 15.9. 对 CNF-TESTS 容器的错误进行故障排除 78 78 78 80 80 82 83 84 87 87 87 90 90 92 92 94 94 94 95 96 96 96 100 100 mount $ oc replace -f etcd-mc.yml OpenShift Container Platform 4.10 可伸 可伸缩 缩性和性能 性和性能 18 Operator 状态错误日志 警告 警告 自动清除可能会导致各种 OpenShift 核心组件中的领导选举失败，如 Kubernetes 控 制器管理器，这会触发重启失败的组件。重启会有危害，并会触发对下一个正在运行 unset ETCDCTL_ENDPOINTS OpenShift Container Platform 4.10 可伸 可伸缩 缩性和性能 性和性能 20 输 输出示例 出示例 如果发生超时错误，增加 --command-timeout 的值，直到命令成功为止。 d. 验证数据库大小是否已缩小： 输 输出示例 出示例 本例显示这个 etcd 成员的数据库大小现在为 41 MB，而起始大小为

Operator 示例规格 5.5.2. 自定义调整规格 5.5.3. 在集群中设置默认配置集 5.5.4. 支持的 TuneD 守护进程插件 5.6. 使用 POISON PILL OPERATOR 修复节点 5.6.1. 关于 Poison Pill Operator 144 144 144 147 149 150 150 150 151 153 154 154 156 156 156 签。如果节点或机器停机，添加到节点或机器配置的标签不会保留。 如果 Pod 对象包含节点选择器，则不会调度 pod，但没有项目具有匹配的节点选择器。从该 spec 创建 pod 时，您收到类似以下消息的错误： 错误 错误信息示例 信息示例 注意 注意 您可以向 pod 添加额外的键/值对。但是，您无法为一个项目键添加其他值。 流程 流程 添加默认项目节点选择器： kind: Node apiVersion: 跟踪整个执行时间。达到指定的超时后，OpenShift Container Platform 将终止作业。 4.2.1.3. 了解如何 了解如何为 为 pod 失 失败设 败设置作 置作业 业避退策略 避退策略 在因为配置中的逻辑错误或其他类似原因而重试了一定次数后，作业会被视为已经失败。控制器以六分钟 为上限，按指数避退延时（10s，20s，40s …）重新创建与作业关联的失败 pod。如果控制器检查之间没 有出现新的失败 pod，则重置这个限制。

令人担忧。传统体系结构中使用的大多数方法，如窃取密钥、执行中间人攻击以 及在静止或传输中窃取可读数据，仍然适用于无服务器应用程序。然而，由于无 服务器计算架构的存储共享特点，攻击者可以利用共享存储权限配置错误或漏洞 窃取系统的敏感数据。 全局信息泄露：无服务器计算架构中函数调用的不同服务通常也会被其它用 户的函数调用来提供服务，无法像传统应用程序使用单个集中式配置文件存储的 云原生安全威胁分析与能力建设白皮书 Server 发 送经过构造的错误请求，将自己的权限提升为 API Server 的权限, 创建挂载宿 主机资源的 Pod，实现容器逃逸。图 14 展示了攻击者利用 k8s 提权漏洞进行 攻击的路径。 云原生安全威胁分析与能力建设白皮书 41 图 14 k8s 权限提升攻击路径 3.3.2 攻击过程复现 攻击流程如下大致攻击流程如下： 1. 构造错误请求，建立经 k8s API Server http_delimiter * 2 ssock.send(payload1.encode('utf-8')) 正常的请求地址中带有 stdin、stout 和 tty 三个参数，该代码中构造的错误 请求/api/v1/namespaces/{namespace}/pods/{pod}/exec 未包含对应的参 数，由此利用系统漏洞代理到 Kubelet 的高权限 websocket 连接[28]。