adjust-case=true 注解的路由。对于响应标头，这些调整适用于所有 HTTP 响 应。如果此字段为空，则不会调整任何请求标头。 httpErrorCodePages httpErrorCodePages 指定自定义 HTTP 错误代码响应页面。默认情况 下，IngressController 使用 IngressController 镜像内构建的错误页面。 httpCaptureCookies clientTimeout 指定连接在等待客户端响应时保持打开的时长。如果未 设置，则默认超时为 30s。 serverFinTimeout 指定连接在等待服务器响应关闭连接时保持打开 的时长。如果未设置，则默认超时为 1s。 serverTimeout 指定连接在等待服务器响应时保持打开的时长。如果 未设置，则默认超时为 30s。 clientFinTimeout 指定连接在等待客户端响应关闭连接时保持打开的 时长。如果未设置，则默认超时为 logEmptyRequests logEmptyRequests 指定没有接收和记录请求的连接。这些空请求来自负载均 衡器健康探测或 Web 浏览器规范连接(preconnect)，并记录这些请求。但是， 这些请求可能是由网络错误导致的，在这种情况下，记录空请求可用于诊断错 误。这些请求可能是由端口扫描导致的，记录空请求有助于检测入侵尝试。此字 段允许的值有 Log 和 Ignore。默认值为 Log。 LoggingPolicy

Filter (eBPF) 和 eXpress Data Path (XDP) 插件来处理节点防火墙规则，更新统计信息并为丢弃的流量生成事件。Operator 管理入口节点防火墙资 源，验证防火墙配置，不允许错误配置规则来防止集群访问，并将 ingress 节点防火墙 XDP 程序加载到规 则对象中的所选接口。如需更多信息，请参阅了解 Ingress Node Firewall Operator 4.6. logs 命令来查看 DNS Operator 日志。 流程 查看 DNS Operator 的日志： 6.8. 设置 COREDNS 日志级别 您可以配置 CoreDNS 日志级别来确定日志记录错误信息中的详情量。CoreDNS 日志级别的有效值为 Normal、Debug 和 Trace。默认 logLevel 为 Normal。 注意 pods insecure deployment/dns-operator -c dns-operator OpenShift Container Platform 4.13 网 网络 络 30 注意 错误插件会始终被启用。以下 logLevel 设置会报告不同的错误响应： logLevel: Normal 启用 "errors" 类: log . { class error }. loglevel ：Debug 启用 "denial"

their respective owners. 摘要 摘要 此发行注记介绍了 OpenShift Container Platform 的新功能、功能增强、重要的技术变化、以及对以 前版本中的错误作出的主要修正。另外，还包括在此版本正式发行（GA）时存在的已知问题的信 息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 的外部置备程序（技术预览） 1.4.2.4. TLS 验证返回到 Common Name 字段 1.4.2.5. 删除了对 Microsoft Azure 的 mint 凭证的支持 1.5. 程序错误修复 1.6. 技术预览功能 1.7. 已知问题 29 29 29 29 29 29 29 29 29 29 29 29 30 30 30 30 30 30 30 30 36 37 54 56 目 目录 录 3 1.8. 异步勘误更新 1.8.1. RHBA-2020:4196 - OpenShift Container Platform 4.6 镜像和程序错误公告 1.8.2. RHSA-2020:4297 - Moderate: OpenShift Container Platform 4.6 软件包安全更新 1.8.3. RHSA-2020:4298

第 第 3 章 章 配置内部 配置内部 OAUTH 服 服务 务器 器 3.1. OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL Platform API 的请求中提供 OAuth 访问 令牌或 X.509 客户端证书 进行验证。 注意 注意 如果您没有提供有效的访问令牌或证书，则您的请求会未经身份验证，您会收到 HTTP 401 错误。 管理员可以通过以下任务配置身份验证： 配置身份提供程序：您可以在 OpenShift Container Platform 中定义任何支持的身份提供程序， 并将其添加到集群中。 配置内部 OAuth HTTPS 连接。 由 API 服务器针对可信证书颁发机构捆绑包进行验证。 API 服务器创建证书并分发到控制器，以对自身进行身份验证。 任何具有无效访问令牌或无效证书的请求都会被身份验证层以 401 错误形式拒绝。 如果没有出示访问令牌或证书，身份验证层会将 system:anonymous 虚拟用户和 system:unauthenticated 虚拟组分配给请求。这使得授权层能够决定匿名用户可以发出哪些（如有）请

Container Platform 监控资源按设计和测试的方式正常工作。如果某个 Operator 的 Cluster Version Operator (CVO) 控制被覆盖，该 Operator 不会响应配置更改，协调集群对 象的预期状态或接收更新。 虽然在调试过程中覆盖 Operator 的 CVO 可能有所帮助，但该操作不受支持，集群管理员需要完全掌控 各个组件的配置和升级。 覆盖 覆盖 Cluster 则组件的 pod 仅调度到包含所有 指定标签的节点上。 注意 注意 如果在配置 nodeSelector 约束后监控组件仍然处于 Pending 状态，请检 查 Pod 事件中与污点和容限相关的错误。 要移 要移动 动用于 用于监 监控用 控用户 户定 定义 义的 的项 项目的 目的组 组件 件： a. 在 openshift-user-workload-monitoring 项目中编辑 则组件的 pod 仅调度到包含所有 指定标签的节点上。 注意 注意 如果在配置 nodeSelector 约束后监控组件仍然处于 Pending 状态，请检 查 Pod 事件中与污点和容限相关的错误。 3. 保存文件以使改变生效。新配置中指定的组件会自动移到新节点上。 注意 注意 除非集群管理员为用户定义的项目启用了监控，否则应用到 user-workload- monitoring-config

使开源包含更多 5.2. 关于 RED HAT OPENSHIFT VIRTUALIZATION 5.3. 新增和改变的功能 5.4. 弃用和删除的功能 5.5. 技术预览功能 5.6. 程序错误修复 5.7. 已知问题 第 第 6 章 章 安装 安装 6.1. 为 OPENSHIFT VIRTUALIZATION 准备集群 6.2. 为 OPENSHIFT VIRTUALIZATION 恢复的关键功能所必需的。要保护恢复密钥，请使用 BitLocker 恢复指南中的其他方法。 第 第 5 章 章 OPENSHIFT VIRTUALIZATION 发 发行注 行注记 记 41 5.6. 程序错误修复 由于一些由 Containerized Data Importer (CDI) 创建的持久性卷声明 (PVC) 注解，虚拟机快照恢 复操作不再会无限期挂起。(BZ#2070366) 5.7 接可能会丢失。(OCPBUGS-8398) OpenShift Virtualization 4.12 中更改了 TopoLVM 置备程序名称字符串。因此，自动导入操作系 统镜像可能会失败，并显示以下错误消息(BZ39) 2158521）： 作为临时解决方案： 1. 更新存储配置文件的 claimPropertySets 数组： 2. 删除 openshift-virtualization-os-images

Platform 4.13 安装 安装 30 此流程解释了如何使用 upgrade 命令从本地主机更新 Red Hat OpenShift 的镜像 registry 。更新至最新版 本可确保新的功能、错误修复和安全漏洞修复。 重要 重要 更新时，镜像 registry 会发生间歇性停机时间，因为它在更新过程中重启。 先决条件 先决条件 您已在本地主机上安装了 Red Hat OpenShift OpenShift 更新 mirror registry 此流程解释了如何使用 upgrade 命令从远程主机更新 Red Hat OpenShift 的镜像 registry 。更新至最新版 本可确保程序错误修复和安全漏洞。 重要 重要 更新时，镜像 registry 会发生间歇性停机时间，因为它在更新过程中重启。 先决条件 先决条件 您已在远程主机上安装了 Red Hat OpenShift 的镜像 命令行参数的更多信息，请参阅"Mirror registry for Red Hat OpenShift 标志"。 4.2.10.11.2. 程序 程序错误 错误修复 修复 在以前的版本中，当试图卸载 mirror registry for Red Hat OpenShift 时会返回以下错误：["Error: no container with name or ID \"quay-postgres\" found:

OpenShift Service Mesh 版本 版本 2.2.3 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.1.1. Red Hat OpenShift Service Mesh 2.2.3 版中包含的组件版本 OpenShift Service Mesh 版本 版本 2.2.2 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.2.1. Red Hat OpenShift Service Mesh 2.2.2 版中包含的组件版本 OpenShift Service Mesh 版本 版本 2.2.1 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.3.1. Red Hat OpenShift Service Mesh 2.2.1 版中包含的组件版本

连接的安装 接的安装镜 镜像 像 31 此流程解释了如何使用 upgrade 命令从本地主机更新 Red Hat OpenShift 的镜像 registry 。更新至最新版 本可确保新的功能、错误修复和安全漏洞修复。 重要 重要 更新时，镜像 registry 会发生间歇性停机时间，因为它在更新过程中重启。 先决条件 先决条件 您已在本地主机上安装了 Red Hat OpenShift OpenShift 更新 mirror registry 此流程解释了如何使用 upgrade 命令从远程主机更新 Red Hat OpenShift 的镜像 registry 。更新至最新版 本可确保程序错误修复和安全漏洞。 重要 重要 更新时，镜像 registry 会发生间歇性停机时间，因为它在更新过程中重启。 先决条件 先决条件 您已在远程主机上安装了 Red Hat OpenShift 的镜像 命令行参数的更多信息，请参阅"Mirror registry for Red Hat OpenShift 标志"。 4.2.10.11.2. 程序 程序错误 错误修复 修复 在以前的版本中，当试图卸载 mirror registry for Red Hat OpenShift 时会返回以下错误：["Error: no container with name or ID \"quay-postgres\" found:

方法转发日志已被弃用 1.2.1.3. 程序错误修复 1.2.2. OpenShift Logging 5.0.9 1.2.2.1. 程序错误修复 1.2.2.2. CVE 1.2.3. OpenShift Logging 5.0.8 1.2.3.1. 程序错误修复 1.2.4. OpenShift Logging 5.0.7 1.2.4.1. 程序错误修复 1.2.4.2. CVE 1.2 5.1. 程序错误修复 1.2.5.2. CVE 1.2.6. OpenShift Logging 5.0.5 1.2.6.1. 安全修复 1.2.7. OpenShift Logging 5.0.4 1.2.7.1. 安全修复 1.2.7.2. 程序错误修复 1.2.8. OpenShift Logging 5.0.3 1.2.8.1. 安全修复 1.2.8.2. 程序错误修复 1.2 2.9. OpenShift Logging 5.0.2 1.2.9.1. 程序错误修复 1.2.10. OpenShift Logging 5.0.1 1.2.10.1. 程序错误修复 1.2.11. OpenShift Logging 5.0.0 1.2.11.1. 新功能及功能增强 Cluster Logging 变为 Red Hat OpenShift Logging 每个索引最多五个主分片