服务 务 第 第 4 章 章 外部存 外部存储 储服 服务 务 第 第 5 章 章 安全考 安全考虑 虑 5.1. FIPS-140-2 5.2. 代理环境 5.3. 数据加密选项 5.4. TRANSIT 中的加密 第 第 6 章 章 订阅 订阅 6.1. 订阅服务 6.2. 灾难恢复订阅要求 6.3. 内核与 VCPU 和超线程 6.4. 分割内核 6.5. 订阅要求 第 第 7 章 资源要求 7.4. POD 放置规则 7.5. 存储设备要求 7.6. 网络要求 7.7. 多网络插件 (MULTUS) 支持 [技术预览] 第 第 8 章 章 DISASTER RECOVERY 8.1. METRO-DR 8.2. REGION-DR [技术预览] 第 第 9 章 章 断开 断开连 连接的 接的环 环境 境 第 第 10 章 章 IBM POWER 和 和 IBM Z 裸机 VMware vSphere Microsoft Azure Google Cloud [技术预览] Red Hat Virtualization 4.4.x 或更高版本（安装程序置备的基础架构） Red Hat OpenStack 13 或更高版本 （安装程序置备的基础架构）[技术预览] IBM Power IBM Z 和 LinuxONE 创建内部集群资源将导致内部置备 OpenShift

和容器可能需要临时或过渡的本地存储才能进行操作。此临时存储的生命周期不会超过每个 pod 的生命周期，且此临时存储无法在 pod 间共享。 Fiber 频道 道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个 节点上在预定义的卷插件路径中安装 FlexVolume 驱动程序二进制文件，并在某些情况下是 OpenShift Container Platform 4.14 存 存储 储 4 Key Management Service (KMS) 可帮助您在不同服务间实现所需的数据加密级别。您可以使用 KMS 密钥加密、解密和重新加密数据。 本地卷 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 NFS 网络文件系统(NFS)允许远程主机通过网络挂载文件系统，并像它们挂载在本地那样与这些文件系统进 ReadWriteOncePod 访问模式是一个技术预览功能。 重要 重要 持久性卷的 ReadWriteOncePod 访问模式只是一个技术预览功能。技术预览功能不受红帽 产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它 们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意 见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 表 表

the property of their respective owners. 摘要 摘要 此发行注记介绍了 OpenShift Container Platform 的新功能、功能增强、重要的技术变化、以及对以 前版本中的错误作出的主要修正。另外，还包括在此版本正式发行（GA）时存在的已知问题的信 息。 . . . . . . . . . . . . . . . . . . . . . . 1. 关于此版本 1.2. OPENSHIFT CONTAINER PLATFORM 层次和依赖组件支持和兼容性 1.3. 新功能及功能增强 1.4. 主要的技术变化 1.5. 弃用和删除的功能 1.6. 程序错误修复 1.7. 技术预览功能 1.8. 已知问题 1.9. 异步勘误更新 3 3 3 4 29 31 35 47 53 60 目 目录 录 1 OpenShift 密库，在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 Validation。 有关 NIST 验证程序的更多信息，请参阅加密模块验证程序。有关为验证提交的 RHEL 加密库的单独版本 的最新 NIST 状态，请参阅 Compliance Activities 和 Government Standards。 1.2. OPENSHIFT CONTAINER

为机器集启用客户管理的加密密钥 您可以为 Azure 提供加密密钥，以便加密受管磁盘上的数据。您可以使用 Machine API 使用客户管理的密 钥启用服务器端加密。 使用客户管理的密钥需要 Azure Key Vault、磁盘加密集和加密密钥。磁盘加密集必须在 Cloud Credential Operator（CCO）授予权限的资源组中。如果没有，则需要在磁盘加密集中授予额外的 reader reader 角色。 先决条件 先决条件 创建 Azure Key Vault 实例。 创建磁盘加密集的实例。 授予磁盘加密集对密钥 vault 的访问权限。 type: DirectoryOrCreate nodeSelector: disktype: ultrassd StorageAccountType UltraSSD_LRS can be used only 38 流程 流程 在机器集 YAML 文件中的 providerSpec 字段中配置磁盘加密集。例如： 其他 其他资 资源 源 Azure 文档中有关客户管理的密钥 2.3.9. 使用机器集为 Azure 虚拟机配置可信启动 重要 重要 为 Azure 虚拟机使用可信启动只是一个技术预览功能。技术预览功能不受红帽产品服务等 级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技

Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.1.2. Red Hat OpenShift distributed tracing Platform 3.0 中的组件版本 Operator 组 组件 件 Version Red Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.2.2. Red Hat OpenShift distributed tracing Platform 2.9.2 中的组件版本 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 distributed tracing Platform (Tempo)只是一个技术预览功能。技术预 览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生 产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶 段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 1.2.5.1. 已知 已知问题 问题 目前，没有为连接对象存储而实施自定义

和容器可能需要临时或过渡的本地存储才能进行操作。此临时存储的生命周期不会超过每个 pod 的生命周期，且此临时存储无法在 pod 间共享。 Fiber 频 频道 道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个 节点上在预定义的卷插件路径中安装 FlexVolume 驱动程序二进制文件，并在某些情况下是 Container Platform 4.8 存 存储 储 4 KMS 密 密钥 钥 Key Management Service (KMS) 可帮助您在不同服务间实现所需的数据加密级别。您可以使用 KMS 密钥加密、解密和重新加密数据。 本地卷 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 NFS 网络文件系统(NFS)允许远程主机通过网络挂载文件系统，并像它们挂载在本地那样与这些文件系统进 动态置 置备 备 完全支持 完全支持 注意 注意 可手动置备但未提供完全支持的块卷作为技术预览功能提供。技术预览功能不被红帽产品 服务等级协议 (SLA) 支持，且可能在功能方面有缺陷。红帽不推荐在生产环境中使用它 们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意 见。有关红帽技术预览功能支持范围的详情，请参阅 https://access.redhat.com/su

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2. 配置 AZURE 帐户 7.3. 为 AZURE 启用用户管理的加密 7.4. 在 AZURE 上快速安装集群 7.5. 使用自定义在 AZURE 上安装集群 7.6. 使用网络自定义在 AZURE 上安装集群 7.7. 将 AZURE 上的集群安装到现有的 VNET 访问主机的情况下手动收集日志 26.5. 从安装程序获取调试信息 26.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 27 章 章 支持 支持 FIPS 加密 加密 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 27.2. 集群使用的组件支持 FIPS 27.3. 在 FIPS 模式下安装集群 3864 3866 OSTree 作为后端）提供，该镜像由 Machine Config Operator 在集群中部署。实际的操作系 统更改通过使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform 可以像管理集群上的任何其他应用程序一样管理操作系统，通过原位升级使整个平台 保持最新状态。这些原位更新可以减轻运维团队的负担。 如果将 RHCOS

. . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3. 为 AZURE 手动创建 IAM 7.4. 为 AZURE 启用用户管理的加密 7.5. 在 AZURE 上快速安装集群 7.6. 使用自定义在 AZURE 上安装集群 7.7. 使用网络自定义在 AZURE 上安装集群 7.8. 将 AZURE 上的集群安装到现有的 VNET OSTree 作为后端）提供，该镜像由 Machine Config Operator 在集群中部署。实际的操作系 统更改通过使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform 可以像管理集群上的任何其他应用程序一样管理操作系统，通过原位升级使整个平台 保持最新状态。这些原位更新可以减轻运维团队的负担。 如果将 RHCOS Container Platform 上的 Alibaba Cloud 只是一个技术预览功能。技术预览功能 不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境 中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供 反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 5.1.1. 先决条件 您可以参阅有关 OpenShift

访问主机的情况下手动收集日志 25.5. 从安装程序获取调试信息 25.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 26 章 章 支持 支持 FIPS 加密 加密 26.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 26.2. 集群使用的组件支持 FIPS 26.3. 在 FIPS 模式下安装集群 2741 2741 镜像中的 Atomic OSTree 存储库交付，该镜像由 Operator 在整个集群中推广。实际的操作系统更改通过 使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform 可以像管理集群上的任何其他应用程序一样管理操作系统，通过原位升级使整个平台保持最新状 态。这些原位更新可以减轻运维团队的负担。 如果将 RHCOS 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置，但建议在用户访问集群前进行操作。您可以通过自定义组成集群的

the property of their respective owners. 摘要 摘要 此发行注记介绍了 OpenShift Container Platform 的新功能、功能增强、重要的技术变化、以及对以 前版本中的错误作出的主要修正。另外，还包括在此版本正式发行（GA）时存在的已知问题的信 息。 . . . . . . . . . . . . . . . . . . . . . . 现在，CSI 驱动程序由 Cluster Storage Operator 管理 1.2.9.2. 使用 Local Storage Operator 自动发现并置备设备（技术预览） 1.2.9.3. 已删除 AWS EFS（技术预览）功能的外部置备程序 1.2.10. 容器镜像仓库（Registry） 1.2.10.1. 镜像修剪器容许无效的镜像 1.2.10.2. 更改镜像修剪器的日志级别 转换（Conversion）webhook 支持全局 Operators 1.2.11.5. 现在支持 Operator API 1.2.11.5.1. 在集群进行升级前，会删除 Operator API 的技术预览版本 1.2.11.6. Node Maintenance Operator 现在会验证维护请求 1.2.11.7. 使用 NodeMaintenance 自定义资源将节点设置为维护模式 18