替 替换 换 Dockerfile FROM 镜 镜像 像 您可以将 Dockerfile 中的 FROM 指令替换为 BuildConfig 对象的 from。如果 Dockerfile 使用多阶段构 建，最后一个 FROM 指令中的镜像将被替换。 流程 流程 将 Dockerfile 中的 FROM 指令替换为 BuildConfig 中的 from。 2.5.1.2. 使用 使用 Dockerfile source-to-image(S2I)会在构建期间读取此文件。 这允许自定义构建行为，因为 assembe 脚本可能会使用这些变量。 流程 流程 例如，在构建期间禁用 Rails 应用程序的资产编译： 在 .s2i/environment 文件中添加 DISABLE_ASSET_COMPILATION=true。 除了构建之外，指定的环境变量也可以在运行的应用程序本身中使用。例如，使 Rails 定义中添加环境变量。这里定义的环境变量可在 assemble 脚本执 行期间看到，也会在输出镜像中定义，使它们能够供 run 脚本和应用程序代码使用。 流程 流程 例如，禁用 Rails 应用程序的资产编译： strategy: sourceStrategy: from: kind: "ImageStreamTag" name: "builder-image:latest"

工件，从而能生成可运行的镜像。 5.1.1. 替换 Dockerfile FROM 镜像 您可以将 Dockerfile 中的 FROM 指令替换为 BuildConfig 中的 from。如果 Dockerfile 使用多阶段构 建，最后一个 FROM 指令中的镜像将被替换。 流程 流程 将 Dockerfile 中的 FROM 指令替换为 BuildConfig 中的 from。 5.1.2. 使用 Dockerfile s2i/environment 文件，则 S2I 会在构建期间读取此文件。这允许自定义构建行 为，因为 assembe 脚本可能会使用这些变量。 流程 流程 例如，在构建期间禁用 Rails 应用程序的资产编译： 在 .s2i/environment 文件中添加 DISABLE_ASSET_COMPILATION=true。 除了构建之外，指定的环境变量也可以在运行的应用程序本身中使用。例如，使 Rails 定义中添加环境变量。这里定义的环境变量可在 assemble 脚 本执行期间看到，也会在输出镜像中定义，使它们能够供 run 脚本和应用程序代码使用。 流程 流程 例如，禁用 Rails 应用程序的资产编译： 其他 其他资 资源 源 “构建环境”部分提供了更多高级指导。 sourceStrategy: ... env: - name: "DISABLE_ASSET_COMPILATION"

为 New ( )、Pending ( )、Running ( )、Complemented ( )、Failed ( )和 Canceled( )。 pod 的状态或阶段由不同的颜色和工具提示来表示： Running （ ）：pod 绑定到节点，并创建所有容器。至少一个容器仍在运行，或正在启动 或重启过程中。 Not Ready ( )：运行多个容器的 ）：当 pod 被删除时，一些 kubectl 命令会显示 Terminating。Terminating 状态不是 pod 的一个阶段。一个 pod 会被赋予一个安全终止 期，默认为 30 秒。 Unknown（ ）：无法获取 pod 状态。此阶段通常是由于与 pod 应该运行的节点通信时出 错造成的。 创建应用程序并部署镜像后，其状态会显示为 Pending。构建应用程序后，它会显示为 Preview) 只 是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且 功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使 用户提早试用新的功能，并有机会在开发阶段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 5.1.2.1. 支持列表 支持列表 这个版本中的一些功能当前还处于技术预览状态。它们并不适用于在生产环境中使用。

为 New ( )、Pending ( )、Running ( )、Complemented ( )、Failed ( )和 Canceled( )。 pod 的状态或阶段由不同的颜色和工具提示来表示： Running （ ）：pod 绑定到节点，并创建所有容器。至少一个容器仍在运行，或正在启动 或重启过程中。 Not Ready ( )：运行多个容器的 ）：当 pod 被删除时，一些 kubectl 命令会显示 Terminating。Terminating 状态不是 pod 的一个阶段。一个 pod 会被赋予一个安全终止 期，默认为 30 秒。 Unknown（ ）：无法获取 pod 状态。此阶段通常是由于与 pod 应该运行的节点通信时出 错造成的。 创建应用程序并部署镜像后，其状态会显示为 Pending。构建应用程序后，它会显示为 Preview) 只 是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且 功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使 用户提早试用新的功能，并有机会在开发阶段提供反馈意见。 有关红帽技术预览功能支持范围的详情，请参考 https://access.redhat.com/support/offerings/techpreview/。 6.1.1. 支持列表

Removed 设置待处理，但 Cluster Samples Operator 正在等待删除操作完成。 ImportImageErrorsExis t 指明哪些镜像流在它们的一个标签的镜像导入阶段出错。 出错时显示为 True。出错的镜像流列表位于原因字段中。各个报告错误的详情 位于消息字段中。 MigrationInProgress 当 Cluster Samples Operator Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 OpenShift Container Platform 4.14 镜 镜像 像 30 Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 程序的新镜像。 使用 S2I 构建可重复生成的容器镜像的主要优点是便于开发人员使用。作为构建器镜像作者，您必须理解 模板未能在一小时的固定超时内就绪，则模板实例化将失败。 就实例化而言，各种对象类型的就绪和失败定义如下： 类 类型 型 就 就绪 绪 失 失败 败 Build 对象报告阶段完成。 对象报告阶段取消、错误或失败 BuildConfig 最新关联构建对象报告阶段完成 最新关联构建对象报告阶段取消、错误或 失败 Deployment 对象报告新副本集和部署可用。这遵循对 象上定义的就绪探针。 对象报告进度状况为 false。

Removed 设置待处理，但 Cluster Samples Operator 正在等待删除操作完成。 ImportImageErrorsExis t 指明哪些镜像流在它们的一个标签的镜像导入阶段出错。 出错时显示为 True。出错的镜像流列表位于原因字段中。各个报告错误的详情 位于消息字段中。 MigrationInProgress 当 Cluster Samples Operator min-cpu 4 4.3. 使用 SOURCE-TO-IMAGE 从源代码创建镜像 Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 程序的新镜像。 使用 S2I 构建可重复生成的容器镜像的主要优点是便于开发人员使用。作为构建器镜像作者，您必须理解 两个基本概念，构建过程和 S2I 脚本，才能让您的镜像提供最佳的 S2I 模板未能在一小时的固定超时内就绪，则模板实例化将失败。 就实例化而言，各种对象类型的就绪和失败定义如下： 类 类型 型 就 就绪 绪 失 失败 败 Build 对象报告阶段完成。 对象报告阶段取消、错误或失败 BuildConfig 最新关联构建对象报告阶段完成 最新关联构建对象报告阶段取消、错误或 失败 Deployment 对象报告新副本集和部署可用。这遵循对 象上定义的就绪探针。 对象报告进度状况为 false。

产环境中使用。 重要 重要 技术预览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推 荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在 开发阶段提供反馈意见。有关红帽技术预览功能支持范围的更多信息，请参阅技术预览支 持范围。 1.2.3.1. Istio 兼容性和支持列表 兼容性和支持列表 在下表中，被标记为以下状态的功能： TP: 技术预览 sidecar 注入失败，因为应用程序命名空间中缺少配置映射。因为 OwnerReference 字段设置不正确，配置映射会被自动删除，因此应用程序 pod 不会超过 "ContainerCreating" 阶段。已删除不正确的设置。 TRACING-1725 转入到 TRACING-1631。额外的程序漏洞修复，可确保当存在多个生产环境的 Jaeger 实例，它们使用相同的名称但在不同的命名空间中时，Elasticsearch 1.19. 扩展 您可以使用 WebAsembly 扩展直接将新功能添加到 Red Hat OpenShift Service Mesh 代理中。这可让您 从应用程序中移出更多常见的功能，并使用编译到 WebAssembly 字节代码的单一语言实现它们。 注意 注意 IBM Z 和 IBM Power Systems 不支持 WebAsembly 扩展。 1.19.1. WebAssembly

OpenShift Container Platform 集群和容器时，这些连接会 被正确加密。 OpenShift Container Platform 组件以 Go 编写，并使用红帽的 golang 编译器构建。当您为集群启用 FIPS 模式时，所有需要加密签名的 OpenShift Container Platform 组件调用 RHEL 和 RHCOS 加密程序 库。 表 表 2.1. OpenShift FIPS。 FIPS 验证的/Modules in Process 的加密模块和算法， 它们从 RHEL 7 和 RHCOS 二进制文件和镜像中获 得。 使用 FIPS 兼容 golang 编译器。 对 TLS FIPS 的支持当前还不完整，但计划在将来的 OpenShift Container Platform 版本中被完全支持。 2.2. 集群使用的组件支持 FIPS 尽管 OpenShift 节点上启用磁盘加密。这 个功能： 可用于安装程序置备的基础架构和用户置备的基础架构部署 只在 Red Hat Enterprise Linux CoreOS (RHCOS) 系统上被支持 在清单安装阶段设置磁盘加密，以便加密所有写入磁盘的数据（从第一次引导开始） 只加密 root 文件系统中的数据（/dev/mapper/coreos-luks-root on /） 不需要用户干预就可以提供密码短语

重要 向量只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且 功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提 早试用新的功能，并有机会在开发阶段提供反馈意见。 有关红帽技术预览功能支持范围的详情，请参考 https://access.redhat.com/support/offerings/techpreview/。 1.9.2. 关于向量 Operator 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA） 支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以 使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。 有关红帽技术预览功能支持范围的详情，请参考 https://access.redhat.com/support/offerings/techpreview/。 1.9.3. 关于 记录仪表板可以正确地显示 CPU 图形。(LOG-1925) 在此次更新之前，Elasticsearch Prometheus exporter 插件使用会影响 Elasticsearch 节点性能的 高成本查询编译了索引级指标。这个版本实现了更低成本的查询，可提高性能。(LOG-1897) 1.22.2. CVE 例 例 1.13. 点 点击 击以展开 以展开 CVE CVE-2021-21409 BZ-1944888

表明存在待处理的 Management State: Removed 设置，但将等到进行中的 镜像流完成后再处理。 ImportImageErrorsExis t 指明哪些镜像流在它们的一个标签的镜像导入阶段出错。 出错时显示为 True。出错的镜像流列表位于原因字段中。各个报告错误的详情 位于消息字段中。 MigrationInProgress 当 Samples Operator 检测到对应版本与安装当前示例集的 模板未能在一小时的固定超时内就绪，则模板实例化将失败。 就实例化而言，各种对象类型的就绪和失败定义如下： 类 类型 型 就 就绪 绪 失 失败 败 Build 对象报告阶段完成 对象报告阶段取消、错误或失败 BuildConfig 最新关联构建对象报告阶段完成 最新关联构建对象报告阶段取消、错误或 失败 Deployment 对象报告新的 ReplicaSet 和部署可用（这 遵循对象上定义的就绪探针） 对象报告进度状况为错误 通过确保 gradle.properties 文件中未设置 org.gradle.parallel=true 且 --parallel 未设置为命令 行参数来禁用并行构建执行。 要防止 Java 编译超出进程范围，请在 build.gradle 文件中设置 java { options.fork = false }。 通过确保在 build.gradle 文件中设置 test { maxParallelForks