write。 OSSM-1211 为故障转移配置联邦服务网格无法正常工作。 Istiod pilot 日志显示以下错误： envoy connection [C289] TLS error: 337047686:SSL routines:tls_process_server_certificate:certificate verify failed OSSM-1099 Kiali 控制台显示消息 Sorry Collector 间的连接会出现 TRACING-1300 失败。对 Jaeger Operator 的更新默认启用了 Jaeger sidecar 代理和 Jaeger Collector 之间的 TLS 通信。 {"level":"warn","ts":1642438880.918793,"caller":"channelz/logging.go:62","msg":"[core]grpc: Server 1.5. OpenSSL Red Hat OpenShift Service Mesh 将 BoringSSL 替换为 OpenSSL。OpenSSL 是包含安全套接字层 (SSL) 和传输层 (TLS) 协议的开源实现的软件库。Red Hat OpenShift Service Mesh Proxy 二进制代码动 态地将 OpenSSL 库（libssl 和 libcrypto）与底层的 Red

Jaeger 版本 1.13.1 不匹配。 MAISTRA-622 在 Maistra 0.12.0/TP12 中，permissive 模式无法正常工作。用户可以使用 Plain text 模式或 Mutual TLS 模式，但不能使用 permissive 模式。 MAISTRA-572 Jaeger 无法与 Kiali 一起使用。在这个版本中，Jaeger 被配置为使用 OAuth 代 理，但它被配 1.7. OpenSSL Red Hat OpenShift Service Mesh 将 BoringSSL 替换为 OpenSSL。OpenSSL 是包含安全套接字层 (SSL) 和传输层 (TLS) 协议的开源实现的软件库。Red Hat OpenShift Service Mesh Proxy 二进制代码动 态地将 OpenSSL 库（libssl 和 libcrypto）与底层的 Red 不支持基于 QUIC 的服务。 Red Hat OpenShift Service Mesh 目前还不支持使用 Istio 的 Secret Discovery Service (SDS) 功 能部署 TLS 证书。Istio 的实施取决于使用 hostPath 挂载的 nodeagent 容器。 后 后续 续步 步骤 骤 准备在 OpenShift Container Platform 环境中安装

容器中，运行 以下命令： -ca-file -ca-file 标志是用于控制 NFD Topology Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 -cert-file 和 '-key-file'。此标志指定用于验证 nfd-master 真实性的 TLS root 证书。 默认： 空 重要 重要 -ca-file 标志必须与 -cert-file 和 -key-file 标志一起指定。 示例 示例 -cert-file -cert-file 标志是在 NFD Topology Updater 上控制 mutual TLS 身份验证的三个标记之一，其他两个与 - ca-file 和 -key-file flags。此标志指定为身份验证传出请求的 TLS 证书。 默认： 空 重要 重要 -cert-file 标志必须与 -ca-file 和 -key-file 标志一起指定。 用硬件和驱动 驱动程序 程序启 启用 用 30 -h, -help 打印使用方法并退出. -key-file key-file 标志是控制 NFD Topology Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 - ca-file 和 -cert-file。此标志指定与给定证书文件或 -cert-file 对应的私钥，用于验证传出请求。 默认： 空 重要 重要

容器中，运行 以下命令： -ca-file -ca-file 标志是用于控制 NFD Topology Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 -cert-file 和 '-key-file'。此标志指定用于验证 nfd-master 真实性的 TLS root 证书。 默认： 空 重要 -ca-file 标志必须与 -cert-file 和 -key-file Example -cert-file -cert-file 标志是在 NFD Topology Updater 上控制 mutual TLS 身份验证的三个标记之一，其他两个与 - ca-file 和 -key-file flags。此标志指定为身份验证传出请求的 TLS 证书。 默认： 空 重要 -cert-file 标志必须与 -ca-file 和 -key-file 标志一起指定。 Platform 4.12 专 专用硬件和 用硬件和驱动 驱动程序 程序启 启用 用 22 -key-file key-file 标志是控制 NFD Topology Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 - ca-file 和 -cert-file。此标志指定与给定证书文件或 -cert-file 对应的私钥，用于验证传出请求。 默认： 空 重要 key-file

日志 日志记录 记录 10 在此次更新之前，当将 Vector 配置为将日志转发到 Loki 时，无法设置自定义 bearer 令牌，如果 Loki 启用了 TLS，则无法使用默认的令牌。在这个版本中，Vector 可以使用启用了 TLS 的令牌 将日志转发到 Loki。(LOG-2786 在此次更新之前，Elasticure Operator 在选择 oauth-proxy 镜像时省略 ImageStream 子系统的当前默认收集器。 以下输出受支持： elasticsearch.一个外部 Elasticsearch 实例。elasticsearch 输出可以使用 TLS 连接。 kafka.Kafka 代理。kafka 输出可以使用不安全的或 TLS 连接。 loki。Loki，一个可横向扩展的、高可用性、多租户日志聚合系统。 1.9.2.1. 启 启用向量 用向量 默认不启用向量。使用以下步骤在 OpenShift Logging 程序错误修复 5.3.0 1.23.1. 新功能及功能增强 在这个版本中，Log Forwarding 的授权选项已被扩展。输出现在可以配置 SASL、用户名/密码或 TLS。 OpenShift Container Platform 4.8 日志 日志记录 记录 30 1.23.2. 程序错误修复 在此次更新之前，如果您使用 syslog 协议转发日志，请串行化

OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： OpenShift Container Platform 4.9 网 网络 络 6 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift Container Platform 中， 生成路由以满足 Ingress 资源指定的条件。 1.3. OPENSHIFT CONTAINER PLATFORM 网络的常见术语表 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 扩 扩展 展 增加或减少资源容量。 service 在一组 pod 上公开正在运行的应用程序。 单 单根 根 I/O 虚 虚拟 拟化 化 (SR-IOV)

ThanosQuerierConfig 资源的 enableCORS 参数的 值设置为 true 来启用它们。(OCPBUGS-11889) 网 网络 在以前的版本中，当在入口控制器上配置客户端 mutual TLS (mTLS)时，CA 捆绑包中的证书颁 发机构(CA)证书需要超过 1 MB 的证书撤销列表(CRL)，因为大小限制而无法更新 CRL 配置映 射。由于缺少 CRL，具有有效客户端证书的连 节点污点，该污点指定了 NoExecute 效果。因此，无论指定了哪些效 果，canary pod 都会调度到 infra 节点上。(OCPBUGS-9274) 在以前的版本中，当在入口控制器上配置客户端 mutual TLS (mTLS)时，如果任何客户端证书颁 发机构(CA)证书包含证书撤销列表(CRL)分布点，则不同 CA 发布的 CRL 和 CRL 过期，发布 CA 和发布 CA 间的不匹配会导致下载不正确的 不再尝试发布记录，日志中将不再有 failed to publish DNS record to zone 错误。(OCPBUGS-10875) 在以前的版本中，oc explain route.spec.tls.insecureEdgeTerminationPolicy 命令记录了可能 对某些用户造成混淆的选项。在这个版本中，API 文档已被更新，它会显示 insecureEdgeTerminationPolicy

过期。 输 输出示例 出示例 3.6. 自定义内部 OAUTH 服务器 URL 您可以通过在集群 Ingress 配置的 spec.componentRoutes 字段中设置自定义主机名和 TLS 证书来自 定义内部 OAuth 服务器 URL。 $ oc get clusteroperators authentication NAME VERSION AVAILABLE 已使用具有管理特权的用户身份登录集群。 您已在 openshift-config 命名空间中创建了包含 TLS 证书和密钥的 secret。如果自定义主机名 后缀的域与集群域后缀不匹配，则需要此项。如果后缀匹配，secret 是可选的。 提示 提示 您可以使用 oc create secret tls 命令创建 TLS secret。 流程 流程 1. 编辑集群 Ingress 配置： 2. 设置自定义主机名以及可选的服务证书和密钥： 设置自定义主机名以及可选的服务证书和密钥： 自定义主机名. 对 openshift-config 命名空间中的 secret 的引用，该 secret 包含 TLS 证书 ( tls.crt) 和密钥 (tls.key)。如果自定义主机名后缀的域与集群域后缀不匹配，则需要此项。如果后缀匹 配，secret 是可选的。  $ oc login -u -p

tracing 2.1.0 技术预览 此发行版本引入了一个具有破坏性的更改，这个变化与如何在 OpenTelemetry 自定义资源文件中配置证 书相关。在新版本中，ca_file 在自定义资源中的 tls 下移动，如下例所示。 OpenTelemetry 版本 版本 0.33 的 的 CA 文件配置 文件配置 OpenTelemetry 版本 版本 0.41.1 的 的 CA 文件配置 文件配置 jaeger: endpoint: jaeger-production-collector-headless.tracing-system.svc:14250 tls: ca_file: "/var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt" OpenShift Container Collector 间的连接会出现 TRACING-1300 失败。对 Jaeger Operator 的更新默认启用了 Jaeger sidecar 代理和 Jaeger Collector 之间的 TLS 通信。 {"level":"warn","ts":1642438880.918793,"caller":"channelz/logging.go:62","msg":"[core]grpc: Server

Observe 菜单的 web 控制台中视觉化指标。 1.1.4.2. 程序 程序错误 错误修复 修复 在这个版本中，为分布式追踪平台(Tempo)引入了以下程序错误修复： 修复了连接到对象存储的自定义 TLS CA 选项支持。(TRACING-3462) 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3523) 修复了没有部署网关时的 功能，并有机会在开发阶 段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 1.2.5.1. 已知 已知问题 问题 目前，没有为连接对象存储而实施自定义 TLS CA 选项。(TRACING-3462) 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace 的服 务。对于没有在最后 15 分钟内发送 功能，并有机会在开发阶 段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 1.3.5.1. 已知 已知问题 问题 目前，没有为连接对象存储而实施自定义 TLS CA 选项。(TRACING-3462) 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace 的服 第 第 1 章 章 分布式追踪