link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

1.3. 新功能及功能增强

此版本对以下方面进行了改进。

1.3.1. Red Hat Enterprise Linux CoreOS (RHCOS)

1.3.1.1. RHCOS 现在使用 RHEL 9.2

RHCOS 现在在 OpenShift Container Platform 4.14 中使用 Red Hat Enterprise Linux (RHEL) 9.2 软件包。这些软件包可确保 OpenShift Container Platform 实例收到最新的修复、功能、增强功能、硬件支持和驱动程序更新。不包括在这个更改中，OpenShift Container Platform 4.12 是一个延长更新支持 (EUS) 版本，它将继续对整个生命周期使用 RHEL 8.6 EUS 软件包。

1.3.1.1.1. 使用 RHEL 9.2 升级到 OpenShift Container Platform 的注意事项

因为 OpenShift Container Platform 4.14 现在使用基于 RHEL 9.2 的 RHCOS，所以在升级前请考虑以下方面： RHEL 8.6 和 RHEL 9.2 之间可能会更改了一些组件配置选项和服务，这意味着现有机器配置文件可能不再有效。如果您自定义了默认 OpenSSH /etc/ssh/sshd_config 服务器配置文件，您需要根据红帽知识库文章进行更新。 RHCOS 容器主机不支持 RHEL 6 基础镜像容器，但在 RHEL 8 worker 节点上支持。如需更多信息，请参阅红帽容器兼容性列表。有些设备驱动程序已弃用，请参阅 RHEL 文档以了解更多信息。

1.3.2. 安装和更新

1.3.2.1. 使用共享 VPC 在 Amazon Web Services (AWS) 上安装集群

在 OpenShift Container Platform 4.14 中，您可以在使用共享虚拟私有云 (VPC) 的 AWS 上安装集群，其私有托管区位于与集群不同的帐户中。如需更多信息，请参阅在 AWS 上安装集群到现有的 VPC 中。

1.3.2.2. 在 AWS 上的集群 bootstrap 过程中启用 S3 存储桶

在这个版本中，您可以选择在 AWS 上的集群 bootstrap 过程中自动删除 S3 存储桶。如果您有一个用于防止删除 S3 存储桶的安全策略时，此选项很有用。

1.3.2.3. 使用 NAT 网关在 Microsoft Azure 上安装集群（技术预览）

在 OpenShift Container Platform 4.14 中，您可以安装使用 NAT 网关进行出站网络的集群。这作为技术预览提供 (TP)。如需更多信息，请参阅其他 Azure 配置参数。

1.3.2.4. 使用 pd-balanced 磁盘类型在 Google Cloud Platform (GCP) 上安装集群

在 OpenShift Container Platform 4.14 中，您可以使用 pd-balanced 磁盘类型在 GCP 上安装集群。此磁盘类型仅适用于计算节点，不能用于 control plane 节点。如需更多信息，请参阅其他 GCP 配置参数。

1.3.2.5. OpenShift Container Platform 4.14 中的可选功能

对于 OpenShift Container Platform 4.14，您可以在安装过程中禁用 Build 、 DeploymentConfig 、 ImageRegistry 和 MachineAPI 功能。只有在使用用户置备的基础架构安装集群时，才能禁用 MachineAPI 功能。如需更多信息，请参阅集群功能。

1.3.2.6. 使用 Azure AD Workload Identity 安装集群

现在，您可以将 Microsoft Azure 集群配置为使用 Azure AD Workload Identity。使用 Azure AD Workload Identity 时，集群组件使用在集群外管理的短期安全凭证。如需有关 Azure 上 OpenShift Container Platform 集群的短期凭证实现的更多信息，请参阅 Azure AD Workload Identity 。要了解如何在安装过程中配置此凭证管理策略，请参阅配置 Azure 集群以使用短期凭证。

1.3.2.7. Microsoft Azure 的用户定义的标签现已正式发布

Microsoft Azure 的用户定义的标签功能以前在 OpenShift Container Platform 4.13 中作为技术预览引进，现在在 OpenShift Container Platform 4.14 中正式发布。如需更多信息，请参阅为 Azure 配置用户定义的标签。

1.3.2.8. Azure 的机密虚拟机（技术预览）

您可以在 Azure 上安装集群时启用机密虚拟机。您可以在安装过程中使用机密计算来加密虚拟机客户机状态存储。这个功能只是一个技术预览，它存在一些已知的问题，这些问题在本文档的已知问题部分列出。如需更多信息，请参阅启用机密虚拟机。

1.3.2.9. Azure 的可信启动（技术预览）

在 Azure 上安装集群时，您可以启用可信启动功能（技术预览）。这些功能包括安全引导和虚拟化受信任的平台模块。如需更多信息，请参阅为 Azure 虚拟机启用可信启动。

1.3.2.10. Google Cloud Platform 的用户定义的标签和标签（技术预览）

现在，您可以在 Google Cloud Platform (GCP) 中配置用户定义的标签和标签，以对资源进行分组，以及管理资源访问和成本。用户定义的标签只能应用到使用 OpenShift Container Platform 安装程序及其核心组件创建的资源。用户定义的标签只能应用到使用 OpenShift Container Platform Image Registry Operator 创建的资源。如需更多信息，请参阅管理 GCP 的用户定义标签和标签。

1.3.2.11. 在受限网络中的 Microsoft Azure 上安装 OpenShift Container Platform 集群

在 OpenShift Container Platform 4.14 中，您可以在受限网络中为安装程序置备的基础架构 (IPI) 和用户置备的基础架构 (UPI) 在 Microsoft Azure 上安装集群。对于 IPI，您可以在现有 Azure Virtual Network (VNet) 上创建安装发行内容的内部镜像。对于 UPI，您可以使用您提供的基础架构在 Microsoft Azure 上安装集群。如需更多信息，请参阅在受限网络中的 Azure 上安装集群，以及使用用户置备的基础架构在 Azure 上安装集群。

1.3.2.12. 使用 by-path 设备别名指定安装磁盘

现在，您可以使用 by-path 设备别名指定安装磁盘，如 deviceName: "/dev/disk/by-path/pci-0000:01:00.0-scsi-0:0:0:0" ，在使用安装程序置备的基础架构在裸机上安装集群时。您还可以在基于代理的安装过程中指定此参数。这种类型的磁盘别名在重启后保留。如需更多信息，请参阅为裸机配置 install-config.yaml 文件，或为基于代理的安装配置 root 设备提示。

1.3.2.13. 将现有 AWS 安全组应用到集群

默认情况下，安装程序会创建安全组并将其附加到 control plane 和计算机器。不可修改与默认安全组关联的规则。使用 OpenShift Container Platform 4.14 时，如果您将集群部署到现有的 Amazon Virtual Private Cloud (VPC) 中，您可以将额外的现有 AWS 安全组应用到 control plane 和计算机器。这些安全组必须与您要将集群部署到的 VPC 关联。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。如需更多信息，请参阅将现有 AWS 安全组应用到集群。

1.3.2.14. 从 OpenShift Container Platform 4.13 更新至 4.14 时所需的管理员确认

OpenShift Container Platform 4.14 使用 Kubernetes 1.27，它删除了已弃用的 API 。集群管理员必须在从 OpenShift Container Platform 4.13 升级到 4.14 前提供手动确认。这有助于防止升级到 OpenShift Container Platform 4.14 后出现问题，其中已删除的 API 仍在由运行或与集群交互的工作负载、工具或其他组件使用。管理员必须针对将要删除的任何 API 评估其集群，并迁移受影响的组件，以使用适当的新 API 版本。完成此操作后，管理员可以向管理员提供确认。所有 OpenShift Container Platform 4.13 集群都需要此管理员确认，然后才能升级到 OpenShift Container Platform 4.14。如需更多信息，请参阅准备升级到 OpenShift Container Platform 4.14 。

1.3.2.15. Nutanix 的三节点集群支持

从 OpenShift Container Platform 4.14 开始，在 Nutanix 上部署三节点集群。这种类型的 OpenShift Container Platform 集群是一个更有效的资源集群。它只包含三个 control plane 机器，它们也充当计算机器。如需更多信息，请参阅在 Nutanix 上安装三节点集群。

1.3.2.16. 使用机密虚拟机在 GCP 上安装集群已正式发布

在 OpenShift Container Platform 4.14 中，在安装集群时使用机密虚拟机已正式发布。64 位 ARM 架构目前不支持机密虚拟机。如需更多信息，请参阅启用机密虚拟机。

1.3.2.17. RHOSP 的根卷类型参数现在可用

现在，您可以使用 rootVolume.types 参数在 RHOSP 中指定一个或多个根卷类型。此参数可用于 control plane 和计算机器。

1.3.2.18. vSphere 节点的静态 IP 地址

您可以在没有动态主机配置协议 (DHCP) 的环境中置备带有静态 IP 地址的 bootstrap、control plane 和计算节点。 vSphere 节点的静态 IP 地址只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。在部署集群以使用静态 IP 地址运行节点后，您可以扩展机器以使用这些静态 IP 地址之一。另外，您可以使用机器集将机器配置为使用配置的静态 IP 地址之一。如需更多信息，请参阅在 vSphere 文档中安装集群中的"用于 vSphere 节点的"静态 IP 地址"部分。

1.3.2.19. Bare Metal Host CR 的额外验证

Bare Metal Host 自定义资源 (CR) 现在包含 ValidatingWebhooks 参数。使用这个参数，Bare Metal Operator 会在接受 CR 前捕获任何配置错误，并将配置错误返回给用户。

1.3.2.20. 在 AWS 本地区中快速安装集群

对于 OpenShift Container Platform 4.14，您可以在 Amazon Web Services (AWS) 上快速安装集群，以将计算节点扩展到 Local Zone 位置。在向安装配置文件中添加区名称后，安装程序会在每个 Local Zone 上完全自动创建所需资源、网络和计算。如需更多信息，请参阅在 AWS 本地区中快速引入集群。

1.3.2.21. 使用手动维护的云凭证的集群简化的安装和更新体验

此发行版本包括更改，用于改进安装和更新以手动模式使用 Cloud Credential Operator (CCO) 的集群进行云供应商身份验证。 oc adm release extract 命令的以下参数简化了云凭证的手动配置：

--included: 使用此参数只提取特定集群配置所需的清单。如果您使用集群功能禁用一个或多个可选组件，在安装或更新集群前，不再需要删除任何禁用组件的 CredentialsRequest CR。在以后的发行版本中，这个参数可能会使 CCO 实用程序 ( ccoctl ) --enable-tech-preview 参数成为不必要的。
--install-config: 在安装集群前，使用此参数指定 install-config.yaml 文件的位置。通过引用 install-config.yaml 文件，extract 命令可以决定您要创建的集群配置的各个方面。在集群更新过程中不需要此参数，因为 oc 可以连接到集群以确定其配置。在这个版本中，不再需要使用 --cloud 参数指定要安装的云平台。因此，从 OpenShift Container Platform 4.14 开始，-- cloud 参数已弃用。要了解如何使用这些参数，请参阅您的配置安装过程以及准备使用手动维护凭证更新集群中的步骤。

1.3.2.22. 使用预先存在的 RHCOS 镜像模板在 vSphere 主机上快速安装 RHCOS

OpenShift Container Platform 4.14 包括了一个新的 VMware vSphere 配置参数，用于安装程序置备的基础架构： 模板 。通过使用此参数，您现在可以在安装配置文件中指定已存在的 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像模板或虚拟机的绝对路径。然后，安装程序可以使用镜像模板或虚拟机在 vSphere 主机上快速安装 RHCOS。这个安装方法是在 vSphere 主机上上传 RHCOS 镜像的替代方案。在为 template 参数设置 path 值前，请确保 OpenShift Container Platform 发行版本中的默认 RHCOS 引导镜像与 RHCOS 镜像模板或虚拟机版本匹配；否则，集群安装可能会失败。

1.3.2.23. 64 位 ARM 上的 OpenShift Container Platform

OpenShift Container Platform 4.14 现在支持基于 64 位 ARM 架构的 Google Cloud Platform 安装程序置备的和用户置备的基础架构。现在，您可以在 64 位 ARM 集群中使用 oc mirror CLI 插件断开连接的环境。有关实例可用性和安装文档的更多信息，请参阅支持的安装方法。

1.3.2.24. 为 Microsoft Azure 集群使用自定义 RHCOS 镜像

默认情况下，安装程序会下载并安装用于引导 control plane 和计算机器的 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像。在这个版本中，您可以通过修改安装配置文件 ( install-config.yaml ) 来指定自定义 RHCOS 镜像来覆盖默认行为。在部署集群前，您可以修改以下安装参数： compute.platorm.azure.osImage.publisher compute.platorm.azure.osImage.offer compute.platorm.azure.osImage.sku compute.platorm.azure.osImage.version controlPlane.platorm.azure.osImage.publisher controlPlane.platorm.azure.osImage.offer controlPlane.platorm.azure.osImage.sku controlPlane.platorm.azure.osImage.version platform.azure.defaultMachinePlatform.osImage.publisher platform.azure.defaultMachinePlatform.osImage.offer platform.azure.defaultMachinePlatform.osImage.sku platform.azure.defaultMachinePlatform.osImage.version 有关这些参数的更多信息，请参阅其他 Azure 配置参数。

1.3.2.25. 在云供应商上安装单节点 OpenShift

OpenShift Container Platform 4.14 扩展了在云供应商上安装单节点 OpenShift 的支持。单节点 OpenShift 的安装选项包括 Amazon Web Services (AWS)、Google Cloud Platform (GCP)和 Microsoft Azure。有关支持的平台的更多信息，请参阅支持的单一节点 openshift 的云供应商。

1.3.3. 安装后配置

1.3.3.1. 带有多架构计算机器的 OpenShift Container Platform 集群

现在，在 Google Cloud Platform (GCP) 上支持带有多架构计算机器的 OpenShift Container Platform 4.14 集群作为第 2 天操作。现在，裸机安装中使用多架构计算机器的 OpenShift Container Platform 集群已正式发布。有关使用多架构计算机器和支持的平台的集群的更多信息，请参阅关于带有多架构计算机器的集群。

1.3.4. Web 控制台

1.3.4.1. 管理员视角

在这个版本中，web 控制台的 Administrator 视角有几个更新。现在您可以执行以下操作：在列表视图或搜索页面中带有精确搜索功能缩小资源列表。当您有类似命名的资源且标准搜索功能没有缩小搜索范围时，这个操作很有用。点工具栏上的 Help 按钮并点下拉列表中的 Share Feedback 来提供有关功能并报告错误的直接反馈。在 YAML 编辑器中显示和隐藏工具提示。因为工具提示仍然存在，所以每次进入到页面时，您不需要更改工具提示。为所有用户配置 web 终端镜像。如需更多信息，请参阅配置 Web 终端。

1.3.4.1.1. 动态插件增强

在这个版本中，您可以添加自定义指标仪表板，并使用 QueryBowser 扩展集群的 Overview 页面。OpenShift Container Platform 发行版本添加额外的扩展点，以便您可以添加不同类型的模式，设置活跃命名空间，提供自定义错误页面，并为动态插件设置代理超时。如需更多信息，请参阅 OpenShift Container Platform 控制台 API 中的动态插件引用和 QueryBrowser 。

1.3.4.1.2. OperatorHub 中基于操作系统的过滤

在这个版本中，OperatorHub 会根据节点的操作系统过滤，因为集群可以包含异构节点。

1.3.4.1.3. 支持在 web 控制台中安装特定的 Operator 版本

在这个版本中，您可以根据控制台中的 OperatorHub 页面中的所选频道，从 Operator 的可用版本列表中选择。另外，您可以在可用时查看该频道和版本的元数据。当选择旧版本时，需要手动批准更新策略，否则 Operator 会立即更新到该频道的最新版本。如需更多信息，请参阅在 web 控制台中安装 Operator 的特定版本。

1.3.4.1.4. 对 AWS STS 的 OperatorHub 支持

在这个版本中，OperatorHub 会检测 Amazon Web Services (AWS) 集群是否使用安全令牌服务(STS)。当检测到时，在安装 Operator 前会显示一个"Cluster in STS Mode" 通知，以确保它正确运行。 Operator 安装 页面也被修改，以添加所需的 角色 ARN 字段。如需更多信息，请参阅云供应商上的 Operator 的令牌身份验证。

1.3.4.2. Developer Perspective (开发者视角)

在这个版本中，web 控制台的 Developer 视角有几个更新。现在您可以执行以下操作：更改当前会话的 web 终端的默认超时时间。如需更多信息，请参阅为会话配置 web 终端超时。在 Topology 视图和 Serverless Service List and Detail 页中测试 web 控制台中的 Serverless 功能，以便您可以使用带有 CloudEvent 或 HTTP 请求的 Serverless 功能。查看 BuildConfigs 和 Shipwright 构建的最新构建的状态、开始时间和持续时间。您还可以在 Details 页面中查看此信息。

1.3.4.2.1. 新的快速开始

在这个版本中，存在新的快速启动，您可以在其中发现开发人员工具，如安装 Cryostat Operator 并使用 helm chart 使用 JBoss EAP 入门。

1.3.4.2.2. OpenShift Pipelines 页改进

在 OpenShift Container Platform 4.14 中，您可以在 Pipelines 页面中看到以下导航改进：在 Git 导入流中自动检测 Pipelines 作为代码 (PAC)。示例目录中的 Serverless 功能。

1.3.5. OpenShift CLI (oc)

1.3.5.1. 为使用 oc-mirror 的目录支持多架构 OCI 本地镜像

在 OpenShift Container Platform 4.14 中，oc-mirror 支持目录的多架构 OCI 本地镜像。 OCI 布局由 index.json 文件组成，用于标识磁盘上保存的镜像。此 index.json 文件可以引用任意数量的单个或多架构镜像。但是，oc-mirror 仅在给定的 OCI 布局中一次引用单个镜像。存储在 OCI 布局中的镜像可以是单一架构镜像，即镜像清单或多架构镜像，即清单列表。 ImageSetConfiguration 存储 OCI 镜像。在处理目录后，目录内容会添加代表布局中所有镜像内容的新层。ImageBuilder 被修改，以处理单架构和多架构镜像的镜像更新。

1.3.5.2. 使用 Web 浏览器登录 CLI

在 OpenShift Container Platform 4.14 中，为 oc login 命令提供了一个新的 oc 命令行 (CLI) 选项 --web 。有了这个增强，您可以使用 Web 浏览器登录，因此您不需要将访问令牌插入到命令行中。如需更多信息，请参阅使用 Web 浏览器登录到 OpenShift CLI 。

1.3.5.3. oc new-build 的增强

新的 oc CLI 标志 --import-mode 已添加到 oc new-build 命令中。有了这个增强，您可以将 --import-mode 标志设置为 Legacy 或 PreserverOriginal ，以便使用单个子清单或所有清单来触发构建。

1.3.5.4. oc new-app 的增强

新的 oc CLI 标志 --import-mode 已添加到 oc new-app 命令中。有了这个增强，您可以将 --import-mode 标志设置为 Legacy 或 PreserverOriginal ，然后使用单个子清单或所有清单创建新应用程序。如需更多信息，请参阅设置导入模式。

1.3.6. IBM Z 和 IBM LinuxONE

在这个版本中，IBM Z® 和 IBM® LinuxONE 与 OpenShift Container Platform 4.14 兼容。可以使用 z/VM 或 Red Hat Enterprise Linux (RHEL) 内核的虚拟机 (KVM) 执行安装。有关安装说明，请参阅以下文档：在 IBM Z® 和 IBM® LinuxONE 上使用 z/VM 安装集群在受限网络中的 IBM Z® 和 IBM® LinuxONE 上使用 z/VM 安装集群在 IBM Z® 和 IBM® LinuxONE 上使用 RHEL KVM 安装集群在受限网络中的 IBM Z® 和 IBM® LinuxONE 上使用 RHEL KVM 安装集群 Compute 节点必须运行 Red Hat Enterprise Linux CoreOS (RHCOS)。

IBM Z 和 IBM LinuxONE 主要改进

从 OpenShift Container Platform 4.14 开始，延长更新支持(EUS)已扩展到 IBM Z® 平台。如需更多信息，请参阅 OpenShift EUS 概述。 OpenShift Container Platform 4.14 上的 IBM Z® 和 IBM® LinuxONE 发行版本为 OpenShift Container Platform 组件和概念提供了改进和新功能。此发行版本引进了对 IBM Z® 和 IBM® LinuxONE 中的以下功能的支持：使用 z/VM 支持的安装程序在单一节点上安装托管 control plane（技术预览）多架构计算节点 oc-mirror 插件

IBM 安全执行

OpenShift Container Platform 现在支持为 IBM Z® 和 IBM® LinuxONE (s390x 架构)上的 IBM Secure Execution 配置 Red Hat Enterprise Linux CoreOS (RHCOS)节点。有关安装说明，请参阅以下文档：使用 IBM 安全执行安装 RHCOS

1.3.7. IBM Power

IBM Power® 现在与 OpenShift Container Platform 4.14 兼容。有关安装说明，请参阅以下文档：在 IBM Power® 上安装集群。在受限网络中的 IBM Power® 上安装集群 Compute 节点必须运行 Red Hat Enterprise Linux CoreOS (RHCOS)。

IBM Power 主要改进

从 OpenShift Container Platform 4.14 开始，延长更新支持(EUS) 已扩展到 IBM Power® 平台。如需更多信息，请参阅 OpenShift EUS 概述。 OpenShift Container Platform 4.14 上的 IBM Power® 发行版本为 OpenShift Container Platform 组件添加了改进和新功能。此发行版本引进了对 IBM Power® 的以下功能的支持： IBM Power® Virtual Server Block CSI Driver Operator （技术预览）在单一节点上安装托管 control plane（技术预览）多架构计算节点 oc-mirror 插件

IBM Power、IBM Z 和 IBM LinuxONE 支持列表

表 1.1. OpenShift Container Platform 功能
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
备用身份验证供应商使用 Local Storage Operator 自动设备发现使用机器健康检查功能自动修复损坏的机器 IBM Cloud 的云控制器管理器在节点上控制过量使用和管理容器密度 Cron 作业 Descheduler Egress IP 加密数据存储在 etcd 中 FIPS 加密 Pod 横向自动扩展 IBM 安全执行 IBM Power® Virtual Server Block CSI Driver Operator （技术预览） IBM Power® Virtual Server 的安装程序置备的基础架构启用（技术预览）在单一节点上安装用户定义项目的监控多架构计算节点多路径（Multipathing）网络绑定磁盘加密 - 外部 Tang 服务器 Non-volatile memory express drive (NVMe) oc-mirror 插件 OpenShift CLI ( `oc` ) 插件 Operator API OpenShift Virtualization OVN-Kubernetes，包括 IPsec 加密 PodDisruptionBudget 精度时间协议 (PTP) 硬件 Red Hat OpenShift Local Scheduler 配置集流控制传输协议 (SCTP) 支持多个网络接口三节点集群支持拓扑管理器 SCSI 磁盘中的 z/VM 模拟 FBA 设备 4K FCP 块设备

功能 IBM Power® IBM Z® 和 IBM® LinuxONE

使用 iSCSI 的持久性存储支持 ^[1] 支持 ^[1] , ^[2] 使用本地卷 (LSO) 的持久性存储支持 ^[1] 支持 ^[1] , ^[2] 使用 hostPath 的持久性存储支持 ^[1] 支持 ^[1] , ^[2] 使用 Fibre Channel 持久性存储支持 ^[1] 支持 ^[1] , ^[2] 使用 Raw Block 的持久性存储支持 ^[1] 支持 ^[1] , ^[2] 使用 EDEV/FBA 的持久性存储支持 ^[1] 支持 ^[1] , ^[2] 必须使用 Red Hat OpenShift Data Foundation 或其他支持的存储协议来置备持久性共享存储。必须使用本地存储（如 iSCSI、FC 或者带有 DASD、FCP 或 EDEV/FBA 的 LSO）来置备持久性非共享存储。

表 1.3. Operator
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
Cluster Logging Operator Cluster Resource Override Operator Compliance Operator File Integrity Operator HyperShift Operator Local Storage Operator MetalLB Operator Network Observability Operator NFD Operator NMState Operator OpenShift Elasticsearch Operator Vertical Pod Autoscaler Operator

表 1.4. Multus CNI 插件
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
Bridge Host-device IPVLAN

表 1.5. CSI 卷
功能	IBM Power®	IBM Z® 和 IBM® LinuxONE
Snapshot

1.3.8. 认证和授权

1.3.8.1. SCC 抢占防止

在这个版本中，您可以要求工作负载使用特定的安全性上下文约束 (SCC)。通过设置特定的 SCC，您可以防止您希望在集群中被另一个 SCC 抢占的 SCC。如需更多信息，请参阅配置工作负载以需要特定的 SCC 。

1.3.8.2. Pod 安全准入特权命名空间

在这个版本中，以下系统命名空间总是被设置为 privileged pod 安全准入配置集： default kube-public kube-system 如需更多信息，请参阅特权命名空间。

1.3.8.3. 修改的命名空间中禁用 Pod 安全准入同步

在这个版本中，如果用户从 label-synchronized 命名空间中的自动标记值手动修改 pod 安全准入标签，则会为该标签禁用同步。如有必要，用户可以再次启用同步。如需更多信息，请参阅 Pod 安全准入同步命名空间排除。

1.3.8.4. 基于 OLM 的 Operator 支持 AWS STS

在这个版本中，Amazon Web Services (AWS) 集群上的 Operator Lifecycle Manager (OLM) 管理的一些 Operator 可以在带有 Security Token Service (STS) 的手动模式中使用 Cloud Credential Operator (CCO)。这些 Operator 使用在集群外管理的有限权限短期凭证进行身份验证。如需更多信息，请参阅云供应商上的 Operator 的令牌身份验证。

1.3.8.5. 身份验证 Operator 在连接检查过程中遵循 `noProxy`

在这个版本中，如果设置了 noProxy 字段，且在没有集群范围代理的情况下可以访问路由，则 Authentication Operator 将绕过代理，并直接通过配置的 ingress 路由执行连接检查。在以前的版本中，无论 noProxy 设置如何，身份验证 Operator 始终通过集群范围代理执行连接检查。如需更多信息，请参阅配置集群范围代理。

1.3.9. 网络

1.3.9.1. 在 vSphere 双栈集群中将 IPv6 作为主 IP 地址系列

在 vSphere 上安装过程中，您可以将 IPv6 配置为双栈集群上的主 IP 地址系列。要在安装新集群时启用此功能，请在机器网络、集群网络、服务网络、API VIP 和入口 VIP 的 IPv4 地址系列前指定 IPv6 地址系列。安装程序置备的基础架构：使用双栈网络进行部署用户置备的基础架构：网络配置参数

1.3.9.2. OVN-Kubernetes 网络插件的多个外部网关支持

OVN-Kubernetes 网络插件支持为特定工作负载定义额外的默认网关。支持 IPv4 和 IPv6 地址系列。您可以使用 AdminPolicyBasedExternalRoute 对象定义每个默认网关，您可以在其中指定两种类型的下一跃点、静态和动态：静态下一跃点：外部网关的一个或多个 IP 地址动态下一跃点： pod 选择的 pod 和命名空间选择器的组合，以及与所选 pod 关联的网络附加定义名称。您定义的下一个跃点由您指定的命名空间选择器限定。然后，您可以将外部网关用于与命名空间选择器匹配的特定工作负载。如需更多信息，请参阅通过二级网络接口配置外部网关。

1.3.9.3. Ingress Node Firewall Operator 已正式发布

Ingress Node Firewall Operator 在 OpenShift Container Platform 4.12 中被指定了一个技术预览功能。在这个版本中，Ingress Node Firewall Operator 已正式发布。现在，您可以在节点级别配置防火墙规则。如需更多信息，请参阅 Ingress Node Firewall Operator 。

1.3.9.4. OVS 的非保留 CPU 的动态使用

在这个版本中，Open vSwitch (OVS) 网络堆栈可以动态使用非保留 CPU。默认情况下，这种非保留 CPU 的动态使用发生在机器配置池中应用有性能配置集的节点。可用的非保留 CPU 的动态使用可最大化 OVS 的计算资源，并在高需求期间为工作负载最小化网络延迟。OVS 仍然无法在 Guaranteed QoS pod 中动态使用分配给容器的隔离 CPU。这种分离可避免对关键应用程序工作负载造成中断。当 Node Tuning Operator 识别性能条件来激活使用非保留 CPU 时，OVN-Kubernetes 配置 CPU 上运行的 OVS 守护进程的 CPU 关联性对齐。在这个窗口中，如果一个 Guaranteed QoS pod 启动，它可能会遇到延迟激增。

1.3.9.5. 多个 IP 地址的双栈配置

在以前的 Whereabouts IPAM CNI 插件版本中，每个网络接口只能分配一个 IP 地址。现在，Whereabouts 支持分配任意数量的 IP 地址来支持双栈 IPv4/IPv6 功能。请参阅动态为双栈 IP 地址分配创建配置。

1.3.9.6. 排除 NUMA 感知调度的 SR-IOV 网络拓扑

在这个版本中，您可以将 SR-IOV 网络的 Non-Uniform Memory Access (NUMA)节点公告到拓扑管理器。如果没有为 SR-IOV 网络公告 NUMA 节点，您可以在 NUMA 感知 pod 调度过程中允许更灵活的 SR-IOV 网络部署。例如，在某些情况下，最好在单个 NUMA 节点上为 pod 最大化 CPU 和内存资源。如果没有为 Topology Manager 提供有关 pod 的 SR-IOV 网络资源的 NUMA 节点的提示，拓扑管理器可能会将 SR-IOV 网络资源和 pod CPU 和内存资源部署到不同的 NUMA 节点。在以前的 OpenShift Container Platform 版本中，Topology Manager 会尝试将所有资源放在同一个 NUMA 节点上。如需有关在 NUMA 感知 pod 调度过程中更灵活的 SR-IOV 网络部署的更多信息，请参阅为 NUMA 感知调度排除 SR-IOV 网络拓扑。

1.3.9.7. 更新至 HAProxy 2.6

在这个版本中，OpenShift Container Platform 更新至 HAProxy 2.6。

1.3.9.8. 支持在 Ingress Controller 中使用 sidecar 日志记录配置最大长度

在以前的版本中，Ingress Controller 中 syslog 信息的最大长度为 1024 字节。现在，可以增加最大值。如需更多信息，请参阅允许 Ingress Controller 在使用 sidecar 时修改 HAProxy 日志长度。

1.3.9.9. 控制台中的 nmstate Operator 更新

在这个版本中，您可以从 web 控制台访问 NMstate Operator 和资源，如 NodeNetworkState (NNS)、 NodeNetworkConfigurationPolicy (NNCP) 和 NodeNetworkConfigurationEnhancement (NNCE)。在控制台的 Administrator 视角中，您可以通过 Networking 页访问 NNCP、从 NodeNetworkConfigurationPolicy 页访问 NNCE，从 NodeNetworkState 页访问 NNS。有关 NMState 资源以及如何在控制台中更新它们的更多信息，请参阅更新节点网络配置。

1.3.9.10. OVN-Kubernetes 网络插件支持 IBM Cloud 上的 IPsec

现在，在使用 OVN-Kubernetes 网络插件的 IBM Cloud Platform 上支持 IPsec，这是 OpenShift Container Platform 4.14 中的默认设置。如需更多信息，请参阅配置 IPsec 加密。

1.3.9.11. OVN-Kubernetes 网络插件支持外部流量的 IPsec 加密（技术预览）

OpenShift Container Platform 现在支持加密外部流量，也称为 南北流量 。IPsec 已支持加密 pod 间的网络流量，称为 东西流量 。您可以组合使用这两个功能来为 OpenShift Container Platform 集群提供完整的转换加密。这作为技术预览功能提供。要使用这个功能，您需要为网络基础架构定义一个 IPsec 配置。如需更多信息，请参阅为外部 IPsec 端点启用 IPsec 加密。

1.3.9.12. 单堆栈 IPv6 支持 Kubernetes NMstate

在这个版本中，您可以在单堆栈 IPv6 集群中使用 Kubernetes NMState Operator。

1.3.9.13. 出口服务资源以管理负载均衡器后面的 pod 的出口流量（技术预览）

在这个版本中，您可以使用 EgressService 自定义资源 (CR) 来管理负载均衡器服务后面的 pod 的出口流量。这作为技术预览功能提供。您可以使用以下方法使用 EgressService CR 管理出口流量：将负载均衡器服务的 IP 地址分配为负载均衡器服务后面的 pod 的源 IP 地址。将负载均衡器后面的 pod 的出口流量分配给与默认节点网络不同的网络。如需更多信息，请参阅配置出口服务。

1.3.9.14. MetalLB 的 BGPPeer 资源中的 VRF 规格（技术预览）

在这个版本中，您可以在 BGPPeer 自定义资源中指定虚拟路由和转发 (VRF) 实例。MetalLB 可以通过属于 VRF 的接口公告服务。这作为技术预览功能提供。如需更多信息，请参阅通过网络 VRF 公开服务。

1.3.9.15. NMState 的 NodeNetworkConfigurationPolicy 资源中的 VRF 规格（技术预览）

在这个版本中，您可以使用 NodeNetworkConfigurationPolicy 自定义资源将虚拟路由和转发 (VRF) 实例与网络接口关联。通过将 VRF 实例与网络接口关联，您可以支持流量隔离、独立路由决策和网络资源的逻辑分离。此功能作为技术预览功能提供。如需更多信息，请参阅示例：带有 VRF 实例网络配置策略的网络接口。

1.3.9.16. 对 Broadcom BCM57504 的支持现在是 GA

对 Broadcom BCM57504 网络接口控制器的支持现在可用于 SR-IOV Network Operator.For 的更多信息，请参阅支持的设备。

1.3.9.17. OVN-Kubernetes 作为二级网络提供

在这个版本中，Red Hat OpenShift Networking OVN-Kubernetes 网络插件允许为 pod 配置二级网络接口。作为二级网络，OVN-Kubernetes 支持第 2 层交换机和 localnet 交换拓扑网络。有关 OVN-Kubernetes 作为二级网络的更多信息，请参阅 OVN-Kubernetes 额外网络的配置。

1.3.9.18. Admin Network Policy （技术预览）

管理网络策略作为技术预览功能提供。在运行 OVN-Kubernetes CNI 插件的集群中，您可以启用 AdminNetworkPolicy 和 BaselineAdminNetworkPolicy 资源，它们是 Network Policy V2 API 的一部分。集群管理员可以在创建命名空间前为整个集群应用集群范围的策略和保护。网络管理员可以通过强制无法覆盖的网络流量控制来保护集群。如果需要，网络管理员可以实施可选的基准网络流量控制，这些流量可以被集群中的用户覆盖。目前，这些 API 仅支持集群内流量的策略。

1.3.9.19. pod 的 MAC-VLAN、IP-VLAN 和 VLAN 子接口创建

在这个版本中，基于容器命名空间中的主接口创建 MAC-VLAN、IP-VLAN 和 VLAN 子接口已正式发布。您可以使用此功能在单独的网络附加定义中创建 master 接口作为 pod 网络配置的一部分。然后，您可以在这个接口上基于 VLAN、MACVLAN 或 IPVLAN，而无需了解节点的网络配置。如需更多信息，请参阅关于在容器网络命名空间中配置 master 接口。

1.3.9.20. 支持 all-multicast 模式

OpenShift Container Platform 发行版本现在支持使用 tuning CNI 插件配置 all-multicast 模式。在这个版本中，不再需要为 pod 的安全性上下文约束 (SCC) 授予 NET_ADMIN 功能，从而最大程度降低 pod 的潜在漏洞来提高安全性。有关 all-multicast 模式的详情，请参阅关于 all-multicast 模式。

1.3.9.21. 使用 TAP 设备插件提高网络灵活性

此发行版本引入了一个新的 Container Network Interface (CNI) 网络插件类型：Tanzu Application Platform (TAP) 设备插件。您可以使用此插件在容器中创建TAP 设备，它允许用户空间程序处理网络帧，并充当从接收帧的接口，并将帧发送到用户空间应用，而不是通过传统的网络接口。有关更多信息，请参阅 TAP 额外网络的配置。

1.3.9.22. 支持使用TAP CNI 插件运行带有内核访问权限的 rootless DPDK 工作负载

在 OpenShift Container Platform 版本 4.14 及更高版本中，需要将流量注入内核的 DPDK 应用程序可以通过TAP CNI 插件在非特权 pod 中运行。如需更多信息，请参阅使用TAP CNI 运行具有内核访问权限的无根 DPDK 工作负载。

1.3.9.23. 使用 Ingress Controller 或 Route 对象设置或删除特定的 HTTP 标头

现在，可以使用 Ingress Controller 或特定路由全局设置或删除某些 HTTP 请求和响应标头。您可以设置或删除以下标头： X-Frame-Options X-Cache-Info X-XSS-Protection X-Source X-SSL-Client-Cert X-Target Content-Location Content-Language 如需更多信息，请参阅在 Ingress Controller 中设置或删除 HTTP 请求和响应标头，并在路由中设置或删除 HTTP 请求标头和响应标头。

1.3.9.24. 额外网络接口上的出口 IP 已正式发布

您可以在额外网络接口中使用出口 IP 地址。此功能为 OpenShift Container Platform 管理员提供了对网络方面（如路由、寻址、分段和安全策略）的更高级别控制。您还可以根据特定网络接口路由工作负载流量，如流量分段或满足特殊要求。如需更多信息，请参阅在附加网络接口中使用出口 IP 的注意事项。

1.3.9.25. SR-IOV 网络策略更新过程中并行节点排空

在这个版本中，您可以将 SR-IOV Network Operator 配置为在网络策略更新过程中并行排空节点。并行排空节点的选项可以更快地推出 SR-IOV 网络配置。您可以使用 SriovNetworkPoolConfig 自定义资源配置并行节点排空，并在 Operator 可以并行排空池中定义最大节点数量。如需更多信息，请参阅在 SR-IOV 网络策略更新过程中配置并行节点排空。

1.3.9.26. Open Virtual Network Infrastructure Controller 使用的 IP 地址范围的变化

在 OpenShift Container Platform 4,13 发行版中， 168.254.0.0/16 IP 地址范围是用于传输交换机子网的 Open Virtual Network Infrastructure Controller 的保留 IP 地址范围。对于 OpenShift Container Platform 4.14，Open Virtual Network Infrastructure Controller 使用 100.88.0.0/16 作为保留的 IP 地址范围。 100.88.0.0/16 范围不得与任何连接的网络冲突。请参阅 OCPBUGS-20178 和 CIDR 范围定义。

1.3.10. 容器镜像仓库（Registry）

1.3.10.1. 可选 Image Registry Operator

在这个版本中，Image Registry Operator 是一个可选组件。当不需要 Image Registry Operator 时，此功能有助于减少 Telco 环境中 OpenShift Container Platform 的整体资源占用空间。有关禁用 Image Registry Operator 的更多信息，请参阅选择集群功能。

1.3.11. 存储

1.3.11.1. 在 LVMS 中支持 OR 逻辑

在这个版本中，逻辑卷管理器 (LVM) 集群自定义资源 (CR) 在 deviceSelector 设置中提供 OR 逻辑。在以前的版本中，只能为使用 AND 逻辑的设备路径指定 paths 设置。在这个版本中，您还可以指定 optionalPaths 设置，它支持 OR 逻辑。如需更多信息，请参阅使用逻辑卷管理器存储的持久性存储中的 CR 示例。

1.3.11.2. 支持 LVMS 中的 ext4

在这个版本中，逻辑卷管理器 (LVM) 集群自定义资源 (CR) 支持 ext4 文件系统，其 fstype 设置在 deviceClasses 下。默认文件系统为 xfs 。如需更多信息，请参阅使用逻辑卷管理器存储的持久性存储中的 CR 示例。

1.3.11.3. 标准化的 STS 配置工作流

OpenShift Container Platform 4.14 提供了简化且标准化的步骤，以使用 AWS Elastic File Storage (EFS) Container Storage Interface (CSI) Driver Operator 配置安全令牌服务 (STS)。如需更多信息，请参阅获取安全令牌服务的角色 Amazon 资源名称。

1.3.11.4. Read Write Once Pod 访问模式（技术预览）

OpenShift Container Platform 4.14 为名为 ReadWriteOncePod (RWOP) 的持久性卷声明 (PVC) 引入了一个新的访问模式，该模式只能在单一节点上的单个 pod 中使用。这与现有的 ReadWriteOnce 访问模式进行比较，其中一个 PV 或 PVC 可以被多个 pod 在单一节点中使用。这作为技术预览功能提供。如需更多信息，请参阅访问模式。

1.3.11.5. GCP Filestore 存储 CSI Driver Operator 已正式发布

OpenShift Container Platform 可以使用 Google Compute Platform (GCP) 文件存储存储的 Container Storage Interface (CSI) 驱动程序置备持久性卷 (PV)。GCP Filestore CSI Driver Operator 在 OpenShift Container Platform 4.12 中引进了，且支持技术预览。GCP Filestore CSI Driver Operator 现已正式发布。如需更多信息，请参阅 Google Compute Platform Filestore CSI Driver Operator 。

1.3.11.6. VMware vSphere 自动 CSI 迁移

VMware vSphere 功能的自动 CSI 迁移会自动将树内对象转换为其对应的 CSI 表示，理想情况下，用户必须完全透明。虽然引用 in-tree 存储插件的存储类继续工作，但请考虑将默认存储类切换到 CSI 存储类。在 OpenShift Container Platform 4.14 中，在所有情况下都默认启用 vSphere 的 CSI 迁移，且管理员不需要操作。如果您使用 vSphere in-tree 持久性卷 (PV)，并希望从 OpenShift Container Platform 4.12 或 4.13 升级到 4.14，请将 vSphere vCenter 和 ESXI 主机更新至 7.0 Update 3L 或 8.0 Update 2，否则 OpenShift Container Platform 升级会被阻断。如果您不想更新 vSphere，可以通过执行管理员确认步骤来执行 OpenShift Container Platform 更新：但是，使用管理员确认时可能会出现已知的问题。在继续管理员确认前，请仔细阅读知识库文章。如需更多信息，请参阅 CSI 自动迁移。

1.3.11.7. Secret Store CSI Driver Operator （技术预览）

Secret Store Container Storage Interface (CSI) Driver Operator, secrets-store.csi.k8s.io ，允许 OpenShift Container Platform 将存储在企业级外部 secret 中的多个 secret、密钥和证书作为内联临时卷挂载到 pod 中。Secrets Store CSI Driver Operator 使用 gRPC 与供应商通信，以从指定的外部 secret 存储获取挂载内容。附加卷后，其中的数据将挂载到容器的文件系统。这作为技术预览功能提供。有关 Secret Store CSI 驱动程序的更多信息，请参阅 Secret Store CSI 驱动程序。有关使用 Secret Store CSI Driver Operator 将 secret 从外部 secret 存储挂载到 CSI 卷的详情，请参阅使用外部 secret 存储向 pod 提供敏感数据。

1.3.11.8. 支持 NFS 的 Azure File 已正式发布

OpenShift Container Platform 4.14 支持 Azure File Container Storage Interface (CSI) Driver Operator，并正式发布 Network File System (NFS)。如需更多信息，请参阅 NFS 支持。

1.3.12. Oracle® Cloud Infrastructure

现在，您可以使用 Assisted 安装程序或基于代理的安装程序在 Oracle® Cloud Infrastructure (OCI) 上安装 OpenShift Container Platform 集群。要在 OCI 上安装 OpenShift Container Platform 集群，请选择以下安装选项之一：使用辅助安装程序在 Oracle® Cloud Infrastructure (OCI) 上安装集群使用基于代理的安装程序在 Oracle® Cloud Infrastructure (OCI) 上安装集群

1.3.13. Operator 生命周期

1.3.13.1. Operator Lifecycle Manager (OLM) 1.0 （技术预览）

自 OpenShift Container Platform 4 初始发行以来，Operator Lifecycle Manager (OLM) 已包含在 OpenShift Container Platform 4 中。OpenShift Container Platform 4.14 引入了用于 OLM 的下一代迭代组件作为技术预览功能，在这个阶段称为 OLM 1.0 。此更新的框架改变了很多属于以前版本的 OLM 的概念，并添加了新功能。在 OpenShift Container Platform 4.14 中 OLM 1.0 的技术预览阶段，管理员可以探索以下功能：

支持 GitOps 工作流的全声明性模型: OLM 1.0 通过两个 API 简化了 Operator 管理：一个新的 Operator API operators.operators.operatorframework.io 由新的 Operator Controller 组件提供，通过将面向用户的 API 整合到单个对象来简化已安装的 Operator 的管理。这让管理员和 SRE 能够使用 GitOps 原则自动化进程并定义所需的状态。 Catalog API 由新 catalogd 组件提供，充当 OLM 1.0 的基础，为 on-cluster 客户端解包目录，以便用户可以发现可安装的内容，如 Operator 和 Kubernetes 扩展。这可让您提高所有可用 Operator 捆绑包版本的可见性，包括它们的详情、频道和更新边缘。如需更多信息，请参阅 Operator Controller 和 Catalogd 。
改进了对 Operator 更新的控制: 通过改进对目录内容的了解，管理员可以指定用于安装和更新的目标版本。这可让管理员对 Operator 更新的目标版本进行更多控制。如需更多信息，请参阅从目录安装 Operator 。
灵活的 Operator 打包格式: 管理员可以使用基于文件的目录来安装和管理以下类型的内容：基于 OLM 的 Operator，类似于现有的 OLM 体验 普通捆绑包 ，它们是任意 Kubernetes 清单的静态集合另外，捆绑包大小不再受 etcd 值大小限制。如需更多信息，请参阅在 OLM 1.0 中管理普通捆绑包。对于 OpenShift Container Platform 4.14，适用于 OLM 1.0 的流程仅基于 CLI。另外，管理员也可以使用普通方法（如 Import YAML 和 Search 页面）在 web 控制台中创建和查看相关对象。但是，现有的 OperatorHub 和 Installed Operators 页面还不会显示 OLM 1.0 组件。如需更多信息，请参阅关于 Operator Lifecycle Manager 1.0 。

1.3.14. Operator 开发

1.3.14.1. 云供应商上的 Operator 的令牌身份验证：AWS STS

在这个版本中，由 Operator Lifecycle Manager (OLM) 管理的 Operator 可以在使用安全令牌服务(STS)的 Amazon Web Services (AWS) 集群中运行时支持令牌身份验证。Cloud Credential Operator (CCO) 更新至半自动置备某些有限权限、短期凭证，只要 Operator 作者启用了其 Operator 来支持 AWS STS。有关启用基于 OLM 的 Operator 来使用 AWS STS 支持基于 CCO 的工作流的更多信息，请参阅云供应商上的 Operator 的令牌身份验证。

1.3.14.2. 配置支持多个平台的 Operator 项目

在这个版本中，Operator 作者可以配置其 Operator 项目，并支持多个架构和操作系统或平台。Operator 作者可通过执行以下操作为多个平台配置支持：构建指定 Operator 支持的平台的清单列表。设置 Operator 的节点关联性以支持多架构计算机器。如需更多信息，请参阅为多平台支持配置 Operator 项目。

1.3.15. Builds

在这个版本中，OpenShift Container Platform 4.14 中已正式发布 Source-to-Image (S2I) 工具。您可以使用 S2I 工具从源代码构建容器镜像，并将应用程序代码转换为可随时部署的容器镜像。此功能增强了平台支持可重复生成的容器化应用程序开发的能力。如需更多信息，请参阅使用 Source-to-Image (S2I)工具。在这个版本中，OpenShift Container Platform 4.14 中已正式发布 Build CSI Volumes 功能。

1.3.16. Machine Config Operator

1.3.16.1. 处理 registry 证书颁发机构

Machine Config Operator 现在为镜像 registry 处理分布证书颁发机构。这个更改不会影响最终用户。

1.3.16.2. Prometheus 中可用的其他指标

在这个版本中，您可以查询额外的指标来更密切地监控机器和机器配置池的状态。有关如何使用 Prometheus 的更多信息，请参阅查看可用指标列表。

1.3.16.3. 支持离线 Tang 置备

在这个版本中，您可以使用 Tang-enforced、网络绑定磁盘加密 (NBDE) 置备 OpenShift Container Platform 集群，该集群在第一次引导过程中无法访问。如需更多信息，请参阅配置加密阈值和配置磁盘加密和镜像。

1.3.16.4. 证书现在由 Machine Config Daemon 处理

在以前的 OpenShift Container Platform 版本中，MCO 直接从机器配置文件读取和处理证书。这会导致轮转问题并创建不需要的情况，比如证书会停留在暂停的机器配置池后面。在这个版本中，证书不再从 bootstrap 模板到机器配置文件。相反，它们直接放入 Ignition 对象中，使用控制器配置写入磁盘，并在常规集群操作期间由 Machine Config Daemon (MCD) 处理。然后，使用 ControllerConfig 资源可以看到 certs。 Machine Config Controller (MCC) 包含以下证书数据： /etc/kubernetes/kubelet-ca.crt /etc/kubernetes/static-pod-resources/configmaps/cloud-config/ca-bundle.pem /etc/pki/ca-trust/source/anchors/openshift-config-user-ca-bundle.crt MCC 还处理镜像 registry 证书及其关联的用户捆绑包证书。这意味着证书不会由机器配置池状态绑定，并更及时地轮转。以前在机器配置文件中列出的 CA 已被删除，在集群安装过程中找到的模板文件将不再存在。有关如何访问这些证书的更多信息，请参阅查看和与证书交互。

1.3.17. 机器 API

1.3.17.1. 支持 Nutanix 集群上的 control plane 机器集

在这个版本中，Nutanix 集群支持 control plane 机器集。如需更多信息，请参阅开始使用 Control Plane Machine Set Operator 。

1.3.17.2. 支持 RHOSP 集群上的 control plane 机器集

在这个版本中，在 RHOSP 上运行的集群支持 control plane 机器集。如需更多信息，请参阅开始使用 Control Plane Machine Set Operator 。对于具有根卷可用区且在升级到 4.14 的 RHOSP 上运行的集群，您必须将 control plane 机器聚合到一个服务器组中，然后才能启用 control plane 机器集。要进行必要的更改，请按照 OpenShift on OpenStack 上具有可用区的说明：在 OpenShift 部署期间无效 Compute ServerGroup 设置。对于配置有至少一个区且在 RHOSP 上运行的计算区的集群，它只适用于版本 4.14，根卷现在还必须配置至少一个区。如果没有更改此配置更改，则无法为集群生成 control plane 机器集。要进行必要的更改，请按照带有计算可用区的 OpenStack 上相关 OpenShift 中的说明：Missing rootVolume availability zone 。

1.3.17.3. 支持将 AWS 机器分配给放置组

在这个版本中，您可以配置机器集来部署现有 AWS 放置组中的机器。您可以将此功能与 Elastic Fabric Adapter (EFA) 实例一起使用，以提高指定放置组内机器的网络性能。您可以将此功能用于 compute 和 control plane 机器集。

1.3.17.4. Azure 机密虚拟机和可信启动（技术预览）

在这个版本中，您可以配置机器集来部署使用 Azure 机密虚拟机、可信启动或两者的机器。这些机器可以使用统一可扩展固件接口 (UEFI) 安全功能，如安全引导或专用虚拟信任平台模块 (vTPM) 实例。您可以将此功能用于 compute 和 control plane 机器集。

1.3.18. 节点

1.3.18.1. 大型集群的 descheduler 资源限值

在这个版本中，descheduler 操作对象的资源限值会被删除。这可让 descheduler 用于带有许多节点和 pod 的大型集群，而不会因为内存不足错误而失败。

1.3.18.2. Pod 拓扑分布约束 matchLabelKeys 参数现已正式发布

用于配置 pod 拓扑分布限制的 matchLabelKeys 参数现在包括在 OpenShift Container Platform 4.14 中。在以前的版本中，通过启用 TechPreviewNoUpgrade 功能集，该参数作为技术预览提供。 matchLabelKeys 参数取 pod 标签键列表，以选择要计算分布的 pod。如需更多信息，请参阅使用 pod 拓扑分布限制控制 pod 放置。

1.3.18.3. 启用 MaxUnavailableStatefulSet （技术预览）

在这个版本中，通过启用 TechPreviewNoUpgrade 功能集， MaxUnavailableStatefulSet 功能集配置参数作为技术预览功能提供。现在，您可以定义在更新过程中不可用的 StatefulSet pod 的最大数量，从而减少升级时应用程序停机时间。如需更多信息，请参阅了解功能门。

1.3.18.4. Pod 中断预算 (PDB) 不健康的 pod 驱除策略。

在这个版本中，为 pod 中断预算 (PDB) 指定不健康 pod 驱除策略在 OpenShift Container Platform 中正式发布，已从 TechPreviewNoUpgrade featureSet 中删除。这有助于在节点排空过程中驱除出现故障的应用程序。如需更多信息，请参阅为不健康的 pod 指定驱除策略。

1.3.18.5. Linux Control Groups 版本 2 现在是默认的

从 OpenShift Container Platform 4.14 开始，新安装默认使用 Control Groups 版本 2，也称为 cgroup v2、cgroup2 或 cgroupsv2。此功能增强包括很多 bug 修复、性能改进，以及与新功能集成的功能。在 OpenShift Container Platform 4.14. cgroup v1 之前，仍可以使用 cgroup v1。cgroup v1 仍可通过将 node.config 对象中的 cgroupMode 字段改为 v1 来使用。如需更多信息，请参阅在节点上配置 Linux cgroup 版本。

1.3.18.6. Cron Job 时区正式发布

为 cron 任务调度设置时区现已正式发布。如果没有指定时区，Kubernetes 控制器管理器会解释相对于其本地时区的调度。如需更多信息，请参阅创建 cron 作业。

1.3.19. 监控

这个版本的监控堆栈包括以下新功能和修改的功能：

1.3.19.1. 监控堆栈组件和依赖项更新

此发行版本包括监控堆栈组件和依赖项的以下版本更新： kube-state-metrics 更新到 2.9.2 node-exporter 更新到 1.6.1 prom-label-proxy 更新到 0.7.0 Prometheus 更新到 2.46.0 prometheus-operator 更新到 0.67.1

1.3.19.2. 对警报规则的更改

注意

红帽不保证记录规则或警报规则的向后兼容性。添加了 KubeDeploymentRolloutStuck 警报，以监控部署已有 15 分钟没有任何进展。添加了 NodeSystemSaturation 警报，以监控节点上的资源饱和。添加了 NodeSystemdServiceFailed 警报来监控节点上的 systemd 服务。添加了 NodeMemoryMajorPagesFaults 警报，以监控节点上的主要页面错误。添加了 PrometheusSDRefreshFailure 警报，以监控失败的 Prometheus 服务发现。修改了 KubeAggregatedAPIDown 警报和 KubeAggregatedAPIErrors 警报，以仅评估 apiserver 作业的指标。修改 KubeCPUOvercommit 警报，以仅评估 kube-state-metrics 作业的指标。修改 NodeHighNumberConntrackEntriesUsed , NodeNetworkReceiveErrs 和 NodeNetworkTransmitErrs 警报，以评估 node-exporter 作业的指标。删除了不可行的 MultipleContainersOOMKilled 警报。其他警报涵盖内存压力不足的节点。

1.3.19.3. 基于核心平台指标创建警报的新选项

在这个版本中，管理员可以根据核心平台指标创建新的警报规则。现在，您可以通过调整阈值和更改标签来修改现有平台警报规则的设置。您还可以通过根据 openshift-monitoring 命名空间中的核心平台指标构建查询表达式来定义和添加新的自定义警报规则。此功能在 OpenShift Container Platform 4.12 版本中作为技术预览功能提供，这个功能现在包括在 OpenShift Container Platform 4.14 中。如需更多信息，请参阅为核心平台监控管理警报规则。

1.3.19.4. 为所有监控组件指定资源限值的新选项

在这个版本中，您可以为所有监控组件指定资源请求和限值，包括： Alertmanager kube-state-metrics monitoring-plugin node-exporter openshift-state-metrics Prometheus Prometheus Adapter Prometheus Operator 及其准入 Webhook 服务 Telemeter Client Thanos querier Thanos Ruler 在以前的 OpenShift Container Platform 版本中，您只能为 Prometheus、Alertmanager、Thanos Querier 和 Thanos Ruler 设置选项。

1.3.19.5. 配置 node-exporter 收集器的新选项

在这个版本中，您可以为额外的 node-exporter 收集器自定义 Cluster Monitoring Operator (CMO) 配置映射设置。以下 node-exporter 收集器现在是可选的，您可以在配置映射设置中单独启用或禁用每个节点： ksmd 收集器 mountstats 收集器 processes 收集器 systemd 收集器另外，您现在可以从 netdev 和 netclass 收集器的相关收集器配置中排除网络设备。现在，您可以使用 maxProcs 选项设置可运行 node-exporter 的最大进程数。

1.3.19.6. 部署监控 Web 控制台插件资源的新选项

在这个版本中，OpenShift Container Platform Web 控制台的 Observe 部分中的监控页面被部署为动态插件。在这个版本中，Cluster Monitoring Operator (CMO) 是部署 OpenShift Container Platform Web 控制台监控插件资源的组件。现在，您可以使用 CMO 设置来配置控制台监控插件资源的以下功能：节点选择器容限（Tolerations）拓扑分布限制

1.3.20. Network Observability Operator

Network Observability Operator 发行版本独立于 OpenShift Container Platform 次版本流的更新。更新可以通过单一的滚动流提供，该流在所有当前支持的 OpenShift Container Platform 4 版本中被支持。有关 Network Observability Operator 的新功能、功能增强和程序错误修复的信息，请参阅 Network Observability 发行注记。

1.3.21. 可伸缩性和性能

1.3.21.1. PAO must-gather 镜像添加到默认 must-gather 镜像

在这个版本中，Performance Addon Operator (PAO) must-gather 镜像不再需要作为 must-gather 命令的参数，以捕获与低延迟调整相关的调试数据。PAO must-gather 镜像的功能现在在没有镜像参数的 must-gather 命令使用的默认插件镜像下。有关收集与低延迟调整相关的调试信息的更多信息，请参阅为红帽支持收集低延迟调试数据。

1.3.21.2. 使用 Operator 的 must-gather 镜像收集 NUMA Resources Operator 的数据

在本发行版本中， must-gather 工具被更新，以使用 Operator 的 must-gather 镜像收集 NUMA Resources Operator 的数据。有关为 NUMA Resources Operator 收集调试信息的更多信息，请参阅收集 NUMA Resources Operator 数据。

1.3.21.3. 为每个 pod 启用对 C-states 的更多控制

在这个版本中，您可以更好地控制 pod 的 C-states。现在，您可以为 C-states 指定最大延迟，而不是完全禁用 C-states。您可以在 cpu-c-states.crio.io 注解中配置这个选项。这有助于优化高优先级应用程序中的节能功能，方法是启用一些 shouldower C-states 而不是完全禁用它们。有关控制 pod C-states 的更多信息，请参阅为高优先级 pod 禁用节能模式。

1.3.21.4. 支持从双栈 hub 集群置备 IPv6 spoke 集群

在这个版本中，您可以从双栈 hub 集群置备 IPv6 地址 spoke 集群。在 ZTP 环境中，托管引导 ISO 的 hub 集群上的 HTTP 服务器现在侦听 IPv4 和 IPv6 网络。置备服务还会检查目标 spoke 集群上的基板管理控制器 (BMC) 地址方案，并为安装介质提供匹配的 URL。这些更新提供了从双栈 hub 集群中置备单堆栈 IPv6 spoke 集群的功能。

1.3.21.5. RHOSP 集群的双栈网络（技术预览）

现在，RHOSP 上运行的集群可以使用双栈网络配置。这是一个技术预览功能。您可以在安装程序置备的基础架构上部署集群时配置双栈网络。如需更多信息，请参阅使用双栈网络配置集群。

1.3.21.6. RHOSP 集群的安全组管理

在 OpenShift Container Platform 4.14 中，在 RHOSP 上运行的集群的安全性已被改进。默认情况下，OpenStack 云供应商现在将负载均衡器的 manage-security-groups 选项设为 true ，确保只打开集群操作所需的节点端口。在以前的版本中，compute 和 control plane 机器的安全组被配置为为所有传入的流量打开大范围的节点端口。您可以通过在负载均衡器配置中将 manage-security-groups 选项设置为 false 来使用以前的配置，并确保安全组规则允许来自节点的 0.0.0.0/0 的端口范围 30000 到 32767 的流量。对于升级到 4.14 的集群，您必须手动删除为所有流量打开部署的 permissive 安全组规则。例如，您必须删除允许从节点的 0.0.0.0/0 端口范围 30000 到 32767 的流量的规则。

1.3.21.7. 在 GitOps Zero Touch Provisioning (ZTP) 管道中使用带有 PolicyGenTemplate CR 的自定义 CR

现在，除了 ztp-site-generate 容器中的 GitOps ZTP 插件提供的基本源 CR 之外，您还可以使用 GitOps ZTP 来包括自定义 CR。如需更多信息，请参阅在 GitOps ZTP 管道中添加自定义内容。

1.3.21.8. GitOps ZTP 独立于受管集群版本

现在，您可以使用 GitOps ZTP 置备运行不同版本的 OpenShift Container Platform 的受管集群。这意味着 hub 集群和 GitOps ZTP 插件版本可以独立于在受管集群上运行的 OpenShift Container Platform 版本。如需更多信息，请参阅为版本独立准备 GitOps ZTP 站点配置存储库。

1.3.21.9. 使用 Topology Aware Lifecycle Manager 预缓存用户指定的镜像

在这个版本中，您可以使用 Topology Aware Lifecycle Manager 在单节点 OpenShift 集群上升级应用程序工作负载镜像。如需更多信息，请参阅在单节点 OpenShift 集群上使用 TALM 预缓存用户指定的镜像。

1.3.21.10. 通过 SiteConfig 和 GitOps ZTP 进行磁盘清理选项

在这个版本中，您可以使用 SiteConfig CR 中的 automatedCleaningMode 字段在安装前删除分区表。如需更多信息，请参阅单节点 OpenShift SiteConfig CR 安装参考。

1.3.21.11. 支持通过 GitOps ZTP 在 SiteConfig CR 中添加自定义节点标签

在这个版本中，您可以在 SiteConfig CR 中添加 nodeLabels 字段，以便为受管集群中的节点创建自定义角色。有关如何添加自定义标签的更多信息，请参阅使用 SiteConfig 和 GitOps ZTP 部署受管集群，手动生成 GitOps ZTP 安装和配置 CR ，以及单节点 OpenShift SiteConfig CR 安装参考。

1.3.21.12. 支持微调 etcd 延迟容错（技术预览）

在这个版本中，您可以将 control plane 硬件速度设置为 "Standard" 、 "Slower" 或默认值（ "" ），允许系统决定使用哪个速度。这是一个技术预览功能。如需更多信息，请参阅为 etcd 设置调整参数。

1.3.21.13. 在 SiteConfig 中弃用字段

在这个版本中， SiteConfig 自定义资源定义(CRD)中的 apiVIP 和 ingressVIP 字段已弃用，并使用 plural 表单、 apiVIPs 和 ingressVIPs 替代。

1.3.22. 托管 control plane

1.3.22.1. 在裸机和 OpenShift Virtualization 上，托管的 control plane 正式发布

现在，在裸机和 OpenShift Virtualization 平台上为 OpenShift Container Platform 托管 control plane。在 AWS 上托管的 control plane 仍是一个技术预览功能。

1.3.22.2. 在 AWS 托管的集群中创建 ARM NodePool 对象（技术预览）

在这个发行版本中，您可以在同一个托管的 control plane 的 64 位 ARM 和 AMD64 上调度应用程序工作负载。如需更多信息，请参阅在 AWS 托管的集群中创建 ARM NodePool 对象。

1.3.22.3. 在 IBM Z 上托管 control plane （技术预览）

在这个发行版本中，托管的 control plane 作为 IBM Z 上的技术预览功能提供。如需更多信息，请参阅为 IBM Z 计算节点在 64 位 x84 裸机上配置托管集群（技术预览）。

1.3.22.4. 在 IBM Power 上托管 control plane （技术预览）

在这个发行版本中，托管的 control plane 作为 IBM Power 的技术预览功能提供。如需更多信息，请参阅在 64 位 x86 OpenShift Container Platform 集群上配置托管集群，以便为 IBM Power 计算节点创建托管的 control plane （技术预览）。