4.15 informações sobre a versão e ações de atualização
Essa versão está obsoleta. Atualize seu cluster para uma versão compatível o mais rápido possível.
Revise as informações sobre a versão 4.15 do Red Hat OpenShift on IBM Cloud. Esta versão é baseada na versão Kubernetes 1.28.
Procurando informações gerais sobre atualização de clusters ou informações sobre uma versão diferente? Consulte Red Hat Red Hat OpenShift nas informações da versão do IBM Cloud e na versão 4.15 notas sobre a liberação.
Red Hat OpenShift on IBM Cloud é um produto certificado Kubernetes para a versão 1.28 do programa CNCF Kubernetes Software Conformance Certification. Kubernetes® é uma marca registrada The Linux Foundation nos Estados Unidos e/ou em outros países, utilizadas de acordo com uma licença obtida junto à The Linux Foundation.
Linha do tempo de liberações
A tabela a seguir inclui o cronograma de lançamento esperado para a versão 4.15. Essas informações podem ser usadas para fins de planejamento, bem como para estimar o período geral após o qual a versão talvez deixe de ser suportada.
As datas marcadas com o símbolo (†) são tentativas e estão sujeitas a mudança.
| Suportado? | Red Hat OpenShift / versão do Kubernetes | Data de liberação | Dados não suportados |
|---|---|---|---|
| Suportado | 4.15 / 1.28 | 24 de abril de 2024 | 08 de janeiro de 2026† |
Preparando-se para a atualização
Analise as alterações que talvez você precise fazer ao atualizar um cluster para a versão 4.15. Estas informações resumem as atualizações que provavelmente terão impacto nos apps implementados quando a atualização for feita.
O gráfico Helm de backup e restauração é suportado em clusters Red Hat OpenShift on IBM Cloud 4.15. No entanto, apenas os terminais diretos do COS são suportados Por exemplo: s3.direct.us.cloud-object-storage.appdomain.cloud.
Atualização antes do principal
A tabela a seguir mostra as ações que devem ser executadas antes da atualização do cluster mestre.
| Tipo | Descrição |
|---|---|
| Não suportados: recursos OpenShift descontinuados e removidos | Para obter mais informações, revise o OpenShift versão 4.15 recursos descontinuados e removidos e Preparando para atualizar para o OpenShift Container Platform 4.15 para possíveis ações necessárias. |
| Problemas conhecidos do OpenShift | Para obter mais informações, revise o OpenShift versão 4.15 problemas conhecidos para possíveis ações necessárias. |
| O upgrade requer a moeda da versão do cluster OpenShift | Um upgrade do cluster principal é cancelado quando o status de versão de cluster do OpenShift indica que uma atualização já está em andamento. Ver Porque OpenShift mostrar que a versão do cluster não está atualizada para detalhes. |
| O upgrade requer resolução para condições atualizáveis da versão do cluster do OpenShift | O upgrade do mestre do cluster agora será cancelado se a condição de status OpenShift cluster version Upgradeable indicar que o cluster não pode ser atualizado. Consulte Por que vejo uma mensagem Cannot complete cluster master upgrade ? para obter detalhes. |
| Os gateways VPE são alterados ao criar ou atualizar um cluster VPC para a versão 4.15 | Há alterações importantes nos gateways VPE usados para clusters VPC ao criar um cluster 4.15 ou atualizar para a versão 4.15. Essas mudanças podem exigir ações. Para revisar as alterações e determinar as ações necessárias, consulte as informações de criação de gateway VPE. |
Verificação do status do Upgradeable de seu cluster
Execute o seguinte comando para verificar o status Upgradeable do seu cluster.
oc get clusterversion version -o json | jq '.status.conditions[] | select(.type == "Upgradeable")'
Saída de exemplo em que o status de Upgradeable é False
{
"lastTransitionTime": "2023-10-04T15:55:54Z",
"message": "Kubernetes 1.27 and therefore OpenShift 4.15 remove several APIs which require admin consideration. Please see the knowledge article https://access.redhat.com/articles/6958395 for details and instructions.",
"reason": "AdminAckRequired",
"status": "False",
"type": "Upgradeable"
}
Se o status Upgradeable for False, as informações de condição fornecerem instruções que devem ser seguidas antes do upgrade Para obter informações adicionais, consulte Fornecendo o Reconhecimento do Administrador
Mudanças importantes de rede para clusters VPC criados na versão 4.15
A partir da versão 4.15, o Red Hat OpenShift on IBM Cloud introduziu um novo recurso de segurança para clusters VPC chamado Secure by Default Cluster VPC Networking.
Em um alto nível, a postura de segurança para clusters VPC do Red Hat OpenShift on IBM Cloud mudou de permitir todo o tráfego de saída e, em seguida, fornecer aos usuários mecanismos para bloquear seletivamente o tráfego conforme necessário para agora bloquear todo o tráfego que não é crucial para a funcionalidade do cluster e fornecer aos usuários mecanismos para permitir seletivamente o tráfego conforme necessário.
Ao provisionar um novo cluster VPC do Red Hat OpenShift on IBM Cloud na versão 4.15 ou mais recente, o comportamento de fornecimento padrão é permitir somente o tráfego necessário para que o cluster funcione. Todos os outros acessos são bloqueados. Para implementar o Secure by Default Networking, há mudanças nas configurações de grupos de segurança do VPC padrão, bem como novos Virtual Private Endpoints (VPEs) para serviços IBM comuns.
Algumas notas chave para Secure by Default Networking são:
-
Aplica-se apenas aos clusters de VPC Clusters clássicos não são afetados.
-
Não afeta os clusters existentes Os clusters existentes em sua VPC continuarão a funcionar como hoje.
-
Aplica-se somente aos clusters do Red Hat OpenShift on IBM Cloud recém-provisionados na versão 4.15 As configurações do grupo de segurança para clusters existentes do Red Hat OpenShift on IBM Cloud que são atualizados para a versão 4.15, incluindo quaisquer customizações feitas, não são mudadas.
-
O comportamento padrão para clusters criados na versão 4.15 e posterior é ativar a proteção de tráfego de saída Secure by Default. No entanto, novos parâmetros na IU, na CLI, na API e no Terraform permitem desativar esse recurso. Também é possível ativar e desativar a proteção de tráfego de saída após criar um cluster.
-
Se o seu VPC usar um resolvedor de DNS customizado, o fornecimento de um novo cluster da versão 4.15 incluirá regras automaticamente permitindo o tráfego por meio dos endereços IP do resolvedor em seu grupo de segurança gerenciado pelo IKS (
kube-<clusterID>).
Para obter uma visão geral da rede VPC de Cluster Seguro por Padrão, incluindo os grupos de segurança, regras e VPEs que são criados por padrão, consulte Entendendo a Rede VPC de Cluster Seguro por Padrão.
Quais conexões são permitidas?.
Em clusters VPC com a proteção de tráfego de saída Secure by Default ativada, as conexões a seguir são permitidas.
- Acessando os registros IBM
*.icr.iointernos para extrair imagens de contêiner necessárias por meio de um gateway VPE. - Acessando as APIs do cluster mestre e do Red Hat OpenShift on IBM Cloud por meio de gateways do VPE.
- Acessando outros serviços essenciais da IBM, como criação de log e monitoramento sobre a rede privada IBM.
- Acesso a IBM Cloud DNS.
Quais conexões estão bloqueadas
Revise os exemplos a seguir de conexões bloqueadas por padrão. Observe que é possível ativar seletivamente o tráfego de saída para essas ou outras origens externas que seu app precisa..
- Extrair imagens de registros públicos, como quay.io e Docker Hub.
- Acessando o Red Hat Marketplace e OperatorHub.
- Acessando qualquer serviço pela rede pública.
Mudanças na comunicação de backup do trabalhador para o principal
Os trabalhadores do cluster VPC usam a rede privada para se comunicarem com o cluster mestre Anteriormente, para clusters de VPC que tinham o terminal de serviço público ativado, se a rede privada estava bloqueada ou indisponível, os trabalhadores do cluster poderiam voltar a usar a rede pública para se comunicar com o cluster mestre
Em clusters com a proteção de tráfego de saída Secure by Default, voltar para a rede pública não é uma opção porque o tráfego de saída público dos trabalhadores do cluster está bloqueado. Você pode desejar desativar a proteção de tráfego de
saída para permitir essa opção de backup de rede pública, no entanto há uma alternativa melhor... Em vez disso, se houver um problema temporário com a conexão do trabalhador com o principal sobre a rede privada, então, nesse momento, será
possível incluir uma regra do grupo de segurança temporária para o grupo de segurança kube-clusterID para permitir o tráfego de saída para a porta do cluster principal apiserver Dessa forma, você permite apenas
o tráfego para o apiserver em vez de todo o tráfego Mais tarde, quando o problema for resolvido, será possível remover a regra temporária
Permitindo o tráfego de saída após a criação de um cluster 4.15
Se você tiver criado um cluster da versão 4.15 com a proteção de tráfego de saída ativada, seus apps ou serviços poderão experimentar tempo de inatividade devido a dependências que requerem conexões de rede externas Revise as opções a seguir para ativar o tráfego de saída seletivamente ou permitir todo o tráfego de saída.
Para obter mais informações, consulte Gerenciando a proteção de tráfego de saída em clusters VPC
Informações sobre a criação do gateway VPE
Quando um cluster VPC é criado ou atualizado para a versão 4.15, os seguintes gateways VPE são criados, caso não existam.
| Nome(s) DNS do VPE | Serviço | Versões |
|---|---|---|
s3.direct.<region>.cloud-object-storage.appdomain.cloud e *.s3.direct.<region>.cloud-object-storage.appdomain.cloud |
Cloud Object Storage | Versão 4.15 e posterior |
config.direct.cloud-object-storage.cloud.ibm.com |
Cloud Object Storage Configuração | Versão 4.15 e posterior |
<region>.private.iaas.cloud.ibm.com |
Infraestrutura de VPC | Versão 4.15 e posterior |
icr.io e ' *.icr.io* |
Container Registry | Versão 4.14 e posterior |
api.<region>.containers.cloud.ibm.com* |
Red Hat OpenShift on IBM Cloud | Versão 4.14 e posterior |
- Para clusters atualizados para a versão 4.15, esses gateways VPE já devem existir, pois teriam sido criados quando o cluster estava na versão 4.14.
Esses gateways VPE são compartilhados por todos os recursos na VPC e, quando são criados pela primeira vez, eles alteram os endereços IP associados a esses serviços e restringem o acesso a eles.
Se algum recurso na VPC estiver usando algum desses serviços em que o Gateway VPE ainda não existe, você deverá executar as ações descritas abaixo antes e possivelmente durante a atualização para garantir que os recursos ainda tenham acesso.
As etapas a serem seguidas são diferentes, dependendo se você estiver criando um novo cluster 4.15 ou atualizando o mestre de um cluster 4.14 existente.
- Os novos clusters 4.15 recebem as configurações Secure by Default descritas acima.
- Os clusters 4.14 atualizados continuam a usar o modelo antigo de grupo de segurança.
Gateways VPE criados ao fazer upgrade para a versão 4.15
Três novos gateways VPE para a versão 4.15 são criados se ainda não existirem na VPC. Além disso, um endereço IP por zona é adicionado a cada gateway VPE para cada zona que tenha trabalhadores de cluster. Esses endereços IP são obtidos de uma das sub-redes VPC existentes nessa zona.
Os gateways VPE são colocados no grupo de segurança " kube-<vpcID> existente, que, por padrão, permite todo o tráfego. A menos que você tenha modificado esse grupo de segurança, não é necessário adicionar nenhuma regra
para permitir o acesso de entrada a esses novos gateways VPE.
Se você tiver modificado o grupo de segurança " kube-<vpcID>, deverá certificar-se de que todos os recursos na VPC que usam esses serviços tenham permissão de acesso de entrada a esse grupo de segurança. Além disso,
verifique se não há ACLs de rede nas sub-redes, grupos de segurança nos próprios recursos ou rotas VPC personalizadas que bloqueiam o acesso a esses novos gateways VPE.
Nova configuração do gateway VPE ao criar um novo cluster 4.15
Cinco novos gateways VPE são criados se ainda não existirem na VPC. Além disso, um endereço IP por zona é adicionado a cada Gateway VPE para cada zona que tenha trabalhadores de cluster. Esses endereços IP são obtidos de uma das sub-redes VPC existentes nessa zona.
Os gateways VPE são colocados em um novo grupo de segurança " kube-vpegw-<vpcID>, que só permite o tráfego de entrada para esses novos gateways VPE a partir do grupo de segurança " kube-<clusterID> do cluster worker.
Antes de criar o cluster, para quaisquer recursos em sua VPC que acessem qualquer um desses endpoints, certifique-se de que não haja ACLs de rede nas sub-redes, grupos de segurança nos próprios recursos ou rotas VPC personalizadas que bloqueiem o acesso a esses novos gateways VPE.
À medida que seu cluster estiver sendo atualizado, observe a criação do grupo de segurança " kube-vpegw-<vpcID>. Depois que ele for criado, adicione as regras de entrada necessárias para permitir que todos os seus recursos
que não são trabalhadores de cluster acessem os novos gateways de VPE que estão sendo criados. Observe que todos os trabalhadores do cluster na VPC já podem acessar esses gateways VPE por meio de regras de grupo de segurança que são adicionadas
automaticamente quando o cluster é criado.
Para obter mais informações sobre um caso de uso semelhante, consulte Solução de problemas de aplicativos VPC.
Problemas comuns e resolução de problemas
- Após ativar a proteção de tráfego de saída em meu cluster 4.15, meu app não funciona mais.
- Quando tento criar o cluster da versão 4.15, vejo um erro de quota.
- Quando eu atualizo meu cluster para proteger por padrão, meu app nodeport não funciona mais.
- Por que vejo falhas de DNS após incluir um resolvedor de DNS customizado?.
- Depois de criar um cluster da versão 4.15, os aplicativos em execução em outros clusters em meu VPC falham.