4.15 版本信息和更新操作
该版本已废弃。 尽快将群集更新到 支持的版本。
查看有关 Red Hat OpenShift on IBM Cloud版本 4.15 的信息。 此版本基于 Kubernetes 版本 1.28。
要查找有关更新集群的常规信息或其他版本的信息吗? 请参阅 Red Hat Red Hat OpenShift on IBM Cloud 版本信息 和 V 4.15 发行说明。
Red Hat OpenShift on IBM Cloud 是 CNCF 软件一致性认证计划下 版本的认证 产品。Kubernetes 1.28 Kubernetes Kubernetes® 是 基金会在美国和其他国家的注册商标,根据 基金会的许可使用。Linux Linux
发布时间线
下表包含版本 4.15的预期发布时间线。 您可以将此信息用于规划目的,例如,估算版本可能变为不受支持的一般时间。
标记有短剑 (†) 的日期表示这是暂定时间,会随时更改。
| 是否受支持? | Red Hat OpenShift / Kubernetes 版本 | 发布日期 | 不受支持的日期 |
|---|---|---|---|
| 支持 | 4.15 / 1.28 | 2024 年 4 月 24 日 | 2026 年 1 月 8 日† |
准备更新
查看在 更新集群 到 V 4.15时可能需要进行的更改。 此信息汇总了在更新时可能对已部署的应用程序产生影响的更新。
备份和复原 Helm Chart 在 Red Hat OpenShift on IBM Cloud 4.15 集群上受支持。 但是,仅支持 COS 直接端点。 例如:s3.direct.us.cloud-object-storage.appdomain.cloud。
在更新主节点之前更新
下表列出了 更新群集主控 程序前必须采取的操作。
| 类型 | 描述 |
|---|---|
| 不受支持: 不推荐使用和已移除 OpenShift 功能部件 | 有关更多信息,请查看 OpenShift V 4.15 不推荐使用和已移除的功能部件 以及 准备更新到 OpenShift Container Platform 4.15 以了解所需的可能操作。 |
| 已知 OpenShift 问题 | 有关更多信息,请查看 OpenShift V 4.15 已知问题 以了解所需的可能操作。 |
| 升级需要 OpenShift 集群版本货币 | 当 OpenShift 集群版本状态指示已在进行更新时,将取消集群主节点升级。 有关详细信息,请参阅 Why does OpenShift show the cluster version is not up to date。 |
| 升级需要解析为 OpenShift 集群版本可升级条件 | 如果 OpenShift 集群版本 Upgradeable 状态条件显示集群不可升级,则集群主升级将被取消。 请参阅 为什么我看到 Cannot complete cluster master upgrade 消息? 以获取详细信息。 |
| 创建或更新 VPC 群集至4.15版时 VPE 网关的更改 | 在创建4.15群集或更新到4.15 时,VPC 群集使用的 VPE 网关会发生重要变化。 这些变化可能需要采取行动。 要查看更改并确定所需的操作,请参阅 VPE 网关创建信息。 |
检查群集的 Upgradeable 状态
运行以下命令检查群集的 Upgradeable 状态。
oc get clusterversion version -o json | jq '.status.conditions[] | select(.type == "Upgradeable")'
Upgradeable 状态为 False 的示例输出。
{
"lastTransitionTime": "2023-10-04T15:55:54Z",
"message": "Kubernetes 1.27 and therefore OpenShift 4.15 remove several APIs which require admin consideration. Please see the knowledge article https://access.redhat.com/articles/6958395 for details and instructions.",
"reason": "AdminAckRequired",
"status": "False",
"type": "Upgradeable"
}
如果 Upgradeable 状态为 False,那么条件信息提供在升级之前必须遵循的指示信息。 有关更多信息,请参阅 提供管理员应答。
在 V 4.15 上创建的 VPC 集群的重要联网更改
从 V 4.15开始,Red Hat OpenShift on IBM Cloud 为 VPC 集群引入了称为“按缺省集群安全 VPC 联网”的新安全性功能。
在高层次上,Red Hat OpenShift on IBM Cloud VPC 集群的安全态势已从允许所有出站流量,转变为向用户提供机制,以便根据需要有选择地阻止流量,现在阻止对集群功能并不重要的所有流量,并向用户提供机制,以便根据需要有选择地允许流量。
当您在 V 4.15 或更高版本上供应新的 Red Hat OpenShift on IBM Cloud VPC 集群时,缺省供应行为是仅允许集群运行所需的流量。 所有其他访问都被阻止。 为实现“按缺省联网安全”,对缺省 VPC 安全组设置以及公共 IBM 服务的新虚拟专用端点 (VPE) 进行了更改。
“按缺省联网安全”的一些关键说明如下:
-
仅适用于 VPC 集群。 经典集群不受影响。
-
不影响现有集群。 VPC 中的现有集群将像现在一样继续运行。
-
仅适用于版本为 4.15的新供应 Red Hat OpenShift on IBM Cloud 集群。 升级到 V 4.15的现有 Red Hat OpenShift on IBM Cloud 集群的安全组配置 (包括您所做的任何定制) 不会更改。
-
在 V 4.15 和更高版本上创建的集群的缺省行为是启用“缺省安全”出站流量保护。 但是,UI,CLI,API 和 Terraform 中的新参数允许您禁用此功能。 您还可以在创建集群后启用和禁用出站流量保护。
-
如果 VPC 使用定制 DNS 解析器,那么供应新的 4.15 集群会自动添加规则,以允许流量通过 IKS 管理的安全组 (
kube-<clusterID>) 上的解析器 IP 地址。
有关 Secure by Default Cluster VPC 联网的概述,包括缺省情况下创建的安全组,规则和 VPE,请参阅 了解 Secure by Default Cluster VPC Networking。
允许哪些连接?
在启用了 Secure by Default 出站流量保护的 VPC 集群中,允许以下连接。
- 访问内部 IBM
*.icr.io注册表以通过 VPE 网关拉取必需的容器映像。 - 通过 VPE 网关访问集群主节点和 Red Hat OpenShift on IBM Cloud API。
- 访问其他基本 IBM 服务,例如通过专用 IBM 网络进行日志记录和监视。
- 访问 IBM Cloud DNS。
哪些连接被阻塞?
查看缺省情况下阻塞的连接的以下示例。 请注意,您可以选择性地启用到应用程序需要的这些或其他外部源的出站流量。
- 从公共注册表 (例如 quay.io 和 Docker Hub) 拉取映像。
- 访问 Red Hat Marketplace 和 OperatorHub。
- 通过公用网络访问任何服务。
对工作程序到主备份通信的更改
VPC 集群工作程序使用专用网络与集群主节点进行通信。 先前,对于启用了公共服务端点的 VPC 集群,如果专用网络被阻塞或不可用,那么集群工作程序可能会回退到使用公用网络与集群主节点进行通信。
在具有“缺省情况下安全”出站流量保护的集群中,由于来自集群工作程序的公共出站流量被阻塞,因此无法选择回退到公用网络。 您可能希望禁用出站流量保护以允许此公用网络备份选项,但是有更好的替代方法。 相反,如果通过专用网络的工作程序到主节点连接存在临时问题,那么此时可以将临时安全组规则添加到 kube-clusterID 安全组以允许出站流量到集群主节点 apiserver 端口。 这样您只允许 apiserver 的流量,而不允许所有流量。 稍后,当问题得到解决时,您可以除去临时规则。
创建 4.15 集群后允许出站流量
如果创建了启用了出站流量保护的 4.15 集群,那么由于需要外部网络连接的依赖关系,应用程序或服务可能会迂到停机时间。 查看以下选项以选择性地启用出站流量或允许所有出站流量。
有关更多信息,请参阅 管理 VPC 集群中的出站流量保护。
VPE 网关创建信息
创建 VPC 群集或将其更新到4.15 版时,如果不存在以下 VPE 网关,则会创建这些网关。
| VPE DNS 名称 | 服务 | 版本 |
|---|---|---|
s3.direct.<region>.cloud-object-storage.appdomain.cloud 和 *.s3.direct.<region>.cloud-object-storage.appdomain.cloud |
Cloud Object Storage | 4.15 及更高版本 |
config.direct.cloud-object-storage.cloud.ibm.com |
Cloud Object Storage 配置 | 4.15 及更高版本 |
<region>.private.iaas.cloud.ibm.com |
VPC 基础架构 | 4.15 及更高版本 |
icr.io 和 "*.icr.io* |
Container Registry | 4.14 及更高版本 |
api.<region>.containers.cloud.ibm.com* |
Red Hat OpenShift on IBM Cloud | 4.14 及更高版本 |
- 对于更新到4.15的群集,这些 VPE 网关应该已经存在,因为它们是在群集处于4.14创建的。
这些 VPE 网关由 VPC 中的所有资源共享,在首次创建时,它们会更改与这些服务相关的 IP 地址,并限制对它们的访问。
如果 VPC 中的任何资源正在使用这些服务中的任何服务,而 VPE Gateway 尚不存在,则必须在更新之前并可能在更新期间采取以下措施,以确保资源仍可访问。
是创建新的4.15群集,还是升级现有4.14群集的主控器,所采取的步骤有所不同。
- 新的4.15群集可获得上述“默认安全”配置。
- 升级后的现有4.14群集继续使用旧的安全组模式。
升级到4.15版时创建的 VPE 网关
如果 VPC 中还不存在4.15版的三个新 VPE 网关,则将创建它们。 此外,每个区域的每个 VPE 网关都会为每个有群集工作者的区域添加一个 IP 地址。 这些 IP 地址来自该区域中的一个现有 VPC 子网。
VPE 网关被归入现有的 "kube-<vpcID> 安全组,默认情况下允许所有流量。 除非修改了该安全组,否则不需要添加任何规则来允许对这些新 VPE 网关的入站访问。
如果修改了 "kube-<vpcID> 安全组,则必须确保 VPC 中使用这些服务的所有资源都允许对该安全组进行入站访问。 此外,确保子网上没有网络 ACL、资源本身没有安全组,也没有阻止访问这些新 VPE 网关的自定义 VPC 路由。
创建新的4.15群集时的新 VPE 网关配置
如果 VPC 中还没有 VPE 网关,则会创建五个新的 VPE 网关。 此外,每个区域的每个 VPE 网关都会为每个有群集工作者的区域添加一个 IP 地址。 这些 IP 地址来自该区域中的一个现有 VPC 子网。
VPE 网关被放入一个新的“kube-vpegw-<vpcID> 安全组,该安全组只允许从群集工作人员安全组”kube-<clusterID> 向这些新的 VPE 网关输入流量。
在创建群集之前,对于 VPC 中访问这些端点的任何资源,请确保子网上没有网络 ACL、资源本身没有安全组,也没有阻止访问这些新 VPE 网关的自定义 VPC 路由。
更新群集时,请注意 "kube-vpegw-<vpcID> 安全组的创建。 创建后,添加必要的入站规则,允许所有非群集工作者资源访问正在创建的新 VPE 网关。 请注意,VPC 中的所有群集工作者已经可以通过创建群集时自动添加的安全组规则访问这些 VPE 网关。
有关类似用例的更多信息,请参阅 VPC 应用程序故障排除。