Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Заметки к релизу

В версии 5.2.0 присутствует критическая проблема, при которой модули, интегрированные со StarVault, могли получать ошибки авторизации во время обновления собственного токена. Это сопровождалось переполнением аудит-логов StarVault и приводило к нестабильной работе кластера. Рекомендуется обновление до версии 5.2.1, в которой проблема устранена.

При обновлении до версий 7.1.0, 6.2.0 и 5.2.5 изменения в манифестах kustomization 'nova-release-ingress-public-main' и 'nova-release-ingress-internal-main' будут сброшены к стандартной конфигурации. Если в эти манифесты вносились изменения, рекомендуется сохранить их перед обновлением, чтобы затем восстановить вручную.

Обращаем ваше внимание, что для онлайн‑установки кластера был изменен перечень IP‑адресов сервисов. Актуальный список доступен по ссылке.

Что нового

Nova 5.2.5

  1. Добавлен Node Local Gateway - локальный балансировщик трафика на каждом узле кластера.

    За счет этого балансировщика все Ingress-контроллеры вынесены из хостового сетевого пространства (HostNetwork) и улучшена работа сетевых политик с пограничным трафиком.

Nova 5.2.4

  1. Добавлен динамический плагин для управления резервным копированием в интерфейс Nova Console.

    Подробнее см. документацию Резервное копирование и восстановление.

Изменения и улучшения

Nova 5.2.5

  1. Добавлена возможность выполнять операцию вывода узла кластера в режим обслуживания (drain node).

    Подробнее см. документацию Перевод узла кластера в режим обслуживания.

  2. В Ingress Nginx (internal, public) добавлены по умолчанию дополнительные заголовки безопасности:

    Referrer-Policy: origin-when-cross-origin
    X-Content-Type-Options: nosniff
    X-Frame-Options=sameorigin
    Strict-Transport-Security=max-age=31536000; includeSubDomains;

    Заголовок Content-Security-Policy принудительно не устанавливается и остается на усмотрение пользователя.

    Управление данными заголовками осуществляется через ConfigMap:

    nova-ingress-public/nova-ingress-public-custom-add-headers nova-ingress-internal/nova-ingress-internal-custom-add-headers
  3. Добавлены -default-deny Ingress-ресурсы для сервисов Prometheus, Alertmanager, Thanos Query. Данные ресурсы могут быть использованы для настройки точечных ограничений доступа в рамках каждого сервиса. По умолчанию настроено ограничение доступа к /debug/pprof.

Nova 5.2.4

  1. Добавлена возможность сбора диагностических дампов с каждого узла кластера.

    Сбор данных выполняется на каждом узле с помощью команды: collect-logs.

  2. Отключен Admission-плагин DenyServiceExternalIPs в kube-apiserver в рамках соответствия обновленной версии CIS Benchmark.

  3. Добавлены политики в Nova Console.

    Теперь при наличии CNI-плагина Cilium в кластере в разделе Network Nova Console отображаются политики CiliumClusterwideNetworkPolicy и CiliumNetworkPolicy. Это позволяет управлять сетевым доступом на уровне кластера и пространств имен с помощью Cilium-политик напрямую через интерфейс консоли.

  4. Дополнена проверкой разметки диска валидация дискового пространства в nova-ctl.

    Если обнаружены дополнительные разделы, отличные от /, /boot* или /recovery*, то для пользователя выводится предупреждение. Это помогает избежать ошибок при установке на нестандартную разметку и предупреждает пользователя о возможных рисках в процессе установки.

Nova 5.2.1

  1. Произведена замена cadvisor на kube-summary-exporter.

    Это значительно снизило нагрузку на узлы кластера Nova и исправило проблему с некорректным отображением дисковых метрик.

  2. Добавлена валидация ресурсов узлов при установке кластера в nova-ctl.

  3. Добавлен пул SSH-подключений с интерфейсом аренды в nova-ctl:

    • Сессии переиспользуются между вызовами.

    • При отсутствии свободных сессий создаются новые.

    • После завершения работы соединение возвращается в пул.

    • Безопасность потока данных обеспечивается передачей владения.

  4. Добавлен вывод имени узлов в nova-ctl при обновлении узлов платформы (в дополнение к IP-адресу).

    • Добавлено автоматическое удаление ВМ при неуспешном бутстрапе платформы при использовании опции --auto-cleanup.

  5. Скорректированы правила валидации системных ресурсов узлов кластера перед установкой платформы.

  6. Изменена логика ротации файлов логов StarVault.

    Логи StarVault теперь будут ротироваться при достижении размера 200 МБ. Ранее ротация выполнялась ежедневно не учитывая размер log-файла.

  7. Изменено расположение агентов Velero по умолчанию.

    С выходом обновления агенты Velero по умолчанию не размещаются на Ingress-узлах.

Nova 5.2.0

  1. Добавлен новый плагин - GitOps в веб-консоль Nova Container Platform.

    Раздел Cluster Kustomizations теперь называется Кластерные приложения. Все ресурсы Kustomizations группируются в сущности приложений. Каждое приложение доступно для просмотра в отдельном веб-интерфейсе Nova GitOps Console, интегрированного с системой FluxCD.

  2. Добавлена поддержка ОС Astra Linux версий 1.7.6 и 1.8 в сканере уязвимостей Neuvector.

    Обновленная версия сканера доступна во всех поддерживаемых версиях Nova Container Platform.

  3. Обновлен механизм первоначального развертывания Neuvector.

    Теперь система не будет осуществлять блокирующие действия по умолчанию сразу после установки, а только вести наблюдение за событиями. При необходимости пользователь может самостоятельно переключить режим работы Neuvector на защиту от нарушения правил, сетевых политик и т.п.

  4. Добавлена поддержка автоматической конфигурации резервирования системных ресурсов.

    Динамическая резервация ресурсов позволяет стабилизировать системные компоненты при вертикальном масштабировании узлов кластера. Подробнее с резервацией ресурсов можете ознакомиться в разделе Архитектура платформы.

  5. Изменено значение по умолчанию для tenant в OpenSearch.

    По умолчанию теперь установлен на Global, что сразу позволяет видеть все предварительно настроенные конфигурации без дополнительных шагов.

Исправления

Nova 5.2.5

  1. Исправлена проблема, при которой вход в платформенные веб-интерфейсы, защищенные oauth2 proxy, был невозможен используя учетную запись метода аутентификации LDAP (Ошибка 500).

  2. Исправлена проблема, при которой в Grafana могли не появляться отдельные дашборды с состоянием кластера Kubernetes.

  3. Исправлена обработка значений с плавающей точкой в выводе df при вычислении свободного места, из-за которой валидация get_node_free_disk_space завершалась с ошибкой.

  4. Исправлена логика проверки занятости портов, чтобы корректно выявлять конфликты с сервисом systemd-resolved и исключить сбои установки при включенном DNS-резолвере.

Nova 5.2.4

  1. Исправлена ошибка, из-за которой в Nova Console во вкладке Services всегда отображалась стандартная DNS-зона cluster.local, даже если в кластере была задана другая зона через параметр k8sDefaultDnsZone.

    Теперь консоль корректно отображает актуальную зону, соответствующую настройкам кластера.

  2. Исправлена ошибка запуска Cilium на узлах с установленным Kaspersky Endpoint Security (KESL).

    Порт 9879, используемый по умолчанию для health-проб Cilium, конфликтовал с компонентами Kaspersky. В рамках решения порт health-чеков был перенесен на 25655.

Nova 5.2.3

  1. Исправлена проблема, из-за которой могла возникать ошибка при повторном обновлении платформы.

  2. Исправлена проблема, которая могла возникать при удалении кластера с помощью команды nova-ctl cluster destroy.

  3. Исправлена проблема, которая могла возникать при повторной установке платформы, включая случаи прерванного развертывания.

  4. Исправлена проблема, из-за которой в nova-console не отображались поля Kubernetes API и Провайдер инфраструктуры.

Nova 5.2.2

  1. Исправлена проблема из-за которой могла переполняться временная директория для kustomize-controller.

  2. Исправлена проблема, при которой в кластере могло возникать событие PrometheusDuplicateTimestamps после установки модуля Neuvector.

  3. Скорректировано правило события etcdDatabaseHighFragmentationRatio в Prometheus, в результате чего срабатывание события стало более точным.

    Дефрагментация хранилища etcd по-прежнему выполняется автоматически каждый день в 00:00.

Nova 5.2.1

  1. Исправлена проблема, при которой приложения, интегрированные со StarVault, спустя время начинали получать ошибки авторизации при обновлении собственного токена.

    Проблема также могла сопровождаться событиями NGINXTooMany400s.

Nova 5.2.0

  1. Исправлена проблема, при которой в системе мониторинга кластера могли появляться множественные события Starvault too many infinity tokens.

    Теперь для методов аутентификации userpass и oidc в Starvault устанавливаются по умолчанию значения сроков жизни токенов:

    • 8 часов - срок жизни токена по умолчанию.

    • 24 часа - максимальный срок жизни токена с учетом его продления.

  2. Исправлена проблема, при которой платформа могла не разворачиваться на последних версиях РЕД ОС из-за прекращения поддержки yum.

  3. Исправлена проблема, из-за которой могла возникать ошибка при запросе информации о текущей лицензии командой nova-ctl subscription info/.

  4. Исправлена проблема, из-за которой при развертывании кластера в среде zVirt могла возникать следующая ошибка:

    One or more ports are busy. The specified ports should not be used: [2379, 6443, 10250, 10256, 10257, 10259].

Обновление компонентов

Nova 5.2.5

  1. Обновлена веб-консоль Nova до версии 0.4.10.

    В новой версии повышена стабильность, устранены ошибки.

  2. Обновлен агент резервного копирования nova-backup-daemon до версии v1.1.0.

    Добавлена поддержка резервного копирования рабочих узлов кластера.

Nova 5.2.1

  1. Обновлен nginx ingress controller до версии 1.12.1.

Nova 5.2.0

  1. Обновлена веб-консоль Nova до версии 0.4.3.

  2. Обновлены Starvault и его агенты в базовом модуле Nova до версии v1.0.4.

Установка в IPI-режиме в VMware на текущий момент не поддерживается и находится в процессе тестирования.

Информационная безопасность

Nova 5.2.1

  1. Обновление безопасности.

    Данное обновление включает следующие компоненты, в которых устранены критические уязвимости безопасности:

Для просмотра списка всех обновлений перейдите к соответствующему разделу базы знаний Релизы и обновления.