Red Hat OpenShift 4.16: Lo que necesita saber

Red Hat OpenShift 4.16 ya está disponible para el público en general. Basado en Kubernetes 1.29 yCRI-O 1.29, OpenShift 4.16 se centra en el núcleo, la seguridad, la virtualización y las funciones para las telecomunicaciones y el edge computing. Red Hat OpenShift tiene como objetivo acelerar el desarrollo y la distribución de aplicaciones modernas según sea necesario en toda la nube híbrida mediante una plataforma confiable, integral y uniforme.

Ciclo de vida de tres años para Red Hat OpenShift 4.14 y versiones posteriores

Disponible como suscripción complementaria, ahora hay un plazo opcional de 12 meses adicionalesExtended Update Support (EUS) para Red Hat OpenShift 4.14 y todas las versiones con números pares posteriores. Esto hace que el ciclo de vida completo disponible para estas versiones de EUS de Red Hat OpenShift sea de tres años, en comparación con el período anterior de seis meses. Consulte la Política del ciclo de vida de Red Hat OpenShift Container Platform para obtener más detalles.

Ajuste la seguridad con Red Hat Advanced Cluster Security Cloud Service

Red Hat Advanced Cluster Security Cloud Service pasó de la disponibilidad limitada a la disponibilidad general. Red Hat Advanced Cluster Security Cloud Service es un servicio de nube de seguridad completamente gestionado creado en Kubernetes que admite Red Hat OpenShift y otras plataformas de Kubernetes, como Amazon EKS, Google GKE y Microsoft AKS. Este servicio de nube le permite adoptar un enfoque de seguridad para diseñar, implementar y mantener las aplicaciones nativas de la nube según sea necesario en toda la nube híbrida, independientemente de la plataforma de Kubernetes subyacente.

Reduzca los costos y optimice el tiempo de implementación de los clústeres con planos de control alojados autogestionados en AWS

Los planos de control alojados se han habilitado de manera predeterminada en el motor multiclúster (MCE) para el operador de Kubernetes desde la versión 2.4. Con la versión 2.6 de MCE, los planos de control alojados autogestionados en AWS están disponibles en general junto con Red Hat OpenShift 4.16.

Los planos de control alojados hacen que sea más eficiente y rentable administrar varios clústeres de OpenShift a escala. Centraliza la gestión del plano de control y permite una mejor utilización de los recursos y un mantenimiento más sencillo. Con los planos de control alojados, puede centrarse en las aplicaciones, ya que reduce los gastos generales de infraestructura y gestión, optimiza el tiempo de implementación de los clústeres y permite separar las preocupaciones entre la gestión y las cargas de trabajo.

Servidores de autenticación externos en Red Hat OpenShift en AWS con plano de control alojado

Ahora puede llevar su propia solución OpenID Connect (OIDC) a Red Hat OpenShift Service on AWS (ROSA) conplanos de control alojados, para que pueda autenticar usuarios y grupos directamente con el servidor de la API de Kubernetes. Los clústeres de ROSA usan AWS Security Token Service (STS) y OIDC para otorgar a los operadores del clúster acceso a los recursos necesarios de AWS. Obtenga más información en Simplifique el acceso a sus clústeres de ROSA con OIDC externo.

Protección de las redes de clústeres de OpenShift con la política de red de administración

La próxima generación de políticas de red de Kubernetes ahora es totalmente compatible con las implementaciones de OpenShift que usan OVN-Kubernetes para las redes.La política de red de administración (también conocida como política de red global) proporciona mejoras a la implementación anterior de la política de red upstream. Las funciones más solicitadas incluyen:

• Políticas de seguridad de red solo con privilegios de administrador que no pueden ser anuladas por desarrolladores y administradores de espacios de nombres
• Un alcance para todo el clúster. Por ejemplo, las políticas de salida se pueden definir una sola vez en un solo lugar y aplicarse a todo el tráfico del clúster.
• La capacidad de delegar políticas de seguridad específicas y examinadas a los desarrolladores y administradores de espacios de nombres, para que tengan la flexibilidad de políticas de red que necesitan para el desarrollo de aplicaciones.

La política de red de administración le permite:

• Aíslar los inquilinos dentro de un clúster con controles de privilegios de administrador
• Crear una lista definitiva de tráfico permitido para el tráfico siempre fluya
• Especifique una política inmutable para todo el tráfico de salida del clúster. Por ejemplo, puede forzar todo el tráfico a través de un dispositivo de puerta de enlace para su inspección.
• Definir la política de tráfico de red con resolución detallada para patrones de tráfico altamente selectivos, especialmente hacia y desde espacios de nombres confidenciales

Reducción del acceso de usuarios o grupos no autenticados

A partir de OpenShift 4.16, hay un límite en los permisos otorgados al usuariosystem:anonymous y al gruposystem:unauthenticated. Solo se permiten dos roles de forma predeterminada:

• system:openshift:public-info-viewer: requerido para los flujos de trabajo de OIDC
• system:public-info-viewer: acceso de solo lectura a información no confidencial sobre el clúster

Esto se aplica solo a los clústeres nuevos. Los clústeres que se actualizan no se ven afectados.

Para los casos de uso en los que se necesita acceso anónimo, el administrador del clúster debe agregar explícitamente esos permisos. Por ejemplo, si usa webhooks para BuildConfigs desde un sistema externo (como GitHub) que no admite el envío de tokens de autenticación a través de HTTP, deberá agregar explícitamente los permisossystem:webhook. Recomendamos encarecidamente el uso de enlaces de roles locales en lugar de enlaces de roles de clúster en tales escenarios. Un administrador de clústeres puede volver a agregar un ClusterRoleBinding para el usuario anónimo según sea necesario, después de evaluar los riesgos y beneficios asociados con él.

Solución de problemas de actualización de OpenShift más sencilla con oc adm upgrade status

Red Hat OpenShift 4.16 incluye un nuevo comando oc adm upgrade status, que está disponible como versión preliminar de la tecnología. Este comando muestra el progreso de la actualización del clúster, eliminando el ruido irrelevante, y muestra al administrador si la actualización va bien o si necesita intervenir. En caso de un problema de actualización, el comando devuelve información sobre lo que está sucediendo, acompañada de orientación y enlaces a recursos relevantes (como documentación de Red Hat o artículos de la base de conocimientos).

# oc adm upgrade status
An update is in progress for 55m7s: Working towards 4.16.0: 198 of 951 done (20% complete)
= Control Plane =
Assessment:      Progressing
Completion:      97%
Duration:        55m6.974951563s
Operator Status: 36 Total, 36 Available, 1 Progressing, 0 Degraded
= Worker Upgrade =
= Worker Pool =
Worker Pool:     worker
Assessment:      Progressing
Completion:      7%
Worker Status:   42 Total, 22 Available, 20 Progressing, 39 Outdated, 19 Draining, 0 Excluded, 0 Degraded
Worker Pool Node(s)
NAME                                       ASSESSMENT    PHASE      VERSION       EST    MESSAGE
build0-gstfj-ci-builds-worker-b-25ptt      Progressing   Draining   4.16.0-ec.3   +30m   
build0-gstfj-ci-longtests-worker-b-ppxvc   Progressing   Draining   4.16.0-ec.3   +30m   
build0-gstfj-ci-prowjobs-worker-b-gvthg    Progressing   Draining   4.16.0-ec.3   +30m   
build0-gstfj-ci-tests-worker-b-7hvhq       Progressing   Draining   4.16.0-ec.3   +30m   
...
Omitted additional 32 Total, 3 Completed, 22 Available, 10 Progressing, 29 Outdated, 9 Draining, 0 Excluded, and 0 Degraded nodes.
Pass along --details to see all information.
= Update Health =
SINCE   LEVEL   IMPACT   MESSAGE
55m7s   Info    None     Upgrade is proceeding well

Migración a Microsoft Entra Workload ID

Si usa Red Hat OpenShift autogestionado en Azure, ahora puede migrar a Microsoft Entra Workload ID (antes conocido como Azure AD Workload Identity) con un tiempo de inactividad mínimo. La compatibilidad con Microsoft Entra Workload ID se agregó en Red Hat OpenShift 4.14, lo cual permite que los clientes creen y gestionen los clústeres de Red Hat OpenShift con credenciales temporales con privilegios limitados. Ahora puede adoptar el ID de carga de trabajo de Microsoft Entra sin tener que comenzar de nuevo con un nuevo clúster. Consulte la Configuración de OpenShift con el ID de carga de trabajo de Microsoft Entra para obtener más información.

Optimice el rendimiento del clúster con los parámetros de ajuste de etcd

Ahora puede actualizar etcd para permitir que su clúster tolere una latencia reducida entre los miembros de etcd. Para ello, establezca los parámetros de latencia para el intervalo de latido y los tiempos de espera de elección de líder en valores que optimicen el rendimiento y reduzcan la latencia. Los valores posibles son:

• "" (el valor predeterminado está en blanco)
• Estándar
• Más lento

Esto le permite adaptarse a escenarios en los que puede tener discos más lentos pero aceptables, o clústeres ampliados que se encuentran dentro de las prácticas recomendadas de rendimiento y escalabilidad de OpenShift.

Consulte la especificación de etcd para obtener más información.

Optimice el ajuste automático de los clústeres según las necesidades de las cargas de trabajo

El escalador automático de clústeres [ ahora usa las estrategias de expansión LeastWaste, Priority y Random. Configure estos expansores para influir en la selección de conjuntos de máquinas al escalar su clúster.

• Random: recomendado para distribuir las cargas de trabajo de manera uniforme en un clúster homogéneo donde los grupos de nodos ofrecen recursos similares.
• LeastWaste: para los clústeres en los que la eficiencia y la reducción del desperdicio de recursos son prioridades, en particular con las cargas de trabajo dinámicas en las que la flexibilidad y el ajuste rápido son más importantes.
• Priority: para decisiones de escalamiento sofisticadas basadas en prioridades definidas por el usuario, y es adecuado para clústeres complejos con diversos grupos de nodos

Use su propio balanceador de carga para la implementación local

Con Red Hat OpenShift 4.16, puede usar su propio balanceador de carga gestionado por el usuario junto con un clúster en cualquier infraestructura local (bare metal, VMware vSphere, Red Hat OpenStack Platform, Nutanix, etc.). Para esta configuración, especifique loadBalancer.type:UserManaged en el archivo install-config.yaml de su clúster. Consulte los servicios para un balanceador de carga administrado por el usuario para obtener más información sobre esta función.

Aumente la capacidad de observación de los clústeres con la supervisión y la solución de problemas avanzadas

Red Hat OpenShift 4.16 incorpora mejoras significativas en sus funciones de capacidad de observación, y proporciona herramientas mejoradas para supervisar, solucionar problemas y optimizar un clúster. Se han realizado actualizaciones en los componentes de la pila de monitoreo en el clúster como Prometheus, Thanos y nuevas reglas de alerta. Un nuevo Metrics Server simplifica la recopilación de métricas, y el nuevo rol monitoring-alertmanager-view mejora la seguridad y la colaboración. Estas características se incluyen en el Operador de observabilidad del clúster versión 0.3.0, que sirve como un operador de punto de entrada único para instalar y administrar la observabilidad. Esta versión también agrega mejoras a OpenTelemetry y una mayor funcionalidad de la API de registro de clústeres.

Cluster Observability Operator presenta una nueva versión de Observability Signal Correlation para correlacionar las señales de observabilidad,  Detección de incidentes para priorizar las alertas importantes y mejoras en el rastreo distribuido con compatibilidad con el operador Tempo  para la implementación monolítica. Las visualizaciones de rastreo distribuidas ahora se muestran en la consola de OpenShift.

La correlación de señales de observabilidad y la detección de incidentes están disponibles para la vista previa para desarrolladores. El monitoreo de energía, que está disponible para la vista previa de la tecnología, ahora proporciona una integración de la interfaz de usuario (UI) del desarrollador y mejora la precisión de los datos.

Modernice la gestión de su infraestructura con Red Hat OpenShift Virtualization

En cuanto a Red Hat OpenShift Virtualization, nos complace anunciar la disponibilidad general de la recuperación ante desastres metropolitana para las máquinas virtuales (VM) que usan el almacenamiento implementado en Red Hat OpenShift Data Foundation junto con Red Hat Advanced Cluster Management for Kubernetes (RHACM) para la gestión.

Agregamos varias mejoras a las máquinas virtuales. Ahora tiene la capacidad de agregar recursos de vCPU adicionales a una máquina virtual en ejecución de manera declarativa. Hemos mejorado la densidad de la memoria con la sobreasignación de memoria segura, y hemos facilitado el escalamiento vertical de las máquinas virtuales con la conexión en vivo de la CPU.

Con RHACM, ahora puede monitorear máquinas virtuales de varios clústeres. Desde un RHACM Hub, puede ver todas las máquinas virtuales en varios clústeres de OpenShift. Puede recopilar y crear informes rápidamente para todas las máquinas virtuales. En un RHACM Global Hub que usa Global Hub Search, puede ver todas las máquinas virtuales en varios hubs.

El ecosistema sigue creciendo con los partners de hardware, los partners de infraestructura de red y almacenamiento, y los proveedores externos de protección de datos. Además de Veeam Kasten, Trilio y Storaware, Cohesity, Commvault, Rubrik y Veritas están disponibles próximamente.

Actualización basada en imágenes para clústeres de OpenShift de un solo nodo con Lifecycle Agent

Los partners de telecomunicaciones de Red Hat adoptan los contenedores para las redes de acceso por radio (RAN del inglés Radio Access Networks) e implementan soluciones en un solo nodo de OpenShift. Red Hat OpenShift 4.16 presenta un enfoque "shift left" con actualizaciones basadas en imágenes (IBU). IBU proporciona una forma alternativa para actualizar un clúster de OpenShift de un solo nodo, mediante el cual los usuarios de OpenShift de un solo nodo trasladan una gran parte del proceso de actualización a un entorno de preproducción para reducir el tiempo dedicado a la actualización en el sitio de producción.

IBU le permite realizar actualizaciones de z-stream, actualizaciones de versiones secundarias, así como actualizaciones directas de EUS-to-EUS, donde se omite la versión provisional. Este método de actualización utiliza el agente del ciclo de vida para generar una imagen OCI desde un clúster de inicialización dedicado que se instala en el clúster de OpenShift de nodo único de destino como un nuevoostree stateroot. Un clúster de inicialización es un clúster de OpenShift de un solo nodo implementado con la versión de destino de OpenShift Container Platform, los operadores implementados y las configuraciones que son comunes a todos los clústeres de destino. A continuación, use la imagen de inicialización para actualizar la versión de la plataforma en cualquier clúster de OpenShift de un solo nodo que tenga la misma combinación de hardware, operadores y configuración de clúster que el clúster de inicialización.

Además, si una actualización falla o la aplicación no vuelve a funcionar, se puede revertir al estado anterior a la actualización. Nota: esto se aplica solo a los clústeres de OpenShift de un solo nodo. Esto garantiza que el servicio se restaure lo más rápido posible en un escenario de éxito o fallo de la actualización. IBU se integra a la perfección en los flujos de aprovisionamiento sin interacción que usan Red Hat OpenShift GitOps y Red Hat Advanced Cluster Management.

Diseñe una aplicación autónoma de OpenShift según sea necesario

Los partners que deseen diseñar aplicaciones listas para usar personalizadas con OpenShift autónomo y servicios agregados en su hardware prescrito según sea necesario, ahora pueden hacerlo con OpenShift-based Appliance Builder, que está disponible para Technology Preview. OpenShift-based Appliance Builder es una utilidad basada en contenedores que compila una imagen de disco que incluye el instalador basado en agentes, que se usa para instalar varios clústeres de OpenShift. Consulte la Guía del usuario de OpenShift-based Appliance Builder para obtener más información.

Redes y gestión de GitOps mejoradas y actualizaciones EUS optimizadas para MicroShift

Para la compilación de Red Hat de MicroShift, la última versión presenta tres actualizaciones para mejorar la gestión del extremo de la red:

1. Conecte varias interfaces de red a los pods Multus CNI para MicroShift:Multus permite que los pods de Kubernetes se conecten a varias redes, lo cual es útil cuando usa SR-IOV o tiene configuraciones de VLAN complejas. Con Multus habilitado en Microshift, puede agregar fácilmente varias interfaces a los pods con los complementos de CNI bridge, macvlan o ipvlan
2. Automatice la gestión de la infraestructura y las aplicaciones con GitOps para MicroShift: con GitOps para MicroShift, puede configurar e implementar de manera uniforme la infraestructura y las aplicaciones basadas en Kubernetes en los clústeres y los ciclos de vida de desarrollo. GitOps con Argo CD para MicroShift es un controlador complementario ligero y opcional derivado del operador Red Hat OpenShift GitOps. GitOps for MicroShift usa la interfaz de línea de comandos de Argo CD para interactuar con el controlador de GitOps que actúa como motor declarativo de GitOps.
3. Actualizaciones directas de EUS para MicroShift:MicroShift ahora se actualiza directamente de la versión 4.14 de Extended User Support (EUS) a la versión 4.16 en un solo reinicio (se requiere Red Hat Enterprise Linux 9.4 para la versión 4.16)

Pruebe Red Hat OpenShift 4.16 hoy mismo

Comience hoy mismo con Red Hat Hybrid Cloud Console y aproveche las funciones y las mejoras más recientes de OpenShift. Para conocer las últimas novedades, consulte los siguientes recursos:

• Novedades y novedades de Red Hat OpenShift
• Canal de YouTube de OpenShift
• Blogs de OpenShift
• OpenShift Commons
• Blogs de Red Hat Developer
• Red Hat Portfolio Architecture Center

Puede encontrar una lista completa de las actualizaciones de Red Hat OpenShift 4.16 en las Notas de lanzamiento de la versión de Red Hat OpenShift 4.16. Envíenos sus comentarios a través de sus contactos de Red Hat, envíenos un mensaje a OpenShift Commons Slack o cree una incidencia en GitHub.