45 发行说明 #
45.1 摘要 #
SUSE Edge 3.1 是紧密集成且经过全面验证的端到端解决方案,用于解决在边缘处部署基础架构和云原生应用程序时存在的独特挑战。其核心作用是提供一个有主见但高度灵活、高度可缩放且安全的平台,涵盖初始部署映像的构建、节点置备和初始配置、应用程序部署、可观测性和生命周期管理。
该解决方案的设计考虑到了客户的需求和期望千差万别,因此不存在“以一应百”的边缘平台。边缘部署促使我们解决并不断设想出一些极具挑战性的问题,包括大规模可伸缩性、网络受限情况下的可用性、物理空间限制、新的安全威胁和攻击途径、硬件体系结构和系统资源的差异、部署旧式基础架构和应用程序并与之连接的要求,以及使用寿命较长的客户解决方案。
SUSE Edge 完全基于一流的开源软件构建而成,这既符合我们 30 年来交付安全、稳定且经过认证的 SUSE Linux 平台的历史,也延续了我们通过 Rancher 产品组合提供高可可缩放且功能丰富的 Kubernetes 管理方案的经验。SUSE Edge 依托这些既有能力,提供能够满足众多市场领域需求的功能,包括零售、医疗、交通、物流、电信、智能制造业以及工业物联网等。
SUSE 自适应电信基础架构平台 (ATIP) 是 SUSE Edge 的衍生产品(或下游产品),它经过进一步优化并包含更多组件,使平台能够解决电信用例的要求。除非明确说明,否则所有发行说明都适用于 SUSE Edge 3.1 和 SUSE ATIP 3.1。
45.2 简介 #
除非明确指定和说明,否则下面的发行说明在所有体系结构中都是相同的,并且最新版本以及所有其他 SUSE 产品的发行说明始终在 https://www.suse.com/releasenotes 上在线提供。
说明项只会列出一次,但是,非常重要并且属于多个章节的说明项可能会在多处提到。发行说明通常只会列出两个后续版本之间发生的更改。本发行说明可能重复了旧产品版本的发行说明中的某些重要说明项。为了方便识别这些说明项,发行说明中会通过一条备注来指出这一点。
但是,重复的说明项只是出于便利而提供的。因此,如果您跳过了一个或多个版本,另请查看所跳过版本的发行说明。如果您只阅读最新版本的发行说明,可能会漏掉可能会对系统行为造成影响的重要更改。SUSE Edge 版本定义为 x.y.z,其中“x”表示主要版本,“y”表示次要版本,“z”表示补丁版本(也称为“z-stream”)。SUSE Edge 产品生命周期是针对某个次要版本(例如“3.1”)定义的,但会通过其生命周期提供后续补丁更新,例如“3.1.2”。
各个 SUSE Edge z-stream 版本紧密集成,并已作为版本受控的堆栈进行全面测试。将任何一个组件升级到其他版本(而不是上面列出的版本)都可能会导致系统停机。虽然可以在未经测试的配置中运行 Edge 群集,但我们不建议这样做,而且这样可能需要花费更长的时间来通过支持渠道获得问题的解决方法。
45.3 版本 3.1.2 #
发布日期:2025 年 5 月 14 日
摘要:SUSE Edge 3.1.2 是 SUSE Edge 3.1 系列版本中的第二个 z-stream 版本。
45.3.1 新功能 #
更新到 Kubernetes 1.30.11 和 Rancher Prime 2.9.9
更新到 SUSE Security (Neuvector) 5.4.2
更新到 SUSE Storage (Longhorn) 1.7.3
45.3.2 Bug 和安全修复 #
通过为 RKE2 中的 ingress-nginx 应用补丁以修复 CVE-2025-1974 漏洞。有关详细信息,请参见此处。
SUSE Storage (Longhorn) 1.7.3 包含多项 bug 修复,包括:
修复卷 FailedMount 问题,该问题可能会导致卷挂接失败(上游 Longhorn 问题)
修复引擎卡在停止状态的问题,该问题可能会阻止卷挂接(上游 Longhorn 问题)
已添加 Kiwi 构建器 10.2.12 版本,以适配 Kiwi 近期的安全变更 - 映像验证的校验和方法从 md5 变为 sha256。
已重新构建 Edge Image Builder 映像,以适配上述 Kiwi 变更。
45.3.3 已知问题 #
在更新至 RKE2 1.30.11(此版本修复了 CVE-2025-1974 漏洞)时,由于需要 SELinux 内核补丁,SUSE Linux Micro 6.0 必须更新至所含内核版本
>=6.4.0-26-default或>=6.4.0-30-rt(实时内核)的版本。如果未进行该更新,ingress-nginx Pod 将持续处于CrashLoopBackOff状态。要进行内核更新,可在主机上运行transactional-update(以更新所有软件包),或运行transactional-update pkg update kernel-default(或 kernel-rt)仅更新内核,随后重引导主机。如果您是在部署新群集,请按照第 24 章 “使用 Kiwi 构建更新的 SUSE Linux Micro 映像”中的说明构建包含最新内核的全新映像。已发现 Kubernetes 作业控制器存在一个 bug,在特定状况下可能导致 RKE2/K3s 节点处于
NotReady状态(参见 RKE2 问题 #8357)。错误消息可能如下所示:
E0605 23:11:18.489721 1 job_controller.go:631] "Unhandled Error" err="syncing job: tracking status: adding uncounted pods to status: Operation cannot be fulfilled on jobs.batch \"helm-install-rke2-ingress-nginx\": StorageError: invalid object, Code: 4, Key: /registry/jobs/kube-system/helm-install-rke2-ingress-nginx, ResourceVersion: 0, AdditionalErrorMsg: Precondition failed: UID in precondition: 0aa6a781-7757-4c61-881a-cb1a4e47802c, UID in object meta: 6a320146-16b8-4f83-88c5-fc8b5a59a581" logger="UnhandledError"临时解决方法是使用 crictl 重启
kube-controller-manager,命令如下:
export CONTAINER_RUNTIME_ENDPOINT=unix:///run/k3s/containerd/containerd.sock
export KUBEMANAGER_POD=$(/var/lib/rancher/rke2/bin/crictl ps --label io.kubernetes.container.name=kube-controller-manager --quiet)
/var/lib/rancher/rke2/bin/crictl stop ${KUBEMANAGER_POD} && \
/var/lib/rancher/rke2/bin/crictl rm ${KUBEMANAGER_POD}在 RKE2/K3s 1.31 和 1.32 版本中,由于存在与
overlayfs相关的某些条件限制,用于存储 CNI 配置的/etc/cni目录可能无法向containerd触发文件写入通知(参见 RKE2 问题 #8356)。这会导致 RKE2/K3s 部署停滞在等待 CNI 启动的状态,且 RKE2/K3s 节点会保持NotReady状态。在节点级别,通过kubectl describe node <affected_node>可观察到该问题:
Conditions:
Type Status LastHeartbeatTime LastTransitionTime Reason Message
---- ------ ----------------- ------------------ ------ -------
Ready False Thu, 05 Jun 2025 17:41:28 +0000 Thu, 05 Jun 2025 14:38:16 +0000 KubeletNotReady container runtime network not ready: NetworkReady=false reason:NetworkPluginNotReady message:Network plugin returns error: cni plugin not initialized临时解决方法是在 RKE2 启动前将 tmpfs 卷挂载到 /etc/cni 目录。这会避免使用
overlayfs(overlayfs 会导致 containerd 漏收通知),且每次节点重启及 Pod
初始化容器重新运行时,配置都会被重写。如果使用 EIB,可在 custom/scripts 目录中添加
04-tmpfs-cni.sh 脚本(如此处[https://github.com/suse-edge/edge-image-builder/blob/release-1.2/docs/building-images.md#custom]所述),脚本内容如下:
#!/bin/bash
mkdir -p /etc/cni
mount -t tmpfs -o mode=0700,size=5M tmpfs /etc/cni
echo "tmpfs /etc/cni tmpfs defaults,size=5M,mode=0700 0 0" >> /etc/fstab45.3.4 组件版本 #
下表描述了构成 3.1.2 版本的各个组件,包括版本、Helm chart 版本(如果适用),以及可从中提取已发布的二进制格式制品的位置。有关用法和部署示例,请参见相关文档。请注意,以粗体突出显示的内容为与上一 z-stream 版本的差异。
名称 | 版本 | Helm Chart 版本 | 制品位置(URL/映像) |
SLE Micro | 6.0(最新) | 不适用 | SLE Micro
下载页面 |
SUSE Manager | 5.0.0 | 不适用 | |
K3s | 1.30.11 | 不适用 | |
RKE2 | 1.30.11 | 不适用 | |
Rancher Prime | 2.9.9 | 2.9.9 | |
Longhorn | 1.7.3 | 104.2.2+up1.7.3 | |
NM Configurator | 0.3.1 | 不适用 | |
NeuVector | 5.4.2 | 104.0.4+up2.8.4 | registry.suse.com/rancher/neuvector-controller:5.4.2 |
Rancher Turtles (CAPI) | 0.11.0 | 0.3.3+up0.11.0 | registry.suse.com/edge/3.1/rancher-turtles-chart:0.3.3 |
Metal3 | 0.8.3 | 0.8.3 | registry.suse.com/edge/3.1/metal3-chart:0.8.3 |
MetalLB | 0.14.9 | 0.14.9 | registry.suse.com/edge/3.1/metallb-chart:0.14.9 |
Elemental | 1.6.4 | 104.2.0+up1.6.4 | registry.suse.com/rancher/elemental-operator-chart:1.6.4 |
Elemental 仪表板扩展 | 2.0.0 | 2.0.0 | |
Edge Image Builder | 1.1.1 | 不适用 | registry.suse.com/edge/3.1/edge-image-builder:1.1.1 |
KubeVirt | 1.3.1 | 0.4.0 | registry.suse.com/edge/3.1/kubevirt-chart:0.4.0 |
KubeVirt 仪表板扩展 | 1.1.0 | 1.1.0 | registry.suse.com/edge/3.1/kubevirt-dashboard-extension-chart:1.1.0 |
Containerized Data Importer | 1.60.1 | 0.4.0 | registry.suse.com/edge/3.1/cdi-chart:0.4.0 |
Endpoint Copier Operator | 0.2.0 | 0.2.1 | registry.suse.com/edge/3.1/endpoint-copier-operator:v0.2.1 |
Akri(技术预览) | 0.12.20 | 0.12.20 | registry.suse.com/edge/3.1/akri-chart:0.12.20 |
SR-IOV Network Operator | 1.3.0 | 1.3.0 | registry.suse.com/edge/3.1/sriov-network-operator-chart:1.3.0 |
系统升级控制器 | 0.13.4 | 104.0.0+up0.7.0 | 系统升级控制器
chart |
升级控制器 | 0.1.0 | 0.1.0 | registry.suse.com/edge/3.1/upgrade-controller-chart:0.1.0 |
Kiwi 构建器 | 10.2.12.0 | 不适用 | registry.suse.com/edge/3.1/kiwi-builder:10.2.12.0 |
45.4 版本 3.1.1 #
发布日期:2024 年 11 月 15 日
摘要:SUSE Edge 3.1.1 是 SUSE Edge 3.1 系列版本中的第一个 z-stream 版本。
45.4.1 新功能 #
NeuVector 版本更新到
5.4.0,提供了几个新功能:发行说明
45.4.2 Bug 和安全修复 #
Rancher 版本更新到
2.9.3:发行说明RKE2 版本更新到
1.30.5:发行说明K3s 版本更新到
1.30.5:发行说明Metal3 chart 修复了处理
predictableNicNames参数的问题:SUSE Edge 问题 160Metal3 chart 解决了 CVE-2024-43803 中指出的安全问题:SUSE Edge 问题 162
Metal3 chart 解决了 CVE-2024-44082 中指出的安全问题:SUSE Edge 问题 160
更新了 RKE2 CAPI 提供程序,以解决更新时 ETCD 不可用的问题:RKE2 提供程序问题 449
45.4.3 已知问题 #
已发现 Kubernetes 作业控制器存在一个 bug,在特定状况下可能导致 RKE2/K3s 节点处于
NotReady状态(参见 RKE2 问题 #8357)。错误消息可能如下所示:
E0605 23:11:18.489721 1 job_controller.go:631] "Unhandled Error" err="syncing job: tracking status: adding uncounted pods to status: Operation cannot be fulfilled on jobs.batch \"helm-install-rke2-ingress-nginx\": StorageError: invalid object, Code: 4, Key: /registry/jobs/kube-system/helm-install-rke2-ingress-nginx, ResourceVersion: 0, AdditionalErrorMsg: Precondition failed: UID in precondition: 0aa6a781-7757-4c61-881a-cb1a4e47802c, UID in object meta: 6a320146-16b8-4f83-88c5-fc8b5a59a581" logger="UnhandledError"临时解决方法是使用 crictl 重启
kube-controller-manager,命令如下:
export CONTAINER_RUNTIME_ENDPOINT=unix:///run/k3s/containerd/containerd.sock
export KUBEMANAGER_POD=$(/var/lib/rancher/rke2/bin/crictl ps --label io.kubernetes.container.name=kube-controller-manager --quiet)
/var/lib/rancher/rke2/bin/crictl stop ${KUBEMANAGER_POD} && \
/var/lib/rancher/rke2/bin/crictl rm ${KUBEMANAGER_POD}在 RKE2/K3s 1.31 和 1.32 版本中,由于存在与
overlayfs相关的某些条件限制,用于存储 CNI 配置的/etc/cni目录可能无法向containerd触发文件写入通知(参见 RKE2 问题 #8356)。这会导致 RKE2/K3s 部署停滞在等待 CNI 启动的状态,且 RKE2/K3s 节点会保持NotReady状态。在节点级别,通过kubectl describe node <affected_node>可观察到该问题:
Conditions:
Type Status LastHeartbeatTime LastTransitionTime Reason Message
---- ------ ----------------- ------------------ ------ -------
Ready False Thu, 05 Jun 2025 17:41:28 +0000 Thu, 05 Jun 2025 14:38:16 +0000 KubeletNotReady container runtime network not ready: NetworkReady=false reason:NetworkPluginNotReady message:Network plugin returns error: cni plugin not initialized临时解决方法是在 RKE2 启动前将 tmpfs 卷挂载到 /etc/cni 目录。这会避免使用
overlayfs(overlayfs 会导致 containerd 漏收通知),且每次节点重启及 Pod
初始化容器重新运行时,配置都会被重写。如果使用 EIB,可在 custom/scripts 目录中添加
04-tmpfs-cni.sh 脚本(如此处[https://github.com/suse-edge/edge-image-builder/blob/release-1.2/docs/building-images.md#custom]所述),脚本内容如下:
#!/bin/bash
mkdir -p /etc/cni
mount -t tmpfs -o mode=0700,size=5M tmpfs /etc/cni
echo "tmpfs /etc/cni tmpfs defaults,size=5M,mode=0700 0 0" >> /etc/fstab45.4.4 组件版本 #
下表描述了构成 3.1.1 版本的各个组件,包括版本、Helm chart 版本(如果适用),以及可从中提取已发布的二进制格式制品的位置。有关用法和部署示例,请参见相关文档。请注意,以粗体突出显示的内容为与上一 z-stream 版本的差异。
名称 | 版本 | Helm Chart 版本 | 制品位置(URL/映像) |
SLE Micro | 6.0(最新) | 不适用 | SLE Micro
下载页面 |
SUSE Manager | 5.0.0 | 不适用 | |
K3s | 1.30.5 | 不适用 | |
RKE2 | 1.30.5 | 不适用 | |
Rancher Prime | 2.9.3 | 2.9.3 | |
Longhorn | 1.7.1 | 104.2.0+up1.7.1 | |
NM Configurator | 0.3.1 | 不适用 | |
NeuVector | 5.4.0 | 104.0.2+up2.8.0 | registry.suse.com/rancher/mirrored-neuvector-controller:5.4.0 |
Rancher Turtles (CAPI) | 0.11.0 | 0.3.3+up0.11.0 | registry.suse.com/edge/3.1/rancher-turtles-chart:0.3.3 |
Metal3 | 0.8.3 | 0.8.3 | registry.suse.com/edge/3.1/metal3-chart:0.8.3 |
MetalLB | 0.14.9 | 0.14.9 | registry.suse.com/edge/3.1/metallb-chart:0.14.9 |
Elemental | 1.6.4 | 104.2.0+up1.6.4 | registry.suse.com/rancher/elemental-operator-chart:1.6.4 |
Elemental 仪表板扩展 | 2.0.0 | 2.0.0 | |
Edge Image Builder | 1.1 | 不适用 | registry.suse.com/edge/3.1/edge-image-builder:1.1.0 |
KubeVirt | 1.3.1 | 0.4.0 | registry.suse.com/edge/3.1/kubevirt-chart:0.4.0 |
KubeVirt 仪表板扩展 | 1.1.0 | 1.1.0 | registry.suse.com/edge/3.1/kubevirt-dashboard-extension-chart:1.1.0 |
Containerized Data Importer | 1.60.1 | 0.4.0 | registry.suse.com/edge/3.1/cdi-chart:0.4.0 |
Endpoint Copier Operator | 0.2.0 | 0.2.1 | registry.suse.com/edge/3.1/endpoint-copier-operator:v0.2.1 |
Akri(技术预览) | 0.12.20 | 0.12.20 | registry.suse.com/edge/3.1/akri-chart:0.12.20 |
SR-IOV Network Operator | 1.3.0 | 1.3.0 | registry.suse.com/edge/3.1/sriov-network-operator-chart:1.3.0 |
系统升级控制器 | 0.13.4 | 104.0.0+up0.7.0 | 系统升级控制器
chart |
升级控制器 | 0.1.0 | 0.1.0 | registry.suse.com/edge/3.1/upgrade-controller-chart:0.1.0 |
45.5 版本 3.1.0 #
发布日期:2024 年 10 月 11 日
摘要:SUSE Edge 3.1.0 是 SUSE Edge 3.1 系列版本中的第一个版本。
45.5.1 新功能 #
更新到 SUSE Linux Micro 6.0、Kubernetes 1.30 和 Rancher Prime 2.9
更新了群集 API 和 Metal3/Ironic 版本
管理群集 CAPI 组件现在通过 Rancher Turtles 进行管理
管理群集升级现在通过升级控制器(第 20 章 “升级控制器”)进行管理
堆栈验证结果现会发布在 ci.edge.suse.com 上
nm-configurator 现在使用 nmstate 2.2.36(从 2.2.26 升级)
Edge Image Builder 增强功能:
添加了对自定义 SL Micro 6.0 基础映像的支持
添加了在 aarch64 主机上构建 aarch64 映像的功能(技术预览)
添加了将文件自动复制到构建的映像文件系统的功能
添加了启用 FIPS 模式的功能
为容器映像添加了缓存
现在,在第一次启动时,残留的 combustion 制品会被去除
现在,操作系统文件和用户提供的证书在复制到最终映像时会保留原权限
关联升级
“电告总部”部署现在使用 Elemental 1.6 版(从 1.4 版升级)
嵌入式注册表现在使用 Hauler 1.0.7 版(从 1.0.1 版升级)
网络自定义现在使用 nm-configurator 0.3.1 版(从 0.3.0 版升级)
映像定义更改
映像定义的当前版本已递增到 1.1,以包括以下更改
引入了一个专用的 FIPS 模式选项 (enableFIPS),该选项将在节点上启用 FIPS 模式
使用 1.0 版本架构的现有定义将继续适用于 EIB
映像配置目录更改
可以包含一个名为 os-files 的可选目录,以便在运行时将文件复制到生成映像的文件系统中
custom/files 目录现在可以包含子目录,这些子目录在复制到映像时将被保留
Elemental 配置现在需要注册代码,以便安装来自官方来源的必要 RPM
45.5.2 Bug 和安全修复 #
RKE2 CAPI 提供程序现在可以使用 SLE Micro 上启用的 cisProfile:RKE2 提供程序问题 402
RKE2 CAPI 提供程序 NTP 配置现在适用于 SLE Micro:RKE2 提供程序问题 436
RKE2 CAPI 提供程序解决了与滚动升级相关的节点清空问题:RKE2 提供程序问题 431
Edge Image Builder 修复
某些 Helm chart 在没有指定 API 版本的情况下进行模板化时失败:EIB 问题 481
无法安装大型 Helm 清单:EIB 问题 491
45.5.3 已知问题 #
已发现 Kubernetes 作业控制器存在一个 bug,在特定状况下可能导致 RKE2/K3s 节点处于
NotReady状态(参见 RKE2 问题 #8357)。错误消息可能如下所示:
E0605 23:11:18.489721 1 job_controller.go:631] "Unhandled Error" err="syncing job: tracking status: adding uncounted pods to status: Operation cannot be fulfilled on jobs.batch \"helm-install-rke2-ingress-nginx\": StorageError: invalid object, Code: 4, Key: /registry/jobs/kube-system/helm-install-rke2-ingress-nginx, ResourceVersion: 0, AdditionalErrorMsg: Precondition failed: UID in precondition: 0aa6a781-7757-4c61-881a-cb1a4e47802c, UID in object meta: 6a320146-16b8-4f83-88c5-fc8b5a59a581" logger="UnhandledError"临时解决方法是使用 crictl 重启
kube-controller-manager,命令如下:
export CONTAINER_RUNTIME_ENDPOINT=unix:///run/k3s/containerd/containerd.sock
export KUBEMANAGER_POD=$(/var/lib/rancher/rke2/bin/crictl ps --label io.kubernetes.container.name=kube-controller-manager --quiet)
/var/lib/rancher/rke2/bin/crictl stop ${KUBEMANAGER_POD} && \
/var/lib/rancher/rke2/bin/crictl rm ${KUBEMANAGER_POD}在 RKE2/K3s 1.31 和 1.32 版本中,由于存在与
overlayfs相关的某些条件限制,用于存储 CNI 配置的/etc/cni目录可能无法向containerd触发文件写入通知(参见 RKE2 问题 #8356)。这会导致 RKE2/K3s 部署停滞在等待 CNI 启动的状态,且 RKE2/K3s 节点会保持NotReady状态。在节点级别,通过kubectl describe node <affected_node>可观察到该问题:
Conditions:
Type Status LastHeartbeatTime LastTransitionTime Reason Message
---- ------ ----------------- ------------------ ------ -------
Ready False Thu, 05 Jun 2025 17:41:28 +0000 Thu, 05 Jun 2025 14:38:16 +0000 KubeletNotReady container runtime network not ready: NetworkReady=false reason:NetworkPluginNotReady message:Network plugin returns error: cni plugin not initialized临时解决方法是在 RKE2 启动前将 tmpfs 卷挂载到 /etc/cni 目录。这会避免使用
overlayfs(overlayfs 会导致 containerd 漏收通知),且每次节点重启及 Pod
初始化容器重新运行时,配置都会被重写。如果使用 EIB,可在 custom/scripts 目录中添加
04-tmpfs-cni.sh 脚本(如此处[https://github.com/suse-edge/edge-image-builder/blob/release-1.2/docs/building-images.md#custom]所述),脚本内容如下:
#!/bin/bash
mkdir -p /etc/cni
mount -t tmpfs -o mode=0700,size=5M tmpfs /etc/cni
echo "tmpfs /etc/cni tmpfs defaults,size=5M,mode=0700 0 0" >> /etc/fstab45.5.4 组件版本 #
下表描述了构成 3.1 版本的各个组件,包括版本、Helm chart 版本(如果适用),以及可从中提取已发布的二进制格式制品的位置。有关用法和部署示例,请参见相关文档。
名称 | 版本 | Helm Chart 版本 | 制品位置(URL/映像) |
SLE Micro | 6.0(最新) | 不适用 | SLE Micro
下载页面 |
SUSE Manager | 5.0.0 | 不适用 | |
K3s | 1.30.3 | 不适用 | |
RKE2 | 1.30.3 | 不适用 | |
Rancher Prime | 2.9.1 | 2.9.1 | |
Longhorn | 1.7.1 | 104.2.0+up1.7.1 | |
NM Configurator | 0.3.1 | 不适用 | |
NeuVector | 5.3.4 | 104.0.1+up2.7.9 | registry.suse.com/rancher/mirrored-neuvector-controller:5.3.4 |
Rancher Turtles (CAPI) | 0.11 | 0.3.2 | registry.suse.com/edge/3.1/rancher-turtles-chart:0.3.2 |
Metal3 | 0.8.1 | 0.8.1 | registry.suse.com/edge/3.1/metal3-chart:0.8.1 |
MetalLB | 0.14.9 | 0.14.9 | registry.suse.com/edge/3.1/metallb-chart:0.14.9 |
Elemental | 1.6.4 | 104.2.0+up1.6.4 | registry.suse.com/rancher/elemental-operator-chart:1.6.4 |
Elemental 仪表板扩展 | 2.0.0 | 2.0.0 | |
Edge Image Builder | 1.1 | 不适用 | registry.suse.com/edge/3.1/edge-image-builder:1.1.0 |
KubeVirt | 1.3.1 | 0.4.0 | registry.suse.com/edge/3.1/kubevirt-chart:0.4.0 |
KubeVirt 仪表板扩展 | 1.1.0 | 1.1.0 | registry.suse.com/edge/3.1/kubevirt-dashboard-extension-chart:1.1.0 |
Containerized Data Importer | 1.60.1 | 0.4.0 | registry.suse.com/edge/3.1/cdi-chart:0.4.0 |
Endpoint Copier Operator | 0.2.0 | 0.2.1 | registry.suse.com/edge/3.1/endpoint-copier-operator:v0.2.1 |
Akri(技术预览) | 0.12.20 | 0.12.20 | registry.suse.com/edge/3.1/akri-chart:0.12.20 |
SR-IOV Network Operator | 1.3.0 | 1.3.0 | registry.suse.com/edge/3.1/sriov-network-operator-chart:1.3.0 |
系统升级控制器 | 0.13.4 | 104.0.0+up0.7.0 | 系统升级控制器
chart |
升级控制器 | 0.1.0 | 0.1.0 | registry.suse.com/edge/3.1/upgrade-controller-chart:0.1.0 |
45.6 组件校验 #
可以使用软件材料清单 (SBOM) 数据来校验上述组件 - 例如,如下所述使用 cosign:
从 SUSE 签名密钥来源下载 SUSE Edge 容器公共密钥:
> cat key.pem
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----验证容器映像哈希,例如,使用 crane 进行验证:
> crane digest registry.suse.com/edge/3.1/baremetal-operator:0.6.1
sha256:cacd1496f59c47475f3cfc9774e647ef08ca0aa1c1e4a48e067901cf7635af8a使用 cosign 进行校验:
> cosign verify-attestation --type spdxjson --key key.pem registry.suse.com/edge/3.1/baremetal-operator@sha256:cacd1496f59c47475f3cfc9774e647ef08ca0aa1c1e4a48e067901cf7635af8a > /dev/null
#
Verification for registry.suse.com/edge/3.1/baremetal-operator@sha256:cacd1496f59c47475f3cfc9774e647ef08ca0aa1c1e4a48e067901cf7635af8a --
The following checks were performed on each of these signatures:
- The cosign claims were validated
- The claims were present in the transparency log
- The signatures were integrated into the transparency log when the certificate was valid
- The signatures were verified against the specified public key按照上游文档中所述提取 SBOM 数据:
> cosign verify-attestation --type spdxjson --key key.pem registry.suse.com/edge/3.1/baremetal-operator@sha256:cacd1496f59c47475f3cfc9774e647ef08ca0aa1c1e4a48e067901cf7635af8a | jq '.payload | @base64d | fromjson | .predicate'45.7 升级步骤 #
有关如何升级到新版本的详细信息,请参见第 V 部分 “Day 2 操作”。
以下是从 Edge 3.0 升级时需要注意的一些技术注意事项:
45.7.1 在 SUSE Linux Micro 6.0 上通过 SSH 以 root 身份登录 #
在 SUSE Linux Micro 5.5 中,可以使用基于密码的身份验证通过 SSH 以 root 身份登录,但在 SUSE Linux Micro 6.0 中,默认只允许使用基于密钥的身份验证。
从 5.x 升级到 6.0 的系统会继承原行为方式。新安装的系统将强制执行新的行为方式。
建议创建非 root 用户或使用基于密钥的身份验证,但必要时可安装
openssh-server-config-rootlogin 软件包以恢复原行为方式,并允许 root
用户基于密码登录。
45.8 已知限制 #
除非另有说明,否则下述限制适用于 3.1.0 版本和所有后续 z-stream 版本。
Akri 是作为技术预览产品发布的,不涵盖在标准支持范围内。
aarch64 上的 Edge Image Builder 是作为技术预览产品发布的,不涵盖在标准支持范围内。
45.9 产品支持生命周期 #
SUSE Edge 享有 SUSE 有口皆碑的支持。SUSE 是广受认可的技术领导者,其在提供企业级支持服务方面拥有经受考验的历史。有关详细信息,请参见 https://www.suse.com/lifecycle 和支持策略页面 (https://www.suse.com/support/policy.html)。如果您在提交支持案例、SUSE 如何划分严重性级别或支持范围方面有任何疑问,请参见技术支持手册 (https://www.suse.com/support/handbook/)。
SUSE Edge“3.1”提供 24 个月的生产支持,最初 6 个月提供“全面支持”,随后 18 个月提供“维护支持”。在“全面支持”涵盖期间,SUSE 可能会引入新功能(但不会破坏现有功能)、引入 bug 修复及提供安全补丁。在“维护支持”涵盖期间,只会引入关键的安全修复和 bug 修复,其他修复由我们自行决定是否提供。
除非明确说明,否则列出的所有组件均被视为正式发布 (GA),并涵盖在 SUSE 的标准支持范围内。某些组件可能以“技术预览”版本的形式列出,SUSE 通过此类版本让客户提前体验尚未正式发布的特性和功能以进行评估,但这些组件没有标准支持政策的保障,不建议将其用于生产用例。SUSE 非常欢迎各位对技术预览组件的改进提供反馈和建议,但如果技术预览功能无法满足客户的需求或者达不到我们要求的成熟度,SUSE 保留在正式发布之前弃用该功能的权利。
请注意,SUSE 必须偶尔弃用功能或更改 API 规范。弃用功能或更改 API 的原因包括相应功能已更新或由新的实现取代、有新的功能集、上游技术不再可用,或者上游社区引入了不兼容的更改。在给定的次要版本 (x.z) 中,这种情况预期永远不会发生,因此所有 z-stream 版本都将保持 API 兼容性和原有功能。SUSE 将努力在发行说明中提供弃用警告并发出充足的通告,同时提供解决方法、建议和缓解措施,以最大程度地减少服务中断。
SUSE Edge 团队也欢迎社区提出反馈,相关问题可在 https://www.github.com/suse-edge 中的相应代码储存库内提出。
45.10 获取源代码 #
本 SUSE 产品包含根据 GNU 通用公共许可证 (GPL) 和其他各种开源许可证授权给 SUSE 的材料。GPL 要求 SUSE 提供与 GPL 授权材料对应的源代码,而 SUSE 必须遵守其他所有开源许可要求。因此,SUSE 将提供所有源代码,一般情况下,这些源代码可以在相关组件的 SUSE Edge GitHub 储存库 (https://www.github.com/suse-edge) 和 SUSE Rancher GitHub 储存库 (https://www.github.com/rancher) 中找到,具体对于 SLE Micro 而言,这些源代码可以在 https://www.suse.com/download/sle-micro 上的“Medium 2”中下载。
45.11 法律声明 #
SUSE 不对本文档的内容或其使用作出任何陈述或保证,并明确否认对适销性或任何特定用途的适用性作出任何明示或暗示保证。此外,SUSE 保留随时修订本出版物和更改其内容的权利,且无义务将此类修订或更改通知任何个人或实体。
此外,SUSE 不对任何软件作出任何陈述或保证,并明确否认对适销性或任何特定用途的适用性作出任何明示或暗示保证。此外,SUSE 保留随时更改 SUSE 软件任何或所有部分的权利,且无义务将此类更改通知任何个人或实体。
根据本协议提供的任何产品或技术信息可能受到美国出口管制和其他国家/地区贸易法的约束。您同意遵守所有出口管制法规,并在出口、再出口或进口可交付产品之前取得所有必要的许可证或分类证书。您同意不向当前美国出口排除清单上的实体,或美国出口法中规定的任何禁运国家/地区或支持恐怖主义的国家/地区出口或再出口。您同意不将可交付产品用于受禁核武器、导弹或生化武器的最终用途。有关出口 SUSE 软件的详细信息,请访问 https://www.suse.com/company/legal/。如果您未能取得任何必要的出口许可,SUSE 对此不承担任何责任。
版权所有 © 2024 SUSE LLC。
本发行说明文档根据 Creative Commons Attribution-NoDerivatives 4.0 国际许可证 (CC-BY-ND-4.0) 授权。您应已随本文档收到了该许可证的副本。如果没有,请参见 https://creativecommons.org/licenses/by-nd/4.0/。
SUSE 拥有与本文档所述产品中体现的技术相关的知识产权。具体而言,这些知识产权可能包括但不限于 https://www.suse.com/company/legal/ 中列出的一项或多项美国专利,以及美国和其他国家/地区的一项或多项其他专利或正在申请的专利。
有关 SUSE 商标,请参见 SUSE 商标和服务标记列表 (https://www.suse.com/company/legal/)。所有第三方商标均是其各自所有者的财产。有关 SUSE 品牌信息和使用要求,请参见 https://brand.suse.com/ 上发布的准则。