52 发行说明 #
52.1 摘要 #
SUSE Edge 3.3 是紧密集成且经过全面验证的端到端解决方案,用于解决在边缘处部署基础架构和云原生应用程序时存在的独特挑战。其核心作用是提供一个有主见但高度灵活、高度可缩放且安全的平台,涵盖初始部署映像的构建、节点置备和初始配置、应用程序部署、可观测性和生命周期管理。
该解决方案的设计考虑到了客户的需求和期望千差万别,因此不存在“以一应百”的边缘平台。边缘部署促使我们解决并不断设想出一些极具挑战性的问题,包括大规模可伸缩性、网络受限情况下的可用性、物理空间限制、新的安全威胁和攻击途径、硬件体系结构和系统资源的差异、部署旧式基础架构和应用程序并与之连接的要求,以及使用寿命较长的客户解决方案。
SUSE Edge 完全基于一流的开源软件构建而成,这既符合我们 30 年来交付安全、稳定且经过认证的 SUSE Linux 平台的历史,也延续了我们通过 Rancher 产品组合提供高可可缩放且功能丰富的 Kubernetes 管理方案的经验。SUSE Edge 依托这些既有能力,提供能够满足众多市场领域需求的功能,包括零售、医疗、交通、物流、电信、智能制造业以及工业物联网等。
SUSE Edge for Telco(以前称为“自适应电信基础架构平台”(ATIP))是 SUSE Edge 的衍生产品(或下游产品),它经过进一步优化并包含更多组件,使平台能够解决电信使用场景的要求。除非明确说明,否则所有发行说明都适用于 SUSE Edge 3.3 和 SUSE Edge for Telco 3.3。
52.2 简介 #
除非明确指定和说明,否则下面的发行说明在所有体系结构中都是相同的,并且最新版本以及所有其他 SUSE 产品的发行说明始终在 https://www.suse.com/releasenotes 上在线提供。
说明项只会列出一次,但是,非常重要并且属于多个章节的说明项可能会在多处提到。发行说明通常只会列出两个后续版本之间发生的更改。本发行说明可能重复了旧产品版本的发行说明中的某些重要说明项。为了方便识别这些说明项,发行说明中会通过一条备注来指出这一点。
但是,重复的说明项只是出于便利而提供。因此,如果您跳过了一个或多个版本,另请查看所跳过版本的发行说明。如果您只阅读最新版本的发行说明,或许会漏掉可能会对系统行为产生影响的重要更改。SUSE Edge 版本定义为 x.y.z,其中“x”表示主要版本,“y”表示次要版本,“z”表示补丁版本(也称为“z-stream”)。SUSE Edge 产品生命周期基于某个次要版本(例如“3.3”)定义,但在其整个生命周期中会提供后续补丁更新,例如“3.3.1”。
各个 SUSE Edge z-stream 版本紧密集成,并已作为版本受控的堆栈进行全面测试。将任何一个组件升级到其他版本(而不是上面列出的版本)都可能会导致系统停机。虽然可以在未经测试的配置中运行 Edge 群集,但我们不建议这样做,而且这样可能需要花费更长的时间来通过支持渠道获得问题的解决方法。
52.3 版本 3.3.1 #
发布日期:2025 年 6 月 13 日
摘要:SUSE Edge 3.3.1 是 SUSE Edge 3.3 系列版本中的第一个 z-stream 版本。
52.3.1 新功能 #
52.3.2 Bug 和安全修复 #
在某些情况下,如果使用的管理群集是从 Edge 3.2 升级到 3.3.0 的,那么通过 CAPI 进行的下游滚动升级可能会导致计算机处于“删除中”状态。此问题已通过 RKE2 CAPI 提供程序更新得到解决(上游 RKE2 提供程序问题 661)
在通过 nm-configurator 配置网络时,3.3.0 版本中某些通过 MAC 识别接口的配置无法生效。此问题已通过以下方式解决:将 NMC 更新至 0.3.3 版本并相应更新 EIB 和 Metal3 IPA 下载器容器映像(上游 NM Configurator 问题)
对于 3.3.0 版本中长时间运行的 Metal3 管理群集,证书过期可能导致 baremetal-operator 与 ironic 的连接失败,此时需要手动重启 Pod 来作为临时解决方法。此问题已通过更新 Metal3 chart 解决(SUSE Edge chart 问题)
以前,Rancher UI 无法在应用程序目录中列出 OCI 注册表中的 SUSE Edge chart。此问题已通过将 Rancher 更新至 2.11.2 版本解决(Rancher 问题)
52.3.3 已知问题 #
如果要部署新群集,请先按照第 28 章 “使用 Kiwi 构建更新的 SUSE Linux Micro 映像”所述构建全新映像。现在,无论是要创建 AMD64/Intel 64 还是 AArch64 体系结构的群集(包括管理群集和下游群集),都必须先执行此步骤。
在 SUSE Linux Micro 6.1 中使用
toolbox
时,默认容器映像不包含先前 5.5 版本中的部分工具。临时解决方法是将 toolbox 配置为使用先前的suse/sle-micro/5.5/toolbox
容器映像,具体配置选项可参考toolbox --help
。在某些情况下,通过 CAPI 进行滚动升级可能会导致计算机处于“删除中”状态,此问题将在未来的更新中解决(上游 RKE2 提供程序问题 655)
由于提供了与 3.3.0 中所述 CVE-2025-1974 相关的修复,SUSE Linux Micro 6.1 必须进行更新,以包含
>=6.4.0-26-default
或>=6.4.0-30-rt
(实时内核)版本的内核。如果未进行该更新,ingress-nginx Pod 将持续处于CrashLoopBackOff
状态。要进行内核更新,可在主机上运行transactional-update
以更新所有软件包,或运行transactional-update pkg update kernel-default
(或 kernel-rt)仅更新内核,随后重引导主机。如果您是在部署新群集,请按照第 28 章 “使用 Kiwi 构建更新的 SUSE Linux Micro 映像”中的说明构建包含最新内核的全新映像。已发现 Kubernetes 作业控制器存在一个 bug,在特定状况下可能导致 RKE2/K3s 节点处于
NotReady
状态(参见 RKE2 问题 #8357)。错误消息可能如下所示:
E0605 23:11:18.489721 »···1 job_controller.go:631] "Unhandled Error" err="syncing job: tracking status: adding uncounted pods to status: Operation cannot be fulfilled on jobs.batch \"helm-install-rke2-ingress-nginx\": StorageError: invalid object, Code: 4, Key: /registry/jobs/kube-system/helm-install-rke2-ingress-nginx, ResourceVersion: 0, AdditionalErrorMsg: Precondition failed: UID in precondition: 0aa6a781-7757-4c61-881a-cb1a4e47802c, UID in object meta: 6a320146-16b8-4f83-88c5-fc8b5a59a581" logger="UnhandledError"
临时解决方法是使用 crictl
重启
kube-controller-manager
,命令如下:
export CONTAINER_RUNTIME_ENDPOINT=unix:///run/k3s/containerd/containerd.sock
export KUBEMANAGER_POD=$(/var/lib/rancher/rke2/bin/crictl ps --label io.kubernetes.container.name=kube-controller-manager --quiet)
/var/lib/rancher/rke2/bin/crictl stop ${KUBEMANAGER_POD} && \
/var/lib/rancher/rke2/bin/crictl rm ${KUBEMANAGER_POD}
在 RKE2/K3s 1.31 和 1.32 版本中,由于存在与
overlayfs
相关的某些条件限制,用于存储 CNI 配置的/etc/cni
目录可能无法向containerd
触发文件写入通知(参见 RKE2 问题 #8356)。这会导致 RKE2/K3s 部署停滞在等待 CNI 启动的状态,且 RKE2/K3s 节点会保持NotReady
状态。在节点级别,通过kubectl describe node <affected_node>
可观察到该问题:
<200b><200b>Conditions:
Type »Status LastHeartbeatTime »·LastTransitionTime »·Reason »··Message
---- »------ ----------------- »·------------------ »·------ »··-------
Ready »False Thu, 05 Jun 2025 17:41:28 +0000 Thu, 05 Jun 2025 14:38:16 +0000 KubeletNotReady »··container runtime network not ready: NetworkReady=false reason:NetworkPluginNotReady message:Network plugin returns error: cni plugin not initialized
临时解决方法是在 RKE2 启动前将 tmpfs 卷挂载到 /etc/cni
目录。这会避免使用
overlayfs(overlayfs 会导致 containerd 漏收通知),且每次节点重启及 Pod
初始化容器重新运行时,配置都会被重写。如果使用 EIB,可在 custom/scripts
目录中添加
04-tmpfs-cni.sh
脚本(如此处[https://github.com/suse-edge/edge-image-builder/blob/release-1.2/docs/building-images.md#custom]所述),脚本内容如下:
#!/bin/bash
mkdir -p /etc/cni
mount -t tmpfs -o mode=0700,size=5M tmpfs /etc/cni
echo "tmpfs /etc/cni tmpfs defaults,size=5M,mode=0700 0 0" >> /etc/fstab
52.3.4 组件版本 #
下表描述了构成 3.3.1 版本的各个组件,包括版本、Helm chart 版本(如果适用),以及可从中提取已发布的二进制格式制品的位置。有关用法和部署示例,请参见相关文档。
名称 | 版本 | Helm Chart 版本 | 制品位置(URL/映像) |
SUSE Linux Micro | 6.1(最新) | 不适用 | SUSE Linux Micro
下载页面 |
SUSE Multi-Linux Manager | 5.0.3 | 不适用 | |
K3s | 1.32.4 | 不适用 | |
RKE2 | 1.32.4 | 不适用 | |
SUSE Rancher Prime | 2.11.2 | 2.11.2 | |
SUSE Storage | 1.8.1 | 106.2.0+up1.8.1 | Rancher chart Helm
储存库 |
SUSE Security | 5.4.4 | 106.0.1+up2.8.6 | Rancher chart Helm
储存库 |
Rancher Turtles (CAPI) | 0.20.0 | 303.0.4+up0.20.0 | registry.suse.com/edge/charts/rancher-turtles:303.0.3_up0.20.0 |
Rancher Turtles 隔离资源 | 0.20.0 | 303.0.4+up0.20.0 | registry.suse.com/edge/charts/rancher-turtles-airgap-resources:303.0.3_up0.20.0 |
Metal3 | 0.11.5 | 303.0.7+up0.11.5 | registry.suse.com/edge/charts/metal3:303.0.7_up0.11.5 |
MetalLB | 0.14.9 | 303.0.0+up0.14.9 | registry.suse.com/edge/charts/metallb:303.0.0_up0.14.9 |
Elemental | 1.6.8 | 1.6.8 | registry.suse.com/rancher/elemental-operator-chart:1.6.8 |
Elemental 仪表板扩展 | 3.0.1 | 3.0.1 | |
Edge Image Builder | 1.2.1 | 不适用 | registry.suse.com/edge/3.3/edge-image-builder:1.2.1 |
NM Configurator | 0.3.3 | 不适用 | |
KubeVirt | 1.4.0 | 303.0.0+up0.5.0 | registry.suse.com/edge/charts/kubevirt:303.0.0_up0.5.0 |
KubeVirt 仪表板扩展 | 1.3.2 | 303.0.2+up1.3.2 | registry.suse.com/edge/charts/kubevirt-dashboard-extension:303.0.2_up1.3.2 |
Containerized Data Importer | 1.61.0 | 303.0.0+up0.5.0 | registry.suse.com/edge/charts/cdi:303.0.0_up0.5.0 |
Endpoint Copier Operator | 0.2.0 | 303.0.0+up0.2.1 | registry.suse.com/edge/charts/endpoint-copier-operator:303.0.0_up0.2.1 |
Akri(技术预览) | 0.12.20 | 303.0.0+up0.12.20 | registry.suse.com/edge/charts/akri:303.0.0_up0.12.20 |
SR-IOV 网络操作器 | 1.5.0 | 303.0.2+up1.5.0 | registry.suse.com/edge/charts/sriov-network-operator:303.0.2_up1.5.0 |
系统升级控制器 | 0.15.2 | 106.0.0 | Rancher chart Helm
储存库 |
升级控制器 | 0.1.1 | 303.0.1+up0.1.1 | registry.suse.com/edge/charts/upgrade-controller:303.0.1_up0.1.1 |
Kiwi 构建器 | 10.2.12.0 | 不适用 | registry.suse.com/edge/3.3/kiwi-builder:10.2.12.0 |
52.4 版本 3.3.0 #
发布日期:2025 年 5 月 20 日
摘要:SUSE Edge 3.3.0 是 SUSE Edge 3.3 系列版本中的第一个版本。
52.4.1 新功能 #
已更新到 Kubernetes 1.32 和 Rancher Prime 2.11
已将操作系统更新到 SUSE Linux Micro 6.1
更新了 Rancher Turtles、Cluster API 和 Metal3/Ironic 版本
现在提供了一个容器映像,用于支持构建更新后的 SUSE Linux Micro 映像。有关详细信息,请参见第 28 章 “使用 Kiwi 构建更新的 SUSE Linux Micro 映像”。
现在可通过定向网络置备流程部署 AArch64 下游群集。有关详细信息,请参见第 42 章 “全自动定向网络置备”。
在技术预览版中,现在可通过定向网络置备流程部署双栈下游群集。
在技术预览版中,现在支持精确时间协议 (PTP) 配置。有关详细信息,请参见第 52.5 节 “技术预览”。
52.4.2 Bug 和安全修复 #
通过为 RKE2 中的 ingress-nginx 应用补丁以修复 CVE-2025-1974 漏洞。有关详细信息,请参见此处。
SUSE Storage (Longhorn) 1.8.1 包含多项 bug 修复,包括:
修复卷 FailedMount 问题,该问题可能会导致卷挂接失败(上游 Longhorn 问题)
修复引擎卡在停止状态的问题,该问题可能会阻止卷挂接(上游 Longhorn 问题)
Metal3 chart 更新包含多项 bug 修复,包括:
在包含 DHCP 服务器的网络中部署使用静态 IP 的群集时出现的 bug 已修复(上游问题)
MetalLB chart 包含一项修复,现可确保在启用 frr-k8s 的情况下使用下游映像
已将 Kiwi 构建器更新到 10.2.12,以适配 Kiwi 近期的安全变更 - 映像验证的校验和方法从 md5 变为 sha256。
已重新构建 Edge Image Builder 映像,以包含上述更新的 MetalLB 版本并适配 Kiwi 的变更。
52.4.3 已知问题 #
如果要部署新群集,请先按照第 28 章 “使用 Kiwi 构建更新的 SUSE Linux Micro 映像”所述构建全新映像。现在,无论是要创建 AMD64/Intel 64 还是 AArch64 体系结构的群集(包括管理群集和下游群集),都必须先执行此步骤。
在 SUSE Linux Micro 6.1 中使用
toolbox
时,默认容器映像不包含先前 5.5 版本中的部分工具。临时解决方法是将 toolbox 配置为使用先前的suse/sle-micro/5.5/toolbox
容器映像,具体配置选项可参考toolbox --help
。在某些情况下,通过 CAPI 进行滚动升级可能会导致计算机处于“删除中”状态,此问题将在未来的更新中解决(上游 RKE2 提供程序问题 655)
在某些情况下,如果使用的管理群集是从 Edge 3.2 升级的,那么通过 CAPI 进行的下游滚动升级可能会导致计算机处于“删除中”状态。此问题将通过未来的更新得到解决(上游 RKE2 提供程序问题 661)
使用 RKE2 1.32.3(此版本修复了 CVE-2025-1974 漏洞)时,由于需要应用 SELinux 内核补丁,SUSE Linux Micro 6.1 必须进行更新,以包含
>=6.4.0-26-default
或>=6.4.0-30-rt
(实时内核)版本的内核。如果未进行该更新,ingress-nginx Pod 将持续处于CrashLoopBackOff
状态。要进行内核更新,可在主机上运行transactional-update
以更新所有软件包,或运行transactional-update pkg update kernel-default
(或 kernel-rt)仅更新内核,随后重引导主机。如果您是在部署新群集,请按照第 28 章 “使用 Kiwi 构建更新的 SUSE Linux Micro 映像”中的说明构建包含最新内核的全新映像。当通过 nm-configurator 配置网络时,某些通过 MAC 地址识别接口的配置目前无法正常工作,此问题将在未来更新中解决(上游 NM Configurator 问题)
对于长时间运行的 Metal3 管理群集,证书过期可能导致 baremetal-operator 与 ironic 的连接失败,此时需要手动重启 Pod 来作为临时解决方法(SUSE Edge chart 问题)
已发现 Kubernetes 作业控制器存在一个 bug,在特定状况下可能导致 RKE2/K3s 节点处于
NotReady
状态(参见 RKE2 问题 #8357)。错误消息可能如下所示:
E0605 23:11:18.489721 1 job_controller.go:631] "Unhandled Error" err="syncing job: tracking status: adding uncounted pods to status: Operation cannot be fulfilled on jobs.batch \"helm-install-rke2-ingress-nginx\": StorageError: invalid object, Code: 4, Key: /registry/jobs/kube-system/helm-install-rke2-ingress-nginx, ResourceVersion: 0, AdditionalErrorMsg: Precondition failed: UID in precondition: 0aa6a781-7757-4c61-881a-cb1a4e47802c, UID in object meta: 6a320146-16b8-4f83-88c5-fc8b5a59a581" logger="UnhandledError"
临时解决方法是使用 crictl
重启
kube-controller-manager
,命令如下:
export CONTAINER_RUNTIME_ENDPOINT=unix:///run/k3s/containerd/containerd.sock
export KUBEMANAGER_POD=$(/var/lib/rancher/rke2/bin/crictl ps --label io.kubernetes.container.name=kube-controller-manager --quiet)
/var/lib/rancher/rke2/bin/crictl stop ${KUBEMANAGER_POD} && \
/var/lib/rancher/rke2/bin/crictl rm ${KUBEMANAGER_POD}
在 RKE2/K3s 1.31 和 1.32 版本中,由于存在与
overlayfs
相关的某些条件限制,用于存储 CNI 配置的/etc/cni
目录可能无法向containerd
触发文件写入通知(参见 RKE2 问题 #8356)。这会导致 RKE2/K3s 部署停滞在等待 CNI 启动的状态,且 RKE2/K3s 节点会保持NotReady
状态。在节点级别,通过kubectl describe node <affected_node>
可观察到该问题:
Conditions:
Type Status LastHeartbeatTime LastTransitionTime Reason Message
---- ------ ----------------- ------------------ ------ -------
Ready False Thu, 05 Jun 2025 17:41:28 +0000 Thu, 05 Jun 2025 14:38:16 +0000 KubeletNotReady container runtime network not ready: NetworkReady=false reason:NetworkPluginNotReady message:Network plugin returns error: cni plugin not initialized
临时解决方法是在 RKE2 启动前将 tmpfs 卷挂载到 /etc/cni
目录。这会避免使用
overlayfs(overlayfs 会导致 containerd 漏收通知),且每次节点重启及 Pod
初始化容器重新运行时,配置都会被重写。如果使用 EIB,可在 custom/scripts
目录中添加
04-tmpfs-cni.sh
脚本(如此处[https://github.com/suse-edge/edge-image-builder/blob/release-1.2/docs/building-images.md#custom]所述),脚本内容如下:
#!/bin/bash
mkdir -p /etc/cni
mount -t tmpfs -o mode=0700,size=5M tmpfs /etc/cni
echo "tmpfs /etc/cni tmpfs defaults,size=5M,mode=0700 0 0" >> /etc/fstab
52.4.4 组件版本 #
下表描述了构成 3.3.0 版本的各个组件,包括版本、Helm chart 版本(如果适用),以及可从中提取已发布的二进制格式制品的位置。有关用法和部署示例,请参见相关文档。
名称 | 版本 | Helm Chart 版本 | 制品位置(URL/映像) |
SUSE Linux Micro | 6.1(最新) | 不适用 | SUSE Linux Micro
下载页面 |
SUSE Multi-Linux Manager | 5.0.3 | 不适用 | |
K3s | 1.32.3 | 不适用 | |
RKE2 | 1.32.3 | 不适用 | |
SUSE Rancher Prime | 2.11.1 | 2.11.1 | |
SUSE Storage | 1.8.1 | 106.2.0+up1.8.1 | Rancher chart Helm
储存库 |
SUSE Security | 5.4.3 | 106.0.0+up2.8.5 | Rancher chart Helm
储存库 |
Rancher Turtles (CAPI) | 0.19.0 | 303.0.2+up0.19.0 | registry.suse.com/edge/charts/rancher-turtles:303.0.2_up0.19.0 |
Rancher Turtles 隔离资源 | 0.19.0 | 303.0.2+up0.19.0 | registry.suse.com/edge/charts/rancher-turtles-airgap-resources:303.0.2_up0.19.0 |
Metal3 | 0.11.3 | 303.0.5+up0.11.3 | registry.suse.com/edge/charts/metal3:303.0.5_up0.11.3 |
MetalLB | 0.14.9 | 303.0.0+up0.14.9 | registry.suse.com/edge/charts/metallb:303.0.0_up0.14.9 |
Elemental | 1.6.8 | 1.6.8 | registry.suse.com/rancher/elemental-operator-chart:1.6.8 |
Elemental 仪表板扩展 | 3.0.1 | 3.0.1 | |
Edge Image Builder | 1.2.0 | 不适用 | registry.suse.com/edge/3.3/edge-image-builder:1.2.0 |
NM Configurator | 0.3.2 | 不适用 | |
KubeVirt | 1.4.0 | 303.0.0+up0.5.0 | registry.suse.com/edge/charts/kubevirt:303.0.0_up0.5.0 |
KubeVirt 仪表板扩展 | 1.3.2 | 303.0.2+up1.3.2 | registry.suse.com/edge/charts/kubevirt-dashboard-extension:303.0.2_up1.3.2 |
Containerized Data Importer | 1.61.0 | 303.0.0+up0.5.0 | registry.suse.com/edge/charts/cdi:303.0.0_up0.5.0 |
Endpoint Copier Operator | 0.2.0 | 303.0.0+up0.2.1 | registry.suse.com/edge/charts/endpoint-copier-operator:303.0.0_up0.2.1 |
Akri(技术预览) | 0.12.20 | 303.0.0+up0.12.20 | registry.suse.com/edge/charts/akri:303.0.0_up0.12.20 |
SR-IOV 网络操作器 | 1.5.0 | 303.0.2+up1.5.0 | registry.suse.com/edge/charts/sriov-network-operator:303.0.2_up1.5.0 |
系统升级控制器 | 0.15.2 | 106.0.0 | Rancher chart Helm
储存库 |
升级控制器 | 0.1.1 | 303.0.0+up0.1.1 | registry.suse.com/edge/charts/upgrade-controller:303.0.0_up0.1.1 |
Kiwi 构建器 | 10.2.12.0 | 不适用 | registry.suse.com/edge/3.3/kiwi-builder:10.2.12.0 |
52.5 技术预览 #
除非另有说明,否则下述内容适用于 3.3.0 版本和所有后续 z-stream 版本。
Akri 为技术预览功能,不涵盖在标准支持范围内。
IPv6 及双栈下游部署为技术预览功能,不涵盖在标准支持范围内。
下游部署中的精确时间协议 (PTP) 为技术预览功能,不涵盖在标准支持范围内。
52.6 组件验证 #
可以使用软件材料清单 (SBOM) 数据来验证上述组件 - 例如,如下所述使用 cosign
:
从 SUSE 签名密钥来源下载 SUSE Edge 容器公共密钥:
> cat key.pem
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----
验证容器映像哈希,例如,使用 crane
进行验证:
> crane digest registry.suse.com/edge/3.3/baremetal-operator:0.9.1 --platform linux/amd64
sha256:02c5590cd51b1a1ea02f9908f2184ef4fbc856eb0197e804a7d57566d9278ddd
对于多体系结构映像,获取摘要时还需要指定平台,例如 --platform linux/amd64
或
--platform linux/arm64
。如果不这样做,后续步骤中会出现错误 (Error:
no matching attestations
)。
使用 cosign
进行验证:
> cosign verify-attestation --type spdxjson --key key.pem registry.suse.com/edge/3.3/baremetal-operator@sha256:02c5590cd51b1a1ea02f9908f2184ef4fbc856eb0197e804a7d57566d9278ddd > /dev/null
#
Verification for registry.suse.com/edge/3.3/baremetal-operator@sha256:02c5590cd51b1a1ea02f9908f2184ef4fbc856eb0197e804a7d57566d9278ddd --
The following checks were performed on each of these signatures:
- The cosign claims were validated
- The claims were present in the transparency log
- The signatures were integrated into the transparency log when the certificate was valid
- The signatures were verified against the specified public key
按照 SUSE SBOM 文档中所述提取 SBOM 数据:
> cosign verify-attestation --type spdxjson --key key.pem registry.suse.com/edge/3.2/baremetal-operator@sha256:d85c1bcd286dec81a3806a8fb8b66c0e0741797f23174f5f6f41281b1e27c52f | jq '.payload | @base64d | fromjson | .predicate'
52.7 升级步骤 #
有关如何升级到新版本的详细信息,请参见第 VI 部分 “Day 2 操作”。
52.8 产品支持生命周期 #
SUSE Edge 拥有 SUSE 屡获殊荣的支持服务作为后盾。SUSE 是公认的技术领导者,在提供企业级品质支持服务方面有着久经验证的历史。有关详细信息,请参见 https://www.suse.com/lifecycle 和支持策略页面 (https://www.suse.com/support/policy.html)。如果您在提交支持案例、SUSE 如何划分严重性级别或支持范围方面有任何疑问,请参见技术支持手册 (https://www.suse.com/support/handbook/)。
SUSE Edge“3.3”版本提供 18 个月的生产支持,其中前 6 个月提供“全面支持”,随后 12 个月提供“维护支持”。在这些支持阶段结束后,产品将进入“生命周期终止” (EOL) 状态,不再提供任何支持。有关各生命周期阶段的详细信息,请参见下表:
全面支持(6 个月) | 在全面支持期内,会发布紧急和选定的高优先级 bug 修复,其他所有补丁(非紧急修复、功能增强、新功能)将按常规发布计划发布。 |
维护支持(12 个月) | 在此期间,仅通过补丁发布关键修复。其他 bug 修复可能由 SUSE 酌情发布,但不做保证。 |
生命周期终止 (EOL) | 产品版本到达生命周期终止日期后,客户可根据产品许可协议继续使用该产品,但 SUSE 的支持计划不再适用于已进入生命周期终止状态的产品版本。 |
除非明确说明,否则列出的所有组件均被视为正式发布 (GA) 版本,并涵盖在 SUSE 的标准支持范围内。某些组件可能以“技术预览”版本的形式列出,SUSE 通过此类版本让客户提前体验尚未正式发布的特性和功能以进行评估,但这些组件没有标准支持政策的保障,不建议将其用于生产使用场景。SUSE 非常欢迎大家提供针对技术预览组件的改进意见和建议,但如果技术预览功能无法满足客户的需求或者达不到我们要求的成熟度,SUSE 保留在正式发布之前弃用该功能的权利。
请注意,SUSE 必须偶尔弃用功能或更改 API 规范。弃用功能或更改 API 的原因包括相应功能已更新或由新的实现取代、有新的功能集、上游技术不再可用,或者上游社区引入了不兼容的更改。在给定的次要版本 (x.z) 中,这种情况预期永远不会发生,因此所有 z-stream 版本都将保持 API 兼容性和原有功能。SUSE 将尽力在发行说明中提供弃用警告并发出充足的通告,同时提供解决方法、建议和缓解措施,以最大程度地减少服务中断。
SUSE Edge 团队也欢迎社区提出反馈,相关问题可在 https://www.github.com/suse-edge 中的相应代码储存库内提出。
52.9 获取源代码 #
本 SUSE 产品包含根据 GNU 通用公共许可证 (GPL) 和其他各种开源许可证授权给 SUSE 的组件。根据 GPL 要求,SUSE 必须提供与 GPL 授权组件对应的源代码,此外还须严格遵守其他所有开源许可要求。因此,SUSE 会公开所有源代码,这些源代码通常可在 SUSE Edge GitHub 储存库 (https://www.github.com/suse-edge)、用于依赖组件的 SUSE Rancher GitHub 储存库 (https://www.github.com/rancher) 中找到;具体到 SUSE Linux Micro,其源代码可在 https://www.suse.com/download/sle-micro 的“Medium 2”处下载。
52.10 法律声明 #
SUSE 不对本文档的内容或其使用作出任何陈述或保证,并明确否认对适销性或任何特定用途的适用性作出任何明示或暗示保证。此外,SUSE 保留随时修订本出版物和更改其内容的权利,且无义务将此类修订或更改通知任何个人或实体。
此外,SUSE 不对任何软件作出任何陈述或保证,并明确否认对适销性或任何特定用途的适用性作出任何明示或暗示保证。此外,SUSE 保留随时更改 SUSE 软件任何或所有部分的权利,且无义务将此类更改通知任何个人或实体。
根据本协议提供的任何产品或技术信息可能受到美国出口管制和其他国家/地区贸易法的约束。您同意遵守所有出口管制法规,并在出口、再出口或进口可交付产品之前取得所有必要的许可证或分类证书。您同意不向当前美国出口排除清单上的实体,或美国出口法中规定的任何禁运国家/地区或支持恐怖主义的国家/地区出口或再出口。您同意不将可交付产品用于受禁核武器、导弹或生化武器的最终用途。有关出口 SUSE 软件的详细信息,请访问 https://www.suse.com/company/legal/。如果您未能取得任何必要的出口许可,SUSE 对此不承担任何责任。
版权所有 © 2024 SUSE LLC。
本发行说明文档根据 Creative Commons Attribution-NoDerivatives 4.0 国际许可证 (CC-BY-ND-4.0) 授权。您应已随本文档收到了一份许可证。如果没有,请访问 https://creativecommons.org/licenses/by-nd/4.0/。
SUSE 拥有与本文档所述产品中体现的技术相关的知识产权。具体而言,这些知识产权可能包括但不限于 https://www.suse.com/company/legal/ 中列出的一项或多项美国专利,以及美国和其他国家/地区的一项或多项其他专利或正在申请的专利。
有关 SUSE 商标,请参见 SUSE 商标和服务标记列表 (https://www.suse.com/company/legal/)。所有第三方商标均是其各自所有者的财产。有关 SUSE 品牌信息和使用要求,请参见 https://brand.suse.com/ 上发布的准则。