53 发行说明 #
53.1 摘要 #
SUSE Edge 3.4 是一套紧密集成且经过全面验证的端到端解决方案,旨在应对边缘基础架构和云原生应用程序部署的独特挑战。其核心目标是提供一个既有明确设计导向、又具备高度灵活性与可扩缩性的安全平台,覆盖从初始部署映像构建、节点置备与接入,到应用程序部署、可观测性及生命周期管理的全流程。
该解决方案的设计考虑到了客户的需求和期望千差万别,因此不存在“以一应百”的边缘平台。边缘部署促使我们解决并不断设想出一些极具挑战性的问题,包括大规模可伸缩性、网络受限情况下的可用性、物理空间限制、新的安全威胁和攻击途径、硬件体系结构和系统资源的差异、部署旧式基础架构和应用程序并与之连接的要求,以及使用寿命较长的客户解决方案。
SUSE Edge 完全基于一流的开源软件构建而成,这既符合我们 30 年来交付安全、稳定且经过认证的 SUSE Linux 平台的历史,也延续了我们通过 Rancher 产品组合提供高可可缩放且功能丰富的 Kubernetes 管理方案的经验。SUSE Edge 依托这些既有能力,提供能够满足众多市场领域需求的功能,包括零售、医疗、交通、物流、电信、智能制造业以及工业物联网等。
有关 SUSE Edge 产品支持生命周期更新的详细信息,请参见 Product Support Lifecycle。
SUSE Telco Cloud(前身为 SUSE Edge for Telco)是 SUSE Edge 的衍生产品,它经过进一步优化并包含更多组件,使平台能够满足电信行业场景的需求。除非另有明确说明,所有发行说明均适用于 SUSE Edge 3.4 和 SUSE Telco Cloud 3.4。
53.2 简介 #
除非明确指定和说明,否则下面的发行说明在所有体系结构中都是相同的,并且最新版本以及所有其他 SUSE 产品的发行说明始终在 https://www.suse.com/releasenotes 上在线提供。
说明项只会列出一次,但是,非常重要并且属于多个章节的说明项可能会在多处提到。发行说明通常只会列出两个后续版本之间发生的更改。本发行说明可能重复了旧产品版本的发行说明中的某些重要说明项。为了方便识别这些说明项,发行说明中会通过一条备注来指出这一点。
但需注意,重复列出的内容仅出于方便查阅目的提供。因此,如果您跳过了一个或多个版本,还需查看被跳过版本的发行说明。如果您仅阅读当前版本的发行说明,可能会遗漏影响系统运行的重要变更。SUSE Edge 版本格式为 x.y.z,其中“x”表示主要版本,“y”表示次要版本,“z”表示补丁版本(也称为“z-stream”)。SUSE Edge 产品生命周期基于特定的次要版本(如“3.4”)定义,但在生命周期内会通过后续补丁更新(如“3.4.1”)持续优化。
各个 SUSE Edge z-stream 版本紧密集成,并已作为版本受控的堆栈进行全面测试。将任何一个组件升级到其他版本(而不是上面列出的版本)都可能会导致系统停机。虽然可以在未经测试的配置中运行 Edge 群集,但我们不建议这样做,而且这样可能需要花费更长的时间来通过支持渠道获得问题的解决方法。
53.3 3.4.0 版本 #
发布日期:2025 年 9 月 24 日
全面支持结束日期:2026 年 3 月 20 日
维护支持结束日期:2027 年 9 月 20 日
生命周期终止日期:2027 年 9 月 21 日
概述:SUSE Edge 3.4.0 是 SUSE Edge 3.4 系列版本中的第一个版本。
53.3.1 新功能 #
已更新到 Kubernetes 1.33 和 Rancher Prime 2.12
更新了 Rancher Turtles、Cluster API 和 Metal3/Ironic 版本
已更新到 SUSE Storage (Longhorn) 1.9.1,详见发行说明
现在可通过定向网络置备流程更灵活地部署 AArch64 下游群集,详情请参见第 43 章 “全自动定向网络置备”
现已全面支持双栈群集部署(单栈 IPv6 仍处于第 53.5 节 “技术预览”阶段)
MetalLB 的 BGP 模式现已作为技术预览功能提供,详情请参见第 53.5 节 “技术预览”和第 26 章 “K3s 上的 MetalLB(使用第 3 层模式)”
Edge Image Builder 已更新到 1.3.0,详见上游发行说明
53.3.2 Bug 和安全修复 #
Rancher Prime 2.12 包含多项 bug 修复,详见上游 Rancher 发行说明
Rancher Prime 2.12 修复了与 AppVersion 相关的问题,该问题曾影响扩展升级可用性判断,进而影响与 Edge chart 的兼容,详见上游问题
SUSE Storage (Longhorn) 1.9.1 包含多项 bug 修复,详见上游 Longhorn bug 修复
更新的 Metal3 chart 修复了检查期间可能为绑定接口收集错误 MAC 地址的问题,详见上游 IPA 问题
更新的 Metal3 chart 修复了 ConfigMap 更新时部署可能无法正确重启的问题,详见上游问题
Rancher Turtles 更新包含一项修复,解决了 RKE2 CAPI 提供程序未应用 MachineTemplate ownerReferences 的问题,详见上游问题
53.3.3 已知问题 #
如果要部署新群集,请先按照第 29 章 “使用 Kiwi 构建更新的 SUSE Linux Micro 映像”所述构建全新映像。现在,无论是要创建 AMD64/Intel 64 还是 AArch64 体系结构的群集(包括管理群集和下游群集),都必须先执行此步骤。
通过 Edge Image Builder 部署时,如果将
HelmChartConfigs清单放入kubernetes/manifests配置目录,可能会导致部署失败。建议改为通过 EIB os-files 接口将所有HelmChartConfigs放置在/var/lib/rancher/{rke2/k3s}/server/manifests/目录中,示例请参见第 41.3.1 节 “目录结构”。若不如此操作,可能导致节点首次启动时处于NotReady状态,详见 RKE2 问题 #8357在 RKE2/K3s 1.31、1.32 和 1.33 版本中,用于存储 CNI 配置的
/etc/cni目录在某些与overlayfs相关的状况下,可能无法触发containerd感知该目录下文件的写入操作(请参见 RKE2 问题 #8356)。这会导致 RKE2/K3s 部署停滞在等待 CNI 启动的阶段,且 RKE2/K3s 节点持续处于NotReady状态。通过在节点上执行kubectl describe node <affected_node>可查看此问题:
Conditions:
Type Status LastHeartbeatTime LastTransitionTime Reason Message
---- ------ ----------------- ------------------ ------ -------
Ready False Thu, 05 Jun 2025 17:41:28 +0000 Thu, 05 Jun 2025 14:38:16 +0000 KubeletNotReady container runtime network not ready: NetworkReady=false reason:NetworkPluginNotReady message:Network plugin returns error: cni plugin not initialized临时解决方法是在 RKE2 启动前将 tmpfs 卷挂载到 /etc/cni 目录。这会避免使用
overlayfs(overlayfs 会导致 containerd 漏收通知),且每次节点重启及 Pod
初始化容器重新运行时,配置都会被重写。如果使用 EIB,可在 custom/scripts 目录中添加
04-tmpfs-cni.sh 脚本(如此处[https://github.com/suse-edge/edge-image-builder/blob/release-1.2/docs/building-images.md#custom]所述),脚本内容如下:
#!/bin/bash
mkdir -p /etc/cni
mount -t tmpfs -o mode=0700,size=5M tmpfs /etc/cni
echo "tmpfs /etc/cni tmpfs defaults,size=5M,mode=0700 0 0" >> /etc/fstab使用 Elemental 接入远程主机时,
dbus.service与elemental-system-agent.service之间可能出现竞态条件,导致远程主机上的rancher-system-agent.service启动失败,并出现类似以下的错误。(详情请参见 Edge Image Builder 问题 #784)
Sep 19 19:38:07 elementalvm elemental-system-agent[3671]: time="2025-09-19T19:38:07Z" level=info msg="[6b20fe64c854da2639804884b34129bb8f718eb59578111da58d9de1509c24db_1:stderr]: Failed to restart rancher-system-agent.service: Message recipient disconnected from message bus without replying"临时解决方法是创建如下 systemd 覆盖文件
[Unit]
Wants=dbus.service network-online.target
After=dbus.service network-online.target time-sync.target
[Service]
ExecStartPre=/bin/bash -c 'echo "Waiting for dbus to become active..." | systemd-cat -p info -t elemental-system-agent; sleep 15; timeout 300 bash -c "while ! systemctl is-active --quiet dbus.service; do sleep 15; done"'并使用名为 30a-copy-elemental-system-agent-override.sh
的自定义脚本,在 Combustion 阶段 EIB 的 31-elemental-register.sh
脚本运行之前,将该覆盖文件放置到
/etc/systemd/system/elemental-system-agent.service.d 中。
#!/bin/bash
/bin/mkdir -p /etc/systemd/system/elemental-system-agent.service.d
/bin/cp -f elemental-system-agent-override.conf /etc/systemd/system/elemental-system-agent.service.d/override.conf53.3.4 组件版本 #
下表介绍了构成 3.4.0 版本的各个组件,包括组件版本、Helm chart 版本(如果适用),以及可从中拉取已发布二进制格式制品的来源。有关用法和部署示例,请参见相关文档。
名称 | 版本 | Helm Chart 版本 | 制品位置(URL/映像) |
SUSE Linux Micro | 6.1(最新) | 不适用 | SUSE Linux Micro
下载页面 |
SUSE Multi-Linux Manager | 5.0.5 | 不适用 | |
K3s | 1.33.3 | 不适用 | |
RKE2 | 1.33.3 | 不适用 | |
SUSE Rancher Prime | 2.12.1 | 2.12.1 | |
SUSE Storage (Longhorn) | 1.9.1 | 107.0.0+up1.9.1 | Rancher chart Helm
储存库 |
SUSE Security | 5.4.5 | 107.0.0+up2.8.7 | Rancher chart Helm
储存库 |
Rancher Turtles (CAPI) | 0.24.0 | 304.0.6+up0.24.0 | registry.suse.com/edge/charts/rancher-turtles:304.0.6_up0.24.0 |
Rancher Turtles 隔离资源 | 0.24.0 | 304.0.6+up0.24.0 | registry.suse.com/edge/charts/rancher-turtles-airgap-resources:304.0.6_up0.24.0 |
Metal3 | 0.11.5 | 304.0.16+up0.12.6 | registry.suse.com/edge/charts/metal3:304.0.16_up0.12.6 |
MetalLB | 0.14.9 | 304.0.0+up0.14.9 | registry.suse.com/edge/charts/metallb:304.0.0_up0.14.9 |
Elemental | 1.7.3 | 1.7.3 | registry.suse.com/rancher/elemental-operator-chart:1.7.3 |
Elemental 仪表板扩展 | 3.0.1 | 3.0.1 | |
Edge Image Builder | 1.3.0 | 不适用 | registry.suse.com/edge/3.4/edge-image-builder:1.3.0 |
NM Configurator | 0.3.3 | 不适用 | |
KubeVirt | 1.5.2 | 304.0.1+up0.6.0 | registry.suse.com/edge/charts/kubevirt:304.0.1_up0.6.0 |
KubeVirt 仪表板扩展 | 1.3.2 | 304.0.3+up1.3.2 | registry.suse.com/edge/charts/kubevirt-dashboard-extension:304.0.3_up1.3.2 |
Containerized Data Importer | 1.62.0 | 304.0.1+up0.6.0 | registry.suse.com/edge/charts/cdi:304.0.1_up0.6.0 |
Endpoint Copier Operator | 0.3.0 | 304.0.1+up0.3.0 | registry.suse.com/edge/charts/endpoint-copier-operator:304.0.1_up0.3.0 |
Akri(已弃用) | 0.12.20 | 304.0.0+up0.12.20 | registry.suse.com/edge/charts/akri:304.0.0_up0.12.20 |
SR-IOV 网络操作器 | 1.5.0 | 304.0.2+up1.5.0 | registry.suse.com/edge/charts/sriov-network-operator:304.0.2_up1.5.0 |
系统升级控制器 | 0.16.0 | 107.0.0 | Rancher chart Helm
储存库 |
升级控制器 | 0.1.1 | 304.0.1+up0.1.1 | registry.suse.com/edge/charts/upgrade-controller:304.0.1_up0.1.1 |
Kiwi 构建器 | 10.2.12.0 | 不适用 | registry.suse.com/edge/3.4/kiwi-builder:10.2.12.0 |
53.4 已弃用功能 #
除非另有说明,否则以下功能适用于 3.4.0 版本及后续所有 z-stream 版本。
Akri 在之前的 Edge 版本中为技术预览功能,目前已弃用,计划在未来版本中去除。
53.5 技术预览 #
除非另有说明,否则以下功能适用于 3.4.0 版本及后续所有 z-stream 版本。
单栈 IPv6 部署为技术预览功能,不纳入标准支持范围。
下游部署中的精确时间协议 (PTP) 为技术预览功能,不纳入标准支持范围。
MetalLB 的 BGP 模式为技术预览功能,不纳入标准支持范围。
53.6 组件验证 #
可以使用软件材料清单 (SBOM) 数据来验证上述组件 - 例如,如下所述使用 cosign:
从 SUSE 签名密钥来源下载 SUSE Edge 容器公共密钥:
> cat key.pem
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----验证容器映像哈希,例如,使用 crane 进行验证:
> crane digest registry.suse.com/edge/3.4/baremetal-operator:0.10.2.1 --platform linux/amd64
sha256:310d939f8ae4b547710195b9671a4e9ff417420c0856103dd728b051788b5374对于多体系结构映像,获取摘要时还需要指定平台,例如 --platform linux/amd64 或
--platform linux/arm64。如果不这样做,后续步骤中会出现错误 (Error:
no matching attestations)。
使用 cosign 进行验证:
> cosign verify-attestation --type spdxjson --key key.pem registry.suse.com/edge/3.4/baremetal-operator@sha256:310d939f8ae4b547710195b9671a4e9ff417420c0856103dd728b051788b5374 > /dev/null
#
Verification for registry.suse.com/edge/3.4/baremetal-operator@sha256:310d939f8ae4b547710195b9671a4e9ff417420c0856103dd728b051788b5374 --
The following checks were performed on each of these signatures:
- The cosign claims were validated
- Existence of the claims in the transparency log was verified offline
- The signatures were verified against the specified public key按照 SUSE SBOM 文档中所述提取 SBOM 数据:
> cosign verify-attestation --type spdxjson --key key.pem registry.suse.com/edge/3.4/baremetal-operator@sha256:310d939f8ae4b547710195b9671a4e9ff417420c0856103dd728b051788b5374 | jq '.payload | @base64d | fromjson | .predicate'53.7 升级步骤 #
有关如何升级到新版本的详细信息,请参见第 VI 部分 “Day 2 操作”。
53.8 产品支持生命周期 #
SUSE Edge 拥有 SUSE 屡获殊荣的支持服务作为后盾。SUSE 是公认的技术领导者,在提供企业级品质支持服务方面有着久经验证的历史。有关详细信息,请参见 https://www.suse.com/lifecycle 和支持策略页面 (https://www.suse.com/support/policy.html)。如果您在提交支持案例、SUSE 如何划分严重性级别或支持范围方面有任何疑问,请参见技术支持手册 (https://www.suse.com/support/handbook/)。
SUSE Edge“3.4”版本提供 24 个月的生产支持,其中前 6 个月提供“全面支持”,随后 18 个月提供“维护支持”。在这些支持阶段结束后,产品将进入“生命周期终止”(EOL) 状态,不再提供任何支持。有关各生命周期阶段的详细信息,请参见下表:
全面支持(6 个月) | 在全面支持期内,会发布紧急和选定的高优先级 bug 修复,其他所有补丁(非紧急修复、功能增强、新功能)将按常规发布计划发布。 |
维护支持(18 个月) | 在此期间,仅通过补丁发布关键修复。其他 bug 修复可能由 SUSE 酌情发布,但不做保证。 |
生命周期终止 (EOL) | 产品版本到达生命周期终止日期后,客户可根据产品许可协议继续使用该产品,但 SUSE 的支持计划不再适用于已进入生命周期终止状态的产品版本。 |
除非明确说明,否则列出的所有组件均被视为正式发布 (GA) 版本,并涵盖在 SUSE 的标准支持范围内。某些组件可能以“技术预览”版本的形式列出,SUSE 通过此类版本让客户提前体验尚未正式发布的特性和功能以进行评估,但这些组件没有标准支持政策的保障,不建议将其用于生产使用场景。SUSE 非常欢迎大家提供针对技术预览组件的改进意见和建议,但如果技术预览功能无法满足客户的需求或者达不到我们要求的成熟度,SUSE 保留在正式发布之前弃用该功能的权利。
请注意,SUSE 必须偶尔弃用功能或更改 API 规范。弃用功能或更改 API 的原因包括相应功能已更新或由新的实现取代、有新的功能集、上游技术不再可用,或者上游社区引入了不兼容的更改。在给定的次要版本 (x.z) 中,这种情况预期永远不会发生,因此所有 z-stream 版本都将保持 API 兼容性和原有功能。SUSE 将尽力在发行说明中提供弃用警告并发出充足的通告,同时提供解决方法、建议和缓解措施,以最大程度地减少服务中断。
SUSE Edge 团队也欢迎社区提出反馈,相关问题可在 https://www.github.com/suse-edge 中的相应代码储存库内提出。
53.9 获取源代码 #
本 SUSE 产品包含根据 GNU 通用公共许可证 (GPL) 和其他各种开源许可证授权给 SUSE 的组件。根据 GPL 要求,SUSE 必须提供与 GPL 授权组件对应的源代码,此外还须严格遵守其他所有开源许可要求。因此,SUSE 会公开所有源代码,这些源代码通常可在 SUSE Edge GitHub 代码库 (https://www.github.com/suse-edge)、依赖组件的 SUSE Rancher GitHub 代码库 (https://www.github.com/rancher) 中找到;具体到 SUSE Linux Micro,其源代码可在 https://www.suse.com/download/sle-micro 的“Medium 2”处下载。
53.10 法律声明 #
SUSE 不对本文档的内容或其使用作出任何陈述或保证,并明确否认对适销性或任何特定用途的适用性作出任何明示或暗示保证。此外,SUSE 保留随时修订本出版物和更改其内容的权利,且无义务将此类修订或更改通知任何个人或实体。
此外,SUSE 不对任何软件作出任何陈述或保证,并明确否认对适销性或任何特定用途的适用性作出任何明示或暗示保证。此外,SUSE 保留随时更改 SUSE 软件任何或所有部分的权利,且无义务将此类更改通知任何个人或实体。
根据本协议提供的任何产品或技术信息可能受到美国出口管制和其他国家/地区贸易法的约束。您同意遵守所有出口管制法规,并在出口、再出口或进口可交付产品之前取得所有必要的许可证或分类证书。您同意不向当前美国出口排除清单上的实体,或美国出口法中规定的任何禁运国家/地区或支持恐怖主义的国家/地区出口或再出口。您同意不将可交付产品用于受禁核武器、导弹或生化武器的最终用途。有关出口 SUSE 软件的详细信息,请访问 https://www.suse.com/company/legal/。如果您未能取得任何必要的出口许可,SUSE 对此不承担任何责任。
版权所有 © 2024 SUSE LLC。
本发行说明文档根据 Creative Commons Attribution-NoDerivatives 4.0 国际许可证 (CC-BY-ND-4.0) 授权。您应已随本文档收到了一份许可证。如果没有,请访问 https://creativecommons.org/licenses/by-nd/4.0/。
SUSE 拥有与本文档所述产品中体现的技术相关的知识产权。具体而言,这些知识产权可能包括但不限于 https://www.suse.com/company/legal/ 中列出的一项或多项美国专利,以及美国和其他国家/地区的一项或多项其他专利或正在申请的专利。
有关 SUSE 商标,请参见 SUSE 商标和服务标记列表 (https://www.suse.com/company/legal/)。所有第三方商标均是其各自所有者的财产。有关 SUSE 品牌信息和使用要求,请参见 https://brand.suse.com/ 上发布的准则。