Примечания к выпуску
Tip
Период поддержки версии v1.10.z (LTS) — с 30 апр. 2026 г. по 30 апр. 2027 г.
Содержание
Матрица совместимости и поддержкиv1.10.1Функции и улучшенияИсправленные проблемыИзвестные проблемыv1.10.0 (LTS)Функции и улучшенияНесовместимые измененияИсправленные проблемыИзвестные проблемыv1.9.0Функции и улучшенияНесовместимые измененияИсправленные проблемыИзвестные проблемыv1.8.0Функции и улучшенияНесовместимые измененияИсправленные проблемыИзвестные проблемыv1.7.0Функции и улучшенияНесовместимые измененияИсправленные проблемыИзвестные проблемыv1.6.0 (LTS)Функции и улучшенияНесовместимые измененияИсправленные проблемыИзвестные проблемыМатрица совместимости и поддержки
В следующей таблице показана матрица совместимости и поддержки между оператором Alauda DevOps Connectors и версиями ACP.
v1.10.1
Функции и улучшения
- Обновления безопасности: обновлены базовые образы, зависимости и устранены уязвимости безопасности.
Исправленные проблемы
- Before this update, the Connector forward proxy MITM-intercepted every HTTPS CONNECT request. As a result, in Tekton buildah task Containerfile RUN steps, requests to non-connector destinations such as curl, apt-get, and wget were also routed through the MITM proxy, forcing clients to trust the proxy CA even when the traffic did not need Connector interception. This caused major friction for buildah-based builds. With this update, the forward proxy chooses behavior based on whether the target matches a connector address: requests to connector addresses continue to use MITM with auth injection, while requests to non-connector addresses fall back to a transparent tunnel so the client sees the real upstream certificate and no proxy CA trust is required. This preserves proxy behavior for connector traffic while avoiding the incorrect CA requirement for unrelated HTTPS requests.
Известные проблемы
No issues in this release.
v1.10.0 (LTS)
Функции и улучшения
Новые Connectors
- Поддержка интеграции с GitHub с помощью GitHub Connector. Подробнее:
- Поддержка интеграции с JFrog Artifactory с помощью JFrog Connector. Подробнее:
- Поддержка интеграции с Nexus Repository с помощью Nexus Connector. Подробнее:
Разрешения и управление доступом
- Добавлена дополнительная проверка разрешения
connectors/apisдля доступа к Connector API.- Когда включен параметр
enable-connector-apis-permissions, система выполняет дополнительную проверку разрешенияconnectors/apisдля запросов к Connectors API, которые просматривают данные инструмента. Это изменение отделяет обнаружение Connector от фактического использования Connector API. - Подробнее см. Модель разрешений Connectors и Connector API.
- Когда включен параметр
- Добавлена дополнительная проверка разрешения
connectors/proxyдля доступа к Connectors Proxy.- Когда включен параметр
enable-connector-proxy-permissions, система выполняет дополнительную проверку разрешенияconnectors/proxyперед использованием workload или CLI доступа к Connector через proxy. Это изменение отделяет обнаружение Connector от фактического использования во время выполнения. - Подробнее см. Модель разрешений Connectors и Connectors Proxy.
- Когда включен параметр
- Добавлен контроль доступа с обязательным одобрением для защищенного использования Connectors Proxy.
- Когда
enable-connectors-approvalвключен вместе сenable-connector-proxy-permissions, администраторы могут использоватьAccessPolicyиAccessRequest, чтобы требовать одобрения перед тем, как workload будет разрешено использовать защищенный доступ к Connector через proxy. - Подробнее см. Одобрение и ограничение разрешений Connectors.
- Когда
- Добавлены платформенные роли ACP для ресурсов
AccessPolicyиAccessRequest, чтобы ресурсы одобрения соответствовали ожидаемой модели разрешений платформы, проекта и пространства имён.
Управление feature flag
- Поддержка декларативной конфигурации feature flag через поле
spec.featureFlagsв CRConnectorsCore. Значения CR переопределяют значения по умолчанию из манифеста во время синхронизации, устраняя необходимость вручную редактировать ConfigMapconnectors-config. Подробнее см. Feature Flags.
Улучшения Harbor Connector
- Поддержка монтирования
harbor-cli-configиз Harbor Connector, чтобы workload могли использоватьharbor-cliчерез proxy коннектора без раскрытия исходных учетных данных Harbor. Подробнее: - Предоставлена Tekton Task
harbor-connector-automatic-creationдля автоматизации инициализации Harbor Connector и обновления учетных данных для тенантов и пространств имён Alauda Container Platform. Подробнее:- Она может создавать или синхронизировать проекты Harbor, robot accounts, Connector Secrets, Harbor Connectors и
imagePullSecretsцелевого namespace. - Автоматическое создание и синхронизация ресурсов Harbor Connector с помощью Tekton
- Она может создавать или синхронизировать проекты Harbor, robot accounts, Connector Secrets, Harbor Connectors и
Пользовательские сертификаты CA
- Поддержка пользовательских сертификатов CA для Connectors, которые обращаются к инструментам, предоставляемым внутренним или частным Certificate Authority (CA), с сохранением проверки TLS вместо её отключения. Когда включен feature flag
enable-custom-ca-certs, администраторы могут регистрировать общекластерные наборы CA через Secret с метками в системном namespace, а авторы Connector дополнительно могут указывать CA для каждого Connector черезspec.caCertSecretRef. Итоговый пул доверия является суммарным (system + global + для каждого коннектора), а состояние загрузки отображается через информационное условиеCACertReady. Подробнее:
Другие улучшения
- Добавлен
ca.crtво встроенную конфигурацию Connectors-CSI в качестве заменыca.cert. - Когда одобрение CSI отклонено, драйвер теперь монтирует файл
.error.json(JSON google.rpc.Status) вместо блокировки Pod, что позволяет рабочей нагрузке завершиться с ошибкой без задержки. Подробнее см. Одобрение Connectors.
Уведомление о выводе из эксплуатации
ca.certскоро будет объявлен устаревшим во встроенной конфигурации Connectors-CSI. Используйте вместо негоca.crt. Подробнее см.: Встроенные конфигурации Connectors CSI
Обновления безопасности
Обновлены базовые образы, зависимости и устранены уязвимости безопасности
Несовместимые изменения
- ResourceInterface Maven был переименован с
MavenArtifactвMavenRepository. ПараметрыgroupId,artifactIdиversionбыли удалены; теперь ResourceInterface предоставляет один атрибутrepository, получаемый из адреса Connector. Существующие pipeline, которые ссылаются на старый ResourceInterfaceMavenArtifactили его удалённые параметры, необходимо обновить.
Исправленные проблемы
- Before this update, when Connector accessed GitLab through the forward proxy, requests could carry X-Forwarded and related headers injected by an ALB or gateway. GitLab could return 403 even when the credentials were valid, causing page access or data retrieval to fail. With this update, Connector removes those gateway forwarding headers before forwarding requests, so GitLab access and data retrieval work normally when the credentials are valid.
- Before this update, when users configured an HTTPS Nexus Maven repository with a custom CA certificate in Connector, the Maven authentication check did not use the Connector's CA certificate and could fail certificate validation. With this update, Maven authentication checks use the CA certificate configured on the Connector, so users can complete authentication for HTTPS Nexus Maven repositories normally.
Известные проблемы
- Before this update, the Connector forward proxy MITM-intercepted every HTTPS CONNECT request. As a result, in Tekton buildah task Containerfile RUN steps, requests to non-connector destinations such as curl, apt-get, and wget were also routed through the MITM proxy, forcing clients to trust the proxy CA even when the traffic did not need Connector interception. This caused major friction for buildah-based builds. With this update, the forward proxy chooses behavior based on whether the target matches a connector address: requests to connector addresses continue to use MITM with auth injection, while requests to non-connector addresses fall back to a transparent tunnel so the client sees the real upstream certificate and no proxy CA trust is required. This preserves proxy behavior for connector traffic while avoiding the incorrect CA requirement for unrelated HTTPS requests.
- Before this update, the Connector forward proxy MITM-intercepted every HTTPS CONNECT request. As a result, in Tekton buildah task Containerfile RUN steps, requests to non-connector destinations such as curl, apt-get, and wget were also routed through the MITM proxy, forcing clients to trust the proxy CA even when the traffic did not need Connector interception. This caused major friction for buildah-based builds. With this update, the forward proxy chooses behavior based on whether the target matches a connector address: requests to connector addresses continue to use MITM with auth injection, while requests to non-connector addresses fall back to a transparent tunnel so the client sees the real upstream certificate and no proxy CA trust is required. This preserves proxy behavior for connector traffic while avoiding the incorrect CA requirement for unrelated HTTPS requests.
v1.9.0
Функции и улучшения
- Поддержка нескольких Connectors в Connectors CSI Driver.
- Поддержка управления разрешениями для возможностей Connectors Proxy через AccessPolicy.
- Обновления безопасности: обновлены базовые образы, зависимости и устранены уязвимости безопасности
Несовместимые изменения
Исправленные проблемы
No issues in this release.
Известные проблемы
No issues in this release.
v1.8.0
Функции и улучшения
- Основные возможности Connectors Core и существующие коннекторы (Git, OCI, Maven, PyPI, NPM, Kubernetes) переведены на уровень зрелости Beta. Подробнее см. Зрелость функций.
- Добавлено описание производительности и руководство по настройке в документацию. Подробнее см. Руководство по производительности.
Уведомление о выводе из эксплуатации
- Добавлена конфигурация
registry-configдля ConnectorClasses OCI и Harbor. Устаревшая конфигурацияdocker-config(oci)иconfig(harbor)теперь помечена как устаревшая, но остаётся рабочей для обратной совместимости. Она будет удалена в одном из будущих выпусков. При монтировании конфигураций Connector используйтеregistry-configвместоdocker-configилиconfig. - Добавлен workspace
registry-configв ResourceInterfaces OCIArtifact и HarborOCIArtifact. Устаревший workspacedocker-credentialsтеперь помечен как устаревший, но остаётся рабочим для обратной совместимости. Он будет удалён в одном из будущих выпусков.
Обновления безопасности
Обновлены базовые образы, зависимости и устранены уязвимости безопасности
Несовместимые изменения
Несовместимых изменений нет.
Исправленные проблемы
No issues in this release.
Известные проблемы
No issues in this release.
v1.7.0
Функции и улучшения
- Поддержка интеграции с SonarQube и SonarCloud с помощью SonarQube Connector. Подробнее:
- Поддержка развёртывания системы Connectors в конфигурации высокой доступности (HA), чтобы обеспечить непрерывность обслуживания и отказоустойчивость. Подробнее:
Несовместимые изменения
- При использовании встроенного forward proxy необходимо указывать информацию аутентификации proxy.
Исправленные проблемы
No issues in this release.
Известные проблемы
No issues in this release.
v1.6.0 (LTS)
Функции и улучшения
Больше Connectors
- Поддержка интеграции с GitLab Server с помощью GitLab Connector. Подробнее:
- Поддержка интеграции с NPM Registries с помощью NPM Connector. Подробнее:
- Поддержка интеграции с Harbor Registries с помощью Harbor Connector. Подробнее:
ResourceInterface для интеграции с Pipeline
- Предоставляются готовые определения ресурсов
GitCodeRepository,OCIArtifactиMavenArtifact, что позволяет бесшовно интегрировать внешние ресурсы (Git repositories, OCI artifacts, Maven artifacts) в pipeline TektonCD через единый интерфейс UI. Подробнее см. - Поддержка Dynamic Form в ResourceInterface для интеграции с Pipeline. Подробнее см. Dynamic Form ResourceInterface.
Улучшение Connector API
- Поддержка доступа к исходному API инструмента через Connector API, когда ConnectorClass предоставляет возможности Proxy Service. Теперь система поддерживает два способа доступа к ресурсам инструмента: использование исходного API инструмента через Proxy Service или использование пользовательских API, предоставляемых для ConnectorClass. Подробнее см. Connector API.
Гибкость настройки ConnectorClass
- Поддержка использования правил Rego для извлечения токенов из запросов клиента при использовании встроенного HTTP reverse proxy. В сочетании с существующей возможностью внедрять учетные данные аутентификации в backend-запросы через правила Rego теперь можно расширять возможности встроенного reverse proxy для поддержки инструментов с нестандартными механизмами HTTP-аутентификации.
- Для настройки извлечения токенов см. Пользовательская аутентификация на основе Rego.
- Для настройки внедрения аутентификации см. Внедрение учетных данных аутентификации в backend-запрос при использовании встроенного Reverse Proxy.
- Поддержка использования переменных запроса в
spec.auth.types[].generator.regoдля внедрения учетных данных аутентификации в backend-запросы. Подробнее см. Переменные, доступные в Rego.
Прямой proxy OCI Connector
- OCI Connector поддерживает использование forward proxy для операций с образами. Подробнее см. Прямой proxy OCI Connector.
Встроенные конфигурации CSI Driver
Connectors CSI Driverпредоставляет встроенные файлы конфигурации, которые всегда монтируются в Pod. Подробнее см. Встроенные конфигурации.
Другие улучшения
- Добавлена документация, поясняющая, какие права на учетные данные требуются для каждого коннектора. Подробнее см.: Требуемые права для учетных данных.
Несовместимые изменения
- Удалена переменная
input.xxxизspec.auth.types[].generator.rego. Используйте вместо неёinput.data.xxx.
Исправленные проблемы
No issues in this release.
Известные проблемы
- Before this update, the Connector forward proxy MITM-intercepted every HTTPS CONNECT request. As a result, in Tekton buildah task Containerfile RUN steps, requests to non-connector destinations such as curl, apt-get, and wget were also routed through the MITM proxy, forcing clients to trust the proxy CA even when the traffic did not need Connector interception. This caused major friction for buildah-based builds. With this update, the forward proxy chooses behavior based on whether the target matches a connector address: requests to connector addresses continue to use MITM with auth injection, while requests to non-connector addresses fall back to a transparent tunnel so the client sees the real upstream certificate and no proxy CA trust is required. This preserves proxy behavior for connector traffic while avoiding the incorrect CA requirement for unrelated HTTPS requests.