Nova – оркестратор контейнеризированных приложений

Редакция NOVA Container Platform Special Edition, сертифицированная в ФСТЭК по 4-УД (coming soon)

• Исправлена проблема, из-за которой могла возникать ошибка при повторном обновлении платформы
• Исправлена проблема, которая могла возникать при удалении кластера с помощью команды nova-ctl cluster destroy
• Исправлена проблема, которая могла возникать при повторной установке платформы, включая случаи прерванного развертывания
• Исправлена проблема, из-за которой в nova-console не отображались поля «Kubernetes API» и «Провайдер инфраструктуры»
• Исправлена проблема, из-за которой могли не отправляться логи в Opensearch, если кластер Nova был установлен со значением clusterName, отличным от cluster.local

В Nova 6.0.0 Kubernetes обновлен до версии 1.30.10. Также обновлены многие компоненты платформы, подробнее об актуальных версиях компонентов читайте на Wiki-портале Orion soft

• Изменена конфигурация дополнительных параметров контроллеров Ingress Nginx через ConfigMap nova-ingress-internal-controller и nova-ingress-public-controller. Ранее в версиях 4.x и 5.x ConfigMap содержали все доступные параметры в формате «snake_case». С выходом данного обновления параметры должны передаваться в формате «kebab-case»
• Для компонентов Velero в модуле Data Protection добавлены недостающие метрики в системе мониторинга, правила оповещения о событиях и дашборды
• В новой версии API config.nova-platform.io/v1alpha4 добавлена поддержка конфигурации типа дисков виртуальных машин (useLinkedClone) при развертывании кластера в среде zVirt
• Добавлены новые дашборды в OpenSearch. Подробно о логах, которые визуализируются в OpenSearch, читайте на Wiki-портале Orion soft

• Логи StarVault теперь будут ротироваться при достижении размера 200 МБ. Ранее ротация выполнялась ежедневно, не учитывая размер log-файла
• Скорректировано правило события etcdDatabaseHighFragmentationRatio в Prometheus, в результате чего срабатывание события стало более точным. Дефрагментация хранилища etcd по-прежнему выполняется автоматически каждый день в 00:00
• Исправлена проблема из-за которой могла переполняться временная директория для kustomize-controller
• Исправлена проблема, при которой в кластере могло возникать событие PrometheusDuplicateTimestamps после установки модуля Neuvector
• С выходом данного обновления агенты Velero по умолчанию не размещаются на Ingress-узлах

• Минимальное требование к размеру диска Universe увеличено до 160 ГБ

• Логи StarVault теперь будут ротироваться при достижении размера 200 МБ. Ранее ротация выполнялась ежедневно, не учитывая размер log-файла
• Скорректировано правило события etcdDatabaseHighFragmentationRatio в Prometheus, в результате чего срабатывание события стало более точным. Дефрагментация хранилища etcd по-прежнему выполняется автоматически каждый день в 00:00
• Исправлена проблема из-за которой могла переполняться временная директория для kustomize-controller
• Исправлена проблема, при которой в кластере могло возникать событие PrometheusDuplicateTimestamps после установки модуля Neuvector
• С выходом данного обновления агенты Velero по умолчанию не размещаются на Ingress-узлах

• Произведена замена cadvisor на kube-summary-exporter. Это значительно снизило нагрузку на узлы кластера Nova и исправило проблему с некорректным отображением дисковых метрик
• В nova-ctl добавлена валидация ресурсов узлов при установке кластера
• В nova-ctl добавлен пул SSH-подключений с интерфейсом аренды: cессии переиспользуются между вызовами; при отсутствии свободных сессий создаются новые; после завершения работы соединение возвращается в пул
• Безопасность потока данных обеспечивается передачей владения.
• Добавлен вывод имени узлов в nova-ctl при обновлении узлов платформы (в дополнение к IP-адресу)
• Добавлено автоматическое удаление ВМ при неуспешном бутстрапе платформы при использовании опции --auto-cleanup
• Скорректированы правила валидации системных ресурсов узлов кластера перед установкой платформы
• Nginx ingress controller обновлен до версии 1.12.1. В данном обновлении устранены следующие уязвимости: CVE-2025-1097; CVE-2025-109; CVE-2025-1974; CVE-2025-24513; CVE-2025-24514

• Исправлена проблема, при которой приложения, интегрированные со StarVault, спустя время начинали получать ошибки авторизации при обновлении собственного токена. Проблема также могла сопровождаться событиями NGINXTooMany400s

• При развертывании платформы с использованием Universe реализован механизм хостинга зоны dnsBaseDomain самого Universe в nova-dns. Nova определяет IP-адрес Universe через разовый резолвинг его URL, сохраняет запись в nova-dns, после чего все внутренние DNS-запросы к Universe обрабатываются локально

• В веб-консоль добавлен новый плагин «GitOps». Раздел Cluster Kustomizations теперь называется «Кластерные приложения». Все ресурсы Kustomizations группируются в сущности приложений. Каждое приложение доступно для просмотра в отдельном веб-интерфейсе Nova GitOps Console, интегрированного с системой FluxCD. Обновлена версия Nova Console до 0.4.3. Добавлен плагин GitOps для Nova Console. Добавлена веб-консоль Nova GitOps Console
• Обновлен механизм первоначального развертывания NeuVector. Теперь система будет не осуществлять блокирующие действия по умолчанию сразу после установки, а только вести наблюдение за событиями. При необходимости пользователь может самостоятельно переключить режим работы NeuVector на защиту от нарушения правил, сетевых политик и т. п.
• StarVault и его агенты в базовом модуле Nova обновлены до версии v1.0.4. 
• В Nova теперь поддерживается автоматическая конфигурация резервирования системных ресурсов. Динамическая резервация ресурсов позволяет стабилизировать системные компоненты при вертикальном масштабировании узлов кластера.
• Подробнее с резервацией ресурсов можете ознакомиться в разделе «Архитектура платформы».
• В сканере уязвимостей NeuVector добавлена поддержка ОС Astra Linux версий 1.7.6 и 1.8. Обновленная версия сканера доступна во всех поддерживаемых версиях Nova.
• В OpenSearch tenant по умолчанию теперь установлен на Global, что сразу позволяет видеть все предварительно настроенные конфигурации без дополнительных шагов.

• Исправлена проблема, при которой в системе мониторинга кластера могли появляться множественные события «StarVault too many infinity tokens». Теперь для методов аутентификации userpass и oidc в StarVault устанавливаются по умолчанию значения сроков жизни токенов: 8 часов — срок жизни токена по умолчанию; 24 часа — максимальный срок жизни токена с учетом его продления
• Исправлена проблема, при которой платформа могла не разворачиваться на последних версиях РЕД ОС из-за прекращения поддержки _yum_
• Исправлена проблема, из-за которой могла возникать ошибка при запросе информации о текущей лицензии командой nova-ctl subscription info
• Исправлена проблема, из-за которой при развертывании кластера в среде zVirt могла возникать ошибка «One or more ports are busy. The specified ports should not be used: [2379, 6443, 10250, 10256, 10257, 10259]»

• Добавлена поддержка Astra Linux 1.7.6
• Добавлена валидация пользовательских CA-сертификатов при установке платформы. Подробнее об этом можно прочитать на wiki-портале Orion soft.

• Исправлена проблема, при которой в параметр no_proxy конфигурации Proxy попадал сервис настройки ПО Nova Container Platform
• Исправлена проблема, при которой невозможно было создать volume в рамках NodeVolumeConfig, размер которого равен размеру блочного устройства
• Исправлена проблема, из-за которой компоненты Neuvector могли не запускаться в кластере на ОС Astra Linux
• Исправлена проблема, при которой в Neuvector сканер мог быть периодически недоступен, а задания сканирования оставались длительное время в состоянии Scheduled
• Исправлена проблема, при которой не обновлялись сертификаты при запуске команды «nova-ctl certs renew»: для nova-oauth-secrets-webhook; для nova-monitoring-etcd-credentials

• В nova-ctl добавлена валидация ресурсов узлов при установке кластера. Подробнее об этом можно прочитать на wiki-портале Orion soft
• Обновлен puppet agent до следующих версий: Redos 7: puppet-7.26.0-5; Astra 1.7: puppet-agent=7.34.0-1buster; AlmaLinux 8: puppet-agent-7.34.0-1
• Обновлен Neuvector Provisioner до версии v2.0.3
• Для Alertmanager, Prometheus и Thanos были добавлены oauth2-прокси, которые закрывают доступ к веб-интерфейсам без аутентификации
• В Nova Console добавлен баннер, информирующий пользователей о процессе обновления платформы.

• В модуле Longhorn для образов CSI_ATTACHER, CSI_PROVISIONER, CSI_NODE_DRIVER_REGISTRAR, CSI_RESIZER, CSI_SNAPSHOTTER, CSI_LIVENESS_PROBE исправлена проблема с некорректным репозиторием
• Исправлена проблема, из-за которой миграция с Vault на StarVault могла завершаться с ошибкой
• При обновлении на Nova версии v5.1.1 будут применяться только новые kustomization. Уже установленные kustomization не будут изменены
• Исправлена проблема, которая могла приводить к необоснованному периодическому перезапуску компонентов платформы
• Исправлена ошибка, из-за которой при обновлении платформы формат логов kubelet не переключался на JSON
• Исправлена проблема, при которой в кластере могло появляться событие PodSecurityViolation для компонента Nova Console
• Скорректированы описания событий Opensearch в Prometheus. Исправлена проблема, из-за которой возникало дублирование данных мониторинга Opensearch

При обновлении до версии v5.1.0 изменения в базовых манифестах kustomization Nova будут сброшены к стандартной конфигурации. Если в эти манифесты вносились изменения, рекомендуется сохранить их перед обновлением, чтобы затем восстановить вручную.

Проблема будет исправлена в версии v5.1.1.

• Добавлена система хранения Longhorn в формате Technical Preview (подробнее в разделе документации Системы хранения).
• Добавлена возможность установки кластера на ОС Astra Linux в среде zVirt методом IPI.
• На главной странице Nova Console добавлен дашборд с актуальными событиями в кластере.
• Оптимизированы значения параметров Kubelet на каждом узле кластера: image-gc-high-threshold (до 75%), image-gc-low-threshold (до 65%).
• Обновлена Grafana до 11 версии. Исправлена проблема, при которой следующие дашборды могли работать некорректно: Kubernetes / * ; Prometheus / Overview; NGINX Ingress / Overview
• Добавлена поддержка ConsoleYAMLSample в Nova Console.
• Добавлена поддержка ConsoleLinks в Nova Console.
• Появилась возможность загрузки файла с конфигурацией kubeconfig из Nova Console.

• Исправлена проблема с созданием ресурсов ClusterRole и ClusterRoleBinding в Nova Console.
• Реализована проверка доступности портов, необходимых для работы платформы. В случае, если какой-либо порт будет занят, то установка будет прервана.
• Исправлена проблема, при которой с течением времени плагин oVirt CSI мог переставать работать из-за истекшего токена, если аутентификация к zVirt API выполнялась через Keycloak.
• Исправлена проблема, при которой установка кластера могла завершаться с ошибкой dpkg frontend lock is locked by another process.
• Исправлена проблема, при которой базы уязвимостей Neuvector могли не обновляться автоматически.
• Повышена стабильность установки и обновления платформы.

• В модуле логирования добавлена поддержка экспорта логов kubelet и kube-scheduler в Opensearch.
• Обновлен шаблон оповещений Alertmanager для Telegram. Добавлена возможность устанавливать собственные шаблоны оповещений через ConfigMap alertmanager-templates в пространстве имен nova-monitoring.
• Оптимизировано количество собираемых метрик по умолчанию в Prometheus Adapter, в результате чего значительно снижено потребление CPU данным сервисом.

• Исправлена проблема, при которой обновление кластера с ОС Astra Linux, развернутого с помощью Nova Universe, могло завершаться с ошибкой.
• В цепочку доверенных сертификатов trusted-ca-bundle добавлен промежуточный СА-сертификат Kubernetes API.
• Повышена стабильность установки и обновления платформы.

• Добавлена поддержка резервного копирования компонентов Kubernetes Control Plane в РЕД ОС 8.
• В веб консоли Nova Container Platform добавлена поддержка получения логов узлов с помощью NodeLogQuery в Kubelet API.
• С выходом данного обновления в StarVault по умолчанию включена запись аудит-лога в файл /var/log/starvault/audit.log на каждом мастер-узле кластера Kubernetes. Для файла настроена ежедневная ротация с сохранением 14 последних копий.
• Версия политик компонента Descheduler обновлена до v1alpha2. С выходом данного обновления существующая в кластере политика Descheduler будет перемещена в отдельный ресурс ConfigMap c nova-descheduler-deprecated.
• С выходом данного обновления в Nova Container Platform доступен новый компонент для мониторинга TLS-сертификатов в кластере Kubernetes - x509-certificate-exporter.
• Добавлена поддержка обработки и хранения аудит-логов StarVault в Opensearch.

• Исправлена проверка наличия СonfigMap kubeadm-config при добавлении узла в кластер Kubernetes.
• Исправлена проблема, при которой установка драйвера CSI в среде zVirt могла завершаться с ошибкой.
• Исправлена проблема, при которой sidecar-контейнер Grafana постоянно сообщал об ошибке валидации TLS-сертификата Kubernetes API.
• Исправлена проблема, при которой после сброса узлов могли возникать ошибки повторной установки кластера Kubernetes с Calico CNI, если на узлах ранее был установлен кластер Kubernetes c Cilium CNI.
• Повышена стабильность установки и обновления платформы.

• Оптимизировано количество собираемых метрик по умолчанию в Prometheus Adapter, в результате чего значительно снижено потребление CPU данным сервисом.

• Исправлена проблема, при которой обновление кластера с ОС Astra Linux, развернутого с помощью Nova Universe, могло завершаться с ошибкой.
• В цепочку доверенных сертификатов trusted-ca-bundle добавлен промежуточный СА-сертификат Kubernetes API.
• Повышена стабильность установки и обновления платформы.

• Добавлена поддержка резервного копирования компонентов Kubernetes Control Plane в РЕД ОС 8.
• С выходом данного обновления в StarVault по умолчанию включена запись аудит-лога в файл /var/log/starvault/audit.log на каждом мастер-узле кластера Kubernetes. Для файла настроена ежедневная ротация с сохранением 14 последних копий.
• Версия политик компонента Descheduler обновлена до v1alpha2. С выходом данного обновления существующая в кластере политика Descheduler будет перемещена в отдельный ресурс ConfigMap c nova-descheduler-deprecated.
• С выходом данного обновления в Nova Container Platform доступен новый компонент для мониторинга TLS-сертификатов в кластере Kubernetes - x509-certificate-exporter.
• Добавлена поддержка обработки и хранения аудит-логов StarVault в Opensearch.

• Исправлена проверка наличия СonfigMap kubeadm-config при добавлении узла в кластер Kubernetes.
• Исправлена проблема, при которой установка драйвера CSI в среде zVirt могла завершаться с ошибкой.
• Исправлена проблема, при которой sidecar-контейнер Grafana постоянно сообщал об ошибке валидации TLS-сертификата Kubernetes API.
• Исправлена проблема, при которой после сброса узлов могли возникать ошибки повторной установки кластера Kubernetes с Calico CNI, если на узлах ранее был установлен кластер Kubernetes c Cilium CNI.
• Повышена стабильность установки и обновления платформы.

• Добавлена поддержка операционной системы РЕДОС 8.0
• Компонент Calico был обновлен до версии v3.27.4
• В nova-ctl добавлена возможность получения информации о типе используемой лицензии Nova Container Platform. Теперь пользователи могут получить информацию о статусе лицензии, сроке ее действия и уровне поддержки, выполнив команду:

nova-ctl subscription info

Status: Active
Valid till: 06/06/2025
Service Level Agreement (SLA): Self-support

• Исправлена проблема, при которой могли наблюдаться проблемы с авторизацией в Opensearch UI с использованием Nova SSO.
• Исправлена проблема, которая могла приводить к периодическому пересозданию пода Fluentd.
• Повышена стабильность установки и обновления платформы.

• В рамках соответствия обновленной версии CIS Benchmark отключен Admission-плагин DenyServiceExternalIPs в Kubernetes API
• В рамках соответствия обновленной версии CIS Benchmark скорректированы права доступа к файлу CA-сертификата Kubernetes на узлах кластера
• В систему мониторинга платформы добавлены дашборд и правила оповещений для Vault
• Добавлена поддержка использования символов _ и - в файле конфигурации nova-deployment-conf.yaml в именах учетных записей zVirt
• Учетные данные к среде zVirt перенесены из секрета nova-gitops-ovirt-csi-substitute-config в хранилище Vault
• Произведены изменения в именах ресурсов ingress с целью унификации и приведения их к единому стандарту

• Исправлена проблема, при которой nova-ctl выдавала предупреждение TripleDES Deprecation Warning
• Исправлена проблема, при которой в ходе обновления платформы синхронизация Git-репозитория в кластере могла завершаться с ошибкой
• Исправлена проблема, при которой обновление объектов Job nova-logs-provisioner и nova-neuvector-provisioner могло завершаться с ошибкой
• Исправлена проблема, при которой сервисы, зависимые от nova-secrets-webhook, могли не запускаться при перезапуске узла кластера. Также аналогичная проблема могла возникать и в ходе обновления кластера
• Скорректированы значения переменных uptime в дашборде Prometheus / Overview в Grafana
• Повышена стабильность установки и обновления платформы

• В Neuvector Scanner добавлена поддержка сканирования пакетов ОС AlmaLinux, РЕД ОС, Astra Linux на уязвимости
• Скорректированы привилегии регулярных пользователей в Grafana. С выходом данного обновления для просмотра метрик и выполнения запросов в различные хранилища пользователям доступен раздел Explore
• Сокращены интервалы оценки правил оповещения Neuvector в Prometheus до 1 часа

• Исправлена проблема, при которой Pod’ы с nova-dns могли разместиться на одном узле в случае их эвакуации
• Исправлена проблема, при которой Nova Console не перезапускалась автоматически при изменении ее конфигурации
• Исправлена проблема, при которой установка платформы на физическом сервере могла завершаться с ошибкой
• Исправлена проблема, при которой обновление модуля Neuvector в Nova 3.0.0 могло завершаться с ошибкой
• Исправлена проблема, при которой контроллер Neuvector не мог установить соединение gRPC со сканером уязвимостей, в результате чего задания на сканирования контейнеров и кластера Kubernetes оставались в очереди длительное время
• Исправлена проблема, связанная с увеличением количества узлов на физических серверах
• Исправлены недействительные выражения в правилах Prometheus
• Повышена стабильность установки и обновления платформы

• Исправлена проблема, из-за которой Persistent Volumes созданные ovirt-csi не сохраняют данные
• Повышена стабильность установки и обновления платформы