ClearML Enterprise v3.29 核心更新摘要

1. 重要变更：Docker Compose 部署权限调整

从 v3.29 版本开始，Docker Compose 部署中的 apiserver 和 fileserver 容器不再以 root 用户运行，而是切换为非 root 用户（UID 65532）。

• 升级前必须操作：管理员需在升级前将现有数据和日志目录的所有权更改为 UID 65532。
• 后果：若未执行此步骤直接升级，容器将因权限错误无法启动。
• 参考：具体升级指令请参阅官方文档。

2. 资源与访问控制增强

动态资源规格 (Dynamic Resource Specification)

• 现状：此前资源策略配置文件（Resource Policy Profiles）是固定的，同一队列中的所有作业均获得相同的资源分配（如固定 1-GPU 或 4-GPU）。
• 新特性：v3.29 允许在资源策略中定义每任务（per-task）的动态资源需求。
• 价值：平台团队可在单一受控队列内支持具有不同资源足迹的工作负载，无需为每种作业规模创建独立的配置文件。

端点范围 AI 应用网关令牌 (Endpoint-Scoped Gateway Tokens)

• 功能：AI 应用网关令牌现在可限制为仅访问特定的请求目标端点，而非提供对所有网关暴露服务的通用访问权限。
• 场景：适用于外部 API 消费者、合作伙伴集成或面向客户的服务。
• 安全收益：即使令牌泄露，攻击者也无法访问开发环境、远程会话或其他后端应用，显著降低了“爆炸半径”。

配置金库审计日志 (Audit Logging for Configuration Vaults)

• 背景：管理员配置金库用于在运行时向指定用户组注入凭据和配置值。
• 新增：UI 现提供金库的审计日志，记录谁修改了金库、修改内容及时间。
• 意义：填补了凭证治理的审计空白，使金库管理与平台其他访问控制配置一样具备可追溯性，满足合规要求。

API 凭据自定义过期

• 功能：API 凭据现在支持设置自定义过期期限，不再依赖单一的默认全局策略。
• 优势：支持针对特定服务账户或集成类型实施更短的生存周期，实现更精细的凭据生命周期管理。

3. 管道与工作流改进

• 基于现有运行创建新管道：支持将已完成的管道运行作为新管道定义的起点，减少从零构建的开销。
• 应用启动表单任务选择界面：优化了任务选择界面，便于指定部署应用运行的具体任务。
• JSON 导出：支持直接从 UI 导出任务和管道运行详情至 JSON 格式，便于外部报告或审计工作流集成。

4. 数据集与工作负载优化

• Hyper-Dataset 版本发布：支持通过 UI 直接发布 Hyper-Dataset 版本，将其标记为只读并锁定内容以供下游使用。
• 项目级工作负载存储挂载：用户可配置卷自动挂载到项目内的工作负载上，简化一致数据源的存储访问配置。
• 工作负载标签页可见性控制：管理员可控制“工作负载”标签页对普通用户、特定角色或仅管理员的可见性，细化 UI 展示范围。

5. UI 体验优化

• 任务对比操作：在任务对比视图中直接提供查看、重命名和归档任务的操作。
• 对比图表线宽控制：用户可调整对比图表中的线条宽度，提升多实验指标重叠时的可读性。
• 报表页面状态过滤：新增状态过滤器，帮助用户在包含大量报表的工作空间中快速筛选。
• 可点击的仓库 URL：任务执行标签页中的仓库 URL 现已支持点击，可直接跳转至源代码仓库。