主机的访问权限，请使 用 镜像 Operator 目录 流程将镜像复制到可跨网络界限的设备中。 3.1. 先决条件 您必须在托管 OpenShift Container Platform 集群的位置（如以下 registry 之一）中有一个支持 Docker v2-2 的容器镜像 registry： Red Hat Quay JFrog Artifactory Sonatype Nexus registry 至少必须与 OpenShift Container Platform OpenShift Container Platform 4.7 安装 安装 60 集群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访 命令）显示非镜像镜像名称，即使镜像 是从镜像位置拉取的。 注意 注意 红帽不支持使用 OpenShift Container Platform 测试第三方 registry。 其他信息 其他信息 有关查看 CRI-O 日志以查看镜像源的详情，请参阅查看镜像拉取源。 3.3. 准备您的镜像主机 执行镜像步骤前，必须准备主机以检索内容并将其推送到远程位置。 3.3.1. 通过下载二进制文件安装

Linux 操 作系统的计算机上运行以下命令： 指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_rsa。如果您已有密钥对，请确保您的公钥 位于 ~/.ssh 目录中。 运行此命令会在指定的位置生成不需要密码的 SSH 密钥。 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container 0/24。 CIDR 表示法中的 IP 网络块。 例如： 10.0.0.0/16。 注意 注意 将 networking.machin eNetwork 设置为与 首选 NIC 所在的 CIDR 匹配。 参数 参数 描述 描述 值 值 1.1.8.1.3. 可 可选 选配置参数 配置参数 下表描述了可选安装配置参数： 表 表 1.9. 可 可选 选参数 参数 参数 参数 描述 描述 值 controlPlane.platfor m 使用 controlPlane 时需要。使用此参 数指定托管 control plane 机器的云供应 商。此参数值必须与 compute.platform 参数值匹配。 aws、azure、gcp、openstack、o virt、vsphere 或 {} controlPlane.replicas 要置备的 control plane 机器数量。 唯一支持的值是

资源，则会定义一个不完整的资源，Operator 将更新 资源状态以提供缺失的内容。 Cluster Image Registry Operator在openshift-image-registry命名空间中运行，并管理该位置中的 registry 实例。registry的所有配置和工作负载资源都位于该命名空间中。 如果禁用 ImageRegistry 功能，您可以在 Telco 环境中减少 OpenShift Container for Red Hat OpenShift 将 Quay 的 Podman 卷、Postgres 数据 和 /etc/quay-install 数据迁移到新的 $HOME/quay-install 位置。这可让让您 在以后的升级过程中，在没有 --quayRoot 标志的情况下，使用 mirror registry for Red Hat OpenShift。 在使用 ./mirror-registry 使用镜像 Operator 目录与断开连接的集群流程一起使用，将镜像复制到可跨网络界限的设 备。 4.3.1. 先决条件 您必须在托管 OpenShift Container Platform 集群的位置（如以下 registry 之一）中有一个支持 Docker v2-2 的容器镜像 registry： Red Hat Quay JFrog Artifactory Sonatype Nexus

for Red Hat OpenShift 将 Quay 的 Podman 卷、Postgres 数据 和 /etc/quay-install 数据迁移到新的 $HOME/quay-install 位置。这可让让您 在以后的升级过程中，在没有 --quayRoot 标志的情况下，使用 mirror registry for Red Hat OpenShift。 在使用 ./mirror-registry 使用镜像 Operator 目录与断开连接的集群流程一起使用，将镜像复制到可跨网络界限的设 备。 4.3.1. 先决条件 您必须在托管 OpenShift Container Platform 集群的位置（如以下 registry 之一）中有一个支持 Docker v2-2 的容器镜像 registry： Red Hat Quay JFrog Artifactory Sonatype Nexus 重新定位）可能会失败。因此， 您必须以高度可用的方式运行镜像 registry，镜像 registry 至少必须与 OpenShift Container Platform 集 群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访

2. Pod 反关联性 3.3.4.3. 无匹配标签的 Pod 反关联性 3.4. 使用节点关联性规则控制节点上的 POD 放置 3.4.1. 了解节点关联性 3.4.2. 配置节点关联性必要规则 3.4.3. 配置首选的节点关联性规则 3.4.4. 节点关联性规则示例 3.4.4.1. 具有匹配标签的节点关联性 3.4.4.2. 没有匹配标签的节点关联性 3.4.5. 其他资源 3 容器来运 行，或者以所选用户身份运行，等等。默认上下文的限制性比较强，但管理员可以根据需要进行修 改。 containers 指定包括一个或多个容器定义的数组。 容器指定在容器中挂载外部存储卷的位置。在本例中，有一个卷可用来存储对凭证的访问，该卷是根 据 registry 对 OpenShift Container Platform API 发出请求所需的。 指定要为 pod 提供的卷。卷挂载在指定路径上。不要挂载到容器 节点上的 点上的 pod 和 和标签 标签上的 上的节 节点 点选择 选择器来控制 器来控制 pod 的 的调 调度位置。使用 度位置。使用节 节点 点选择 选择器 器 时 时， ，OpenShift Container Platform 会将 会将 pod 调 调度到包含匹配 度到包含匹配标签 标签的 的节 节点。 点。 您可 您可为节 为节点、机器集或机器配置添加 点、机器集或机器配置添加标签

的服务网格支持，包括多集群联邦。 1.2.2.4.4. istio-node DaemonSet 重命名 在此发行版本中，istio-node DaemonSet 被重命名为 istio-cni-node，以匹配上游 Istio 中的名称。 1.2.2.4.5. Envoy sidecar 网络更改 Istio 1.10 更新了 Envoy，默认使用 eth0 而不是 lo 将流量发送到应用程序容器。 片 段之前，确保您已将这些内容放入任何安全策略中。 ServiceMeshControlPlane 修改示例 修改示例 1.2.2.18.2. 授权策略所需的更新 Istio 为主机名本身和所有匹配端口生成主机名。例如，用于 "httpbin.foo" 主机的虚拟服务或网关会生成  apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane SERVICE MESH 2.X 13 Istio 为主机名本身和所有匹配端口生成主机名。例如，用于 "httpbin.foo" 主机的虚拟服务或网关会生成 匹配 "httpbin.foo 和 httpbin.foo:*" 的配置。但是，完全匹配授权策略仅与为 hosts 或 notHosts 字段给 出的确切字符串匹配。 如果您使用精确字符串比较的 AuthorizationPolicy 来确定

主机的访问权限，请使 用 镜像 Operator 目录 流程将镜像复制到可跨网络界限的设备中。 3.1. 先决条件 您必须在托管 OpenShift Container Platform 集群的位置（如以下 registry 之一）中有一个支持 Docker v2-2 的容器镜像 registry： Red Hat Quay JFrog Artifactory Sonatype Nexus registry 至少必须与 OpenShift Container Platform 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 17 集群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访 命令）显示非镜像镜像名称，即使镜像 是从镜像位置拉取的。 注意 注意 红帽不支持使用 OpenShift Container Platform 测试第三方 registry。 其他信息 其他信息 有关查看 CRI-O 日志以查看镜像源的详情，请参阅查看镜像拉取源。 3.3. 准备您的镜像主机 执行镜像步骤前，必须准备主机以检索内容并将其推送到远程位置。 3.3.1. 通过下载二进制文件安装

Linux 操 作系统的计算机上运行以下命令： 指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_rsa。如果您已有密钥对，请确保您的公钥 位于 ~/.ssh 目录中。 运行此命令会在指定的位置生成不需要密码的 SSH 密钥。 注意 注意 $ ssh-keygen -t ed25519 -N '' \ -f / 1 第 第 1 章 章 在 在 最初将不可用。安装后，您必须配置 registry 使用 的存储，这样 Registry Operator 才可用。 示配置生产集群所需的持久性卷的说明。如果适用，显示有关将空目录配置为存储位置的说明，该位置只 可用于非生产集群。 另外还提供了在升级过程中使用 Recreate rollout 策略来允许镜像 registry 使用块存储类型的说明。 1.1.12.2.1. 为 VMware vSphere Linux 操 作系统的计算机上运行以下命令： 指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_rsa。如果您已有密钥对，请确保您的公钥 位于 ~/.ssh 目录中。 运行此命令会在指定的位置生成不需要密码的 SSH 密钥。 注意 注意 $ ssh-keygen -t ed25519 -N '' \ -f / 1 OpenShift Container

for Red Hat OpenShift 将 Quay 的 Podman 卷、Postgres 数据 和 /etc/quay-install 数据迁移到新的 $HOME/quay-install 位置。这可让让您 在以后的升级过程中，在没有 --quayRoot 标志的情况下，使用 mirror registry for Red Hat OpenShift。 在使用 ./mirror-registry IPv6。 添加了新功能标志 --quayStorage。使用这个标志，具有 root 特权的用户可以手动设置其 Quay 持久性存储的位置。 添加了新功能标志 --pgStorage。使用这个标志，具有 root 特权的用户可以手动设置其 Postgres 持久性存储的位置。 在以前的版本中，用户需要具有 root 权限 (sudo) 才能安装 mirror registry for Red Hat 第 第 3 章 章 断开 断开连 连接的安装 接的安装镜 镜像 像 31 3.3.1. 先决条件 您必须在托管 OpenShift Container Platform 集群的位置（如以下 registry 之一）中有一个支持 Docker v2-2 的容器镜像 registry： Red Hat Quay JFrog Artifactory Sonatype Nexus

OpenShift Virtualization 时，集群中每个节点的磁盘存储影响估计值。 虚 虚拟机存 机存储开 开销 每个虚拟机的存储开销取决于虚拟机内的具体资源分配请求。该请求可能用于集群中其他位置托管的节点 或存储资源的临时存储。OpenShift Virtualization 目前不会为正在运行的容器本身分配任何额外的临时存 储。 6.1.2.4. Example 作为集群管理员，如果您计划托管集群中的 后为一些组件配置节点放置，但如果要为工作负载 配置节点放置，则一定不能存在虚拟机。 6.2.1. 关于虚拟化组件的节点放置 您可能想要自定义 OpenShift Virtualization 在什么位置部署其组件，以确保： 虚拟机仅部署到设计为用于虚拟化工作负载的节点上。 Operator 仅在基础架构节点上部署。 某些节点不会受到 OpenShift Virtualization 的影响。例如，您有与集群中运行的虚拟化不相关的 调度到使用您在此字段中指定的键值对标记的节点上。节点必须具有与所有列出的对完全 匹配的标签。 关 关联 联性 性 可让您使用更宽松的语法来设置与 pod 匹配的规则。关联性也允许在规则应用方面更加精细。例如，  OpenShift Container Platform 4.13 虚 虚拟 拟化 化 50 1 1 可让您使用更宽松的语法来设置与 pod 匹配的规则。关联性也允许在规则应用方面更加精细。例如，