OPERATOR 目录 2.7. 多租户集群中的 OPERATOR 2.8. CRD 第 第 3 章 章 用 用户 户任 任务 务 3.1. 从已安装的 OPERATOR 创建应用程序 3.2. 在命名空间中安装 OPERATOR 第 第 4 章 章 管理 管理员 员任 任务 务 4.1. 在集群中添加 OPERATOR 4.2. 更新安装的 OPERATOR 4.3. 从集群中删除 OPERATOR Java-based Operators, 和 Helm-based Operators。 使用 Operator SDK 来构建、测试并部署 Operator。 安装 Operator 并订阅命名空间。 通过 Web 控制台 从已安装的 Operator 创建应用程序。 其他 其他资源 源 Operator 开发人员的机器删除生命周期 hook 示例 1.2. 对于管理员 作为集群管理员，您可以执行以下 是为一组部署的工作负载（通常由命名空间或项目表示）共享共 同访问权限和特权的用户或组。您可以使用租户在不同的组或团队之间提供一定程度的隔离。 当集群由多个用户或组共享时，它被视为 多租户 集群。 2.3.1.11. operator 组 Operator 组将部署在同一命名空间中的所有 Operator 配置为 OperatorGroup 对象，以便在一系列命名 空间或集群范围内监视其 CR。

pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 类型服务添 加到集群中时，MetalLB 可为该服务添加外部 IP 地址。 multicast 通过使用 IP 多播，数据可同时广播到许多 IP 地址。 命名空 命名空间 间 命名空间隔离所有进程可见的特定系统资源。在一个命名空间中，只有属于该命名空间的进程才能看 到这些资源。 networking OpenShift Container Platform 集群的网络信息。 node OpenShift OpenShift Container Platform 内置的 OAuth 服务器集成。 namespaceSelector namespaceSelector 用来过滤由 Ingress 控制器提供服务的一组命名空间。这 对实现分片（shard）非常有用。 routeSelector routeSelector 用于由 Ingress Controller 提供服务的一组 Routes。这对实现分 片（shard）非常有用。

pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0 类型服务添 加到集群中时，MetalLB 可为该服务添加外部 IP 地址。 multicast 通过使用 IP 多播，数据可同时广播到许多 IP 地址。 命名空 命名空间 间 命名空间隔离所有进程可见的特定系统资源。在一个命名空间中，只有属于该命名空间的进程才能看 到这些资源。 networking OpenShift Container Platform 集群的网络信息。 node OpenShift 21 1 2 3 这允许 Operator 使用基于 Server 的额外服务器配置块来创建和更新名为 dns-default 的 ConfigMap。如果没有服务器带有与查询匹配的区，则命名解析功能会返回到由 /etc/resolv.conf中指定的名称服务器。 DNS 示例 示例 name 必须符合 rfc6335 服务名称的语法。 zones 必须符合 rfc1123 中的一个

AWS(ROSA)上的 Red Hat OpenShift 的服务网格支持，包括多集群联邦。 1.2.2.4.4. istio-node DaemonSet 重命名 在此发行版本中，istio-node DaemonSet 被重命名为 istio-cni-node，以匹配上游 Istio 中的名称。 1.2.2.4.5. Envoy sidecar 网络更改 Istio 1.10 更新了 Envoy，默认使用 OpenShift distributed tracing 平台 Operator 被默认安装到 openshift- distributed-tracing 命名空间。在以前的版本中，默认安装已在 openshift-operator 命名空间中。 1.2.2.10.1. Red Hat OpenShift Service Mesh 2.1.2 版中包含的组件版本 组 组件 件 版本 版本 Istio Kiali 1.36.7 1.2.2.11.2. 禁用网络策略 Red Hat OpenShift Service Mesh 自动在 Service Mesh control plane 和应用程序命名空间中创建和管理 多个 NetworkPolicies 资源。这是为了确保应用程序和 control plane 可以相互通信。 如果要禁用自动创建和管理 NetworkPolicies 资源，例如为了强制执行公司安全策略，您可以编辑

. . . . . . . . . . . . . . . . . . . 6.8.5.1. 通过路由标签（label）配置 Ingress Controller 分片 6.8.5.2. 使用命名空间标签配置 Ingress Controller 分片 6.8.6. 配置 Ingress Controller 以使用内部负载均衡器 6.8.7. 将集群的默认 Ingress Controller IP 地址分配 13.2.1.1. 使用自动分配的出口 IP 地址时的注意事项 13.2.1.2. 使用手动分配出口 IP 地址时的注意事项 13.2.2. 为一个命名空间启用自动分配出口 IP 地址 13.2.3. 为一个命名空间配置手动分配出口 IP 地址 13.3. 为项目配置出口防火墙 13.3.1. 出口防火墙在一个项目中的工作原理 13.3.1.1. 出口防火墙的限制 13 OPENSHIFT SDN 集群网络供应商迁移 14.2.1. 迁移到 OVN-Kubernetes 网络供应商 14.2.1.1. 迁移到 OVN-Kubernetes 网络供应商时的注意事项 命名空间隔离 出口 IP 地址 出口网络策略 出口路由器 pod 多播 网络策略 14.2.1.2. 迁移过程如何工作 14.2.2. 迁移至 OVN-Kubernetes 默认 CNI 网络供应商

new-app命令创建新应用程序。 输 输出示例 出示例 2.1.4.3. 查 查看 看 pod 使用oc get pods命令查看当前项目的 pod。 注意 注意 当您在 pod 中运行 oc 且没有指定命名空间时，默认使用 pod 的命名空间。 输 输出示例 出示例 2.1.4.4. 查 查看 看 pod 日志 日志 使用oc logs命令查看特定 pod 的日志。 输 输出示例 出示例 2.1.4.5. 查 config view apiVersion: v1 clusters: OpenShift Container Platform 4.10 CLI 工具 工具 18 更新当前上下文以便用户登录到所需的命名空间： 检查当前上下文，确认是否实施了更改： 所有后续 CLI 操作都使用新的上下文，除非通过覆盖 CLI 选项或直至上下文切换为止。 2.3.3. 载入和合并规则 您可以在为 CLI 配置发出加载和合并顺序的 注意，您无法使用插件来覆盖现有的 oc 命令。 流程 流程 此过程创建一个简单的Bash插件，它的功能是在执行oc foo命令时将消息输出到终端。 1. 创建一个名为oc-foo的文件。 在命名插件文件时，请记住以下几点： 该文件必须以 oc- 或 kubectl- 开头，才能被识别为插件。 文件名决定了调用该插件的命令。例如，可以通过 oc foo bar 命令调用文件名为 oc-foo-bar

new-app命令创建新应用程序。 输 输出示例 出示例 2.1.4.3. 查 查看 看 pod 使用oc get pods命令查看当前项目的 pod。 注意 注意 当您在 pod 中运行 oc 且没有指定命名空间时，默认使用 pod 的命名空间。 输 输出示例 出示例 2.1.4.4. 查 查看 看 pod 日志 日志 使用oc logs命令查看特定 pod 的日志。 输 输出示例 出示例 2.1.4.5. 查 config view apiVersion: v1 clusters: OpenShift Container Platform 4.8 CLI 工具 工具 18 更新当前上下文以便用户登录到所需的命名空间： 检查当前上下文，确认是否实施了更改： 所有后续 CLI 操作都使用新的上下文，除非通过覆盖 CLI 选项或直至上下文切换为止。 2.3.3. 载入和合并规则 您可以在为 CLI 配置发出加载和合并顺序的 注意，您无法使用插件来覆盖现有的 oc 命令。 流程 流程 此过程创建一个简单的Bash插件，它的功能是在执行oc foo命令时将消息输出到终端。 1. 创建一个名为oc-foo的文件。 在命名插件文件时，请记住以下几点： 该文件必须以 oc- 或 kubectl- 开头，才能被识别为插件。 文件名决定了调用该插件的命令。例如，可以通过 oc foo bar 命令调用文件名为 oc-foo-bar

view your app. OpenShift Container Platform 4.13 CLI 工具 工具 12 注意 注意 当您在 pod 中运行 oc 且没有指定命名空间时，默认使用 pod 的命名空间。 输 输出示例 出示例 2.1.5.4. 查 查看 看 pod 日志 日志 使用oc logs命令查看特定 pod 的日志。 输 输出示例 出示例 2.1.5.5. 查 Platform 发行版本，并基于标准 Kubernetes 原语构建。 身份 身份验证 验证 oc 二进制文件提供了一个用于身份验证的内置 login 命令，并可让您使用项目，将 Kubernetes 命名空间映射到经过身份验证的用户。如需更多信息，请阅读了解身份验证。 附加命令 附加命令 例如，借助附加命令 oc new-app 可以更轻松地使用现有源代码或预构建镜像来启动新的应用程 序。同样，附加命令 default/openshift1-example-com/alice kind: Config preferences: {} 第 第 2 章 章 OPENSHIFT CLI (OC) 21 更新当前上下文以便用户登录到所需的命名空间： 检查当前上下文，确认是否实施了更改： 所有后续 CLI 操作都使用新的上下文，除非通过覆盖 CLI 选项或直至上下文切换为止。 2.4.3. 载入和合并规则 您可以在为 CLI 配置发出加载和合并顺序的

并重新尝试在合理的时间内发送失败消息。(LOG-2534) 在此次更新之前，网关组件强制租期中的错误，用于读取带有 Kubernetes 命名空间的日志的有限 访问会导致 "audit" 以及一些 "infrastructure" 日志不可读取。在这个版本中，代理可以正确地检 测到具有 admin 访问权限的用户，并允许在没有命名空间的情况下访问日志。(LOG-2448) 在此次更新之前，system:serviceaccount 服务帐户 将集群级别权限作为 clusterrole 和 clusterrolebinding。在这个版本中，服务帐户使用角色和 rolebinding 限制到 openshift-logging 命名空间。(LOG-2437) 在此次更新之前，Linux 审计日志时间解析依赖于键/值对的正序位置。此更新会将解析更改为使 用正则表达式来查找时间条目。(LOG-2321) 1.8.2. CVE Installed Namespace 下，选择 openshift-operators-redhat。 您必须指定 openshift-operators-redhat 命名空间。openshift-operators 命名空间可能会 包含社区提供的 operator。这些 operator 不被信任，其发布的 metric 可能与 OpenShift Container Platform metric

19. 虚拟机磁盘 第 第 9 章 章 虚 虚拟 拟机模板 机模板 9.1. 创建虚拟机模板 9.2. 编辑虚拟机模板 9.3. 为虚拟机模板启用专用资源 9.4. 将虚拟机模板部署到自定义命名空间 9.5. 删除虚拟机模板 第 第 10 章 章 实时 实时迁移 迁移 10.1. 虚拟机实时迁移 10.2. 实时迁移限制和超时 10.3. 迁移虚拟机实例到另一节点 10.4. 在专用额外网络中迁移虚拟机 原因、诊断问题来源的故障排除过程以及解决每个警报的步骤。 集群管理员现在可以使用 OpenShift API 进行 OpenShift Virtualization 插件的数据保护 来备份包 含虚拟机的命名空间。 管理员现在可以通过编辑 HyperConverged CR 来声明性 创建和公开介质设备，如虚拟图形处理 单元(vGPU)。然后，虚拟机所有者可将这些设备分配给虚拟机。 您可以通过将单个 421) 作为临时解决方案，请手动添加 RBAC 规则来允许特定用户添加磁盘。 web 控制台不显示部署到自定义命名空间的虚拟机模板。仅部署到 default 命名空间的模板才会 显示在 web 控制台中。(BZ#2054650) 作为临时解决方案，请避免将模板部署到自定义命名空间中。 在单节点 OpenShift(SNO)集群中，如果 VMI 的 spec.evictionStrategy