. . . . . . . . . . . . . . . . . . 6.8.5.1. 通过路由标签（label）配置 Ingress Controller 分片 6.8.5.2. 使用命名空间标签配置 Ingress Controller 分片 6.8.6. 配置 Ingress Controller 以使用内部负载均衡器 6.8.7. 将集群的默认 Ingress Controller 额外网络的配置 11.2.3.4.1. macvlan 配置示例 11.2.4. 为额外网络配置 IP 地址分配 11.2.4.1. 静态 IP 地址分配配置 11.2.4.2. 动态 IP 地址(DHCP)分配配置 11.2.4.3. 使用 Whereabouts 进行动态 IP 地址分配配置 11.2.5. 使用 Cluster Network Operator 创建额外网络附加 11.2 以太网网络附加 12.5.1. 以太网设备配置对象 12.5.1.1. 为额外网络配置 IP 地址分配 12.5.1.1.1. 静态 IP 地址分配配置 12.5.1.1.2. 动态 IP 地址(DHCP)分配配置 12.5.1.1.3. 使用 Whereabouts 进行动态 IP 地址分配配置 12.5.2. 配置 SR-IOV 额外网络 12.5.3. 后续步骤 12.5.4. 其他资源

关于虚拟路由和转发 13.4. 配置多网络策略 13.5. 将 POD 附加到额外网络 13.6. 从额外网络中删除 POD 13.7. 编辑额外网络 13.8. 删除额外网络 13.9. 为 VRF 分配从属网络 第 第 14 章 章 硬件网 硬件网络 络 14.1. 关于单根 I/O 虚拟化（SR-IOV）硬件网络 14.2. 安装 SR-IOV NETWORK OPERATOR 14.3. 加密配置 16.6. 为项目配置出口防火墙 16.7. 查看项目的出口防火墙 16.8. 为项目编辑出口防火墙 16.9. 从项目中删除出口防火墙 16.10. 配置出口 IP 地址 16.11. 分配出口 IP 地址 16.12. 使用出口路由器 POD 的注意事项 16.13. 以重定向模式部署出口路由器 POD 16.14. 为项目启用多播 16.15. 为项目禁用多播 16.16. 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169

关于虚拟路由和转发 25.4. 配置多网络策略 25.5. 将 POD 附加到额外网络 25.6. 从额外网络中删除 POD 25.7. 编辑额外网络 25.8. 删除额外网络 25.9. 为 VRF 分配从属网络 第 第 26 章 章 硬件网 硬件网络 络 26.1. 关于单根 I/O 虚拟化（SR-IOV）硬件网络 26.2. 安装 SR-IOV NETWORK OPERATOR 26.3. 配置 27.11. 为项目配置出口防火墙 27.12. 查看项目的出口防火墙 27.13. 为项目编辑出口防火墙 27.14. 从项目中删除出口防火墙 27.15. 配置出口 IP 地址 27.16. 分配出口 IP 地址 27.17. 使用出口路由器 POD 的注意事项 27.18. 以重定向模式部署出口路由器 POD 27.19. 为项目启用多播 27.20. 为项目禁用多播 27.21. 跟踪网络流 SDN 网络插件 经认证的第三方替代主网络插件 用于网络插件管理的 Cluster Network Operator 用于 TLS 加密 Web 流量的 Ingress Operator 用于名称分配的 DNS Operator 用于裸机集群上的流量负载均衡的 MetalLB Operator 对高可用性的 IP 故障转移支持 通过多个 CNI 插件支持额外的硬件网络，包括 macvlan、ipvlan

19. 虚拟机磁盘 第 第 9 章 章 虚 虚拟 拟机模板 机模板 9.1. 创建虚拟机模板 9.2. 编辑虚拟机模板 9.3. 为虚拟机模板启用专用资源 9.4. 将虚拟机模板部署到自定义命名空间 9.5. 删除虚拟机模板 第 第 10 章 章 实时 实时迁移 迁移 10.1. 虚拟机实时迁移 10.2. 实时迁移限制和超时 10.3. 迁移虚拟机实例到另一节点 10.4. 在专用额外网络中迁移虚拟机 OpenShift API 进行 OpenShift Virtualization 插件的数据保护 来备份包 含虚拟机的命名空间。 管理员现在可以通过编辑 HyperConverged CR 来声明性 创建和公开介质设备，如虚拟图形处理 单元(vGPU)。然后，虚拟机所有者可将这些设备分配给虚拟机。 您可以通过将单个 NodeNetworkConfigurationPolicy 清单应用到集群 来传输附加到桥接的静 038985) OpenShift Container Platform 4.10 虚 虚拟 拟化 化 10 1 如果您置备虚拟机磁盘，OpenShift Virtualization 现在分配一个足够大的持久性卷声明(PVC)来 容纳请求的磁盘大小，而不是为每个虚拟机磁盘 PVC 发出 KubePersistentVolumeFillingUp 警 报。您可以从虚拟机本身监控磁盘使用情况。(BZ#2039489)

虚拟机磁盘 第 第 11 章 章 虚 虚拟 拟机模板 机模板 11.1. 创建虚拟机模板 11.2. 编辑虚拟机模板 11.3. 为虚拟机模板启用专用资源 11.4. 将虚拟机模板部署到自定义命名空间 11.5. 删除虚拟机模板 11.6. 创建并使用引导源 11.7. 管理自动引导源更新 第 第 12 章 章 实时 实时迁移 迁移 12.1. 虚拟机实时迁移 12.2. 实时迁移限制和超时 元素 描述 描述 YAML 开关 设置为 ON，以在 YAML 配置文件中查看您的实时更改。 Name VirtualMachine 名称 Namespace VirtualMachine 命名空间 标签 点编辑图标编辑标签。 注解 点编辑图标编辑注解。 描述 点编辑图标，以输入描述。 操作系统 操作系统名称 CPU|内存 点编辑图标编辑 CPU|Memory 请求。 CPU 数量通过以下公式来计算： 例 4.27. 详 详情 情标签页 标签页 元素 元素 描述 描述 YAML 开关 设置为 ON，以在 YAML 配置文件中查看您的实时更改。 Name 模板名称 Namespace 模板命名空间 标签 点编辑图标编辑标签。 注解 点编辑图标编辑注解。 显示名称 点编辑图标编辑显示名称。 描述 点编辑图标，以输入描述。 操作系统 操作系统名称 OpenShift Container

OG-2534) 在此次更新之前，网关组件强制租期中的错误，用于读取带有 Kubernetes 命名空间的日志的有限 访问会导致 "audit" 以及一些 "infrastructure" 日志不可读取。在这个版本中，代理可以正确地检 测到具有 admin 访问权限的用户，并允许在没有命名空间的情况下访问日志。(LOG-2448) 在此次更新之前，system:serviceaccount:o 服务帐户 将集群级别权限作为 clusterrole 和 clusterrolebinding。在这个版本中，服务帐户使用角色和 rolebinding 限制到 openshift-logging 命名空间。(LOG-2437) 在此次更新之前，Linux 审计日志时间解析依赖于键/值对的正序位置。此更新会将解析更改为使 用正则表达式来查找时间条目。(LOG-2321) 1.8.2. CVE 例 Installed Namespace 下，选择 openshift-operators-redhat。 您必须指定 openshift-operators-redhat 命名空间。openshift-operators 命名空间可能会 包含社区提供的 operator。这些 operator 不被信任，其发布的 metric 可能与 OpenShift Container Platform metric

Elasticsearch JVM 堆使用率是高 12.5.7. 聚合日志记录系统 CPU 为高 12.5.8. Elasticsearch 进程 CPU 为高 12.5.9. Elasticsearch 磁盘空间现为低 12.5.10. Elasticsearch FileDescriptor 使用为高 第 第 13 章 章 卸 卸载 载 OPENSHIFT LOGGING 13.1. 从 OPENSHIFT ClusterLogForwarder 自定义资源 (CR) YAML 文件中配置 inputs[].application.selector.matchLabels 元素来收集日志数据。您还可以按命名空间过滤收 集的日志数据。（LOG-883） 此发行版本将以下新的 ElasticsearchNodeDiskWatermarkReached 警告添加到 OpenShift Elasticsearch 水位线 线阈值时，警报会应用过去几个警告。这个警告周期为您提供了在节点达到磁盘水位线阈值 前响应的时间。警告消息也提供故障排除步骤的链接，您可以按照这些链接来帮助缓解问题。EO 应用过去几小时的磁盘空间数据到线性模型来生成这些警告。（LOG-1100） JSON 日志现在可以作为 JSON 对象（而不是带引号的字符串）转发到红帽受管 Elasticsearch 集 第 第 1 章 章 RED HAT

1. 关于性能配置集创建器 17.2. 其他资源 第 第 18 章 章 单节 单节点 点 OPENSHIFT 上的工作 上的工作负载 负载分区 分区 18.1. 使用工作负载分区最大化 CPU 分配 第 第 19 章 章 处 处于 于边缘 边缘网 网络 络的集群 的集群 19.1. 网络边缘的挑战 19.2. 为 ZTP 准备 HUB 集群 19.3. 使用 RHACM 和 SITECONFIG CONTROL PLANE 节点大小 控制平面节点资源要求取决于集群中的节点和对象的数量和类型。以下控制平面节点大小是基于控制平面 密度测试的结果，或 Clusterdensity。此测试会在给定很多命名空间中创建以下对象： 1 个镜像流 1 个构建 5 个部署，其中 2 个 pod 副本处于睡眠 睡眠状态，每个状态都挂载 4 个 secret、4 个配置映射和 1 Downward API 卷 个路由指向上一个服务的第一个路由 包含 2048 个随机字符串字符的 10 个 secret 10 个配置映射包含 2048 个随机字符串字符 worker 节 节点数量 点数量 集群密度（命名空 集群密度（命名空间 间） ） CPU 内核 内核 内存 内存 (GB) 24 500 4 16 120 1000 8 32 252 4000 16 64 501 4000 16 96 在具有三个 master

集群中的节点分配资源 5.10.1. 了解如何为节点分配资源 5.10.1.1. OpenShift Container Platform 如何计算分配的资源 5.10.1.2. 节点如何强制实施资源限制 5.10.1.3. 了解驱除阈值 5.10.1.4. 调度程序如何确定资源可用性 5.10.2. 自动为节点分配资源 5.10.3. 手动为节点分配资源 5.11. 为集群中的节点分配特定 CPU 8.1. 了解端口转发 6.8.2. 使用端口转发 6.8.3. 用于从客户端发起端口转发的协议 6.9. 在容器中使用 SYSCTL 6.9.1. 关于 sysctl 6.9.1.1. 命名空间和节点级 sysctl 6.9.1.2. 安全与不安全 sysctl 6.9.2. 为 pod 设置 sysctl 6.9.3. 启用不安全 sysctl 第 第 7 章 章 操作集群 操作集群 放置，而 control plane 节点没有；您可以通过将 worker 节点配置为不可调度，并将 control plane 节点配 置为可以调度。 使用 system-reserved 设置为节点分配资源。您可以允许 OpenShift Container Platform 自动决 定节点的最佳 system-reserved CPU 和内存资源，也可以手动决定并为节点设置最佳资源。 根据节点

7.9. 配置 OPENID CONNECT 身份提供程序 第 第 8 章 章 使用 使用 RBAC 定 定义 义和 和应 应用 用权 权限 限 8.1. RBAC 概述 8.2. 项目和命名空间 8.3. 默认项目 5 5 6 7 8 8 8 9 11 11 11 11 12 13 14 16 17 19 19 19 20 21 22 22 22 23 25 25 使用卷投射配置绑定服务帐户令牌 14.3. 在 POD 外部创建绑定服务帐户令牌 第 第 15 章 章 管理安全性上下文 管理安全性上下文约 约束 束 15.1. 关于安全性上下文约束 15.2. 关于预分配安全性上下文约束值 15.3. 安全性上下文约束示例 15.4. 创建安全性上下文约束 15.5. 基于角色的对安全性上下文限制的访问 15.6. 安全性上下文约束命令参考 15.7. 其他资源 Operator（CCO）的默认和推荐的最佳实践设置，用于支持它的平台。 在这个模式下，CCO 使用提供的管理员级云凭证为集群中组件创建新凭证，且只具有所需的特定权 限。 namespace 命名空间隔离所有进程可见的特定系统资源。在一个命名空间中，只有属于该命名空间的进程才能看 到这些资源。 node 节点是 OpenShift Container Platform 集群中的 worker 机器。节点是虚拟机 (VM) 或物理计算机。