Docker 格式容器镜像的工具。它通过将应用程序源 代码注入容器镜像并汇编新镜像来生成可随时运行的镜像。新镜像融合了基础镜像（构建器）和构建的源 代码，并可搭配 buildah run 命令使用。S2I 支持递增构建，可重复利用以前下载的依赖项和过去构建的 工件等。 S2I 的优点包括： 镜像灵活性 可以编写 S2I 脚本，将应用程序代码注入到几乎所有现有的 Docker 格式容器镜像，以此利用 格式容器镜像，以此利用 现有的生态系统。请注意，S2I 目前依靠 tar 来注入应用程序源代码，因此镜像需要能够处理 tar 压缩的内容。 OpenShift Container Platform 4.4 构 构建（ 建（build） ） 4 速度 使用 S2I 时，汇编过程可以执行大量复杂操作，无需在每一步创建新层，进而能实现快速的流 程。此外，可以编写 S2I 脚本来重复利用应用程序镜像的旧版本，而不必在每次运行构建时下 类型的操作。因为这类操作可能 会减慢开发迭代速度。 生态系统 S2I 倡导共享镜像生态系统，您可以将其中的最佳实践运用于自己的应用程序。 可重复生成性 生成的镜像可以包含所有输入，包括构建工具和依赖项的特定版本。这可确保精确地重新生成 镜像。 1.1.3. Custom 构建 采用 Custom 构建策略时，开发人员可以定义负责整个构建过程的特定构建器镜像。通过利用自己的构建 器镜像，可以自定义构建流程。

准备安装 SERVICE MESH 1.7. 安装 OPERATOR 1.8. 创建 SERVICEMESHCONTROLPLANE 1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17 过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1. 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始： Proxyless Service Mesh 是一个技术预览功能。 Telemetry API 是一个技术预览功能。 发现选择器功能不受支持。 外部 control plane 不受支持。 网关注入不受支持。 1.2.2.4.8. Kubernetes Gateway API Kubernetes Gateway API 是一个技术预览功能，默认为禁用。 要启用这个功能，请在 ServiceMeshControlPlane

过信任度不同的网络进行传输。 策略 策略强 强制 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥 遥测 测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.3.3. Red Hat OpenShift Service Mesh 1.1.2 版中包含的组件版本 组 组件 件 版本 版本 Istio sidecar 注入。在创建 pod OpenShift Container Platform 4.2 Service Mesh 6 MAISTRA-453 如果创建新项目并立即部署 pod，则不会进行 sidecar 注入。在创建 pod 前，operator 无法添加 maistra.io/member-of ，因此必须删除 pod 并重新创建它以执行 sidecar 注入操作。 MAISTRA-193 istio-proxy 中的分段错误。 MAISTRA-932 添加了 requires 元数据，以添加 Jaeger operator 和 Elasticsearch operator 之间 的依赖关系。确保在安装 Jaeger operator 时，它将自动部署 Elasticsearch operator（如果不可 用）。 MAISTRA-862 Galley 在多次命名空间删除和重新创建后丢弃了监控并停止了向其他组件提供配

Source-to-Image (S2I) 是一种用于构建可重复生成的容器镜像的工具。它通过将应用程序源代码注入容 器镜像并汇编新镜像来生成可随时运行的镜像。新镜像融合了基础镜像（构建器）和构建的源代码，并可 搭配 buildah run 命令使用。S2I 支持递增构建，可重复利用以前下载的依赖项和过去构建的工件等。 2.1.1.3. Custom 构 构建 建 采用自定义构建策略时，开发人员可 13 CI/CD 12 要在现有构建配置上设置源克隆 secret，请输入以下命令： 2.3.4.2.3. 从 从 .gitconfig 文件 文件创 创建 建 secret 如果克隆应用程序要依赖于 .gitconfig 文件，您可以创建包含它的 secret。将它添加到 builder 服务帐户 中，再添加到您的 BuildConfig 。 流程 流程 从 .gitconfig 文件创建 和配置映射 重要 重要 要防止输入 secret 和配置映射的内容出现在构建输出容器镜像中，请使用 Docker 构 建和源至镜像构建策略中的构建 卷。 有时候，构建操作需要凭证或其他配置数据才能访问依赖的资源，但又不希望将这些信息放在源代码控制 中。您可以定义输入 secret 和输入配置映射。 例如，在使用 Maven 构建 Java 应用程序时，可以设置通过私钥访问的 Maven Central

Platform 中默认部署。 这些工具可组合使用，因此您可自由选择对您有用的工具。 2.1.3. Operator 成熟度模型 Operator 内部封装的管理逻辑的复杂程度各有不同。该逻辑通常还高度依赖于 Operator 所代表的服务类 型。 对于大部分 Operator 可能包含的特定功能集来说，可以大致推断出 Operator 封装操作的成熟度等级。就 此而言，以下 Operator 成熟度模型针对 yaml 文件为准，因为依赖这些注解的集群 Operator Registry 只能访问此文件。 2.2.1.3. 依 依赖项 Operator 的依赖项列在捆绑包的 metadata/ 目录中的 dependencies.yaml 文件中。此文件是可选的，目 前仅用于指明 Operator-version 依赖项。 依赖项列表中，每个项目包含一个 type 字段，用于指定这一依赖项的类型。支持以下 Operator 依赖项： olm.package 这个类型表示特定 Operator 版本的依赖项。依赖项信息必须包含软件包名称以及软件包的版本，格式 为 semver。例如，您可以指定具体版本，如 0.5.2，也可指定一系列版本，如 >0.5.1。 olm.gvk 使用这个类型，作者可以使用 group/version/kind(GVK)信息指定依赖项，类似于 CSV 中现有 CRD

（如网络、存储和身份验证）实施不同的技术来扩展 Kubernetes 的功能。 1.1.2. 容器化应用程序的好处 与使用传统部署方法相比，使用容器化应用程序具有许多优势。过去应用程序要安装到包含所有依赖项的 操作系统上，容器能让一个应用程序随身携带自己的依赖项。创建容器化应用程序有很多好处。 1.1.2.1. 操作系 操作系统的好 的好处 容器使用不含内核的小型专用 Linux 操作系统。它们的文件系统、网络、cgroups、进程表和命名空间与 系统分开，但容器可以在必要时与主机无缝集成。容器以 Linux 为基础，因此可以利用快速创 新的开源开发模型带来的所有优势。 因为每个容器都使用专用的操作系统，所以您能够在同一主机上部署需要冲突软件依赖项的不同应用程 序。每个容器都带有各自的依赖软件，并且管理自己的接口，如网络和文件系统，因此应用程序无需争用 这些资产。 1.1.2.2. 部署和 部署和扩展 展优势 如果您在应用程序的主要版本之间进行滚动升级，则可 架构 构 3 您还可以与现有版本一起部署和测试应用程序的新版本。在部署了当前版本的同时，还部署应用程序的新 版本。容器通过测试后，只要部署更多新容器并删除旧容器便可。 由于应用程序的所有软件依赖项都在容器本身内解决，因此数据中心的每台主机上都能使用通用操作系 统。您无需逐一为应用主机配置特定的操作系统。当数据中心需要更多容量时，您可以部署另一个通用主 机系统。 同样，扩展容器化应用程序也很简单。OpenShift

（如网络、存储和身份验证）实施不同的技术来扩展 Kubernetes 的功能。 2.1.2. 容器化应用程序的好处 与使用传统部署方法相比，使用容器化应用程序具有许多优势。过去应用程序要安装到包含所有依赖项的 操作系统上，容器能让一个应用程序随身携带自己的依赖项。创建容器化应用程序有很多好处。 2.1.2.1. 操作系 操作系统的好 的好处 容器使用不含内核的小型专用 Linux 操作系统。它们的文件系统、网络、cgroups、进程表和命名空间与 系统分开，但容器可以在必要时与主机无缝集成。容器以 Linux 为基础，因此可以利用快速创 新的开源开发模型带来的所有优势。 因为每个容器都使用专用的操作系统，所以您能够在同一主机上部署需要冲突软件依赖项的不同应用程 序。每个容器都带有各自的依赖软件，并且管理自己的接口，如网络和文件系统，因此应用程序无需争用 这些资产。 2.1.2.2. 部署和 部署和扩展 展优势 如果您在应用程序的主要版本之间进行滚动升级，则可 Container Platform 4.7 架 架构 构 6 您还可以与现有版本一起部署和测试应用程序的新版本。容器通过测试后，只要部署更多新容器并删除旧 容器便可。 由于应用程序的所有软件依赖项都在容器本身内解决，因此数据中心的每台主机上都能使用标准的操作系 统。您无需逐一为应用主机配置特定的操作系统。当数据中心需要更多容量时，您可以部署另一个通用主 机系统。 同样，扩展容器化应用程序也很简单。OpenShift

负责执行集群用户工作负载的节点。Compute 节点也称为 worker 节点。 配置偏移 配置偏移 在节点上配置与机器配置指定的内容不匹配的情况。 containers 包括软件及其所有依赖项的轻量级和可执行镜像。由于容器虚拟化操作系统，您可以在任何位置运行 容器，从数据中心到公共或私有云到本地主机。 容器 容器编 编配引擎 配引擎 用于实现容器部署、管理、扩展和联网的软件。 容器工作 （如网络、存储和身份验证）实施不同的技术来扩展 Kubernetes 的功能。 2.1.2. 容器化应用程序的好处 与使用传统部署方法相比，使用容器化应用程序具有许多优势。过去应用程序要安装到包含所有依赖项的 操作系统上，容器能让一个应用程序随身携带自己的依赖项。创建容器化应用程序有很多好处。 2.1.2.1. 操作系 操作系统 统的好 的好处 处 容器使用不含内核的小型专用 Linux 操作系统。它们的文件系统、网络、cgroups、进程表和命名空间与 系统分开，但容器可以在必要时与主机无缝集成。容器以 Linux 为基础，因此可以利用快速创 新的开源开发模型带来的所有优势。 因为每个容器都使用专用的操作系统，所以您能够在同一主机上部署需要冲突软件依赖项的不同应用程 序。每个容器都带有各自的依赖软件，并且管理自己的接口，如网络和文件系统，因此应用程序无需争用 这些资产。 2.1.2.2. 部署和 部署和扩 扩展 展优势 优势 如果您在应用程序的主要版本之间进行滚动

7.4. 使用案例： 在 pod 中使用配置映射 2.7.4.1. 使用配置映射在容器中填充环境变量 2.7.4.2. 使用配置映射为容器命令设置命令行参数 2.7.4.3. 使用配置映射将内容注入卷 2.8. 使用设备插件来利用 POD 访问外部资源 2.8.1. 了解设备插件 设备插件示例 2.8.1.1. 设备插件部署方法 2.8.2. 了解设备管理器 2.8.3. 启用设备管理器 提供此类信息。 操作 操作 用 用户 户 更多信息 更多信息 1.3. 关于容器 容器是 OpenShift Container Platform 应用的基本单元，其中包含打包的应用程序代码及其依赖项、库和 二进制文件。容器提供不同环境间的一致性和多个部署目标：物理服务器、虚拟机 (VM) 和私有或公有 云。 Linux 容器技术是隔离运行进程并仅限制对指定资源的访问的轻量机制。作为管理员，您可以在 映射中 映射中键 键关 关联 联的 的值 值由 由纯 纯文本字符串 文本字符串组 组成。 成。 您必 您必须 须先 先创 创建 建 secret，然后 ，然后创 创建依 建依赖 赖于此 于此 secret 的 的 Pod。 。 在 在创 创建 建 secret 时 时： ： 使用 使用 secret 数据 数据创 创建 建