OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL 3.7. OAUTH 服务器元数据 3.8. OAUTH API 事件故障排除 第 第 4 章 章 身份 身份验证 验证和授 和授权 权概述 概述 5 OAuth 服 服务 务器 器 OpenShift Container Platform control plane 包含内置的 OAuth 服务器，用于决定用户身份来自配置 的身份提供程序并创建访问令牌。 OpenID Connect OpenID Connect 是一种协议，用于验证用户使用单点登录(SSO)来访问使用 OpenID 规用 用户 户 首次登录时或通过 API 自动创建的用户。 请 请求 求标头 标头(Request header) 请求标头是一个 HTTP 标头，用于提供有关 HTTP 请求上下文的信息，以便服务器可以跟踪请求的响 应。 基于角色的 基于角色的访问 访问控制 控制 (RBAC) 重要的安全控制，以确保集群用户和工作负载只能访问执行其角色所需的资源。 服 服务帐户 务帐户 服务帐户供集群组件或应用程序使用。

Ansible 配置选项列表，请参阅 Configuring Ansible 部分。 重要 重要 并行行为可能会认为内容源，如您的镜像 registry 或 Red Hat Satellite 服务器。准备服务 器的基础架构 pod 和操作系统补丁可帮助防止出现这个问题。 从最低延迟控制节点（LAN 速度）运行安装程序。不建议在广域网络(WAN)上运行，因此不会因为丢失 的网络连接运行安装。 基础架构中最常用的数据路径也介于 OpenShift Container Platform master 主机和 etcd 之间。OpenShift Container Platform API 服务器（master 二进 制的一部分）在节点状态、网络配置、secret 等方面咨询 etcd。 通过以下方法优化此流量路径： 在 master 主机上运行 etcd。默认情况下，etcd 在所有 master fig.yaml 中的以下设置可以减少这个缓存大小： 发送到 API 服务器的客户端请求或 API 调用数量由每秒的 Queries(QPS)值和 API 服务器处理的并发请求 数决定。客户端可能会过量 QPS 速率发出的请求数量取决于突发值，这对具有极限的应用程序来说非常 有用，并可执行不监管的请求数量。当 API 服务器处理大量并发请求时，对请求的响应时间，特别是大型 和/或高密度的集群。建议您监控

OpenShift for Windows Containers 为在 OpenShift Container Platform 上运行 Microsoft Windows Server 容器提供了内置的支持。本指南提供所有详细信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows 实例 重新使用 Windows Server 虚拟机并将其引入 OpenShift Container Platform。BYOH Windows 实例让希望降低 Windows 服务器离线时发生重大中断的 用户受益。您可以使用 BYOH Windows 实例作为 OpenShift Container Platform 4.8 及更新的版本的节 点。 您可以通过执行以下操作 禁用 OpenShift for Windows Containers 为在 OpenShift Container Platform 上运行 Microsoft Windows Server 容器提供了内置的支持。对于使用 Linux 和 Windows 工作负载管理异构环境的管理 员，OpenShift Container Platform 允许您部署在 Windows Server 容器上运行的 Windows

节点上的每个节点的最大 pod： 输入机器配置池中的标签。 添加 kubelet 配置。在本例中，使用 maxPods 设置每个节点的最大 pod。 注意 注意 kubelet 与 API 服务器进行交互的频率取决于每秒的查询数量 (QPS) 和 burst 值。 如果每个节点上运行的 pod 数量有限，使用默认值（kubeAPIQPS 为 50，kubeAPIBurst 为 100）就可以。如果节点上有足够 以下硬盘功能提供最佳的 etcd 性能： 支持快速读取操作的低延迟。 高带宽写入，实现更快速的压缩和碎片处理。 高带宽读取，加快从故障恢复。 固态硬盘是最小的选择，NVMe 驱动器是首选的。 来自不同制造商的服务器级硬件可以提高可靠性。 RAID 0 技术以提高性能。 专用 etcd 驱动器。不要将日志文件或其他重重工作负载放在 etcd 驱动器中。 注意 注意 第 第 1 章 章 推荐的主机 推荐的主机实 使用 HyperPAV 在 z/VM 上的 Linux guest 上扩展 HyperPAV 别名设备 2.6. IBM Z 主机上的 RHEL KVM 建议 优化 KVM 虚拟服务器环境很大程度上取决于虚拟服务器的工作负载和可用资源。增强一个环境中性能的 相同操作可能会对另一种环境产生负面影响。为特定设置找到最佳平衡可能是一项挑战，通常需要进行各 种试验。 下面的部分论述了在 IBM Z 和

基本设置和登录 oc login 命令是初始设置 CLI 的最佳方法，它充当大部分用户的入口点。互动流程可帮助您使用提供的凭 证建立与 OpenShift Container Platform 服务器的会话。信息自动保存在 CLI 配置文件中，然后用于后续 的命令。 以下示例显示了使用 oc login 命令进行交互式设置和登录： $ echo $PATH $ tar -xf 输 输出示例 出示例 该命令提示输入 OpenShift Container Platform 服务器 URL。 命令会提示输入登录凭证：用户名和密码。 会话会根据服务器建立，并接收会话令牌。 如果您没有项目，则会提供关于如何创建项目的信息。 完成 CLI 配置后，后续的命令使用服务器、会话令牌和项目信息的配置文件。 您可以使用 oc logout 命令从 CLI 注销： 输 输出示例 ： 2.5. CLI 配置文件 CLI 配置文件会永久存储 oc 选项，并包含一系列与 nicknames 相关的 身份验证机制 和 OpenShift Container Platform 服务器连接信息。 如上一节中所述，oc login 命令会自动创建和管理 CLI 配置文件。通过该命令收集的所有信息都存储在 ~/.kube/config 下的配置文件中。使用以下命令可以查看当前的 CLI

5.11. 使用 SCORECARD 工具验证 OPERATOR 5.12. 验证 OPERATOR 捆绑包 5.13. 高可用性或单节点集群检测和支持 5.14. 使用 PROMETHEUS 配置内置监控 5.15. 配置领导选举机制 5.16. 为多平台支持配置 OPERATOR 项目 5.17. 基于 GO 的 OPERATOR 的对象修剪工具 4 4 4 5 6 6 7 23 功能丰富，所有平台均有对应的客户端，并可插入到集群的访问控制/审核中。Operator 会 使用 Kubernetes 的扩展机制“自定义资源定义 (CRD)”支持您的自定义对象，如 MongoDB，它类似于 内置的原生 Kubernetes 对象。 Operator 与 与 Service Broker 的比 的比较？ ？ 服务代理（service broker）是实现应用程序的编程发现和部署的一个步骤。但它并非一个长时间运行 配置为与普通置 与普通置备程序一起使用的 程序一起使用的 Bundle 对象示例 象示例 注意 注意 捆绑包在创建后被视为不可变。 2.2.3.1.1. 捆绑包不可 包不可变 在 API 服务器接受 Bundle 对象后，捆绑包被视为 RukPak 系统的其余部分的不可变工件。这个行为强制 捆绑包代表集群中要 source 的一些唯一静态内容。用户可以放心，特定捆绑包指向特定的清单集合，在

Kiali 控制台访问相关服务（如分布式追踪平台和 Grafana）时，必须使用 OpenShift Container Platform 登录凭证接受证书并重新进行身份验证。这是因为框架如何显示控制台中的 内置页面中存在问题。 Bookinfo 示例应用程序不能安装在 IBM Z 和 IBM Power 上。 IBM Z 和 IBM Power 不支持 WebAsembly 扩展。 IBM Power 项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的服务网格中。您 可以使用 Service Mesh control plane 功能配置和管理 Service Mesh。 Red Hat OpenShift 依靠 Prometheus 获取指标数据、健康状况和网格拓扑。 Jaeger - Red Hat OpenShift Service Mesh 支持分布式追踪平台。Jaeger 是一个开源可追踪性 服务器，可以集中并显示与多个服务间单一请求关联的 trace。利用分布式追踪平台，您可以监控 基于微服务的分布式系统并进行故障排除。 Elasticsearch - Elasticsearch 是一个开源、分布式、基于

OpenShift for Windows Containers 为在 OpenShift Container Platform 上运行 Microsoft Windows Server 容器提供了内置的支持。本指南提供所有详细信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 支持使用在以下云供应商上运行的安装程序置备的基础架构构建的自助管理集群： Amazon Web Services (AWS) Microsoft Azure WMCO 的初始发行版本支持以下 Windows 服务器操作系统： Windows Server Long-Term Servicing Channel（LTSC）：Windows Server 2019 重要 在受限网络或断开连接的环境中的集群不支持运行 OpenShift for Windows Containers 为在 OpenShift Container Platform 上运行 Microsoft Windows Server 容器提供了内置的支持。对于使用 Linux 和 Windows 工作负载管理异构环境的管理 员，OpenShift Container Platform 允许您部署在 Windows Server 容器上运行的 Windows

Delete Project 界面时，在字段中输入要删除的项目名称。 5. 点击 Delete。 2.1.12. 使用 CLI 删除项目 当您删除项目时，服务器会将项目状态从 Active 更新为 Terminating。在最终移除项目前，服务器会清 除处于 Terminating 状态的项目中的所有内容。项目处于 Terminating 状态时，您无法将新的内容添加 到这个项目中。可以从 CLI 项 项目 目 11 2.3.1. 关于项目创建 OpenShift Container Platform API 服务器根据项目模板自动置备新的项目，模板通过集群的项目配置资 源中的 projectRequestTemplate 参数来标识。如果没有定义该参数，API 服务器会创建一个默认模板， 该模板将以请求的名称创建项目，并将请求用户分配至该项目的 admin 角色。 提交项目请求时，API Platform 上的软件交付过程创建 CI/CD 管 道。 Serverless：探索 Serverless 选项，在 OpenShift Container Platform 中创建、构建和部署无状 态和无服务器应用程序。 Channel：创建一个 Knative 频道以创建一个事件转发，使用内存的持久性层以及可靠的实现 示例：探索可用的示例应用程序，以快速创建、构建和部署应用程序。 From Local

elet 进程维护工作和节点服务器的状态。kubelet 管理网络流量和端口转发。kubelet 管理仅由 Kubernetes 创建的容器。 kube-proxy:: Kube-proxy 在集群的每个节点上运行，并维护 Kubernetes 资源之间的网络流量。 Kube-proxy 可确保网络环境被隔离并可访问。 DNS：集群 DNS 是一个 DNS 服务器，它为 Kubernetes 服务提供 服务提供 DNS 记录。由 Kubernetes 启 动的容器会在其 DNS 搜索中自动包含此 DNS 服务器。 读 读取操作 取操作 通过读操作，管理员可以或开发人员获取 OpenShift Container Platform 集群中节点的信息。 列出集群中的所有节点。 第 第 1 章 章 节 节点概述 点概述 9 获取节点的相关信息，如内存和 CPU 使用量、健康、状态和年龄。 Node Tuning Operator，为需要一定等级内核调整的高性能应用程序管理节点级别的性能优 化。 在节点上启用 TLS 安全配置集，以保护 kubelet 和 Kubernetes API 服务器之间的通信。 使用守护进程集在节点上自动运行后台任务。您可以创建并使用守护进程集来创建共享存储，在 每个节点上运行日志记录 pod，或者在所有节点上部署监控代理。 使用垃圾回收释放节点资源。您可以通过删除终止的容器以及任何正在运行的