创建 SSH 身份验证 secret 2.6.2.6. 创建 Docker 配置 secret 2.6.3. 了解如何更新 secret 2.6.4. 关于将签名证书与 secret 搭配使用 2.6.4.1. 生成签名证书以便与 secret 搭配使用 2.6.5. secret 故障排除 2.7. 创建和使用配置映射 2.7.1. 了解配置映射 配置映射限制 2.7.2. 在 OpenShift 6.8.3. 用于从客户端发起端口转发的协议 6.9. 在容器中使用 SYSCTL 6.9.1. 关于 sysctl 6.9.1.1. 命名空间和节点级 sysctl 6.9.1.2. 安全与不安全 sysctl 6.9.2. 为 pod 设置 sysctl 6.9.3. 启用不安全 sysctl 第 第 7 章 章 操作集群 操作集群 7.1. 查看 OPENSHIFT CONTAINER ，容器集就会运行。在 pod 被定义并在运行后，您无法更 改它。在使用 pod 时可以执行的一些操作有： 读 读取操作 取操作 作为管理员，您可以通过以下任务获取项目中 pod 的信息： 列出与项目关联的 pod， 包括副本和重启数量、当前状态和年龄等信息。 查看 pod 使用量统计，如 CPU、内存和存储消耗。 管理操作 管理操作 以下任务列表概述了管理员如何管理 OpenShift Container

如果为安装程序提供了 SSH 密钥，则可以收集与失败安装相关的数据。 注意 注意 用于收集失败安装日志的命令与从正在运行的集群收集日志时所用的命令不同。如果需要 从正在运行的集群收集日志，请使用 oc adm must-gather 命令。 先决条件 先决条件 OpenShift Container Platform 安装在 bootstrap 过程完成前失败。bootstrap 节点必须正在运 Hat Enterprise Linux CoreOS (RHCOS) 机器，当机器根据 install-config.yaml 文件 中的选项的状态进行部署时，会应用这个更改，该文件管理用户可在集群部署过程中更改的集群选项。在 Red Hat Enterprise Linux（RHEL）机器中，您必须在计划用作 worker 的机器上安装操作系统时，启用 FIPS 模式。这些配置方法可确保集群满足 FIPS Platform 4.4 中的 中的 FIPS 模式属性和限制 模式属性和限制 属性 属性 限制： 限制： RHEL 7 操作系统支持 FIPS 。 FIPS 实现还没有提供一个单一的计算哈希函数和验证 基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中，将继续评估并改进这个 限制。 CRI-O 运行时支持 FIPS。 OpenShift Container

支持的功能 1.2.2.20. Red Hat Virtualization（RHV）全堆栈安装程序的改进 1.2.2.21. 使用安装程序置备的基础架构为裸机部署改进修复失败的节点 1.2.3. 安全性与合规性 1.2.3.1. Compliance Operator 1.2.3.2. 配置 OAuth 令牌不活跃超时 1.2.3.3. 安全 OAuth 令牌存储格式 1.2.3.4. File SR-IOV Network Operator InfiniBand 设备支持 1.2.8.4. 增加了置备网络的 DHCP 范围 1.2.8.5. Pod 网络连接检查 1.2.8.6. 辅助设备指标可与网络附加关联 1.2.8.7. CNF 测试可以在发现模式下运行 1.2.8.8. HAProxy 版本升级 1.2.8.9. Control over X-Forwarded header 1 环境 境 RHCOS 的 PXE 介质和 ISO 现在是一个完全 live 的环境。与之前用于在用户置备的基础架构上用于 OpenShift Container Platform 集群的 RHCOS 安装的专用 PXE 介质和 ISO 不同，RHCOS live 环境可以 使用 Ignition 配置，并包含与主要 RHCOS 镜像相同的软件包，如 coreos-installer、nmcli 和

第 第 1 章 章 概述 概述 5 第 2 章 CLI 入门 2.1. 概述 OpenShift Container Platform CLI 提供了管理应用程序的命令，以及较低级别的工具与系统的每个组件 交互。本主题指导您完成 CLI 入门，包括安装并登录以创建您的第一个项目。 2.2. 先决条件 某些操作要求在客户端上本地安装 Git。例如，命令使用远程 Git 存储库创建应用程序： 订阅才能访问下载页面： 从红帽客户门户网站下载 CLI 另外，如果集群管理员启用了它，您可以在 web 控制台的 About 页面中下载并解压缩 CLI。 教程 教程视频 视频： ： 以下视频将引导您完成此过程： 单击此处观看 然后，使用 ZIP 程序解压存档，并将 oc 二进制文件移到 PATH 的目录中。要查看您的 PATH，请打开命 令提示并运行： 2.3.2. 对于 Mac OS X Mac 订阅才能访问下载页面： 从红帽客户门户网站下载 CLI 另外，如果集群管理员启用了它，您可以在 web 控制台的 About 页面中下载并解压缩 CLI。 教程 教程视频 视频： ： 以下视频将引导您完成此过程： 单击此处观看 C:\> path 第 第 2 章 章 CLI 入 入门 门 7 1 然后，解包存档，并将 oc 二进制文件移到 PATH 的目录中。要查看您的 PATH，请打开终端窗口并运

创建 SSH 身份验证 secret 2.6.2.6. 创建 Docker 配置 secret 2.6.3. 了解如何更新 secret 2.6.4. 关于将签名证书与 secret 搭配使用 2.6.4.1. 生成签名证书以便与 secret 搭配使用 2.6.5. secret 故障排除 2.7. 创建和使用配置映射 2.7.1. 了解配置映射 配置映射限制 2.7.2. 在 OpenShift 1. 关于 Node Health Check Operator 5.7.1.1. 了解 Node Health Check Operator 工作流 5.7.1.2. 关于节点健康检查如何防止与机器健康检查冲突 5.7.2. 使用 Web 控制台安装 Node Health Check Operator 5.7.3. 使用 CLI 安装 Node Health Check Operator 使用端口转发 6.8.3. 用于从客户端发起端口转发的协议 6.9. 在容器中使用 SYSCTL 6.9.1. 关于 sysctl 6.9.1.1. 命名空间和节点级 sysctl 6.9.1.2. 安全与不安全 sysctl 6.9.2. 为 pod 设置 sysctl 6.9.3. 启用不安全 sysctl 第 第 7 章 章 操作集群 操作集群 7.1. 查看 OPENSHIFT CONTAINER

Container Platform 中最重要的组件。Operator 是 control plane 上打包、部署和 管理服务的首选方法。它们还可以为用户运行的应用程序提供优势。 Operator 与 Kubernetes API 和 CLI 工具（如 kubectl 和 oc 命令）集成。它们提供了监控应用程序、执 行健康检查、管理无线(OTA)更新的方法，并确保应用程序保持在指定的状态。 虽然这两个操作都遵循类似的 OpenShift Container Platform）监控软件的运行情况，并根据 软件的当前状态实时做出决策。Advanced Operator 被设计为用来无缝地处理升级过程，并对出现的错误 自动进行响应，而且不会采取“捷径”（如跳过软件备份过程来节省时间）。 从技术上讲，Operator 是一种打包、部署和管理 Kubernetes 应用程序的方法。 Kubernetes 应用程序是一款 app，可在 rator 会 使用 Kubernetes 的扩展机制“自定义资源定义 (CRD)”支持您的自定义对象，如 MongoDB，它类似于 内置的原生 Kubernetes 对象。 Operator 与 与 Service Broker 的比 的比较？ ？ 服务代理（service broker）是实现应用程序的编程发现和部署的一个步骤。但它并非一个长时间运行 的进程，所以无法执行第 2 天操作，如

配置集群范 配置集群范围 围代理 代理 20.1. 先决条件 20.2. 启用集群范围代理 20.3. 删除集群范围代理服务器 第 第 21 章 章 配置自定 配置自定义 义 PKI 21.1. 在安装过程中配置集群范围的代理 21.2. 启用集群范围代理 21.3. 使用 OPERATOR 进行证书注入 第 第 22 章 章 RHOSP 负载 负载均衡 均衡 22.1. 使用带有 KURYR SDN 2. 安装 METALLB OPERATOR 23.3. 配置 METALLB 地址池 23.4. 将服务配置为使用 METALLB 第 第 24 章 章 将二 将二级 级接口指 接口指标 标与网 与网络 络附加关 附加关联 联 24.1. 为监控扩展二级网络指标 335 335 336 337 347 352 352 352 354 355 355 356 358 360 360 Network Operator Cluster Network Operator(CNO)在 OpenShift Container Platform 集群中部署和管理集群网络组件。 这包括在安装过程中为集群选择的 Container Network Interface(CNI)默认网络供应商插件部署。 配置映射 配置映射 配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap

配置集群范围 围代理 代理 32.1. 先决条件 32.2. 启用集群范围代理 32.3. 删除集群范围代理服务器 第 第 33 章 章 配置自定 配置自定义 义 PKI 33.1. 在安装过程中配置集群范围的代理 33.2. 启用集群范围代理 33.3. 使用 OPERATOR 进行证书注入 第 第 34 章 章 RHOSP 负载 负载均衡 均衡 34.1. 负载均衡器服务的限制 配置 METALLB BFD 配置集 35.9. 将服务配置为使用 METALLB 35.10. METALLB 日志记录、故障排除和支持 第 第 36 章 章 将二 将二级 级接口指 接口指标 标与网 与网络 络附加关 附加关联 联 36.1. 为监控扩展二级网络指标 650 654 659 668 674 676 678 682 692 692 OpenShift Container Network Operator Cluster Network Operator(CNO)在 OpenShift Container Platform 集群中部署和管理集群网络组件。 这包括在安装过程中为集群选择的 Container Network Interface (CNI) 网络插件部署。 配置映射 配置映射 配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap

1 章 SERVICE MESH 2.X 1.1. 关于 OPENSHIFT SERVICE MESH 注意 注意 因为 Red Hat OpenShift Service Mesh 的发行节奏与 OpenShift Container Platform 不 同，且 Red Hat OpenShift Service Mesh Operator 支持部署多个版本的 ServiceMeshControlPlane，所以 尚不支持远程获取和加载 WebAssembly HTTP 过滤器 尚不支持使用 Kubernetes CSR API 的自定义 CA 集成 监控流量的请求分类是一个技术预览功能 通过授权策略的 CUSTOM 操作与外部授权系统集成是一项技术预览功能 1.2.2.12.7. 改进了 Service Mesh operator 性能 Red Hat OpenShift Service Mesh 在每个 ServiceMeshControlPlane 为主机名本身和所有匹配端口生成主机名。例如，用于 "httpbin.foo" 主机的虚拟服务或网关会生成 匹配 "httpbin.foo 和 httpbin.foo:*" 的配置。但是，完全匹配授权策略仅与为 hosts 或 notHosts 字段给 出的确切字符串匹配。 如果您使用精确字符串比较的 AuthorizationPolicy 来确定 主机或非主机，则会影响您的集群。 您必须更新授权策略

1.1. 安装过程 安装 OpenShift Container Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Provider 页面下载安装程序。此网站管理以下内容： 帐户的 REST API registry 令牌，这是用于获取所需组件的 pull secret 集群注册，它将集群身份信息与您的红帽帐户相关联，以方便收集使用情况指标 关联，以方便收集使用情况指标 在 OpenShift Container Platform 4.10 中，安装程序是对一组资产执行一系列文件转换的 Go 二进制文 件。与安装程序交互的方式因您的安装类型而异。 对于具有安装程序置备的基础架构集群，您可以将基础架构启动和置备委派给安装程序，而不是 亲自执行。安装程序将创建支持集群所需的所有网络、机器和操作系统。 如果亲自为集群置备和管理基础架构 务必备份需要再次使用的所有配置文件。 重要 重要 安装之后，您无法修改在安装过程中设置的参数，但可以修改一些集群属性。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 7 采用安装程序置 采用安装程序置备 备的基 的基础 础架 架构 构的安装 的安装过 过程 程 默认安装类型为使用安装程序置备的基础架构。默认情况下，安装程序充当安装向导，提示您输入它无法