391 391 392 393 394 目 目录 录 7 OpenShift Container Platform 4.6 节 节点 点 8 第 1 章 节点概述 1.1. 关于节点 节点是 Kubernetes 集群中的虚拟或裸机机器。Worker 节点托管您的应用容器，分组为 pod。control plane 节点运行控制 Kubernetes 集群所需的服务。在 OpenShift Platform 中，control plane 节点包含的不仅仅是 Kubernetes 服务，用于管理 OpenShift Container Platform 集群。 集群中有稳定健康的节点是托管应用程序的平稳运行的基础。在 OpenShift Container Platform 中，您可 以通过代表节点的 Node 对象访问、管理和监控节点。使用 OpenShift CLI(oc)或 Web 使用量、健康状态、状态和年龄。 列出节点上运行的容器集。 管理操作 管理操作 作为管理员，您可以通过以下几个任务轻松管理 OpenShift Container Platform 集群中的节点： 添加或更新节点标签。标签是应用到 Node 对象的键值对。您可以使用标签控制 pod 的调度。 使用自定义资源定义(CRD)或 kubeletConfig 对象更改节点配置。 配置节点以允许或禁止调度 pod。在 control

361 361 362 363 364 目 目录 录 7 OpenShift Container Platform 4.9 节 节点 点 8 第 1 章 节点概述 1.1. 关于节点 节点是 Kubernetes 集群中的虚拟机或裸机。Worker 节点托管您的应用程序容器，分组为 pod。control plane 节点运行控制 Kubernetes 集群所需的服务。在 OpenShift Platform 中，control plane 节点不仅仅包含用于管理 OpenShift Container Platform 集群的 Kubernetes 服务。 在集群中运行稳定和健康的节点是基本运行托管应用程序的基本操作。在 OpenShift Container Platform 中，您可以通过代表节点的 Node 对象访问、管理和监控节点。使用 OpenShift CLI(oc)或 Web kube-proxy:: Kube-proxy 在集群的每个节点上运行，并维护 Kubernetes 资源之间的网络流量。 Kube-proxy 可确保网络环境被隔离并可访问。 DNS：集群 DNS 是一个 DNS 服务器，它为 Kubernetes 服务提供 DNS 记录。由 Kubernetes 启 动的容器会在其 DNS 搜索中自动包含此 DNS 服务器。 读 读取操作 取操作 通过读操作，管理员可以或开发人员获取

CLI 如果集群管理员启用了下载链接，则下载 CLI 的最简单方法是访问 web 控制台中的 About 页面： CLI 的安装选项会因您的操作系统而异。 要使用 CLI 登录，请从 Web 控制台的 Command Line 页面收集您的令牌，该页可通过 Help 菜单的 Command Line Tools 访问。令牌是隐藏的，因此您必须点击 Command Line Tools 页面中 如果不使用 RHEL 或 Fedora，请确保将 libc 安装在库路径的目录中。如果 libc 不可用， 您在运行 CLI 命令时可能会看到以下错误： 2.4. 基本设置和登录 oc login 命令是初始设置 CLI 的最佳方法，它充当大部分用户的入口点。互动流程可帮助您使用提供的凭 证建立与 OpenShift Container Platform 服务器的会话。信息自动保存在 CLI 配置文件中，然后用于后续 Container Platform 集群的连接详情，包括其 master 服务器的地 址。在本例中，一个集群名为 nicknamed openshift1.example.com:8443，另一个是 nicknamed openshift2.example.com:8443。 此上下文 部分定 部分定义 义 两个上下文：一个 nicknamed alice-project/ openshift1

： $ ./openshift-install gather bootstrap --dir= 1 installation_directory 是您在运行 ./openshift-install create cluster 时指定的目录。 这个目录包括了安装程序所创建的 OpenShift Container Platform 定义文件。 的同一目录。这个目录包括了安装程序所创建的 OpenShift Container Platform 定义文 件。 是集群 bootstrap 机器的完全限定域名或 IP 地址。 是集群中 control plane 或 master 机器的完全限定域名或 IP 地 址。 注意 注意 默认集群包含三个 control plane Platform 4.4 中的 中的 FIPS 模式属性和限制 模式属性和限制 属性 属性 限制： 限制： RHEL 7 操作系统支持 FIPS 。 FIPS 实现还没有提供一个单一的计算哈希函数和验证 基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中，将继续评估并改进这个 限制。 CRI-O 运行时支持 FIPS。 OpenShift Container

compute 系统， 所以不能把使用 Red Hat Enterprise Linux 的 compute 系统升级到版本 8。 OpenShift Container Platform 4.6 是一个延长的更新支持（EUS）发行版本。如需了解更多与 Red Hat OpenShift EUS 相关的信息，请参阅 OpenShift 生命周期和 OpenShift EUS 概述。 随着 OpenShift Enterprise Linux CoreOS (RHCOS) 1.2.1.1. RHCOS PXE 和 和 ISO 现 现在 在为 为 live 环 环境 境 RHCOS 的 PXE 介质和 ISO 现在是一个完全 live 的环境。与之前用于在用户置备的基础架构上用于 OpenShift Container Platform 集群的 RHCOS 安装的专用 PXE 介质和 ISO 不同，RHCOS live 将集群安装到 AWS GovCloud 区域（ 区域（region） ） 现在，您可以在 Amazon Web Services（AWS）上将集群安装到 GovCloud 区域。AWS GovCloud 是为 需要运行敏感负载的美国政府机构、企业、企业和其他美国客户设计的。 由于 GovCloud 区域没有红帽发布的 RHCOS AMI，您必须上传属于该区域的自定义 AMI。 如需更多信息，请参阅 在

目录 录 第 第 1 章 章 OPERATOR 概述 概述 1.1. 对于开发人员 1.2. 对于管理员 1.3. 后续步骤 第 第 2 章 章 了解 了解 OPERATOR 2.1. 什么是 OPERATOR? 2.2. OPERATOR FRAMEWORK 打包格式 2.3. OPERATOR FRAMEWORK 常用术语表 2.4. OPERATOR LIFECYCLE MANAGER Container Platform 4.14 Operator 2 目 目录 录 3 第 1 章 OPERATOR 概述 Operator 是 OpenShift Container Platform 中最重要的组件。Operator 是 control plane 上打包、部署和 管理服务的首选方法。它们还可以为用户运行的应用程序提供优势。 Operator 与 Kubernetes Operator 由 Operator Lifecycle Manager(OLM)管理，供用户在其应用程序中运 行。 使用 Operator，您可以创建应用程序来监控集群中运行的服务。Operator 是专为您的应用程序而设计 的。Operator 实施并自动执行常见的第 1 天操作，如安装和配置以及第 2 天操作，如自动缩放和缩减并创 建备份。所有这些活动均位于集群中运行的一个软件中。 1.1. 对于开发人员

和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress 资源通过作为集群内 pod 运行的共享路由器服务 来实现 Ingress Controller。管理 Ingress 流量的最常见方法是使用 Ingress Controller。您可以像任何其他 常规 pod 一样扩展和复制此 pod。此路由器服务基于 HAProxy，后者是一个开源负载均衡器解决方案。 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： OpenShift Container Platform

692 692 OpenShift Container Platform 4.13 网 网络 络 6 目 目录 录 7 第 1 章 关于网络 Red Hat OpenShift 网络是一个功能生态系统、插件和高级网络功能，它使用高级网络相关功能来扩展 Kubernetes 网络，集群需要为其一个或多个混合集群管理网络流量。这个网络功能生态系统集成了入 口、出口、负载均衡、高性能吞吐 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress 资源通过作为集群内 pod 运行的共享路由器服务 来实现 Ingress Controller。管理 Ingress 流量的最常见方法是使用 Ingress Controller。您可以像任何其他 常规 pod 一样扩展和复制此 pod。此路由器服务基于 HAProxy，后者是一个开源负载均衡器解决方案。 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准

Dry Run 是一个技术预览功能。 gRPC Proxyless Service Mesh 是一个技术预览功能。 Telemetry API 是一个技术预览功能。 发现选择器功能不受支持。 外部 control plane 不受支持。 网关注入不受支持。 1.2.2.4.8. Kubernetes Gateway API Kubernetes Gateway API 是一个技术预览功能，默认为禁用。 ExportedServiceMeshSet - 定义给定 ServiceMeshPeshPeer 的服务可用于导入的对等网格。 ImportedServiceSet - 定义给定 ServiceMeshPeer 的服务是从 peer 网格中导入的。这些服务 还必须由 peer 的 ExportedServiceMeshSet 资源提供。 在 AWS(ROSA)、Azure Red Hat OpenShift(ARO)或 尚不支持远程获取和加载 WebAssembly HTTP 过滤器 尚不支持使用 Kubernetes CSR API 的自定义 CA 集成 监控流量的请求分类是一个技术预览功能 通过授权策略的 CUSTOM 操作与外部授权系统集成是一项技术预览功能 1.2.2.12.7. 改进了 Service Mesh operator 性能 Red Hat OpenShift Service Mesh

的基础架构集群。 两种类型的集群都具有以下特征： 默认提供无单点故障的高可用性基础架构 管理员可以控制要应用的更新内容和更新的时间 两种类型的集群都使用同一个安装程序来部署。安装程序生成的主要资产是用于 Bootstrap、master 和 worker 机器的 Ignition 配置文件。有了这三个配置和配置得当的基础架构，就能启动 OpenShift Container Platform 集群。 Platform 安装程序使用一组目标和依赖项来管理集群安装。安装程序具有一组必须 实现的目标，并且每个目标都有一组依赖项。因为每个目标仅关注其自己的依赖项，所以安装程序可以采 取措施来并行实现多个目标。最终目标是正常运行的集群。通过满足依赖项而不是运行命令，安装程序能 够识别和使用现有的组件，而不必运行命令来再次创建它们。 下图显示了安装目标和依赖项的子集： 图 图 1.1. OpenShift Container Container Platform 4.10 安装 安装 6 在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为