为 Pod 配置投射卷 6.5. 允许容器消耗 API 对象 6.5.1. 使用 Downward API 向容器公开 pod 信息 6.5.2. 了解如何通过 Downward API 消耗容器值 6.5.2.1. 使用环境变量消耗容器值 6.5.2.2. 使用卷插件消耗容器值 6.5.3. 了解如何使用 Downward API 消耗容器资源 6.5.3.1. 使用环境变量消耗容器资源 使用环境变量消耗容器资源 6.5.3.2. 使用卷插件消耗容器资源 6.5.4. 使用 Downward API 消耗 secret 6.5.5. 使用 Downward API 消耗配置映射 6.5.6. 引用环境变量 6.5.7. 转义环境变量引用 6.6. 将文件复制到 OPENSHIFT CONTAINER PLATFORM 容器或从中复制 6.6.1. 了解如何复制文件 6.6.1.1. 要求 云。 Linux 容器技术是隔离运行进程并仅限制对指定资源的访问的轻量机制。作为管理员，您可以在 Linux 容 器上执行各种任务，例如： 将文件复制到容器中或从容器中 复制。 允许容器使用 API 对象。 在容器中执行远程命令。 使用端口转发来访问容器中的应用。 OpenShift 容器平台提供称为 Init 容器的专用容器。在应用程序容器之前运行的 init 容器，可以包含应用 程序

2. 为 Pod 配置投射卷 6.5. 允许容器消耗 API 对象 6.5.1. 使用 Downward API 向容器公开 Pod 信息 6.5.2. 了解如何通过 Downward API 消耗容器值 6.5.2.1. 使用环境变量消耗容器值 6.5.2.2. 使用卷插件消耗容器值 6.5.3. 了解如何使用 Downward API 消耗容器资源 6.5.3.1. 使用环境变量消耗容器资源 使用环境变量消耗容器资源 6.5.3.2. 使用卷插件消耗容器资源 6.5.4. 使用 Downward API 消耗 secret 6.5.5. 使用 Downward API 消耗配置映射 6.5.6. 引用环境变量 6.5.7. 转义环境变量引用 6.6. 将文件复制到 OPENSHIFT CONTAINER PLATFORM 容器或从中复制 6.6.1. 了解如何复制文件 6.6.1.1. 要求 使用 Node Tuning Operator，为需要一定等级内核调整的高性能应用程序管理节点级别的性能优 化。 在节点上启用 TLS 安全配置集，以保护 kubelet 和 Kubernetes API 服务器之间的通信。 使用守护进程集在节点上自动运行后台任务。您可以创建并使用守护进程集来创建共享存储，在 每个节点上运行日志记录 pod，或者在所有节点上部署监控代理。 使用垃圾回收释放节点资

或自动收集方法无法正常工作的情况下手动收集日志。 如果您无法对节点进行 SSH 访问，则可以通过访问系统日志来调查主机上发生的情况。 先决条件 先决条件 OpenShift Container Platform 安装已完成。 API 服务仍然可以正常工作。 有系统管理员特权。 流程 流程 1. 通过运行以下命令访问 /var/log 中的 journald 单元日志： $ oc adm node-logs --role=master Platform 4.4 中的 中的 FIPS 模式属性和限制 模式属性和限制 属性 属性 限制： 限制： RHEL 7 操作系统支持 FIPS 。 FIPS 实现还没有提供一个单一的计算哈希函数和验证 基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中，将继续评估并改进这个 限制。 CRI-O 运行时支持 FIPS。 OpenShift Container 源镜像及其引用的镜像必须针对您使用的每个 Operator 进行镜像(mirror)。镜像内容后，您要将每个集群 配置为从镜像 registry 中检索此内容。 镜像 registry 可以是支持最新容器镜像 API（称为 schema2 ）的任何容器 registry。所有主要的云供应 registry，以及 Red Hat Quay、artifactory 和开源 Docker 发行 registry 都被支持。使用其中一个

manage-node 5.5.3. prune 5.6. 设置 CLI 操作 5.6.1. config 5.6.2. create-kubeconfig 5.6.3. create-api-client-config 5.7. 高级 CLI 操作 5.7.1. create-bootstrap-project-template 5.7.2. create-bootstrap-policy-file [--server=] [--certificate-authority=] [--api-version=] [--insecure-skip-tls-verify=true] $ oc config set-context current-context` --namespace= $ oc whoami -c OpenShift Container Platform 3.11 CLI 参考 参考 18 --api-version --certificate-authority --insecure-skip-tls-verify 如果集群信息和属性的值存在，则使用它。 如果您没有服务器位置，则出现错误。

定义自定义 AWS API 端点 1.2.2.3. 将集群安装到 Microsoft Azure Government 区域 1.2.2.4. 在 Azure 上运行的集群的用户定义的出站路由 1.2.2.5. 将集群安装到 vSphere 版本 7.0 1.2.2.6. 使用安装程序置备的基础架构在裸机上安装集群 1.2.2.7. 处理 AWS、Azure 和 GCP 上的云 API 访问的凭证请求 2.3.4. File Integrity Operator 现已正式发布 1.2.3.5. 对集群恢复失败使用的集群脚本已被更新 1.2.4. 机器 API 1.2.4.1. 支持多个块设备映射 1.2.4.2. Machine API providerSpec 的默认设置和验证 1.2.4.3. 在 Azure 上运行的机器集支持 Spot 虚拟机 1.2.4.4. 在 GCP 上运行的机器集支持可抢占虚拟机实例 opm进行有选择的捆绑包镜像镜像 1.2.11.4. 转换（Conversion）webhook 支持全局 Operators 1.2.11.5. 现在支持 Operator API 1.2.11.5.1. 在集群进行升级前，会删除 Operator API 的技术预览版本 1.2.11.6. Node Maintenance Operator 现在会验证维护请求 1.2.11.7. 使用 NodeMaintenance

23. KUBERNETES API SERVER OPERATOR 6.24. KUBERNETES CONTROLLER MANAGER OPERATOR 6.25. KUBERNETES SCHEDULER OPERATOR 6.26. KUBERNETES STORAGE VERSION MIGRATOR OPERATOR 6.27. MACHINE API OPERATOR 6.28 28. MACHINE CONFIG OPERATOR 6.29. MARKETPLACE OPERATOR 6.30. NODE TUNING OPERATOR 6.31. OPENSHIFT API SERVER OPERATOR 6.32. OPENSHIFT CONTROLLER MANAGER OPERATOR 6.33. OPERATOR LIFECYCLE MANAGER OPERATORS Platform 中最重要的组件。Operator 是 control plane 上打包、部署和 管理服务的首选方法。它们还可以为用户运行的应用程序提供优势。 Operator 与 Kubernetes API 和 CLI 工具（如 kubectl 和 oc 命令）集成。它们提供了监控应用程序、执 行健康检查、管理无线(OTA)更新的方法，并确保应用程序保持在指定的状态。 虽然这两个操作都遵循类似的 Operator

Platform 4.9 网 网络 络 4 目 目录 录 5 第 1 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress

用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 CR 20.3. CLOUD-EVENT-PROXY SIDECAR REST API 中的 PTP 事件 20.4. 将消费者应用程序订阅到 PTP 事件 20.5. 获取当前的 PTP 时钟状态 20.6. 验证 PTP 事件消费者应用程序是否收到事件 第 第 21 章 章 Container Platform 4.13 网 网络 络 8 第 2 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec

发行版本、访问控制以及端到端验证。 1.1.2. 核心功能 Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - Proxy 1.20.4 Jaeger 1.34.1 Kiali 1.48.0.16 1.2.2.4.2. WasmPlugin API 此发行版本添加了对 WasmPlugin API 的支持，并弃用了 ServiceMeshExtention API。 1.2.2.4.3. ROSA 支持 此发行版本引进了对 AWS(ROSA)上的 Red Hat OpenShift 的服务网格支持，包括多集群联邦。 Proxyless Service Mesh 是一个技术预览功能。 Telemetry API 是一个技术预览功能。 发现选择器功能不受支持。 外部 control plane 不受支持。 网关注入不受支持。 1.2.2.4.8. Kubernetes Gateway API Kubernetes Gateway API 是一个技术预览功能，默认为禁用。 要启用这个功能，请在 ServiceMeshControlPlane

Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Provider 页面下载安装程序。此网站管理以下内容： 帐户的 REST API registry 令牌，这是用于获取所需组件的 pull secret 集群注册，它将集群身份信息与您的红帽帐户相关联，以方便收集使用情况指标 在 OpenShift Container Platform TYPE REGION ZONE AGE openshift-machine-api example-zbbt6-master-0 Running 95m openshift-machine-api example-zbbt6-master-1 Running 95m openshift-machine-api example-zbbt6-master-2 Running 95m openshift-machine-api example-zbbt6-worker-0-25bhp Running