的更改更快地生 效。 1.2.2.12.8. Kiali 更新 Kiali 1.36 包括以下功能和增强： Service Mesh 故障排除功能 control plane 和网关监控 代理同步状态 Envoy 配置视图 显示 Envoy 代理和应用程序日志处于交集的统一视图 支持联邦服务网格视图的命名空间和集群选择 新的验证、向导和分布式追踪增强 1.2.2.13. Red Hat 更新路径规范化配置 Istio 授权策略可能基于 HTTP 请求中的 URL 路径。路径规范化 （也称为 URI 规范化）、修改和标准化传 入请求的路径，以便能够以标准的方式处理规范化路径。在路径规范化后，同步不同路径可能是等同的。 Istio 在根据授权策略和路由请求前，支持请求路径中的以下规范化方案： 表 1.1. 规范化方案 选项 选项 描述 描述 示例 示例 备 备注 注 第 第 1 章 章 configuredMembers 中删除命名空间。相反，控制器会将命名空间添加到 SMMR.status.pendingMembers 中，以指示它们不是最新的。在协调过程中，因为每个命名空 间与 SMCP 同步，命名空间会自动从 SMMR.status.pendingMembers 中删除。 OSSM-1668 一个新的字段 spec.security.jwksResolverCA 已添加到版本 2.1

精度时间协议(PTP)用于同步网络中的时钟。与硬件支持一起使用时，PTP 能够达到微秒级的准确性，比 网络时间协议 (NTP) 更加准确。 19.2.1. PTP 域的元素 PTP 用于将网络中连接的多个节点与每个节点的时钟同步。PTP 同步时钟以源目标层次结构进行组织。 层次结构由最佳 master 时钟 (BMC) 算法自动创建和更新，该算法在每个时钟上运行。目标时钟与源时钟 同步，目标时钟本身也可以是其他下游时钟的源。下面描述了三种 时钟 grandmaster 时钟向网络上的其他时钟提供标准时间信息并确保准确和稳定的同步。它写入时间戳并 响应来自其他时钟的时间间隔。grandmaster 时钟与全局导航 Satellite 系统 (GNSS) 时间源同步。 Grandmaster 时钟是网络中权威时间来源，负责为所有其他设备提供时间同步。 Ordinary 时钟 时钟 Ordinary（普通）时钟具有一个端口连接，可根 的源时间信号来传递网络。边界时钟生成一个新的计时数据包，它仍然与源时钟正确同步，并可减少 直接报告到源时钟的连接设备数量。 19.2.2. PTP 优于 NTP 的优点 PTP 与 NTP 相比有一个主要优势，即各种网络接口控制器 (NIC) 和网络交换机中存在的硬件支持。特殊 硬件允许 PTP 考虑消息传输的延迟，并提高时间同步的准确性。为了获得最佳准确性，建议启用 PTP 时 钟间的所有网络组件。

验证： [http] sslVerify=false 3.4.2.4. 从 从 .gitconfig 文件 文件为安全 安全 Git 创建 建 secret 如果 Git 服务器使用双向 SSL 和用户名加密码进行保护，您必须将证书文件添加到源构建中，并在 .gitconfig 文件中添加对证书文件的引用。 先决条件 先决条件 Git 凭证 流程 流程 将证书文件添加到源构建中，并在 建、测试、部署和推进管道。 OpenShift Container Platform Jenkins 同步插件 同步插件 OpenShift Container Platform Jenkins 同步插件使 BuildConfig 和 Build 对象与 Jenkins 任务和构建保持 同步，并提供以下功能： Jenkins 中动态创建任务/运行。 从 ImageStreams、ImageStreamTag ConfigMap 动态创建 slave Pod 模板。 注入环境变量。 OpenShift web 控制台中的管道视觉化。 与 Jenkins Git 插件集成，后者传递提交信息 将 secret 同步到 OpenShift 为 Jenkins Git 插件构建的 Jenkins 凭证条目。 OpenShift Container Platform Jenkins 客 客户 户端插件 端插件 OpenShift

Kubernetes(RHACM)和 OpenShift Data Foundation 组件组成，以便在 OpenShift Container Platform 集群中提供应用程序和数据移动性。它以 同步数据复制为基础，因此可能会存在潜在的数据丢失，但可为一组广泛的故障提供保护。 Red Hat OpenShift Data Foundation 由 Ceph 作为存储供应商支持，其生命周期由 Rook 提供 csi-addons 以管理每个持久性卷声明镜像。 此 Regional-DR 发行版本支持在不同的地区和数据中心中部署的多集群配置。例如，两个受管集群位于两 个不同的区域或数据中心之间的双向复制。此解决方案对 Red Hat Advanced Cluster Management(RHACM)和 OpenShift Data Foundation 高级 SKU 和相关捆绑包授权。 先决条件

sslVerify=false，则可以关闭 iVSSL 验证： 2.3.4.2.4. 从 从 .gitconfig 文件 文件为 为安全 安全 Git 创 创建 建 secret 如果 Git 服务器使用双向 SSL 和用户名加密码进行保护，您必须将证书文件添加到源构建中，并在 .gitconfig 文件中添加对证书文件的引用。 先决条件 先决条件 您必须具有 Git 凭证。 流程 流程 将证书文件添加到源构建中，并在 构 构建（ 建（BUILD） ） 45 OpenShift Container Platform Jenkins 同步插件 同步插件 OpenShift Container Platform Jenkins 同步插件使构建配置和构建对象与 Jenkins 任务和构建保持同步， 并提供以下功能： Jenkins 中动态作业并运行创建。 从镜像流、镜像流标签或配置映射动态创建代理 Pod 模板。 控制台中的管道视觉化。 与 Jenkins Git 插件集成，后者将 OpenShift Container Platform 构建的提交信息传递给 Jenkins Git 插件。 将 secret 同步到 Jenkins 凭证条目。 OpenShift Container Platform Jenkins 客 客户 户端插件 端插件 OpenShift Container Platform Jenkins

先决条件 13.14.2. 接合项目 13.14.3. 隔离项目 13.14.4. 对项目禁用网络隔离 13.15. 配置 KUBE-PROXY 13.15.1. 关于 iptables 规则同步 13.15.2. kube-proxy 配置参数 13.15.3. 修改 kube-proxy 配置 第 第 14 章 章 OVN-KUBERNETES 默 默认 认 CNI 网 网络 络供 供应 维护网络规则，以转发与服务关联的端点的连接。 13.15.1. 关于 iptables 规则同步 同步周期决定 Kubernetes 网络代理 (kube-proxy) 在节点上同步 iptables 规则的频率。 同步在发生以下事件之一时开始： 发生某一事件，例如服务或端点添加到集群中或从集群中删除。 距最后一次同步的时间已超过为 kube-proxy 定义的同步周期。 13.15.2. kube-proxy 配置参数 insecureEdgeTerminationPolicy。禁用后唯一有效的值是 None、Redirect 或为 空。 目标 pod 负责为端点上的流量提供证书。目前，这是唯一支持需要客户端证书的方法，也称双向 验证。 $ oc create route passthrough route-passthrough-secured --service=frontend --port=8080 apiVersion:

节点上并置其他工作负载，并共享相同的底层 I/O 基础架构。 就延迟而言，应该在一个可最少以 50 IOPS 按顺序写入 8000 字节的块设备上运行。也就是说，当有一 个 20ms 的延迟时，使用 fdatasync 来同步 WAL 中的写入操作。对于高负载的集群，建议使用 8000 字 节的连续 500 IOPS (2 毫秒)。要测量这些数字，您可以使用基准测试工具，如 fio。 要实现这样的性能，在由低延迟和高吞吐量的 节点已更新并重启。重启完成后，会出现以下事件： XFS 文件系统是在指定磁盘中创建的。 磁盘挂载到 /var/lib/etc。 来自 /sysroot/ostree/deploy/rhcos/var/lib/etcd 的内容同步到 /var/lib/etcd。 对于 /var/lib/etcd，强制恢复 SELinux 标签。 旧内容不会被删除。 3. 节点位于独立磁盘后，使用以下信息更新机器配置文件 etcd-mc What=/dev/sdb Where=/var/lib/etcd 第 第 1 章 章 推荐的主机 推荐的主机实 实践 践 17 4. 输入以下命令应用删除创建和同步设备的逻辑的修改版本： 上一步可防止节点重新引导。 其他 其他资 资源 源 Red Hat Enterprise Linux CoreOS (RHCOS) 1.7. 分离 ETCD 数据

PTP 精准时间协议 (PTP) 用于同步网络中的时钟。与硬件支持一起使用时，PTP 能够达到微秒级的准确性， 比网络时间协议 (NTP) 更加准确。 linuxptp 软件包包括用于时钟同步的 ptp4l 和 phc2sys 程序。ptp4l 实现 PTP 边界时钟和普通时 钟。ptp4l 将 PTP 硬件时钟与硬件时间戳同步，并将系统时钟与源时钟与软件时间戳同步。phc2sys 用 于硬件时间戳，将系统时钟与网络接口控制器 于硬件时间戳，将系统时钟与网络接口控制器 (NIC) 上的 PTP 硬件时钟同步。 11.2.1. PTP 域的元素 PTP 用于将网络中连接的多个节点与每个节点的时钟同步。以下类型的时钟可包含在配置中： Grandmaster 时钟 时钟 grandmaster 时钟向网络上的其他时钟提供标准时间信息并确保准确和稳定的同步。grandmaster 时 钟会编写时间戳并响应来自其他时钟的时间请求。 Ordinary 的源时间信号来传递网络。边界时钟生成一个新的计时数据包，它仍然与源时钟正确同步，并可减少 直接报告到源时钟的连接设备数量。 11.2.2. PTP 优于 NTP 的优点 PTP 与 NTP 相比有一个主要优势，即各种网络接口控制器 (NIC) 和网络交换机中存在的硬件支持。特殊 硬件允许 PTP 考虑消息传输的延迟，并提高时间同步的准确性。为了获得最佳准确性，建议启用 PTP 时 钟间的所有网络组件。

安全性上下文约束与 POD 安全标准同步 16.2. 控制 POD 安全准入同步 16.3. 关于 POD 安全准入警报 16.4. 其他资源 第 第 17 章 章 模 模拟 拟 SYSTEM:ADMIN 用 用户 户 17.1. API 模仿 17.2. 模拟 SYSTEM:ADMIN 用户 17.3. 模拟 SYSTEM:ADMIN 组 第 第 18 章 章 同步 同步 LDAP 组 组 18 18.1. 关于配置 LDAP 同步 75 82 83 86 86 87 87 88 89 89 89 90 90 90 91 94 94 94 96 98 98 101 101 102 102 102 104 106 106 115 116 118 120 121 123 124 124 124 125 126 127 127 127 . . . . . . . . . . . . . . . . . . . . . . . . . 18.2. 运行 LDAP 同步 18.3. 运行组修剪任务 18.4. 自动同步 LDAP 组 18.5. LDAP 组同步示例 18.6. LDAP 同步配置规格 第 第 19 章 章 管理云供 管理云供应 应商凭 商凭证 证 19.1. 关于 CLOUD CREDENTIAL OPERATOR

1.3.8.3. 修改的命名空 修改的命名空间 间中禁用 中禁用 Pod 安全准入同步 安全准入同步 在这个版本中，如果用户从 label-synchronized 命名空间中的自动标记值手动修改 pod 安全准入标签，则 会为该标签禁用同步。如有必要，用户可以再次启用同步。如需更多信息，请参阅 Pod 安全准入同步命 名空间排除。 1.3.8.4. 基于 基于 OLM 的 的 Operator 安全漏洞，请查看以下资源： 如需了解如何查找导致 pod 安全违反情况的信息，请参阅识别 pod 安全违反情况。 请参阅 安全上下文约束与 pod 安全标准同步，以了解何时执行 pod 安全准入标签同步。在某些 情况下，Pod 安全准入标签不会同步，比如以下情况： 工作负载在系统创建的命名空间中运行，该命名空间前缀为 openshift-。 工作负载在没有 pod 控制器的情况下创建的 pod 上运行。 目录，则必须从 ppc64le 架构上运行的系统运行 oc-mirror。(OCPBUGS- 22264) 如果多个 OpenShift Container Platform 组指向同一 LDAP 组，则只同步一个 OpenShift Container Platform 组。当多个组指向同一 LDAP 组时，oc adm groups sync 命令会显示一个 警告，表示只有一个组有资格映射。(OCPBUGS-11123)