1.1.3.1. 过时 过时的功能 的功能 在 Red Hat OpenShift distributed tracing 3.0 中，Jaeger 和 Elasticsearch 已被弃用，并计划在以后的发 行版本中删除。红帽将在当前发行生命周期中对这些组件提供关键及以上的 CVE 程序错误修复和支持， 但这些组件将不再获得功能增强。 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 行注记 15 分钟内发送 trace 的服务。对于没有在最后 15 分钟内发送 trace 的服务，这些 trace 仍然被存 储，即使它们在 Jaeger UI 中不可见。(TRACING-3139) 计划在以后的 Red Hat OpenShift distributed tracing Platform 版本中对 Tempo Operator 提供支持。可 能的额外功能可能包括对 TLS 身份验证、多租户和多个集群的支持。如需有关 OpenShift distributed tracing 平台、提供演示或在测试环境中使用 Red Hat OpenShift distributed tracing 平台(Jaeger)的用户快速安装。如果您计划在生产环境中使用 Red Hat OpenShift distributed tracing 平台 (Jaeger)，则必须安装并配置持久性存储选项，即 Elasticsearch。 先决条件 先决条件

Platform Agnostic, 和 Rolling Stream这些生命周期类别为集群管理员提供了额 外的简易性和透明度，以更好地了解每个 Operator 的生命周期策略，并以可预测的支持界限来计划对集 群进行维护和升级。如需更多信息，请参阅 OpenShift Operator 生命周期。 OpenShift Container Platform 专为 FIPS 设计。当以 FIPS 模式运行 "/dev/disk/by-path/pci- 0000:01:00.0-scsi-0:0:0:0"，在使用安装程序置备的基础架构在裸机上安装集群时。您还可以在基于代理 的安装过程中指定此参数。这种类型的磁盘别名在重启后保留。如需更多信息，请参阅为裸机配置 install- config.yaml 文件，或为基于代理的安装配置 root 设备提示。 1.3.2.13. 将 将现 现有 有 AWS 安全 安全组应 组应用到集群 前提供手动确认。这有助于防止升级 到 OpenShift Container Platform 4.14 后出现问题，其中已删除的 API 仍在由运行或与集群交互的工作负 载、工具或其他组件使用。管理员必须针对将要删除的任何 API 评估其集群，并迁移受影响的组件，以使 用适当的新 API 版本。完成此操作后，管理员可以向管理员提供确认。 所有 OpenShift Container Platform 4

进行开发 第 第 5 章 章 RED HAT ENTERPRISE LINUX COREOS (RHCOS) 5.1. 关于 RHCOS 5.2. 查看 IGNITION 配置文件 5.3. 安装后更改 IGNITION 配置 第 第 6 章 章 CI/CD 方法和 方法和实 实践 践 6.1. 用于集群管理和应用程序配置管理的 CI/CD 6.2. GITOPS 方法和实践 第 第 7 章 章 章 OPENSHIFT CONTAINER PLATFORM 架 架构 构 3 您还可以与现有版本一起部署和测试应用程序的新版本。在部署了当前版本的同时，还部署应用程序的新 版本。容器通过测试后，只要部署更多新容器并删除旧容器便可。 由于应用程序的所有软件依赖项都在容器本身内解决，因此数据中心的每台主机上都能使用通用操作系 统。您无需逐一为应用主机配置特定的操作系统。当数据中心需要更多容量时，您可以部署另一个通用主 Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管

第 3 章 章 安装 安装 OPENSHIFT LOGGING 3.1. 使用 WEB 控制台安装 OPENSHIFT LOGGING 3.2. 安装后的任务 3.3. 使用 CLI 安装 OPENSHIFT LOGGING 3.4. 安装后的任务 第 第 4 章 章 配置日志部署 配置日志部署 4.1. 集群日志记录自定义资源（CR） 4.2. 配置日志记录收集器 5 5 7 8 9 Logging Bug Fix 5.4.3。 1.6.1. Elasticsearch Operator 弃用通知 在日志记录子系统 5.4.3 中，Elasticsearch Operator 已被弃用，计划在以后的发行版本中删除。红帽将在 当前发行生命周期中提供对这个功能的程序漏洞修复和支持，但这个功能将不再获得改进，并将被删除。 作为使用 Elasticsearch Operator 管理默认日志存储的替代选择，您可以使用 Logging 仪表板在控制台中可用。(LOG-2163) 在此次更新之前，对指标仪表板的更改不会部署，因为 cluster-logging-operator 无法正确比较 包含仪表板的现有和修改后的配置映射。在这个版本中，为对象标签添加唯一的散列值可解决这 个问题。(LOG-2071) 在此次更新之前，OpenShift Logging 仪表板没有正确显示表中的 pod 和命名空间，这会显示在

ocp4-moderate-node 配置集的扫 描来检查您的 OpenShift Virtualization 集群的合规性。Compliance Operator 使用 NIST 认证工具 OpenSCAP 扫描并执行安全策略。 1.1.1. OpenShift Virtualization 支持的集群版本 OpenShift Virtualization 4.13 支持在 OpenShift Container 了解 OpenShift Virtualization 架构。 2.1. OPENSHIFT VIRTUALIZATION 架构如何工作 安装 OpenShift Virtualization 后，Operator Lifecycle Manager(OLM)会为 OpenShift Virtualization 的每 个组件部署 operator pod： Compute: virt-operator pod，它负责其他组件的部署、配置和生命周期，以 及几个 helper pod: hco-webhook 和 hyperconverged-cluster-cli-download。 成功部署所有 Operator pod 后，您应该创建 HyperConverged 自定义资源 (CR)。HyperConverged CR 中的配置充当 OpenShift Virtualization 的单个来源，并指导 CR 的行为。

进行开发 第 第 5 章 章 RED HAT ENTERPRISE LINUX COREOS (RHCOS) 5.1. 关于 RHCOS 5.2. 查看 IGNITION 配置文件 5.3. 安装后更改 IGNITION 配置 3 3 7 7 11 11 13 13 17 17 17 20 22 23 23 25 27 目 目录 录 1 OpenShift Container 章 章 OPENSHIFT CONTAINER PLATFORM 架 架构 构 3 您还可以与现有版本一起部署和测试应用程序的新版本。在部署了当前版本的同时，还部署应用程序的新 版本。容器通过测试后，只要部署更多新容器并删除旧容器便可。 由于应用程序的所有软件依赖项都在容器本身内解决，因此数据中心的每台主机上都能使用通用操作系 统。您无需逐一为应用主机配置特定的操作系统。当数据中心需要更多容量时，您可以部署另一个通用主 Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管

/admin 上拒绝请求。发送到 URL 路径 //admin 的请求不会被授权策略拒绝。 根据 RFC 3986，带有多个斜杠的路径 //admin 在技术上应被视为与 /admin 不同的路径。但是，一些后 端服务选择通过将多个斜杠合并成单斜杠来规范 URL 路径。这可能导致绕过授权策略（//admin 不匹配 /admin），用户可以在后端的路径 /admin 上访问资源，这可能会产生安全问题。 如果您使用 更新路径规范化配置 Istio 授权策略可能基于 HTTP 请求中的 URL 路径。路径规范化 （也称为 URI 规范化）、修改和标准化传 入请求的路径，以便能够以标准的方式处理规范化路径。在路径规范化后，同步不同路径可能是等同的。 Istio 在根据授权策略和路由请求前，支持请求路径中的以下规范化方案： 表 1.1. 规范化方案 选项 选项 描述 描述 示例 示例 备 备注 注 第 第 1 章 转换反斜杠来正斜杠。 /a/../b 被规范化为 /b。\da 被规范化为 /da。 此设置会受到 CVE- 2021-31920 的影响。 MERGE_SLASHES 斜杠会在 BASE 规范化后 合并。 /a//b 被规范化为 /a/b。 更新此设置以缓解 CVE- 2021-31920 的问题。 DECODE_AND_MER GE_SLASHES 默认允许所有流量时的最 严格设置。建议使用此设

RHCOS 6.1.4. 关于 Ignition 6.1.4.1. Ignition 工作方式 6.1.4.2. Ignition 操作序列 6.2. 查看 IGNITION 配置文件 6.3. 安装后更改 IGNITION 配置 第 第 7 章 章 准入插件 准入插件 7.1. 关于准入插件 7.2. 默认准入插件 7.3. WEBHOOK 准入插件 7.4. WEBHOOK 准入插件类型 Enterprise Linux CoreOS(RHCOS)机器的过程，查看 Ignition 配置文件，并在安装后更改 Ignition 配置。 1.5. 关于准入插件 您可以使用 准入插件 来规范 OpenShift Container Platform 的功能。在资源请求经过身份验证并授权 后，准入插件会截获主 API 的资源请求，以验证资源请求并确保扩展策略遵循。准入插件用于强制实施安 全策略、资源限制或配置要求。 停机，又能仍然 保持与当前版本的兼容性。 您还可以与现有版本一起部署和测试应用程序的新版本。容器通过测试后，只要部署更多新容器并删除旧 OpenShift Container Platform 4.7 架 架构 构 6 您还可以与现有版本一起部署和测试应用程序的新版本。容器通过测试后，只要部署更多新容器并删除旧 容器便可。 由于应用程序的所有软件依赖项都在容器本身内解决，因此数据中心的每台主机上都能使用标准的操作系

Kafka 2.3.1 中修复。如需更多信息，请参阅 Jaegertracing-1819。 BZ-1918920/LOG-1619 / LOG-1619，Elasticsearch Pod 在更新后不会自动重启。 临时解决方案：手动重启 pod。 OpenShift Container Platform 4.6 分布式追踪 分布式追踪 10 第 2 章 分布式追踪架构 2.1. 分布式追踪架构 Red Hat OpenShift distributed tracing、提供演示或在测试环境中使用 Red Hat OpenShift distributed tracing 平台的用户。如果您计划在生产环境中使用 Red Hat OpenShift distributed tracing 平台，则必须安装并 配置持久性存储选项，即 Elasticsearch。 先决条件 先决条件 访问 OpenShift 页面中，选择 openshift-operators-redhat 项目。等待 OpenShift Elasticsearch Operator 的状态显示为 "InstallSucceeded" 后再继续进行操作。 3.1.4. 安装 Red Hat OpenShift distributed tracing Platform Operator 要安装 Red Hat OpenShift distributed

进行开发 第 第 7 章 章 RED HAT ENTERPRISE LINUX COREOS (RHCOS) 7.1. 关于 RHCOS 7.2. 查看 IGNITION 配置文件 7.3. 安装后更改 IGNITION 配置 第 第 8 章 章 准入插件 准入插件 8.1. 关于准入插件 8.2. 默认准入插件 8.3. WEBHOOK 准入插件 8.4. WEBHOOK 准入插件类型 配置文件，在安装后更改 Ignition 配置。 1.6. 关于准入插件 您可以使用 准入插件 规范 OpenShift Container Platform 的功能。在对资源请求进行身份验证和授权 第 第 1 章 章 架 架构 构概述 概述 7 您可以使用 准入插件 规范 OpenShift Container Platform 的功能。在对资源请求进行身份验证和授权 后，准入插件会截获对 展优势 优势 如果您在应用程序的主要版本之间进行滚动升级，则可以持续改进应用程序，既不会造成停机，又能仍然 保持与当前版本的兼容性。 您还可以与现有版本一起部署和测试应用程序的新版本。容器通过测试后，只要部署更多新容器并删除旧 容器便可。 由于应用程序的所有软件依赖项都在容器本身内解决，因此数据中心的每台主机上都能使用标准的操作系 统。您无需逐一为应用主机配置特定的操作系统。当数据中心需要更多容量时，您可以部署另一个通用主