确保有足 确保有足够的 的备用 用节点可用 点可用 集群不应在没有备用节点容量的情况下运行，特别是在启动集群更新时。没有运行且可用的节点可能会限 制集群在对集群工作负载造成最小影响的情况下执行更新的能力。 根据集群的 maxUnavailable spec 配置的值，如果是一个不可用节点，集群可能无法对该节点应用机器 配置更改。另外，如果计算节点没有足够的备用容量，当第一个节点进行更新时，工作负载可能无法临时 Platform 和 Operator 的更新路径。 使用声明的镜像设置配置文件来仅包含集群所需的 OpenShift Container Platform 发行版本、 Operator 和镜像。 执行增量镜像，从而减少将来镜像集的大小。 从上一执行以来，从镜像集配置中排除的目标镜像 registry 中修剪镜像的镜像。 （可选）为 OpenShift Update Service (OSUS) 使用生成支持工件。 指定由执行 oc-mirror 生成的镜像设置归档的路径，以加载到目标 registry 中。 -h,--help 显示帮助。 --ignore-history 下载镜像和打包层时，忽略过去的镜像。禁用增量镜像，并可能会下载更 多数据。 --manifests-only 为 ImageContentSourcePolicy 对象生成清单，将集群配置为使用镜 像 registry，但不实际镜像任何镜像。要使用此标志，您必须使用

无法看到其他应用程序 的进程、文件、网络等。通常情况下，每个容器提供一项服务，常称为微服务，如 Web 服务器或数据 库，但容器也可用于任意工作负载。 多年来，Linux 内核一直在整合容器技术的能力。Docker 项目为主机上的 Linux 容器开发了便捷的管理接 口。最近，开放容器计划还为容器格式和容器运行时制定了开放标准。OpenShift Container Platform 和 Kubernetes 描述 描述 assemble assemble 用来从源代码构建应用程序工件，并将其放置在镜像内部的适当目录 中的脚本。这个脚本是必需的。此脚本的工作流为： 1. 可选：恢复构建工件。如果要支持增量构建，确保同时定义了 save- artifacts。 2. 将应用程序源放在所需的位置。 3. 构建应用程序工件。 4. 将工件安装到适合它们运行的位置。 run run 脚本将执行您的应用程序。这个脚本是必需的。

无法看到其他应用程序 的进程、文件、网络等。通常情况下，每个容器提供一项服务，常称为微服务，如 Web 服务器或数据 库，但容器也可用于任意工作负载。 多年来，Linux 内核一直在整合容器技术的能力。Docker 项目为主机上的 Linux 容器开发了便捷的管理接 口。最近，开放容器计划还为容器格式和容器运行时制定了开放标准。OpenShift Container Platform 和 Kubernetes 描述 描述 assemble assemble 用来从源代码构建应用程序工件，并将其放置在镜像内部的适当目录 中的脚本。这个脚本是必需的。此脚本的工作流为： 1. 可选：恢复构建工件。如果要支持增量构建，确保同时定义了 save- artifacts。 2. 将应用程序源放在所需的位置。 3. 构建应用程序工件。 4. 将工件安装到适合它们运行的位置。 run run 脚本将执行您的应用程序。这个脚本是必需的。

Source-to-Image (S2I) 增量构建 S2I 可以执行增量构建，也就是能够重复利用过去构建的镜像中的工件。 流程 流程 要创建增量构建，请创建 BuildConfig 并对策略定义进行以下修改： 指定支持增量构建的镜像。请参考构建器镜像的文档，以确定它是否支持此行为。 此标志（flag）控制是否尝试增量构建。如果构建器镜像不支持增量构建，则构建仍将成功，但您会 收到一条日志消息，指出增量构建因为缺少 save-artifacts save-artifacts 脚本而未能成功。 其他 其他资 资源 源 如需有关如何创建支持增量构建的构建器镜像的信息，请参阅 S2I 要求。 5.2.2. 覆盖 Source-to-Image (S2I) 构建器镜像脚本 您可以覆盖构建器镜像提供的 assemble、run 和 save-artifacts S2I 脚本。 流程 流程 要覆盖构建器镜像提供的 assemble、run 脚本 脚本 脚本 描述 描述 assemble（必需） assemble 用来从源代码构建应用程序工件，并将其放置在镜像内部的适当目录 中的脚本。此脚本的工作流为： 1. 恢复构建工件。如果要支持增量构建，请确保同时定义了 save- artifacts（可选）。 2. 将应用程序源放在所需的位置。 3. 构建应用程序工件。 4. 将工件安装到适合它们运行的位置。 run（必需） run

source-to-image 增量 增量构 构建 建 Source-to-image (S2I) 可以执行增量构建，也就是能够重复利用过去构建的镜像中的工件。 流程 流程 要创建增量构建，请创建对策略定义进行以下修改： 指定支持增量构建的镜像。请参考构建器镜像的文档，以确定它是否支持此行为。 此标志（flag）控制是否尝试增量构建。如果构建器镜像不支持增量构建，则构建仍将成 功，但您会收到一条日志消息，指出增量构建因为缺少 功，但您会收到一条日志消息，指出增量构建因为缺少 save-artifacts 脚本而未能成功。 其他 其他资 资源 源 如需有关如何创建支持增量构建的构建器镜像的信息，请参阅 S2I 要求。 2.5.2.2. 覆盖 覆盖 source-to-image 构 构建器 建器镜 镜像脚本 像脚本 您可以覆盖构建器镜像提供的 assemble、run 和 save-artifacts source-to-image(S2I)脚本。 描述 描述 assemble assemble 用来从源代码构建应用程序工件，并将其放置在镜像内部的适当目录 中的脚本。这个脚本是必需的。此脚本的工作流为： 1. 可选：恢复构建工件。如果要支持增量构建，确保同时定义了 save- artifacts。 2. 将应用程序源放在所需的位置。 3. 构建应用程序工件。 4. 将工件安装到适合它们运行的位置。 run run 脚本将执行您的应用程序。这个脚本是必需的。

在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 前，请将值设置为较小的 trace 部分。 例如，将 spec.tracing.sampling 设置为 100 来示例 trace 的 1%。 将 Envoy 代理抽样率配置为代表 0.01% 增量的扩展整数。 在基本安装中，spec.tracing.sampling 设置为 10000，这代表 100% 的 trace 采样。例如： 将值设置为 10 个 trace 的 0.1% 样本。 。Agent 可 以作为检测应用程序上的 sidecar 注入。Query 和 Collector 服务被配置为使用一个受支持的存储 类型 - 当前为 Elasticsearch。可以根据性能和恢复能力的需要提供每个组件的多个实例。您可以 在 SMCP 中配置此部署策略，但为了完全自定义，您必须在 Jaeger CR 中指定您的配置，并链接 到 SMCP。 streaming - streaming

命名空间提供设定集群中资源范围的机制。Kubernetes 文档中提供有关命名空间的更多信 息。 命名空间为以下对象提供唯一范围： 指定名称的资源，以避免基本命名冲突。 委派给可信用户的管理授权。 限制社区资源消耗的能力。 系统中的大多数对象都通过命名空间来设定范围，但一些对象不在此列且没有命名空间，如节点和用户。 项目是附带额外注解的 Kubernetes 命名空间，是管理常规用户资源访问权限的集中载体。通过项目，一 主机上 运行 hostnetwork 的工作负载是集群中的 root 用户，必须 相应地信任它。 hostnetwork-v2 与 hostnetwork SCC 类似，但有以下区别： ALL 能力会从容器中丢弃。 可以显式添加 NET_BIND_SERVICE 功能。 默认情况下，seccompProfile 设置为 runtime/default。 在安全上下文中，需要取消设置 al  OpenShift Container Platform 4.13 认证 认证和授 和授权 权 108 nonroot-v2 与 nonroot SCC 类似，但有以下不同： ALL 能力会从容器中丢弃。 可以显式添加 NET_BIND_SERVICE 功能。 默认情况下，seccompProfile 设置为 runtime/default。 在安全上下文中，需要取消设置 al

Container Platform 提供了一种简单的、标准方式的容 器化服务扩展功能。例如，如果将应用程序构建为一组微服务，而非大型的单体式应用程序，您可以分别 扩展各个微服务来满足需求。有了这一能力，您可以只扩展需要的服务，而不是整个应用程序，从而在使 用最少资源的前提下满足应用程序需求。 1.1.3. OpenShift Container Platform 概述 OpenShift Container Platform 4.2 中，您可以在以下平台上安装使用用户置备的基础架构集群： AWS GCP VMware vSphere 裸机 在用户置备的基础架构上安装，每台机器都可拥有完整的互联网访问能力，您可以将集群放置在代理后 面，也可以执行受限网络安装。在受限网络安装中，您可以下载安装集群所需的镜像（image），将它们 放在镜像 registry（mirror registry）中，然后使用 worker 机器。具有 worker 角色的机器驱动计算 工作负载，这些负载由自动扩展它们的特定机器池管控。因为 OpenShift Container Platform 具有支持多 种机器类型的能力，因此 worker 机器被归类为计算 (compute)机器。在此版本中，术语“worker 机 器”和“计算机器”可互换使用，因为计算机器的唯一默认类型就是 worker 机器。在未来的 OpenShift

Container Platform 4.12 集群的有效值为 v4.11 和 v4.12。 定义要显式启用的功能列表。除了 baselineCapabilitySet 中指定的能力外，它们也会启用。 注意 注意 在本例中，默认能力被设置为 v4.11。additionalEnabledCapabilities 字段启用了默 认的 v4.11 功能集的额外功能。 下表描述了 baselineCapabilitySet BareMetalHost 资源的用户置备的基础架构禁用裸机功能。 重要 重要 如果禁用裸机功能，集群将无法置备或管理裸机节点。只有在部署中没有 BareMetalHost 资源时才禁用该功能。baremetal 能力取决于 MachineAPI 功能。如果启用 baremetal 功 能，还必须启用 MachineAPI。 其他 其他资 资源 源 在裸机上部署安装程序置备的集群 准备裸机集群安装 裸机配置 Platform 和 Operator 的更新路径。 使用声明的镜像设置配置文件来仅包含集群所需的 OpenShift Container Platform 发行版本、 Operator 和镜像。 执行增量镜像，从而减少将来镜像集的大小。 从上一执行以来，从镜像集配置中排除的目标镜像 registry 中修剪镜像的镜像。 （可选）为 OpenShift Update Service (OSUS) 使用生成支持工件。

Container Platform 提供了一种简单的、标准方式的容 器化服务扩展功能。例如，如果将应用程序构建为一组微服务，而非大型的单体式应用程序，您可以分别 扩展各个微服务来满足需求。有了这一能力，您可以只扩展需要的服务，而不是整个应用程序，从而在使 用最少资源的前提下满足应用程序需求。 1.1.3. OpenShift Container Platform 概述 OpenShift Container 4.3 中，您可以在以下平台上安装使用用户置备的基础架构集群： AWS Azure GCP VMware vSphere 裸机 在用户置备的基础架构上安装，每台机器都可拥有完整的互联网访问能力，您可以将集群放置在代理后 面，也可以执行受限网络安装。在受限网络安装中，您可以下载安装集群所需的镜像（image），将它们 放在镜像 registry（mirror registry）中，然后使用 worker 机器。具有 worker 角色的机器驱动计算 工作负载，这些负载由自动扩展它们的特定机器池管控。因为 OpenShift Container Platform 具有支持多 种机器类型的能力，因此 worker 机器被归类为计算 (compute)机器。在此版本中，术语“worker 机 器”和“计算机器”可互换使用，因为计算机器的唯一默认类型就是 worker 机器。在未来的 OpenShift