Red Hat OpenShift Container Storage 4.6 以外部模式部署 OpenShift Container Storage 如何安装和配置您的环境 Last Updated: 2023-06-08 Red Hat OpenShift Container Storage 4.6 以外部模式部署 OpenShift Container Storage 如何安装和配置您的环境 are the property of their respective owners. 摘要 摘要 有关安装 Red Hat OpenShift Container Storage 4.6 使用外部 Red Hat Ceph Storage 集群的说明， 请参阅本文档。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 1 章 章 以外部模式部署概述 以外部模式部署概述 第 第 2 章 章 为 为基于 基于 RED HAT ENTERPRISE LINUX 的 的节 节点上的容器 点上的容器启 启用文件系 用文件系统访问 统访问 第 第 3 章 章 安装 安装 RED HAT OPENSHIFT CONTAINER STORAGE OPERATOR 第 第 4 章 章 为 为外部模式 外部模式创 创建 建

2.7.4.1. 使用配置映射在容器中填充环境变量 2.7.4.2. 使用配置映射为容器命令设置命令行参数 2.7.4.3. 使用配置映射将内容注入卷 2.8. 使用设备插件来利用 POD 访问外部资源 2.8.1. 了解设备插件 设备插件示例 2.8.1.1. 设备插件部署方法 2.8.2. 了解设备管理器 2.8.3. 启用设备管理器 2.9. 在 POD 调度决策中纳入 POD pod 自动缩放 器，通过将 pod 调度到每个 pod 有充足资 源的节点，来确保 pod 在高需求期间保持 运行。 利用设备插件提供对外部资源的访问权 限。 Administrator 设备插件 是在节点上运行的 gRPC 服务 （kubelet 外部），用于管理特定的硬件资 源。您可以 部署设备插件， 以提供一致且 可移植的解决方案，以便在集群中消耗硬 件设备。 使用 Secret 对象 为容器定义了一个安全上下文，指定是否允许其作为特权容器来运 行，或者以所选用户身份运行，等等。默认上下文的限制性比较强，但管理员可以根据需要进行修 改。 containers 指定包括一个或多个容器定义的数组。 容器指定在容器中挂载外部存储卷的位置。在本例中，有一个卷可用来存储对凭证的访问，该卷是根 据 registry 对 OpenShift Container Platform API 发出请求所需的。 指定要为 pod 提

Platform 4.4 中的 中的 FIPS 模式属性和限制 模式属性和限制 属性 属性 限制： 限制： RHEL 7 操作系统支持 FIPS 。 FIPS 实现还没有提供一个单一的计算哈希函数和验证 基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中，将继续评估并改进这个 限制。 CRI-O 运行时支持 FIPS。 OpenShift Container 在受限网络中置备的基础架构上安装集群前，您必须将所需的容器镜像镜像(mirror)到那个环境中。在受 限网络中安装仅支持您置备的基础架构，不支持安装程序置备的基础架构。您也可以在不受限制的网络中 使用此流程来确保集群只使用满足您机构对外部内容控制的容器镜像。 重要 重要 您必须可以访问互联网来获取所需的容器镜像。在这一流程中，您要将镜像 registry 放在 可访问您的网络以及互联网的镜像（mirror）主机上。如果您无法访问镜像主机，请使用断 OAuth 服务器流程相关的其他行为。 project.config.o penshift.io 配置项目的创建方式，包括项目模板。 proxy.config.op enshift.io 定义需要外部网络访问的组件要使用的代理。注意：目前不是所有组件都会消耗这个 值。 scheduler.confi g.openshift.io 配置调度程序行为，如策略和默认节点选择器。 3.4.2. Operator

2.7.4.1. 使用配置映射在容器中填充环境变量 2.7.4.2. 使用配置映射为容器命令设置命令行参数 2.7.4.3. 使用配置映射将内容注入卷 2.8. 使用设备插件通过 POD 访问外部资源 2.8.1. 了解设备插件 设备插件示例 2.8.1.1. 设备插件部署方法 2.8.2. 了解设备管理器 2.8.3. 启用设备管理器 2.9. 在 POD 调度决策中纳入 POD 作为开发人员，使用垂直 pod 自动扩展来 确保 pod 在高负载时可以继续工作，方法 是将 pod 调度到具有每个 pod 充足资源的 节点。 使用设备插件提供对外部资源的访问。 Administrator 设备插件是在节点 (kubelet 的外部)上运行 的 gRPC 服务，用于管理特定的硬件资 源。您可以部署设备插件 以提供一致且可 移植的解决方案，以便在集群中使用硬件 设备。 第 第 1 章 章 为容器定义了一个安全上下文，指定是否允许其作为特权容器来运 行，或者以所选用户身份运行，等等。默认上下文的限制性比较强，但管理员可以根据需要进行修 改。 containers 指定包括一个或多个容器定义的数组。 容器指定在容器中挂载外部存储卷的位置。在本例中，有一个卷可用来存储对凭证的访问，该卷是根 据 registry 对 OpenShift Container Platform API 发出请求所需的。 指定要为 pod 提

18.3. 使用 INGRESS CONTROLLER 配置集群入口流量 18.4. 使用负载均衡器配置集群入口流量 18.5. 使用网络负载平衡器在 AWS 上配置集群入口流量 18.6. 为服务外部 IP 配置 INGRESS 集群流量 18.7. 使用 NODEPORT 配置集群入口流量 188 193 199 200 209 211 211 212 216 220 221 KURYR SDN 的 OCTAVIA OVN 负载均衡器供应商驱动 22.2. 使用 OCTAVIA 为应用程序流量扩展集群 22.3. 使用 RHOSP OCTAVIA 为入站流量扩展 22.4. 配置外部负载均衡器 第 第 23 章 章 使用 使用 METALLB 进 进行 行负载 负载平衡 平衡 23.1. 关于 METALLB 和 METALLB OPERATOR 23.2. 安装 METALLB 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口

Storage Operator 管理 1.2.9.2. 使用 Local Storage Operator 自动发现并置备设备（技术预览） 1.2.9.3. 已删除 AWS EFS（技术预览）功能的外部置备程序 1.2.10. 容器镜像仓库（Registry） 1.2.10.1. 镜像修剪器容许无效的镜像 1.2.10.2. 更改镜像修剪器的日志级别 1.2.10.3. 镜像 registry Metering Operator 1.4.2. 删除的功能 1.4.2.1. OperatorSource 资源 1.4.2.2. MongoDB 模板 1.4.2.3. AWS EFS 的外部置备程序（技术预览） 1.4.2.4. TLS 验证返回到 Common Name 字段 1.4.2.5. 删除了对 Microsoft Azure 的 mint 凭证的支持 1.5. 程序错误修复 虚拟机 worker 节点的自动扩展额外功能来更好地控制工作负载和资源。 您可以使用本地镜像执行断开连接或受限安装。这个能力对金融、公共机构和安全环境很有帮 助。 您可以使用 用户置备的基础架构（如外部负载均衡器）在 RHV 上安装 OpenShift Container Platform。此过程使用一系列 Ansible playbook 来启用更灵活的安装。 使用安装程序置备的基础架构在 RHV

网 网络 络 OPERATOR 概述 概述 4.1. CLUSTER NETWORK OPERATOR 4.2. DNS OPERATOR 4.3. INGRESS OPERATOR 4.4. 外部 DNS OPERATOR 4.5. INGRESS NODE FIREWALL OPERATOR 4.6. NETWORK OBSERVABILITY OPERATOR 第 第 5 章 章 OPENSHIFT 时钟状态 20.6. 验证 PTP 事件消费者应用程序是否收到事件 第 第 21 章 章 外部 外部 DNS OPERATOR 21.1. OPENSHIFT CONTAINER PLATFORM 中的外部 DNS OPERATOR 21.2. 在云供应商上安装外部 DNS OPERATOR 21.3. 外部 DNS OPERATOR 配置参数 21.4. 在 AWS 上创建 DNS 记录 21 21.5. 在 AZURE 上创建 DNS 记录 21.6. 在 GCP 上创建 DNS 记录 21.7. 在 INFOBLOX 上创建 DNS 记录 21.8. 在外部 DNS OPERATOR 上配置集群范围代理 第 第 22 章 章 网 网络 络策略 策略 22.1. 关于网络策略 22.2. 创建网络策略 22.3. 查看网络策略 22.4. 编辑网络策略 22.5. 删除网络策略

Dry Run 是一个技术预览功能。 gRPC Proxyless Service Mesh 是一个技术预览功能。 Telemetry API 是一个技术预览功能。 发现选择器功能不受支持。 外部 control plane 不受支持。 网关注入不受支持。 1.2.2.4.8. Kubernetes Gateway API Kubernetes Gateway API 是一个技术预览功能，默认为禁用。 尚不支持远程获取和加载 WebAssembly HTTP 过滤器 尚不支持使用 Kubernetes CSR API 的自定义 CA 集成 监控流量的请求分类是一个技术预览功能 通过授权策略的 CUSTOM 操作与外部授权系统集成是一项技术预览功能 1.2.2.12.7. 改进了 Service Mesh operator 性能 Red Hat OpenShift Service Mesh 在每个 ServiceMeshControlPlane io/managed-by=maistra-istio- operator 标签添加到其中。 MAISTRA-2687 Red Hat OpenShift Service Mesh 2.1 联邦网关在使用外部证书时不会发送完整的 证书链。Service Mesh 联邦出口网关仅发送客户端证书。因为联邦入口网关只知道 root 证书，所 以它无法验证客户端证书，除非您将 root 证书添加到联合导入 ConfigMap

裸机，您也可以在安装过程中自定义额外网络 参数。 2.1.4. 您的集群是否需要额外的安全性？ 如果使用用户置备的安装方法，您可以为集群配置代理。这些说明包含在每个安装过程中。 如果要防止公共云中的集群从外部公开端点，您可以在 AWS、Azure 或 GCP 上使用安装程序置备的基础 架构部署私有集群。 如果您需要安装对互联网有限访问的集群，如断开连接的或受限的网络集群，您可以镜像安装软件包并从 中安 选择集群安装方法并 集群安装方法并为 为用 用户 户准 准备 备它 它 19 第 3 章 断开连接的安装镜像 3.1. 关于断开连接的安装镜像 您可以使用镜像 registry 确保集群只使用满足机构对外部内容控制的容器镜像。在受限网络中置备的基础 架构上安装集群前，您必须将所需的容器镜像镜像(mirror)到那个环境中。要镜像容器镜像，您必须有一 个 registry 才能进行镜像(mirror)。 OpenShift Container Platform 镜像存储库 镜像用于断开连接的集群的 Operator 目录 3.3. 为断开连接的安装 MIRROR 镜像 您可以确保集群只使用满足您机构对外部内容控制的容器镜像。在受限网络中置备的基础架构上安装集群 前，您必须将所需的容器镜像镜像(mirror)到那个环境中。要镜像容器镜像，您必须有一个 registry 才能 进行镜像(mirror)。

和裸机，您也可以在安装过程中自定义额外网络参数。 2.1.4. 您的集群是否需要额外的安全性？ 如果使用用户置备的安装方法，您可以为集群配置代理。这些说明包含在每个安装过程中。 如果要防止公有云中的集群从外部公开端点，您可以在 AWS、Azure 或 GCP 上使用安装程序置备的基础 架构部署私有集群。 如果您需要安装对互联网有限访问的集群，如断开连接的或受限的网络集群，您可以镜像安装软件包并从 中安装集群。对于 Container Platform 4.14 安装 安装 28 第 4 章 断开连接的安装镜像 4.1. 关于断开连接的安装镜像 您可以使用镜像 registry 确保集群只使用满足机构对外部内容控制的容器镜像。在受限网络中置备的基础 架构上安装集群前，您必须将所需的容器镜像镜像(mirror)到那个环境中。要镜像容器镜像，您必须有一 个 registry 才能进行镜像(mirror)。 OpenShift Container Platform 镜像存储库 镜像用于断开连接的集群的 Operator 目录 4.3. 为断开连接的安装 MIRROR 镜像 您可以确保集群只使用满足您机构对外部内容控制的容器镜像。在受限网络中置备的基础架构上安装集群 前，您必须将所需的容器镜像镜像(mirror)到那个环境中。要镜像容器镜像，您必须有一个 registry 才能 进行镜像(mirror)。