集群资源，用于管理 NooBaa core、数据库和端点的部署和服务。 2.2. 存储集群部署方法 日益增加的运营模式列表表明，灵活性是 Red Hat OpenShift Data Foundation 的核心原则。本节将为您 提供信息，帮助您为您的环境选择最合适的方法。 Red Hat OpenShift Data Foundation 可以完全在 OpenShift Container Platform

基础架构和应用程序定义为“代码”，简化了跨多个群集的基础架构和应用程序配置的传播。 为集群配置文 件实现 GitOps 可方便自动安装，并可让您配置自动化集群自定义。您可以将在 Git 存储库中开发和维护 软件的核心原则应用到创建和管理集群和应用程序配置文件。 通过使用 OpenShift Container Platform 自动执行集群配置和容器开发过程，您可以选择在哪里和何时执 行 GitOps 操作。使用与您的

OpenShift Container Platform 集群上的多个租户使用 Operator，OLM 的默认行为要求管理员以 All namespaces 模式安装 Operator，这可能被视为违反最小 特权的原则。 请考虑以下场景，以确定哪个 Operator 安装工作流最适合您的环境和要求。 其他 其他资源 源 常见术语：多租户（Multitenant） 多租户 Operator 管理的限制 2 为多租户集群准备多个 Operator 实例 作为集群管理员，您可以添加多个 Operator 实例以用于多租户集群。这是使用标准 All namespaces 安 装模式的替代解决方案，可被视为违反最小特权的原则，或 Multinamespace 模式（没有被广泛采用）。 如需更多信息，请参阅"多租户集群中的Operator"。 在以下步骤中，租户 是为一组部署的工作负载共享通用访问和特权的用户或组。租户 operatorframework.io 由新的 Operator Controller 组件提供，通过将面向用户的 API 整合到单个对象来简化已安装的 Operator 的管 理。这让管理员和 SRE 能够使用 GitOps 原则自动化进程并定义所需的状态。 Catalog API 由新 catalogd 组件提供，充当 OLM 1.0 的基础，为 on-cluster 客户端解包目 录，以便用户可以发现可安装的内容，如 Operator

registry。 4.1. 学习容器最佳实践 在创建 OpenShift Container Platform 上运行的容器镜像时，镜像创建者需考虑诸多最佳实践，以确保为 镜像的使用者提供良好体验。镜像原则上不可变且应按原样使用，所以请遵守以下准则，以确保您的镜像 高度可用，且易于在 OpenShift Container Platform 上使用。 4.1.1. 常规容器镜像准则 无论容器镜像是否在

operatorframework.io 由新的 Operator Controller 组件提供，通过将面向用户的 API 整合到单个对象来简化已安装的 Operator 的管 理。这让管理员和 SRE 能够使用 GitOps 原则自动化进程并定义所需的状态。 Catalog API 由新 catalogd 组件提供，充当 OLM 1.0 的基础，为 on-cluster 客户端解包目 录，以便用户可以发现可安装的内容，如 Operator

registry。 4.1. 学习容器最佳实践 在创建 OpenShift Container Platform 上运行的容器镜像时，镜像创建者需考虑诸多最佳实践，以确保为 镜像的使用者提供良好体验。镜像原则上不可变且应按原样使用，所以请遵守以下准则，以确保您的镜像 高度可用，且易于在 OpenShift Container Platform 上使用。 4.1.1. 常规容器镜像准则 无论容器镜像是否在

registry。 4.1. 学习容器最佳实践 在创建 OpenShift Container Platform 上运行的容器镜像时，镜像创建者需考虑诸多最佳实践，以确保为 镜像的使用者提供良好体验。镜像原则上不可变且应按原样使用，所以请遵守以下准则，以确保您的镜像 高度可用，且易于在 OpenShift Container Platform 上使用。 4.1.1. 常规容器镜像准则 无论容器镜像是否在

Platform 4.13 认证 认证和授 和授权 权 72 警告 警告 当它们被应用到一个角色时，get pods/exec, get pods/*, 和 get * 规则会授予执行权 限。应用最小特权的原则，仅分配用户和代理所需的最小 RBAC 权限。如需更多信 息，请参阅 RBAC 规则允许执行权限。 8.1.2. 评估授权 OpenShift Container Platform 使用以下几项来评估授权：

Container Platform 4.10 可伸 可伸缩 缩性和性能 性和性能 46 重要 重要 当使用基于机器配置池的匹配时，建议将具有相同硬件配置的节点分组到同一机器配置池 中。不遵循这个原则可能会导致在共享同一机器配置池的两个或者多个节点中 TuneD 操作 对象导致内核参数冲突。 示例：基于 示例：基于节 节点或 点或 pod 标签 标签的匹配 的匹配 根据配置集优先级，以上 CR

实例，用于管理虚拟机进程。在会话模 式中，libvirt 守护进程以非 root 用户帐户运行，仅允许同一用户标识符 (UID) 下运行的客户端的连接。 因此，虚拟机作为非特权 pod 运行，遵循最小特权的安全原则。 8.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 Pod 的安全上下文约束（SCC）控制权限。这些权限包括