LINUXONE 环境的推荐主机实践 本节为 IBM Z 和 LinuxONE 上的 OpenShift Container Platform 提供推荐的主机实践。 注意 注意 s390x 架构在很多方面都是唯一的。因此，此处提出的一些建议可能不适用于其他平台。 注意 注意 除非另有说明，否则这些实践适用于 IBM Z 和 LinuxONE 上的 z/VM 和 Red Hat Enterprise 别名来利用 MCO 配置集的优势。您必须为 control plane 和计算节点添加 YAML 配 置。 流程 流程 1. 将以下 MCO 示例配置集复制到 control plane 节点的 YAML 文件中。例如，05-master- kernelarg-hpav.yaml: 2. 将以下 MCO 示例配置集复制到计算节点的 YAML 文件中。例如，05-worker-kernelarg- 进行管理。它保证了自定义性能优化设置以可被守护进程支持的格式传递到在集群中运行的所有容器化的 TuneD 守护进程中。相应的守护进程会在集群的所有节点上运行，每个节点上运行一个。 在发生触发配置集更改的事件时，或通过接收和处理终止信号安全终止容器化 TuneD 守护进程时，容器 化 TuneD 守护进程所应用的节点级设置将被回滚。 在版本 4.1 及更高版本中，OpenShift Container Platform 标准安装中包含了

OPERATOR 5.5. 基于 HELM 的 OPERATOR 5.6. 基于 JAVA 的 OPERATOR 5.7. 定义集群服务版本（CSV） 5.8. 使用捆绑包镜像 5.9. 遵守 POD 安全准入 5.10. 云供应商上的 OPERATOR 的令牌身份验证 5.11. 使用 SCORECARD 工具验证 OPERATOR 5.12. 验证 OPERATOR 捆绑包 5.13. 高可用性或单节点集群检测和支持 策略的高级策略。 RukPak 提供用于在 Kubernetes 集群上安装各种工件的内容生态系统。工件示例包括 Git 仓库、Helm chart 和 OLM 捆绑包。然后，RukPak 可以以安全的方式管理、扩展和升级这些工件，以启用强大的集群 扩展。 在其核心上，RukPak 是一组 API 和控制器。API 打包为自定义资源定义 (CRD)，用于表达要在集群中安 装的内容以及如何创建运行的内容。控制器会监视 的历史记录，并可使用 opm CLI 工具添加或删除 Operator 来加以维护。 2.3.1.9. 安装 安装计划 划 安装计划（install plan）是一个列出了为自动安装或升级 CSV 而需创建的资源的计算列表。 2.3.1.10. 多租 多租户 OpenShift Container Platform 中的 租户 是为一组部署的工作负载（通常由命名空间或项目表示）共享共 同访问权限和特权的用户或

16.14. 为项目启用多播 16.15. 为项目禁用多播 16.16. 跟踪网络流 16.17. 配置混合联网 第 第 17 章 章 配置路由 配置路由 17.1. 路由配置 17.2. 安全路由 第 第 18 章 章 配置集群入口流量 配置集群入口流量 18.1. 集群入口流量配置概述 18.2. 为服务配置 EXTERNALIP 18.3. 使用 INGRESS CONTROLLER OpenShift Container Platform 的服务和路由提供名称解析。 基于 基于 HTTP 的路由 的路由 基于 HTTP 的路由是一个不受保护的路由，它使用基本的 HTTP 路由协议，并在未安全的应用程序端 口上公开服务。 入口 入口 OpenShift Container Platform 中的 Kubernetes Ingress 资源通过作为集群内 pod 运行的共享路由器 服务来实现 OpenShift Container Platform 集群的网络信息。 node OpenShift Container Platform 集群中的 worker 机器。节点是虚拟机 (VM) 或物理计算机。 OpenShift Container Platform Ingress Operator Ingress Operator 实现 IngressController API，是负责启用对

INGRESS 配置资产 6.3. INGRESS 控制器配置参数 6.3.1. Ingress Controller TLS 安全配置集 6.3.1.1. 了解 TLS 安全配置集 6.3.1.2. 为 Ingress Controller 配置 TLS 安全配置集 6.3.2. Ingress 控制器端点发布策略 6.4. 查看默认的 INGRESS CONTROLLER 6.5. 查看 15.1.3. 启用 HTTP 严格传输安全性 15.1.4. 吞吐量问题错误排解 15.1.5. 使用 Cookie 来保持路由有状态性 15.1.5.1. 使用 Cookie 标注路由 15.1.6. 基于路径的路由 15.1.7. 特定于路由的注解 15.1.8. 配置路由准入策略 15.1.9. 通过 Ingress 对象创建路由 15.2. 安全路由 15.2.1. 使用自定义证书创建重新加密路由 OpenShift Container Platform 4.6 网 网络 络 8 目 目录 录 9 第 1 章 了解网络 集群管理员有几个选项可将集群中运行的应用程序公开给外部流量并保护网络连接安全： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客

OPENSHIFT CONTAINER PLATFORM 中的 AWS LOAD BALANCER OPERATOR 24.3. 了解 AWS LOAD BALANCER OPERATOR 24.4. 在安全令牌服务集群中安装 AWS LOAD BALANCER OPERATOR 24.5. 创建 AWS LOAD BALANCER CONTROLLER 实例 24.6. 创建多个入口 24.7. 添加 为项目禁用多播 28.16. 使用 OPENSHIFT SDN 配置网络隔离 28.17. 配置 KUBE-PROXY 第 第 29 章 章 配置路由 配置路由 29.1. 路由配置 29.2. 安全路由 第 第 30 章 章 配置集群入口流量 配置集群入口流量 30.1. 集群入口流量配置概述 30.2. 为服务配置 EXTERNALIP 30.3. 使用 INGRESS CONTROLLER 网络是一个功能生态系统、插件和高级网络功能，它使用高级网络相关功能来扩展 Kubernetes 网络，集群需要为其一个或多个混合集群管理网络流量。这个网络功能生态系统集成了入 口、出口、负载均衡、高性能吞吐量、安全性和集群内部流量管理，并提供基于角色的可观察工具来减少 其自然复杂性。 以下列表重点介绍集群中可用的一些最常用的 Red Hat OpenShift Networking 功能： 由以下 Container

MACHINE API 概述 1.2. 管理计算机器 1.3. 管理 CONTROL PLANE 机器 1.4. 将自动扩展应用到 OPENSHIFT CONTAINER PLATFORM 集群 1.5. 在用户置备的基础架构上添加计算机器 1.6. 在集群中添加 RHEL 计算机器 第 第 2 章 章 使用 使用 MACHINE API 管理 管理计 计算机器 算机器 2.1. 在 ALIBABA CLOUD 上创建计算机器设置 2.2. 在 AWS 上创建计算机器集 2.3. 在 AZURE 上创建计算机器设置 2.4. 在 AZURE STACK HUB 上创建计算机器集 2.5. 在 GCP 上创建计算机器设置 2.6. 在 IBM CLOUD 上创建计算机器集 2.7. 在 IBM POWER VIRTUAL SERVER 上创建计算机器集 2.8. 在 NUTANIX 上创建计算机器集 2 OPENSTACK 上创建计算机器集 2.10. 在 VSPHERE 上创建计算机器设置 2.11. 在裸机上创建计算机器集 第 第 3 章 章 手 手动扩 动扩展 展计 计算机器集 算机器集 3.1. 先决条件 3.2. 手动扩展计算机器集 3.3. 计算机器集删除策略 3.4. 其他资源 第 第 4 章 章 修改 修改计 计算机器集 算机器集 4.1. 使用 CLI 修改计算机器集 第 第 5

14 发行注记 Red Hat OpenShift Container Platform 为软件开发人员和 IT 机构提供了一个混合云应用平台。使用这个 平台可以在配置和管理成本最小化的情况下，利用安全、可扩展的资源部署新的或已有的应用程序。 OpenShift Container Platform 支持大量编程语言和开发平台，如 Java、JavaScript、Python、Ruby 和 PHP。 基于 Red Hat Enterprise Linux（RHEL）和 Kubernetes，为当今的企业级 应用程序提供了一个更加安全、可扩展的多租户操作系统，同时提供了集成的应用程序运行时及程序库。 OpenShift Container Platform 可以满足用户对安全性、隐私、合规性及监管的要求。 1.1. 关于此版本 OpenShift Container Platform (RHSA bootstrap 过 过程中 程中启 启用 用 S3 存 存储 储桶 桶 在这个版本中，您可以选择在 AWS 上的集群 bootstrap 过程中自动删除 S3 存储桶。如果您有一个用于 防止删除 S3 存储桶的安全策略时，此选项很有用。 1.3.2.3. 使用 使用 NAT 网关在 网关在 Microsoft Azure 上安装集群（技 上安装集群（技术预览 术预览） ） 在 OpenShift Container

没有单点故障的高可用性基础架构，默认可用。 管理员可以控制要应用的更新，以及应用的时间。 1.1.1. 关于安装程序 您可以使用安装程序部署每种集群。安装程序会生成主要资产，如 bootstrap、control plane 和计算机器 的 Ignition 配置文件。您可以使用这三个机器配置开始使用 OpenShift Container Platform 集群，它为您 提供了正确配置的基础架构。 OpenShift Container 管理和维护集群资源。以下列表详细介绍了其中一些自 我管理的资源： 组成集群的 control plane 和计算机器的底层基础架构 负载均衡器 集群网络，包括 DNS 记录和所需的子网 集群基础架构和应用程序的存储 如果您的集群使用用户置备的基础架构，您可以选择将 RHEL 计算机器添加到集群中。 安装 安装过 过程 程详细 详细信息 信息 置备集群时，集群中的每台机器都需要有关集群的信息。OpenShift plane 机器创建计算（compute）机器。下图说明了这一过程： 图 图 1.2. 创 创建 建 bootstrap、 、control plane 和 和计 计算机器 算机器 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 11 图 图 1.2. 创 创建 建 bootstrap、 、control plane 和 和计 计算机器 算机器

Container Platform 3 且要使用 OpenShift Container Platform 4? 2.1.3. 您是否希望在您的集群中使用已存在的组件？ 2.1.4. 您的集群是否需要额外的安全性？ 2.2. 安装后为用户准备集群 2.3. 为工作负载准备集群 2.4. 支持的用于不同平台的安装方法 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 模板 4.11.9. 在 AWS 中创建网络和负载均衡组件 4.11.9.1. 网络和负载均衡器的 CloudFormation 模板 4.11.10. 在 AWS 中创建安全组和角色 4.11.10.1. 安全对象的 CloudFormation 模板 4.11.11. AWS 基础架构的 RHCOS AMI 4.11.11.1. 没有公布的 RHCOS AMI 的 AWS 区域 4 模板 4.12.9. 在 AWS 中创建网络和负载均衡组件 4.12.9.1. 网络和负载均衡器的 CloudFormation 模板 4.12.10. 在 AWS 中创建安全组和角色 4.12.10.1. 安全对象的 CloudFormation 模板 4.12.11. AWS 基础架构的 RHCOS AMI 4.12.12. 在 AWS 中创建 bootstrap 节点 4.12.12

优先级类 2.9.1.2. Pod 优先级名称 2.9.2. 了解 pod 抢占 2.9.2.1. 非抢占优先级类（技术预览） 2.9.2.2. Pod 抢占和其他调度程序设置 2.9.2.3. 安全终止被抢占的 pod 2.9.3. 配置优先级和抢占 2.10. 使用节点选择器将 POD 放置到特定节点 2.10.1. 使用节点选择器控制 pod 放置 第 第 3 章 章 控制 控制节 Platform 如何计算分配的资源 5.10.1.2. 节点如何强制实施资源限制 5.10.1.3. 了解驱除阈值 5.10.1.4. 调度程序如何确定资源可用性 5.10.2. 自动为节点分配资源 5.10.3. 手动为节点分配资源 5.11. 为集群中的节点分配特定 CPU 5.11.1. 为节点保留 CPU 5.12. 为 KUBELET 启用 TLS 安全配置集 5.12.1 1. 了解 TLS 安全配置集 5.12.2. 为 kubelet 配置 TLS 安全配置集 5.13. 机器配置守护进程指标 5.13.1. 机器配置守护进程指标 5.14. 创建基础架构节点 5.14.1. OpenShift Container Platform 基础架构组件 5.14.1.1. 创建基础架构节点 第 第 6 章 章 操作容器 操作容器 6.1. 了解容器 关于容器和