OPERATOR 5.5. 基于 HELM 的 OPERATOR 5.6. 基于 JAVA 的 OPERATOR 5.7. 定义集群服务版本（CSV） 5.8. 使用捆绑包镜像 5.9. 遵守 POD 安全准入 5.10. 云供应商上的 OPERATOR 的令牌身份验证 5.11. 使用 SCORECARD 工具验证 OPERATOR 5.12. 验证 OPERATOR 捆绑包 5.13. 高可用性或单节点集群检测和支持 策略的高级策略。 RukPak 提供用于在 Kubernetes 集群上安装各种工件的内容生态系统。工件示例包括 Git 仓库、Helm chart 和 OLM 捆绑包。然后，RukPak 可以以安全的方式管理、扩展和升级这些工件，以启用强大的集群 扩展。 在其核心上，RukPak 是一组 API 和控制器。API 打包为自定义资源定义 (CRD)，用于表达要在集群中安 装的内容以及如何创建运行的内容。控制器会监视 的历史记录，并可使用 opm CLI 工具添加或删除 Operator 来加以维护。 2.3.1.9. 安装 安装计划 划 安装计划（install plan）是一个列出了为自动安装或升级 CSV 而需创建的资源的计算列表。 2.3.1.10. 多租 多租户 OpenShift Container Platform 中的 租户 是为一组部署的工作负载（通常由命名空间或项目表示）共享共 同访问权限和特权的用户或

7. 将 LINUXPTP 服务配置为边界时钟 11.8. 为 PTP 硬件配置 FIFO 优先级调度 11.9. 常见 PTP OPERATOR 故障排除 11.10. PTP 硬件快速事件通知框架 第 第 12 章 章 网 网络 络策略 策略 12.1. 关于网络策略 12.2. 记录网络策略事件 12.3. 创建网络策略 12.4. 查看网络策略 12.5. 编辑网络策略 12 16.14. 为项目启用多播 16.15. 为项目禁用多播 16.16. 跟踪网络流 16.17. 配置混合联网 第 第 17 章 章 配置路由 配置路由 17.1. 路由配置 17.2. 安全路由 第 第 18 章 章 配置集群入口流量 配置集群入口流量 18.1. 集群入口流量配置概述 18.2. 为服务配置 EXTERNALIP 18.3. 使用 INGRESS CONTROLLER OpenShift Container Platform 的服务和路由提供名称解析。 基于 基于 HTTP 的路由 的路由 基于 HTTP 的路由是一个不受保护的路由，它使用基本的 HTTP 路由协议，并在未安全的应用程序端 口上公开服务。 入口 入口 OpenShift Container Platform 中的 Kubernetes Ingress 资源通过作为集群内 pod 运行的共享路由器 服务来实现

OPERATOR 19.5. 使用 WEB 控制台安装 PTP OPERATOR 19.6. 配置 PTP 设备 19.7. 常见 PTP OPERATOR 故障排除 19.8. PTP 硬件快速事件通知框架 第 第 20 章 章 开 开发 发 PTP 事件消 事件消费 费者 者应 应用程序 用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 OPENSHIFT CONTAINER PLATFORM 中的 AWS LOAD BALANCER OPERATOR 24.3. 了解 AWS LOAD BALANCER OPERATOR 24.4. 在安全令牌服务集群中安装 AWS LOAD BALANCER OPERATOR 24.5. 创建 AWS LOAD BALANCER CONTROLLER 实例 24.6. 创建多个入口 24.7. 添加 为项目禁用多播 28.16. 使用 OPENSHIFT SDN 配置网络隔离 28.17. 配置 KUBE-PROXY 第 第 29 章 章 配置路由 配置路由 29.1. 路由配置 29.2. 安全路由 第 第 30 章 章 配置集群入口流量 配置集群入口流量 30.1. 集群入口流量配置概述 30.2. 为服务配置 EXTERNALIP 30.3. 使用 INGRESS CONTROLLER

LINUXONE 环境的推荐主机实践 本节为 IBM Z 和 LinuxONE 上的 OpenShift Container Platform 提供推荐的主机实践。 注意 注意 s390x 架构在很多方面都是唯一的。因此，此处提出的一些建议可能不适用于其他平台。 注意 注意 除非另有说明，否则这些实践适用于 IBM Z 和 LinuxONE 上的 z/VM 和 Red Hat Enterprise 别名来利用 MCO 配置集的优势。您必须为 control plane 和计算节点添加 YAML 配 置。 流程 流程 1. 将以下 MCO 示例配置集复制到 control plane 节点的 YAML 文件中。例如，05-master- kernelarg-hpav.yaml: 2. 将以下 MCO 示例配置集复制到计算节点的 YAML 文件中。例如，05-worker-kernelarg- 进行管理。它保证了自定义性能优化设置以可被守护进程支持的格式传递到在集群中运行的所有容器化的 TuneD 守护进程中。相应的守护进程会在集群的所有节点上运行，每个节点上运行一个。 在发生触发配置集更改的事件时，或通过接收和处理终止信号安全终止容器化 TuneD 守护进程时，容器 化 TuneD 守护进程所应用的节点级设置将被回滚。 在版本 4.1 及更高版本中，OpenShift Container Platform 标准安装中包含了

驱动程序 5.22. VMWARE VSPHERE CSI DRIVER OPERATOR 第 第 6 章 章 通用 通用临时 临时卷 卷 6.1. 概述 6.2. 生命周期和持久性卷声明 6.3. 安全性 6.4. 持久性卷声明命名 6.5. 创建通用临时卷 第 第 7 章 章 扩 扩展持久性卷 展持久性卷 7.1. 启用卷扩展支持 7.2. 扩展 CSI 卷 7.3. 使用支持的驱动程序扩展 的块存储服务，用于管理所有卷的管理、安全性和调度。 配置映射 配置映射 配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap 的卷中引用存储在配置映射 中的数据。在 pod 中运行的应用程序可以使用这个数据。 Container Storage Interface (CSI) 在不同容器编配 (CO) 系统之间管理容器存储的 API 规格。 动态置 置备 该框架允许您按需创建存储卷，使集群管理员无需预置备持久性存储。 存储 Pod 和容器可能需要临时或过渡的本地存储才能进行操作。此临时存储的生命周期不会超过每个 pod 的生命周期，且此临时存储无法在 pod 间共享。 Fiber 频道 道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个 节点上在预定义的卷插件路径中安装

的块存储服务，用于管理所有卷的管理、安全性和调度。 配置映射 配置映射 配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap 的卷中引用存储在配置映射 中的数据。在 pod 中运行的应用程序可以使用这个数据。 Container Storage Interface (CSI) 在不同容器编配 (CO) 系统之间管理容器存储的 API 规格。 动态 动态置 置备 备 该框架允许您按需创 储 Pod 和容器可能需要临时或过渡的本地存储才能进行操作。此临时存储的生命周期不会超过每个 pod 的生命周期，且此临时存储无法在 pod 间共享。 Fiber 频 频道 道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个 节点上在预定义的卷插件路径中安装 节点上在预定义的卷插件路径中安装 FlexVolume 驱动程序二进制文件，并在某些情况下是 control plane 节点。 fsGroup fsGroup 定义 pod 的文件系统组 ID。 iSCSI 互联网小型计算机系统接口 (iSCSI) 是基于互联网协议的存储网络标准，用于连接数据存储设施。 iSCSI 卷允许将现有 iSCSI （通过 IP 的 SCSI）卷挂载到您的 Pod 中。 hostPath

Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 3.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： docker.io/openshift/jenkins-2 您可使用细粒度访问控制来共享镜像，快速向整个团队分发镜像。 如果源更改，imagestreamtag 仍将指向已知良好的镜像版本，以确保您的应用程序不会意外中 断。 您可通过设置镜像流的访问权限来配置安全性，以控制谁可以查看和使用镜像。 在集群级别上缺少读取或列出镜像权限的用户仍可使用镜像流来检索项目中标记的镜像。 3.7.1. 镜像流标签（Imagestreamtags） 镜像流标签是指向镜 中使用，在创建容器镜像时都需要遵循以下指导信 息。 重复利用 重复利用镜 镜像 像 建议您尽可能使用 FROM 语句将您的镜像基于适用的上游镜像。这可确保，在上游镜像更新时您的镜像 也可轻松从中获取安全修复，而不必再直接更新依赖项。 此外，请使用 FROM 指令中的标签（如 rhel:rhel7），方便用户准确了解您的镜像基于哪个版本的镜像。 使用除 latest 以外的标签可确保您的镜像不受 latest

镜像拉取（PULL）策略 5.3.1. 镜像拉取（pull）策略概述 5.4. 使用镜像 PULL SECRET 5.4.1. 允许 pod 在项目间引用镜像 5.4.2. 允许 Pod 引用其他安全 registry 中的镜像 5.4.2.1. 通过委托身份验证从私有 registry 拉取（pull） 5.4.3. 更新全局集群 pull secret 第 第 6 章 章 管理 管理镜 4. 更新镜像流标签 6.7.5. 删除镜像流标签 6.7.6. 配置定期导入镜像流标签 6.8. 从私有容器镜像仓库（REGISTRY）导入镜像和镜像流 6.8.1. 允许 Pod 引用其他安全 registry 中的镜像 第 第 7 章 章 KUBERNETES 资 资源使用 源使用镜 镜像流 像流 7.1. 使用 KUBERNETES 资源启用镜像流 第 第 8 章 章 在 在镜 资源 源 9.1. 镜像控制器配置参数 9.2. 配置镜像 REGISTRY 设置 9.2.1. 添加特定的 registry 9.2.2. 阻塞特定的 registry 9.2.3. 允许不安全的 registry 9.2.4. 添加允许镜像短名称的 registry 9.2.5. 为镜像 registry 访问配置额外的信任存储 9.2.6. 配置镜像 registry 存储库镜像

. . . . . . . . . . . . . . . . . . . . . . 第 第 8 章 章 安全策略 安全策略 8.1. 关于工作负载安全性 8.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 8.3. 授权 8.4. 其他资源 第 第 9 章 章 使用 使用 VIRTCTL ocp4-moderate-node 配置集的扫 描来检查您的 OpenShift Virtualization 集群的合规性。Compliance Operator 使用 NIST 认证工具 OpenSCAP 扫描并执行安全策略。 1.1.1. OpenShift Virtualization 支持的集群版本 OpenShift Virtualization 4.13 支持在 OpenShift Container VIRTUALIZATION 架 架构 构 9 表 表 2.2. cdi-operator 组 组件 件 组 组件 件 描述 描述 deployment/cdi-apiserver 通过提供安全上传令牌来管理将虚拟机磁盘上传到 PVC 的授权过程。 deployment/cdi-uploadproxy 将外部磁盘上传流量定向到适当的上传服务器 pod， 以便将其写入正确的 PVC。需要有效的上传令牌。

OpenShift Container Platform 安装在 bootstrap 过程完成前失败。bootstrap 节点必须正在运 行，并可通过 SSH 访问。 ssh-agent 进程在您的计算机上处于活跃状态，并且为 ssh-agent 进程和安装程序提供了相同的 SSH 密钥。 如果尝试在您置备的基础架构中安装集群，则一定需要有 control plane 或 master 机器的完全限 Container Platform 4.4 中的 中的 FIPS 模式属性和限制 模式属性和限制 属性 属性 限制： 限制： RHEL 7 操作系统支持 FIPS 。 FIPS 实现还没有提供一个单一的计算哈希函数和验证 基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中，将继续评估并改进这个 限制。 CRI-O 运行时支持 FIPS。 OpenShift 虽然不鼓励直接更改 OpenShift Container Platform 节点，但有时在实现低级别安全、网络或性能功能时 OpenShift Container Platform 4.4 安装 安装 8 虽然不鼓励直接更改 OpenShift Container Platform 节点，但有时在实现低级别安全、网络或性能功能时 需要这样做。通过以下方法可以对 OpenShift Container Platform