为一个命名空间配置手动分配出口 IP 地址 13.3. 为项目配置出口防火墙 13.3.1. 出口防火墙在一个项目中的工作原理 13.3.1.1. 出口防火墙的限制 13.3.1.2. 出口防火墙策略规则的匹配顺序 13.3.1.3. 域名服务器 (DNS) 解析如何工作 13.3.2. EgressNetworkPolicy 自定义资源 (CR) 对象 13.3.2.1. EgressNetworkPolicy 网络供应商回滚到 OpenShift SDN 14.4. 为项目配置出口防火墙 14.4.1. 出口防火墙在一个项目中的工作原理 14.4.1.1. 出口防火墙的限制 14.4.1.2. 出口防火墙策略规则的匹配顺序 14.4.2. EgressFirewall 自定义资源（CR）对象 14.4.2.1. EgressFirewall 规则 14.4.2.2. EgressFirewall CR 对象示例 Operator（CNO）的字段在下表中描述： 表 表 4.1. Cluster Network Operator 配置 配置对 对象 象 字段 字段 类 类型 型 描述 描述 metadata.name 字符串 字符串 CNO 对象的名称。这个名称始终是 cluster。 spec.clusterNet work 数 数组 组 用于指定从哪些 IP 地址块分配 Pod IP 地址以及分配给集群中每个 节点的子网前缀长度的列表。例如：

污点和容限可确保将 pod 调度到适当的节点上。您可以在节点上应用一个或多个污点。 容限 容限 (tolerations) 您可以将容限应用到 pod。容限 (toleration) 允许调度程序调度具有匹配污点的 pod。 Web 控制台 控制台 用于管理 OpenShift Container Platform 的用户界面(UI)。 第 第 1 章 章 了解网 了解网络 络 9 第 2 章 Operator(CNO)的字段： 表 表 4.1. Cluster Network Operator 配置 配置对 对象 象 字段 字段 类 类型 型 描述 描述 metadata.name 字符串 字符串 CNO 对象的名称。这个名称始终是 集群 集群。 spec.clusterNet work array 用于指定从哪些 IP 地址块分配 Pod IP 地址以及集群中每个节点的 子网前缀长度的列表。例如： 对 对象配置 象配置 下表列出了 defaultNetwork 对象的值： 表 表 4.2. defaultNetwork 对 对象 象 字段 字段 类 类型 型 描述 描述 type 字符串 字符串 OpenShiftSDN 或 OVNKubernetes。集群网络供 应商是在安装过程中选择的。此值在集群安装后无法 更改。 注意 注意 OpenShift Container Platform

的服务网格支持，包括多集群联邦。 1.2.2.4.4. istio-node DaemonSet 重命名 在此发行版本中，istio-node DaemonSet 被重命名为 istio-cni-node，以匹配上游 Istio 中的名称。 1.2.2.4.5. Envoy sidecar 网络更改 Istio 1.10 更新了 Envoy，默认使用 eth0 而不是 lo 将流量发送到应用程序容器。 Mesh 处理 URI 片段的方式改变 Red Hat OpenShift Service Mesh 包含一个可远程利用的漏洞 CVE-2021-39156，其中 HTTP 请求带有片 段（以 # 字符开头的 URI 末尾的一个部分），您可以绕过 Istio URI 基于路径的授权策略。例如，Istio 授 权策略拒绝发送到 URI 路径 /user/profile 的请求。在存在安全漏洞的版本中，带有 片 段之前，确保您已将这些内容放入任何安全策略中。 ServiceMeshControlPlane 修改示例 修改示例 1.2.2.18.2. 授权策略所需的更新 Istio 为主机名本身和所有匹配端口生成主机名。例如，用于 "httpbin.foo" 主机的虚拟服务或网关会生成  apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane

registry 至少必须与 OpenShift Container Platform OpenShift Container Platform 4.7 安装 安装 60 集群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访 安 安 装了 装了 Red Hat OpenShift 的镜像 registry，则必须包括该字符串才能正确地升 级镜像 registry。 3.6.1. 为 Red Hat OpenShift 卸载镜像 registry 您可以运行以下命令来从本地主机 中卸载 Red Hat OpenShift --quayRoot 标志。例如，如果使用 --quayRoot example_directory_name 安装了 Red Hat OpenShift 的镜像 registry，则必 须包括该字符串才能正确地卸载镜像 registry。 3.6.2. Red Hat OpenShift 标记的镜像(mirror)registry 以下标记可用于 Red Hat OpenShift 的镜像

--quayHostname 和 --quayRoot 安装 Red Hat OpenShift 镜像 registry，则必须 包括该字符串来正确地升级镜像 registry。 如果您要将 mirror registry for Red Hat OpenShift 从 1.2.z 升级到 1.3.0，且您在 1.2.z 部署中使用了 --quayHostname 和 --quayRoot 安装 Red Hat OpenShift 镜像 registry，则必须包括 该字符串来正确地升级镜像 registry。 4.2.7. 替换 mirror registry for Red Hat OpenShift SSL/TLS 证书 在某些情况下，您可能想要为 mirror --quayRoot example_directory_name 安装了 mirror registry for Red Hat OpenShift ，则 在卸载镜像 registry 时也需要包括这个字符串才能正确卸载。 4.2.9. Mirror registry for Red Hat OpenShift 标记 以下标记可用于 mirror registry for Red Hat OpenShift

--quayHostname 和 --quayRoot 安装 Red Hat OpenShift 镜像 registry，则必须 包括该字符串来正确地升级镜像 registry。 如果您要将 mirror registry for Red Hat OpenShift 从 1.2.z 升级到 1.3.0，且您在 1.2.z 部署中使用了 --quayHostname 和 --quayRoot 安装 Red Hat OpenShift 镜像 registry，则必须包括 该字符串来正确地升级镜像 registry。 3.2.7. 为 Red Hat OpenShift 卸载镜像 registry 您可以运行以下命令来从本地主机中卸载 mirror registry for --quayRoot example_directory_name 安装了 mirror registry for Red Hat OpenShift ，则 在卸载镜像 registry 时也需要包括这个字符串才能正确卸载。 3.2.8. Mirror registry for Red Hat OpenShift 标记 以下标记可用于 mirror registry for Red Hat OpenShift

--quayHostname 和 --quayRoot 安装 Red Hat OpenShift 镜像 registry，则必须 包括该字符串来正确地升级镜像 registry。 如果您要将 mirror registry for Red Hat OpenShift 从 1.2.z 升级到 1.3.0，且您在 1.2.z 部署中使用了 --quayHostname 和 --quayRoot 安装 Red Hat OpenShift 镜像 registry，则必须包括 该字符串来正确地升级镜像 registry。 4.2.7. 替换 mirror registry for Red Hat OpenShift SSL/TLS 证书 在某些情况下，您可能想要为 mirror --quayRoot example_directory_name 安装了 mirror registry for Red Hat OpenShift ，则 在卸载镜像 registry 时也需要包括这个字符串才能正确卸载。 4.2.9. Mirror registry for Red Hat OpenShift 标记 以下标记可用于 mirror registry for Red Hat OpenShift

registry 至少必须与 OpenShift Container Platform 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 17 集群的生产环境可用性相匹配。 使用 OpenShift Container Platform 镜像填充镜像 registry 时，可以遵循以下两种情况。如果您的主机可 以同时访问互联网和您的镜像 registry，而不能访 安 安 装了 装了 Red Hat OpenShift 的镜像 registry，则必须包括该字符串才能正确地升 级镜像 registry。 3.6.1. 为 Red Hat OpenShift 卸载镜像 registry 您可以运行以下命令来从本地主机 中卸载 Red Hat OpenShift --quayRoot 标志。例如，如果使用 --quayRoot example_directory_name 安装了 Red Hat OpenShift 的镜像 registry，则必 须包括该字符串才能正确地卸载镜像 registry。 3.6.2. Red Hat OpenShift 标记的镜像(mirror)registry 以下标记可用于 Red Hat OpenShift 的镜像

上安装 18 e. 选择要连接的 vCenter 实例中的数据中心。 f. 选择要使用的默认 vCenter 数据存储。 注意 注意 数据存储和集群名称不能超过 60 个字符，因此请确保组合字符串长度不超过 60 个字符的限制。 g. 选择要在其中安装 vCenter 集群的 OpenShift Container Platform 集群。安装程序使用 vSphere 集群的 root 资源池作为默认资源池。 输入基域。这个基域必须与您配置的 DNS 记录中使用的域相同。 l. 为集群输入一个描述性名称。集群名称必须与您配置的 DNS 记录中使用的相同。 注意 注意 数据存储和集群名称不能超过 60 个字符，因此请确保组合字符串长度不超过 60 个字符的限制。 m. 粘贴 Red Hat OpenShift Cluster Manager 中的 pull secret 。 + 集群部署完成后，访问集群的说明包括到其 Web 所需的参数 参数 参数 描述 描述 值 值 apiVersion install-config.yaml 内容的 API 版本。当前版本是 v1。安 装程序还可能支持旧的 API 版 本。 字符串 OpenShift Container Platform 4.6 在 在 vSphere 上安装 上安装 38 baseDomain 云供应商的基域。此基础域用 于创建到 OpenShift

响应，并导致错误。 在这个版本中，Operator 可以正确解码这个 JSON 响应。(LOG-3009) 在此次更新之前，Elasticsearch 索引模板定义了带有错误类型的标签的字段。这会更新这些模板 以匹配日志收集器所转发的预期类型。(LOG-2972) 1.4.2. CVE CVE-2022-1292 CVE-2022-1586 CVE-2022-1785 第 第 1 章 章 LOGGING 1.5.1. 程序错误修复 在此次更新之前，非拉丁字符在 Elasticsearch 中无法正确显示。在这个版本中，Elasticsearch 可 以正确显示所有有效的 UTF-8 符号。(LOG-2794) 在此次更新之前，非拉丁字符在 Fluentd 中无法正确显示。在这个版本中，Fluentd 可以正确地 显示所有有效的 UTF-8 字符。(LOG-2657) 在此次更新之前，收集器的指 版本中，解析被修 改为使用 regex 来查找时间条目。(LOG-2322) 在此更新前，一些日志转发器输出可能会使用相同的时间戳重新排序日志。在这个版本中，在日 志中添加了一个序列号，以订购具有匹配时间戳的条目。(LOG-2334) 在此次更新之前，带有大量命名空间的集群会导致 Elasticsearch 停止服务请求，因为命名空间列 表达到最大标头大小限制。在这个版本中，标头只包括命名空间名称列表，从而解决了这个问