OpenShift Container Platform 架构。 访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 安全性。 准入插件 准入插件 准入插件强制执行安全策略、资源限制或配置要求。 身份 身份验证 验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置用户身份验证，并确保 te 节点也称为 worker 节点。 配置偏移 配置偏移 在节点上配置与机器配置指定的内容不匹配的情况。 containers 包括软件及其所有依赖项的轻量级和可执行镜像。由于容器虚拟化操作系统，您可以在任何位置运行 容器，从数据中心到公共或私有云到本地主机。 容器 容器编 编配引擎 配引擎 用于实现容器部署、管理、扩展和联网的软件。 容器工作 容器工作负载 负载 在容器中打包和部署的应用程序。 一个容器编配层，用于公开 API 和接口来定义、部署和管理容器的生命周期。control plane 也称为 control plane 机器。 CRI-O Kubernetes 原生容器运行时实现，可与操作系统集成以提供高效的 Kubernetes 体验。 第 第 1 章 章 架 架构 构概述 概述 3 部署 部署 维护应用程序生命周期的 Kubernetes 资源对象。 Docker 包含

. . . . . . . . . . . . . . . . . . . . . . 第 第 8 章 章 安全策略 安全策略 8.1. 关于工作负载安全性 8.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 8.3. 授权 8.4. 其他资源 第 第 9 章 章 使用 使用 VIRTCTL ocp4-moderate-node 配置集的扫 描来检查您的 OpenShift Virtualization 集群的合规性。Compliance Operator 使用 NIST 认证工具 OpenSCAP 扫描并执行安全策略。 1.1.1. OpenShift Virtualization 支持的集群版本 OpenShift Virtualization 4.13 支持在 OpenShift Container VIRTUALIZATION 架 架构 构 9 表 表 2.2. cdi-operator 组 组件 件 组 组件 件 描述 描述 deployment/cdi-apiserver 通过提供安全上传令牌来管理将虚拟机磁盘上传到 PVC 的授权过程。 deployment/cdi-uploadproxy 将外部磁盘上传流量定向到适当的上传服务器 pod， 以便将其写入正确的 PVC。需要有效的上传令牌。

Red Hat Enterprise Linux CoreOS (RHCOS) 在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。RHCOS 包括作为 Kubernetes Ignition。这一工具让集群能够配置机器。操作系统更新作为可引导容器 镜像（使用 OSTree 作为后端）提供，该镜像由 Machine Config Operator 在集群中部署。实际的操作系 统更改通过使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform 可以像管理集群上的任何其他应用程序一样管理操作系统，通过原位升级使整个平台 台 保持最新状态。这些原位更新可以减轻运维团队的负担。 如果将 RHCOS 用作所有集群机器的操作系统，则集群将管理其组件和机器的所有方面，包括操作系统在 内。因此，只有安装程序和 Machine Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书

Container Platform 3 且要使用 OpenShift Container Platform 4? 2.1.3. 您是否希望在您的集群中使用已存在的组件？ 2.1.4. 您的集群是否需要额外的安全性？ 2.2. 安装后为用户准备集群 2.3. 为工作负载准备集群 2.4. 支持的用于不同平台的安装方法 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 模板 4.11.9. 在 AWS 中创建网络和负载均衡组件 4.11.9.1. 网络和负载均衡器的 CloudFormation 模板 4.11.10. 在 AWS 中创建安全组和角色 4.11.10.1. 安全对象的 CloudFormation 模板 4.11.11. AWS 基础架构的 RHCOS AMI 4.11.11.1. 没有公布的 RHCOS AMI 的 AWS 区域 4 模板 4.12.9. 在 AWS 中创建网络和负载均衡组件 4.12.9.1. 网络和负载均衡器的 CloudFormation 模板 4.12.10. 在 AWS 中创建安全组和角色 4.12.10.1. 安全对象的 CloudFormation 模板 4.12.11. AWS 基础架构的 RHCOS AMI 4.12.12. 在 AWS 中创建 bootstrap 节点 4.12.12

在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为操作系统。 OpenShift Container Platform 4.10 安装 安装 6 在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 Ignition。这一工具让集群能够配置机器。操作系统更新作为嵌入在容器 镜像中的 Atomic OSTree 存储库交付，该镜像由 Operator 在整个集群中推广。实际的操作系统更改通过 使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform 可以像管理集群上的任何其他应用程序一样管理操作系统，通过原位升级使整个平台保持最新状 新状 态。这些原位更新可以减轻运维团队的负担。 如果将 RHCOS 用作所有集群机器的操作系统，则集群将管理其组件和机器的所有方面，包括操作系统在 内。因此，只有安装程序和 Machine Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书

KUBEVIRT-CONTROLLER 和 和 VIRT-LAUNCHER 授予 授予额 额外的安全 外的安全权 权限 限 6.1. 为 VIRT-LAUNCHER POD 扩展 SELINUX 策略 6.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 6.3. 其他资源 第 第 7 章 章 使用 Container Platform 的最新版本。 3.1.2. 支持的客户端操作系统 要查看 OpenShift Virtualization 支持的客户机操作系统，请参阅 Red Hat OpenStack Platform、Red Hat Virtualization 和 OpenShift Virtualization 中认证的客户机操作系统。 3.2. 使开源包含更多 红帽致力于替换我们的代码、文档和 不需要额外的设置。 IPv6 您无法在单堆栈 IPv6 集群上运行 OpenShift Virtualization。(BZ#2193267) 4.1.1. 硬件和操作系统要求 查看 OpenShift Virtualization 的以下硬件和操作系统要求。 支持的平台 支持的平台 内部裸机服务器 Amazon Web Services 裸机实例。详情请参阅在 AWS 裸机节点上部署 OpenShift

在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为操作系统。 OpenShift Container Platform 4.8 安装 安装 6 在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 Ignition。这一工具让集群能够配置机器。操作系统更新作为嵌入在容器 镜像中的 Atomic OSTree 存储库交付，该镜像由 Operator 在整个集群中推广。实际的操作系统更改通过 使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform 可以像管理集群上的任何其他应用程序一样管理操作系统，通过原位升级使整个平台保持最新状 新状 态。这些原位更新可以减轻运维团队的负担。 如果将 RHCOS 用作所有集群机器的操作系统，则集群将管理其组件和机器的所有方面，包括操作系统在 内。因此，只有安装程序和 Machine Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书

容器化应用程序的好处 与使用传统部署方法相比，使用容器化应用程序具有许多优势。过去应用程序要安装到包含所有依赖项的 操作系统上，容器能让一个应用程序随身携带自己的依赖项。创建容器化应用程序有很多好处。 1.1.2.1. 操作系 操作系统的好 的好处 容器使用不含内核的小型专用 Linux 操作系统。它们的文件系统、网络、cgroups、进程表和命名空间与 主机 Linux 系统分开，但容器可以在必要时与主机无缝集成。容器以 系统分开，但容器可以在必要时与主机无缝集成。容器以 Linux 为基础，因此可以利用快速创 新的开源开发模型带来的所有优势。 因为每个容器都使用专用的操作系统，所以您能够在同一主机上部署需要冲突软件依赖项的不同应用程 序。每个容器都带有各自的依赖软件，并且管理自己的接口，如网络和文件系统，因此应用程序无需争用 这些资产。 1.1.2.2. 部署和 部署和扩展 展优势 如果您在应用程序的主要版本之间进行滚动升级，则可以持续改进应用程序，既不会造成停机，又能仍然 的新 版本。容器通过测试后，只要部署更多新容器并删除旧容器便可。 由于应用程序的所有软件依赖项都在容器本身内解决，因此数据中心的每台主机上都能使用通用操作系 统。您无需逐一为应用主机配置特定的操作系统。当数据中心需要更多容量时，您可以部署另一个通用主 机系统。 同样，扩展容器化应用程序也很简单。OpenShift Container Platform 提供了一种简单的、标准方式的容 器化服务

PLATFORM 简介 2.1.1. 关于 Kubernetes 2.1.2. 容器化应用程序的好处 2.1.2.1. 操作系统的好处 2.1.2.2. 部署和扩展优势 2.1.3. OpenShift Container Platform 概述 2.1.3.1. 定制操作系统 2.1.3.2. 简化的安装和更新流程 2.1.3.3. 其他主要功能 2.1.3.4. OpenShift Container LINUX COREOS(RHCOS)和 IGNITION 作为集群管理员，您可以执行以下 Red Hat Enterprise Linux CoreOS(RHCOS)任务： 了解下一代 单用途容器操作系统技术。 选择如何配置 Red Hat Enterprise Linux CoreOS(RHCOS) OpenShift Container Platform 4.7 架 架构 构 4 选择如何部署 容器化应用程序的好处 与使用传统部署方法相比，使用容器化应用程序具有许多优势。过去应用程序要安装到包含所有依赖项的 操作系统上，容器能让一个应用程序随身携带自己的依赖项。创建容器化应用程序有很多好处。 2.1.2.1. 操作系 操作系统的好 的好处 容器使用不含内核的小型专用 Linux 操作系统。它们的文件系统、网络、cgroups、进程表和命名空间与 主机 Linux 系统分开，但容器可以在必要时与主机无缝集成。容器以

Red Hat Enterprise Linux CoreOS (RHCOS) 在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为操作系统。 RHCOS 是 Red Hat Enterprise Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。RHCOS 包括作为 Kubernetes Ignition。这一工具让集群能够配置机器。操作系统更新作为可引导容器 镜像（使用 OSTree 作为后端）提供，该镜像由 Machine Config Operator 在集群中部署。实际的操作系 统更改通过使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform 可以像管理集群上的任何其他应用程序一样管理操作系统，通过原位升级使整个平台 台 保持最新状态。这些原位更新可以减轻运维团队的负担。 如果将 RHCOS 用作所有集群机器的操作系统，则集群将管理其组件和机器的所有方面，包括操作系统在 内。因此，只有安装程序和 Machine Config Operator 才能更改机器。安装程序使用 Ignition 配置文件设 置每台机器的确切状态，安装后则由 Machine Config Operator 完成对机器的更多更改，例如应用新证书