WINDOWS 机器集 第 第 6 章 章 调 调度 度 WINDOWS 容器工作 容器工作负载 负载 先决条件 6.1. WINDOWS POD 放置 6.2. 创建 RUNTIMECLASS 对象来封装调度机制 6.3. WINDOWS 容器工作负载部署示例 6.4. 手动扩展机器集 第 第 7 章 章 WINDOWS 节 节点升 点升级 级 7.1. WINDOWS MACHINE CONFIG Windows 容器作为 OS 镜像。 您已创建了 Windows 机器集。 6.1. WINDOWS POD 放置 在集群中部署 Windows 工作负载前，您必须配置 Windows 节点调度，以便正确分配 pod。在有了托管 Windows 节点的机器后，就可以使用管理 Linux 节点相同的方法进行管理。同样，将 Windows pod 调度 到适当的 Windows 节点会以相似的方式完成，可以使用污点、容限和节点选择器等机制。 pod 放置 使用节点污点控制 pod 放置 使用节点选择器将 pod 放置到特定节点 6.2. 创建 RUNTIMECLASS 对象来封装调度机制 使用 RuntimeClass 对象简化了调度机制的使用，如污点和容限 ; 您可以部署一个运行时类来封装您的污 点和容限，然后将其应用到 pod，再将它们调度到适当的节点。在支持多个操作系统变体的集群中，还需 要创建运行时类。 第 第 6 章

的 VPC in AWS, vNet in Azure, 或 VPC in GCP。您 还可以重复使用网络基础架构的一部分，以便 AWS、Azure、GCP 中的集群可以与环境中的现有 IP 地址 分配共存，并与现有的 MTU 和 VXLAN 配置集成。如果在这些云上已有帐户和凭证，您可以重复使用这 些帐户，但可能需要修改帐户，以便具有在它们上安装 OpenShift Container Platform 准备一个新的证书颁发机构(CA)捆绑包，并生成新的 ssl.key 和 ssl.crt 密钥文件。如需更多信 息，请参阅使用 SSL/TLS。 3. 输入以下命令为 /$HOME/quay-install 分配一个环境变量，如 QUAY ： 4. 输入以下命令将新的 ssl.crt 文件复制到 /$HOME/quay-install 目录中： 5. 输入以下命令将新的 ssl.key 文件复制到 /$HOME/quay-install 用户和授予权限的更多信息，请参阅 Alibaba Cloud 文档中的 创建 RAM 用户和 Grant 权 限。 5.2.2. 配置 Cloud Credential Operator 工具 要分配为每个集群组件提供长期 RAM 访问密钥(AK)的 RAM 用户和策略，请提取并准备 Cloud Credential Operator (CCO) 实用程序 (ccoctl) 二进制文件。 注意

in AWS, vNet in Azure, 或 VPC in GCP。您 还可以重复使用网络基础架构的一部分，以便 AWS、Azure、GCP 或 VMC on AWS 可以与环境中现有的 IP 地址分配共存，并与现有的 MTU 和 VXLAN 配置集成。如果在这些云上已有帐户和凭证，您可以重复 使用这些帐户，但可能需要修改帐户，以便具有在它们上安装 OpenShift Container Platform 用户和授予权限的更多信息，请参阅 Alibaba Cloud 文档中的 创建 RAM 用户和 Grant 权 限。 4.2.2. 配置 Cloud Credential Operator 工具 要分配为每个集群组件提供长期 RAM 访问密钥(AK)的 RAM 用户和策略，请提取并准备 Cloud Credential Operator (CCO) 实用程序 (ccoctl) 二进制文件。 注意 地址块。IPv4 块的前缀长度介于 0 到 到 32 之间 。 。 networking.clusterN etwork.hostPrefix 分配给每个节点的子网前缀长度。例 如，如果 hostPrefix 设为 23，则每个 节点从 given cidr 中分配 a /23 子 网。hostPrefix 值 23 提供 510（2^(32 - 23)- 2）pod IP 地址。 子网前缀。 默认值为

vNet in Azure, 或 VPC in GCP 中使 用。您还可以重复使用网络基础架构的一部分，以便 AWS、Azure、GCP 或 VMC on AWS 可以与环境中 现有的 IP 地址分配共存，并与现有的 MTU 和 VXLAN 配置集成。如果在这些云上已有帐户和凭证，您可 以重复使用这些帐户，但可能需要修改帐户，以便具有在它们上安装 OpenShift Container Platform 准备一个新的证书颁发机构(CA)捆绑包，并生成新的 ssl.key 和 ssl.crt 密钥文件。如需更多信 息，请参阅使用 SSL/TLS。 3. 输入以下命令为 /$HOME/quay-install 分配一个环境变量，如 QUAY ： 4. 输入以下命令将新的 ssl.crt 文件复制到 /$HOME/quay-install 目录中： 5. 输入以下命令将新的 ssl.key 文件复制到 /$HOME/quay-install 用户和授予权限的更多信息，请参阅 Alibaba Cloud 文档中的 创建 RAM 用户和 Grant 权 限。 5.2.2. 配置 Cloud Credential Operator 工具 要分配为每个集群组件提供长期 RAM 访问密钥(AK)的 RAM 用户和策略，请提取并准备 Cloud Credential Operator (CCO) 实用程序 (ccoctl) 二进制文件。 注意

关于虚拟路由和转发 13.4. 配置多网络策略 13.5. 将 POD 附加到额外网络 13.6. 从额外网络中删除 POD 13.7. 编辑额外网络 13.8. 删除额外网络 13.9. 为 VRF 分配从属网络 第 第 14 章 章 硬件网 硬件网络 络 14.1. 关于单根 I/O 虚拟化（SR-IOV）硬件网络 14.2. 安装 SR-IOV NETWORK OPERATOR 14.3. 加密配置 16.6. 为项目配置出口防火墙 16.7. 查看项目的出口防火墙 16.8. 为项目编辑出口防火墙 16.9. 从项目中删除出口防火墙 16.10. 配置出口 IP 地址 16.11. 分配出口 IP 地址 16.12. 使用出口路由器 POD 的注意事项 16.13. 以重定向模式部署出口路由器 POD 16.14. 为项目启用多播 16.15. 为项目禁用多播 16.16. 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169

use `man docker` to refer to dm.thinpooldev section. 要简化存储配置，请使用 docker-storage-setup 工具，它可以自动完成大部分配置详情： 对 对于 于 Overlay 1. 编辑 /etc/sysconfig/docker-storage-setup 文件以指定设备驱动程序： 注意 注意 STORAGE_DRIVER=overlay2 行时的内存用量。这些结果在许多环境中都很有用，特别是那些针对密度优化且具有高容器数量率（如构 建场）或镜像内容具有重大重叠的目标。 DeviceMapper 无法进行页面缓存共享，因为精简配置的设备会基于每个容器分配。 注意 注意 OverlayFS 是 Red Hat Enterprise Linux(RHEL)7.5 的默认 Docker 存储驱动程序，在 7.3 及更新的版本中被支持。将 OverlayFS 的好处，比如网络从 4096 增加到一千六百万，以及跨物理网络的第 2 层连接。 这允许服务后的所有 pod 相互通信，即使它们在不同系统中运行也是如此。 VXLAN 在用户数据报协议（UDP）数据包中封装所有隧道流量。但是，这会导致 CPU 使用率增加。这些 外部数据包和内数据包集都遵循常规的校验规则，以保证在传输过程中不会损坏数据。根据 CPU 性能， 这种额外的处理开销可能会降低吞吐量，与传统的非覆盖网络相比会增加延迟。

第 第 6 章 章 调 调度 度 WINDOWS 容器工作 容器工作负载 负载 先决条件 6.1. WINDOWS POD 放置 其他资源 6.2. 创建 RUNTIMECLASS 对象来封装调度机制 6.3. WINDOWS 容器工作负载部署示例 6.4. 手动扩展机器集 第 第 7 章 章 WINDOWS 节 节点升 点升级 级 7.1. WINDOWS MACHINE CONFIG 发行版本中，Containerd 将是 Windows 节点新支持的容器运行时。 6.1. WINDOWS POD 放置 在集群中部署 Windows 工作负载前，您必须配置 Windows 节点调度，以便正确分配 pod。在有了托管 Windows 节点的机器后，就可以使用管理 Linux 节点相同的方法进行管理。同样，将 Windows pod 调度 到适当的 Windows 节点会以相似的方式完成，可以使用污点、容限和节点选择器等机制。 OpenShift 的 的 Windows 容器支持 容器支持 26 1 2 3 6.2. 创建 RUNTIMECLASS 对象来封装调度机制 使用 RuntimeClass 对象简化了调度机制的使用，如污点和容限 ; 您可以部署一个运行时类来封装您的污 点和容限，然后将其应用到 pod，再将它们调度到适当的节点。在支持多个操作系统变体的集群中，还需 要创建运行时类。 流程 流程 1

关于虚拟路由和转发 25.4. 配置多网络策略 25.5. 将 POD 附加到额外网络 25.6. 从额外网络中删除 POD 25.7. 编辑额外网络 25.8. 删除额外网络 25.9. 为 VRF 分配从属网络 第 第 26 章 章 硬件网 硬件网络 络 26.1. 关于单根 I/O 虚拟化（SR-IOV）硬件网络 26.2. 安装 SR-IOV NETWORK OPERATOR 26.3. 配置 27.11. 为项目配置出口防火墙 27.12. 查看项目的出口防火墙 27.13. 为项目编辑出口防火墙 27.14. 从项目中删除出口防火墙 27.15. 配置出口 IP 地址 27.16. 分配出口 IP 地址 27.17. 使用出口路由器 POD 的注意事项 27.18. 以重定向模式部署出口路由器 POD 27.19. 为项目启用多播 27.20. 为项目禁用多播 27.21. 跟踪网络流 SDN 网络插件 经认证的第三方替代主网络插件 用于网络插件管理的 Cluster Network Operator 用于 TLS 加密 Web 流量的 Ingress Operator 用于名称分配的 DNS Operator 用于裸机集群上的流量负载均衡的 MetalLB Operator 对高可用性的 IP 故障转移支持 通过多个 CNI 插件支持额外的硬件网络，包括 macvlan、ipvlan

1. 关于性能配置集创建器 17.2. 其他资源 第 第 18 章 章 单节 单节点 点 OPENSHIFT 上的工作 上的工作负载 负载分区 分区 18.1. 使用工作负载分区最大化 CPU 分配 第 第 19 章 章 处 处于 于边缘 边缘网 网络 络的集群 的集群 19.1. 网络边缘的挑战 19.2. 为 ZTP 准备 HUB 集群 19.3. 使用 RHACM 和 SITECONFIG 拟化最重要的功能之一是能够 进行资源过量使用，从而将更多资源分配给虚拟机，而不是在管理程序级别实际可用。这主要依赖于具体 的工作负载，并没有适用于所有环境的“黄金法则”。 根据您的设置，在设计 CPU 过量使用 时请考虑这些最佳实践： 在 LPAR 级别 (PR/SM hypervisor)，避免将所有可用物理内核 (IFL) 分配给每个 LPAR。例如， 当有四个物理 IFL 可用时，您不应该定义三个 libvirtd 第 第 2 章 章 IBM Z 和 和 LINUXONE 环 环境的推荐主机 境的推荐主机实 实践 践 35 当虚拟 CPU 空闲时，KVM 会轮询虚拟 CPU 的唤醒条件，然后再分配主机资源。您可以指定时间间隔， 在间隔期间在 /sys/module/kvm/parameters/halt_poll_ns 的 sysfs 中进行轮询。在指定时间内，轮询可 减少虚拟 CPU 的唤

的动态使用发生在机器配置池中应用有性能配置集的节点。可用的非保留 CPU 的动态使用可最大化 OVS 的计算资源，并在高需求期间为工作负载最小化网络延迟。OVS 仍然无法在 Guaranteed QoS pod 中动态使用分配给容器的隔离 CPU。这种分离可避免对关键应用程序工作负载造成中断。 注意 注意 当 Node Tuning Operator 识别性能条件来激活使用非保留 CPU 时，OVN-Kubernetes IP 地址的双 地址的双栈 栈配置 配置 在以前的 Whereabouts IPAM CNI 插件版本中，每个网络接口只能分配一个 IP 地址。 现在，Whereabouts 支持分配任意数量的 IP 地址来支持双栈 IPv4/IPv6 功能。请参阅动态为双栈 IP 地址 分配创建配置。 1.3.9.6. 排除 排除 NUMA 感知 感知调 调度的 度的 SR-IOV 网 网络 络拓扑 拓扑 在这个版本中，您可以将 pod 的出口 流量。这作为技术预览功能提供。 您可以使用以下方法使用 EgressService CR 管理出口流量： 将负载均衡器服务的 IP 地址分配为负载均衡器服务后面的 pod 的源 IP 地址。 将负载均衡器后面的 pod 的出口流量分配给与默认节点网络不同的网络。 如需更多信息，请参阅配置出口服务。 1.3.9.14. MetalLB 的 的 BGPPeer 资 资源中的 源中的