授 权策略拒绝发送到 URI 路径 /user/profile 的请求。在存在安全漏洞的版本中，带有 URI 路径 /user/profile#section1 的请求绕过拒绝策略并路由到后端（通过规范的 URI path /user/profile%23section1），可能会导致安全事件。 如果您使用带有 DENY 操作和 operation.paths 的授权策略，或者 ALLOW 操作和 要从缓解措施中的新行为中选择，将保留 URI 的片段部分。您可以将 ServiceMeshControlPlane 配置为 保留 URI 片段。 警告 警告 如前文所述，禁用新行为将对路径进行规范化，并被视为不安全。在选择保留 URI 片 段之前，确保您已将这些内容放入任何安全策略中。 ServiceMeshControlPlane 修改示例 修改示例 1.2.2.18.2. 授权策略所需的更新 //admin 的请求不会被授权策略拒绝。 根据 RFC 3986，带有多个斜杠的路径 //admin 在技术上应被视为与 /admin 不同的路径。但是，一些后 端服务选择通过将多个斜杠合并成单斜杠来规范 URL 路径。这可能导致绕过授权策略（//admin 不匹配 /admin），用户可以在后端的路径 /admin 上访问资源，这可能会产生安全问题。 如果您使用 ALLOW action + notPaths

架构 构概述 概述 1.1. OPENSHIFT CONTAINER PLATFORM 架构的常见术语表 1.2. 关于安装和更新 1.3. 关于 CONTROL PLANE 1.4. 关于面向开发人员的容器化应用程序 1.5. ABOUT RED HAT ENTERPRISE LINUX COREOS (RHCOS) AND IGNITION 1.6. 关于准入插件 第 第 2 章 章 OPENSHIFT 第 6 章 章 了解 了解 OPENSHIFT CONTAINER PLATFORM 开 开发 发 6.1. 关于容器化应用程序开发 6.2. 构建一个简单容器 6.3. 为 OPENSHIFT CONTAINER PLATFORM 创建 KUBERNETES 清单 6.4. 面向 OPERATOR 进行开发 第 第 7 章 章 RED HAT ENTERPRISE LINUX COREOS (RHCOS) Container Platform 可以使用实施容器镜像 registry API 作为镜像源的任何服务器，供开发 人员推送和拉取其私有容器镜像。 公共 公共 registry OpenShift Container Platform 可以使用实施容器镜像 registry API 作为镜像源的任何服务器，供开发 人员推送和拉取其公共容器镜像。 RHEL OpenShift Container Platform

S2I 禁止开发人员在应用程序构建期间执行任意 yum install 类型的操作。因为这类操作可能 会减慢开发迭代速度。 生态系统 S2I 倡导共享镜像生态系统，您可以将其中的最佳实践运用于自己的应用程序。 可重复生成性 生成的镜像可以包含所有输入，包括构建工具和依赖项的特定版本。这可确保精确地重新生成 镜像。 1.1.3. Custom 构建 采用 Custom 构建策略时，开发人员可以定 镜像被完全支持，用户可以按照 Jenkins 用户文档在作业中定义 Jenkinsfile，或者将其存储在 Source Control Management 系统中。 采用 Pipeline 构建策略时，开发人员可以定义由 Jenkins Pipeline 插件执行的 Jenkins Pipeline。构建可以 由 OpenShift Container Platform 启动、监控和管理，其方式与任何其他构建类型相同。 执行操作。 YAML Secret 对象定 象定义 指示 secret 的键和值的结构。 data 字段中允许的键格式必须符合 Kubernetes 标识符术语表中 DNS_SUBDOMAIN 值的规范。 与 data 映射中键关联的值必须采用 base64 编码。 stringData 映射中的条目将转换为 base64，然后该条目将自动移动到 data 映射中。此字段是只写 的；其值仅通过

示例资源将在所处状态下保持以下条件： 条件 条件 描述 描述 SamplesExists 表明 OpenShift 命名空间中已创建示例。 ImageChangesInProgr ess 如果创建或更新了镜像流，但并非所有标记规范生成与标记状态生成均匹配，此 条件则为 True。 所有生成均匹配，或者导入过程中发生不可恢复的错误时显示为 False，最后看 到的错误位于消息字段中，待处理的镜像流列表位于原因字段中。 Im 的进程、文件、网络等。通常情况下，每个容器提供一项服务，常称为微服务，如 Web 服务器或数据 库，但容器也可用于任意工作负载。 多年来，Linux 内核一直在整合容器技术的能力。Docker 项目为主机上的 Linux 容器开发了便捷的管理接 口。最近，开放容器计划还为容器格式和容器运行时制定了开放标准。OpenShift Container Platform 和 Kubernetes 增加了在多主机安装之间编排 OCI 和 Container Platform 上专用的容器镜像时适用的准则。 启 启用 用 Source-to-Image (S2I) 的 的镜 镜像 像 对于计划运行由第三方提供的应用程序代码的镜像，例如专为运行由开发人员提供的 Ruby 代码而设计的 Ruby 镜像，您可以让镜像与 Source-to-Image (S2I) 构建工具协同工作。S2I 是一个框架，便于编写以应 用程序源代码为输入的镜像和生成以运行汇编应用程序为输出的新镜像。

Platform 4.13 CI/CD 2 第 1 章 OPENSHIFT CONTAINER PLATFORM CI/CD 概述 OpenShift Container Platform 是面向开发人员的企业就绪 Kubernetes 平台，使组织能够通过 DevOps 实践（如持续集成(CI)和持续交付(CD)）自动化应用程序交付流程。为了满足您的机构需求，OpenShift Container 的基础架构和应用程序。 如需更多信息，请参阅关于 Red Hat OpenShift GitOps 。 1.4. JENKINS Jenkins 自动化了构建、测试和部署应用和项目的过程。OpenShift 开发者工具提供 Jenkins 镜像，它直 接与 OpenShift Container Platform 集成。Jenkins 可通过使用 Samples Operator 模板或认证的 Helm Chart 支持递增构建，可重复利用以前下载的依赖项和过去构建的工件等。 2.1.1.3. Custom 构 构建 建 采用自定义构建策略时，开发人员可以定义负责整个构建过程的特定构建器镜像。通过利用自己的构建器 OpenShift Container Platform 4.13 CI/CD 4 采用自定义构建策略时，开发人员可以定义负责整个构建过程的特定构建器镜像。通过利用自己的构建器 镜像，可以自定义构建流程。 自定义构

的进程、文件、网络等。通常情况下，每个容器提供一项服务，常称为微服务，如 Web 服务器或数据 库，但容器也可用于任意工作负载。 多年来，Linux 内核一直在整合容器技术的能力。Docker 项目为主机上的 Linux 容器开发了便捷的管理接 口。最近，开放容器计划还为容器格式和容器运行时制定了开放标准。OpenShift Container Platform 和 Kubernetes 增加了在多主机安装之间编排 OCI 和 OpenShift Container Platform 4.7 镜 镜像 像 8 模板是要复制的对象的定义。您可以使用 模板 来构建和部署配置。 1.14. 如何使用 RUBY ON RAILS 作为开发者，您可以使用 Ruby on Rails 进行： 编写应用程序： 设置数据库. 创建欢迎页面。 为 OpenShift Container Platform 配置应用程序。 将应用存储在 命名空间中创建了样本。 第 第 2 章 章 配置 配置 CLUSTER SAMPLES OPERATOR 13 ImageChangesInProgr ess 如果创建或更新了镜像流，但并非所有标记规范生成与标记状态生成均匹配，此 条件则为 True。 所有生成均匹配，或者导入过程中发生不可恢复的错误时显示为 False，最后看 到的错误位于消息字段中，待处理的镜像流列表位于原因字段中。 OpenShift

第 4 章 章 了解 了解 OPENSHIFT CONTAINER PLATFORM 开 开发 发 4.1. 关于容器化应用程序开发 4.2. 构建一个简单容器 4.3. 为 OPENSHIFT CONTAINER PLATFORM 创建 KUBERNETES 清单 4.4. 面向 OPERATOR 进行开发 第 第 5 章 章 RED HAT ENTERPRISE LINUX COREOS (RHCOS) OPENSHIFT CONTAINER PLATFORM 架构 1.1. OPENSHIFT CONTAINER PLATFORM 简介 OpenShift Container Platform 是用于开发和运行容器化应用程序的平台。它旨在允许支持的应用程序和 数据中心从少量机器和应用程序扩展到为数百万客户端服务的数千台机器。 OpenShift Container Platform 以 Kubernetes 为基础，为大规模电信、流视频、游戏、银行和其他应用 提供引擎技术。借助红帽开放技术中的实现，您可以将容器化应用程序从单一云扩展到内部和多云环境。 1.1.1. 关于 Kubernetes 尽管容器镜像和从中运行的容器是现代应用程序开发的主要构建块，但要大规模运行它们，则需要可靠且 灵活的分发系统。Kubernetes 是编配容器的事实标准。 Kubernetes 是一个开源容器编配引擎，用于自动化容器化应用程序的部署、扩展和管理。Kubernetes

Container Platform 4.8 日志 日志记录 记录 8 在此次更新之前，Fluentd 有时无法识别 Kubernetes 平台轮转日志文件，且不会读取日志消息。 在这个版本中，通过设置上游开发团队所推荐的配置参数修正。(LOG-2792) 在此次更新之前，当 ClusterLogForwarder 自定义资源定义了 JSON 解析时，每个 rollover 任 务都会创建空索引。在这个 LOGGING 发 发行注 行注记 记 11 在此次更新之前，使用 oc edit 编辑 Collector 配置非常困难，因为它对空格的使用不一致。这个 更改引入了在 Operator 更新前对配置进行规范化和格式化的逻辑，以便使用 oc edit 轻松编辑配 置。(LOG-2319) 在此次更新之前，FluentdNodeDown 警报无法正确在 message 部分中提供实例标签。在这个版 本中 重要 重要 向量只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且 功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提 早试用新的功能，并有机会在开发阶段提供反馈意见。 有关红帽技术预览功能支持范围的详情，请参考 https://access.redhat.com/support/offerings/techpreview/。 1.9.2. 关于向量

. . . . . . . . . . 目 目录 录 第 第 1 章 章 架 架构 构概述 概述 1.1. 关于安装和更新 1.2. 关于 CONTROL PLANE 1.3. 关于面向开发人员的容器化应用程序 1.4. 关于 RED HAT ENTERPRISE LINUX COREOS(RHCOS)和 IGNITION 1.5. 关于准入插件 第 第 2 章 章 OPENSHIFT Update 服务 4.1.5.2. 了解 Machine Config Operator 第 第 5 章 章 了解 了解 OPENSHIFT CONTAINER PLATFORM 开 开发 发 5.1. 关于容器化应用程序开发 5.2. 构建一个简单容器 5.2.1. 容器构建工具选项 5.2.2. 基础镜像选项 5.2.3. Registry 选项 5.3. 为 OPENSHIFT CONTAINER 1. 关于 Kubernetes pod 和服务 5.3.2. 应用程序类型 5.3.3. 可用的支持组件 5.3.4. 应用清单 5.3.5. 后续步骤 5.4. 面向 OPERATOR 进行开发 第 第 6 章 章 RED HAT ENTERPRISE LINUX COREOS (RHCOS) 6.1. 关于 RHCOS 6.1.1. RHCOS 主要功能 6.1.2. 选择如何配置

的进程、文件、网络等。通常情况下，每个容器提供一项服务，常称为微服务，如 Web 服务器或数据 库，但容器也可用于任意工作负载。 多年来，Linux 内核一直在整合容器技术的能力。Docker 项目为主机上的 Linux 容器开发了便捷的管理接 口。最近，开放容器计划还为容器格式和容器运行时制定了开放标准。OpenShift Container Platform 和 Kubernetes 增加了在多主机安装之间编排 OCI 和 OpenShift Container Platform 4.14 镜 镜像 像 6 模板是要复制的对象的定义。您可以使用模板来构建和部署配置。 1.14. 如何使用 RUBY ON RAILS 作为开发人员，您可以使用 Ruby on Rails 进行： 编写应用程序： 设置数据库。 创建欢迎页面。 为 OpenShift Container Platform 配置应用程序。 将您的应用存储在 12 条件 条件 描述 描述 SamplesExists 代表 openshift 命名空间中创建了样本。 ImageChangesInProgr ess 如果创建或更新了镜像流，但并非所有标记规范生成与标记状态生成均匹配，此 条件则为 True。 所有生成均匹配，或者导入过程中发生不可恢复的错误时显示为 False，最后看 到的错误位于消息字段中，待处理的镜像流列表位于原因字段中。 OpenShift