OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： $ ssh-keygen -t ed25519 -N '' \ -f / / 1 第 第 4 章 章 在 在 AWS 上安装 上安装 103 1 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 ssh-agent： 输出示例 出示例 指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_rsa 后 后续 续步

OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到

密库已提交给 NIST 用于 FIPS 140-2/140-3 验证）的 OpenShift Container Platform 集群，则不要创建使用 ed25519 算法的密钥。相反，创建一个使用 rsa 或 ecdsa 算法的密钥。 $ ssh-keygen -t ed25519 -N '' -f / 1 OpenShift Container Platform ssh/id_dsa。 a. 如果 ssh-agent 进程尚未为您的本地用户运行，请将其作为后台任务启动： 输 输出示例 出示例 注意 注意 如果集群处于 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 4. 将 SSH 私钥添加到 ssh-agent ： 指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_ed25519.pub 密库已提交给 NIST 用于 FIPS 140-2/140-3 验证）的 OpenShift Container Platform 集群，则不要创建使用 ed25519 算法的密钥。相反，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： $ ssh-keygen -t ed25519 -N '' -f / 1 $ cat /

架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： $ ssh-keygen -t ed25519 -N '' -f / 1 第 第 4 章 ssh/id_dsa）。 a. 如果 ssh-agent 进程还没有针对您的本地用户运行，请将其作为后台任务启动： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密 钥必须是 RSA 或 ECDSA。 4. 将 SSH 私钥添加到 ssh-agent： 指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_ed25519 输出示例 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： 例如，运行以下命令查看 ~/.ssh/id_ed25519.pub 公钥： 3. 将 SSH 私钥身份添加到您本地用户的 SSH

架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，请不要创建使用 ed25519 算法的密钥。相 反，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： $ ssh-keygen -t ed25519 -N '' -f / 1 $ cat / ssh/id_dsa。 a. 如果 ssh-agent 进程尚未为您的本地用户运行，请将其作为后台任务启动： 输 输出示例 出示例 注意 注意 如果集群处于 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 4. 将 SSH 私钥添加到 ssh-agent ： 指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_ed25519.pub 架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，请不要创建使用 ed25519 算法的密钥。相 反，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： 例如，运行以下命令来查看 ~/.ssh/id_ed25519.pub 公钥： $ ssh-keygen -t ed25519

TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。 重要 重要 不要为 API 负载均衡器配置会话持久性。 OpenShift Container Platform 4.6 在裸机上安装 在裸机上安装 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。 重要 重要 不要为 API 负载均衡器配置会话持久性。 在负载均衡器的前端和后台配置以下端口： 表 表 1.15. API 负载 负载均衡器 均衡器

限制。 CRI-O 运行时支持 FIPS。 OpenShift Container Platform 服务支持 FIPS。 FIPS 验证的/Modules in Process 的加密模块和算法， 它们从 RHEL 7 和 RHCOS 二进制文件和镜像中获 得。 使用 FIPS 兼容 golang 编译器。 对 TLS FIPS 的支持当前还不完整，但计划在将来的 OpenShift secret 在进程加密中使用 FIPS 验证的/Modules in Process 模块，请以 FIPS 模 式引导节点。在使用 FIPS 模式安装集群后，您可以使用 FIPS 批准的 aes cbc 加密算法加密 etcd 数据。 OpenShift Container Platform 4.4 安装 安装 6 2.2.2. Storage 对于本地存储，使用 RHEL 提供的磁盘加密或者使用 RHEL

19.2.1. PTP 域的元素 PTP 用于将网络中连接的多个节点与每个节点的时钟同步。PTP 同步时钟以源目标层次结构进行组织。 层次结构由最佳 master 时钟 (BMC) 算法自动创建和更新，该算法在每个时钟上运行。目标时钟与源时钟 同步，目标时钟本身也可以是其他下游时钟的源。下面描述了三种 PTP 时钟类型。 Grandmaster 时钟 时钟 grandmaster 时钟向网 Container Platform 4.x 中使用 ovn-kubernetes 列出 OVN 数据库内 容？ 使用 ovnkube-trace 追踪 Openflow OVN 架构 Raft （算法） OVN-nbctl linux 手册页 OVN-sbctl linux 手册页 27.3. OVN-KUBERNETES 故障排除 OVN-Kubernetes 具有许多内置健康检查和日志来源。 表 29.2. 路由注解 路由注解 变 变量 量 描述 描述 默 默认 认的 的环 环境 境变 变量 量 haproxy.router.openshift.io/b alance 设置负载平衡算法。可用选项是 random、source、roundrobi n 和 leastconn。对于 TLS 透传 路由，默认值为 source。对于所 有其他路由，默认值为 random。 passthrough

表 15.2. 路由注解 路由注解 变 变量 量 描述 描述 默 默认 认的 的环 环境 境变 变量 量 haproxy.router.openshift.io/b alance 设置负载平衡算法。可用选项包括 source、roundrobin 和 leastconn。 passthrough 路由 使用 ROUTER_TCP_BALANCE_S CHEME 。否则，使用 ROUTER_LOAD_BALANCE_ algorithm。 haproxy.router.openshift.io/d isable_cookies 禁用使用 cookie 来跟踪相关连 接。如果设置为 true 或 TRUE， 则使用均衡算法来选择每个传入 HTTP 请求的后端服务连接。 router.openshift.io/cookie_n ame 指定一个可选的、用于此路由的 cookie。名称只能包含大写字母和 小写字母、数字、"_" API_OCP_CLUSTER。 2. 负载均衡器成为活跃后，创建监听程序： 注意 注意 要查看负载均衡器的状态，请输入 openstack loadbalancer list。 3. 创建一个使用轮循算法的池，并启用了会话持久性： 4. 为确保 control plane 机器可用，创建一个健康监控器： 5. 将 control plane 机器作为负载均衡器池的成员添加： 6. 可选： 要重复使用集群

表 17.2. 路由注解 路由注解 变 变量 量 描述 描述 默 默认 认的 的环 环境 境变 变量 量 haproxy.router.openshift.io/b alance 设置负载平衡算法。可用选项是 random、source、roundrobi n 和 leastconn。默认值为 random。 passthrough 路由 使用 ROUTER_TCP_BALANCE_S algorithm。 haproxy.router.openshift.io/d isable_cookies 禁用使用 cookie 来跟踪相关连 接。如果设置为 'true' 或 'TRUE'，则使用均衡算法选择每 个传入 HTTP 请求的后端服务连 接。 router.openshift.io/cookie_n ame 指定一个可选的、用于此路由的 cookie。名称只能包含大写字母和 小写字母、数字、"_" API_OCP_CLUSTER。 2. 负载均衡器成为活跃后，创建监听程序： 注意 注意 要查看负载均衡器的状态，请输入 openstack loadbalancer list。 3. 创建一个使用轮循算法的池，并启用了会话持久性： 4. 为确保 control plane 机器可用，创建一个健康监控器： 5. 将 control plane 机器作为负载均衡器池的成员添加： 6. 可选： 要重复使用集群