. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4. 使用文件系统扩展持久性卷声明（PVC） 6.5. 在扩展卷失败时进行恢复 第 第 7 章 章 动态 动态置 置备 备 7.1. 关于动态置备 7.2. 可用的动态置备插件 7.3. 定义存储类 7.4. 更改默认存储类 104 105 106 106 106 了解持久性存 了解持久性存储 储 17 1 2 3 在 pod 中挂载卷的路径。 要挂载的卷的名称。不要挂载到容器 root、/ 或主机和容器中相同的任何路径。如果容器有足够权 限，可能会损坏您的主机系统（如主机的 /dev/pts 文件）。使用 /host 挂载主机是安全的。 要使用的 PVC 名称（存在于同一命名空间中）。 3.5. 块卷支持 OpenShift Container 配置持久性存储 储 27 1 2 3 pod 的名称。 在 pod 中挂载 Azure File 共享的路径。不要挂载到容器 root、/ 或主机和容器中相同的任何 路径。如果容器有足够权限，可能会损坏您的主机系统（如主机的 /dev/pts 文件）。使用 /host 挂载主机是安全的。 之前创建的 PersistentVolumeClaim 对象的名称。 4.4. 使用 CINDER 的持久性存储

启用卷扩展支持 7.2. 扩展 CSI 卷 7.3. 使用支持的驱动程序扩展 FLEXVOLUME 7.4. 扩展本地卷 7.5. 使用文件系统扩展持久性卷声明（PVC） 7.6. 在扩展卷失败时进行恢复 第 第 8 章 章 动态 动态置 置备 备 8.1. 关于动态置备 8.2. 可用的动态置备插件 8.3. 定义存储类 8.4. 更改默认存储类 176 177 179 182 185 了解持久性存 了解持久性存储 储 19 1 2 3 在 pod 中挂载卷的路径。 要挂载的卷的名称。不要挂载到容器 root、/ 或主机和容器中相同的任何路径。如果容器有足够权 限，可能会损坏您的主机系统（如主机的 /dev/pts 文件）。使用 /host 挂载主机是安全的。 要使用的 PVC 名称（存在于同一命名空间中）。 3.5. 块卷支持 OpenShift Container 创建一个类似以下示例的 YAML 文 件： 4.2.4.2. 启 启用 用 ultra 磁 磁盘 盘的机器集的故障排除 的机器集的故障排除资 资源 源 使用本节中的信息从您可能会遇到的问题了解和恢复。 4.2.4.2.1. 无法挂 无法挂载由巨型磁 由巨型磁盘支持的持久性卷声明 支持的持久性卷声明 如果挂载了被巨型磁盘支持的持久性卷声明的问题，pod 会一直处于 ContainerCreating

OpenShift Container Platform 托管监控集群部署中： 首选存储技术是块存储。 如果您决定配置文件存储，请确保它遵循 POSIX 标准。 重要 重要 测试显示使用 NFS 的显著不可恢复损坏，因此不建议使用。 市场上的其他 NFS 实现可能没有这些问题。如需了解更多与此问题相关的信息，请联络相 关的 NFS 厂商。 5.3.1.4. 日志 日志记录 记录 在 OpenShift 相互通信，即使它们在不同系统中运行也是如此。 VXLAN 在用户数据报协议（UDP）数据包中封装所有隧道流量。但是，这会导致 CPU 使用率增加。这些 外部数据包和内数据包集都遵循常规的校验规则，以保证在传输过程中不会损坏数据。根据 CPU 性能， 这种额外的处理开销可能会降低吞吐量，与传统的非覆盖网络相比会增加延迟。 云、虚拟机和裸机 CPU 性能可以处理很多 Gbps 网络吞吐量。当使用高带宽链接（如 10 或 点。 当根据每秒处理的 HTTP 请求来评估单个 HAProxy 路由器性能时，其性能取决于多个因素。特别是： HTTP keep-alive/close 模式， 路由类型 对 TLS 会话恢复客户端的支持 每个目标路由的并行连接数 目标路由数 后端服务器页面大小 底层基础结构（网络/SDN 解决方案、CPU 等） 具体环境中的性能会有所不同，我们的实验室在一个有 4 个 vCPU/16GB

2. 配置 OAuth 令牌不活跃超时 1.2.3.3. 安全 OAuth 令牌存储格式 1.2.3.4. File Integrity Operator 现已正式发布 1.2.3.5. 对集群恢复失败使用的集群脚本已被更新 1.2.4. 机器 API 1.2.4.1. 支持多个块设备映射 1.2.4.2. Machine API providerSpec 的默认设置和验证 1.2.4.3 (CRC) OpenShift Container Platform Metering Multus CNI 插件 FIPS 加密 加密数据存储在 etcd 中 使用机器健康检查功能自动修复损坏的机器 在 OpenShift Container Platform 部署过程中启用 Tang 模式磁盘加密。 OpenShift Container Platform Serverless Helm (AIDE) 容器，从而提供一个状态对象和在守护进程集初始运行时修改的文件日志。 1.2.3.5. 对 对集群恢复失 集群恢复失败 败使用的集群脚本已被更新 使用的集群脚本已被更新 更新了 cluster-backup.sh 和 cluster-restore.sh 脚本，以便用户可以更好地了解恢复失败的原因。 1.2.4. 机器 API 1.2.4.1. 支持多个 支持多个块设备 块设备映射 映射

Container Platform API 发出请求所需的。 指定要为 pod 提供的卷。卷挂载在指定路径上。不要挂载到容器 root、/ 或主机和容器中相同的任何 路径。如果容器有足够权限，可能会损坏您的主机系统（如主机的 /dev/pts 文件）。使用 /host 挂 载主机是安全的。 pod 中的每个容器使用自己的容器镜像进行实例化。 pod 对 OpenShift Container Platform UTF8 数据的项中包含非 UTF8 的数 据。OpenShift Container Platform 检测到二进制文件，并将该文件编码为 MIME。在服务 器上，MIME 有效负载被解码并存储而不会损坏数据。 您可以多次将 --from-file 选项传递给 CLI。以下示例生成与从目录创建示例相同的结果。 1. 通过指定特定文件来创建配置映射： 2. 验证结果： 输 输出示例 出示例 在检测到这些节点条件问题中的任何一个时，会保持绑定五分 钟。 您可以根据需要配置这些容限。例如，如果您有一个具有许多本地状态的应用程序，您可能希望在发生网 络分区时让 pod 与节点保持绑定更久一些，以等待分区恢复并避免 pod 驱除行为的发生。 由守护进程集生成的 pod 在创建时会带有以下污点的 NoExecute 容限，且没有 tolerationSeconds: node.kubernetes.io/unreachable

小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 24 managementState 参数更改为 Unmanaged 意味着 Operator 不会主动管理它的资源，也不 会执行与相关组件相关的操作。一些 Operator 可能不支持此管理状态，因为它可能会损坏集群， 需要手动恢复。 警告 警告 将独立 Operator 更改为非受管 非受管状态会导致不支持该特定组件和功能。报告的 问题必须在 受管（ 受管（Managed） ） 状态中可以重复出现才能继续获得支持。 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 24

managementState 参数更改为 Unmanaged 意味着 Operator 不会主动管理它的资源，也不 会执行与相关组件相关的操作。一些 Operator 可能不支持此管理状态，因为它可能会损坏集群， 需要手动恢复。 警告 警告 将独立 Operator 更改为非受管 非受管状态会导致不支持该特定组件和功能。报告的 问题必须在 受管（ 受管（Managed） ） 状态中可以重复出现才能继续获得支持。 Container Platform 集群，都可以使用 GitOps 策 略来管理以下任务： 确保集群具有类似的配置、监控或存储状态。 从已知状态恢复或重新创建集群。 使用已知状态创建集群。 对多个 OpenShift Container Platform 集群应用或恢复配置更改。 将模板配置与不同环境关联。 6.2.2. 用于应用程序配置管理的 GitOps 您还可以使用 GitOps 实践来管理 GitOps 管理应用程序配置也很有用处。 您可以使用 GitOps 策略来： 在集群间（从调试到生产阶段）推广应用程序。 对多个 OpenShift Container Platform 集群应用或恢复应用程序更改。 6.2.3. GitOps 技术供应商和集成商 提供了多个与 OpenShift Container Platform 高度集成的社区建议和第三方供应商。 您可以将 GitOps

小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 managementState 参数更改为 Unmanaged 意味着 Operator 不会主动管理它的资源，也不 会执行与相关组件相关的操作。一些 Operator 可能不支持此管理状态，因为它可能会损坏集群， 需要手动恢复。 警告 警告 将独立 Operator 更改为非受管 非受管状态会导致不支持该特定组件和功能。报告的 问题必须在 受管（ 受管（Managed） ） 状态中可以重复出现才能继续获得支持。 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在

Container Platform API 发出请求所需的。 指定要为 pod 提供的卷。卷挂载在指定路径上。不要挂载到容器 root、/ 或主机和容器中相同的任何 路径。如果容器有足够权限，可能会损坏您的主机系统（如主机的 /dev/pts 文件）。使用 /host 挂 载主机是安全的。 pod 中的每个容器使用自己的容器镜像进行实例化。 pod 对 OpenShift Container Platform 检测到二 到二进 进制文件，并将 制文件，并将该 该文件 文件编码为 编码为 MIME。 。 在服 在服务 务器上， 器上，MIME 有效 有效负载 负载被解 被解码 码并存 并存储 储而不会 而不会损 损坏数据。 坏数据。 您可以多次将 您可以多次将 --from-file 选项传递给 选项传递给 CLI。以下示例生成与从目 。以下示例生成与从目录创 录创建示例相同的 建示例相同的结 许多本地状 多本地状态 态的 的应 应用程序，您可能希望在 用程序，您可能希望在发 发 生网 生网络 络分区 分区时让 时让 pod 与 与节 节点保持 点保持绑 绑定更久一些，以等待分区恢复并避免 定更久一些，以等待分区恢复并避免 pod 驱 驱除行 除行为 为的 的发 发生。 生。 由守 由守护进 护进程集生成的 程集生成的 pod 在 在创 创建 建时 时会 会带 带有以下

managementState 参数更改为 Unmanaged 意味着 Operator 不会主动管理它的资源，也不 会执行与相关组件相关的操作。一些 Operator 可能不支持此管理状态，因为它可能会损坏集群， 需要手动恢复。 警告 警告 将独立 Operator 更改为非受管 非受管状态会导致不支持该特定组件和功能。报告的 问题必须在 受管（ 受管（Managed） ） 状态中可以重复出现才能继续获得支持。 CLI 更新集群中的步骤 完成更新。 5.1. 先决条件 使用具有 admin 权限的用户访问集群。请参阅使用 RBAC 定义和应用权限。 具有最新的 etcd 备份，以防因为升级失败需要将集群恢复到以前的状态。 确保之前通过 Operator Lifecycle Manager（OLM）安装的所有 Operator 均更新至其最新频道 中的最新版本。更新 Operator 可确保当默认 OperatorHub 以按照相同的说明在次版本间更新集群。 6.1. 先决条件 使用具有 admin 权限的用户访问集群。请参阅使用 RBAC 定义和应用权限。 具有最新的 etcd 备份，以防因为升级失败需要将集群恢复到以前的状态。 确保之前通过 Operator Lifecycle Manager（OLM）安装的所有 Operator 均更新至其最新频道 中的最新版本。更新 Operator 可确保当默认 OperatorHub