支持递增构建，可重复利用以前下载的依赖项和过去构建的 工件等。 S2I 的优点包括： 镜像灵活性 可以编写 S2I 脚本，将应用程序代码注入到几乎所有现有的 Docker 格式容器镜像，以此利用 现有的生态系统。请注意，S2I 目前依靠 tar 来注入应用程序源代码，因此镜像需要能够处理 tar 压缩的内容。 OpenShift Container Platform 4.4 构 构建（ 建（build） 用户执行操作，而能够 以非 root 用户运行脚本。 用户效率 S2I 禁止开发人员在应用程序构建期间执行任意 yum install 类型的操作。因为这类操作可能 会减慢开发迭代速度。 生态系统 S2I 倡导共享镜像生态系统，您可以将其中的最佳实践运用于自己的应用程序。 可重复生成性 生成的镜像可以包含所有输入，包括构建工具和依赖项的特定版本。这可确保精确地重新生成 镜像。 1.1.3. Custom 用户文档在作业中定义 Jenkinsfile，或者将其存储在 Source Control Management 系统中。 采用 Pipeline 构建策略时，开发人员可以定义由 Jenkins Pipeline 插件执行的 Jenkins Pipeline。构建可以 由 OpenShift Container Platform 启动、监控和管理，其方式与任何其他构建类型相同。 Pipeline 工作流在 Jenkinsfile

Kubernetes Engine 允许您充分利用在 OpenShift Container Platform 中支持的 OVN Kubernetes overlay、Musus 和 Multus 插件。OpenShift Kubernetes Engine 允许用户使用 Kubernetes 网络策略在集群上部署的应用程序服务之间创建微分段。 您还可以使用 OpenShift Container 5. 维护和策展的内容 使用 OpenShift Kubernetes Engine 订阅，您可从红帽生态系统目录和红帽 Connect ISV 市场访问 OpenShift Container Platform 内容。您可以访问 OpenShift Container Platform 生态环境所提供的所有 维护和策展的内容。 2.1.6. 兼容 OpenShift Container Storage Platform 中的标准网络解决方案支持 OpenShift Kubernetes Engine 订阅。 OpenShift Container Platform 的 Kubernetes CNI 插件可用于自动化 OpenShift Container Platform 项目 之间的多租户网络分段。OpenShift Kubernetes Engine 提供对集群中应用程序服务使用的源 IP 地址的所

子命令和标志都用于 SQLite 数据库格式，如 opm index prune，它们无法使用 基于文件的目录格式。有关使用基于文件的目录的更多信息，请参阅管理自定义目录以 及使用 oc-mirror 插件为断开连接的安装 mirror 镜像 。 2.2.2.1. 目 目录结构 基于文件的目录可从基于目录的文件系统进行存储和加载。opm CLI 通过遍历根目录并递归到子目录来加 载目录。CLI 尝 RukPak 组件。 RukPak 是一个可插拔式解决方案，用于打包和分发云原生内容。它支持安装、更新和策略的高级策略。 RukPak 提供用于在 Kubernetes 集群上安装各种工件的内容生态系统。工件示例包括 Git 仓库、Helm chart 和 OLM 捆绑包。然后，RukPak 可以以安全的方式管理、扩展和升级这些工件，以启用强大的集群 扩展。 在其核心上，RukPak 是一组 Manager (OLM) 的工作流。 2.4.3.1. OLM 中的 中的 Operator 安装和升 安装和升级工作流 工作流 在 Operator Lifecycle Manager (OLM) 生态系统中，以下资源用于解决 Operator 的安装和升级问题： ClusterServiceVersion (CSV) CatalogSource Subscription CSV 中定义的

jenkinsfile，或者将其存储在 Source Control Management 系统中。 采用 Pipeline 构建策略时，开发人员可以定义 Jenkins 管道，供 Jenkins 管道插件使用。构建可以由 OpenShift Container Platform 启动、监控和管理，其方式与任何其他构建类型相同。 Pipeline 工作流在 jenkinsfile 中定义，或直接嵌入在构建配置中，或者在 HTTP 或 HTTPS 协议才可以正常工作。 注意 注意 对于 Pipeline 策略构建，因为 Jenkins Git 插件当前限制的缘故，通过 Git 插件执行的任何 Git 操作都不会利用 BuildConfig 中定义的 HTTP 或 HTTPS 代理。Git 插件将仅使用 Plugin Manager 面板上 Jenkins UI 中配置的代理。然后，在所有任务中，此代理都会被用 于 Jenkins 对象类型提供了一种机制来保存敏感信息，如密码、OpenShift Container Platform 客户端配置文 件、dockercfg 文件和私有源存储库凭证等。secret 将敏感内容与 Pod 分离。您可以使用卷插件将 secret 信息挂载到容器中，系统也可以使用 secret 代表 Pod 执行操作。 YAML Secret 对 对象定 象定义 义 指示 secret 的键和值的结构。 data 字段中允许的键格式必须符合

中使用 ARGOCD 7.1. ARGOCD 做什么？ 7.2. 支持声明 7.3. ARGOCD 文档 第 第 8 章 章 准入插件 准入插件 8.1. 关于准入插件 8.2. 默认准入插件 8.3. WEBHOOK 准入插件 8.4. WEBHOOK 准入插件类型 8.5. 配置动态准入 8.6. 其他资源 3 3 7 7 11 11 13 13 17 17 17 20 22 序的支持应用程序。如果您是现有的 OpenShift Container Platform 3 客户并且已投入于服务目 录应用程序，或者您已拥有 Cloud Foundry 环境，并且您有兴趣使用来自其他生态系统的代理， 则可能要使用服务目录。 模板，对于一次性类型的应用程序很有用。在该应用程序中，组件的生命周期在安装后并不重 要。模板提供了一种简便方式，可以从最小的开销开始开发 Kubernetes 第 8 章 准入插件 8.1. 关于准入插件 准入（Admission）插件用于帮助规范 OpenShift Container Platform 4.3 的功能。在请求被验证并授权 后，准入插件截取到主 API 的请求，验证资源请求以确保符合相关的策略。例如，它们通常会被用来强制 执行安全策略、资源限制或配置要求。 准入插件以准入链的形式按序列运行。如果序列中的任何准入插件拒绝某个请求，则整个链将中止并返回

CONTROL PLANE 1.3. 关于面向开发人员的容器化应用程序 1.4. 关于 RED HAT ENTERPRISE LINUX COREOS(RHCOS)和 IGNITION 1.5. 关于准入插件 第 第 2 章 章 OPENSHIFT CONTAINER PLATFORM 架 架构 构 2.1. OPENSHIFT CONTAINER PLATFORM 简介 2.1.1. 关于 Kubernetes IGNITION 配置文件 6.3. 安装后更改 IGNITION 配置 第 第 7 章 章 准入插件 准入插件 7.1. 关于准入插件 7.2. 默认准入插件 7.3. WEBHOOK 准入插件 7.4. WEBHOOK 准入插件类型 7.4.1. 变异准入插件 7.4.2. 验证准入插件 7.5. 配置动态准入 7.6. 其他资源 28 28 29 29 29 30 31 Ignition 配置文件，并在安装后更改 Ignition 配置。 1.5. 关于准入插件 您可以使用 准入插件 来规范 OpenShift Container Platform 的功能。在资源请求经过身份验证并授权 后，准入插件会截获主 API 的资源请求，以验证资源请求并确保扩展策略遵循。准入插件用于强制实施安 全策略、资源限制或配置要求。 第 第 1 章 章 架 架构 构概述 概述

PLANE 1.4. 关于面向开发人员的容器化应用程序 1.5. ABOUT RED HAT ENTERPRISE LINUX COREOS (RHCOS) AND IGNITION 1.6. 关于准入插件 第 第 2 章 章 OPENSHIFT CONTAINER PLATFORM 架 架构 构 2.1. OPENSHIFT CONTAINER PLATFORM 简介 第 第 3 章 章 安装和更新 RHCOS 7.2. 查看 IGNITION 配置文件 7.3. 安装后更改 IGNITION 配置 第 第 8 章 章 准入插件 准入插件 8.1. 关于准入插件 8.2. 默认准入插件 8.3. WEBHOOK 准入插件 8.4. WEBHOOK 准入插件类型 8.5. 配置动态准入 8.6. 其他资源 3 3 6 6 7 7 7 9 9 14 14 19 20 20 OpenShift Container Platform 架构。 访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 安全性。 准入插件 准入插件 准入插件强制执行安全策略、资源限制或配置要求。 身份 身份验证 验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置用户身份验证，并确保 只有批准的用户访问集群。要与

ODF PersistentVolume。 您可以将 OpenShift Virtualization 与 OVN-Kubernetes、OpenShiftSDN或认证的 OpenShift CNI 插件中 列出的其他默认 Container Network Interface (CNI) 网络供应商一起使用。 1.1.1. OpenShift Virtualization 支持的集群版本 OpenShift 现在有相应描述，需要立即关注的问题描述、发生每个警报的 原因、诊断问题来源的故障排除过程以及解决每个警报的步骤。 集群管理员现在可以使用 OpenShift API 进行 OpenShift Virtualization 插件的数据保护 来备份包 含虚拟机的命名空间。 管理员现在可以通过编辑 HyperConverged CR 来声明性 创建和公开介质设备，如虚拟图形处理 单元(vGPU)。然后，虚拟机所有者可将这些设备分配给虚拟机。 具有不同的容量。为了避免这种故障，请为每个节点使用适当的容量，并在虚拟机上设置节点关 联性以确保迁移成功。如需更多信息，请参阅配置所需的节点关联性规则。 其他 其他资 资源 源 关于 RHCOS. 用于支持的 CPU 红帽生态系统目录。 支持的存储. 4.1.2. 物理资源开销要求 OpenShift Virtualization 是 OpenShift Container Platform 的一个附加组件，它会带来额外的开销。除了

Source-to-image 自定义 Jenkins 镜像 12.2.6. 配置 Jenkins Kubernetes 插件 12.2.7. Jenkins 权限 12.2.8. 从模板创建 Jenkins 服务 12.2.9. 使用 Jenkins Kubernetes 插件 12.2.10. Jenkins 内存要求 12.2.11. 其他资源 12.3. JENKINS 代理 12.3 -openshift。例 如：registry.redhat.io/jboss-eap-6/eap64-openshift 是 JBoss EAP 镜像的名称。 本节涵盖的红帽支持的所有镜像均在红帽生态系统目录的容器镜像部分进行描述。如需了解每个镜像的各 种版本，请查看其内容和使用方法详情。浏览或搜索您感兴趣的镜像。 重要 重要 较新版容器镜像与较早版 OpenShift Container Platform Jenkins 集成提供的示例代理镜像提供镜像流。 12.2.1. 配置和自定义 您可采用两种方式管理 Jenkins 身份验证： 由 OpenShift Container Platform Login 插件提供的 OpenShift Container Platform OAuth 身份 验证。 由 Jenkins 提供的标准身份验证。 $ podman pull registry.redhat.

自定义资源定义(CRD)现已正式发布，它首次作为技术预览功能在版本 2.0 中 推出。您可以使用 CRD 构建自己的插件，但红帽并不支持您创建的插件。 在 Service Mesh 2.1 中已完全删除 Mixer。如果启用了 Mixer，则会阻止从 Service Mesh 2.0.x 升级到 2.1。 混合器插件需要移植到 WebAssembly 扩展。 1.2.2.12.5. 3scale WebAssembly 现已正式删除，OpenShift Service Mesh 2.1 不支持 3scale 混合器适配器。在升级到 Service Mesh 2.1 之前，删除基于 Mixer 的 3scale 适配器和任何其他 Mixer 插件。然后，使用 Service MeshExtension 资源手动安装和配置使用 Service Mesh 2.1+ 的新 3scale WebAssembly 适配器。 3scale 2.11 引入了基于 Service Mesh 2.1 中，Mixer 组件被删除。程序错误修正和支持会在 Service Mesh 2.0 生命周期结束时 提供。 如果启用了 Mixer 插件，则不会从 Service Mesh 2.0.x 升级到 2.1。Mixer 插件必须移植到 WebAssembly 扩展。 1.2.4.4. Red Hat OpenShift Service Mesh 2.0 已弃用的功能 已弃用的功能