Enterprise Linux 上，安装 httpd-tools 软件包即可使 用该实用程序。 流程 流程 1. 创建或更新含有用户名和散列密码的平面文件： OpenShift Container Platform 4.13 认证 认证和授 和授权 权 28 该命令将生成散列版本的密码。 例如： 输 输出示例 出示例 2. 继续向文件中添加或更新凭证： 7.1.3.2. 使用 使用 Windows 先决条件 先决条件 能够访问 htpasswd.exe。许多 Apache httpd 发行版本的 \bin 目录中均包含此文件。 流程 流程 1. 创建或更新含有用户名和散列密码的平面文件： 该命令将生成散列版本的密码。 例如： 输 输出示例 出示例 2. 继续向文件中添加或更新凭证： 7.1.4. 创建 htpasswd secret 要使用 htpasswd 身份提供程序，您必须定义一个包含 ldaps:// URL 时，此项必须设为 false，因为这些 URL 始终会尝试 使用 TLS 进行连接。 RFC 2255 URL，指定要使用的 LDAP 主机和搜索参数。 注意 注意 要将用户列在 LDAP 集成的白名单中，请使用 lookup 映射方法。在允许从 LDAP 登录 前，集群管理员必须为每个 LDAP User 创建一个 Identity 对象和用户对象。 其他 其他资 资源

验证您是否安装了 LokiOperator。访问 Operators → Installed Operators 页面，并查找 "LokiOperator." i. 确保 LokiOperator 列在所有 Status 为 Succeeded 的项目中。 1.9.4. 程序错误修复 在此次更新之前，cluster-logging-operator 使用集群范围的角色和绑定来建立 Prometheus 仪表板在控制台中可用。(LOG-2163) 在此次更新之前，对指标仪表板的更改不会部署，因为 cluster-logging-operator 无法正确比较 包含仪表板的现有和修改后的配置映射。在这个版本中，为对象标签添加唯一的散列值可解决这 个问题。(LOG-2071) 在此次更新之前，OpenShift Logging 仪表板没有正确显示表中的 pod 和命名空间，这会显示在 最后 24 小时收集的生成容器。在这个版本中，pod 记录转发到错误的索 引。在这个版本中，收集器使用正确的配置来解决这个问题。(LOG-2160) 在此次更新之前，带有大量命名空间的集群会导致 Elasticsearch 停止服务请求，因为命名空间列 表达到最大标头大小限制。在这个版本中，标头只包括命名空间名称列表，从而解决了这个问 题。(LOG-1899) 在此次更新之前，OpenShift Container Platform Logging

13 1 2 3 4 5 6 7 8 9 pod 可以被“标上”一个或多个标签，然后使用这些标签在一个操作中选择和管理多组 pod。标签以 键/值格式保存在 metadata 散列中。 pod 重启策略，可能的值有 Always、OnFailure 和 Never。默认值为 Always。 OpenShift Container Platform 为容器定义了一个安全上下文，指定是否允许其作为特权容器来运 占功能。pod 优 优先 先级 级指明 指明 pod 相 相对 对于其他 于其他 pod 的重要程度，并根 的重要程度，并根 据 据这 这个 个优 优先 先级对 级对 pod 进 进行 行队 队列 列处 处理。 理。pod 抢 抢占允 占允许 许集群 集群驱 驱除或 除或抢 抢占 占较 较低 低优 优先 先级 级 pod，以便在合适的 ，以便在合适的节 节点 点 pod 上没有可用空 上没有可用空间时 抢占功能 占功能时 时， ，调 调度程序会根据 度程序会根据优 优先 先级 级来 来调 调度待 度待处 处理 理 pod，而待 ，而待处 处理 理 pod 会放在 会放在 调 调度 度队 队列中 列中优 优先 先级较 级较低的其他待 低的其他待处 处理 理 pod 的前面。因此，如果 的前面。因此，如果达 达到 到调 调度要求， 度要求，较 较高 高优 优先 先级 级的 的 pod 可能比 可能比

14 1 2 3 4 5 6 7 8 9 pod 可以被“标上”一个或多个标签，然后使用这些标签在一个操作中选择和管理多组 pod。标签以 键/值格式保存在 metadata 散列中。 pod 重启策略，可能的值有 Always、OnFailure 和 Never。默认值为 Always。 OpenShift Container Platform 为容器定义了一个安全上下文，指定是否允许其作为特权容器来运 规格中指定优先级类名称。优先准入控制器使 用优先级类名称字段来填充优先级的整数值。如果没有找到给定名称的优先级类，pod 将被拒绝。 2.9.2. 了解 pod 抢占 当开发人员创建 pod 时，pod 会排入某一队列。如果开发人员为 pod 配置了 pod 优先级或抢占，调度程 序会从队列中选取 pod，并尝试将 pod 调度到某个节点上。如果调度程序无法在满足 pod 的所有指定要 求的适当节点上找到空间，则会为待处理 MachineConfigPool CRD 以查看是否应用了更改。如果 Machine Config Controller 抓取到 更改，则 UPDATING 列会报告 True： 输 输出示例 出示例 更改完成后，UPDATED 列会报告 True。 输 输出示例 出示例 5.5. 使用 NODE TUNING OPERATOR 了解 Node Tuning Operator，以及如何使用它通过编排

运行以下命令，以验证 Service Mesh control plane 安装，其中 istio-system 是安装 Service Mesh control plane 的命名空间。 当 STATUS 列是 ComponentsReady 时，安装成功完成。 1.8.4. 使用 Kiali 验证 SMCP 安装 您可以使用 Kiali 控制台验证 Service Mesh 安装。Kiali 控制台提供了一种方式来验证您的 Routes。 3. 在 Routes 页面中，从 Namespace 菜单中选择 Service Mesh control plane 项目，如 istio- system。 Location 列显示每个路由的链接地址。 4. 如果需要，使用过滤器查找 Kiali 控制台的路由。单击路由 位置 以启动控制台。 5. 单击 Log In With OpenShift。 第一次登录到 Kiali 显示应用程 序的健康状况。 a. 将鼠标指针悬停在信息图标上，以查看 Details 列中记下的任何其他信息。 9. 要在 istio-system 命名空间中查看工作负载列表，请点击 Workloads 页面。Kiali 显示工作负载 的运行状况。 a. 将鼠标指针悬停在信息图标上，以查看 Details 列中记下的任何其他信息。 OpenShift Container Platform 4

字段按名称或标签搜索目标。 4. 可选：点 Endpoint, Status, Namespace, Last Scrape, 和 Scrape Duration 列标题对目标进行 排序。 5. 单击目标的 Endpoint 列中的 URL，以导航到其 Target 详 详情 情页面。本页提供有关目标的信息，包 括： 为指标提取的端点 URL 目标的当前 Up 或 Down 状态 到命名空间的链接 可选：使用搜索列表中的 Name 字段按名称搜索警报。 3. 可选：通过选择 Filter 列表中的过滤器来按状态、严重性和来源过滤警报。 4. 可选：点击 Name、Severity、State 和 Source 列标题中的一个或多个标题对警报进行排序。 5. 选择警报的名称以导航到其 Alert Details 页面。该页面包含一个说明警报时间序列数据的图形。 它还提供与此警报相关的信息，包括： 警报的描述 可选：通过选择 Filter 列表中的过滤器来按状态过滤静默。默认情况下会应用 Active 和 Pending 过滤器。 4. 可选：点击 Name、Firing alerts 和 State 列标题中的一个或多个标题对静默进行排序。 5. 选择静默的名称以导航到其 Silence Details 页面。该页面包括以下详情： 警报指定条件 开始时间 结束时间 静默状态 触发警报的数目和列表

状态中可以重复出现才能继续获得支持。 Cluster Version Operator (CVO) 覆盖 覆盖 可将 spec.overrides 参数添加到 CVO 配置中，以便管理员提供对组件的 CVO 行为覆盖的列 表。将一个组件的 spec.overrides[].unmanaged 参数设置为 true 会阻止集群升级并在设置 CVO 覆盖后提醒管理员： 警告 警告 设置 CVO 覆盖会使整个集群处于不受支持状态。在删除所有覆盖后，必须 Installed Operators 页来验证 OpenShift Update Service Operator 是 否已安装。 4. 确保 OpenShift Update Service 列在所选命名空间中，Status 为 Succeeded。 3.2.2. 使用 CLI 安装 OpenShift Update Service Operator 您可以使用 OpenShift CLI（oc）安装 查看集群版本状态历史记录以监控更新的状态。这可能需要一些时间才能完成对所有对象的更 新。 输 输出示例 出示例 历史记录包含了应用于集群的最新版本的列表。当CVO应用更新时，此值将会被相应更新。该列 表按日期排序，最新的更新会在列表中第一个显示。如果历史信息中的更新状态为 Completed， 则表示部署已完成；如果状态为 Partial，则表示更新失败或还未完成。 7. 更新完成后，可以通过以下方法确认集群已更新为新版本：

运行以下命令设置 $RELEASE_IMAGE 变量： 2. 运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列 表： credrequests 是存储 CredentialsRequest 对象列表的目录。如果该目录不存在，此命令 就会创建该目录。 注意 注意 运行此命令可能需要一些时间。 3. 如 运行以下命令设置 $RELEASE_IMAGE 变量： 2. 运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列 表： credrequests 是存储 CredentialsRequest 对象列表的目录。如果该目录不存在，此命令 就会创建该目录。 注意 注意 运行此命令可能需要一些时间。 $ openshift-install 运行以下命令设置 $RELEASE_IMAGE 变量： 2. 运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列 表： 注意 注意 运行此命令可能需要一些时间。 5.5.5.3. 安装配置参数 安装配置参数 在部署 OpenShift Container Platform 集群前，您可以提供参数值来描述托管集群的云平台中的帐户，并

19 a. 获取 etcd pod 列表： 输 输出示例 出示例 b. 选择 pod 并运行以下命令来确定哪个 etcd 成员是领导： 输 输出示例 出示例 基于此输出的 IS LEADER 列，https://10.0.199.170:2379 端点是领导。与上一步输出匹配此 端点，领导的 pod 名称为 etcd-ip-10-0-199-170.example.redhat.com。 2 已移至基础架构节点。 a. 运行以下命令，以识别 registry pod 所在的节点： b. 确认节点具有您指定的标签： 查看命令输出，并确认 node-role.kubernetes.io/infra 列在 LABELS 列表中。 1.11. 移动路由器 您可以将路由器 pod 部署到不同的机器集中。默认情况下，pod 部署到 worker 节点。 先决条件 先决条件 在 OpenShift Container 的整数，该整数不超过虚拟服务器的虚拟 CPU 数量。 以下示例规格为网络接口配置两个输入和输出队列： 多个队列旨在为网络接口提供增强的性能，但也使用内存和 CPU 资源。首先为繁忙的接口定义两个队 列。接下来，尝试为不太繁忙的接口定义两个队列，为繁忙的接口设置两个以上的队列。 2.6.2. 对虚拟块设备使用 I/O 线程 要使虚拟块设备使用 I/O 线程，您必须为虚拟服务器和每个虚拟块设备配置一个或多个

还允许用户选择更新更新的时间和级别，并通过 fast、stable、candidate 和 eus 频道选项。Cluster Version Operator 使用基于频道声明的更新图以及其他条件信息，以提供集群可用的推荐和条件更新列 表。 升级频道与 OpenShift Container Platform 的次版本关联。频道中的版本号代表集群最终要升级到的目标 次版本，即使它高于集群的当前次版本。 例如，OpenShift 请求，并检查它们中的任何请求是否使用其中一个已删除 的 API。 先决条件 先决条件 您必须可以使用具有 cluster-admin 角色的用户访问集群。 流程 流程 运行以下命令并检查输出的 REMOVEDINRELEASE 列以确定当前正在使用的 API: 输出示例 出示例 重要 重要 您可以安全地忽略结果中出现的以下条目： system:serviceaccount:kube-system:generic-garbage-collector CredentialsRequest 对象中定义的权限策略。 2. 运行以下命令，将 secret 应用到集群： 验证 您可以通过查询云供应商来验证是否已创建所需的供应商资源和权限策略。如需更多信息，请参阅有关列 出角色或服务帐户的云供应商文档。 后 后续 续步 步骤 骤 更新 upgradeable-to 注解，以指示集群已准备好升级。 其他 其他资 资源 源 表示集群已准备好升级 2.2.5. 手动更新云供应商资源