. . . . 目 目录 录 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 4.6 文档 文档 1.1. 集群安装程序操作 1.2. 开发人员活动 1.3. 集群管理员活动 1.3.1. 管理集群组件 1.3.2. 更改集群组件 1.3.3. 监控集群 第 第 2 章 章 关于 关于 {OKE} 2.1. 相同和不同的地方 2.1.1. 核心 Kubernetes Container Storage ：您可以安装 Red Hat OpenShift Container Storage 作为 Operator，以便为容器提供高度集成和简化的持久性存储管理。 1.2. 开发人员活动 最终，OpenShift Container Platform 成为一个用于开发和部署容器化应用程序的平台。作为应用程序开 发人员，OpenShift Container Platform 文档可帮助您： REST API 参考 参考 ：列出 OpenShift Container Platform 应用程序编程接口端点。 1.3. 集群管理员活动 OpenShift Container Platform 4.6 集群上的持续任务包括用于管理机器的各种活动，为用户提供服务， 以及遵循监视集群的日志记录功能。作为集群管理员，本文档可帮助您： 了解 了解 OpenShift Container Platform

查看所有已安装的 Operator。 确保所选的 Project 为 openshift-storage。 图 图 4.1. OpenShift Container Storage Operator 页 页 2. 点 OpenShift Container Storage。 图 图 4.2. OpenShift Container Storage 的 的详 详情 情标签页 标签页 Red Hat OpenShift Container Storage 8 图 图 4.2. OpenShift Container Storage 的 的详 详情 情标签页 标签页 3. 单击 Storage Cluster 的 Create Instance 链接。 4. 将 Mode 选择为 External。默认情况下，Internal 被选为部署模式。 图 图 4.3. 连 连接到 接到创 创建存 建存储 储集群表 Storage 置备对象存储，请提供此参数。使用以下格式提供端点：: --monitoring-endpoint 是可选的。它是可从 OpenShift 容器平台集群访问的活动 ceph- mgr 的 IP 地址。如果没有提供，则会自动填充该值。 --monitoring-endpoint-port 是可选的。它是与 --monitoring-endpoint 指定的 ceph-

使用视角切换功能把它切换到 Developer 视角。此时会显示包含集群中所有项目的列表的 Topology 视图。 图 图 1.1. Developer Perspective (开 开发 发者 者视 视角 角) OpenShift Container Platform 4.8 Web 控制台 控制台 4 图 图 1.1. Developer Perspective (开 开发 发者 者视 视角 角) 2. 内存分配 所消耗的存储 所消耗的网络资源 Cluster Utilization 显示在指定时间段内各种资源的能力，以帮助管理员了解高资源消耗的范围 和频率。 Events 列出了与集群中最近活动相关的消息，如创建 pod 或虚拟机迁移到另一台主机。 Top Consumers 可帮助管理员了解集群资源是如何被消耗的。点一个资源可以进入一个包括详细 信息的页面，它列出了对指定集群资源（CPU

为内部 OAUTH 服务器配置令牌不活跃超时 您可以将 OAuth 令牌配置为在一组不活跃时间后过期。默认情况下，不会设置令牌不活跃超时。 注意 注意 如果您的 OAuth 客户端中也配置了令牌不活动超时，则该值会覆盖内部 OAuth 服务器配 置中设置的超时。 先决条件 先决条件 您可以使用具有 cluster-admin 角色的用户访问集群。 您已经配置了一个身份提供程序（IDP）。 客户端配置令牌不活跃超时 在一组不活跃的时间后，您可以将 OAuth 客户端配置为使 OAuth 令牌过期。默认情况下，不会设置令牌 不活跃超时。 注意 注意 如果在内部 OAuth 服务器配置中也配置了令牌不活动超时，OAuth 客户端中设置的超时会 覆盖该值。 先决条件 先决条件 您可以使用具有 cluster-admin 角色的用户访问集群。 您已经配置了一个身份提供程序（IDP）。 流程 流程 Operator 模式 对于支持多个模式中使用 CCO 的平台，您可以使用 Web 控制台或 CLI 确定 CCO 要使用的模式。 图 图 19.1. 确定 确定 CCO 配置 配置 第 第 19 章 章 管理云供 管理云供应 应商凭 商凭证 证 157 图 图 19.1. 确定 确定 CCO 配置 配置 19.1.2.1. 使用 使用 Web 控制台确定 控制台确定 Cloud Credential

硬件卸载功能有交互。如果将此字段设置 为 true，则不会获得卸载的性能优势，因为主机网络堆栈会处理 出口流量。 注意 您只能在集群安装过程中更改集群网络插件的配置，但 gatewayConfig 字段可作为安装后 活动在运行时更改。 启用 IPSec 的 OVN-Kubernetes 配置示例 defaultNetwork: type: OVNKubernetes ovnKubernetesConfig: IngressController 的 scope，您可以在创建自定义资源(CR)后更改 .spec.endpointPublishingStrategy.loadBalancer.scope 参数。 图 图 7.1. LoadBalancer 图 图表 表 replicas: 2 logging: access: null $ oc -n openshift-ingress-operator patch {"threadCount": 8}}}'  第 第 7 章 章 OPENSHIFT CONTAINER PLATFORM 中的 中的 INGRESS OPERATOR 57 图 图 7.1. LoadBalancer 图 图表 表 上图显示了与 OpenShift Container Platform Ingress LoadBalancerService 端点发布策略相关的以下概 念： 您可以使用

负载，但它需要使用一个具有低延迟的块设备才能获得最佳性能和稳定性。因为 etcd 的共识协议依 赖于将元数据永久存储到一个日志 (WAL)，所以 etcd 对磁盘的写延迟非常敏感。减慢来自其他进程的磁 盘活动和磁盘活动可能会导致长时间的 fsync 延迟。 这些延迟可能会导致 etcd 丢失心跳，不会及时向磁盘提交新的建议，并最终遇到请求超时和临时丢失问 题。高写入延迟也会导致 OpenShift API OpenShift Container Platform pod 调度程序的缩写。下图显示了 NUMA 感知 pod 调度的高级概述。 图 图 6.1. NUMA 感知 感知调 调度概述 度概述 第 第 6 章 章 调 调度 度 NUMA 感知工作 感知工作负载 负载 59 图 图 6.1. NUMA 感知 感知调 调度概述 度概述 NodeResourceTopology API NodeResourceTopology 接口（Grafana）中查看系统资源、容器和组件 指标。 7.1. PROMETHEUS 数据库存储要求 红帽对不同的扩展大小进行了各种测试。 注意 注意 以下 Prometheus 存储要求并不具有规定性。取决于工作负载活动和资源使用情况，集群 中可能会观察到更高资源消耗。 表 表 7.1. Prometheus 数据 数据库 库的存 的存储 储要求取决于集群中的 要求取决于集群中的节 节点 点/pod 数量 数量

Operator，您可以创建应用程序来监控集群中运行的服务。Operator 是专为您的应用程序而设计 的。Operator 实施并自动执行常见的第 1 天操作，如安装和配置以及第 2 天操作，如自动缩放和缩减并创 建备份。所有这些活动均位于集群中运行的一个软件中。 1.1. 对于开发人员 作为开发人员，您可以执行以下 Operator 任务： 安装 Operator SDK CLI。 创建 Go-based Operators Operator 可能包含的特定功能集来说，可以大致推断出 Operator 封装操作的成熟度等级。就 此而言，以下 Operator 成熟度模型针对 Operator 的第二天通用操作定义了五个成熟度阶段： 图 2.1. Operator 成熟度模型 成熟度模型 以上模型还显示了如何通过 Operator SDK 的 Helm、Go 和 Ansible 功能更好地开发这些功能。 2.2. OPERATOR 要验证并信任正在安装和限制访问权限的内容，方法是使用 RBAC 到 BundleDeployment API 到需要这些权限的用户。 RukPak BundleDeployment API 指向 Bundle 对象，并表明它应当处于活动状态。这包括从活跃捆绑包 的旧版本获取。BundleDeployment 对象可能还包括所需捆绑包的嵌入式 spec。 与 pod 生成容器镜像实例一样，捆绑包部署会生成捆绑包部署的版本。捆绑包部署可被视为

装程序会识别并使用现有组件，而不是运行命令来 再次创建它们，因为程序满足依赖项。 图 图 1.1. OpenShift Container Platform 安装目 安装目标 标和依 和依赖项 赖项 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 7 图 图 1.1. OpenShift Container Platform 安装目 安装目标 机器。然后，control plane 机器创建计算（compute）机器。下图说明了这一过程： 图 图 1.2. 创 创建 建 bootstrap、 、control plane 和 和计 计算机器 算机器 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 11 图 图 1.2. 创 创建 建 bootstrap、 、control plane 和 和计 unable to retrieve source image。当镜像索引包括对镜像 registry 中不再存在的镜像的引用时，会 发生此错误。镜像索引可能会保留旧的引用，以便为运行这些镜像的用户在升级图 表中显示新的升级路径。作为临时解决方案，您可以使用 --skip-missing 选项绕 过错误并继续下载镜像索引。如需更多信息，请参阅 Service Mesh Operator 镜像 失败。 oc

DeviceMapper 和 OverlayFS。它们都有各自的优缺点。 有关 OverlayFS 的详情请参考 Red Hat Enterprise Linux(RHEL)7 发行注记 。 表 表 5.3. 图 图形 形驱动 驱动程序比 程序比较 较 名称 名称 描述 描述 优 优点 点 限制： 限制： OverlayFS overlay overlay2 组合一个较低（父）和上 层（子上）文件系统和工 MONITORING OPERATOR 的容量规划 对不同的扩展大小执行各种测试。Prometheus 数据库会增加，如下表中所示。 注意 注意 以下 Prometheus 存储要求并不具有规定性。取决于工作负载活动和资源使用情况，集群 中可能会观察到更高资源消耗。 表 表 10.1. Prometheus 数据 数据库 库的存 的存储 储要求取决于集群中的 要求取决于集群中的节 节点 点/pod 数量 数量

Istio 服务网格。它所提供的拓扑结构可以帮助您了解服务网格的结构，并提供服务网 格的健康状况信息。 Kiali 实时提供命名空间的交互式图形视图，可让您了解诸如电路断路器、请求率、延迟甚至流量图等功 能。Kiali 提供了从应用程序到服务以及负载等不同级别的组件的了解，并可显示与所选图形节点或边缘的 上下文信息和图表的交互。Kiali 还提供了验证 Istio 配置（如网关、目的规则、虚拟服务、网格策略等 Kiali 控制台时，您会看到 Overview 页面，它会显示服务网格中您有权查看的所有 命名空间。当 Overview 页中显示多个命名空间，Kiali 会首先显示具有健康或验证问题的命名空 间。 图 1.1. Kiali Overview 页 每个命名空间的 tile 会显示标签数量、Istio 配置健康、和 应用程序 健康状态的数量，以及命名 空间的流量。如果您验证了控制台安装，且命名空间还没有添加到网格中，则可能无法显示 Dashboard Istio Control Plane Dashboard Istio Performance Dashboard Istio Wasm Exetension Dashboard 图 1.2. Grafana Istio Control Plane Dashboard Kiali 还会安装两个额外的 Grafana 仪表板，它们可从 Grafana Home 页面获得： Istio