创建应用程序的方式，如果使用 Web 控制台或 CLI，通 常会自动生成 BuildConfig，并且可以随时对其进行编辑。如果选择稍后手动更改配置，则了解 BuildConfig 的组成部分及可用选项可能会有所帮助。 以下示例 BuildConfig 在每次容器镜像标签或源代码改变时产生新的构建： BuildConfig 对 对象定 象定义 义 kind: BuildConfig apiVersion: 二进制类型构建需要从本地文件系统流传输内容，因此无法自动触发二进制类型构建，如 镜像更改触发器。这是因为无法提供二进制文件。同样，您无法从 web 控制台启动二进制 类型构建。 要使用二进制构建，请使用以下选项之一调用 oc start-build： --from-file：指定的文件内容作为二进制流发送到构建器。您还可以指定文件的 URL。然后，构 建器将数据存储在构建上下文顶端的同名文件中。 --from-dir 上下文目录中提取存档的内容。使用 --from-dir 时，您还可以指定提取的存档的 URL。 --from-archive：指定的存档发送到构建器，并在构建器上下文目录中提取。此选项与 --from-dir 的行为相同；只要这些选项的参数是目录，就会首先在主机上创建存档。 在上方列出的每种情形中： 如果 BuildConfig 已经定义了 Binary 源类型，它会有效地被忽略并且替换成客户端发送的内

创建应用程序的方式，如果使用 Web 控制台或 CLI，通 常会自动生成 BuildConfig，并且可以随时对其进行编辑。如果选择稍后手动更改配置，则了解 BuildConfig 的组成部分及可用选项可能会有所帮助。 以下示例 BuildConfig 在每次容器镜像标签或源代码改变时产生新的构建： BuildConfig 对象定 象定义 此规格会创建一个名为 ruby-sample-build 二进制类型构建需要从本地文件系统流传输内容，因此无法自动触发二进制类型构建（例 如，通过镜像更改触发器），因为无法提供二进制文件。同样，您无法从 web 控制台启动 二进制类型构建。 要使用二进制构建，请使用以下选项之一调用 oc start-build： --from-file：指定的文件内容作为二进制流发送到构建器。您还可以指定文件的 URL。然后，构 建器将数据存储在构建上下文顶端的同名文件中。 --from-dir 上下文目录中提取存档的内容。使用 --from-dir 时，还可以指定要提取的存档的 URL。 --from-archive：指定的存档发送到构建器，并在构建器上下文目录中提取。此选项与 --from-dir 的行为相同；只要这些选项的参数是目录，就会首先在主机上创建存档。 在上方列出的每种情形中： 如果 BuildConfig 已经定义了 Binary 源类型，它会有效地被忽略并且替换成客户端发送的内

视图，在仪表板中查看您的项目。 6. 可选： 在屏幕顶部的 Project 下拉菜单中选择 all projects 列出集群中的所有项目。 使用 Details 选项卡查看项目详情。 如果您有足够的项目权限，可以使用 Project Access 选项卡为项目提供或撤销 administrator、edit 和 view 权限。 OpenShift Container Platform 4.9 构 构建 将用户添加到项目，并为用户提供 Admin、Edit 或 View 访问权限： 1. 在 Developer 视角中,导航到 Project 视图。 2. 在 Project 页面中,选择 Project Access 选项卡。 3. 点击 Add Access 为默认权限添加新权限行。 图 2.2. 项目权限 4. 输入用户名，点 Select a role 下拉列表，然后选择适当的角色。 5. 点击 Save 1. 在 Search 视图中，使用 Resources 下拉列表搜索 Console。 2. 在可用选项中，选择 Console operator.openshift.io/v1。 图 2.3. 搜索控制台资源 3. 在 Name 列表下选择 cluster。 4. 导航到 YAML 选项卡以查看和编辑 YAML 代码。 5. 在 spec 下的 YAML 代码中，添加或编辑 availableClusterRoles

视图，在仪表板中查看您的项目。 6. 可选： 在屏幕顶部的 Project 下拉菜单中选择 all projects 列出集群中的所有项目。 使用 Details 选项卡查看项目详情。 如果您有足够的项目权限，可以使用 Project Access 选项卡为项目提供或撤销 administrator、edit 和 view 权限。 OpenShift Container Platform 4.10 构 构建 将用户添加到项目，并为用户提供 Admin、Edit 或 View 访问权限： 1. 在 Developer 视角中,导航到 Project 视图。 2. 在 Project 页面中,选择 Project Access 选项卡。 3. 点击 Add Access 为默认权限添加新权限行。 图 图 2.2. 项 项目 目权 权限 限 4. 输入用户名，点 Select a role 下拉列表，然后选择适当的角色。 Search 视图中，使用 Resources 下拉列表搜索 Console。 2. 在可用选项中，选择 Console operator.openshift.io/v1。 图 图 2.3. 搜索控制台 搜索控制台资 资源 源 3. 在 Name 列表下选择 cluster。 4. 导航到 YAML 选项卡以查看和编辑 YAML 代码。 5. 在 spec 下的 YAML 代码中，添加或编辑

对于集群中的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器，当机器根据 install-config.yaml 文件 中的选项的状态进行部署时，会应用这个更改，该文件管理用户可在集群部署过程中更改的集群选项。在 Red Hat Enterprise Linux（RHEL）机器中，您必须在计划用作 worker 的机器上安装操作系统时，启用 FIPS 模式。这些配置方法可确保集群满足 OpenShift Container Platform 集群和容器时，这些连接会 被正确加密。 OpenShift Container Platform 组件以 Go 编写，并使用红帽的 golang 编译器构建。当您为集群启用 FIPS 模式时，所有需要加密签名的 OpenShift Container Platform 组件调用 RHEL 和 RHCOS 加密程序 库。 表 表 2.1. OpenShift FIPS。 FIPS 验证的/Modules in Process 的加密模块和算法， 它们从 RHEL 7 和 RHCOS 二进制文件和镜像中获 得。 使用 FIPS 兼容 golang 编译器。 对 TLS FIPS 的支持当前还不完整，但计划在将来的 OpenShift Container Platform 版本中被完全支持。 2.2. 集群使用的组件支持 FIPS 尽管 OpenShift

入请求的路径，以便能够以标准的方式处理规范化路径。在路径规范化后，同步不同路径可能是等同的。 Istio 在根据授权策略和路由请求前，支持请求路径中的以下规范化方案： 表 1.1. 规范化方案 选项 选项 描述 描述 示例 示例 备 备注 注 第 第 1 章 章 SERVICE MESH 2.X 15 NONE 没有进行规范化。Envoy 接收的任何内容都会完全 按原样转发到任何后端服 务。 /b 由授权策略 评估并发送到您的服务。 此设置会受到 CVE- 2021-31920 的影响。 BASE 这是目前 Istio 默 默认 认安装 中使用的选项。这在 Envoy 代理上应用 normalize_path 选 项，该选项在 RFC 3986 之后使用额外的规范化来 转换反斜杠来正斜杠。 /a/../b 被规范化为 /b。\da 被规范化为 /da。 此设置会受到 CVE- 会破坏应用程序。在部署 到生产环境中前测试您的 应用程序。 选项 选项 描述 描述 示例 示例 备 备注 注 规范化算法按以下顺序进行： 1. 解码百分比 %2F、%2f、%5C 和 %5c。 2. RFC 3986 和其他在 Envoy 中的 normalize_path 选项实现的规范化。 3. 合并斜杠。 警告 警告 虽然这些规范化选项代表来自 HTTP 标准和常见行业实践的建议，但应用程序可能会

变量。对于更为复杂的配置或对于不支持 此操作的运行时，可通过定义启动过程中处理的模板配置文件来配置运行时。在此处理过程中，可将使用 环境变量提供的值替换到配置文件中，或用于决定要在配置文件中设置哪些选项。 此外，也可以使用环境变量将证书和密钥等 secret 传递到容器中，这是建议操作。这样可确保 secret 值 最终不会提交到镜像中，也不会泄漏到容器镜像 registry 中。 提供环境变 min-cpu 4 4.3. 使用 SOURCE-TO-IMAGE 从源代码创建镜像 Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 程序的新镜像。 使用 S2I 构建可重复生成的容器镜像的主要优点是便于开发人员使用。作为构建器镜像作者，您必须理解 两个基本概念，构建过程和 S2I 脚本，才能让您的镜像提供最佳的 S2I Source-to-image 脚本 您可以使用任何编程语言编写 S2I 脚本，只要脚本可在构建器镜像中执行。S2I 支持多种提供 assemble/run/save-artifacts 脚本的选项。每次构建时按以下顺序检查所有这些位置： 1. 构建配置中指定的脚本。 2. 在应用程序源 .s2i/bin 目录中找到的脚本。 3. 在默认镜像 URL 中找到的带有 io.openshift

registry 中不再存在的镜像的引用 时，会发生此错误。镜像索引可能会保留旧的引用，以便为运行这些镜像 的用户在升级图表中显示新的升级路径。作为临时解决方案，您可以使用 --skip-missing 选项绕过错误并继续下载镜像索引。如需更多信息，请参 阅 Service Mesh Operator 镜像失败。 如果本地容器 registry 连接到镜像主机，请执行以下操作： i. 使用以下命令直接将发行版镜像推送到本地 变量。对于更为复杂的配置或对于不支持 此操作的运行时，可通过定义启动过程中处理的模板配置文件来配置运行时。在此处理过程中，可将使用 环境变量提供的值替换到配置文件中，或用于决定要在配置文件中设置哪些选项。 此外，也可以使用环境变量将证书和密钥等 secret 传递到容器中，这是建议操作。这样可确保 secret 值 最终不会提交到镜像中，也不会泄漏到容器镜像 registry 中。 提供环境变 Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 OpenShift Container Platform 4.14 镜 镜像 像 30 Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 程序的新镜像。 使用 S2I 构建可重复生成的容器镜像的主要优点是便于开发人员使用。作为构建器镜像作者，您必须理解

效的 Kubernetes 体验。 第 第 1 章 章 架 架构 构概述 概述 3 部署 部署 维护应用程序生命周期的 Kubernetes 资源对象。 Docker 包含要在终端执行以编译镜像的用户命令的文本文件。 托管 托管 control plane OpenShift Container Platform 功能，允许从其 data plane 和 worker 在 OpenShift 关于面向开发人员的容器化应用程序 作为开发者，您可以使用不同的工具、方法和格式来根据您的独特要求开发容器化应用程序，例如： 使用各种 build-tool、base-image 和 registry 选项构建简单容器应用程序。 使用 OperatorHub 和模板等支持组件来开发您的应用程序。 将应用程序打包并部署为 Operator。 您还可以创建 Kubernetes 清单，并将其存储在 Git OpenShift Container Platform 4.10 架 架构 构 22 附加组件 网络 Insights 公告 机器池 支持 设置 4.3.1. 概述标签 Overview选项卡提供有关如何配置集群的信息： 集群 集群 ID是创建集群的唯一标识符。此 ID 可用于从命令行向集群发出命令。 Type 显示集群正在使用的 OpenShift 版本。 region 是服务器区域。

Enable operator recommended cluster monitoring on this namespace。 这个选项在 Namespace 对象中设置 openshift.io/cluster-monitoring: "true" 标识。您必须 设置这个选项，以确保集群监控提取 openshift-operators-redhat 命名空间。 f. 选择一个批准策略 批准策略。 Automatic 记录仪表板可以正确地显示 CPU 图形。(LOG-1925) 在此次更新之前，Elasticsearch Prometheus exporter 插件使用会影响 Elasticsearch 节点性能的 高成本查询编译了索引级指标。这个版本实现了更低成本的查询，可提高性能。(LOG-1897) 1.22.2. CVE 例 例 1.13. 点 点击 击以展开 以展开 CVE CVE-2021-21409 BZ-1944888 此发行版本包括 RHSA-2021:4627 OpenShift Logging 程序错误修复 5.3.0 1.23.1. 新功能及功能增强 在这个版本中，Log Forwarding 的授权选项已被扩展。输出现在可以配置 SASL、用户名/密码或 TLS。 OpenShift Container Platform 4.8 日志 日志记录 记录 30 1.23.2. 程序错误修复 在此次更新之前，如果您使用