Red Hat OpenShift Service Mesh control plane 组件可以用来同步 网关路由。如需更多信息，请参阅自动路由创建。 1.5.1.16.1. catch-all 域 不支持 Catch-all（"*"）。如果在网关定义中找到一个，Red Hat OpenShift Service Mesh 将创建路由， 但会依赖于 OpenShift 来创建一个默认主机名。这意味着新创建的路由不是 Dedicated 的 dedicated-admin 角色。 1.5.1.16.2. 子域 支持子域（例如："*.domain.com"）。但是，OpenShift Container Platform 中不默认启用此功能。这意 味着，Red Hat OpenShift Service Mesh 将使用子域创建路由，但只有在 OpenShift Container Platform 被配置为启用它时才有效。 service mesh 中创建、更新或删除 Istio 网关 时，都会自动创建、更新或删除 OpenShift 路由。 1.14.2.1. 使用子域的路由 使用子域的路由 Red Hat OpenShift Service Mesh 使用子域创建路由，但必须配置 OpenShift Container Platform 才能启 name: bookinfo spec: hosts:

property of their respective owners. 摘要 摘要 本文档提供在 OpenShift Container Platform 中定义身份提供程序的说明。它还讨论如何配置基于角 色的访问控制来保护集群的安全。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 12 章 章 使用服 使用服务帐户 务帐户作 作为 为 OAUTH 客 客户 户端 端 12.1. 服务帐户作为 OAUTH 客户端 第 第 13 章 章 界定令牌作用域 界定令牌作用域 13.1. 关于界定令牌作用域 第 第 14 章 章 使用 使用绑 绑定的服 定的服务帐户 务帐户令牌 令牌 14.1. 关于绑定服务帐户令牌 14.2. 使用卷投射配置绑定服务帐户令牌 14.3. 的授权： 查看 本地和集群 角色和绑定. 创建 本地角色 并将其分配给用户或组。 创建集群角色并将其分配给用户或组：OpenShift Container Platform 包括了一组默认的集群角 色。您可以创建额外的 集群角色，并将它们添加到用户或组中。 创建 cluster-admin 用户：默认情况下，您的集群只有一个集群管理员，名为 kubeadmin。您可 以创建另一个集群管理员。在创

blob、至少一个 olm.channel blob 以及一个或 多个 olm.bundle blob。 注意 注意 所有 olm.* 模式都为 OLM 定义的模式保留。自定义模式必须使用唯一前缀，如您拥有的 域。 2.2.2.2.1. olm.package schema olm.package 模式为 Operator 定义软件包级别的元数据。这包括其名称、描述、默认频道和图标。 例 例 2.1. olm 角色通常会分配给通过项目模板创建项目的用户。 先决条件 先决条件 创建 CRD。 流程 流程 1. 为 CRD 创建集群角色定义文件。集群角色定义是一个 YAML 文件，其中包含适用于各个集群角 色的规则。OpenShift Container Platform 控制器会将您指定的规则添加到默认集群角色中。 集群角色定 集群角色定义的 的 YAML 文件示例 文件示例 $ oc create operatorgroup.yaml： OperatorGroup 对象示例 象示例 警告 警告 Operator Lifecycle Manager (OLM) 为每个 Operator 组创建以下集群角 色： -admin -edit -view 当手动创建 Operator

✓ ✓ 政 府 区 域 ✓ ✓ 第 第 2 章 章 选择 选择集群安装方法并 集群安装方法并为 为用 用户 户准 准备 备它 它 17 Se cre t 区 域 ✓ 中 国 区 域 ✓ 前，您必须配置并注册您的域，为安装创建 Resource Access Management(RAM)用户，并查看支持的 Alibaba Cloud 数据中心区域和区。 4.1.3. 注册和配置 Alibaba Cloud 域 要安装 OpenShift Container Platform，您使用的 Alibaba Cloud 帐户必须在帐户中有一个专用的公共托 管区。此区域必须对域具有权威。此服务为集群外部连接提供集群 标识您的域或子域，以及注册商（registrar）。您可以转移现有的域和注册商，或通过 Alibaba Cloud 或其他来源获取新的域和注册商。 注意 注意 如果您通过 Alibaba Cloud 购买了一个新域，则需要时间来传播相关的 DNS 更 改。有关通过 Alibaba Cloud 购买域的更多信息，请参阅 Alibaba Cloud 域。 2. 如果您使用现有的域和注册商，请将其

安装配置 安装配置 13 spec: config: EOF + 注意 注意 Mc-base.yaml 设置为在 worker 节点上部署内核模块 。要部署到 master 节点上，请将角 色从 worker 更改为 master。要进行这两个操作，您可以通过为不同类型的部署使用不同 的文件名来重复整个过程。 1. 获得 kmods-via-containers 软件： $ git clone enshift.io 配置应如何对待特定的镜像 registry（允许、禁用、不安全、CA 详情）。 ingress.config.o penshift.io 与路由相关的配置详情，如路由的默认域。 oauth.config.op enshift.io 配置用户身份供应商，以及与内部 OAuth 服务器流程相关的其他行为。 project.config.o penshift.io 配置项目的创建方式，包括项目模板。 ingressco ntroller.op erator.ope nshift.io default openshift- ingress- operator 配置 Ingress Operator 行为，如域、副本数、证书和控制器放 置。 3.4.4. 信息资源 可以使用这些资源检索集群信息。请不要直接编辑这些资源。 资 资源名称 源名称 实 实例名称 例名称 描述 描述 clusterversio

X 现有的 虚拟私 有网络 X X X OpenShift Container Platform 4.7 安装 安装 58 政府区 域 X X AWS Azure GCP Open Stack RHV 裸机 裸机 vSphe re VMC IBM Z IBM Power 表 表 2.2. 部署到互联网中不可见的内部网络中。 在 在 WS 上将集群安装到一个政府或机密区域 上将集群安装到一个政府或机密区域：OpenShift Container Platform 可以部署到 AWS 区 域，这些区域是为需要运行云中敏感工作负载的美国政府机构、州和本地级别的政府机构、企业 和其他需要运行敏感工作负载的美国客户准备的。 在您提供的 在您提供的 AWS 基 基础 础架 架构 构上安装集群 上安装集群：您可以在您提供的 务中有一个专用的公共托管区。此区域必须对域具有权威。Route 53 服务为集群外部连接提供集群 DNS 解析和名称查询。 流程 流程 1. 标识您的域或子域，以及注册商（registrar）。您可以转移现有的域和注册商，或通过 AWS 或其 他来源获取新的域和注册商。 注意 注意 如果您通过 AWS 购买了一个新域，则需要一定时间来传播相关的 DNS 更改信 息。有关通过 AWS 购买域的更多信息，请参阅 AWS

选择集群安装方法并 集群安装方法并为 为用 用户 户准 准备 备它 它 15 私有集 群 ✓ ✓ ✓ 现有的 虚拟私 有网络 ✓ ✓ ✓ 政府区 域 ✓ ✓ AWS Azure GCP RHOS P RHV 裸机 裸机 vSphe re VMC IBM Z IBM Power 表 表 2.2. 用 用户 Platform 4.8 安装 安装 32 在 在 WS 上将集群安装到一个政府或机密区域 上将集群安装到一个政府或机密区域：OpenShift Container Platform 可以部署到 AWS 区 域，这些区域是为需要运行云中敏感工作负载的美国政府机构、州和本地级别的政府机构、企业 和其他需要运行敏感工作负载的美国客户准备的。 4.1.3.2. 在用 在用户置 置备的基 的基础架 架构上安装集群 务中有一个专用的公共托管区。此区域必须对域具有权威。Route 53 服务为集群外部连接提供集群 DNS 解析和名称查询。 流程 流程 1. 标识您的域或子域，以及注册商（registrar）。您可以转移现有的域和注册商，或通过 AWS 或其 他来源获取新的域和注册商。 注意 注意 如果您通过 AWS 购买了一个新域，则需要一定时间来传播相关的 DNS 更改信 息。有关通过 AWS 购买域的更多信息，请参阅 AWS

有 网 络 ✓ ✓ ✓ ✓ ✓ ✓ ✓ 政 府 区 域 ✓ ✓ S e cr et 区 域 ✓ 中 国 区 域 ✓ Al ib a b a 前，您必须配置并注册您的域，为安装创建 Resource Access Management(RAM)用户，并查看支持的 Alibaba Cloud 数据中心区域和区。 5.1.3. 注册和配置 Alibaba Cloud 域 要安装 OpenShift Container Platform，您使用的 Alibaba Cloud 帐户必须在帐户中有一个专用的公共托 管区。此区域必须对域具有权威。此服务为集群外部连接提供集群 标识您的域或子域，以及注册商（registrar）。您可以转移现有的域和注册商，或通过 Alibaba Cloud 或其他来源获取新的域和注册商。 注意 注意 如果您通过 Alibaba Cloud 购买了一个新域，则需要时间来传播相关的 DNS 更 改。有关通过 Alibaba Cloud 购买域的更多信息，请参阅 Alibaba Cloud 域。 2. 如果您使用现有的域和注册商，请将其

虚 拟 私 有 网 络 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ 政 府 区 域 ✓ ✓ Se cr et 区 域 ✓ 中 国 区 域 ✓ Ali ba ba A W 前，您必须配置并注册您的域，为安装创建 Resource Access Management(RAM)用户，并查看支持的 Alibaba Cloud 数据中心区域和区。 5.1.3. 注册和配置 Alibaba Cloud 域 要安装 OpenShift Container Platform，您使用的 Alibaba Cloud 帐户必须在帐户中有一个专用的公共托 管区。此区域必须对域具有权威。此服务为集群外部连接提供集群 标识您的域或子域，以及注册商（registrar）。您可以转移现有的域和注册商，或通过 Alibaba Cloud 或其他来源获取新的域和注册商。 注意 注意 如果您通过 Alibaba Cloud 购买了一个新域，则需要时间来传播相关的 DNS 更 改。有关通过 Alibaba Cloud 购买域的更多信息，请参阅 Alibaba Cloud 域。 2. 如果您使用现有的域和注册商，请将其

Elasticsearch pod 数量可能会导致数据丢失或 Elasticsearch 性能下降。 如果缩减，应该一次缩减一个 pod，并允许集群重新平衡分片和副本。Elasticsearch 健康状态返回绿 绿 色 色后，您可以根据另一个 pod 进行缩减。 注意 注意 如果 Elasticsearch 集群设置为 ZeroRedundancy，则不应缩减 Elasticsearch pod。 4.3.6. Elasticsearch cron 任务： d. 验证日志存储是否已更新至 5.0 或 5.1，并且索引是绿 绿色 色的： 验证输出是否包含 app-00000x、infra-00000x、audit-00000x、.security 索引。 例 例 10.1. 带 带有 有绿 绿色状 色状态 态索引的 索引的输 输出示例 出示例 $ oc exec -n openshift-logging -c Platform 4.7 日志 日志记录 记录 124 d. 检查日志存储是否已更新至 5.x，并且索引是绿 绿色 色的： 验证输出是否包含 app-00000x、infra-00000x、audit-00000x、.security 索引。 例 例 10.3. 带 带有 有绿 绿色状 色状态 态索引的 索引的输 输出示例 出示例 $ oc get cronjob NAME