化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 来解决这些架构问题，并可修改、重定向或创建新请求到其他服务。 Service Mesh 基于开源 Istio 项目，为创建部署的服务提供发现、负载均衡、服务对服务身份验证、故障 恢复、指标和监控的服务网络提供了便捷的方法。服务网格还提供更复杂的操作功能，其中包括 尚不支持 Kubernetes 网关 API 尚不支持远程获取和加载 WebAssembly HTTP 过滤器 尚不支持使用 Kubernetes CSR API 的自定义 CA 集成 监控流量的请求分类是一个技术预览功能 通过授权策略的 CUSTOM 操作与外部授权系统集成是一项技术预览功能 1.2.2.12.7. 改进了 Service Mesh operator 性能 Red Hat Service Mesh 处理 URI 片段的方式改变 Red Hat OpenShift Service Mesh 包含一个可远程利用的漏洞 CVE-2021-39156，其中 HTTP 请求带有片 段（以 # 字符开头的 URI 末尾的一个部分），您可以绕过 Istio URI 基于路径的授权策略。例如，Istio 授 权策略拒绝发送到 URI 路径 /user/profile 的请求。在存在安全漏洞的版本中，带有

项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的环境中。您可以 使用 control plane 功能配置和管理 Service Mesh。 Red Hat OpenShift Service Mesh 提供了一个 MAISTRA-348 OpenShift 4 Beta on AWS 不支持端口 80 或 443 之外的 ingress 网关流量。如果 您将 ingress 网关配置为使用 80 或 443 以外的端口号处理 TCP 流量，作为临时解决方案，您必 须使用 AWS 负载均衡器提供的服务主机名，而不是使用 OpenShift 路由器。 1.5.2. Kiali 修复的问题 KIALI-3239 如果一个 项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的服务网格中。您 可以使用 control plane 功能配置和管理 Service Mesh。 Red Hat OpenShift Service Mesh 可让您轻松创建部署的服务网络，该网络提供：

Elasticsearch 日志存储，请删除未使用的组件 4.3. 配置日志存储 4.3.1. 将审计日志转发到日志存储 4.3.2. 配置日志保留时间 4.3.3. 为日志存储配置 CPU 和内存请求 4.3.4. 为日志存储配置复制策略 4.3.5. 缩减 Elasticsearch pod 4.3.6. 为日志存储配置持久性存储 4.3.7. 为 emptyDir 存储配置日志存储 4 在 KIBANA 中查看集群日志 第 第 7 章 章 将日志 将日志转发 转发到第三方系 到第三方系统 统 7.1. 关于将日志转发到第三方系统 当外部日志聚合器不可用时，Fluentd 日志处理 7.2. 支持的日志数据输出类型 7.3. 将日志转发到外部 ELASTICSEARCH 实例 7.4. 使用 FLUENTD 转发协议转发日志 7.5. 使用 SYSLOG 协议转发日志 certificate) 无法将日志转发到带有中间 CA 签名的证书的 Kafka 代理。这是因为 Fluentd Kafka 插件只能处理 对应 secret 的 ca-bundle.crt 条目中提供的单个 CA 证书。在这个版本中解决了这个问题，它启 用了 Fluentd Kafka 插件来处理对应 secret 的 ca-bundle.crt 条目中提供的多个 CA 证书。现 在，日志可以被转发到带有中间 CA

their respective owners. 摘要 摘要 本文档说明如何通过不同方式创建和管理在 OpenShift Container Platform 上运行的用户置备应用程 序实例。这包括处理项目以及使用 Open Service Broker API 置备应用程序。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 构 构建 建应 应用程序概述 用程序概述 1.1. 使用项目 1.2. 处理应用程序 1.3. 使用 RED HAT MARKETPLACE 第 第 2 章 章 项 项目 目 2.1. 处理项目 2.2. 以其他用户身份创建项目 2.3. 配置项目创建 第 第 3 章 章 创 创建 建应 应用程序 用程序 3.1. 使用 CLI，您可以通过模拟对 OpenShift Container Platform API 的请求来以不同的用户创建项目。当您 请求创建新项目时，OpenShift Container Platform 会使用一个端点来根据自定义模板来置备项目。作为 集群管理员，您可以选择阻止经过身份验证的用户组自助置备新项目。 1.2. 处理应用程序 1.2.1. 创建应用程序 要创建应用程序，您必须已创建了一个项目，

their respective owners. 摘要 摘要 本文档说明如何通过不同方式创建和管理在 OpenShift Container Platform 上运行的用户置备应用程 序实例。这包括处理项目以及使用 Open Service Broker API 置备应用程序。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 构 构建 建应 应用程序概述 用程序概述 1.1. 使用项目 1.2. 处理应用程序 1.3. 使用 RED HAT MARKETPLACE 第 第 2 章 章 项 项目 目 2.1. 处理项目 2.2. 以其他用户身份创建项目 2.3. 配置项目创建 第 第 3 章 章 创 创建 建应 应用程序 用程序 3.1. 使用 CLI，您可以通过模拟对 OpenShift Container Platform API 的请求来以不同的用户创建项目。当您 请求创建新项目时，OpenShift Container Platform 会使用一个端点来根据自定义模板来置备项目。作为 集群管理员，您可以选择阻止经过身份验证的用户组自助置备新项目。 1.2. 处理应用程序 1.2.1. 创建应用程序 要创建应用程序，您必须已创建了一个项目，

向操作系统释放未用的内存 7.4.2.3. 了解如何确保正确配置容器中的所有 JVM 进程 7.4.3. 从 pod 中查找内存请求和限制 7.4.4. 了解 OOM 终止策略 7.4.5. 了解 pod 驱除 7.5. 配置集群以将 POD 放置到过量使用的节点上 7.5.1. 资源请求和过量使用 7.5.2. 使用 Cluster Resource Override Operator 的集群级别的过量使用 Operator 7.5.2.3. 配置集群级别的过量使用 7.5.3. 节点级别的过量使用 7.5.3.1. 了解计算资源和容器 7.5.3.1.1. 了解容器 CPU 请求 7.5.3.1.2. 了解容器内存请求 7.5.3.2. 了解过量使用和服务质量类 7.5.3.2.1. 了解如何为不同的服务质量层级保留内存 7.5.3.3. 了解交换内存和 QoS 7.5.3.4. 了解节点过量使用 设置为节点分配资源。您可以允许 OpenShift Container Platform 自动决 定节点的最佳 system-reserved CPU 和内存资源，也可以手动决定并为节点设置最佳资源。 根据节点上的处理器内核数、硬限制或两者，配置可在节点上运行的 pod 数量。 使用 pod 反关联性来安全地重新引导节点。 通过使用机器集缩减集群，从集群中删除节点。要从裸机集群中删除节点，您必须首先排空节点 上的所有

向操作系统释放未用的内存 7.4.2.3. 了解如何确保正确配置容器中的所有 JVM 进程 7.4.3. 从 pod 中查找内存请求和限制 7.4.4. 了解 OOM 终止策略 7.4.5. 了解 pod 驱除 7.5. 配置集群以将 POD 放置到过量使用的节点上 7.5.1. 资源请求和过量使用 7.5.2. 使用 Cluster Resource Override Operator 的集群级别的过量使用 Operator 7.5.2.3. 配置集群级别的过量使用 7.5.3. 节点级别的过量使用 7.5.3.1. 了解计算资源和容器 7.5.3.1.1. 了解容器 CPU 请求 7.5.3.1.2. 了解容器内存请求 316 317 318 318 319 320 321 321 322 323 324 325 329 329 329 329 330 339 339 339 分配资源。您可以允许 OpenShift Container Platform 自动 决定节点的最佳 system-reserved CPU 和内存资源，也可以手动为节点决定和设置最佳资源。 根据 节点上的处理器内核数和或硬限制，配置可在节点上运行的 pod 数量。 使用 pod 反关联性 安全地重新引导节点。 通过使用机器集缩减 集群来从集群中删除节点。要从裸机集群中删除节点，您必须首先排空节点 上的所有

Container Platform 的互联网访问 4.11.3. 所需的 AWS 基础架构组件 4.11.3.1. 其他基础架构组件 4.11.3.2. 集群机器 4.11.3.3. 证书签名请求管理 4.11.3.4. 支持的 AWS 机器类型 4.11.3.5. IAM 用户所需的 AWS 权限 4.11.4. 获取安装程序 4.11.5. 生成 SSH 私钥并将其添加到代理中 236 Windows 上安装 OpenShift CLI 4.11.16.3. 在 macOS 上安装 OpenShift CLI 4.11.17. 使用 CLI 登录到集群 4.11.18. 批准机器的证书签名请求 4.11.19. 初始 Operator 配置 4.11.19.1. 镜像 registry 存储配置 4.11.19.1.1. 为使用用户置备的基础架构的 AWS 配置 registry 存储 Container Platform 的互联网访问 4.12.4. 所需的 AWS 基础架构组件 4.12.4.1. 其他基础架构组件 4.12.4.2. 集群机器 4.12.4.3. 证书签名请求管理 4.12.4.4. 支持的 AWS 机器类型 4.12.4.5. IAM 用户所需的 AWS 权限 4.12.5. 生成 SSH 私钥并将其添加到代理中 4.12.6. 创建用于 AWS 的安装文件

配置文件包含在 24 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 组件，默认的服务限值会影响 您安装 OpenShift Container Platform 集群的能力。如果您使用特定的集群配置，在某些 AWS 区域部署 集群，或者从您的帐户运行多个集群，您可能需要为 AWS 帐户请求其他资源。 下表总结了 AWS 组件，它们的限值可能会影响您安装和运行 OpenShift Container Platform 集群的能 力。 组 组件 件 默 默认 认可用的集群数 可用的集群数 许每个集群组件只拥有所需的权限，而无需在集群中存储管理员级别的凭证。如果您的环境没有 连接到云供应商公共 IAM 端点，您还可以使用此模式。但是，每次升级都必须手动将权限与新发 行镜像协调。您还必须手动为每个请求它们的组件提供凭证。 使用 使用 mint 模式安装 模式安装 OpenShift Container Platform 后 后删 删除管理 除管理员级别 员级别的凭 的凭证 证 secret：

中的以下设置可以减少这个缓存大小： 发送到 API 服务器的客户端请求或 API 调用数量由每秒的 Queries(QPS)值和 API 服务器处理的并发请求 数决定。客户端可能会过量 QPS 速率发出的请求数量取决于突发值，这对具有极限的应用程序来说非常 有用，并可执行不监管的请求数量。当 API 服务器处理大量并发请求时，对请求的响应时间，特别是大型 和/或高密度的集群。建议您监控 Prometheus 更改默认值时，需要有一个很好的平衡，因为 API 服务器的 CPU 和内存消耗，etcd IOPS 会在并行处理 更多请求时增加。另请注意，大量非watch 请求可能会在固定 60 秒超时后取消 API 服务器过载，客户端 开始重试。 API 服务器系统中提供了足够的 CPU 和内存资源，API 服务器请求过载问题可安全地缓解这个问题。通过 考虑以上提到的因素并浏览了 maxRequestsInFlight、API maxRequestsInFlight、qps 和 burst 值是 OpenShift Container Platform 的默认值。 如果请求的用时小于秒，则 qps 可以大于 maxRequestsInFlight 值。如果 'maxRequestsInFlight' 设为零，则服务器可以处理的并发请求数没有限制。 3.2. OPENSHIFT CONTAINER PLATFORM 节点主机的推荐做法 kubernetesMasterConfig: