备更新集群 更新集群 2.1. 准备升级到 OPENSHIFT CONTAINER PLATFORM 4.14 2.2. 准备使用手动维护的凭证更新集群 2.3. PREFLIGHT 验证内核模块管理 (KMM) 模块 第 第 3 章 章 执 执行集群更新 行集群更新 3.1. 使用 CLI 更新集群 3.2. 使用 WEB 控制台更新集群 3.3. 执行 EUS 到 EUS 更新 3.4. 执行 CANARY 第 1 章 章 了解 了解 OPENSHIFT 更新 更新 13 注意 注意 当节点被封锁时，工作负载无法调度到其中。 2. 更新节点的系统配置和操作系统 (OS) 3. 重新引导节点 4. 取消协调节点 一个节点无法处理这个过程，直到它被取消封锁，且工作负载可以再次调度到其中。MCO 开始更新节 点，直到不可用节点的数量等于 .spec.maxUnavailable 的值。 当节 的更新通常会在一周或两个时间内提升到 stable 频道，但最初向最新 次版本进行更新的时间更长时的延迟（通常为 45-90 天）。在选择所需频道时请考虑提升延迟，以等待 到 stable 频道的提升可能会影响您的调度计划。 另外，有几个因素可能会导致机构永久或临时将集群移至 fast 频道，包括： 想要应用特定的修复，以便在不延迟的情况下影响您的环境。 在没有延迟的情况下修复 CVE 的应用程序。CVE

OPERATOR 条件 4.8. 允许非集群管理员安装 OPERATOR 4.9. 管理自定义目录 4.10. 在受限网络中使用 OPERATOR LIFECYCLE MANAGER 4.11. 目录源 POD 调度 4.12. 管理平台 OPERATOR （技术预览） 4.13. TROUBLESHOOTING OPERATOR 的问题 第 第 5 章 章 开 开发 发 OPERATOR 5.1. 关于 OPERATOR 中的新内容会因为第 3 步而解包。捆绑包部署会检测更改，并探测到新版本的 内容。 这与 pod 的行为类似，其中一个 pod 的容器镜像使用标签，标签将移到不同的摘要中，然后在将来将现 有 pod 重新调度到其他节点上。此时，节点会将新镜像拉取到新摘要中，并在没有用户明确要求的情况下 运行不同的镜像。 为了确定底层 Bundle spec 内容没有改变，请在创建捆绑包时使用基于摘要的镜像或 Git 提交引用。 OperatorHub 红帽提供的 Operator 目录 在集群中添加目录源 目录优先级 使用 CLI 查看 Operator 目录源状态 了解并管理 pod 安全准入 目录源 pod 调度 2.4.1.2.2.1. 自定 自定义目 目录源的 源的镜像模板 像模板 与底层集群的 Operator 兼容性可以通过目录源以各种方式表示。其中一种用于红帽默认提供的目录源的 方法是识别为特定平台发行版本（如

RHEL 加 密库，在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 Validation。 有关 NIST 验证程序的更多信息，请参阅加密模块验证程序。有关为验证提交的 RHEL 加密库的单独版本 的最新 NIST 状态，请参阅 Compliance Activities 和 Government Standards。 1.2. OPENSHIFT 1.3.2.9. Azure 的可信 的可信启动 启动（技 （技术预览 术预览） ） 在 Azure 上安装集群时，您可以启用可信启动功能（技术预览）。这些功能包括安全引导和虚拟化受信任 的平台模块。如需更多信息，请参阅为 Azure 虚拟机启用可信启动。 1.3.2.10. Google Cloud Platform 的用 的用户 户定 定义 义的 的标签 标签和 和标签 标签（技 （技术预览 分配创建配置。 1.3.9.6. 排除 排除 NUMA 感知 感知调 调度的 度的 SR-IOV 网 网络 络拓扑 拓扑 在这个版本中，您可以将 SR-IOV 网络的 Non-Uniform Memory Access (NUMA)节点公告到拓扑管理 器。如果没有为 SR-IOV 网络公告 NUMA 节点，您可以在 NUMA 感知 pod 调度过程中允许更灵活的 SR- IOV 网络部署。 例如，在某些情况下，最好在单个

13.3.13. 创建安装配置文件 13.3.14. 自定义 install-config.yaml 13.3.15. 生成清单文件 13.3.16. 使 control-plane 节点不可调度 13.3.17. 构建 Ignition 文件 13.3.18. 创建模板和虚拟机 13.3.19. 创建 bootstrap 机器 13.3.20. 创建 control plane 节点 16.1. 在安装过程中配置集群范围代理 13.4.17. 自定义 install-config.yaml 13.4.18. 生成清单文件 13.4.19. 使 control-plane 节点不可调度 13.4.20. 构建 Ignition 文件 13.4.21. 创建模板和虚拟机 13.4.22. 创建 bootstrap 机器 13.4.23. 创建 control plane 节点 自定义节点 17.1.1. 添加 day-1 内核参数 17.1.2. 在节点中添加内核模块 17.1.2.1. 构建并测试内核模块容器 17.1.2.2. 为 OpenShift Container Platform 置备内核模块 17.1.2.2.1. 通过 MachineConfig 对象置备内核模块 17.1.3. 在安装过程中加密磁盘 17.1.3.1. 启用 TPM v2 磁盘加密

请注意，不需要为节点指定命名空间。节点定义是在集群范围之内。 2.2.8. 部署 Node Feature Discovery Operator 创建启用了 GPU 的节点后，您需要发现启用了 GPU 的节点，以便调度它。为此，请安装 Node Feature Discovery (NFD) Operator。NFD Operator 识别节点中的硬件设备功能。它解决了在基础架构节点中识 别和目录硬件资源的一般问题，以便 Azure 虚拟机(VM) 的可信启动。通过编辑机器集 YAML 文件， 您可以配置机器集用于部署的机器的可信启动选项。例如，您可以将这些机器配置为使用 UEFI 安全功 能，如安全引导或专用虚拟信任平台模块 (vTPM) 实例。 注意 注意 有些功能组合会导致配置无效。 表 表 2.1. UEFI 功能 功能组 组合兼容性 合兼容性 安全引 安全引导 导 [1] vTPM[2] 有效配置 有效配置 ARM 架构目前不支持机密虚拟机。 通过编辑机器集 YAML 文件，您可以配置机器集用于部署的机器的机密虚拟机选项。例如，您可以将这些 机器配置为使用 UEFI 安全功能，如安全引导或专用虚拟信任平台模块 (vTPM) 实例。 有关相关特性和功能的更多信息，请参阅 Microsoft Azure 文档中有关机密虚拟机的信息。 流程 流程 1. 在文本编辑器中，为现有机器集打开 YAML 文件或创建新机器。

plane 机器从 bootstrap 机器获取远程资源并完成启动。（如果自己配置基础架构，则需 要人工干预） 4. 临时 control plane 将生产环境的 control plane 调度到生产环境 control plane 机器。 5. Cluster Version Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in Process 加密库。 注意 Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证 的/Modules in Process 加密库。 您可以选择提供您用来访问集群中机器的

10. 解决故障节点来触发虚拟机故障切换 10.11. 安装 QEMU 客户机代理和 VIRTIO 驱动程序 10.12. 查看虚拟机的 QEMU 客户机代理信息 10.13. 使用虚拟可信平台模块设备 10.14. 使用 OPENSHIFT PIPELINES 管理虚拟机 10.15. 高级虚拟机管理 10.16. 导入虚拟机 10.17. 克隆虚拟机 10.18. 虚拟机网络 10 deployment/virt-api 用作所有与虚拟化相关的流的入口点的 HTTP API 服 务器。 deployment/virt-controller 观察创建新虚拟机实例对象并创建对应的 pod。当 pod 调度到某个节点上时，virt-controller 会使用节 点名称更新虚拟机。 第 第 2 章 章 OPENSHIFT VIRTUALIZATION 架 架构 构 13 daemonset/virt-handler 内存、CPU、存储、网络和迁移指标 YAML 标签页 VirtualMachine YAML 配置文件 配置 配置 标签页 包含 调 调度 度、环 环境 境、网 网络 络接口 接口、磁 磁盘 盘和脚本 脚本选项卡 Configuration → Scheduling 标签页 调度 VirtualMachine 以便在特定节点上运行 Configuration → Environment 标签页 配置映射、secret

plane 机器从 bootstrap 机器获取远程资源并完成启动。（如果自己配置基础架构，则需 要人工干预） 4. 临时 control plane 将生产环境的 control plane 调度到生产环境 control plane 机器。 5. Cluster Version Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 装程序。有关在 RHEL 中配置 Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 装程序。有关在 RHEL 中配置

plane 机器从 bootstrap 机器获取远程资源并完成启动。如果您置备基础架构，此步骤需 要人工干预。 4. 临时 control plane 将生产环境的 control plane 调度到生产环境 control plane 机器。 5. Cluster Version Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 装程序。有关在 RHEL 中配置 文件。您可以在"安装配置参数"部分找到有关可用参数的更多信息。 注意 注意 如果要安装三节点集群，请确保将 compute.replicas 参数设置为 0。这样可确保 集群的 control plane 可以调度。如需更多信息，请参阅"在 AWS 上安装三节点集 群"。 3. 备份 install-config.yaml 文件，以便您可以使用它安装多个集群。 重要 重要 install-config.yaml

Foundation 4.12 规 规划部署 划部署 8 表 表 2.1. 节 节点 点类 类型 型 节 节点 点类 类型 型 描述 描述 Master 这些节点运行公开 Kubernetes API、观察和调度新创建的 pod、维护节点 健康和数量，以及控制与底层云供应商的交互的进程。 Infrastructure (Infra) Infra 节点运行集群级别的基础架构服务，如日志记录、指标、registry 行，您需要将本地存储设备或可移植的存储设备动态附加到 worker 节 点。 当 OpenShift Data Foundation 以外部模式部署时，它会在多个节点上运 行。这允许 Kubernetes 在故障时重新调度到可用节点上。 注意 注意 OpenShift Data Foundation 需要与 OpenShift Container Platform 相同的订阅数。但是， 如果 OpenShift Data (FIPS-140-2) 是定义使用加密模块的一系列 安全要求的标准。这个标准受到美国政府机构和承包商的强制要求，在其他国际和行业特定的标准中也会 引用该标准。 Red Hat OpenShift Data Foundation 现在使用 FIPS 验证的加密模块。Red Hat Enterprise Linux OS/CoreOS(RHCOS)提供这些模块。 目前，Cryptographic Module