项目管理者。如果在本地绑定中使用，则 admin 有权查看项目中的任何资源，并且修改 项目中除配额外的任何资源。 basic-user 此用户可以获取有关项目和用户的基本信息。 cluster-admin 此超级用户可以在任意项目中执行任何操作。当使用本地绑定来绑定一个用户时，这些 用户可以完全控制项目中每一资源的配额和所有操作。 cluster-status 此用户可以获取基本的集群状态信息。 cluster-reader 果使用本地角色绑定将 cluster-admin 角色绑定到一个用 户，这可能看似该用户具有了集群管理员的特权。事实并非如此。将 cluster-admin 绑定到项目里的某一 用户，仅会将该项目的超级管理员特权授予这一用户。该用户具有集群角色 admin 的权限，以及该项目 的一些额外权限，例如能够编辑项目的速率限制。通过 web 控制台 UI 操作时此绑定可能会令人混淆，因 为它不会列出绑定到

强制 执行安全策略、资源限制或配置要求。 准入插件以准入链的形式按序列运行。如果序列中的任何准入插件拒绝某个请求，则整个链将中止并返回 错误。 OpenShift Container Platform 为每个资源类型都启用了默认的准入插件。这些是集群正常工作所需要 的。准入插件会忽略那些不由它们负责的资源。 除了默认的插件外，准入链还可以通过调用自定义 webhook 服务器的 webhook Platform 4.3 中使用通过 webhook 准入插件调用 webhook 服务器的功能 时，请确保已仔细阅读了相关文档，并对变异所带来的副作用进行了测试。需要包括 一个步骤，以便在请求没有通过整个准入链时，把资源恢复到其原始状态。 8.2. 默认准入插件 OpenShift Container Platform 4.3 中启用了一组默认准入插件。这些默认插件可实现基本的 control plane WEBHOOK 准入插件 除了 OpenShift Container Platform 默认准入插件外，也可以通过称为 webhook 服务器的 webhook 准入 插件来实施动态准入，从而扩展准入链的功能。Webhook 服务器通过 HTTP 在定义的端点调用。 OpenShift Container Platform 中有两个类型的 webhook 准入插件： 在准入过程中, 变异（mut

强制 执行安全策略、资源限制或配置要求。 准入插件以准入链的形式按序列运行。如果序列中的任何准入插件拒绝某个请求，则整个链将中止并返回 错误。 OpenShift Container Platform 为每个资源类型都启用了默认的准入插件。这些是集群正常工作所需要 的。准入插件会忽略那些不由它们负责的资源。 除了默认的插件外，准入链还可以通过调用自定义 webhook 服务器的 webhook Platform 4.7 中使用通过 webhook 准入插件调用 webhook 服务器的功能 时，请确保已仔细阅读了相关文档，并对变异所带来的副作用进行了测试。需要包括 一个步骤，以便在请求没有通过整个准入链时，把资源恢复到其原始状态。 7.2. 默认准入插件 OpenShift Container Platform 4.7 中启用了默认的验证和准入插件。这些默认插件可实现基本的 control plane WEBHOOK 准入插件 除了 OpenShift Container Platform 默认准入插件外，也可以通过称为 webhook 服务器的 webhook 准入 插件来实施动态准入，从而扩展准入链的功能。Webhook 服务器通过 HTTP 在定义的端点调用。 OpenShift Container Platform 中有两个类型的 webhook 准入插件： 在准入过程中, 变异（mut

强制 执行安全策略、资源限制或配置要求。 准入插件以准入链的形式按序列运行。如果序列中的任何准入插件拒绝某个请求，则整个链将中止并返回 错误。 OpenShift Container Platform 为每个资源类型都启用了默认的准入插件。这些是集群正常工作所需要 的。准入插件会忽略那些不由它们负责的资源。 除了默认的插件外，准入链还可以通过调用自定义 webhook 服务器的 webhook Platform 4.10 中使用通过 webhook 准入插件调用 webhook 服务器的功能 时，请确保已仔细阅读了相关文档，并对变异所带来的副作用进行了测试。需要包括 一个步骤，以便在请求没有通过整个准入链时，把资源恢复到其原始状态。 8.2. 默认准入插件 OpenShift Container Platform 4.10 中启用了默认的验证和准入插件。这些默认插件有助于基本的 control plane WEBHOOK 准入插件 除了 OpenShift Container Platform 默认准入插件外，也可以通过称为 webhook 服务器的 webhook 准入 插件来实施动态准入，从而扩展准入链的功能。Webhook 服务器通过 HTTP 在定义的端点调用。 OpenShift Container Platform 中有两个类型的 webhook 准入插件： 在准入过程中, 变异（mut

件中创建它。如果链中不存在任何文件，则会在列表中创建最后一个文件。 否则，将使用 ~/.kube/config 文件，且不会发生合并。 2. 要使用的上下文根据以下链中的第一个点击来确定： --context 选项的值。 CLI 配置文件中的 current-context 值。 此阶段允许一个空值。 3. 要使用的用户和集群是决定的。此时，您可能也可能没有上下文；它们基于以下链中的第一个按 位置构建，该链为用户运行一次，一次用于集群： 用户名的 --user 选项的值以及集群名称的 --cluster 选项。 如果存在 --context 选项，则使用上下文的值。 此阶段允许一个空值。 4. 要使用的实际集群信息决定。此时，您可能没有集群信息。集群信息的每个信息根据以下链中的 第一个点击构建： 以下命令行选项中的任何值： --server, users: - name:

io/managed-by=maistra-istio- operator 标签添加到其中。 MAISTRA-2687 Red Hat OpenShift Service Mesh 2.1 联邦网关在使用外部证书时不会发送完整的 证书链。Service Mesh 联邦出口网关仅发送客户端证书。因为联邦入口网关只知道 root 证书，所 以它无法验证客户端证书，除非您将 root 证书添加到联合导入 ConfigMap 中。 MAISTRA-2635 式追踪平台 可让您执行分布式追踪，在组成一个应用的多个微服务间追踪请求的路径。 分布式追踪是用来将不同工作单元的信息关联起来的技术，通常是在不同进程或主机中执行的，以便理解 分布式事务中的整个事件链。分布式追踪可让开发人员在大型服务架构中视觉化调用流程。它对理解序列 化、平行和延迟来源会很有价值。 分布式追踪平台记录了在微服务的整个堆栈间执行单个请求，并将其显示为 trace。trace是系统的数据/ 示例应用程序以按照以下说明验证结果。 需要 openssl 才能验证证书。 1.13.4.1. 添加一个 添加一个现 现有 有证书 证书和密 和密钥 钥 要使用现有签名（CA）证书和密钥，必须创建一个信任文件链，其中包括 CA 证书、密钥和 root 证书。 您必须为每个对应证书使用以下准确文件名称。CA 证书名为 ca-cert.pem，密钥是 ca-key.pem，签名 ca-cert.pem 的 root

1. 视 视角切 角切换 换器 器 8.4.7.2. Administrator 视 视角 角导 导航 航链 链接 接 8.4.7.3. Developer 视 视角 角导 导航 航链 链接 接 8.4.7.4. 常用 常用导 导航 航链 链接 接 8.4.7.5. Masthea 链 链接 接 8.4.8. 代码片段 markdown 参考 当 web 控制台的快速入门中包括了一个 CLI

。 如果设置了 $KUBECONFIG 环境变量，则会使用它。变量可以是路径列表，如果将路径合并 在一起。修改值后，会在定义该节的文件中对其进行修改。创建值时，会在存在的第一个文 件中创建它。如果链中不存在任何文件，则会在列表中创建最后一个文件。 否则，将使用 ~/.kube/config 文件，且不会发生合并。 使用的上下文根据以下流程中的第一个匹配项决定： --context 选项的值。 6.1. 各种 各种链 链接 接选项 选项 odo 提供了不同的选项，用来将组件链接到 Operator 支持的服务或另一个 odo 组件。无论您将组件链接 到服务还是另一个组件，都可以使用这些选项（或标志）。 3.5.6.1.1. 默 默认 认行 行为 为 默认情况下，odo link 命令在组件目录中创建一个名为 kubernetes/ 的目录，并在其中存储有关服务和链 接的信息（YAML 位置。与环境变量方案相比，当您使用 --bind-as-files 时，文件会以键命名，并且这些键的值 存储为这些文件的内容。 3.5.6.2. 示例 示例 3.5.6.2.1. 默 默认 认 odo 链 链接 接 在以下示例中，后端组件使用默认的 odo link 命令与 PostgreSQL 服务相关联。对于后端组件，请确定 您的组件和服务被推送到集群： 输 输出示例 出示例 输 输出示例 出示例

变量指定的每个 虚拟 IP 范围创建一个组。 OPENSHIFT_HA_IPTABLES_CHA IN 输入 iptables 链的名称，用于自动添加允许 VRRP 流量的 iptables 规则。如果没有设置值，则不会添加 iptables 规则。如果链不存在，则不会创建它。 OPENSHIFT_HA_CHECK_SCRIP T 定期运行的脚本的 pod 文件系统中的完整路径名称， 要创建的副本数。这必须与 IP 故障转移部署配置中的 spec.replicas 值匹配。默认值为 2。 iptables 链的名称，用于自动添加允许 VRRP 流量的 iptables 规则。如果没有设置值，则 不会添加 iptables 规则。如果链不存在，则不会创建链，Keepalived 在单播模式下运行。 默认为 INPUT。 当状态发生变化时运行的脚本的 pod 文件系统的完整路径名称。 TLS 终止和自定义证书配置安全路由。 前提条件 前提条件 您必须在 PEM 编码文件中有一个证书/密钥对，其中的证书对路由主机有效。 您可以在 PEM 编码文件中有一个单独的 CA 证书来补全证书链。 您必须在 PEM 编码文件中有单独的目标 CA 证书。 您必须具有要公开的服务。 注意 注意 不支持密码保护的密钥文件。要从密钥文件中删除密码，使用以下命令： 流程 流程 此流程使用自定义证书和重新加密

变量指定的每个 虚拟 IP 范围创建一个组。 OPENSHIFT_HA_IPTABLES_CHA IN 输入 iptables 链的名称，用于自动添加允许 VRRP 流量的 iptables 规则。如果没有设置值，则不会添加 iptables 规则。如果链不存在，则不会创建它。 OPENSHIFT_HA_CHECK_SCRIP T 定期运行的脚本的 pod 文件系统中的完整路径名称， 要创建的副本数。这必须与 IP 故障转移部署配置中的 spec.replicas 值匹配。默认值为 2。 iptables 链的名称，用于自动添加允许 VRRP 流量的 iptables 规则。如果没有设置值，则 不会添加 iptables 规则。如果链不存在，则不会创建链，Keepalived 在单播模式下运行。 默认为 INPUT。 当状态发生变化时运行的脚本的 pod 文件系统的完整路径名称。 中，管理员可通过 sysctl 在运行时修改内核参数。您可以使用调优 Container Network Interface(CNI)元插件修改接口级网络 sysctl。tuning CNI meta 插件在一个链中运行，主 CNI 插件如下所 示。 主 CNI 插件分配接口，并在运行时传递至 tuning CNI meta 插件。您可以使用调优 CNI 元插件在网络命名 空间中更改一些 sysctl 和几个接口属性（promiscuous