trademarks are the property of their respective owners. 摘要 摘要 本文概述 OpenShift Container Platform 中的平台和应用架构。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 架构 构 2 第 1 章 架构概述 OpenShift Container Platform 是一个基于云的 Kubernetes 容器平台。OpenShift Container Platform 的 基础基于 Kubernetes，因此共享相同的技术。如需了解更多有关 OpenShift Container Platform 和 Kubernetes 的信息，请参阅产品架构。 1.1. OPENSHIFT 原生高级别元语托管 control plane。例如，部署有状态的集合。 在 control plane 和工作负载之间允许强大的网络分段。 混合云部署 混合云部署 部署在跨裸机、虚拟、私有和公共云环境中提供一致的平台。这提供了速度、灵活性和可移植性。 Ignition RHCOS 在初始配置期间用于操作磁盘的实用程序。它可完成常见的磁盘任务，如分区磁盘、格式化分 区、写入文件和配置用户等。

OpenShift Network Observability Operator 用于网络调试和见解 Submariner 和 Red Hat Application Interconnect 技术用于集群网络 OpenShift Container Platform 4.13 网 网络 络 8 第 2 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 是一个可选 Operator，它允许集群管理员观察 OpenShift Container Platform 集群的网络流量。Network Observability Operator 使用 eBPF 技术创建网络流。然 后，OpenShift Container Platform 信息会增强网络流，并存储在 Loki 中。您可以在 OpenShift Container Platform 控制台中查看和分析所存储的

trademarks are the property of their respective owners. 摘要 摘要 本文概述 OpenShift Container Platform 中的平台和应用架构。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Container Platform 是用于开发和运行容器化应用程序的平台。它旨在允许支持的应用程序和 数据中心从少量机器和应用程序扩展到为数百万客户端服务的数千台机器。 OpenShift Container Platform 以 Kubernetes 为基础，为大规模电信、流视频、游戏、银行和其他应用 提供引擎技术。借助红帽开放技术中的实现，您可以将容器化应用程序从单一云扩展到内部和多云环境。 1 副本。您可以使用此功能来自 动扩展应用程序，以适应其当前的需求。 短短数年，Kubernetes 已在大量的云和本地环境中被采用。借助开源开发模型，拥护和可以通过为组件 （如网络、存储和身份验证）实施不同的技术来扩展 Kubernetes 的功能。 1.1.2. 容器化应用程序的好处 与使用传统部署方法相比，使用容器化应用程序具有许多优势。过去应用程序要安装到包含所有依赖项的 操作系统上，容器能让一个

trademarks are the property of their respective owners. 摘要 摘要 本文概述 OpenShift Container Platform 中的平台和应用架构。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Platform 的互联网访问 第 第 3 章 章 安装和更新 安装和更新 3.1. OPENSHIFT CONTAINER PLATFORM 安装概述 3.1.1. OpenShift 集群支持的平台 3.1.2. 安装过程 采用安装程序置备的基础架构的安装过程 采用用户置备的基础架构的安装过程 安装过程详细信息 安装范围 3.2. 关于 OPENSHIFT UPDATE 服务 3.3. 非受管 目 目录 录 3 第 1 章 架构概述 OpenShift Container Platform 是基于云的 Kubernetes 容器平台。OpenShift Container Platform 的基础 是基于 Kubernetes，因此共享相同的技术。要了解更多有关 OpenShift Container Platform 和 Kubernetes 的信息，请参阅 产品架构。 1.1.

the property of their respective owners. 摘要 摘要 此发行注记介绍了 OpenShift Container Platform 的新功能、功能增强、重要的技术变化、以及对以 前版本中的错误作出的主要修正。另外，还包括在此版本正式发行（GA）时存在的已知问题的信 息。 . . . . . . . . . . . . . . . . . . . . . . 1. 关于此版本 1.2. OPENSHIFT CONTAINER PLATFORM 层次和依赖组件支持和兼容性 1.3. 新功能及功能增强 1.4. 主要的技术变化 1.5. 弃用和删除的功能 1.6. 程序错误修复 1.7. 技术预览功能 1.8. 已知问题 1.9. 异步勘误更新 3 3 3 4 29 31 35 47 53 60 目 目录 录 1 OpenShift OpenShift Container Platform 为软件开发人员和 IT 机构提供了一个混合云应用平台。使用这个 平台可以在配置和管理成本最小化的情况下，利用安全、可扩展的资源部署新的或已有的应用程序。 OpenShift Container Platform 支持大量编程语言和开发平台，如 Java、JavaScript、Python、Ruby 和 PHP。 OpenShift Container

第 1 章 OPENSHIFT CONTAINER PLATFORM CI/CD 概述 OpenShift Container Platform 是面向开发人员的企业就绪 Kubernetes 平台，使组织能够通过 DevOps 实践（如持续集成(CI)和持续交付(CD)）自动化应用程序交付流程。为了满足您的机构需求，OpenShift Container Platform 提供以下 CI/CD 录中的构建器容器中。自定义构建镜像必须正确使用这些 secret 和配置映射。使用 Custom 策略时，您可 以按照 Custom 策略选项中所述定义 secret。 现有策略 secret 与输入 secret 之间没有技术差异。但是，构建器镜像可以区分它们并以不同的方式加以 使用，具体取决于您的构建用例。 输入 secret 始终挂载到 /var/run/secrets/openshift.io/build 目录中，或您的构建器可以解析 卷的驱动程序。 必需。这个值必须设为 true。提供只读卷。 可选。临时 CSI 卷的卷属性。如需支持的属性键和值，请参阅 CSI 驱动程序的文档。 注意 注意 共享资源 CSI 驱动程序作为技术预览提供。 2.5.2. Source-to-image 构建 Source-to-Image (S2I) 是一种用于构建可重复生成的容器镜像的工具。它通过将应用程序源代码注入容 器镜像并汇编新

删除额外网络附加定义 第 第 12 章 章 硬件网 硬件网络 络 12.1. 关于单根 I/O 虚拟化（SR-IOV）硬件网络 12.1.1. 负责管理 SR-IOV 网络设备的组件 12.1.1.1. 支持的平台 12.1.1.2. 支持的设备 12.1.1.3. 自动发现 SR-IOV 网络设备 12.1.1.3.1. SriovNetworkNodeState 对象示例 12.1.1.4. 在 pod 7. 从项目中删除出口防火墙 14.7.1. 删除 EgressFirewall 对象 14.8. 配置出口 IP 地址 14.8.1. 出口 IP 地址架构设计和实施 14.8.1.1. 平台支持 14.8.1.2. 将出口 IP 分配给 pod 14.8.1.3. 将出口 IP 分配给节点 14.8.1.4. 出口 IP 地址配置架构图 14.8.2. EgressIP 对象 14 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些

户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 LoadBalancerService （具有外部范围） GCP: LoadBalancerService （具有外部范围） 裸机: NodePortService 其它: HostNetwork 对于大多数平台，无法更新 endpointPublishingStrategy 值。但是，在 GCP 上您可以配置 loadbalancer.providerParameters.gcp.clientAccess 控制器不会根据可分辨的名称拒绝证书。 routeAdmission routeAdmission 定义了处理新路由声明的策略，如允许或拒绝命名空间间的 声明。 namespaceOwnership 描述了如何处理跨命名空间的主机名声明。默认为 Strict。 Strict：不允许路由在命名空间间声明相同的主机名。 InterNamespaceAllowed ：允许路由在命名空间间声明相同主机名 的不同路径。

3. 如何根据经过测试的集群限制规划您的环境 8.4. 如何根据应用程序要求规划您的环境 第 第 9 章 章 优 优化存 化存储 储 9.1. 可用的持久性存储选项 9.2. 推荐的可配置存储技术 9.3. 数据存储管理 9.4. 为 MICROSOFT AZURE 优化存储性能 第 第 10 章 章 优 优化路由 化路由 10.1. INGRESS CONTROLLER（ROUTER）性能的基线 使用 PERFORMANCE ADDON OPERATOR 减少 NIC 队列 14.7. 调试低延迟 CNF 调整状态 14.8. 为红帽支持收集调试数据延迟 第 第 15 章 章 为 为平台 平台验证执 验证执行延 行延迟测试 迟测试 15.1. 运行延迟测试的先决条件 15.2. 关于延迟测试的发现模式 15.3. 测量延迟 15.4. 运行延迟测试 15.5. 生成延迟测试失败报告 支持快速读取操作的低延迟。 高带宽写入，实现更快速的压缩和碎片处理。 高带宽读取，加快从故障恢复。 固态硬盘是最小的选择，NVMe 驱动器是首选的。 来自不同制造商的服务器级硬件可以提高可靠性。 RAID 0 技术以提高性能。 专用 etcd 驱动器。不要将日志文件或其他重重工作负载放在 etcd 驱动器中。 注意 注意 第 第 1 章 章 推荐的主机 推荐的主机实 实践 践 13 注意 注意 避免

基础 础架 架构 构要求 要求 7.1. 平台要求 7.2. 外部模式要求 7.3. 资源要求 7.4. POD 放置规则 7.5. 存储设备要求 7.6. 网络要求 7.7. 多网络插件 (MULTUS) 支持 [技术预览] 第 第 8 章 章 DISASTER RECOVERY 8.1. METRO-DR 8.2. REGION-DR [技术预览] 第 第 9 章 章 断开 断开连 连接的 裸机 VMware vSphere Microsoft Azure Google Cloud [技术预览] Red Hat Virtualization 4.4.x 或更高版本（安装程序置备的基础架构） Red Hat OpenStack 13 或更高版本 （安装程序置备的基础架构）[技术预览] IBM Power IBM Z 和 LinuxONE 创建内部集群资源将导致内部置备 OpenShift FlashSystems，或者从外部 Red Hat Ceph Storage 集群提供服务，以便通过在以下平台上运行的 OpenShift Container Platform 集群使用： VMware vSphere 裸机 Red Hat OpenStack Platform（技术预览） IBM Power IBM Z 基础架构 OpenShift Data Foundation operator