的管理和维护，红帽引入了三个新的生命周期 类别：Platform Aligned, Platform Agnostic, 和 Rolling Stream这些生命周期类别为集群管理员提供了额 外的简易性和透明度，以更好地了解每个 Operator 的生命周期策略，并以可预测的支持界限来计划对集 群进行维护和升级。如需更多信息，请参阅 OpenShift Operator 生命周期。 OpenShift 密库，在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 Validation。 有关 NIST 验证程序的更多信息，请参阅加密模块验证程序。有关为验证提交的 RHEL 加密库的单独版本 的最新 NIST 状态，请参阅 Compliance Activities 和 Government Standards。 1.2. OPENSHIFT CONTAINER 配置用户定 义的标签。 1.3.2.8. Azure 的机密虚 的机密虚拟 拟机（技 机（技术预览 术预览） ） 您可以在 Azure 上安装集群时启用机密虚拟机。您可以在安装过程中使用机密计算来加密虚拟机客户机状 态存储。这个功能只是一个技术预览，它存在一些已知的问题，这些问题在本文档的已知问题部分列出。 如需更多信息，请参阅 启用机密虚拟机。 1.3.2.9. Azure 的可信 的可信启动

. . . . . . . . . . . . . . . . . . . . . 2.6.2. 了解如何创建 secret 2.6.2.1. Secret 创建限制 2.6.2.2. 创建不透明 secret 2.6.2.3. 创建服务帐户令牌 secret 2.6.2.4. 创建基本身份验证 secret 2.6.2.5. 创建 SSH 身份验证 secret 2.6.2.6. 创建 secret 的数据的 的数据的 secret 对 对象。在以下部分中取消每个 象。在以下部分中取消每个 secret 类 类型所需的 型所需的 特定数据。 特定数据。 创 创建不透明 建不透明 secret 的 的 YAML 对 对象示例 象示例 apiVersion: v1 kind: Secret metadata: name: test-secret type: ，创 创建 建许 许多 多较 较小的 小的 secret 也可能会耗尽内存。 也可能会耗尽内存。 2.6.2.2. 创 创建不透明 建不透明 secret 作 作为 为管理 管理员 员，您可以 ，您可以创 创建一个不透明 建一个不透明 secret，它允 ，它允许 许您存 您存储 储包含任意 包含任意值 值的无 的无结构 结构 键 键： ：值对 值对。 。

OpenShift Service Mesh 简介 Red Hat OpenShift Service Mesh 通过在应用程序中创建集中控制点来解决微服务架构中的各种问题。它 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 增大时，了解和管理它就会变得非常困难。 Red Hat OpenShift Service Mesh 基于开源 Istio 项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的服务网格中。您 默认情况下，Red Hat OpenShift Service Mesh 中的 mTLS 被启用并设置为 permissive 模式，Service Mesh 中的 sidecar 接受明文流量和使用 mTLS 加密的连接。如果网格中的服务需要与网格外的服务进行 通信，则 strict 模式的 mTLS 可能会破坏这些服务之间的通信。在将工作负载迁移到 Service Mesh 时使 用 permissive

RHCOS 现在使用 Ignition spec v3 作为 Ignition 唯一支持的 spec 版本。这会为以后更复杂的磁盘配置提 供支持。 对于使用安装程序置备的基础架构的用户，这些变化应是大体透明的。对于用户置备的基础架构安装，您 必须修改任何自定义 Ignition 配置以使用 Ignition spec 3。openshift-install 程序现在生成 Ignition spec 3。 OpenShift Container Platform Metering Multus CNI 插件 FIPS 加密 加密数据存储在 etcd 中 使用机器健康检查功能自动修复损坏的机器 在 OpenShift Container Platform 部署过程中启用 Tang 模式磁盘加密。 OpenShift Container Platform Serverless Helm 命令行界面 (CLI) OAuth 访问令牌和 OAuth 授权令牌对象名称。当对 etcd 加密时，只 OpenShift Container Platform 4.6 发 发行注 行注记 记 16 在以前的版本中，secret 信息用作 OAuth 访问令牌和 OAuth 授权令牌对象名称。当对 etcd 加密时，只 有值会被加密，因此这些敏感信息不会被加密。 重要 重要 如果您要将集群升级到 OpenShift Container

. . . . . . . . . . 2.6.1.2. Secret 数据密钥 2.6.2. 了解如何创建 secret 2.6.2.1. Secret 创建限制 2.6.2.2. 创建不透明 secret 2.6.2.3. 创建服务帐户令牌 secret 2.6.2.4. 创建基本身份验证 secret 2.6.2.5. 创建 SSH 身份验证 secret 2.6.2.6. 创建 secret 的 pod。 在创建 secret 时： 1. 创建包含您要保留 secret 的数据的 secret 对象。在以下部分中取消每个 secret 类型所需的特定 数据。 创 创建不透明 建不透明 secret 的 的 YAML 对 对象示例 象示例 指定 secret 的类型。 指定编码的字符串和数据。 指定解码的字符串和数据。 使用 data 或 stringdata 字段，不能同时使用这两个字段。 1MB。这是为了防止创建可能会耗尽 apiserver 和 kubelet 内存的大型 secret。 不过，创建许多较小的 secret 也可能会耗尽内存。 2.6.2.2. 创 创建不透明 建不透明 secret 作为管理员，您可以创建一个不透明 secret，它允许您存储包含任意值的无结构 key:value 对。 流程 流程 1. 在控制平面节点上的 YAML 文件中创建 Secret 对象。 例如：

Container Platform 文档中的对节点/pod 中的支持性 限制。 7.3. 优化 IPSEC 因为加密和解密节点主机使用 CPU 电源，所以启用加密时，无论使用的 IP 安全系统是什么，性能都会影 响节点上的吞吐量和 CPU 使用量。 IPsec 在到达 NIC 前，会在 IP 有效负载级别加密流量，以保护用于 NIC 卸载的字段。这意味着，在启用 IPSec 时，一些 NIC 加速功能可能无法使用，并可能导致吞吐量降低并增加 扩展和性能指南 展和性能指南 30 re-encrypt 1333 2239 Encryption ROUTER_THREADS unset ROUTER_THREADS=4 TLS 会话恢复用于加密路由。使用 HTTP keep-alive 设置，单个 HAProxy 路由器可在页面大小小到 8 kB 时充满 1 Gbit NIC。 当在使用现代处理器的裸机中运行时，性能可以期望达到以上公共云实例测试性能的大约两倍。这个开销 数hugepagesz=。 的值必须以字节为单位，并可以使用一个可选的后缀 [kKmMgG]。默认 的巨页大小可使用 default_hugepagesz= 引导参数定义。如需更多信息，请参阅配置透明巨页。 巨页面请求必须等于限制。如果指定了限制，则它是默认的，但请求不是。 巨页在 pod 范围内被隔离。容器隔离功能计划在以后的版本中推出。 后端为巨页的 EmptyDir 卷不能消耗大于 pod

基础架构节点大小 1.13. 其他资源 第 第 2 章 章 IBM Z 和 和 LINUXONE 环 环境的推荐主机 境的推荐主机实 实践 践 2.1. 管理 CPU 过量使用 2.2. 禁用透明巨页 2.3. 使用 RECEIVE FLOW STEERING（RFS）提高网络性能 2.4. 选择您的网络设置 2.5. 确保 Z/VM 上使用 HYPERPAV 的高磁盘性能 2.6. IBM 应用程序如何使用它 用程序如何使用它们 们 13.1. 巨页的作用 13.2. 应用程序如何使用巨页 13.3. 使用 DOWNWARD API 消耗巨页资源 13.4. 配置巨页 13.5. 禁用透明巨页 第 第 14 章 章 低延 低延迟节 迟节点的 点的 PERFORMANCE ADDON OPERATOR 14.1. 了解低延迟 14.2. 安装 PERFORMANCE ADDON OPERATOR 密集型工作负载，即便具有较高的过量 使用比率，也能保持一致的性能。 其他 其他资 资源 源 Z/VM 通用性能问题和解决方案 Z/VM 过量使用注意事项 LPAR CPU 管理 2.2. 禁用透明巨页 Transparent Huge Pages (THP) 会试图自动执行创建、管理和使用巨页的大部分方面。由于 THP 自动管 理巨页，因此并不始终对所有类型的工作负载进行最佳处理。THP 可能会导致性能下降，因为许多应用程

间的交互。当服务网格的规模和复杂性增大时，了解和管理它就会变得非常困难。 Red Hat OpenShift Service Mesh 基于开源 Istio 项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的环境中。您可以 增大时，了解和管理它就会变得非常困难。 Red Hat OpenShift Service Mesh 基于开源 Istio 项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的服务网格中。您 用于发布并轮转证书。Citadel 通过内置的身份和凭证管理功能提供了强大的服务到服务 （service-to-service）的验证功能及对最终用户的验证功能。您可以使用 Citadel 提升服务网格 中未加密的网络流量的安全性。Operator 可根据服务身份而不是使用 Citadel 进行网络控制来强 制实施策略。 Galley 用来管理服务网格配置，然后验证、处理和发布配置。Galley 用来保护其他服务网格组

SQLite 数据库格式仍被支持，但 将在以后的发行版本中删除。建议 Operator 作者将其工作流迁移到基于文件的目 录格式。 这个命令执行以下操作： 创建引用捆绑包镜像的索引镜像。索引镜像不透明且具有临时性，但准确反映了如何将捆绑 包添加到生产中的目录中。 创建指向新索引镜像的目录源，以便 OperatorHub 能够发现 Operator。 通过创建一个 OperatorGroup、 SQLite 数据库格式仍被支持，但 将在以后的发行版本中删除。建议 Operator 作者将其工作流迁移到基于文件的目 录格式。 这个命令执行以下操作： 创建引用捆绑包镜像的索引镜像。索引镜像不透明且具有临时性，但准确反映了如何将捆绑 包添加到生产中的目录中。 创建指向新索引镜像的目录源，以便 OperatorHub 能够发现 Operator。 通过创建一个 OperatorGroup、 SQLite 数据库格式仍被支持，但 将在以后的发行版本中删除。建议 Operator 作者将其工作流迁移到基于文件的目 录格式。 这个命令执行以下操作： 创建引用捆绑包镜像的索引镜像。索引镜像不透明且具有临时性，但准确反映了如何将捆绑 包添加到生产中的目录中。 创建指向新索引镜像的目录源，以便 OperatorHub 能够发现 Operator。 通过创建一个 OperatorGroup、

基于路径的路由 15.1.7. 特定于路由的注解 15.1.8. 配置路由准入策略 15.1.9. 通过 Ingress 对象创建路由 15.2. 安全路由 15.2.1. 使用自定义证书创建重新加密路由 15.2.2. 使用自定义证书创建边缘路由 15.2.3. 创建 passthrough 路由 第 第 16 章 章 配置集群入口流量 配置集群入口流量 16.1. 集群入口流量配置概述 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 I TLS_AES_128_GCM_SHA256。您的集群可能会接受 TLS 1.3 连接和密码套件，即使 OpenShift Container Platform 4.6、4.7 和 4.8 不支持 TLS 1.3。 注意 注意 加密器和配置的安全配置集的最小 TLS 版本反映在 TLSProfile 状态中。 参数 参数 描述 描述 第 第 6 章 章 OPENSHIFT CONTAINER PLATFORM 中的 中的 INGRESS