. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 身份 身份验证 验证和授 和授权 权概述 概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 GITLAB 身份提供程序 7.8. 配置 GOOGLE 身份提供程序 7.9. 配置 OPENID CONNECT 身份提供程序 第 第 8 章 章 使用 使用 RBAC 定 定义 义和 和应 应用 用权 权限 限 8.1. RBAC 概述 8.2. 项目和命名空间 8.3. 默认项目 5 5 6 7 8 8 8 9 11 11 11 11 12 13 14 16 17 19 19 124 124 124 125 126 127 127 127 127 128 128 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 OpenShift Container Platform 4.13 安装 安装 12 7. bootstrap 机器将 OpenShift Container 第 第 5 章 章 在 在 ALIBABA 上安装 上安装 89 有关创建 RAM 用户和授予权限的更多信息，请参阅 Alibaba Cloud 文档中的 创建 RAM 用户和 Grant 权 限。 5.2.2. 配置 Cloud Credential Operator 工具 要分配为每个集群组件提供长期 RAM 访问密钥(AK)的 RAM 用户和策略，请提取并准备 Cloud Credential ，请指定要存储安装程序创建的文件的目录名称。 在指定目录时： 验证该目录是否具有执 执行 行权限。在安装目录中运行 Terraform 二进制文件需要这个权 限。 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使 用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目 录中。但是

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 OpenShift Container Platform 4.14 安装 安装 12 7. bootstrap 机器将 OpenShift Container OpenShift Container Platform 4.14 安装 安装 90 有关创建 RAM 用户和授予权限的更多信息，请参阅 Alibaba Cloud 文档中的 创建 RAM 用户和 Grant 权 限。 5.2.2. 配置 Cloud Credential Operator 工具 要分配为每个集群组件提供长期 RAM 访问密钥(AK)的 RAM 用户和策略，请提取并准备 Cloud Credential ，请指定要存储安装程序创建的文件的目录名称。 在指定目录时： 验证该目录是否具有执 执行 行权限。在安装目录中运行 Terraform 二进制文件需要这个权 限。 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使 $ tar -xvf openshift-install-linux.tar.gz $

好地利用集群资源。 作为开发人员，使用垂直 pod 自动缩放 器，通过将 pod 调度到每个 pod 有充足资 源的节点，来确保 pod 在高需求期间保持 运行。 利用设备插件提供对外部资源的访问权 限。 Administrator 设备插件 是在节点上运行的 gRPC 服务 （kubelet 外部），用于管理特定的硬件资 源。您可以 部署设备插件， 以提供一致且 可移植的解决方案，以便在集群中消耗硬 。 由于 由于设备 设备插件必 插件必须 须管理硬件 管理硬件资 资源、主机文件系 源、主机文件系统 统的 的访问权 访问权以及套接字 以及套接字创 创建，它 建，它们 们必 必须 须在一个 在一个 特 特权 权安全上下文中 安全上下文中运 运行。 行。 各种 各种设备 设备插件 插件实现 实现中提供了有关部署步 中提供了有关部署步骤 要使用优 优先 先级 级和 和抢 抢占功能，您需要 占功能，您需要创 创建 建优 优先 先级类 级类来定 来定义 义 pod 的相 的相对权 对权重。然后，在 重。然后，在 pod 规 规格中引用 格中引用优 优 先 先级类 级类，以 ，以应 应用 用这 这个 个权 权重来 重来进 进行 行调 调度。 度。 2.9.1. 了解 了解 pod 优 优先 先级 级 当您使用 当您使用

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 9 7. bootstrap 机器将 OpenShift OpenShift Container Platform 4.10 安装 安装 68 有关创建 RAM 用户和授予权限的更多信息，请参阅 Alibaba Cloud 文档中的 创建 RAM 用户和 Grant 权 限。 4.2.2. 配置 Cloud Credential Operator 工具 要分配为每个集群组件提供长期 RAM 访问密钥(AK)的 RAM 用户和策略，请提取并准备 Cloud Credential 您指定的所有 vSwitch 都必须存在。 您已为控制平面机器和计算机器提供了一个或多个 vSwitches。 vSwitches 的 CIDR 属于您指定的机器 CIDR。 4.6.2.3. 权 权限划分 限划分 有些个人可以在您的云中创建不同的资源。例如，您可以创建特定于应用程序的项目，如实例、存储桶和 负载均衡器，但不能创建与网络相关的组件，如 VPC 或 vSwitches。 4.6

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 9 7. bootstrap 机器将 OpenShift 用户时，授予该 用户所有需要的权限。要部署 OpenShift Container Platform 集群的所有组件，IAM 用户需要以下权限： 例 例 4.1. 安装所需的 安装所需的 EC2 权 权限 限 ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CopyImage ec2:CreateNetworkInterface 上安装 上安装 37 ec2:RunInstances ec2:TerminateInstances 例 例 4.2. 安装 安装过 过程中 程中创 创建网 建网络资 络资源所需的 源所需的权 权限 限 ec2:AllocateAddress ec2:AssociateAddress ec2:AssociateDhcpOptions ec2:AssociateRouteTable

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 53 7. bootstrap 机器将 OpenShift MTU 和 VXLAN 配置集成。如果在这些云上已有帐户和凭证，您可以重复使 用这些帐户，但可能需要修改帐户，以便具有在它们上安装 OpenShift Container Platform 集群所需的权 限。 您可以使用安装程序置备的基础架构方法，为您的硬件上为 RHV、vSphere 和 裸机 创建适当的机器实 例。 如果要重复使用广泛的云基础架构，可以完成用户置备的基础架构安装。使用这些安装，您可以在安装过 用户时，授予该 用户所有需要的权限。要部署 OpenShift Container Platform 集群的所有组件，IAM 用户需要以下权限： 例 例 4.1. 安装所需的 安装所需的 EC2 权 权限 限 ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CopyImage ec2:CreateNetworkInterface

持久性卷声明的 持久性卷声明的访问 访问模式。使用 模式。使用 ReadWriteOnce 时 时， ，单 单个 个节 节点可以通 点可以通过读 过读写 写权 权 限挂 限挂载该 载该卷。 卷。 持久性卷声明的大小。 持久性卷声明的大小。 b. 输 作 作为 为集群管理 集群管理员 员，在安装后需要配置 ，在安装后需要配置 registry 来使用存 来使用存储 储。 。 先决条件 先决条件 集群管理 集群管理员权 员权限。 限。 VMware vSphere 上有一个集群。 上有一个集群。 为 为集群置 集群置备 备的持久性存 的持久性存储 持久性卷声明的 持久性卷声明的访问 访问模式。使用 模式。使用 ReadWriteOnce 时 时， ，单 单个 个节 节点可以通 点可以通过读 过读写 写权 权 限挂 限挂载该 载该卷。 卷。 持久性卷声明的大小。 持久性卷声明的大小。 b. 输

2000000000（二十亿），用于对集群而言很重要 的 pod。在某些情况下，具有此优先级类的 Pod 可以从节点中驱除。例如，配置了 system- node-critical 优先级类的 pod 可以拥有优先权。不过，此优先级类确实能够保证调度。具有此优 先级类的 pod 示例有 fluentd 以及 descheduler 这样的附加组件等。许多关键组件默认包括 system-cluster-critical 您可以指定一个调度程序配置集来控制 pod 如何调度到节点上。 注意 注意 调度程序配置集是配置调度程序策略的替代方法。不要同时设置调度程序策略和调度程序 配置集。如果这两个同时设置，调度程序策略将具有优先权。 可用的调度程序配置集如下： LowNodeUtilization 此配置集尝试在节点间平均分配 pod，以获得每个节点的资源用量较低。这个配置集提供默认的调度 程序行为。 HighNodeUtilization 提供更好的要求。 3.3.2. 配置调度程序配置集 您可以将调度程序配置为使用调度程序配置集。 注意 注意 不要同时设置调度程序策略和调度程序配置集。如果这两个同时设置，调度程序策略将具 有优先权。 先决条件 先决条件 使用具有 cluster-admin 角色的用户访问集群。 流程 流程 1. 编辑 Scheduler 对象： 2. 指定在 spec.profile 字段中使用的配置集：

虚拟机文件夹，则需要额外的角色。 例 1.1. 安装所需的角色和权限 第 第 1 章 章 在 在 VSPHERE 上安装 上安装 9 角色的 角色的 vSphere 对 对象 象 何 何时 时需要 需要 所需的 所需的权 权限 限 vSphere vCenter Always Cns.Searchable InventoryService.Tagging.A ttachTag InventoryService.Tagging VirtualMachine.Inventory.D elete VirtualMachine.Provisionin g.Clone 角色的 角色的 vSphere 对 对象 象 何 何时 时需要 需要 所需的 所需的权 权限 限 第 第 1 章 章 在 在 VSPHERE 上安装 上安装 11 vSphere vCenter Datacenter 如果安装程序创建虚拟机文件夹 Resource.AssignVMToPool VirtualMachine.Provisionin g.Clone Folder.Create Folder.Delete 角色的 角色的 vSphere 对 对象 象 何 何时 时需要 需要 所需的 所需的权 权限 限 OpenShift Container Platform 4.6 在 在 vSphere 上安装 上安装 12 此外，用户需要一些 ReadOnly 权限，某些角色需要权限来提升对子对象的权限。这些设置会根据您是否