plane 机器都必须使用 RHCOS，其中包括一个 关键的首次启动置备工具，称为 Ignition。这一工具让集群能够配置机器。操作系统更新作为嵌入在容器 镜像中的 Atomic OSTree 存储库交付，该镜像由 Operator 在整个集群中推广。实际的操作系统更改通过 使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置，但建议在用户访问集群前进行操作。您可以通过自定义组成集群的 OpenShift 创建镜像 registry。 3.1.2. 为断开连接的安装 mirror 镜像 您可以使用以下流程之一将 OpenShift Container Platform 镜像存储库镜像到您的镜像 registry： 为断开连接的安装 mirror 镜像 使用 oc-mirror 插件为断开连接的安装 mirror 镜像 （技术预览） 3.2. 为 RED HAT OPENSHIFT

(RHCOS) 机器在启动过程中需要 initramfs 中的网络从 Machine Config Server 获取 Ignition 配置文件。在初次启动过程中，需要一个 DHCP 服务器或设置了静态 IP 地址 来建立网络连接，以下载它们的 Ignition 配置文件。另外，集群中的每个 OpenShift Container Platform 节点都必须有权访问网络时间协议（NTP）服务器。如果 在为集群创建支持基础架构之前，请参阅OpenShift Container Platform 4.x Tested Integrations页。 流程 流程 1. 在每个节点上配置 DHCP 或设置静态 IP 地址。 2. 提供所需的负载均衡器。 3. 配置机器的端口。 4. 配置 DNS。 5. 确保网络可以正常工作。 1.1.4.1. 用 用户置 置备的基 的基础架 架构对网 网络的要求 CoreOS（RHCOS）机器在启动过程中需要 initramfs 中的网络从机器配 置服务器获取 Ignition 配置。 在初次启动过程中，需要一个 DHCP 服务器或集群中的每个机器都设置了静态 IP 地址来建立网络连接， 以下载它们的 Ignition 配置文件。 建议您使用 DHCP 服务器为集群进行长期机器管理。确保 DHCP 服务器已配置为向集群机器提供持久 IP 地址和主机名。

的镜像(MIRROR)REGISTRY 3.6. 为 RED HAT OPENSHIFT 升级镜像 REGISTRY 3.7. 镜像 OPENSHIFT CONTAINER PLATFORM 镜像存储库 3.8. 在断开连接的环境中的 CLUSTER SAMPLES OPERATOR 3.9. 后续步骤 3.10. 其他资源 第 第 4 章 章 在 在 AWS 上安装 上安装 4.1. 准备在 AWS plane 机器都必须使用 RHCOS，其中包括一个 关键的首次启动置备工具，称为 Ignition。这一工具让集群能够配置机器。操作系统更新作为嵌入在容器 镜像中的 Atomic OSTree 存储库交付，该镜像由 Operator 在整个集群中推广。实际的操作系统更改通过 使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform FIPS 验证的/Modules in Process 加密库 。 重要 重要 OpenShift Container Platform 4.8 安装 安装 14 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不需

RHEL 加密库在安装过程中为 FIPS 140-2/140-3 Validation 提交给 NIST。 重要 重要 当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le OpenShift 创建镜像 registry。 4.1.2. 为断开连接的安装 mirror 镜像 您可以使用以下流程之一将 OpenShift Container Platform 镜像存储库镜像到您的镜像 registry： 为断开连接的安装 mirror 镜像 使用 oc-mirror 插件为断开连接的安装镜像镜像 4.2. 为 RED HAT OPENSHIFT 创建带有 MIRROR Platform 所需的容器镜像。 如果您已有容器镜像 registry（如 Red Hat Quay），您可以跳过本节并直接 镜像 OpenShift Container Platform 镜像存储库。 4.2.1. 先决条件 OpenShift Container Platform 订阅。 安装了 Podman 3.4.2 或更高版本以及 OpenSSL 的 Red Hat Enterprise

并可能导致数据丢失。 同样，OpenShift Container Platform 不支持在数据存储间有选择地迁移 VMDK、使用数据存储集群进行 虚拟机置备、动态或静态置备 PV，或使用作为数据存储集群一部分的数据存储进行 PV 的动态或静态置 备。 集群资源 当部署使用安装程序置备的基础架构的 OpenShift Container Platform 集群时，安装程序必须能够在 vCenter 实例中创建多个资源。 DHCP 发现的网 络时间协议（NTP）服务器。没有 NTP 服务器也可安装。但是，异步服务器时钟将导致错 误，NTP 服务器会阻止。 所需的 IP 地址 安装程序置备的 vSphere 安装需要这些静态 IP 地址： API 地址用于访问集群 API。 Ingress 地址用于集群入口流量。 在将集群从版本 4.5 升级到 4.6 时使用 control plane 节点地址。 安装 OpenShift Platform 集群时，必须向安装程序提供这些 IP 地址。 DNS 记录 您必须在正确的 DNS 服务器中为托管 OpenShift Container Platform 集群的 vCenter 实例创建两个静态 IP 地址的 DNS 记录。在每个记录中， 是集群名称， 是您在安装集群 时指定的集群基域。完整的 DNS 记录采用如下格式:

卸载镜像 registry 3.6.2. Red Hat OpenShift 标记的镜像(mirror)registry 3.7. 镜像 OPENSHIFT CONTAINER PLATFORM 镜像存储库 3.8. 在断开连接的环境中的 CLUSTER SAMPLES OPERATOR 3.8.1. 协助镜像的 Cluster Samples Operator 3.9. 后续步骤 3.10. 其他资源 8.3.7.2. 生成自签名证书（可选） 8.3.7.3. 创建 registry podman 容器（可选） 8.3.7.4. 复制和更新 pull-secret（可选） 8.3.7.5. 对存储库进行镜像（可选） 8.3.7.6. 修改 install-config.yaml 文件，使用断开连接的 registry（可选） 8.3.8. 在 worker 节点上部署路由器 8.3.9. 安装的验证清单 plane 机器都必须使用 RHCOS，其中包括一个 关键的首次启动置备工具，称为 Ignition。这一工具让集群能够配置机器。操作系统更新作为嵌入在容器 镜像中的 Atomic OSTree 存储库交付，该镜像由 Operator 在整个集群中推广。实际的操作系统更改通过 使用 rpm-ostree 在每台机器上作为原子操作原位进行。通过结合使用这些技术，OpenShift Container Platform

7.1. TLS 安全配置集 安全配置集 profile 描述 描述 OpenShift Container Platform 4.13 网 网络 络 42 Old 此配置集用于旧的客户端或库。该配置集基于旧的向后兼容性建议配置。 Old 配置集要求最低 TLS 版本 1.0。 注意 对于 Ingress Controller，最小 TLS 版本从 1.0 转换为 1.1。 Intermediate 继续提供所有路由，除非 namespaceSelector 或 routeSelector 字段包含用于排除的路由。有关如何从默认 Ingress Controller 中排除 路由的更多信息，请参阅这个 红帽知识库解决方案 和"分片默认 Ingress Controller"。 8.1.2. 重叠的分片示例 除了上例中的 finops-router 和 dev-router 外，您也具有 devops-router，它被配置为标签选择器 Controller 部署使用容器网络。创 创建了一个 建了一个 NodePortService 来发布部署。特定 的节点端口由 OpenShift Container Platform 动态分配; 但是，为了支持静态端口分配，您会保留对受管 NodePortService 的 的节 节点端口字段的更改 点端口字段的更改 。 图 图 11.1. NodePortService 图 图表 表 上图显示了与 OpenShift

OpenShift 创建镜像 registry。 4.1.2. 为断开连接的安装 mirror 镜像 您可以使用以下流程之一将 OpenShift Container Platform 镜像存储库镜像到您的镜像 registry： 为断开连接的安装 mirror 镜像 使用 oc-mirror 插件为断开连接的安装镜像镜像 4.2. 为 RED HAT OPENSHIFT 创建带有 MIRROR Platform 所需的容器镜像。 如果您已有容器镜像 registry（如 Red Hat Quay），您可以跳过本节并直接 镜像 OpenShift Container Platform 镜像存储库。 4.2.1. 先决条件 OpenShift Container Platform 订阅。 安装了 Podman 3.4.2 或更高版本以及 OpenSSL 的 Red Hat Enterprise 命令行界面(CLI)工具安装一个较小 的 Red Hat Quay 版本及其所需的组件。mirror registry for Red Hat OpenShift 会自动部署，带有预配置 的本地存储和本地数据库。它还包括自动生成的用户凭证和访问权限，其中只有一个输入集，且不需要额 外配置选项。 mirror registry for Red Hat OpenShift 提供了一个预先确定的网络配置，并在成功时报告部署的组件凭证

Operator 的信息，如名称和版本。 驱动 UI 的额外信息，例如其图标和一些示例自定义资源 (CR)。 所需的和所提供的 API。 相关镜像。 将清单加载到 Operator Registry 数据库中时，会验证以下要求： 该捆绑包必须在注解中至少定义一个频道。 每个捆绑包都只有一个集群服务版本（CSV）。 如果 CSV 拥有自定义资源定义（CRD），则该 CRD 必须存在于捆绑包中。 2 Operator Framework 提供,用于 Operator 捆绑格式。您可以通过此工具从与软件存储库 类似的 Operator 捆绑包列表中创建和维护 Operator 目录。其结果是一个容器镜像，它可以存储在容器的 registry 中，然后安装到集群中。 目录包含一个指向 Operator 清单内容的指针数据库，可通过在运行容器镜像时提供的已包含 API 进行查 询。在 OpenShift Container 2.2. 基于文件的目录 基于文件的目录是 Operator Lifecycle Manager (OLM) 中目录格式的最新迭代。它是基于纯文本（JSON 或 YAML）和早期 SQLite 数据库格式的声明式配置演变，并且完全向后兼容。此格式的目标是启用 Operator 目录编辑、可组合性和可扩展性。 编辑 使用基于文件的目录，与目录内容交互的用户可以对格式进行直接更改，并验证其更改是否有效。由

表 6.1. TLS 安全配置集 安全配置集 profile 描述 描述 OpenShift Container Platform 4.9 网 网络 络 32 Old 此配置集用于旧的客户端或库。该配置集基于旧的向后兼容性建议配置。 Old 配置集要求最低 TLS 版本 1.0。 注意 注意 对于 Ingress Controller，最小 TLS 版本从 1.0 转换为 1.1。 Intermediate Controller 部署使用容器网络。创 创建了一个 建了一个 NodePortService 来发布部署。特定 的节点端口由 OpenShift Container Platform 动态分配; 但是，为了支持静态端口分配，您会保留对受管 NodePortService 的 的节 节点端口字段的更改 点端口字段的更改 。 图 图 6.1. NodePortService 图 图表 表 $ oc edit IngressController Operator 忽略对服务的 .spec.ports[].nodePort 字段的任何更新。 默认情况下，端口会自动分配，您可以访问集成的端口分配。但是，有时需要静态分配端 口来与现有基础架构集成，这些基础架构可能无法根据动态端口进行重新配置。要实现与 静态节点端口的集成，您可以直接更新受管服务资源。 如需有关 daemonset 的更多信息，请参阅关于 NodePort 的 Kubernetes 服务文档