4. 准备安装 SERVICE MESH 2.5. 安装 SERVICE MESH 2.6. 在 SERVICE MESH 中自定义安全性 2.7. 流量管理 2.8. 在 SERVICE MESH 上部署应用程序 2.9. 数据可视化和可观察性 2.10. 自定义资源 2.11. 使用 3SCALE ISTIO 适配器 2.12. 删除 SERVICE MESH 3 3 3 27 32 发行版本、访问控制以及端到端验证。 1.1.2. 核心功能 Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - Proxy 1.20.4 Jaeger 1.34.1 Kiali 1.48.0.16 1.2.2.4.2. WasmPlugin API 此发行版本添加了对 WasmPlugin API 的支持，并弃用了 ServiceMeshExtention API。 1.2.2.4.3. ROSA 支持 此发行版本引进了对 AWS(ROSA)上的 Red Hat OpenShift 的服务网格支持，包括多集群联邦。

LOGGING 3.2. 安装后的任务 3.3. 使用 CLI 安装 OPENSHIFT LOGGING 3.4. 安装后的任务 第 第 4 章 章 配置日志部署 配置日志部署 4.1. 集群日志记录自定义资源（CR） 4.2. 配置日志记录收集器 5 5 7 8 9 10 10 11 13 14 18 19 20 20 21 22 24 25 25 25 27 27 28 30 35 4.10. 维护和支持 第 第 5 章 章 查 查看 看资 资源的日志 源的日志 5.1. 查看资源日志 第 第 6 章 章 使用 使用 KIBANA 查 查看集群日志 看集群日志 6.1. 定义 KIBANA 索引模式 6.2. 在 KIBANA 中查看集群日志 第 第 7 章 章 将日志 将日志转发 转发到外部第三方日志 到外部第三方日志记录 记录系 系统 统 7.1. 关于将日志转发到第三方系统 ClusterLogForwarder 自定义资源定义了 JSON 解析时，每个 rollover 任 务都会创建空索引。在这个版本中，新的索引不为空。(LOG-2823) 在此次更新之前，如果您删除了 Kibana 自定义资源，OpenShift Container Platform Web 控制台 将继续显示到 Kibana 的链接。在这个版本中，删除 Kibana 自定义资源也会删除该链接。(LOG-

SECRET 5.6. 启用拉取 (PULL) 和推送 (PUSH) 第 第 6 章 章 使用 使用 BUILDAH 自定 自定义镜 义镜像 像构 构建 建 6.1. 先决条件 6.2. 创建自定义构建工件 6.3. 构建自定义构建器镜像 6.4. 使用自定义构建器镜像 第 第 7 章 章 执 执行基本 行基本构 构建 建 7.1. 启动构建 7.2. 取消构建 7.3. 删除 BUILDCONFIG 理解镜像构建 1.1. 构建（BUILD） 构建 (build)是将输入参数转换为结果对象的过程。此过程最常用于将输入参数或源代码转换为可运行的镜 像。BuildConfig 对象是整个构建过程的定义。 OpenShift Container Platform 使用 Kubernetes，从构建镜像创建容器并将它们推送到容器镜像 registry。 构建对象具有共同的特征，包括构建的输入，完 具体是指定资源限值，如 CPU 使用 量、内存使用量，以及构建或 Pod 执行时间。 OpenShift Container Platform 构建系统提供对构建策略的可扩展支持，它们基于构建 API 中指定的可选 择类型。可用的构建策略主要有三种： Docker 构建 Source-to-Image (S2I) 构建 Custom 构建 默认情况下，支持 Docker 构建和 S2I 构建。

CLI 安装 OPENSHIFT LOGGING 3.4. 安装后的任务 3.4.1. 定义 Kibana 索引模式 3.4.2. 启用网络隔离时允许项目间的流量 第 第 4 章 章 配置日志部署 配置日志部署 4.1. 集群日志记录自定义资源（CR） 4.1.1. 关于 ClusterLogging 自定义资源 4.2. 配置日志记录收集器 4.2.1. 不支持的配置 4.2.2. 查看日志记录收集器 Operator 的支持策略 第 第 5 章 章 查 查看 看资 资源的日志 源的日志 5.1. 查看资源日志 第 第 6 章 章 使用 使用 KIBANA 查 查看集群日志 看集群日志 6.1. 定义 KIBANA 索引模式 6.2. 在 KIBANA 中查看集群日志 第 第 7 章 章 将日志 将日志转发 转发到第三方系 到第三方系统 统 7.1. 关于将日志转发到第三方系统 当外部日志聚合器不可用时，Fluentd 此版本对以下方面进行了改进 作为集群管理员，您可以使用 Kubernetes pod 标签从应用程序收集日志数据并将其发送到特定的 日志存储。您可以通过在 ClusterLogForwarder 自定义资源 (CR) YAML 文件中配置 inputs[].application.selector.matchLabels 元素来收集日志数据。您还可以按命名空间过滤收 集的日志数据。（LOG-883）

openshift-cluster-samples-operator 命 名空间中。 Samples Operator 的镜像包含关联的 OpenShift Container Platform 发行版本的镜像流和模板定义。在 创建或更新每个示例时，Sample Operator 包含一个注解（annotation），用于注明 OpenShift Container Platform 的版本。Operator 使用此 示例资源将在所处状态下保持以下条件： 条件 条件 描述 描述 SamplesExists 表明 OpenShift 命名空间中已创建示例。 ImageChangesInProgr ess 如果创建或更新了镜像流，但并非所有标记规范生成与标记状态生成均匹配，此 条件则为 True。 所有生成均匹配，或者导入过程中发生不可恢复的错误时显示为 False，最后看 到的错误位于消息字段中，待处理的镜像流列表位于原因字段中。 Im {"name":"registry-config"}}}' --type=merge 4. 更新 Samples Operator 配置对象中的 samplesRegistry 字段，使其包含镜像配置中定义的镜像 位置的 hostname 部分： $ oc get configs.samples.operator.openshift.io -n openshift-cluster-samples-operator

OpenShift Container Platform 和 Kubernetes 的信息，请参阅产品架构。 1.1. OPENSHIFT CONTAINER PLATFORM 架构的常见术语表 该术语表定义了架构内容中使用的常见术语。这些术语可帮助您有效地了解 OpenShift Container Platform 架构。 访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 只有批准的用户访问集群。要与 OpenShift Container Platform 集群交互，您必须对 OpenShift Container Platform API 进行身份验证。您可以通过在您对 OpenShift Container Platform API 的请求 中提供 OAuth 访问令牌或 X.509 客户端证书来进行身份验证。 bootstrap 运行最小 Kubernetes 并部署 OpenShift 在容器中打包和部署的应用程序。 控制 控制组 组 (cgroups) 将进程集合分区到组中，以管理和限制资源进程占用。 control plane（控制平面） （控制平面） 一个容器编配层，用于公开 API 和接口来定义、部署和管理容器的生命周期。control plane 也称为 control plane 机器。 CRI-O Kubernetes 原生容器运行时实现，可与操作系统集成以提供高效的 Kubernetes

章 章 构 构建（ 建（BUILD） ） 2.1. 理解镜像构建 2.2. 了解构建配置 2.3. 创建构建输入 2.4. 管理构建输出 2.5. 使用构建策略 2.6. 使用 BUILDAH 自定义镜像构建 2.7. 执行和配置基本构建 2.8. 触发和修改构建 2.9. 执行高级构建 2.10. 在构建中使用红帽订阅 2.11. 通过策略保护构建 2.12. 构建配置资源 2.13. 构建故障排除 GitOps 1.1. OPENSHIFT 构建 使用 OpenShift 构建时，您可以使用声明性构建过程创建云原生应用程序。您可以在用于创建 BuildConfig 对象的 YAML 文件中定义构建过程。此定义包括构建触发器、输入参数和源代码等属性。部 署之后，BuildConfig 对象通常构建可运行的镜像并将其推送到容器镜像 registry。 OpenShift 构建为构建策略提供以下可扩展的支持： 理解镜像构建 2.1.1. Builds 构建 (build) 是将输入参数转换为结果对象的过程。此过程最常用于将输入参数或源代码转换为可运行的 镜像。BuildConfig 对象是整个构建过程的定义。 OpenShift Container Platform 使用 Kubernetes，从构建镜像创建容器并将它们推送到容器镜像 registry。 构建对象具有共同的特征，包括构建的输入，完

使用服务进行镜像间通信 提供通用库 使用环境变量进行配置 设置镜像元数据 集群 日志记录 存活 (liveness) 和就绪 (readiness) 探针 模板 4.2. 包括镜像中的元数据 4.2.1. 定义镜像元数据 4.3. 使用 SOURCE-TO-IMAGE 从源代码创建镜像 4.3.1. 了解 source-to-image 构建过程 4.3.2. 如何编写 Source-to-image 2.1. 配置和自定义 12.2.1.1. OpenShift Container Platform OAuth 身份验证 12.2.1.2. Jenkins 身份验证 12.2.2. Jenkins 环境变量 12.2.3. 向 Jenkins 提供跨项目访问权限 12.2.4. Jenkins 跨卷挂载点 12.2.5. 通过 Source-to-image 自定义 Jenkins 镜像 3.5. Jenkins 代理 pod 保留 12.4. SOURCE-TO-IMAGE 12.4.1. Source-to-image 构建过程概述 12.4.2. 其他资源 12.5. 自定义 SOURCE-TO-IMAGE 镜像 12.5.1. 调用嵌入在镜像中的脚本 96 97 98 98 99 100 101 101 101 101 102 103 103 105 106

INGRESS CONTROLLER 10.1. MANAGED DNS 管理策略 10.2. UNMANAGED DNS 管理策略 10.3. 使用 UNMANAGED DNS 管理策略创建自定义 INGRESS CONTROLLER 10.4. 修改现有 INGRESS CONTROLLER 10.5. 其他资源 第 第 11 章 章 配置 配置 INGRESS CONTROLLER 端点 用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 CR 20.3. CLOUD-EVENT-PROXY SIDECAR REST API 中的 PTP 事件 20.4. 将消费者应用程序订阅到 PTP 事件 20.5. 获取当前的 PTP 时钟状态 20.6. 验证 PTP 事件消费者应用程序是否收到事件 第 第 21 章 章 关于网络策略 22.2. 创建网络策略 22.3. 查看网络策略 22.4. 编辑网络策略 22.5. 删除网络策略 22.6. 为项目定义默认网络策略 22.7. 使用网络策略配置多租户隔离 第 第 23 章 章 CIDR 范 范围 围定 定义 义 23.1. MACHINE CIDR 23.2. SERVICE CIDR 23.3. POD CIDR 23.4. 主机前缀 第 第

将应用程序部署至 OPENSHIFT CONTAINER PLATFORM 第 第 12 章 章 使用 使用镜 镜像 像 12.1. 使用镜像概述 12.2. SOURCE-TO-IMAGE 12.3. 自定义 SOURCE-TO-IMAGE 镜像 61 61 61 62 63 63 65 78 87 87 87 87 88 90 90 91 105 105 105 106 109 Platform 中的容器基于 OCI 或 Docker 格式的容器镜像创建。镜像是一种二进制文 件，包含运行单一容器的所有要求以及描述其需求和功能的元数据。 您可以将其视为一种打包技术。容器只能访问其镜像中定义的资源，除非创建时授予容器其他访问权限。 通过将同一镜像部署到跨越多个主机的多个容器内，并在它们之间进行负载平衡，OpenShift 容器平台可 以为镜像中打包的服务提供冗余和横向扩展。 您可以直接使用 registry.redhat.io 上为订阅者提供了一个 registry。OpenShift Container Platform 还提供自己的 OpenShift 镜像 registry 来管理自定义容器镜像。 1.4. 镜像存储库 镜像存储库是相关容器镜像和标识它们的标签（tag）的集合。例如，OpenShift Container Platform Jenkins 镜像位于以下存储库中：