Platform 4.9 网 网络 络 4 目 目录 录 5 第 1 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress

用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 CR 20.3. CLOUD-EVENT-PROXY SIDECAR REST API 中的 PTP 事件 20.4. 将消费者应用程序订阅到 PTP 事件 20.5. 获取当前的 PTP 时钟状态 20.6. 验证 PTP 事件消费者应用程序是否收到事件 第 第 21 章 章 Container Platform 4.13 网 网络 络 8 第 2 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec

23. KUBERNETES API SERVER OPERATOR 6.24. KUBERNETES CONTROLLER MANAGER OPERATOR 6.25. KUBERNETES SCHEDULER OPERATOR 6.26. KUBERNETES STORAGE VERSION MIGRATOR OPERATOR 6.27. MACHINE API OPERATOR 6.28 28. MACHINE CONFIG OPERATOR 6.29. MARKETPLACE OPERATOR 6.30. NODE TUNING OPERATOR 6.31. OPENSHIFT API SERVER OPERATOR 6.32. OPENSHIFT CONTROLLER MANAGER OPERATOR 6.33. OPERATOR LIFECYCLE MANAGER OPERATORS Platform 中最重要的组件。Operator 是 control plane 上打包、部署和 管理服务的首选方法。它们还可以为用户运行的应用程序提供优势。 Operator 与 Kubernetes API 和 CLI 工具（如 kubectl 和 oc 命令）集成。它们提供了监控应用程序、执 行健康检查、管理无线(OTA)更新的方法，并确保应用程序保持在指定的状态。 虽然这两个操作都遵循类似的 Operator

中的身份验证 1.3. 关于 OPENSHIFT CONTAINER PLATFORM 中的授权 第 第 2 章 章 了解身份 了解身份验证 验证 2.1. 用户 2.2. 组 2.3. API 身份验证 第 第 3 章 章 配置内部 配置内部 OAUTH 服 服务 务器 器 3.1. OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL 3.7. OAUTH 服务器元数据 3.8. OAUTH API 事件故障排除 第 第 4 章 章 配置 配置 OAUTH 客 客户 户端 端 4.1. 默认 OAUTH 客户端 4.2. 注册其他 OAUTH 客户端 4.3. 为 OAUTH 客户端配置令牌不活跃超时 16.2. 控制 POD 安全准入同步 16.3. 关于 POD 安全准入警报 16.4. 其他资源 第 第 17 章 章 模 模拟 拟 SYSTEM:ADMIN 用 用户 户 17.1. API 模仿 17.2. 模拟 SYSTEM:ADMIN 用户 17.3. 模拟 SYSTEM:ADMIN 组 第 第 18 章 章 同步 同步 LDAP 组 组 18.1. 关于配置 LDAP 同步

Platform 4.6 网 网络 络 8 目 目录 录 9 第 1 章 了解网络 集群管理员有几个选项可将集群中运行的应用程序公开给外部流量并保护网络连接安全： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress

本文档说明如何通过不同方式创建和管理在 OpenShift Container Platform 上运行的用户置备应用程 序实例。这包括处理项目以及使用 Open Service Broker API 置备应用程序。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 授予或撤销对项目的访问权限，并为用户管理集群角色。您 还可以在创建用于自动置备新项目的项目模板时编辑项目配置资源。 使用 CLI，您可以通过模拟对 OpenShift Container Platform API 的请求来以不同的用户创建项目。当您 请求创建新项目时，OpenShift Container Platform 会使用一个端点来根据自定义模板来置备项目。作为 集群管理员，您可以选择阻止经过身份验证的用户组自助置备新项目。 控制台删除项目。 流程 流程 1. 运行： 2.2. 以其他用户身份创建项目 通过身份模拟功能，您可以其他用户的身份创建项目。 2.2.1. API 身份模拟（impersonation） 您可以配置对 OpenShift Container Platform API 的请求，使其表现为像是源自于另一用户。如需更多信 息，请参阅 Kubernetes 文档中的用户身份模拟。 2.2.2. 在创建项目时模拟用户

本文档说明如何通过不同方式创建和管理在 OpenShift Container Platform 上运行的用户置备应用程 序实例。这包括处理项目以及使用 Open Service Broker API 置备应用程序。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 授予或撤销对项目的访问权限，并为用户管理集群角色。您 还可以在创建用于自动置备新项目的项目模板时编辑项目配置资源。 使用 CLI，您可以通过模拟对 OpenShift Container Platform API 的请求来以不同的用户创建项目。当您 请求创建新项目时，OpenShift Container Platform 会使用一个端点来根据自定义模板来置备项目。作为 集群管理员，您可以选择阻止经过身份验证的用户组自助置备新项目。 控制台删除项目。 流程 1. 运行： 2.2. 以其他用户身份创建项目 通过身份模拟功能，您可以其他用户的身份创建项目。 2.2.1. API 身份模拟（impersonation） 您可以配置对 OpenShift Container Platform API 的请求，使其表现为像是源自于另一用户。如需更多信 息，请参阅 Kubernetes 文档中的用户身份模拟。 2.2.2. 在创建项目时模拟用户

2. 为 Pod 配置投射卷 6.5. 允许容器消耗 API 对象 6.5.1. 使用 Downward API 向容器公开 Pod 信息 6.5.2. 了解如何通过 Downward API 消耗容器值 6.5.2.1. 使用环境变量消耗容器值 6.5.2.2. 使用卷插件消耗容器值 6.5.3. 了解如何使用 Downward API 消耗容器资源 6.5.3.1. 使用环境变量消耗容器资源 使用环境变量消耗容器资源 6.5.3.2. 使用卷插件消耗容器资源 6.5.4. 使用 Downward API 消耗 secret 6.5.5. 使用 Downward API 消耗配置映射 6.5.6. 引用环境变量 6.5.7. 转义环境变量引用 6.6. 将文件复制到 OPENSHIFT CONTAINER PLATFORM 容器或从中复制 6.6.1. 了解如何复制文件 6.6.1.1. 要求 使用 Node Tuning Operator，为需要一定等级内核调整的高性能应用程序管理节点级别的性能优 化。 在节点上启用 TLS 安全配置集，以保护 kubelet 和 Kubernetes API 服务器之间的通信。 使用守护进程集在节点上自动运行后台任务。您可以创建并使用守护进程集来创建共享存储，在 每个节点上运行日志记录 pod，或者在所有节点上部署监控代理。 使用垃圾回收释放节点资

镜像流标签 镜像流标签是指向镜像流中镜像的命名指针。镜像流标签与容器镜像标签类似。 1.10. 镜像流镜像 镜像流镜像允许您从标记了特定容器镜像的特定镜像流中检索该镜像。镜像流镜像是一个 API 资源对象， 用于收集一些有关特定镜像 SHA 标识符的元数据。 1.11. 镜像流触发器 镜像流触发器（imagestream trigger）会在镜像流标签更改时引发特定操作。例如，导入可导致标签值变 在创建或更新示例镜像流后，Cluster Samples Operator 会监控每个镜像流标签镜像导入的进度。 如果导入失败，Cluster Samples Operator 会通过镜像流镜像导入 API（与 oc import-image 命令使用的 API 相同）。重新尝试导入大约每 15 分钟进行一次，直到导入成功，或者 Cluster Samples Operator 的配 置已更改为镜像流被添加到 skippedImagestreams ImageStream 对象示例中的镜像，镜像流镜像如下所示： apiVersion: image.openshift.io/v1 kind: ImageStream metadata: annotations: openshift.io/generated-by: OpenShiftNewApp labels: app: ruby-sample-build template:

镜像流标签 镜像流标签是指向镜像流中镜像的命名指针。镜像流标签与容器镜像标签类似。 1.10. 镜像流镜像 镜像流镜像允许您从标记了特定容器镜像的特定镜像流中检索该镜像。镜像流镜像是一个 API 资源对象， 用于收集一些有关特定镜像 SHA 标识符的元数据。 1.11. 镜像流触发器 镜像流触发器（imagestream trigger）会在镜像流标签更改时引发特定操作。例如，导入可导致标签值变 在创建或更新示例镜像流后，Cluster Samples Operator 会监控每个镜像流标签镜像导入的进度。 如果导入失败，Cluster Samples Operator 会通过镜像流镜像导入 API（与 oc import-image 命令使用的 API 相同）。重新尝试导入大约每 15 分钟进行一次，直到导入成功，或者 Cluster Samples Operator 的配 置已更改为镜像流被添加到 skippedImagestreams ImageStream 对象示例中的镜像，镜像流镜像如下所示： apiVersion: image.openshift.io/v1 kind: ImageStream metadata: annotations: openshift.io/generated-by: OpenShiftNewApp labels: app: ruby-sample-build template: