Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL 3.7. OAUTH 服务器元数据 3.8. OAUTH API 事件故障排除 第 第 4 自定义资 义资源 源 (CR) CR 是 Kubernetes API 的扩展。 group 组是一组用户。组可用于一次性向多个用户授予权限。 HTPasswd htpasswd 更新存储 HTTP 用户验证的用户名和密码的文件。 Keystone Keystone 是一个 Red Hat OpenStack Platform (RHOSP)项目，提供身份、令牌、目录和策略服务。 轻 轻量

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document 代理。(LOG-1218, LOG-1216) 在以前的版本中，当存在负载时，Elasticsearch 可能会对一些请求响应 HTTP 500 错误，即使集 群没有错误。重试请求会成功。在这个版本中解决了这个问题，方法是更新索引管理 cron 作业使 其在遇到临时 HTTP 500 错误时更具弹性。更新的索引管理 cron 作业将在失败前多次重试请求。 （LOG-1215） 在以前的版本中，如果您没有在集群安装配置中设置 类中的任意代码执行（CVE-2018-14719） jackson-databind：在某些 JDK 类中进行过滤/XXE（CVE-2018-14720） jackson-databind：axis2-jaxws 类中的服务器端请求伪造（SSRF）（CVE-2018-14721) jackson-databind: axis2-transport-jms 类中的不正确的 polymorphic deserialization（CVE-

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document 符号。(LOG-2794) 在此次更新之前，非拉丁字符在 Fluentd 中无法正确显示。在这个版本中，Fluentd 可以正确地 显示所有有效的 UTF-8 字符。(LOG-2657) 在此次更新之前，收集器的指标服务器尝试使用通过环境值公开的值绑定到地址。在这个更改 中，将配置修改为绑定到任何可用接口。(LOG-2821) 在此次更新之前，cluster-logging Operator 依赖于集群来创建 secret。OpenShift Logging Bug Fix 5.3.9 。 1.14.1. 程序错误修复 在此次更新之前，日志记录收集器包含一个路径，作为它生成的指标的标签。此路径经常更改， 并会导致 Prometheus 服务器的存储的大量更改。在这个版本中，标签已被丢弃以解决问题并减 少存储消耗。(LOG-2682) 1.14.2. CVE 例 例 1.6. 点 点击 击以展开 以展开 CVE CVE-2020-28915

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document 修复： 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3546) 1.1.3.4. 已知 已知问题 问题 目前，不支持 Apache Spark。 目前，IBM Z 和 IBM Power Systems 架构不支持通过 AMQ/Kafka 进行流部署。 1.1.4. Red Hat OpenShift distributed CVE-2023-46234 的问题。 1.2.4. Red Hat OpenShift distributed tracing Platform (Jaeger) 1.2.4.1. 已知 已知问题 问题 不支持 Apache spark。 IBM Z 和 IBM Power Systems 上不支持通过 AMQ/Kafka 进行流部署。 1.2.5. Red Hat OpenShift distributed tracing

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document 引进了对 OpenTelemetry 协议 (OTLP)的支持。Operator 现在自动启用 OTLP 端口： 端口 4317 用于 OTLP gRPC 协议。 端口 4318 用于 OTLP HTTP 协议。 此发行版本还添加了对为 Red Hat OpenShift distributed tracing 数据收集 Operator 收集 Kubernetes 资 源属性的支持。 1.4 检测其代码，避免了供应商锁定并启用不 断增长的可观察性工具生态系统。 1.6. RED HAT OPENSHIFT 分布式追踪已知问题 Red Hat OpenShift 分布式追踪中存在这些限制： 不支持 Apache spark。 IBM Z 和 IBM Power Systems 上不支持通过 AMQ/Kafka 进行流部署。 Red Hat OpenShift 分布式追踪有以下已知的问题： TRACING-2057

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document Ansible 配置选项列表，请参阅 Configuring Ansible 部分。 重要 重要 并行行为可能会认为内容源，如您的镜像 registry 或 Red Hat Satellite 服务器。准备服务 器的基础架构 pod 和操作系统补丁可帮助防止出现这个问题。 从最低延迟控制节点（LAN 速度）运行安装程序。不建议在广域网络(WAN)上运行，因此不会因为丢失 的网络连接运行安装。 示例，其中包含了 Ansible 记录的推荐： 输 输出示例 出示例 # cat /etc/ansible/ansible.cfg # config file for ansible -- http://ansible.com/ # ============================================== [defaults] forks = 20 1 host_key_checking

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document Container Platform 4.8 Service Mesh 10 虚拟机集成尚不受支持 尚不支持 Kubernetes 网关 API 尚不支持远程获取和加载 WebAssembly HTTP 过滤器 尚不支持使用 Kubernetes CSR API 的自定义 CA 集成 监控流量的请求分类是一个技术预览功能 通过授权策略的 CUSTOM 操作与外部授权系统集成是一项技术预览功能 OpenShift Service Mesh 处理 URI 片段的方式改变 Red Hat OpenShift Service Mesh 包含一个可远程利用的漏洞 CVE-2021-39156，其中 HTTP 请求带有片 段（以 # 字符开头的 URI 末尾的一个部分），您可以绕过 Istio URI 基于路径的授权策略。例如，Istio 授 权策略拒绝发送到 URI 路径 /user/profile

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document 配置为与普通置 与普通置备程序一起使用的 程序一起使用的 Bundle 对象示例 象示例 注意 注意 捆绑包在创建后被视为不可变。 2.2.3.1.1. 捆绑包不可 包不可变 在 API 服务器接受 Bundle 对象后，捆绑包被视为 RukPak 系统的其余部分的不可变工件。这个行为强制 捆绑包代表集群中要 source 的一些唯一静态内容。用户可以放心，特定捆绑包指向特定的清单集合，在 自定义资源定义（CRD）对象在集群中定义一个新的、唯一的对象类型，称为 kind，并允许 Kubernetes API 服务器处理其整个生命周期。 自定义资源 (CR) 对象由集群管理员通过集群中已添加的 CRD 创建，并支持所有集群用户在项目中增加新 的资源类型。 当集群管理员增加新 CRD 至集群中时，Kubernetes API 服务器的回应方式是新建一个可由整个集群或单 个项目（命名空间）访问的 RESTful 资源路径，并开始服务于指定的

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document Platform 集群的权限。 已安装 OpenShift CLI（oc）。 注意 注意 要访问只能通过 HTTP 代理服务器访问的集群，可以设置 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY 变量。oc CLI 会使用这些环境变量以便 所有与集群的通信都通过 HTTP 代理进行。 只有在使用 HTTPS 传输时，才会发送身份验证标头。 # subscription-manager 命令并传递用户名： 2. 提示时，请输入所需信息： 输 输出示例 出示例 输入 OpenShift Container Platform 服务器的 URL。 输入是否使用不安全的连接。 输入用户密码。 注意 注意 如果登录到 web 控制台，您可以生成包含令牌和服务器信息的 oc login 命令。您可以使用 命令来登录 OpenShift Container Platform CLI，而无需交互式的提示。要生成

Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/ . In accordance with CC-BY-SA, if you distribute this document BuildConfig 构建配置描述单个构建定义，以及一组规定何时创建新构建的触发器（trigger）。构建配置通过 BuildConfig 定义，它是一种 REST 对象，可在对 API 服务器的 POST 中使用以创建新实例。 构建配置或 BuildConfig 的特征就是构建策略和一个或多个源。策略决定流程，而源则提供输入。 根据您选择使用 OpenShift Container Platform 如果 Git 存储库只能使用代理访问，您可以在构建配置的 source 部分中定义要使用的代理。您可以同时 配置要使用的 HTTP 和 HTTPS 代理。两个字段都是可选的。也可以在 NoProxy 字段中指定不应执行代 理的域。 注意 注意 源 URI 必须使用 HTTP 或 HTTPS 协议才可以正常工作。 注意 注意 对于 Pipeline 策略构建，因为 Jenkins Git 插件当前限制的缘故，通过