19.1.1. 模式 通过在 install-config.yaml 文件中为 credentialsMode 参数设置不同的值，可将 CCO 配置为在 mint、passthrough 或 manual 模式下操作。这些选项为 CCO 使用云凭证处理集群中的 credentialsRequest CR 提供了透明性和灵活性，并允许配置 CCO 以适应您的机构的安全要求。不是所 有 CCO 模式都支持所有云供应商。 模式中，CCO 使用提供的管理员级云凭证为集群中组件创建新凭证，且只具有所 需的特定权限。 Passthrough：在 passthrough 模式中，CCO 将提供的云凭证传递给请求云凭证的组件。 Manual：在手动模式中，用户管理云凭证而不是 CCO。 使用 使用 AWS Security Token Service 手 手动 动：在手动模式中，您可以将 AWS 集群配置为使用 Amazon Web Workload Identity。借助这一配置，CCO 对不同组件使用临时凭证。 表 表 19.1. CCO 模式支持列表 模式支持列表 云供 云供应 应商 商 Mint Passthrough Manual Alibaba Cloud X Amazon Web Services (AWS) X X X Microsoft Azure X [1] X Google Cloud Platform

Bound default/claim1 manual 10s pvc-b95650f8-b7b5-11e6-9d58-0ed433a7dd94 4Gi RWO Delete Bound default/claim2 manual 6s pvc-bb3ca71d-b7b5-11e6-9d58-0ed433a7dd94 4Gi RWO Delete Bound default/claim3 manual 3s 2. 选择一个持久性卷并更改其重新声明策略： 3. 验证您选择的持久性卷是否具有正确的策略： 输 输出示例 出示例 $ oc delete Bound default/claim1 manual 10s pvc-b95650f8-b7b5-11e6-9d58-0ed433a7dd94 4Gi RWO Delete Bound default/claim2 manual 6s

install-config.yaml 文件，将 credentialsMode 参数设置为 Manual ： 带有 有 credentialsMode 被 被设置 置为 Manual 的 的 install-config.yaml 配置文件示例 配置文件示例 添加此行，将 credentialsMode 设置为 Manual。 3. 备份 install-config.yaml 文件，以便您可以使用它安装多个集群。 配置文件，集群需要配置机器。 流程 流程 $ rm -rf ~/.powervs apiVersion: v1 baseDomain: cluster1.example.com credentialsMode: Manual 1 compute: - architecture: amd64 hyperthreading: Enabled ... OpenShift Container Platform 4.13 install-config.yaml 文件，将 credentialsMode 参数设置为 Manual ： 带有 有 credentialsMode 被 被设置 置为 Manual 的 的 install-config.yaml 配置文件示例 配置文件示例 添加此行，将 credentialsMode 设置为 Manual。 3. 修改 install-config.yaml 文件。您可以在"安装配置参数"部分找到有关可用参数的更多信息。

install-config.yaml 文件，将 credentialsMode 参数设置为 Manual ： 带 带有 有 credentialsMode 被 被设 设置 置为 为 Manual 的 的 install-config.yaml 配置文件示例 配置文件示例 添加此行，将 credentialsMode 设置为 Manual。 3. 备份 install-config.yaml 文件，以便您可以使用它安装多个集群。 生成所需的安装清单 $ rm -rf ~/.powervs apiVersion: v1 baseDomain: cluster1.example.com credentialsMode: Manual 1 compute: - architecture: amd64 hyperthreading: Enabled ... 第 第 5 章 章 在 在 ALIBABA 上安装 上安装 97 install-config.yaml 文件，将 credentialsMode 参数设置为 Manual ： 带 带有 有 credentialsMode 被 被设 设置 置为 为 Manual 的 的 install-config.yaml 配置文件示例 配置文件示例 添加此行，将 credentialsMode 设置为 Manual。 3. 修改 install-config.yaml 文件。您可以在"安

recommended cluster monitoring on this namespace 复选框，因为 集群监控需要它。 e. 将 Approval Strategy 选为 Automatic 或 Manual。默认情况下，批准策略设置为 Automatic。 Approval Strategy 为 Automatic. 注意 注意 当您将 Approval Strategy 选为 Automatic 变为 Succeeded。 Approval Strategy 为 Manual. 注意 注意 当您将 Approval Strategy 选为 Manual 时，在全新安装或升级到最新版 本的 OpenShift Container Storage 过程中需要批准。 i. 点 Install ii. 在 Manual approval required 页面中，您可以点 Approve Approve 或 View Installed Operators in namespace openshift-storage 来安装 Operator。 重要 重要 在单击任一选项前，请在 Manual approval required 页面中等待几分 钟，直到安装计划加载到窗口中。 重要 重要 如果您选择单击 Approve，您必须先检查安装计划，然后再继续。 如果您单击 Approve。

install-config.yaml 文件，将 credentialsMode 参数设置为 Manual ： 带 带有 有 credentialsMode 被 被设 设置 置为 为 Manual 的 的 install-config.yaml 配置文件示例 配置文件示例 添加此行，将 credentialsMode 设置为 Manual。 3. 备份 install-config.yaml 文件，以便您可以使用它安装多个集群。 Kubernetes 清单和 Ignition 配置文件，集群需要配置机器。 apiVersion: v1 baseDomain: cluster1.example.com credentialsMode: Manual 1 compute: - architecture: amd64 hyperthreading: Enabled ... 第 第 4 章 章 在 在 ALIBABA 上安装 上安装 75 install-config.yaml 文件，将 credentialsMode 参数设置为 Manual ： 带 带有 有 credentialsMode 被 被设 设置 置为 为 Manual 的 的 install-config.yaml 配置文件示例 配置文件示例 添加此行，将 credentialsMode 设置为 Manual。 3. 修改 install-config.yaml 文件。您可以在"安

performance.openshift.io/v2 kind: PerformanceProfile ... status: ... runtimeClass: performance-manual apiVersion: v1 kind: Pod metadata: ... annotations: ... cpu-load-balancing.crio.io: IRQ 动态负载平衡配置节点 apiVersion: performance.openshift.io/v2 kind: PerformanceProfile metadata: name: manual spec: globallyDisableIrqLoadBalancing: true ... apiVersion: performance.openshift.io/v2 kind: .yaml apiVersion: performance.openshift.io/v2 kind: PerformanceProfile metadata: name: manual spec: cpu: isolated: 3-51,54-103 reserved: 0-2,52-54 net: userLevelNetworking: true

Bound default/claim1 manual 10s pvc-b95650f8-b7b5-11e6-9d58-0ed433a7dd94 4Gi RWO Delete Bound default/claim2 manual 6s pvc-bb3ca71d-b7b5-11e6-9d58-0ed433a7dd94 4Gi RWO Delete Bound default/claim3 manual 3s $ oc patch pv -p '{"spec":{"persistentVolumeReclaimPolicy":"Retain"}}' Bound default/claim1 manual 10s pvc-b95650f8-b7b5-11e6-9d58-0ed433a7dd94 4Gi RWO Delete Bound default/claim2 manual 6s

如果订阅的 spec.installPlanApproval 字段被设置为 Automatic，则会自动批准安装计划。 如果订阅的 spec.installPlanApproval 字段被设置为 Manual，则安装计划必须由集群管理员或 具有适当权限的用户手动批准。 批准安装计划后，OLM 会创建指定的资源，并在订阅指定的命名空间中安装 Operator。 例 例 2.11. InstallPlan ClusterServiceVersion (CSV) 资源。 同一命名空间中的所有 Operator 都共享相同的更新策略。例如，如果一个 Operator 设置为手动 更新，则所有其他 Operator 更新策略也会设置为 manual。 这些场景可能会导致以下问题： 很难了解有关 Operator 更新安装计划的原因，因为它们中定义了除更新 Operator 以外的更多资 源。 在命名空间更新中，无法自动更新一些 Operator，而其他 如果有多个更新频道可用，请选择一个 更新 更新频道 道。 d. 如前面所述，选择自 自动或手 手动批准策略。 重要 重要 如果 Web 控制台显示集群为"STS 模式"，您必须将 Update approval 设置为 Manual。 不建议使用具有自动更新批准的订阅，因为更新前可能会有权限更改。使用手 动批准的订阅可确保管理员有机会验证更新版本的权限，并在更新前采取必要 的操作。 6. 点击 Install 使 Operator

stable 更新频道 中提供新版本时 OpenShift Virtualization 会自动更新。 虽然可以选择 Manual 批准策略，但这不可取，因为它会给集群提供支持和功能带来高风 险。只有在您完全了解这些风险且无法使用 Automatic 时，才选择 Manual。 警告 警告 因为 OpenShift Virtualization 只在与对应的 OpenShift Container OpenShift Container Platform 4.13 上运行 OpenShift Virtualization 4.13。 虽然可以选择 Manual（手工） （手工） 批准策略，但并不建议这样做，因为它存在集群的支持性和 功能风险。使用 Manual 批准策略时，您必须手动批准每个待处理的更新。如果 OpenShift Container Platform 和 OpenShift Virtualization worker 节点的机器配置池。 建议您使用默认的 Automatic 批准策略。如果使用 Manual 批准策略，您必须批准 web 控制台 第 第 7 章 章 更新 更新 OPENSHIFT VIRTUALIZATION 65 建议您使用默认的 Automatic 批准策略。如果使用 Manual 批准策略，您必须批准 web 控制台 中的所有待处理的更新。如需了解更多详细信息，请参阅"需要批准待处理的