Platform 版本的合作伙伴使用，用于未来的 OpenShift Container Platform 版本的硬件设备的预构建 driver-containers。 Kernel Module Management (KMM) 也使用 Driver Toolkit，它目前作为 OperatorHub 上的社区 Operator 提供。KMM 支持树外和第三方内核驱动程序以及底层操作系统的支持软件。用户可以为 Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 -cert-file 和 '-key-file'。此标志指定用于验证 nfd-master 真实性的 TLS root 证书。 默认： 空 重要 -ca-file 标志必须与 -cert-file 和 -key-file 标志一起指定。 Example -cert-file -cert-file 标志是在 NFD Topology Updater 上控制 mutual TLS 身份验证的三个标记之一，其他两个与 - ca-file 和 -key-file flags。此标志指定为身份验证传出请求的 TLS 证书。 默认： 空 重要 -cert-file 标志必须与 -ca-file 和 -key-file 标志一起指定。 Example -h, -help 打印使用方法并退出. available:

hostPath 卷将主机节点的文件系统中的文件或目录挂载到 pod 中。 KMS 密 密钥 OpenShift Container Platform 4.14 存 存储 储 4 Key Management Service (KMS) 可帮助您在不同服务间实现所需的数据加密级别。您可以使用 KMS 密钥加密、解密和重新加密数据。 本地卷 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 torageaccountname= \ 1 --from-literal=azurestorageaccountkey=key> 2 apiVersion: "v1" kind: "PersistentVolume" metadata: name: "pv0001" 1 spec: capacity: storage: "kubernetes.io/readwrite": "ro", 3 "kubernetes.io/secret/<key name>": "<key value>", 4 "kubernetes.io/secret/key name>": "key value>", } { "status": ""

tolerations: - key: node-role.kubernetes.io/infra value: reserved effect: NoSchedule OpenShift Container Platform 4.10 可伸 可伸缩 缩性和性能 性和性能 22 - key: node-role.kubernetes.io/infra kubernetes.io/infra: "" tolerations: - key: node-role.kubernetes.io/infra value: reserved effect: NoSchedule - key: node-role.kubernetes.io/infra value: reserved kubernetes.io/infra: "" tolerations: - key: node-role.kubernetes.io/infra value: reserved effect: NoSchedule - key: node-role.kubernetes.io/infra value: reserved

Container Platform 上的 Jenkins 镜像被完全支持，用户可以按照 Jenkins 用户 文档在作业中定义 jenkinsfile，或者将其存储在 Source Control Management 系统中。 采用 Pipeline 构建策略时，开发人员可以定义 Jenkins 管道，供 Jenkins 管道插件使用。构建可以由 OpenShift Container Platform 您必须具有 Git 凭证。 流程 流程 将证书文件添加到源构建中，并在 gitconfig 文件中添加对证书文件的引用。 1. 将 client.crt、cacert.crt 和 client.key 文件添加到应用程序源代码的 /var/run/secrets/openshift.io/source/ 目录中。 2. 在服务器的 .gitconfig 文件中，添加下例中所示的 [http] /var/run/secrets/openshift.io/source/client.crt sslKey = /var/run/secrets/openshift.io/source/client.key sslCaInfo = /var/run/secrets/openshift.io/source/cacert.crt 第 第 2 章 章 构 构建（ 建（BUILD） ） 13

Vault 是唯一支持集群范围的 KMS 和持久性卷加密的 KMS。在 OpenShift Data Foundation 4.7.0 和 4.7.1 中，只支持 HashiCorp Vault Key/Value (KV) secret engine API，支持版本 1。 从 OpenShift Data Foundation 4.7.2 开始，支持 HashiCorp Vault KV secret 存储。两种方法都是互斥的，您不能在方法之间迁移。 对于块存储和文件存储，默认会禁用加密。您可以在部署时为集群启用加密。MultiCloud 对象网关默认支 持加密。如需更多信息，请参阅部署指南。 集群范围内的加密在没有 Key Management System (KMS) 的 OpenShift Data Foundation 4.6 中被支 持。从 OpenShift Data Foundation 4.7 开始，使用和不使用 HashiCorp Vault KMS，IBM Cloud 平台上的 OpenShift Data Foundation 现在还支持 Hyper Protect Crypto Services(HPCS)Key Management Services(KMS)作为加密解决方 案。 重要 重要 第 第 5 章 章 安全考 安全考虑 虑 13 重要 重要 红帽与技术合作伙伴合作，将本文档作为为客户提供服务。但是，红帽不为

tolerations： 相应地替换 和 。 例如，oc adm taint nodes node1 key1=value1:NoSchedule 会将一个键为 key1 且值 为 value1 的污点添加到 node1。这会防止监控组件在 node1 上部署 Pod，除非为该污 点配置了容限。以下示例将 alertmanagerMain namespace: openshift-monitoring data: config.yaml: | alertmanagerMain: tolerations: - key: "key1" operator: "Equal" value: "value1" effect: "NoSchedule" $ oc -n opens tolerations： 相应地替换 和 。 例如，oc adm taint nodes node1 key1=value1:NoSchedule 会将一个键为 key1 且值 为 value1 的污点添加到 node1。这会防止监控组件在 node1 上部署 Pod，除非为该污 点配置了容限。以下示例将 thanosRuler 组件配置为容许示例污点：

环境变量只为每个 cronjob 设置一次，且 apiserver 报告没有重 复。(LOG-1130) 在以前的版本中，将 Elasticsearch 集群挂起到零个节点不会挂起 index-management cronjobs， 这会使这些 cronjobs 造成大量 backoff。然后，在取消暂停 Elasticsearch 集群后，这些 cronjobs 会因为达到最大 backoff 而停止。在这个版本中，通过挂起 中定义索引模式并创建视觉化： 1. 在 OpenShift Container Platform 控制台中点击 Application Launcher 并选择 Logging。 2. 点 Management → Index Patterns → Create index pattern 创 创建 建 Kibana 索引模式 索引模式: 首次登录 Kibana 时，每个用户必须手动创建索引模式才能查看其项目的日志。用户必须创建 以 YAML 文件形式创建日志存储服务的路由： a. 使用以下内容创建一个 YAML文件： 添加日志存储 CA 证书或使用下一步中的命令。您不必设置一些重新加密路由所需的 spec.tls.key、spec.tls.certificate 和 spec.tls.caCertificate 参数。 b. 运行以下命令，将日志存储 CA 证书添加到您在上一步中创建的路由 YAML 中： c.

NODE FIREWALL OPERATOR 规则 9.5. 对 INGRESS NODE FIREWALL OPERATOR 进行故障排除 第 第 10 章 章 为 为手 手动 动 DNS MANAGEMENT 配置 配置 INGRESS CONTROLLER 10.1. MANAGED DNS 管理策略 10.2. UNMANAGED DNS 管理策略 10.3. 使用 UNMANAGED 从您手动部署到 Amazon EC2 的堡垒 SSH 主机中，SSH 部署到该 control plane 主机。确定您使 用了在安装过程中指定的相同的 SSH 密钥： $ ssh -i key-path> core@ 第 第 3 章 章 访问 访问主机 主机 13 第 4 章 网络 OPERATOR 概述 OpenShift Container Platform edit dns.operator/default spec: nodePlacement: tolerations: - effect: NoExecute key: "dns-only" operators: Equal value: abc tolerationSeconds: 3600 1 第 第 6 章 章 OPENSHIFT

除后，Samples Operator 会像处于 Unmanaged 状态一样工作，并忽略示例资 源、镜像流或模板上的任何监控事件。 注意 注意 在镜像流导入仍在进行时，删除操作或将 Management State 设置为 Removed 均未完成。进程完成后，无论成功还是出 错，都将开始删除操作。 开始删除后，secret、镜像流和模板监控事件都会被忽略。 samplesRegistry Samples Operator 开始支持多个构架时，处于 Managed 状态下的架构列表将不可更改。 要更改构架值，集群管理员必须： 将 Management State 标记为 Removed，并保存更改。 在随后更改中，编辑构架并将 Management State 改回 Managed。 在 Removed 状态下，Samples Operator 仍可处理 secret。您可在切换到 Removed ConfigurationValid 如果提交的改变在以前已被认为是不可以被改变的 (restricted)，则为 True，否 则为 False。 RemovePending 表明存在待处理的 Management State: Removed 设置，但将等到进行中的 镜像流完成后再处理。 ImportImageErrorsExis t 指明哪些镜像流在它们的一个标签的镜像导入阶段出错。 出错时显示为

-v \ --targetHostname \ --targetUsername \ -k ~/.ssh/my_ssh_key \ --quayHostname \ --quayRoot $ podman login --authfile 保存容器镜像层和配置数据的目录，包括 rootCA.key、rootCA.pem 和 rootCA.srl 证书。OpenShift Container Platform 4.8 发行镜像需要 8.7 GB，或 OpenShift Container Platform 4.8 Red Hat Operator 镜像大约 668 GB。如果未 指定，则默认为 /etc/quay-install。 --ssh-key,-k SSH 身份密钥的路径。如果未指定，则默认为 IAM 角色，您可以执行以下步骤： 从默认策略开始，并根据需要进行相应调整。如需更多信息，请参阅" IAM 实例配置集的默认权 限"。 使用 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)创建基于集 群活动的策略模板。如需更多信息，请参阅"使用 AWS IAM Analyzer 来创建策略模板"。 4