the property of their respective owners. 摘要 摘要 本文提供有关在集群中配置和管理节点、Pod 和容器的说明。它还提供有关配置 Pod 调度和放置、 使用作业（job）和 DaemonSet 来自动执行操作，以及确保集群保持高效性的其他任务信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 第 4 章 章 使用作 使用作业 业和 和 DAEMONSET 4.1. 使用 DAEMONSET 在节点上自动运行后台任务 4.1.1. 通过默认调度程序调度 4.1.2. 创建 daemonset 4.2. 使用任务在 POD 中运行任务 4.2.1. 了解作业和 cron 作业 4.2.1.1. 了解如何创建作业 4.2.1.2. 了解如何为作业设置最长持续时间 4.2.1.3 3. 了解如何为 pod 失败设置作业避退策略 4.2.1.4. 了解如何配置 Cron Job 以移除工件 4.2.1.5. 已知限制 4.2.2. 创建作业 4.2.3. 创建 cron job 第 第 5 章 章 操作 操作节 节点 点 5.1. 查看和列出 OPENSHIFT CONTAINER PLATFORM 集群中的节点 5.1.1. 关于列出集群中的所有节点 5.1.2.

the property of their respective owners. 摘要 摘要 本文提供有关在集群中配置和管理节点、Pod 和容器的说明。它还提供有关配置 Pod 调度和放置、 使用作业（job）和 DaemonSet 来自动执行操作，以及确保集群保持高效性的其他任务信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 第 4 章 章 使用作 使用作业 业和 和 DAEMONSET 4.1. 使用 DAEMONSET 在节点上自动运行后台任务 4.1.1. 通过默认调度程序调度 4.1.2. 创建 daemonset 4.2. 使用任务在 POD 中运行任务 4.2.1. 了解作业和 cron 作业 4.2.1.1. 了解如何创建作业 4.2.1.2. 了解如何为作业设置最长持续时间 4.2.1.3 3. 了解如何为 pod 失败设置作业避退策略 4.2.1.4. 了解如何配置 Cron Job 以移除工件 4.2.1.5. 已知限制 4.2.2. 创建作业 4.2.3. 创建 cron job 第 第 5 章 章 操作 操作节 节点 点 5.1. 查看和列出 OPENSHIFT CONTAINER PLATFORM 集群中的节点 5.1.1. 关于列出集群中的所有节点 5.1.2. 列出集群中某一节点上的

Platform Pipelines 中带有等效且改进的功能。 OpenShift Container Platform 上的 Jenkins 镜像被完全支持，用户可以按照 Jenkins 用户 文档在作业中定义 jenkinsfile，或者将其存储在 Source Control Management 系统中。 采用 Pipeline 构建策略时，开发人员可以定义 Jenkins 管道，供 Jenkins Platform Pipelines 中带有等效且改进的功能。 OpenShift Container Platform 上的 Jenkins 镜像被完全支持，用户可以按照 Jenkins 用户 文档在作业中定义 jenkinsfile，或者将其存储在 Source Control Management 系统中。 采用 Pipeline 构建策略时，开发人员可以定义 Jenkins 管道，供 Jenkins Platform Pipelines 中带有等效且改进的功能。 OpenShift Container Platform 上的 Jenkins 镜像被完全支持，用户可以按照 Jenkins 用户 文档在作业中定义 jenkinsfile，或者将其存储在 Source Control Management 系统中。 通过管道（pipeline），您可以控制在 OpenShift Container Platform

Container Platform 记录 中移除这些组。修剪任务将接受用于同步任务的相同同步配置文件以及白名单或黑名单。 例如： 18.4. 自动同步 LDAP 组 您可以通过配置 cron 作业来定期自动同步 LDAP 组。 先决条件 先决条件 您可以使用具有 cluster-admin 角色的用户访问集群。 您已配置了 LDAP 身份提供程序 (IDP)。 此流程假设您创建一个名为 模式；根据需要调整值。您还可以使用不同的架构。 为 groupsQuery 指定 baseDN。 为 usersQuery 指定 baseDN。 10. 创建配置映射： 11. 定义 cron 作业： ldap-sync-cron-job.yaml 示例 示例 derefAliases: never pageSize: 0 userUIDAttribute: 2 3 4 5 6 配置 cron 作业的设置。有关 cron 作业设置的更多信息，请参阅"创建 cron 作业"。 以 cron 格式指定的作业计划。这个示例 cron 作业每 30 分钟运行一次。根据需要调整频 率，确保考虑到同步运行所需的时间。 维护完成的作业的时间（以秒为单位）。这应该与作业调度的期限匹配，以便清理旧的失败 作业并防止不必要的警报。如需更多信息，请参阅 Kubernetes

在以前的版本中，Operator 认为在报告 Operator 状态时正在运行的作业会成功完成，即使作业 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 4.6 发 发行注 行注记 记 43 在以前的版本中，Operator 认为在报告 Operator 状态时正在运行的作业会成功完成，即使作业 可能会失败。现在，在报告 Operator 状态时，正在运行的任务会被忽略。(BZ#1857684) 列出一次，镜像清除过程可以成功完成。(BZ#1861304) 在以前的版本中，如果删除了 Image Registry Operator，修剪器任务会失败，因为它无法访问不 存在的 registry。现在，修剪器作业仅移除 etcd 对象，并在删除 registry 时不会尝试 ping 注册 表。(BZ#1867792) 如果用户手动添加存储桶名称，Operator 不会创建存储桶。现在，Operator 会根据用户提供的 healthz。(BZ#1847082) 由于没有列出所有依赖步骤的 Terraform 步骤，Red Hat OpenStack Platform（RHOSP）上的 集群会遇到一个竞争条件，有时会导致 Terraform 作业因为 Resource not found 错误而失败。 为了避免竞争条件的出现，步骤现在列为 dependent_on。(BZ#1734460) 在以前的版本中，在更新机器前集群 API 不会验证

DataSources 页面中为 VirtualMachine 引导源创建和配置 DataSources。 当您创建 DataSource 时，DataImportCron 资源定义了一个 cron 作业来轮询和导入磁盘镜像，除非您禁 用自动引导源更新。 例 例 4.34. 数据源 数据源页 页 元素 元素 描述 描述 Create DataSource → With form 通过输入 registry 如： 自定 自定义资源示例 源示例 对于将 volumeBindingMode 设置为 WaitForFirstConsumer 的存储类来说，这个注解是 必需的。 以 cron 格式指定的作业调度计划。 用于从 registry 源创建数据卷。使用默认 pod pullMethod 而不是 节 节点 点 pullMethod，这基 于 节 节点 点 docker 缓存。当 registry 的名称匹配，它在 VM 模板 YAML 文件中的 spec.dataVolumeTemplates.spec.sourceRef.name 下找到。 在删除 cron 作业时，使用 All 来保留数据卷和数据源。删除 cron 作业时，使用 None 删除 数据卷和数据源。 3. 保存该文件。 $ oc edit hyperconverged kubevirt-hyperconverged -n

名称和成熟度等级 OpenShift Elasticsearch Operator 报告 CSV 成功 减少 Elasticsearch pod 证书权限警告 从警报到解释和故障排除的新链接 删除作业的新连接超时 最小化滚动索引模板的更新 1.2.11.2. 技术预览功能 1.2.11.3. 弃用和删除的功能 1.2.11.3.1. Elasticsearch Curator 已被弃用 1 csearch 可能会对一些请求响应 HTTP 500 错误，即使集 群没有错误。重试请求会成功。在这个版本中解决了这个问题，方法是更新索引管理 cron 作业使 其在遇到临时 HTTP 500 错误时更具弹性。更新的索引管理 cron 作业将在失败前多次重试请求。 （LOG-1215） 在以前的版本中，如果您没有在集群安装配置中设置 .proxy 值，然后在已安装的集群上配置了全 局代理，则存在一个程序漏洞，它会阻止 eventrouter raising "Observed a panic: &runtime.TypeAssertionError" (LOG-1430) LOG-1461 - 索引管理作业状态始终为 Completed，即使作业日志中出现错误。(LOG-1461) LOG-1459 - Operator 缺少断开连接的注解（LOG-1459） LOG-1572 - Bug 1981579：修复内置应

自动设备发现 不支持 支持 使用机器健康检查功能自动修复损坏的机器 不支持 不支持 IBM Cloud 的云控制器管理器 支持 不支持 在节点上控制过量使用和管理容器密度 不支持 不支持 Cron 作业 支持 支持 Descheduler 支持 支持 Egress IP 支持 支持 加密数据存储在 etcd 中 支持 支持 FIPS 加密 支持 支持 Helm 支持 支持 Pod 横向自动扩展 时区正式 区正式发 发布 布 为 cron 任务调度设置时区现已正式发布。如果没有指定时区，Kubernetes 控制器管理器会解释相对于其 本地时区的调度。 如需更多信息，请参阅创建 cron 作业。 1.3.19. 监控 这个版本的监控堆栈包括以下新功能和修改的功能： 1.3.19.1. 监 监控堆 控堆栈组 栈组件和依 件和依赖项 赖项更新 更新 此发行版本包括监控堆栈组件和依赖项的以下版本更新： 修改了 KubeAggregatedAPIDown 警报和 KubeAggregatedAPIErrors 警报，以仅评估 apiserver 作业的指标。 修改 KubeCPUOvercommit 警报，以仅评估 kube-state-metrics 作业的指标。 修改 NodeHighNumberConntrackEntriesUsed,NodeNetworkReceiveErrs 和 第

spec.moduleLoader.container.kernelMappings，并找到适当的容器镜像名称。如果 内核映射定义了 build 或 sign，且容器镜像尚不存在，请根据需要运行构建、签名作业或两 者。 b. 使用上一步中确定的容器镜像创建模块加载程序守护进程集。 c. 如果定义了 .spec.devicePlugin，请使用 .spec.devicePlugin.container 中指定的配置创建 一个设备插件守护进程集。 4. 在以下运行 garbage-collect： a. 针对于集群中的任何节点都没有运行的内核版本的现有守护进程集。 b. 成功的构建作业。 c. 成功签名作业。 4.3.2. 安全和权限 重要 加载内核模块是一个高度敏感的操作。加载后，内核模块具有在节点上执行任何类型的操 作的所有可能权限。 4.3.2.1. ServiceAccounts

证与检查的发行镜像匹配的声明是否存在和签名。 4. CVO 在 openshift-cluster-version 命名空间中创建一个名为 version-$version-$hash 的作 业。此作业使用执行发行镜像的容器，因此集群通过容器运行时下载镜像。然后，作业会将清单 和元数据从发行镜像提取到 CVO 访问的共享卷。 5. CVO 验证提取的清单和元数据。 6. CVO 检查一些 preconditions，以确保集群 Linux 标头编译的。 2.3.4.2. 构建 建验证阶段 段 只有在镜像验证失败，且在与升级的内核相关的模 模块 块 中有一个 build 部分时，才会执行构建验证。构建验 证尝试运行构建作业，并验证它是否已成功完成。 注意 注意 在运行 depmod 时必须指定内核版本，如下所示： 如果在 PreflightValidationOCP 自定义资源(CR) 中定义 PushBuiltImage 只有在镜像验证失败时，才会执行签名验证，模 模块 块 中有一个与升级内核相关的 sign 部分，并在与升级的 内核相关的模 模块 块中存在 build 部分时成功完成构建部分。签名验证将尝试运行签名作业，并验证它是否已 成功完成。 如果在 PreflightValidationOCP CR 中定义 PushBuiltImage 标志，则签名验证也将尝试将生成的镜像推 送到其 registry。