存在的风险。 在这个延迟后，fast 频道中可用的发行版本始终在 stable 频道中可用。 如果一个更新被支持但不推荐使用意味着什么？ 如果一个更新被支持但不推荐使用意味着什么？ 红帽会持续评估来自多个源的数据，以确定从一个版本更新到另一个版本是否会导致问题。如果 确定了问题，用户可能不再建议更新路径。但是，即使不推荐更新路径，如果客户执行了更新， 仍然被支持。 红帽不会阻止用户升级到特 资源还包含集群可用的更新信息。这包括可用更新，但不推荐因为应用到集群的已知风 险而不推荐。这些更新称为条件更新。要了解 CVO 如何在 ClusterVersion 资源中维护此信息，请参 阅"更新可用性评估"部分。 您可以使用以下命令检查所有可用更新： 注意 注意 额外的 --include-not-recommended 参数包括可用的更新，但不推荐因为应用到 集群的已知风险而不建议这样做。 }, "risks": [...] }, ... ] 第 第 1 章 章 了解 了解 OPENSHIFT 更新 更新 9 1 1.2.1.2. 更新可用性的 更新可用性的评估 估 Cluster Version Operator (CVO) 会定期查询 OpenShift Update Service (OSUS)，以获取与更新可能相 关的最新数据。这个数据基于集群的订阅频道。然后，CVO

5 Prometheus Prometheus 是 OpenShift Container Platform 监控堆 栈所依据的监控系统。Prometheus 是一个时间序列数 据库和用于指标的规则评估引擎。Prometheus 将警报 发送到 Alertmanager 进行处理。 Prometheus Adapter Prometheus Adapter（上图中的 PA）负责转换 Kubernetes Alertmanager 进行处 理。 Thanos Ruler Thanos Ruler 是 Prometheus 的一个规则评估引擎， 作为一个独立的进程来部署。在 OpenShift Container Platform 4.10 中，Thanos Ruler 为监控用户定义的项 目提供规则和警报评估。 组 组件 件 描述 描述 注意 注意 在为用户定义的项目启用监控后，会部署上表中的组件。 监控堆栈中的所有组件都由堆栈监控，并在 节点上运行。 Prometheus Prometheus 是 OpenShift Container Platform 监控堆栈所依据的监控系统。Prometheus 是一个时间 序列数据库和用于指标的规则评估引擎。Prometheus 将警报发送到 Alertmanager 进行处理。 Prometheus adapter Prometheus Adapter 会转换 Kubernetes 节点和 pod

到 OpenShift Container Platform 4.14 后出现问题，其中已删除的 API 仍在由运行或与集群交互的工作负 载、工具或其他组件使用。管理员必须针对将要删除的任何 API 评估其集群，并迁移受影响的组件，以使 用适当的新 API 版本。完成此操作后，管理员可以向管理员提供确认。 所有 OpenShift Container Platform 4.13 集群都需要此管理员确认，然后才能升级到 服务发现。 已更改 已更改 修改了 KubeAggregatedAPIDown 警报和 KubeAggregatedAPIErrors 警报，以仅评估 apiserver 作业的指标。 修改 KubeCPUOvercommit 警报，以仅评估 kube-state-metrics 作业的指标。 修改 NodeHighNumberConntrackEntriesUsed,NodeNetworkReceiveErrs 记 25 修改 NodeHighNumberConntrackEntriesUsed,NodeNetworkReceiveErrs 和 NodeNetworkTransmitErrs 警报，以评估 node-exporter 作业的指标。 删除 除 删除了不可行的 MultipleContainersOOMKilled 警报。其他警报涵盖内存压力不足的节点。 1.3.19.3. 基于核心平台指

授权涉及确定用户是否有权限来执行请求的操作。 管理员可以定义权限，并使用 RBAC 对象（如规则、角色和绑定）将它们分配给用户。要了解授权在 OpenShift Container Platform 中的工作方式，请参阅评估授权。 您还可以通过项目和命名空间来控制对 OpenShift Container Platform 集群的访问。 除了控制用户对集群的访问外，您还可以控制 Pod 可以执行的操作，以及它可使用 定来绑定到用户，以便该用户能够查看项目。只有集群角色不提供特定情形所需的权限集合时才应创建本 地角色。 这种双级分级结构允许通过集群角色在多个项目间重复使用，同时允许通过本地角色在个别项目中自定 义。 在评估过程中，同时使用集群角色绑定和本地角色绑定。例如： 1. 选中集群范围的“allow”规则。 2. 选中本地绑定的“allow”规则。 3. 默认为拒绝。 8.1.1. 默认集群角色 OpenShift 规则会授予执行权 限。应用最小特权的原则，仅分配用户和代理所需的最小 RBAC 权限。如需更多信 息，请参阅 RBAC 规则允许执行权限。 8.1.2. 评估授权 OpenShift Container Platform 使用以下几项来评估授权： 身份 身份 用户名以及用户所属组的列表。 操作 操作 您执行的操作。在大多数情况下，这由以下几项组成： 项 项目 目：您访问的项目。项目是一种附带额外注解的

注 第 第 1 章 章 SERVICE MESH 2.X 15 NONE 没有进行规范化。Envoy 接收的任何内容都会完全 按原样转发到任何后端服 务。 ../%2Fa../b 由授权策略 评估并发送到您的服务。 此设置会受到 CVE- 2021-31920 的影响。 BASE 这是目前 Istio 默 默认 认安装 中使用的选项。这在 Envoy 代理上应用 normalize_path -f OpenShift Container Platform 4.8 Service Mesh 98 1.14.5. 了解目的地规则 目的地规则在评估虚拟服务路由规则后应用，它们应用到流量的真实目的地。虚拟服务将流量路由到目的 地。目的地规则配置该目的地的网络流量。 默认情况下，Red Hat OpenShift Service Mesh 使用 对象中任何字段的一部分。它指定如何查找和处理给定凭证字段。评 估之后，成功解析意味着找到一个或多个值。失败的解决方案意味着没有找到任何值。 lookup queries 的数组描述了一个短电路或关系：成功解析其中一个查询会停止评估任何剩余查询，并 将值或值分配到指定的凭证类型。数组中的每个查询相互独立。 lookup queries 由单个字段（一个源对象）组成，它可以是多个源类型之一。请参见以下示例： spec: config:

列表。 如果不省略 ，则所有嵌套的 部分也必须评估为 true。否则会假定 false，并且不会应 用或建议具有对应 部分的配置集。因此，嵌套（子级 部分）会以逻辑 AND 运算来运 作。反之，如果匹配 列表中任何一项，整个 列表评估为 true。因此，该列表以逻辑 OR 运算来运作。 如果定义 了 了 和 worker 角色的节点，您必须使用 master 角色。 列表项 match 和 machineConfigLabels 由逻辑 OR 操作符连接。match 项首先以短电路方式评估。因 此，如果它被评估为 true，则不考虑 MachineConfigLabels 项。 重要 重要 match: 3 4 priority: 5 守护进程会查看同一节点上是否在运行设有 tuned.openshift.io/elasticsearch 标签的 pod。如果没有， 则整个 部分评估为 false。如果存在具有该标签的 pod，为了让 部分评估为 true，节 点标签也需要是 node-role.kubernetes.io/master 或 node-role.kubernetes.io/infra。

模式仅在创建 pod 时自动应用 VPA 建议。 Off 模式只提供推荐的资源限制和请求信息，用户可以手动应用其中的建议。off 模式不会更新 pod。 您还可以使用 CR 使特定容器不受 VPA 评估和更新的影响。 例如，pod 具有以下限制和请求： 在创建了一个设置为 auto 的 VPA 后，VPA 会了解资源使用情况并删除 pod。重新部署时，pod 会使用新 NAME 可以决定推荐的资源前，pod 必须已在运行。 2.5.3.5. 阻止容器特定容器 阻止容器特定容器应 应用 用 VPA 建 建议 议 如果您的工作负载对象有多个容器，且您不希望 VPA 对所有容器进行评估并进行操作，请为特定工作负 载对象创建一个 VPA CR，添加一个 resourcePolicy 已使特定容器不受 VPA 的影响。 当 VPA 使用推荐的资源更新 pod 时，任何带有 resourcePolicy CheckNodeUnschedulable predicate 会检查 pod 是否可以调度到具有 Unschedulable 规格的节点。 CheckVolumeBinding predicate 根据卷（它请求的卷）评估 pod 是否可以适合绑定和未绑定 PVC。 对于绑定的 PVC， predicate 会检查给定节点是否满足对应 PV 的节点关联性。 对于未绑定 PVC，该 predicate 会搜索可满足

动应用其中的建 用其中的建议 议。 。off 模式不会更 模式不会更 新 新 pod。 。 您 您还 还可以使用 可以使用 CR 使特定容器不受 使特定容器不受 VPA 评 评估和更新的影 估和更新的影响 响。 。 例如， 例如，pod 具有以下限制和 具有以下限制和请 请求： 求： 在 在创 创建了一个 建了一个设 设置 置为 阻止容器特定容器应 应用 用 VPA 建 建议 议 如果您的工作 如果您的工作负载对 负载对象有多个容器，且您不希望 象有多个容器，且您不希望 VPA 对 对所有容器 所有容器进 进行 行评 评估并 估并进 进行操作， 行操作，请为 请为特定工作 特定工作 负载对 负载对象 象创 创建一个 建一个 VPA CR，添加一个 ，添加一个 resourcePolicy 已使特定容器不受 已使特定容器不受 OpenShift Container Platform 4.6 节 节点 点 120 CheckVolumeBinding predicate 根据卷（它 根据卷（它请 请求的卷） 求的卷）评 评估 估 pod 是否可以适合 是否可以适合绑 绑定和未 定和未绑 绑定 定 PVC。 。 对 对于 于绑 绑定的 定的 PVC， ， predicate 会

通过控制对 worker 节点的更新，您可以确保关键任务应用程序在整个更新 过程中仍然可用，即使更新过程会导致应用程序失败。根据您的机构需求，您可能需要更新一小部分 worker 节点，在一个时间段内评估集群和工作负载健康状况，然后更新剩余的节点。这称为 Canary 更 新。或者，您可能还希望将通常需要主机重新引导的 worker 节点更新放入较小的定义的维护窗口（不可 能一次使用大型维护窗口来更新整个集群）。您可以执行以下步骤： worker 节点进行更多受控的更新推出，以确保任务关键型应用程序在更新过 程中仍然可用，即使更新过程导致您的应用程序失败。根据您的机构需求，您可能需要更新一小部分 worker 节点，在一个时间段内评估集群和工作负载健康状况，然后更新剩余的节点。这通常被称为 Canary 更新。或者，您可能还希望将通常需要主机重新引导的 worker 节点更新放入较小的定义的维护窗 口（不可能一次使用大型维护窗口来更新整个集群）。 workerpool-canary 更新的负面影响，那么在分析完问题前，您会 在保持足够容量的同时，对那个池中的所有节点进行 cordon 和 drain 操作。当一切正常时，您将在决定 取消暂停前评估集群和工作负载健康状况，从而在每个额外的维护窗口中持续更新 workerpool- A、workerpool-B 和 workerpool-C。 使用自定义 MCP 管理 worker 节点更新提

公开的就绪度和存活度探测指标会被抓取。这提供了容器的历史存活度和就绪度数 据，这在对容器问题进行故障排除时非常有用。 Thanos Ruler 的警报规则会被更新，在没有正确评估记录规则和警报规则时，会把警报进行分 页。在这个版本中，当 Thanos Ruler 中的规则及警报评估没有完成时，重要警报不会被丢失。 KubeStatefulSetUpdateNotRolledOut 警报被更新，以便在部署有状态的集合时不会触发。 CR。(BZ#1837156) 用户界面无法正确评估安全关闭，从而导致在关闭控制台时出现不正确的警告。现在，接口会等 待节点 Pod 加载，并在关闭时显示正确的警告。(BZ#1872893) 容器 容器 在以前的版本中，处理从构建上下文中复制内容的 COPY 或 ADD 指令的逻辑在 .dockerignore 文件存在时无法有效地过滤。如果评估源位置中的每个项目是否需要复制到目的地，那么会明显