转发应用程序日志 7.9. 使用旧的 FLUENTD 方法转发日志 7.10. 使用旧的 SYSLOG 方法转发日志 第 第 8 章 章 启 启用 用 JSON 日志 日志记录 记录 8.1. 解析 JSON 日志 8.2. 为 ELASTICSEARCH 配置 JSON 日志数据 8.3. 将 JSON 日志转发到 ELASTICSEARCH 日志存储 第 第 9 章 章 收集并存 收集并存储 -35491)相关的序 列化 gadget 和输入之间的交互 Jackson-databind:错误处理与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool（CVE-2020-35728） Jackson-databind:错误处理与 OpenShift Container Platform 4.7 日志 日志记录 DriverAdapterCPDS（CVE-2020-36182） Jackson-databind:错误处理序列化 gadgets 和输入与 org.docx4j.org.apache.xalan.lib.sql.JNDIConnectionPool（CVE-2020-36183） Jackson-databind:错误地处理与 org.apache.tomcat.dbcp.dbcp2.datasources

Operator 的 DEGRADED 状 态取决于 Operator 自己的资源，而不是节点的状态。 安装完成后，您可以继续使用以下步骤监控集群中的节点状况。 先决条件 先决条件 安装程序会在终端中成功解析。 流程 流程 1. 显示所有 worker 节点的状态： 输出示例 出示例 2. 显示所有 worker 机器的阶段： $ oc get nodes NAME 订阅。 安装了 Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux(RHEL)8。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的免密码 sudo 访问。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 --quayHostname 客户端用来联系 registry 的镜像 registry 的完全限定域名。等同于 Quay config.yaml 中的 SERVER_HOSTNAME。必须由 DNS 解析。如果未指定，则 默认为 :8443。[1] --quayRoot, -r 保存容器镜像层和配置数据的目录，包括 rootCA.key、rootCA.pem 和

3.4.2 或更高版本以及 OpenSSL 的 Red Hat Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 OpenShift --quayHostname 客户端用来联系 registry 的镜像 registry 的完全限定域名。等同于 Quay config.yaml 中的 SERVER_HOSTNAME。必须可以被 DNS 解析。如果未指 定，则默认为 :8443。[1] --quayStorage 保存 Quay 持久性存储数据的文件夹。默认为 quay-storage Podman 卷。卸载需 插件。oc-mirror 插件引用存储后端的元数据，并只下载上次运行 该工具后所发布的元数据。这为 OpenShift Container Platform 和 Operator 提供了更新路径，并根据需 要执行依赖项解析。 重要 重要 当使用 oc-mirror CLI 插件填充镜像 registry 时，必须使用 oc-mirror 工具对镜像 registry 进行进一步的更新。 4.4.2. oc-mirror

3.4.2 或更高版本以及 OpenSSL 的 Red Hat Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 OpenShift --quayHostname 客户端用来联系 registry 的镜像 registry 的完全限定域名。等同于 Quay config.yaml 中的 SERVER_HOSTNAME。必须可以被 DNS 解析。如果未指 定，则默认为 :8443。[1] --quayStorage 保存 Quay 持久性存储数据的文件夹。默认为 quay-storage Podman 卷。卸载需 插件。oc-mirror 插件引用存储后端的元数据，并只下载上次运行 该工具后所发布的元数据。这为 OpenShift Container Platform 和 Operator 提供了更新路径，并根据需 要执行依赖项解析。 重要 重要 当使用 oc-mirror CLI 插件填充镜像 registry 时，必须使用 oc-mirror 工具对镜像 registry 进行进一步的更新。 4.4.2. oc-mirror

Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 OpenShift --quayHostname 客户端用来联系 registry 的镜像 registry 的完全限定域名。等同于 Quay config.yaml 中的 SERVER_HOSTNAME。必须可以被 DNS 解析。如果未指 定，则默认为 :8443。[1] --quayStorage 保存 Quay 持久性存储数据的文件夹。默认为 quay-storage Podman 卷。卸载需 插件。oc-mirror 插件引用存储后端的元数据，并只下载上次运行该工具 后所发布的元数据。这为 OpenShift Container Platform 和 Operator 提供了更新路径，并根据需要执行 依赖项解析。 重要 重要 当使用 oc-mirror CLI 插件填充镜像 registry 时，必须使用 oc-mirror 工具对镜像 registry 进行进一步的更新。 3.4.2. 关于镜像 registry

Kubernetes API 服务器必须能够解析集群机器的节点名称。如果 API 服务器和 worker 节点位于不同的区 域中，您可以配置默认 DNS 搜索区域，以便 API 服务器能够解析节点名称。另一种支持的方法是始终在 节点对象和所有 DNS 请求中使用完全限定域名来指代主机。 您必须配置机器间的网络连接，以便集群组件进行通信。每台机器都必须能够解析集群中所有其他机器的 主机名。 表 表 1 时间服务会读取信息，并可与 NTP 服务器同步时钟。 其他 其他资 资源 源 配置 chrony 时间服务 1.1.4.2. 用 用户置 置备 DNS 要求 要求 DNS 用于名称解析和反向名称解析。DNS A/AAAA 或 CNAME 记录用于名称解析，PTR 记录用于反向解 析名称。反向记录很重要，因为 Red Hat Enterprise Linux CoreOS（RHCOS）使用反向记录为所有节点 设置主机名。另外，反向记录用于生成 群外的客户端以及集群中的所有节点解析。 api-int.. . 添加 DNS A/AAAA 或 CNAME 记录，以及 DNS PTR 记录， 以识别 control plane 机器的负载均衡器。这些记录必须可以 从集群中的所有节点解析。 重要 重要 API 服务器必须能够根据在 Kubernetes 中记 录的主机名解析 worker 节点。如果

订阅。 安装了 Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux(RHEL)8。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的免密码 sudo 访问。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 --quayHostname 客户端用来联系 registry 的镜像 registry 的完全限定域名。等同于 Quay config.yaml 中的 SERVER_HOSTNAME。必须由 DNS 解析。如果未指定，则 默认为 :8443。[1] --quayRoot, -r 保存容器镜像层和配置数据的目录，包括 rootCA.key、rootCA.pem 和 Platform，您使用的 Amazon Web Services (AWS) 帐户必须在 Route 53 服 务中有一个专用的公共托管区。此区域必须对域具有权威。Route 53 服务为集群外部连接提供集群 DNS 解析和名称查询。 流程 流程 1. 标识您的域或子域，以及注册商（registrar）。您可以转移现有的域和注册商，或通过 AWS 或其 他来源获取新的域和注册商。 注意 注意 如果您通过 AWS

Prometheus Operator 和 etcd CRD 指定依赖项： dependencies.yaml 文件示例 文件示例 其他 其他资源 源 Operator Lifecycle Manager 依赖项解析 dependencies: - type: olm.package value: packageName: prometheus version: ">0.27 属性 2.2.2.3.2. olm.gvk 属性 属性 olm.gvk 属性定义此捆绑包提供的 Kubernetes API 的 group/version/kind (GVK)。OLM 使用此属性解析 捆绑包，作为列出与所需 API 相同的 GVK 的其他捆绑包的依赖项。GVK 必须遵循 Kubernetes GVK 验 证。 例 例 2.5. olm.gvk 属性 属性 2.2.2.3.3 构建基于文件的目录的方法有很多；以下步骤概述了一个简单的方法： 1. 为目录维护一个配置文件，其中包含目录中每个 Operator 的镜像引用： 目 目录配置文件示例 配置文件示例 2. 运行一个脚本，该脚本将解析配置文件并从其引用中创建新目录： 脚本示例 脚本示例 #PropertyGVKRequired: { type: "olm.gvk.required" value: { group:

14. 从特定 POD 转发应用程序日志 7.15. 收集 OVN 网络策略审计日志 7.16. 日志转发故障排除 第 第 8 章 章 启 启用 用 JSON 日志 日志记录 记录 8.1. 解析 JSON 日志 8.2. 为 ELASTICSEARCH 配置 JSON 日志数据 8.3. 将 JSON 日志转发到 ELASTICSEARCH 日志存储 第 第 9 章 章 收集并存 收集并存储 平台轮转日志文件，且不会读取日志消息。 在这个版本中，通过设置上游开发团队所推荐的配置参数修正。(LOG-2792) 在此次更新之前，当 ClusterLogForwarder 自定义资源定义了 JSON 解析时，每个 rollover 任 务都会创建空索引。在这个版本中，新的索引不为空。(LOG-2823) 在此次更新之前，如果您删除了 Kibana 自定义资源，OpenShift Container clusterrolebinding。在这个版本中，服务帐户使用角色和 rolebinding 限制到 openshift-logging 命名空间。(LOG-2437) 在此次更新之前，Linux 审计日志时间解析依赖于键/值对的正序位置。此更新会将解析更改为使 用正则表达式来查找时间条目。(LOG-2321) 1.8.2. CVE 例 例 1.3. 点 点击 击以展开 以展开 CVE CVE-2018-25032 CVE-2021-4028