提交历史记 录。要对指定存储库的默认分支执行完整 git clone，请将 ref 设为默认分支（如 master）的名称。 警告 警告 如果 Git 克隆操作要经过执行中间人 (MITM) TLS 劫持或重新加密被代理连接的代 理，该操作将不起作用。 3.4.1. 使用代理 如果 Git 存储库需要使用代理才能访问，您可以在 BuildConfig 的 source 部分中定义要使用的代理。您 建输 输入 入 11 构建器 pod 需要访问定义为构建源的任何 Git 存储库。源克隆 secret 为构建器 pod 提供了通常无权访问 的资源的访问权限，例如私有存储库或具有自签名或不可信 SSL 证书的存储库。 支持以下源克隆 secret 配置。 .gitconfig 文件 基本身份验证 SSH 密钥身份验证 可信证书颁发机构 注意 注意 您还可以组合使用这些配置来满足特定的需求。 [http] sslVerify=false 3.4.2.4. 从 从 .gitconfig 文件 文件为安全 安全 Git 创建 建 secret 如果 Git 服务器使用双向 SSL 和用户名加密码进行保护，您必须将证书文件添加到源构建中，并在 .gitconfig 文件中添加对证书文件的引用。 先决条件 先决条件 Git 凭证 流程 流程 将证书文件添加到源构建中，并在

的提交历史记 录。要执行指定存储库的默认分支的完整 git clone，请将 ref 设置为默认分支的名称（如 main）。 警告 警告 如果 Git 克隆操作要经过执行中间人 (MITM) TLS 劫持或重新加密被代理连接的代 理，该操作不起作用。 2.3.4.1. 使用代理 使用代理 如果 Git 存储库只能使用代理访问，您可以在构建配置的 source 部分中定义要使用的代理。您可以同时 CI/CD 10 构建器 pod 需要访问定义为构建源的任何 Git 存储库。源克隆 secret 为构建器 pod 提供了通常无权访问 的资源的访问权限，例如私有存储库或具有自签名或不可信 SSL 证书的存储库。 支持以下源克隆 secret 配置： .gitconfig 文件 基本身份验证 SSH 密钥身份验证 可信证书颁发机构 注意 注意 您还可以组合使用这些配置来满足特定的需求。 sslVerify=false，则可以关闭 iVSSL 验证： 2.3.4.2.4. 从 从 .gitconfig 文件 文件为 为安全 安全 Git 创 创建 建 secret 如果 Git 服务器使用双向 SSL 和用户名加密码进行保护，您必须将证书文件添加到源构建中，并在 .gitconfig 文件中添加对证书文件的引用。 先决条件 先决条件 您必须具有 Git 凭证。 流程 流程 将证书文件添加到源构建中，并在

"email": "you@example.com" } } } 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 65 1 码，以及自定义 TLS 证书。这为用户提供了一个容器 registry，以便在受限网络环境中运行 OpenShift Container Platform 时，轻松创建所有 OpenShift Container Platform flags"。 3. 运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 $ sudo ./mirror-registry install \ login --authfile pull-secret.txt \ -u init \ -p \ :8443> \ --tls-verify=false 1 OpenShift Container Platform 4.7 安装 安装 66 1 注意 注意 您还可以在安装后通过 https://

0 码力 | 2276 页 | 23.68 MB | 1 年前

3

OpenShift 提供了一个预先确定的网络配置，并在成功时报告部署的组件凭证 并访问 URL。另外还提供了一组有限的可选配置输入，如完全限定域名(FQDN)服务、超级用户名称和密 码，以及自定义 TLS 证书。这为用户提供了一个容器 registry，以便在受限网络环境中运行 OpenShift Container Platform 时，轻松创建所有 OpenShift Container Platform flags"。 3. 运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 $ podman login -u init \ -p \ :8443> \ --tls-verify=false 1 第 第 4 章 章 断开 断开连 连接的安装 接的安装镜 镜像 像 31 此流程解释了如何使用 upgrade 命令从本地主机更新 Red Hat OpenShift

"email": "you@example.com" } } } OpenShift Container Platform 4.8 安装 安装 22 1 码，以及自定义 TLS 证书。这为用户提供了一个容器 registry，以便在受限网络环境中运行 OpenShift Container Platform 时，轻松创建所有 OpenShift Container Platform flags"。 3. 运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 $ sudo ./mirror-registry install \ login --authfile pull-secret.txt \ -u init \ -p \ :8443> \ --tls-verify=false 1 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 23 1 注意 注意 您还可以在安装后通过 https://

0 码力 | 2586 页 | 27.37 MB | 1 年前

3

OpenShift 提供了一个预先确定的网络配置，并在成功时报告部署的组件凭证 并访问 URL。另外还提供了一组有限的可选配置输入，如完全限定域名(FQDN)服务、超级用户名称和密 码，以及自定义 TLS 证书。这为用户提供了一个容器 registry，以便在受限网络环境中运行 OpenShift Container Platform 时，轻松创建所有 OpenShift Container Platform flags"。 3. 运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 $ podman login -u init \ -p \ :8443> \ --tls-verify=false 1 $ sudo ./mirror-registry upgrade -v OpenShift Container Platform 4.10 安装 安装 22 注意

负载 负载均衡器 均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。 用程序入口负载 负载均衡器 均衡器:提供来自集群外部的应用程序流量流量的 Ingress 点。配置以下条件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，您必须为 Ingress 路由启用Server Name Indication（SNI）。 建议根据可用选项以及平台上托管的应用程序类型，使用基于连接的或者基于会话的持久 默认运行入口路由器 Pod、计算或 worker 的机器。 X X HTTP 流量 提示 提示 如果负载均衡器可以看到客户端的真实 IP 地址，启用基于 IP 的会话持久性可提高使用端到端 TLS 加密的 应用程序的性能。 注意 注意 第 第 1 章 章 在裸机上安装 在裸机上安装 9 注意 注意 OpenShift Container Platform 集群需要正确配置入口路由器。control

在安全令牌服务集群中安装 AWS LOAD BALANCER OPERATOR 24.5. 创建 AWS LOAD BALANCER CONTROLLER 实例 24.6. 创建多个入口 24.7. 添加 TLS 终止 24.8. 配置集群范围代理 136 139 139 139 140 140 142 142 167 170 184 184 186 188 188 190 190 OVN-Kubernetes 网络插件，默认插件 OpenShift SDN 网络插件 经认证的第三方替代主网络插件 用于网络插件管理的 Cluster Network Operator 用于 TLS 加密 Web 流量的 Ingress Operator 用于名称分配的 DNS Operator 用于裸机集群上的流量负载均衡的 MetalLB Operator 对高可用性的 IP 故障转移支持 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： 第 第 2 章 章 了解网 了解网络 络 9 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift

1. API 负载均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。 2. 应用程序入口负载均衡器:提供来自集群外部的应用程序流量流量的 Ingress 点。配置以下条件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，您必须为 Ingress 路由启用Server Name Indication（SNI）。 建议根据可用选项以及平台上托管的应用程序类型，使用基于连接的或者基于会话的持久 默认运行入口路由器 Pod、计算或 worker 的机器。 X X HTTP 流量 提示 提示 如果负载均衡器可以看到客户端的真实 IP 地址，启用基于 IP 的会话持久性可提高使用端到端 TLS 加密的 应用程序的性能。 注意 注意 OpenShift Container Platform 集群需要正确配置入口路由器。control plane 初始化后， 您必须配置入口路由器。 以太网适配器硬件地址要求

1.13.1 不匹配。 MAISTRA-622 在 Maistra 0.12.0/TP12 中，permissive 模式无法正常工作。用户可以使用 Plain text 模式或 Mutual TLS 模式，但不能使用 permissive 模式。 MAISTRA-572 Jaeger 无法与 Kiali 一起使用。在这个版本中，Jaeger 被配置为使用 OAuth 代 理，但它被配置为只能 求标头 2.1.7. OpenSSL Red Hat OpenShift Service Mesh 将 BoringSSL 替换为 OpenSSL。OpenSSL 是包含安全套接字层 (SSL) 和传输层 (TLS) 协议的开源实现的软件库。Red Hat OpenShift Service Mesh Proxy 二进制代码动 态地将 OpenSSL 库（libssl 和 libcrypto）与底层的 不支持基于 QUIC 的服务。 Red Hat OpenShift Service Mesh 目前还不支持使用 Istio 的 Secret Discovery Service (SDS) 功 能部署 TLS 证书。Istio 的实施取决于使用 hostPath 挂载的 nodeagent 容器。 后 后续 续步 步骤 骤 准备在 OpenShift Container Platform 环境中安装