ExecStart=/usr/sbin/setenforce 1 TimeoutSec=0 [Install] WantedBy=multi-user.target graphical.target enabled: true name: sync-var-lib-etcd-to-etcd.service /var/lib/etcd，强制恢复 SELinux 标签。 旧内容不会被删除。 3. 节点位于独立磁盘后，使用以下信息更新机器配置文件 etcd-mc.yml ： WantedBy=multi-user.target graphical.target enabled: true name: restorecon-var-lib-etcd.service $ oc exec 命令查看这些配置集的内容： 4.4. 验证是否应用了 TUNED 配置集 验证应用到集群节点的 TuneD 配置集。 输 输出示例 出示例 NAME：配置集（Profile）对象的名称。每个节点有一个 Profile 对象，其名称相互匹配。 TUNED：要应用的 TuneD 配置集的名称。 APPLIED：如果 TuneD 守护进程应用了所需的配置集，则为 True。 （True/False/Unknown）。

强操作 操作 您可以使用 OpenShift Container Platform 中提供的各种工具和功能，更轻松地使用 pod。以下操作涉及 使用这些工具和功能来更好地管理 pod。 操作 操作 User 更多信息 更多信息 创建并使用 pod 横向自动扩展。 开发者 您可以使用 pod 横向自动扩展来指定您要 运行的 pod 的最小和最大数量，以及 pod 的目标 CPU 使用率或内存使用率。通过使 Secret 对象 向 pod 提供敏感数据。 Administrator 有些应用程序需要敏感信息，如密码和用 户名。您可以使用 Secret 对象向应用程 序 pod 提供此类信息。 操作 操作 User 更多信息 更多信息 1.3. 关于容器 容器是 OpenShift Container Platform 应用程序的基本单元，它由应用程序代码与其依赖项、库和二进制 文件一起打包。容器提供不 openshift-user-critical - 您可以使用带有重要 pod 的 priorityClassName 字段，这些 pod 无法 绑定其资源消耗，且没有可预测的资源消耗行为。openshift-monitoring 和 openshift-user- workload-monitoring 命名空间下的 Prometheus Pod 使用 openshift-user-critical

参阅以下部分以了解如何使用 CLI 完成常见任务。 2.1.4.1. 创 创建一个 建一个项 项目 目 使用oc new-project命令创建新项目。 输 输出示例 出示例 $ oc login -u user1 Server [https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate (y/n): y 2 Authentication required for https://openshift.example.com:6443 (openshift) Username: user1 Password: 3 Login successful. You don't have any projects. You can try to create a new project, https://git.k8s.io/community/contributors/devel/api-conventions.md#resources ... $ oc logout Logged "user1" out on "https://openshift.example.com" $ oc completion bash > oc_bash_completion $ sudo cp oc_bash_completion

c --type='json' - p='[{"op":"add","path":"/spec/template/spec/metadata/labels", "value":{"type":"user- node","region":"east"}}]' -n openshift-machine-api b. 使用 使用 oc edit 命令 命令验证标签 验证标签是否已添加到 region: east type: user-node .... $ oc label nodes = $ oc label nodes ip-10-0-142-25.ec2.internal type=user-node region=east $ oc get nodes -l type=user-node,region=east NAME node-role.kubernetes.io/worker: '' type: user-node 1 apiVersion: v1 kind: Pod .... spec: nodeSelector: region: east type: user-node 第 第 2 章 章 使用 使用 POD 107 注意 注意 您不能直接将

输出示例 出示例 输入 OpenShift Container Platform 服务器的 URL。 输入是否使用不安全的连接。 输入用户密码。 注意 注意 $ oc login -u user1 Server [https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate (y/n): y 2 Authentication required for https://openshift.example.com:6443 (openshift) Username: user1 Password: 3 Login successful. You don't have any projects. You can try to create a new project, https://git.k8s.io/community/contributors/devel/api-conventions.md#resources ... $ oc logout Logged "user1" out on "https://openshift.example.com" 第 第 2 章 章 OPENSHIFT CLI (OC) 15 2.2. 配置 OPENSHIFT CLI

字节之间。如果此字段为空，则最大长度设置为 默认值 1024 字节。 facility 指定日志消息的 syslog 工具。如果该字段为空， 则工具为 local1。否则,它必须指定一个有效的 syslog 工 具： kern、user、mail、daemon、auth、 syslog, lpr, news, uucp, cron, auth2, ftp, ntp, audit, alert, cron2, local0, httpCaptureHeaders: request: - maxLength: 256 name: Connection - maxLength: 128 name: User-Agent response: - maxLength: 256 name: Content-Type - maxLength: 256 name: Container Platform TLS 安全配置集基于 Mozilla 推荐的配置。 您可以为每个组件指定以下 TLS 安全配置集之一： 表 表 7.1. TLS 安全配置集 安全配置集 profile 描述 描述 OpenShift Container Platform 4.13 网 网络 络 42 Old 此配置集用于旧的客户端或库。该配置集基于旧的向后兼容性建议配置。 Old 配置集要求最低

syslog 端点的 UDP 端口号。 facility 指定日志消息的 syslog 工具。如果该字段为空， 则工具为 local1。否则,它必须指定一个有效的 syslog 工 具： kern、user、mail、daemon、auth、 syslog, lpr, news, uucp, cron, auth2, ftp, ntp, audit, alert, cron2, local0, httpCaptureHeaders: request: - maxLength: 256 name: Connection - maxLength: 128 name: User-Agent response: - maxLength: 256 name: Content-Type - maxLength: 256 name: Container Platform TLS 安全配置集基于 Mozilla 推荐的配置。 您可以为每个组件指定以下 TLS 安全配置集之一： 表 表 6.1. TLS 安全配置集 安全配置集 profile 描述 描述 OpenShift Container Platform 4.9 网 网络 络 32 Old 此配置集用于旧的客户端或库。该配置集基于旧的向后兼容性建议配置。 Old 配置集要求最低

syslog 端点的 UDP 端口号。 facility 指定日志消息的 syslog 工具。如果该字段为空， 则工具为 local1。否则,它必须指定一个有效的 syslog 工 具： kern、user、mail、daemon、auth、 syslog, lpr, news, uucp, cron, auth2, ftp, ntp, audit, alert, cron2, local0, 示例 示例 TLS 安全配置集定义 Ingress Controller 的 TLS 连接的最低 TLS 版本和 TLS 密码。 您可以在 Status.Tls Profile 和 Spec.Tls Security Profile 下看到 IngressController 自定义资源（CR） 中配置的 TLS 安全配置集的密码和最小 TLS 版本。对于 Custom TLS 安全配置集，这两个参数下列出了 Version: operator.openshift.io/v1 Kind: IngressController ... Spec: ... Tls Security Profile: Custom: Ciphers: ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305

控。下图 中的默 默认 认安装 安装部分说明了这些组件。 用于 用于监 监控用 控用户 户定 定义项 义项目的 目的组 组件 件。在选择性地为用户定义的项目启用监控后，会在 openshift-user- workload-monitoring 项目中安装其他监控组件。这为用户定义的项目提供了监控。下图中的用 用 户 户部分说明了这些组件。 OpenShift Container Platform 控用户 户定 定义 义的 的项 项目的 目的组 组件 件 组 组件 件 描述 描述 第 第 1 章 章 监 监控概述 控概述 7 Prometheus Operator openshift-user-workload-monitoring 项目中的 Prometheus Operator (PO) 在同一项目中创建、配置 和管理 Prometheus 和 Thanos Ruler 实例。 Prometheus ServiceMonitor、 、PodMonitor 和 和 PrometheusRule 对 对象。 象。 修改 修改 openshift-monitoring 或 或 openshift-user-workload-monitoring 项 项目中部署的任何 目中部署的任何资 资源或 源或 对 对象。 象。OpenShift Container Platform 监控堆栈所创建的资源并不是为了供任何其他资源使用，

caps: [mon] profile rbd, allow command 'osd blocklist' caps: [osd] profile rbd client.csi-rbd-provisioner key: AQCYz0pi6W8IIBAAgRJfrAW7kZfucNdqJqS9dQ== caps: [mgr] allow rw caps: [mon] profile rbd, allow allow command 'osd blocklist' caps: [osd] profile rbd 3. 运行之前下载的 python 脚本，再保存从外部 Red Hat Ceph Storage 存储集群生成的 JSON 输 出。 a. 运行之前下载的 python 脚本： # python3 ceph-external-cluster-details-exporter.py --rbd-data-pool-name --monitoring- endpoint-port --rgw-endpoint -- run-as-user [optional arguments] --rbd-data-pool-name 用于在 OpenShift Data Foundation 中提供块存储的必填参数。