可以跟后端服务通信。如果删除并重新创建服务，可以为该服务分配一个新的 IP 地址，而且 需要重新创建前端 pod 来获取服务 IP 环境变量的更新值。另外，必须在任何前端 pod 之前创建后端服 务，以确保正确生成服务 IP，并将它作为环境变量提供给前端 pod。 因此，OpenShift Container Platform 具有一个内置 DNS，以便服务 DNS 以及服务 IP/端口能够访问这 些服务。 Container Platform 4.9 网 网络 络 6 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift Container Platform 中， 生成路由以满足 Ingress 资源指定的条件。 1.3. OPENSHIFT CONTAINER PLATFORM 网络的常见术语表 该术语表定义了在网络内容中使用的常用术语。 身份 身份验证 验证 指定用于自定义网络策略审计日志的配置对象。如果未设置，则 使用默认的审计日志设置。 表 表 4.5. policyAuditConfig object 字段 字段 类 类型 型 描述 描述 rateLimit 整数 每个节点每秒生成一次的消息数量上限。默认值为每秒 20 条消 息。 maxFileSize 整数 审计日志的最大大小，以字节为单位。默认值为 50000000 或 50 MB。 目的地 目的地 字符串 以下附加审计日志目标之一：

可以跟后端服务通信。如果删除并重新创建服务，可以为该服务分配一个新的 IP 地址，而且 需要重新创建前端 pod 来获取服务 IP 环境变量的更新值。另外，必须在任何前端 pod 之前创建后端服 务，以确保正确生成服务 IP，并将它作为环境变量提供给前端 pod。 因此，OpenShift Container Platform 具有一个内置 DNS，以便服务 DNS 以及服务 IP/端口能够访问这 些服务。 第 第 2 章 章 了解网 了解网络 络 9 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift Container Platform 中， 生成路由以满足 Ingress 资源指定的条件。 2.3. OPENSHIFT CONTAINER PLATFORM 网络的常见术语表 该术语表定义了在网络内容中使用的常用术语。 身份 身份验证 验证 Firewall Operator 使用扩展的 Berkley Packet Filter (eBPF) 和 eXpress Data Path (XDP) 插件来处理节点防火墙规则，更新统计信息并为丢弃的流量生成事件。Operator 管理入口节点防火墙资 源，验证防火墙配置，不允许错误配置规则来防止集群访问，并将 ingress 节点防火墙 XDP 程序加载到规 则对象中的所选接口。如需更多信息，请参阅了解

Service Mesh 简介 Red Hat OpenShift Service Mesh 通过在应用程序中创建集中控制点来解决微服务架构中的各种问题。它 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1. 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始： master、 slave、blacklist 。 ServiceMeshControlPlane 修改示例 修改示例 1.2.2.18.2. 授权策略所需的更新 Istio 为主机名本身和所有匹配端口生成主机名。例如，用于 "httpbin.foo" 主机的虚拟服务或网关会生成  apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane metadata: name: basic

及这些微服务 间的交互。当服务网格的规模和复杂性增大时，了解和管理它就会变得非常困难。 Red Hat OpenShift Service Mesh 基于开源 Istio 项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署 以便可以通 过信任度不同的网络进行传输。 策略 策略强 强制 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥 遥测 测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.3.3. Red Hat OpenShift Service Mesh 1.1.2 版中包含的组件版本 f/utility.cc:174] Using deprecated option 'envoy.api.v2.Listener.use_original_dst' from file LDS.proto。This configuration will be removed from Envoy soon. MAISTRA-681 和 KIALI-2686 当 control plane 有多个命名空间时，可能会导致出现性能问题。

可以跟后端服务通信。如果删除并重新创建服务，可以为该服务分配一个新的 IP 地址，而且 需要重新创建前端 pod 来获取服务 IP 环境变量的更新值。另外，必须在任何前端 pod 之前创建后端服 务，以确保正确生成服务 IP，并将它作为环境变量提供给前端 pod。 因此，OpenShift Container Platform 具有一个内置 DNS，以便服务 DNS 以及服务 IP/端口能够访问这 些服务。 Container Platform 4.6 网 网络 络 10 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift Container Platform 中， 生成路由以满足 Ingress 资源指定的条件。 第 第 1 章 章 了解网 了解网络 络 11 第 2 章 访问主机 了解如何创建堡垒主机来访问 OpenShift Container Platform tegy 类型和内部负载平衡）提供了发布 Ingress Controller 端点的方法。 6.2. INGRESS 配置资产 安装程序在 config.openshift.io API 组中生成带有 Ingress 资源的资产，cluster-ingress-02- config.yml。 Ingress 资 资源的 源的 YAML 定 定义 义 安装程序将这个资产保存在 manifests/

平台验证执 验证执行延 行延迟测试 迟测试 15.1. 运行延迟测试的先决条件 15.2. 关于延迟测试的发现模式 15.3. 测量延迟 15.4. 运行延迟测试 15.5. 生成延迟测试失败报告 15.6. 生成 JUNIT 延迟测试报告 15.7. 在单节点 OPENSHIFT 集群上运行延迟测试 15.8. 在断开连接的集群中运行延迟测试 15.9. 对 CNF-TESTS 容器的错误进行故障排除 卷不使用突发性能。 2. Infra 节点用于托管 Monitoring、Ingress 和 Registry 组件，以确保它们有足够资源可大规模运 行。 3. 工作负载节点专用于运行性能和可扩展工作负载生成器。 4. 使用更大的磁盘，以便有足够的空间存储在运行性能和可扩展性测试期间收集的大量数据。 5. 在迭代中扩展了集群，且性能和可扩展性测试是在指定节点数中执行的。 8.2.2. IBM Power 82 2. Infra 节点用于托管 Monitoring、Ingress 和 Registry 组件，以确保它们有足够资源可大规模运 行。 3. 工作负载节点专用于运行性能和可扩展工作负载生成器。 4. 使用更大的磁盘，以便有足够的空间存储在运行性能和可扩展性测试期间收集的大量数据。 5. 在迭代中扩展了集群。 8.2.3. IBM Z 平台 节 节点 点 vCPU [4] RAM(GiB)[5]

建配置资 资源 源 12.1. 构建控制器配置参数 12.2. 配置构建设置 第 第 13 章 章 构 构建故障排除 建故障排除 13.1. 解决资源访问遭到拒绝的问题 13.2. 服务证书生成失败 第 第 14 章 章 为构 为构建 建设 设置其他可信 置其他可信证书颁发 证书颁发机 机构 构 14.1. 在集群中添加证书颁发机构 14.2. 其他资源 第 第 15 章 章 创 创建和使用 构建（ 建（build） ） 2 目 目录 录 3 第 1 章 理解镜像构建 1.1. 构建（BUILD） 构建 (build)是将输入参数转换为结果对象的过程。此过程最常用于将输入参数或源代码转换为可运行的镜 像。BuildConfig 对象是整个构建过程的定义。 OpenShift Container Platform 使用 Kubernetes，从构建镜像创建容器并将它们推送到容器镜像 Source-to-Image (S2I) 构建 Custom 构建 默认情况下，支持 Docker 构建和 S2I 构建。 构建生成的对象取决于用于创建它的构建器（builder）。对于 Docker 和 S2I 构建，生成的对象为可运行 的镜像。对于 Custom 构建，生成的对象是构建器镜像作者指定的任何事物。 此外，也可利用 Pipeline 构建策略来实现复杂的工作流： 持续集成 持续部署

构建 使用 OpenShift 构建时，您可以使用声明性构建过程创建云原生应用程序。您可以在用于创建 BuildConfig 对象的 YAML 文件中定义构建过程。此定义包括构建触发器、输入参数和源代码等属性。部 署之后，BuildConfig 对象通常构建可运行的镜像并将其推送到容器镜像 registry。 OpenShift 构建为构建策略提供以下可扩展的支持： Docker 构建 So CI/CD 概述 概述 3 第 2 章 构建（BUILD） 2.1. 理解镜像构建 2.1.1. Builds 构建 (build) 是将输入参数转换为结果对象的过程。此过程最常用于将输入参数或源代码转换为可运行的 镜像。BuildConfig 对象是整个构建过程的定义。 OpenShift Container Platform 使用 Kubernetes，从构建镜像创建容器并将它们推送到容器镜像 Source-to-image（S2I）构建 Custom 构建 默认情况下，支持 docker 构建和 S2I 构建。 构建生成的对象取决于用于创建它的构建器（builder）。对于 docker 和 S2I 构建，生成的对象为可运行 的镜像。对于自定义构建，生成的对象是构建器镜像作者指定的任何事物。 此外，也可利用管道构建策略来实现复杂的工作流： 持续集成 持续部署 2.1.1.1

1. 定义镜像元数据 4.3. 使用 SOURCE-TO-IMAGE 从源代码创建镜像 4.3.1. 了解 source-to-image 构建过程 4.3.2. 如何编写 Source-to-image 脚本 4.4. 关于测试 SOURCE-TO-IMAGE 镜像 4.4.1. 了解测试要求 4.4.2. 生成脚本和工具 4.4.3. 本地测试 4.4.4. 基本测试工作流 4.4 了解模板 10.2. 上传模板 10.3. 使用 WEB 控制台创建应用程序 10.4. 使用 CLI 从模板创建对象 10.4.1. 添加标签 10.4.2. 列出参数 10.4.3. 生成对象列表 10.5. 修改所上传的模板 10.6. 使用即时应用程序和快速启动模板 10.6.1. 快速启动模板 10.6.1.1. Web 框架快速启动模板 10.7. 编写模板 10 以为镜像中打包的服务提供冗余和横向扩展。 您可以直接使用 podman 或 Docker CLI 构建镜像，但 OpenShift Container Platform 也提供了构建程序 （builder）镜像，这有助于通过将您的代码或配置添加到现有镜像来创建新镜像。 由于应用程序会随时间发展，因此单个镜像名称实际上可以指代同一镜像的许多不同版本。每个不同的镜 像都会有一个代表它的唯一哈希值（一个较长的十六进制值，如 fd44

SAMPLES OPERATOR 镜像流 第 第 4 章 章 创 创建 建镜 镜像 像 4.1. 学习容器最佳实践 4.2. 包括镜像中的元数据 4.3. 使用 SOURCE-TO-IMAGE 从源代码创建镜像 4.4. 关于测试 SOURCE-TO-IMAGE 镜像 第 第 5 章 章 管理 管理镜 镜像 像 5.1. 管理镜像概述 5.2. 标记镜像 5.3. 镜像拉取（PULL）策略 5 以为镜像中打包的服务提供冗余和横向扩展。 您可以直接使用 podman 或 Docker CLI 构建镜像，但 OpenShift Container Platform 也提供了构建程序 （builder）镜像，这有助于通过将您的代码或配置添加到现有镜像来创建新镜像。 由于应用程序会随时间发展，因此单个镜像名称实际上可以指代同一镜像的许多不同版本。每个不同的镜 像都会有一个代表它的唯一哈希值（一个较长的十六进制值，如 fd44 Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 1.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： 1.7. 容器 OpenShift Container Platform