Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.1.2. Red Hat OpenShift distributed tracing Platform 3.0 中的组件版本 Operator 组 组件 件 Version Red Hat Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.2.2. Red Hat OpenShift distributed tracing Platform 2.9.2 中的组件版本 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 行注记 Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.3.2. Red Hat OpenShift distributed tracing Platform 2.9.1 中的组件版本 Operator 组 组件 件 Version Red

指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY 模块 1.21. 使用 3SCALE ISTIO 适配器 1.22. 服务网格故障排除 1.23. ENVOY 代理故障排除 1.24. SERVICE MESH CONTROL PLANE 配置参考 OpenShift Service Mesh 通过在应用程序中创建集中控制点来解决微服务架构中的各种问题。它 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 来解决这些架构问题，并可修改、重定向或创建新请求到其他服务。 3scale API 管理解决方案的可选集成。对于 2.1 之前的版本，这个集成 是通过 3scale Istio 适配器实现的。对于 2.1 版本，3scale 集成通过 WebAssembly 模块实现。 有关如何安装 3scale 适配器的详情，请参考 3scale Istio 适配器文档 1.3.3. 了解 Kiali Kiali 通过显示服务网格中的微服务服务以及连接方式，为您提供了一个可视性的服务网格概述。

10. 解决故障节点来触发虚拟机故障切换 10.11. 安装 QEMU 客户机代理和 VIRTIO 驱动程序 10.12. 查看虚拟机的 QEMU 客户机代理信息 10.13. 使用虚拟可信平台模块设备 10.14. 使用 OPENSHIFT PIPELINES 管理虚拟机 10.15. 高级虚拟机管理 10.16. 导入虚拟机 10.17. 克隆虚拟机 10.18. 虚拟机网络 10 Descheduler 交换机 启用或禁用 descheduler。descheduler 驱除正在运行的 pod，以便可将 pod 重 新调度到更合适的节点上。 专用资源 点编辑图标，选择 Schedule this workload with dedicated resources (guaranteed policy)。 驱除策略 点编辑图标选择 LiveMigrate 作为 VirtualMachineInstance Descheduler 交换机 启用或禁用 descheduler。descheduler 驱除正在运行的 pod，以便可将 pod 重 新调度到更合适的节点上。 专用资源 点编辑图标，选择 Schedule this workload with dedicated resources (guaranteed policy)。 驱除策略 点编辑图标选择 LiveMigrate 作为 VirtualMachineInstance

RHEL 加 密库，在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 Validation。 有关 NIST 验证程序的更多信息，请参阅加密模块验证程序。有关为验证提交的 RHEL 加密库的单独版本 的最新 NIST 状态，请参阅 Compliance Activities 和 Government Standards。 1.2. OPENSHIFT 1.3.2.9. Azure 的可信 的可信启动 启动（技 （技术预览 术预览） ） 在 Azure 上安装集群时，您可以启用可信启动功能（技术预览）。这些功能包括安全引导和虚拟化受信任 的平台模块。如需更多信息，请参阅为 Azure 虚拟机启用可信启动。 1.3.2.10. Google Cloud Platform 的用 的用户 户定 定义 义的 的标签 标签和 和标签 标签（技 （技术预览 （技术预览 术预览） ） 在这个版本中，您可以配置机器集来部署使用 Azure 机密虚拟机、可信启动或两者的机器。这些机器可以 使用统一可扩展固件接口 (UEFI) 安全功能，如安全引导或专用虚拟信任平台模块 (vTPM) 实例。 您可以将此功能用于 compute 和 control plane 机器集。 1.3.18. 节点 1.3.18.1. 大型集群的 大型集群的 descheduler 资

Virtualization 的支持，Ansible 模块可用于自动执行集群管理任务，如模板、持久性卷声明和虚拟机操 作。 Ansible 提供了一种方式来自动执行 OpenShift Virtualization 管理，您也可以使用 oc CLI 工具或 API 来 完成此项操作。Ansible 独具特色，因其可用于将 KubeVirt 模块与其他 Ansible 模块集成。 8.15.4.2. 自 自动创建虚 2. 选择虚拟机以打开 VirtualMachine 详 详情 情页面。 3. 在 Scheduling 选项卡中，点 Dedicated Resources 旁边的铅笔图标。 4. 选择 Schedule this workload with dedicated resources (guaranteed policy)。 5. 点 Save。 8.15.9. 调度虚拟机 在确保虚拟机的 vendor-ID 值（10de）和 device-ID 值（1eb8）来将单个设备绑定到 VFIO 驱动程序。您可以使用其供应商和设备信息添加多个设备列表。 在 worker 节点上载入 vfio-pci 内核模块的文件。 3. 使用 Butane 生成 MachineConfig 对象文件 100-worker-vfiopci.yaml，包含要发送到 worker 节 点的配置： 4. 将 MachineConfig

pollInterval: 15m 4 ... $ oc get cronjob NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE elasticsearch-im-app */15 * * * * False 0 $ oc project openshift-logging $ oc get cronjob NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE elasticsearch-im-app */15 * * * * False 0 带有 有绿 绿色状 色状态 态索引的 索引的输 输出示例 出示例 $ oc get cronjob NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE elasticsearch-im-app */15 * * * * False 0

本例使用请求标头身份提供程序为 OpenShift Container Platform 配置 Apache 验证代理服务器。 自定 自定义 义代理配置 代理配置 使用 mod_auth_gssapi 模块是使用请求标头身份提供程序配置 Apache 认证代理的流行方法，但这并不 是必需的。如果满足以下要求，您可以轻松地使用其他代理： 阻断来自客户端请求的 X-Remote-User 标头以防止欺骗。 使用请 请求 求标头 标头配置 配置 Apache 身份 身份验证 验证 这个示例使用 mod_auth_gssapi 模块使用请求标头身份提供程序配置 Apache 验证代理。 先决条件 先决条件 通过 Optional channel 获得 mod_auth_gssapi 模块。您必须在本地机器中安装以下软件包： httpd mod_ssl mod_session apr-util-openssl ldap-sync spec: 1 schedule: "*/30 * * * *" 2 concurrencyPolicy:

pollInterval: 15m 4 ... $ oc get cronjob NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE elasticsearch-im-app */15 * * * * False 0 $ oc project openshift-logging $ oc get cronjob NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE elasticsearch-im-app */15 * * * * False 0 带有 有绿 绿色状 色状态 态索引的 索引的输 输出示例 出示例 $ oc get cronjob NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE elasticsearch-im-app */15 * * * * False 0

网络 络的集群 的集群 251 19.6.5.3. SCTP 流控制传输协议 (SCTP) 是在 RAN 应用程序中使用的密钥协议。此 MachineConfig 对象向节点添加 SCTP 内核模块以启用此协议。 推荐的 推荐的 SCTP 配置 配置 19.6.5.4. 加速容器 加速容器启动 启动 以下 MachineConfig CR 配置 OpenShift 核心进程和容器，以便在系统启动和关闭过程中使用所有可用 logs: fluentd: {} type: fluentd curation: type: "curator" curator: schedule: "30 3 * * *" managementState: Managed --- apiVersion: logging.openshift.io/v1 kind: ClusterLogForwarder .yaml 配置集群的工作负载分区。安装集群时应用此 MachineConfig CR。 MachineConfigSctp.yaml 加载 SCTP 内核模块。此 MachineConfig CR 是可 选的，如果您不需要这个内核模块，可以忽略。 MachineConfigContainerMountNS.yaml 配置容器挂载命名空间和 kubelet conf。 MachineCon

应用程序和它所需的数据库之间 建立凭据交换。 后端服务 应用在网络上运行的任何服务或软件作为其正常操作的一部分。示例包括数据库、消息代理、 带 REST 端点的应用、事件流、应用程序性能监控器 (APM) 或硬件安全模块 (HSM)。 工作负载（应 用程序） 任何在容器内运行的进程。示例包括 Spring Boot 应用、NodeJS Express 应用或 Ruby on Rails 应用。 绑定数据 有关 --keep-younger-than=60m --confirm 第 第 13 章 章 修剪 修剪对 对象以重新声明 象以重新声明资 资源 源 165 1 2 3 4 5 6 7 8 9 10 schedule: CronJob 格式的调度。这是可选字段，默认为每日的午夜。 suspend: 如果设置为 true，CronJob 运行的修建操作会被挂起。这是可选字段，默认为 false。新 集群上的初始值为 容限。这是可选字段。 successfulJobsHistoryLimit：要保留的作业的最大值。必须是 >= 1 才能确保报告指标。这是可选 字段，默认为 3。初始值为 3。 spec: schedule: 0 0 * * * 1 suspend: false 2 keepTagRevisions: 3 3 keepYoungerThanDuration: 60m 4 keepYoungerThan: