their respective owners. 摘要 摘要 本文档提供有关在 OpenShift Container Platform 中使用 Operator 的信息。文中为集群管理员提供 了 Operator 的安装和管理说明，为开发人员提供了如何通过所安装的 Operator 创建应用程序的信 息。另外还提供了一些使用 Operator SDK 构建自用 Operator 的指南。 . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 OPERATOR 概述 概述 1.1. 对于开发人员 1.2. 对于管理员 1.3. 后续步骤 第 第 2 章 章 了解 了解 OPERATOR 2.1. 什么是 OPERATOR? 2.2. OPERATOR FRAMEWORK 打包格式 2.3. OPERATOR 第 4 章 章 管理 管理员 员任 任务 务 4.1. 在集群中添加 OPERATOR 4.2. 更新安装的 OPERATOR 4.3. 从集群中删除 OPERATOR 4.4. 配置 OPERATOR LIFECYCLE MANAGER 功能 4.5. 在 OPERATOR LIFECYCLE MANAGER 中配置代理支持 4.6. 查看 OPERATOR 状态 4.7. 管理 OPERATOR

SERVICEMESHCONTROLPLANE 1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 MESH 和 ISTIO 的不同 2.4. 准备安装 SERVICE MESH 2.5. 安装 SERVICE MESH 2.6. 在 SERVICE MESH 中自定义安全性 2.7. 流量管理 2.8. 在 SERVICE MESH 上部署应用程序 2.9. 数据可视化和可观察性 2.10. 自定义资源 2.11. 使用 3SCALE ISTIO 适配器 2.12. 删除 SERVICE 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 来解决这些架构问题，并可修改、重定向或创建新请求到其他服务。 Service Mesh 基于开源 Istio 项目，为创建部署的

zhangxin@caicloud.io tangjiyuan@caicloud.io 关于我们 • 开源技术创新者 • 从 Kubernetes 到 Kubeflow • Google 原生 Borg 容器团队 • CMU 校友与世界金牌、冠军 • 中国技术社区引领者 • Kubernetes 中文官网组织者 • github.com/kubernetes/kubernetes-docs-cn Chinese community initiator • 企业级产品与解决方案 • Compass: 打通业务与数据、从数字化到智能化转 型 • Clever: 基于容器的 AI PaaS 平台（AI Devops、资 源管理任务调度） 工业互联网平台 - 制造业大势所趋 • 全球工业互联网平台数量 > 150 国家 研究内容 代表成果 政策扶持 工业互联网综合平台，采用数据流打通与 数据分析衍生价值的结构 体系：用户体系，产品体系， 流程体系 • 管理：服务集成，统一管理 应用互联互通 应用形态复杂 • KPI: 峰值CPU利用率不低 于30% • 资源申请：按峰值30%进 行申请 • 峰值：1000TPS, 平时： 100TPS • 做自己擅长的事情，合作 方式开发 • 产品迭代：如何持续演进 和优化 • 外包管理：如何标准化降 低管理成本，提高质量 外包开发模式 资源利用率KPI

程式安全 容器是為服務架構套件配置和軟體相依性的必要元素。 Kubernetes 是用於部署和管理這些容器的開源軟體。 使 用 Kubernetes 可以更快地交付、部署和管理容器化應用 程式，透過可重複使用的模組化元件提高效率、優化資源利 用和降低授權費用以節省成本。 然而還是存在各種風險： • 特權用戶濫用 - 按照預設值，Docker 依據 root 特權存 取權限執行，管理員對所有租戶金鑰 具有完全的存取權。這個不受約束的存取層級引發多種 風險。如果管理員能夠不受限制的存取容器映像和其中 儲存的資料，則企業可能遭受針對特權層級的攻擊。 • 跨容器存取 - 不當的權限配置可能造成多個容器存取應 該保持隱私的機敏資料。此外，當容器被託管在共享的 虛擬化或雲端環境中，關鍵資訊可能會暴露給第三方。 • 合規風險 - 許多合規性要求有嚴格的存取控制與稽查規 範。然而，許多資安團隊在管理和追蹤容器與映像內留 存資料，控制權受到限制。因此，這些資安團隊發現很 提供用於加密、存取控制和資料存取日誌記錄的容器內核 功能，使企業能夠對Kubernetes 環境中的資料建立堅實 穩固的防護。 透過 CipherTrust Transparent Encrypton 的擴展，資料保護可以在每個容器的基礎上應用，兼具保 護容器的內部資料，以及經過容器存取的外部儲存資料， 都統一經由 CipherTrust Manager 集中管理。 優勢 CipherTrust

Service YAML 文件 代码、应用、CICD 流水线 容器 Pod Controller 调度 Node Sidecar CNI CSI 研发都要做 Kubernetes 专家？ Kubernetes 构建 Platform on Kubernetes 控制器 各种各样的控制器（Controller） 容器 虚拟机 负载均衡 数据库 安全服务 网络 存储 Pod Deployment Deployment Service Node Custom Resource 一组容器 一组 Pod 副本 Pod 的访问入口 节点 自定义对象 声明式 API 对象 基础设施层能力 业务运维 平台工程师 业务研发 扩容策略 发布策略 分批策略 访问控制 流量配置 应用管理平台 （Openshift、Cloudfoundry、阿里内部、腾讯内部 …） 应用 CI/CD 流水线 K8s K8s PaaS K8s 但是，K8s PaaS 正面临着“能力困境” 研发与运维人员日益增长的应用管理诉求 PaaS 有限的、不可扩展的专有API 与能力 K8s 生态“无限”的应用基础设施能力 而且，PaaS 还面临着严重分化 PaaS A Kubernetes PaaS B PaaS C 研发效率 学习成本 同一个公司内数个 PaaS on Kubernetes 思考：

Serverless Kubernetes: Container in Cloud Native Way 阿里云容器服务团队 张维 KUBECON CHINA 2018 应用部署演化： Going native with cloud Virtual Machine/Bare Metal Increasing focus on business logic Decreasing Kubernetes容器服务 - 按照应用使用资源付费 - 无需管理服务器节点 容器调度与编排 经典Kubernetes容器服务 - 按照集群节点数量付费 ECS Pod Pod Pod Pod ECS Pod Pod Pod Pod ECS Pod Pod Pod Pod 经典Kubernetes集群 容器调度与编排 Pod addon混合集群 容器调度与编排 Pod Pod Pod … Elastic Container Instance (ECI) Pod Pod Node-2 Pod Pod Node-1 Pod Pod Node-N ECI Provider 虚拟节点 • 无限弹性，敏捷扩容 • 支持pod之间互联互通 无需管理服务器 Without

1 字典视图对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 4.11 上下文管理器类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 4.12 GenericAlias 日历相关函数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 8.4 collections --- 容器数据类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 8.4.1 ChainMap 对象 . . . . . . . . . . . . . . . . . . . 224 8.5 collections.abc --- 容器的抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 8.5.1 容器抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . .

字典视图对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 4.11 上下文管理器类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 4.12 GenericAlias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 8.4 collections --- 容器数据类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 8.4.1 ChainMap 对象 . . . . . . . . . . . . . . . . 238 8.5 collections.abc --- 容器的抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 8.5.1 容器抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . .

字典视图对象 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 i 4.12 上下文管理器类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 4.13 类型注解的类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 8.4 collections --- 容器数据类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 8.4.1 ChainMap 对象 . . . . . . . . . . . . . . . . . 253 8.5 collections.abc --- 容器的抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 8.5.1 容器抽象基类 . . . . . . . . . . . . . . . . . . . . . . . . . . . .