. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 第三方硬件 / 软件支持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 虚拟化技术的知识、技巧和行业资格。 提前计划。在部署我们的产品之前，您将需要查看 VMware 发行说明及适用于您的环境的其他相关技 术文档。尤其重要的是客户操作系统的安装、配置和运行。我们还建议您仔细定义您的项目规划，包 括安排足够的测试时间并制定“危机”计划，以确保您的管理员知道如何与相关的供应商联系。有关 更多复杂的基础架构更改，VMware 提供了各种咨询服务，包括 VMware 虚拟基础架构方法 (VIM)，它 础架构。 指派适当的资源。指派为部署 VMware 产品的个人在安装 VMware 软件之前应熟悉您环境中的硬件、 桌面、服务器、网络操作系统和应用程序的安装、操作和维护。许多安装问题实际上是第三方组件和 软件的问题。无论是在物理机上还是在虚拟机上安装，都存在这些问题。如果您需要帮助，VMware 顾问可以确定适用于您环境的最佳解决方案，并能为您开发该解决方案，以便首次实施就能十分到位。

文件系统。OpenShift Container Platform 会尝试识别并提供共享访 问以及这个分区的隔离。容器镜像层和可写入层存储在此处。如果 runtime 分区存在，则 root 分区不包 含任何镜像层或者其它可写入的存储。 2.3. 临时存储管理 集群管理员可以通过设置配额在非终端状态的所有 Pod 中定义临时存储的限制范围，及临时存储请求数 量，来管理项目中的临时存储。开发人员也可以在 重要 重要 用户必须通过安装 iscsi-initiator-utils 软件包并在 /etc/iscsi/initiatorname.iscsi 中配置 启动器名称，确保所有 OpenShift Container Platform 节点上已配置了 iSCSI 启动 器。iscsi-initiator-utils 软件包已在使用 Red Hat Enterprise Linux CoreOS (RHCOS) pod 写入远程 NFS 服务器。NFS 卷正确挂载，但只 读。您将需要按照以下步骤启用正确的 SELinux 权限。 先决条件 先决条件 必须安装 container-selinux 软件包。这个软件包提供 virt_use_nfs SELinux 布尔值。 流程 流程 使用以下命令启用 virt_use_nfs 布尔值。使用 -P 选项可以使这个布尔值在系统重启后仍然有 效。 4.9.3

KIBANA 查 查看集群日志 看集群日志 6.1. 定义 KIBANA 索引模式 6.2. 在 KIBANA 中查看集群日志 第 第 7 章 章 将日志 将日志转发 转发到第三方系 到第三方系统 统 7.1. 关于将日志转发到第三方系统 当外部日志聚合器不可用时，Fluentd 日志处理 7.2. 支持的日志数据输出类型 7.3. 将日志转发到外部 ELASTICSEARCH 实例 7.4. 使用 OPENSHIFT LOGGING 发 发行注 行注记 记 7 JSON 日志现在可以作为 JSON 对象（而不是带引号的字符串）转发到红帽受管 Elasticsearch 集 群或其他支持的第三方系统。另外，您现在可以从 Kibana 中的 JSON 日志消息查询各个字段， 从而增加特定日志的可发现性。(LOG-785, LOG-1148) 1.2.1.2. 弃用和 弃用和删 删除的功能 除的功能 日志转发 API 将日志转发到外 部日志存储。 OpenShift Logging Elasticsearch 实例经过优化并测试，用于大约 7 天的简短存储。如果要更长时间保留 日志，建议您将数据移至第三方存储系统。 Elasticsearch 将日志数据从 Fluentd 整理到数据存储或 索引 中，然后将每个索引分成多个碎片（称为 shard(分片) ）,分散到 Elasticsearch 集群中的一组

查看集群日志 看集群日志 6.1. 定义 KIBANA 索引模式 6.2. 在 KIBANA 中查看集群日志 第 第 7 章 章 将日志 将日志转发 转发到外部第三方日志 到外部第三方日志记录 记录系 系统 统 7.1. 关于将日志转发到第三方系统 7.2. OPENSHIFT LOGGING 5.1 中支持的日志数据输出类型 7.3. OPENSHIFT LOGGING 5.2 中支持的日志数据输出类型 Container Platform 4.8 日志 日志记录 记录 30 1.23.2. 程序错误修复 在此次更新之前，如果您使用 syslog 协议转发日志，请串行化 ruby 哈希编码的键/值对，使其包 含"归档"字符，并使用"#11"替换制表符。在这个版本中解决了这个问题，日志消息被正确序列化 为有效的 JSON。(LOG-1494) 在此次更新之前，应用程序日志没有被正确配置，以转发到启用了多行错误检测的正确的 在此次更新之前，捆绑包清单中的问题会阻止在 OpenShift Container Platform 4.9 上安装 OpenShift Container Platform 4.8 日志 日志记录 记录 46 在此次更新之前，捆绑包清单中的问题会阻止在 OpenShift Container Platform 4.9 上安装 Elasticsearch Operator。在这个版本中，更正捆绑包清单会在

订阅集群节点的 REDFISH BMC 裸机事件 11.5. 将应用程序订阅到裸机事件 REST API 参考 第 第 12 章 章 访问 访问第三方 第三方监 监控 控 UI 和 和 API 12.1. 访问第三方监控 UI 12.2. 访问第三方监控 WEB 服务 API 12.3. 使用 PROMETHEUS 的联邦端点查询指标 12.4. 其他资源 第 第 13 章 章 监 监控 将人类操作知识编码到一个软件程序中，易于打包并与客户共享。 Operator Lifecycle Manager (OLM) OLM 可帮助您安装、更新和管理 Kubernetes 原生应用程序的生命周期。OLM 是一个开源工具包，用 于以有效、自动化且可扩展的方式管理 Operator。 持久性存 持久性存储 储 即便在设备关闭后也存储数据。Kubernetes 使用持久性卷来存储应用程序数据。 持久性卷声明 持久性卷声明 Container Platform 默认项目和用户定义的项目的指标。 注意 注意 只有集群管理员可以访问 OpenShift Container Platform Monitoring 提供的第三方 UI。 先决条件 先决条件 您可以使用具有 cluster-admin 集群角色的用户访问集群，或者具有所有项目的查看权限。 已安装 OpenShift CLI（oc）。 流程 流程 1

Platform 4.10 安装 安装 14 了解 OpenShift Container Platform 4 的不同。OpenShift Container Platform 4 将无缝地集成了软件 包、部署和管理 Kubernetes 应用程序以及平台在 Red Hat Enterprise Linux CoreOS（RHCOS）上运行 的 Operator。与其他需要部署机器并配置其操作系统以便在其中安装 如果要防止公共云中的集群从外部公开端点，您可以在 AWS、Azure 或 GCP 上使用安装程序置备的基础 架构部署私有集群。 如果您需要安装对互联网有限访问的集群，如断开连接的或受限的网络集群，您可以镜像安装软件包并从 中安装集群。在受限网络中使用用户置备的基础架构：AWS、GCP、IBM Z or LinuxONE、IBM Z or 第 第 2 章 章 选择 选择集群安装方法并 集群安装方法并为 为用 用户 mirror registry for Red Hat OpenShift 对您的系统会有 一些变化。安装后，会创建一个 $HOME/quay-install 目录，其中包含安装文件、本地存 储和配置捆绑包。如果部署目标是本地主机，则生成可信 SSH 密钥，并且设置主机计算机 上的 systemd 文件，以确保容器运行时持久。另外，会创建一个名为 init 的初始用户，并 自动生成的密码。所有访问凭证都会在安装例程的末尾打印。

IaC 方式管理云原生资源的主要工具。然而，当下大多数托管环境都是云供应商 原生服务、第三方服务和自定义代码的复杂组合。在这些环境中，我们发现工程师通常会使用 Terraform 处理 云资源，又使用自定义脚本处理其他资源。这可能导致资源创建过程缺乏一致性和可重复性。事实上，在托管环 境中常用的许多第三方服务 Terraform 都提供了相应的支持程序，可以用来创建和配置这些服务，例如 Splunk、 于 GenAI 的工具日益普及，这也引 发了一种新的软件供应链攻击媒介：包幻觉。我们认为在开发过程中使用 GenAI 工具的团队需要重视这类风险。 团队可以通过对依赖进行健康检查化解包幻觉风险：在选择依赖之前查看它的创建日期、下载数量、github 评论 及星标数、贡献者数量、活动历史记录等。一些依赖健康检查可以在包存储仓库和 GitHub 上执行，而像 deps. dev 和 Snyk advisor 在 SQL 数据转换中实 践模块化、可测试性、和可复用性的能力。 dbt 有开源和商业化 SaaS 产品两种版本和健康的生态，包括一个 提供了许多用于单元测试、数据质量、数据可观测性等软件包的社区。这些包中尤为值得注意的是用于监测数 据质量的 dbt-expectations 和用于构建数据转换的单元测试的 dbt-unit-testing。dbt 很好地集成了各种云数 据仓库、数据湖和数据库，包括

Container Platform 4，则需要 了解 OpenShift Container Platform 4 的不同。OpenShift Container Platform 4 将无缝地集成了软件 包、部署和管理 Kubernetes 应用程序以及平台在 Red Hat Enterprise Linux CoreOS（RHCOS）上运行 的 Operator。与其他需要部署机器并配置其操作系统以便在其中安装 如果要防止公共云中的集群从外部公开端点，您可以在 AWS、Azure 或 GCP 上使用安装程序置备的基础 架构部署私有集群。 如果您需要安装对互联网有限访问的集群，如断开连接的或受限的网络集群，您可以镜像安装软件包并从 中安装集群。按照用户置备的基础架构安装到 AWS, GCP, IBM Z or IBM® LinuxONE , IBM Z or IBM® LinuxONE with RHEL KVM, IBM mirror registry for Red Hat OpenShift 对您的系统会有 一些变化。安装后，会创建一个 $HOME/quay-install 目录，其中包含安装文件、本地存 储和配置捆绑包。如果部署目标是本地主机，则生成可信 SSH 密钥，并且设置主机计算机 上的 systemd 文件，以确保容器运行时持久。另外，会创建一个名为 init 的初始用户，并 自动生成的密码。所有访问凭证都会在安装例程的末尾打印。

文件系统。OpenShift Container Platform 会尝试识别并提供共享访 问以及这个分区的隔离。容器镜像层和可写入层存储在此处。如果 runtime 分区存在，则 root 分区不包 含任何镜像层或者其它可写入的存储。 2.3. 临时存储管理 集群管理员可以通过设置配额在非终端状态的所有 Pod 中定义临时存储的限制范围，及临时存储请求数 量，来管理项目中的临时存储。开发人员也可以在 重要 重要 用户必须通过安装 iscsi-initiator-utils 软件包并在 /etc/iscsi/initiatorname.iscsi 中配置 启动器名称，确保所有 OpenShift Container Platform 节点上已配置了 iSCSI 启动 器。iscsi-initiator-utils 软件包已在使用 Red Hat Enterprise Linux CoreOS (RHCOS) pod 写入远程 NFS 服务器。NFS 卷正确挂载，但只 读。您将需要按照以下步骤启用正确的 SELinux 权限。 先决条件 先决条件 必须安装 container-selinux 软件包。这个软件包提供 virt_use_nfs SELinux 布尔值。 流程 流程 使用以下命令启用 virt_use_nfs 布尔值。使用 -P 选项可以使这个布尔值在系统重启后仍然有 效。 spec:

命令，不影响使用。但不包含图形界面，以及镜像维护、用户管理、访问控制等高级 功能。在官方的商业化版本 Docker Trusted Registry 中，提供了这些高级功能。 除了官方的 Docker Registry 外，还有第三方软件实现了 Docker Registry API，甚至提供了用 户界面以及一些高级功能。比如，VMWare Harbor 和 Sonatype Nexus。 仓库 23 安装 Docker 开始，一部分内核模块移到了可选内核模块包 ( linux-image-extra-* ) ，以 减少内核软件包的体积。正常安装的系统应该会包含可选内核模块包，而一些裁剪后的系统 可能会将其精简掉。 AUFS 内核驱动属于可选内核模块的一部分，作为推荐的 Docker 存储层 驱动，一般建议安装可选内核模块包以使用 AUFS 。 如果系统没有安装可选内核模块的话，可以执行下面的命令来安装可选内核模块包： $ sudo linux-image-extra-virtual 使用 APT 安装 Ubuntu 25 由于 apt 源使用 HTTPS 以确保软件下载过程中不被篡改。因此，我们首先需要添加使用 HTTPS 传输的软件包以及 CA 证书。 $ sudo apt-get update $ sudo apt-get install \ apt-transport-https \ ca-certificates