构建（ 建（build） ） 2 目 目录 录 3 第 1 章 理解镜像构建 1.1. 构建（BUILD） 构建 (build)是将输入参数转换为结果对象的过程。此过程最常用于将输入参数或源代码转换为可运行的镜 像。BuildConfig 对象是整个构建过程的定义。 OpenShift Container Platform 使用 Kubernetes，从构建镜像创建容器并将它们推送到容器镜像 uilder）。对于 Docker 和 S2I 构建，生成的对象为可运行 的镜像。对于 Custom 构建，生成的对象是构建器镜像作者指定的任何事物。 此外，也可利用 Pipeline 构建策略来实现复杂的工作流： 持续集成 持续部署 1.1.1. Docker 构建 Docker 构建策略调用 docker build 命令，它需要一个含有 Dockerfile 的存储库并且其中包含所有必要的 Docker 格式容器镜像的工具。它通过将应用程序源 代码注入容器镜像并汇编新镜像来生成可随时运行的镜像。新镜像融合了基础镜像（构建器）和构建的源 代码，并可搭配 buildah run 命令使用。S2I 支持递增构建，可重复利用以前下载的依赖项和过去构建的 工件等。 S2I 的优点包括： 镜像灵活性 可以编写 S2I 脚本，将应用程序代码注入到几乎所有现有的 Docker 格式容器镜像，以此利用

pod 中。 KMS 密 密钥 OpenShift Container Platform 4.14 存 存储 储 4 Key Management Service (KMS) 可帮助您在不同服务间实现所需的数据加密级别。您可以使用 KMS 密钥加密、解密和重新加密数据。 本地卷 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 NFS 网络文件系统(NFS)允许远程主机通过网络 。 PV 是卷插件，与 Volumes 资源类似，但PV 的生命周期独立于任何使用它的 pod。PV 对象获取具体存 储（NFS、iSCSI 或者特定 cloud-provider 的存储系统）的实现详情。 重要 重要 存储的高可用性功能由底层的存储架构提供。 PVC 由 PersistentVolumeClaim API 项定义，它代表了开发人员对存储的一个请求。它与一个 pod 类 似，pod 如果将具有高文件数的持久性卷附加到 pod，则这些 pod 可能会失败，或者可能需要很长 时间才能启动。如需更多信息，请参阅在 OpenShift 中使用具有高文件计数的持久性卷 时，为什么 pod 无法启动或占用大量时间来实现"Ready"状态？ 3.2.4. 使用中的存储对象保护 使用中的存储对象保护功能确保了被 pod 使用的活跃的 PVC 以及与其绑定的 PV 不会从系统中移除，如 果删除它们可能会导致数据丢失。

构建 使用 OpenShift 构建时，您可以使用声明性构建过程创建云原生应用程序。您可以在用于创建 BuildConfig 对象的 YAML 文件中定义构建过程。此定义包括构建触发器、输入参数和源代码等属性。部 署之后，BuildConfig 对象通常构建可运行的镜像并将其推送到容器镜像 registry。 OpenShift 构建为构建策略提供以下可扩展的支持： Docker 构建 So CI/CD 概述 概述 3 第 2 章 构建（BUILD） 2.1. 理解镜像构建 2.1.1. Builds 构建 (build) 是将输入参数转换为结果对象的过程。此过程最常用于将输入参数或源代码转换为可运行的 镜像。BuildConfig 对象是整个构建过程的定义。 OpenShift Container Platform 使用 Kubernetes，从构建镜像创建容器并将它们推送到容器镜像 构建生成的对象取决于用于创建它的构建器（builder）。对于 docker 和 S2I 构建，生成的对象为可运行 的镜像。对于自定义构建，生成的对象是构建器镜像作者指定的任何事物。 此外，也可利用管道构建策略来实现复杂的工作流： 持续集成 持续部署 2.1.1.1. Docker 构 构建 建 OpenShift Container Platform 使用 Buildah 从 Dockerfile 构建容器镜像。有关使用

状态 6.8. 配置 INGRESS CONTROLLER 6.9. 其他资源 第 第 7 章 章 验证 验证到端点的 到端点的连 连接 接 7.1. 执行连接健康检查 7.2. 连接健康检查实现 7.3. PODNETWORKCONNECTIVITYCHECK 对象字段 7.4. 验证端点的网络连接 第 第 8 章 章 配置 配置节 节点端口服 点端口服务 务范 范围 围 8.1. 先决条件 Platform 集群时，在集群中运行的 Pod 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 2.1. 路由和 Ingress 的比较 OpenShift Container Platform 中的 Kubernetes Ingress 资源通过作为集群内 pod 运行的共享路由器服务 来实现 Ingress Controller。管理 Ingress 流量的最常见方法是使用 Ingress Controller。您可以像任何其他 常规 pod 一样扩展和复制此 pod。此路由器服务基于

(CRD)”支持您的自定义对象，如 MongoDB，它类似于 内置的原生 Kubernetes 对象。 Operator 与 与 Service Broker 的比 的比较？ ？ 服务代理（service broker）是实现应用程序的编程发现和部署的一个步骤。但它并非一个长时间运行 的进程，所以无法执行第 2 天操作，如升级、故障转移或扩展。它在安装时提供对可调参数的自定义 和参数化，而 Operator 则可持续监控集群的当前状态。非集群服务仍非常适合于 Broker，但 也存在合适于这些服务的 Operator。 2.1.2. Operator Framework Operator Framework 是基于上述客户体验提供的一系列工具和功能。不仅仅是编写代码；测试、交付和 更新 Operator 也同样重要。Operator Framework 组件包含用于解决这些问题的开源工具： Operator SDK Operator SDK 辅助 Operator 的任务。 可 可扩展性 展性 基于文件的目录规格是目录的一个低级别表示。虽然目录维护器可以直接以低级形式维护，但目录维 护人员可以在其自己的自定义工具上构建有趣的扩展，以供其自身的自定义工具用于实现任意数量的 变异。 例如，工具可以将一个高级 API （如(mode=semver)） 转换为升级边缘基于文件的低级别目录格式。 或目录维护人员可能需要通过添加新属性到符合特定标准的捆绑包来自定义所有捆绑包元数据。

中。 OpenShift Container Platform 4.8 存 存储 储 4 KMS 密 密钥 钥 Key Management Service (KMS) 可帮助您在不同服务间实现所需的数据加密级别。您可以使用 KMS 密钥加密、解密和重新加密数据。 本地卷 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 NFS 网络文件系统(NFS)允许远程主机通过网络 。 PV 是卷插件，与 Volumes 资源类似，但PV 的生命周期独立于任何使用它的 pod。PV 对象获取具体存 储（NFS、iSCSI 或者特定 cloud-provider 的存储系统）的实现详情。 重要 重要 存储的高可用性功能由底层的存储架构提供。 PVC 由 PersistentVolumeClaim API 项定义，它代表了开发人员对存储的一个请求。它与一个 pod 类 似，pod 如果将具有高文件数的持久性卷附加到 pod，则这些 pod 可能会失败，或者可能需要很长 时间才能启动。如需更多信息，请参阅在 OpenShift 中使用具有高文件计数的持久性卷 时，为什么 pod 无法启动或占用大量时间来实现"Ready"状态？ 3.2.4. 使用中的存储对象保护 使用中的存储对象保护功能确保了被 pod 使用的活跃的 PVC 以及与其绑定的 PV 不会从系统中移除，如 果删除它们可能会导致数据丢失。

客户端服务的数千台机器。 OpenShift Container Platform 以 Kubernetes 为基础，为大规模电信、流视频、游戏、银行和其他应用 提供引擎技术。借助红帽开放技术中的实现，您可以将容器化应用程序从单一云扩展到内部和多云环境。 1.1.1. 关于 Kubernetes 尽管容器镜像和从中运行的容器是现代应用程序开发的主要构建块，但要大规模运行它们，则需要可靠且 灵活的分发系统。Kubernetes Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 理工具和流程是 OpenShift RHCOS 包括： Ignition，OpenShift Container Platform 将其用作首次启动系统配置来进行机器的初次上线和配 置。 CRI-O，Kubernetes 的原生容器运行时实现，可与操作系统紧密集成来提供高效和优化的 Kubernetes 体验。CRI-O，提供用于运行、停止和重启容器的工具。它完全取代了 OpenShift Container Platform 3 中使用的

Service Mesh 简介 Red Hat OpenShift Service Mesh 通过在应用程序中创建集中控制点来解决微服务架构中的各种问题。它 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 杂的操作功能，其中包括 A/B 测 试、canary 发行版本、访问控制以及端到端验证。 1.1.2. 核心功能 Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1. 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始： master、 slave、blacklist

domain.key -x509 -days 365 -out domain.crt 在提示符处，为证书提供所需的值： 国家/地区 名称（双字 母代码） 指定您所在位置的双字母 ISO 国家/地区代码。请参见 ISO 3166 国家/地区代码标准。 州或省名称 （完整名 称） 输入您的州或省的完整名称。 本地名称 （例如，城 市） 输入您的城市名称。 第 第 2 章 章 使用 使用带 以为镜像中打包的服务提供冗余和横向扩展。 您可以直接使用 podman 或 Docker CLI 构建镜像，但 OpenShift Container Platform 也提供了构建程序 （builder）镜像，这有助于通过将您的代码或配置添加到现有镜像来创建新镜像。 由于应用程序会随时间发展，因此单个镜像名称实际上可以指代同一镜像的许多不同版本。每个不同的镜 像都可以通过其唯一的哈希值识别（很长的十六进制数，如fd44297 Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 3.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： docker.io/openshift/jenkins-2-centos

OpenShift Container Platform 4.4 中的 中的 FIPS 模式属性和限制 模式属性和限制 属性 属性 限制： 限制： RHEL 7 操作系统支持 FIPS 。 FIPS 实现还没有提供一个单一的计算哈希函数和验证 基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中，将继续评估并改进这个 限制。 CRI-O 运行时支持 FIPS。 虽然不鼓励直接更改 OpenShift Container Platform 节点，但有时在实现低级别安全、网络或性能功能时 OpenShift Container Platform 4.4 安装 安装 8 虽然不鼓励直接更改 OpenShift Container Platform 节点，但有时在实现低级别安全、网络或性能功能时 需要这样做。通过以下方法可以对 OpenShift Container 构建并 建并测试内核模 内核模块容器 容器 在将内核模块部署到 OpenShift Container Platform 集群之前，您可以在单独的 RHEL 系统中测试此过 程。收集内核模块的源代码、KVC 框架和 kmod-via-containers 软件。然后构建并测试模块。要在 RHEL 8 系统中做到这一点，请执行以下操作： 流程 流程 1. 获取 RHEL 8 系统，然后注册并订阅它：