列表 列表项 项 match 和 和 machineConfigLabels 由 由逻辑 逻辑 OR 操作符 操作符连 连接。 接。match 项 项首先以短 首先以短电 电路方式 路方式评 评估。 估。 因此，如果它被 因此，如果它被评 评估 估为 为 true， ，则 则不考 不考虑 虑 MachineConfigLabels 项 项。 。 重要 重要 mode。 。 6.4.1.2. 路径注意事 路径注意事项 项 配置路径相同 配置路径相同时发 时发生密 生密钥间 钥间冲突 冲突 如果您使用同一路径配置多个密 如果您使用同一路径配置多个密钥 钥， ，则 则 pod 规 规格会 格会视 视其 其为 为有效。以下示例中 有效。以下示例中为 为 mysecret 和 和 myconfigmap 指定了相同的路径： 远 远程容器的命令 程容器的命令应该 应该将来自 将来自 stderr 的 的输 输出 出发 发送到客 送到客户 户端。 端。 向 向 API 服 服务 务器 器发 发送 送 exec 请 请求后，客 求后，客户 户端会将 端会将连 连接升 接升级 级到支持多路复用的流；当前使用 到支持多路复用的流；当前使用 HTTP/2。 。 客 客户 户端 端为

将镜像镜像到可移动介质的目录中： v. 将介质上传到受限网络环境中，并将镜像上传到本地容器 registry。 对于 REMOVABLE_MEDIA_PATH，您必须使用与镜像镜像时指定的同一路径。 如果本地容器 registry 连接到镜像主机，请执行以下操作： i. 使用以下命令直接将发行版镜像推送到本地 registry: 该命令将发行信息提取为摘要，其输出包括安装集群时所需的 imageContentSources 很多镜像在启动正在运行的软件的进程前，会先使用 wrapper 脚本进行一些设置。如果您的镜像使用这类 脚本，则该脚本应使用 exec，以便使您的软件可以替代脚本的进程。如果不使用 exec，则容器运行时发 送的信号将进入 wrapper 脚本，而非软件的进程。这不是您想要的。 如果您有一个为某些服务器启动进程的 wrapper 脚本。您启动了容器（例如使用 podman run -i），该容 器运行 wrapper 输出示例 出示例 9.2.1. 添加特定的 registry 您可以通过编辑 image.config.openshift.io/cluster 自定义资源（CR）来添加允许镜像拉取（pull）和推 送（push）操作的 registry 列表。OpenShift Container Platform 会将对此 CR 的更改应用到集群中的所 有节点。 在拉取或推送镜像时，容器运行时会搜索 image

mode。 。 6.4.1.2. 路径注意事 路径注意事项 项 配置路径相同 配置路径相同时发 时发生密 生密钥间 钥间冲突 冲突 如果您使用同一路径配置多个密 如果您使用同一路径配置多个密钥 钥， ，则 则 pod 规 规格会 格会视 视其 其为 为有效。以下示例中 有效。以下示例中为 为 mysecret 和 和 myconfigmap 指定了相同的路径： 远程容器的命令 程容器的命令应该 应该将来自 将来自 stderr 的 的输 输出 出发 发送到客 送到客户 户端。 端。 在向 在向 API 服 服务 务器 器发 发送 送 exec 请 请求后，客 求后，客户 户端会将 端会将连 连接升 接升级 级到支持多路复用的流；当前使用 到支持多路复用的流；当前使用 HTTP/2。 。 客 客户 户端 端为 port-forward 0:5000 OpenShift Container Platform 4.9 节 节点 点 288 向 向 API 服 服务 务器 器发 发送端口 送端口转发请 转发请求后，客 求后，客户 户端会将 端会将连 连接升 接升级 级到支持多路复用流；当前使用 到支持多路复用流；当前使用 Hyptertext Transfer Protocol Version

将镜像镜像到可移动介质的目录中： v. 将介质上传到受限网络环境中，并将镜像上传到本地容器 registry。 对于 REMOVABLE_MEDIA_PATH，您必须使用与镜像镜像时指定的同一路径。 重要 重要 运行 oc image mirror 可能会导致以下错误： error: unable to retrieve source image。当镜像索引包括对镜像 registry 很多镜像在启动正在运行的软件的进程前，会先使用 wrapper 脚本进行一些设置。如果您的镜像使用这类 脚本，则该脚本应使用 exec，以便使您的软件可以替代脚本的进程。如果不使用 exec，则容器运行时发 送的信号将进入 wrapper 脚本，而非软件的进程。这不是您想要的。 如果您有一个为某些服务器启动进程的 wrapper 脚本。您启动了容器（例如使用 podman run -i），该容 器运行 wrapper

把这个镜像正确放置在 registry 中， 并在以后正确访问 registry 中的这个镜像： 注意 注意 您必须具有指定项目的system:image-builder角色，该角色允许用户写或推 送镜像。否则，下一步中的podman push将失败。为了进行测试，您可以创 建一个新项目来推送镜像。 c. 将新标记的镜像推送到 registry： Login Succeeded! sh-4.2#

目标路由数 后端服务器页面大小 底层基础结构（网络/SDN 解决方案、CPU 等） 具体环境中的性能会有所不同，我们的实验室在一个有 4 个 vCPU/16GB RAM，一个单独的 HAProxy 路 由器处理 100 个路由来提供后端的 1kB 静态页面的公共云实例中进行测试，其每秒的交易数如下。 在 HTTP 的 keep-alive 模式下： Encryption ROUTER_THREADS 中完成。有 100 个 HTTP 路由，特别是 100 个后端 Nginx pod，keepalive 设为 100。结果为： 每个目标路的 1 个连接 = 每秒 24,327 个请求 第 第 11 章 章 测试 测试每个集群的最大 每个集群的最大值 值 39 每个目标路的 40 个连接 = 每秒 20,729 个请求 每个目标路由 200 个连接 = 每秒 17,253 个请求 11.3. 测试

被分片时，一个给定路由被接受到组中的零个或多个 Ingress Controller。路由的状 态描述了 Ingress Controller 是否已接受它。只有 Ingress Controller 对其分片是唯一的时，才会接受路 由。 Ingress Controller 可以使用三个分片方法： 仅将命名空间选择器添加到 Ingress Controller，以便命名空间中带有与命名空间选择器匹配的标 签的所有路由都位于 Ingress Controller router-internal.yaml 文件： Ingress Controller 选择由命名空间选择器选择的具有 type: sharded 标签的任意命名空间中的路 由。 3. 使用 router-internal.yaml 中配置的域创建新路由： 8.2. 为 INGRESS CONTROLLER 分片创建路由 通过使用路由，您可以通过 URL 托管应用 字段，则路由将使用 host 字段的值，并忽略 subdomain 字段。 5. 通过运行以下命令，使用 hello-openshift-route.yaml 创建到 hello-openshift 应用程序的路 由： 验证 验证 使用以下命令获取路由的状态： 生成的 Route 资源应类似以下示例： 输出示例 $ oc new-project hello-openshift $ oc create

将镜像镜像到可移动介质的目录中： v. 将介质上传到受限网络环境中，并将镜像上传到本地容器 registry。 对于 REMOVABLE_MEDIA_PATH，您必须使用与镜像镜像时指定的同一路径。 重要 重要 运行 oc image mirror 可能会导致以下错误： error: unable to retrieve source image。当镜像索引包括对镜像 registry OpenShift Container Platform 4.10 安装 安装 96 publish 如何发布或公开集群的面向用户的端 点，如 Kubernetes API、OpenShift 路 由。 内部或外部 内部或外部 .默认值为 External。 在非云平台和 IBM Cloud VPC 中不支持 将此字段设置为 Internal。 重要 重要 如果将字段的值设为 Internal，集群将无法 OpenShift Container Platform 4.10 安装 安装 118 publish 如何发布或公开集群的面向用户的端 点，如 Kubernetes API、OpenShift 路 由。 内部或外部 内部或外部 .默认值为 External。 在非云平台和 IBM Cloud VPC 中不支持 将此字段设置为 Internal。 重要 重要 如果将字段的值设为 Internal，集群将无法

OpenShift Container Platform 4.9 网 网络 络 46 Ingress Controller 选择由命名空间选择器选择的具有 type: sharded 标签的任意命名空间中的路 由。 6.8.7. 配置 Ingress Controller 以使用内部负载均衡器 当在云平台上创建 Ingress Controller 时，Ingress Controller 默认由一个公共云负载均衡器发布。作为管 Hat OpenStack Platform (RHOSP) 如果在 RHOSP 上部署 OpenShift Container Platform，则必须允许来自 OpenStack 环境上的出口路 由器 Pod 的 IP 和 MAC 地址的流量。如果您不允许流量，则通信会失败： Red Hat Virtualization（ （RHV） ） 如果使用 RHV，必须为虚拟网络接口控制器 (vNIC) 地址的客户端 pod 必须修改来连接到出口路由器，而不是直接连接到目标 IP。 注意 注意 egress router CNI 插件只支持重定向模式。这与您可以使用 OpenShift SDN 部署的出口路 由器实现不同。与 OpenShift SDN 的出口路由器不同，egress router CNI 插件不支持 HTTP 代理模式或 DNS 代理模式。 16.12.1.2. 出口路由器 出口路由器

安装过程会创建路由来访问 Jaeger 控制台。 a. 在 OpenShift Container Platform 控制台中，进入 Networking → Routes 并搜索 Jaeger 路 由，它是 Location 项下列出的 URL。 b. 使用 CLI 查询路由详情： $ export JAEGER_URL=$(oc get route -n bookinfo jaeger-query 用虚拟服 服务 要只路由到一个版本，请应用为微服务设置默认版本的虚拟服务。在以下示例中，虚拟服务将所有流量路 OpenShift Container Platform 4.2 Service Mesh 72 要只路由到一个版本，请应用为微服务设置默认版本的虚拟服务。在以下示例中，虚拟服务将所有流量路 由到每个微服务的 v1 1. 运行以下命令以应用虚拟服务： $ oc apply -f https://raw