4.1.2. 扩展策略 2.4.2. 使用 Web 控制台创建 pod 横向自动扩展 2.4.3. 使用 CLI 根据 CPU 使用率创建 pod 横向自动扩展 2.4.4. 使用 CLI 根据内存使用率创建 pod 横向自动扩展对象 2.4.5. 使用 CLI 了解 pod 横向自动扩展状态条件 2.4.5.1. 使用 CLI 查看 pod 横向自动扩展状态条件 2.4.6. 其他资源 优先级类 2.9.1.2. Pod 优先级名称 2.9.2. 了解 pod 抢占 2.9.2.1. 非抢占优先级类（技术预览） 2.9.2.2. Pod 抢占和其他调度程序设置 2.9.2.3. 安全终止被抢占的 pod 2.9.3. 配置优先级和抢占 2.10. 使用节点选择器将 POD 放置到特定节点 2.10.1. 使用节点选择器控制 pod 放置 第 第 3 章 章 控制 控制节 查看和列出 OPENSHIFT CONTAINER PLATFORM 集群中的节点 5.1.1. 关于列出集群中的所有节点 5.1.2. 列出集群中某一节点上的 pod 5.1.3. 查看节点上的内存和 CPU 用量统计 5.2. 操作节点 5.2.1. 了解如何撤离节点上的 pod 5.2.2. 了解如何更新节点上的标签 5.2.3. 了解如何将节点标记为不可调度或可以调度 5.2.4.

4.1.2. 扩展策略 2.4.2. 使用 Web 控制台创建 pod 横向自动扩展 2.4.3. 使用 CLI 根据 CPU 使用率创建 pod 横向自动扩展 2.4.4. 使用 CLI 根据内存使用率创建 pod 横向自动扩展对象 2.4.5. 使用 CLI 了解 pod 横向自动扩展状态条件 2.4.5.1. 使用 CLI 查看 pod 横向自动扩展状态条件 2.4.6. 其他资源 pod 优先级 2.9.1.1. Pod 优先级类 2.9.1.2. Pod 优先级名称 2.9.2. 了解 pod 抢占 2.9.2.1. Pod 抢占和其他调度程序设置 2.9.2.2. 安全终止被抢占的 pod 2.9.3. 配置优先级和抢占 2.10. 使用节点选择器将 POD 放置到特定节点 2.10.1. 使用节点选择器控制 pod 放置 第 第 3 章 章 控制 控制节 查看和列出 OPENSHIFT CONTAINER PLATFORM 集群中的节点 5.1.1. 关于列出集群中的所有节点 5.1.2. 列出集群中某一节点上的 pod 5.1.3. 查看节点上的内存和 CPU 用量统计 5.2. 操作节点 5.2.1. 了解如何撤离节点上的 pod 5.2.2. 了解如何更新节点上的标签 5.2.3. 了解如何将节点标记为不可调度或可以调度 5.2.4.

CVE 1.2.6. OpenShift Logging 5.0.5 1.2.6.1. 安全修复 1.2.7. OpenShift Logging 5.0.4 1.2.7.1. 安全修复 1.2.7.2. 程序错误修复 1.2.8. OpenShift Logging 5.0.3 1.2.8.1. 安全修复 1.2.8.2. 程序错误修复 1.2.9. OpenShift Logging 查看日志记录收集器 Pod 4.2.3. 配置日志收集器 CPU 和内存限值 4.2.4. 日志转发器的高级配置 4.2.5. 如果不使用默认的 Elasticsearch 日志存储，请删除未使用的组件 4.3. 配置日志存储 4.3.1. 将审计日志转发到日志存储 4.3.2. 配置日志保留时间 4.3.3. 为日志存储配置 CPU 和内存请求 4.3.4. 为日志存储配置复制策略 4.3.5 4.1. 配置 CPU 和内存限值 4.4.2. 为日志可视化器节点扩展冗余性 4.5. 配置 OPENSHIFT LOGGING 存储 4.5.1. OpenShift Logging 和 OpenShift Container Platform 的存储注意事项 4.5.2. 其他资源 4.6. 为 OPENSHIFT LOGGING 组件配置 CPU 和内存限值 4.6.1. 配置

. . 4.3. 配置日志存储 4.4. 配置日志可视化工具 4.5. 配置 OPENSHIFT LOGGING 存储 4.6. 为 OPENSHIFT LOGGING 组件配置 CPU 和内存限值 4.7. 使用容忍度来控制 OPENSHIFT LOGGING POD 放置 4.8. 使用节点选择器移动 OPENSHIFT LOGGING 资源 4.9. 配置 SYSTEMD-JOURNALD 仪表板会显示活跃主分片的数量，而不是所有活跃分片。 在这个版本中，仪表板显示所有活跃分片。(LOG-2781) 在此次更新之前，elasticsearch-operator 使用的库中的有一个程序错误，它包含一个拒绝服务 攻击的安全漏洞。在这个版本中，库已更新至不包含此漏洞的版本。(LOG-2816) OpenShift Container Platform 4.8 日志 日志记录 记录 10 在此次更新之前，当将 Vector 以下输出受支持： elasticsearch.一个外部 Elasticsearch 实例。elasticsearch 输出可以使用 TLS 连接。 kafka.Kafka 代理。kafka 输出可以使用不安全的或 TLS 连接。 loki。Loki，一个可横向扩展的、高可用性、多租户日志聚合系统。 1.9.2.1. 启 启用向量 用向量 默认不启用向量。使用以下步骤在 OpenShift Container

镜像拉取（PULL）策略 5.3.1. 镜像拉取（pull）策略概述 5.4. 使用镜像 PULL SECRET 5.4.1. 允许 pod 在项目间引用镜像 5.4.2. 允许 Pod 引用其他安全 registry 中的镜像 5.4.2.1. 通过委托身份验证从私有 registry 拉取（pull） 5.4.3. 更新全局集群 pull secret 第 第 6 章 章 管理 管理镜 4. 更新镜像流标签 6.7.5. 删除镜像流标签 6.7.6. 配置定期导入镜像流标签 6.8. 从私有容器镜像仓库（REGISTRY）导入镜像和镜像流 6.8.1. 允许 Pod 引用其他安全 registry 中的镜像 第 第 7 章 章 KUBERNETES 资 资源使用 源使用镜 镜像流 像流 7.1. 使用 KUBERNETES 资源启用镜像流 第 第 8 章 章 在 在镜 资源 源 9.1. 镜像控制器配置参数 9.2. 配置镜像 REGISTRY 设置 9.2.1. 添加特定的 registry 9.2.2. 阻塞特定的 registry 9.2.3. 允许不安全的 registry 9.2.4. 添加允许镜像短名称的 registry 9.2.5. 为镜像 registry 访问配置额外的信任存储 9.2.6. 配置镜像 registry 存储库镜像

SERVICEMESHCONTROLPLANE 1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1 2.3. SERVICE MESH 和 ISTIO 的不同 2.4. 准备安装 SERVICE MESH 2.5. 安装 SERVICE MESH 2.6. 在 SERVICE MESH 中自定义安全性 2.7. 流量管理 2.8. 在 SERVICE MESH 上部署应用程序 2.9. 数据可视化和可观察性 2.10. 自定义资源 2.11. 使用 3SCALE ISTIO 适配器 2 OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置

Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 3.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： docker.io/openshift/jenkins-2 您可使用细粒度访问控制来共享镜像，快速向整个团队分发镜像。 如果源更改，imagestreamtag 仍将指向已知良好的镜像版本，以确保您的应用程序不会意外中 断。 您可通过设置镜像流的访问权限来配置安全性，以控制谁可以查看和使用镜像。 在集群级别上缺少读取或列出镜像权限的用户仍可使用镜像流来检索项目中标记的镜像。 3.7.1. 镜像流标签（Imagestreamtags） 镜像流标签是指向镜 中使用，在创建容器镜像时都需要遵循以下指导信 息。 重复利用 重复利用镜 镜像 像 建议您尽可能使用 FROM 语句将您的镜像基于适用的上游镜像。这可确保，在上游镜像更新时您的镜像 也可轻松从中获取安全修复，而不必再直接更新依赖项。 此外，请使用 FROM 指令中的标签（如 rhel:rhel7），方便用户准确了解您的镜像基于哪个版本的镜像。 使用除 latest 以外的标签可确保您的镜像不受 latest

. . . . . . . . . . . . . . . . . . . . . . 第 第 8 章 章 安全策略 安全策略 8.1. 关于工作负载安全性 8.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 8.3. 授权 8.4. 其他资源 第 第 9 章 章 使用 使用 VIRTCTL ocp4-moderate-node 配置集的扫 描来检查您的 OpenShift Virtualization 集群的合规性。Compliance Operator 使用 NIST 认证工具 OpenSCAP 扫描并执行安全策略。 1.1.1. OpenShift Virtualization 支持的集群版本 OpenShift Virtualization 4.13 支持在 OpenShift Container VIRTUALIZATION 架 架构 构 9 表 表 2.2. cdi-operator 组 组件 件 组 组件 件 描述 描述 deployment/cdi-apiserver 通过提供安全上传令牌来管理将虚拟机磁盘上传到 PVC 的授权过程。 deployment/cdi-uploadproxy 将外部磁盘上传流量定向到适当的上传服务器 pod， 以便将其写入正确的 PVC。需要有效的上传令牌。

Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服 服务标识 务标识和安全性 和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略 策略强 强制 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 1.0.0 1.3.4. Red Hat OpenShift Service Mesh 1.1.2 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了一个安全漏洞问题。 1.3.5. Red Hat OpenShift Service Mesh 1.1.1 的新功能 此 Red Hat OpenShift Service Mesh 发行版本增加了对断开连接的安装的支持。 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题。 1.3.8. Red Hat OpenShift Service Mesh 1.0.9 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题。 1.3.9. Red Hat OpenShift Service Mesh 1

OPERATOR 2.2. 存储集群部署方法 2.3. 节点类型 第 第 3 章 章 内部存 内部存储 储服 服务 务 第 第 4 章 章 外部存 外部存储 储服 服务 务 第 第 5 章 章 安全考 安全考虑 虑 5.1. FIPS-140-2 5.2. 代理环境 5.3. 数据加密选项 5.4. TRANSIT 中的加密 第 第 6 章 章 订阅 订阅 6.1. 订阅服务 6.2. 灾难恢复订阅要求 不会部署或管理外部集群。 第 第 4 章 章 外部存 外部存储 储服 服务 务 11 第 5 章 安全考虑 5.1. FIPS-140-2 Federal Information Processing Standard Publication 140-2 (FIPS-140-2) 是定义使用加密模块的一系列 安全要求的标准。这个标准受到美国政府机构和承包商的强制要求，在其他国际和行业特定的标准中也会 引用该标准。 Foundation。 5.3. 数据加密选项 加密可让您对数据进行编码，使其在没有所需的加密密钥的情况下无法读取。通过这种机制，当物理性安 全被破坏的情况下，您的数据所在的物理介质丢失时，可以保护您的数据的安全性。每个PV 加密也提供 同一 OpenShift Container Platform 集群内其他命名空间的访问保护。当数据写入到磁盘时，数据会被加 密，并在从磁盘读取数据时对其进行解密。使用加密的数据可能会对性能产生较小的影响。