. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 20.3. 在 FIPS 模式下安装集群 2581 2581 FIPS 验证的/Modules in Process 加密库 。 重要 重要 OpenShift Container Platform 4.8 安装 安装 14 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不 ，并在未指定时 自动生成。 --sslCheckSkip 跳过对 config.yaml 文件中的 SERVER_HOSTNAME 的检查证书主机名。[2] --sslKey 用于 HTTPS 通信的 SSL/TLS 私钥路径。默认为 {quayRoot}/quay-config，并 在未指定时自动生成。 --targetHostname,-H 要安装 Quay 的目标的主机名。默认为 $HOST，如本地主机（如果未指定）。

访问主机的情况下手动收集日志 25.5. 从安装程序获取调试信息 25.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 26 章 章 支持 支持 FIPS 加密 加密 26.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 26.2. 集群使用的组件支持 FIPS 26.3. 在 FIPS 模式下安装集群 2741 2741 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置，但建议在用户访问集群前进行操作。您可以通过自定义组成集群的 ，并在未指定时 自动生成。 --sslCheckSkip 跳过对 config.yaml 文件中的 SERVER_HOSTNAME 的检查证书主机名。[2] --sslKey 用于 HTTPS 通信的 SSL/TLS 私钥路径。默认为 {quayRoot}/quay-config，并 在未指定时自动生成。 --targetHostname, -H 要安装 Quay 的目标的主机名。默认为 $HOST，如本地主机（如果未指定）。

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2. 配置 AZURE 帐户 7.3. 为 AZURE 启用用户管理的加密 7.4. 在 AZURE 上快速安装集群 7.5. 使用自定义在 AZURE 上安装集群 7.6. 使用网络自定义在 AZURE 上安装集群 7.7. 将 AZURE 上的集群安装到现有的 VNET 访问主机的情况下手动收集日志 26.5. 从安装程序获取调试信息 26.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 27 章 章 支持 支持 FIPS 加密 加密 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 27.2. 集群使用的组件支持 FIPS 27.3. 在 FIPS 模式下安装集群 3864 3866 负载均衡、存储和所有集群机器。 要使用基于代理的安装程序部署集群，您可以首先下载基于代理的安装程序。然后，您可以配置 集群并生成发现镜像。您可以使用发现镜像引导集群机器，它会安装一个与安装程序进行通信的 代理，并为您处理置备，您不需要与安装程序进行交互或自行设置置备程序机器。您需要提供所 有集群基础架构和资源，包括网络、负载均衡、存储和单个集群机器。这个方法适用于断开连接 的环境。 对于具有安

. . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3. 为 AZURE 手动创建 IAM 7.4. 为 AZURE 启用用户管理的加密 7.5. 在 AZURE 上快速安装集群 7.6. 使用自定义在 AZURE 上安装集群 7.7. 使用网络自定义在 AZURE 上安装集群 7.8. 将 AZURE 上的集群安装到现有的 VNET 负载均衡、存储和所有集群机器。 要使用基于代理的安装程序部署集群，您可以首先下载基于代理的安装程序。然后，您可以配置 集群并生成发现镜像。您可以使用发现镜像引导集群机器，它会安装一个与安装程序进行通信的 代理，并为您处理置备，您不需要与安装程序进行交互或自行设置置备程序机器。您需要提供所 有集群基础架构和资源，包括网络、负载均衡、存储和单个集群机器。这个方法适用于断开连接 的环境。 对于具有安 Platform 配置数据并将其发送到红帽。数据用于生成有关集 群可能暴露的潜在问题的主动分析建议。这些建议通过 console.redhat.com 上的 Insights Advisor 与集群 管理员通信。 备 备注 注 Insights Operator 补充 OpenShift Container Platform Telemetry。 其他 其他资 资源 源 使用 Insights Operator

Container Platform 置备内核模块 17.1.2.2.1. 通过 MachineConfig 对象置备内核模块 17.1.3. 在安装过程中加密磁盘 17.1.3.1. 启用 TPM v2 磁盘加密 17.1.3.2. 启用 Tang 磁盘加密 17.1.4. 在安装过程中镜像磁盘 17.1.4.1. 配置一个启用了 RAID 的数据卷 17.1.5. 配置 chrony 时间服务 连接到主机的情况下手动收集日志 19.5. 从安装程序获取调试信息 19.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 2226 2227 2228 2229 2231 2232 过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 第 第 2 章 章 选择 选择集群安装方法并 集群安装方法并为 为用

文档中的编辑主机时间配置。 1.1.4. 网络连接要求 您必须配置机器之间的网络连接，以允许 OpenShift Container Platform 集群组件进行通信。 查看有关所需网络端口的以下详细信息。 表 1.2. 用于全机器到所有机器通信的端口 协议 协议 端口 端口 描述 描述 ICMP N/A 网络可访问性测试 TCP 1936 指标 9000-9999 主机级别的服务，包括端口 Security Payload(ESP) 协议 协议 端口 端口 描述 描述 表 1.3. 用于所有机器控制平面通信的端口 协议 协议 端口 端口 描述 描述 TCP 6443 Kubernetes API 表 1.4. control plane 机器用于 control plane 机器通信的端口 协议 协议 端口 端口 描述 描述 TCP 2379-2380 etcd 服务器和对等端口 1 / 1 第 第 1 章 章 在 在 VSPHERE 上安装 上安装 15 1 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent

2. 从 OPENSHIFT SDN 集群网络供应商迁移 16.3. 回滚到 OPENSHIFT SDN 网络供应商 16.4. 转换为 IPV4/IPV6 双栈网络 16.5. IPSEC 加密配置 16.6. 为项目配置出口防火墙 16.7. 查看项目的出口防火墙 16.8. 为项目编辑出口防火墙 16.9. 从项目中删除出口防火墙 16.10. 配置出口 IP 地址 16.11 OPENSHIFT CONTAINER PLATFORM DNS 如果您运行多个服务，比如使用多个 pod 的前端和后端服务，则要为用户名和服务 IP 等创建环境变量， 使前端 pod 可以跟后端服务通信。如果删除并重新创建服务，可以为该服务分配一个新的 IP 地址，而且 需要重新创建前端 pod 来获取服务 IP 环境变量的更新值。另外，必须在任何前端 pod 之前创建后端服 务，以确保正确生成服务 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 I

自动在 Service Mesh control plane 和应用程序命名空间中创建和管理 多个 NetworkPolicies 资源。这是为了确保应用程序和 control plane 可以相互通信。 如果要禁用自动创建和管理 NetworkPolicies 资源，例如为了强制执行公司安全策略，您可以编辑 ServiceMeshControlPlane，将 spec.security.manageNetworkPolicy Operator 无法与所 有 Elasticsearch 集群通信。 在使用 Istio sidecar 时，在 Agent 和 Collector 间的连接会出现 TRACING-1300 失败。对 Jaeger Operator 的更新默认启用了 Jaeger sidecar 代理和 Jaeger Collector 之间的 TLS 通信。 {"level":"warn","ts":1642438880 服务网格技术在网络通信级别运作。也就是说，服务网格组件捕获或截获进出微服务的流量，或修改请 求、重定向请求或创建新请求到其他服务。 在高级别上，Red Hat OpenShift Service Mesh 由 data plane 和一个 control plane 组成 数据平面是一组智能代理，与 pod 中的应用容器一起运行，用于拦截和控制服务网格中微服务之间的所有 入站和出站网络通信。数据平面的

KURYR 网络插件迁移到 OVN-KUBERNETES 网络插件 27.8. 转换为 IPV4/IPV6 双栈网络 27.9. 出口防火墙和网络策略规则的日志记录 27.10. 配置 IPSEC 加密 27.11. 为项目配置出口防火墙 27.12. 查看项目的出口防火墙 27.13. 为项目编辑出口防火墙 27.14. 从项目中删除出口防火墙 27.15. 配置出口 IP 地址 27.16 OVN-Kubernetes 网络插件，默认插件 OpenShift SDN 网络插件 经认证的第三方替代主网络插件 用于网络插件管理的 Cluster Network Operator 用于 TLS 加密 Web 流量的 Ingress Operator 用于名称分配的 DNS Operator 用于裸机集群上的流量负载均衡的 MetalLB Operator 对高可用性的 IP 故障转移支持 OPENSHIFT CONTAINER PLATFORM DNS 如果您运行多个服务，比如使用多个 pod 的前端和后端服务，则要为用户名和服务 IP 等创建环境变量， 使前端 pod 可以跟后端服务通信。如果删除并重新创建服务，可以为该服务分配一个新的 IP 地址，而且 需要重新创建前端 pod 来获取服务 IP 环境变量的更新值。另外，必须在任何前端 pod 之前创建后端服 务，以确保正确生成服务

域中，您可以配置默认 DNS 搜索区域，以便 API 服务器能够解析节点名称。另一种支持的方法是始终在 节点对象和所有 DNS 请求中使用完全限定域名来指代主机。 您必须配置机器间的网络连接，以便集群组件进行通信。每台机器都必须能够解析集群中所有其他机器的 主机名。 表 表 1.1. 所有机器到所有机器 所有机器到所有机器 协议 协议 端口 端口 描述 描述 ICMP N/A 网络可访问性测试 TCP 默认运行入口路由器 Pod、计算或 worker 的机器。 X X HTTP 流量 提示 提示 如果负载均衡器可以看到客户端的真实 IP 地址，启用基于 IP 的会话持久性可提高使用端到端 TLS 加密的 应用程序的性能。 注意 注意 第 第 1 章 章 在裸机上安装 在裸机上安装 9 注意 注意 OpenShift Container Platform 集群需要正确配置入口路由器。control ~/.ssh 目录中。 运行此命令会在指定的位置生成不需要密码的 SSH 密钥。 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent