Hat OpenShift Container Storage 4.6 以外部模式部署 OpenShift Container Storage 如何安装和配置您的环境 Last Updated: 2023-06-08 Red Hat OpenShift Container Storage 4.6 以外部模式部署 OpenShift Container Storage 如何安装和配置您的环境 1 章 章 以外部模式部署概述 以外部模式部署概述 第 第 2 章 章 为 为基于 基于 RED HAT ENTERPRISE LINUX 的 的节 节点上的容器 点上的容器启 启用文件系 用文件系统访问 统访问 第 第 3 章 章 安装 安装 RED HAT OPENSHIFT CONTAINER STORAGE OPERATOR 第 第 4 章 章 为 为外部模式 外部模式创 创建 建 OPENSHIFT OPENSHIFT CONTAINER STORAGE 集群服 集群服务 务 第 第 5 章 章 为 为外部模式 外部模式验证 验证 OPENSHIFT CONTAINER STORAGE 安装 安装 5.1. 验证 POD 的状态 5.2. 验证 OPENSHIFT CONTAINER STORAGE 集群是否正常运行 5.3. 验证 MULTICLOUD 对象网关是否健康 5.4. 验证存储类是否已创建并列出

接口 12.9. 在 DPDK 和 RDMA 模式中使用虚拟功能（VF）的示例 12.9.1. 在 DPDK 和 RDMA 模式中使用虚拟功能（VF）的示例 12.9.2. 先决条件 12.9.3. 在 Intel NIC 的 DPDK 模式中使用虚拟功能 (VF) 示例 12.9.4. 使用带有 Mellanox NIC 的 DPDK 模式的虚拟功能（VF）示例 12.9.5. 带有 Mellanox Mellanox NIC 的 RDMA 模式中的虚拟功能（VF）示例 12.10. 卸载 SR-IOV NETWORK OPERATOR 12.10.1. 卸载 SR-IOV Network Operator 第 第 13 章 章 OPENSHIFT SDN 默 默认 认 CNI 网 网络 络供 供应 应商 商 13.1. 关于 OPENSHIFT SDN 默认 CNI 网络供应商 13.1 1.1. OpenShift SDN 网络隔离模式 105 105 105 106 106 106 107 107 108 109 110 111 111 111 111 112 113 114 115 116 117 117 117 117 118 118 119 120 121 122 122 122 122 122 123 124 126 127 127 127

支持 支持 FIPS 加密 加密 26.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 26.2. 集群使用的组件支持 FIPS 26.3. 在 FIPS 模式下安装集群 2741 2741 2743 2771 2809 2855 2894 2943 2993 3040 3042 3042 3101 3101 3121 3126 3126 对于所有这些集群，包括用来运行安装过程的计算机在内的所有机器都必须可直接访问互联网，以便为平 台容器拉取镜像并向红帽提供 telemetry 数据。 重要 重要 安装后，不支持以下更改： 混合云供应商平台 混合云供应商组件，比如使用与安装集群不同的平台中的持久性存储框架 在 OpenShift Container Platform 4.10 中，您可以在以下平台上安装使用用户置备的基础架构集群： 备了基础架构后，您可能需要为低延迟工作负载置备或保护敏感工作负载。您还可以为应用程序工作负载 配置 监控。 如果您计划运行 Windows 工作负载，您必须在安装过程中启用 OVN-Kubernetes 的混合网络；安装集群 后无法启用混合网络。 2.4. 支持的用于不同平台的安装方法 您可以在不同的平台上执行不同类型的安装。 注意 注意 不是所有安装选项都支持所有平台，如下表所示。勾选标记代表支持的选项，并链接到相

Mixer，则会阻止从 Service Mesh 2.0.x 升级到 2.1。 混合器插件需要移植到 WebAssembly 扩展。 1.2.2.12.5. 3scale WebAssembly Adapter(WASM) Mixer 现已正式删除，OpenShift Service Mesh 2.1 不支持 3scale 混合器适配器。在升级到 Service Mesh 2.1 之前，删除基于 Mixer /admin 上访问资源，这可能会产生安全问题。 如果您使用 ALLOW action + notPaths 字段或者 DENY action + paths 字段特征，您的集群会受到这个 漏洞的影响。这些模式可能会被意外的策略绕过。 在以下情况下，集群不会受到此漏洞的影响： 您没有授权策略。 您的授权策略没有定义 paths 或 notPaths 字段。 您的授权策略使用 ALLOW action 2.3。 1.11.1. 了解版本 红帽在产品版本中使用语义版本。语义版本包括 3 个组件号，格式为 X.Y.Z，其中： X 代表主版本。主发行版本通常表示有主要的变化：架构更改、API 更改、模式更改以及类似的 重大更新。 Y 代表次版本。次发行版本包含了新功能，同时保持向后兼容性。 z 代表一个补丁版本（也称为 z-stream 版本）。补丁版本用于提供解决常见漏洞和风险 (CVE) 的

15.5. 为项目编辑出口防火墙 15.6. 从项目中删除出口防火墙 15.7. 使用出口路由器 POD 的注意事项 15.8. 以重定向模式部署出口路由器 POD 15.9. 以 HTTP 代理模式部署出口路由器 POD 15.10. 以 DNS 代理模式部署出口路由器 POD 15.11. 从配置映射配置出口路由器 POD 目的地列表 15.12. 为项目启用多播 15.13. 为项目禁用多播 配置出口 IP 地址 16.11. 分配出口 IP 地址 16.12. 使用出口路由器 POD 的注意事项 16.13. 以重定向模式部署出口路由器 POD 16.14. 为项目启用多播 16.15. 为项目禁用多播 16.16. 跟踪网络流 16.17. 配置混合联网 第 第 17 章 章 配置路由 配置路由 17.1. 路由配置 17.2. 安全路由 第 第 18 章 章 配置集群入口流量 Interface(CNI)集群网络供应商的配置字段。 表 表 4.3. openshiftSDNConfig object 字段 字段 类 类型 型 描述 描述 模式 模式 字符串 字符串 OpenShift SDN 的网络隔离模式。 mtu integer VXLAN 覆盖网络的最大传输单元(MTU)。这个值通常是自动配置 的。 vxlanPort integer 用于所有 VXLAN 数据包的端口。默认值为

Server 2022，OS Build 20348.681 或更高版本 Windows Server 2019，版本 1809 2.5.2. 支持的网络 与 OVN-Kubernetes 的混合网络是唯一支持的网络配置。有关此功能的更多信息，请参见下面的其他资 源。下表概述了根据您的平台使用的网络配置和 Windows Server 版本类型。安装集群时必须指定网络配 置。请注意，OpenShift (AWS) 使用 OVN-Kubernetes 的混合网络 Microsoft Azure 使用 OVN-Kubernetes 的混合网络 VMware vSphere 带有自定义 VXLAN 端口的 OVN-Kubernetes 的混合 网络 裸机或供应商无关 使用 OVN-Kubernetes 的混合网络 表 表 2.2. 混合 混合 OVN-Kubernetes Windows Server Server 支持 支持 使用 使用 OVN-Kubernetes 的混合网 的混合网络 络 支持的 支持的 Windows Server 版本 版本 默认 VXLAN 端口 Windows Server 2022，OS Build 20348.681 或更高版本 Windows Server 2019，版本 1809 自定义 VXLAN 端口 Windows Server 2022，OS Build

Jaeger 版本 1.13.1 不匹配。 MAISTRA-622 在 Maistra 0.12.0/TP12 中，permissive 模式无法正常工作。用户可以使用 Plain text 模式或 Mutual TLS 模式，但不能使用 permissive 模式。 MAISTRA-572 Jaeger 无法与 Kiali 一起使用。在这个版本中，Jaeger 被配置为使用 OAuth 代 理， 启用/禁用 Kiali。默认情 况下启用 Kiali 。 true/false true dashboard viewOnlyMode 为 Kiali 控制台启用/禁用 只读视图模式。启用只读 视图模式时，用户无法使 用控制台来更改 Service Mesh。 true/false false ingress enabled 为 Kiali 启用/禁用 ingress。 true/false --service 3scale API/Service ID 不是 --auth 3scale 的认证方法 （1=Api Key, 2=App Id/App Key, 3=OIDC） 不是 混合 -o, --output 保存产生的清单的文件 不是 标准输出 --version 输出 CLI 版本并立即退出 不是 7.1.1.1.1. 从 从 URL 示例生成模板 示例生成模板

对于所有这些集群，包括用来运行安装过程的计算机在内的所有机器都必须可直接访问互联网，以便为平 台容器拉取镜像并向红帽提供 telemetry 数据。 重要 重要 安装后，不支持以下更改： 混合云供应商平台. 混合云供应商组件。例如，在安装集群的平台上使用另一个平台的持久性存储框 架。 在 OpenShift Container Platform 4.13 中，您可以在以下平台上安装使用用户置备的基础架构集群： 备了基础架构后，您可能需要为低延迟工作负载置备或保护敏感工作负载。您还可以为应用程序工作负载 配置 监控。如果您计划运行 Windows 工作负载，则必须在安装过程中启用带有 OVN-Kubernetes 的混合 网络 ; 安装集群后无法启用混合网络。 2.4. 支持的用于不同平台的安装方法 您可以在不同的平台上执行不同类型的安装。 注意 注意 不是所有安装选项都支持所有平台，如下表所示。勾选标记代表支持的选项，并链接到相 Operator 目录内容镜像到镜像 registry 后，会在当前目录中生成清单目录。 如果您将内容镜像到同一网络上的 registry，则目录名称采用以下模式： 如果您在上一节中将内容镜像到断开连接的主机上的 registry，则目录名称采用以下模式： 注意 注意 清单目录名称在后续过程中被引用。 manifests 目录包含以下文件，其中的一些文件可能需要进一步修改： catalogSource

该术语表定义了存储内容中使用的常用术语。这些术语可帮助您有效地了解 OpenShift Container Platform 架构。 访问 访问模式 模式 卷访问模式描述了卷功能。您可以使用访问模式匹配持久性卷声明 (PVC) 和持久性卷 (PV)。以下是访 问模式的示例： ReadWriteOnce (RWO) ReadOnlyMany (ROX) ReadWriteMany (RWX) ReadWriteOncePod 行交互。这使系统管理员能够将资源整合到网络上的集中式服务器上。 OpenShift Data Foundation OpenShift Container Platform 支持的文件、块存储和对象存储的、内部或混合云的持久性存储供应商 持久性存 持久性存储 储 Pod 和容器可能需要永久存储才能正常工作。OpenShift Container Platform 使用 Kubernetes 持久性 卷 (PV) 项定义，它代表了开发人员对存储的一个请求。它与一个 pod 类 似，pod 会消耗节点资源， PVC 消耗 PV 资源。例如：pod 可以请求特定级别的资源，比如 CPU 和内 存，而 PVC 可以请求特定的存储容量和访问模式。例如：它们可以被加载为“只允许加载一次，可读写”， 或“可以加载多次，只读”。 3.2. 卷和声明的生命周期 PV 是集群中的资源。PVC 是对这些资源的请求，也是对该资源的声明检查。PV 和

配置出口 IP 地址 27.16. 分配出口 IP 地址 27.17. 使用出口路由器 POD 的注意事项 27.18. 以重定向模式部署出口路由器 POD 27.19. 为项目启用多播 27.20. 为项目禁用多播 27.21. 跟踪网络流 27.22. 配置混合联网 第 第 28 章 章 OPENSHIFT SDN 网 网络 络插件 插件 28.1. 关于 OPENSHIFT SDN 网络插件 28.7. 为项目编辑出口防火墙 28.8. 从项目中删除出口防火墙 28.9. 使用出口路由器 POD 的注意事项 28.10. 以重定向模式部署出口路由器 POD 28.11. 以 HTTP 代理模式部署出口路由器 POD 28.12. 以 DNS 代理模式部署出口路由器 POD 28.13. 从配置映射配置出口路由器 POD 目的地列表 28.14. 为项目启用多播 28.15. 为项目禁用多播 目录 录 7 第 1 章 关于网络 Red Hat OpenShift 网络是一个功能生态系统、插件和高级网络功能，它使用高级网络相关功能来扩展 Kubernetes 网络，集群需要为其一个或多个混合集群管理网络流量。这个网络功能生态系统集成了入 口、出口、负载均衡、高性能吞吐量、安全性和集群内部流量管理，并提供基于角色的可观察工具来减少 其自然复杂性。 以下列表重点介绍集群中可用的一些最常用的