推荐的主机 推荐的主机实 实践 践 11 API 服务器(master)和 etcd 进程的内存使用率也会减少： 重要 重要 在 OpenShift Container Platform 下分析 etcd 后，etcd 通常会执行少量存储输入和输 出。强烈建议您使用带有可快速处理较小读写操作的存储的 etcd。 查看 etcd 3.1 的 3 节点集群（使用存储 v3 模式和仲裁读取强制）执行的大小 OpenShift SDN 使用 OpenvSwitch、虚拟可扩展 LAN(VXLAN)隧道、OpenFlow 规则和 iptables。这个 网络可以通过使用 jumbo 帧、网络接口卡（NIC）offload、多队列和 ethtool 设置来调整。 VXLAN 提供通过 VLAN 的好处，比如网络从 4096 增加到一千六百万，以及跨物理网络的第 2 层连接。 这允许服务后的所有 pod 相互通信，即使它们在不同系统中运行也是如此。 规划环境以延长集群最大值 重要 重要 在节点中过度订阅物理资源会影响在 pod 放置过程中对 Kubernetes 调度程序的资源保 证。了解可以采取什么措施避免出现内存交换问题。 某些测试的最大值仅在单一维度中扩展，因此当很多对象在集群中运行时，它们可能会有 所不同。 本文档中给出的数字基于红帽的测试方法、设置、配置和调整。这些数字会根据您自己的 设置和环境而有所不同。 在规划环境时，请确定每个节点应该有多少个

上的负载的因素包括静态因素，如节点和 pod 的数量，以及动态因素，包括因 为 pod 自动扩展、pod 重启、作业执行和其他与工作负载相关的事件，以及其他与负载相 关的事件。要准确调整 etcd 设置的大小，您必须分析工作负载的特定要求。考虑影响 etcd 负载的节点、pod 和其他相关因素的数量。 以下硬盘功能提供最佳的 etcd 性能： 支持快速读取操作的低延迟。 高带宽写入，实现更快速的压缩和碎片处理。 的硬件，您可以使用 fio。 先决条件 先决条件 您正在测试的机器上安装了 Podman 或 Docker 等容器运行时。 数据被写入 /var/lib/etcd 路径。 流程 流程 运行 fio 并分析结果： 如果使用 Podman，请运行以下命令： 如果使用 Docker，请运行以下命令： 输出会报告磁盘是否足够快以运行 etcd，它会检查测试运行中获得的 fsync 指标的 p99 值是否小于 51 第 5 章 使用 CPU MANAGER 和拓扑管理器 CPU Manager 管理 CPU 组并限制特定 CPU 的负载。 CPU Manager 对于有以下属性的负载有用： 需要尽可能多的 CPU 时间。 对处理器缓存丢失非常敏感。 低延迟网络应用程序。 需要与其他进程协调，并从共享一个处理器缓存中受益。 拓扑管理器（Topology Manager）从 CPU Manager、设备管理器和其他

信息。您可以使用 Red Hat OpenShift distributed tracing 平台来监控、网络性能分析，并对现代、云原生的微服务应用程 序中组件间的交互进行故障排除。 使用分布式追踪平台，您可以执行以下功能： 监控分布式事务 优化性能和延迟时间 执行根原因分析 分布式追踪平台由三个组件组成： Red Hat OpenShift distributed tracing Platform 信息。您可以使用 Red Hat OpenShift distributed tracing 平台来监控、网络性能分析，并对现代、云原生的微服务应用程 序中组件间的交互进行故障排除。 使用分布式追踪平台，您可以执行以下功能： 监控分布式事务 优化性能和延迟时间 执行根原因分析 分布式追踪平台由三个组件组成： Red Hat OpenShift distributed tracing Platform 信息。您可以使用 Red Hat OpenShift distributed tracing 平台来监控、网络性能分析，并对现代、云原生的微服务应用程 序中组件间的交互进行故障排除。 使用分布式追踪平台，您可以执行以下功能： 监控分布式事务 优化性能和延迟时间 执行根原因分析 分布式追踪平台由三个组件组成： OpenShift Container Platform 4.14 分布式追踪

的支持，并弃用了 ServiceMeshExtention API。 1.2.2.4.3. ROSA 支持 此发行版本引进了对 AWS(ROSA)上的 Red Hat OpenShift 的服务网格支持，包括多集群联邦。 1.2.2.4.4. istio-node DaemonSet 重命名 在此发行版本中，istio-node DaemonSet 被重命名为 istio-cni-node，以匹配上游 Istio 保当存在多个生产环境的 Jaeger 实例，它们使用相同的名称但在不同的命名空间中时，Elasticsearch 证书可以被正确协 调。另请参阅 BZ-1918920。 TRACING-1631 多 Jaeger 生产环境实例使用相同的名称但在不同命名空间中，因此会导致 Elasticsearch 证书问题。安装多个服务网格时，所有 Jaeger Elasticsearch 实例都有相同的 Elasticsearch Elasticsearch - Elasticsearch 是一个开源、分布式、基于 JSON 的搜索和分析引擎。分布式追踪 平台使用 Elasticsearch 进行持久性存储。 Grafana - Grafana 为网格管理员提供用于 Istio 数据的高级查询和指标分析和仪表板。另 外，Grafana 可以用来分析服务网格指标。 以下 Istio 集成与 Red Hat OpenShift Service

10.5.1. 删除网络策略 10.6. 为项目定义默认网络策略 10.6.1. 为新项目修改模板 10.6.2. 在新项目模板中添加网络策略 10.7. 使用网络策略配置多租户隔离 10.7.1. 使用网络策略配置多租户隔离 10.7.2. 后续步骤 41 42 43 45 46 46 47 47 48 49 50 50 50 50 52 52 52 53 54 57 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.7.3. 其他资源 第 第 11 章 章 多网 多网络 络 11.1. 了解多网络 11.1.1. 额外网络使用场景 11.1.2. OpenShift Container Platform 中的额外网络 11.2. 配置额外网络 11.2.1. 管理额外网络的方法 7.2. 将 pod 添加到额外网络 12.7.3. 创建与 SR-IOV pod 兼容的非统一内存访问 (NUMA) 12.7.4. 其他资源 12.8. 配置高性能多播 12.8.1. 高性能多播 12.8.2. 为多播配置 SR-IOV 接口 12.9. 在 DPDK 和 RDMA 模式中使用虚拟功能（VF）的示例 12.9.1. 在 DPDK 和 RDMA 模式中使用虚拟功能（VF）的示例

仅适用于 OpenShift Container Platform x86_64。 此发行版本只支持在 OpenShift 集群中包含所有 Service Mesh 组件的配置。它不支持在集群之外 或在多集群场景中管理微服务。 这个版本只支持没有集成外部服务的配置，比如虚拟机。 1.3.1. Red Hat OpenShift Service Mesh 支持的 Kiali 配置 Kiali 观察控制台只支持 行注记 记 5 本发行版本中的其他显著变化包括： Kubernetes Container Network Interface (CNI) 插件一直被启用。 control plane 默认配置为多租户。单租户、集群范围内的 control plane 配置功能已弃用。 通过 OperatorHub 安装 Elasticsearch 、Jaeger 、Kiali 和 Service Mesh Operators。 Hat OpenShift Service Mesh 会安装多租户 control plane。您可以指定可以访问 Service Mesh 的项目，并将 Service Mesh 与其他 control plane 实例隔离。 2.1.4. Red Hat OpenShift Service Mesh 中的多租户和集群范围安装的比较 多租户安装和集群范围安装之间的主要区别在于 control plane

为 Auto 或 或 Recreate。 。 当 当为 为工作复 工作复杂对 杂对象 象创 创建 建 pod 时 时， ，VPA 会持 会持续监 续监控容器以分析其 控容器以分析其 CPU 和内存需求。 和内存需求。VPA 会 会删 删除任何 除任何 不 不满 满足 足 VPA 对 对 CPU 和内存的建 和内存的建议 议的 的 pod。重新部署后， 。重新部署后，pod CR，把 ，把 updateMode 设 设置 置为 为 off。 。 当 当为该 为该工作 工作负载对 负载对象 象创 创建 建 pod 时 时, VPA 会分析容器的 会分析容器的 CPU 和内存需求，并在 和内存需求，并在 VPA CR 的 的 status 字 字 段中 段中记录 记录推荐。 推荐。VPA 会提供新的 会提供新的资 资源建 源建议 议，但不会更新 您可以通过创 过创建 建 VPA 自定 自定义资 义资源（ 源（CR）来使用 ）来使用 Vertical Pod Autoscaler Operator（ （VPA）。 ）。CR 指 指 明 明应 应分析 分析哪 哪些 些 pod，并决定 ，并决定 VPA 应该对这 应该对这些 些 pod 执 执行的操作。 行的操作。 流程 流程 为 为特定工作 特定工作负载对 负载对象 象创

12.5. 编辑网络策略 12.6. 删除网络策略 12.7. 为项目定义默认网络策略 12.8. 使用网络策略配置多租户隔离 第 第 13 章 章 多网 多网络 络 13.1. 了解多网络 13.2. 配置额外网络 13.3. 关于虚拟路由和转发 13.4. 配置多网络策略 13.5. 将 POD 附加到额外网络 13.6. 从额外网络中删除 POD 13.7. 编辑额外网络 13 . . . . . . . . . . . . . . . . 14.6. 配置 SR-IOV INFINIBAND 网络附加 14.7. 将 POD 添加到额外网络 14.8. 配置高性能多播 14.9. 使用 DPDK 和 RDMA 14.10. 卸载 SR-IOV NETWORK OPERATOR 第 第 15 章 章 OPENSHIFT SDN 默 默认 认 CNI 网 网络 HTTP 代理模式部署出口路由器 POD 15.10. 以 DNS 代理模式部署出口路由器 POD 15.11. 从配置映射配置出口路由器 POD 目的地列表 15.12. 为项目启用多播 15.13. 为项目禁用多播 15.14. 使用 OPENSHIFT SDN 配置网络隔离 15.15. 配置 KUBE-PROXY 第 第 16 章 章 OVN-KUBERNETES 默 默认 认 CNI

VPA 来自动更新 pod，为特定工作负载对象创建一个 VPA CR，并将 updateMode 设置为 Auto 或 Recreate。 当为工作复杂对象创建 pod 时，VPA 会持续监控容器以分析其 CPU 和内存需求。VPA 会删除任何不满 足 VPA 对 CPU 和内存的建议的 pod。重新部署后，pod 根据 VPA 建议使用新的资源限值和请求，并遵 循您的应用程序的 pod 中断预算。建议被添加到 要使用 VPA 来仅决定推荐的 CPU 和内存值而不进行实际的应用，对特定的工作负载创建一个 VPA CR， 把 updateMode 设置为 off。 当为该工作负载对象创建 pod 时, VPA 会分析容器的 CPU 和内存需求，并在 VPA CR 的 status 字段中记 录推荐。VPA 会提供新的资源建议，但不会更新 pod。 使用 使用 Off 模式的 模式的 VPA CR 示例 示例 Vertical Pod Autoscaler Operator 您可以通过创建 VPA 自定义资源（CR）来使用 Vertical Pod Autoscaler Operator（VPA）。CR 指明应 分析哪些 pod，并决定 VPA 应该对这些 pod 执行的操作。 流程 流程 为特定工作负载对象创建 VPA CR: 1. 切换到您要缩放的工作负载对象所在的项目。 a. 创建一个 VPA CR

作为服务所有者，您可以使用分布式追踪来检测您的服务，以收集与服务架构相关的信息。您可以使用分 布式追踪来监控、网络性能分析，并对现代、云原生的基于微服务的应用中组件之间的交互进行故障排 除。 通过分布式追踪，您可以执行以下功能： 监控分布式事务 优化性能和延迟时间 执行根原因分析 Red Hat OpenShift distributed tracing 包括两个主要组件： Red Hat 保当存在多个生产环境的 Jaeger 实例，它们使用相同的名称但在不同的命名空间中时，Elasticsearch 证书可以被正确协 调。另请参阅 BZ-1918920。 TRACING-1631 多 Jaeger 生产环境实例使用相同的名称但在不同命名空间中，因此会导致 Elasticsearch 证书问题。安装多个服务网格时，所有 Jaeger Elasticsearch 实例都有相同的 Elasticsearch 作为服务所有者，您可以使用分布式追踪来检测您的服务，以收集与服务架构相关的信息。您可以使用分 布式追踪来监控、网络性能分析，并对现代、云原生的基于微服务的应用中组件之间的交互进行故障排 除。 通过分布式追踪，您可以执行以下功能： 监控分布式事务 优化性能和延迟时间 执行根原因分析 Red Hat OpenShift distributed tracing 包括两个主要组件： Red Hat