过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1. 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始： Istio 服务网格。它所提供的拓扑结构可以帮助您了解服务网格的结构，并提供服务网 格的健康状况信息。 Kiali 实时提供命名空间的交互式图形视图，可让您了解诸如电路断路器、请求率、延迟甚至流量图等功 能。Kiali 提供了从应用程序到服务以及负载等不同级别的组件的了解，并可显示与所选图形节点或边缘的 上下文信息和图表的交互。Kiali 还提供了验证 Istio 配置（如网关、目的规则、虚拟服务、网格策略等 Platform (cluster API) API 来获取和解析服务网格 配置。Kiali 通过查询集群 API 获取信息，如获取命名空间、服务、部署、pod 和其他实体的定 义。Kiali 还提供查询来解析不同集群实体之间的关系。另外，还可以通过查询集群 API 以获取 Istio 配置，比如虚拟服务、目的规则、路由规则、网关、配额等等。 Jaeger - Jaeger 是可选的，但会作为 Red

策略 策略强 强制 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥 遥测 测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.3.3. Red Hat OpenShift Service Mesh 1.1.2 版中包含的组件版本 组 组件 件 版本 版本 Istio istio-proxy 中的分段错误。 MAISTRA-932 添加了 requires 元数据，以添加 Jaeger operator 和 Elasticsearch operator 之间 的依赖关系。确保在安装 Jaeger operator 时，它将自动部署 Elasticsearch operator（如果不可 用）。 MAISTRA-862 Galley 在多次命名空间删除和重新创建后丢弃了监控并停止了向其他组件提供配 Istio 服务网格。它所提供的拓扑结构可以帮助您了解服务网格的结构，并提供服务网 格的健康状况信息。 Kiali 实时提供命名空间的交互式图形视图，可让您了解诸如电路断路器、请求率、延迟甚至流量图等功 能。Kiali 提供了从应用程序到服务以及负载等不同级别的组件的了解，并可显示与所选图形节点或边缘的 上下文信息和图表的交互。Kiali 还提供了验证 Istio 配置（如网关、目的规则、虚拟服务、网格策略等

能访问执行其角色所需的资源。 服 服务帐户 务帐户 服务帐户供集群组件或应用程序使用。 系 系统 统用 用户 户 安装集群时自动创建的用户。 users 用户是可以向 API 发出请求的实体。 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置 用户身份验证，并确保只有 Platform 配置身份验证。 2.1. 用户 OpenShift Container Platform 中的用户是可以向 OpenShift Container Platform API 发出请求的实体。 OpenShift Container Platform User 对象代表操作者，通过向它们或所在的组添加角色为其授予系统中的 权限。通常，这代表与 OpenShift Container Platform 为它不会列出绑定到真正集群管理员的集群角色绑定。然而，它会列出可用来本地绑定 cluster-admin 的 本地角色绑定。 下方展示了集群角色、本地角色、集群角色绑定、本地角色绑定、用户、组和服务帐户之间的关系。 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 72 警告 警告 当它们被应用到一个角色时，get pods/exec, get pods/*

作为任何 Knative 资源，如 Knative 服 务、频道或代理 ; 或一个 URI。 现在，您可以通过频道、订阅、代理或触发器来视觉化 Knative 服务订阅的事件源之间的关 系。有关事件源关系的详情也可以在侧面面板中看到。 提供了过滤特定事件类型的功能。 对可用性进行了增强，如添加运行时标签来查看适当的运行时图标和工具提示。 现在，您可以添加、编辑和删除工作负载中的基本 pod 横向自动扩展（HPA），创建 Operator 版本依 版本依赖项 赖项 Operator 开发人员现在可以通过在 dependencies.yaml 文件中使用 olm.package 类型来确保 Operator 包含特定版本的依赖关系。 如需更多信息，请参阅 Operator Lifecycle Manager 依赖项。 1.2.11.2. Operator 捆绑 捆绑包中支持的其他 包中支持的其他对 对象 象 Operator 用户界面中删除。(BZ#1899382) 在以前的版本中，当相关的 pod 数据不可用于部署配置时，应用程序会崩溃。这是因为，部署配 置被加载后，控制台部署会马上获取两组数据用于 pod 状态的显示图。如果 API 返回超过 250 个 pod，则会跳过某些信息且不可用。这个问题已被解决，即使项目包含超过 250 个 pod，pod 数 据也会可用，因此 DeploymentConfig 详情页面不会再崩溃。（BZ#1921603）

Operator 可能包含的特定功能集来说，可以大致推断出 Operator 封装操作的成熟度等级。就 此而言，以下 Operator 成熟度模型针对 Operator 的第二天通用操作定义了五个成熟度阶段： 图 2.1. Operator 成熟度模型 成熟度模型 以上模型还显示了如何通过 Operator SDK 的 Helm、Go 和 Ansible 功能更好地开发这些功能。 2.2. OPERATOR etcd Operator 的 数据持久性层。 OLM 通过确保在安装过程中在集群中安装 Operator 和 CRD 的所有指定版本来解决依赖关系。通过在目 录中查找并安装满足所需 CRD API 且与软件包或捆绑包不相关的 Operator，解决这个依赖关系。 2.3.1.8. 索引 索引镜像 像 在 Bundle Format 中， 索引镜像是一种数据库（数据库快照）镜像，其中包含关于 Operator Container Platform 集群中运行的关联服务的生命周期。它是 Operator Framework 的一部分，后者是一个开源工具包，用于以有效、自动化且可扩展的方式管理 Operator。 图 2.2. Operator Lifecycle Manager 工作流 工作流 OLM 默认在 OpenShift Container Platform 4.14 中运行，辅助集群管理员对集群上运行的

该术语表定义了架构内容中使用的常见术语。这些术语可帮助您有效地了解 OpenShift Container Platform 架构。 访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 安全性。 准入插件 准入插件 准入插件强制执行安全策略、资源限制或配置要求。 身份 身份验证 验证 为了控制对 OpenShift Container 节点开始，以运行容器工作负载。 从一个或多个 control plane 节点管理这些工作负载的部署。 将容器嵌套到名为 pod 的部署单元中。使用 pod 可以为容器提供额外的元数据，并可在单个部署 实体中对多个容器进行分组。 创建特殊种类的资产。例如，服务由一组 pod 及定义了访问方式的策略来表示。此策略可使容器 连接到所需的服务，即便容器没有用于服务的特定 IP 地址。复制控制器（replication OpenShift Container Platform 的基本生命周期： 创建 OpenShift Container Platform 集群 管理集群 开发和部署应用程序 扩展应用程序 图 图 2.1. OpenShift Container Platform 高 高级 级概述 概述 2.1.4. OpenShift Container Platform 互联网访问 在 OpenShift

(VM) 和物理主机一样会消 耗尽可能多的资源，因此为虚拟机提供资源（如 CPU、RAM 和存储）的成本会比较高。另外，您可能会 看到，因为使用共享资源，导致虚拟实例中运行的应用程序的性能下降。 图 图 3.1. 用于 用于类 类部署的容器技 部署的容器技术 术的演 的演进 进 要解决这个问题，您可以使用容器化技术，在一个容器化环境中隔离应用程序。与虚拟机类似，容器具有 自己的文件系统、vCPU Kubernetes 集群资源。Operator 充当控制循环，它可以持续将所需的资源状态与资源 的实际状态进行比较，并将操作与所需的状态保持一致。 图 图 3.2. Kubernetes 集群概述 集群概述 第 第 3 章 章 KUBERNETES 概述 概述 19 图 图 3.2. Kubernetes 集群概述 集群概述 表 表 3.2. Kubernetes 资 资源 源 资 资源 源 用途 用途 用 OpenShift Container Platform 将容器化应用程 序扩展至内部和多云环境中的容器化应用程序。 图 图 3.3. Kubernetes 构 构架 架 OpenShift Container Platform 4.6 关于 关于 20 图 图 3.3. Kubernetes 构 构架 架 集群是一个计算单元，由云环境中的多个节点组成。Kubernetes 集群包含一个

worker 节点开始，以运行容器工作负载。 从一个或多个 master 节点管理这些工作负载的部署。 将容器嵌套在称为 Pod 的部署单元中。使用 Pod 可以为容器提供额外的元数据，并可在单个部 署实体中对多个容器进行分组。 创建特殊种类的资产。例如，服务由一组 Pod 及定义了访问方式的策略来表示。此策略可使容器 连接到所需的服务，即便容器没有用于服务的特定 IP 地址。复制控制器（replication OpenShift Container Platform 的基本生命周期： 创建 OpenShift Container Platform 集群 管理集群 开发和部署应用程序 扩展应用程序 图 图 1.1. OpenShift Container Platform 高 高级 级概述 概述 1.1.4. OpenShift Container Platform 对互联网和 Telemetry 以采 取措施来并行实现多个目标。最终目标是正常运行的集群。通过满足依赖项而不是运行命令，安装程序能 够识别和使用现有的组件，而不必运行命令来再次创建它们。 下图显示了安装目标和依赖项的子集： 图 图 2.1. OpenShift Container Platform 安装目 安装目标 标和依 和依赖项 赖项 在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS

worker 节点开始，以运行容器工作负载。 从一个或多个 master 节点管理这些工作负载的部署。 将容器嵌套在称为 Pod 的部署单元中。使用 Pod 可以为容器提供额外的元数据，并可在单个部 署实体中对多个容器进行分组。 创建特殊种类的资产。例如，服务由一组 Pod 及定义了访问方式的策略来表示。此策略可使容器 连接到所需的服务，即便容器没有用于服务的特定 IP 地址。复制控制器（replication OpenShift Container Platform 的基本生命周期： 创建 OpenShift Container Platform 集群 管理集群 开发和部署应用程序 扩展应用程序 图 图 1.1. OpenShift Container Platform 高 高级 级概述 概述 1.1.4. OpenShift Container Platform 对互联网和 Telemetry 以采 取措施来并行实现多个目标。最终目标是正常运行的集群。通过满足依赖项而不是运行命令，安装程序能 够识别和使用现有的组件，而不必运行命令来再次创建它们。 下图显示了安装目标和依赖项的子集： 图 图 2.1. OpenShift Container Platform 安装目 安装目标 标和依 和依赖项 赖项 在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS

从一个或多个 control plane 节点（也称为 master 节点）管理这些工作负载的部署。 将容器嵌套到名为 pod 的部署单元中。使用 pod 可以为容器提供额外的元数据，并可在单个部署 实体中对多个容器进行分组。 创建特殊种类的资产。例如，服务由一组 pod 及定义了访问方式的策略来表示。此策略可使容器 连接到所需的服务，即便容器没有用于服务的特定 IP 地址。复制控制器（replication OpenShift Container Platform 的基本生命周期： 创建 OpenShift Container Platform 集群 管理集群 开发和部署应用程序 扩展应用程序 图 图 2.1. OpenShift Container Platform 高 高级 级概述 概述 2.1.4. OpenShift Container Platform 的互联网访问 在 OpenShift 以采 取措施来并行实现多个目标。最终目标是正常运行的集群。通过满足依赖项而不是运行命令，安装程序能 够识别和使用现有的组件，而不必运行命令来再次创建它们。 下图显示了安装目标和依赖项的子集： 图 图 3.1. OpenShift Container Platform 安装目 安装目标 标和依 和依赖项 赖项 在安装后，每一个集群机器都将使用 Red Hat Enterprise Linux CoreOS