2.7.4.1. 使用配置映射在容器中填充环境变量 2.7.4.2. 使用配置映射为容器命令设置命令行参数 2.7.4.3. 使用配置映射将内容注入卷 2.8. 使用设备插件来利用 POD 访问外部资源 2.8.1. 了解设备插件 设备插件示例 2.8.1.1. 设备插件部署方法 2.8.2. 了解设备管理器 2.8.3. 启用设备管理器 2.9. 在 POD 调度决策中纳入 POD 5.3.1. 修改节点 5.4. 管理每个节点的 POD 数量上限 5.4.1. 配置每个节点的最大 pod 数量 5.5. 使用 NODE TUNING OPERATOR 5.5.1. 访问 Node Tuning Operator 示例规格 5.5.2. 自定义调整规格 5.5.3. 在集群中设置默认配置集 5.5.4. 支持的 Tuned 守护进程插件 5.6. 了解节点重新引导 . . . . . . . . . . . . . . . . . . . . . . 6.7.1. 在容器中执行远程命令 6.7.2. 用于从客户端发起远程命令的协议 6.8. 使用端口转发访问容器中的应用程序 6.8.1. 了解端口转发 6.8.2. 使用端口转发 6.8.3. 用于从客户端发起端口转发的协议 6.9. 在容器中使用 SYSCTL 6.9.1. 关于 sysctl

除了 Available,Progressing, 和 Upgradeable 外，还有影响集群版本和 Operator 的条件类型。 Failing：集群版本状况类型 Failing 表示集群无法访问其所需状态，不健康，需要管理员干预。 Invalid: 集群版本条件类型 Invalid 表示集群版本具有阻止服务器执行操作的错误。只要设置了此 条件，CVO 仅协调当前状态。 RetrievedUpdates 命名空间中创建一个名为 version-$version-$hash 的作 业。此作业使用执行发行镜像的容器，因此集群通过容器运行时下载镜像。然后，作业会将清单 和元数据从发行镜像提取到 CVO 访问的共享卷。 5. CVO 验证提取的清单和元数据。 6. CVO 检查一些 preconditions，以确保集群中没有检测到有问题的条件。某些条件可能会阻止更 新进行。这些条件可以由 CVO OPENSHIFT 更新 更新 11 例如： CVO 在内部为清单构建依赖项图，其中 CVO 遵循以下规则： 在更新过程中，在较高运行级别的清单之前会应用较低运行级别的清单。 在一个运行级别中，可以并行应用不同组件的清单。 在一个运行级别中，单个组件的清单以字典顺序应用。 然后，CVO 按照生成的依赖项图应用清单。 注意 注意 对于某些资源类型，CVO 在应用清单后监控资源，并将其视为仅在资源达到稳定状态后成

中使用配置映射 2.7.4.1. 使用配置映射在容器中填充环境变量 2.7.4.2. 使用配置映射为容器命令设置命令行参数 2.7.4.3. 使用配置映射将内容注入卷 2.8. 使用设备插件通过 POD 访问外部资源 2.8.1. 了解设备插件 设备插件示例 2.8.1.1. 设备插件部署方法 2.8.2. 了解设备管理器 2.8.3. 启用设备管理器 2.9. 在 POD 调度决策中纳入 POD 4. 为节点添加内核参数 5.4. 管理每个节点的 POD 数量上限 5.4.1. 配置每个节点的最大 pod 数量 5.5. 使用 NODE TUNING OPERATOR 5.5.1. 访问 Node Tuning Operator 示例规格 5.5.2. 自定义调整规格 5.5.3. 在集群中设置默认配置集 5.5.4. 支持的 TuneD 守护进程插件 5.6. 使用 POISON 6.7. 在 OPENSHIFT CONTAINER PLATFORM 容器中执行远程命令 6.7.1. 在容器中执行远程命令 6.7.2. 用于从客户端发起远程命令的协议 6.8. 使用端口转发访问容器中的应用程序 6.8.1. 了解端口转发 6.8.2. 使用端口转发 6.8.3. 用于从客户端发起端口转发的协议 6.9. 在容器中使用 SYSCTL 6.9.1. 关于 sysctl

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5. 管理虚拟机实例 8.6. 控制虚拟机状态 8.7. 访问虚拟机控制台 8.8. 使用 SYSPREP 自动执行 WINDOWS 安装 8.9. 解决故障节点来触发虚拟机故障切换 8.10. 在虚拟机上安装 QEMU 客户机代理 8.11. 查看虚拟机的 当您使用具有不同 SELinux 上下文的两个 pod 时，带有 ocs-storagecluster-cephfs 存储类的虚 拟机无法迁移，虚拟机状态变为 Paused。这是因为两个 pod 会尝试同时访问共享 ReadWriteMany CephFS 卷。(BZ#2092271) 作为临时解决方案，使用 ocs-storagecluster-ceph-rbd 存储类在使用 Red Hat Ceph Manager。 如果您拥有有限的互联网连接，您可以在 Operator Lifecycle Manager 中配置代理支持 以访问红帽提供 的 OperatorHub。 4.1.5. 实时迁移 实时迁移有以下要求： 使用 ReadWriteMany (RWX)访问模式的共享存储. 足够的 RAM 和网络带宽。 如果虚拟机使用主机型号 CPU，则节点必须支持虚拟机的主机型号 CPU。 注意

4 第 2 章 推荐的安装实践 2.1. 预安装依赖项 节点主机将访问网络来安装任何 RPM 依赖项，如 atomic-openshift-*、iptables 和 CRI-O 或 Docker。 预安装这些依赖关系，创建更高效的安装，因为仅在需要时访问 RPM，而不是在安装过程中每个主机执 行多次。 对于无法访问 registry 以进行安全目的的计算机也很有用。 2.2. ANSIBLE OpenShift Container Platform 安装方法使用 Ansible。Ansible 对于运行并行操作非常有用，这意味着快 速高效的安装。但是，这些可通过额外的调整选项加以改进。如需可用 Ansible 配置选项列表，请参阅 Configuring Ansible 部分。 重要 重要 并行行为可能会认为内容源，如您的镜像 registry 或 Red Hat Satellite 服务器。准备服务 apiserver_request_count 速率指标，并相应地调整 maxRequestsInFlight 和 QPS。 更改默认值时，需要有一个很好的平衡，因为 API 服务器的 CPU 和内存消耗，etcd IOPS 会在并行处理 更多请求时增加。另请注意，大量非watch 请求可能会在固定 60 秒超时后取消 API 服务器过载，客户端 开始重试。 API 服务器系统中提供了足够的 CPU 和内存资源，API 服务器请求过载问题可安全地缓解这个问题。通过

上运行的集群的用户定义的出站路由 1.2.2.5. 将集群安装到 vSphere 版本 7.0 1.2.2.6. 使用安装程序置备的基础架构在裸机上安装集群 1.2.2.7. 处理 AWS、Azure 和 GCP 上的云 API 访问的凭证请求 1.2.2.8. 指定 control plane 和计算节点的磁盘类型和大小 1.2.2.9. 对于 Azure 安装，增加了 control plane 节点的最小磁盘大小 1.2 和 和 GCP 上的云 上的云 API 访问 访问的凭 的凭证请 证请求 求 现在，install-config.yaml 文件中有一个新的 credentialsMode 字段，它定义了如何为 OpenShift Container Platform 组件处理 CredentialsRequest 自定义资源，以便在 AWS、Azure 和 GCP 上访问云 API。现在，有 3 个可以配置的模式： 储格式 格式 OAuth 访问令牌和 OAuth 授权令牌对象名称现在作为非敏感对象名称进行存储。 在以前的版本中，secret 信息用作 OAuth 访问令牌和 OAuth 授权令牌对象名称。当对 etcd 加密时，只 OpenShift Container Platform 4.6 发 发行注 行注记 记 16 在以前的版本中，secret 信息用作 OAuth 访问令牌和 OAuth 授权令牌对象名称。当对

10.1. 创建虚拟机 10.2. 编辑虚拟机 10.3. 编辑引导顺序 10.4. 删除虚拟机 10.5. 导出虚拟机 10.6. 管理虚拟机实例 10.7. 控制虚拟机状态 10.8. 访问虚拟机控制台 10.9. 使用 SYSPREP 自动执行 WINDOWS 安装 10.10. 解决故障节点来触发虚拟机故障切换 10.11. 安装 QEMU 客户机代理和 VIRTIO 驱动程序 与已知的存储供应商搭配使用，则会自动选择卷和访问模式。但是，如果您使用没有存 储配置集的存储类，则必须选择卷和访问模式。 要获得最佳结果，请使用 accessMode: ReadWriteMany 和 volumeMode: Block。这一点非常重要： 第 第 1 章 章 关于 关于 OPENSHIFT VIRTUALIZATION 5 实时迁移需要 ReadWriteMany (RWX) 访问模式。 与 Filesystem OpenShift Data Foundation，Ceph RBD 卷优先于 CephFS 卷。 重要 重要 您无法实时迁移使用以下配置的虚拟机： 具有 ReadWriteOnce (RWO) 访问模式的存储卷 透传功能，比如 GPU 对于这些虚拟机，不要将 evictionStrategy 字段设置为 LiveMigrate。 1.3. 单节点 OPENSHIFT 的不同 您可以在单节点

2.1.3.3. 其他主要功能 2.1.3.4. OpenShift Container Platform 生命周期 2.1.4. OpenShift Container Platform 的互联网访问 第 第 3 章 章 安装和更新 安装和更新 3.1. OPENSHIFT CONTAINER PLATFORM 安装概述 3.1.1. OpenShift 集群支持的平台 3.1.2. 安装过程 Kubernetes 清单并将其存储在 Git 存储库中。Kubernetes 处理称为 pod 的基本单元。pod 是集群中一个运行中进程的单个实例。Pod 可以包含一个或多个容器。您可以通过对一组 pod 及其访问 策略进行分组来创建服务。服务为创建和销毁容器集时的其他应用提供永久内部 IP 地址和主机名。 Kubernetes 根据应用程序的类型定义工作负载。 1.4. 关于 RED HAT ENTERPRISE 节点）管理这些工作负载的部署。 将容器嵌套到名为 pod 的部署单元中。使用 pod 可以为容器提供额外的元数据，并可在单个部署 实体中对多个容器进行分组。 创建特殊种类的资产。例如，服务由一组 pod 及定义了访问方式的策略来表示。此策略可使容器 连接到所需的服务，即便容器没有用于服务的特定 IP 地址。复制控制器（replication controller）是另一种特殊资产，用于指示一次需要运行多少个 pod

OPENSHIFT UPDATE 服务 3.3. 非受管 OPERATOR 的支持策略 3.4. 后续步骤 第 第 4 章 章 RED HAT OPENSHIFT CLUSTER MANAGER 4.1. 访问 RED HAT OPENSHIFT CLUSTER MANAGER 4.2. 常规操作 4.3. 集群标签页 4.4. 其他资源 第 第 5 章 章 CONTROL PLANE 架 架构 构 5 Platform 架构。 访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 安全性。 准入插件 准入插件 准入插件强制执行安全策略、资源限制或配置要求。 身份 身份验证 验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置用户身份验证，并确保 只有批准的用户访问集群。要与 OpenShift 集群交互，您必须对 OpenShift Container Platform API 进行身份验证。您可以通过在您对 OpenShift Container Platform API 的请求 中提供 OAuth 访问令牌或 X.509 客户端证书来进行身份验证。 bootstrap 运行最小 Kubernetes 并部署 OpenShift Container Platform control plane 的临时机器。

为什么使用 什么使用 Kubernetes API 和 和 kubectl 工具来管理您的 工具来管理您的应用程序？ 用程序？ 这些 API 功能丰富，所有平台均有对应的客户端，并可插入到集群的访问控制/审核中。Operator 会 使用 Kubernetes 的扩展机制“自定义资源定义 (CRD)”支持您的自定义对象，如 MongoDB，它类似于 内置的原生 Kubernetes 对象。 Operator Manager (OLM) 能够控制集群中 Operator 的安装、升级和基于角色的访问控制 OpenShift Container Platform 4.14 Operator 6 Operator Lifecycle Manager (OLM) 能够控制集群中 Operator 的安装、升级和基于角色的访问控制 (RBAC)。它默认部署在 OpenShift Container Platform 安装时，Operator 应该订阅到的默认频道。 注意 注意 如果出现不匹配的情况，则以 annotations.yaml 文件为准，因为依赖这些注解的集群 Operator Registry 只能访问此文件。 2.2.1.3. 依 依赖项 Operator 的依赖项列在捆绑包的 metadata/ 目录中的 dependencies.yaml 文件中。此文件是可选的，目 前仅用于指明 Operator-version