Container Platform 3.11 扩展和性能指南 OpenShift Container Platform 3.11 扩展和性能指南 Last Updated: 2023-03-25 OpenShift Container Platform 3.11 扩展和性能指南 OpenShift Container Platform 3.11 扩展和性能指南 Enter your first name community. All other trademarks are the property of their respective owners. 摘要 摘要 扩展集群并调整生产环境中的性能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SELinux 中使用 OverlayFS 或 DeviceMapper 的好处 5.4.2. 比较 Overlay 和 Overlay2 图形驱动程序 第 第 6 章 章 优 优化 化临时 临时存 存储 储 6.1. 概述 6.2. 常规存储指南 第 第 7 章 章 网 网络优 络优化 化 7.1. 优化网络性能 7.1.1. 为您的网络优化 MTU 7.2. 配置网络子网 7.3. 优化 IPSEC

Platform 4.10 可伸缩性和性能 扩展 OpenShift Container Platform 集群并调整产品环境的性能 Last Updated: 2023-10-18 OpenShift Container Platform 4.10 可伸缩性和性能 扩展 OpenShift Container Platform 集群并调整产品环境的性能 法律通告 法律通告 Copyright trademarks are the property of their respective owners. 摘要 摘要 本文档提供了扩展集群和优化 OpenShift Container Platform 环境性能的说明。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 境的推荐主机实 实践 践 2.1. 管理 CPU 过量使用 2.2. 禁用透明巨页 2.3. 使用 RECEIVE FLOW STEERING（RFS）提高网络性能 2.4. 选择您的网络设置 2.5. 确保 Z/VM 上使用 HYPERPAV 的高磁盘性能 2.6. IBM Z 主机上的 RHEL KVM 建议 第 第 3 章 章 推荐的集群 推荐的集群扩 扩展 展实 实践 践 3.1. 扩展集群的建议实践

添加到 Node Tuning Operator 的实时配置集 1.2.6.3. 现在完全支持 Performance Addon Operator 1.2.6.4. 使用 Intel 设备优化数据平面性能 1.2.6.5. 在控制台中管理裸机主机 1.2.7. 开发者体验 1.2.7.1. oc set probe 命令已扩展 1.2.7.2. oc adm upgrade 命令现在会提供可升级条件 可以同时指定多个巨页大小。 提高了支持性，如集成收集以及改进状态报告。 已设计并记录了一个覆盖字段内紧急配置的方法。 1.2.6.4. 使用 使用 Intel 设备优 设备优化数据平面性能 化数据平面性能 OpenShift Container Platform 4.6 支持： Intel FPGA PAC N3000 的 Open Operator Open SR-IOV Operator Operator 支持 vRAN 部署对低功耗、成本和延迟的要求，同时还提供相应的功能来管理性能高峰。 4G 和 5G 工作负载中最需要计算资源的是 RAN 第 1 层 (L1) 转发错误更正 (FEC)，它可以解决不可靠或不 安全通信通道上的数据传输错误。 随着 FEC 的成熟和更多用户依赖网络，交付高性能 FEC 对 5G 而言至关重要。FEC 通常在字段可编程 Arrays (FPGA) 加速器卡上实施，如

. . . . . . . . . . . . . . . . . 14.6. 配置 SR-IOV INFINIBAND 网络附加 14.7. 将 POD 添加到额外网络 14.8. 配置高性能多播 14.9. 使用 DPDK 和 RDMA 14.10. 卸载 SR-IOV NETWORK OPERATOR 第 第 15 章 章 OPENSHIFT SDN 默 默认 认 CNI 网 网络 中的配置（如定义 endpointPublishingStrategy 类型和内部负载平衡）提供了发布 Ingress Controller 端点的方法。 1.2.1. 路由和 Ingress 的比较 OpenShift Container Platform 中的 Kubernetes Ingress 资源通过作为集群内 pod 运行的共享路由器服务 来实现 Ingress Controller。管理 规则的刷新周期。默认值为 30s。有效的后 缀包括 s、m 和 h，具体参见 Go 时间 时间 包 文档。 注意 注意 由于 OpenShift Container Platform 4.3 及更高版本中引进了性能改进， 不再需要调整 iptablesSyncPeriod 参数。 proxyArguments.iptables- min-sync-period array 刷新 iptables 规则前的最短持续时间。此字段确保刷

26.6. 配置 SR-IOV INFINIBAND 网络附加 26.7. 将 POD 添加到额外网络 26.8. 为 SR-IOV 网络配置接口级别网络 SYSCTL 设置 26.9. 配置高性能多播 26.10. 使用 DPDK 和 RDMA 26.11. 使用 POD 级别绑定 26.12. 配置硬件卸载 (OFFLOADING) 26.13. 将 BLUEFIELD-2 从 DPU 切换到 网络是一个功能生态系统、插件和高级网络功能，它使用高级网络相关功能来扩展 Kubernetes 网络，集群需要为其一个或多个混合集群管理网络流量。这个网络功能生态系统集成了入 口、出口、负载均衡、高性能吞吐量、安全性和集群内部流量管理，并提供基于角色的可观察工具来减少 其自然复杂性。 以下列表重点介绍集群中可用的一些最常用的 Red Hat OpenShift Networking 功能： 由以下 中的配置（如定义 endpointPublishingStrategy 类型和内部负载平衡）提供了发布 Ingress Controller 端点的方法。 2.2.1. 路由和 Ingress 的比较 OpenShift Container Platform 中的 Kubernetes Ingress 资源通过作为集群内 pod 运行的共享路由器服务 来实现 Ingress Controller。管理

这个问题，OpenShift Logging 仪表板在控制台中可用。(LOG-2163) 在此次更新之前，对指标仪表板的更改不会部署，因为 cluster-logging-operator 无法正确比较 包含仪表板的现有和修改后的配置映射。在这个版本中，为对象标签添加唯一的散列值可解决这 个问题。(LOG-2071) 在此次更新之前，OpenShift Logging 仪表板没有正确显示表中的 pod Logging Bug Fix 5.3.4 1.19.1. 程序错误修复 在此次更新之前，对 metrics 仪表板的更改还没有部署，因为 cluster-logging-operator 没有正 确比较包含仪表板的现有和所需的配置映射。在这个版本中，通过在对象标签中添加唯一的 hash 值来解决逻辑。(LOG-2066) 第 第 1 章 章 LOGGING 发 发行注 行注记 记 25 在此次更新之前，Elasticsearch Logging Bug Fix 5.3.3 1.20.1. 程序错误修复 在此次更新之前，对 metrics 仪表板的更改还没有部署，因为 cluster-logging-operator 没有正确 地比较包含仪表板的现有和所需 configmaps。在这个版本中，通过将仪表板唯一的哈希值添加到 对象标签来修复逻辑。(LOG-2066) 在这个版本中，log4j 依赖项改为 2.17.1 以解决 CVE-2021-44832

构 2.1. 了解 RED HAT OPENSHIFT SERVICE MESH 2.2. KIALI 概述 2.3. JAEGER 介绍 2.4. SERVICE MESH 和 ISTIO 的比较 第 第 3 章 章 SERVICE MESH 安装 安装 3.1. 准备安装 RED HAT OPENSHIFT SERVICE MESH 3.2. RED HAT OPENSHIFT SERVICE configuration will be removed from Envoy soon. MAISTRA-681 和 KIALI-2686 当 control plane 有多个命名空间时，可能会导致出现性能问题。 MAISTRA-465 Maistra operator 无法为 operator 指标数据创建服务。 MAISTRA-453 如果创建新项目并立即部署 pod，则不会进行 sidecar Mesh 的项目，并将 Service Mesh 与其他 control plane 实例隔离。 2.1.4. Red Hat OpenShift Service Mesh 中的多租户和集群范围安装的比较 多租户安装和集群范围安装之间的主要区别在于 control plane 部署使用的权限范围，比如 Galley 和 Pilot。组件不再使用集群范围的 RBAC（Role Based Access

OPENSHIFT CONTAINER PLATFORM DNS 1.2. OPENSHIFT CONTAINER PLATFORM INGRESS OPERATOR 1.2.1. 路由和 Ingress 的比较 第 第 2 章 章 访问 访问主机 主机 2.1. 访问安装程序置备的基础架构集群中 AMAZON WEB SERVICES 上的主机 第 第 3 章 章 网 网络 络 OPERATOR 概述 附加的运行时配置 12.7.2. 将 pod 添加到额外网络 12.7.3. 创建与 SR-IOV pod 兼容的非统一内存访问 (NUMA) 12.7.4. 其他资源 12.8. 配置高性能多播 12.8.1. 高性能多播 12.8.2. 为多播配置 SR-IOV 接口 12.9. 在 DPDK 和 RDMA 模式中使用虚拟功能（VF）的示例 12.9.1. 在 DPDK 和 RDMA 模式中使用虚拟功能（VF）的示例 中的配置（如定义 endpointPublishingStrategy 类型和内部负载平衡）提供了发布 Ingress Controller 端点的方法。 1.2.1. 路由和 Ingress 的比较 OpenShift Container Platform 中的 Kubernetes Ingress 资源通过作为集群内 pod 运行的共享路由器服务 来实现 Ingress Controller。管理

启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY 模块 1.21. 使用 3SCALE 集成 监控流量的请求分类是一个技术预览功能 通过授权策略的 CUSTOM 操作与外部授权系统集成是一项技术预览功能 1.2.2.12.7. 改进了 Service Mesh operator 性能 Red Hat OpenShift Service Mesh 在每个 ServiceMeshControlPlane 协调结束时用于修剪旧资源的时间 已经减少。这会更快地进行 ServiceMeshControlPlane 主机的虚拟服务或网关会生成 匹配 "httpbin.foo 和 httpbin.foo:*" 的配置。但是，完全匹配授权策略仅与为 hosts 或 notHosts 字段给 出的确切字符串匹配。 如果您使用精确字符串比较的 AuthorizationPolicy 来确定 主机或非主机，则会影响您的集群。 您必须更新授权策略 规则，以使用前缀匹配而不是完全匹配。例如，在第一个 AuthorizationPolicy

管理这些应用程序。 简单的部署最适用于以下情况。 存储要求不明确。 Red Hat OpenShift Data Foundation 服务与应用程序共同运行。 创建一个有特定大小的端点实例（例如在裸机上）比较困难。 为了让 Red Hat OpenShift Data Foundation 与应用程序共同运行，它们必须具有动态附加本地存储设备 或可移植存储设备（如 EC2 上的 EBS 卷或 VMware 加密也提供 同一 OpenShift Container Platform 集群内其他命名空间的访问保护。当数据写入到磁盘时，数据会被加 密，并在从磁盘读取数据时对其进行解密。使用加密的数据可能会对性能产生较小的影响。 只有使用 Red Hat OpenShift Data Foundation 4.6 或更高版本部署的新集群才支持加密。没有使用外部 密钥管理系统 (KMS) 的现有加密集群无法迁移为使用外部 (VM)，其计算的 vCPU 为 1 个时，则需要一个完整的 2 核 订阅；一个 2 核订阅不能在两个使用超线程的带有 2 个 vCPU 的虚拟机间分割。如需更多信息，请参阅内 核、 vCPU 以及超线程的比较部分。 建议对虚拟实例进行大小调整，以便它们需要偶数数量的内核。 6.4.1. 用于 IBM Power 的共享处理器池 IBM Power 有共享处理器池的概念。共享处理器池中的处理器可以在集群的节点之间共享。Red