YAML 代码。 流程 流程 自定义项目的不同集群角色： 1. 在 Search 视图中，使用 Resources 下拉列表搜索 Console。 2. 在可用选项中，选择 Console operator.openshift.io/v1。 图 图 2.3. 搜索控制台 搜索控制台资 资源 源 3. 在 Name 列表下选择 cluster。 4. 导航到 YAML 选项卡以查看和编辑 YAML 控制台导航菜单顶部的上下文选择器中，选择 Developer。 2. 点击 + Add 3. 在页面顶部，选择要添加到的项目的名称。 4. 单击添加到项目的方法，然后按照工作流操作。 注意 注意 您还可以使用快速搜索在拓扑中添加组件。 2.1.9. 使用 Web 控制台检查项目状态 流程 流程 1. 浏览至 Home → Project。 2. 选择一个项目来查看其状态。 2.1.10. 使用 CLI 或构建器镜像，它会被自动检测并填充到相应 的路径字段中。如果同一存储库中检测到 devfile、Dockerfile 和构建器镜像，则默认选择 devfile。 若要编辑文件导入类型并选择不同的策略，请单击 Edit import strategy 选项。 如果检测到多个 devfile、Dockerfile 或构建器镜像，以导入特定的 devfile、Dockerfile 或构 建器镜像，请指定与上下文目录相关的相应路径。 5

37 37 OpenShift Container Platform 3.11 CLI 参考 参考 2 7.3. 安装插件 7.3.1. Plug-in Loader 7.3.1.1. 搜索顺序 7.4. 编写插件 7.4.1. plugin.yaml Descriptor 7.4.2. 建议的目录结构 7.4.3. 访问运行时属性 37 38 38 38 39 39 另外，如果集群管理员启用了它，您可以在 web 控制台的 About 页面中下载并解压缩 CLI。 然后，解包存档，并将 oc 二进制文件移到 PATH 的目录中。要查看路径，请运行： 解包存档： 注意 注意 如果不使用 RHEL 或 Fedora，请确保将 libc 安装在库路径的目录中。如果 libc 不可用， 您在运行 CLI 命令时可能会看到以下错误： 2.4. 基本设置和登录 oc login 命令是初始设置 使用以下层次结构和合并规则从工作站检索 CLI 配置文件： 如果设置了 --config 选项，则只加载该文件。标志可能仅设置为一次，也没有合并发生。 如果设置了 $KUBECONFIG 环境变量，则会使用它。变量可以是路径列表，如果将路径合并 在一起。修改值后，会在定义该节的文件中对其进行修改。创建值时，会在存在的第一个文 件中创建它。如果链中不存在任何文件，则会在列表中创建最后一个文件。 否则，将使用 ~/.kube/config

YAML 代码。 流程 流程 自定义项目的不同集群角色： 1. 在 Search 视图中，使用 Resources 下拉列表搜索 Console。 2. 在可用选项中，选择 Console operator.openshift.io/v1。 图 2.3. 搜索控制台资源 3. 在 Name 列表下选择 cluster。 4. 导航到 YAML 选项卡以查看和编辑 YAML 代码。 5 控制台导航菜单顶部的上下文选择器中，选择 Developer。 2. 点击 + Add 3. 在页面顶部，选择要添加到的项目的名称。 4. 单击添加到项目的方法，然后按照工作流操作。 注意 注意 您还可以使用快速搜索在拓扑中添加组件。 2.1.9. 使用 Web 控制台检查项目状态 流程 1. 浏览至 Home → Project。 2. 选择一个项目来查看其状态。 2.1.10. 使用 CLI 检查项目状态 或构建器镜像，它会被自动检测并填充到相应 的路径字段中。如果同一存储库中检测到 devfile、Dockerfile 和构建器镜像，则默认选择 devfile。 若要编辑文件导入类型并选择不同的策略，请单击 Edit import strategy 选项。 如果检测到多个 devfile、Dockerfile 或构建器镜像，以导入特定的 devfile、Dockerfile 或构 建器镜像，请指定与上下文目录相关的相应路径。 5

CVE-2021-39156，其中 HTTP 请求带有片 段（以 # 字符开头的 URI 末尾的一个部分），您可以绕过 Istio URI 基于路径的授权策略。例如，Istio 授 权策略拒绝发送到 URI 路径 /user/profile 的请求。在存在安全漏洞的版本中，带有 URI 路径 /user/profile#section1 的请求绕过拒绝策略并路由到后端（通过规范的 URI path /user/ 且没有片段部分的授权策略。 要从缓解措施中的新行为中选择，将保留 URI 的片段部分。您可以将 ServiceMeshControlPlane 配置为 保留 URI 片段。 警告 警告 如前文所述，禁用新行为将对路径进行规范化，并被视为不安全。在选择保留 URI 片 段之前，确保您已将这些内容放入任何安全策略中。 ServiceMeshControlPlane 修改示例 修改示例 1.2.2.18.2. 授权策略所需的更新 包含一个可被远程利用的漏洞，当使用基于路径的授权规则时，带有多个斜杠或转义的斜杠字符 （%2F 或 %5C）的 HTTP 请求路径可能会绕过 Istio 授权策略。 例如，假设 Istio 集群管理员定义了一个授权 DENY 策略，以便在路径 /admin 上拒绝请求。发送到 URL 路径 //admin 的请求不会被授权策略拒绝。 根据 RFC 3986，带有多个斜杠的路径 //admin 在技术上应被视为与

14 分布式追踪 分布式追踪 4 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights TRACING-3431) 1.2.7. 获取支持 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights TRACING-3431) 1.3.7. 获取支持 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights

章 章 使用 使用带 带有 有备 备用 用 REGISTRY 的 的 CLUSTER SAMPLES OPERATOR 17 1 1 1 2 指定到存储 pull secret 的文件夹的路径，以及您创建的 JSON 文件的名称。 该文件类似于以下示例： 3. 为您的镜像 registry 生成 base64 编码的用户名和密码或令牌： 通过 和 对于生产环境版本，必须指定 openshift-release-dev。 e. 导出 registry pull secret 的路径： 对于 ，请指定您创建的镜像 registry 的 pull secret 的绝对路径和文 件名。 f. 导出发行版本镜像： 对于生产环境版本，您必须指定 ocp-release。 g. 为您的集群导出构架类型： 为您的集群导出构架类型： 指定集群的构架，如 x86_64, aarch64, s390x, 获 ppc64le。 h. 导出托管镜像的目录的路径： 指定完整路径，包括开始的前斜杠(/)字符。 3. 将版本镜像(mirror)到镜像 registry： 如果您的镜像主机无法访问互联网，请执行以下操作： i. 将可移动介质连接到连接到互联网的系统。 ii. 查看要镜像的镜像和配置清单： $ LOCAL_RE

身份验证 在身份验证过程中，搜索 LDAP 目录中与提供的用户名匹配的条目。如果找到一个唯一匹配项，则尝试使 用该条目的可分辨名称 (DN) 以及提供的密码进行简单绑定。 执行下面这些步骤： 1. 通过将配置的 url 中的属性和过滤器与用户提供的用户名组合来生成搜索过滤器。 2. 使用生成的过滤器搜索目录。如果搜索返回的不是一个条目，则拒绝访问。 3. 尝试使用搜索所获条目的 DN 和用户提供的密码绑定到 如果绑定失败，则拒绝访问。 5. 如果绑定成功，则将配置的属性用作身份、电子邮件地址、显示名称和首选用户名来构建一个身 份。 配置的 url 是 RFC 2255 URL，指定要使用的 LDAP 主机和搜索参数。URL 的语法是： ldap://host:port/basedn?attribute?scope?filter $ oc apply -f $ oc login localhost:636。 basedn 所有搜索都应从中开始的目录分支的 DN。至少，这必须是目录树的顶端，但也可指定目 录中的子树。 attribute 要搜索的属性。虽然 RFC 2255 允许使用逗号分隔属性列表，但无论提供多少个属性，都 仅使用第一个属性。如果没有提供任何属性，则默认使用 uid。建议选择一个在您使用的 子树中的所有条目间是唯一的属性。 scope 搜索的范围。可以是 one 或 sub。如果未提供范围，则默认使用

使用以下层次结构和合并规则从工作站检索 CLI 配置文件： 如果设置了 --config 选项，则只加载该文件。标志会被设置一次，且不会发生合并。 如果设置了 $KUBECONFIG 环境变量，则会使用它。变量可以是路径列表，如果将路径合并 在一起。修改值后，会在定义该节的文件中对其进行修改。创建值时，会在存在的第一个文 件中创建它。如果链中不存在任何文件，则会在列表中创建最后一个文件。 否则，将使用 ~/.kube/config Dockerfile 构建容器镜像，并将这些镜像推送到 registry。 在运行 odo build-images 命令时，odo 会使用 镜 镜像 像 类型搜索 devfile.yaml 中的所有组件，例如： uri 字段指示要使用的 Dockerfile 的相对路径，相对于包含 devfile.yaml 的目录。devfile 规格表示 uri 也可以是 HTTP URL，但 odo 尚不支持此 URL。 Operator，当创建 新命名空间时，这些资源会自动添加到其中。但是，在 Succeeded 阶段前可能需要一些时 间，odo 可能会返回空列表，直到资源就绪为止。 3.5.2.2.2. 搜索服 搜索服务 务 要通过关键字搜索特定服务，请运行以下命令： 例如，要检索 PostgreSQL 服务，请运行以下命令： 输 输出示例 出示例 您将看到在其名称中包含 search 关键字的 Operator

ADMINISTRATOR 视角中访问 METRICS TARGETS 页面 8.2. 搜索和过滤指标目标 8.3. 获取目标的详细信息 8.4. 后续步骤 第 第 9 章 章 管理警 管理警报 报 9.1. 在 ADMINISTRATOR 和 DEVELOPER 视角中访问 ALERTING UI 9.2. 搜索和过滤警报、静默和警报规则 9.3. 获取关于警报、静默和警报规则的信息 9.4 cluster-monitoring-config ConfigMap 对象： 2. 在 data/config.yaml 下为 prometheusK8s 添加 queryLogFile: : 将在其中记录查询的文件的路径。 3. 保存文件以使改变生效。 $ oc -n openshift-monitoring edit configmap cluster-monitoring-config apiVersion: config ConfigMap 对象： 2. 在 data/config.yaml 下为 prometheus 添加 queryLogFile: ： 将在其中记录查询的文件的路径。 3. 保存文件以使改变生效。 注意 注意 除非集群管理员为用户定义的项目启用了监控，否则应用到 user-workload- monitoring-config ConfigMap 的配置不会被激活。