服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL 3.7. OAUTH 服务器元数据 3.8. OAUTH API 事件故障排除 第 第 4 章 章 配置 配置 OAUTH 客 客户 户端 端 4.1. 默认 OAUTH 客户端 4.2. 注册其他 OAUTH 客户端 4.3 安全性上下文约束与 POD 安全标准同步 16.2. 控制 POD 安全准入同步 16.3. 关于 POD 安全准入警报 16.4. 其他资源 第 第 17 章 章 模 模拟 拟 SYSTEM:ADMIN 用 用户 户 17.1. API 模仿 17.2. 模拟 SYSTEM:ADMIN 用户 17.3. 模拟 SYSTEM:ADMIN 组 第 第 18 章 章 同步 同步 LDAP 组 组 18 18.1. 关于配置 LDAP 同步 75 82 83 86 86 87 87 88 89 89 89 90 90 90 91 94 94 94 96 98 98 101 101 102 102 102 104 106 106 115 116 118 120 121 123 124 124 124 125 126 127 127 127

控制台中安装特定的 Operator 版本 版本 在这个版本中，您可以根据控制台中的 OperatorHub 页面中的所选频道，从 Operator 的可用版本列表 中选择。另外，您可以在可用时查看该频道和版本的元数据。当选择旧版本时，需要手动批准更新策略， 否则 Operator 会立即更新到该频道的最新版本。 如需更多信息，请参阅在 web 控制台中安装 Operator 的特定版本。 1.3.4.1.4 Cloud 的云控制器管理器 支持 不支持 在节点上控制过量使用和管理容器密度 不支持 不支持 Cron 作业 支持 支持 Descheduler 支持 支持 Egress IP 支持 支持 加密数据存储在 etcd 中 支持 支持 FIPS 加密 支持 支持 Helm 支持 支持 Pod 横向自动扩展 支持 支持 IBM 安全执行 不支持 支持 IBM Power® Virtual Server 1.3.8.3. 修改的命名空 修改的命名空间 间中禁用 中禁用 Pod 安全准入同步 安全准入同步 在这个版本中，如果用户从 label-synchronized 命名空间中的自动标记值手动修改 pod 安全准入标签，则 会为该标签禁用同步。如有必要，用户可以再次启用同步。如需更多信息，请参阅 Pod 安全准入同步命 名空间排除。 1.3.8.4. 基于 基于 OLM 的 的 Operator

IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec Container Network Interface(CNI)默认网络供应商插件部署。 配置映射 配置映射 配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap 的卷中引用存储在配置映射 中的数据。在 pod 中运行的应用程序可以使用这个数据。 自定 自定义资 义资源 源 (CR) CR 是 Kubernetes API 的扩展。您可以创建自定义资源。 DNS 集群 维护应用程序生命周期的 Kubernetes 资源对象。 domain Domain（域）是 Ingress Controller 提供的 DNS 名称。 egress 通过来自 pod 的网络出站流量进行外部数据共享的过程。 外部 外部 DNS Operator External DNS Operator 部署并管理 ExternalDNS，以便为从外部 DNS 供应商到 OpenShift Container

的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 这包括在安装过程中为集群选择的 Container Network Interface (CNI) 网络插件部署。 配置映射 配置映射 配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap 的卷中引用存储在配置映射 中的数据。在 pod 中运行的应用程序可以使用这个数据。 自定 自定义资 义资源 源 (CR) CR 是 Kubernetes API 的扩展。您可以创建自定义资源。 DNS 集群 维护应用程序生命周期的 Kubernetes 资源对象。 domain Domain（域）是 Ingress Controller 提供的 DNS 名称。 egress 通过来自 pod 的网络出站流量进行外部数据共享的过程。 外部 外部 DNS Operator External DNS Operator 部署并管理 ExternalDNS，以便为从外部 DNS 供应商到 OpenShift Container

1.3. 修改不可用 WORKER 节点的数量 1.4. CONTROL PLANE 节点大小 1.5. 推荐的 ETCD 实践 1.6. 将 ETCD 移动到不同的磁盘 1.7. 分离 ETCD 数据 1.8. OPENSHIFT CONTAINER PLATFORM 基础架构组件 1.9. 移动监控解决方案 1.10. 移动默认 REGISTRY 1.11. 移动路由器 1.12. 基础架构节点大小 . . . . . . . . . . . . . . . . . . 第 第 7 章 章 扩 扩展 展 CLUSTER MONITORING OPERATOR 7.1. PROMETHEUS 数据库存储要求 7.2. 配置集群监控 第 第 8 章 章 根据 根据对 对象限制 象限制规 规划您的 划您的环 环境 境 8.1. OPENSHIFT CONTAINER PLATFORM 为主发行版本测试了集群最大值 如何根据经过测试的集群限制规划您的环境 8.4. 如何根据应用程序要求规划您的环境 第 第 9 章 章 优 优化存 化存储 储 9.1. 可用的持久性存储选项 9.2. 推荐的可配置存储技术 9.3. 数据存储管理 9.4. 为 MICROSOFT AZURE 优化存储性能 第 第 10 章 章 优 优化路由 化路由 10.1. INGRESS CONTROLLER（ROUTER）性能的基线 第

ClusterServiceVersions (CSV) 和自定义资源定义 (CRD) 以便在集群中创建， 并存储有关软件包和频道的 Operator 元数据。它运行在 Kubernetes 或 OpenShift 集群中，向 OLM 提供这些 Operator 目录数据。 OperatorHub OperatorHub 是一个 web 控制台，供集群管理员用来发现并选择要在其集群上安装的 Operator。它 Bundle Format 是 Operator Framework 引入的新打包格式。为提高可伸缩性并为自行托管 目录的上游用户提供更好地支持，Bundle Format 规格简化了 Operator 元数据的发布。 Operator 捆绑包代表 Operator 的单一版本。磁盘上的捆绑包清单是容器化的，并作为捆绑包镜像提供， 第 第 2 章 章 了解 了解 OPERATOR 7 Operator 作为捆绑包镜像提供， 该镜像是一个不可运行的容器镜像，其中存储了 Kubernetes 清单和 Operator 元数据。然后，使用现有容 器工具（如 podman 和 docker）和容器 registry（如 Quay）来管理捆绑包镜像的存储和发布。 Operator 元数据可以包括： 标识 Operator 的信息，如名称和版本。 驱动 UI 的额外信息，例如其图标和一些示例自定义资源

实例，请在安装 OpenShift Container Platform 前考虑升级到 6.7U3 或 7.0。 重要 重要 您必须确保在安装 OpenShift Container Platform 前同步 ESXi 主机上的时间。请参阅 VMware 文档中的编辑主机时间配置。 1.1.4. 网络连接要求 您必须配置机器之间的网络连接，以允许 OpenShift Container Platform 虚拟可扩展 LAN(VXLAN) 6081 Geneve 9000-9999 主机级别的服务，包括端口 9100-9101 上的节点导出器。 500 IPsec IKE 数据包 4500 IPsec NAT-T 数据包 TCP/UDP 30000-32767 Kubernetes 节点端口 ESP N/A IPsec Encapsulating Security Payload(ESP) vMotion 在数据存储间迁移虚拟机，这会导致 OpenShift Container Platform 持久性卷（PV）对象中的无效引用。这些引用可防止受影响的 pod 启动， 并可能导致数据丢失。 同样，OpenShift Container Platform 不支持在数据存储间有选择地迁移 VMDK、使用数据存储集群进行 虚拟机置备、动态或静态置备 PV，或使用作为数据存储集群一部分的数据存储进行

添加到 Node Tuning Operator 的实时配置集 1.2.6.3. 现在完全支持 Performance Addon Operator 1.2.6.4. 使用 Intel 设备优化数据平面性能 1.2.6.5. 在控制台中管理裸机主机 1.2.7. 开发者体验 1.2.7.1. oc set probe 命令已扩展 1.2.7.2. oc adm upgrade 命令现在会提供可升级条件 添加了指标和警报规则 1.2.17.5. 虚拟机的 Pending Changes 警报已更新 1.2.18. Insights Operator 1.2.18.1. 深入了解 Operator 数据收集功能的增强 1.3. 主要的技术变化 现在，每个集群版本都提供默认 Operator 目录 重要的 Operator 升级要求 CNI 网络供应商现在使用在集群节点上安装的 OVS 在使用已弃用 Operator 归档中添加内存和运行时间元数据 1.8.21.2. 程序错误修复 1.8.21.3. 更新 1.8.22. RHBA-2021:1232 - OpenShift Container Platform 4.6.26 程序错误修复更新 1.8.22.1. 功能 1.8.22.1.1. 了解 Operator 的增强以收集 SAP pod 数据 1.8.22.2. 更新 1.8.23

类型构建。 要使用二进制构建，请使用以下选项之一调用 oc start-build： --from-file：指定的文件内容作为二进制流发送到构建器。您还可以指定文件的 URL。然后，构 建器将数据存储在构建上下文顶端的同名文件中。 --from-dir 和 --from-repo：内容存档下来，并作为二进制流发送给构建器。然后，构建器在构建 上下文目录中提取存档的内容。使用 --from-dir 源类型，它会有效地被忽略并且替换成客户端发送的内 容。 如果 BuildConfig 定义了 Git 源类型，则会动态禁用它，因为 Binary 和 Git 是互斥的，并且二进 制流中提供给构建器的数据将具有优先权。 您可以将 HTTP 或 HTTPS 方案的 URL 传递给 --from-file 和 --from-archive，而不传递文件名。将 - from-file 与 URL 结合使用时，构建器镜像中文件的名称由 BuildConfig 具有 Binary 源类型，这意味着为此 BuildConfig 运行构建的唯一有效方法是使用 oc start- build 和其中一个 --from 选项来提供必需的二进制数据。 Dockerfile 和 contextDir 源选项对二进制构建具有特殊含义。 Dockerfile 可以与任何二进制构建源一起使用。如果使用 Dockerfile 且二进制流是存档，则其内容将充当

管理大页 页面 面 14.1. 巨页的作用 14.2. 先决条件 14.3. 消耗大页面 第 第 15 章 章 在 在 GLUSTERFS 存 存储 储上 上进 进行 行优 优化 化 15.1. 数据库聚合模式指南 15.2. 测试的应用程序 15.3. 支持列表 15.4. 测试结果 32 32 32 33 33 33 33 34 34 34 36 36 36 36 37 3.1. OPENSHIFT CONTAINER PLATFORM MASTER 主机的推荐做法 除了 pod 流量外，OpenShift Container Platform 基础架构中最常用的数据路径也介于 OpenShift Container Platform master 主机和 etcd 之间。OpenShift Container Platform API 服务器（master 二进 maxRequestsInFlight: 500 第 第 3 章 章 推荐的主机 推荐的主机实 实践 践 7 OpenShift Container Platform 节点配置文件包含重要的选项，如 iptables 同步周期、SDN 网络的最大传 输单元(MTU)和 proxy-mode。要配置节点，请修改适当的节点配置映射。 注意 注意 不要直接编辑 node-config.yaml 文件。 节点配置文件允许您将参数传递给