Container Platform 监控堆 栈所依据的监控系统。Prometheus 是一个时间序列数 据库和用于指标的规则评估引擎。Prometheus 将警报 发送到 Alertmanager 进行处理。 Prometheus Adapter Prometheus Adapter（上图中的 PA）负责转换 Kubernetes 节点和 Pod 查询以便在 Prometheus 中使 用。转换的资源指标包括 的集群资源指标 API。Prometheus Adapter 也用于 oc adm top nodes 和 oc adm top pods 命令。 Alertmanager Alertmanager 服务处理从 Prometheus 接收的警报。 Alertmanager 还负责将警报发送到外部通知系统。 kube-state-metrics 代理 kube-state-metrics 导出器代理（上图中的 CONTAINER PLATFORM 监控的常见术语表 此术语表定义了 OpenShift Container Platform 架构中使用的常见术语。 Alertmanager Alertmanager 处理从 Prometheus 接收的警报。Alertmanager 还负责将警报发送到外部通知系统。 警 警报规则 报规则 警报规则包含一组概述集群中特定状态的条件。当这些条件满足时会触发警报。可为警报规则分配一

过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1. 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始： master、 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题。 1.2.2.18.1. Red Hat OpenShift Service Mesh 处理 URI 片段的方式改变 Red Hat OpenShift Service Mesh 包含一个可远程利用的漏洞 CVE-2021-39156，其中 HTTP 请求带有片 段（以 # 字符开头的 URI 1.2.2.23.2. 更新路径规范化配置 Istio 授权策略可能基于 HTTP 请求中的 URL 路径。路径规范化 （也称为 URI 规范化）、修改和标准化传 入请求的路径，以便能够以标准的方式处理规范化路径。在路径规范化后，同步不同路径可能是等同的。 Istio 在根据授权策略和路由请求前，支持请求路径中的以下规范化方案： 表 1.1. 规范化方案 选项 选项 描述 描述 示例 示例 备

项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的环境中。您可以 使用 control plane 功能配置和管理 Service Mesh。 Red Hat OpenShift Service Mesh 提供了一个 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥 遥测 测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.3.3. Red Hat OpenShift Service Mesh 1.1.2 版中包含的组件版本 组 组件 件 版本 版本 Istio 1.4.6 Jaeger MAISTRA-348 OpenShift 4 Beta on AWS 不支持端口 80 或 443 之外的 ingress 网关流量。如果 您将 ingress 网关配置为使用 80 或 443 以外的端口号处理 TCP 流量，作为临时解决方案，您必 须使用 AWS 负载均衡器提供的服务主机名，而不是使用 OpenShift 路由器。 1.5.2. Kiali 修复的问题 KIALI-3239 如果一个

OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress Controller 来处理路由，使外部客 户端可以访问您的服务。您可以通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源，来使用 Ingress Operator 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： OpenShift Container Platform OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress Controller 来处理路由，使外部客 户端可以访问您的服务。您可以通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源，来使用 Ingress Operator

第 5 章 章 更新 更新 OPENSHIFT VIRTUALIZATION 5.1. 关于更新 OPENSHIFT VIRTUALIZATION 5.2. 配置自动工作负载更新 5.3. 批准待处理的 OPERATOR 更新 5.4. 监控更新状态 5.5. 其他资源 第 第 6 章 章 为 为 KUBEVIRT-CONTROLLER 和 和 VIRT-LAUNCHER 授予 授予额 额外的安全 OpenShift Virtualization 插件的数据保护 来备份包 含虚拟机的命名空间。 管理员现在可以通过编辑 HyperConverged CR 来声明性 创建和公开介质设备，如虚拟图形处理 单元(vGPU)。然后，虚拟机所有者可将这些设备分配给虚拟机。 您可以通过将单个 NodeNetworkConfigurationPolicy 清单应用到集群 来传输附加到桥接的静 态 IP 配置。 CPU 数量 虚拟机请求的虚拟图形卡数 如果您的环境包含单一根 I/O 虚拟化（SR-IOV）网络设备或图形处理单元（GPU），请为每个设备分配 1 GiB 额外的内存开销。 4.1.2.2. CPU 开 开销 使用以下内容计算 OpenShift Virtualization 的集群处理器开销要求。每个虚拟机的 CPU 开销取决于您的 单独设置。 集群 集群 CPU 开 开销 CPU overhead

OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress Controller 来处理路由，使外部客 户端可以访问您的服务。您可以通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源，来使用 Ingress Operator 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： OpenShift Container Platform OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress Controller 来处理路由，使外部客 户端可以访问您的服务。您可以通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源，来使用 Ingress Operator

设置为节点分配资源。您可以允许 OpenShift Container Platform 自动决 定节点的最佳 system-reserved CPU 和内存资源，也可以手动决定并为节点设置最佳资源。 根据节点上的处理器内核数、硬限制或两者，配置可在节点上运行的 pod 数量。 使用 pod 反关联性来安全地重新引导节点。 通过使用机器集缩减集群，从集群中删除节点。要从裸机集群中删除节点，您必须首先排空节点 上的所有 重启策略。 如果整个 pod 失败，OpenShift Container Platform 会启动一个新 pod。开发人员必须解决应用程序可能 会在新 pod 中重启的情况。特别是，应用程序必须处理由以往运行产生的临时文件、锁定、不完整输出等 结果。 注意 注意 Kubernetes 架构需要来自云提供商的可靠端点。当云提供商停机时，kubelet 会防止 OpenShift Container 入 pod 中）通过控制已排队数据包进行处理，以便 有效地处理数据。您对 pod 应用的限制不会影响其他 pod 的带宽。 流程 流程 限制 pod 的带宽： 1. 编写对象定义 JSON 文件，并使用 kubernetes.io/ingress-bandwidth 和 kubernetes.io/egress-bandwidth 注解指定数据流量速度。例如，将 pod 出口和入口带宽限制

分配资源。您可以允许 OpenShift Container Platform 自动 决定节点的最佳 system-reserved CPU 和内存资源，也可以手动为节点决定和设置最佳资源。 根据 节点上的处理器内核数和或硬限制，配置可在节点上运行的 pod 数量。 使用 pod 反关联性 安全地重新引导节点。 通过使用机器集缩减 集群来从集群中删除节点。要从裸机集群中删除节点，您必须首先排空节点 上的所有 重启策略。 如果整个 pod 失败，OpenShift Container Platform 会启动一个新 pod。开发人员必须解决应用程序可能 会在新 pod 中重启的情况。特别是，应用程序必须处理由以往运行产生的临时文件、锁定、不完整输出等 结果。 注意 注意 Kubernetes 架构需要来自云提供商的可靠端点。当云提供商停机时，kubelet 会防止 OpenShift Container 入 pod 中）通过控制已排队数据包进行处理，以便 有效地处理数据。您对 pod 应用的限制不会影响其他 pod 的带宽。 流程 流程 限制 pod 的带宽： 1. 编写对象定义 JSON 文件，并使用 kubernetes.io/ingress-bandwidth 和 kubernetes.io/egress-bandwidth 注解指定数据流量速度。例如，将 pod 出口和入口带宽限制

组件的健康和状态 正在进行的任何升级的健康和状态 有关 OpenShift Container Platform 组件和功能的有限使用情况信息 有关集群监控组件所报告的警报的摘要信息 红帽将使用这一持续数据流实时监控集群的健康，必要时将对影响客户的问题做出反应。同时还有助于红 帽向客户推出 OpenShift Container Platform 升级，以便最大程度降低服务影响，持续改进升级体验。 这

产生影响。当节点上运行大量 I/O 高负载的 pod 时，可能会出现超载的问题。建议您监控节点上的磁盘 I/O，并使用有足够 吞吐量的卷。 podsPerCore 根据节点中的处理器内核数来设置节点可运行的 pod 数量。例如：在一个有 4 个处理器内 核的节点上将 podsPerCore 设为 10 ，则该节点上允许的最大 pod 数量为 40。 将 podsPerCore 设置为 0 可禁用这个限制。默认为 节点的大型高密度集群中，当其中一个节点停止、重启或失败 时，CPU 和内存用量将会激增。故障可能是因为电源、网络或底层基础架构出现意外问题，除了在关闭 集群后重启集群以节约成本的情况下。其余两个 control plane 节点必须处理负载才能高度可用，从而增加 资源使用量。另外，在升级过程中还会有这个预期，因为 master 被封锁、排空并按顺序重新引导，以应 $ oc edit machineconfigpool worker 用操作系统更新以及 control plane Operator 更新。为了避免级联失败，请将 control plane 节点上的总体 CPU 和内存资源使用量保留为最多 60% 的所有可用容量，以处理资源使用量激增。相应地增加 control plane 节点上的 CPU 和内存，以避免因为缺少资源而造成潜在的停机。 重要 重要 节点大小取决于集群中的节点和对象数量。它还取决于集群上是否正在主动创建这些对