10 监 监控 控 38 1 限制用 限制用户 户定 定义 义的 的项 项目中每个目 目中每个目标 标提取可接受的示例数量 提取可接受的示例数量 创 创建在 建在达 达到提取示例 到提取示例阈值 阈值或无法提取目 或无法提取目标时 标时触 触发 发的警 的警报 报 注意 注意 限制提取示例可帮助防止在标签中添加多个未绑定属性导致的问题。开发人员还可以通过 限制其为指标定义的未绑定属性数量来 限制其为指标定义的未绑定属性数量来防止底层原因。使用绑定到一组有限可能值的属性 可减少潜在的键-值对组合数量。 2.11.1. 为用户定义的项目设置提取示例限制 您可以限制用户定义的项目中每个目标提取可接受的示例数量。 警告 警告 如果您设置了示例限制，则在达到限制后，不会为该目标摄取更多样本数据。 先决条件 先决条件 您可以使用具有 cluster-admin 角色的用户访问集群，也可以使用在 openshift-user-workload- enforcedSampleLimit 配置，以限制用户定义的项目中每个目标提 取可接受的示例数量： 如果指定此参数，则需要一个值。这个 enforceSampleLimit 示例将用户定义的项目中每个 目标提取的示例数量限制为 50,000。  $ oc -n openshift-user-workload-monitoring edit configmap user-workload-monitoring-config

命名空间中创建一个名为 version-$version-$hash 的作 业。此作业使用执行发行镜像的容器，因此集群通过容器运行时下载镜像。然后，作业会将清单 和元数据从发行镜像提取到 CVO 访问的共享卷。 5. CVO 验证提取的清单和元数据。 6. CVO 检查一些 preconditions，以确保集群中没有检测到有问题的条件。某些条件可能会阻止更 新进行。这些条件可以由 CVO 本身决定，或由单个集群 运行以下命令并检查 username 和 userAgent 字段，以帮助识别使用 API 的工作负载： 例如： 您还可以使用 -o jsonpath 从 APIRequestCount 资源中提取 username 和 userAgent 值： 输出示例 出示例 2.1.1.3. 迁移已 迁移已删除 除 API 实例 例 有关如何迁移删除 Kubernetes API 的详情，请参阅 Kubernetes Alibaba Cloud、 、IBM Cloud 和 和 Nutanix 在这些平台上安装的集群使用 ccoctl 工具进行配置。 这些平台上的集群管理员必须执行以下操作： 1. 为新版本提取并准备 CredentialsRequest 自定义资源 (CR)。 第 第 2 章 章 准 准备 备更新集群 更新集群 29 2. 为新版本配置 ccoctl 工具，并使用它来更新云供应商资源。

Service Mesh Operator 镜像失败。 如果本地容器 registry 连接到镜像主机，请执行以下操作： i. 使用以下命令直接将发行版镜像推送到本地 registry: 该命令将发行信息提取为摘要，其输出包括安装集群时所需的 imageContentSources 数据。 ii. 记录上一命令输出中的 imageContentSources 部分。您的镜像信息与您的镜像存储库 相对应，您必须在安装过程中将 Quay.io。 4. 要创建基于您镜像内容的安装程序，请提取内容并将其固定到发行版中： 如果您的镜像主机无法访问互联网，请运行以下命令： 如果本地容器 registry 连接到镜像主机，请运行以下命令： 重要 重要 要确保将正确的镜像用于您选择的 OpenShift Container Platform 版本，您必 须从镜像内容中提取安装程序。 您必须在有活跃互联网连接的机器上执行这个步骤。 REG_CREDS 环境变量设置为 registry 凭证的文件路径，以便在后续步骤中使用。例如，对于 podman CLI: 4.3.7.2. 提取和 提取和镜 镜像目 像目录 录内容 内容 oc adm catalog mirror 命令提取索引镜像的内容，以生成镜像所需的清单。命令的默认行为会生成清 $ podman login registry.redhat.io $ REG_CR

Options 菜单，然后选择 Edit Secret。 4. 记录 Value 字段的内容。您可以使用这些信息验证在更新凭证后该值是否不同。 5. 使用云供应商的新身份验证信息更新 Value 字段的文本，然后点 Save。 6. 如果集群的 CCO 配置为使用 mint 模式，请删除各个 CredentialsRequest 对象引用的每个组件 secret。 a. 以具有 cluster-admin Options 菜单，然后选择 Edit Secret。 4. 记录 Value 字段的内容。您可以使用这些信息验证在更新凭证后该值是否不同。 5. 使用云供应商的新身份验证信息更新 Value 字段的文本，然后点 Save。 6. 如果您要为没有启用 vSphere CSI Driver Operator 的 vSphere 集群更新凭证，您必须强制推出 Kubernetes 控制器管理器以应用更新的凭证。 使用手动维护的凭证更新云供应商资源 在使用手动维护凭证升级集群前，您必须为要升级到的发行镜像创建新凭证。您还必须查看现有凭证所需 的权限，并满足这些组件的新版本中任何新权限要求。 流程 流程 1. 提取并检查 新版本的 新版本的 CredentialsRequest 自定义资源。 详情请参阅您的云供应商的“手动创建 IAM”部分来了解如何获取和使用您的云所需的凭证。 2. 更新集群中手动维护的凭证：

io/node-selector= 流程 流程 1. 在 OpenShift Web 控制台左侧窗格中，点 Operators → OperatorHub。 2. 使用 Filter by keyword 文本框或过滤器列表从 operator 列表中搜索 OpenShift Container Storage。 3. 点 OpenShift Container Storage。 4. 在 OpenShift Script 链接，以下载用于提取 Ceph 集 群详细信息的 python 脚本。 6. 要提取 Red Hat Ceph Storage (RHCS) 集群详情，请联系 RHCS 管理员，以在带有 admin 密 密钥 钥 第 第 4 章 章 为 为外部模式 外部模式创 创建 建 OPENSHIFT CONTAINER STORAGE 集群服 集群服务 务 9 6. 要提取 Red Hat Ceph 池等）在创建存储集群后在 RHCS 外部集群上保持不变。 7. 点 External cluster metadata → Browse 来选择并上传 JSON 文件。 JSON 文件的内容填充并在文本框中显示。 图 图 4.4. JSON 文件内容 文件内容 8. 点击 Create。 Create 按钮只有在上传 .json 文件后才会启用。 验证 验证步 步骤 骤 1. 验证已安装存储集群的最后一个

this namespace。 这个选项在 Namespace 对象中设置 openshift.io/cluster-monitoring: "true" 标识。您必须 设置这个选项，以确保集群监控提取 openshift-operators-redhat 命名空间。 f. 选择一个批准策略 批准策略。 Automatic 策略允许 Operator Lifecycle Manager（OLM）在有新版本可用时自动更新 Succeeded 的项目中。 1.9.4. 程序错误修复 在此次更新之前，cluster-logging-operator 使用集群范围的角色和绑定来建立 Prometheus 服 务帐户的权限，以提取指标。这些权限在使用控制台界面部署 Operator 时创建，但在从命令行部 署时缺失。在这个版本中，通过使角色和绑定命名空间范围解决了这个问题。(LOG-2286) 在此次更新之前，修复仪表板协调在命名空间间引入一个 在此次更新之前，在以前的版本中会有意禁用 JSON 消息解析。这个版本重新启用 JSON 解析。 它还根据解析 JSON 消息中的"level"字段设置日志条目"level"字段，或者使用 regex 从消息字段 中提取匹配项。(LOG-1199) 在此次更新之前，ClusterLogging 自定义资源(CR)将 totalLimitSize 字段的值应用到 Fluentd total_limit_size

Container Platform CLI： 2. 运行以下命令，创建一个名为 tracing-system 的新项目： 3. 创建一个名为 jaeger.yaml 的自定义资源文件，其中包含以下文本： 示例 示例 Jaeger-all-in-one.yaml 4. 运行以下命令来部署分布式追踪平台(Jaeger)： 5. 在安装过程中运行以下命令来监控 pod 的进度： 安装过程完成后，输出类似以下示例： 下，Operator 提供了单个链接。 6. 在 Jaeger 下，点 Create Instance。 7. 在 Create Jaeger 页面上，将默认的 all-in-one YAML 文本替换为您的生产环境的 YAML 配置， 例如： 使用 使用 Elasticsearch 的示例 的示例 jaeger-production.yaml 文件 文件 8. 点 Create 创建分布式追踪平台(Jaeger)实例。 (oc)： 2. 运行以下命令，创建一个名为 tracing-system 的新项目： 3. 创建一个名为 jaeger-production.yaml 的自定义资源文件，其中包含上一步中的示例文件文本。 4. 运行以下命令来部署分布式追踪平台(Jaeger)： 5. 在安装过程中运行以下命令来监控 pod 的进度： 安装过程完成后，您会看到类似以下示例的输出： 3.2.4. 从 Web 控制台部署分布式追踪平台流策略

Service Mesh Operator 镜像失败。 如果本地容器 registry 连接到镜像主机，请执行以下操作： i. 使用以下命令直接将发行版镜像推送到本地 registry: 该命令将发行信息提取为摘要，其输出包括安装集群时所需的 imageContentSources 数据。 ii. 记录上一命令输出中的 imageContentSources 部分。您的镜像信息与您的镜像存储库 相对应，您必须在安装过程中将 Quay.io。 4. 要创建基于您镜像内容的安装程序，请提取内容并将其固定到发行版中： 如果您的镜像主机无法访问互联网，请运行以下命令： 如果本地容器 registry 连接到镜像主机，请运行以下命令： 重要 重要 要确保将正确的镜像用于您选择的 OpenShift Container Platform 版本，您必 须从镜像内容中提取安装程序。 您必须在有活跃互联网连接的机器上执行这个步骤。 io，请将 REG_CREDS 环境变量设置为 registry 凭证的文件路径，以便在后续步骤中使用。例如，对于 podman CLI: 4.3.7.2. 提取和 提取和镜像目 像目录内容 内容 oc adm catalog mirror 命令提取索引镜像的内容，以生成镜像所需的清单。命令的默认行为会生成清 $ podman login registry.redhat.io $ REG_CRED

构建输入提供构建操作的源内容。您可以使用以下构建输入在 OpenShift Container Platform 中提供源， 它们按优先顺序列出： 内联 Dockerfile 定义 从现有镜像中提取内容 Git 存储库 - type: "Generic" generic: secret: "secret101" - type: "ImageChange" --from-dir 和 --from-repo：内容存档下来，并作为二进制流发送给构建器。然后，构建器在构建 上下文目录中提取存档的内容。使用 --from-dir 时，您还可以指定提取的存档的 URL。 --from-archive：指定的存档发送到构建器，并在构建器上下文目录中提取。此选项与 --from-dir 的行为相同；只要这些选项的参数是目录，就会首先在主机上创建存档。 在上方列出的每种情形中： Dockerfile。如果将 Dockerfile 与 --from-file 参数搭配 使用，且文件参数 命名为 Dockerfile，则 Dockerfile 的值将替换二进制流中的值。 如果是二进制流封装提取的存档内容，contextDir 字段的值将解释为存档中的子目录，并且在有效时，构 建器将在执行构建之前更改到该子目录。 2.3.6. 输入 secret 和配置映射 重要 重要 要防止输入 secret

Manager (OLM) 中目录格式的最新迭代。它是基于纯文本（JSON 或 YAML）和早期 SQLite 数据库格式的声明式配置演变，并且完全向后兼容。此格式的目标是启用 Operator 目录编辑、可组合性和可扩展性。 编辑 使用基于文件的目录，与目录内容交互的用户可以对格式进行直接更改，并验证其更改是否有效。由 于这种格式是纯文本 JSON 或 YAML，因此目录维护人员可以通过手动或广泛支持的 这种可组合性支持分散的目录。格式允许 Operator 作者维护特定于 Operator 的目录，它允许维护人 员轻松构建由单个 Operator 目录组成的目录。基于文件的目录可以通过组合多个其他目录、提取一个 目录的子集或两者的组合来组成。 注意 注意 不允许软件包中重复软件包和重复捆绑包。如果找到任何重复项，opm validate 命令 将返回错误。 因为 Operator 作者最熟悉其 安装工作流 安装工作流 当 Operator 组与服务账户绑定，并且安装或升级了 Operator 时，Operator Lifecycle Manager（OLM） 会使用以下工作流： 1. OLM 会提取给定订阅对象。 2. OLM 获取与该订阅相关联的 Operator 组。 3. OLM 确定 Operator 组是否指定了服务帐户。 OpenShift Container Platform