hco-operator (HCO)提供了一个单一入口点，用于部署和管理 OpenShift Virtualization 以及一些带有建 议的默认值的 helper operator。它还会为这些操作器创建自定义资源(CR)。 OpenShift Container Platform 4.13 虚 虚拟 拟化 化 8 表 表 2.1. hco-operator 组 组件 件 组 组件 件 2 章 章 OPENSHIFT VIRTUALIZATION 架 架构 构 13 daemonset/virt-handler 监控对虚拟机的任何更改并指示 virt-launcher 执行 所需操作。此组件特定于节点。 pod/virt-launcher 包含由 libvirt 和 qemu 实施的用户创建的虚拟机。 组 组件 件 描述 描述 OpenShift Container Platform vCPU 等待周期的 VirtualMachines 存 存储 储吞吐量 吞吐量图表 带有最高存储吞吐量使用量的 VirtualMachines 存 存储 储 IOPS图表 带有最高存储输入/输出操作的 VirtualMachines 每秒使用。 4.1.3. Migration 标签页 Migrations 选项卡显示 VirtualMachineInstance 迁移的状态。 例 例 4

. . . . . . . . . . . 13.9. OPENSHIFT CONTAINER PLATFORM 集群监控、日志记录和遥测技术 13.10. PROMETHEUS 对虚拟资源的查询 13.11. 为虚拟机公开自定义指标 13.12. OPENSHIFT VIRTUALIZATION CRITICAL 警报 13.13. 为红帽支持收集数据 第 第 14 章 章 备 备份和恢复 Container Platform 的最新版本。 3.1.2. 支持的客户端操作系统 要查看 OpenShift Virtualization 支持的客户机操作系统，请参阅 Red Hat OpenStack Platform、Red Hat Virtualization 和 OpenShift Virtualization 中认证的客户机操作系统。 3.2. 使开源包含更多 红帽致力于替换我们的代码、文档和 来的自动更新。 现在，您可以将 OpenShift Virtualization 与单一节点集群一起使用，也称为单一节点 OpenShift(SNO)。 注意 注意 单节点集群没有针对高可用性操作配置，这会导致 OpenShift Virtualization 行为 有显著变化。 现在，为所有 OpenShift Virtualization control plane 组件定义了资源请求和优先级类。

Container Platform 集群的访问，并确保只有经过身份验证的用户可以 访问 OpenShift Container Platform 集群。 授 授权 权 授权决定识别的用户是否有权限来执行所请求的操作。 bearer 令牌 令牌 bearer 令牌用于通过标头 Authorization: Bearer 向 API 进行身份验证。 Cloud Credential Operator 的方法。您可以在类型为 ConfigMap 的卷中引用存储在配置映射 中的数据。在 pod 中运行的应用程序可以使用这个数据。 containers 包括软件及其所有依赖项的轻量级和可执行镜像。由于容器虚拟化操作系统，因此您可以在数据中 心、公有云或私有云或本地主机中运行容器。 自定 自定义资 义资源 源 (CR) CR 是 Kubernetes API 的扩展。 group 组是一组用户。组可用于一次性向多个用户授予权限。 Keystone 是一个 Red Hat OpenStack Platform (RHOSP)项目，提供身份、令牌、目录和策略服务。 轻 轻量 量级 级目 目录访问协议 录访问协议 (LDAP) LDAP 是查询用户信息的协议。 手 手动 动模式 模式 在手动模式中，用户管理云凭证而不是 Cloud Credential Operator（CCO）。 Mint 模式 模式 Mint 模式是 Cloud

到其他服务。 Service Mesh 基于开源 Istio 项目，为创建部署的服务提供发现、负载均衡、服务对服务身份验证、故障 恢复、指标和监控的服务网络提供了便捷的方法。服务网格还提供更复杂的操作功能，其中包括 A/B 测 试、canary 发行版本、访问控制以及端到端验证。 1.1.2. 核心功能 Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 尚不支持远程获取和加载 WebAssembly HTTP 过滤器 尚不支持使用 Kubernetes CSR API 的自定义 CA 集成 监控流量的请求分类是一个技术预览功能 通过授权策略的 CUSTOM 操作与外部授权系统集成是一项技术预览功能 1.2.2.12.7. 改进了 Service Mesh operator 性能 Red Hat OpenShift Service Mesh 在每个 Se 的请求绕过拒绝策略并路由到后端（通过规范的 URI path /user/profile%23section1），可能会导致安全事件。 如果您使用带有 DENY 操作和 operation.paths 的授权策略，或者 ALLOW 操作和 operation.notPaths，则会受到此漏洞的影响。 在这个版本中，在授权和路由前会删除请求的 URI 片段部分。这可以防止其 URI 中带有片段的请求绕过基

1.1. RED HAT OPENSHIFT SERVICE MESH Red Hat OpenShift Service Mesh 是一个提供对服务网格（service mesh）的行为信息和操作控制的平 台，它为用户提供了一个连接、管理和监控微服务应用程序的统一方法。 术语 服务网格（service mesh）代表在分布式微服务架构中组成应用程序的微服务网络，以及这些微服务 间的交互。当 Red Hat OpenShift Service Mesh 提供了一个方便的方法来创建一个部署的服务网络，它可提供发现、负 载平衡、服务对服务验证、故障恢复、指标和监控的功能。服务网格还提供更复杂的操作功能，其中包括 A/B 测试、canary 发行版本、速率限制、访问控制以及端到端验证。 1.2. 获取支持 如果您在执行本文档所述的某个流程时遇到问题，请访问红帽客户门户。您可通过该客户门户： 如果创建新项目并立即部署 pod，则不会进行 sidecar 注入。在创建 pod 前，operator 无法添加 maistra.io/member-of ，因此必须删除 pod 并重新创建它以执行 sidecar 注入操作。 MAISTRA-193 当为 citadel 启用了健康检查功能时，会出现预期外的控制台信息。 MAISTRA-158 应用指向同一主机名的多个网关时，会导致所有网关停止工作。 MAISTRA-806

Jaeger UI 中显 示。(TRACING-3139) 目前，分布式追踪平台(Tempo)在 IBM Z (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： Operator pod： 缺少在受限环境中运行 Tempo Operator 的镜像。Red Hat OpenShift distributed tracing Platform (Tempo) CSV 缺少对操作对象镜像的引用。(TRACING-3523) 临时 临时解决方案 解决方案 在镜像工具中添加 Tempo Operator 相关镜像，将镜像复制到 registry： 1.2.6. Red Hat Jaeger UI 中显 示。(TRACING-3139) 目前，分布式追踪平台(Tempo)在 IBM Z (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示：

RHSA-2022:6183-OpenShift Logging Bug Fix 5.4.5。 1.4.1. 程序错误修复 在此次更新之前，Operator 无法确保 pod 就绪，这会导致集群在集群重启过程中达到可操作的状 态。在这个版本中，Operator 会在重启过程中进入新 pod 前将新 pod 标记为 ready，这会解决这 个问题。(LOG-2881) 在此次更新之前，添加多行错误检测会导致内部路由更改并将记录转发到错误的目的地。在这个 此发行版本包括 OpenShift Logging 程序错误修复 5.3.11。 1.12.1. 程序错误修复 在此次更新之前，Operator 无法确保 pod 就绪，这会导致集群在集群重启过程中达到可操作的状 态。在这个版本中，Operator 会在重启过程中进入新 pod 前将新 pod 标记为 ready，这会解决这 个问题。(LOG-2871) 1.12.2. CVE CVE-2022-1292 图形。(LOG-1925) 在此次更新之前，Elasticsearch Prometheus exporter 插件使用会影响 Elasticsearch 节点性能的 高成本查询编译了索引级指标。这个版本实现了更低成本的查询，可提高性能。(LOG-1897) 1.22.2. CVE 例 例 1.13. 点 点击 击以展开 以展开 CVE CVE-2021-21409 BZ-1944888

JSON 日志现在可以作为 JSON 对象（而不是带引号的字符串）转发到红帽受管 Elasticsearch 集 群或其他支持的第三方系统。另外，您现在可以从 Kibana 中的 JSON 日志消息查询各个字段， 从而增加特定日志的可发现性。(LOG-785, LOG-1148) 1.2.1.2. 弃用和 弃用和删 删除的功能 除的功能 之前版本中的一些功能已被弃用或删除。 弃用的功能仍然包含在 Elasticsearch 集群生成的警报的链接至该警报的解释和故障排除步骤页面。 删 删除作 除作业 业的新 的新连 连接超 接超时 时 当前的发行版本为删除作业添加连接超时，这有助于防止 pod 在查询 Elasticsearch 以删除索引时偶尔挂 起。现在，如果底层的 'curl' 调用在超时前没有连接，超时会终止这个调用。 最小化 最小化滚动 滚动索引模板的更新 索引模板的更新 在这个版本中，如果 Elasticsearch Operator 具有不同的字段值，仅会更新其滚动索引模板。 索引模板具有高于索引的优先级。更新模板时，集群会优先将它们分发到索引分片上，这会影响性能。为 最小化 Elasticsearch 集群操作，operator 只有在主分片或副本分片数量发生变化时才会更新模板。 1.2.11.2. 技 技术预览 术预览功能 功能 这个版本中的一些功能当前还处于技术预览状态。它们并不适用于在生产环境中使用。请参阅红帽门户网

配置外部 ALERTMANAGER 实 实例 例 3.1. 在时间序列和警报中附加额外标签 3.2. 为监控组件设置日志级别 3.3. 为 PROMETHEUS 启用查询日志文件 3.4. 为 THANOS QUERIER 启用查询日志记录 第 第 4 章 章 为 为 PROMETHEUS ADAPTER 设 设置 置审计 审计日志 日志级别 级别 4.1. 禁用默认的 GRAFANA 部署 4 授予用户权限来为用户定义的项目配置警报路由 6.4. 为用户定义的项目禁用警报路由 6.5. 后续步骤 第 第 7 章 章 管理指 管理指标 标 7.1. 了解指标 7.2. 为用户定义的项目设置指标集合 7.3. 查询指标 7.4. 后续步骤 4 4 4 8 10 10 11 11 11 12 14 16 17 20 23 24 35 38 43 45 48 51 53 56 58 59 60 访问 访问第三方 第三方监 监控 控 UI 和 和 API 12.1. 访问第三方监控 UI 12.2. 访问第三方监控 WEB 服务 API 12.3. 使用 PROMETHEUS 的联邦端点查询指标 12.4. 其他资源 第 第 13 章 章 监 监控 控问题 问题的故障排除 的故障排除 13.1. 检查为什么用户定义的指标不可用 13.2. 确定为什么 PROMETHEUS 消耗大量磁盘空间

自动置备 Elasticsearch 实例 3.2.5.5.2. 连接到现有 Elasticsearch 实例 3.2.5.6. 使用 Elasticsearch 管理证书 3.2.5.7. 查询配置选项 3.2.5.8. Ingester 配置选项 3.2.6. 注入 sidecar 3.2.6.1. 自动注入 sidecar 3.2.6.2. 手动注入 sidecar 3.3. 配置和部署分布式追踪数据收集 stable。 1.7. RED HAT OPENSHIFT 分布式追踪问题 TRACING-2337 Jaeger 在 Jaeger 日志中记录一个重复的警告信息，如下所示： 这个问题已通过只公开查询服务的 HTTP(S)端口而不是 gRPC 端口来解决。 TRACING-2009 已更新 Jaeger Operator，使其包含对 Strimzi Kafka Operator 0.23.0 的支持。 pod。 OpenShift Container Platform 4.6 分布式追踪 分布式追踪 10 第 2 章 分布式追踪架构 2.1. 分布式追踪架构 每次用户在某个应用程序中执行一项操作时，一个请求都会在所在的系统上执行，而这个系统可能需要几 十个不同服务的共同参与才可以做出相应的响应。Red Hat OpenShift distributed tracing 可让您执行分 布式追