7. 使用 NFD TOPOLOGY UPDATER 第 第 4 章 章 内核模 内核模块 块管理 管理 OPERATOR 4.1. 关于内核模块管理 OPERATOR 4.2. 安装内核模块管理 OPERATOR 4.3. 内核模块部署 4.4. 使用 MODULELOADER 镜像 4.5. 使用内核模块管理 (KMM) 的签名 4.6. 为 SECUREBOOT 添加密钥 4.7. 签名预构建驱动程序容器 镜像包含通常作为构建或安装内核模块的依赖项所需的内核软件 包，以及驱动程序容器所需的一些工具。这些软件包的版本将与相应 OpenShift Container Platform 发行 版本中 RHCOS 节点上运行的内核版本匹配。 驱动程序容器是容器镜像，用于在容器操作系统（如 Red Hat Enterprise Linux CoreOS (RHCOS)）上构 建和部署树外内核模块和驱动程序。内核模块和驱动程序是 运行的软件 库。它们扩展了内核功能，或者提供控制新设备所需的硬件特定代码。例如，硬件设备，如现场可编程阵 列 (FPGA) 或图形处理单元(GPU)，以及软件定义的存储解决方案（客户端机器上需要内核模块）。驱动 程序容器是用于在 OpenShift Container Platform 部署中启用这些技术的软件堆栈的第一层。 第 第 1 章 章 关于 关于专 专用硬件和 用硬件和驱动 驱动程序 程序启

Platform 在 Red Hat Enterprise Linux (RHEL) 和 Red Hat CoreOS (RHCOS) 中使 用特定的 FIPS 验证/Modules in Process 模块用于使用它们的操作系统组件。请参阅 RHEL7 core crypto components 中的内容。例如，当用户 SSH 到 OpenShift Container Platform 集群和容器时，这些连接会 版本中，将继续评估并改进这个 限制。 CRI-O 运行时支持 FIPS。 OpenShift Container Platform 服务支持 FIPS。 FIPS 验证的/Modules in Process 的加密模块和算法， 它们从 RHEL 7 和 RHCOS 二进制文件和镜像中获 得。 使用 FIPS 兼容 golang 编译器。 对 TLS FIPS 的支持当前还不完整，但计划在将来的 OpenShift 验证的/Modules in Process 模块，但请确保支持 OpenShift Container Platform 集群的系统也使用 FIPS 验证的/Modules in Process 模块进行加密。 2.2.1. etcd 要确保存储在 etcd 中的 secret 在进程加密中使用 FIPS 验证的/Modules in Process 模块，请以 FIPS 模 式引导节点。在使用 FIPS

许多应用程序需要依赖于内核模块或驱动程序的专用硬件或软件。您可以使用驱动程序容器在 Red Hat Enterprise Linux CoreOS (RHCOS) 节点上载入树外内核模块。要在集群安装过程中部署树外驱动程序， 请使用 kmods-via-containers 框架。为了在现有 OpenShift Container Platform 集群中载入驱动程序或 内核模块，OpenShift Container 版本的一部分。它包含构 建驱动程序或内核模块所需的内核软件包和其他常见依赖项。Driver Toolkit 可用作 OpenShift Container Platform 上构建的驱动程序容器镜像的基础镜像。 特殊资源 Operator (SRO) 编配驱动程序容器的构建和管理，以便在现有 OpenShift 或 Kubernetes 集群上加载内核模块和驱动程序。 Node Feature 镜像包含通常作为构建或安装内核模块的依赖项所需的内核软件包，以及驱 动程序容器所需的一些工具。这些软件包的版本将与相应 OpenShift Container Platform 发行版本中的 Red Hat Enterprise Linux CoreOS（RHCOS）节点上运行的内核版本匹配。 驱动程序容器是容器镜像，用于在容器操作系统（如 RHCOS）上构建和部署树外内核模块和驱动程序。 内核模块和驱动程序是在

指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY 模块 1.21. 使用 3SCALE ISTIO 适配器 1.22. 服务网格故障排除 1.23. ENVOY 代理故障排除 1.24. SERVICE MESH CONTROL PLANE 配置参考 OpenShift Service Mesh 通过在应用程序中创建集中控制点来解决微服务架构中的各种问题。它 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 来解决这些架构问题，并可修改、重定向或创建新请求到其他服务。 3scale API 管理解决方案的可选集成。对于 2.1 之前的版本，这个集成 是通过 3scale Istio 适配器实现的。对于 2.1 版本，3scale 集成通过 WebAssembly 模块实现。 有关如何安装 3scale 适配器的详情，请参考 3scale Istio 适配器文档 1.3.3. 了解 Kiali Kiali 通过显示服务网格中的微服务服务以及连接方式，为您提供了一个可视性的服务网格概述。

备更新集群 更新集群 2.1. 准备升级到 OPENSHIFT CONTAINER PLATFORM 4.14 2.2. 准备使用手动维护的凭证更新集群 2.3. PREFLIGHT 验证内核模块管理 (KMM) 模块 第 第 3 章 章 执 执行集群更新 行集群更新 3.1. 使用 CLI 更新集群 3.2. 使用 WEB 控制台更新集群 3.3. 执行 EUS 到 EUS 更新 3.4. 执行 CANARY 级。 2.3. PREFLIGHT 验证内核模块管理 (KMM) 模块 在应用 KMM 模块的集群中执行升级前，管理员必须在集群升级和可能的内核升级后验证使用 KMM 安装 的内核模块是否可以在节点上安装。preflight 会尝试并行验证集群中载入的每个模 模块 块。在启动一个模 模块 块的 验证前，preflight 并不会等待一个模 模块 块的验证过程完成。 2.3.1. 启动验证 preflight 验证会尝试验证集群中载入的每个模块。preflight 会在验证成功后停止在 模 模块 块 资源上运行验 证。如果模块验证失败，您可以更改模块定义，而 Preflight 将尝试在下一个循环中再次验证模块。 如果要为附加内核运行 Preflight 验证，则应该为该内核创建另一个 PreflightValidationOCP 资源。验证 所有模块后，建议删除 PreflightValidationOCP

Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.1.2. Red Hat OpenShift distributed tracing Platform 3.0 中的组件版本 Operator 组 组件 件 Version Red Hat Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.2.2. Red Hat OpenShift distributed tracing Platform 2.9.2 中的组件版本 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 行注记 Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.3.2. Red Hat OpenShift distributed tracing Platform 2.9.1 中的组件版本 Operator 组 组件 件 Version Red

Help 图标并选择 Quick Starts。 2. 点快速启动卡。 3. 在出现的面板中点 Start。 4. 完成屏幕的说明，然后点 Next。 5. 在出现 Check your work 模块时，回答问题以确认您成功完成了该任务。 a. 如果您选择 Yes，点 Next 来继续到下一个任务。 b. 如果您选择 No，重复任务说明并再次检查您的工作。 6. 重复以上第 1 到 6 步，以便快速完成剩余的任务。 headings：快速启动中每个任务的超链接标题 Check your work module：一个模块用户使用一个模块来确认他们成功完成了任务，然后到快速 启动的下一个任务为止 Hints：帮助用户识别产品特定部分的动画 Buttons Next and back buttons：用来浏览快速开始任务里的步骤和模块的按钮 Final screen buttons：关闭快速启动，返回到快速启动中的先前任务，并查看所有快速启动 用户完成一个步骤后会出现一个 Check your work 模块。这个模块提示用户回答"是"或对步骤结 第 第 8 章 章 在 在 WEB 控制台中 控制台中创 创建快速 建快速启动 启动指南 指南 39 用户完成一个步骤后会出现一个 Check your work 模块。这个模块提示用户回答"是"或对步骤结 果没有问题，这使得他们有机会复核他们的工作。对于这个模块，您只需要写一个是或不需要问 题。 如果用户的回答是

自定义节点 17.1.1. 添加 day-1 内核参数 17.1.2. 在节点中添加内核模块 17.1.2.1. 构建并测试内核模块容器 17.1.2.2. 为 OpenShift Container Platform 置备内核模块 17.1.2.2.1. 通过 MachineConfig 对象置备内核模块 17.1.3. 在安装过程中加密磁盘 17.1.3.1. 启用 TPM v2 磁盘加密 Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in Process 加密库。 注意 Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 - cidr: 10.128.0.0/14 hostPrefix: 23 machineNetwork: - cidr: 10.0.0.0/16 networkType:

Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in Process 加密库。 注意 Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证 的/Modules in Process 加密库。 您可以选择提供您用来访问集群中机器的 Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in Process 加密库。 注意

Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 装程序。有关在 RHEL 中配置 Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 装程序。有关在 RHEL 中配置 Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 装程序。有关在 RHEL 中配置