ReadWriteMany (RWX) 访问模式。 与 Filesystem 卷模式相比，Block 卷模式性能有显著提高。这是因为 Filesystem 卷模式使用更 多存储层，包括文件系统层和磁盘镜像文件。虚拟机磁盘存储不需要这些层。 例如，如果您使用 Red Hat OpenShift Data Foundation，Ceph RBD 卷优先于 CephFS 卷。 重要 重要 您无法实时迁移使用以下配置的虚拟机： ReadWriteMany (RWX) 访问模式。 与 Filesystem 卷模式相比，Block 卷模式性能有显著提高。这是因为 Filesystem 卷模式使用更 多存储层，包括文件系统层和磁盘镜像文件。虚拟机磁盘存储不需要这些层。 例如，如果您使用 Red Hat OpenShift Data Foundation，Ceph RBD 卷优先于 CephFS 卷。 重要 重要 您无法实时迁移使用以下配置的虚拟机： (VM) CPU 模型取决于虚拟机和集群中的 CPU 模型的可用性。 如果虚拟机没有定义的 CPU 模型： defaultCPUModel 使用在集群范围级别上定义的 CPU 模型自动设置。 如果虚拟机和集群都有定义的 CPU 模型： 虚拟机的 CPU 模型具有优先权。 如果虚拟机或集群都没有定义的 CPU 模型： host-model 使用主机级别上定义的 CPU 模型自动设置。 10

SERVICE MESH 2.X 1.1. 关于 OPENSHIFT SERVICE MESH 1.2. SERVICE MESH 发行注记 1.3. 了解 SERVICE MESH 1.4. 服务网格部署模型 1.5. SERVICE MESH 和 ISTIO 的不同 1.6. 准备安装 SERVICE MESH 1.7. 安装 OPERATOR 1.8. 创建 SERVICEMESHCONTROLPLANE OpenShift Service Mesh 简介 Red Hat OpenShift Service Mesh 通过在应用程序中创建集中控制点来解决微服务架构中的各种问题。它 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh ，了解和管理它就会变得非常困难。 Red Hat OpenShift Service Mesh 基于开源 Istio 项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的服务网格中。您

qemu-guest- 第 第 8 章 章 虚 虚拟 拟机 机 71 正在运行的 Windows 虚拟机装有 QEMU 客户机代理。VirtIO 驱动程序中包含 qemu-guest- agent。 第 2 层 vNIC 附加到虚拟机。 与 Windows 虚拟机处于相同网络的机器上装有 RDP 客户端。 流程 流程 1. 在 OpenShift Container Platform 控制台中，从侧边菜单中点 详 详情 情页。 3. 点击 Console 选项卡。 4. 在 Console 列表中，选择 Desktop Viewer。 5. 在 Network Interface 列表中，选择第 2 层 vNIC。 6. 点击 Launch Remote Desktop 下载 console.rdp 文件。 7. 打开 RDP 客户端并引用 console.rdp 文件。例如，使用 Remmina： 附加到虚拟机的第 2 层 vNIC。 与 Windows 虚拟机处于相同网络的机器上装有 RDP 客户端。 流程 流程 1. 以具有访问令牌的用户身份通过 oc CLI 工具登录 OpenShift Virtualization 集群。 2. 使用 oc describe vmi 显示正在运行的 Windows 虚拟机的配置。 输出示例 出示例 3. 找出并复制第 2 层网络接口的 IP 地址。在以上示例中是

间共享。 Fiber 频 频道 道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个 节点上在预定义的卷插件路径中安装 FlexVolume 驱动程序二进制文件，并在某些情况下是 control plane 节点。 fsGroup fsGroup EmptyDir 卷、容器日志、镜像层和容器可写层 来消耗这个分区。kubelet 管理这个分区的共享访问和隔离。这个分区是临时的，应用程序无法预期这个 分区中的任何性能 SLA（如磁盘 IOPS）。 Runtime 这是一个可选分区，可用于 overlay 文件系统。OpenShift Container Platform 会尝试识别并提供共享访 问以及这个分区的隔离。容器镜像层和可写入层存储在此处。如果 runtime runtime 分区存在，则 root 分区不包 含任何镜像层或者其它可写入的存储。 2.3. 临时存储管理 集群管理员可以通过设置配额在非终端状态的所有 Pod 中定义临时存储的限制范围，及临时存储请求数 量，来管理项目中的临时存储。开发人员也可以在 Pod 和容器级别设置这个计算资源的请求和限值。 2.4. 监控临时存储 您可以使用 /bin/df 作为监控临时容器数据所在卷的临时存储使用情况的工具，即

pod 间共享。 Fiber 频道 道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个 节点上在预定义的卷插件路径中安装 FlexVolume 驱动程序二进制文件，并在某些情况下是 control plane 节点。 fsGroup fsGroup EmptyDir 卷、容器日志、镜像层和容器可写层 来消耗这个分区。kubelet 管理这个分区的共享访问和隔离。这个分区是临时的，应用程序无法预期这个 分区中的任何性能 SLA（如磁盘 IOPS）。 Runtime 这是一个可选分区，可用于 overlay 文件系统。OpenShift Container Platform 会尝试识别并提供共享访 问以及这个分区的隔离。容器镜像层和可写入层存储在此处。如果 runtime runtime 分区存在，则 root 分区不包 含任何镜像层或者其它可写入的存储。 2.3. 临时存储管理 集群管理员可以通过设置配额在非终端状态的所有 Pod 中定义临时存储的限制范围，及临时存储请求数 量，来管理项目中的临时存储。开发人员也可以在 Pod 和容器级别设置这个计算资源的请求和限值。 您可以通过指定请求和限值来管理本地临时存储。pod 中的每个容器可以指定以下内容： spec

Platform 4.13 CI/CD 26 重要 重要 用户应该从最终的应用程序镜像中移除输入 secret，以便从该镜像运行的容器中不会存在 这些 secret。但是，secret 仍然存在于它们添加到的层中的镜像本身内。这一移除是 Dockerfile 本身的一部分。 为防止输入 secret 和配置映射的内容出现在构建输出容器镜像中并完全避免此移除过程， 请在 Docker 构建策略中使用构建卷。 字段上的任何设置都会被忽略。 2.5.1.5. 使用 使用 docker 构 构建的 建的 Squash 层 层 通常，Docker 构建会为 Dockerfile 中的每条指令都创建一个层。将 imageOptimizationPolicy 设置为 SkipLayers，可将所有指令合并到基础镜像顶部的单个层中。 流程 流程 将 imageOptimizationPolicy 设置为 SkipLayers： 通过构建 hook，可以将行为注入到构建过程中。 BuildConfig 对象的 postCommit 字段在运行构建输出镜像的临时容器内执行命令。Hook 的执行时间是 紧接在提交镜像的最后一层后，并且在镜像推送到 registry 之前。 当前工作目录设置为镜像的 WORKDIR，即容器镜像的默认工作目录。对于大多数镜像，这是源代码所处 的位置。 如果脚本或命令返回非零退出代码，或者启动临时容器失败，则

因为密度增加和降低成本而是一个可接受的权衡。例如，开发、质量保证(QA)或测试环境可能被过量使 用，而生产环境可能并非如此。 OpenShift Container Platform 通过计算资源模型和配额系统实施资源管理。如需有关 OpenShift 资源模 型 的更多信息，请参阅文档。 有关过量使用的更多信息和策略，请参阅集群管理指南中的过量使用文档。 4.2. 镜像注意事项 4.2.1 支持动态 PV 部署的存储技术的挂载时间延迟较低，且不与节点绑定来支持一个健康的集群。 应用程序开发人员需要了解应用程序对存储的要求，以及如何与所需的存储一起工作以确保应用 程序扩展或者与存储层交互时不会出现问题。 5.3.2. 其他特定的应用程序存储建议 OpenShift Container Platform 内部 etcd：为了获得最好的 etcd 可靠性，首选使用具有最低一致 性延迟的存储技术。 表 5.3. 图 图形 形驱动 驱动程序比 程序比较 较 名称 名称 描述 描述 优 优点 点 限制： 限制： OverlayFS overlay overlay2 组合一个较低（父）和上 层（子上）文件系统和工 作目录（位于与子进程相 同的文件系统上）。较低 文件系统是基础镜像，当 您创建新容器时，会创建 一个包含 deltas 的新文 件系统。 在启动和停止容 器时比设备映射 器更快。设备映

OpenShift Logging Bug Fix 5.3.2 1.21.1. 程序错误修复 在此次更新之前，因为解析错误，Elasticsearch 会拒绝来自事件路由器的日志。在这个版本中， 更改了数据模型来解决这个问题。但是，以前的索引可能会导致 Kibana 中的警告或错 误。kubernetes.event.metadata.resourceVersion 字段会导致错误，直到删除现有索引被删除 章 LOGGING 发 发行注 行注记 记 41 1.32.1. 程序错误修复 在此次更新之前，因为解析错误，Elasticsearch 会拒绝来自事件路由器的日志。在这个版本中， 更改了数据模型来解决这个问题。但是，以前的索引可能会导致 Kibana 中的警告或错 误。kubernetes.event.metadata.resourceVersion 字段会导致错误，直到删除现有索引被删除 实例。(LOG-1022) 在这个版本中，您可以收集 OVN 网络策略审计日志来转发到日志记录服务器。(LOG-1526) 默认情况下，OpenShift Container Platform 4.5 中引入的数据模型为来自不同命名空间的日志提 供一个通用索引。这个变化造成很难看到哪些命名空间生成的日志最多。 当前发行版本在 OpenShift Container Platform 控制台中的 Logging 仪表板中添加命名空间指

选项，在 OpenShift Container Platform 中创建、构建和部署无状 态和无服务器应用程序。 Channel：创建一个 Knative 频道以创建一个事件转发，使用内存的持久性层以及可靠的实现 示例：探索可用的示例应用程序，以快速创建、构建和部署应用程序。 From Local Machine：通过 From Local Machine 标题导入或上传在您的本地机器中的文件用于 会自动检测每个拥有的资源上公开的绑定数据。 5.6.2. 数据模型 注释中使用的数据模型遵循特定的惯例。 服务绑定注解必须使用以下约定： 其中： 指定要公开的绑定值的名称。只有在将 objectType 参数设置为 Secret 或 ConfigMap 时， 才能将其排除。 指定没有设置 path 时公开的常量值。 数据模型详细介绍了 路径、elementType、objectType、sourceKey 并将流量从生产版本（蓝色版本）移动到更新版本（绿色版 本）。您可以使用滚动策略或切换路由中的服务。 由于许多应用程序依赖于持久性数据，您必须有支持 N-1 兼容性的应用程序；这意味着，通过创建数据层 的两个副本在数据库、存储或磁盘间共享数据并实现实时迁移。 以测试新版本时使用的数据为例。如果是生产数据，新版本中的错误可能会破坏生产版本。 第 第 7 章 章 部署 部署 117 7.4.4

选项，在 OpenShift Container Platform 中创建、构建和部署无状 态和无服务器应用程序。 Channel：创建一个 Knative 频道以创建一个事件转发，使用内存的持久性层以及可靠的实现 示例 示例：探索可用的示例应用程序，以快速创建、构建和部署应用程序。 快速入 快速入门 门 ：了解快速启动选项，使用详细的说明和任务创建、导入并运行应用程序。 OpenShift 会自动检测每个拥有的资源上公开的绑定数据。 6.6.2. 数据模型 注释中使用的数据模型遵循特定的惯例。 服务绑定注解必须使用以下约定： 其中： 指定要公开的绑定值的名称。只有在将 objectType 参数设置为 Secret 或 ConfigMap 时， 才能将其排除。 指定没有设置 path 时公开的常量值。 数据模型详细介绍了 路径 路径、elementType、 并将流量从生产版本（蓝色版本）移动到更新版本（绿色版 本）。您可以使用滚动策略或切换路由中的服务。 由于许多应用程序依赖于持久性数据，您必须有支持 N-1 兼容性的应用程序；这意味着，通过创建数据层 的两个副本在数据库、存储或磁盘间共享数据并实现实时迁移。 以测试新版本时使用的数据为例。如果是生产数据，新版本中的错误可能会破坏生产版本。 8.4.4.1. 设 设置 置蓝绿 蓝绿部署 部署 蓝绿部署使用两个