FRAMEWORK 常用术语表 2.4. OPERATOR LIFECYCLE MANAGER (OLM) 2.5. 了解 OPERATORHUB 2.6. 红帽提供的 OPERATOR 目录 2.7. 多租户集群中的 OPERATOR 2.8. CRD 第 第 3 章 章 用 用户 户任 任务 务 3.1. 从已安装的 OPERATOR 创建应用程序 3.2. 在命名空间中安装 OPERATOR 第 CSV 而需创建的资源的计算列表。 2.3.1.10. 多租 多租户 OpenShift Container Platform 中的 租户 是为一组部署的工作负载（通常由命名空间或项目表示）共享共 同访问权限和特权的用户或组。您可以使用租户在不同的组或团队之间提供一定程度的隔离。 当集群由多个用户或组共享时，它被视为 多租户 集群。 2.3.1.11. operator 组 Operator 态来识别 是否有较新版本的 Operator 可用。与 currentCSV 字段关联的值是 OLM 已知的最新版本，而 installedCSV 是集群中安装的版本。 其他 其他资源 源 多租户和 Operator 共处 使用 CLI 查看 Operator 订阅状态 apiVersion: operators.coreos.com/v1alpha1 kind: Subscription

的工作负载之间共享 1.4.2. 单租赁部署模型 在 Istio 中，租户是为一组部署的工作负载共享共同访问权限和特权的用户组。您可以使用租户在不同的 OpenShift Container Platform 4.8 Service Mesh 32 在 Istio 中，租户是为一组部署的工作负载共享共同访问权限和特权的用户组。您可以使用租户在不同的 团队之间提供一定程度的隔离。您可以使用 istio.io licies 和 exportTo 注解来隔离对不同租户的访问。 从 Red Hat OpenShift Service Mesh 版本 1.0 开始，单租户、集群范围的 Service Mesh control plane 配 置已弃用。Red Hat OpenShift Service Mesh 默认为多租户模型。 1.4.3. 多租户部署模型 Red Hat OpenShift Service Service Mesh 安装了一个 ServiceMeshControlPlane，它默认配置为多租户。Red Hat OpenShift Service Mesh 使用多租户 Operator 来管理 Service Mesh control plane 生命周期。在网格 内，命名空间用于租期。 Red Hat OpenShift Service Mesh 使用 ServiceMeshControlPlane

Zipkin。启用网关时，只启用 OpenTelemetry 协议 (OTLP) gRPC。 在 Query Frontend 服务上公开 Jaeger Query gRPC 端点。 支持没有网关身份验证和授权的多租户。 1.4.4.2. 程序 程序错误 错误修复 修复 在此次更新之前，Tempo Operator 与断开连接的环境不兼容。在这个版本中，Tempo Operator 支持断开连接的环境。(TRACING-3145) 计划在以后的 Red Hat OpenShift distributed tracing Platform 版本中对 Tempo Operator 提供支持。可 能的额外功能可能包括对 TLS 身份验证、多租户和多个集群的支持。如需有关 Tempo Operator 的更多 信息，请参阅 Tempo 社区文档。 1.5.4. 程序错误修复 此发行版本解决了 CVE 报告的安全漏洞问题以及程序错误。 1 distributed tracing 平台 (Jaeger) 实例应具有唯一的名称，注入注解应该明确指定追 踪数据的名称。 如果您有多租户实现，且租户由命名空间分开，请将 Red Hat OpenShift distributed tracing Platform (Jaeger)实例部署到每个租户命名空间中。 有关配置持久性存储的详情，请参考了解持久性存储以及您选择的存储选项的适当配置主题。 3.2.6.2.

Windows 节点的集群的多租户。托管多租户用法在所有 Kubernetes 环境中都 存在安全性问题。额外的安全功能，如 Pod 安全策略，或节点的更精细的访问控制 （RBAC），使利用安全漏洞进行工具更困难。但是，如果您选择运行托管多租户工作负 载，则管理程序是唯一应使用的安全选项。Kubernetes 的安全域包括整个集群，而不是只 限于单个节点。对于可能会有恶意的多租户工作负载，应该使用物理隔离的集群。 离的集群。 Windows 服务器容器使用共享内核提供资源隔离，但它并不适用于托管可能会有恶意的多 租户工作负载。涉及主机多租户的情况应该使用 Hyper-V 隔离容器来严格隔离租户。 3.1. WINDOWS 工作负载管理 要在集群中运行 Windows 工作负载，必须首先安装 Windows Machine Config Operator（WMCO）。 WMCO 是一个基于 Linux 的

5 本发行版本中的其他显著变化包括： Kubernetes Container Network Interface (CNI) 插件一直被启用。 control plane 默认配置为多租户。单租户、集群范围内的 control plane 配置功能已弃用。 通过 OperatorHub 安装 Elasticsearch 、Jaeger 、Kiali 和 Service Mesh Operators。 Hat OpenShift Service Mesh 会安装多租户 control plane。您可以指定可以访问 Service Mesh 的项目，并将 Service Mesh 与其他 control plane 实例隔离。 2.1.4. Red Hat OpenShift Service Mesh 中的多租户和集群范围安装的比较 多租户安装和集群范围安装之间的主要区别在于 control plane Hat OpenShift Service Mesh 会安装多租户 control plane。您可以指定可以访问 Service Mesh 的项目，并将 Service Mesh 与其他 control plane 实例隔离。 2.4.2. Red Hat OpenShift Service Mesh 中的多租户和集群范围安装的比较 多租户安装和集群范围安装之间的主要区别在于 control plane

5.1. 删除网络策略 10.6. 为项目定义默认网络策略 10.6.1. 为新项目修改模板 10.6.2. 在新项目模板中添加网络策略 10.7. 使用网络策略配置多租户隔离 10.7.1. 使用网络策略配置多租户隔离 10.7.2. 后续步骤 41 42 43 45 46 46 47 47 48 49 50 50 50 50 52 52 52 53 54 57 matchLabels: name: test-pods 第 第 10 章 章 网 网络 络策略 策略 65 可选：定义默认网络策略 10.1.4. 其他资源 项目和命名空间 配置多租户网络策略 网络策略 API 10.2. 创建网络策略 作为具有 admin 角色的用户，您可以为命名空间创建网络策略。 10.2.1. 创建网络策略 要定义细致的规则来描述集群中命名空间允 确认新项目模板中的网络策略对象存在于新项目中： 10.7. 使用网络策略配置多租户隔离 作为集群管理员，您可以配置网络策略以为多租户网络提供隔离功能。 注意 注意 如果使用 OpenShift SDN 集群网络供应商，请按照本节所述配置网络策略，提供类似于多 租户模式的网络隔离，但具有设置网络策略模式。 10.7.1. 使用网络策略配置多租户隔离 您可以配置项目，使其与其他项目命名空间中的 pod 和服务分离。

Windows 节点的集群的多租户。托管多租户用法在所有 Kubernetes 环境中都 存在安全性问题。额外的安全功能，如 Pod 安全策略，或节点的更精细的访问控制 （RBAC），使利用安全漏洞进行工具更困难。但是，如果您选择运行托管多租户工作负 载，则管理程序是唯一应使用的安全选项。Kubernetes 的安全域包括整个集群，而不是只 限于单个节点。对于可能会有恶意的多租户工作负载，应该使用物理隔离的集群。 离的集群。 Windows 服务器容器使用共享内核提供资源隔离，但它并不适用于托管可能会有恶意的多 租户工作负载。涉及主机多租户的情况应该使用 Hyper-V 隔离容器来严格隔离租户。 3.1. WINDOWS MACHINE CONFIG OPERATOR 的先决条件 以下信息详细介绍了 Windows Machine Config Operator 支持的平台版本、Windows Server

记录网络策略事件 12.3. 创建网络策略 12.4. 查看网络策略 12.5. 编辑网络策略 12.6. 删除网络策略 12.7. 为项目定义默认网络策略 12.8. 使用网络策略配置多租户隔离 第 第 13 章 章 多网 多网络 络 13.1. 了解多网络 13.2. 配置额外网络 13.3. 关于虚拟路由和转发 13.4. 配置多网络策略 13.5. 将 POD 附加到额外网络 matchLabels: name: test-pods 第 第 12 章 章 网 网络 络策略 策略 113 可选：定义默认网络策略 12.1.4. 其他资源 项目和命名空间 配置多租户网络策略 网络策略 API 12.2. 记录网络策略事件 作为集群管理员，您可以为集群配置网络策略审计日志记录，并为一个或多个命名空间启用日志记录。 注意 注意 网络策略的审计日志记录仅适用于 4.9 网 网络 络 130 12.8. 使用网络策略配置多租户隔离 作为集群管理员，您可以配置网络策略以为多租户网络提供隔离功能。 注意 注意 如果使用 OpenShift SDN 集群网络供应商，请按照本节所述配置网络策略，提供类似于多 租户模式的网络隔离，但具有设置网络策略模式。 12.8.1. 使用网络策略配置多租户隔离 您可以配置项目，使其与其他项目命名空间中的 pod 和服务分离。

CONTACT INFO 部分中，提供问题严重性和您的联系详情。 4. 点击 Next: Review + create，然后点击 Create。 7.2.4. 记录下订阅和租户 ID 安装程序需要与 Azure 帐户关联的订阅和租户 ID。您可以使用 Azure CLI 收集此信息。 先决条件 先决条件 已安装或更新 Azure CLI。 流程 流程 第 第 7 章 章 在 在 AZURE 上安装 先决条件 您已使用托管集群的云平台配置了帐户。 您有 OpenShift Container Platform 安装程序和集群的 pull secret。 您有一个 Azure 订阅 ID 和租户 ID。 您有服务主体的应用程序 ID 和密码。 $ tar -xvf openshift-install-linux.tar.gz 第 第 7 章 章 在 在 AZURE 上安装 上安装 763 配置文件，会提示您输入 Azure 订阅和验证值。 c. 为您的订阅和服务主体指定以下 Azure 参数值： Azure subscription id ：输入用于集群的订阅 ID。 Azure 租 租户 户 id ：输入租户 ID。 Azure 服 服务 务主体客 主体客户 户端 端 id ：输入其应用程序 ID。 Azure 服 服务 务主体客 主体客户 户端 端 secret ：输入其密码。 d. 选择要将集群部署到的区域。

OpenShift distributed tracing 平台实例应具有唯一的名称，注入注解应该明确指定追踪数据的名称。 如果您有多租户实现，且租户由命名空间分开，请将 Red Hat OpenShift distributed tracing 平台 实例部署到每个租户命名空间中。 多租户安装或 Red Hat OpenShift Dedicated 不支持作为 daemonset 的代理。代理作为 sidecar