worker 的机器上安装操作系统时，启用 FIPS 模式。这些配置方法可确保集群满足 FIPS 合规审核的要求：在初始系统引导前，只启用经 FIPS 验 证/Modules in Process 加密的软件包。 因为 FIPS 必须在集群首次引导操作系统之前启用，所以您不能在部署集群后启用 FIPS。 2.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 OpenShift OpenShift Container Platform 集群和容器时，这些连接会 被正确加密。 OpenShift Container Platform 组件以 Go 编写，并使用红帽的 golang 编译器构建。当您为集群启用 FIPS 模式时，所有需要加密签名的 OpenShift Container Platform 组件调用 RHEL 和 RHCOS 加密程序 库。 表 表 2.1. OpenShift FIPS。 FIPS 验证的/Modules in Process 的加密模块和算法， 它们从 RHEL 7 和 RHCOS 二进制文件和镜像中获 得。 使用 FIPS 兼容 golang 编译器。 对 TLS FIPS 的支持当前还不完整，但计划在将来的 OpenShift Container Platform 版本中被完全支持。 2.2. 集群使用的组件支持 FIPS 尽管 OpenShift

Container Platform 4.6 镜像和程序错误公告 1.8.2. RHSA-2020:4297 - Moderate: OpenShift Container Platform 4.6 软件包安全更新 1.8.3. RHSA-2020:4298 - Moderate: OpenShift Container Platform 4.6 镜像安全更新 1.8.4. RHBA-2020:4339 程序错误修复更新 1.8.6.1. 程序错误修复 1.8.6.2. 更新 1.8.7. RHSA-2020:5159 - Low: OpenShift Container Platform 4.6 软件包安全更新 1.8.8. RHSA-2020:5259 - OpenShift Container Platform 4.6.8 程序错误修复和安全更新 1.8.8.1. 功能 1.8.8.1.1 Container Platform 集群的 RHCOS 安装的专用 PXE 介质和 ISO 不同，RHCOS live 环境可以 使用 Ignition 配置，并包含与主要 RHCOS 镜像相同的软件包，如 coreos-installer、nmcli 和 OpenShift Container Platform 4.6 发 发行注 行注记 记 8 podman。这允许对安装前或安装后的工作流进行脚本化。例如，您可以运行

效的 Kubernetes 体验。 第 第 1 章 章 架 架构 构概述 概述 3 部署 部署 维护应用程序生命周期的 Kubernetes 资源对象。 Docker 包含要在终端执行以编译镜像的用户命令的文本文件。 托管 托管 control plane OpenShift Container Platform 功能，允许从其 data plane 和 worker 在 OpenShift Quay.io，以获取安装集群所需的软件包。 获取执行集群更新所需的软件包。 重要 重要 OpenShift Container Platform 4.10 架 架构 构 12 重要 重要 如果您的集群无法直接访问互联网，则可以在置备的某些类型的基础架构上执行受限网络 安装。在此过程中，您可以下载所需的内容，并使用它为镜像 registry 填充安装软件包。 对于某些安装类型，集群要安装到 skopeo。 2. 创建一个 Dockerfile 来组合基础镜像和软件：有关构建容器的信息存放在名为 Dockerfile 的文件 中。在这个文件中，您要标识从中构建的基本镜像、要安装的软件包，以及要复制到容器中的软 件。您还要标识参数值，如公开到容器外部的网络端口和挂载到容器内的卷。将您的 Dockerfile 和您要容器化的软件放到 RHEL 系统上的目录中。 3. 运行 buildah

服务器充当 registry 主机。 registry 主机可以访问互联网。 流程 流程 1. 安装所需的软件包： # yum -y install podman httpd-tools podman 软件包提供容器软件包，用于运行 registry。httpd-tools 软件包提供 htpasswd 实用程 序，用于创建用户。 2. 为 registry 创建文件夹： # mkdir 次构建相同镜像会非常迅速，因为缓存不会因为上层变化而失效。 例如：如果您正在使用 Dockerfile，它包含一个用于安装正在迭代的文件的 ADD 命令，以及一个用于 yum install 软件包的 RUN 命令，则最好将 ADD 命令放在最后： FROM foo RUN yum -y install mypackage && yum clean all -y ADD myfile /test/myfile 使用 skopeo 等工具手动将镜像从源目录复制到已镜像的存储库。 例如：在 Red Hat Enterprise Linux（RHEL 7 或 RHEL 8）系统上安装 skopeo RPM 软件包 后，使用 skopeo 命令，如下例所示： $ skopeo copy \ docker://registry.access.redhat.com/ubi8/ubi- minimal@sh

opt,name=lastTransitionTime"` 4 } 第 第 2 章 章 准 准备 备更新集群 更新集群 45 如果这个验证成功，这可能意味着内核模块是使用正确的 Linux 标头编译的。 2.3.4.2. 构建 建验证阶段 段 只有在镜像验证失败，且在与升级的内核相关的模 模块 块 中有一个 build 部分时，才会执行构建验证。构建验 证尝试运行构建作业，并验证它是否已成功完成。 Platform 跳过，因为集群中没有其他节点可以重新调度工作负载。 如果更新有效负载不包含操作系统更新或机器配置更改，则会出现简短的 API 中断并快速解 决。 重要 重要 某些条件（如更新的软件包中的错误）可能会导致单个节点在重启后无法重启。在这种情 况下，更新不会自动回滚。 其他 其他资 资源 源 有关机器配置更改需要重启的详情，请参考了解 Machine Config Operator Platform 跳过，因为集群中没有其他节点可以重新调度工作负载。 如果更新有效负载不包含操作系统更新或机器配置更改，则会出现简短的 API 中断并快速解 决。 重要 重要 某些条件（如更新的软件包中的错误）可能会导致单个节点在重启后无法重启。在这种情 况下，更新不会自动回滚。 其他 其他资 资源 源 关于 Machine Config Operator. OpenShift Container

Deployment 或 DeploymentConfig 对象部署应用程序，并从 Web 控制台管理应用程序。您 可以创建部署策略，以帮助减少更改期间或升级到应用程序的停机时间。 您还可以使用 Helm，它是一个软件包管理器，简化了应用程序和服务部署到 OpenShift Container Platform 集群的过程。 1.3. 使用 RED HAT MARKETPLACE Red Hat Marketplace Binding Operator Helm chart 中记录了一个安全漏洞 CVE-2021- 38561。在这个版本中，CVE-2021-38561 错误，并将 golang.org/x/text 软件包从 v0.3.6 更新 至 v0.3.7。APPSVC-1124 在此次更新之前，Developer Sandbox 用户没有足够权限来读取 ClusterWorkloadResourceMapping 单词除外）。 预 预定 定义 义的命名策略 的命名策略 根据以下预定义的命名策略，处理通过注解声明的绑定名称来更改工作负载： none ：应用时，绑定名称没有任何更改。 示例 示例 在模板编译后，绑定名称采用 {{ .name }} 形式。 apiVersion: binding.operators.coreos.com/v1alpha1 kind: ServiceBinding metadata:

s2i/environment 文件，则 S2I 会在构建期间读取此文件。这允许自定义构建行 为，因为 assembe 脚本可能会使用这些变量。 流程 流程 例如，在构建期间禁用 Rails 应用程序的资产编译： 在 .s2i/environment 文件中添加 DISABLE_ASSET_COMPILATION=true。 除了构建之外，指定的环境变量也可以在运行的应用程序本身中使用。例如，使 Rails 定义中添加环境变量。这里定义的环境变量可在 assemble 脚 本执行期间看到，也会在输出镜像中定义，使它们能够供 run 脚本和应用程序代码使用。 流程 流程 例如，禁用 Rails 应用程序的资产编译： 其他 其他资 资源 源 “构建环境”部分提供了更多高级指导。 sourceStrategy: ... env: - name: "DISABLE_ASSET_COMPILATION" 文件格式的更多详细信息，请参阅 Source-to-Image 文档。 5.2.5. 使用 S2I 从源代码创建镜像 Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 程序的新镜像。 使用 S2I 构建可重复生成的容器镜像的主要优点是便于开发人员使用。作为构建器镜像作者，您必须理解 两个基本概念，才能让您的镜像提供最佳的 S2I 性能：构建过程和 S2I

如果要防止公共云中的集群从外部公开端点，您可以在 AWS、Azure 或 GCP 上使用安装程序置备的基础 架构部署私有集群。 如果您需要安装对互联网有限访问的集群，如断开连接的或受限的网络集群，您可以镜像安装软件包并从 中安装集群。按照用户置备的基础架构安装到 AWS, GCP, IBM Z or IBM® LinuxONE , IBM Z or IBM® LinuxONE with RHEL KVM, IBM OpenShift console Downloads 页下载最新版本的 mirror registry for Red Hat OpenShift 的 mirror-registry.tar.gz 软件包。 2. 使用 mirror-registry 工具，在本地主机上安装 mirror registry for Red Hat OpenShift 。有关可用 标志的完整列表，请参阅 "mirror OpenShift console Downloads 页下载最新版本的 mirror registry for Red Hat OpenShift 的 mirror-registry.tar.gz 软件包。 2. 使用 mirror-registry 工具，在本地主机上安装 mirror registry for Red Hat OpenShift 。有关可用 标志的完整列表，请参阅 "mirror

次构建相同镜像会非常迅速，因为缓存不会因为上层变化而失效。 例如：如果您正在使用 Dockerfile，它包含一个用于安装正在迭代的文件的 ADD 命令，以及一个用于 yum install 软件包的 RUN 命令，则最好将 ADD 命令放在最后： 这样，您每次编辑 myfile 和重新运行 podman build 或 docker build 时，系统都可重复利用 yum 命令 的缓存层，仅为 Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 OpenShift Container Platform 4.14 镜 镜像 像 30 Source-to-Image (S2I) 是一种框架，它可以轻松地将应用程序源代码作为输入，生成可运行编译的应用 程序的新镜像。 使用 S2I 构建可重复生成的容器镜像的主要优点是便于开发人员使用。作为构建器镜像作者，您必须理解 使用 skopeo 等工具手动将镜像从源存储库复制到已镜像的存储库。 例如：在 Red Hat Enterprise Linux（RHEL 7 或 RHEL 8）系统上安装 skopeo RPM 软件包 后，使用 skopeo 命令，如下例所示： 在本例中，您有一个名为 example.io 的容器镜像 registry，其中包含一个名为 example 的 镜像存储库，您要将 ubi9/ubi-minimal

如果要防止公共云中的集群从外部公开端点，您可以在 AWS、Azure 或 GCP 上使用安装程序置备的基础 架构部署私有集群。 如果您需要安装对互联网有限访问的集群，如断开连接的或受限的网络集群，您可以镜像安装软件包并从 中安装集群。按照用户置备的基础架构安装到 AWS、GCP、IBM Z 或 LinuxONE 、IBM Power、vSphere 或 裸机的受限网络中的详细说明。您还可以按照 AWS、GCP、RHOSP、RHV 印。 流程 流程 1. 为 OpenShift 控制台 Downloads 页面找到的 Red Hat OpenShift 的最新版本下载 mirror - registry.tar.gz 软件包。 2. 使用 mirror-registry 工具，在本地主机上安装 工具，在本地主机上安装 Red Hat OpenShift 的 的镜 镜像 像 registry。有关可用 标志的完整列表，请参阅 印。 流程 流程 1. 为 OpenShift 控制台 Downloads 页面找到的 Red Hat OpenShift 的最新版本下载 mirror - registry.tar.gz 软件包。 2. 使用 mirror-registry 工具，在本地主机上安装 工具，在本地主机上安装 Red Hat OpenShift 的 的镜 镜像 像 registry。有关可用 标志的完整列表，请参阅