发行版本、访问控制以及端到端验证。 1.1.2. 核心功能 Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - Proxy 1.20.4 Jaeger 1.34.1 Kiali 1.48.0.16 1.2.2.4.2. WasmPlugin API 此发行版本添加了对 WasmPlugin API 的支持，并弃用了 ServiceMeshExtention API。 1.2.2.4.3. ROSA 支持 此发行版本引进了对 AWS(ROSA)上的 Red Hat OpenShift 的服务网格支持，包括多集群联邦。 Proxyless Service Mesh 是一个技术预览功能。 Telemetry API 是一个技术预览功能。 发现选择器功能不受支持。 外部 control plane 不受支持。 网关注入不受支持。 1.2.2.4.8. Kubernetes Gateway API Kubernetes Gateway API 是一个技术预览功能，默认为禁用。 要启用这个功能，请在 ServiceMeshControlPlane

3scale Istio Adapter Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服 服务标识 务标识和安全性 和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 943][19][warning][misc] [external/envoy/source/common/protobuf/utility.cc:129] Using deprecated option 'envoy.api.v2.listener.Filter.config'。This configuration will be removed from Envoy soon. [2019-08-12 22:12:59 001][13][warning][misc] [external/envoy/source/common/protobuf/utility.cc:174] Using deprecated option 'envoy.api.v2.Listener.use_original_dst' from file LDS.proto。This configuration will be removed from Envoy soon

Platform 4.9 网 网络 络 4 目 目录 录 5 第 1 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress

用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 CR 20.3. CLOUD-EVENT-PROXY SIDECAR REST API 中的 PTP 事件 20.4. 将消费者应用程序订阅到 PTP 事件 20.5. 获取当前的 PTP 时钟状态 20.6. 验证 PTP 事件消费者应用程序是否收到事件 第 第 21 章 章 Container Platform 4.13 网 网络 络 8 第 2 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec

目前，分布式追踪平台(Tempo)在 IBM Z (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 Tempo Operator ConfigMap 进行编辑： registry.redhat.io/rhosdt/tempo-gateway- rhel8@sha256:b62f5cedfeb5907b638f14ca6aaeea50f41642980a8a6f87b7061e88d90fac23 - name: registry.redhat.io/rhosdt/tempo-gateway-opa- rhel8@sha256:8cd134deca47d 目前，分布式追踪平台(Tempo)在 IBM Z (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 Tempo Operator ConfigMap 进行编辑：

Platform 4.6 网 网络 络 8 目 目录 录 9 第 1 章 了解网络 集群管理员有几个选项可将集群中运行的应用程序公开给外部流量并保护网络连接安全： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress

OpenShift Container Platform registry，以及 使用 JBoss AMQ 的消息传递。 多云对象存储，具有一个轻量级 S3 API 端点，可以从多个云对象存储中提取存储和检索数据。 在内部对象存储中，具有一个稳定的 S3 API 端点，可扩展到数十拍字节（PB）和数十亿个对象 的环境，主要面向数据密集型应用。例如，使用 Spark、Pacesto、Red Hat AMQ Streams Foundation 4.12 规 规划部署 划部署 8 表 表 2.1. 节 节点 点类 类型 型 节 节点 点类 类型 型 描述 描述 Master 这些节点运行公开 Kubernetes API、观察和调度新创建的 pod、维护节点 健康和数量，以及控制与底层云供应商的交互的进程。 Infrastructure (Infra) Infra 节点运行集群级别的基础架构服务，如日志记录、指标、registry 4.7.1 中，只支持 HashiCorp Vault Key/Value (KV) secret engine API，支持版本 1。 从 OpenShift Data Foundation 4.7.2 开始，支持 HashiCorp Vault KV secret engine API、版本 1 和 2。从 OpenShift Data Foundation 4.12 开始，Thales CipherTrust

态 使用 oc status 命令查看有关当前项目的信息，如服务、部署和构建配置。 输 输出示例 出示例 2.1.4.7. 列出支持的 列出支持的 API 资 资源 源 使用oc api-resources命令查看服务器上支持的 API 资源列表。 输 输出示例 出示例 2.1.5. 获得帮助 您可以通过以下方式获得有关 CLI 命令和 OpenShift Container Platform deployed 2 minutes ago - 1 pod 3 infos identified, use 'oc status --suggest' to see details. $ oc api-resources NAME SHORTNAMES APIGROUP (oc)后，您可以启用 tab 自动完成功能，以便在按 Tab 键时自动完成 oc 命令或建议 https://git.k8s.io/community/contributors/devel/api-conventions.md#resources ... $ oc logout Logged "user1" out on "https://openshift.example.com"

(VPC)，或使用 Azure 上的现存的 VNet，您可以安装集群。 安装一个私有集群 安装一个私有集群：如果集群不需要外部互联网访问，您可以在 AWS、Azure 或 GCP 上安装私 有集群。要访问云 API 和安装介质时，仍需要访问互联网。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 4.6 文档 文档 3 检查 检查安装日志 安装日志 ：检查安装日志，评估在 OpenShift 创建自己的 Operator，或使用 Operator SDK 配置内置 Prometheus 监控。 OpenShift Container Platform 4.6 关于 关于 4 REST API 参考 参考 ：列出 OpenShift Container Platform 应用程序编程接口端点。 1.3. 集群管理员活动 OpenShift Container Platform 4.6 Container Platform 4.6 control plane 的组件。了解 OpenShift Container Platform master 和 worker 如何通过 Machine API 和 Operator 进行管理和更新。 1.3.1. 管理集群组件 管理机器 管理机器 ：通过部署健康检查并将自动扩展应用到机器，在 AWS、Azure 或 GCP 上管理集群中 的机器。 管理容器

集成。您可以将虚拟机连接到服务网 格， 以使用 IPv4 监控、视觉化和控制在默认 pod 网络上运行虚拟机工作负载的 pod 间的流量。 OpenShift Virtualization 现在提供了一个统一的 API，用于自动导入和更新预定义的引导源。 3.3.1. 快速启动 有几个 OpenShift Virtualization 功能提供快速入门导览。要查看导览，请点击 OpenShift Virtualization Virtualization 关键警报 现在有相应描述，需要立即关注的问题描述、发生每个警报的 原因、诊断问题来源的故障排除过程以及解决每个警报的步骤。 集群管理员现在可以使用 OpenShift API 进行 OpenShift Virtualization 插件的数据保护 来备份包 含虚拟机的命名空间。 管理员现在可以通过编辑 HyperConverged CR 来声明性 创建和公开介质设备，如虚拟图形处理 Platform 4.10 虚 虚拟 拟化 化 56 8.1.6. 其他资源 KubeVirt v0.49.0 API Reference 中的 VirtualMachineSpec 定义为虚拟机规格的参数和等级提供 更宽松的上下文。 注意 注意 KubeVirt API Reference 是上游项目参考，可能包含 OpenShift Virtualization 不 支持的参数。 在将容器磁盘作为