Hat OpenShift Container Storage 4.6 以外部模式部署 OpenShift Container Storage 如何安装和配置您的环境 Last Updated: 2023-06-08 Red Hat OpenShift Container Storage 4.6 以外部模式部署 OpenShift Container Storage 如何安装和配置您的环境 1 章 章 以外部模式部署概述 以外部模式部署概述 第 第 2 章 章 为 为基于 基于 RED HAT ENTERPRISE LINUX 的 的节 节点上的容器 点上的容器启 启用文件系 用文件系统访问 统访问 第 第 3 章 章 安装 安装 RED HAT OPENSHIFT CONTAINER STORAGE OPERATOR 第 第 4 章 章 为 为外部模式 外部模式创 创建 建 OPENSHIFT OPENSHIFT CONTAINER STORAGE 集群服 集群服务 务 第 第 5 章 章 为 为外部模式 外部模式验证 验证 OPENSHIFT CONTAINER STORAGE 安装 安装 5.1. 验证 POD 的状态 5.2. 验证 OPENSHIFT CONTAINER STORAGE 集群是否正常运行 5.3. 验证 MULTICLOUD 对象网关是否健康 5.4. 验证存储类是否已创建并列出

文件）。使用 /host 挂 载主机是安全的。 pod 中的每个容器使用自己的容器镜像进行实例化。 pod 对 OpenShift Container Platform API 发出请求是一种比较常见的模式，利用一个 serviceAccount 字段指定 pod 在发出请求时使用哪个服务帐户用户来进行身份验证。这可以为自定 义基础架构组件提供精细的访问控制。 pod 定义了可供其容器使用的存储卷。在本例中，它为包含默认服务帐户令牌的 使用什么模式运行： Auto 和 Recreate 模式会在 pod 生命周期内自动应用 VPA 对 CPU 和内存建议。VPA 会删除项 目中任何与建议不兼容的 pod。当由工作负载对象重新部署时，VPA 会在其建议中更新新 pod。 Initial 模式仅在创建 pod 时自动应用 VPA 建议。 Off 模式只提供推荐的资源限制和请求信息，用户可以手动应用其中的建议。off 模式不会更新 VerticalPodAutoscalerController 对象来更改这个最小值，如更改 VPA 最小值所示。 Auto 模式的 模式的 VPA CR 示例 示例 您希望此 VPA CR 管理的工作负载对象类型。 您希望此 VPA CR 管理的工作负载对象名称。 将模式设置为 Auto 或 Recreate: Auto.VPA 分配创建 pod 的资源请求，并在请求的资源与新建议有很大不同时终止这些

文件）。使用 /host 挂 载主机是安全的。 pod 中的每个容器使用自己的容器镜像进行实例化。 pod 对 OpenShift Container Platform API 发出请求是一种比较常见的模式，利用一个 serviceAccount 字段指定 pod 在发出请求时使用哪个服务帐户用户来进行身份验证。这可以为自定 义基础架构组件提供精细的访问控制。 pod 定义了可供其容器使用的存储卷。在本例中，它为包含默认服务帐户令牌的 您可以使用 您可以使用 VPA CR 关 关联 联一个工作 一个工作负载对 负载对象，并指定 象，并指定 VPA 使用什么模式 使用什么模式运 运行： 行： Auto 和 和 Recreate 模式会在 模式会在 pod 生命周期内自 生命周期内自动应 动应用 用 VPA 对 对 CPU 和内存建 和内存建议 议。 。VPA 会 会删 删 除 除项 Initial 模式 模式仅 仅在 在创 创建 建 pod 时 时自 自动应 动应用 用 VPA 建 建议 议。 。 Off 模式只提供推荐的 模式只提供推荐的资 资源限制和 源限制和请 请求信息，用 求信息，用户 户可以手 可以手动应 动应用其中的建 用其中的建议 议。 。off 模式不会更 模式不会更 新 新 pod。 。

存储和加载。opm CLI 通过遍历根目录并递归到子目录来加 载目录。CLI 尝试加载它找到的每个文件，如果发生错误，则会失败。 可以使用 .indexignore 文件忽略非目录文件，这些文件对模式和优先级与 .gitignore 文件具有相同的规 则。 示例 示例 .indexignore 文件 文件 目录维护人员具有选择所需的布局的灵活性，但建议将每个软件包基于文件的目录 Blob 存储在单独的子 基本推荐结构 此推荐结构具有目录层次结构中的每个子目录都是自包含目录的属性，它使得目录组成、发现和导航简单 文件系统操作。通过将目录复制到父目录的根目录，目录也可以包含在父目录中。 2.2.2.2. 模式 模式 # Ignore everything except non-object .json and .yaml files **/* !*.json !*.yaml **/objects/*.json 的格式，该格式可使用任意模式进行扩展。以下 _Meta CUE 模 式定义了所有基于文件的目录 Blob 必须遵循的格式： _Meta 架 架构 注意 注意 此规格中列出的 CUE 模式不可被视为详尽模式。opm validate 命令具有额外的验证，很 难或不可能在 CUE 中简洁地表达。 Operator Lifecycle Manager (OLM) 目录目前使用三种模式（olm.package、olm

支持 支持 FIPS 加密 加密 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 27.2. 集群使用的组件支持 FIPS 27.3. 在 FIPS 模式下安装集群 3864 3866 3867 3868 3868 3868 3870 3871 3872 3872 3874 3874 3875 3875 目 目录 录 5 OpenShift 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为使用 RHEL 加密库在安装过程中为 FIPS 140-2/140-3 Validation 提交给 NIST。 重要 重要 当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform Operator 目录内容镜像到镜像 registry 后，会在当前目录中生成清单目录。 如果您将内容镜像到同一网络上的 registry，则目录名称采用以下模式： 如果您在上一节中将内容镜像到断开连接的主机上的 registry，则目录名称采用以下模式： 注意 注意 清单目录名称在后续过程中被引用。 manifests 目录包含以下文件，其中的一些文件可能需要进一步修改： catalogSource

CREDENTIAL OPERATOR 19.2. 使用 MINT 模式 19.3. 使用 PASSTHROUGH 模式 19.4. 使用手动模式 19.5. 在 AMAZON WEB SERVICES SECURITY TOKEN SERVICE 中使用手动模式 19.6. 在 GCP WORKLOAD IDENTITY 中使用手动模式 132 134 134 138 150 156 156 (LDAP) LDAP 是查询用户信息的协议。 手 手动 动模式 模式 在手动模式中，用户管理云凭证而不是 Cloud Credential Operator（CCO）。 Mint 模式 模式 Mint 模式是 Cloud Credential Operator（CCO）的默认和推荐的最佳实践设置，用于支持它的平台。 在这个模式下，CCO 使用提供的管理员级云凭证为集群中组件创建新凭证，且只具有所需的特定权 OpenID Connect OpenID Connect 是一种协议，用于验证用户使用单点登录(SSO)来访问使用 OpenID 提供程序的站 点。 passthrough 模式 模式 在 passthrough 模式中，Cloud Credential Operator（CCO）将提供的云凭证传递给请求云凭证的组 件。 pod pod 是 Kubernetes 中的最小逻辑单元。pod 由一个或多个容器组成，可在

支持 支持 FIPS 加密 加密 26.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 26.2. 集群使用的组件支持 FIPS 26.3. 在 FIPS 模式下安装集群 2741 2741 2743 2771 2809 2855 2894 2943 2993 3040 3042 3042 3101 3101 3121 3126 3126 Operator 目录内容镜像到镜像 registry 后，会在当前目录中生成清单目录。 如果您将内容镜像到同一网络上的 registry，则目录名称采用以下模式： 如果您在上一节中将内容镜像到断开连接的主机上的 registry，则目录名称采用以下模式： 注意 注意 清单目录名称在后续过程中被引用。 manifests 目录包含以下文件，其中的一些文件可能需要进一步修改： catalogSource Alibaba Cloud AccessKey ID 和 AccessKey secret 对。 对于新用户，您可以在创建用户时为 Access Mode 选择 Open API Access。这个模式会生 成所需的 AccessKey 对。 对于现有用户，您可以添加 AccessKey 对，或者您可以获取该用户的 AccessKey 对。 注意 注意 创建后，AccessKey secret

监控虚拟机实例的实时迁移 10.6. 取消虚拟机实例的实时迁移 10.7. 配置虚拟机驱除策略 第 第 11 章 章 节 节点 点维护 维护 11.1. 关于节点维护 11.2. 将节点设置为维护模式 11.3. 从维护模式恢复节点 11.4. 自动续订 TLS 证书 11.5. 为过时的 CPU 型号管理节点标签 11.6. 防止节点协调 第 第 12 章 章 节 节点网 点网络 络 12.1. 观察节点网络状态 Platform 4.10 虚 虚拟 拟化 化 12 1 默认克隆方法设置为 copy(复制 复制)。 在某些情况下，多个虚拟机可以以读写模式挂载相同的 PVC，这可能会导致数据崩溃。 (BZ#1992753) 作为临时解决方案，请避免在使用多个虚拟机的读写模式中使用单个 PVC。 Pod Disruption Budget(PDB)可防止 pod 意外中断。如果 PDB 检测到 pod 中断，则 不支持高可用性，这会产生以下区别： 不支持 Pod 中断预算。 不支持实时迁移。 使用数据卷或存储配置集的模板或虚拟机不能设置 evictionStrategy。 FIPS 模式 模式 如果使用 FIPS 模式安装集群，则 OpenShift Virtualization 不需要额外的设置。 IPv6 您无法在单堆栈 IPv6 集群上运行 OpenShift Virtualization。(BZ#2193267)

接口 12.9. 在 DPDK 和 RDMA 模式中使用虚拟功能（VF）的示例 12.9.1. 在 DPDK 和 RDMA 模式中使用虚拟功能（VF）的示例 12.9.2. 先决条件 12.9.3. 在 Intel NIC 的 DPDK 模式中使用虚拟功能 (VF) 示例 12.9.4. 使用带有 Mellanox NIC 的 DPDK 模式的虚拟功能（VF）示例 12.9.5. 带有 Mellanox Mellanox NIC 的 RDMA 模式中的虚拟功能（VF）示例 12.10. 卸载 SR-IOV NETWORK OPERATOR 12.10.1. 卸载 SR-IOV Network Operator 第 第 13 章 章 OPENSHIFT SDN 默 默认 认 CNI 网 网络 络供 供应 应商 商 13.1. 关于 OPENSHIFT SDN 默认 CNI 网络供应商 13.1 1.1. OpenShift SDN 网络隔离模式 105 105 105 106 106 106 107 107 108 109 110 111 111 111 111 112 113 114 115 116 117 117 117 117 118 118 119 120 121 122 122 122 122 122 123 124 126 127 127 127

15.5. 为项目编辑出口防火墙 15.6. 从项目中删除出口防火墙 15.7. 使用出口路由器 POD 的注意事项 15.8. 以重定向模式部署出口路由器 POD 15.9. 以 HTTP 代理模式部署出口路由器 POD 15.10. 以 DNS 代理模式部署出口路由器 POD 15.11. 从配置映射配置出口路由器 POD 目的地列表 15.12. 为项目启用多播 15.13. 为项目禁用多播 为项目编辑出口防火墙 16.9. 从项目中删除出口防火墙 16.10. 配置出口 IP 地址 16.11. 分配出口 IP 地址 16.12. 使用出口路由器 POD 的注意事项 16.13. 以重定向模式部署出口路由器 POD 16.14. 为项目启用多播 16.15. 为项目禁用多播 16.16. 跟踪网络流 16.17. 配置混合联网 第 第 17 章 章 配置路由 配置路由 17.1. Interface(CNI)集群网络供应商的配置字段。 表 表 4.3. openshiftSDNConfig object 字段 字段 类 类型 型 描述 描述 模式 模式 字符串 字符串 OpenShift SDN 的网络隔离模式。 mtu integer VXLAN 覆盖网络的最大传输单元(MTU)。这个值通常是自动配置 的。 vxlanPort integer 用于所有 VXLAN 数据包的端口。默认值为