中的内核软件包列表包括以下内容及其依赖项： kernel-core kernel-devel kernel-headers kernel-modules kernel-modules-extra 另外，Driver Toolkit 还包含相应的实时内核软件包： kernel-rt-core kernel-rt-devel kernel-rt-modules kernel-rt-modules-extra Driver COPY --from=builder /lib/modules/${KVER}/simple-kmod.ko /lib/modules/${KVER}/ COPY --from=builder /lib/modules/${KVER}/simple-procfs-kmod.ko /lib/modules/${KVER}/ RUN depmod ${KVER} io/openshift4/ose-node-feature-discovery:v4.12 imagePullPolicy: Always workerConfig: configData: | core: # labelWhiteList: # noPublish: false sleepInterval: 60s # sources: [all]

您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 OpenShift Container Platform 4.8 安装 安装 14 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 Hat Enterprise Linux CoreOS（RHCOS）节点，用于验证对节点的 SSH 访问。密钥会添 加到每个节点中 core 用户的 ~/.ssh/authorized_keys 列表中，从而启用免密码身份验证。 将密钥传递给节点后，您可以使用密钥对以 core 用户身份通过 SSH 连接到 RHCOS 节点。若要通过 SSH 访问节点，私钥身份必须由 SSH 进行管理，供您的本地用户使用。 密钥的路径和文件名，如 ~/.ssh/id_ed25519。如果您已有密钥对，请确保您的 公钥位于 ~/.ssh 目录中。 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。

政府区域，您可以在安装程序置备的基础架构安装 过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 第 第 2 章 章 选择 选择集群安装方法并 密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 core 用户的 ~/.ssh/authorized_keys 列表中。 注意 注意 您必须使用一个本地密钥，而不要使用在特定平台上配置的密钥，如 AWS 密钥对。 ssh/id_rsa。如果您已有密钥对，请确保您的公钥 位于 ~/.ssh 目录中。 运行此命令会在指定的位置生成不需要密码的 SSH 密钥。 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。

中的内核软件包列表包括以下内容及其依赖项： kernel-core kernel-devel kernel-headers kernel-modules kernel-modules-extra 另外，Driver Toolkit 还包含相应的实时内核软件包： kernel-rt-core kernel-rt-devel kernel-rt-modules kernel-rt-modules-extra Driver --qf "%{VERSION}-%{RELEASE}.%{ARCH}" kernel- core) KMODVER=${KMODVER} \ && make install KVER=$(rpm -q --qf "%{VERSION}-%{RELEASE}.%{ARCH}" kernel- core) KMODVER=${KMODVER} # Add the helper io/openshift4/ose-node-feature-discovery:v4.10 imagePullPolicy: Always workerConfig: configData: | core: # labelWhiteList: # noPublish: false sleepInterval: 60s # sources: [all]

的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置， SSH 公钥。密钥通过它们的 Ignition 配置文件传递给 Red Hat Enterprise Linux CoreOS(RHCOS)节点，用于验证对节点的 SSH 访 问。密钥添加到每个节点上 core 用户的 ~/.ssh/authorized_keys 列表中，这将启用免密码身份验证。 将密钥传递给节点后，您可以使用密钥对作为用户 核心 核心 通过 SSH 连接到 RHCOS 节点。若要通过 密钥的路径和文件名，如 ~/.ssh/id_ed25519。如果您已有密钥对，请确保您的 公钥位于 ~/.ssh 目录中。 注意 注意 如果您计划在 x86_64 架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，请不要创建使用 ed25519 算法的密钥。相 反，创建一个使用 rsa 或 ecdsa 算法的密钥。

--path=openshift-apiserver 第 第 1 章 章 收集安装日志 收集安装日志 5 第 2 章 支持 FIPS 加密 从版本 4.3 开始，您可以安装一个使用经 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群。 对于集群中的 Red Hat Enterprise Linux CoreOS (RHCOS) Linux（RHEL）机器中，您必须在计划用作 worker 的机器上安装操作系统时，启用 FIPS 模式。这些配置方法可确保集群满足 FIPS 合规审核的要求：在初始系统引导前，只启用经 FIPS 验 证/Modules in Process 加密的软件包。 因为 FIPS 必须在集群首次引导操作系统之前启用，所以您不能在部署集群后启用 FIPS。 2.1. OPENSHIFT CONTAINER PLATFORM 在 Red Hat Enterprise Linux (RHEL) 和 Red Hat CoreOS (RHCOS) 中使 用特定的 FIPS 验证/Modules in Process 模块用于使用它们的操作系统组件。请参阅 RHEL7 core crypto components 中的内容。例如，当用户 SSH 到 OpenShift Container Platform 集群和容器时，这些连接会

密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 core 用户的 ~/.ssh/authorized_keys 列表中。 注意 注意 您必须使用一个本地密钥，而不要使用在特定平台上配置的密钥，如 AWS 密钥对。 / 1 第 第 1 章 章 在 在 VSPHERE 上安装 上安装 15 1 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 core 用户的 ~/.ssh/authorized_keys 列表中。 注意 注意 您必须使用一个本地密钥，而不要使用在特定平台上配置的密钥，如 AWS 密钥对。

密钥。您可以使用 此密钥访问公共集群中的 bootstrap 机器来排除安装问题。 注意 注意 在生产环境中，您需要进行灾难恢复和调试。 您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 core 用户的 ~/.ssh/authorized_keys 列表中。 注意 注意 master1.ocp4 IN A 192.168.1.98 master2 ssh/id_rsa。如果您已有密钥对，请确保您的公钥 位于 ~/.ssh 目录中。 运行此命令会在指定的位置生成不需要密码的 SSH 密钥。 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in Process 加密库。 注意 注意 如果使用 Azure File 存 储，则无法启用 FIPS 模式。 false 或 true 参数 参数 描述 描述 值 值 第 第 1

Amazon EC2 的堡垒 SSH 主机中，SSH 部署到该 control plane 主机。确定您使 用了在安装过程中指定的相同的 SSH 密钥： $ ssh -i core@ OpenShift Container Platform 4.9 网 网络 络 10 第 3 章 网络 OPERATOR 概述 OpenShift Container 范围 围 69 输 输出示例 出示例 8.3. 其他资源 使用 NodePort 配置集群入口流量 Network [config.openshift.io/v1] service [core/v1] "service-node-port-range":["30000-33000"] OpenShift Container Platform 4.9 网 网络 络 70 第 9 章 securityContext: privileged: true volumeMounts: - name: lib-modules mountPath: /lib/modules readOnly: true - name: host-slash mountPath: /host

operator 自动打包、部署、管理、升级和扩展多云对象网关对象（MCG）服务。它创建一个对象存储 类，以及 OBCs 提出的服务。 另外，它还提供 NooBaa 集群资源，用于管理 NooBaa core、数据库和端点的部署和服务。 2.2. 存储集群部署方法 日益增加的运营模式列表表明，灵活性是 Red Hat OpenShift Data Foundation 的核心原则。本节将为您 提供 Enterprise Linux OS/CoreOS(RHCOS)提供这些模块。 目前，Cryptographic Module Validation Program (CMVP) 用于处理加密模块。您可以在modules in Process List 中查看这些模块的状态。有关最新信息，请参阅红帽知识库解决方案 RHEL 内核加密组件。 注意 注意 在安装 OpenShift Data Foundation OpenShift Data Foundation 集群在部署时提供了 灵活性，有助于减少资源消耗。 表 表 7.6. 仅 仅使用 使用 MCG 的聚合 的聚合资 资源要求 源要求 部署模式 部署模式 Core 数据 数据库 库(DB) 端点 端点 内部 1 个 CPU 4 GiB 内存 0.5 CPU 4 GiB 内存 1 个 CPU 2 GiB 内存 注意 注意 默认自 动扩展 介于