UPDATE SERVICE 对于可访问互联网的集群，红帽通过 OpenShift Container Platform 更新服务提供更新，它作为公共 API 后面的一个托管服务运行。 注意 注意 如果您使用一个受限的网络，集群无法访问公共 API，您可以在本地安装 OpenShift Update Service。请参阅安装和配置 OpenShift Update Service。 1.1. 如果您将 Red Hat Enterprise Linux (RHEL) 机器用作 worker，MCO 不会在这些机器上更新 kubelet，因 为您必须首先在这些机器上更新 OpenShift API。 当新版本规格应用到旧的 kubelet 时，RHEL 机器无法返回 Ready 状态。在机器可用前，您无法完成更 新。但是，因为已设置了最大不可用节点数，所以可以在一定机器无法使用的情况下，确保正常的集群操 更新服务作为公共 API 后面的托管服务提供无线更新。如需更多信息，请参阅以下： 关于 OpenShift Update 服务 了解非受管 Operator 的支持策略 2.2. 安装和配置 OPENSHIFT UPDATE SERVICE 安装和配置 OpenShift Update Service ：具有互联网访问的集群可以访问公共 API；受限网络中的集群无 法访问公共 API 来更新信息

如果您将 Red Hat Enterprise Linux (RHEL) 机器用作 worker，MCO 不会在这些机器上更新 kubelet，因 为您必须首先在这些机器上更新 OpenShift API。 当新版本规格应用到旧的 kubelet 时，RHEL 机器无法返回 Ready 状态。在机器可用前，您无法完成更 新。但是，因为已设置了最大不可用节点数，所以可以在一定机器无法使用的情况下，确保正常的集群操 2_prometheusrolebinding.yaml 2 0000_90_service-ca-operator_03_servicemonitor.yaml 0000_99_machine-api-operator_00_tombstones.yaml image-references 3 release-metadata OpenShift Container Platform 4.14 可以在图中省略，或者包含在标记为"其他 Operator 并行"的更广泛的 Operator 组中。 每个集群 Operator 的特征会影响到更新自身所需的时间。例如，在这个示例中，Kube API Server Operator 需要超过十一分钟才能更新，因为 kube-apiserver 提供了安全终止支持，这意味着现有的 in- flight 请求可以安全完成。这可能会导致关闭 kube-apiserver

Operator 1.2.5. Cluster Monitoring 1.2.5.1. 基于定制的 metrics API 对 pod 进行横向的自动扩展 (技术预览) 1.2.5.2. 新的提示用户界面 1.2.5.3. Telemeter 1.2.5.4. 基于资源 metrics API 对 pod 进行横向的自动扩展 1.2.6. 开发者体验 1.2.6.1. 代码就绪容器 1.2.6.2 程序。这些新功能为完整管理应用程序的生命周期提 供了多个好处。 oc adm ca Certificates are managed by Operators internally. oc adm create-api-client-config Functions are managed by Operators internally. oc adm create-bootstrap-policy-file metrics API 对 pod 进行横向的自 行横向的自动扩展 展 (技 技术预览) 此功能（目前为技术预览）允许您根据自定义的 metrics API 对 pod 进行横向的自动扩展（horizontal pod autoscaling，简称 HPA）。作为这种技术预览的一部分，现在可以部署一个 Prometheus Adapter 组 件来为定制的 metrics API 提供应用程序的指标数据（metrics）。

用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 CR 20.3. CLOUD-EVENT-PROXY SIDECAR REST API 中的 PTP 事件 20.4. 将消费者应用程序订阅到 PTP 事件 20.5. 获取当前的 PTP 时钟状态 20.6. 验证 PTP 事件消费者应用程序是否收到事件 第 第 21 章 章 Container Platform 4.13 网 网络 络 8 第 2 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec

Platform 4.9 网 网络 络 4 目 目录 录 5 第 1 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress

Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Provider 页面下载安装程序。此网站管理以下内容： 帐户的 REST API registry 令牌，这是用于获取所需组件的 pull secret 集群注册，它将集群身份信息与您的红帽帐户相关联，以方便收集使用情况指标 在 OpenShift Container Platform TYPE REGION ZONE AGE openshift-machine-api example-zbbt6-master-0 Running 95m openshift-machine-api example-zbbt6-master-1 Running 95m openshift-machine-api example-zbbt6-master-2 Running 95m openshift-machine-api example-zbbt6-worker-0-25bhp Running

第 13 章 章 巨 巨页 页的作用及 的作用及应 应用程序如何使用它 用程序如何使用它们 们 13.1. 巨页的作用 13.2. 应用程序如何使用巨页 13.3. 使用 DOWNWARD API 消耗巨页资源 13.4. 配置巨页 13.5. 禁用透明巨页 第 第 14 章 章 低延 低延迟节 迟节点的 点的 PERFORMANCE ADDON OPERATOR 14.1. 了解低延迟 worker 节点上的每个节点的最大 pod： 输入机器配置池中的标签。 添加 kubelet 配置。在本例中，使用 maxPods 设置每个节点的最大 pod。 注意 注意 kubelet 与 API 服务器进行交互的频率取决于每秒的查询数量 (QPS) 和 burst 值。 如果每个节点上运行的 pod 数量有限，使用默认值（kubeAPIQPS 为 50，kubeAPIBurst 为 100）就可以。如果节点上有足够 命名空间中创建以下对象： 1 个镜像流 1 个构建 5 个部署，其中 2 个 pod 副本处于睡眠 睡眠状态，每个状态都挂载 4 个 secret、4 个配置映射和 1 Downward API 卷 5 个服务，每个服务都指向前一个部署的 TCP/8080 和 TCP/8443 端口 1 个路由指向上一个服务的第一个路由 包含 2048 个随机字符串字符的 10 个 secret 10

Platform 4.6 网 网络 络 8 目 目录 录 9 第 1 章 了解网络 集群管理员有几个选项可将集群中运行的应用程序公开给外部流量并保护网络连接安全： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 地址意味着 pod 在端口 分配、网络、命名、服务发现、负载平衡、应用配置和迁移方面可被视为物理主机或虚拟机。 注意 注意 一些云平台提供侦听 169.254.169.254 IP 地址的元数据 API，它是 IPv4 169.254.0.0/16 CIDR 块中的 连接内部 IP 地址。 此 CIDR 块无法从 pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 pod spec 和服务会各自分配自己的 IP 地址。 IP 地址可供附近运行的其他容器集和服务访问，但外部客户端无法访问这些 IP 地址。Ingress Operator 实现 IngressController API，是负责启用对 OpenShift Container Platform 集群服务的外部访问的组 件。 Ingress Operator 通过部署和管理一个或多个基于 HAProxy 的 Ingress

服务器为集群进行长期机器管理。确保 DHCP 服务器已配置为向集群机器提供持久 IP 地址和主机名。 Kubernetes API 服务器必须能够解析集群机器的节点名称。如果 API 服务器和 worker 节点位于不同的区 域中，您可以配置默认 DNS 搜索区域，以便 API 服务器能够解析节点名称。另一种支持的方法是始终在 节点对象和所有 DNS 请求中使用完全限定域名来指代主机。 您必须配置 节点端口 协议 协议 端口 端口 描述 描述 表 表 1.2. 要通 要通过 过控制平面的所有机器 控制平面的所有机器 协议 协议 端口 端口 描述 描述 TCP 6443 Kubernetes API 表 表 1.3. control plane 机器到 机器到 control plane 机器 机器 协议 协议 端口 端口 描述 描述 TCP 2379-2380 etcd 服务器和对等端口 Platform 前，您必须置备两个满足以下要求的负载均衡器： 1. API 负载 负载均衡器 均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。

Platform 集群时，您可以从 OpenShift Cluster Manager 站点的适当 Infrastructure Provider 页面下载安装程序。此网站管理以下内容： 帐户的 REST API registry 令牌，这是用于获取所需组件的 pull secret 集群注册，它将集群身份信息与您的红帽帐户相关联，以方便收集使用情况指标 在 OpenShift Container Platform TYPE REGION ZONE AGE openshift-machine-api example-zbbt6-master-0 Running 95m openshift-machine-api example-zbbt6-master-1 Running 95m openshift-machine-api example-zbbt6-master-2 Running 95m openshift-machine-api example-zbbt6-worker-0-25bhp Running