您可以通过在应用程序级别使用 Prometheus 客户端库来定义您要为您自己的工作负载提供的指标。 在 OpenShift Container Platform 中，指标通过 /metrics 规范名称下的 HTTP 服务端点公开。您可以通 过针对 http:///metrics 运行 curl 查询来列出服务的所有可用指标。例如，您可以向 prometheus-example-app 为用户定义的项目设置指标集合 您可以创建一个 ServiceMonitor 资源，从用户定义的项目中的服务端点提取指标。这假设您的应用程序 使用 Prometheus 客户端库向 /metrics 规范名称公开指标。 本节介绍了如何在用户定义的项目中部署示例服务，然后创建一个 ServiceMonitor 资源来定义应该如何 监控该服务。 7.2.1. 部署示例服务 要为用户定义的项目中服务测试监控，您可以部署示例服务。 Metal Event Relay 为硬件事件提供了一个发布订阅服务，其中多个应用程序可以使用 REST API 订 阅和使用事件。Bare Metal 事件 Relay 支持与 Redfish OpenAPI v1.8 或更高版本的硬件。 11.2.1. 裸机事件中继数据流 下图演示了裸机事件数据流示例： 图 图 11.1. 裸机事件中 裸机事件中继 继数据流 数据流 OpenShift Container

BZ#1883773) 在 OpenShift Container Platform 4.6 中，资源 metrics API 服务器支持自定义指标。资源 metrics API 服务器没有实现 OpenAPI 规格，以下消息会记录在 kube-apiserver 日志中： $ operator-sdk new --type=helm \ --helm-chart=/ chroot。只有在需要时才应允许对特权操作的访问。 controller.go:114] loading OpenAPI spec for "v1beta1.metrics.k8s.io" failed with: OpenAPI spec does not exist controller.go:127] OpenAPI AggregationController: action for item v1beta1

└── packageC └── index.json OpenShift Container Platform 4.14 Operator 12 基于文件的目录使用基于 CUE 语言规范 的格式，该格式可使用任意模式进行扩展。以下 _Meta CUE 模 式定义了所有基于文件的目录 Blob 必须遵循的格式： _Meta 架 架构 注意 注意 此规格中列出的 CUE 模式不可被视为详尽模式。opm Bundle 对象代表可供集群中的其他使用者使用的内容。就像需要拉取和解包容器镜像的内容一 样，pod 才能开始使用它们，使用 Bundle 对象来引用可能需要拉取和解包的内容。因此，捆绑包是镜像 概念的规范化，可用于表示任何类型的内容。 第 第 2 章 章 了解 了解 OPERATOR 19 捆绑包无法自行执行；它们需要置备程序来解包并在集群中提供其内容。它们可以解包到任何任意存储介 质，如挂载到 默认角色授予权限。 2. 创建集群角色： 2.8.1.4. 通 通过文件 文件创建自定 建自定义资源 源 将自定义资源定义 (CRD) 添加至集群后，可使用 CLI 按照自定义资源 (CR) 规范通过文件创建 CR。 先决条件 先决条件 集群管理员已将 CRD 添加至集群中。 metadata: name: aggregate-cron-tabs-admin-edit 2 labels:

CustomResourceDefinition(CRD)资源表示在集群中。上一命令显示 CRD 的详细信息，如 kind、version，以及用于定义此自定义资源实例的字段列表。 从 CRD 中包含的 OpenAPI schema 中提取字段列表。此信息在 CRD 中是可选的，如果不存在，它将从 代表该服务的 ClusterServiceVersion(CSV)资源中提取。 也可以请求 Operator 支持的服务的描述，而无需提供

授 权策略拒绝发送到 URI 路径 /user/profile 的请求。在存在安全漏洞的版本中，带有 URI 路径 /user/profile#section1 的请求绕过拒绝策略并路由到后端（通过规范的 URI path /user/profile%23section1），可能会导致安全事件。 如果您使用带有 DENY 操作和 operation.paths 的授权策略，或者 ALLOW 操作和 要从缓解措施中的新行为中选择，将保留 URI 的片段部分。您可以将 ServiceMeshControlPlane 配置为 保留 URI 片段。 警告 警告 如前文所述，禁用新行为将对路径进行规范化，并被视为不安全。在选择保留 URI 片 段之前，确保您已将这些内容放入任何安全策略中。 ServiceMeshControlPlane 修改示例 修改示例 1.2.2.18.2. 授权策略所需的更新 //admin 的请求不会被授权策略拒绝。 根据 RFC 3986，带有多个斜杠的路径 //admin 在技术上应被视为与 /admin 不同的路径。但是，一些后 端服务选择通过将多个斜杠合并成单斜杠来规范 URL 路径。这可能导致绕过授权策略（//admin 不匹配 /admin），用户可以在后端的路径 /admin 上访问资源，这可能会产生安全问题。 如果您使用 ALLOW action + notPaths

LOGGING 发 发行注 行注记 记 11 在此次更新之前，使用 oc edit 编辑 Collector 配置非常困难，因为它对空格的使用不一致。这个 更改引入了在 Operator 更新前对配置进行规范化和格式化的逻辑，以便使用 oc edit 轻松编辑配 置。(LOG-2319) 在此次更新之前，FluentdNodeDown 警报无法正确在 message 部分中提供实例标签。在这个版 本中 具有指定名称和项目的 Pod，则来自 API 服务器的信 息（如标签和注解）可能会不可用。可能没有办法区分来自名称相似的 Pod 和项目的日志消息，也无法 追溯日志的来源。这种局限性意味着日志收集和规范化仅属于尽力而 尽力而为 为。 重要 重要 可用的容器运行时提供少许信息来标识日志消息来源，无法确保唯一的个别日志消息，也 不能保证可以追溯这些消息的来源。 如需更多信息，请参阅配置日志收集器。 Platform Elasticsearch 日志存储不为审计日志提供安全存储。 验证您转发审计日志的系统是否符合您的机构和政府法规，并获得适当的保护。OpenShift Logging 不遵循这些规范。 流程 流程 使用 Log Forward API 将审计日志转发到内部 Elasticsearch 实例： 1. 创建或编辑定义 ClusterLogForwarder CR 对象的 YAML

具有指定名称和项目的 Pod，则来自 API 服务器的信 息（如标签和注解）可能会不可用。可能没有办法区分来自名称相似的 Pod 和项目的日志消息，也无法 追溯日志的来源。这种局限性意味着日志收集和规范化仅属于尽力而 尽力而为 为。 重要 重要 可用的容器运行时提供少许信息来标识日志消息来源，无法确保唯一的个别日志消息，也 不能保证可以追溯这些消息的来源。 如需更多信息，请参阅配置日志收集器。 Platform Elasticsearch 日志存储不为审计日志提供安全存储。 您需要自己确保转发审计日志的系统符合您所在机构及政府的相关要求，并具有适当的安 全性。OpenShift Logging 不遵循这些规范。 流程 流程 使用 Log Forward API 将审计日志转发到内部 Elasticsearch 实例： 1. 创建 ClusterLogForwarder CR YAML 文件或编辑现有的 913514517bcea7c93bd446f4830bc64e OpenShift Container Platform 4.7 日志 日志记录 记录 78 配置日志收集器 配置日志收集器规 规范日志的方式 范日志的方式。您无法修改默认日志规范化。 4.10.3. 非受管 Operator 的支持策略 Operator 的 管理状态 决定了一个 Operator 是否按设计积极管理集群中其相关组件的资源。如果 Operator

执行操作。 YAML Secret 对象定 象定义 指示 secret 的键和值的结构。 data 字段中允许的键格式必须符合 Kubernetes 标识符术语表中 DNS_SUBDOMAIN 值的规范。 与 data 映射中键关联的值必须采用 base64 编码。 stringData 映射中的条目将转换为 base64，然后该条目将自动移动到 data 映射中。此字段是只写 的；其值仅通过 registry，则默认为 DockerHub。如果 Build 规格的 output 部分为 空，则构建结束时不推送镜像。 输出到 出到 ImageStreamTag 输出到 出到 Docker 推送 推送规范 范 4.2. 输出镜像环境变量 Docker 和 Source-to-Image (S2I) 策略构建设置输出镜像的以下环境变量： 变 变量 量 描述 描述 OPENSHIFT_BUILD_NAME 1. 构建控制器配置参数 build.config.openshift.io/cluster 资源提供以下配置参数。 参数 参数 描述 描述 Build 包含有关如何处理构建的集群范围内信息。规范且唯一有效的名称是 cluster。 spec：包含构建控制器配置的用户可设置值。 buildDefaults 控制构建的默认信息。 defaultProxy：包含所有构建操作的默认代理设置，包括镜像拉取或推送以及

示例资源将在所处状态下保持以下条件： 条件 条件 描述 描述 SamplesExists 表明 OpenShift 命名空间中已创建示例。 ImageChangesInProgr ess 如果创建或更新了镜像流，但并非所有标记规范生成与标记状态生成均匹配，此 条件则为 True。 所有生成均匹配，或者导入过程中发生不可恢复的错误时显示为 False，最后看 到的错误位于消息字段中，待处理的镜像流列表位于原因字段中。 Im 7.1. 镜像控制器配置参数 image.config.openshift.io/cluster 资源提供以下配置参数。 参数 参数 描述 描述 Image 包含有关如何处理镜像的集群范围信息。规范且唯一有效的名称是 cluster。 Spec：包含用户可设置的配置值。您可以编辑 spec 子章节。 status：包含从集群中观察到的值。 ImageSpec allowedRegistr domainName: quay.io OpenShift Container Platform 4.2 镜 镜像 像 46 1 2 3 4 5 6 Image：包含有关如何处理镜像的集群范围信息。规范且唯一有效的名称是 cluster。 allowedRegistriesForImport：限制普通用户可从中导入镜像的容器镜像 registry。将此列 表设置为您信任包含有效镜像且希望应用程序能够从中导入的

Ignition 配置文件，在安装后更改 Ignition 配置。 1.6. 关于准入插件 您可以使用 准入插件 规范 OpenShift Container Platform 的功能。在对资源请求进行身份验证和授权 第 第 1 章 章 架 架构 构概述 概述 7 您可以使用 准入插件 规范 OpenShift Container Platform 的功能。在对资源请求进行身份验证和授权 后，准入插件会截获对 第 第 7 章 章 RED HAT ENTERPRISE LINUX COREOS (RHCOS) 45 第 8 章 准入插件 8.1. 关于准入插件 准入（Admission）插件用于帮助规范 OpenShift Container Platform 4.10 的功能。在请求被验证并授权 后，准入插件截取到主 API 的请求，验证资源请求以确保符合相关的策略。例如，它们通常会被用来强制 执行安全策略、资源限制或配置要求。