客户 户端 端响应 响应 302 Location 标头包含 URL 片段中的 access_token 参数（RFC 6749 4.2.2 部分） 使用 access_token 值作为 OAuth 令牌。 302 Location 标头包含 error 查询参数（RFC 6749 4.1.2.1 部分） 失败，或向用户显示 error（使用可选的 error_description）查询值 https 方案且没有查询或分段组件的 URL。这是包含授权服 务器有关信息的 .well-known RFC 5785 资源的发布位置。 授权服务器的授权端点的 URL。参见 RFC 6749。 授权服务器的令牌端点的 URL。参见 RFC 6749。 包含此授权服务器支持的 OAuth 2.0 RFC 6749 范围值列表的 JSON 数组。请注意，并非所有支持 的范围值都会公告。 包含此授权服务器支持的 数组。使用的数组值与 response_types 参数（根据 RFC 7591 中“OAuth 2.0 Dynamic Client Registration Protocol”定义） 使用的数组值相同。 包含此授权服务器支持的 OAuth 2.0 授权类型值列表的 JSON 数组。使用的数组值与通过 grant_types 参数（根据 RFC 7591 中“OAuth 2.0 Dynamic Client

连接，并通过在 secret 中提供一个 shared_key 字段来支持共享密钥身份验证。共享密钥身份验证可在使用或不使用 TLS 的情 况下使用。 syslog。支持 syslog RFC3164 或 RFC5424 协议的外部日志聚合解决方案。syslog 输出可 以使用 UDP、TCP 或 TLS 连接。 cloudwatch。Amazon CloudWatch，一种由 Amazon Web 10.1 kafka kafka 0.11 kafka 2.4.1 kafka 2.7.0 syslog RFC-3164、RFC-5424 rsyslog-8.39.0 注意 注意 在以前的版本中，syslog 输出只支持 RFC-3164。当前的 syslog 输出添加了对 RFC-5424 的支持。 7.3. OPENSHIFT LOGGING 5.2 中支持的日志数据输出类型 Red 0.11 kafka 2.4.1 kafka 2.7.0 第 第 7 章 章 将日志 将日志转发 转发到外部第三方日志 到外部第三方日志记录 记录系 系统 统 121 syslog RFC-3164、RFC-5424 rsyslog-8.39.0 输 输出 出类 类型 型 协议 协议 测试 测试使用 使用 7.4. OPENSHIFT LOGGING 5.3 中支持的日志数据输出类型 Red

将日志转发到外部 ELASTICSEARCH 实例 7.4. 使用 FLUENTD 转发协议转发日志 7.5. 使用 SYSLOG 协议转发日志 7.5.1. syslog 参数 7.5.2. 其他 RFC5424 syslog 参数 7.6. 将日志转发到 KAFKA 代理 7.7. 从特定项目转发应用程序日志 7.8. 从特定 POD 转发应用程序日志 7.9. 使用旧的 FLUENTD 方法转发日志 OpenShift Elasticsearch Operator 提供的类型。因 此，用户可以通过部署 CLO 来创建仅收集器集群日志记录的部署。(BZ#1891738) 在以前的版本中，因为 RFC 3164 的 LF GA syslog 实现，发送到远程 syslog 的日志与旧行为不兼 容。当前发行版本解决了这个问题。AddLogSource 在"message" 字段中添加有关日志源详情的 连接，并通过在 secret 中提供一个 shared_key 字段来支持共享密钥身份验证。共享密钥身份验证可在使用或不使用 TLS 的情 况下使用。 syslog。支持 syslog RFC3164 或 RFC5424 协议的外部日志聚合解决方案。syslog 输出可 以使用 UDP、TCP 或 TLS 连接。 kafka.Kafka 代理。kafka 输出可以使用 TCP 或 TLS 连接。

Istio 授权策略。 例如，假设 Istio 集群管理员定义了一个授权 DENY 策略，以便在路径 /admin 上拒绝请求。发送到 URL 路径 //admin 的请求不会被授权策略拒绝。 根据 RFC 3986，带有多个斜杠的路径 //admin 在技术上应被视为与 /admin 不同的路径。但是，一些后 端服务选择通过将多个斜杠合并成单斜杠来规范 URL 路径。这可能导致绕过授权策略（//admin 此设置会受到 CVE- 2021-31920 的影响。 BASE 这是目前 Istio 默 默认 认安装 中使用的选项。这在 Envoy 代理上应用 normalize_path 选 项，该选项在 RFC 3986 之后使用额外的规范化来 转换反斜杠来正斜杠。 /a/../b 被规范化为 /b。\da 被规范化为 /da。 此设置会受到 CVE- 2021-31920 的影响。 MERGE_SLASHES 会破坏应用程序。在部署 到生产环境中前测试您的 应用程序。 选项 选项 描述 描述 示例 示例 备 备注 注 规范化算法按以下顺序进行： 1. 解码百分比 %2F、%2f、%5C 和 %5c。 2. RFC 3986 和其他在 Envoy 中的 normalize_path 选项实现的规范化。 3. 合并斜杠。 警告 警告 虽然这些规范化选项代表来自 HTTP 标准和常见行业实践的建议，但应用程序可能会

Unix: 由 指定的 Unix 域套接字文件。 null 不要将审计日志发送到任何其他目标。 syslogFacility 字符串 syslog 工具，如 as kern，如 RFC5424 定义。默认值为 local0。 。 表 表 5.6. gatewayConfig object 字段 字段 类 类型 型 描述 描述 routingViaHost 布 布尔值 尔值 dns-default 的配置映射，并带有额 外的服务器配置块。如果任何服务器都没有与查询匹配的区域，则名称解析会返回上游 DNS 服务 器。 配置 DNS 转发 必须符合 rfc6335 服务名称语法。 必须符合 rfc1123 服务名称语法中的子域的定义。集群域 cluster.local 是对 zones 字段的 无效子域。 定义用于选择上游解析器的策略。默认值为 Random。您还可以使用 发到上游解析器时保护 DNS 流量，以 便您可以确保额外的 DNS 流量和数据隐私。集群管理员可以配置传输层安全(TLS)来转发 DNS 查询。 使用 TLS 配置 DNS 转发 必须符合 rfc6335 服务名称语法。 apiVersion: operator.openshift.io/v1 kind: DNS metadata: name: default spec: servers:

IP 地址（可以在之前使用 *.））。 一个路径（/*，或 /（后面包括任意字符并可以包括 * 字符））。 在上述所有内容中，* 字符被认为是通配符。 重要 重要 URI 模式必须与符合 RFC3986 的 Git 源 URI 匹配。不要在 URI 模式中包含用户名（或密 码）组件。 例如，如果使用 ssh://git@bitbucket.atlassian.com:7999/ATLASSIAN/jira 格式，分别存储在 tls.crt 和 tls.key 中。证书/密钥对在接近到期时自动替 换。在 secret 的 service.alpha.openshift.io/expiry 注解中查看到期日期，其采用 RFC3339 格 式。 注意 注意 apiVersion: v1 kind: Pod metadata: name: secret-example-pod spec: containers:

Unix: 由 指定的 Unix 域套接字文件。 null 不要将审计日志发送到任何其他目标。 syslogFacility 字符串 syslog 工具，如 as kern，如 RFC5424 定义。默认值为 local0。 。 defaultNetwork: type: OpenShiftSDN openshiftSDNConfig: mode: NetworkPolicy ConfigMap。如果没有服务器带有与查询匹配的区，则命名解析功能会返回到由 /etc/resolv.conf中指定的名称服务器。 DNS 示例 示例 name 必须符合 rfc6335 服务名称的语法。 zones 必须符合 rfc1123 中的一个 subdomain 的定义。集群域 cluster.local 不是 zones 中的一个有效的 subdomain。 每个 forwardPlugin log。 网络策略审计日志记录通过 k8s.ovn.org/acl-logging 键注解命名空间来启用每个命名空间，如下例所 示： 命名空 命名空间 间注解示例 注解示例 日志记录格式与 RFC5424 中定义的 syslog 兼容。syslog 工具可配置，默认为 local0。日志条目示例可能 类似如下： ACL 拒 拒绝 绝日志条目示例 日志条目示例 下表描述了命名空间注解值：

IP 地址（可选）在之前使用 *。 。 一个路径： /*，或 / （后面包括任意字符并可以包括 * 字符） 在上述所有内容中，* 字符被认为是通配符。 重要 重要 URI 模式必须与符合 RFC3986 的 Git 源 URI 匹配。不要在 URI 模式中包含用户名（或密 码）组件。 例如，如果使用 ssh://git@bitbucket.atlassian.com:7999/ATLASSIAN 格式，分别存储在 tls.crt 和 tls.key 中。证书/密钥对在接近到期时自动替 换。在 secret 的 service.beta.openshift.io/expiry 注解中查看过期日期，其格式为 RFC3339。 注意 注意 在大多数情形中，服务 DNS 名称 ..svc 不可从外 部路由。.

0 码力 | 129 页 | 1.37 MB | 1 年前

3

Forwarding API 允许您通过配置带有端点的自定义资源来转发日 志来转发容器、基础架构和审计日志。Log Forwarding API 现在支持转发到 Kafka 代理并支持 syslog RFC 3164 和 RFC 5424，包括 TLS。您还可以将应用程序日志从特定项目转发到端点。 对于 GA 版本，Log Forwarding API 有很多变化，包括在日志转发自定义资源（CR）中更改参数名称。

io/cluster/: shared。 如果您要在 vSphere 上创建 BYOH Windows 实例，则必须启用与内部 API 服务器的通信。 实例的主机名必须遵循 RFC 1123 DNS 标签要求，其中包括以下标准： 仅包含小写字母数字字符或 '-'。 以字母数字字符开头。 以字母数字字符结尾。 注意 注意 WMCO 部署的 Windows 实例使用容器运行时配置。由于