创建具有单一规则的角色 用法示例 用法示例 2.5.1.51. oc create rolebinding 为特定角色或集群角色创建角色绑定 用法示例 用法示例 2.5.1.52. oc create route edge 创建使用边缘 TLS 终止的路由 oc create priorityclass default-priority --value=1000 --global-default=true 章 章 OPENSHIFT CLI (OC) 37 用法示例 用法示例 2.5.1.53. oc create route passthrough 创建使用 passthrough TLS 终止的路由 用法示例 用法示例 2.5.1.54. oc create route reencrypt 创建使用重新加密 TLS 终止的路由 用法示例 用法示例 2.5.1.55. oc create secret generic # Create an edge route named "my-route" that exposes the frontend service oc create route edge my-route --service=frontend # Create an edge route that exposes the frontend service

目 目录 录 5 第 1 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 通过部署和管理一个或多个基于 HAProxy 的 Ingress Controller 来处理路由，使外部客 户端可以访问您的服务。您可以通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源，来使用 Ingress Operator 路由流量。Ingress Controller 中的配置（如定义 endpointPublishingStrategy Container Platform 集群中运行。 pod 是定义、部署和管理的最小计算单元。 PTP Operator PTP Operator 会创建和管理 linuxptp 服务。 route OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS

目录 录 9 第 1 章 了解网络 集群管理员有几个选项可将集群中运行的应用程序公开给外部流量并保护网络连接安全： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 通过部署和管理一个或多个基于 HAProxy 的 Ingress Controller 来处理路由，使外部客 户端可以访问您的服务。您可以通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源，来使用 Ingress Operator 路由流量。Ingress Controller 中的配置（如定义 endpointPublishingStrategy 通过部署和管理一个或多个基于 HAProxy 的 Ingress Controller 来处理路由，使外部客 户端可以访问您的服务。您可以通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源，来使用 Ingress Operator 路由流量。Ingress Controller 中的配置（如定义 endpointPublishingStrategy

网 网络 络 8 第 2 章 了解网络 集群管理员有几个选项用于公开集群内的应用程序到外部流量并确保网络连接： 服务类型，如节点端口或负载均衡器 API 资源，如 Ingress 和 Route 默认情况下，Kubernetes 为 pod 内运行的应用分配内部 IP 地址。Pod 及其容器可以网络，但集群外的客 户端无法访问网络。当您将应用公开给外部流量时，为每个容器集指定自己的 IP 通过部署和管理一个或多个基于 HAProxy 的 Ingress Controller 来处理路由，使外部客 户端可以访问您的服务。您可以通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源，来使用 Ingress Operator 路由流量。Ingress Controller 中的配置（如定义 endpointPublishingStrategy Container Platform 集群中运行。 pod 是定义、部署和管理的最小计算单元。 PTP Operator PTP Operator 会创建和管理 linuxptp 服务。 route OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS

为特定角色或 ClusterRole 创建 RoleBinding 用法示例 用法示例 2.5.1.52. oc create route edge 创建使用边缘 TLS 终止的路由 用法示例 用法示例 2.5.1.53. oc create route passthrough 创建使用 passthrough TLS 终止的路由 用法示例 用法示例 # Create a Role --group=group1 # Create an edge route named "my-route" that exposes the frontend service oc create route edge my-route --service=frontend # Create an edge route that exposes the frontend service specify a path # If the route name is omitted, the service name will be used oc create route edge --service=frontend --path /assets # Create a passthrough route named "my-route" that exposes the frontend

Platform 功能，包括： 对 对 OpenShift Container Platform 资 资源的完整支持 源的完整支持 DeploymentConfig、BuildConfig、Route、ImageStream 和 ImageStreamTag 对象等资源特 定于 OpenShift Container Platform 发行版本，并基于标准 Kubernetes 原语构建。 身份 用法示例 用法示例 2.7.1.52. oc create route edge 创建使用边缘 TLS 终止的路由 用法示例 用法示例 2.7.1.53. oc create route passthrough 创建使用 passthrough TLS 终止的路由 用法示例 用法示例 2.7.1.54. oc create route reencrypt 创建使用重新加密 TLS 终止的路由 --group=group1 # Create an edge route named "my-route" that exposes the frontend service oc create route edge my-route --service=frontend # Create an edge route that exposes the frontend service

OpenShift Container Platform API 的请求通过以下方式进行身份验证： OAuth 访问 访问令牌 令牌 使用 route>/oauth/authorize 和 route>/oauth/token 端点，从 OpenShift Container Platform OAuth 服务器获取。 作为 Authorization: Bearer…​ route>/oauth/token/request 请求 令牌。[1] openshift-challenging-client 使用可处理 WWW-Authenticate 质询的用户代理来 请求令牌。 1. route> 是指命名空间路由。运行以下命令可以找到： 所有对 OAuth 令牌的请求都包括对 route>/oauth/authorize 配置为针对后备身份 提供程序验证凭证。对 route>/oauth/authorize 的请求可能来自不能显示交互式登录页面 的用户代理，如 CLI。因此，除了交互式登录流程外，OpenShift Container Platform 也支持使用 WWW- Authenticate 质询进行验证。 如果在 route>/oauth/authorize 端点前面放置身份验证代理，它会向未经身份验证的非浏

Platform 提供的 registry，用于管理镜像。 registry 身份 身份验证 验证 要将镜像推送 (push) 到私有镜像仓库，registry 需要根据凭据验证其用户。 route 公开服务，以允许从 OpenShift Container Platform 实例外的用户和应用程序对 pod 进行网络访问。 缩减 缩减（ （scale down） ） 减少副本数。 扩 literal=REGISTRY_STORAGE_S3_SECRETKEY=${AWS_SECRET_ACCESS_KEY} -- namespace openshift-image-registry $ route_host=$(oc get objectbucket $bucket_name -n openshift-storage - o=jsonpath='{.spec.endpoint.bucketHost}') anaged","s3":{"bucket":'\"${bucket_name}\"',"region":"us- east- 1","regionEndpoint":'\"https://${route_host}\"',"virtualHostedStyle":false,"encrypt":fal se,"trustedCA":{"name":"image-registry-s3-bundle"}}}}}'

maturity Level IV, Deep Insights, 它会启用对 TempoStack 实例和 Tempo Operator 的升级、监控和提示。 为网关添加 Ingress 和 Route 配置。 支持 TempoStack 自定义资源中的 managed 和 unmanaged 状态。 在 Distributor 服务中公开以下额外的 ingestion 协议：Jaeger Thrift YAML 示例 示例 $ oc login --username= https://:6443 $ export JAEGER_URL=$(oc get route -n tracing-system jaeger -o jsonpath='{.spec.host}') apiVersion: jaegertracing.io/v1 kind: Jaeger queryFrontend: jaegerQuery: enabled: true ingress: route: termination: edge type: route apiVersion: tempo.grafana.com/v1alpha1 kind: TempoStack metadata: name:

AWS 上安装 OpenShift Container Platform 的方法 4.1.4. 后续步骤 4.2. 配置 AWS 帐户 4.2.1. 配置路由 53（Route 53） 4.2.1.1. AWS Route 53 的 Ingress Operator 端点配置 4.2.2. AWS 帐户限值 4.2.3. IAM 用户所需的 AWS 权限 50 50 51 52 52 Amazon Web Services（AWS）帐户。 4.2.1. 配置路由 53（Route 53） 要安装 OpenShift Container Platform，您使用的 Amazon Web Services (AWS) 帐户必须在 Route 53 服 务中有一个专用的公共托管区。此区域必须对域具有权威。Route 53 服务为集群外部连接提供集群 DNS 解析和名称查询。 流程 流程 1 购买了一个新域，则需要一定时间来传播相关的 DNS 更改信 息。有关通过 AWS 购买域的更多信息，请参阅 AWS 文档中的使用 Amazon Route 53 注册域名。 2. 如果您使用现有的域和注册商，请将其 DNS 迁移到 AWS。请参阅 AWS 文档中的使 Amazon Route 53 成为现有域的 DNS 服务。 3. 为您的域或子域创建一个公共托管区。请参阅 AWS 文档中的创建公共托管区。 使用合适的根域（如