第 第 3 章 章 NODE FEATURE DISCOVERY OPERATOR 23 -server -server 标志指定要连接到的 nfd-master 端点的地址。 默认：localhost:8080 Example -server-name-override -server-name-override 标志指定从 nfd-master TLS 证书期望的通用名称(CN)。这个标志主要用于开发 所有命名空间中的所有 pod 在计数过程中都会考虑。 默认：* Example $ nfd-topology-updater -server=nfd-master.nfd.svc.cluster.local:443 $ nfd-topology-updater -server-name-override=localhost $ nfd-topology-updater -sleep-interval=1h ller-manager I0228 09:36:37.352405 1 request.go:682] Waited for 1.001998746s due to client-side throttling, not priority and fairness, request: GET:https://172.30.0.1:443/apis/machine.openshift

etcd 的 WAL fsync 持续时间。 etcd_disk_backend_commit_duration_seconds_bucket 指标报告 etcd 后端提交延迟持续时 间 etcd_server_leader_changes_seen_total 指标报告领导更改 etcd 在所有成员间复制请求，因此其性能会严重依赖于网络输入/输出（I/O）的延迟。大量网络延迟会导 致 etcd heartbeat Prometheus 以了解 etcd 指标数据，并在需要时对 其进行碎片处理；否则，etcd 可能会引发一个集群范围的警报，使集群进入维护模式，仅能接受对键的读 和删除操作。 监控这些关键指标： etcd_server_quota_backend_bytes，这是当前配额限制 etcd_mvcc_db_total_size_in_use_in_bytes，表示历史压缩后实际数据库使用量 etcd_mvcc focus=hwlatdetect I0210 17:08:38.607699 7 request.go:668] Waited for 1.047200253s due to client-side throttling, not priority and fairness, request: GET:https://api.ocp.demo.lab:6443/apis/apps.openshift

通过降低网络间 control plane 通讯来提高性能。 添加对 Envoy 的 Secret Discovery Service（SDS）的支持。SDS 是一个更加安全有效地向 Envoy side car proxies 发送 secret 的机制。 match: context: GATEWAY listener: filterChain: 为故障转移配置联邦服务网格无法正常工作。 Istiod pilot 日志显示以下错误： envoy connection [C289] TLS error: 337047686:SSL routines:tls_process_server_certificate:certificate verify failed OSSM-1099 Kiali 控制台显示消息 Sorry, there was a problem.Try a refresh "caller":"channelz/logging.go:62","msg":"[core]grpc: Server.Serve failed to create ServerTransport: connection error: desc = \"transport: http2Server.HandleStreams received bogus greeting from client:

/etc/resolv.conf 文件和上游 DNS 服务器中指定默认 服务器。 流程 流程 1. 修改名为 default 的 DNS Operator 对象： 发出上一命令后，Operator 会根据 Server 创建并更新名为 dns-default 的配置映射，并带有额 外的服务器配置块。如果任何服务器都没有与查询匹配的区域，则名称解析会返回上游 DNS 服务 器。 配置 DNS 转发 必须符合 apiVersion: operator.openshift.io/v1 kind: DNS metadata: name: default spec: servers: - name: example-server 1 zones: 2 - example.com forwardPlugin: policy: Random 3 upstreams: 4 apiVersion: operator.openshift.io/v1 kind: DNS metadata: name: default spec: servers: - name: example-server 1 zones: 2 - example.com forwardPlugin: transportConfig: transport: TLS

摘要 Red Hat OpenShift for Windows Containers 为在 OpenShift Container Platform 上运行 Microsoft Windows Server 容器提供了内置的支持。本指南提供所有详细信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 注意 注意 裸机或不了解供应商的集群不支持机器集。 对于 Linux 和 Windows 等工作负载，OpenShift Container Platform 允许您部署在 Windows Server 容器 上运行的 Windows 工作负载，同时还提供托管在 Red Hat Enterprise Linux CoreOS (RHCOS) 或 Red Hat Enterprise Linux 节点有最新的更新。 您可以通过删除特定机器来删除 Windows 节点。 您可以使用 Bring-Your-Own-Host (BYOH) Windows 实例 重新使用 Windows Server 虚拟机并将其引入 OpenShift Container Platform。BYOH Windows 实例让希望降低 Windows 服务器离线时发生重大中断的 用户受益。您可以使用 BYOH

repos --enable="rhocp-4.10-for-rhel-8-x86_64-rpms" # subscription-manager repos --enable="rhel-7-server-ose-4.10-rpms" # yum install openshift-clients $ oc $ brew install openshift-cli 第 使用oc new-project命令创建新项目。 输 输出示例 出示例 $ oc login -u user1 Server [https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass bypass the certificate check, but any data you send to the server could be intercepted by others. Use insecure connections? (y/n): y 2 Authentication required for https://openshift.example.com:6443 (openshift)

repos --enable="rhocp-4.8-for-rhel-8-x86_64-rpms" # subscription-manager repos --enable="rhel-7-server-ose-4.8-rpms" # yum install openshift-clients $ oc $ brew install openshift-cli 第 第 使用oc new-project命令创建新项目。 输 输出示例 出示例 $ oc login -u user1 Server [https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass bypass the certificate check, but any data you send to the server could be intercepted by others. Use insecure connections? (y/n): y 2 Authentication required for https://openshift.example.com:6443 (openshift)

服务器的 URL。 输入是否使用不安全的连接。 输入用户密码。 注意 注意 $ oc login -u user1 Server [https://localhost:8443]: https://openshift.example.com:6443 1 The server uses a certificate signed by an unknown authority. You can bypass bypass the certificate check, but any data you send to the server could be intercepted by others. Use insecure connections? (y/n): y 2 Authentication required for https://openshift.example.com:6443 (openshift) oc new-project $ oc new-project my-project Now using project "my-project" on server "https://openshift.example.com:6443". $ oc new-app https://github.com/sclorg/cakephp-ex --> Found

服务器、etcd、Controller Manager Server 和 HAProxy 服务。 表 表 3.1. 在 在 control plane 上 上运 运行的 行的 Kubernetes 服 服务 务 第 第 3 章 章 OPENSHIFT CONTAINER PLATFORM CONTROL PLANE 13 组 组件 件 描述 描述 API Server Kubernetes API 服务器验证并配置 控制器的数据。它还为集群的共享状态提供一个焦 点。 etcd etcd 存储持久 master 状态，其他组件则监视 etcd 的 更改，以使其自身进入指定状态。 Controller Manager Server Controller Manager Server 监视 etcd 中对象的更改， 如复制、命名空间和服务帐户控制器对象，然后使用 API 强制执行指定的状态。多个这样的过程会创建在 某个时间点上有一个活跃群首的集群。 用指定的机器配置并控制 kubelet 配置。更新本身在容器中交付。此过程是成功管理 OpenShift Container Platform 和 RHCOS 更新的关键。 machine-config-server DaemonSet，在 master 节点加入集群时为其提供 Ignition 配置文件。 机器配置是 Ignition 配置的子集。machine-config-daemon 读取机器配置，以查看是否需要进行

OpenShift API 服务器 OpenShift API 服务器验证并配置 OpenShift 资源（如项目、路由和模 板）的数据。 OpenShift API 服务器由 OpenShift API Server Operator 管理。 OpenShift 控制器管理器 OpenShift 控制器管理器监视 etcd 是否有 OpenShift 对象的更改，如项 目、路由和模板控制器对象，然后使用 API 的机器配置并控制 kubelet 配置。更新本身在容器中交付。此过程是成功管理 OpenShift Container Platform 和 RHCOS 更新的关键。 machine-config-server 守护进程集，在加入集群时为 control plane 节点提供 Ignition 配置文 件。 机器配置是 Ignition 配置的子集。machine-config-daemon 读取机器配置，以查看是否需要进行 sshAuthorizedKeys 参数中更改 SSH 密钥。 在 openshift-config 命名空间中更改全局 pull secret 或 pull secret。 Kubernetes API Server Operator 自动轮转 /etc/kubernetes/kubelet-ca.crt 证书颁发机构（CA）。 当 MCO 检测到对 /etc/containers/registries.conf