6. 准备安装 SERVICE MESH 1.7. 安装 OPERATOR 1.8. 创建 SERVICEMESHCONTROLPLANE 1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 DaemonSet 重命名 在此发行版本中，istio-node DaemonSet 被重命名为 istio-cni-node，以匹配上游 Istio 中的名称。 1.2.2.4.5. Envoy sidecar 网络更改 Istio 1.10 更新了 Envoy，默认使用 eth0 而不是 lo 将流量发送到应用程序容器。 1.2.2.4.6. Service Mesh Control Plane ServiceMeshControlPlane 更新时重新创建，则该网关会被删除且永远不会重新创建。 OSSM-1168 当以单个 YAML 文件形式创建服务网格资源时，Envoy proxy sidecar 不会可靠地注 入 pod。当单独创建 SMCP、SMMR 和 Deployment 资源时，部署可以正常工作。 OSSM-1052 在为服务网格 control plane 中为 ingressgateway

项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的环境中。您可以 使用 control plane 功能配置和管理 Service Mesh。 Red Hat OpenShift Service pod，则不会进行 sidecar 注入。在创建 pod OpenShift Container Platform 4.2 Service Mesh 6 MAISTRA-453 如果创建新项目并立即部署 pod，则不会进行 sidecar 注入。在创建 pod 前，operator 无法添加 maistra.io/member-of ，因此必须删除 pod 并重新创建它以执行 sidecar 注入操作。 项目，它在不需要修改服务代码的情况下，为现有的分 布式应用程序添加了一个透明的层。您可以在服务中添加对 Red Hat OpenShift Service Mesh 的支持，方 法是将一个特殊的 sidecar 代理服务器部署到用于处理不同微服务之间的所有网络通讯的服务网格中。您 可以使用 control plane 功能配置和管理 Service Mesh。 Red Hat OpenShift Service

使用 Elasticsearch 管理证书 3.2.5.7. 查询配置选项 3.2.5.8. Ingester 配置选项 3.2.6. 注入 sidecar 3.2.6.1. 自动注入 sidecar 3.2.6.2. 手动注入 sidecar 3.3. 配置和部署分布式追踪数据收集 3.3.1. OpenTelemetry Collector 配置选项 3.3.2. 验证部署 3.3 TRACING-2009 已更新 Jaeger Operator，使其包含对 Strimzi Kafka Operator 0.23.0 的支持。 TRACING-1907 Jaeger 代理 sidecar 注入失败，因为应用程序命名空间中缺少配置映射。因为 OwnerReference 字段设置不正确，配置映射会被自动删除，因此应用程序 pod 不会超过 "ContainerCreating" Elasticsearch Operator 无法与所 有 Elasticsearch 集群通信。 在使用 Istio sidecar 时，在 Agent 和 Collector 间的连接会出现 TRACING-1300 失败。对 Jaeger Operator 的更新默认启用了 Jaeger sidecar 代理和 Jaeger Collector 之间的 TLS 通信。 {"level":"warn","ts":1642438880

代理是 一个网络守护进程，侦听通过用户数据报协议(UDP)发送并发送到 Collector。这个代理应被 放置在要管理的应用程序的同一主机上。这通常是通过容器环境（如 Kubernetes）中的 sidecar 来实现。 Jaeger Collector (Collector, Queue, Workers)- 与 Jaeger 代理类似，Jaeger Collector 接收 span，并将它们放置在内部队列中进行处理。这允许 Frontend - Query Frontend 负责为传入的查询对搜索空间进行分片。然后，搜索查 询会发送到 Queriers。Query Frontend 部署通过 Tempo Query sidecar 公开 Jaeger UI。 Querier - Querier 负责在 Ingester 或后端存储中查找请求的 trace ID。根据参数，它可以查 询 Ingesters，并从后端拉取 Bloom production 策略主要用于生产环境，在生产环境中，对 trace 数据进行长期存储非常重要，同时需要 更容易扩展和高度可用的构架。因此，每个后端组件都将单独部署。Agent 可以作为检测应用程序上 的 sidecar 注入。Query 和 Collector 服务被配置为使用一个受支持的存储类型 - 当前为 Elasticsearch。可以根据性能和恢复能力的需要提供每个组件的多个实例。 streaming

VolumeSnapshotContent 对象。 resizer 容器是一个 sidecar 容器，它会在 PersistentVolumeClaim 对象中监视 第 第 5 章 章 使用 使用 CONTAINER STORAGE INTERFACE (CSI) 71 resizer 容器是一个 sidecar 容器，它会在 PersistentVolumeClaim 对象中监视 PersistentVolumeClaim 序。请根据 CSI 驱动程序提供的说明进行操作。 CSI 驱动程序可能会也可能不会带有卷快照功能。提供卷快照支持的 CSI 驱动程序可能会使用 csi-external-snapshotter sidecar。详情请查看 CSI 驱动程序提供的文档。 - name: my-csi-inline-vol csi: driver: inline.storage.kubernetes 76 5.3.2. CSI 快照控制器和 sidecar OpenShift Container Platform 提供了一个部署到 control plane 中的快照控制器。另外，您的 CSI 驱动程 序厂商会提供 CSI 快照 sidecar，它会在安装 CSI 驱动程序的过程中做为一个辅助（helper）容器。 CSI 快照控制器和 sidecar 通过 OpenShift Container

描述了客户端请求的日志记录方式。如果此字段为空，则禁用 访问日志。 destination 描述日志消息的目的地。 type 是日志的目的地类型： Container 指定日志应该进入 sidecar 容器。Ingress Operator 在 Ingress Controller pod 上配置名为 logs 的容 器，并配置 Ingress Controller 以将日志写入容器。管理员 replicas 值。 6.8.4. 配置 Ingress 访问日志 您可以配置 Ingress Controller 以启用访问日志。如果您的集群没有接收许多流量，那么您可以将日志记 录到 sidecar。如果您的集群接收大量流量，为了避免超出日志记录堆栈的容量，或与 OpenShift Container Platform 之外的日志记录基础架构集成，您可以将日志转发到自定义 syslog 端点。您还可以指 以具有 cluster-admin 特权的用户身份登录。 流程 流程 配置 Ingress 访问日志到 sidecar。 要配置 Ingress 访问日志记录，您必须使用 spec.logging.access.destination 指定一个目的地。 要将日志记录指定到 sidecar 容器，您必须指定 Container spec.logging.access.destination.type。以下示例是将日志记录到

者应 应用程序 用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 CR 20.3. CLOUD-EVENT-PROXY SIDECAR REST API 中的 PTP 事件 20.4. 将消费者应用程序订阅到 PTP 事件 20.5. 获取当前的 PTP 时钟状态 20.6. 验证 PTP 事件消费者应用程序是否收到事件 描述了客户端请求的日志记录方式。如果此字段为空，则禁用 访问日志。 destination 描述日志消息的目的地。 type 是日志的目的地类型： Container 指定日志应该进入 sidecar 容器。Ingress Operator 在 Ingress Controller pod 上配置名为 logs 的容 器，并配置 Ingress Controller 以将日志写入容器。管理员 Container Platform 4.13 网 网络 络 54 您可以配置 Ingress Controller 以启用访问日志。如果您的集群没有接收许多流量，那么您可以将日志记 录到 sidecar。如果您的集群接收大量流量，为了避免超出日志记录堆栈的容量，或与 OpenShift Container Platform 之外的日志记录基础架构集成，您可以将日志转发到自定义 syslog 端点。您还可以指

除 VolumeSnapshotContent 对象。 resizer 容器是一个 sidecar 容器，它会在 PersistentVolumeClaim 对象中监视 OpenShift Container Platform 4.14 存 存储 储 114 resizer 容器是一个 sidecar 容器，它会在 PersistentVolumeClaim 对象中监视 PersistentVolumeClaim csi-external-snapshotter sidecar。详情请查看 CSI 驱动程序提供的文档。 5.4.2. CSI 快照控制器和 sidecar OpenShift Container Platform 提供了一个部署到 control plane 中的快照控制器。另外，您的 CSI 驱动程 序厂商会提供 CSI 快照 sidecar，它会在安装 CSI 驱动程序的过程中做为一个辅助（helper）容器。 驱动程序的过程中做为一个辅助（helper）容器。 CSI 快照控制器和 sidecar 通过 OpenShift Container Platform API 提供卷快照。这些外部组件在集群中 运行。 第 第 5 章 章 使用 使用 CONTAINER STORAGE INTERFACE (CSI) 129 外部控制器由 CSI Snapshot Controller Operator 部署。 5.4.2.1.

描述了客户端请求的日志记录方式。如果此字段为空，则禁用 访问日志。 destination 描述日志消息的目的地。 type 是日志的目的地类型： Container 指定日志应该进入 sidecar 容器。Ingress Operator 在 Ingress Controller pod 上配置名为 logs 的容 器，并配置 Ingress Controller 以将日志写入容器。管理员 Container Platform 4.6 网 网络 络 38 1 您可以配置 Ingress Controller 以启用访问日志。如果您的集群没有接收许多流量，那么您可以将日志记 录到 sidecar。如果您的集群接收大量流量，为了避免超出日志记录堆栈的容量，或与 OpenShift Container Platform 之外的日志记录基础架构集成，您可以将日志转发到自定义 syslog 端点。您还可以指 以具有 cluster-admin 特权的用户身份登录。 流程 流程 配置 Ingress 访问日志到 sidecar。 要配置 Ingress 访问日志记录，您必须使用 spec.logging.access.destination 指定一个目的地。 要将日志记录指定到 sidecar 容器，您必须指定 Container spec.logging.access.destination.type。以下示例是将日志记录到

及更新的版本中，使用 Kubernetes 插件运行 Jenkins 代理的建议模式是使用带有 jnlp 和 sidecar 容器的 pod 模板。jnlp 容器使用 OpenShift Container Platform Jenkins Base 代理镜像来简化为构建启动一个单独的 pod。sidecar 容器镜像具有在启动的独立 pod 中的特定语言构建所需的工具。Red Hat Container Catalog openshift 命名空间中的示例镜像流中引用。 OpenShift Container Platform Jenkins 镜像有一个名为 java-build 的 pod 模板，它带有 演示此方法的 sidecar 容器。此 pod 模板使用由 openshift 命名空间中的 java 镜像流提供 的最新 Java 版本。 Jenkins 镜像还为 Kubernetes 插件提供附加代理镜像的自动发现和自动配置。 安装有效负载中删除。它们没有在 ocp-tools-4 仓库中定义 alternatives。但是，您可以使用以下"Additional resources"部分中提到的"Jenkins 代理"主题描述的 sidecar 模式来解决这个问题。 但是，Cluster Samples Operator 不会删除之前版本创建的 jenkins-agent-maven 和 jenkins-agent- nodejs 镜像流，指向