OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL 3.7. OAUTH 服务器元数据 3.8. OAUTH API 事件故障排除 第 第 4 身份 身份验证 验证和授 和授权 权概述 概述 5 OAuth 服 服务 务器 器 OpenShift Container Platform control plane 包含内置的 OAuth 服务器，用于决定用户身份来自配置 的身份提供程序并创建访问令牌。 OpenID Connect OpenID Connect 是一种协议，用于验证用户使用单点登录(SSO)来访问使用 OpenID 提供程序的站 规用 用户 户 首次登录时或通过 API 自动创建的用户。 请 请求 求标头 标头(Request header) 请求标头是一个 HTTP 标头，用于提供有关 HTTP 请求上下文的信息，以便服务器可以跟踪请求的响 应。 基于角色的 基于角色的访问 访问控制 控制 (RBAC) 重要的安全控制，以确保集群用户和工作负载只能访问执行其角色所需的资源。 服 服务帐户 务帐户 服务帐户供集群组件或应用程序使用。

对应用程序中的多个组件进行分组 4.7. 在应用程序中添加服务 4.8. 从应用程序中删除服务 4.9. 用于 TOPOLOGY 视图的标签和注解 4.10. 其他资源 第 第 5 章 章 将 将应 应用程序 用程序连 连接到服 接到服务 务 5.1. SERVICE BINDING OPERATOR 发行注记 5.2. 了解 SERVICE BINDING OPERATOR 5.3. 安装 SERVICE BINDING 上使用服务绑定 5.6. 从服务公开绑定数据 5.7. 投射绑定数据 5.8. 使用 SERVICE BINDING OPERATOR 绑定工作负载 5.9. 使用 DEVELOPER 视角将应用程序连接到服务 第 第 6 章 章 使用 使用 HELM CHART 6.1. 了解 HELM 6.2. 安装 HELM 6.3. 配置自定义 HELM CHART 仓库 6.4. 使用 HELM 发行版本 Web 控制台 编辑或删 除应用程序。当应用程序运行时，并非所有应用资源都不会被使用。作为集群管理员，您可以选择闲置这 些可扩展资源来减少资源消耗。 1.2.3. 将应用程序连接到服务 应用程序使用后端服务来构建和连接工作负载，这因服务提供商而异。使用 Service Binding Operator 作 为开发人员，您可以将工作负载与 Operator 管理的后端服务绑定在一起，而无需手动步骤配置绑定连

TOPOLOGY 视图的标签和注解 4.10. 其他资源 第 第 5 章 章 导 导出 出应 应用程序 用程序 5.1. 先决条件 5.2. 流程 第 第 6 章 章 将 将应 应用程序 用程序连 连接到服 接到服务 务 6.1. SERVICE BINDING OPERATOR 发行注记 6.2. 了解 SERVICE BINDING OPERATOR 6.3. 安装 SERVICE BINDING 上使用服务绑定 6.6. 从服务公开绑定数据 6.7. 投射绑定数据 6.8. 使用 SERVICE BINDING OPERATOR 绑定工作负载 6.9. 使用 DEVELOPER 视角将应用程序连接到服务 第 第 7 章 章 使用 使用 HELM CHART 7.1. 了解 HELM 7.2. 安装 HELM 7.3. 配置自定义 HELM CHART 仓库 7.4. 使用 HELM 发行版本 控制台监控项目或应用指标。您还可以使用 Web 控制台编辑或删除应 用程序。当应用程序运行时，并非所有应用资源都不会被使用。作为集群管理员，您可以选择闲置这些可 扩展资源来减少资源消耗。 1.2.3. 将应用程序连接到服务 应用程序使用后端服务来构建和连接工作负载，这因服务提供商而异。使用 Service Binding Operator 作 为开发人员，您可以将工作负载与 Operator 管理的后端服务绑定在一起，而无需手动步骤配置绑定连

先决条件 先决条件 有访问 OpenShift Container Platform 集群的权限。 已安装 OpenShift CLI（oc）。 注意 注意 要访问只能通过 HTTP 代理服务器访问的集群，可以设置 HTTP_PROXY、HTTPS_PROXY 和 NO_PROXY 变量。oc CLI 会使用这些环境变量以便 所有与集群的通信都通过 HTTP 代理进行。 只有在使用 HTTPS 命令并传递用户名： 2. 提示时，请输入所需信息： 输 输出示例 出示例 输入 OpenShift Container Platform 服务器的 URL。 输入是否使用不安全的连接。 输入用户密码。 注意 注意 如果登录到 web 控制台，您可以生成包含令牌和服务器信息的 oc login 命令。您可以使用 命令来登录 OpenShift Container Platform CLI，而无需交互式的提示。要生成 (9 days old) in imagestream "openshift/php" under tag "7.2" for "php" ... Run 'oc status' to view your app. $ oc get pods -o wide NAME READY STATUS RESTARTS AGE IP

Platform 集群 中，以启用虚拟化任务。这些任务包括： 创建和管理 Linux 和 Windows 虚拟机 (VM) 在集群中运行 pod 和虚拟机工作负载 通过各种控制台和 CLI 工具连接至虚拟机 导入和克隆现有虚拟机 管理虚拟机上附加的网络接口控制器和存储磁盘 在节点间实时迁移虚拟机 增强版 web 控制台提供了一个图形化的门户界面 来管理虚拟化资源以及 OpenShift deployment/cdi-apiserver 通过提供安全上传令牌来管理将虚拟机磁盘上传到 PVC 的授权过程。 deployment/cdi-uploadproxy 将外部磁盘上传流量定向到适当的上传服务器 pod， 以便将其写入正确的 PVC。需要有效的上传令牌。 pod/cdi-importer helper（帮助程序）Pod，在创建数据卷时将虚拟机镜 像导入到 PVC 中。 2.4. 关于 快速创建虚拟机。 自定义模板以创建虚拟机。 连接到虚拟机： 使用 web 控制台连接至虚拟机的串行控制台或 VNC控制台。 使用 SSH 连接到虚拟机。 使用 RDP 连接到 Windows 虚拟机 。 管理虚拟机： 使用 Web 控制台停止、启动、暂停和重启虚拟机。 使用 virtctl CLI 工具管理虚拟机、公开端口或连接到串行控制台。 第 第 3 章 章 OPENSHIFT

自定义资源添加新对象至 OpenShift Container Platform 集群 中，以启用虚拟化任务。这些任务包括： 创建和管理 Linux 和 Windows 虚拟机 通过各种控制台和 CLI 工具连接至虚拟机 导入和克隆现有虚拟机 管理虚拟机上附加的网络接口控制器和存储磁盘 在节点间实时迁移虚拟机 增强版 web 控制台提供了一个图形化的门户界面 来管理虚拟化资源以及 OpenShift 驱动程序和 QEMU 客户机代理。 连 连接到虚 接到虚拟 拟机 机 使用 web 控制台连接至虚拟机的串行控制台或 VNC控制台。 使用 SSH 连接到虚拟机。 使用 RDP 连接至 Windows 虚拟机。 管理虚 管理虚拟 拟机 机 从 web 控制台停止、启动、暂停和重启虚拟机。 使用 virtctl 从命令行管理虚拟机，公开端口，连接到虚拟机的串行控制台。 2.3. 后续步骤 后续步骤 将虚 将虚拟 拟机 机连 连接到二 接到二级 级网 网络 络 将虚拟机连接到 Linux 网桥网络。 将虚拟机连接到 SR-IOV 网络。 OpenShift Container Platform 4.10 虚 虚拟 拟化 化 6 监 监控 控 OpenShift Virtualization 环 环境 境 在 Virtualization Overview 页面上监控资源、详情、状态和顶级用户。

上安装集群 1.1.1. 先决条件 1.1.2. OpenShift Container Platform 的互联网访问 1.1.3. VMware vSphere 基础架构要求 1.1.4. 网络连接要求 1.1.5. vCenter 要求 所需的 vCenter 帐户权限 将 OpenShift Container Platform 与 vMotion 搭配使用 集群资源 集群的限制 网络要求 上安装自定义集群 1.2.1. 先决条件 1.2.2. OpenShift Container Platform 的互联网访问 1.2.3. VMware vSphere 基础架构要求 1.2.4. 网络连接要求 1.2.5. vCenter 要求 所需的 vCenter 帐户权限 将 OpenShift Container Platform 与 vMotion 搭配使用 集群资源 集群的限制 网络要求 上安装集群 1.3.1. 先决条件 1.3.2. OpenShift Container Platform 的互联网访问 1.3.3. VMware vSphere 基础架构要求 1.3.4. 网络连接要求 1.3.5. vCenter 要求 所需的 vCenter 帐户权限 将 OpenShift Container Platform 与 vMotion 搭配使用 集群资源 集群的限制

管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY 模块 1.21. 使用 3SCALE ISTIO 适配器 1.22. 服务网格故障排除 1.23. ENVOY 代理故障排除 Kiali。 Kiali 中已知的问题： KIALI-2206 当您第一次访问 Kiali 控制台时，浏览器中没有 Kiali 的缓存数据，Kiali 服务详情页面 的 Metrics 标签页中的 “View in grafana” 链接会重定向到错误的位置。只有在第一次访问 Kiali 才 会出现这个问题。 KIALI-507 Kiali 不支持 Internet Explorer 11。这是因为底层框架不支持 OpenShift Elasticsearch Operator 无法与所 有 Elasticsearch 集群通信。 在使用 Istio sidecar 时，在 Agent 和 Collector 间的连接会出现 TRACING-1300 失败。对 Jaeger Operator 的更新默认启用了 Jaeger sidecar 代理和 Jaeger Collector 之间的 TLS 通信。 {"level":"warn"

.7/html-single/images/#using-images-overview 容器镜像。 1.3. 镜像 REGISTRY 镜像 registry 是一个可存储和提供容器镜像的内容服务器。例如： registry 包含一个或多个镜像存储库的集合，其中包含一个或多个标记的镜像。红帽在 registry.redhat.io 上为订阅者提供了一个 registry。OpenShift Container 定运行或暂停实例。 在一个单一的主机上可以包括多个容器来运行多个不同的应用程序实例，且相互间无法看到其他应用程序 的进程、文件、网络等。通常情况下，每个容器提供一项服务，常称为微服务，如 Web 服务器或数据 库，但容器也可用于任意工作负载。 多年来，Linux 内核一直在整合容器技术的能力。Docker 项目为主机上的 Linux 容器开发了便捷的管理接 口。最近，开放容器计划还为容器格式和容 并尝试安装示例镜像流时，它会在安装失败时在初始安装 后 2 小时启动警报。 2.1.1.2. 使用初始网 使用初始网络访问受限网 受限网络安装 安装 当一个集群旨在作为受限网络或断开连接而安装的集群，如果其存在网络连接，则 Cluster Samples Operator 会从 registry.redhat.io 中安装内容，因为可以访问它。如果您希望 Cluster Samples Operator

基本设置和登录 oc login 命令是初始设置 CLI 的最佳方法，它充当大部分用户的入口点。互动流程可帮助您使用提供的凭 证建立与 OpenShift Container Platform 服务器的会话。信息自动保存在 CLI 配置文件中，然后用于后续 的命令。 以下示例显示了使用 oc login 命令进行交互式设置和登录： $ echo $PATH $ tar -xf 输 输出示例 出示例 该命令提示输入 OpenShift Container Platform 服务器 URL。 命令会提示输入登录凭证：用户名和密码。 会话会根据服务器建立，并接收会话令牌。 如果您没有项目，则会提供关于如何创建项目的信息。 完成 CLI 配置后，后续的命令使用服务器、会话令牌和项目信息的配置文件。 您可以使用 oc logout 命令从 CLI 注销： 输 输出示例 ： 2.5. CLI 配置文件 CLI 配置文件会永久存储 oc 选项，并包含一系列与 nicknames 相关的 身份验证机制 和 OpenShift Container Platform 服务器连接信息。 如上一节中所述，oc login 命令会自动创建和管理 CLI 配置文件。通过该命令收集的所有信息都存储在 ~/.kube/config 下的配置文件中。使用以下命令可以查看当前的 CLI