AUTOSCALER OPERATOR 6.6. CLUSTER CLOUD CONTROLLER MANAGER OPERATOR 6.7. CLUSTER CAPI OPERATOR 6.8. CLUSTER CONFIG OPERATOR 6.9. CLUSTER CSI SNAPSHOT CONTROLLER OPERATOR 6.10. CLUSTER IMAGE REGISTRY OPERATOR INGRESS OPERATOR 6.22. INSIGHTS OPERATOR 6.23. KUBERNETES API SERVER OPERATOR 6.24. KUBERNETES CONTROLLER MANAGER OPERATOR 6.25. KUBERNETES SCHEDULER OPERATOR 6.26. KUBERNETES STORAGE VERSION MIGRATOR MARKETPLACE OPERATOR 6.30. NODE TUNING OPERATOR 6.31. OPENSHIFT API SERVER OPERATOR 6.32. OPENSHIFT CONTROLLER MANAGER OPERATOR 6.33. OPERATOR LIFECYCLE MANAGER OPERATORS 6.34. OPENSHIFT SERVICE CA OPERATOR

本地 RBAC 作用于特定项目的角色和绑定。虽然本地角色只存在于单个项目中，但本地角色绑定可 以同时引用集群和本地角色。 集群角色绑定是存在于集群级别的绑定。角色绑定存在于项目级别。集群角色 view 必须使用本地角色绑 定来绑定到用户，以便该用户能够查看项目。只有集群角色不提供特定情形所需的权限集合时才应创建本 地角色。 这种双级分级结构允许通过集群角色在多个项目间重复使用，同时允许通过本地角色在个别项目中自定 cluster-reader 用户可以获取或查看大多数对象，但不能修改它们。 edit 此用户可以修改项目中大多数对象，但无权查看或修改角色或绑定。 self-provisioner 此用户可以创建自己的项目。 view 此用户无法进行任何修改，但可以查看项目中的大多数对象。不能查看或修改角色或绑 定。 请注意本地和集群绑定之间的区别。例如，如果使用本地角色绑定将 cluster-admin 角色绑定到一个用 system:admin 的集群角色那样在集群范围绑定。 集群角色是在集群级别定义的角色，但可在集群级别或项目级别进行绑定。 8.1.2.1. 集群角色聚合 集群角色聚合 默认的 admin、edit、view 和 cluster-reader 集群角色支持集群角色聚合，其中每个角色的集群规则可在 创建了新规则时动态更新。只有通过创建自定义资源扩展 Kubernetes API 时，此功能才有意义。 8

. . . . . . . . . . . . . . . . . . . . . . 第 第 8 章 章 安全策略 安全策略 8.1. 关于工作负载安全性 8.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 8.3. 授权 8.4. 其他资源 第 第 9 章 章 使用 使用 VIRTCTL plane 创建资源，如守护进程集、配置映射和其他组件。 例如，当 hco-operator 创建 KubeVirt CR 时，virt-operator 会协调它并创建其他资源，如 virt- controller、virt-handler 和 virt-api。 OLM 部署 hostpath-provisioner-operator，但在创建 hostpath provisioner (HPP)CR webhook 的 TLS 证书。 OpenShift Container Platform 4.13 虚 虚拟 拟化 化 10 deployment/kubemacpool-mac-controller- manager 为虚拟机(VM)网络接口卡(NIC)提供 MAC 地址池服 务。 daemonset/bridge-marker 将节点上可用的网络桥接标记为节点资源。 daemo

监控更新状态 5.5. 其他资源 第 第 6 章 章 为 为 KUBEVIRT-CONTROLLER 和 和 VIRT-LAUNCHER 授予 授予额 额外的安全 外的安全权 权限 限 6.1. 为 VIRT-LAUNCHER POD 扩展 SELINUX 策略 6.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 pod 因为是 Unschedulable 而处于 pending 状态。 15 分 分钟 钟 如果 pod 因任何原因处于 pending 状态。 当 VMI 无法迁移时，virt-controller 会尝试再次迁移它。它会重复这个过程，直到所有可可迁移的 VMI 在新的 virt-launcher Pod 上运行。如果 VMI 没有被正确配置，这些尝试可能会无限期重复。 注意 注意 --all-namespaces OpenShift Container Platform 4.10 虚 虚拟 拟化 化 38 第 6 章 为 KUBEVIRT-CONTROLLER 和 VIRT-LAUNCHER 授予 额外的安全权限 kubevirt-controller 和 virt-launcher pod 会被授予一些 SELinux 策略和安全上下文约束（除了典型的 pod 拥有者之外）的权限。这些权限可让虚拟机使用

(9 days old) in imagestream "openshift/php" under tag "7.2" for "php" ... Run 'oc status' to view your app. $ oc get pods -o wide NAME READY STATUS RESTARTS AGE IP 尚不存在）。如果您已经登录，并希望切换到当前用户已有 权访问的另一个项目，请使用 oc project 命令并输入项目名称： 输 输出示例 出示例 在任何时候，您可以使用 oc config view 命令查看当前的 CLI 配置，如输出中所示。其他 CLI 配置命令 也可用于更高级的用法。 注意 注意 如果您可以访问管理员凭证，但不再作为默认系统用户 system:admin 登录，只要仍存在 键。 是要设置的新值。 unset 在 CLI 配置文件中取消设置单个值。 是一个以点分隔的名称，每个令牌代表属性名称或映射键。 view 显示当前正在使用的合并 CLI 配置。 显示指定 CLI 配置文件的结果。 子命令 子命令 使用方法 使用方法 用法示例 用法示例 以使用访问令牌的用户身份登录。alice 用户使用此令牌：

(9 days old) in imagestream "openshift/php" under tag "7.2" for "php" ... Run 'oc status' to view your app. OpenShift Container Platform 4.13 CLI 工具 工具 12 注意 注意 当您在 pod 中运行 oc 且没有指定命名空间时，默认使用 "https://openshift1.example.com:8443". 第 第 2 章 章 OPENSHIFT CLI (OC) 19 输 输出示例 出示例 在任何时候，您可以使用 oc config view 命令查看当前的 CLI 配置，如输出中所示。其他 CLI 配置命令 也可用于更高级的用法。 注意 注意 如果您可以访问管理员凭证，但不再作为默认系统用户 system:admin 登录，只要仍存在 键。 是要设置的新值。 unset 在 CLI 配置文件中取消设置单个值。 是一个以点分隔的名称，每个令牌代表属性名称或映射键。 view 显示当前正在使用的合并 CLI 配置。 显示指定 CLI 配置文件的结果。 子命令 子命令 使用方法 使用方法 用法示例 用法示例 以使用访问令牌的用户身份登录。alice 用户使用此令牌：

(9 days old) in imagestream "openshift/php" under tag "7.2" for "php" ... Run 'oc status' to view your app. $ oc get pods -o wide NAME READY STATUS RESTARTS AGE IP 尚不存在）。如果您已经登录，并希望切换到当前用户已有 权访问的另一个项目，请使用 oc project 命令并输入项目名称： 输 输出示例 出示例 在任何时候，您可以使用 oc config view 命令查看当前的 CLI 配置，如输出中所示。其他 CLI 配置命令 也可用于更高级的用法。 注意 注意 如果您可以访问管理员凭证，但不再作为默认系统用户 system:admin 登录，只要仍存在 键。 是要设置的新值。 unset 在 CLI 配置文件中取消设置单个值。 是一个以点分隔的名称，每个令牌代表属性名称或映射键。 view 显示当前正在使用的合并 CLI 配置。 显示指定 CLI 配置文件的结果。 子命令 子命令 使用方法 使用方法 用法示例 用法示例 以使用访问令牌的用户身份登录。alice 用户使用此令牌：

Kubelets Kubernetes API 服务器 Kubernetes 控制器管理器 Kubernetes 调度程序 OpenShift API 服务器 OpenShift Controller Manager Operator Lifecycle Manager (OLM) 注意 注意 每个 OpenShift Container Platform 组件负责自己的监控配置。对于 Platform 4.10 监 监控 控 62 集群管理员可以授予开发人员和其他用户权限来监控他们自己的项目。通过分配以下监控角色中的一个即 可授予权限： monitoring-rules-view 集群角色提供对项目的 PrometheusRule 自定义资源的读取访问权限。 monitoring-rules-edit 集群角色授予用户权限来为项目创建、修改和删除 PrometheusRule 重要 监控角色将绑定到您在 Namespace 字段中应用的项目。您使用此流程向用户授予 的权限将只应用于所选项目。 5. 在 Role Name 列表中选择 monitoring-rules-view、monitoring-rules-edit 或 monitoring- edit。 6. 在 Subject 部分，选择 User。 第 第 5 章 章 为 为用 用户 户定 定义 义的 的项

InventoryService.Tagging.E ditCategory InventoryService.Tagging.E ditTag Sessions.ValidateSession StorageProfile.View vSphere vCenter Cluster Always Host.Config.Storage Resource.AssignVMToPool VApp.AssignResourcePool InventoryService.Tagging.E ditCategory InventoryService.Tagging.E ditTag Sessions.ValidateSession StorageProfile.View vSphere vCenter Cluster Always Host.Config.Storage Resource.AssignVMToPool VApp.AssignResourcePool InventoryService.Tagging.E ditCategory InventoryService.Tagging.E ditTag Sessions.ValidateSession StorageProfile.View vSphere vCenter Cluster Always Host.Config.Storage Resource.AssignVMToPool VApp.AssignResourcePool

22.6. 在您自己的基础架构上带有 KURYR 的 OPENSTACK 上安装集群 22.7. 在受限网络中的 OPENSTACK 上安装集群 22.8. OPENSTACK CLOUD CONTROLLER MANAGER 参考指南 22.9. 在 OPENSTACK 上卸载集群 22.10. 从您自己的基础架构中卸载 RHOSP 上的集群 第 第 23 章 章 在 在 RHV 上安装 上安装 Snapshot Controller Operator 为 CSISnapshot 功能提供功能。 Cluster CSI Snapshot Controller Operator 安装和维护 CSI Snapshot Controller。CSI Snapshot 第 第 3 章 章 集群功能 集群功能 25 Cluster CSI Snapshot Controller Operator Operator 安装和维护 CSI Snapshot Controller。CSI Snapshot Controller 负责监视 VolumeSnapshot CRD 对象，并管理卷快照的创建和删除生命周期。 其他 其他资 资源 源 CSI 卷快照 3.2.5. Insights 功能 用途 用途 Insights Operator 为 Insights 功能提供功能。 Insights Operator