自定义节点 17.1.1. 添加 day-1 内核参数 17.1.2. 在节点中添加内核模块 17.1.2.1. 构建并测试内核模块容器 17.1.2.2. 为 OpenShift Container Platform 置备内核模块 17.1.2.2.1. 通过 MachineConfig 对象置备内核模块 17.1.3. 在安装过程中加密磁盘 17.1.3.1. 启用 TPM v2 磁盘加密 不是所有安装选项都支持所有平台，如下表所示。 表 表 2.1. 安装程序置 安装程序置备 备的基 的基础 础架 架构选项 构选项 AWS Azure GCP Open Stack RHV 裸机 裸机 vSphe re VMC IBM Z IBM Power 默认 X X X X X X X Custo m X X X X X X X 网络自 定义 X X X X X AWS Azure GCP Open Stack RHV 裸机 裸机 vSphe re VMC IBM Z IBM Power 表 表 2.2. 用 用户 户置 置备 备的基 的基础 础架 架构 构 AWS Azure GCP Open Stack RHV 裸机 裸机 vSphe re VMC IBM Z IBM Power Custo m X X X X X X X X

指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY 模块 1.21. 使用 3SCALE ISTIO 适配器 1.22. 服务网格故障排除 1.23. ENVOY 代理故障排除 1.24. SERVICE MESH CONTROL PLANE 配置参考 OpenShift Service Mesh 通过在应用程序中创建集中控制点来解决微服务架构中的各种问题。它 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 来解决这些架构问题，并可修改、重定向或创建新请求到其他服务。 3scale API 管理解决方案的可选集成。对于 2.1 之前的版本，这个集成 是通过 3scale Istio 适配器实现的。对于 2.1 版本，3scale 集成通过 WebAssembly 模块实现。 有关如何安装 3scale 适配器的详情，请参考 3scale Istio 适配器文档 1.3.3. 了解 Kiali Kiali 通过显示服务网格中的微服务服务以及连接方式，为您提供了一个可视性的服务网格概述。

Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in Process 加密库。 注意 Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证 的/Modules in Process 加密库。 Red Hat 0:co re0.example.com:enp1s0:none nameserver=4.4.4.41 通过指定多个 ip= 条目来指定多个网络接口。 ip=10.10.10.2::10.10.10.254:255.255.255.0:co re0.example.com:enp1s0:none ip=10.10.10.3::10.10.10.254:255.255.255.0:co re0.example

备更新集群 更新集群 2.1. 准备升级到 OPENSHIFT CONTAINER PLATFORM 4.14 2.2. 准备使用手动维护的凭证更新集群 2.3. PREFLIGHT 验证内核模块管理 (KMM) 模块 第 第 3 章 章 执 执行集群更新 行集群更新 3.1. 使用 CLI 更新集群 3.2. 使用 WEB 控制台更新集群 3.3. 执行 EUS 到 EUS 更新 3.4. 执行 CANARY 级。 2.3. PREFLIGHT 验证内核模块管理 (KMM) 模块 在应用 KMM 模块的集群中执行升级前，管理员必须在集群升级和可能的内核升级后验证使用 KMM 安装 的内核模块是否可以在节点上安装。preflight 会尝试并行验证集群中载入的每个模 模块 块。在启动一个模 模块 块的 验证前，preflight 并不会等待一个模 模块 块的验证过程完成。 2.3.1. 启动验证 preflight 验证会尝试验证集群中载入的每个模块。preflight 会在验证成功后停止在 模 模块 块 资源上运行验 证。如果模块验证失败，您可以更改模块定义，而 Preflight 将尝试在下一个循环中再次验证模块。 如果要为附加内核运行 Preflight 验证，则应该为该内核创建另一个 PreflightValidationOCP 资源。验证 所有模块后，建议删除 PreflightValidationOCP

差通常小于一 秒。 允许页面缓存共 享。 没有兼容 POSIX。 第 第 5 章 章 优 优化持久性存 化持久性存储 储 21 设备映射器精简调配 使用 LVM、设备映射器 和 dm-thinp 内核模块。 它与一个原始分区（没有 文件系统）删除回环设备 不同。 负载和高密度方 面具有可测量的 性能优势。 它为每个容器提 供容量限制（默 认为 10G）。 您必须有一个专 用的分区。 默认情况下，在 Enterprise Linux(RHEL)中 不会设置它。 所有容器和镜像 共享相同的容量 池。在销毁和重 新创建池的情况 下无法调整它的 大小。 设备映射器 loop-lvm 使用设备映射器精简配置 模块(dm-thin-pool)实施 写时复制(CoW)快照。对 于每个设备映射器图形位 置，基于两个块设备创建 精简池，一个用于数据， 另一个用于元数据。默认 情况下，这些块设备是使 用自动创建稀疏文件的环 ROUTER_THREADS unset ROUTER_THREADS=4 none 23681 24327 edge 14981 22768 passthrough 34358 34331 re-encrypt 13288 24605 在 HTTP 关闭（无 keep-alive）情境中： Encryption ROUTER_THREADS unset ROUTER_THREADS=4

选项以及相关部分的 链接。 表 表 2.1. 安装程序置 安装程序置备 备的基 的基础 础架 架构选项 构选项 AWS Azure GCP RHOS P RHV 裸机 裸机 vSphe re VMC IBM Z IBM Power 默认 ✓ ✓ ✓ ✓ ✓ ✓ ✓ Custo m ✓ ✓ ✓ ✓ ✓ ✓ ✓ 网络自 定义 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ AWS Azure GCP RHOS P RHV 裸机 裸机 vSphe re VMC IBM Z IBM Power 表 表 2.2. 用 用户 户置 置备 备的基 的基础 础架 架构 构 AW S Azu re GC P RH OS P SR- IOV 上的 上的 RH OS P RH V 裸机 裸机 vSp her e Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in Process 加密库。 注意

✓ ✓ ✓ ✓ ✓ Cu sto m ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ 网 络 自 定 义 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ Re stri cte d net wo rk ✓ ✓ ✓ ✓ ✓ ✓ ✓ 私 有 集 群 ✓ ✓ ✓ ✓ 现 有 的 ✓ ✓ ✓ ✓ 网 络 自 定 义 ✓ ✓ ✓ ✓ ✓ OpenShift Container Platform 4.10 安装 安装 18 Re str ict ed ne tw or k ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ 在 集 群 项 目 外 托 管 共 享 V P C ✓ Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 装程序。有关在 RHEL 中配置

备它 它 19 Al ib a b a A W S (6 4 位 位 x8 6) A W S (6 4 位 位 A R M ) A zu re (6 4 位 位 x8 6) A zu re (6 4 位 位 A R M ) A zu re St ac k H u b G C P N ut an ix R H O S P R H V 裸 裸 机 机 (6 4 位 位 x8 6) Al ib a b a A W S (6 4 位 位 x8 6) A W S (6 4 位 位 A R M ) A zu re (6 4 位 位 x8 6) A zu re (6 4 位 位 A R M ) A zu re St ac k H u b G C P N ut an ix R H O S P R H V 裸 裸 机 机 (6 4 位 位 x8 6) 个可用域中提供一个子网。 有效 AWS 可用区的列表，如 us-east-1c，以 YAML 序列表示。 第 第 6 章 章 在 在 AWS 上安装 上安装 227 compute.aws.re gion 安装程序在其中创建计算资源 的 AWS 区域。 任何有效的 AWS 区域，如 us-east-1。您可以使用 AWS CLI 访问您选择的实例类型可用的区域。例如： 重要 重要 在基于

C us to m ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ 网 络 自 定 义 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ Re str ict ed ne tw or k ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ 私 有 集 群 ✓ ✓ ✓ ✓ ✓ ✓ ✓ 备它 它 21 Al ib a b a A W S (6 4 位 位 x8 6) A W S (6 4 位 位 A R M ) A zu re (6 4 位 位 x8 6) A zu re (6 4 位 位 A R M ) A zu re St ac k H u b G C P (6 4 位 位 x8 6) G C P (6 4 位 位 A R M ) N ut an ix R Platform 4.14 安装 安装 76 mirror.operators.catalog 包括在镜像集中的 Operator 目录。 字符串.例 如：registry.red hat.io/redhat/re dhat-operator- index:v4.14。 mirror.operators.full 为 true 时，下载完整的目录、Operator 软件包或 Operator 频道。 布尔值

7. 使用 NFD TOPOLOGY UPDATER 第 第 4 章 章 内核模 内核模块 块管理 管理 OPERATOR 4.1. 关于内核模块管理 OPERATOR 4.2. 安装内核模块管理 OPERATOR 4.3. 内核模块部署 4.4. 使用 MODULELOADER 镜像 4.5. 使用内核模块管理 (KMM) 的签名 4.6. 为 SECUREBOOT 添加密钥 4.7. 签名预构建驱动程序容器 镜像包含通常作为构建或安装内核模块的依赖项所需的内核软件 包，以及驱动程序容器所需的一些工具。这些软件包的版本将与相应 OpenShift Container Platform 发行 版本中 RHCOS 节点上运行的内核版本匹配。 驱动程序容器是容器镜像，用于在容器操作系统（如 Red Hat Enterprise Linux CoreOS (RHCOS)）上构 建和部署树外内核模块和驱动程序。内核模块和驱动程序是 运行的软件 库。它们扩展了内核功能，或者提供控制新设备所需的硬件特定代码。例如，硬件设备，如现场可编程阵 列 (FPGA) 或图形处理单元(GPU)，以及软件定义的存储解决方案（客户端机器上需要内核模块）。驱动 程序容器是用于在 OpenShift Container Platform 部署中启用这些技术的软件堆栈的第一层。 第 第 1 章 章 关于 关于专 专用硬件和 用硬件和驱动 驱动程序 程序启