secret 56 2.6.2.6. 创建 Docker 配置 secret 57 2.6.3. 了解如何更新 secret 58 2.6.4. 关于将签名证书与 secret 搭配使用 58 2.6.4.1. 生成签名证书以便与 secret 搭配使用 58 2.6.5. secret 故障排除 60 2.7. 创建和使用配置映射 61 2.7.1. 了解配置映射 61 配置映射限制 使用节点污点控制 POD 放置 115 3.7.1. 了解污点和容限 116 3.7.1.1. 了解如何使用容限秒数来延迟 pod 驱除 118 3.7.1.2. 了解如何使用多个污点 119 3.7.1.3. 了解 pod 调度和节点状况（根据状况保留节点） 120 3.7.1.4. 了解根据状况驱除 pod（基于垃圾的驱除） 120 3.7.1.5. 容限所有污点 121 121 3.7.2. 添加污点和容限 121 3.7.2.1. 使用机器集添加污点和容限 123 3.7.2.2. 使用污点和容限将用户绑定到节点 125 3.7.2.3. 使用节点选择器和容限创建项目 125 3.7.2.4. 使用污点和容限控制具有特殊硬件的节点 126 3.7.3. 删除污点和容限 127 3.8. 使用节点选择器将 POD 放置到特定节点 128 3

secret 71 2.6.2.6. 创建 Docker 配置 secret 72 2.6.3. 了解如何更新 secret 74 2.6.4. 关于将签名证书与 secret 搭配使用 74 2.6.4.1. 生成签名证书以便与 secret 搭配使用 75 2.6.5. secret 故障排除 78 2.7. 创建和使用配置映射 78 2.7.1. 了解配置映射 79 配置映射限制 使用节点污点控制 POD 放置 151 3.6.1. 了解污点和容限 151 3.6.1.1. 了解如何使用容限秒数来延迟 pod 驱除 155 3.6.1.2. 了解如何使用多个污点 155 3.6.1.3. 了解 pod 调度和节点状况（根据状况保留节点） 157 3.6.1.4. 了解根据状况驱除 pod（基于垃圾的驱除） 158 3.6.1.5. 容限所有污点 159 159 3.6.2. 添加污点和容限 160 3.6.2.1. 使用机器集添加污点和容限 162 3.6.2.2. 使用污点和容限将用户绑定到节点 164 3.6.2.3. 使用污点和容限控制具有特殊硬件的节点 165 3.6.3. 删除污点和容限 166 3.7. 使用节点选择器将 POD 放置到特定节点 167 3.7.1. 关于节点选择器 167 3.7.2. 使用节点选择器控制

包括一个预配置、预安装和自我更新的监控堆栈，可为核心平台组件提供监控。您还可以选择为用户定义的项目启用监控。 集群管理员可以使用支持的配置对监控堆栈进行配置。OpenShift Container Platform 提供了与监控相关的现成的最佳实践。 其中默认包括一组警报，可立即就集群问题通知管理员。OpenShift Container Platform Web 控制台中的默认仪表板包括集群指标的直观表示，以帮助您快速了解集群状态。使用 user-workload-monitoring-config ConfigMap 对象中称为 prometheus。 #### 2.6. 使用节点选择器移动监控组件 通过将 nodeSelector 约束与标记的节点搭配使用，您可以将任何监控堆栈组件移到特定的节点上。通过这样做，您可以控制集群中监控组件的放置和分发。 通过控制监控组件的放置和分发，您可以根据特定要求或策略优化系统资源使用、提高性能和隔离工作负载。 pod 放置时尝试满足所有现有的限制。也就是说，当 pod 调度程序决定将哪些 pod 放置到哪些节点上时，所有约束都会编译。 因此，如果您配置节点选择器约束，但无法满足现有的约束，pod调度程序无法与所有约束匹配，也不会调度pod放置到节点上。 为保持监控组件的弹性和高可用性，请确保有足够的节点可用，并在配置节点选择器约束以移动组件时匹配所有约束。 ## 其他资源 ● 了解如何更新节点上的标签

accessTokenInactivityTimeout 字段被设置为小于 24h 的值时，会导致 Kibana 中的 401 错误。在这个版本中，Kibana 的 OAuth cookie 过期时间与 accessTokenInactivityTimeout 同步，默认值为 24h。(LOG-3306) ##### 1.1.2. CVE CVE-2016-3709 CVE-2020-35525 RHBA-2022:1377 OpenShift Logging Bug Fix 5.3.6 ##### 1.17.1. 程序错误修复 - 在此次更新之前，定义没有密钥的容限，且现有 Operator 会导致 Operator 无法完成升级。在这个版本中，这个容限不再阻止升级完成。(LOG-2126) - 在此更改前，收集器可能会生成警告，其中块字节限值超过发出的事件。在这个版本中，您可以调整 readline ClusterLogForwarder 自定义资源(CR)实例的 outputDefaults.elasticsearch.structuredTypeKey 没有结构化密钥，则 CR 会将输出 secret 替换为用来与默认日志存储通信的默认 secret。在这个版本中，定义的输出 secret 会被正确使用。(LOG-2046) 1.21.2. CVE 例 1.12. 点击以展开 CVE CVE-2020-36327

MachineAutoscaler • MachineHealthCheck #### 1.1. MACHINE API 概述 Machine API 将基于上游 Cluster API 项目的主要资源与自定义 OpenShift Container Platform 资源相结合。 对于 OpenShift Container Platform 4.14 集群，Machine API 在集群安装完成 replicas 字段来满足您的计算需求。 ## 警告 control plane 机器不能由计算机器集管理。 control plane 机器集为 control plane 机器提供管理功能，与为计算机器提供的计算机器集类似。 如需更多信息，请参阅"管理 control plane 机器"。 以下自定义资源可为集群添加更多功能： ## 机器自动扩展 MachineAutoscaler ClusterAutoscalerOperator 对象提供。 ## 集群自动扩展 此资源基于上游集群自动扩展项目。在 OpenShift Container Platform 实现中，它通过扩展计算机器设置 API 来与 Machine API 集成。您可以使用以下方法使用集群自动扩展来管理集群： - 为内核、节点、内存和 GPU 等资源设置集群范围的扩展限制 - 设置优先级，以便集群对 pod 和新节点进行优先排序，而在不太重要的

secret，该 secret 包含一个用于与 Windows 实例交互的私钥。WMCO 在引导时检查此 secret，并创建一个用户数据 secret，您必须在您创建的 Windows MachineSet 对象中引用该 secret。然后，WMCO 使用与私钥对应的公钥填充用户数据 secret。通过这些数据，集群可以使用 SSH 连接到 Windows 虚拟机。 当集群与 Windows 虚拟机建立连接后，您可以使用类似管理 工作负载调度到 Windows 节点可使用典型的 pod 调度实践，如污点、容限和节点选择器。或者，您也可以使用 RuntimeClass 对象来把 Windows 工作负载与 Linux 工作负载和其他 Windows 版本工作负载进行区分。 #### 3.2. WINDOWS 节点服务 每个 Windows 节点均安装以下与 Windows 相关的服务： |Service|描述| |---|---| OPERATOR 配置 SECRET 要运行 Windows Machine Config Operator（WMCO），您必须在包含私钥的 WMCO 命名空间中创建一个 secret。这需要允许 WMCO 与 Windows 虚拟机（VM）进行通信。 ## 先决条件 - 已使用 Operator Lifecycle Manager（OLM）安装 Windows Machine Config Operator（WMCO）。

缺少某些索引验证。（CVE-2021-3121） - glib：64位平台上 g_bytes_new 功能中的整数溢出，因为隐式多播从 64 位到 32 位(CVE-2021-27219) 以下问题与上述 CVE 相关： BZ#1921650 gogo/protobuf: plugin/unmarshall/unmarshall.go 缺少特定的索引验证 (BZ#1921650) - LOG-1361 (CVE-2020-24750) Jackson-databind: 错误地处理与 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource（CVE-2020-35490）相关的序列化 gadget 和输入之间的交互 Jackson-databind:错误处理与 org.apache.commons.dbcp2.datasources. 关的序列化 gadget 和输入之间的交互 Jackson-databind: 错误处理与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (CVE-2020-35728) Jackson-databind: 错误处理与 oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS

其名称以 Windows Defender 开头的任何进程。这会导致在没有安装 Windows Defender 的实例中为 containerd 创建防火墙排除时会出现错误。在这个版本中，检查是否与 Windows Defender antivirus 服务关联的特定正在运行的进程。因此，WMCO 可以正确地将 Windows 实例配置为节点，无论是否安装了 Windows Defender。（OCPBUGS-3572） CONFIG OPERATOR 的先决条件 以下信息详细介绍了 Windows Machine Config Operator 支持的平台版本、Windows Server 版本和网络配置。有关仅与该平台相关的任何信息请参阅 vSphere 文档。 ##### 2.5.1. WMCO 6 支持的平台和 Windows Server 版本 下表根据适用的平台列出了 WMCO 6.0.0 和 WMCO |裸机或供应商无关|Windows Server 2022，OS Build 20348.681 或更高版本 Windows Server 2019，版本 1809| ##### 2.5.2. 支持的网络 与 OVN-Kubernetes 的混合网络是唯一支持的网络配置。有关此功能的更多信息，请参见下面的其他资源。下表概述了根据您的平台使用的网络配置和 Windows Server 版本类型。安装集群时必

间共享。 ## Fiber频道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 ## FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个节点上在预定义的卷插件路径中安装 FlexVolume 驱动程序二进制文件，并在某些情况下是 control plane 节点。 ## fsGroup fsGroup 密钥加密、解密和重新加密数据。 ## 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 ## NFS 网络文件系统(NFS)允许远程主机通过网络挂载文件系统，并像它们挂载在本地那样与这些文件系统进行交互。这使系统管理员能够将资源整合到网络上的集中式服务器上。 ## OpenShift Data Foundation OpenShift Container Platform 支 ## 基于角色的访问控制 (RBAC) 基于角色的访问控制 (RBAC) 是一种根据您机构中个别用户的角色监管计算机或网络资源的访问方法。 ## 无状态应用程序 无状态应用是一种应用程序，它不会为与客户端进行下一个会话而保持在当前会话中生成的客户端数据。 ## 有状态应用程序 有状态应用是一种应用程序，它会将数据保存到持久磁盘存储中。服务器、客户端和应用程序可以使用持久磁盘存储。您可以使用 OpenShift

其他资源 ..... 6 ## 第 1 章 在基础架构节点上运行 GITOPS CONTROL PLANE 工作负载 对于两个主要目的，您可以使用基础架构节点隔离基础架构工作负载： ● 要防止与订阅数相关的计费成本 ● 单独的维护和管理 您可以使用 OpenShift Container Platform 在基础架构节点上运行 GitOps control plane 工作负载。默认情况下，这包括 工作负载，您可以通过在集群中创建多个隔离的 Argo CD 实例来安全地并声明性地隔离基础架构工作负载，并完全控制 Argo CD 实例的功能。另外，您可以在多个开发人员命名空间中以声明性方式管理这些 Argo CD 实例。通过使用污点，您可以确保只有基础架构组件在这些节点上运行。  可选：在基础架构节点上应用污点并隔离工作负载，并防止其他工作负载调度到这些节点上。 $ oc adm taint nodes -l node-role.kubernetes.io/infra infra=reserved:NoSchedule infra=reserved:NoExecute 5. 可选：如果您将污点应用到节点，您可以在 GitOpsService CR 中添加容限： spec: -