#### 1.1. 关于此版本 Red Hat OpenShift Container Platform（RHBA-2020:4196）现已正式发布。此发行版本使用Kubernetes 1.19 和 CRI-O 运行时。OpenShift Container Platform 4.6 的新功能、改变以及已知的问题包括在此文档中。 红帽没有公开发布 OpenShift Container Platform 将原始容器镜像存储库映射到镜像（mirror）的新位置，通常是在断开连接的环境中。当对集群应用新的或修改的 In-Circuit Serial Programming（ICSP）时，它将转换为 CRI-O 的配置文件并放在每个节点中。将配置文件放在节点的过程包括重新引导该节点。 在这个版本中，oc adm catalog mirror 增加了 --icsp-scope 标志。范围可以是 registry 节点。OpenShift Container Platform 4.6 中的 RT 内核不支持紧凑集群。(BZ#1887007) - 要提高安全性，NET RAW 和 SYS CHROOT 功能在默认 CRI-O 功能列表中不再可用。 NET RAW：如果没有保护，此功能可让 Pod 生成可以更改标头字段（如低端口、源 IP 地址和源 MAC 地址）的数据包。这个功能可能会被恶意攻击者利用。 ☐ SYS

Ignition, OpenShift Container Platform 将其用作首次启动系统配置来进行机器的初次上线和配置。 - CRI-O，Kubernetes 的原生容器运行时实现，可与操作系统紧密集成来提供高效和优化的 Kubernetes 体验。CRI-O，提供用于运行、停止和重启容器的工具。它完全取代了 OpenShift Container Platform 3 中使用的 Docker Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行时。 OpenShift Container Platform 4.2 集群中的每一 control plane 机器都必须使用 RHCOS，其中包括一个关键的首次启动置备工具，称为 Kubernetes 用户请求的实际工作负载的地方。worker 节点公告其容量，而作为 master 服务一部分的调度程序决定在哪些节点上启动容器和 Pod。重要服务在每个 worker 节点上运行，包括 CRI-O（即容器引擎）、Kubelet（接受并履行运行和停止容器工作负载请求的服务），以及服务代理（管理 worker 之间 Pod 的通信）。 在 OpenShift Container Platform

Ignition, OpenShift Container Platform 将其用作首次启动系统配置来进行机器的初次上线和配置。 CRI-O，Kubernetes 的原生容器运行时实现，可与操作系统紧密集成来提供高效和优化的 Kubernetes 体验。CRI-O，提供用于运行、停止和重启容器的工具。它完全取代了 OpenShift Container Platform 3 中使用的 Docker Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行时。 OpenShift Container Platform 4.7 集群中的每一 control plane 机器都必须使用 RHCOS，其中包括一个关键的首次启动置备工具，称为 Kubernetes 用户请求的实际工作负载的地方。worker 节点公告其容量，而作为 master 服务一部分的调度程序决定在哪些节点上启动容器和 pod。重要服务在每个 worker 节点上运行，包括 CRI-O（即容器引擎）、Kubelet（接受并履行运行和停止容器工作负载请求的服务），以及服务代理（管理 worker 之间 Pod 的通信）。 在 OpenShift Container Platform

Ignition, OpenShift Container Platform 将其用作首次启动系统配置来进行机器的初次上线和配置。 - CRI-O，Kubernetes 的原生容器运行时实现，可与操作系统紧密集成来提供高效和优化的 Kubernetes 体验。CRI-O，提供用于运行、停止和重启容器的工具。它完全取代了 OpenShift Container Platform 3 中使用的 Docker Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行时。 OpenShift Container Platform 4.3 集群中的每一 control plane 机器都必须使用 RHCOS，其中包括一个关键的首次启动置备工具，称为 Kubernetes 用户请求的实际工作负载的地方。worker 节点公告其容量，而作为 master 服务一部分的调度程序决定在哪些节点上启动容器和 Pod。重要服务在每个 worker 节点上运行，包括 CRI-O（即容器引擎）、Kubelet（接受并履行运行和停止容器工作负载请求的服务），以及服务代理（管理 worker 之间 Pod 的通信）。 在 OpenShift Container Platform

control plane（控制平面） 一个容器编配层，用于公开 API 和接口来定义、部署和管理容器的生命周期。control plane 也称为 control plane 机器。 ## CRI-O Kubernetes 原生容器运行时实现，可与操作系统集成以提供高效的 Kubernetes 体验。 ## 部署 维护应用程序生命周期的 Kubernetes 资源对象。 ## Docker Ignition, OpenShift Container Platform 将其用作首次启动系统配置来进行机器的初次上线和配置。 CRI-O，Kubernetes 的原生容器运行时实现，可与操作系统紧密集成来提供高效和优化的 Kubernetes 体验。CRI-O，提供用于运行、停止和重启容器的工具。它完全取代了 OpenShift Container Platform 3 中使用的 Docker Linux (RHEL) 的不可变容器主机版本，具有默认启用 SELinux 的 RHEL 内核。它包括作为 Kubernetes 节点代理的 kubelet，以及为 Kubernetes 优化的 CRI-O 容器运行时。 OpenShift Container Platform 4.10 集群中的每一 control plane 机器都必须使用 RHCOS，其中包括一个关键的首次启动置备工具，称为

第 2 章 推荐的安装实践 #### 2.1. 预安装依赖项 节点主机将访问网络来安装任何 RPM 依赖项，如 atomic-openshift- $ ^{*} $ 、iptables 和 CRI-O 或 Docker。预安装这些依赖关系，创建更高效的安装，因为仅在需要时访问 RPM，而不是在安装过程中每个主机执行多次。 对于无法访问 registry 以进行安全目的的计算机也很有用。 #### 上的资源争用、浪费网络带宽并增加 pod 启动时间，这可能会出现问题。 构建预部署的镜像： ● 创建所需类型和大小的实例。 - 确保专用的存储设备可用于 CRI-O 或 Docker 本地镜像或容器存储，并独立于容器的任何持久性卷。 ● 完全更新系统，并确保安装了 CRI-O 或 Docker。 ● 确保主机有权访问所有 yum 存储库。 - 设置精简配置的 LVM 存储。 - 将常用的镜像（如 rheI7 存储驱动程序。但是，如果您已在生产环境中使用设备映射器，红帽强烈建议您对容器镜像和容器根文件系统使用精简配置。否则，始终将 overlayfs2 用于 Docker 引擎，或将 overlayFS 用于 CRI-O。 使用循环设备可能会影响性能。虽然您仍可以继续使用它，但会记录以下警告信息： devmapper: Usage of loopback devices is strongly discouraged

|系统容器|由 Red Hat Enterprise Linux CoreOS 替代。| |projectatomic/docker-1.13 additional search registries|CRI-O is the default container runtime for OpenShift Container Platform 4.x on RHCOS and Red Hat Enterprise 技术预览 |功能|OCP 3.11|OCP 4.1| |---|---|---| |Prometheus Cluster Monitoring|GA|GA| |本地存储持久卷|TP|TP| |CRI-O for runtime pods|GA* $ ^{\[a]} $|GA| |Tenant Driven Snapshotting|TP|TP| |OC CLI Plug-ins|TP|TP| |Service |StatefulSets|GA|GA| |Explicit Quota|GA|GA| |Mount Options|GA|GA| |System Containers for Docker, CRI-O|\-|\-| |Hawkular Agent|\-|\-| |Pod PreSets|\-|\-| |experimental-qos-reserved|TP|TP| |Pod sysctls|

该镜像文件镜像到文件系统中，然后将该主机或者可移动介质放入受限环境中。这个过程被称为断开连接的镜像。 对于已镜像的 registry，若要查看拉取镜像的来源，您必须查看 Trying 以访问 CRI-O 日志中的日志条目。查看镜像拉取源的其他方法（如在节点上使用 crictl images 命令）显示非镜像镜像名称，即使镜像是从镜像位置拉取的。  ## 注意 红帽没有针对 OpenShift Container Platform 测试第三方 registry。 ## 附加信息 有关查看 CRI-O 日志以查看镜像源的详情，请参阅查看镜像拉取源。 ##### 3.1.1. 准备镜像主机 在创建镜像 registry 前，您必须准备镜像（mirror）主机。 ##### 3.1.2. 通过下载二进制文件安装 /etc/passwd）应用更改时，可能会造成这些文件被意料外的用户修改，并可能会导致容器或主机被暴露。CRI-O 支持将任意用户 ID 插入容器的 /etc/passwd 文件中。因此，不需要更改权限。 此外，/etc/passwd 文件不应存在于任何容器镜像中。如果这样做，CRI-O 容器运行时将无法将随机 UID 注入 /etc/passwd 文件。在这种情况下，容器可能会在解决活跃 UID

实现还没有提供一个单一的计算哈希函数和验证基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中，将继续评估并改进这个限制。CRI-O 运行时支持 FIPS。OpenShift Container Platform 服务支持 FIPS。FIPS 验证的/Modules 件系统，如自定义节点中所述。 ##### 2.2.3. 运行时 要确保容器知道它们在使用 FIPS 验证的/Modules in Process 加密模块的主机上运行，请使用 CRI-O 管理您的运行时。CRI-O 支持 FIPS 模式，它将容器配置为知道它们是在 FIPS 模式下运行的。 #### 2.3. 在 FIPS 模式下安装集群 要使用 FIPS 模式安装集群，请按照在相应的基础

孵化（incubating）：同沙箱流程，所有的例外情况（包括拒绝）均由 TOC 来处理。目前该阶段的项目有 Argo、Buildpacks、CloudEvents、CNI、Contour、Cortex、CRI-O、Dragonfly、Falco、gRPC、KubeEdge、Linkerd、NATS、Notary、Open Policy Agent、OpenTracing、Operator Framewor -sdk|Go|2019.98|487|6808|686|1213|7894| |12|etcd-io/etcd|Go|1568.26|617|4293|313|539|788| |13|cri-o/cri-o|Go|1448.69|256|36343|194|1210|2069| |14|linkerd/linkerd2|Go|1433.24|396|4976|570|843|2513| |15