相同的扩展。 fast 和 stable 频道中发行版本的唯一区别在于，一个发行版本仅会在出现在 fast 频道一段时间 后才会出现在 stable 频道中，这样做可以有更长的时间来发行在更新中可能存在的风险。 在这个延迟后，fast 频道中可用的发行版本始终在 stable 频道中可用。 如果一个更新被支持但不推荐使用意味着什么？ 如果一个更新被支持但不推荐使用意味着什么？ 红帽会持续评估来自多 确定了问题，用户可能不再建议更新路径。但是，即使不推荐更新路径，如果客户执行了更新， 仍然被支持。 红帽不会阻止用户升级到特定版本。红帽可能会声明条件更新风险，这些风险可能不适用于特定 集群。 声明的风险提供有关受支持更新的更多上下文。集群管理员仍可接受该特定目标版本的风险 和更新。虽然在条件风险上下文中不推荐使用这个更新。 如果特定版本的更新不再被推荐意味着什么？ 如果特定版本的更新不再被推荐意味着什么？ 如果因为回 资源中维护此信息，请参 阅"更新可用性评估"部分。 您可以使用以下命令检查所有可用更新： 注意 注意 额外的 --include-not-recommended 参数包括可用的更新，但不推荐因为应用到 集群的已知风险而不建议这样做。 输出示例 出示例 oc adm upgrade 命令查询 ClusterVersion 资源以获取可用更新的信息，并以人类可读格式显示 它。 直接检查 CVO 创建的底层可用性数据的一种方法是，使用以下命令查询

1.1.4. 镜像流限值 7.3.1.1.5. 持久性卷声明（PVC）限制 7.3.2. 创建限制范围 7.3.3. 查看限制 7.3.4. 删除限制范围 7.4. 配置集群内存以满足容器内存和风险要求 7.4.1. 了解管理应用程序内存 7.4.1.1. 管理应用程序内存策略 7.4.2. 了解 OpenShift Container Platform 的 OpenJDK 设置 7.4 permissive 模式会有助于调试。 nosmt：在内核中禁用对称多线程 (SMT)。多线程允许每个 CPU 有多个逻辑线程。您可以在多租 户环境中考虑使用 nosmt，以减少潜在的跨线程攻击风险。禁用 SMT 在本质上相当于选择安全 性而非性能。 如需内核参数的列表和描述，请参阅 Kernel.org 内核参数。 在以下流程中，您要创建一个用于标识以下内容的 MachineConfig 14s 第 第 6 章 章 操作容器 操作容器 293 1 1 警告 警告 由于其不安全特性，使用不安全 由于其不安全特性，使用不安全 sysctl 的 的风险 风险由您自行承担，而且可能会造成 由您自行承担，而且可能会造成严 严 重 重问题 问题，例如容器行 ，例如容器行为 为不当、 不当、资 资源短缺或 源短缺或节 节点受 点受损 损。 。

1.1.4. 镜像流限值 7.3.1.1.5. 持久性卷声明（PVC）限制 7.3.2. 创建限制范围 7.3.3. 查看限制 7.3.4. 删除限制范围 7.4. 配置集群内存以满足容器内存和风险要求 7.4.1. 了解管理应用程序内存 7.4.1.1. 管理应用程序内存策略 7.4.2. 了解 OpenShift Container Platform 的 OpenJDK 设置 7.4 许每个 每个 CPU 有多个 有多个逻辑线 逻辑线程。您可以在 程。您可以在 多租 多租户环 户环境中考 境中考虑 虑使用 使用 nosmt，以 ，以减 减少潜在的跨 少潜在的跨线 线程攻 程攻击风险 击风险。禁用 。禁用 SMT 在本 在本质 质上相当于 上相当于选择 选择 安全性而非性能。 安全性而非性能。 如需内核参数的列表和描述， 如需内核参数的列表和描述，请 请参 用来控制特定的需求，如高性能或实时应 实时应用程序 用程序调 调整。 整。 警告 警告 由于其不安全特性，使用不安全 由于其不安全特性，使用不安全 sysctl 的 的风险 风险由您自行承担，而且可能会造成 由您自行承担，而且可能会造成严 严 重 重问题 问题，例如容器行 ，例如容器行为 为不当、 不当、资 资源短缺或 源短缺或节 节点受 点受损 损。 。

其工作负载能够在没有修改的系统 SecurityContextConstraint 资源的情况下运行。 (OCPBUGS-19465) 在以前的版本中，当决定首先评估的条件更新风险时，Cluster Version Operator 不会优先选择目 标。现在，对于没有应用风险的条件更新，这些更新会在 Cluster Version Operator 检测后更快 可用。(OCPBUGS-5469) 第 第 1 章 章 OPENSHIFT Platform 4.1 升级到 4.14 的集群的集群管理员，您可以撤销 或继续允许未经身份验证的访问。除非对未经身份验证的访问有特殊需要，否则您应该撤销它。 如果您继续允许未经身份验证的访问，请注意相关的风险。 警告 警告 如果您的应用程序依赖未经身份验证的访问，在撤销了未经身份验证的访问 后可能会收到 HTTP 403 错误。 使用以下脚本撤销对发现端点的未经身份验证的访问： 此脚本从以下集群角色绑定中删除未经身份验证的对象： Version Operator (CVO) 持续检索更新建议，并根据当前集群状态评 估已知的条件更新风险。CVO 更改会导致风险评估失败，以防止 CVO 获取新的更新建议。这个 程序错误会导致 CVO 无法注意到更新建议服务可以改进的风险声明。在这个版本中，CVO 继续 轮询更新建议服务，无论是否成功评估更新风险。(OCPBUGS-26207) 在以前的版本中，对镜像发行版本使用 eus-* 频道会导致使用

如果后续发布了不兼容的更新，则切换到新标签，如 image:v2。这样，下游用户就可以根据需要选择是 否升级到新版本，而不会因为不兼容的新镜像造成问题。下游用户如果使用 image:latest，则可能要承担 引入不兼容更改的风险。 避免多 避免多进 进程 程 不要在同一容器中启动多个服务，如数据库和 SSHD。因为容器是轻量级的，可轻松链接到一起以编排多 个进程，所以没有在同一个容器中启动多个服务的必要。您可以利用 OpenShift Platform 将相 关镜像分组到一个 pod 中来轻松并置和共同管理镜像。 这种并置可确保容器共享一个网络命名空间和存储进行通信。因为对每个镜像的更新频率较低且可以独立 进行，所以更新所可能带来的破坏风险也较小，单一进程的信号处理流程也更加清晰，因为无需管理将信 号路由到多个分散进程的操作。 在 在 wrapper 脚本中使用 脚本中使用 exec 很多镜像在启动正在运行的软件的进程前，会先使用 insecureRegistries 参数时，您 可以在 registry 中指定单独的存储库。例如： reg1.io/myrepo/myapp:latest。 应避免使用不安全的外部 registry，以减少可能的安全性风险。 2. 要检查是否应用了更改，请列出您的节点： 输出示例 出示例 9.2.1. 添加特定的 registry 您可以通过编辑 image.config.openshift.io/cluster

安装期间可以修改控制基础 RHCOS 操作系统的 Kubernetes 和 Ignition 配置文件。但是， 没有可用的验证机制来确认您对这些对象所做修改是适当的。如果修改了这些对象，集群 可能会无法运行。由于存在这种风险，修改 Kubernetes 和 Ignition 配置文件不受支持，除 非您遵循记录的流程或在红帽支持指示下操作。 安装配置文件转换为 Kubernetes 清单，然后清单嵌套到 Ignition Insights 公告标签页 Insights Advisor 选项卡使用 OpenShift Container Platform 的 Remote Health 功能来识别和缓解安全 性、性能、可用性和稳定性风险。请参阅 OpenShift Container Platform 文档中的使用 Insights 发现集群 中的问题。 4.3.5. 机器池标签 如果有足够的可用配额或编辑现有机器池，Machine 负载对象，如 象，如 DaemonSet 和 和 Deployment：如果要将服务或其他用户级别功能 添加到集群中，请考虑将它们添加为 Kubernetes 工作负载对象。为了减少在后续的升级中破坏集 群的风险，在特定节点配置之外应用这些功能是最佳方法。 第 第 2 天自定 天自定义 义配置任 配置任务 务：如果可能，在不对集群节点进行任何自定义配置的情况下启动集群，并 在集群启动后再进行必要的节点更

如果后续发布了不兼容的更新，则需要使用新标签，例如 foo:v2。这样，下游用户就可以根据需要选择是 否升级到新版本，而不会因为不兼容的新镜像造成问题。下游用户如果使用 foo:latest，则可能要承担引 入不兼容更改的风险。 避免多进程 不要在同一容器中启动多个服务，如数据库和 SSHD。因为容器是轻量级的，可轻松链接到一起以编排多 个进程，所以没有在同一个容器中启动多个服务的必要。您可以利用 OpenShift Container Platform 将相 关镜像分组到一个 pod 中来轻松并置和共同管理镜像。 这种并置可确保容器共享一个网络命名空间和存储进行通信。因为对每个镜像的更新频率较低且可以独立 进行，所以更新所可能带来的破坏风险也较小，单一进程的信号处理流程也更加清晰，因为无需管理将信 号路由到多个分散进程的操作。 在 wrapper 脚本中使用 exec 很多镜像在启动正在运行的软件的进程前，会先使用 wrapper 脚本进行一些设置。如果您的镜像使用这类 环境中有效负载镜像需要它们。不要将 registry.redhat.io 和 quay.io registry 添 加到 blockedRegistries 列表中。 应避免使用不安全的外部 registry，以减少可能的安全性风险。 2. 要检查是否应用了更改，请列出您的节点： 输出示例 出示例 9.2.1. 添加特定的 registry 您可以通过编辑 image.config.openshift.io/cluster

安装期间可以修改控制基础 RHCOS 操作系统的 Kubernetes 和 Ignition 配置文件。但是， 没有可用的验证机制来确认您对这些对象所做修改是适当的。如果修改了这些对象，集群 可能会无法运行。由于存在这种风险，修改 Kubernetes 和 Ignition 配置文件不受支持，除 非您遵循记录的流程或在红帽支持指示下操作。 安装配置文件转换为 Kubernetes 清单，然后清单嵌套到 Ignition 象（DaemonSets 、 、Deployments 等） 等）：如果要将服务或其他用户级功 能添加到集群中，请考虑将它们添加为 Kubernetes 工作负载对象。为了减少在后续的升级中破坏 集群的风险，在特定节点配置之外应用这些功能是最佳方法。 第二天自定 第二天自定义 义配置任 配置任务 务：如果可能，在不对集群节点进行任何自定义配置的情况下启动集群，并 在集群启动后再进行必要的节点更改。

安装期间可以修改控制基础 RHCOS 操作系统的 Kubernetes 和 Ignition 配置文件。但是， 没有可用的验证机制来确认您对这些对象所做修改是适当的。如果修改了这些对象，集群 可能会无法运行。由于存在这种风险，修改 Kubernetes 和 Ignition 配置文件不受支持，除 非您遵循记录的流程或在红帽支持指示下操作。 安装配置文件转换为 Kubernetes 清单，然后清单嵌套到 Ignition 负载对象，如 象，如 DaemonSet 和 和 Deployment：如果要将服务或其他用户级别功能 添加到集群中，请考虑将它们添加为 Kubernetes 工作负载对象。为了减少在后续的升级中破坏集 群的风险，在特定节点配置之外应用这些功能是最佳方法。 第二天自定 第二天自定义 义配置任 配置任务 务：如果可能，在不对集群节点进行任何自定义配置的情况下启动集群，并 在集群启动后再进行必要的节点更改。

如果后续发布了不兼容的更新，则需要使用新标签，例如 foo:v2。这样，下游用户就可以根据需要选择是 否升级到新版本，而不会因为不兼容的新镜像造成问题。下游用户如果使用 foo:latest，则可能要承担引 入不兼容更改的风险。 避免多 避免多进 进程 程 我们不建议在同一容器中启动多个服务，如数据库和 SSHD。因为容器是轻量级的，可轻松链接到一起以 编排多个进程，所以没有在同一个容器中启动多个服务的必要。您可以利用 Platform 将相关镜像分组到一个 pod 中来轻松并置和共同管理镜像。 这种并置可确保容器共享一个网络命名空间和存储进行通信。因为对每个镜像的更新频率较低且可以独立 进行，所以更新所可能带来的破坏风险也较小，单一进程的信号处理流程也更加清晰，因为无需管理将信 号路由到多个分散进程的操作。 在 在 wrapper 脚本中使用 脚本中使用 exec 很多镜像在启动正在运行的软件的进程前，会先使用