. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 理解 理解镜 镜像 像构 构建 建 1.1. 构建（BUILD） 第 第 2 章 章 了解 了解构 构建配置 建配置 2.1. BUILDCONFIG 第 第 3 章 章 创 创建 建构 构建 建输 87 87 87 88 88 89 93 OpenShift Container Platform 4.4 构 构建（ 建（build） ） 2 目 目录 录 3 第 1 章 理解镜像构建 1.1. 构建（BUILD） 构建 (build)是将输入参数转换为结果对象的过程。此过程最常用于将输入参数或源代码转换为可运行的镜 像。BuildConfig 对象是整个构建过程的定义。 可以编写 S2I 脚本，将应用程序代码注入到几乎所有现有的 Docker 格式容器镜像，以此利用 现有的生态系统。请注意，S2I 目前依靠 tar 来注入应用程序源代码，因此镜像需要能够处理 tar 压缩的内容。 OpenShift Container Platform 4.4 构 构建（ 建（build） ） 4 速度 使用 S2I 时，汇编过程可以执行大量复杂操作，无需在每一步创建新层，进而能实现快速的流

。它 在现有分布式应用上添加一个透明层，而无需对应用代码进行任何更改。 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 来解决这些架构问题，并可修改、重定向或创建新请求到其他服务。 Service Mesh 基于开源 Istio 项目，为创建 ServiceMeshControlPlane 配置为 保留 URI 片段。 警告 警告 如前文所述，禁用新行为将对路径进行规范化，并被视为不安全。在选择保留 URI 片 段之前，确保您已将这些内容放入任何安全策略中。 ServiceMeshControlPlane 修改示例 修改示例 1.2.2.18.2. 授权策略所需的更新 Istio 为主机名本身和所有匹配端口生成主机名。例如，用于 ： 表 1.1. 规范化方案 选项 选项 描述 描述 示例 示例 备 备注 注 第 第 1 章 章 SERVICE MESH 2.X 15 NONE 没有进行规范化。Envoy 接收的任何内容都会完全 按原样转发到任何后端服 务。 ../%2Fa../b 由授权策略 评估并发送到您的服务。 此设置会受到 CVE- 2021-31920 的影响。 BASE 这是目前 Istio 默 默认

All other trademarks are the property of their respective owners. 摘要 摘要 无论您是开发人员还是平台管理员，都可以使用本书中介绍的内容来开始使用 OpenShift。管理员可 以使用安装实用程序和交互式 CLI 工具在多个主机上快速安装和配置 OpenShift 实例。开发人员可以 使用 OpenShift CLI 或 Web 控制台登录到现有的 第 2 章 章 安装 安装 OPENSHIFT CONTAINER PLATFORM 2.1. 概述 2.2. 与 OPENSHIFT CONTAINER PLATFORM 进行交互 2.3. 理解角色和认证 第 第 3 章 章 配置 配置 OPENSHIFT CONTAINER PLATFORM 3.1. 概述 3.2. 更改身份提供者中的日志 3.3. 创建用户帐户 3.4. 部署 也可以使用这些命令行实用程序，与远程系统 OpenShift Container Platform 实例交互。 作为捆绑的 OpenShift CLI，您可以参照 CLI 参考中的内容下载用于 Windows、Mac 或 Linux 环境的工具。 2.3. 理解角色和认证 默认情况下，当首次安装时，OpenShift Container Platform 中不会创建角色或用户帐户，因此您需要创 建它们。您可以选择创

构建 1.2. OPENSHIFT PIPELINES 1.3. OPENSHIFT GITOPS 1.4. JENKINS 第 第 2 章 章 构 构建（ 建（BUILD） ） 2.1. 理解镜像构建 2.2. 了解构建配置 2.3. 创建构建输入 2.4. 管理构建输出 2.5. 使用构建策略 2.6. 使用 BUILDAH 自定义镜像构建 2.7. 执行和配置基本构建 2.8. 触发和修改构建 Chart 在 OpenShift 上部署。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM CI/CD 概述 概述 3 第 2 章 构建（BUILD） 2.1. 理解镜像构建 2.1.1. Builds 构建 (build) 是将输入参数转换为结果对象的过程。此过程最常用于将输入参数或源代码转换为可运行的 镜像。BuildConfig 对象是整个构建过程的定义。 通过以下小节查看构建输入的概述，并了解如何使用输入提供构建操作的源内容，以及如何使用构建环境 和创建 secret。 2.3.1. 构建输入 构建输入提供构建操作的源内容。您可以使用以下构建输入在 OpenShift Container Platform 中提供源， 它们按优先顺序列出： 内联 Dockerfile 定义 从现有镜像中提取内容 Git 存储库 - type: "Generic"

Platform Web 控制台中的 Service Mesh Control Plane (smcp) Overview 页面中的 UI 切换控制有时会更新资源中的错误字段。要更新 SMCP，直接编辑 YAML 内容，或者从命令行更新资源，而不是点击 toggle 控件。 在对安装了 Service Mesh 1.0.x 的 Jaeger 或 Kiali Operator 进行升级时，Jaeger/Kiali 分布式追踪功能，可以在组成一个应用程序的多个微服务间追踪请求的路径。 分布式追踪 分布式追踪是用来将不同工作单元的信息关联起来的技术，通常是在不同进程或主机中执行的，以便理解 分布式事务中的整个事件链。分布式追踪可让开发人员在大型服务架构中视觉化调用流程。它对理解序列 化、平行和延迟来源会很有价值。 Jaeger 在微服务的整个堆栈中记录了独立请求的执行过程，并将其显示为 trace。trace是系统的数据/执 行路径。一个端到端的 Grafana 配置 配置 Kiali 当将 Kiali 和 Grafana 作为 Red Hat OpenShift Service Mesh 的一部分安装时，Operator 会默认配置以下 内容： apiVersion: maistra.io/v1 kind: ServiceMeshControlPlane spec: kiali: enabled: true

OpenShift Container Platform 4.14 镜 镜像 像 2 目 目录 录 3 第 1 章 镜像概述 1.1. 了解容器、镜像和镜像流 当您设置为创建和管理容器化软件时，务必要理解容器、镜像和镜像流等重要概念。镜像包含一组准备就 绪可运行的软件，容器是容器镜像的一个运行实例。镜像流提供了一种方法来存储相同基本镜像的不同版 本。这些不同版本通过相同镜像名称的不同标签（tag）来表示。 常会 被缩短为一个 12 位长的值（如 fd44297e2ddb）。 您可以创建，管理，并使用容器镜像。 1.3. 镜像 REGISTRY 镜像 registry 是一个可存储和提供容器镜像的内容服务器。例如： registry 包含一个或多个镜像存储库的集合，其中包含一个或多个标记的镜像。红帽在 registry.redhat.io 上为订阅者提供了一个 registry。OpenShift 行，而非直接在镜像上运行。 1.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： 1.7. 容器 OpenShift Container Platform 应用程序的基本单元称为容器。Linux 容器技术是一种轻量型机制，用于 隔离运行中的进程，使它们只能跟指定的资

OpenShift Container Platform 4.7 镜 镜像 像 4 目 目录 录 5 第 1 章 镜像概述 1.1. 了解容器、镜像和镜像流 当您设置为创建和管理容器化软件时，务必要理解容器、镜像和镜像流等重要概念。镜像包含一组准备就 绪可运行的软件，容器是容器镜像的一个运行实例。镜像流提供了一种方法来存储相同基本镜像的不同版 本。这些不同版本通过相同镜像名称的不同标签（tag）来表示。 m/4.7/html-single/images/#using-images-overview 容器镜像。 1.3. 镜像 REGISTRY 镜像 registry 是一个可存储和提供容器镜像的内容服务器。例如： registry 包含一个或多个镜像存储库的集合，其中包含一个或多个标记的镜像。红帽在 registry.redhat.io 上为订阅者提供了一个 registry。OpenShift 行，而非直接在镜像上运行。 1.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： 1.7. 容器 OpenShift Container Platform 应用程序的基本单元称为容器。Linux 容器技术是一个用于隔离不同运行 进程的轻量机制。它可以把运行的进程限制

Snapshot。 1.2.4. 扩展 1.2.4.1. 集群的限制 集群的限制 Cluster Limits 包括了与 OpenShift Container Platform 4.1 相关的内容。 OpenShift Container Platform 4.1 发 发行注 行注记 记 6 使用 OpenShift Container Platform Limit Calculator 1 带有一个重新设计的开发者目录（Developer Catalog），它把所有新 的 Operators 和已存在的代理服务（broker services）集成在一起， 使用新的方法来发现、排序并理解如 何使用这些服务。开放者目录是开发人员访问所有可用服务的一个起点。它把 Operators、Service Catalog、broker 和 Source-to-Image (S2I) 的功能集成在一起。 io/inject-cabundle=true 注解的 configMap 中。CA bundle 作为 service-ca.crt 下的使用 PEM 编码的数据存在。这个注解将会删除 configMap 中现存的内容。 当前使用来自于 /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt 下的 service-serving CA bundle

在 在 WEB 控制台中 控制台中创 创建快速 建快速启动 启动指南 指南 8.1. 了解快速开始 8.2. 快速启动用户工作流 8.3. 快速启动组件 8.4. 快速开始 8.5. 快速开始内容指南 8.6. 其他资源 3 3 4 6 6 6 7 7 8 8 8 9 9 10 11 13 14 14 15 16 18 18 19 19 23 23 23 24 24 5 第 2 章 访问WEB控制台 OpenShift Container Platform Web控制台是可从Web浏览器访问的用户界面。开发人员可以使用Web控 制台来直观地浏览并管理项目的内容。 2.1. 先决条件 必须启用JavaScript才能使用Web控制台。为获得最佳体验，请使用支持WebSockets的Web浏览 器。 在为集群创建支持基础结构之前，请参阅OpenShift and back buttons：用来浏览快速开始任务里的步骤和模块的按钮 Final screen buttons：关闭快速启动，返回到快速启动中的先前任务，并查看所有快速启动 快速启动的主要内容包括以下部分： Card copy 简 简介 介 Task steps Modals and in-app messaging Check your work module 8.4. 快速开始

2.1.1. 为什么要使用 Operator？ Operator 可以： 重复安装和升级。 持续对每个系统组件执行运行状况检查。 无线 (OTA) 更新 OpenShift 组件和 ISV 内容。 汇总现场工程师了解的情况并将其传输给所有用户，而非一两个用户。 为什么在 什么在 Kubernetes 上部署？ 上部署？ Kubernetes（扩展至 OpenShift Container 类似的 Operator 捆绑包列表中创建和维护 Operator 目录。其结果是一个容器镜像，它可以存储在容器的 registry 中，然后安装到集群中。 目录包含一个指向 Operator 清单内容的指针数据库，可通过在运行容器镜像时提供的已包含 API 进行查 询。在 OpenShift Container Platform 中，Operator Lifecycle Manager (OLM) 中目录格式的最新迭代。它是基于纯文本（JSON 或 YAML）和早期 SQLite 数据库格式的声明式配置演变，并且完全向后兼容。此格式的目标是启用 Operator 目录编辑、可组合性和可扩展性。 编辑 使用基于文件的目录，与目录内容交互的用户可以对格式进行直接更改，并验证其更改是否有效。由 于这种格式是纯文本 JSON 或 YAML，因此目录维护人员可以通过手动或广泛支持的 JSON 或 YAML 工具（如 jq CLI）轻松操作目录元数据。