OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供了使用不同存储后端配置持久性卷以及通过 pod 管理动态分配存储的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3. 共享资源 CSI DRIVER OPERATOR 5.4. CSI 卷快照 5.5. CSI 卷克隆 5.6. 管理默认存储类 5.7. CSI 自动迁移 5.8. 在非正常节点关闭后分离 CSI 卷 5.9. ALICLOUD DISK CSI DRIVER OPERATOR 5.10. AWS ELASTIC BLOCK STORE CSI DRIVER OPERATOR 5 包括： Pod 无法检测到有多少可用的本地存储。 Pod 无法请求保证的本地存储。 本地存储是一个最佳资源。 pod 可能会因为其他 pod 填充本地存储而被驱除。只有在足够的存储被重新声明前，不会接受这 些新 pod。 与持久性卷不同，临时存储没有特定结构，它会被节点上运行的所有 pod 共享，并同时会被系统、容器运 行时和 OpenShift Container Platform 使用。临时存储框架允许

x+ 认 证。 如果您使用 vSphere 版本 6.5 实例，请在安装 OpenShift Container Platform 前考虑升级到 6.7U3 或 7.0。 重要 重要 您必须确保在安装 OpenShift Container Platform 前同步 ESXi 主机上的时间。请参阅 VMware 文档中的编辑主机时间配置。 1.1.4. 网络连接要求 您必须配置机器之间的网络连接，以允许 2379-2380 etcd 服务器和对等端口 1.1.5. vCenter 要求 在使用安装程序置备的基础架构的 vCenter 上安装 OpenShift Container Platform 集群前，您必须准备自 己的环境。 所需的 vCenter 帐户权限 要在 vCenter 中安装 OpenShift Container Platform 集群，安装程序需要一个具有特权的帐户来读取和创 网络必须使用 DHCP，并确保 DHCP 服务器被配置为为集群机器提供持久的 IP 地址。 注意 注意 在安装开始前，永久 IP 地址不可用。分配 DHCP 范围，在安装后，使用持久 IP 地址手动 替换分配。 另外，在安装 OpenShift Container Platform 集群前，必须创建以下网络资源： 注意 注意 建议集群中的每个 OpenShift Container Platform

OpenShift Container Platform 4.2 Service Mesh 6 MAISTRA-453 如果创建新项目并立即部署 pod，则不会进行 sidecar 注入。在创建 pod 前，operator 无法添加 maistra.io/member-of ，因此必须删除 pod 并重新创建它以执行 sidecar 注入操作。 MAISTRA-193 当为 citadel 启用了健 --to control-plane-project member-project）。如果您从 Service Mesh 中删除一个成员，它的 NetNamespace 与 control plane 分离（相当于运行 oc adm pod-network is isolatedate- projects member-project）。 Subnet：没有执行其他配置。 OpenShift Container 提供了可用来控制对某个服务的访问控制机制。您可以根据用户名或者 指定一组属性来识别对象，并相应地应用访问控制。 上游 Istio 社区安装提供的选项包括：标头精确匹配、匹配标头中的通配符，或匹配标头中包括的特定前 缀或后缀。 Red Hat OpenShift Service Mesh 使用正则表达式来扩展与请求标头匹配的功能。使用正则表达式指定 request.regex.headers 的属性键。 上游

KUBELET 参数 1.3. 修改不可用 WORKER 节点的数量 1.4. CONTROL PLANE 节点大小 1.5. 推荐的 ETCD 实践 1.6. 将 ETCD 移动到不同的磁盘 1.7. 分离 ETCD 数据 1.8. OPENSHIFT CONTAINER PLATFORM 基础架构组件 1.9. 移动监控解决方案 1.10. 移动默认 REGISTRY 1.11. 移动路由器 1 根据节点中的内存数量，可能出现内存耗尽的问题。 耗尽 IP 地址池。 资源过量使用，导致用户应用程序性能变差。 重要 重要 在 Kubernetes 中，包含单个容器的 pod 实际使用两个容器。第二个容器用来在实际容器 启动前设置联网。因此，运行 10 个 pod 的系统实际上会运行 20 个容器。 注意 注意 云供应商的磁盘 IOPS 节流可能会对 CRI-O 和 kubelet 产生影响。当节点上运行大量 I/O 高负载的 机器配置。例如，如果您有一个带有 -2 后缀 的 kubelet 机器配置，则下一个 kubelet 机器配置会附加 -3。 如果要删除机器配置，以相反的顺序删除它们，以避免超过限制。例如，在删除 kubelet-2 机器配置前删 除 kubelet-3 机器配置。 注意 注意 如果您有一个带有 kubelet-9 后缀的机器配置，并且创建了另一个 KubeletConfig CR，则 不会创建新的机器配置，即使少于 10

。 重要 重要 虽然您可能能够按照此流程在虚拟化或云环境中部署集群，但您必须清楚非裸机平台的其 他注意事项。在尝试在此类环境中安装 OpenShift Container Platform 集群前，请参阅有 关在未经测试的平台上部署 OpenShift Container Platform 的指南中的信息。 1.1.1. 先决条件 查看有关 OpenShift Container Platform 请求。您必须决定并实施一种方法，以验证 kubelet 提供证书请求的有效性并进行批准。 1.1.4. 创建用户置备的基础架构 在部署采用用户置备的基础架构的 OpenShift Container Platform 集群前，您必须创建底层基础架构。 先决条件 先决条件 在为集群创建支持基础架构之前，请参阅OpenShift Container Platform 4.x Tested Integrations页。 流程 Container Platform 要求所有节点都能访问互联网，以便为平台容器提取镜像并 向红帽提供遥测数据。 负载 负载均衡器 均衡器 在安装 OpenShift Container Platform 前，您必须置备两个满足以下要求的负载均衡器： 1. API 负载 负载均衡器 均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为

/user/profile#section1 的请求绕过拒绝策略并路由到后端（通过规范的 URI path /user/profile%23section1），可能会导致安全事件。 如果您使用带有 DENY 操作和 operation.paths 的授权策略，或者 ALLOW 操作和 operation.notPaths，则会受到此漏洞的影响。 在这个版本中，在授权和路由前会删除请求的 URI 片段部分。这可以防止其 ["httpbin.com"] 替换为 hosts: ["httpbin.com:*"]。 第一个 第一个 AuthorizationPolicy 示例使用前 示例使用前缀 缀匹配 匹配 第二个 第二个 AuthorizationPolicy 示例使用前 示例使用前缀 缀匹配 匹配 1.2.2.19. Red Hat OpenShift Service Mesh 2.0.7 的新功能 的新功能 此 //admin 在技术上应被视为与 /admin 不同的路径。但是，一些后 端服务选择通过将多个斜杠合并成单斜杠来规范 URL 路径。这可能导致绕过授权策略（//admin 不匹配 /admin），用户可以在后端的路径 /admin 上访问资源，这可能会产生安全问题。 如果您使用 ALLOW action + notPaths 字段或者 DENY action + paths 字段特征，您的集群会受到这个

OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供了使用不同存储后端配置持久性卷以及通过 pod 管理动态分配存储的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 注意 注意 动态置备的卷总是被删除。 3.2.7. 手动重新声明持久性卷 删除持久性卷生命（PVC）后，持久性卷（PV）仍然存在，并被视为"released（释放）"。但是，由于之 前声明的数据保留在卷中，所以无法再使用 PV。 流程 流程 要以集群管理员的身份手动重新声明 PV: 1. 删除 PV。 外部基础架构（如 AWS EBS、GCE PD、Azure Disk 或 Channel（光纤通道）卷目前没有隔离机制。您必须保证在同一时间点上只 在一个节点使用这些卷。在某些情况下，比如对节点进行 drain 操作时，卷可以被两个节点 同时使用。在对节点进行 drain 操作前，需要首先确定使用这些卷的 pod 已被删除。 表 表 3.2. 支持的 支持的 PV 访问 访问模式 模式 卷插件 卷插件 ReadWriteOnce [1] ReadOnlyMany ReadWriteMany

为集群管理员，您可以选择闲置这 些可扩展资源来减少资源消耗。 1.2.3. 将应用程序连接到服务 应用程序使用后端服务来构建和连接工作负载，这因服务提供商而异。使用 Service Binding Operator 作 为开发人员，您可以将工作负载与 Operator 管理的后端服务绑定在一起，而无需手动步骤配置绑定连 接。您还可以在 IBM Power Systems、IBM Z 和 LinuxONE - HTTP GET、Container Command 或 TCP Socket。表单会根据所选请求类型进行更改。然后您可以修改其它参数的默认值，如探 测成功和失败的阈值、在容器启动后执行第一个探测前的秒数、探测的频率以及超时值。 构建配置和部署 点 Build Configuration 和 Deployment Configuration 链接来查看对应的配置选项。一些选项会被默 认选中； maxScale 设置。 并发目标 决定了给定时间每个应用程序实例所需的并发请求数。 并发限制 决定了给定时间允许每个应用程序的并发请求数的限值。 并发利用率 决定了在 Knative 扩展额外 pod 前必须满足并发请求限制的百分比，以处理额外 的流量。 自动扩展窗口定义了平均时间窗口，以便在自动扩展器不处于 panic 模式时提供缩放决策的输 入。如果在此窗口中没有收到任何请求，服务将缩减为零。autoscale

为集群管理员，您可以选择闲置这些可 扩展资源来减少资源消耗。 1.2.3. 将应用程序连接到服务 应用程序使用后端服务来构建和连接工作负载，这因服务提供商而异。使用 Service Binding Operator 作 为开发人员，您可以将工作负载与 Operator 管理的后端服务绑定在一起，而无需手动步骤配置绑定连 接。您还可以在 IBM Power Systems、IBM Z 和 LinuxONE - HTTP GET、Container Command 或 TCP Socket。表单会根据所选请求类型进行更改。然后您可以修改其它参数的默认值，如探 测成功和失败的阈值、在容器启动后执行第一个探测前的秒数、探测的频率以及超时值。 构 构建配置和部署 建配置和部署 点 Build Configuration 和 Deployment Configuration 链接来查看对应的配置选项。一些选项会被默 决定了给定时间每个应用程序实例所需的并发请求数。 并 并发 发限制 限制 决定了给定时间允许每个应用程序的并发请求数的限值。 并 并发 发利用率 利用率 决定了在 Knative 扩展额外 pod 前必须满足并发请求限制的百分比，以处理额外 的流量。 自 自动扩 动扩展窗口 展窗口定义了平均时间窗口，以便在自动扩展器不处于 panic 模式时提供缩放决策的输 入。如果在此窗口中没有收到任何请求，服务将缩减为零。autoscale

过程来初始化集群，但若您自 己置备集群的基础架构，则必须手动完成许多步骤。 重要 重要 安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 55 第 2 章 选择集群安装方法并为用户准备它 在安装 OpenShift Container Platform 前，请确定您具备为用户准备集群所需的所有所需资源。 2.1. 选择集群安装类型 在安装 OpenShift Container Platform 集群前，需要选择最佳安装说明。请考虑您对以下问题的回答，以 选择最佳选择。 2.1.1. 您要自己安装和管理 OpenShift 对于生产环境集群，您必须配置以下集成： 持久性存储 身份供应商 监控 OpenShift Container Platform 核心组件 2.3. 为工作负载准备集群 根据工作负载需要，您可能需要在开始部署应用程序前执行额外的步骤。例如，在为应用程序构建策略准 备了基础架构后，您可能需要为低延迟工作负载置备或保护敏感工作负载。您还可以为应用程序工作负载 配置 监控。如果计划运行 Windows 工作负载，您必须在安装过程中使用