重启策略，可能的值有 Always、OnFailure 和 Never。默认值为 Always。 OpenShift Container Platform 为容器定义了一个安全上下文，指定是否允许其作为特权容器来运 行，或者以所选用户身份运行，等等。默认上下文的限制性比较强，但管理员可以根据需要进行修 改。 containers 指定包括一个或多个容器定义的数组。 容器指定在容器中挂载外部存储卷的位置。在本例中 为 为 CPU 使用率自 使用率自动扩 动扩展 展时 时，您可以使用 ，您可以使用 oc autoscale 命令，并指定要在任意 命令，并指定要在任意给 给定 定时间运 时间运行的 行的 pod 的 的 最小和最大数量，以及 最小和最大数量，以及 pod 的目 的目标 标平均 平均 CPU 使用率。如果未指定最小 使用率。如果未指定最小值 值， ，则 则 OpenShift Container 3 4 流程 流程 为 为 CPU 使用率 使用率创 创建 建 pod 横向自 横向自动扩 动扩展 展 1. 执 执行以下之一： 行以下之一： 要根据 要根据 CPU 使用率百分比来 使用率百分比来缩 缩放， 放，请为现 请为现有 有对 对象 象创 创建一个 建一个 HorizontalPodAutoscaler

重启策略，可能的值有 Always、OnFailure 和 Never。默认值为 Always。 OpenShift Container Platform 为容器定义了一个安全上下文，指定是否允许其作为特权容器来运 行，或者以所选用户身份运行，等等。默认上下文的限制性比较强，但管理员可以根据需要进行修 改。 containers 指定包括一个或多个容器定义的数组。 容器指定在容器中挂载外部存储卷的位置。在本例中 优先级会优先选择资源使用率均衡的节点。它以占容量比形式计算 CPU 和内存已使用量的差值，并基于两个指标相互接近的程度来优先选择节点。这应该始终与 LeastRequestedPriority 一同使用。 NodePreferAvoidPodsPriority 优先级忽略复制控制器以外的控制器拥有的 pod。 3.2.3.2.1.2. 其他静 其他静态优 态优先 先级 级 OpenShift 了解节点过量使用 在过量使用的环境中，务必要正确配置节点，以提供最佳的系统行为。 当节点启动时，它会确保为内存管理正确设置内核可微调标识。除非物理内存不足，否则内核应该永不会 在内存分配时失败。 为确保这一行为，OpenShift Container Platform 通过将 vm.overcommit_memory 参数设置为 1 来覆盖 默认操作系统设置，从而将内核配置为始终过量使用内存。 OpenShift

Container Platform 安装程序使用一组目标和依赖项来管理集群安装。安装程序具有一组必须 实现的目标，并且每个目标都有一组依赖项。因为每个目标仅关注其自己的依赖项，所以安装程序可以并 行地实现多个目标，最终组成一个正常运行的集群。安装程序会识别并使用现有组件，而不是运行命令来 再次创建它们，因为程序满足依赖项。 图 图 1.1. OpenShift Container Platform Bootstrap 过程来初始化集群，但若您自 己置备集群的基础架构，则必须手动完成许多步骤。 重要 重要 安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet OpenShift Container Platform 4.13 安装 安装 54 1 6. 再次运行 oc adm catalog mirror 命令。使用新镜像的索引镜像作为源，以及上一步中使用的同 一镜像 registry 目标： 此步骤需要 --manifests-only 标志，以便该命令不会再次复制所有镜像的内容。 重要 重要 这一步是必需的，因为上一步中生成的 imageContentSourcePolicy

Developer 视角中,导航到 Project 视图。 2. 在 Project 页面中,选择 Project Access 选项卡。 3. 点击 Add Access 为默认权限添加新权限行。 图 图 2.2. 项 项目 目权 权限 限 4. 输入用户名，点 Select a role 下拉列表，然后选择适当的角色。 5. 点击 Save 添加新权限。 您还可以使用： Select 会将构建器镜像用作源代 码存储库的构建器。如果这不是您的用意，请使用 ~ 分隔符为源指定所需的构建器镜像。 3.3.4.8. 在 在单 单个 个 pod 中 中对镜 对镜像和源 像和源进 进行分 行分组 组 new-app 命令允许在一个 pod 中一起部署多个镜像。要指定要将哪些镜像分组在一起，使用 + 分隔符。 也可使用 --group 命令行参数来指定应分组在一起的镜像。要将源存储库中构建的镜像与其他镜像一起分 ServiceBinding 资源 中指定映射行为，所以 servicebinding.io API 组无法完全支持对等的行 为，而无需更多与工作负 载相关的信息。 容器名称过滤 否 是 binding.operators.co reos.com API 组没有等 同的功能。 Secret 路径 是 否 servicebinding.io API 组没有对应的功能。 备用绑定源（例如，从注

Container Platform 安装程序使用一组目标和依赖项来管理集群安装。安装程序具有一组必须 实现的目标，并且每个目标都有一组依赖项。因为每个目标仅关注其自己的依赖项，所以安装程序可以并 行地实现多个目标，最终组成一个正常运行的集群。安装程序会识别并使用现有组件，而不是运行命令来 再次创建它们，因为程序满足依赖项。 图 图 1.1. OpenShift Container Platform Bootstrap 过程来初始化集群，但若您自 己置备集群的基础架构，则必须手动完成许多步骤。 重要 重要 安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进 行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复 过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 第 第 4 章 章 断开 断开连 连接的安装 接的安装镜 镜像 像 55 1 6. 再次运行 oc adm catalog mirror 命令。使用新镜像的索引镜像作为源，以及上一步中使用的同 一镜像 registry 目标： 此步骤需要 --manifests-only 标志，以便该命令不会再次复制所有镜像的内容。 重要 重要 这一步是必需的，因为上一步中生成的 imageContentSourcePolicy

管理服务的首选方法。它们还可以为用户运行的应用程序提供优势。 Operator 与 Kubernetes API 和 CLI 工具（如 kubectl 和 oc 命令）集成。它们提供了监控应用程序、执 行健康检查、管理无线(OTA)更新的方法，并确保应用程序保持在指定的状态。 虽然这两个操作都遵循类似的 Operator 概念和目标，但 OpenShift Container Platform 中的 管理的 Cluster Operator 被默认安装来执行集群功能。 可选的附加组件 Operator 由 Operator Lifecycle Manager(OLM)管理，供用户在其应用程序中运 行。 使用 Operator，您可以创建应用程序来监控集群中运行的服务。Operator 是专为您的应用程序而设计 的。Operator 实施并自动执行常见的第 1 天操作，如安装和配置以及第 2 天操作，如自动缩放和缩减并创 group/version/kind(GVK)信息指定依赖项，类似于 CSV 中现有 CRD 和基于 API 的使用量。该路径使 Operator 作者可以合并所有依赖项、API 或显式版本，使它们处于同 一位置。 olm.constraint 这个类型在任意 Operator 属性上声明通用限制。 在以下示例中，为 Prometheus Operator 和 etcd CRD 指定依赖项： dependencies

Container Platform 4.14 镜 镜像 像 4 OpenShift Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 1.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： system:serviceaccount::builder 添加至 anyuid 安全 性上下文约束(SCC)。此外，您还可允许所有镜像以任何用户身份运行。 4.1.2.3. 使用服 使用服务进行 行镜像 像间通信 通信 对于您的镜像需要与另一镜像提供的服务通信的情况，例如需要访问数据库镜像来存储和检索数据的 web 前端镜像，则您的镜像应使用一个 OpenShift Container Platform 驱动程序。这样做可避免在应用程序汇编期间下载通用依赖项，从而加快应用程 序镜像构建。此外还简化了应用程序开发人员为确保满足所有依赖项而需要做的工作。 4.1.2.5. 使用 使用环境 境变量 量进行配置 行配置 您的镜像用户应在无需基于您的镜像创建下游镜像的情况下也可进行配置。这意味着运行时配置使用环境 变量进行处理。对于简单的配置，运行中的进程可直接使用环境变量。对于更为复杂的配置或对于不支持 此操

REGISTRY 的 的 SAMPLES OPERATOR 15 第 3 章 了解容器、镜像和镜像流 开始创建和管理容器化软件时，务必要理解容器、镜像和镜像流等重要概念。镜像包含一组准备就绪可运 行的软件，容器是容器镜像的一个运行实例。镜像流提供了一种方法来存储相同基本镜像的不同版本。这 些不同版本通过相同镜像名称的不同标签（tag）来表示。 3.1. 镜像 OpenShift Container :v3.11.59-2 和 :latest 标签。 OpenShift Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 3.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： 添加项目的构建程序服务帐户 (system:serviceaccount::builder)。此外，您还可允许所有镜像以任何用户身份运行。 使用服 使用服务进 务进行 行镜 镜像 像间 间通信 通信 对于您的镜像需要与另一镜像提供的服务通信的情况，例如需要访问数据库镜像来存储和检索数据的 web 前端镜像，则您的镜像应使用一个 OpenShift Container

:v3.11.59-2 和 :latest 标签。 OpenShift Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 1.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： 容器准 备好处理流量之前，流量不会路由到容器，并且如果进程进入不健康状态，容器将重启。 模板 考虑为您的镜像提供一个示例模板。用户借助模板可轻松利用有效的配置快速部署您的镜像。模板应包括 与镜像一同记录的存活和就绪探针，以保证完整性。 4.2. 包括镜像中的元数据 定义镜像元数据有助于 OpenShift Container Platform 更好地使用您的容器镜像，允许 OpenShift :v3.11.59-2 和 :latest 标签。 OpenShift Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 5.2.2. 镜像标签惯例 镜像随时间不断发展，其标签反应了这一点。一般来说，镜像标签会始终指向最新镜像构建。 如果标签名称中嵌入太多信息，如 v2.0.1- May-

Developer 视角中,导航到 Project 视图。 2. 在 Project 页面中,选择 Project Access 选项卡。 3. 点击 Add Access 为默认权限添加新权限行。 图 2.2. 项目权限 4. 输入用户名，点 Select a role 下拉列表，然后选择适当的角色。 5. 点击 Save 添加新权限。 您还可以使用： Select a role 下拉列表修改现有用户的访问权限。 会将构建器镜像用作源代 码存储库的构建器。如果这不是您的用意，请使用 ~ 分隔符为源指定所需的构建器镜像。 3.3.4.8. 在 在单 单个 个 pod 中 中对镜 对镜像和源 像和源进 进行分 行分组 组 new-app 命令允许在一个 pod 中一起部署多个镜像。要指定要将哪些镜像分组在一起，使用 + 分隔符。 也可使用 --group 命令行参数来指定应分组在一起的镜像。要将源存储库中构建的镜像与其他镜像一起分 以将绑定数据项目到示例应用程序中。 输 输出示例 出示例 2. 验证服务绑定的请求是否成功： 输 输出示例 出示例 默认情况下，来自数据库服务的绑定数据的值作为运行示例应用程序的工作负载容器中的文件进 行投射。例如，Secret 资源中的所有值都投射到 bindings/spring-petclinic-pgcluster 目录中。 注意 注意 另外，您还可以通过打印出目录内容来验证应用程序中的文件是否包含投射绑定数