脚本。 deployment/wait-for-vmi-status 等待特定 VMI 状态，然后根据该状态失败或成功。 2.8. 关于 VIRT-OPERATOR virt-operator 在不影响当前虚拟机(VM)工作负载的情况下部署、升级和管理 OpenShift Virtualization。 表 表 2.7. virt-operator 组 组件 件 组 组件 件 描述 描述 deployment/virt-api 2158521）： 作为临时解决方案： 1. 更新存储配置文件的 claimPropertySets 数组： 2. 删除 openshift-virtualization-os-images 命名空间中的受影响的数据卷。它们通过更新 的存储配置集的访问模式和卷模式重新创建。 当为绑定模式为 WaitForFirstConsumer 的存储恢复虚拟机快照时，恢复的 PVC 会处于 Pending 状态，恢复操作不会进行。 前，参阅这个部分以确保集群满足要求。 重要 重要 您可以使用任何安装方法（包括用户置备的、安装程序置备或辅助安装程序）来部署 OpenShift Container Platform。但是，安装方法和集群拓扑可能会影响 OpenShift Virtualization 功能，如快照或实时迁移。 IPv6 您无法在单堆栈 IPv6 集群上运行 OpenShift Virtualization。(BZ#2193267)

Operator (MCO) 会更新集群中每个节点的操作系统和配置。 1.1.1. 有关更新可用性的常见问题 OpenShift Container Platform 集群使用更新时，有几个因素会影响到 OpenShift Container Platform 集 群。以下列表提供有关更新可用性的常见问题： 每个更新 每个更新频 频道之 道之间 间有什么区 有什么区别 别？ ？ 一个新的发行版本最初添加到 maxUnavailable 字段指定的、协调机器配置池中的节点数量，并将它们标记为不可用。在默认情况下， 这个值被设置为 1。MCO 根据 topology.kubernetes.io/zone 标签，按区字母更新受影响的节点。如果 一个区域有多个节点，则首先更新最旧的节点。对于不使用区的节点，如裸机部署中的节点，节点会按使 用的时间更新，首先更新最旧的节点。MCO 一次更新机器配置池中由 maxUnavailable 字段包含管理员对集群成功更新需要执行的操作的人类可读描述。当此条件为 True、Unknown 或缺失时，CVO 允许更新。 当 Upgradeable 状态为 False 时，只有次版本更新会受到影响，CVO 会阻止集群执行受影响的 更新，除非强制（强制）更新。 1.1.4. 了解集群版本状况类型 Cluster Version Operator (CVO) 监控集群 Operator 和其他组件，并负责收集集群版本及其

CONTROLLER（ROUTER）性能的基线 第 第 11 章 章 优 优化网 化网络 络 11.1. 为您的网络优化 MTU 11.2. 安装大型集群的实践建议 11.3. IPSEC 的影响 第 第 12 章 章 管理裸机主机 管理裸机主机 12.1. 关于裸机主机和节点 12.2. 维护裸机主机 第 第 13 章 章 巨 巨页 页的作用及 的作用及应 应用程序如何使用它 用程序如何使用它们 实际使用两个容器。第二个容器用来在实际容器 启动前设置联网。因此，运行 10 个 pod 的系统实际上会运行 20 个容器。 注意 注意 云供应商的磁盘 IOPS 节流可能会对 CRI-O 和 kubelet 产生影响。当节点上运行大量 I/O 高负载的 pod 时，可能会出现超载的问题。建议您监控节点上的磁盘 I/O，并使用有足够 吞吐量的卷。 podsPerCore 根据节点中的处理器内核数来设置节点可运行的 9 流程 流程 1. 编辑 worker 机器配置池： 2. 将 maxUnavailable 设置为您需要的值： 重要 重要 当设置该值时，请考虑无法使用的 worker 节点数量，而不影响在集群中运行的应 用程序。 1.4. CONTROL PLANE 节点大小 控制平面节点资源要求取决于集群中的节点和对象的数量和类型。以下控制平面节点大小是基于控制平面 密度测试的结果，或 Cl

使用节点选择器移动监控组件 2.7. 为监控组件分配容忍（TOLERATIONS） 2.8. 配置专用服务监控器 2.9. 配置持久性存储 2.10. 配置远程写入存储 2.11. 控制用户定义的项目中未绑定指标属性的影响 第 第 3 章 章 配置外部 配置外部 ALERTMANAGER 实 实例 例 3.1. 在时间序列和警报中附加额外标签 3.2. 为监控组件设置日志级别 3.3. 为 PROMETHEUS 启用查询日志文件 unmanaged 参数设置为 true 会阻止集群升级并在设置 CVO 覆盖后提醒管 理员： 警告 警告 设置 CVO 覆盖会使整个集群处于不受支持的状态，并导致监控堆栈无法被协调到其 预期状态。这会影响 Operator 内置的可靠性功能，并妨碍接收更新。在删除所有覆 盖后，必须可以重现报告的问题方可获得支持。 2.3. 准备配置监控堆栈 您可以通过创建和更新监控配置映射来配置监控堆栈。 2 prometheusK8s，在 user-workload-monitoring-config ConfigMap 对象中称为 prometheus。 2. 保存文件以将更改应用到 ConfigMap 对象。受新配置影响的 Pod 会自动重启。 注意 注意 除非集群管理员为用户定义的项目启用了监控，否则应用到 user-workload- monitoring-config ConfigMap 的配置不会被激活。

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1.2.3. 增加线程数 8.1.2.4. 增加缓冲的影响 8.1.2.5. HAProxy Reloads 的优化 第 第 9 章 章 扩 扩展集群指 展集群指标 标 9.1. 概述 9.2. 针对 OPENSHIFT CONTAINER PLATFORM 用设备映射器，红帽强烈建议您对容器镜像和容器根文件系统使用精简配置。否则，始终将 overlayfs2 用 于 Docker 引擎，或将 overlayFS 用于 CRI-O。 使用循环设备可能会影响性能。虽然您仍可以继续使用它，但会记录以下警告信息： devmapper: Usage of loopback devices is strongly discouraged for production 增加 增加缓 缓冲的影 冲的影响 响 OpenShift Container Platform HAProxy 路由器请求缓冲区配置限制了传入的请求和来自应用程序响应中 的标头大小。可以增加 HAProxy 参数 tune.bufsize 以允许处理更大的标头，并允许具有非常大 Cookie 的应用程序正常工作，如许多公共云提供商提供的负载均衡器接受的应用程序。但是，这会影响内存使用 总量，特别是在

OpenShift Container Platform 4.14 后出现问题，其中已删除的 API 仍在由运行或与集群交互的工作负 载、工具或其他组件使用。管理员必须针对将要删除的任何 API 评估其集群，并迁移受影响的组件，以使 用适当的新 API 版本。完成此操作后，管理员可以向管理员提供确认。 所有 OpenShift Container Platform 4.13 集群都需要此管理员确认，然后才能升级到 1.3.16.1. 处 处理 理 registry 证书颁发 证书颁发机 机构 构 Machine Config Operator 现在为镜像 registry 处理分布证书颁发机构。这个更改不会影响最终用户。 1.3.16.2. Prometheus 中可用的其他指 中可用的其他指标 标 在这个版本中，您可以查询额外的指标来更密切地监控机器和机器配置池的状态。 有关如何使用 Prometheus 这样可优化较 大的集群。因为每个节点上的网络流都是本地化的，所以不再需要 RAFT 领导选举机制，并删除了 instability 的主要来源。对本地化网络流数据的一个额外好处是，网络上的节点丢失的影响仅限于故障节 点，且对集群的其他网络没有问题，从而使集群对故障场景更具弹性。如需更多信息，请参阅 OVN- Kubernetes 架构。 Operator SDK 1.31.0 OpenShift

应用服务质量流量控制，有效限制其可用带宽。出口流量（从 pod 传出）按照策略来处 理，仅在超出配置的速率时丢弃数据包。入口流量（传入 pod 中）通过控制已排队数据包进行处理，以便 有效地处理数据。您对 pod 应用的限制不会影响其他 pod 的带宽。 流程 流程 限制 pod 的带宽： 1. 编写对象定义 JSON 文件，并使用 kubernetes.io/ingress-bandwidth 和 kubernetes pod 时自动应用 VPA 建议。 Off 模式只提供推荐的资源限制和请求信息，用户可以手动应用其中的建议。off 模式不会更新 pod。 您还可以使用 CR 使特定容器不受 VPA 评估和更新的影响。 例如，pod 具有以下限制和请求： 在创建了一个设置为 auto 的 VPA 后，VPA 会了解资源使用情况并删除 pod。重新部署时，pod 会使用新 NAME 如果您的工作负载对象有多个容器，且您不希望 VPA 对所有容器进行评估并进行操作，请为特定工作负 载对象创建一个 VPA CR，添加一个 resourcePolicy 已使特定容器不受 VPA 的影响。 当 VPA 使用推荐的资源更新 pod 时，任何带有 resourcePolicy 的容器都不会被更新，且 VPA 不会对这 些 pod 中的容器提供建议。 您希望此 VPA CR 管理的工作负载对象类型。

应用服务质量流量控制，有效限制其可用带宽。出口流量（从 pod 传出）按照策略来处 理，仅在超出配置的速率时丢弃数据包。入口流量（传入 pod 中）通过控制已排队数据包进行处理，以便 有效地处理数据。您对 pod 应用的限制不会影响其他 pod 的带宽。 流程 流程 限制 pod 的带宽： 1. 编写对象定义 JSON 文件，并使用 kubernetes.io/ingress-bandwidth 和 kubernetes 议。 。off 模式不会更 模式不会更 新 新 pod。 。 您 您还 还可以使用 可以使用 CR 使特定容器不受 使特定容器不受 VPA 评 评估和更新的影 估和更新的影响 响。 。 例如， 例如，pod 具有以下限制和 具有以下限制和请 请求： 求： 在 在创 创建了一个 建了一个设 设置 置为 为 auto 的 的 VPA 行操作，请为 请为特定工作 特定工作 负载对 负载对象 象创 创建一个 建一个 VPA CR，添加一个 ，添加一个 resourcePolicy 已使特定容器不受 已使特定容器不受 VPA 的影 的影响 响。 。 当 当 VPA 使用推荐的 使用推荐的资 资源更新 源更新 pod 时 时，任何 ，任何带 带有 有 resourcePolicy 的容器都不会被更新，且 的容器都不会被更新，且

前，参阅这个部分以确保集群满足要求。 重要 重要 您可以使用任何安装方法（包括用户置备的、安装程序置备或辅助安装程序）来部署 OpenShift Container Platform。但是，安装方法和集群拓扑可能会影响 OpenShift Virtualization 功能，如快照或实时迁移。 单节点 点 Openshift 的不同 的不同 您可以在单节点集群中安装 OpenShift Virtualization。如需更多信息，请参阅关于单节点 Container Platform 的一个附加组件，它会带来额外的开销。除了 OpenShift Container Platform 要求外，每个集群机器都必须满足以下开销要求。覆盖集群中的物理资源 可能会影响性能。 重要 重要  OpenShift Container Platform 4.10 虚 虚拟 拟化 化 16 1 2 重要 重要 本文档中给出的数字基于红帽的测试方法和设置。这些数字会根据您自己的设置和环境而 个额外内核（2000 毫 秒）用于 OpenShift Virtualization 管理工作负载。 虚 虚拟机 机 CPU 开 开销 如果请求专用 CPU，则会对集群 CPU 开销要求有 1:1 影响。否则，没有有关虚拟机所需 CPU 数量的具体 规则。 第 第 4 章 章 安装 安装 17 4.1.2.3. 存 存储开 开销 使用以下指南来估算 OpenShift Virtualization

/user/profile%23section1），可能会导致安全事件。 如果您使用带有 DENY 操作和 operation.paths 的授权策略，或者 ALLOW 操作和 operation.notPaths，则会受到此漏洞的影响。 在这个版本中，在授权和路由前会删除请求的 URI 片段部分。这可以防止其 URI 中带有片段的请求绕过基 于 URI 且没有片段部分的授权策略。 要从缓解措施中的新行为中选择，将保留 URI 的配置。但是，完全匹配授权策略仅与为 hosts 或 notHosts 字段给 出的确切字符串匹配。 如果您使用精确字符串比较的 AuthorizationPolicy 来确定 主机或非主机，则会影响您的集群。 您必须更新授权策略 规则，以使用前缀匹配而不是完全匹配。例如，在第一个 AuthorizationPolicy 示例 中，将 hosts: ["httpbin.com"] 替换为 hosts: 上访问资源，这可能会产生安全问题。 如果您使用 ALLOW action + notPaths 字段或者 DENY action + paths 字段特征，您的集群会受到这个 漏洞的影响。这些模式可能会被意外的策略绕过。 在以下情况下，集群不会受到此漏洞的影响： 您没有授权策略。 您的授权策略没有定义 paths 或 notPaths 字段。 您的授权策略使用 ALLOW action + paths 字段或 DENY