NetworkPolicies 资源。这是为了确保应用程序和 control plane 可以相互通信。 如果要禁用自动创建和管理 NetworkPolicies 资源，例如为了强制执行公司安全策略，您可以编辑 ServiceMeshControlPlane，将 spec.security.manageNetworkPolicy 设置设置为 false 注意 注意 当您禁用了 spec.security smcp-templates ConfigMap 的用户可升级到 Red Hat OpenShift Service Mesh 2.1。升级后，您可以继续使用现有的 ConfigMap 及其包含的配置集，而 无需编辑 CSV。以前使用不同名称的 ConfigMap 的客户需要重命名 ConfigMap 或升级后更新 CSV。 MAISTRA-2010 AuthorizationPolicy 不支持 request 的 问题无法被简单修复。ServiceMeshControlPlane 资源中的无效项会导致无法恢复的错误。在这 个版本中，这个错误可以被恢复。您可以删除无效的资源，并将其替换为新资源或编辑资源来修 复错误。有关编辑资源的更多信息，请参阅 [配置 Red Hat OpenShift Service Mesh 安装]。 MAISTRA-1502 由于在版本 1.0.10 中修复了 CVE，Istio

API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 Tempo Operator ConfigMap 进行编辑： OpenShift Container Platform 4.14 分布式追踪 分布式追踪 6 1 安装 Tempo Operator 的项目。 2. 通过更新 YAML 文件来禁用 Operator API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 Tempo Operator ConfigMap 进行编辑： 安装 Tempo Operator 的项目。 2. 通过更新 YAML 文件来禁用 Operator 配置中的 mTLS： 3. 运行以下命令来重启 Tempo Operator pod： API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 Tempo Operator ConfigMap 进行编辑： 安装 Tempo Operator 的项目。 2. 通过更新 YAML 文件来禁用 Operator 配置中的 mTLS： 3. 运行以下命令来重启 Tempo Operator pod：

字节，这会导致 Elasticsearch 拒绝消息并阻塞整 个缓冲的有效负载。在这个版本中解决了这个问题：被拒绝的载荷丢弃了无效的日志条目并重新 提交剩余的条目。(LOG-1574) 在更新前，编辑 ClusterLogging 自定 自定义资 义资源 源 (CR)不会将 totalLimitSize 的值应用到 Fluentd total_limit_size 字段，这会限制缓冲插件实例的大小。因此，Fluentd 根端点并检索 Elasticsearch 版本所需的 monitor 权限。现在，非管理员用户可以查询 Elasticsearch 部署的根 端点。(BZ#1906765) 在以前的版本中，在某些批量插入的情况下，Elasticsearch 代理在 fluentd 和 Elasticsearch 之间 的连接可能会出现超时问题。因此，fluentd 无法发送信息，并在日志中记录一个 Server Fluentd 日志记录收集器 Pod 及其详情： 输 输出示例 出示例 4.2.3. 配置日志收集器 CPU 和内存限值 日志收集器允许对 CPU 和内存限值进行调整。 流程 流程 1. 编辑 openshift-logging 项目中的 ClusterLogging 自定义资源（CR）： 根据需要指定 CPU 和内存限值及请求。显示的值是默认值。 $ oc get pods --selector

命名的资源且标准搜索功 能没有缩小搜索范围时，这个操作很有用。 点工具栏上的 Help 按钮并点下拉列表中的 Share Feedback 来提供有关功能并报告错误的直接 反馈。 在 YAML 编辑器中显示和隐藏工具提示。因为工具提示仍然存在，所以每次进入到页面时，您不 需要更改工具提示。 为所有用户配置 web 终端镜像。如需更多信息，请参阅配置 Web 终端。 1.3.4.1.1. 动态插件增 章 OPENSHIFT CONTAINER PLATFORM 4.14 发 发行注 行注记 记 37 开 开发人 人员控制台 控制台 在以前的版本中，如果您尝试在 Developer 控制台中编辑 Helm chart repository 仓库，进入 Helm，点 Repositories 标签页，然后在 菜单中选择 Edit HelmChartRepository，则会出 现一个错误页面，它显示了一个 上运行的集群，在安装取消置备阶段，安装程序会按顺序删除 对象存储容器。这个行为会导致对象的缓慢和低效删除，特别是对于大型容器来说。此问题部分 发生，因为使用 Swift 容器随时间积累的对象的镜像流。现在，批量对象删除发生在最多 3 个对 RHOSP API 的调用时，通过每个调用处理较高的对象数来提高效率。此优化可在取消置备过程中 加快资源清理速度。(OCPBUGS-9081) 在以前的版本中，当堡垒主机在与集群节点相同的

DEVELOPER 视角添加健康检查 11.5. 使用 DEVELOPER 视角编辑健康检查 11.6. 使用 DEVELOPER 视角监控健康检查失败 第 第 12 章 章 编辑应 编辑应用程序 用程序 12.1. 先决条件 12.2. 使用 DEVELOPER 视角编辑应用程序的源代码 12.3. 使用 DEVELOPER 视角编辑应用程序配置 第 第 13 章 章 修剪 修剪对 对象以重新声明 象以重新声明资 (CLI) 创建、编辑、删除和管 理应用程序。 1.1. 使用项目 通过使用项目，您可以以隔离方式组织和管理应用程序。您可以在 OpenShift Container Platform 中管理 整个项目生命周期，包括创建、查看和删除项目。 在创建项目后，您可以使用 Developer 视角 授予或撤销对项目的访问权限，并为用户管理集群角色。您 还可以在创建用于自动置备新项目的项目模板时编辑项目配置资源。 Web 控制台，您可以从集群管理员安装的 Operator 创建应 用程序。 1.2.2. 维护应用程序 创建应用程序后，您可以使用 Web 控制台监控项目或应用指标。您还可以使用 Web 控制台 编辑或删 除应用程序。当应用程序运行时，并非所有应用资源都不会被使用。作为集群管理员，您可以选择闲置这 些可扩展资源来减少资源消耗。 1.2.3. 将应用程序连接到服务 应用程序使用后端服务来构建和连接工作负载，这因服务提供商而异。使用

DEVELOPER 视角添加健康检查 12.5. 使用 DEVELOPER 视角编辑健康检查 12.6. 使用 DEVELOPER 视角监控健康检查失败 第 第 13 章 章 编辑应 编辑应用程序 用程序 13.1. 先决条件 13.2. 使用 DEVELOPER 视角编辑应用程序的源代码 13.3. 使用 DEVELOPER 视角编辑应用程序配置 第 第 14 章 章 修剪 修剪对 对象以重新声明 (CLI) 创建、编辑、删除和管 理应用程序。 1.1. 使用项目 通过使用项目，您可以以隔离方式组织和管理应用程序。您可以在 OpenShift Container Platform 中管理 整个项目生命周期，包括创建、查看和删除项目。 在创建项目后，您可以使用 Developer 视角 授予或撤销对项目的访问权限，并为用户管理集群角色。您 还可以在创建用于自动置备新项目的项目模板时编辑项目配置资源。 Web 控制台，您可以从集群管理员安装的 Operator 创建应 用程序。 1.2.2. 维护应用程序 创建应用程序后，您可以使用 Web 控制台监控项目或应用指标。您还可以使用 Web 控制台编辑或删除应 用程序。当应用程序运行时，并非所有应用资源都不会被使用。作为集群管理员，您可以选择闲置这些可 扩展资源来减少资源消耗。 1.2.3. 将应用程序连接到服务 应用程序使用后端服务来构建和连接工作负载，这因服务提供商而异。使用

upstream，以便在更新期间使用本地服务器。 流程 流程 1. 导航到 Administration → Cluster Settings，点 version。 2. 点击 YAML 选项卡，然后编辑 upstream 参数值： 输 输出示例 出示例 变量指定更新服务器的 URL。 默认 upstream 是 https://api.openshift 口（不可能一次使用大型维护窗口来更新整个集群）。 在这些情况下，您可以创建多个自定义机器配置池 (MCP)，以防止某些 worker 节点在更新集群时进行更 新。在更新剩余的集群后，您可以在适当的时间批量更新这些 worker 节点。 例如，如果您的集群有 100 个节点，且有 10% 过量的容量，维护窗口不能超过 4 小时，并且您知道排空 和重新引导 worker 节点的时间不超过 8 分钟，您可以利用 JSON 文件的名称。 4. 将文件保存为 ~/.docker/config.json 或 $XDG_RUNTIME_DIR/containers/auth.json。 该文件类似于以下示例： 5. 编辑新文件并添加描述 registry 的部分： 对于 ，指定 registry 域名，以及您的镜像 registry 用来提供内容的可选 端口。例如： registry

在此次更新之前，使用 oc edit 编辑 Collector 配置非常困难，因为它对空格的使用不一致。这个 第 第 1 章 章 LOGGING 发 发行注 行注记 记 11 在此次更新之前，使用 oc edit 编辑 Collector 配置非常困难，因为它对空格的使用不一致。这个 更改引入了在 Operator 更新前对配置进行规范化和格式化的逻辑，以便使用 oc edit 轻松编辑配 置。(LOG-2319) 先决条件 OpenShift Container Platform: 4.10 Red Hat OpenShift 的 logging 子系统： 5.4 禁用 FIPS 流程 流程 1. 编辑 openshift-logging 项目中的 ClusterLogging 自定义资源（CR）： 2. 为 ClusterLogging 自定义资源(CR)添加 logging.openshift Fluentd 日志记录收集器 Pod 及其详情： 输 输出示例 出示例 4.2.3. 配置日志收集器 CPU 和内存限值 日志收集器允许对 CPU 和内存限值进行调整。 流程 流程 1. 编辑 openshift-logging 项目中的 ClusterLogging 自定义资源（CR）： 根据需要指定 CPU 和内存限值及请求。显示的值是默认值。 $ oc get pods --selector

OCP 版本的更新信息。OpenShift Container Platform 集群默认配置为连接到 OSUS，OSUS 会使用已知更新目标的信息响应集群。 当集群管理员或自动更新控制器使用新版本编辑 Cluster Version Operator (CVO) 的自定义资源 (CR) 时，更新开始。要将集群与新指定版本协调，CVO 从镜像 registry 检索目标发行镜像，并开始将更改应 用到集群。 用程序 (ccoctl) 处理。 已安装 OpenShift CLI(oc)。 流程 流程 1. 以具有 cluster-admin 角色的用户身份登录到集群中的 oc。 2. 运行以下命令，编辑 CloudCredential 资源，以在 metadata 字段中添加 upgradeable-to 注 解： 要添加的文本 要添加的文本 其中 是您要升级到的版本，格式为 Container Platform web 控制台。 流程 流程 1. 导航到 Administration → Cluster Settings，点 version。 2. 点击 YAML 选项卡，然后编辑 upstream 参数值： 输出示例 出示例 ... spec: clusterID: db93436d-7b05-42cc-b856-43e11ad2d31a upstream:

. . . . . . . . . 目 目录 录 第 第 1 章 章 推荐的主机 推荐的主机实 实践 践 1.1. 推荐的节点主机实践 1.2. 创建 KUBELETCONFIG CRD 来编辑 KUBELET 参数 1.3. 修改不可用 WORKER 节点的数量 1.4. CONTROL PLANE 节点大小 1.5. 推荐的 ETCD 实践 1.6. 将 ETCD 移动到不同的磁盘 maxPods 把节点可以运行的 pod 数量设置为一个固定值，而不需要考虑节点的属性。 1.2. 创建 KUBELETCONFIG CRD 来编辑 KUBELET 参数 kubelet 配置目前被序列化为 Ignition 配置，因此可以直接编辑。但是，在 Machine Config Controller kubeletConfig: podsPerCore: 10 kubeletConfig: 实践 践 5 kubelet 配置目前被序列化为 Ignition 配置，因此可以直接编辑。但是，在 Machine Config Controller (MCC) 中同时添加了新的 kubelet-config-controller 。这可让您使用 KubeletConfig 自定义资源 (CR) 来编辑 kubelet 参数。 注意 注意 因为 kubeletConfig 对象中的字段直接从上游