第 5 章 章 更新 更新 OPENSHIFT VIRTUALIZATION 5.1. 关于更新 OPENSHIFT VIRTUALIZATION 5.2. 配置自动工作负载更新 5.3. 批准待处理的 OPERATOR 更新 5.4. 监控更新状态 5.5. 其他资源 第 第 6 章 章 为 为 KUBEVIRT-CONTROLLER 和 和 VIRT-LAUNCHER 授予 授予额 额外的安全 OpenShift Virtualization 插件的数据保护 来备份包 含虚拟机的命名空间。 管理员现在可以通过编辑 HyperConverged CR 来声明性 创建和公开介质设备，如虚拟图形处理 单元(vGPU)。然后，虚拟机所有者可将这些设备分配给虚拟机。 您可以通过将单个 NodeNetworkConfigurationPolicy 清单应用到集群 来传输附加到桥接的静 态 IP 配置。 CPU 数量 虚拟机请求的虚拟图形卡数 如果您的环境包含单一根 I/O 虚拟化（SR-IOV）网络设备或图形处理单元（GPU），请为每个设备分配 1 GiB 额外的内存开销。 4.1.2.2. CPU 开 开销 使用以下内容计算 OpenShift Virtualization 的集群处理器开销要求。每个虚拟机的 CPU 开销取决于您的 单独设置。 集群 集群 CPU 开 开销 CPU overhead

VIRTUALIZATION 7.2. 关于更新 OPENSHIFT VIRTUALIZATION 7.3. 防止在 EUS 到 EUS 更新过程中进行工作负载更新 7.4. 配置工作负载更新方法 7.5. 批准待处理的 OPERATOR 更新 7.6. 监控更新状态 7.7. 其他资源 5 5 5 6 6 7 7 8 9 10 11 11 12 13 15 15 15 16 17 17 21 有零数据包丢失的 Data Plane Development Kit (DPDK) 工作负载的虚拟机。 您可以将 虚拟机配置为运行 DPDK 工作负载，以实现较低延迟和更高的吞吐量，以便在用户空间 中更快地处理数据包。 现在，您可以使用其完全限定域名 (FQDN) 从集群外部访问附加到二级网络接口的虚拟机。 现在，您可以使用 OpenShift Virtualization 虚拟机托管的 worker 虚拟机请求的虚拟图形卡数。 额外的内存开销： 如果您的环境包含单一根 I/O 虚拟化（SR-IOV）网络设备或图形处理单元（GPU），请为 每个设备分配 1 GiB 额外的内存开销。 6.1.2.2. CPU 开 开销 使用以下内容计算 OpenShift Virtualization 的集群处理器开销要求。每个虚拟机的 CPU 开销取决于您的 单独设置。 集群 集群 CPU 开 开销 CPU overhead

Container Platform 监控堆 栈所依据的监控系统。Prometheus 是一个时间序列数 据库和用于指标的规则评估引擎。Prometheus 将警报 发送到 Alertmanager 进行处理。 Prometheus Adapter Prometheus Adapter（上图中的 PA）负责转换 Kubernetes 节点和 Pod 查询以便在 Prometheus 中使 用。转换的资源指标包括 的集群资源指标 API。Prometheus Adapter 也用于 oc adm top nodes 和 oc adm top pods 命令。 Alertmanager Alertmanager 服务处理从 Prometheus 接收的警报。 Alertmanager 还负责将警报发送到外部通知系统。 kube-state-metrics 代理 kube-state-metrics 导出器代理（上图中的 CONTAINER PLATFORM 监控的常见术语表 此术语表定义了 OpenShift Container Platform 架构中使用的常见术语。 Alertmanager Alertmanager 处理从 Prometheus 接收的警报。Alertmanager 还负责将警报发送到外部通知系统。 警 警报规则 报规则 警报规则包含一组概述集群中特定状态的条件。当这些条件满足时会触发警报。可为警报规则分配一

此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题。 1.2.2.18.1. Red Hat OpenShift Service Mesh 处理 URI 片段的方式改变 Red Hat OpenShift Service Mesh 包含一个可远程利用的漏洞 CVE-2021-39156，其中 HTTP 请求带有片 段（以 # 字符开头的 URI 1.2.2.23.2. 更新路径规范化配置 Istio 授权策略可能基于 HTTP 请求中的 URL 路径。路径规范化 （也称为 URI 规范化）、修改和标准化传 入请求的路径，以便能够以标准的方式处理规范化路径。在路径规范化后，同步不同路径可能是等同的。 Istio 在根据授权策略和路由请求前，支持请求路径中的以下规范化方案： 表 1.1. 规范化方案 选项 选项 描述 描述 示例 示例 备 MERGE_SLASHES 根据 RFC 3986 规范化请求路径，解码 百分比编码 的斜杠以及合并斜杠。 DECODE_AND_MERGE_SLASHES 以与 RFC 3986 不兼容的方式处理请求路径。 NONE 1.2.2.23.4. 为路径规范化配置 SMCP 要为 Red Hat OpenShift Service Mesh 配置路径规范化，请在 ServiceMeshControlPlane

Kubernetes 体验。 第 第 1 章 章 架 架构 构概述 概述 3 部署 部署 维护应用程序生命周期的 Kubernetes 资源对象。 Docker 包含要在终端执行以编译镜像的用户命令的文本文件。 托管 托管 control plane OpenShift Container Platform 功能，允许从其 data plane 和 worker 在 OpenShift Container 定期检查节点进行配置偏移的守护进程。 Machine Config Operator（ （MCO） ） 将新配置应用到集群机器的 Operator。 机器配置池 机器配置池 (MCP) 一组基于它们处理的资源的机器（如 control plane 组件或用户工作负载）。 metadata 有关集群部署工件的附加信息。 微服 微服务 务 编写软件的方法。应用程序可以使用微服务相互独立，划分为最小的组件。 集群中管理持久性和非持久性数据的容器存储。 Telemetry 此组件用于收集 OpenShift Container Platform 的大小、健康和状态等信息。 模板 模板 模板描述了一组可参数化和处理的对象，用于生成对象列表，供 OpenShift Container Platform 用于 创建。 用 用户 户置 置备 备的基 的基础 础架 架构 构 您可以在自己提供的基础架构上安装 OpenShift

Installer）部署集群。对于可以连接到 互联网的网络，这是一个理想的方法。Assisted Installer 是安装 OpenShift Container Platform 的最简单方法，它提供智能默认值，并在安装集群前执行预动态验证。它还提供了一个 RESTful API 用于自动化和高级配置场景。 本地基于代理的 本地基于代理的 ：对于断开连接的环境或有网络限制的环境，您可以使用基于代理的安装程序。 负载均衡、存储和所有集群机器。 要使用基于代理的安装程序部署集群，您可以首先下载基于代理的安装程序。然后，您可以配置 集群并生成发现镜像。您可以使用发现镜像引导集群机器，它会安装一个与安装程序进行通信的 代理，并为您处理置备，您不需要与安装程序进行交互或自行设置置备程序机器。您需要提供所 有集群基础架构和资源，包括网络、负载均衡、存储和单个集群机器。这个方法适用于断开连接 的环境。 对于具有安装程序置备的基础架构 用户界面会提示您输入所需的值，并为其余参数提供合理的默认值，除非在用户界 面或使用 API 中更改它们。Assisted Installer 生成发现镜像，您可以下载并用来引导集群机器。镜像安装 RHCOS 和代理，代理会为您处理置备。您可以使用 Assisted Installer 安装 OpenShift Container Platform，并在 Nutanix、vSphere 和裸机上完全集成。另外，您可以在其他没有集成的情况下使用

Installer）部署集群。对于可以连接到 互联网的网络，这是一个理想的方法。Assisted Installer 是安装 OpenShift Container Platform 的最简单方法，它提供智能默认值，并在安装集群前执行预动态验证。它还提供了一个 RESTful API 用于自动化和高级配置场景。 本地基于代理的 本地基于代理的 ：对于断开连接的环境或有网络限制的环境，您可以使用基于代理的安装程序。 负载均衡、存储和所有集群机器。 要使用基于代理的安装程序部署集群，您可以首先下载基于代理的安装程序。然后，您可以配置 集群并生成发现镜像。您可以使用发现镜像引导集群机器，它会安装一个与安装程序进行通信的 代理，并为您处理置备，您不需要与安装程序进行交互或自行设置置备程序机器。您需要提供所 有集群基础架构和资源，包括网络、负载均衡、存储和单个集群机器。这个方法适用于断开连接 的环境。 对于具有安装程序置备的基础架构 用户界面会提示您输入所需的值，并为其余参数提供合理的默认值，除非在用户界 面或使用 API 中更改它们。Assisted Installer 生成发现镜像，您可以下载并用来引导集群机器。镜像安装 RHCOS 和代理，代理会为您处理置备。您可以使用 Assisted Installer 安装 OpenShift Container Platform，并在 Nutanix、vSphere 和裸机上完全集成。另外，您可以在其他没有集成的情况下使用

概念，允许您专注于开发应用程序。 创 创建 建 CI/CD 管道 管道 ：管道是无服务器、云原生、持续集成和在隔离容器中运行的持续部署系统。它 们使用标准的 Tekton 自定义资源来实现部署自动化，并为处理基于微服务的架构的非中心化团队 设计。 部署 部署 Helm chart:Helm 3 是一个软件包管理器，可帮助开发人员在 Kubernetes 中定义、安装和更 新应用程序软件包。Helm Chart ：OpenShift Container Platform 中的网络由 Cluster Network Operator (CNO)管理。 CNO 使用 kube-proxy 中的 iptables 规则用来处理在这些节点上运行的节点和 pod 间的网络流 量。Multus Container Network Interface 添加了将 多网络接口附加到 pod 的功能。使用网络策 略功能，您可以隔离 pod 较 OpenShift Kubernetes Engine OpenShift Container Platform 完全自 完全自动 动化安装程序 化安装程序 是 是 无 无线 线智能升 智能升级 级 是 是 企 企业 业集安全 集安全 Kubernetes 是 是 kubectl 和 和 oc 自 自动 动命令行 命令行 是 是 Operator Lifecycle Manager

267 269 269 OpenShift Container Platform 4.14 机器管理 机器管理 2 目 目录 录 3 第 1 章 机器管理概述 您可以使用机器管理来灵活地处理底层基础架构，如 Amazon Web Services (AWS)、Microsoft Azure、 Google Cloud Platform (GCP)、Red Hat OpenStack Platform Container Platform 集群可以 水平扩展和缩减。 机器管理作为自定义资源定义 (CRD) 实施。CRD 对象在集群中定义了一个新的唯一对象 Kind，并允许 Kubernetes API 服务器处理对象的整个生命周期。 Machine API Operator 置备以下资源： MachineSet 机器 机器 ClusterAutoscaler MachineAutoscaler MachineHealthCheck 以外的目的。本例使用这两者来演示能够提高 指定放置组内机器的网络性能的配置。 先决条件 先决条件 您在 AWS 控制台中创建了放置组。 注意 注意 确保您创建的放置组类型的规则和限制与预期的用例兼容。 流程 流程 1. 在文本编辑器中，为现有机器集打开 YAML 文件或创建新机器。 2. 编辑 providerSpec 字段中的以下行： 指定支持 EFA 的实例类型。 指定 EFA 网络接口类型。 指定区域，如 us-east-1a。

Jaeger Collector (Collector, Queue, Workers)- 与 Jaeger 代理类似，Jaeger Collector 接收 span，并将它们放置在内部队列中进行处理。这允许 Jaeger Collector 立即返回到客户端/代 理，而不是等待 span 变为存储。 Storage (Data Store) - 收集器需要一个持久的存储后端。Red Hat OpenShift Collector 和 Elasticsearch 后端存储之间有效发挥 作用的流传输功能，以此增强 production 策略。这样做的好处是在高负载情况下降低后端存 储压力，并允许其他 trace 后处理功能直接从流传输平台 (AMQ Streams/ Kafka) 中利用实 时 span 数据。 注意 注意 streaming 策略需要额外的 AMQ Streams 订阅。 注意 注意 目前 OpenShift Container Platform CLI。 2. 创建一个名为 tracing-system 的新项目。 3. 创建一个名为 jaeger.yaml 的自定义资源文件，其中包含以下文本： 示例 示例 Jaeger-all-in-one.yaml 4. 运行以下命令来部署分布式追踪平台： 5. 在安装过程中运行以下命令来监控 pod 的进度： 安装过程完成后，您应该看到类似以下示例的输出：