the OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供了有关如何在 OpenShift Container Platform 中使用 Service Mesh 的信息. . . . . . . . . . . . . . . . . . . . Service Mesh Operator 支持部署多个版本的 ServiceMeshControlPlane，所以 Service Mesh 没有为产品的次版本维护单独的文档。 除非在一个特定主题或特定功能中明确指定了特定的版本，当前的文档集适用于所有当前 支持的 Service Mesh 版本。 如需有关 Red Hat OpenShift Service Mesh 生命周期和支持的平台的更多信息，请参阅平 程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH 发行注记 1.2.1. 使开源包含更多 红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始： master、 slave、blacklist 和 whitelist。这些更改将在即将发行的几个发行本中逐渐实施。有关更多详情，请参阅我 们的首席技术官

the OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供有关在 OpenShift Container Platform 中使用 Operator 的信息。文中为集群管理员提供 了 Operator 的安装和管理说明，为开发人员提供了如何通过所安装的 Operator 的部署和 RBAC 模型。 捆绑包包括每个目录的一个 CSV，一般情况下，用来定义 CRD 所拥有的 API 的 CRD 位于 /manifest 目 录中。 捆绑包格式布局示例 包格式布局示例 额外支持的 外支持的对象 象 以下对象类型也可以包括在捆绑包的 /manifests 目录中： 支持的可 支持的可选对象 象类型 型 ClusterRole ClusterRoleBinding .indexignore 文件忽略非目录文件，这些文件对模式和优先级与 .gitignore 文件具有相同的规 则。 示例 示例 .indexignore 文件 文件 目录维护人员具有选择所需的布局的灵活性，但建议将每个软件包基于文件的目录 Blob 存储在单独的子 目录中。每个单独的文件可以是 JSON 或 YAML；目录中的每一文件并不需要使用相同的格式。 基本推荐 基本推荐结构 此推

the OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供了有关如何在 OpenShift Container Platform 4.2 中使用 Service Mesh 的信息 . . . . . . . . . . . . . . . . . . 如果您在执行本文档所述的某个流程时遇到问题，请访问红帽客户门户。您可通过该客户门户： 搜索或浏览红帽知识库，了解有关红帽产品的技术支持文章。 提交问题单给红帽支持。 注意 注意 在提交问题单的同时提供您的集群信息，可以帮助红帽支持为您进行排除故障。 这类信息可使用 oc adm must-gather 命令来收集。 唯一的集群 ID。 访问其他产品文档。 如果您对本文档有任何改进建议，或发现了任何错误，请访问 不支持 IPv6 ，因为上游 Istio 项目不支持它，OpenShift 也不完 全支持它。 图形布局 - Kiali 图形的布局会根据应用程序构架和要显示的数据（图形节点数目及其交互）的不 同而有所变化。因为创建一个统一布局的难度较大，所以 Kiali 提供了几种不同布局的选择。要选 择不同的布局，可从 Graph Settings 菜单中选择一个不同的 Layout Schema。 1.4.1

(RHSA-2023:5006)现已正式发布。此发行版本使用 Kubernetes 1.27 和 CRI-O 运行时。OpenShift Container Platform 4.14 的新功能、改变以及已知的问题包括在此文档中。 OpenShift Container Platform 4.14 集群位于 https://console.redhat.com/openshift。使用 OpenShift Container 文章进行更新。 RHCOS 容器主机不支持 RHEL 6 基础镜像容器，但在 RHEL 8 worker 节点上支持。如需更多信 息，请参阅红帽容器兼容性列表。 有些设备驱动程序已弃用，请参阅RHEL 文档 以了解更多信息。 1.3.2. 安装和更新 1.3.2.1. 使用共享 使用共享 VPC 在 在 Amazon Web Services (AWS) 上安装集群 上安装集群 在 OpenShift 机（技术预览 术预览） ） 您可以在 Azure 上安装集群时启用机密虚拟机。您可以在安装过程中使用机密计算来加密虚拟机客户机状 态存储。这个功能只是一个技术预览，它存在一些已知的问题，这些问题在本文档的已知问题部分列出。 如需更多信息，请参阅 启用机密虚拟机。 1.3.2.9. Azure 的可信 的可信启动 启动（技 （技术预览 术预览） ） 在 Azure 上安装集群时，您可以启用可信启

the OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供在裸机环境中安装和卸载 OpenShift Container Platform 集群的说明。 . . . . . . . . . . . . . . . . . . . . . . . . 集群默认配置为使用公共网络时间协议（NTP）服务器。如果要使用本地 企业 NTP 服务器，或者集群部署在断开连接的网络中，您可以将集群配置为使用特定的时间服务器。如 需更多信息，请参阅配置 chrony 时间服务的文档。 如果 DHCP 服务器提供 NTP 服务器信息，Red Hat Enterprise Linux CoreOS（RHCOS）机器上的 chrony 时间服务会读取信息，并可与 NTP 服务器同步时钟。 过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 24 小时证书从 16 小时轮转至 22 小时。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装

the OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档提供了有关使用和定制 OpenShift Container Platform web 控制台的信息。 . . . . . . . . . . . . . . . . . . . . . . . ConsoleYAMLSample。 2. 点 YAML 并编辑该文件： 使用 spec.snippet 表示 YAML 样本不是完整的 YAML 资源定义，而是可在用户光标处的现有 YAML 文档中插入的片段。 links: - href: 'https://www.example.com/public/foo.tar' text: foo for linux - href: 提 供 Web Terminal 功能。要卸载 Web Terminal Operator 版本 1.2.1 及以下版本，请参阅 OpenShift Container Platform 4.7 的文档。 流程 流程 1. 使用 Web 控制台卸载 Web Terminal Operator： a. 在 web 控制台的 Administrator 视角中，导航到 Operators → Installed

第 第 7 章 章 在 在 OPENSHIFT CONTAINER PLATFORM 中使用 中使用 ARGOCD 7.1. ARGOCD 做什么？ 7.2. 支持声明 7.3. ARGOCD 文档 第 第 8 章 章 准入插件 准入插件 8.1. 关于准入插件 8.2. 默认准入插件 8.3. WEBHOOK 准入插件 8.4. WEBHOOK 准入插件类型 8.5. 配置动态准入 8 群包含标 准 master 和 worker 角色类型的定义。 注意 注意 集群还包含 bootstrap 角色的定义。由于 bootstrap 机器仅在集群安装期间使用，因此其 功能在集群安装文档中阐述。 3.1.1.1. 集群 集群 worker 在 Kubernetes 集群中，worker 节点是运行和管理 Kubernetes 用户请求的实际工作负载的地方。worker 节点公告其容量，而作为 如果将集群安装到集群置备的基础架构上，则要在安装过程中将 RHCOS 镜像下载到目标平台， 并且使用控制 RHCOS 配置的合适 Ignition 配置文件来部署机器。 如果将集群安装到您自己管理的基础架构上，则必须遵循安装文档来获取 RHCOS 镜像，生成 Ignition 配置文件，并且使用 Ignition 配置文件来置备机器。 5.1.1. RHCOS 主要功能 下表描述了 RHCOS 操作系统的主要功能： 基于

过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签 名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在 集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置 OpenShift Container Platform 的 Remote Health 功能来识别和缓解安全 性、性能、可用性和稳定性风险。请参阅 OpenShift Container Platform 文档中的使用 Insights 发现集群 中的问题。 4.3.5. 机器池标签 如果有足够的可用配额或编辑现有机器池，Machine pool 选项卡允许集群所有者创建新的机器池。 选择 More 架构 构 24 更新状 更新状态 态显示当前的版本，以及是否有可用的更新。 4.4. 其他资源 如需 OpenShift Cluster Manager 的完整文档，请参阅 OpenShift Cluster Manager 文档。 第 第 4 章 章 RED HAT OPENSHIFT CLUSTER MANAGER 25 第 5 章 CONTROL PLANE 架构 control

过期的证书。一个例外情况是，您需要手动批准待处理的 node-bootstrapper 证 书签名请求（CSR）来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书中恢复的文档。 建议您在生成 12 小时后使用 Ignition 配置文件，因为集群安装后 24 小时证书从 16 小时轮转至 22 小时。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装 Container Platform 4.7 架 架构 构 18 注意 注意 集群还包含 bootstrap 角色的定义。由于 bootstrap 机器仅在集群安装期间使用，因此其 功能在集群安装文档中阐述。 4.1.2.1. control plane 和 和节点主机兼容性 点主机兼容性 control plane 主机和节点主机之间的 OpenShift Container Platform 如果将集群安装到集群置备的基础架构上，则要在安装过程中将 RHCOS 镜像下载到目标平台， 并且使用控制 RHCOS 配置的合适 Ignition 配置文件来部署机器。 如果将集群安装到您自己管理的基础架构上，则必须遵循安装文档来获取 RHCOS 镜像，生成 Ignition 配置文件，并且使用 Ignition 配置文件来置备机器。 6.1.1. RHCOS 主要功能 下表描述了 RHCOS 操作系统的主要功能： 基于

the OpenStack community. All other trademarks are the property of their respective owners. 摘要 摘要 本文档介绍在 OpenShift Container Platform 4.2 中创建和管理镜像及镜像流。另外还介绍如何使用 模板。 . . . . . . . . . . . . . . . . . 务器主机 名） 输入 registry 主机的主机名。确保您的主机名在 DNS 中，并且解析为预期的 IP 地址。 电子邮件地 址 输入您的电子邮件地址。如需了解更多信息，请参阅 OpenSSL 文档中的 req 说明。 4. 为 registry 生成使用 bcrpt 格式的用户名和密码： # htpasswd -bBc /opt/registry/auth/htpasswd Platform 中使用卷的更多信息，请参阅 Kubernetes 文档。 注意 注意 即使具有持久性卷，您的镜像的每个实例也都有自己的卷，且文件系统不会在实例之间共 享。这意味着卷无法用于共享集群中的状态。 其它 其它资 资源 源 Docker 文档 - 编写 Dockerfile 的最佳实践 Project Atomic 文档 - 容器镜像创建者指南 4.1.2. OpenShift Container