配置持久性存储 2.10. 配置远程写入存储 2.11. 控制用户定义的项目中未绑定指标属性的影响 第 第 3 章 章 配置外部 配置外部 ALERTMANAGER 实 实例 例 3.1. 在时间序列和警报中附加额外标签 3.2. 为监控组件设置日志级别 3.3. 为 PROMETHEUS 启用查询日志文件 3.4. 为 THANOS QUERIER 启用查询日志记录 第 第 4 章 章 为 章 章 监 监控概述 控概述 5 Prometheus Prometheus 是 OpenShift Container Platform 监控堆 栈所依据的监控系统。Prometheus 是一个时间序列数 据库和用于指标的规则评估引擎。Prometheus 将警报 发送到 Alertmanager 进行处理。 Prometheus Adapter Prometheus Adapter（上图中的 由一个或多个容器组成，可在 worker 节点上运行。 Prometheus Prometheus 是 OpenShift Container Platform 监控堆栈所依据的监控系统。Prometheus 是一个时间 序列数据库和用于指标的规则评估引擎。Prometheus 将警报发送到 Alertmanager 进行处理。 Prometheus adapter Prometheus Adapter 会转换

更新 更新 1.1. OPENSHIFT 更新简介 1.2. 集群更新如何工作 1.3. 了解更新频道和发行版本 1.4. 了解 OPENSHIFT CONTAINER PLATFORM 更新持续时间 第 第 2 章 章 准 准备 备更新集群 更新集群 2.1. 准备升级到 OPENSHIFT CONTAINER PLATFORM 4.14 2.2. 准备使用手动维护的凭证更新集群 2.3. 频道。这个延迟代表了 fast 和 stable 频道之间的唯一区别。 注意 注意 对于最新的 z-stream 版本，这个延迟通常是一周或两周。但是，初始更新到最新 次版本的延迟可能需要更长的时间，通常为 45-90 天。 提升到 stable 频道的版本同时提升到 eus 频道。eus 频道的主要目的是，为了方便执行 EUS 到 EUS 更新的集群。 stable 频 频道安全或大于 道安全或大于 频道中为发行版本发现了回归问题，它将被解析为与 stable 频道中发布的回归问题 相同的扩展。 fast 和 stable 频道中发行版本的唯一区别在于，一个发行版本仅会在出现在 fast 频道一段时间 后才会出现在 stable 频道中，这样做可以有更长的时间来发行在更新中可能存在的风险。 在这个延迟后，fast 频道中可用的发行版本始终在 stable 频道中可用。 如果一个更新被支持但不推荐使用意味着什么？ 如果一个更新被支持但不推荐使用意味着什么？

数及其警告信息。(LOG-3074) 在此次更新之前，Kibana 有一个固定的 24h OAuth cookie 过期时间，当 accessTokenInactivityTimeout 字段被设置为小于 24h 的值时，会导致 Kibana 中的 401 错误。 在这个版本中，Kibana 的 OAuth cookie 过期时间与 accessTokenInactivityTimeout 同步，默 认值为 24h。(LOG-3306) 在此次更新之前，收集器会被阻断，因为它在将日志转发到 fluentd 转发接收器时不断尝试使用 过时的连接。在这个版本中，keepalive_timeout 值被设置为 30 秒(30s)，以便收集器回收连接 并重新尝试在合理的时间内发送失败消息。(LOG-2534) 在此次更新之前，网关组件强制租期中的错误，用于读取带有 Kubernetes 命名空间的日志的有限 访问会导致 "audit" 以及一些 "infrastructure" ，服务帐户使用角色和 rolebinding 限制到 openshift-logging 命名空间。(LOG-2437) 在此次更新之前，Linux 审计日志时间解析依赖于键/值对的正序位置。此更新会将解析更改为使 用正则表达式来查找时间条目。(LOG-2321) 1.8.2. CVE 例 例 1.3. 点 点击 击以展开 以展开 CVE CVE-2018-25032 CVE-2021-4028

日志转发器的高级配置 4.2.5. 如果不使用默认的 Elasticsearch 日志存储，请删除未使用的组件 4.3. 配置日志存储 4.3.1. 将审计日志转发到日志存储 4.3.2. 配置日志保留时间 4.3.3. 为日志存储配置 CPU 和内存请求 4.3.4. 为日志存储配置复制策略 4.3.5. 缩减 Elasticsearch pod 4.3.6. 为日志存储配置持久性存储 4.3 盘低水位 低水位线 线、磁 磁盘 盘高水位 高水位线 线或磁 磁盘 盘洪水 洪水 Stage 水位 水位线 线阈值时，警报会应用过去几个警告。这个警告周期为您提供了在节点达到磁盘水位线阈值 前响应的时间。警告消息也提供故障排除步骤的链接，您可以按照这些链接来帮助缓解问题。EO 应用过去几小时的磁盘空间数据到线性模型来生成这些警告。（LOG-1100） JSON 日志现在可以作为 JSON 对象（而不是带引号的字符串）转发到红帽受管 Curator 已被移除，不再被支持。Elasticsearch Curator 可帮助您在 OpenShift Container Platform 4.4 及更早版本中对索引进行策展或管理。配置日志保留时间，而不是使 用 Elasticsearch Curator。 1.2.1.2.2. 使用旧的 使用旧的 Fluentd 和旧 和旧 syslog 方法 方法转发 转发日志已被弃用 日志已被弃用 从

创建 daemonset 4.2. 使用任务在 POD 中运行任务 4.2.1. 了解作业和 cron 作业 4.2.1.1. 了解如何创建作业 4.2.1.2. 了解如何为作业设置最长持续时间 4.2.1.3. 了解如何为 pod 失败设置作业避退策略 4.2.1.4. 了解如何配置 Cron Job 以移除工件 4.2.1.5. 已知限制 4.2.2. 创建作业 4.2.3. 创建 牌的 secret 卷提供一个 临时卷。 如果将具有高文件数的持久性卷附加到 pod，则这些 pod 可能会失败，或者可能需要很长时间才能 启动。如需更多信息，请参阅在 OpenShift 中使用具有高文件计数的持久性卷时，为什么 pod 无法 启动或占用大量时间来实现"Ready"状态？ 注意 注意 status: 'False' lastProbeTime: null 的一部分，可以像其他对象类型一样通过 oc 命令进行管理。它们允许在 操作过程中指定 pod 的安全约束，比如为维护而清空节点。 PodDisruptionBudget 是一个 API 对象，用于指定在某一时间必须保持在线的副本的最小数量或百分 比。在项目中进行这些设置对节点维护（比如缩减集群或升级集群）有益，而且仅在自愿驱除（而非节点 失败）时遵从这些设置。 PodDisruptionBudget 对象的配置由以下关键部分组成：

部署应用程序 您可以使用 Deployment 或 DeploymentConfig 对象部署应用程序，并从 Web 控制台管理应用程序。您 可以创建部署策略，以帮助减少更改期间或升级到应用程序的停机时间。 您还可以使用 Helm，它是一个软件包管理器，简化了应用程序和服务部署到 OpenShift Container Platform 集群的过程。 1.3. 使用 RED HAT MARKETPLACE ： 最小 Pod 决定 Knative 服务在任意给定时间运行的 pod 数量较低限制。这也被称为 minScale 设置。 最大 Pod 决定了 Knative 服务可在任意给定时间运行的 pod 数量上限。这也被称为 maxScale 设置。 并发目标 决定了给定时间每个应用程序实例所需的并发请求数。 并发限制 决定了给定时间允许每个应用程序的并发请求数的限值。 并发利用率 决定了在 决定了在 Knative 扩展额外 pod 前必须满足并发请求限制的百分比，以处理额外 的流量。 自动扩展窗口定义了平均时间窗口，以便在自动扩展器不处于 panic 模式时提供缩放决策的输 入。如果在此窗口中没有收到任何请求，服务将缩减为零。autoscale 窗口的默认持续时间为 60s。这也被称为 stable 窗口。 资源限值 点击 Resource Limit 链接，设置容器在运行时保证或允许使用的

创建 daemonset 4.2. 使用任务在 POD 中运行任务 4.2.1. 了解作业和 cron 作业 4.2.1.1. 了解如何创建作业 4.2.1.2. 了解如何为作业设置最长持续时间 4.2.1.3. 了解如何为 pod 失败设置作业避退策略 4.2.1.4. 了解如何配置 Cron Job 以移除工件 4.2.1.5. 已知限制 4.2.2. 创建作业 4.2.3. 创建 牌的 secret 卷提供一个 临时卷。 如果将具有高文件数的持久性卷附加到 pod，则这些 pod 可能会失败，或者可能需要很长时间才能 启动。如需更多信息，请参阅在 OpenShift 中使用具有高文件计数的持久性卷时，为什么 pod 无法 启动或占用大量时间来实现"Ready"状态？ 注意 注意 status: 'False' lastProbeTime: null 的一部分，可以像其他对象类型一样通过 oc 命令进行管理。它们允许在 操作过程中指定 pod 的安全约束，比如为维护而清空节点。 PodDisruptionBudget 是一个 API 对象，用于指定在某一时间必须保持在线的副本的最小数量或百分 比。在项目中进行这些设置对节点维护（比如缩减集群或升级集群）有益，而且仅在自愿驱除（而非节点 失败）时遵从这些设置。 PodDisruptionBudget 对象的配置由以下关键部分组成：

部署应用程序 您可以使用 Deployment 或 DeploymentConfig 对象部署应用程序，并从 Web 控制台管理应用程序。您 可以创建部署策略，以帮助减少更改期间或升级到应用程序的停机时间。 您还可以使用 Helm，它是一个软件包管理器，简化了应用程序和服务部署到 OpenShift Container Platform 集群的过程。 1.3. 使用 RED HAT MARKETPLACE Pod 决定 Knative 服务在任意给定时间运行的 pod 数量较低限制。这也被称为 minScale 设置。 最大 最大 Pod 决定了 Knative 服务可在任意给定时间运行的 pod 数量上限。这也被称为 maxScale 设置。 并 并发 发目 目标 标 决定了给定时间每个应用程序实例所需的并发请求数。 并 并发 发限制 限制 决定了给定时间允许每个应用程序的并发请求数的限值。 并 Knative 扩展额外 pod 前必须满足并发请求限制的百分比，以处理额外 的流量。 自 自动扩 动扩展窗口 展窗口定义了平均时间窗口，以便在自动扩展器不处于 panic 模式时提供缩放决策的输 入。如果在此窗口中没有收到任何请求，服务将缩减为零。autoscale 窗口的默认持续时间为 60s。这也被称为 stable 窗口。 资 资源限 源限值 值 OpenShift Container Platform

s、m 和 h，具体参见 Go 时间 时间 包 文档。 注意 由于 OpenShift Container Platform 4.3 及更高版本中引进了性能改进， 不再需要调整 iptablesSyncPeriod 参数。 proxyArguments.iptables- min-sync-period array 刷新 iptables 规则前的最短持续时间。此字段确保刷 新的频率不会过于频繁。有效的后缀包括 OPERATOR 31 1 2 您可以配置成功或失败缓存的最长持续时间（分别也称为正缓存或负缓存），由 CoreDNS 执行。调整 DNS 查询响应缓存持续时间可减少任何上游 DNS 解析器的负载。 流程 流程 1. 运行以下命令来编辑名为 default 的 DNS Operator 对象： 2. 修改生存时间 (TTL) 缓存值： 配置 DNS 缓存 CoreDNS 会将字符串值 Controller，headerBufferMaxRewriteBytes 值太大可能会导致 Ingress Controller 使用比必要大得多的内存。 healthCheckInterval 指定路由器在健康检查之间等待的时间。默认 值为 5s。 serverFinTimeout 指定连接在等待服务器响应关闭连接时保持打开 的时长。默认超时为 1s。 serverTimeout 指定连接在等待服务器响应时保持打开的时长。默认

install-config.yaml 文件示例 1.6.8.2. 在安装过程中配置集群范围代理 1.6.9. 创建 Kubernetes 清单和 Ignition 配置文件 1.6.10. 配置 chrony 时间服务 1.6.11. 提取基础架构名称 1.6.12. 在 vSphere 中创建 Red Hat Enterprise Linux CoreOS (RHCOS) 机器 1.6.13. 在 vSphere Platform 前考虑升级到 6.7U3 或 7.0。 重要 重要 您必须确保在安装 OpenShift Container Platform 前同步 ESXi 主机上的时间。请参阅 VMware 文档中的编辑主机时间配置。 1.1.4. 网络连接要求 您必须配置机器之间的网络连接，以允许 OpenShift Container Platform 集群组件进行通信。 查看有关所需网络端口的以下详细信息。 Container Platform 集群前，必须创建以下网络资源： 注意 注意 建议集群中的每个 OpenShift Container Platform 节点都可以访问可通过 DHCP 发现的网 络时间协议（NTP）服务器。没有 NTP 服务器也可安装。但是，异步服务器时钟将导致错 误，NTP 服务器会阻止。 所需的 IP 地址 安装程序置备的 vSphere 安装需要这些静态 IP 地址： API