章 章 OVN-KUBERNETES 网 网络 络插件 插件 27.1. 关于 OVN-KUBERNETES 网络插件 27.2. OVN-KUBERNETES 架构 27.3. OVN-KUBERNETES 故障排除 27.4. 使用 OVNKUBE-TRACE 追踪 OPENFLOW 27.5. 从 OPENSHIFT SDN 网络插件迁移 27.6. 回滚到 OPENSHIFT SDN SDN 网络供应商 27.7. 从 KURYR 网络插件迁移到 OVN-KUBERNETES 网络插件 27.8. 转换为 IPV4/IPV6 双栈网络 27.9. 出口防火墙和网络策略规则的日志记录 27.10. 配置 IPSEC 加密 27.11. 为项目配置出口防火墙 27.12. 查看项目的出口防火墙 27.13. 为项目编辑出口防火墙 27.14. 从项目中删除出口防火墙 27.15. 为项目禁用多播 27.21. 跟踪网络流 27.22. 配置混合联网 第 第 28 章 章 OPENSHIFT SDN 网 网络 络插件 插件 28.1. 关于 OPENSHIFT SDN 网络插件 28.2. 迁移到 OPENSHIFT SDN 网络插件 247 247 247 267 267 281 286 286 287 288 291 291 297 300 306 319

CONTROL PLANE 1.3. 关于面向开发人员的容器化应用程序 1.4. 关于 RED HAT ENTERPRISE LINUX COREOS(RHCOS)和 IGNITION 1.5. 关于准入插件 第 第 2 章 章 OPENSHIFT CONTAINER PLATFORM 架 架构 构 2.1. OPENSHIFT CONTAINER PLATFORM 简介 2.1.1. 关于 Kubernetes IGNITION 配置文件 6.3. 安装后更改 IGNITION 配置 第 第 7 章 章 准入插件 准入插件 7.1. 关于准入插件 7.2. 默认准入插件 7.3. WEBHOOK 准入插件 7.4. WEBHOOK 准入插件类型 7.4.1. 变异准入插件 7.4.2. 验证准入插件 7.5. 配置动态准入 7.6. 其他资源 28 28 29 29 29 30 31 Ignition 配置文件，并在安装后更改 Ignition 配置。 1.5. 关于准入插件 您可以使用 准入插件 来规范 OpenShift Container Platform 的功能。在资源请求经过身份验证并授权 后，准入插件会截获主 API 的资源请求，以验证资源请求并确保扩展策略遵循。准入插件用于强制实施安 全策略、资源限制或配置要求。 第 第 1 章 章 架 架构 构概述 概述

PLANE 1.4. 关于面向开发人员的容器化应用程序 1.5. ABOUT RED HAT ENTERPRISE LINUX COREOS (RHCOS) AND IGNITION 1.6. 关于准入插件 第 第 2 章 章 OPENSHIFT CONTAINER PLATFORM 架 架构 构 2.1. OPENSHIFT CONTAINER PLATFORM 简介 第 第 3 章 章 安装和更新 RHCOS 7.2. 查看 IGNITION 配置文件 7.3. 安装后更改 IGNITION 配置 第 第 8 章 章 准入插件 准入插件 8.1. 关于准入插件 8.2. 默认准入插件 8.3. WEBHOOK 准入插件 8.4. WEBHOOK 准入插件类型 8.5. 配置动态准入 8.6. 其他资源 3 3 6 6 7 7 7 9 9 14 14 19 20 20 OpenShift Container Platform 架构。 访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 安全性。 准入插件 准入插件 准入插件强制执行安全策略、资源限制或配置要求。 身份 身份验证 验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置用户身份验证，并确保 只有批准的用户访问集群。要与

36 36 37 37 37 OpenShift Container Platform 3.11 CLI 参考 参考 2 7.3. 安装插件 7.3.1. Plug-in Loader 7.3.1.1. 搜索顺序 7.4. 编写插件 7.4.1. plugin.yaml Descriptor 7.4.2. 建议的目录结构 7.4.3. 访问运行时属性 37 38 38 安装和编 编写 写扩 扩展。通常称 展。通常称为 为 插件（ 插件（plug-in） ） 或 或 二 二进 进制 制扩 扩展（ 展（binary extension） ）， ，这 这个功能允 个功能允许 许您 您扩 扩展默 展默认 认可用的 可用的 oc 命令集合，以 命令集合，以执 执行新的任 行新的任务 务。 。 插件是一 插件是一组 组文件：通常至少有一个 文件：通常至少有一个 描述符以及一个或多个二 描述符以及一个或多个二进 进制文件、脚本或 制文件、脚本或资产 资产文件。 文件。 CLI 插件目前 插件目前仅 仅在 在 oc plugin 子命令下可用。 子命令下可用。 重要 重要 CLI 插件目前 插件目前还 还是一个技 是一个技术预览 术预览功能。技 功能。技术预览 术预览功能不包括在 功能不包括在红 红帽生 帽生产 产服 服务级别协议

中使用 ARGOCD 7.1. ARGOCD 做什么？ 7.2. 支持声明 7.3. ARGOCD 文档 第 第 8 章 章 准入插件 准入插件 8.1. 关于准入插件 8.2. 默认准入插件 8.3. WEBHOOK 准入插件 8.4. WEBHOOK 准入插件类型 8.5. 配置动态准入 8.6. 其他资源 3 3 7 7 11 11 13 13 17 17 17 20 22 第 8 章 准入插件 8.1. 关于准入插件 准入（Admission）插件用于帮助规范 OpenShift Container Platform 4.3 的功能。在请求被验证并授权 后，准入插件截取到主 API 的请求，验证资源请求以确保符合相关的策略。例如，它们通常会被用来强制 执行安全策略、资源限制或配置要求。 准入插件以准入链的形式按序列运行。如果序列中的任何准入插件拒绝某个请求，则整个链将中止并返回 为每个资源类型都启用了默认的准入插件。这些是集群正常工作所需要 的。准入插件会忽略那些不由它们负责的资源。 除了默认的插件外，准入链还可以通过调用自定义 webhook 服务器的 webhook 准入插件动态进行扩展。 webhook 准入插件有两种： 变异准入插件和验证准入插件。变异准入插件会首先运行，它可以修改资源 并验证请求。验证准入插件会验证请求，并在变异准入插件之后运行，以便由变异准入插件触发的改变也 可以被验证。

. . . 6.4. 使用文件系统扩展持久性卷声明（PVC） 6.5. 在扩展卷失败时进行恢复 第 第 7 章 章 动态 动态置 置备 备 7.1. 关于动态置备 7.2. 可用的动态置备插件 7.3. 定义存储类 7.4. 更改默认存储类 104 105 106 106 106 107 113 OpenShift Container Platform 4.8 存 存储 储 Fiber 频 频道 道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个 节点上在预定义的卷插件路径中安装 FlexVolume 驱动程序二进制文件，并在某些情况下是 control plane 节点。 fsGroup fsGroup 定义 pod PersistentVolume API 对象定义，它代表了集群中现有存储的片段，这些存储可以由集群管理员 静态置备，也可以使用 StorageClass 对象动态置备。它与一个节点一样，是一个集群资源。 PV 是卷插件，与 Volumes 资源类似，但PV 的生命周期独立于任何使用它的 pod。PV 对象获取具体存 储（NFS、iSCSI 或者特定 cloud-provider 的存储系统）的实现详情。 重要 重要

jenkinsfile，或者将其存储在 Source Control Management 系统中。 采用 Pipeline 构建策略时，开发人员可以定义 Jenkins 管道，供 Jenkins 管道插件使用。构建可以由 OpenShift Container Platform 启动、监控和管理，其方式与任何其他构建类型相同。 Pipeline 工作流在 jenkinsfile 中定义，或直接嵌入在构建配置中，或者在 HTTP 或 HTTPS 协议才可以正常工作。 注意 注意 对于 Pipeline 策略构建，因为 Jenkins Git 插件当前限制的缘故，通过 Git 插件执行的任何 Git 操作都不会利用 BuildConfig 中定义的 HTTP 或 HTTPS 代理。Git 插件将仅使用 Plugin Manager 面板上 Jenkins UI 中配置的代理。然后，在所有任务中，此代理都会被用 于 Jenkins 对象类型提供了一种机制来保存敏感信息，如密码、OpenShift Container Platform 客户端配置文 件、dockercfg 文件和私有源存储库凭证等。secret 将敏感内容与 Pod 分离。您可以使用卷插件将 secret 信息挂载到容器中，系统也可以使用 secret 代表 Pod 执行操作。 YAML Secret 对 对象定 象定义 义 指示 secret 的键和值的结构。 data 字段中允许的键格式必须符合

4. 扩展本地卷 7.5. 使用文件系统扩展持久性卷声明（PVC） 7.6. 在扩展卷失败时进行恢复 第 第 8 章 章 动态 动态置 置备 备 8.1. 关于动态置备 8.2. 可用的动态置备插件 8.3. 定义存储类 8.4. 更改默认存储类 176 177 179 182 185 196 196 196 196 197 197 199 199 199 200 200 Fiber 频道 道 用于在数据中心、计算机服务器、交换机和存储之间传输数据的联网技术。 FlexVolume FlexVolume 是一个树外插件接口，它使用基于 exec 的模型与存储驱动程序进行接口。您必须在每个 节点上在预定义的卷插件路径中安装 FlexVolume 驱动程序二进制文件，并在某些情况下是 control plane 节点。 fsGroup fsGroup 定义 pod PersistentVolume API 对象定义，它代表了集群中现有存储的片段，这些存储可以由集群管理员 静态置备，也可以使用 StorageClass 对象动态置备。它与一个节点一样，是一个集群资源。 PV 是卷插件，与 Volumes 资源类似，但PV 的生命周期独立于任何使用它的 pod。PV 对象获取具体存 储（NFS、iSCSI 或者特定 cloud-provider 的存储系统）的实现详情。 重要 重要

OpenShift Container Platform 集群中部署和管理集群网络组件。这 包括在安装过程中为集群选择的 Container Network Interface(CNI)默认网络供应商插件部署。如需更多 信息，请参阅 OpenShift Container Platform 中的 Cluster Network Operator 。 3.2. DNS OPERATOR DNS Operator Interface（CNI）默认网络供应商插件。 4.1. CLUSTER NETWORK OPERATOR Cluster Network Operator 从 operator.openshift.io API 组实现 network API。Operator 通过使用守护 进程集，部署 OpenShift SDN 默认 Container Network Interface（CNI）网络供应商插件，或部署您在集 群安装过程中选择的默认网络供应商插件。 群安装过程中选择的默认网络供应商插件。 流程 流程 Cluster Network Operator 在安装过程中被部署为一个 Kubernetes 部署 部署。 1. 运行以下命令，以查看部署状态： 输 输出示例 出示例 2. 运行以下命令，以查看 Cluster Network Operator 的状态： 输 输出示例 出示例 以下字段提供有关 Operator 状态的信息：AVAILABLE、Progressing

14 现在支持基于 64 位 ARM 架构的 Google Cloud Platform 安装程序置 备的和用户置备的基础架构。现在，您可以在 64 位 ARM 集群中使用 oc mirror CLI 插件断开连接的环 境。有关实例可用性和安装文档的更多信息，请参阅支持的安装方法。 1.3.2.24. 为 为 Microsoft Azure 集群使用自定 集群使用自定义 义 RHCOS 镜 镜像 像 终端镜像。如需更多信息，请参阅配置 Web 终端。 1.3.4.1.1. 动态插件增 插件增强 在这个版本中，您可以添加自定义指标仪表板，并使用 QueryBowser 扩展集群的 Overview 页面。 OpenShift Container Platform 发行版本添加额外的扩展点，以便您可以添加不同类型的模式，设置活跃 命名空间，提供自定义错误页面，并为动态插件设置代理超时。 如需更多信息，请参阅 OpenShift OpenShift Container Platform 控制台 API 中的动态插件引用和 QueryBrowser。 1.3.4.1.2. OperatorHub 中基于操作系 中基于操作系统的 的过滤 在这个版本中，OperatorHub 会根据节点的操作系统过滤，因为集群可以包含异构节点。 1.3.4.1.3. 支持在 支持在 web 控制台中安装特定的 控制台中安装特定的 Operator 版本