OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL 3.7. OAUTH 服务器元数据 3.8. OAUTH API 事件故障排除 第 第 4 身份 身份验证 验证和授 和授权 权概述 概述 5 OAuth 服 服务 务器 器 OpenShift Container Platform control plane 包含内置的 OAuth 服务器，用于决定用户身份来自配置 的身份提供程序并创建访问令牌。 OpenID Connect OpenID Connect 是一种协议，用于验证用户使用单点登录(SSO)来访问使用 OpenID 提供程序的站 规用 用户 户 首次登录时或通过 API 自动创建的用户。 请 请求 求标头 标头(Request header) 请求标头是一个 HTTP 标头，用于提供有关 HTTP 请求上下文的信息，以便服务器可以跟踪请求的响 应。 基于角色的 基于角色的访问 访问控制 控制 (RBAC) 重要的安全控制，以确保集群用户和工作负载只能访问执行其角色所需的资源。 服 服务帐户 务帐户 服务帐户供集群组件或应用程序使用。

获取 Ignition 配置文件。在初次启动过程中，需要一个 DHCP 服务器或设置了静态 IP 地址 来建立网络连接，以下载它们的 Ignition 配置文件。另外，集群中的每个 OpenShift Container Platform 节点都必须有权访问网络时间协议（NTP）服务器。如果 DHCP 服务器提供 NTP 服务器信息，Red Hat Enterprise Linux CoreOS（RHCOS）机器上的 CoreOS（RHCOS）机器上的 chrony 时间服务会读取信息，并可与 NTP 服务器同步时 钟。 1.1.3.3. 最低 最低资源要求 源要求 每台集群机器都必须满足以下最低要求： 机器 机器 操作系 操作系统 统 CPU [1] RAM 存 存储 储 IOPS [2] bootstrap RHCOS 4 16 GB 100 GB 300 Control plane RHCOS 4 16 GB 100 initramfs 中的网络从机器配 置服务器获取 Ignition 配置。 在初次启动过程中，需要一个 DHCP 服务器或集群中的每个机器都设置了静态 IP 地址来建立网络连接， 以下载它们的 Ignition 配置文件。 建议您使用 DHCP 服务器为集群进行长期机器管理。确保 DHCP 服务器已配置为向集群机器提供持久 IP 地址和主机名。 Kubernetes API 服务器必须能够解析集群机器的节点名称。如果

Kubernetes API 表 1.4. control plane 机器用于 control plane 机器通信的端口 协议 协议 端口 端口 描述 描述 TCP 2379-2380 etcd 服务器和对等端口 1.1.5. vCenter 要求 在使用安装程序置备的基础架构的 vCenter 上安装 OpenShift Container Platform 集群前，您必须准备自 己的环境。 中可能的集群数量主要受可用存储空间以及对所需资源数量的限制。确保 考虑集群创建的 vCenter 资源的限制和部署集群所需的资源，如 IP 地址和网络。 网络要求 网络必须使用 DHCP，并确保 DHCP 服务器被配置为为集群机器提供持久的 IP 地址。 注意 注意 在安装开始前，永久 IP 地址不可用。分配 DHCP 范围，在安装后，使用持久 IP 地址手动 替换分配。 另外，在安装 OpenShift 集群前，必须创建以下网络资源： 注意 注意 建议集群中的每个 OpenShift Container Platform 节点都可以访问可通过 DHCP 发现的网 络时间协议（NTP）服务器。没有 NTP 服务器也可安装。但是，异步服务器时钟将导致错 误，NTP 服务器会阻止。 所需的 IP 地址 安装程序置备的 vSphere 安装需要这些静态 IP 地址： API 地址用于访问集群 API。 Ingress 地址用于集群入口流量。

8.2.1. 节点要求 8.2.2. 使用虚拟介质安装的固件要求 8.2.3. 网络要求 8.2.3.1. 配置 NIC 8.2.3.2. 配置 DNS 服务器 8.2.3.3. DHCP 的要求 8.2.3.4. 使用 DHCP 服务器为节点保留 IP 地址 8.2.3.5. 网络时间协议（NTP） 8.2.3.6. State-driven 网络配置要求（技术预览） 8.2.3.7. 带外管理 订阅。 安装了 Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux(RHEL)8。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的免密码 sudo 访问。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 ，请指定您创建的镜像 registry 的 pull secret 的绝对路径和文 件名。 f. 导出发行版本镜像： 对于生产环境版本，您必须指定 ocp-release。 g. 为您的服务器导出构架类型，如 x86_64。 h. 导出托管镜像的目录的路径： 指定完整路径，包括开始的前斜杠(/)字符。 3. 将版本镜像(mirror)到镜像 registry： 如果您的镜像主机无法访问互联网，请执行以下操作：

订阅。 安装了 Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux(RHEL)8。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的免密码 sudo 访问。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 ，请指定您创建的镜像 registry 的 pull secret 的绝对路径和文 件名。 f. 导出发行版本镜像： 对于生产环境版本，您必须指定 ocp-release。 g. 为您的服务器导出构架类型，如 x86_64： h. 导出托管镜像的目录的路径： 指定完整路径，包括开始的前斜杠(/)字符。 3. 将版本镜像(mirror)到镜像 registry： 如果您的镜像主机无法访问互联网，请执行以下操作： openshiftcorp.com）。 4. 从托管区记录中提取新的权威名称服务器。请参阅 AWS 文档中的获取公共托管区的名称服务 器。 5. 更新域所用 AWS Route 53 名称服务器的注册商记录。例如，如果您将域注册到不同帐户中的 Route 53 服务，请参阅 AWS 文档中的以下主题：添加或更改名称服务器或粘附记录。 6. 如果使用子域，请将其委托记录添加到父域中。这为子域赋予

Container Platform 可以使用实施容器镜像 registry API 作为镜像源的任何服务器，供开发 人员推送和拉取其私有容器镜像。 公共 公共 registry OpenShift Container Platform 可以使用实施容器镜像 registry API 作为镜像源的任何服务器，供开发 人员推送和拉取其公共容器镜像。 RHEL OpenShift Container Platform Overview选项卡提供有关如何配置集群的信息： 集群 集群 ID是创建集群的唯一标识符。此 ID 可用于从命令行向集群发出命令。 Type 显示集群正在使用的 OpenShift 版本。 region 是服务器区域。 Provider 显示集群构建了哪些云供应商。 Availability 显示集群使用的可用区类型，可以是单个或者多区。 Version 是集群中安装的 OpenShift 版本。如果有可用的更新，您可以从此字段更新。 类别的服务包括 Kubernetes API 服务器、etcd、Kubernetes 控制器管理器和 Kubernetes 调度程序。 表 表 5.1. 在 在 control plane 上 上运 运行的 行的 Kubernetes 服 服务 务 组 组件 件 描述 描述 Kubernetes API 服务器 Kubernetes API 服务器验证并配置 pod、服务和复制控制器的数据。它还

无论您使用什么编程语言，OpenShift Local 都可以托管您的应用程序，并将最小预配置的 Red Hat OpenShift Container Platform 集群引入本地 PC，而无需基于服务器的基础架构。 在托管环境中，OpenShift Local 可以创建微服务，将它们转换为镜像，并在运行 Linux、macOS 或 Windows 10 或更高版本的笔记本电脑或桌面上直接运行它们。 安装了 Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux (RHEL) 8 和 9。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 OpenShift ，请指定您创建的镜像 registry 的 pull secret 的绝对路径和文 件名。 f. 导出发行版本镜像： 对于生产环境版本，您必须指定 ocp-release。 g. 为您的服务器导出构架类型，如 x86_64： h. 导出托管镜像的目录的路径： 指定完整路径，包括开始的前斜杠(/)字符。 $ OCP_RELEASE= $ LOCAL

类别的服务包括 Kubernetes API 服务器、etcd、Kubernetes 控制器管理器和 Kubernetes 调度程序。 表 表 4.1. 在 在 control plane 上 上运 运行的 行的 Kubernetes 服 服务 务 组 组件 件 描述 描述 Kubernetes API 服务器 Kubernetes API 服务器验证并配置 pod、服务和复制控制器的数据。它还 OpenShift API 服务器、OpenShift 控制器管理 器、OpenShift OAuth API 服务器和 OpenShift OAuth 服务器。 表 表 4.2. 在 在 control plane 上 上运 运行的 行的 OpenShift 服 服务 务 组 组件 件 描述 描述 OpenShift API 服务器 OpenShift API 服务器验证并配置 OpenShift OpenShift 资源（如项目、路由和模 板）的数据。 OpenShift API 服务器由 OpenShift API Server Operator 管理。 OpenShift 控制器管理器 OpenShift 控制器管理器监视 etcd 是否有 OpenShift 对象的更改，如项 目、路由和模板控制器对象，然后使用 API 来强制实施指定的状态。 OpenShift 控制器管理器由 OpenShift

节点，但由于 master 静态 Pod 和 etcd 静态 Pod 在相同的主机上工作，所以这个数量会受 etcd 仲裁的限制。 master 上属于 Kubernetes 类别的服务包括 API 服务器、etcd、Controller Manager Server 和 HAProxy 服务。 表 表 3.1. 在 在 control plane 上 上运 运行的 行的 Kubernetes 服 服务 第 第 3 章 章 OPENSHIFT CONTAINER PLATFORM CONTROL PLANE 13 组 组件 件 描述 描述 API Server Kubernetes API 服务器验证并配置 Pod、服务和复制 控制器的数据。它还为集群的共享状态提供一个焦 点。 etcd etcd 存储持久 master 状态，其他组件则监视 etcd 的 更改，以使其自身进入指定状态。 确保您的环境受相应工具的支持，让容 器能够： 创建为离散的微服务，可以连接到其他容器化和非容器化服务。例如，您可能希望将应用程序与 数据库衔接，或将监控应用程序附加到数据库。 具有弹性，因此在服务器崩溃或需要停机维护或退役时，容器可以在另一台机器上启动。 实现自动化，以自动获取代码更改，然后启动和部署自身的新版本。 得以扩展或复制，在需求增加时为客户端提供更多实例，在需求下降时缩减为更少的实例。

3. 为项目配置出口防火墙 13.3.1. 出口防火墙在一个项目中的工作原理 13.3.1.1. 出口防火墙的限制 13.3.1.2. 出口防火墙策略规则的匹配顺序 13.3.1.3. 域名服务器 (DNS) 解析如何工作 13.3.2. EgressNetworkPolicy 自定义资源 (CR) 对象 13.3.2.1. EgressNetworkPolicy 规则 13.3.2.2 通过创建路由公开服务 16.7.5. 其他资源 第 第 17 章 章 配置集群范 配置集群范围 围代理 代理 17.1. 先决条件 17.2. 启用集群范围代理 17.3. 删除集群范围代理服务器 其他资源 第 第 18 章 章 配置自定 配置自定义 义 PKI 18.1. 在安装过程中配置集群范围代理 18.2. 启用集群范围代理 18.3. 使用 OPERATOR 进行证书注入 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： OpenShift Container Platform 4.6 网 网络 络 10 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift Container Platform 中， 生成路由以满足 Ingress 资源指定的条件。 第 第 1 章 章 了解网 了解网络