/bin/sh -c 'if test -e /etc/kubernetes/manifests/kube- apiserver.yaml; then stat -c permissions=%a /etc/kubernetes/ manifests/kube-apiserver.yaml; fi' 1.1.2 Ensure that the API server pod specification file /bin/sh -c 'if test -e /etc/kubernetes/manifests/kube- apiserver.yaml; then stat -c %U:%G /etc/kubernetes/manifests/ kube-apiserver.yaml; fi' CIS 1.6 Benchmark - Self-Assessment Guide - Rancher v2.5.4 -e /etc/kubernetes/manifests/kube- controller-manager.yaml; then stat -c permissions=%a /etc/ kubernetes/manifests/kube-controller-manager.yaml; fi' 1.1.4 Ensure that the controller manager pod specification

设置为开机自启动 systemctl enable kubelet.service E. 部署 k8s master 节点 Step1: kubeadm.yaml vi kubeadm.yaml apiVersion: kubeadm.k8s.io/v1beta2 kind: ClusterConfiguration kubernetesVersion: v1 下载 k8s master images kubeadm config images pull --config kubeadm.yaml Step3: 安装 k8s master kubeadm init --config kubeadm.yaml Step4: 配置环境变量 vi /root/.bashrc export KUBECONFIG=/etc/kubernetes/admin bashrc Step5: 安装网络插件 calico wget https://docs.projectcalico.org/v3.8/manifests/calico.yaml vi calico.yaml ...... spec: containers: - env: - name: DATASTORE_TYPE value: kubernetes

need ● Declarations are yaml files which are easily stored and managed in git OpenShift GitOps Principles ● Separate application source code (Java/.Net/etc) from manifests (yaml) ● Deployment manifests manifests are standard k8s manifests ● Avoid duplication of yaml across environments ● Manifests should be applied with standard Openshift and k8s tooling Day 2 operations : All changes triggered from Git Kubernetes deployment tools including: ○ Helm ○ Kustomize ○ Ksonnet/Jsonnet ○ Directories of yaml ● It is not a CI tool What is an Argo CD Application? apiVersion: argoproj.io/v1alpha1 kind: Application

4.5.5.1.3. 可选配置参数 4.5.5.1.4. 可选的 AWS 配置参数 4.5.5.2. 支持的 AWS 机器类型 4.5.5.3. AWS 的自定义 install-config.yaml 文件示例 4.5.5.4. 在安装过程中配置集群范围代理 4.5.6. 部署集群 4.5.7. 通过下载二进制文件安装 OpenShift CLI 4.5.7.1. 在 Linux 上安装 6.6.1.3. 可选配置参数 4.6.6.1.4. 可选的 AWS 配置参数 4.6.6.2. 支持的 AWS 机器类型 4.6.6.3. AWS 的自定义 install-config.yaml 文件示例 4.6.6.4. 在安装过程中配置集群范围代理 4.6.7. Cluster Network Operator 配置 4.6.7.1. Cluster Network Operator 所需的配置参数 4.7.6.1.2. 网络配置参数 4.7.6.1.3. 可选配置参数 4.7.6.1.4. 可选的 AWS 配置参数 4.7.6.2. AWS 的自定义 install-config.yaml 文件示例 4.7.6.3. 在安装过程中配置集群范围代理 4.7.7. 部署集群 4.7.8. 通过下载二进制文件安装 OpenShift CLI 4.7.8.1. 在 Linux 上安装

├── etcdcluster.crd.yaml │ └── etcdoperator.clusterserviceversion.yaml │ └── secret.yaml │ └── configmap.yaml └── metadata └── annotations.yaml └── dependencies.yaml OpenShift Container 会删除并重新创建它。 2.2.1.2. 注解 注解 捆绑包还在其 /metadata 文件夹中包含 annotations.yaml 文件。此文件定义了更高级别的聚合数据，以 帮助描述有关如何将捆绑包添加到捆绑包索引中的格式和软件包信息： annotations.yaml 示例 示例 Operator 捆绑包的介质类型或格式。registry+v1 格式表示它包含 CSV 及其关联的 Kubernetes 应该订阅到的默认频道。 注意 注意 如果出现不匹配的情况，则以 annotations.yaml 文件为准，因为依赖这些注解的集群 Operator Registry 只能访问此文件。 2.2.1.3. 依 依赖项 Operator 的依赖项列在捆绑包的 metadata/ 目录中的 dependencies.yaml 文件中。此文件是可选的，目 前仅用于指明 Operator-version 依赖项。

OpenShift Container Platform 4.10 监 监控 控 12 2. 如果 ConfigMap 对象不存在： a. 创建以下 YAML 清单。在本例中，该文件名为 cluster-monitoring-config.yaml： b. 应用配置以创建 ConfigMap 对象： 2.3.2. 创建用户定义的工作负载监控配置映射 要配置用于监控用户定义项目的组件，您必须在 对象是否存在： 2. 如果 user-workload-monitoring-config ConfigMap 对象不存在： a. 创建以下 YAML 清单。在本例中，该文件名为 user-workload-monitoring-config.yaml： $ oc -n openshift-monitoring get configmap cluster-monitoring-config apiVersion: cluster-monitoring-config namespace: openshift-monitoring data: config.yaml: | $ oc apply -f cluster-monitoring-config.yaml $ oc -n openshift-user-workload-monitoring get configmap user-workload-monitoring-config

验证 1. 查看配置映射： 基于以上 DNS 示例的 DNS ConfigMap 示例 $ oc get configmap/dns-default -n openshift-dns -o yaml apiVersion: v1 data: Corefile: | example.com:5353 { forward . 1.1.1.1 2.2.2.2:5353 -p '{"spec":{"logLevel":"Trace"}}' --type=merge $ oc get configmap/dns-default -n openshift-dns -o yaml $ oc patch dnses.operator.openshift.io/default -p '{"spec":{"operatorLogLevel":"Debug"}}' -- type=merge 配置资产 安装程序在 config.openshift.io API 组中生成带有 Ingress 资源的资产，cluster-ingress-02- config.yml。 Ingress 资源的 YAML 定义 安装程序将这个资产保存在 manifests/ 目录下的 cluster-ingress-02-config.yml 文件中。此 Ingress 资 源定义 Ingress 的集群范围配置。此

手动将计算机器添加到 VSPHERE 11.4. 在裸机中添加计算机器 第 第 12 章 章 使用 使用 CLUSTER API 管理机器 管理机器 优点 限制 12.1. 集群 API 架构 12.2. YAML 文件示例 12.3. 创建 CLUSTER API 计算机器集 12.4. 对使用 CLUSTER API 的集群进行故障排除 第 第 13 章 章 管理 管理 CONTROL PLANE 5 Azure GCP RHOSP vSphere 为裸机部署创建机器集：在裸机上创建计算机器集 通过从计算机器集中添加或删除机器，手动扩展计算机器。 通过 MachineSet YAML 配置文件修改计算机器设置。 删除机器。 创建基础架构计算机器集。 配置和部署机器健康检查，以自动修复机器池中损坏的机器。 1.3. 管理 CONTROL PLANE 机器 作为集群管理员，您可以执行以下操作： API。即使附加到集群的计算机器安 装在支持该功能的平台上，也会应用这个限制。在安装后无法更改此参数。 要查看集群的平台类型，请运行以下命令： 2.1.1. Alibaba Cloud 上计算机器设置自定义资源的 YAML 示例 此 YAML 示例定义了一个在区域中指定的 Alibaba Cloud 区域中运行的计算机器集，并创建通过 node- role.kubernetes.io/: "" 标记的节点。 在

如果亲自为集群置备和管理基础架构，则必须提供所有集群基础架构和资源，包括 Bootstrap 机 器、网络、负载均衡、存储和独立的集群机器。 安装期间使用三组文件：名为 install-config.yaml 的安装配置文件、Kubernetes 清单，以及您的机器类 型适用的 Ignition 配置文件。 重要 重要 安装期间可以修改控制基础 RHCOS 操作系统的 Kubernetes 和 Ignition 显示初始用户的用户名。如果未指定，则默认为 init。 --quayHostname 客户端用来联系 registry 的镜像 registry 的完全限定域名。等同于 Quay config.yaml 中的 SERVER_HOSTNAME。必须由 DNS 解析。如果未指定，则 默认为 :8443。[1] --quayRoot, -r 保存容器镜像层和配置数据的目录，包括 ssh/quay_installer。 --sslCert SSL/TLS 公钥/证书的路径。默认为 {quayRoot}/quay-config，并在未指定时 自动生成。 --sslCheckSkip 跳过对 config.yaml 文件中的 SERVER_HOSTNAME 的检查证书主机名。[2] --sslKey 用于 HTTPS 通信的 SSL/TLS 私钥路径。默认为 {quayRoot}/quay-config，并