Jump To Close Expand all Collapse all Table of contents 架构 1. 概述 Expand section "1. 概述" Collapse section "1. 概述" 1.1. 什么是层? 1.2. OpenShift Container Platform 架构是什么? 1.3. OpenShift Container Platform 如何安全? Expand section "1.3. OpenShift Container Platform 如何安全?" Collapse section "1.3. OpenShift Container Platform 如何安全?" 1.3.1. TLS 支持 2. 基础架构组件 Expand section "2. 基础架构组件" Collapse section "2. 基础架构组件" 2.1. Kubernetes 基础架构 Expand section "2.1. Kubernetes 基础架构" Collapse section "2.1. Kubernetes 基础架构" 2.1.1. 概述 2.1.2. Master Expand section "2.1.2. Master" Collapse section "2.1.2. Master" 2.1.2.1. Control Plane 静态 Pod 2.1.2.2. 高可用性 Master 2.1.3. 节点 Expand section "2.1.3. 节点" Collapse section "2.1.3. 节点" 2.1.3.1. kubelet 2.1.3.2. 服务代理 2.1.3.3. 节点对象定义 2.1.3.4. 节点引导 2.2. 容器 Registry Expand section "2.2. 容器 Registry" Collapse section "2.2. 容器 Registry" 2.2.1. 概述 2.2.2. 集成的 OpenShift Container Registry 2.2.3. 第三方 registry Expand section "2.2.3. 第三方 registry" Collapse section "2.2.3. 第三方 registry" 2.2.3.1. 身份验证 2.2.4. Red Hat Quay registry 2.2.5. 启用身份验证的 Red Hat Registry 2.3. Web 控制台 Expand section "2.3. Web 控制台" Collapse section "2.3. Web 控制台" 2.3.1. 概述 2.3.2. CLI 下载 2.3.3. 浏览器要求 2.3.4. 项目概述 2.3.5. JVM 控制台 2.3.6. StatefulSets 3. 核心概念 Expand section "3. 核心概念" Collapse section "3. 核心概念" 3.1. 概述 3.2. 容器和镜像 Expand section "3.2. 容器和镜像" Collapse section "3.2. 容器和镜像" 3.2.1. 容器 Expand section "3.2.1. 容器" Collapse section "3.2.1. 容器" 3.2.1.1. Init 容器 3.2.2. 镜像 3.2.3. 容器镜像 registry 3.3. Pod 和服务 Expand section "3.3. Pod 和服务" Collapse section "3.3. Pod 和服务" 3.3.1. Pods Expand section "3.3.1. Pods" Collapse section "3.3.1. Pods" 3.3.1.1. Pod 重启策略 3.3.2. Init 容器 3.3.3. 服务 Expand section "3.3.3. 服务" Collapse section "3.3.3. 服务" 3.3.3.1. Service externalIPs 3.3.3.2. Service ingressIPs 3.3.3.3. Service NodePort 3.3.3.4. 服务代理模式 3.3.3.5. 无头服务 Expand section "3.3.3.5. 无头服务" Collapse section "3.3.3.5. 无头服务" 3.3.3.5.1. 创建无头服务 3.3.3.5.2. 使用无头服务进行端点发现 3.3.4. 标签 3.3.5. Endpoints 3.4. 项目和用户 Expand section "3.4. 项目和用户" Collapse section "3.4. 项目和用户" 3.4.1. 用户 3.4.2. 命名空间 3.4.3. 项目 Expand section "3.4.3. 项目" Collapse section "3.4.3. 项目" 3.4.3.1. 安装时提供的项目 3.5. 构建和镜像流 Expand section "3.5. 构建和镜像流" Collapse section "3.5. 构建和镜像流" 3.5.1. 构建(build) Expand section "3.5.1. 构建(build)" Collapse section "3.5.1. 构建(build)" 3.5.1.1. Docker 构建 3.5.1.2. Source-to-Image(S2I)构建 3.5.1.3. 自定义构建 3.5.1.4. Pipeline 构建 3.5.2. 镜像流 Expand section "3.5.2. 镜像流" Collapse section "3.5.2. 镜像流" 3.5.2.1. 重要术语 3.5.2.2. 配置镜像流 3.5.2.3. 镜像流镜像 3.5.2.4. 镜像流标签 3.5.2.5. 镜像流更改触发器 3.5.2.6. 镜像流映射 3.5.2.7. 使用镜像流 Expand section "3.5.2.7. 使用镜像流" Collapse section "3.5.2.7. 使用镜像流" 3.5.2.7.1. 获取有关镜像流的信息 3.5.2.7.2. 在镜像流中添加额外标签 3.5.2.7.3. 为外部镜像添加标签 3.5.2.7.4. 更新镜像流标签 3.5.2.7.5. 从镜像流中删除镜像流标签 3.5.2.7.6. 配置标签定期导入 3.6. Deployments Expand section "3.6. Deployments" Collapse section "3.6. Deployments" 3.6.1. 复制控制器 3.6.2. 副本集 3.6.3. Jobs 3.6.4. 部署和部署配置 3.7. 模板 Expand section "3.7. 模板" Collapse section "3.7. 模板" 3.7.1. 概述 4. 其他概念 Expand section "4. 其他概念" Collapse section "4. 其他概念" 4.1. 身份验证 Expand section "4.1. 身份验证" Collapse section "4.1. 身份验证" 4.1.1. 概述 4.1.2. 用户和组 4.1.3. API 身份验证 Expand section "4.1.3. API 身份验证" Collapse section "4.1.3. API 身份验证" 4.1.3.1. 模拟(Impersonation) 4.1.4. OAuth Expand section "4.1.4. OAuth" Collapse section "4.1.4. OAuth" 4.1.4.1. OAuth 客户端 4.1.4.2. 服务帐户作为 OAuth 客户端 4.1.4.3. 重定向作为 OAuth 客户端的服务帐户的 URI Expand section "4.1.4.3. 重定向作为 OAuth 客户端的服务帐户的 URI" Collapse section "4.1.4.3. 重定向作为 OAuth 客户端的服务帐户的 URI" 4.1.4.3.1. OAuth 的 API 事件 Expand section "4.1.4.3.1. OAuth 的 API 事件" Collapse section "4.1.4.3.1. OAuth 的 API 事件" 4.1.4.3.1.1. 因为可能的错误配置导致的示例 API 事件 4.1.4.4. 集成 4.1.4.5. OAuth Server Metadata 4.1.4.6. 获取 OAuth 令牌 4.1.4.7. Prometheus 身份验证指标 4.2. 授权 Expand section "4.2. 授权" Collapse section "4.2. 授权" 4.2.1. 概述 4.2.2. 评估授权 4.2.3. 集群和本地 RBAC 4.2.4. 集群角色和本地角色 Expand section "4.2.4. 集群角色和本地角色" Collapse section "4.2.4. 集群角色和本地角色" 4.2.4.1. 更新集群角色 4.2.4.2. 应用自定义角色和权限 4.2.4.3. 集群角色聚合 4.2.5. 安全性上下文约束 Expand section "4.2.5. 安全性上下文约束" Collapse section "4.2.5. 安全性上下文约束" 4.2.5.1. SCC 策略 Expand section "4.2.5.1. SCC 策略" Collapse section "4.2.5.1. SCC 策略" 4.2.5.1.1. RunAsUser 4.2.5.1.2. SELinuxContext 4.2.5.1.3. SupplementalGroups 4.2.5.1.4. FSGroup 4.2.5.2. 控制卷 4.2.5.3. 限制对 FlexVolumes 的访问 4.2.5.4. seccomp 4.2.5.5. 准入 Expand section "4.2.5.5. 准入" Collapse section "4.2.5.5. 准入" 4.2.5.5.1. SCC 优先级 4.2.5.5.2. 对 SCC 的基于角色的访问控制 4.2.5.5.3. 了解预分配值和安全性上下文约束 4.2.6. 确定您可以作为经过身份验证的用户执行什么操作 4.3. 持久性存储 Expand section "4.3. 持久性存储" Collapse section "4.3. 持久性存储" 4.3.1. 概述 4.3.2. 卷和声明的生命周期 Expand section "4.3.2. 卷和声明的生命周期" Collapse section "4.3.2. 卷和声明的生命周期" 4.3.2.1. 置备存储 4.3.2.2. 绑定声明 4.3.2.3. 使用 pod 和声明的 PV 4.3.2.4. PVC 保护 4.3.2.5. 释放卷 4.3.2.6. 重新声明卷 4.3.2.7. 手动重新声明 PersistentVolume 4.3.2.8. 更改重新声明策略 4.3.3. 持久性卷(PV) Expand section "4.3.3. 持久性卷(PV)" Collapse section "4.3.3. 持久性卷(PV)" 4.3.3.1. PV 类型 4.3.3.2. 容量 4.3.3.3. 访问模式 4.3.3.4. 重新声明策略 4.3.3.5. 阶段 4.3.3.6. 挂载选项 4.3.3.7. 递归 chown 4.3.4. 持久性卷声明 (PVC) Expand section "4.3.4. 持久性卷声明 (PVC)" Collapse section "4.3.4. 持久性卷声明 (PVC)" 4.3.4.1. 存储类 4.3.4.2. 访问模式 4.3.4.3. Resources 4.3.4.4. 声明作为卷 4.3.5. 块卷支持 4.4. 临时本地存储 Expand section "4.4. 临时本地存储" Collapse section "4.4. 临时本地存储" 4.4.1. 概述 4.4.2. 临时存储的类型 Expand section "4.4.2. 临时存储的类型" Collapse section "4.4.2. 临时存储的类型" 4.4.2.1. root 4.4.2.2. Runtime 4.4.3. 管理临时存储 4.4.4. 监控临时存储 4.5. 源控制管理 4.6. Admission Controller Expand section "4.6. Admission Controller" Collapse section "4.6. Admission Controller" 4.6.1. 概述 4.6.2. General Admission Rules 4.6.3. 自定义准入插件 4.6.4. 使用容器的准入控制器 4.7. 自定义 Admission Controller Expand section "4.7. 自定义 Admission Controller" Collapse section "4.7. 自定义 Admission Controller" 4.7.1. 概述 4.7.2. Admission Webhooks Expand section "4.7.2. Admission Webhooks" Collapse section "4.7.2. Admission Webhooks" 4.7.2.1. Admission Webhook 的类型 4.7.2.2. 创建 Admission Webhook 4.7.2.3. Admission Webhook 示例 4.8. 其他 API 对象 Expand section "4.8. 其他 API 对象" Collapse section "4.8. 其他 API 对象" 4.8.1. LimitRange 4.8.2. ResourceQuota 4.8.3. 资源 4.8.4. Secret 4.8.5. PersistentVolume 4.8.6. PersistentVolumeClaim Expand section "4.8.6. PersistentVolumeClaim" Collapse section "4.8.6. PersistentVolumeClaim" 4.8.6.1. 自定义资源 4.8.7. OAuth 对象 Expand section "4.8.7. OAuth 对象" Collapse section "4.8.7. OAuth 对象" 4.8.7.1. OAuthClient 4.8.7.2. OAuthClientAuthorization 4.8.7.3. OAuthAuthorizeToken 4.8.7.4. OAuthAccessToken 4.8.8. 用户对象 Expand section "4.8.8. 用户对象" Collapse section "4.8.8. 用户对象" 4.8.8.1. 身份 4.8.8.2. User 4.8.8.3. UserIdentityMapping 4.8.8.4. 组 5. 网络 Expand section "5. 网络" Collapse section "5. 网络" 5.1. 网络 Expand section "5.1. 网络" Collapse section "5.1. 网络" 5.1.1. 概述 5.1.2. OpenShift Container Platform DNS 5.2. OpenShift SDN Expand section "5.2. OpenShift SDN" Collapse section "5.2. OpenShift SDN" 5.2.1. 概述 5.2.2. 在 Master 上设计 5.2.3. 在节点上设计 5.2.4. 数据包流 5.2.5. 网络隔离 5.3. 可用的 SDN 插件 Expand section "5.3. 可用的 SDN 插件" Collapse section "5.3. 可用的 SDN 插件" 5.3.1. OpenShift SDN 5.3.2. 第三方 SDN 插件 Expand section "5.3.2. 第三方 SDN 插件" Collapse section "5.3.2. 第三方 SDN 插件" 5.3.2.1. Cisco ACI SDN 5.3.2.2. Flannel SDN 5.3.2.3. NSX-T SDN 5.3.2.4. Nuage SDN 5.3.3. OpenShift Container Platform 的 Kuryr SDN Expand section "5.3.3. OpenShift Container Platform 的 Kuryr SDN" Collapse section "5.3.3. OpenShift Container Platform 的 Kuryr SDN" 5.3.3.1. OpenStack 部署要求 5.3.3.2. kuryr-controller 5.3.3.3. kuryr-cni 5.4. 可用的路由器插件 Expand section "5.4. 可用的路由器插件" Collapse section "5.4. 可用的路由器插件" 5.4.1. HAProxy 模板路由器 5.5. 端口转发 Expand section "5.5. 端口转发" Collapse section "5.5. 端口转发" 5.5.1. 概述 5.5.2. 服务器操作 5.6. 远程命令 Expand section "5.6. 远程命令" Collapse section "5.6. 远程命令" 5.6.1. 概述 5.6.2. 服务器操作 5.7. Routes Expand section "5.7. Routes" Collapse section "5.7. Routes" 5.7.1. 概述 5.7.2. 路由器 Expand section "5.7.2. 路由器" Collapse section "5.7.2. 路由器" 5.7.2.1. 模板路由器 5.7.3. 可用路由器插件 5.7.4. 粘性会话 5.7.5. 路由器环境变量 5.7.6. 负载均衡策略 5.7.7. HAProxy Strict SNI 5.7.8. 路由器加密套件 5.7.9. 路由主机名 5.7.10. 路由类型 Expand section "5.7.10. 路由类型" Collapse section "5.7.10. 路由类型" 5.7.10.1. 基于路径的路由 5.7.10.2. 安全路由 5.7.11. 路由器分片 5.7.12. 备用后端和 Weights 5.7.13. 特定于路由的注解 5.7.14. 特定于路由的 IP 白名单 5.7.15. 创建路由指定通配符子域策略 5.7.16. 路由状态 5.7.17. 在路由中拒绝或允许证书域 5.7.18. 支持 Kubernetes ingress 对象 5.7.19. 禁用命名空间所有权检查 6. Service Catalog 组件 Expand section "6. Service Catalog 组件" Collapse section "6. Service Catalog 组件" 6.1. Service Catalog Expand section "6.1. Service Catalog" Collapse section "6.1. Service Catalog" 6.1.1. 概述 6.1.2. 设计 Expand section "6.1.2. 设计" Collapse section "6.1.2. 设计" 6.1.2.1. 删除资源 6.1.3. 概念和术语 6.1.4. 提供的 Cluster Service Broker 6.2. 服务目录命令行界面(CLI) Expand section "6.2. 服务目录命令行界面(CLI)" Collapse section "6.2. 服务目录命令行界面(CLI)" 6.2.1. 概述 6.2.2. 安装 svcat Expand section "6.2.2. 安装 svcat" Collapse section "6.2.2. 安装 svcat" 6.2.2.1. 云供应商的注意事项 6.2.3. 使用 svcat Expand section "6.2.3. 使用 svcat" Collapse section "6.2.3. 使用 svcat" 6.2.3.1. 获取代理详情 Expand section "6.2.3.1. 获取代理详情" Collapse section "6.2.3.1. 获取代理详情" 6.2.3.1.1. 查找代理 6.2.3.1.2. 同步代理目录 6.2.3.1.3. 查看代理详情 6.2.3.2. 查看服务类和服务计划 Expand section "6.2.3.2. 查看服务类和服务计划" Collapse section "6.2.3.2. 查看服务类和服务计划" 6.2.3.2.1. 查看服务类 6.2.3.2.2. 查看服务计划 6.2.3.3. 置备服务 Expand section "6.2.3.3. 置备服务" Collapse section "6.2.3.3. 置备服务" 6.2.3.3.1. 创建 ServiceInstance Expand section "6.2.3.3.1. 创建 ServiceInstance" Collapse section "6.2.3.3.1. 创建 ServiceInstance" 6.2.3.3.1.1. 查看服务实例详情 6.2.3.3.2. 创建 ServiceBinding Expand section "6.2.3.3.2. 创建 ServiceBinding" Collapse section "6.2.3.3.2. 创建 ServiceBinding" 6.2.3.3.2.1. 查看服务绑定详情 6.2.4. 删除资源 Expand section "6.2.4. 删除资源" Collapse section "6.2.4. 删除资源" 6.2.4.1. 删除服务绑定 6.2.4.2. 删除服务实例 6.2.4.3. 删除服务代理 6.3. Template Service Broker 6.4. OpenShift Ansible Broker Expand section "6.4. OpenShift Ansible Broker" Collapse section "6.4. OpenShift Ansible Broker" 6.4.1. 概述 6.4.2. Ansible Playbook 捆绑包 6.5. AWS Service Broker Settings Close Language: 简体中文 한국어 日本語 English Language: 简体中文 한국어 日本語 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 简体中文 한국어 日本語 English Language: 简体中文 한국어 日本語 English Format: Multi-page Single-page Format: Multi-page Single-page Red Hat Training A Red Hat training course is available for OpenShift Container Platform 4.3.3.4. 重新声明策略 下表列出了当前的重新声明策略: 表 4.3. 当前重新声明策略重新声明策略描述 Retain 允许手动回收. 删除 删除 PV 和关联的外部存储资产。 警告 如果您不想保留所有 pod,请使用动态置备。 Previous Next