集群管理
1. 概述
2. 管理节点
Expand section "2. 管理节点" Collapse section "2. 管理节点"
1. 2.1. 概述
2. 2.2. 列出节点
3. 2.3. 查看节点
4. 2.4. 添加主机
5. 2.5. 删除节点
6. 2.6. 更新节点上的标签
7. 2.7. 列出节点上的 pod
8. 2.8. 将节点标记为不可调度或可以调度
9. 2.9. 撤离节点上的 pod
10. 2.10. 重新引导节点
  Expand section "2.10. 重新引导节点" Collapse section "2.10. 重新引导节点"
11. 2.11. 修改节点
  Expand section "2.11. 修改节点" Collapse section "2.11. 修改节点"
  1. 2.11.1. 配置节点资源
  2. 2.11.2. 每个节点设置最大 pod
12. 2.12. 重置 Docker 存储
3. 恢复 OpenShift Container Platform 组件
Expand section "3. 恢复 OpenShift Container Platform 组件" Collapse section "3. 恢复 OpenShift Container Platform 组件"
1. 3.1. 概述
2. 3.2. 恢复集群
3. 3.3. 恢复 master 主机备份
4. 3.4. 恢复节点主机备份
5. 3.5. 恢复 etcd
  Expand section "3.5. 恢复 etcd" Collapse section "3.5. 恢复 etcd"
  1. 3.5.1. 恢复 etcd 配置文件
  2. 3.5.2. 恢复 etcd 数据
6. 3.6. 添加 etcd 节点
  Expand section "3.6. 添加 etcd 节点" Collapse section "3.6. 添加 etcd 节点"
  1. 3.6.1. 使用 Ansible 添加新 etcd 主机
  2. 3.6.2. 手动添加新 etcd 主机
7. 3.7. 使 OpenShift Container Platform 服务恢复在线
8. 3.8. 恢复项目
9. 3.9. 恢复应用程序数据
10. 3.10. 恢复持久性卷声明
  Expand section "3.10. 恢复持久性卷声明" Collapse section "3.10. 恢复持久性卷声明"
  1. 3.10.1. 将文件恢复到现有 PVC
  2. 3.10.2. 将数据恢复到新 PVC
4. 替换 master 主机
Expand section "4. 替换 master 主机" Collapse section "4. 替换 master 主机"
1. 4.1. 弃用 master 主机
2. 4.2. 添加主机
3. 4.3. 扩展 etcd
  Expand section "4.3. 扩展 etcd" Collapse section "4.3. 扩展 etcd"
  1. 4.3.1. 使用 Ansible 添加新 etcd 主机
  2. 4.3.2. 手动添加新 etcd 主机
5. 管理用户
Expand section "5. 管理用户" Collapse section "5. 管理用户"
6. 管理项目
Expand section "6. 管理项目" Collapse section "6. 管理项目"
1. 6.1. 概述
2. 6.2. 自助配置项目
  Expand section "6.2. 自助配置项目" Collapse section "6.2. 自助配置项目"
  1. 6.2.1. 为新项目修改模板
  2. 6.2.2. 禁用自助置备
3. 6.3. 使用 Node Selectors
  Expand section "6.3. 使用 Node Selectors" Collapse section "6.3. 使用 Node Selectors"
4. 6.4. 每个用户限制自助项目数量
5. 6.5. 启用和限制自提供的项目 Per Service Account
7. 管理 Pod
Expand section "7. 管理 Pod" Collapse section "7. 管理 Pod"
1. 7.1. 概述
2. 7.2. 查看 Pod
3. 7.3. 限制 Pod 运行时
  Expand section "7.3. 限制 Pod 运行时" Collapse section "7.3. 限制 Pod 运行时"
  1. 7.3.1. 配置 RunOnceDuration 插件
  2. 7.3.2. 指定每个项目自定义持续时间
    
    Expand section "7.3.2. 指定每个项目自定义持续时间" Collapse section "7.3.2. 指定每个项目自定义持续时间"
    
    7.3.2.1. 部署 Egress Router Pod
    
    7.3.2.2. 部署 Egress 路由器服务
  3. 7.3.3. 使用 Egress Firewall 限制 Pod 访问
    
    Expand section "7.3.3. 使用 Egress Firewall 限制 Pod 访问" Collapse section "7.3.3. 使用 Egress Firewall 限制 Pod 访问"
    
    7.3.3.1. 配置 Pod 访问限制
4. 7.4. 限制 Pod 可用的带宽
5. 7.5. 设置 Pod Disruption 预算
6. 7.6. 配置关键 Pod
8. 管理网络
Expand section "8. 管理网络" Collapse section "8. 管理网络"
1. 8.1. 概述
2. 8.2. 管理 Pod 网络
  Expand section "8.2. 管理 Pod 网络" Collapse section "8.2. 管理 Pod 网络"
  1. 8.2.1. 加入项目网络
3. 8.3. 隔离项目网络
  Expand section "8.3. 隔离项目网络" Collapse section "8.3. 隔离项目网络"
  1. 8.3.1. 使项目网络全局化
4. 8.4. 为路由和入口对象禁用主机名集合
5. 8.5. 控制出口流量
6. 8.6. 使用 Egress Firewall 来限制对外部资源的访问
  Expand section "8.6. 使用 Egress Firewall 来限制对外部资源的访问" Collapse section "8.6. 使用 Egress Firewall 来限制对外部资源的访问"
  1. 8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量
    
    Expand section "8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量" Collapse section "8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量"
    
    8.6.1.1. 以重定向模式部署 Egress Router Pod
    
    8.6.1.2. 重定向至多个目标
    
    8.6.1.3. 使用 ConfigMap 指定 EGRESS_DESTINATION
    
    8.6.1.4. 部署 Egress Router HTTP 代理 Pod
    
    8.6.1.5. 部署 Egress Router DNS 代理 Pod
    
    8.6.1.6. 为 Egress Router Pod 启用故障切换
  2. 8.6.2. 使用 iptables 规则限制对外部资源的访问
7. 8.7. 为外部项目流量启用静态 IP
8. 8.8. 启用自动 Egress IP
9. 8.9. 启用多播
10. 8.10. 启用 NetworkPolicy
  Expand section "8.10. 启用 NetworkPolicy" Collapse section "8.10. 启用 NetworkPolicy"
11. 8.11. 启用 HTTP 严格传输安全性
12. 8.12. 吞吐量问题故障排除
9. 配置服务帐户
Expand section "9. 配置服务帐户" Collapse section "9. 配置服务帐户"
10. 管理基于角色的访问控制(RBAC)
Expand section "10. 管理基于角色的访问控制(RBAC)" Collapse section "10. 管理基于角色的访问控制(RBAC)"
1. 10.1. 概述
2. 10.2. 查看角色和绑定
  Expand section "10.2. 查看角色和绑定" Collapse section "10.2. 查看角色和绑定"
3. 10.3. 管理角色绑定
4. 10.4. 创建本地角色
5. 10.5. 创建集群角色
6. 10.6. 集群和本地角色绑定
7. 10.7. 更新策略定义
11. 镜像策略
Expand section "11. 镜像策略" Collapse section "11. 镜像策略"
12. 镜像签名
Expand section "12. 镜像签名" Collapse section "12. 镜像签名"
1. 12.1. 概述
2. 12.2. 使用 Atomic CLI 签署镜像
3. 12.3. 使用 OpenShift CLI 验证镜像签名
4. 12.4. 使用 Registry API 访问镜像签名
  Expand section "12.4. 使用 Registry API 访问镜像签名" Collapse section "12.4. 使用 Registry API 访问镜像签名"
13. 有作用域令牌
Expand section "13. 有作用域令牌" Collapse section "13. 有作用域令牌"
14. 监控镜像
Expand section "14. 监控镜像" Collapse section "14. 监控镜像"
15. 管理安全性上下文约束
Expand section "15. 管理安全性上下文约束" Collapse section "15. 管理安全性上下文约束"
1. 15.1. 概述
2. 15.2. 列出安全性上下文约束
3. 15.3. 检查安全性上下文约束对象
4. 15.4. 创建新安全性上下文约束
5. 15.5. 删除安全性上下文约束
6. 15.6. 更新安全性上下文约束
  Expand section "15.6. 更新安全性上下文约束" Collapse section "15.6. 更新安全性上下文约束"
  1. 15.6.1. 安全性上下文约束设置示例
7. 15.7. 更新默认安全性上下文约束
8. 15.8. 我怎么样？
  Expand section "15.8. 我怎么样？" Collapse section "15.8. 我怎么样？"
16. 调度
Expand section "16. 调度" Collapse section "16. 调度"
1. 16.1. 概述
  Expand section "16.1. 概述" Collapse section "16.1. 概述"
2. 16.2. 默认调度
  Expand section "16.2. 默认调度" Collapse section "16.2. 默认调度"
  1. 16.2.1. 概述
  2. 16.2.2. 通用调度程序
  3. 16.2.3. 过滤节点
    
    Expand section "16.2.3. 过滤节点" Collapse section "16.2.3. 过滤节点"
    
    16.2.3.1. 排列过滤后节点列表的优先顺序
    
    16.2.3.2. 选择最适合的节点
  4. 16.2.4. 调度程序策略
    
    Expand section "16.2.4. 调度程序策略" Collapse section "16.2.4. 调度程序策略"
    
    16.2.4.1. 修改调度程序策略
  5. 16.2.5. 可用 predicates
    
    Expand section "16.2.5. 可用 predicates" Collapse section "16.2.5. 可用 predicates"
    
    16.2.5.1. 静态 predicates
    
    Expand section "16.2.5.1. 静态 predicates" Collapse section "16.2.5.1. 静态 predicates"
    
    16.2.5.1.1. 默认 predicates
    
    16.2.5.1.2. 其他静态 predicates
    
    16.2.5.2. 常规 predicates
    
    16.2.5.3. 可配置 predicates
  6. 16.2.6. 可用优先级
    
    Expand section "16.2.6. 可用优先级" Collapse section "16.2.6. 可用优先级"
    
    16.2.6.1. 静态优先级
    
    Expand section "16.2.6.1. 静态优先级" Collapse section "16.2.6.1. 静态优先级"
    
    16.2.6.1.1. 默认优先级
    
    16.2.6.1.2. 其他静态优先级
    
    16.2.6.2. 可配置优先级
  7. 16.2.7. 使用案例
    
    Expand section "16.2.7. 使用案例" Collapse section "16.2.7. 使用案例"
    
    16.2.7.1. 基础架构拓扑级别
    
    16.2.7.2. 关联性
    
    16.2.7.3. 反关联性
  8. 16.2.8. 策略配置示例
3. 16.3. 取消调度
  Expand section "16.3. 取消调度" Collapse section "16.3. 取消调度"
  1. 16.3.1. 概述
  2. 16.3.2. 创建集群角色
  3. 16.3.3. 创建 Descheduler 策略
    
    Expand section "16.3.3. 创建 Descheduler 策略" Collapse section "16.3.3. 创建 Descheduler 策略"
    
    16.3.3.1. 删除重复的 Pod
    
    16.3.3.2. 创建低节点利用率策略
    
    16.3.3.3. 移除 Pod 冲突间的关联性
    
    16.3.3.4. 删除 Pod 冲突节点关联性
  4. 16.3.4. 为 Descheduler 策略创建配置映射
  5. 16.3.5. 创建作业规格
  6. 16.3.6. 运行 Descheduler
4. 16.4. 自定义调度
  Expand section "16.4. 自定义调度" Collapse section "16.4. 自定义调度"
5. 16.5. 控制 Pod 放置
  Expand section "16.5. 控制 Pod 放置" Collapse section "16.5. 控制 Pod 放置"
6. 16.6. Pod 优先级和抢占功能
  Expand section "16.6. Pod 优先级和抢占功能" Collapse section "16.6. Pod 优先级和抢占功能"
  1. 16.6.1. 应用 pod 优先级和抢占
  2. 16.6.2. 关于 pod 优先级
    
    Expand section "16.6.2. 关于 pod 优先级" Collapse section "16.6.2. 关于 pod 优先级"
    
    16.6.2.1. Pod 优先级类
    
    16.6.2.2. Pod 优先级名称
  3. 16.6.3. 关于 pod 抢占
    
    Expand section "16.6.3. 关于 pod 抢占" Collapse section "16.6.3. 关于 pod 抢占"
    
    16.6.3.1. Pod 抢占和其他调度程序设置
    
    16.6.3.2. 安全终止被抢占的 pod
  4. 16.6.4. Pod 优先级示例场景
  5. 16.6.5. 配置优先级和抢占
  6. 16.6.6. 禁用优先级与抢占
7. 16.7. 高级调度
  Expand section "16.7. 高级调度" Collapse section "16.7. 高级调度"
  1. 16.7.1. 概述
  2. 16.7.2. 使用高级调度
8. 16.8. 高级调度和节点关联性
  Expand section "16.8. 高级调度和节点关联性" Collapse section "16.8. 高级调度和节点关联性"
  1. 16.8.1. 概述
  2. 16.8.2. 配置节点关联性
    
    Expand section "16.8.2. 配置节点关联性" Collapse section "16.8.2. 配置节点关联性"
    
    16.8.2.1. 配置所需的节点关联性规则
    
    16.8.2.2. 配置节点关联性偏好规则
  3. 16.8.3. 示例
    
    Expand section "16.8.3. 示例" Collapse section "16.8.3. 示例"
    
    16.8.3.1. 具有匹配标签的节点关联性
    
    16.8.3.2. 无匹配标签的节点关联性
9. 16.9. 高级调度和 Pod 关联性和反关联性
  Expand section "16.9. 高级调度和 Pod 关联性和反关联性" Collapse section "16.9. 高级调度和 Pod 关联性和反关联性"
  1. 16.9.1. 概述
  2. 16.9.2. 配置 Pod 关联性和反关联性
    
    Expand section "16.9.2. 配置 Pod 关联性和反关联性" Collapse section "16.9.2. 配置 Pod 关联性和反关联性"
    
    16.9.2.1. 配置关联性规则
    
    16.9.2.2. 配置反关联性规则
  3. 16.9.3. 示例
    
    Expand section "16.9.3. 示例" Collapse section "16.9.3. 示例"
    
    16.9.3.1. Pod 关联性
    
    16.9.3.2. Pod 反关联性
    
    16.9.3.3. 无匹配标签的 Pod 反关联性
10. 16.10. 高级调度和 Node Selectors
  Expand section "16.10. 高级调度和 Node Selectors" Collapse section "16.10. 高级调度和 Node Selectors"
  1. 16.10.1. 概述
  2. 16.10.2. 配置 Node Selectors
11. 16.11. 高级调度、管理和容忍
  Expand section "16.11. 高级调度、管理和容忍" Collapse section "16.11. 高级调度、管理和容忍"
  1. 16.11.1. 概述
  2. 16.11.2. 污点和容限
    
    Expand section "16.11.2. 污点和容限" Collapse section "16.11.2. 污点和容限"
    
    16.11.2.1. 使用多个污点
  3. 16.11.3. 将 Taint 添加到现有节点
  4. 16.11.4. 在 Pod 中添加容限
    
    Expand section "16.11.4. 在 Pod 中添加容限" Collapse section "16.11.4. 在 Pod 中添加容限"
    
    16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions
    
    Expand section "16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions" Collapse section "16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions"
    
    16.11.4.1.1. 为 Toleration second 设置默认值
  5. 16.11.5. 节点问题的 Pod 驱除
  6. 16.11.6. DaemonSet 和 Tolerations
  7. 16.11.7. 例子
    
    Expand section "16.11.7. 例子" Collapse section "16.11.7. 例子"
    
    16.11.7.1. 为用户指定节点
    
    16.11.7.2. 将用户绑定到节点
    
    16.11.7.3. 具有特殊硬件的节点
17. 设置配额
Expand section "17. 设置配额" Collapse section "17. 设置配额"
1. 17.1. 概述
2. 17.2. 按配额管理的资源
  Expand section "17.2. 按配额管理的资源" Collapse section "17.2. 按配额管理的资源"
  1. 17.2.1. 为扩展资源设置资源配额
3. 17.3. 配额范围
4. 17.4. 配额强制
5. 17.5. 请求(request)与限制(limits)的比较
6. 17.6. 资源配额定义示例
7. 17.7. 创建配额
  Expand section "17.7. 创建配额" Collapse section "17.7. 创建配额"
  1. 17.7.1. 创建对象数配额
8. 17.8. 查看配额
9. 17.9. 配置配额同步周期
10. 17.10. 部署配置中的配额核算
11. 17.11. 需要 Explicit Quota 以消耗资源
12. 17.12. 已知问题
18. 设置多项目配额
Expand section "18. 设置多项目配额" Collapse section "18. 设置多项目配额"
19. 修剪对象
Expand section "19. 修剪对象" Collapse section "19. 修剪对象"
1. 19.1. 概述
2. 19.2. 基本修剪操作
3. 19.3. 修剪组
4. 19.4. 修剪部署
5. 19.5. 修剪构建
6. 19.6. 修剪镜像
  Expand section "19.6. 修剪镜像" Collapse section "19.6. 修剪镜像"
  1. 19.6.1. 镜像修剪条件
  2. 19.6.2. 使用安全或不安全连接
  3. 19.6.3. 镜像修剪问题
    
    Expand section "19.6.3. 镜像修剪问题" Collapse section "19.6.3. 镜像修剪问题"
    
    19.6.3.1. 对受保护 registry 使用不安全连接
7. 19.7. 硬修剪 registry
8. 19.8. 修剪 Cron 任务
20. 使用自定义资源扩展 Kubernetes API
Expand section "20. 使用自定义资源扩展 Kubernetes API" Collapse section "20. 使用自定义资源扩展 Kubernetes API"
21. 垃圾收集器
Expand section "21. 垃圾收集器" Collapse section "21. 垃圾收集器"
1. 21.1. 概述
2. 21.2. Container Garbage Collection
  Expand section "21.2. Container Garbage Collection" Collapse section "21.2. Container Garbage Collection"
  1. 21.2.1. 检测容器进行删除
3. 21.3. Image Garbage Collection
  Expand section "21.3. Image Garbage Collection" Collapse section "21.3. Image Garbage Collection"
  1. 21.3.1. 检测镜像以进行删除
22. 分配节点资源
Expand section "22. 分配节点资源" Collapse section "22. 分配节点资源"
23. 过量使用
Expand section "23. 过量使用" Collapse section "23. 过量使用"
1. 23.1. 概述
2. 23.2. 请求和限制
  Expand section "23.2. 请求和限制" Collapse section "23.2. 请求和限制"
  1. 23.2.1. 调整缓冲区块限制
3. 23.3. 计算资源
  Expand section "23.3. 计算资源" Collapse section "23.3. 计算资源"
4. 23.4. 服务质量类
5. 23.5. 为使用过量配置 Master
6. 23.6. 为过量使用配置节点
  Expand section "23.6. 为过量使用配置节点" Collapse section "23.6. 为过量使用配置节点"
24. 处理资源错误
Expand section "24. 处理资源错误" Collapse section "24. 处理资源错误"
1. 24.1. 概述
2. 24.2. 配置驱除策略
  Expand section "24.2. 配置驱除策略" Collapse section "24.2. 配置驱除策略"
  1. 24.2.1. 使用节点配置创建策略
  2. 24.2.2. 了解驱除信号
  3. 24.2.3. 了解驱除阈值
    
    Expand section "24.2.3. 了解驱除阈值" Collapse section "24.2.3. 了解驱除阈值"
    
    24.2.3.1. 了解硬驱除阈值
    
    Expand section "24.2.3.1. 了解硬驱除阈值" Collapse section "24.2.3.1. 了解硬驱除阈值"
    
    24.2.3.1.1. 默认 hardd Eviction Thresholds
    
    24.2.3.2. 了解 Soft Eviction Thresholds
3. 24.3. 为调度配置资源量
4. 24.4. 控制节点条件 Oscillation
5. 24.5. 重新声明节点级别资源
6. 24.6. 了解 Pod 驱除
  Expand section "24.6. 了解 Pod 驱除" Collapse section "24.6. 了解 Pod 驱除"
  1. 24.6.1. 了解服务质量和内存不足 Killer
7. 24.7. 了解 Pod 调度程序和 OOR 条件
8. 24.8. 场景示例
9. 24.9. 推荐做法
  Expand section "24.9. 推荐做法" Collapse section "24.9. 推荐做法"
  1. 24.9.1. 守护进程集和资源处理不足
25. 设置限值范围
Expand section "25. 设置限值范围" Collapse section "25. 设置限值范围"
1. 25.1. Limit Ranges 目的
  Expand section "25.1. Limit Ranges 目的" Collapse section "25.1. Limit Ranges 目的"
  1. 25.1.1. 容器限制
  2. 25.1.2. Pod 限制
  3. 25.1.3. 镜像限制
  4. 25.1.4. 镜像流限制
    
    Expand section "25.1.4. 镜像流限制" Collapse section "25.1.4. 镜像流限制"
    
    25.1.4.1. 镜像参考计数
  5. 25.1.5. PersistentVolumeClaim 限制
2. 25.2. 创建限制范围
3. 25.3. 查看限制
4. 25.4. 删除限制范围
26. 节点问题检测程序
Expand section "26. 节点问题检测程序" Collapse section "26. 节点问题检测程序"
27. 为 Ingress 流量分配唯一外部 IP
Expand section "27. 为 Ingress 流量分配唯一外部 IP" Collapse section "27. 为 Ingress 流量分配唯一外部 IP"
1. 27.1. 概述
2. 27.2. 限制
3. 27.3. 将集群配置为使用唯一外部 IP
  Expand section "27.3. 将集群配置为使用唯一外部 IP" Collapse section "27.3. 将集群配置为使用唯一外部 IP"
  1. 27.3.1. 为服务配置 Ingress IP
4. 27.4. 为开发或测试路由 Ingress CIDR
  Expand section "27.4. 为开发或测试路由 Ingress CIDR" Collapse section "27.4. 为开发或测试路由 Ingress CIDR"
  1. 27.4.1. 服务 externalIP
28. 监控和调试路由器
Expand section "28. 监控和调试路由器" Collapse section "28. 监控和调试路由器"
29. 高可用性
Expand section "29. 高可用性" Collapse section "29. 高可用性"
1. 29.1. 概述
2. 29.2. 配置 IP 故障
  Expand section "29.2. 配置 IP 故障" Collapse section "29.2. 配置 IP 故障"
  1. 29.2.1. 虚拟 IP 地址
  2. 29.2.2. 检查并通知脚本
  3. 29.2.3. VRRP 抢占
  4. 29.2.4. keepalived 多广播
  5. 29.2.5. 命令行选项和环境变量
  6. 29.2.6. VRRP ID Offset
  7. 29.2.7. 为超过 254 地址配置 IP 故障转移
  8. 29.2.8. 配置高可用性服务
    
    Expand section "29.2.8. 配置高可用性服务" Collapse section "29.2.8. 配置高可用性服务"
    
    29.2.8.1. 部署 IP 故障 Pod
  9. 29.2.9. 为高可用性服务动态更新虚拟 IP
3. 29.3. 配置服务 ExternalIP 和 NodePort
4. 29.4. IngressIP 的高可用性
30. iptables
Expand section "30. iptables" Collapse section "30. iptables"
31. 通过策略保护构建
Expand section "31. 通过策略保护构建" Collapse section "31. 通过策略保护构建"
32. 使用 Seccomp 限制应用程序功能
Expand section "32. 使用 Seccomp 限制应用程序功能" Collapse section "32. 使用 Seccomp 限制应用程序功能"
33. Sysctls
Expand section "33. Sysctls" Collapse section "33. Sysctls"
34. 在数据存储层加密数据
Expand section "34. 在数据存储层加密数据" Collapse section "34. 在数据存储层加密数据"
1. 34.1. 概述
2. 34.2. 配置和确定加密是否已启用
3. 34.3. 了解加密配置
  Expand section "34.3. 了解加密配置" Collapse section "34.3. 了解加密配置"
  1. 34.3.1. 可用的供应商
4. 34.4. 加密数据
5. 34.5. 验证数据是否已加密
6. 34.6. 确保加密所有 secret
7. 34.7. 轮转解密密钥
8. 34.8. 解密数据
35. 使用 IPsec 加密节点间的流量
Expand section "35. 使用 IPsec 加密节点间的流量" Collapse section "35. 使用 IPsec 加密节点间的流量"
1. 35.1. 概述
2. 35.2. 加密主机
  Expand section "35.2. 加密主机" Collapse section "35.2. 加密主机"
  1. 35.2.1. 为 IPsec 配置证书
  2. 35.2.2. 创建 libreswan IPsec 策略
    
    Expand section "35.2.2. 创建 libreswan IPsec 策略" Collapse section "35.2.2. 创建 libreswan IPsec 策略"
    
    35.2.2.1. 配置 Opportunistic 组
    
    35.2.2.2. 配置显式连接
3. 35.3. 配置 IPsec 防火墙
4. 35.4. 启动并启用 IPsec
5. 35.5. 优化 IPsec
6. 35.6. 故障排除
36. 构建依赖性树
Expand section "36. 构建依赖性树" Collapse section "36. 构建依赖性树"
1. 36.1. 概述
2. 36.2. 使用方法
37. 替换失败的 etcd 成员
Expand section "37. 替换失败的 etcd 成员" Collapse section "37. 替换失败的 etcd 成员"
1. 37.1. 删除失败的 etcd 节点
2. 37.2. 添加 etcd 成员
  Expand section "37.2. 添加 etcd 成员" Collapse section "37.2. 添加 etcd 成员"
  1. 37.2.1. 使用 Ansible 添加新 etcd 主机
  2. 37.2.2. 手动添加新 etcd 主机
38. 恢复 etcd 仲裁
Expand section "38. 恢复 etcd 仲裁" Collapse section "38. 恢复 etcd 仲裁"
1. 38.1. 为独立服务恢复 etcd 仲裁
  Expand section "38.1. 为独立服务恢复 etcd 仲裁" Collapse section "38.1. 为独立服务恢复 etcd 仲裁"
  1. 38.1.1. 备份 etcd
    
    Expand section "38.1.1. 备份 etcd" Collapse section "38.1.1. 备份 etcd"
    
    38.1.1.1. 备份 etcd 配置文件
    
    38.1.1.2. 备份 etcd 数据
  2. 38.1.2. 删除 etcd 主机
  3. 38.1.3. 创建单节点 etcd 集群
  4. 38.1.4. 在恢复后添加 etcd 节点
2. 38.2. 为静态 pod 恢复 etcd 仲裁
39. OpenShift SDN 故障排除
Expand section "39. OpenShift SDN 故障排除" Collapse section "39. OpenShift SDN 故障排除"
1. 39.1. 概述
2. 39.2. 术语
3. 39.3. 调试对 HTTP 服务的外部访问
4. 39.4. 调试路由器
5. 39.5. 调试服务
6. 39.6. 调试节点到节点网络
7. 39.7. 调试本地网络
  Expand section "39.7. 调试本地网络" Collapse section "39.7. 调试本地网络"
  1. 39.7.1. 节点上的接口
  2. 39.7.2. 节点内的 SDN 流
  3. 39.7.3. 调试步骤
    
    Expand section "39.7.3. 调试步骤" Collapse section "39.7.3. 调试步骤"
    
    39.7.3.1. IP 转发是否已启用？
    
    39.7.3.2. 您的路由是否正确？
  4. 39.7.4. Open vSwitch(OVS)是否正确配置？
    
    Expand section "39.7.4. Open vSwitch(OVS)是否正确配置？" Collapse section "39.7.4. Open vSwitch(OVS)是否正确配置？"
    
    39.7.4.1. iptables 配置是否正确？
    
    39.7.4.2. 您的外部网络是否正确？
8. 39.8. 调试虚拟网络
  Expand section "39.8. 调试虚拟网络" Collapse section "39.8. 调试虚拟网络"
  1. 39.8.1. 基于虚拟网络构建正在故障
9. 39.9. 调试 Pod Egress
10. 39.10. 读取日志
11. 39.11. 调试 Kubernetes
12. 39.12. 使用诊断工具查找网络问题
13. 39.13. 其它备注
  Expand section "39.13. 其它备注" Collapse section "39.13. 其它备注"
40. 诊断工具
Expand section "40. 诊断工具" Collapse section "40. 诊断工具"
1. 40.1. 概述
2. 40.2. 使用诊断工具
3. 40.3. 在服务器环境中运行诊断
4. 40.4. 在客户端环境中运行诊断
5. 40.5. 基于 Ansible 的健康检查
  Expand section "40.5. 基于 Ansible 的健康检查" Collapse section "40.5. 基于 Ansible 的健康检查"
  1. 40.5.1. 通过 ansible-playbook 运行健康检查
  2. 40.5.2. 通过 Docker CLI 运行健康检查
41. 闲置应用程序
Expand section "41. 闲置应用程序" Collapse section "41. 闲置应用程序"
1. 41.1. 概述
2. 41.2. 闲置应用程序
  Expand section "41.2. 闲置应用程序" Collapse section "41.2. 闲置应用程序"
  1. 41.2.1. 闲置单服务
  2. 41.2.2. 闲置多个服务
3. 41.3. 取消闲置应用程序
42. 分析集群容量
Expand section "42. 分析集群容量" Collapse section "42. 分析集群容量"
43. 在 AWS 中配置集群自动扩展
Expand section "43. 在 AWS 中配置集群自动扩展" Collapse section "43. 在 AWS 中配置集群自动扩展"
44. 使用功能门禁用功能
Expand section "44. 使用功能门禁用功能" Collapse section "44. 使用功能门禁用功能"
1. 44.1. 禁用集群的功能
2. 44.2. 禁用节点的功能
  Expand section "44.2. 禁用节点的功能" Collapse section "44.2. 禁用节点的功能"
  1. 44.2.1. 功能 Gates 列表
45. Kuryr SDN 管理
Expand section "45. Kuryr SDN 管理" Collapse section "45. Kuryr SDN 管理"
1. 45.1. 概述
  Expand section "45.1. 概述" Collapse section "45.1. 概述"
  1. 45.1.1. 孤立的 OpenStack 资源

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

35.2.2. 创建 libreswan IPsec 策略

确保必要的证书导入到 libreswan 证书数据库中后，创建一个策略，使用它们来保护集群中的主机之间的通信。

如果您使用 libreswan 3.19 或更高版本，则建议使用 opportunistic 组配置。否则，需要显式连接。

35.2.2.1. 配置 Opportunistic 组

以下配置创建了两个 libreswan 连接。第一个使用 OpenShift Container Platform 证书加密流量，第二个则为集群外部流量的加密创建例外。

将以下内容放在 /etc/ipsec.d/openshift-cluster.conf 文件中：
```
conn private
	left=%defaultroute
	leftid=%fromcert
	# our certificate
	leftcert="NSS Certificate DB:<cert_nickname>" 1
	right=%opportunisticgroup
	rightid=%fromcert
	# their certificate transmitted via IKE
	rightca=%same
	ikev2=insist
	authby=rsasig
	failureshunt=drop
	negotiationshunt=hold
	auto=ondemand
	encapsulation=yes 2

conn clear
	left=%defaultroute
	right=%group
	authby=never
	type=passthrough
	auto=route
	priority=100
```
1
将 <cert_nickname> 替换为第 1 步中的证书 nickname。
2
如果不使用 NAT，您必须在配置中包含 封装=yes，以强制封装。Amazon 和 Azure 内部云网络不会路由 IPsec ESP 或 AH 数据包。这些数据包必须封装在 UDP 中，如果配置了这些数据包，NAT 检测将在 UDP 封装中配置 ESP。如果您使用 NAT，或者您不在如前所述的 Network/Cloud-Provider 限制下，请省略此参数和值。
使用 /etc/ipsec.d/policies/ 中的策略文件告诉 libreswan 要应用每个策略的 IP 子网和主机，其中每个配置的连接都有对应的策略文件。因此，在上面的示例中，两个连接（private 和 clear ） 在 /etc/ipsec.d/policies/ 中都有一个文件。
/etc/ipsec.d/policies/private 必须包含您的集群的 IP 子网，您的主机从该子网接收 IP 地址。默认情况下，如果远程主机的客户端证书根据本地主机的证书颁发机构证书进行身份验证，这会导致对集群子网中主机之间的所有通信进行加密。如果远程主机的证书没有进行身份验证，则两个主机之间的所有流量都将被阻止。
例如，如果所有主机都配置为使用 172.16.0.0/16 地址空间中的地址，您的 专用 策略文件将包含 172.16.0.0/16。要加密的任何额外子网都可以添加到此文件中，这将导致所有流量都使用 IPsec 到这些子网。
取消加密所有主机和子网网关之间的通信，以确保流量能够进入并退出集群。将网关添加到 /etc/ipsec.d/policies/clear 文件中：
```
172.16.0.1/32
```
可以将其他主机和子网添加到此文件中，这将导致指向这些主机和子网的所有流量都未加密。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

35.2.2. 创建 libreswan IPsec 策略

35.2.2.1. 配置 Opportunistic 组