集群管理
1. 概述
2. 管理节点
Expand section "2. 管理节点" Collapse section "2. 管理节点"
1. 2.1. 概述
2. 2.2. 列出节点
3. 2.3. 查看节点
4. 2.4. 添加主机
5. 2.5. 删除节点
6. 2.6. 更新节点上的标签
7. 2.7. 列出节点上的 pod
8. 2.8. 将节点标记为不可调度或可以调度
9. 2.9. 撤离节点上的 pod
10. 2.10. 重新引导节点
  Expand section "2.10. 重新引导节点" Collapse section "2.10. 重新引导节点"
11. 2.11. 修改节点
  Expand section "2.11. 修改节点" Collapse section "2.11. 修改节点"
  1. 2.11.1. 配置节点资源
  2. 2.11.2. 每个节点设置最大 pod
12. 2.12. 重置 Docker 存储
3. 恢复 OpenShift Container Platform 组件
Expand section "3. 恢复 OpenShift Container Platform 组件" Collapse section "3. 恢复 OpenShift Container Platform 组件"
1. 3.1. 概述
2. 3.2. 恢复集群
3. 3.3. 恢复 master 主机备份
4. 3.4. 恢复节点主机备份
5. 3.5. 恢复 etcd
  Expand section "3.5. 恢复 etcd" Collapse section "3.5. 恢复 etcd"
  1. 3.5.1. 恢复 etcd 配置文件
  2. 3.5.2. 恢复 etcd 数据
6. 3.6. 添加 etcd 节点
  Expand section "3.6. 添加 etcd 节点" Collapse section "3.6. 添加 etcd 节点"
  1. 3.6.1. 使用 Ansible 添加新 etcd 主机
  2. 3.6.2. 手动添加新 etcd 主机
7. 3.7. 使 OpenShift Container Platform 服务恢复在线
8. 3.8. 恢复项目
9. 3.9. 恢复应用程序数据
10. 3.10. 恢复持久性卷声明
  Expand section "3.10. 恢复持久性卷声明" Collapse section "3.10. 恢复持久性卷声明"
  1. 3.10.1. 将文件恢复到现有 PVC
  2. 3.10.2. 将数据恢复到新 PVC
4. 替换 master 主机
Expand section "4. 替换 master 主机" Collapse section "4. 替换 master 主机"
1. 4.1. 弃用 master 主机
2. 4.2. 添加主机
3. 4.3. 扩展 etcd
  Expand section "4.3. 扩展 etcd" Collapse section "4.3. 扩展 etcd"
  1. 4.3.1. 使用 Ansible 添加新 etcd 主机
  2. 4.3.2. 手动添加新 etcd 主机
5. 管理用户
Expand section "5. 管理用户" Collapse section "5. 管理用户"
6. 管理项目
Expand section "6. 管理项目" Collapse section "6. 管理项目"
1. 6.1. 概述
2. 6.2. 自助配置项目
  Expand section "6.2. 自助配置项目" Collapse section "6.2. 自助配置项目"
  1. 6.2.1. 为新项目修改模板
  2. 6.2.2. 禁用自助置备
3. 6.3. 使用 Node Selectors
  Expand section "6.3. 使用 Node Selectors" Collapse section "6.3. 使用 Node Selectors"
4. 6.4. 每个用户限制自助项目数量
5. 6.5. 启用和限制自提供的项目 Per Service Account
7. 管理 Pod
Expand section "7. 管理 Pod" Collapse section "7. 管理 Pod"
1. 7.1. 概述
2. 7.2. 查看 Pod
3. 7.3. 限制 Pod 运行时
  Expand section "7.3. 限制 Pod 运行时" Collapse section "7.3. 限制 Pod 运行时"
  1. 7.3.1. 配置 RunOnceDuration 插件
  2. 7.3.2. 指定每个项目自定义持续时间
    
    Expand section "7.3.2. 指定每个项目自定义持续时间" Collapse section "7.3.2. 指定每个项目自定义持续时间"
    
    7.3.2.1. 部署 Egress Router Pod
    
    7.3.2.2. 部署 Egress 路由器服务
  3. 7.3.3. 使用 Egress Firewall 限制 Pod 访问
    
    Expand section "7.3.3. 使用 Egress Firewall 限制 Pod 访问" Collapse section "7.3.3. 使用 Egress Firewall 限制 Pod 访问"
    
    7.3.3.1. 配置 Pod 访问限制
4. 7.4. 限制 Pod 可用的带宽
5. 7.5. 设置 Pod Disruption 预算
6. 7.6. 配置关键 Pod
8. 管理网络
Expand section "8. 管理网络" Collapse section "8. 管理网络"
1. 8.1. 概述
2. 8.2. 管理 Pod 网络
  Expand section "8.2. 管理 Pod 网络" Collapse section "8.2. 管理 Pod 网络"
  1. 8.2.1. 加入项目网络
3. 8.3. 隔离项目网络
  Expand section "8.3. 隔离项目网络" Collapse section "8.3. 隔离项目网络"
  1. 8.3.1. 使项目网络全局化
4. 8.4. 为路由和入口对象禁用主机名集合
5. 8.5. 控制出口流量
6. 8.6. 使用 Egress Firewall 来限制对外部资源的访问
  Expand section "8.6. 使用 Egress Firewall 来限制对外部资源的访问" Collapse section "8.6. 使用 Egress Firewall 来限制对外部资源的访问"
  1. 8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量
    
    Expand section "8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量" Collapse section "8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量"
    
    8.6.1.1. 以重定向模式部署 Egress Router Pod
    
    8.6.1.2. 重定向至多个目标
    
    8.6.1.3. 使用 ConfigMap 指定 EGRESS_DESTINATION
    
    8.6.1.4. 部署 Egress Router HTTP 代理 Pod
    
    8.6.1.5. 部署 Egress Router DNS 代理 Pod
    
    8.6.1.6. 为 Egress Router Pod 启用故障切换
  2. 8.6.2. 使用 iptables 规则限制对外部资源的访问
7. 8.7. 为外部项目流量启用静态 IP
8. 8.8. 启用自动 Egress IP
9. 8.9. 启用多播
10. 8.10. 启用 NetworkPolicy
  Expand section "8.10. 启用 NetworkPolicy" Collapse section "8.10. 启用 NetworkPolicy"
11. 8.11. 启用 HTTP 严格传输安全性
12. 8.12. 吞吐量问题故障排除
9. 配置服务帐户
Expand section "9. 配置服务帐户" Collapse section "9. 配置服务帐户"
10. 管理基于角色的访问控制(RBAC)
Expand section "10. 管理基于角色的访问控制(RBAC)" Collapse section "10. 管理基于角色的访问控制(RBAC)"
1. 10.1. 概述
2. 10.2. 查看角色和绑定
  Expand section "10.2. 查看角色和绑定" Collapse section "10.2. 查看角色和绑定"
3. 10.3. 管理角色绑定
4. 10.4. 创建本地角色
5. 10.5. 创建集群角色
6. 10.6. 集群和本地角色绑定
7. 10.7. 更新策略定义
11. 镜像策略
Expand section "11. 镜像策略" Collapse section "11. 镜像策略"
12. 镜像签名
Expand section "12. 镜像签名" Collapse section "12. 镜像签名"
1. 12.1. 概述
2. 12.2. 使用 Atomic CLI 签署镜像
3. 12.3. 使用 OpenShift CLI 验证镜像签名
4. 12.4. 使用 Registry API 访问镜像签名
  Expand section "12.4. 使用 Registry API 访问镜像签名" Collapse section "12.4. 使用 Registry API 访问镜像签名"
13. 有作用域令牌
Expand section "13. 有作用域令牌" Collapse section "13. 有作用域令牌"
14. 监控镜像
Expand section "14. 监控镜像" Collapse section "14. 监控镜像"
15. 管理安全性上下文约束
Expand section "15. 管理安全性上下文约束" Collapse section "15. 管理安全性上下文约束"
1. 15.1. 概述
2. 15.2. 列出安全性上下文约束
3. 15.3. 检查安全性上下文约束对象
4. 15.4. 创建新安全性上下文约束
5. 15.5. 删除安全性上下文约束
6. 15.6. 更新安全性上下文约束
  Expand section "15.6. 更新安全性上下文约束" Collapse section "15.6. 更新安全性上下文约束"
  1. 15.6.1. 安全性上下文约束设置示例
7. 15.7. 更新默认安全性上下文约束
8. 15.8. 我怎么样？
  Expand section "15.8. 我怎么样？" Collapse section "15.8. 我怎么样？"
16. 调度
Expand section "16. 调度" Collapse section "16. 调度"
1. 16.1. 概述
  Expand section "16.1. 概述" Collapse section "16.1. 概述"
2. 16.2. 默认调度
  Expand section "16.2. 默认调度" Collapse section "16.2. 默认调度"
  1. 16.2.1. 概述
  2. 16.2.2. 通用调度程序
  3. 16.2.3. 过滤节点
    
    Expand section "16.2.3. 过滤节点" Collapse section "16.2.3. 过滤节点"
    
    16.2.3.1. 排列过滤后节点列表的优先顺序
    
    16.2.3.2. 选择最适合的节点
  4. 16.2.4. 调度程序策略
    
    Expand section "16.2.4. 调度程序策略" Collapse section "16.2.4. 调度程序策略"
    
    16.2.4.1. 修改调度程序策略
  5. 16.2.5. 可用 predicates
    
    Expand section "16.2.5. 可用 predicates" Collapse section "16.2.5. 可用 predicates"
    
    16.2.5.1. 静态 predicates
    
    Expand section "16.2.5.1. 静态 predicates" Collapse section "16.2.5.1. 静态 predicates"
    
    16.2.5.1.1. 默认 predicates
    
    16.2.5.1.2. 其他静态 predicates
    
    16.2.5.2. 常规 predicates
    
    16.2.5.3. 可配置 predicates
  6. 16.2.6. 可用优先级
    
    Expand section "16.2.6. 可用优先级" Collapse section "16.2.6. 可用优先级"
    
    16.2.6.1. 静态优先级
    
    Expand section "16.2.6.1. 静态优先级" Collapse section "16.2.6.1. 静态优先级"
    
    16.2.6.1.1. 默认优先级
    
    16.2.6.1.2. 其他静态优先级
    
    16.2.6.2. 可配置优先级
  7. 16.2.7. 使用案例
    
    Expand section "16.2.7. 使用案例" Collapse section "16.2.7. 使用案例"
    
    16.2.7.1. 基础架构拓扑级别
    
    16.2.7.2. 关联性
    
    16.2.7.3. 反关联性
  8. 16.2.8. 策略配置示例
3. 16.3. 取消调度
  Expand section "16.3. 取消调度" Collapse section "16.3. 取消调度"
  1. 16.3.1. 概述
  2. 16.3.2. 创建集群角色
  3. 16.3.3. 创建 Descheduler 策略
    
    Expand section "16.3.3. 创建 Descheduler 策略" Collapse section "16.3.3. 创建 Descheduler 策略"
    
    16.3.3.1. 删除重复的 Pod
    
    16.3.3.2. 创建低节点利用率策略
    
    16.3.3.3. 移除 Pod 冲突间的关联性
    
    16.3.3.4. 删除 Pod 冲突节点关联性
  4. 16.3.4. 为 Descheduler 策略创建配置映射
  5. 16.3.5. 创建作业规格
  6. 16.3.6. 运行 Descheduler
4. 16.4. 自定义调度
  Expand section "16.4. 自定义调度" Collapse section "16.4. 自定义调度"
5. 16.5. 控制 Pod 放置
  Expand section "16.5. 控制 Pod 放置" Collapse section "16.5. 控制 Pod 放置"
6. 16.6. Pod 优先级和抢占功能
  Expand section "16.6. Pod 优先级和抢占功能" Collapse section "16.6. Pod 优先级和抢占功能"
  1. 16.6.1. 应用 pod 优先级和抢占
  2. 16.6.2. 关于 pod 优先级
    
    Expand section "16.6.2. 关于 pod 优先级" Collapse section "16.6.2. 关于 pod 优先级"
    
    16.6.2.1. Pod 优先级类
    
    16.6.2.2. Pod 优先级名称
  3. 16.6.3. 关于 pod 抢占
    
    Expand section "16.6.3. 关于 pod 抢占" Collapse section "16.6.3. 关于 pod 抢占"
    
    16.6.3.1. Pod 抢占和其他调度程序设置
    
    16.6.3.2. 安全终止被抢占的 pod
  4. 16.6.4. Pod 优先级示例场景
  5. 16.6.5. 配置优先级和抢占
  6. 16.6.6. 禁用优先级与抢占
7. 16.7. 高级调度
  Expand section "16.7. 高级调度" Collapse section "16.7. 高级调度"
  1. 16.7.1. 概述
  2. 16.7.2. 使用高级调度
8. 16.8. 高级调度和节点关联性
  Expand section "16.8. 高级调度和节点关联性" Collapse section "16.8. 高级调度和节点关联性"
  1. 16.8.1. 概述
  2. 16.8.2. 配置节点关联性
    
    Expand section "16.8.2. 配置节点关联性" Collapse section "16.8.2. 配置节点关联性"
    
    16.8.2.1. 配置所需的节点关联性规则
    
    16.8.2.2. 配置节点关联性偏好规则
  3. 16.8.3. 示例
    
    Expand section "16.8.3. 示例" Collapse section "16.8.3. 示例"
    
    16.8.3.1. 具有匹配标签的节点关联性
    
    16.8.3.2. 无匹配标签的节点关联性
9. 16.9. 高级调度和 Pod 关联性和反关联性
  Expand section "16.9. 高级调度和 Pod 关联性和反关联性" Collapse section "16.9. 高级调度和 Pod 关联性和反关联性"
  1. 16.9.1. 概述
  2. 16.9.2. 配置 Pod 关联性和反关联性
    
    Expand section "16.9.2. 配置 Pod 关联性和反关联性" Collapse section "16.9.2. 配置 Pod 关联性和反关联性"
    
    16.9.2.1. 配置关联性规则
    
    16.9.2.2. 配置反关联性规则
  3. 16.9.3. 示例
    
    Expand section "16.9.3. 示例" Collapse section "16.9.3. 示例"
    
    16.9.3.1. Pod 关联性
    
    16.9.3.2. Pod 反关联性
    
    16.9.3.3. 无匹配标签的 Pod 反关联性
10. 16.10. 高级调度和 Node Selectors
  Expand section "16.10. 高级调度和 Node Selectors" Collapse section "16.10. 高级调度和 Node Selectors"
  1. 16.10.1. 概述
  2. 16.10.2. 配置 Node Selectors
11. 16.11. 高级调度、管理和容忍
  Expand section "16.11. 高级调度、管理和容忍" Collapse section "16.11. 高级调度、管理和容忍"
  1. 16.11.1. 概述
  2. 16.11.2. 污点和容限
    
    Expand section "16.11.2. 污点和容限" Collapse section "16.11.2. 污点和容限"
    
    16.11.2.1. 使用多个污点
  3. 16.11.3. 将 Taint 添加到现有节点
  4. 16.11.4. 在 Pod 中添加容限
    
    Expand section "16.11.4. 在 Pod 中添加容限" Collapse section "16.11.4. 在 Pod 中添加容限"
    
    16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions
    
    Expand section "16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions" Collapse section "16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions"
    
    16.11.4.1.1. 为 Toleration second 设置默认值
  5. 16.11.5. 节点问题的 Pod 驱除
  6. 16.11.6. DaemonSet 和 Tolerations
  7. 16.11.7. 例子
    
    Expand section "16.11.7. 例子" Collapse section "16.11.7. 例子"
    
    16.11.7.1. 为用户指定节点
    
    16.11.7.2. 将用户绑定到节点
    
    16.11.7.3. 具有特殊硬件的节点
17. 设置配额
Expand section "17. 设置配额" Collapse section "17. 设置配额"
1. 17.1. 概述
2. 17.2. 按配额管理的资源
  Expand section "17.2. 按配额管理的资源" Collapse section "17.2. 按配额管理的资源"
  1. 17.2.1. 为扩展资源设置资源配额
3. 17.3. 配额范围
4. 17.4. 配额强制
5. 17.5. 请求(request)与限制(limits)的比较
6. 17.6. 资源配额定义示例
7. 17.7. 创建配额
  Expand section "17.7. 创建配额" Collapse section "17.7. 创建配额"
  1. 17.7.1. 创建对象数配额
8. 17.8. 查看配额
9. 17.9. 配置配额同步周期
10. 17.10. 部署配置中的配额核算
11. 17.11. 需要 Explicit Quota 以消耗资源
12. 17.12. 已知问题
18. 设置多项目配额
Expand section "18. 设置多项目配额" Collapse section "18. 设置多项目配额"
19. 修剪对象
Expand section "19. 修剪对象" Collapse section "19. 修剪对象"
1. 19.1. 概述
2. 19.2. 基本修剪操作
3. 19.3. 修剪组
4. 19.4. 修剪部署
5. 19.5. 修剪构建
6. 19.6. 修剪镜像
  Expand section "19.6. 修剪镜像" Collapse section "19.6. 修剪镜像"
  1. 19.6.1. 镜像修剪条件
  2. 19.6.2. 使用安全或不安全连接
  3. 19.6.3. 镜像修剪问题
    
    Expand section "19.6.3. 镜像修剪问题" Collapse section "19.6.3. 镜像修剪问题"
    
    19.6.3.1. 对受保护 registry 使用不安全连接
7. 19.7. 硬修剪 registry
8. 19.8. 修剪 Cron 任务
20. 使用自定义资源扩展 Kubernetes API
Expand section "20. 使用自定义资源扩展 Kubernetes API" Collapse section "20. 使用自定义资源扩展 Kubernetes API"
21. 垃圾收集器
Expand section "21. 垃圾收集器" Collapse section "21. 垃圾收集器"
1. 21.1. 概述
2. 21.2. Container Garbage Collection
  Expand section "21.2. Container Garbage Collection" Collapse section "21.2. Container Garbage Collection"
  1. 21.2.1. 检测容器进行删除
3. 21.3. Image Garbage Collection
  Expand section "21.3. Image Garbage Collection" Collapse section "21.3. Image Garbage Collection"
  1. 21.3.1. 检测镜像以进行删除
22. 分配节点资源
Expand section "22. 分配节点资源" Collapse section "22. 分配节点资源"
23. 过量使用
Expand section "23. 过量使用" Collapse section "23. 过量使用"
1. 23.1. 概述
2. 23.2. 请求和限制
  Expand section "23.2. 请求和限制" Collapse section "23.2. 请求和限制"
  1. 23.2.1. 调整缓冲区块限制
3. 23.3. 计算资源
  Expand section "23.3. 计算资源" Collapse section "23.3. 计算资源"
4. 23.4. 服务质量类
5. 23.5. 为使用过量配置 Master
6. 23.6. 为过量使用配置节点
  Expand section "23.6. 为过量使用配置节点" Collapse section "23.6. 为过量使用配置节点"
24. 处理资源错误
Expand section "24. 处理资源错误" Collapse section "24. 处理资源错误"
1. 24.1. 概述
2. 24.2. 配置驱除策略
  Expand section "24.2. 配置驱除策略" Collapse section "24.2. 配置驱除策略"
  1. 24.2.1. 使用节点配置创建策略
  2. 24.2.2. 了解驱除信号
  3. 24.2.3. 了解驱除阈值
    
    Expand section "24.2.3. 了解驱除阈值" Collapse section "24.2.3. 了解驱除阈值"
    
    24.2.3.1. 了解硬驱除阈值
    
    Expand section "24.2.3.1. 了解硬驱除阈值" Collapse section "24.2.3.1. 了解硬驱除阈值"
    
    24.2.3.1.1. 默认 hardd Eviction Thresholds
    
    24.2.3.2. 了解 Soft Eviction Thresholds
3. 24.3. 为调度配置资源量
4. 24.4. 控制节点条件 Oscillation
5. 24.5. 重新声明节点级别资源
6. 24.6. 了解 Pod 驱除
  Expand section "24.6. 了解 Pod 驱除" Collapse section "24.6. 了解 Pod 驱除"
  1. 24.6.1. 了解服务质量和内存不足 Killer
7. 24.7. 了解 Pod 调度程序和 OOR 条件
8. 24.8. 场景示例
9. 24.9. 推荐做法
  Expand section "24.9. 推荐做法" Collapse section "24.9. 推荐做法"
  1. 24.9.1. 守护进程集和资源处理不足
25. 设置限值范围
Expand section "25. 设置限值范围" Collapse section "25. 设置限值范围"
1. 25.1. Limit Ranges 目的
  Expand section "25.1. Limit Ranges 目的" Collapse section "25.1. Limit Ranges 目的"
  1. 25.1.1. 容器限制
  2. 25.1.2. Pod 限制
  3. 25.1.3. 镜像限制
  4. 25.1.4. 镜像流限制
    
    Expand section "25.1.4. 镜像流限制" Collapse section "25.1.4. 镜像流限制"
    
    25.1.4.1. 镜像参考计数
  5. 25.1.5. PersistentVolumeClaim 限制
2. 25.2. 创建限制范围
3. 25.3. 查看限制
4. 25.4. 删除限制范围
26. 节点问题检测程序
Expand section "26. 节点问题检测程序" Collapse section "26. 节点问题检测程序"
27. 为 Ingress 流量分配唯一外部 IP
Expand section "27. 为 Ingress 流量分配唯一外部 IP" Collapse section "27. 为 Ingress 流量分配唯一外部 IP"
1. 27.1. 概述
2. 27.2. 限制
3. 27.3. 将集群配置为使用唯一外部 IP
  Expand section "27.3. 将集群配置为使用唯一外部 IP" Collapse section "27.3. 将集群配置为使用唯一外部 IP"
  1. 27.3.1. 为服务配置 Ingress IP
4. 27.4. 为开发或测试路由 Ingress CIDR
  Expand section "27.4. 为开发或测试路由 Ingress CIDR" Collapse section "27.4. 为开发或测试路由 Ingress CIDR"
  1. 27.4.1. 服务 externalIP
28. 监控和调试路由器
Expand section "28. 监控和调试路由器" Collapse section "28. 监控和调试路由器"
29. 高可用性
Expand section "29. 高可用性" Collapse section "29. 高可用性"
1. 29.1. 概述
2. 29.2. 配置 IP 故障
  Expand section "29.2. 配置 IP 故障" Collapse section "29.2. 配置 IP 故障"
  1. 29.2.1. 虚拟 IP 地址
  2. 29.2.2. 检查并通知脚本
  3. 29.2.3. VRRP 抢占
  4. 29.2.4. keepalived 多广播
  5. 29.2.5. 命令行选项和环境变量
  6. 29.2.6. VRRP ID Offset
  7. 29.2.7. 为超过 254 地址配置 IP 故障转移
  8. 29.2.8. 配置高可用性服务
    
    Expand section "29.2.8. 配置高可用性服务" Collapse section "29.2.8. 配置高可用性服务"
    
    29.2.8.1. 部署 IP 故障 Pod
  9. 29.2.9. 为高可用性服务动态更新虚拟 IP
3. 29.3. 配置服务 ExternalIP 和 NodePort
4. 29.4. IngressIP 的高可用性
30. iptables
Expand section "30. iptables" Collapse section "30. iptables"
31. 通过策略保护构建
Expand section "31. 通过策略保护构建" Collapse section "31. 通过策略保护构建"
32. 使用 Seccomp 限制应用程序功能
Expand section "32. 使用 Seccomp 限制应用程序功能" Collapse section "32. 使用 Seccomp 限制应用程序功能"
33. Sysctls
Expand section "33. Sysctls" Collapse section "33. Sysctls"
34. 在数据存储层加密数据
Expand section "34. 在数据存储层加密数据" Collapse section "34. 在数据存储层加密数据"
1. 34.1. 概述
2. 34.2. 配置和确定加密是否已启用
3. 34.3. 了解加密配置
  Expand section "34.3. 了解加密配置" Collapse section "34.3. 了解加密配置"
  1. 34.3.1. 可用的供应商
4. 34.4. 加密数据
5. 34.5. 验证数据是否已加密
6. 34.6. 确保加密所有 secret
7. 34.7. 轮转解密密钥
8. 34.8. 解密数据
35. 使用 IPsec 加密节点间的流量
Expand section "35. 使用 IPsec 加密节点间的流量" Collapse section "35. 使用 IPsec 加密节点间的流量"
1. 35.1. 概述
2. 35.2. 加密主机
  Expand section "35.2. 加密主机" Collapse section "35.2. 加密主机"
  1. 35.2.1. 为 IPsec 配置证书
  2. 35.2.2. 创建 libreswan IPsec 策略
    
    Expand section "35.2.2. 创建 libreswan IPsec 策略" Collapse section "35.2.2. 创建 libreswan IPsec 策略"
    
    35.2.2.1. 配置 Opportunistic 组
    
    35.2.2.2. 配置显式连接
3. 35.3. 配置 IPsec 防火墙
4. 35.4. 启动并启用 IPsec
5. 35.5. 优化 IPsec
6. 35.6. 故障排除
36. 构建依赖性树
Expand section "36. 构建依赖性树" Collapse section "36. 构建依赖性树"
1. 36.1. 概述
2. 36.2. 使用方法
37. 替换失败的 etcd 成员
Expand section "37. 替换失败的 etcd 成员" Collapse section "37. 替换失败的 etcd 成员"
1. 37.1. 删除失败的 etcd 节点
2. 37.2. 添加 etcd 成员
  Expand section "37.2. 添加 etcd 成员" Collapse section "37.2. 添加 etcd 成员"
  1. 37.2.1. 使用 Ansible 添加新 etcd 主机
  2. 37.2.2. 手动添加新 etcd 主机
38. 恢复 etcd 仲裁
Expand section "38. 恢复 etcd 仲裁" Collapse section "38. 恢复 etcd 仲裁"
1. 38.1. 为独立服务恢复 etcd 仲裁
  Expand section "38.1. 为独立服务恢复 etcd 仲裁" Collapse section "38.1. 为独立服务恢复 etcd 仲裁"
  1. 38.1.1. 备份 etcd
    
    Expand section "38.1.1. 备份 etcd" Collapse section "38.1.1. 备份 etcd"
    
    38.1.1.1. 备份 etcd 配置文件
    
    38.1.1.2. 备份 etcd 数据
  2. 38.1.2. 删除 etcd 主机
  3. 38.1.3. 创建单节点 etcd 集群
  4. 38.1.4. 在恢复后添加 etcd 节点
2. 38.2. 为静态 pod 恢复 etcd 仲裁
39. OpenShift SDN 故障排除
Expand section "39. OpenShift SDN 故障排除" Collapse section "39. OpenShift SDN 故障排除"
1. 39.1. 概述
2. 39.2. 术语
3. 39.3. 调试对 HTTP 服务的外部访问
4. 39.4. 调试路由器
5. 39.5. 调试服务
6. 39.6. 调试节点到节点网络
7. 39.7. 调试本地网络
  Expand section "39.7. 调试本地网络" Collapse section "39.7. 调试本地网络"
  1. 39.7.1. 节点上的接口
  2. 39.7.2. 节点内的 SDN 流
  3. 39.7.3. 调试步骤
    
    Expand section "39.7.3. 调试步骤" Collapse section "39.7.3. 调试步骤"
    
    39.7.3.1. IP 转发是否已启用？
    
    39.7.3.2. 您的路由是否正确？
  4. 39.7.4. Open vSwitch(OVS)是否正确配置？
    
    Expand section "39.7.4. Open vSwitch(OVS)是否正确配置？" Collapse section "39.7.4. Open vSwitch(OVS)是否正确配置？"
    
    39.7.4.1. iptables 配置是否正确？
    
    39.7.4.2. 您的外部网络是否正确？
8. 39.8. 调试虚拟网络
  Expand section "39.8. 调试虚拟网络" Collapse section "39.8. 调试虚拟网络"
  1. 39.8.1. 基于虚拟网络构建正在故障
9. 39.9. 调试 Pod Egress
10. 39.10. 读取日志
11. 39.11. 调试 Kubernetes
12. 39.12. 使用诊断工具查找网络问题
13. 39.13. 其它备注
  Expand section "39.13. 其它备注" Collapse section "39.13. 其它备注"
40. 诊断工具
Expand section "40. 诊断工具" Collapse section "40. 诊断工具"
1. 40.1. 概述
2. 40.2. 使用诊断工具
3. 40.3. 在服务器环境中运行诊断
4. 40.4. 在客户端环境中运行诊断
5. 40.5. 基于 Ansible 的健康检查
  Expand section "40.5. 基于 Ansible 的健康检查" Collapse section "40.5. 基于 Ansible 的健康检查"
  1. 40.5.1. 通过 ansible-playbook 运行健康检查
  2. 40.5.2. 通过 Docker CLI 运行健康检查
41. 闲置应用程序
Expand section "41. 闲置应用程序" Collapse section "41. 闲置应用程序"
1. 41.1. 概述
2. 41.2. 闲置应用程序
  Expand section "41.2. 闲置应用程序" Collapse section "41.2. 闲置应用程序"
  1. 41.2.1. 闲置单服务
  2. 41.2.2. 闲置多个服务
3. 41.3. 取消闲置应用程序
42. 分析集群容量
Expand section "42. 分析集群容量" Collapse section "42. 分析集群容量"
43. 在 AWS 中配置集群自动扩展
Expand section "43. 在 AWS 中配置集群自动扩展" Collapse section "43. 在 AWS 中配置集群自动扩展"
44. 使用功能门禁用功能
Expand section "44. 使用功能门禁用功能" Collapse section "44. 使用功能门禁用功能"
1. 44.1. 禁用集群的功能
2. 44.2. 禁用节点的功能
  Expand section "44.2. 禁用节点的功能" Collapse section "44.2. 禁用节点的功能"
  1. 44.2.1. 功能 Gates 列表
45. Kuryr SDN 管理
Expand section "45. Kuryr SDN 管理" Collapse section "45. Kuryr SDN 管理"
1. 45.1. 概述
  Expand section "45.1. 概述" Collapse section "45.1. 概述"
  1. 45.1.1. 孤立的 OpenStack 资源

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

第 25 章设置限值范围

25.1. Limit Ranges 目的

限值范围由 LimitRange 对象定义，用于枚举 Pod、容器、镜像、镜像流和持久卷声明级别的项目中的计算资源约束，并指定 pod、容器、镜像、镜像流或持久卷声明可以消耗的资源量。

要创建和修改资源的所有请求都会针对项目中的每个 LimitRange 对象进行评估。如果资源违反了任何限制，则会拒绝该资源。如果资源没有设置显式值，如果约束支持默认值，则默认值将应用到该资源。

对于 CPU 和内存限值，如果指定了最大值但没有指定最小限制，则资源可能会消耗比最大值更多的 CPU 和内存资源。

您可以使用临时存储技术预览功能为临时存储指定限值和请求。此功能默认为禁用。要启用此功能，请参阅配置临时存储。

核心限制对象定义

apiVersion: "v1"
kind: "LimitRange"
metadata:
  name: "core-resource-limits" 1
spec:
  limits:
    - type: "Pod"
      max:
        cpu: "2" 2
        memory: "1Gi" 3
      min:
        cpu: "200m" 4
        memory: "6Mi" 5
    - type: "Container"
      max:
        cpu: "2" 6
        memory: "1Gi" 7
      min:
        cpu: "100m" 8
        memory: "4Mi" 9
      default:
        cpu: "300m" 10
        memory: "200Mi" 11
      defaultRequest:
        cpu: "200m" 12
        memory: "100Mi" 13
      maxLimitRequestRatio:
        cpu: "10" 14

1: 限制范围对象的名称。
2: pod 可在所有容器中的节点上请求的最大 CPU 量。
3: pod 可在所有容器中的节点上请求的最大内存量。
4: pod 可在所有容器中的节点上请求的最小 CPU 量。如果没有设置 min 值，或者将 min 设置为 0，则结果为没有限制，pod 消耗的消耗可能会超过 max CPU 值。
5: pod 可在所有容器中的节点上请求的最小内存量。如果没有设置 min 值，或者将 min 设置为 0，则结果为没有限制，pod 消耗的消耗可能会超过 max 内存的值。
6: pod 中单个容器可以请求的最大 CPU 量。
7: pod 中单个容器可以请求的最大内存量。
8: pod 中单个容器可以请求的最小 CPU 量。如果没有设置 min 值，或者将 min 设置为 0，则结果为没有限制，pod 消耗的消耗可能会超过 max CPU 值。
9: pod 中单个容器可以请求的最小内存量。如果没有设置 min 值，或者将 min 设置为 0，则结果为没有限制，pod 消耗的消耗可能会超过 max 内存的值。
10: 如果没有在 pod 规格中指定限制，则容器的默认 CPU 限值。
11: 如果没有在 pod 规格中指定限制，容器的默认内存限值。
12: 如果没有在 pod 规格中指定请求，容器的默认 CPU 请求。
13: 如果没有在 pod 规格中指定请求，容器的默认内存请求。
14: 容器最大的限制与请求的比率。

有关如何测量 CPU 和内存的更多信息，请参阅计算资源。

OpenShift Container Platform Limit Range 对象定义

apiVersion: "v1"
kind: "LimitRange"
metadata:
  name: "openshift-resource-limits"
spec:
  limits:
    - type: openshift.io/Image
      max:
        storage: 1Gi 1
    - type: openshift.io/ImageStream
      max:
        openshift.io/image-tags: 20 2
        openshift.io/images: 30 3
    - type: "Pod"
      max:
        cpu: "2" 4
        memory: "1Gi" 5
        ephemeral-storage: "1Gi" 6
     max:
        cpu: "1" 7
        memory: "1Gi" 8

1: 可以推送到内部 registry 的最大镜像大小。
2: 镜像流规格中定义的唯一镜像标签的最大数量。
3: 镜像流状态规格中定义的最大镜像引用数量。
4: pod 可在所有容器中的节点上请求的最大 CPU 量。
5: pod 可在所有容器中的节点上请求的最大内存量。
6: 如果启用了临时存储技术预览功能，pod 可在所有容器间请求的最大临时存储量。
7: pod 可在所有容器中的节点上请求的最小 CPU 量。如果您将 min 值设置为 0，或者将 min 设置为 0，则结果为没有限制，pod 消耗的消耗可能会超过 max CPU 的值。
8: pod 可在所有容器中的节点上请求的最小内存量。如果没有设置 min 值，或者将 min 设置为 0，则结果为没有限制，pod 消耗的消耗可能会超过 max 内存的值。

您可以在一个限制范围对象中指定核心和 OpenShift Container Platform 资源。为清晰起见，将单独在两个示例中显示这些参数。

25.1.1. 容器限制

支持的资源：

CPU
内存

支持的限制：

对于每个容器，如果指定，则必须满足以下条件：

表 25.1. Container

约束行为

约束	行为
`Min`	`Min[resource]` 小于或等于 `container.resources.requests[resource]` （必需）小于或等于 `container/resources.limits[resource]` （可选）如果配置定义了 `min` CPU，则请求值必须大于 CPU 值。如果没有设置 `min` 值，或者将 `min` 设置为 `0`，则结果为没有限制，pod 消耗的资源量可能会超过 `max` 值。
`Max`	`container.resources.limits[resource]` （必需）小于或等于 `Max[resource]` 如果配置定义了 `max` CPU，则不需要定义 CPU 请求值。但是，您必须设置一个满足限制范围中指定的最大 CPU 约束的限制。
`MaxLimitRequestRatio`	`maxLimitRequestRatio[resource]` 小于或等于(`container.resources.limits[resource]` / `container.resources.requests[resource]`) 如果限制范围定义了 `maxLimitRequestRatio` 约束，则任何新容器都必须具有 `request` 和 `limit` 值。另外，OpenShift Container Platform 通过将限制除以请求来计算 `限制` 与 `请求` 的比率。结果应该是一个大于 1 的整数。例如，如果容器有 `cpu：500`，`限制` 值和 `cpu：在请求值中，cpu 的 limit-to-request 比率为 5。`这个比例必须小于或等于 `maxLimitRequestRatio`。

Min

Min[resource] 小于或等于 container.resources.requests[resource] （必需）小于或等于 container/resources.limits[resource] （可选）

如果配置定义了 min CPU，则请求值必须大于 CPU 值。如果没有设置 min 值，或者将 min 设置为 0，则结果为没有限制，pod 消耗的资源量可能会超过 max 值。

Max

container.resources.limits[resource] （必需）小于或等于 Max[resource]

如果配置定义了 max CPU，则不需要定义 CPU 请求值。但是，您必须设置一个满足限制范围中指定的最大 CPU 约束的限制。

MaxLimitRequestRatio

maxLimitRequestRatio[resource] 小于或等于(container.resources.limits[resource] / container.resources.requests[resource])

如果限制范围定义了 maxLimitRequestRatio 约束，则任何新容器都必须具有 request 和 limit 值。另外，OpenShift Container Platform 通过将限制除以请求来计算 限制 与 请求 的比率。结果应该是一个大于 1 的整数。

例如，如果容器有 cpu：500，限制 值和 cpu：在请求值中，cpu 的 limit-to-request 比率为 5。这个比例必须小于或等于 maxLimitRequestRatio。

支持的默认值：

默认值 [resource]: 如果没有指定值，则默认为 container.resources.limit[resource]。
默认请求[资源]: 如果没有指定值，则默认为 container.resources.requests[resource]。

25.1.2. Pod 限制

支持的资源：

CPU
内存

支持的限制：

在 pod 中的所有容器中，需要满足以下条件：

表 25.2. Pod

约束	强制行为
`Min`	`Min[resource]` 小于或等于 `container.resources.requests[resource]` （必需）小于或等于 `container.resources.limits[resource]`。如果没有设置 `min` 值，或者将 `min` 设置为 `0`，则结果为没有限制，pod 消耗的资源量可能会超过 `max` 值。
`Max`	`container.resources.limits[resource]` （必需）小于或等于 `Max[resource]`。
`MaxLimitRequestRatio`	`maxLimitRequestRatio[resource]` 小于或等于(`container.resources.limits[resource]` / `container.resources.requests[resource]`)。

25.1.3. 镜像限制

支持的资源：

存储

资源类型名称：

openshift.io/Image

对于镜像，如果指定，则必须满足以下条件：

表 25.3. Image

约束	行为
`Max`	`image.dockerimagemetadata.size` 小于或等于 `Max[resource]`

注意

要防止超过限制的 Blob 上传到 registry，必须将 registry 配置为强制实施配额。The REGISTRY_MIDDLEWARE_REPOSITORY_OPENSHIFT_ENFORCEQUOTA 环境变量必须设置为 true。默认情况下，新部署的环境变量设置为 true。

警告

在上传的镜像清单中，镜像大小并非始终可用。这对使用 Docker 1.10 或更高版本构建并推送到 v2 registry 的镜像来说尤为如此。如果此类镜像使用较旧的 Docker 守护进程拉取，则镜像清单由 registry 转换为 schema v1，且不包括所有大小信息。镜像没有设置存储限制会阻止镜像上传。

这个问题正在被决。

25.1.4. 镜像流限制

支持的资源：

openshift.io/image-tags
openshift.io/images

资源类型名称：

openshift.io/ImageStream

每个镜像流，如果指定，则必须满足以下条件：

表 25.4. ImageStream

约束行为

约束	行为
`Max[openshift.io/image-tags]`	`length（uniqueimagetags(imagestream.spec.tags)` 小于或等于 `Max[openshift.io/image-tags]` `uniqueimagetags` 返回对给定 spec 标签的镜像的唯一引用。
`Max[openshift.io/images]`	`length（uniqueimages(imagestream.status.tags)` 小于或等于 `Max[openshift.io/images]` `uniqueimages` 返回状态标签中找到的唯一镜像名称。名称等于镜像的摘要。

Max[openshift.io/image-tags]

length（uniqueimagetags(imagestream.spec.tags) 小于或等于 Max[openshift.io/image-tags]

uniqueimagetags 返回对给定 spec 标签的镜像的唯一引用。

Max[openshift.io/images]

length（uniqueimages(imagestream.status.tags) 小于或等于 Max[openshift.io/images]

uniqueimages 返回状态标签中找到的唯一镜像名称。名称等于镜像的摘要。

25.1.4.1. 镜像参考计数

openshift.io/image-tags 资源代表唯一镜像引用。可能的引用是 ImageStreamTag、ImageStreamImage 或 DockerImage。可以使用 oc tag 和 oc import -image 命令创建标签，或者使用标签跟踪。内部和外部引用之间没有区别。但是，镜像流规格中标记的每个唯一引用仅计算一次。它不以任何方式限制推送到内部容器镜像 registry，但对标签限制很有用。

openshift.io/images 资源代表镜像流状态中记录的唯一镜像名称。它允许对可以推送到内部 registry 的大量镜像进行限制。内部和外部引用无法区分。

25.1.5. PersistentVolumeClaim 限制

支持的资源：

存储

支持的限制：

在一个项目中的所有持久性卷声明中，必须满足以下条件：

表 25.5. Pod

约束	强制行为
`Min`	Min[resource] <= claim.spec.resources.requests[resource]（必需）
`Max`	claim.spec.resources.requests[resource] （必需）<= Max[resource]

限制范围对象定义

{
  "apiVersion": "v1",
  "kind": "LimitRange",
  "metadata": {
    "name": "pvcs" 1
  },
  "spec": {
    "limits": [{
        "type": "PersistentVolumeClaim",
        "min": {
          "storage": "2Gi" 2
        },
        "max": {
          "storage": "50Gi" 3
        }
      }
    ]
  }
}

1: 限制范围对象的名称。
2: 持久性卷声明中可请求的最小存储量。
3: 在持久性卷声明中请求的最大存储量。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

第 25 章设置限值范围

25.1. Limit Ranges 目的

25.1.1. 容器限制

25.1.2. Pod 限制

25.1.3. 镜像限制

25.1.4. 镜像流限制

25.1.4.1. 镜像参考计数

25.1.5. PersistentVolumeClaim 限制

Red Hat Training

第 25 章 设置限值范围

25.1. Limit Ranges 目的

25.1.1. 容器限制

25.1.2. Pod 限制

25.1.3. 镜像限制

25.1.4. 镜像流限制

25.1.4.1. 镜像参考计数

25.1.5. PersistentVolumeClaim 限制

第 25 章设置限值范围