集群管理
1. 概述
2. 管理节点
Expand section "2. 管理节点" Collapse section "2. 管理节点"
1. 2.1. 概述
2. 2.2. 列出节点
3. 2.3. 查看节点
4. 2.4. 添加主机
5. 2.5. 删除节点
6. 2.6. 更新节点上的标签
7. 2.7. 列出节点上的 pod
8. 2.8. 将节点标记为不可调度或可以调度
9. 2.9. 撤离节点上的 pod
10. 2.10. 重新引导节点
  Expand section "2.10. 重新引导节点" Collapse section "2.10. 重新引导节点"
11. 2.11. 修改节点
  Expand section "2.11. 修改节点" Collapse section "2.11. 修改节点"
  1. 2.11.1. 配置节点资源
  2. 2.11.2. 每个节点设置最大 pod
12. 2.12. 重置 Docker 存储
3. 恢复 OpenShift Container Platform 组件
Expand section "3. 恢复 OpenShift Container Platform 组件" Collapse section "3. 恢复 OpenShift Container Platform 组件"
1. 3.1. 概述
2. 3.2. 恢复集群
3. 3.3. 恢复 master 主机备份
4. 3.4. 恢复节点主机备份
5. 3.5. 恢复 etcd
  Expand section "3.5. 恢复 etcd" Collapse section "3.5. 恢复 etcd"
  1. 3.5.1. 恢复 etcd 配置文件
  2. 3.5.2. 恢复 etcd 数据
6. 3.6. 添加 etcd 节点
  Expand section "3.6. 添加 etcd 节点" Collapse section "3.6. 添加 etcd 节点"
  1. 3.6.1. 使用 Ansible 添加新 etcd 主机
  2. 3.6.2. 手动添加新 etcd 主机
7. 3.7. 使 OpenShift Container Platform 服务恢复在线
8. 3.8. 恢复项目
9. 3.9. 恢复应用程序数据
10. 3.10. 恢复持久性卷声明
  Expand section "3.10. 恢复持久性卷声明" Collapse section "3.10. 恢复持久性卷声明"
  1. 3.10.1. 将文件恢复到现有 PVC
  2. 3.10.2. 将数据恢复到新 PVC
4. 替换 master 主机
Expand section "4. 替换 master 主机" Collapse section "4. 替换 master 主机"
1. 4.1. 弃用 master 主机
2. 4.2. 添加主机
3. 4.3. 扩展 etcd
  Expand section "4.3. 扩展 etcd" Collapse section "4.3. 扩展 etcd"
  1. 4.3.1. 使用 Ansible 添加新 etcd 主机
  2. 4.3.2. 手动添加新 etcd 主机
5. 管理用户
Expand section "5. 管理用户" Collapse section "5. 管理用户"
6. 管理项目
Expand section "6. 管理项目" Collapse section "6. 管理项目"
1. 6.1. 概述
2. 6.2. 自助配置项目
  Expand section "6.2. 自助配置项目" Collapse section "6.2. 自助配置项目"
  1. 6.2.1. 为新项目修改模板
  2. 6.2.2. 禁用自助置备
3. 6.3. 使用 Node Selectors
  Expand section "6.3. 使用 Node Selectors" Collapse section "6.3. 使用 Node Selectors"
4. 6.4. 每个用户限制自助项目数量
5. 6.5. 启用和限制自提供的项目 Per Service Account
7. 管理 Pod
Expand section "7. 管理 Pod" Collapse section "7. 管理 Pod"
1. 7.1. 概述
2. 7.2. 查看 Pod
3. 7.3. 限制 Pod 运行时
  Expand section "7.3. 限制 Pod 运行时" Collapse section "7.3. 限制 Pod 运行时"
  1. 7.3.1. 配置 RunOnceDuration 插件
  2. 7.3.2. 指定每个项目自定义持续时间
    
    Expand section "7.3.2. 指定每个项目自定义持续时间" Collapse section "7.3.2. 指定每个项目自定义持续时间"
    
    7.3.2.1. 部署 Egress Router Pod
    
    7.3.2.2. 部署 Egress 路由器服务
  3. 7.3.3. 使用 Egress Firewall 限制 Pod 访问
    
    Expand section "7.3.3. 使用 Egress Firewall 限制 Pod 访问" Collapse section "7.3.3. 使用 Egress Firewall 限制 Pod 访问"
    
    7.3.3.1. 配置 Pod 访问限制
4. 7.4. 限制 Pod 可用的带宽
5. 7.5. 设置 Pod Disruption 预算
6. 7.6. 配置关键 Pod
8. 管理网络
Expand section "8. 管理网络" Collapse section "8. 管理网络"
1. 8.1. 概述
2. 8.2. 管理 Pod 网络
  Expand section "8.2. 管理 Pod 网络" Collapse section "8.2. 管理 Pod 网络"
  1. 8.2.1. 加入项目网络
3. 8.3. 隔离项目网络
  Expand section "8.3. 隔离项目网络" Collapse section "8.3. 隔离项目网络"
  1. 8.3.1. 使项目网络全局化
4. 8.4. 为路由和入口对象禁用主机名集合
5. 8.5. 控制出口流量
6. 8.6. 使用 Egress Firewall 来限制对外部资源的访问
  Expand section "8.6. 使用 Egress Firewall 来限制对外部资源的访问" Collapse section "8.6. 使用 Egress Firewall 来限制对外部资源的访问"
  1. 8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量
    
    Expand section "8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量" Collapse section "8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量"
    
    8.6.1.1. 以重定向模式部署 Egress Router Pod
    
    8.6.1.2. 重定向至多个目标
    
    8.6.1.3. 使用 ConfigMap 指定 EGRESS_DESTINATION
    
    8.6.1.4. 部署 Egress Router HTTP 代理 Pod
    
    8.6.1.5. 部署 Egress Router DNS 代理 Pod
    
    8.6.1.6. 为 Egress Router Pod 启用故障切换
  2. 8.6.2. 使用 iptables 规则限制对外部资源的访问
7. 8.7. 为外部项目流量启用静态 IP
8. 8.8. 启用自动 Egress IP
9. 8.9. 启用多播
10. 8.10. 启用 NetworkPolicy
  Expand section "8.10. 启用 NetworkPolicy" Collapse section "8.10. 启用 NetworkPolicy"
11. 8.11. 启用 HTTP 严格传输安全性
12. 8.12. 吞吐量问题故障排除
9. 配置服务帐户
Expand section "9. 配置服务帐户" Collapse section "9. 配置服务帐户"
10. 管理基于角色的访问控制(RBAC)
Expand section "10. 管理基于角色的访问控制(RBAC)" Collapse section "10. 管理基于角色的访问控制(RBAC)"
1. 10.1. 概述
2. 10.2. 查看角色和绑定
  Expand section "10.2. 查看角色和绑定" Collapse section "10.2. 查看角色和绑定"
3. 10.3. 管理角色绑定
4. 10.4. 创建本地角色
5. 10.5. 创建集群角色
6. 10.6. 集群和本地角色绑定
7. 10.7. 更新策略定义
11. 镜像策略
Expand section "11. 镜像策略" Collapse section "11. 镜像策略"
12. 镜像签名
Expand section "12. 镜像签名" Collapse section "12. 镜像签名"
1. 12.1. 概述
2. 12.2. 使用 Atomic CLI 签署镜像
3. 12.3. 使用 OpenShift CLI 验证镜像签名
4. 12.4. 使用 Registry API 访问镜像签名
  Expand section "12.4. 使用 Registry API 访问镜像签名" Collapse section "12.4. 使用 Registry API 访问镜像签名"
13. 有作用域令牌
Expand section "13. 有作用域令牌" Collapse section "13. 有作用域令牌"
14. 监控镜像
Expand section "14. 监控镜像" Collapse section "14. 监控镜像"
15. 管理安全性上下文约束
Expand section "15. 管理安全性上下文约束" Collapse section "15. 管理安全性上下文约束"
1. 15.1. 概述
2. 15.2. 列出安全性上下文约束
3. 15.3. 检查安全性上下文约束对象
4. 15.4. 创建新安全性上下文约束
5. 15.5. 删除安全性上下文约束
6. 15.6. 更新安全性上下文约束
  Expand section "15.6. 更新安全性上下文约束" Collapse section "15.6. 更新安全性上下文约束"
  1. 15.6.1. 安全性上下文约束设置示例
7. 15.7. 更新默认安全性上下文约束
8. 15.8. 我怎么样？
  Expand section "15.8. 我怎么样？" Collapse section "15.8. 我怎么样？"
16. 调度
Expand section "16. 调度" Collapse section "16. 调度"
1. 16.1. 概述
  Expand section "16.1. 概述" Collapse section "16.1. 概述"
2. 16.2. 默认调度
  Expand section "16.2. 默认调度" Collapse section "16.2. 默认调度"
  1. 16.2.1. 概述
  2. 16.2.2. 通用调度程序
  3. 16.2.3. 过滤节点
    
    Expand section "16.2.3. 过滤节点" Collapse section "16.2.3. 过滤节点"
    
    16.2.3.1. 排列过滤后节点列表的优先顺序
    
    16.2.3.2. 选择最适合的节点
  4. 16.2.4. 调度程序策略
    
    Expand section "16.2.4. 调度程序策略" Collapse section "16.2.4. 调度程序策略"
    
    16.2.4.1. 修改调度程序策略
  5. 16.2.5. 可用 predicates
    
    Expand section "16.2.5. 可用 predicates" Collapse section "16.2.5. 可用 predicates"
    
    16.2.5.1. 静态 predicates
    
    Expand section "16.2.5.1. 静态 predicates" Collapse section "16.2.5.1. 静态 predicates"
    
    16.2.5.1.1. 默认 predicates
    
    16.2.5.1.2. 其他静态 predicates
    
    16.2.5.2. 常规 predicates
    
    16.2.5.3. 可配置 predicates
  6. 16.2.6. 可用优先级
    
    Expand section "16.2.6. 可用优先级" Collapse section "16.2.6. 可用优先级"
    
    16.2.6.1. 静态优先级
    
    Expand section "16.2.6.1. 静态优先级" Collapse section "16.2.6.1. 静态优先级"
    
    16.2.6.1.1. 默认优先级
    
    16.2.6.1.2. 其他静态优先级
    
    16.2.6.2. 可配置优先级
  7. 16.2.7. 使用案例
    
    Expand section "16.2.7. 使用案例" Collapse section "16.2.7. 使用案例"
    
    16.2.7.1. 基础架构拓扑级别
    
    16.2.7.2. 关联性
    
    16.2.7.3. 反关联性
  8. 16.2.8. 策略配置示例
3. 16.3. 取消调度
  Expand section "16.3. 取消调度" Collapse section "16.3. 取消调度"
  1. 16.3.1. 概述
  2. 16.3.2. 创建集群角色
  3. 16.3.3. 创建 Descheduler 策略
    
    Expand section "16.3.3. 创建 Descheduler 策略" Collapse section "16.3.3. 创建 Descheduler 策略"
    
    16.3.3.1. 删除重复的 Pod
    
    16.3.3.2. 创建低节点利用率策略
    
    16.3.3.3. 移除 Pod 冲突间的关联性
    
    16.3.3.4. 删除 Pod 冲突节点关联性
  4. 16.3.4. 为 Descheduler 策略创建配置映射
  5. 16.3.5. 创建作业规格
  6. 16.3.6. 运行 Descheduler
4. 16.4. 自定义调度
  Expand section "16.4. 自定义调度" Collapse section "16.4. 自定义调度"
5. 16.5. 控制 Pod 放置
  Expand section "16.5. 控制 Pod 放置" Collapse section "16.5. 控制 Pod 放置"
6. 16.6. Pod 优先级和抢占功能
  Expand section "16.6. Pod 优先级和抢占功能" Collapse section "16.6. Pod 优先级和抢占功能"
  1. 16.6.1. 应用 pod 优先级和抢占
  2. 16.6.2. 关于 pod 优先级
    
    Expand section "16.6.2. 关于 pod 优先级" Collapse section "16.6.2. 关于 pod 优先级"
    
    16.6.2.1. Pod 优先级类
    
    16.6.2.2. Pod 优先级名称
  3. 16.6.3. 关于 pod 抢占
    
    Expand section "16.6.3. 关于 pod 抢占" Collapse section "16.6.3. 关于 pod 抢占"
    
    16.6.3.1. Pod 抢占和其他调度程序设置
    
    16.6.3.2. 安全终止被抢占的 pod
  4. 16.6.4. Pod 优先级示例场景
  5. 16.6.5. 配置优先级和抢占
  6. 16.6.6. 禁用优先级与抢占
7. 16.7. 高级调度
  Expand section "16.7. 高级调度" Collapse section "16.7. 高级调度"
  1. 16.7.1. 概述
  2. 16.7.2. 使用高级调度
8. 16.8. 高级调度和节点关联性
  Expand section "16.8. 高级调度和节点关联性" Collapse section "16.8. 高级调度和节点关联性"
  1. 16.8.1. 概述
  2. 16.8.2. 配置节点关联性
    
    Expand section "16.8.2. 配置节点关联性" Collapse section "16.8.2. 配置节点关联性"
    
    16.8.2.1. 配置所需的节点关联性规则
    
    16.8.2.2. 配置节点关联性偏好规则
  3. 16.8.3. 示例
    
    Expand section "16.8.3. 示例" Collapse section "16.8.3. 示例"
    
    16.8.3.1. 具有匹配标签的节点关联性
    
    16.8.3.2. 无匹配标签的节点关联性
9. 16.9. 高级调度和 Pod 关联性和反关联性
  Expand section "16.9. 高级调度和 Pod 关联性和反关联性" Collapse section "16.9. 高级调度和 Pod 关联性和反关联性"
  1. 16.9.1. 概述
  2. 16.9.2. 配置 Pod 关联性和反关联性
    
    Expand section "16.9.2. 配置 Pod 关联性和反关联性" Collapse section "16.9.2. 配置 Pod 关联性和反关联性"
    
    16.9.2.1. 配置关联性规则
    
    16.9.2.2. 配置反关联性规则
  3. 16.9.3. 示例
    
    Expand section "16.9.3. 示例" Collapse section "16.9.3. 示例"
    
    16.9.3.1. Pod 关联性
    
    16.9.3.2. Pod 反关联性
    
    16.9.3.3. 无匹配标签的 Pod 反关联性
10. 16.10. 高级调度和 Node Selectors
  Expand section "16.10. 高级调度和 Node Selectors" Collapse section "16.10. 高级调度和 Node Selectors"
  1. 16.10.1. 概述
  2. 16.10.2. 配置 Node Selectors
11. 16.11. 高级调度、管理和容忍
  Expand section "16.11. 高级调度、管理和容忍" Collapse section "16.11. 高级调度、管理和容忍"
  1. 16.11.1. 概述
  2. 16.11.2. 污点和容限
    
    Expand section "16.11.2. 污点和容限" Collapse section "16.11.2. 污点和容限"
    
    16.11.2.1. 使用多个污点
  3. 16.11.3. 将 Taint 添加到现有节点
  4. 16.11.4. 在 Pod 中添加容限
    
    Expand section "16.11.4. 在 Pod 中添加容限" Collapse section "16.11.4. 在 Pod 中添加容限"
    
    16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions
    
    Expand section "16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions" Collapse section "16.11.4.1. 使用容忍 seconds seconds to Delay Pod Evictions"
    
    16.11.4.1.1. 为 Toleration second 设置默认值
  5. 16.11.5. 节点问题的 Pod 驱除
  6. 16.11.6. DaemonSet 和 Tolerations
  7. 16.11.7. 例子
    
    Expand section "16.11.7. 例子" Collapse section "16.11.7. 例子"
    
    16.11.7.1. 为用户指定节点
    
    16.11.7.2. 将用户绑定到节点
    
    16.11.7.3. 具有特殊硬件的节点
17. 设置配额
Expand section "17. 设置配额" Collapse section "17. 设置配额"
1. 17.1. 概述
2. 17.2. 按配额管理的资源
  Expand section "17.2. 按配额管理的资源" Collapse section "17.2. 按配额管理的资源"
  1. 17.2.1. 为扩展资源设置资源配额
3. 17.3. 配额范围
4. 17.4. 配额强制
5. 17.5. 请求(request)与限制(limits)的比较
6. 17.6. 资源配额定义示例
7. 17.7. 创建配额
  Expand section "17.7. 创建配额" Collapse section "17.7. 创建配额"
  1. 17.7.1. 创建对象数配额
8. 17.8. 查看配额
9. 17.9. 配置配额同步周期
10. 17.10. 部署配置中的配额核算
11. 17.11. 需要 Explicit Quota 以消耗资源
12. 17.12. 已知问题
18. 设置多项目配额
Expand section "18. 设置多项目配额" Collapse section "18. 设置多项目配额"
19. 修剪对象
Expand section "19. 修剪对象" Collapse section "19. 修剪对象"
1. 19.1. 概述
2. 19.2. 基本修剪操作
3. 19.3. 修剪组
4. 19.4. 修剪部署
5. 19.5. 修剪构建
6. 19.6. 修剪镜像
  Expand section "19.6. 修剪镜像" Collapse section "19.6. 修剪镜像"
  1. 19.6.1. 镜像修剪条件
  2. 19.6.2. 使用安全或不安全连接
  3. 19.6.3. 镜像修剪问题
    
    Expand section "19.6.3. 镜像修剪问题" Collapse section "19.6.3. 镜像修剪问题"
    
    19.6.3.1. 对受保护 registry 使用不安全连接
7. 19.7. 硬修剪 registry
8. 19.8. 修剪 Cron 任务
20. 使用自定义资源扩展 Kubernetes API
Expand section "20. 使用自定义资源扩展 Kubernetes API" Collapse section "20. 使用自定义资源扩展 Kubernetes API"
21. 垃圾收集器
Expand section "21. 垃圾收集器" Collapse section "21. 垃圾收集器"
1. 21.1. 概述
2. 21.2. Container Garbage Collection
  Expand section "21.2. Container Garbage Collection" Collapse section "21.2. Container Garbage Collection"
  1. 21.2.1. 检测容器进行删除
3. 21.3. Image Garbage Collection
  Expand section "21.3. Image Garbage Collection" Collapse section "21.3. Image Garbage Collection"
  1. 21.3.1. 检测镜像以进行删除
22. 分配节点资源
Expand section "22. 分配节点资源" Collapse section "22. 分配节点资源"
23. 过量使用
Expand section "23. 过量使用" Collapse section "23. 过量使用"
1. 23.1. 概述
2. 23.2. 请求和限制
  Expand section "23.2. 请求和限制" Collapse section "23.2. 请求和限制"
  1. 23.2.1. 调整缓冲区块限制
3. 23.3. 计算资源
  Expand section "23.3. 计算资源" Collapse section "23.3. 计算资源"
4. 23.4. 服务质量类
5. 23.5. 为使用过量配置 Master
6. 23.6. 为过量使用配置节点
  Expand section "23.6. 为过量使用配置节点" Collapse section "23.6. 为过量使用配置节点"
24. 处理资源错误
Expand section "24. 处理资源错误" Collapse section "24. 处理资源错误"
1. 24.1. 概述
2. 24.2. 配置驱除策略
  Expand section "24.2. 配置驱除策略" Collapse section "24.2. 配置驱除策略"
  1. 24.2.1. 使用节点配置创建策略
  2. 24.2.2. 了解驱除信号
  3. 24.2.3. 了解驱除阈值
    
    Expand section "24.2.3. 了解驱除阈值" Collapse section "24.2.3. 了解驱除阈值"
    
    24.2.3.1. 了解硬驱除阈值
    
    Expand section "24.2.3.1. 了解硬驱除阈值" Collapse section "24.2.3.1. 了解硬驱除阈值"
    
    24.2.3.1.1. 默认 hardd Eviction Thresholds
    
    24.2.3.2. 了解 Soft Eviction Thresholds
3. 24.3. 为调度配置资源量
4. 24.4. 控制节点条件 Oscillation
5. 24.5. 重新声明节点级别资源
6. 24.6. 了解 Pod 驱除
  Expand section "24.6. 了解 Pod 驱除" Collapse section "24.6. 了解 Pod 驱除"
  1. 24.6.1. 了解服务质量和内存不足 Killer
7. 24.7. 了解 Pod 调度程序和 OOR 条件
8. 24.8. 场景示例
9. 24.9. 推荐做法
  Expand section "24.9. 推荐做法" Collapse section "24.9. 推荐做法"
  1. 24.9.1. 守护进程集和资源处理不足
25. 设置限值范围
Expand section "25. 设置限值范围" Collapse section "25. 设置限值范围"
1. 25.1. Limit Ranges 目的
  Expand section "25.1. Limit Ranges 目的" Collapse section "25.1. Limit Ranges 目的"
  1. 25.1.1. 容器限制
  2. 25.1.2. Pod 限制
  3. 25.1.3. 镜像限制
  4. 25.1.4. 镜像流限制
    
    Expand section "25.1.4. 镜像流限制" Collapse section "25.1.4. 镜像流限制"
    
    25.1.4.1. 镜像参考计数
  5. 25.1.5. PersistentVolumeClaim 限制
2. 25.2. 创建限制范围
3. 25.3. 查看限制
4. 25.4. 删除限制范围
26. 节点问题检测程序
Expand section "26. 节点问题检测程序" Collapse section "26. 节点问题检测程序"
27. 为 Ingress 流量分配唯一外部 IP
Expand section "27. 为 Ingress 流量分配唯一外部 IP" Collapse section "27. 为 Ingress 流量分配唯一外部 IP"
1. 27.1. 概述
2. 27.2. 限制
3. 27.3. 将集群配置为使用唯一外部 IP
  Expand section "27.3. 将集群配置为使用唯一外部 IP" Collapse section "27.3. 将集群配置为使用唯一外部 IP"
  1. 27.3.1. 为服务配置 Ingress IP
4. 27.4. 为开发或测试路由 Ingress CIDR
  Expand section "27.4. 为开发或测试路由 Ingress CIDR" Collapse section "27.4. 为开发或测试路由 Ingress CIDR"
  1. 27.4.1. 服务 externalIP
28. 监控和调试路由器
Expand section "28. 监控和调试路由器" Collapse section "28. 监控和调试路由器"
29. 高可用性
Expand section "29. 高可用性" Collapse section "29. 高可用性"
1. 29.1. 概述
2. 29.2. 配置 IP 故障
  Expand section "29.2. 配置 IP 故障" Collapse section "29.2. 配置 IP 故障"
  1. 29.2.1. 虚拟 IP 地址
  2. 29.2.2. 检查并通知脚本
  3. 29.2.3. VRRP 抢占
  4. 29.2.4. keepalived 多广播
  5. 29.2.5. 命令行选项和环境变量
  6. 29.2.6. VRRP ID Offset
  7. 29.2.7. 为超过 254 地址配置 IP 故障转移
  8. 29.2.8. 配置高可用性服务
    
    Expand section "29.2.8. 配置高可用性服务" Collapse section "29.2.8. 配置高可用性服务"
    
    29.2.8.1. 部署 IP 故障 Pod
  9. 29.2.9. 为高可用性服务动态更新虚拟 IP
3. 29.3. 配置服务 ExternalIP 和 NodePort
4. 29.4. IngressIP 的高可用性
30. iptables
Expand section "30. iptables" Collapse section "30. iptables"
31. 通过策略保护构建
Expand section "31. 通过策略保护构建" Collapse section "31. 通过策略保护构建"
32. 使用 Seccomp 限制应用程序功能
Expand section "32. 使用 Seccomp 限制应用程序功能" Collapse section "32. 使用 Seccomp 限制应用程序功能"
33. Sysctls
Expand section "33. Sysctls" Collapse section "33. Sysctls"
34. 在数据存储层加密数据
Expand section "34. 在数据存储层加密数据" Collapse section "34. 在数据存储层加密数据"
1. 34.1. 概述
2. 34.2. 配置和确定加密是否已启用
3. 34.3. 了解加密配置
  Expand section "34.3. 了解加密配置" Collapse section "34.3. 了解加密配置"
  1. 34.3.1. 可用的供应商
4. 34.4. 加密数据
5. 34.5. 验证数据是否已加密
6. 34.6. 确保加密所有 secret
7. 34.7. 轮转解密密钥
8. 34.8. 解密数据
35. 使用 IPsec 加密节点间的流量
Expand section "35. 使用 IPsec 加密节点间的流量" Collapse section "35. 使用 IPsec 加密节点间的流量"
1. 35.1. 概述
2. 35.2. 加密主机
  Expand section "35.2. 加密主机" Collapse section "35.2. 加密主机"
  1. 35.2.1. 为 IPsec 配置证书
  2. 35.2.2. 创建 libreswan IPsec 策略
    
    Expand section "35.2.2. 创建 libreswan IPsec 策略" Collapse section "35.2.2. 创建 libreswan IPsec 策略"
    
    35.2.2.1. 配置 Opportunistic 组
    
    35.2.2.2. 配置显式连接
3. 35.3. 配置 IPsec 防火墙
4. 35.4. 启动并启用 IPsec
5. 35.5. 优化 IPsec
6. 35.6. 故障排除
36. 构建依赖性树
Expand section "36. 构建依赖性树" Collapse section "36. 构建依赖性树"
1. 36.1. 概述
2. 36.2. 使用方法
37. 替换失败的 etcd 成员
Expand section "37. 替换失败的 etcd 成员" Collapse section "37. 替换失败的 etcd 成员"
1. 37.1. 删除失败的 etcd 节点
2. 37.2. 添加 etcd 成员
  Expand section "37.2. 添加 etcd 成员" Collapse section "37.2. 添加 etcd 成员"
  1. 37.2.1. 使用 Ansible 添加新 etcd 主机
  2. 37.2.2. 手动添加新 etcd 主机
38. 恢复 etcd 仲裁
Expand section "38. 恢复 etcd 仲裁" Collapse section "38. 恢复 etcd 仲裁"
1. 38.1. 为独立服务恢复 etcd 仲裁
  Expand section "38.1. 为独立服务恢复 etcd 仲裁" Collapse section "38.1. 为独立服务恢复 etcd 仲裁"
  1. 38.1.1. 备份 etcd
    
    Expand section "38.1.1. 备份 etcd" Collapse section "38.1.1. 备份 etcd"
    
    38.1.1.1. 备份 etcd 配置文件
    
    38.1.1.2. 备份 etcd 数据
  2. 38.1.2. 删除 etcd 主机
  3. 38.1.3. 创建单节点 etcd 集群
  4. 38.1.4. 在恢复后添加 etcd 节点
2. 38.2. 为静态 pod 恢复 etcd 仲裁
39. OpenShift SDN 故障排除
Expand section "39. OpenShift SDN 故障排除" Collapse section "39. OpenShift SDN 故障排除"
1. 39.1. 概述
2. 39.2. 术语
3. 39.3. 调试对 HTTP 服务的外部访问
4. 39.4. 调试路由器
5. 39.5. 调试服务
6. 39.6. 调试节点到节点网络
7. 39.7. 调试本地网络
  Expand section "39.7. 调试本地网络" Collapse section "39.7. 调试本地网络"
  1. 39.7.1. 节点上的接口
  2. 39.7.2. 节点内的 SDN 流
  3. 39.7.3. 调试步骤
    
    Expand section "39.7.3. 调试步骤" Collapse section "39.7.3. 调试步骤"
    
    39.7.3.1. IP 转发是否已启用？
    
    39.7.3.2. 您的路由是否正确？
  4. 39.7.4. Open vSwitch(OVS)是否正确配置？
    
    Expand section "39.7.4. Open vSwitch(OVS)是否正确配置？" Collapse section "39.7.4. Open vSwitch(OVS)是否正确配置？"
    
    39.7.4.1. iptables 配置是否正确？
    
    39.7.4.2. 您的外部网络是否正确？
8. 39.8. 调试虚拟网络
  Expand section "39.8. 调试虚拟网络" Collapse section "39.8. 调试虚拟网络"
  1. 39.8.1. 基于虚拟网络构建正在故障
9. 39.9. 调试 Pod Egress
10. 39.10. 读取日志
11. 39.11. 调试 Kubernetes
12. 39.12. 使用诊断工具查找网络问题
13. 39.13. 其它备注
  Expand section "39.13. 其它备注" Collapse section "39.13. 其它备注"
40. 诊断工具
Expand section "40. 诊断工具" Collapse section "40. 诊断工具"
1. 40.1. 概述
2. 40.2. 使用诊断工具
3. 40.3. 在服务器环境中运行诊断
4. 40.4. 在客户端环境中运行诊断
5. 40.5. 基于 Ansible 的健康检查
  Expand section "40.5. 基于 Ansible 的健康检查" Collapse section "40.5. 基于 Ansible 的健康检查"
  1. 40.5.1. 通过 ansible-playbook 运行健康检查
  2. 40.5.2. 通过 Docker CLI 运行健康检查
41. 闲置应用程序
Expand section "41. 闲置应用程序" Collapse section "41. 闲置应用程序"
1. 41.1. 概述
2. 41.2. 闲置应用程序
  Expand section "41.2. 闲置应用程序" Collapse section "41.2. 闲置应用程序"
  1. 41.2.1. 闲置单服务
  2. 41.2.2. 闲置多个服务
3. 41.3. 取消闲置应用程序
42. 分析集群容量
Expand section "42. 分析集群容量" Collapse section "42. 分析集群容量"
43. 在 AWS 中配置集群自动扩展
Expand section "43. 在 AWS 中配置集群自动扩展" Collapse section "43. 在 AWS 中配置集群自动扩展"
44. 使用功能门禁用功能
Expand section "44. 使用功能门禁用功能" Collapse section "44. 使用功能门禁用功能"
1. 44.1. 禁用集群的功能
2. 44.2. 禁用节点的功能
  Expand section "44.2. 禁用节点的功能" Collapse section "44.2. 禁用节点的功能"
  1. 44.2.1. 功能 Gates 列表
45. Kuryr SDN 管理
Expand section "45. Kuryr SDN 管理" Collapse section "45. Kuryr SDN 管理"
1. 45.1. 概述
  Expand section "45.1. 概述" Collapse section "45.1. 概述"
  1. 45.1.1. 孤立的 OpenStack 资源

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

40.5. 基于 Ansible 的健康检查

通过用于安装和管理 OpenShift Container Platform 集群的基于 Ansible 的工具提供了额外的诊断健康检查。它们可能会报告当前 OpenShift Container Platform 安装的常见部署问题。

这些检查可以使用 ansible-playbook 命令（集群安装期间使用的方法）或 openshift-ansible 的容器化版本来运行。对于 ansible-playbook 方法，检查由 openshift-ansible RPM 软件包提供。对于容器化方法，openshift 3/ose-ansible 容器镜像通过 Red Hat Container Registry 发布。每种方法的示例用法在后续章节中提供。

以下健康检查是一组诊断任务，它们旨在使用提供的 health.yml playbook，针对已部署的 OpenShift Container Platform 集群的 Ansible 清单文件运行。

警告

由于健康检查 playbook 可以对环境进行潜在的更改，您必须仅针对 Ansible 部署的集群运行 playbook，并使用用于部署的同一清单文件运行。更改包括安装依赖项，以便检查可以收集所需的信息。在某些情况下，如果 docker 或网络配置等系统组件的当前状态与清单文件中的配置不同，它们可能会改变。只有在您不希望清单文件对现有集群配置进行任何更改时，才应运行这些健康检查。

表 40.1. 诊断健康检查

检查名称	用途
`etcd_imagedata_size`	此检查测量 etcd 集群中 OpenShift Container Platform 镜像数据的总大小。如果计算的大小超过用户定义的限制，检查会失败。如果没有指定限制，则当镜像数据大小等于 etcd 集群中当前使用的空间的 50% 或以上时，这个检查会失败。此检查失败表示 OpenShift Container Platform 镜像数据占用了 etcd 中的大量空间，这最终可能会导致 etcd 集群崩溃。用户定义的限制可以通过传递 `etcd_max_image_data_size_bytes` 变量来设置。例如，如果 `etcd_max_image_data_size_bytes=40000000000` 的值超过 40 GB，则设置 etcd_max_image_data_size_bytes=4000000 会导致检查失败。
`etcd_traffic`	此检查检测到 etcd 主机上的较高流量。如果找到具有 etcd 同步持续时间警告的 `journalctl` 日志条目，它将失败。有关提高 etcd 性能的更多信息，请参阅 OpenShift Container Platform etcd 主机的建议实践和红帽知识库。
`etcd_volume`	此检查确保 etcd 集群的卷用量低于用户指定的最大阈值。如果未指定最大阈值，则默认为总卷大小的 `90%`。用户定义的限制可通过传递 `etcd_device_usage_threshold_percent` 变量来设置。
`docker_storage`	仅在依赖于 docker 守护进程（节点和容器化安装）的主机上运行。检查 docker 的总用量没有超过用户定义的限制。如果没有设置用户自定义的限制，则 docker 的最大用量阈值默认为可用总大小的 90%。您可以使用清单文件中的变量来设置总百分比用量阈值，如 `max_thinpool_data_usage_percent=90`。这也会检查 docker 的存储是否使用受支持的配置。
`Curator`、`elasticsearch`、`fluentd`、`kibana`	这组检查会验证 Curator、Kibana、Elasticsearch 和 Fluentd Pod 是否已部署并 `处于运行状态`，并且能够在控制主机和公开的 Kibana URL 之间建立连接。只有在 `openshift_logging_install_logging` 清单变量被设置为 `true` 时才运行，以确保它们在启用了集群日志记录的部署中执行。
`logging_index_time`	此检查检测到，在日志记录堆栈部署中 Elasticsearch 创建日志和日志聚合间隔大于正常时间延迟。如果在超时（默认为 30 秒）内无法通过 Elasticsearch 查询新日志条目，它将失败。仅当启用了日志记录时，检查才会运行。用户定义的超时可以通过传递 `openshift_check_logging_index_timeout_seconds` 变量来设置。例如，设置 `openshift_check_logging_index_timeout_seconds=45` 会导致在 45 秒后无法通过 Elasticsearch 查询新创建的日志条目时检查失败。
`sdn`	此检查对 OpenShift Container Platform SDN 执行以下集群级别的诊断：验证 master 主机是否可以连接到 kubelet。验证节点可以互相路由数据包。验证节点地址。验证 HostSubnet 对象。如果使用 `ansible-playbook` 命令指定 `openshift_checks_output_dir` 变量，检查也会保存 OpenShift Container Platform API 中的网络相关对象，以及日志、OVS 流、iptables 规则和其他网络配置信息。有关如何设置变量的示例，请参见下面的 `ansible-playbook` 命令用法示例。当 `oc adm diagnostics` 命令无法调度诊断 pod 或诊断 pod 没有提供足够信息来排除问题时，这个检查可以帮助您诊断 pod 或基础架构问题。

注意

有关在安装过程中一部分的类似检查，请参考配置集群预安装检查。关于检查证书过期的信息，请参阅重新部署证书。

40.5.1. 通过 ansible-playbook 运行健康检查

要使用 ansible -playbook 命令运行 openshift- ansible 健康检查，请切换到 playbook 目录，指定集群的清单文件并运行 health.yml playbook：

$ cd /usr/share/ansible/openshift-ansible
$ ansible-playbook -i <inventory_file> \
    playbooks/openshift-checks/health.yml

要在命令行中设置变量，请以 key=value 格式将 -e 标志与任何所需的变量一起包含。例如：

$ cd /usr/share/ansible/openshift-ansible
$ ansible-playbook -i <inventory_file> \
    playbooks/openshift-checks/health.yml \
    -e openshift_check_logging_index_timeout_seconds=45 \
    -e etcd_max_image_data_size_bytes=40000000000

要禁用特定的检查，请在运行 playbook 前使用以逗号分隔的检查名称列表包含 openshift_disable_check 变量。例如：

openshift_disable_check=etcd_traffic,etcd_volume

另外，也可在运行 ansible-playbook 命令时使用 -e openshift_disable_check=<check1>,<check2> 将任何检查设置为作为变量禁用。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

40.5. 基于 Ansible 的健康检查

40.5.1. 通过 ansible-playbook 运行健康检查