Jump To Close Expand all Collapse all Table of contents 集群管理 1. 概述 2. 管理节点 Expand section "2. 管理节点" Collapse section "2. 管理节点" 2.1. 概述 2.2. 列出节点 2.3. 查看节点 2.4. 添加主机 2.5. 删除节点 2.6. 更新节点上的标签 2.7. 列出节点上的 pod 2.8. 将节点标记为不可调度或可以调度 2.9. 撤离节点上的 pod 2.10. 重新引导节点 Expand section "2.10. 重新引导节点" Collapse section "2.10. 重新引导节点" 2.10.1. 基础架构节点 2.10.2. 使用 pod 反关联性 2.10.3. 处理运行路由器的节点 2.11. 修改节点 Expand section "2.11. 修改节点" Collapse section "2.11. 修改节点" 2.11.1. 配置节点资源 2.11.2. 每个节点设置最大 pod 2.12. 重置 Docker 存储 3. 恢复 OpenShift Container Platform 组件 Expand section "3. 恢复 OpenShift Container Platform 组件" Collapse section "3. 恢复 OpenShift Container Platform 组件" 3.1. 概述 3.2. 恢复集群 3.3. 恢复 master 主机备份 3.4. 恢复节点主机备份 3.5. 恢复 etcd Expand section "3.5. 恢复 etcd" Collapse section "3.5. 恢复 etcd" 3.5.1. 恢复 etcd 配置文件 3.5.2. 恢复 etcd 数据 3.6. 添加 etcd 节点 Expand section "3.6. 添加 etcd 节点" Collapse section "3.6. 添加 etcd 节点" 3.6.1. 使用 Ansible 添加新 etcd 主机 3.6.2. 手动添加新 etcd 主机 3.7. 使 OpenShift Container Platform 服务恢复在线 3.8. 恢复项目 3.9. 恢复应用程序数据 3.10. 恢复持久性卷声明 Expand section "3.10. 恢复持久性卷声明" Collapse section "3.10. 恢复持久性卷声明" 3.10.1. 将文件恢复到现有 PVC 3.10.2. 将数据恢复到新 PVC 4. 替换 master 主机 Expand section "4. 替换 master 主机" Collapse section "4. 替换 master 主机" 4.1. 弃用 master 主机 4.2. 添加主机 4.3. 扩展 etcd Expand section "4.3. 扩展 etcd" Collapse section "4.3. 扩展 etcd" 4.3.1. 使用 Ansible 添加新 etcd 主机 4.3.2. 手动添加新 etcd 主机 5. 管理用户 Expand section "5. 管理用户" Collapse section "5. 管理用户" 5.1. 概述 5.2. 创建用户 5.3. 查看用户和身份列表 5.4. 创建组 5.5. 管理用户和组标签 5.6. 删除用户 6. 管理项目 Expand section "6. 管理项目" Collapse section "6. 管理项目" 6.1. 概述 6.2. 自助配置项目 Expand section "6.2. 自助配置项目" Collapse section "6.2. 自助配置项目" 6.2.1. 为新项目修改模板 6.2.2. 禁用自助置备 6.3. 使用 Node Selectors Expand section "6.3. 使用 Node Selectors" Collapse section "6.3. 使用 Node Selectors" 6.3.1. 设置集群范围的默认 Node Selector 6.3.2. 设置项目范围的 Node Selector 6.3.3. 开发人员指定的 Node Selectors 6.4. 每个用户限制自助项目数量 6.5. 针对每个服务帐户,启用和限制自提供的项目 7. 管理 Pod Expand section "7. 管理 Pod" Collapse section "7. 管理 Pod" 7.1. 概述 7.2. 查看 Pod 7.3. 限制 Pod 运行时 Expand section "7.3. 限制 Pod 运行时" Collapse section "7.3. 限制 Pod 运行时" 7.3.1. 配置 RunOnceDuration 插件 7.3.2. 指定每个项目自定义持续时间 Expand section "7.3.2. 指定每个项目自定义持续时间" Collapse section "7.3.2. 指定每个项目自定义持续时间" 7.3.2.1. 部署 Egress Router Pod 7.3.2.2. 部署 Egress 路由器服务 7.3.3. 使用 Egress Firewall 限制 Pod 访问 Expand section "7.3.3. 使用 Egress Firewall 限制 Pod 访问" Collapse section "7.3.3. 使用 Egress Firewall 限制 Pod 访问" 7.3.3.1. 配置 Pod 访问限制 7.4. 限制 Pod 可用的带宽 7.5. 设置 Pod Disruption 预算 7.6. 配置关键 Pod 8. 管理网络 Expand section "8. 管理网络" Collapse section "8. 管理网络" 8.1. 概述 8.2. 管理 Pod 网络 Expand section "8.2. 管理 Pod 网络" Collapse section "8.2. 管理 Pod 网络" 8.2.1. 加入项目网络 8.3. 隔离项目网络 Expand section "8.3. 隔离项目网络" Collapse section "8.3. 隔离项目网络" 8.3.1. 使项目网络全局化 8.4. 为路由和入口对象禁用主机名集合 8.5. 控制出口流量 8.6. 使用 Egress Firewall 来限制对外部资源的访问 Expand section "8.6. 使用 Egress Firewall 来限制对外部资源的访问" Collapse section "8.6. 使用 Egress Firewall 来限制对外部资源的访问" 8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量 Expand section "8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量" Collapse section "8.6.1. 使用 Egress 路由器允许外部资源识别 Pod 流量" 8.6.1.1. 以重定向模式部署 Egress Router Pod 8.6.1.2. 重定向至多个目标 8.6.1.3. 使用 ConfigMap 指定 EGRESS_DESTINATION 8.6.1.4. 部署 Egress Router HTTP 代理 Pod 8.6.1.5. 部署 Egress Router DNS 代理 Pod 8.6.1.6. 为 Egress Router Pod 启用故障切换 8.6.2. 使用 iptables 规则限制对外部资源的访问 8.7. 为外部项目流量启用静态 IP 8.8. 启用自动 Egress IP 8.9. 启用多播 8.10. 启用 NetworkPolicy Expand section "8.10. 启用 NetworkPolicy" Collapse section "8.10. 启用 NetworkPolicy" 8.10.1. 高效地使用 NetworkPolicy 8.10.2. NetworkPolicy 和路由器 8.10.3. 为新项目设置默认 NetworkPolicy 8.11. 启用 HTTP 严格传输安全性 8.12. 吞吐量问题故障排除 9. 配置服务帐户 Expand section "9. 配置服务帐户" Collapse section "9. 配置服务帐户" 9.1. 概述 9.2. 用户名和组 9.3. 管理服务帐户 9.4. 启用服务帐户身份验证 9.5. 受管服务帐户 9.6. 基础架构服务帐户 9.7. 服务帐户和 Secrets 10. 管理基于角色的访问控制 (RBAC) Expand section "10. 管理基于角色的访问控制 (RBAC)" Collapse section "10. 管理基于角色的访问控制 (RBAC)" 10.1. 概述 10.2. 查看角色和绑定 Expand section "10.2. 查看角色和绑定" Collapse section "10.2. 查看角色和绑定" 10.2.1. 查看集群角色 10.2.2. 查看集群角色绑定 10.2.3. 查看本地角色和绑定 10.3. 管理角色绑定 10.4. 创建本地角色 10.5. 创建集群角色 10.6. 集群和本地角色绑定 10.7. 更新策略定义 11. 镜像策略 Expand section "11. 镜像策略" Collapse section "11. 镜像策略" 11.1. 概述 11.2. 配置 registry 允许导入 11.3. 配置 ImagePolicy Admission 插件 11.4. 使用 Admission Controller 来始终拉取镜像 11.5. 测试 ImagePolicy Admission 插件 12. 镜像签名 Expand section "12. 镜像签名" Collapse section "12. 镜像签名" 12.1. 概述 12.2. 使用 Atomic CLI 签署镜像 12.3. 使用 OpenShift CLI 验证镜像签名 12.4. 使用 Registry API 访问镜像签名 Expand section "12.4. 使用 Registry API 访问镜像签名" Collapse section "12.4. 使用 Registry API 访问镜像签名" 12.4.1. 通过 API 编写镜像签名 12.4.2. 通过 API 读取镜像签名 12.4.3. 从签名存储中自动导入镜像签名 13. 有作用域的令牌 Expand section "13. 有作用域的令牌" Collapse section "13. 有作用域的令牌" 13.1. 概述 13.2. 评估 13.3. 用户范围 13.4. 角色范围 14. 监控镜像 Expand section "14. 监控镜像" Collapse section "14. 监控镜像" 14.1. 概述 14.2. 查看镜像统计信息 14.3. 查看 ImageStreams 统计信息 14.4. 修剪镜像 15. 管理安全性上下文约束 Expand section "15. 管理安全性上下文约束" Collapse section "15. 管理安全性上下文约束" 15.1. 概述 15.2. 列出安全性上下文约束 15.3. 检查安全性上下文约束对象 15.4. 创建新安全性上下文约束 15.5. 删除安全性上下文约束 15.6. 更新安全性上下文约束 Expand section "15.6. 更新安全性上下文约束" Collapse section "15.6. 更新安全性上下文约束" 15.6.1. 安全性上下文约束设置示例 15.7. 更新默认安全性上下文约束 15.8. 我怎么样? Expand section "15.8. 我怎么样?" Collapse section "15.8. 我怎么样?" 15.8.1. 授予对 Privileged SCC 的访问权限 15.8.2. 为服务帐户授予 Privileged SCC 访问权限 15.8.3. 在 Dockerfile 中启用镜像以使用 USER 运行 15.8.4. 启用需要 Root 的容器镜像 15.8.5. 在 Registry 上使用 --mount-host 15.8.6. 提供额外的功能 15.8.7. 修改集群默认行为 15.8.8. 使用 hostPath 卷插件 15.8.9. 确保 Admission 会首先尝试使用特定 SCC 15.8.10. 将 SCC 添加到用户、组或项目 16. 调度 Expand section "16. 调度" Collapse section "16. 调度" 16.1. 概述 Expand section "16.1. 概述" Collapse section "16.1. 概述" 16.1.1. 概述 16.1.2. 默认调度 16.1.3. 高级调度 16.1.4. 自定义调度 16.2. 默认调度 Expand section "16.2. 默认调度" Collapse section "16.2. 默认调度" 16.2.1. 概述 16.2.2. 通用调度程序 16.2.3. 过滤节点 Expand section "16.2.3. 过滤节点" Collapse section "16.2.3. 过滤节点" 16.2.3.1. 排列过滤后节点列表的优先顺序 16.2.3.2. 选择最适合的节点 16.2.4. 调度程序策略 Expand section "16.2.4. 调度程序策略" Collapse section "16.2.4. 调度程序策略" 16.2.4.1. 修改调度程序策略 16.2.5. 可用 predicates Expand section "16.2.5. 可用 predicates" Collapse section "16.2.5. 可用 predicates" 16.2.5.1. 静态 predicates Expand section "16.2.5.1. 静态 predicates" Collapse section "16.2.5.1. 静态 predicates" 16.2.5.1.1. 默认 predicates 16.2.5.1.2. 其他静态 predicates 16.2.5.2. 常规 predicates 16.2.5.3. 可配置 predicates 16.2.6. 可用优先级 Expand section "16.2.6. 可用优先级" Collapse section "16.2.6. 可用优先级" 16.2.6.1. 静态优先级 Expand section "16.2.6.1. 静态优先级" Collapse section "16.2.6.1. 静态优先级" 16.2.6.1.1. 默认优先级 16.2.6.1.2. 其他静态优先级 16.2.6.2. 可配置优先级 16.2.7. 使用案例 Expand section "16.2.7. 使用案例" Collapse section "16.2.7. 使用案例" 16.2.7.1. 基础架构拓扑级别 16.2.7.2. 关联性 16.2.7.3. 反关联性 16.2.8. 策略配置示例 16.3. 取消调度 Expand section "16.3. 取消调度" Collapse section "16.3. 取消调度" 16.3.1. 概述 16.3.2. 创建集群角色 16.3.3. 创建 Descheduler 策略 Expand section "16.3.3. 创建 Descheduler 策略" Collapse section "16.3.3. 创建 Descheduler 策略" 16.3.3.1. 删除重复的 Pod 16.3.3.2. 创建低节点利用率策略 16.3.3.3. 移除 Pod 冲突间的关联性 16.3.3.4. 删除 Pod 冲突节点关联性 16.3.4. 为 Descheduler 策略创建配置映射 16.3.5. 创建作业规格 16.3.6. 运行 Descheduler 16.4. 自定义调度 Expand section "16.4. 自定义调度" Collapse section "16.4. 自定义调度" 16.4.1. 概述 16.4.2. 打包调度程序 16.4.3. 使用自定义调度程序部署 Pod 16.5. 控制 Pod 放置 Expand section "16.5. 控制 Pod 放置" Collapse section "16.5. 控制 Pod 放置" 16.5.1. 概述 16.5.2. 使用节点名称限制 Pod 放置 16.5.3. 使用 Node Selector 约束 Pod 放置 16.5.4. 控制 Pod 放置到项目 16.6. Pod 优先级和抢占功能 Expand section "16.6. Pod 优先级和抢占功能" Collapse section "16.6. Pod 优先级和抢占功能" 16.6.1. 应用 pod 优先级和抢占 16.6.2. 关于 pod 优先级 Expand section "16.6.2. 关于 pod 优先级" Collapse section "16.6.2. 关于 pod 优先级" 16.6.2.1. Pod 优先级类 16.6.2.2. Pod 优先级名称 16.6.3. 关于 pod 抢占 Expand section "16.6.3. 关于 pod 抢占" Collapse section "16.6.3. 关于 pod 抢占" 16.6.3.1. Pod 抢占和其他调度程序设置 16.6.3.2. 安全终止被抢占的 pod 16.6.4. Pod 优先级示例场景 16.6.5. 配置优先级和抢占 16.6.6. 禁用优先级与抢占 16.7. 高级调度 Expand section "16.7. 高级调度" Collapse section "16.7. 高级调度" 16.7.1. 概述 16.7.2. 使用高级调度 16.8. 高级调度和节点关联性 Expand section "16.8. 高级调度和节点关联性" Collapse section "16.8. 高级调度和节点关联性" 16.8.1. 概述 16.8.2. 配置节点关联性 Expand section "16.8.2. 配置节点关联性" Collapse section "16.8.2. 配置节点关联性" 16.8.2.1. 配置所需的节点关联性规则 16.8.2.2. 配置节点关联性偏好规则 16.8.3. 示例 Expand section "16.8.3. 示例" Collapse section "16.8.3. 示例" 16.8.3.1. 具有匹配标签的节点关联性 16.8.3.2. 无匹配标签的节点关联性 16.9. 高级调度和 Pod 关联性和反关联性 Expand section "16.9. 高级调度和 Pod 关联性和反关联性" Collapse section "16.9. 高级调度和 Pod 关联性和反关联性" 16.9.1. 概述 16.9.2. 配置 Pod 关联性和反关联性 Expand section "16.9.2. 配置 Pod 关联性和反关联性" Collapse section "16.9.2. 配置 Pod 关联性和反关联性" 16.9.2.1. 配置关联性规则 16.9.2.2. 配置反关联性规则 16.9.3. 示例 Expand section "16.9.3. 示例" Collapse section "16.9.3. 示例" 16.9.3.1. Pod 关联性 16.9.3.2. Pod 反关联性 16.9.3.3. 无匹配标签的 Pod 反关联性 16.10. 高级调度和 Node Selectors Expand section "16.10. 高级调度和 Node Selectors" Collapse section "16.10. 高级调度和 Node Selectors" 16.10.1. 概述 16.10.2. 配置 Node Selectors 16.11. 高级调度、污点和忍限 Expand section "16.11. 高级调度、污点和忍限" Collapse section "16.11. 高级调度、污点和忍限" 16.11.1. 概述 16.11.2. 污点和容限 Expand section "16.11.2. 污点和容限" Collapse section "16.11.2. 污点和容限" 16.11.2.1. 使用多个污点 16.11.3. 将 Taint 添加到现有节点 16.11.4. 在 Pod 中添加容限 Expand section "16.11.4. 在 Pod 中添加容限" Collapse section "16.11.4. 在 Pod 中添加容限" 16.11.4.1. 使用 Toleration Seconds 延迟 Pod 驱除 Expand section "16.11.4.1. 使用 Toleration Seconds 延迟 Pod 驱除" Collapse section "16.11.4.1. 使用 Toleration Seconds 延迟 Pod 驱除" 16.11.4.1.1. 为 Toleration second 设置默认值 16.11.5. 节点问题的 Pod 驱除 16.11.6. DaemonSet 和 Tolerations 16.11.7. 例子 Expand section "16.11.7. 例子" Collapse section "16.11.7. 例子" 16.11.7.1. 为用户指定节点 16.11.7.2. 将用户绑定到节点 16.11.7.3. 具有特殊硬件的节点 17. 设置配额 Expand section "17. 设置配额" Collapse section "17. 设置配额" 17.1. 概述 17.2. 由配额管理的资源 Expand section "17.2. 由配额管理的资源" Collapse section "17.2. 由配额管理的资源" 17.2.1. 为扩展资源设置资源配额 17.3. 配额范围 17.4. 配额强制 17.5. 请求与限制 17.6. 资源配额定义示例 17.7. 创建配额 Expand section "17.7. 创建配额" Collapse section "17.7. 创建配额" 17.7.1. 创建对象数配额 17.8. 查看配额 17.9. 配置配额同步周期 17.10. 部署配置中的配额核算 17.11. 要求显式配额来消耗资源 17.12. 已知问题 18. 设置多项目配额 Expand section "18. 设置多项目配额" Collapse section "18. 设置多项目配额" 18.1. 概述 18.2. 选择项目 18.3. 查看适用的 ClusterResourceQuotas 18.4. 选择图形性 19. 修剪对象 Expand section "19. 修剪对象" Collapse section "19. 修剪对象" 19.1. 概述 19.2. 基本修剪操作 19.3. 修剪组 19.4. 修剪部署 19.5. 修剪构建 19.6. 修剪镜像 Expand section "19.6. 修剪镜像" Collapse section "19.6. 修剪镜像" 19.6.1. 镜像修剪条件 19.6.2. 使用安全或不安全连接 19.6.3. 镜像修剪问题 Expand section "19.6.3. 镜像修剪问题" Collapse section "19.6.3. 镜像修剪问题" 19.6.3.1. 对受保护 registry 使用不安全连接 19.7. 硬修剪 registry 19.8. 修剪 Cron 任务 20. 使用自定义资源扩展 Kubernetes API Expand section "20. 使用自定义资源扩展 Kubernetes API" Collapse section "20. 使用自定义资源扩展 Kubernetes API" 20.1. Kubernetes 自定义资源定义 20.2. 创建自定义资源定义 20.3. 为自定义资源定义创建集群角色 20.4. 从 CRD 创建自定义对象 20.5. 管理自定义对象 21. 垃圾收集器 Expand section "21. 垃圾收集器" Collapse section "21. 垃圾收集器" 21.1. 概述 21.2. Container Garbage Collection Expand section "21.2. Container Garbage Collection" Collapse section "21.2. Container Garbage Collection" 21.2.1. 检测容器进行删除 21.3. Image Garbage Collection Expand section "21.3. Image Garbage Collection" Collapse section "21.3. Image Garbage Collection" 21.3.1. 检测镜像以进行删除 22. 分配节点资源 Expand section "22. 分配节点资源" Collapse section "22. 分配节点资源" 22.1. 分配节点资源的目的 22.2. 为分配的资源配置节点 22.3. 计算分配的资源 22.4. 查看 Node-Allocatable 资源和容量 22.5. 节点报告的系统资源 22.6. 节点强制 22.7. 驱除阈值 22.8. 相关资源 23. 过量使用 Expand section "23. 过量使用" Collapse section "23. 过量使用" 23.1. 概述 23.2. 请求和限制 Expand section "23.2. 请求和限制" Collapse section "23.2. 请求和限制" 23.2.1. 调整缓冲区块限制 23.3. 计算资源 Expand section "23.3. 计算资源" Collapse section "23.3. 计算资源" 23.3.1. CPU 23.3.2. 内存 23.3.3. 临时存储 23.4. 服务质量类 23.5. 为 Overcommitment 配置 Master 23.6. 为 Overcommitment 配置节点 Expand section "23.6. 为 Overcommitment 配置节点" Collapse section "23.6. 为 Overcommitment 配置节点" 23.6.1. 为不同的服务质量等级保留内存 23.6.2. 强制 CPU 限制 23.6.3. 为系统进程保留资源 23.6.4. 内核可调项 23.6.5. 禁用交换内存 24. 处理资源错误 Expand section "24. 处理资源错误" Collapse section "24. 处理资源错误" 24.1. 概述 24.2. 配置驱除策略 Expand section "24.2. 配置驱除策略" Collapse section "24.2. 配置驱除策略" 24.2.1. 使用节点配置来创建策略 24.2.2. 了解驱除信号 24.2.3. 了解驱除阈值 Expand section "24.2.3. 了解驱除阈值" Collapse section "24.2.3. 了解驱除阈值" 24.2.3.1. 了解 Hard Eviction Thresholds Expand section "24.2.3.1. 了解 Hard Eviction Thresholds" Collapse section "24.2.3.1. 了解 Hard Eviction Thresholds" 24.2.3.1.1. 默认硬驱除阈值 24.2.3.2. 了解 Soft Eviction Thresholds 24.3. 为调度配置资源挂载 24.4. 控制节点条件 Oscillation 24.5. 重新声明节点级别资源 24.6. 了解 Pod 驱除 Expand section "24.6. 了解 Pod 驱除" Collapse section "24.6. 了解 Pod 驱除" 24.6.1. 了解服务质量和内存不足 Killer 24.7. 了解 Pod 调度程序和 OOR 条件 24.8. Scenario 示例 24.9. 推荐的实践 Expand section "24.9. 推荐的实践" Collapse section "24.9. 推荐的实践" 24.9.1. 守护进程集和资源处理 25. 设置限制范围 Expand section "25. 设置限制范围" Collapse section "25. 设置限制范围" 25.1. 限制范围的目的 Expand section "25.1. 限制范围的目的" Collapse section "25.1. 限制范围的目的" 25.1.1. 容器限制 25.1.2. Pod 限制 25.1.3. 镜像限制 25.1.4. 镜像流限值 Expand section "25.1.4. 镜像流限值" Collapse section "25.1.4. 镜像流限值" 25.1.4.1. 镜像参考的计数 25.1.5. PersistentVolumeClaim Limits 25.2. 创建限制范围 25.3. 查看限制 25.4. 删除限制范围 26. 节点问题检测程序 Expand section "26. 节点问题检测程序" Collapse section "26. 节点问题检测程序" 26.1. 概述 26.2. 节点问题检测程序输出示例 26.3. 安装节点问题检测程序 26.4. 自定义依赖条件 26.5. 验证节点问题检测程序正在运行 26.6. 卸载节点问题检测程序 27. 为入站流量分配唯一外部 IP Expand section "27. 为入站流量分配唯一外部 IP" Collapse section "27. 为入站流量分配唯一外部 IP" 27.1. 概述 27.2. 限制 27.3. 配置集群以使用唯一外部 IP Expand section "27.3. 配置集群以使用唯一外部 IP" Collapse section "27.3. 配置集群以使用唯一外部 IP" 27.3.1. 为服务配置 Ingress IP 27.4. 路由用于开发或测试的 Ingress CIDR Expand section "27.4. 路由用于开发或测试的 Ingress CIDR" Collapse section "27.4. 路由用于开发或测试的 Ingress CIDR" 27.4.1. Service externalIPs 28. 监控和调试路由器 Expand section "28. 监控和调试路由器" Collapse section "28. 监控和调试路由器" 28.1. 概述 28.2. 查看统计 28.3. 禁用统计视图 28.4. 查看日志 28.5. 查看路由器内部 29. 高可用性 Expand section "29. 高可用性" Collapse section "29. 高可用性" 29.1. 概述 29.2. 配置 IP 故障切换 Expand section "29.2. 配置 IP 故障切换" Collapse section "29.2. 配置 IP 故障切换" 29.2.1. 虚拟 IP 地址 29.2.2. 检查和通知脚本 29.2.3. VRRP 抢占 29.2.4. keepalived 多播 29.2.5. 命令行选项和环境变量 29.2.6. VRRP ID Offset 29.2.7. 为超过 254 地址配置 IP 故障转移 29.2.8. 配置高可用性服务 Expand section "29.2.8. 配置高可用性服务" Collapse section "29.2.8. 配置高可用性服务" 29.2.8.1. 部署 IP 故障切换 Pod 29.2.9. 为高可用性服务动态更新虚拟 IP 29.3. 配置服务 ExternalIP 和 NodePort 29.4. IngressIP 的高可用性 30. iptables Expand section "30. iptables" Collapse section "30. iptables" 30.1. 概述 30.2. iptables 30.3. iptables.service 31. 通过策略保护构建 Expand section "31. 通过策略保护构建" Collapse section "31. 通过策略保护构建" 31.1. 概述 31.2. 全局禁用构建策略 31.3. 将构建策略限制为用户全局 31.4. 在项目中限制用户使用构建策略 32. 使用Seccomp 限制应用程序功能 Expand section "32. 使用Seccomp 限制应用程序功能" Collapse section "32. 使用Seccomp 限制应用程序功能" 32.1. 概述 32.2. 启用Seccomp 32.3. 为 Seccomp 配置 OpenShift Container Platform 32.4. 为自定义Seccomp 配置集配置 OpenShift Container Platform 33. Sysctls Expand section "33. Sysctls" Collapse section "33. Sysctls" 33.1. 概述 33.2. 了解 sysctl 33.3. 命名空间和节点级 sysctl 33.4. 安全与不安全 sysctl 33.5. 启用不安全 sysctl 33.6. 为 pod 设置 sysctl 34. 在数据存储层加密数据 Expand section "34. 在数据存储层加密数据" Collapse section "34. 在数据存储层加密数据" 34.1. 概述 34.2. 配置并确定是否启用了加密 34.3. 了解加密配置 Expand section "34.3. 了解加密配置" Collapse section "34.3. 了解加密配置" 34.3.1. 可用供应商 34.4. 加密数据 34.5. 验证数据是否加密 34.6. 确定所有 secret 都被加密 34.7. 轮转解密密钥 34.8. 解密数据 35. 使用 IPsec 加密节点间的流量 Expand section "35. 使用 IPsec 加密节点间的流量" Collapse section "35. 使用 IPsec 加密节点间的流量" 35.1. 概述 35.2. 加密主机 Expand section "35.2. 加密主机" Collapse section "35.2. 加密主机" 35.2.1. 为 IPsec 配置证书 35.2.2. 创建 libreswan IPsec 策略 Expand section "35.2.2. 创建 libreswan IPsec 策略" Collapse section "35.2.2. 创建 libreswan IPsec 策略" 35.2.2.1. 配置 opportunistic 组 35.2.2.2. 配置显式连接 35.3. 配置 IPsec 防火墙 35.4. 启动并启用 IPsec 35.5. 优化 IPsec 35.6. 故障排除 36. 构建依赖树 Expand section "36. 构建依赖树" Collapse section "36. 构建依赖树" 36.1. 概述 36.2. 使用方法 37. 替换失败的 etcd 成员 Expand section "37. 替换失败的 etcd 成员" Collapse section "37. 替换失败的 etcd 成员" 37.1. 删除失败的 etcd 节点 37.2. 添加 etcd 成员 Expand section "37.2. 添加 etcd 成员" Collapse section "37.2. 添加 etcd 成员" 37.2.1. 使用 Ansible 添加新 etcd 主机 37.2.2. 手动添加新 etcd 主机 38. 恢复 etcd 仲裁 Expand section "38. 恢复 etcd 仲裁" Collapse section "38. 恢复 etcd 仲裁" 38.1. 为独立的服务恢复 etcd 仲裁 Expand section "38.1. 为独立的服务恢复 etcd 仲裁" Collapse section "38.1. 为独立的服务恢复 etcd 仲裁" 38.1.1. 备份 etcd Expand section "38.1.1. 备份 etcd" Collapse section "38.1.1. 备份 etcd" 38.1.1.1. 备份 etcd 配置文件 38.1.1.2. 备份 etcd 数据 38.1.2. 删除 etcd 主机 38.1.3. 创建单节点 etcd 集群 38.1.4. 恢复后添加 etcd 节点 38.2. 为静态 pod 恢复 etcd 仲裁 39. OpenShift SDN 故障排除 Expand section "39. OpenShift SDN 故障排除" Collapse section "39. OpenShift SDN 故障排除" 39.1. 概述 39.2. Nomenclature 39.3. 调试到 HTTP 服务的外部访问 39.4. 调试路由器 39.5. 调试服务 39.6. 调试节点到节点网络 39.7. 调试本地网络 Expand section "39.7. 调试本地网络" Collapse section "39.7. 调试本地网络" 39.7.1. 节点上的接口 39.7.2. 节点内部的 SDN 流 39.7.3. 调试步骤 Expand section "39.7.3. 调试步骤" Collapse section "39.7.3. 调试步骤" 39.7.3.1. IP 转发是否启用? 39.7.3.2. 您的路由是否正确? 39.7.4. Open vSwitch(OVS)是否正确配置? Expand section "39.7.4. Open vSwitch(OVS)是否正确配置?" Collapse section "39.7.4. Open vSwitch(OVS)是否正确配置?" 39.7.4.1. iptables 配置是否正确? 39.7.4.2. 您的外部网络是否正确? 39.8. 调试虚拟网络 Expand section "39.8. 调试虚拟网络" Collapse section "39.8. 调试虚拟网络" 39.8.1. 虚拟网络上的构建是 Failing 39.9. 调试 Pod Egress 39.10. 读取日志 39.11. 调试 Kubernetes 39.12. 使用诊断工具查找网络问题 39.13. 其他备注 Expand section "39.13. 其他备注" Collapse section "39.13. 其他备注" 39.13.1. ingress 的其他冲突 39.13.2. TLS Handshake Timeout 39.13.3. 其他调试备注 40. 诊断工具 Expand section "40. 诊断工具" Collapse section "40. 诊断工具" 40.1. 概述 40.2. 使用 Diagnostics 工具 40.3. 在服务器环境中运行诊断 40.4. 在客户端环境中运行诊断 40.5. 基于 Ansible 的健康检查 Expand section "40.5. 基于 Ansible 的健康检查" Collapse section "40.5. 基于 Ansible 的健康检查" 40.5.1. 通过 ansible-playbook 运行健康检查 40.5.2. 通过 Docker CLI 运行健康检查 41. 闲置应用程序 Expand section "41. 闲置应用程序" Collapse section "41. 闲置应用程序" 41.1. 概述 41.2. 闲置应用程序 Expand section "41.2. 闲置应用程序" Collapse section "41.2. 闲置应用程序" 41.2.1. 闲置单一服务 41.2.2. 闲置多个服务 41.3. 取消闲置应用程序 42. 分析集群容量 Expand section "42. 分析集群容量" Collapse section "42. 分析集群容量" 42.1. 概述 42.2. 在命令行中运行集群容量分析 42.3. 将集群容量作为 Pod 的作业运行 43. 在 AWS 中配置集群自动扩展 Expand section "43. 在 AWS 中配置集群自动扩展" Collapse section "43. 在 AWS 中配置集群自动扩展" 43.1. 关于 OpenShift Container Platform auto-scaler 43.2. 创建 primed 镜像 43.3. 创建启动配置和自动扩展组 43.4. 在集群中部署自动扩展组件 43.5. 测试自动扩展 44. 使用功能门禁用功能 Expand section "44. 使用功能门禁用功能" Collapse section "44. 使用功能门禁用功能" 44.1. 为集群禁用功能 44.2. 为节点禁用功能 Expand section "44.2. 为节点禁用功能" Collapse section "44.2. 为节点禁用功能" 44.2.1. Feature Gates 列表 45. Kuryr SDN 管理 Expand section "45. Kuryr SDN 管理" Collapse section "45. Kuryr SDN 管理" 45.1. 概述 Expand section "45.1. 概述" Collapse section "45.1. 概述" 45.1.1. 孤立的 OpenStack 资源 Settings Close Language: 简体中文 日本語 한국어 English Language: 简体中文 日本語 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 简体中文 日本語 한국어 English Language: 简体中文 日本語 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page Red Hat Training A Red Hat training course is available for OpenShift Container Platform 2.6. 更新节点上的标签 在节点上添加或更新标签 : $ oc label node <node> <key_1>=<value_1> ... <key_n>=<value_n> 查看更详细的用法: $ oc label -h Previous Next