- 文档
- OpenShift Container Platform
- 架构
- 了解 OpenShift 开发 history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 离线环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC 中
- 将集群安装到 GCP 中的共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC 中
- 在 GCP 的受限网络中使用用户预配的基础设施安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序在本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义配置在 OpenStack 上安装集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Z 和 IBM LinuxONE 上使用 RHEL KVM 创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接集群转换为离线集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang Server 运算符
- Red Hat OpenShift 的 cert-manager Operator
- Red Hat OpenShift 的 cert-manager Operator 概述
- Red Hat OpenShift 的 cert-manager Operator 发行说明
- 安装 Red Hat OpenShift 的 cert-manager Operator
- 配置出站代理
- 使用 cert-manager Operator API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager Operator
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager Operator 保护路由
- 监控 Red Hat OpenShift 的 cert-manager Operator
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager Operator 的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager Operator
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许从其他主机基于 JavaScript 访问 API 服务器
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络 Operator
- Kubernetes NMState Operator
- AWS Load Balancer Operator
- eBPF Manager Operator
- External DNS Operator
- MetalLB Operator
- OpenShift Container Platform 中的集群网络 Operator
- OpenShift Container Platform 中的 DNS Operator
- OpenShift Container Platform 中的 Ingress Operator
- OpenShift Container Platform 中的 Ingress 节点防火墙 Operator
- SR-IOV Operator
- 网络安全
- 配置 Ingress Controller 以进行手动 DNS 管理
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围的代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络附件
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作符
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非优雅节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作符
- AWS Elastic File Service CSI 驱动程序操作符
- Azure 磁盘 CSI 驱动程序操作符
- Azure 文件 CSI 驱动程序操作符
- Azure Stack Hub CSI 驱动程序操作符
- GCP PD CSI 驱动程序操作符
- GCP Filestore CSI 驱动程序操作符
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作符
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作符
- OpenStack Cinder CSI 驱动程序操作符
- OpenStack Manila CSI 驱动程序操作符
- Secrets Store CSI 驱动程序操作符
- CIFS/SMB CSI 驱动程序操作符
- VMware vSphere CSI 驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 操作符概述
- 了解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 集群 Operators 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器操作符自动缩放 Pod
- 控制 Pod 放置到节点(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 为 ZTP 准备中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- vDU 应用程序工作负载的推荐单节点 OpenShift 集群配置
- 验证vDU应用工作负载的集群调优
- 使用SiteConfig资源进行高级托管集群配置
- 使用PolicyGenerator资源管理集群策略
- 使用PolicyGenTemplate资源管理集群策略
- 在PolicyGenerator或PolicyGenTemplate CR中使用hub模板
- 使用Topology Aware Lifecycle Manager更新托管集群
- 使用GitOps ZTP扩展单节点OpenShift集群
- 为单节点OpenShift部署预缓存镜像
- 单节点OpenShift集群的基于镜像的升级
- 单节点OpenShift的基于镜像的安装
- 电信核心CNF集群的Day 2运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本3迁移到4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符 API
- 关于操作符 API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- ImagePruner [imageregistry.operator.openshift.io/v1]
- IngressController [operator.openshift.io/v1]
- InsightsOperator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShift API 服务器 [operator.openshift.io/v1]
- OpenShift 控制器管理器 [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务 CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub APIs
- 关于 OperatorHub APIs
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略 APIs
- 项目 APIs
- 供应 APIs
- 关于供应 APIs
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3 补救 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3 补救模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC APIs
- 角色 APIs
- 调度和配额 APIs
- 安全 APIs
- 关于安全 APIs
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod 安全策略审核 [security.openshift.io/v1]
- Pod 安全策略自身主体审核 [security.openshift.io/v1]
- Pod 安全策略主体审核 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储 APIs
- 关于存储 APIs
- CSI 驱动程序 [storage.k8s.io/v1]
- CSI 节点 [storage.k8s.io/v1]
- CSI 存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板 APIs
- 用户和组 APIs
- 工作负载 APIs
- 关于工作负载 APIs
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和追踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
了解 OpenShift Container Platform 开发
为了充分利用容器在开发和运行企业级应用程序时的能力,请确保您的环境受支持的工具支持,这些工具允许容器:
-
创建为可以连接到其他容器化和非容器化服务的离散微服务。例如,您可能希望将您的应用程序与数据库连接起来,或将监控应用程序附加到它。
-
具有弹性,因此如果服务器崩溃或需要关闭以进行维护或停用,容器可以在另一台机器上启动。
-
自动获取代码更改,然后启动和部署新版本。
-
随着需求的增加而扩展或复制,以拥有更多实例来服务客户端,然后随着需求的下降而减少到更少的实例。
-
根据应用程序类型以不同的方式运行。例如,一个应用程序可能每月运行一次以生成报告,然后退出。另一个应用程序可能需要持续运行并对客户端高度可用。
-
进行管理,以便您可以监控应用程序的状态并在出现问题时做出反应。
容器的广泛接受以及由此产生的使它们成为企业级应用所需工具和方法的要求,导致了针对它们的许多选项。
本节的其余部分解释了在 OpenShift Container Platform 中构建和部署容器化 Kubernetes 应用程序时可以创建的资产选项。它还描述了您可能对不同类型的应用程序和开发需求使用的方法。
关于开发容器化应用程序
您可以通过多种方式进行使用容器的应用程序开发,并且不同的方法可能更适合不同的情况。为了说明其中的一些多样性,所提出的方法系列从开发单个容器开始,最终将该容器部署为大型企业的关键任务应用程序。这些方法展示了您可以与容器化应用程序开发一起使用的不同工具、格式和方法。本主题描述
-
构建简单的容器并将其存储在注册表中
-
创建 Kubernetes 清单并将其保存到 Git 存储库
-
创建 Operator 以与他人共享您的应用程序
构建简单的容器
您有一个应用程序的想法,并且想要将其容器化。
首先,您需要一个用于构建容器的工具,例如 buildah 或 docker,以及一个描述容器中包含内容的文件,这通常是一个 Dockerfile。
接下来,您需要一个位置来推送生成的容器镜像,以便您可以将其拉取到任何想要运行它的位置。此位置是一个容器注册表。
大多数 Linux 操作系统默认安装了这些组件中的某些示例,但 Dockerfile 除外,您需要自己提供 Dockerfile。
下图显示了构建和推送镜像的过程
图 1. 创建简单的容器化应用程序并将其推送到注册表
如果您使用运行 Red Hat Enterprise Linux (RHEL) 的计算机作为操作系统,则创建容器化应用程序的过程需要以下步骤
-
安装容器构建工具:RHEL 包含一组工具,其中包括 podman、buildah 和 skopeo,您可以使用这些工具来构建和管理容器。
-
创建 Dockerfile 以合并基础镜像和软件:构建容器的信息会写入名为
Dockerfile的文件中。在此文件中,您需要指定构建的基础镜像、安装的软件包以及复制到容器中的软件。您还需要指定参数值,例如在容器外部公开的网络端口和在容器内部挂载的卷。将您的 Dockerfile 和要容器化的软件放在 RHEL 系统上的一个目录中。 -
运行 buildah 或 docker build:运行
buildah build-using-dockerfile或docker build命令将您选择的基础镜像拉取到本地系统,并创建一个存储在本地处的容器镜像。您也可以使用 buildah 在没有 Dockerfile 的情况下构建容器镜像。 -
标记并推送到注册表:为新的容器镜像添加一个标记,标识您想要存储和共享容器的注册表位置。然后,通过运行
podman push或docker push命令将该镜像推送到注册表。 -
拉取并运行镜像:在任何具有容器客户端工具(例如 podman 或 docker)的系统上,运行一个命令来标识您的新镜像。例如,运行
podman run <image_name>或docker run <image_name>命令。这里<image_name>是新容器镜像的名称,类似于quay.io/myrepo/myapp:latest。注册表可能需要凭据才能推送和拉取镜像。
有关构建容器镜像、将其推送到注册表和运行它们的更多详细信息,请参见使用 Buildah 进行自定义镜像构建。
容器构建工具选项
使用 buildah、podman 和 skopeo 构建和管理容器会生成行业标准的容器镜像,其中包含专门针对在 OpenShift Container Platform 或其他 Kubernetes 环境中部署容器而调整的功能。这些工具无需守护进程,可以在没有 root 权限的情况下运行,从而降低运行开销。
|
在 Kubernetes 1.20 中已弃用将 Docker Container Engine 用作容器运行时的支持,并将在未来的版本中移除。但是,Docker 生成的镜像将继续在您的集群中与所有运行时(包括 CRI-O)一起工作。更多信息,请参见Kubernetes 博客公告。 |
当您最终在 OpenShift Container Platform 中运行容器时,您将使用CRI-O容器引擎。CRI-O 运行在 OpenShift Container Platform 集群中的每个工作节点和控制平面机器上,但 CRI-O 尚未支持作为 OpenShift Container Platform 之外的独立运行时。
基础镜像选项
您选择用于构建应用程序的基础镜像包含一组类似于 Linux 系统的软件。当您构建自己的镜像时,您的软件会被放置到该文件系统中,并将其文件系统视为其操作系统。选择此基础镜像会对容器未来的安全、效率和可升级性产生重大影响。
Red Hat 提供了一套新的基础镜像,称为Red Hat 通用基础镜像 (UBI)。这些镜像基于 Red Hat Enterprise Linux,与 Red Hat 过去提供的基础镜像类似,但存在一个主要区别:它们无需 Red Hat 订阅即可免费再分发。因此,您可以使用 UBI 镜像构建应用程序,而无需担心如何共享它们或需要为不同的环境创建不同的镜像。
这些 UBI 镜像具有标准版、init 版和精简版。您还可以使用Red Hat 软件集合镜像作为依赖于特定运行时环境(如 Node.js、Perl 或 Python)的应用程序的基础。某些这些运行时基础镜像的特殊版本称为源到镜像 (S2I) 镜像。使用 S2I 镜像,您可以将代码插入到准备好运行该代码的基础镜像环境中。
您可以直接从 OpenShift Container Platform Web UI 使用 S2I 镜像。在“开发者”视角中,导航到“+添加”视图,并在“开发者目录”磁贴中查看开发者目录中所有可用的服务。
图 2. 为需要特定运行时的应用程序选择 S2I 基础镜像
注册表选项
容器注册表是您存储容器镜像的地方,这样您可以与他人共享它们,并使它们可用于最终运行它们的平台。您可以选择大型的公共容器注册表,它们提供免费帐户或提供更多存储空间和特殊功能的高级版本。您还可以安装自己的注册表,该注册表可以专供您的组织使用,也可以有选择地与他人共享。
要获取 Red Hat 镜像和经过认证的合作伙伴镜像,您可以从 Red Hat 注册表中获取。Red Hat 注册表由两个位置表示:registry.access.redhat.com(未经身份验证且已弃用)和registry.redhat.io(需要身份验证)。您可以从Red Hat 生态系统目录的容器镜像部分了解 Red Hat 和合作伙伴镜像。除了列出 Red Hat 容器镜像外,它还显示有关这些镜像的内容和质量的大量信息,包括基于应用安全更新的健康评分。
大型公共注册表包括Docker Hub和Quay.io。Quay.io 注册表由 Red Hat 拥有和管理。OpenShift Container Platform 中使用的许多组件都存储在 Quay.io 中,包括容器镜像和用于部署 OpenShift Container Platform 本身的 Operators。Quay.io 还提供存储其他类型内容的方法,包括 Helm 图表。
如果您想要自己的私有容器注册表,OpenShift Container Platform 本身包含一个与 OpenShift Container Platform 一起安装并在其集群上运行的私有容器注册表。Red Hat 还提供 Quay.io 注册表的私有版本,称为Red Hat Quay。Red Hat Quay 包括地理复制、Git 构建触发器、Clair 镜像扫描以及许多其他功能。
此处提到的所有注册表都可能需要凭据才能从这些注册表下载镜像。其中一些凭据是在 OpenShift Container Platform 中以集群范围的方式提供的,而其他凭据可以分配给个人。
为 OpenShift Container Platform 创建 Kubernetes 清单
虽然容器镜像是容器化应用程序的基本构建块,但在 Kubernetes 环境(例如 OpenShift Container Platform)中管理和部署该应用程序还需要更多信息。创建镜像后的典型后续步骤是:
-
了解您在 Kubernetes 清单中使用的不同资源
-
确定您正在运行的应用程序类型
-
收集支持组件
-
创建一个清单,并将该清单存储在 Git 仓库中,以便将其存储在源版本控制系统中,进行审计、跟踪、推广和部署到下一个环境,如有必要,回滚到早期版本,并与他人共享。
关于 Kubernetes Pod 和服务
虽然容器镜像是 Docker 的基本单元,但 Kubernetes 使用的基本单元称为Pod。Pod 代表构建应用程序的下一步。一个 Pod 可以包含一个或多个容器。关键在于 Pod 是您部署、扩展和管理的单个单元。
可扩展性和命名空间可能是确定 Pod 中包含内容时需要考虑的主要项目。为方便部署,您可能希望在一个 Pod 中部署一个容器,并在 Pod 中包含其自身的日志记录和监控容器。稍后,当您运行 Pod 并需要扩展另一个实例时,这些其他容器也会随之扩展。对于命名空间,Pod 中的容器共享相同的网络接口、共享存储卷和资源限制(例如内存和 CPU),这使得更容易将 Pod 的内容作为一个单元进行管理。Pod 中的容器还可以使用标准的进程间通信(例如 System V 信号量或 POSIX 共享内存)相互通信。
虽然单个 Pod 代表 Kubernetes 中的可扩展单元,但服务提供了一种将一组 Pod 组合在一起以创建完整、稳定的应用程序的方法,该应用程序可以完成负载平衡等任务。服务也比 Pod 更持久,因为服务会保持相同的 IP 地址可用,直到您将其删除。当服务正在使用时,它会按名称请求,OpenShift Container Platform 集群会将该名称解析为可以访问构成服务的 Pod 的 IP 地址和端口。
容器化应用程序的本质是与运行它们的和操作系统以及它们的用户分离。Kubernetes 清单的一部分描述了如何通过定义网络策略来将应用程序公开到内部和外部网络,这些策略允许对与容器化应用程序的通信进行细粒度控制。要将来自集群外部的 HTTP、HTTPS 和其他服务的传入请求连接到集群内部的服务,可以使用Ingress资源。
如果您的容器需要磁盘存储而不是数据库存储(这可能是通过服务提供的),您可以将卷添加到您的清单中,以使该存储可用于您的 Pod。您可以配置清单以创建持久卷 (PV) 或动态创建添加到您的Pod定义中的卷。
定义构成应用程序的一组 Pod 后,您可以在Deployment和DeploymentConfig对象中定义这些 Pod。
应用程序类型
接下来,考虑您的应用程序类型如何影响其运行方式。
Kubernetes 定义了适用于不同类型应用程序的不同类型的负载。要确定适合您应用程序的工作负载,请考虑应用程序是否
-
旨在运行到完成并结束。例如,一个应用程序启动以生成报告,并在报告完成后退出。然后该应用程序可能一个月都不会再次运行。适用于此类应用程序的 OpenShift Container Platform 对象包括
Job和CronJob对象。 -
预期持续运行。对于长期运行的应用程序,您可以编写部署。
-
需要高可用性。如果您的应用程序需要高可用性,则需要调整部署规模以拥有多个实例。
Deployment或DeploymentConfig对象可以包含副本集用于此类应用程序。使用副本集,Pod 可以在多个节点上运行,以确保应用程序始终可用,即使工作节点出现故障。 -
需要在每个节点上运行。某些类型的 Kubernetes 应用程序旨在在集群本身的每个主节点或工作节点上运行。DNS 和监控应用程序是需要在每个节点上持续运行的应用程序示例。您可以将此类应用程序作为守护程序集运行。您还可以根据节点标签在节点子集上运行守护程序集。
-
需要生命周期管理。当您想移交应用程序以便其他人可以使用它时,请考虑创建一个Operator。Operator 允许您构建智能,以便它可以自动处理备份和升级等操作。结合 Operator Lifecycle Manager (OLM),集群管理器可以将 Operator 公开给选定的命名空间,以便集群中的用户可以运行它们。
-
具有身份或编号要求。应用程序可能具有身份要求或编号要求。例如,您可能需要运行应用程序的三个实例,并将实例命名为
0、1和2。有状态集适用于此应用程序。有状态集最适用于需要独立存储的应用程序,例如数据库和 ZooKeeper 集群。
可用的支持组件
您编写的应用程序可能需要支持组件,例如数据库或日志记录组件。为了满足这一需求,您可以从 OpenShift Container Platform Web 控制台中提供的以下目录中获取所需的组件:
-
OperatorHub,可在每个 OpenShift Container Platform 4.17 集群中使用。OperatorHub 为集群操作员提供了来自 Red Hat、经过认证的 Red Hat 合作伙伴和社区成员的 Operator。集群操作员可以使这些 Operator 在集群中的所有或选定命名空间中可用,以便开发人员可以启动它们并使用其应用程序对其进行配置。
-
模板,对于一次性类型的应用程序非常有用,其中组件的生命周期在其安装后并不重要。模板提供了一种轻松开始开发 Kubernetes 应用程序且开销最小的简便方法。模板可以是资源定义列表,可以是
Deployment、Service、Route或其他对象。如果要更改名称或资源,可以在模板中将这些值设置为参数。
您可以将支持的 Operator 和模板配置为开发团队的特定需求,然后将它们提供给开发人员工作的命名空间。许多人将共享模板添加到openshift命名空间,因为它可以从所有其他命名空间访问。
为 Operator 开发
如果你要让你的应用程序可供其他人运行,那么将你的应用程序打包并部署为 Operator 可能是更好的选择。如前所述,Operator 为你的应用程序添加了一个生命周期组件,它承认运行应用程序的工作并非在安装后就立即完成。
当你将应用程序创建为 Operator 时,你可以内置你自己的关于如何运行和维护应用程序的知识。你可以内置用于升级应用程序、备份应用程序、扩展应用程序或跟踪其状态的功能。如果你正确配置了应用程序,维护任务(例如更新 Operator)可以自动进行,并且对 Operator 的用户不可见。
一个有用的 Operator 示例是设置为在特定时间自动备份数据的 Operator。让 Operator 在设定的时间管理应用程序的备份可以节省系统管理员记住执行备份的时间。
任何传统上以手动方式完成的应用程序维护工作,例如备份数据或轮换证书,都可以通过 Operator 自动完成。