- 文档
- OpenShift Container Platform
- 从版本 3 迁移到 4
- OpenShift Container Platform 3 和 4 的区别 history bug_report picture_as_pdf
- 关于
- 发行说明
- 入门
- 架构
- 脱机环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 在 GCP 中将集群安装到现有 VPC 中
- 在 GCP 中将集群安装到共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板在 GCP 上将集群安装到共享 VPC 中
- 在 GCP 的受限网络中使用用户预配的基础设施安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序安装本地集群
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义设置在 OpenStack 上安装集群
- 在您自己的基础架构上的 OpenStack 上安装集群
- 在 OpenStack 受限网络中安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用 rootVolume 和本地磁盘上的 etcd 部署
- 卸载 OpenStack 上的集群
- 卸载您自己基础架构上的 OpenStack 上的集群
- OpenStack 安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接集群转换为脱机集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性 Operator
- 文件完整性 Operator
- 安全配置文件 Operator
- NBDE Tang 服务器操作员
- 适用于 Red Hat OpenShift 的 cert-manager 操作员
- 适用于 Red Hat OpenShift 的 cert-manager 操作员概述
- 适用于 Red Hat OpenShift 的 cert-manager 操作员发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 操作员
- 配置出站代理
- 使用 cert-manager 操作员 API 字段自定义 cert-manager
- 验证适用于 Red Hat OpenShift 的 cert-manager 操作员
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用适用于 Red Hat OpenShift 的 cert-manager 操作员保护路由
- 监控适用于 Red Hat OpenShift 的 cert-manager 操作员
- 为 cert-manager 和适用于 Red Hat OpenShift 的 cert-manager 操作员配置日志级别
- 卸载适用于 Red Hat OpenShift 的 cert-manager 操作员
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络操作员
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序运算符
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非正常节点关机后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序运算符
- AWS Elastic File Service CSI 驱动程序运算符
- Azure 磁盘 CSI 驱动程序运算符
- Azure 文件 CSI 驱动程序运算符
- Azure Stack Hub CSI 驱动程序运算符
- GCP PD CSI 驱动程序运算符
- GCP Filestore CSI 驱动程序运算符
- IBM Cloud 块存储 (VPC) CSI 驱动程序运算符
- IBM Power 虚拟服务器块存储 CSI 驱动程序运算符
- OpenStack Cinder CSI 驱动程序运算符
- OpenStack Manila CSI 驱动程序运算符
- Secrets Store CSI 驱动程序运算符
- CIFS/SMB CSI 驱动程序运算符
- VMware vSphere CSI 驱动程序运算符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 运算符
- 运算符概述
- 了解运算符
- 用户任务
- 管理员任务
- 开发 Operator
- 集群 Operator 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用 Job 和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于ZTP的中心集群
- 更新GitOps ZTP
- 使用RHACM和SiteConfig资源安装托管集群
- 使用GitOps ZTP手动安装单节点OpenShift集群
- 推荐用于vDU应用程序工作负载的单节点OpenShift集群配置
- 验证vDU应用程序工作负载的集群调优
- 使用SiteConfig资源进行高级托管集群配置
- 使用PolicyGenerator资源管理集群策略
- 使用PolicyGenTemplate资源管理集群策略
- 在PolicyGenerator或PolicyGenTemplate CR中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用GitOps ZTP扩展单节点OpenShift集群
- 为单节点OpenShift部署预缓存镜像
- 单节点OpenShift集群的基于镜像的升级
- 单节点OpenShift的基于镜像的安装
- 电信核心CNF集群的第2天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动缩放 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- Pod 网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点 API
- OAuth API
- Operator API
- 关于 Operator API
- 身份验证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群 CSI 驱动程序 [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI 快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS 记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress 控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- Kube-apiserver [operator.openshift.io/v1]
- Kube-controller-manager [operator.openshift.io/v1]
- Kube-scheduler [operator.openshift.io/v1]
- Kube 存储版本迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShift API 服务器 [operator.openshift.io/v1]
- OpenShift Controller Manager [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务 CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM 配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator 条件 [operators.coreos.com/v2]
- Operator 组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略 API
- 项目 API
- 预配 API
- 关于预配 API
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸机主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3 修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3 修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配镜像 [metal3.io/v1alpha1]
- 预配 [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 安全 API
- 关于安全 API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod 安全策略审核 [security.openshift.io/v1]
- Pod 安全策略自身主体审核 [security.openshift.io/v1]
- Pod 安全策略主体审核 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储 API
- 关于存储 API
- CSI 驱动程序 [storage.k8s.io/v1]
- CSI 节点 [storage.k8s.io/v1]
- CSI 存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 了解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operator
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
OpenShift Container Platform 3 和 4 的区别
OpenShift Container Platform 4.17 引入了架构更改和增强功能/您用于管理 OpenShift Container Platform 3 集群的过程可能不适用于 OpenShift Container Platform 4。
有关配置 OpenShift Container Platform 4 集群的信息,请查看 OpenShift Container Platform 文档中的相关章节。有关新功能和其他值得注意的技术更改的信息,请查看OpenShift Container Platform 4.17 发行说明。
无法将现有的 OpenShift Container Platform 3 集群升级到 OpenShift Container Platform 4。必须从新的 OpenShift Container Platform 4 安装开始。可以使用一些工具来帮助迁移控制平面设置和应用程序工作负载。
架构
在 OpenShift Container Platform 3 中,管理员单独部署 Red Hat Enterprise Linux (RHEL) 主机,然后在其上安装 OpenShift Container Platform 以形成集群。管理员负责正确配置这些主机并执行更新。
OpenShift Container Platform 4 代表了 OpenShift Container Platform 集群部署和管理方式的重大变化。OpenShift Container Platform 4 包含新的技术和功能,例如 Operators、机器集和 Red Hat Enterprise Linux CoreOS (RHCOS),这些都是集群运行的核心。这种技术转变使集群能够自我管理以前由管理员执行的一些功能。这也有助于确保平台的稳定性和一致性,并简化安装和扩展。
从 OpenShift Container Platform 4.13 开始,RHCOS 现在使用 Red Hat Enterprise Linux (RHEL) 9.2 包。此增强功能支持最新的修复程序和功能以及最新的硬件支持和驱动程序更新。有关此 RHEL 9.2 升级如何影响您的选项配置和服务以及驱动程序和容器支持的更多信息,请参阅OpenShift Container Platform 4.13 发行说明中的RHCOS 现在使用 RHEL 9.2。
有关更多信息,请参阅OpenShift Container Platform 架构。
不可变基础设施
OpenShift Container Platform 4 使用 Red Hat Enterprise Linux CoreOS (RHCOS),它专为运行容器化应用程序而设计,并提供高效的安装、基于 Operator 的管理和简化的升级。RHCOS 是一个不可变的容器主机,而不是像 RHEL 那样可定制的操作系统。RHCOS 使 OpenShift Container Platform 4 能够管理和自动化底层容器主机的部署。RHCOS 是 OpenShift Container Platform 的一部分,这意味着所有内容都在容器内运行,并使用 OpenShift Container Platform 部署。
在 OpenShift Container Platform 4 中,控制平面节点必须运行 RHCOS,以确保控制平面的全栈自动化。这使得推出更新和升级比在 OpenShift Container Platform 3 中容易得多。
更多信息,请参见 Red Hat Enterprise Linux CoreOS (RHCOS)。
Operators
Operators 是一种打包、部署和管理 Kubernetes 应用程序的方法。Operators 降低了运行另一软件的操作复杂性。它们监控您的环境,并使用当前状态实时做出决策。高级 Operators 旨在自动升级并对故障做出反应。
更多信息,请参见 理解 Operators。
安装和升级
安装过程
要安装 OpenShift Container Platform 3.11,您需要准备 Red Hat Enterprise Linux (RHEL) 主机,设置集群所需的所有配置值,然后运行 Ansible playbook 来安装和设置您的集群。
在 OpenShift Container Platform 4.17 中,您使用 OpenShift 安装程序创建集群所需的最小资源集。集群运行后,您可以使用 Operators 来进一步配置集群并安装新服务。首次启动后,Red Hat Enterprise Linux CoreOS (RHCOS) 系统由在 OpenShift Container Platform 集群中运行的 Machine Config Operator (MCO) 管理。
更多信息,请参见 安装过程。
如果要将 Red Hat Enterprise Linux (RHEL) 工作节点添加到 OpenShift Container Platform 4.17 集群,则可以在集群运行后使用 Ansible playbook 加入 RHEL 工作节点。更多信息,请参见 将 RHEL 计算节点添加到 OpenShift Container Platform 集群。
基础架构选项
在 OpenShift Container Platform 3.11 中,您在已准备和维护的基础架构上安装集群。除了提供您自己的基础架构外,OpenShift Container Platform 4 还提供了一个选项,可以在 OpenShift Container Platform 安装程序配置并由集群维护的基础架构上部署集群。
更多信息,请参见 OpenShift Container Platform 安装概述。
升级您的集群
在 OpenShift Container Platform 3.11 中,您可以通过运行 Ansible playbook 来升级集群。在 OpenShift Container Platform 4.17 中,集群管理自身的更新,包括集群节点上 Red Hat Enterprise Linux CoreOS (RHCOS) 的更新。您可以使用 Web 控制台或使用 OpenShift CLI 中的 `oc adm upgrade` 命令轻松升级集群,并且 Operators 将自动升级自身。如果您的 OpenShift Container Platform 4.17 集群有 RHEL 工作节点,则您仍然需要运行 Ansible playbook 来升级这些工作节点。
更多信息,请参见 更新集群。
迁移注意事项
查看可能影响您从 OpenShift Container Platform 3.11 迁移到 OpenShift Container Platform 4 的更改和其他注意事项。
存储注意事项
查看从 OpenShift Container Platform 3.11 迁移到 OpenShift Container Platform 4.17 时需要考虑的以下存储更改。
本地卷持久存储
本地存储仅在 OpenShift Container Platform 4.17 中使用 Local Storage Operator 支持。不支持使用 OpenShift Container Platform 3.11 中的本地供应程序方法。
更多信息,请参见 使用本地卷的持久存储。
FlexVolume 持久存储
FlexVolume 插件位置已从 OpenShift Container Platform 3.11 更改。OpenShift Container Platform 4.17 中的新位置是 `/etc/kubernetes/kubelet-plugins/volume/exec`。不再支持可附加 FlexVolume 插件。
更多信息,请参见 使用 FlexVolume 的持久存储。
容器存储接口 (CSI) 持久存储
使用容器存储接口 (CSI) 的持久存储在 OpenShift Container Platform 3.11 中为 技术预览。OpenShift Container Platform 4.17 附带 多个 CSI 驱动程序。您也可以安装您自己的驱动程序。
更多信息,请参见 使用容器存储接口 (CSI) 的持久存储。
Red Hat OpenShift Data Foundation
OpenShift Container Storage 3 可用于 OpenShift Container Platform 3.11,它使用 Red Hat Gluster Storage 作为后端存储。
Red Hat OpenShift Data Foundation 4 可用于 OpenShift Container Platform 4,它使用 Red Hat Ceph Storage 作为后端存储。
更多信息,请参见 使用 Red Hat OpenShift Data Foundation 的持久存储 和 互操作性矩阵 文章。
不受支持的持久存储选项
OpenShift Container Platform 4.17 中对 OpenShift Container Platform 3.11 中以下持久存储选项的支持已更改
-
不再支持 GlusterFS。
-
不再支持 CephFS 作为独立产品。
-
不再支持 Ceph RBD 作为独立产品。
如果您在 OpenShift Container Platform 3.11 中使用了其中一种,则必须为 OpenShift Container Platform 4.17 中的全面支持选择其他持久存储选项。
更多信息,请参见 理解持久存储。
将树内卷迁移到 CSI 驱动程序
OpenShift Container Platform 4 正在将其树内卷插件迁移到其容器存储接口 (CSI) 对应项。在 OpenShift Container Platform 4.17 中,CSI 驱动程序是以下树内卷类型的新的默认值
-
Amazon Web Services (AWS) Elastic Block Storage (EBS)
-
Azure 磁盘
-
Azure 文件
-
Google Cloud Platform 持久磁盘 (GCP PD)
-
OpenStack Cinder
-
VMware vSphere
从 OpenShift Container Platform 4.13 开始,默认情况下 VMware vSphere 不可用。但是,您可以选择加入 VMware vSphere。
卷生命周期的所有方面,例如创建、删除、安装和卸载,都由 CSI 驱动程序处理。
更多信息,请参见 CSI 自动迁移。
网络注意事项
查看从 OpenShift Container Platform 3.11 迁移到 OpenShift Container Platform 4.17 时需要考虑的以下网络更改。
网络隔离模式
OpenShift Container Platform 3.11 的默认网络隔离模式为 `ovs-subnet`,尽管用户经常切换到使用 `ovn-multitenant`。OpenShift Container Platform 4.17 的默认网络隔离模式由网络策略控制。
如果您的 OpenShift Container Platform 3.11 集群使用了ovs-subnet或ovs-multitenant模式,建议您在 OpenShift Container Platform 4.17 集群中切换到网络策略。网络策略得到上游支持,更加灵活,并且提供了ovs-multitenant的功能。如果您想在 OpenShift Container Platform 4.17 中使用网络策略的同时保持ovs-multitenant的行为,请按照步骤使用网络策略配置多租户隔离。
更多信息,请参见关于网络策略。
OVN-Kubernetes 作为 Red Hat OpenShift Networking 中的默认网络插件
在 OpenShift Container Platform 3.11 中,OpenShift SDN 是 Red Hat OpenShift Networking 中的默认网络插件。在 OpenShift Container Platform 4.17 中,OVN-Kubernetes 现在是默认的网络插件。
有关移除 OpenShift SDN 网络插件以及移除原因的更多信息,请参见OCP 4.17 中的 OpenShiftSDN CNI 移除。
有关 OVN-Kubernetes 中与 OpenShift SDN 插件中的功能类似的功能信息,请参见
|
您应该使用 OVN-Kubernetes 网络插件安装 OpenShift Container Platform 4,因为如果使用 OpenShift SDN 网络插件,则无法将集群升级到 OpenShift Container Platform 4.17。 |
日志记录注意事项
从 OpenShift Container Platform 3.11 迁移到 OpenShift Container Platform 4.17 时,请查看以下需要考虑的日志记录更改。
部署 OpenShift 日志记录
OpenShift Container Platform 4 通过使用集群日志记录自定义资源,提供了一种简单的 OpenShift 日志记录部署机制。
聚合日志数据
您无法将聚合日志数据从 OpenShift Container Platform 3.11 迁移到新的 OpenShift Container Platform 4 集群。
不支持的日志记录配置
OpenShift Container Platform 3.11 中提供的一些日志记录配置在 OpenShift Container Platform 4.17 中不再受支持。
安全注意事项
从 OpenShift Container Platform 3.11 迁移到 OpenShift Container Platform 4.17 时,请查看以下需要考虑的安全更改。
对发现端点的未经身份验证的访问
在 OpenShift Container Platform 3.11 中,未经身份验证的用户可以访问发现端点(例如,/api/*和/apis/*)。出于安全原因,OpenShift Container Platform 4.17 中不再允许对发现端点进行未经身份验证的访问。如果您确实需要允许未经身份验证的访问,您可以根据需要配置 RBAC 设置;但是,请务必考虑安全隐患,因为这可能会将内部集群组件暴露给外部网络。
身份提供者
OpenShift Container Platform 4 的身份提供者配置已更改,包括以下值得注意的更改
-
OpenShift Container Platform 4.17 中的请求头身份提供者需要相互 TLS,而 OpenShift Container Platform 3.11 中则不需要。
-
OpenShift Container Platform 4.17 中简化了 OpenID Connect 身份提供者的配置。它现在从提供程序的
/.well-known/openid-configuration端点获取以前必须在 OpenShift Container Platform 3.11 中指定的数据。
更多信息,请参见了解身份提供者配置。
OAuth 令牌存储格式
新创建的 OAuth HTTP 承载令牌不再与其 OAuth 访问令牌对象名称匹配。对象名称现在是承载令牌的哈希值,不再敏感。这降低了泄露敏感信息的风险。
默认安全上下文约束
OpenShift Container Platform 4 中的restricted安全上下文约束 (SCC) 不再像 OpenShift Container Platform 3.11 中的restricted SCC 一样可以被任何已验证用户访问。现在,广泛的已验证访问权限授予restricted-v2 SCC,它比旧的restricted SCC 更严格。restricted SCC 仍然存在;想要使用它的用户必须被明确授予权限。
更多信息,请参见管理安全上下文约束。
监控注意事项
从 OpenShift Container Platform 3.11 迁移到 OpenShift Container Platform 4.17 时,请查看以下监控更改。您无法将 Hawkular 配置和指标迁移到 Prometheus。
监控基础设施可用性警报
在 OpenShift Container Platform 3.11 中,触发以确保监控结构可用性的默认警报称为DeadMansSwitch。在 OpenShift Container Platform 4 中,它被重命名为Watchdog。如果您在 OpenShift Container Platform 3.11 中为此警报设置了 PagerDuty 集成,则必须在 OpenShift Container Platform 4 中为Watchdog警报设置 PagerDuty 集成。
更多信息,请参见应用自定义 Alertmanager 配置。