多恩斯基的博客

我们可以在虚机或裸机上安装单节点 OpenShift，其中在 Far Edge 环境中运行更适合裸机部署单节点 OpenShift，而 Development 或 Testing 环境可以用虚机部署单节点 OpenShift。在虚机中安装好的单节点 OpenShift 同红帽的 OpenShift Local 环境非常相近，它们都是运行在虚机中，而且都是只有一个节点。OpenShift 辅助安装器既可用来安装单节点 OpenShift，也可用来安装标准的多节点 OpenShift 集群。

说明：本文已经在支持 OpenShift 4.12 的 OpenShift 环境中验证。

Ansible 的 Playbook 执行目标是 “清单” 中的主机和分组。在 AAP 控制台中可以手工创建 “主机” 并通过 “清单” 关联主机和分组，也可从外部环境中批量导入“主机” 和 “清单” 信息。标准 “清单” 中包含哪些主机是静态的，因此必须手动向 “清单” 中添加或删除 “主机”，执行 Playbook 的目标 “清单” 才会有变化。而 AAP 的 “智能清单” 相当于 “主机视图”，可以通过更改 “智能清单” 的过滤条件来动态变更它包含的 “主机”。

在上一篇《Ansible Automation Platform - 用 Ansible Navigator 开发测试 Playbook》 一文中，在 Playbook 中使用明文记录了 AAP Controller 的访问地址，以及用户名和密码。我们可以使用以下几种方法对 Playbook 中的敏感进行保护

在前一篇 《[Ansible Automation Platform - 功能构成](https://blog.csdn.net/weixin_43902588/article/details/127829720)》一文中介绍了 Ansible Automation Controller (自动化控制台) 就是以前的 Ansible Tower，它提供了集中的自动化运维管理和运行平台。

一文了解什么是 Ansible Navigator

在 OpenShift 4 中使用 Elasticsearch 作为日志存储组件，使用 Kibana 作为日志展示组件，使用 Fluentd 作为日志的收集组件。OpenShift 4 缺省安装后是没有集群日志环境的。我们可以通过以下步骤在 OpenShift 上安装配置基于 EFK 的集群日志运行环境。......

《OpenShift / RHEL / DevSecOps 汇总目录》

《OpenShift / RHEL / DevSecOps 汇总目录》文本已在OpenShift 4.10环境中进行验证。文章目录场景说明场景验证部署测试应用关闭一个 Machine安装配置 Kube Deschedule Operator安装配置 Kube Deschedule Operator场景说明当新的 Worker 节点加入 OpenShift 集群后，通常只有在原有集群的 Worker 节点的资源比较吃紧的时候， 分布在原有集群的 Worker 节点的 Pod 才会被强制重新调度新节点上

《OpenShift / RHEL / DevSecOps 汇总目录》文本已在OpenShift 4.10环境中进行验证。演示视频文章目录场景说明扩展集群节点验证场景说明通过 IPI 方式安装的OpenShift 集群可以使用 MachineSet 快速扩展集群规模。从新 Worker 节点创建，到安装 RHCOS 操作系统，再到安装 OpenShift 运行环境，最后加入到集群只需要短短几分钟时间。扩展集群节点验证进入 OpenShift 控制台的 “机器集” 菜单，在 “机器集” 列表

《OpenShift / RHEL / DevSecOps 汇总目录》部署测试应用oc new-project hellooc new-app openshift/hello-openshiftoc expose svc/hello-openshiftHELLO_ROUTE=$(oc get route hello-openshift -ojsonpath={.spec.host})while (sleep 2); do t=$(date "+%H:%M:%S -"); print

《OpenShift / RHEL / DevSecOps 汇总目录》文本已在OpenShift 4.10环境中进行验证。文章目录场景说明配置 Machine 健康检查验证自动修复故障节点启动观察模拟Worker节点故障观察节点修复过程参考场景说明就像 Deployment 可以自动恢复故障 Pod，通过 IPI 方式安装的 OpenShift 可以使用 MachineSet 自动恢复故障 Machine/节点。需要注意的是，这种方式只能针对通过 IPI 安装的 OpenShift 集群。配置

《OpenShift / RHEL / DevSecOps 汇总目录》文本已在OpenShift 4.10环境中进行验证。文章目录场景说明配置节点自动扩展验证自动扩展节点启动观察部署测试应用观察节点扩展参考场景说明当 Pod 消耗的 CPU/内存较高时，我们可以使用 Kubernetes 提供的 Horizontal Pod Autoscaler 功能对 Deployment 中的 Pod 副本数进行自动化扩展。不过如果可供 Kubernetes 集群使用的 CPU/内存 已经没有富裕的时候，就无法

《OpenShift / RHEL / DevSecOps 汇总目录》文本已在OpenShift 4.10环境中进行验证。文章目录备份恢复说明准备 OpenShift 应用配置备份 Etcd 数据库修改 OpenShift 应用配置恢复 Etce 数据库确认 Etcd 数据库已经恢复参考备份恢复说明备份恢复 OpenShift 集群 Master 节点的 Etcd 数据库，需要用 kubeconfig 文件免密 SSH 登录 OpenShift 集群节点。如果该文件以找不到了，可以通过以下方式重新获

当 OpenShift 集群中的节点出现无法访问的故障，集群会发生什么？

RHACM（Advanced Cluster Management for Kubernetes）是 RedHat 面向 OpenShift 的多云管理产品，可以用来对分布在多云环境中 自建或托管 OpenShift 集群以及经认证的 Kubernetes 集群进行生命周期管理、发布和升级应用、统一安全策略管理、运行集中监控。在 RHACM 的多云管理运行环境中包含以下两种角色：1）Hub 是多云管理的控制平面，它可以运行在任一个 OpenShift 集群上。

《OpenShift / RHEL / DevSecOps 汇总目录》说明：本文已经在OpenShift 4.8环境中验证文章目录Kubernetes 的 Namespace 与 OpenShift 的 Project 区别个性化 Project 对象，提升 Namespace 使用安全参考Kubernetes 的 Namespace 与 OpenShift 的 Project 区别在功能上 OpenShift 和 Kubernetes 完全兼容，但在很多地方 OpenShift 都进行了功能增强，

《OpenShift / RHEL / DevSecOps 汇总目录》说明：本文已经在OpenShift 4.8环境中验证文章目录OpenShift API的审计日志审计日志内容审计日志命令和操作OpenShift 集群日志分类查看主机日志查看 OpenShift API 服务日志查看 Kubernetes API 服务日志查看 OAuth API 服务日志审计日志策略使用缺省的审计日志 Profile个性化审计日志参考OpenShift API的审计日志OpenShift 审计日志提供一组安全相关

目录挂载 iso配置 yum repo

Kubernetes 的 emptyDir、hostPath、local 类型 PV 使用的都是 Node 节点的存储，但是功能和使用场景不同。

文章目录部署测试应用部署 parkmap 应用部署 MSSQL 应用安装环境安装OADP安装 velero 客户端安装 MinIO安装 MinIO 客户端安装 MinIO 服务端容器实现应用备份和恢复部署测试应用部署 parkmap 应用oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/oadp-operator/master/tests/e2e/sample-applications/parks-app/manifest4.8.y

OpenShift Container Platform 的框架中有多个组件，它们使用基于 REST 的 HTTPS 通信，通过 TLS 证书利用加密功能。OpenShift Container Platform 的安装程序会在安装过程中配置这些证书。master（API 服务器和控制器）etcd节点registry路由器......

CRI-O 容器引擎为运行开放容器倡议 (OCI) 兼容的运行时提供了一个稳定、更安全、更高性能的平台。OpenShift 4集群不再使用Docker作为容器运行环境，而是用了CRI-O的容器环境，这样CRI-O就取代了Docker服务成为实现OpenShift容器平台的容器运行时接口（CRI）的容器引擎。通过使用CRI-O容器引擎，可以访问符合OCI的运行时（如默认的OCI运行时runc或Kata Containers）来启动容器和Pod。OpenShift节点提供了crictl工具来访问CRI-O相关服

创建项目。$ oc new-project finalizer-example创建内容如下的test-secret.yaml文件，其中定义了一个Secret类型的对象。apiVersion: v1kind: Secretmetadata: name: test-secret finalizers: - kubernetes.io/finalizer-examplestringData: sensitiveKey: sensitiveValue创建Secret对.

文章目录安装Mirror Registry运行环境复制Image到Mirror Registry准备登陆认证文件生成远程Registry(quay.io)认证文件生成Mirror Registry的认证文件生成all-secret.json文件复制Image到Mirror Registry直接复制Image间接复制Image参考说明：本节我们以将安装OpenShift所需要的基础Image从quay.io镜像复制到运行在本地的Mirror Image Registry中。本地的Mirror Imag

OpenShift 4把它能访问到的外部Registry的配置信息是保存在“image.config.openshift.io/cluster”对象中。当OpenShift的Machine Config Operator（MCO）发现image.config.openshift.io配置变化后，会将最新配置对送到所有Node并写入 /etc/containers/registries.conf 文件，然后重启对应的服务使其生效。通常OpenShift是有一个名为cluster的image.config.

说明：本文已经在OpenShift 4.14环境中验证。

在OpenShift Image Registry

文章目录安装Elastic Search Operator安装Cluster Logging Operator查看KibanaOpenShift 4 缺省安装完是没有提供基于ElasticSesrch-Fluentd-Kibana（EFK）的集群日志环境。我们可以通过以下步骤在OpenShift上配置出基于EFK的集群日志运行环境。安装Elastic Search Operator以下步骤采...

文章目录配置Prometheus环境部署被监控应用创建收集指标的角色，并为用户赋予该角色设置应用监控指标设置告警规则赋予任意指定用户查看监控指标查看Prometheus监控到的应用定制指标OpenShift 4.3 之前，其内置Prometheus只能监控OpenShift集群内部对象。OpenShift 4.3 提供了一个新功能，就是可以扩展内置的Prometheus，使之前监控应用的监控指标...

Kubernetes Federation 能干什么 ？Federated cluster (Hybrid cloud)Multiple clusters connected via the OpenShift Federation Control Plane which provides application portability and management.Host Cluster...

第一招：强制删除名为POD_NAME的Pod。$ oc delete pod POD_NAME --grace-period=0 --force第二招：对于有依赖删除关系的Pod，由于其依赖的Pod没有删除，因此这个Pod会一直在Terminating中。这种情况可以先解除Pod依赖关系，然后再尝试删除。# 编辑Pod的yaml$ oc edit pod POD_NAME先将...

文章目录自动扩展和收缩功能说明配置自动扩展收缩配置扩展收缩上下限自动扩展和收缩功能说明在自动扩展和收缩过程中，Revision 有三种状态：Active：当他们活跃地服务请求时。在Active状态下，每个Revision都有一个Deployment，用以维护所需数量的Pod。 它还有一个Autoscaler（单租户时每个Revision一个;多租户时所有Revision用一个），Autos...

《OpenShift 4之增加 HTPasswd方式的身份认证》《OpenShift 4 之增加管理员用户》《OpenShift 4之设置用户/组对项目的访问权限》

文章目录OpenShift集群的规模限制一个租户使用的资源和对象的总数量限制一个项目使用的资源和对象的数量限制一个Pod和Container使用资源的数量OpenShift集群的规模单一的OpenShift集群可以运行数量非常可观的资源和对象。下表列出了从OpenShift 3.11到OpenShift 4.3各个版本支持的对象和资源的最高配置上限（可以看出基本没有变化）。根据Red Hat的...

文章目录构建（Build）镜像的相关概念BuildConfigBuildBuilder ImageBuild Trigger和Build Chain触发Build，创建或更新镜像基于Webhook的Build Trigger利用Build Trigger自动更新Image构建（Build）镜像的相关概念运行在OpenShift上应用最终必须是以容器的形式运行。在传统方式中，应用容器镜像必须由用...

文章目录什么是ImageStream从Image生成ImageStreamImageStream的操作生成ImageStream过程的选项常见问题什么是ImageStreamImage Stream是OpenShift中的一种对象，它并不是用来存储Image的，而是用来记录并管理Image信息的。它就像是所有Image的虚拟视图，可以通过它访问存放在不同Image Registry（OpenS...

文章目录应用上线部署策略蓝绿部署金丝雀发布和A/B测试部署回滚应用上线部署策略本节介绍应用部署上线和切换应用访问的常用策略。虽然可以根据需要灵活使用以下策略，但由于本节使用了同一组验证的应用，因此请按顺序进行下面3个Lab操作。蓝绿部署蓝绿部署是最常见的一种不间断的应用升级部署的方式，蓝绿部署的目的是安全稳定地发布新版本应用，并在必要时回滚。蓝绿部署的特点是在一个时间点请求会100%地发给...

文章目录应用是如何部署到OpenShift上的部署应用Lab部署应用镜像部署应用代码部署应用包应用是如何部署到OpenShift上的OpenShift是企业级容器平台，在OpenShift的应用必须是容器（Container）形态运行的。我们知道所有运行的容器都是来自镜像（Image），从OpenShift的角度看镜像分为两类：即基础镜像（Base Image，也叫Builder Image。...

$ kn service update dumpy-serverless --concurrency-target=5Updating Service 'dumpy-serverless' in namespace 'kn-demo': 11.453s Traffic is not yet migrated to the latest revision. 11.491s Ingress h...