Az Azure Red Hat OpenShift hálózati fogalmai

  • Cikk

Ez az útmutató az OpenShift 4-fürtökön futó Azure Red Hat OpenShift-hálózatkezelés áttekintését ismerteti, valamint egy diagramot és egy fontos végpontok listáját. Az OpenShift alapvető hálózatkezelési fogalmaival kapcsolatos további információkért tekintse meg az Azure Red Hat OpenShift 4 hálózatkezelési dokumentációját.

Az Azure Red Hat OpenShift hálózatkezelésének diagramja.

Amikor az Azure Red Hat OpenShiftet az OpenShift 4-en helyezi üzembe, a teljes fürt egy virtuális hálózaton belül található. Ezen a virtuális hálózaton belül a vezérlősík csomópontjai és a feldolgozó csomópontok mindegyike a saját alhálózatában él. Minden alhálózat egy belső terheléselosztót és egy nyilvános terheléselosztót használ.

Megjegyzés

Az ARO legújabb változásairól az Azure Red Hat OpenShift újdonságai című témakörben olvashat.

Hálózati összetevők

Az alábbi lista egy Azure Red Hat OpenShift-fürt fontos hálózati összetevőit ismerteti.

  • aro-pls

    • Ezt a Azure Private Link végpontot a Microsoft és a Red Hat webhely megbízhatósági mérnökei használják a fürt kezeléséhez.

  • aro-internal

    • Ez a végpont kiegyensúlyja az API-kiszolgáló és a belső szolgáltatás forgalmának forgalmát. A vezérlősík csomópontjai és a munkavégző csomópontok a háttérkészletben találhatók.
    • Ez a terheléselosztó alapértelmezés szerint nem jön létre. Miután létrehozott egy LoadBalancer típusú szolgáltatást a megfelelő széljegyzetekkel. Például: service.beta.kubernetes.io/azure-load-balancer-internal: "true".

  • Aro

    • Ez a végpont minden nyilvános forgalomhoz használható. Alkalmazás és útvonal létrehozásakor ez a végpont a bejövő forgalom útvonala.
    • Ez a végpont az API-kiszolgáló felé is irányítja és kiegyensúlyja a forgalmat (ha az API nyilvános). Ez a végpont egy nyilvános kimenő IP-címet rendel hozzá, így a vezérlősíkok hozzáférhetnek az Azure Resource Manager és jelentést készíthetnek a fürt állapotáról.
    • Ez a terheléselosztó a munkavégző csomópontokon futó podok kimenő internetkapcsolatát is Azure Load Balancer kimenő szabályokon keresztül biztosítja.
      • A kimenő szabályok jelenleg nem konfigurálhatók. Minden csomóponthoz 1024 TCP-portot foglalnak le.
      • A DisableOutboundSnat nincs konfigurálva a terheléselosztási szabályokban, így a podok kimenő IP-címként kaphatják meg az ebben az ALB-ben konfigurált nyilvános IP-címet.
      • Az előző két pont eredményeképpen a rövid élettartamú SNAT-portok hozzáadásának egyetlen módja az, ha nyilvános LoadBalancer-típusú szolgáltatásokat ad hozzá az ARO-hoz.

  • aro-nsg

    • Amikor elérhetővé tesz egy szolgáltatást, az API létrehoz egy szabályt ebben a hálózati biztonsági csoportban, így a forgalom áthalad a vezérlősíkon és a csomópontokon a 6443-os porton keresztül.
    • Alapértelmezés szerint ez a hálózati biztonsági csoport minden kimenő forgalmat engedélyez. A kimenő forgalom jelenleg csak az Azure Red Hat OpenShift vezérlősíkra korlátozható.

  • Azure Container Registry

    • Ezt a tárolóregisztrációs adatbázist a Microsoft belsőleg biztosítja és használja. Írásvédett, és nem az Azure Red Hat OpenShift felhasználóinak szánták.
      • Ez a beállításjegyzék gazdagépplatform-rendszerképeket és fürtösszetevőket biztosít. Például a tárolók figyelése vagy naplózása.
      • A beállításjegyzékhez való csatlakozás a szolgáltatásvégponton keresztül történik (belső kapcsolat az Azure-szolgáltatások között).
      • Ez a belső beállításjegyzék alapértelmezés szerint nem érhető el a fürtön kívül.

  • Privát kapcsolat

    • A Private Link lehetővé teszik a felügyeleti sík és a fürt közötti hálózati kapcsolatot. Ezt a Microsoft és a Red Hat webhely megbízhatósági mérnökei használják a fürt kezeléséhez.

Hálózati szabályzatok

  • Bejövő forgalom: A bejövő hálózati szabályzat az OpenShift SDN részeként támogatott. Ez a hálózati házirend alapértelmezés szerint engedélyezve van, és a végrehajtást a felhasználók hajtják végre. Bár a bejövő hálózati szabályzat V1 NetworkPolicy-kompatibilis, a kimenő forgalom és az IPBlock típusok nem támogatottak.

  • Kimenő forgalom: A kimenő hálózati szabályzatok az OpenShift kimenő tűzfal funkciójával támogatottak. Névtérenként/projektenként csak egy kimenő házirend van. A kimenő forgalom szabályzatai nem támogatottak az "alapértelmezett" névtérben, és a rendszer sorrendben (első és utolsó) értékeli ki a rendszer.

Az OpenShift hálózatkezelési alapjai

Az OpenShift szoftveralapú hálózatkezelés (SDN) egy átfedési hálózat konfigurálására szolgál az Open vSwitch (OVS) használatával, amely egy OpenFlow-implementáció, amely a tárolóhálózati adapter (CNI) specifikációján alapul. Az SDN különböző beépülő modulokat támogat. A Network Policy az OpenShift 4-en az Azure Red Hatban használt beépülő modul. Minden hálózati kommunikációt az SDN kezel, így a podok közötti kommunikációhoz nincs szükség további útvonalakra a virtuális hálózatokon.

Hálózatkezelés az Azure Red Hat OpenShifthez

A következő hálózati funkciók az Azure Red Hat OpenShiftre vonatkoznak:

  • A felhasználók létrehozhatják az Azure Red Hat OpenShift-fürtöt egy meglévő virtuális hálózaton, vagy létrehozhatnak egy új virtuális hálózatot a fürt létrehozásakor.
  • A pod- és szolgáltatáshálózati CIDR-ek konfigurálhatók.
  • A csomópontok és a vezérlősíkok különböző alhálózatokban találhatók.
  • A csomópontoknak és a vezérlősík virtuális hálózati alhálózatainak legalább /27-nek kell lenniük.
  • Az alapértelmezett pod CIDR értéke 10.128.0.0/14.
  • Az alapértelmezett CIDR szolgáltatás a 172.30.0.0/16.
  • A pod- és szolgáltatáshálózati CIDR-ek nem lehetnek átfedésben a hálózaton használt más címtartományokkal. Nem lehetnek a fürt virtuális hálózati IP-címtartományában.
  • A pod CIDR-eknek legalább /18 méretűnek kell lenniük. (A podhálózat nem irányítható IP-címek, és csak az OpenShift SDN-ben használható.)
  • Minden csomópont /23 alhálózatot (512 IP-t) foglal le a podjaihoz. Ez az érték nem módosítható.
  • Nem csatolhat podot több hálózathoz.
  • A kimenő statikus IP-cím nem konfigurálható. (Ez a korlátozás egy OpenShift-funkció. További információ: Kimenő IP-címek konfigurálása).

Hálózati beállítások

Az Alábbi hálózati beállítások érhetők el az Azure Red Hat OpenShift 4-fürtökhöz:

  • API-láthatóság – Az API láthatóságának beállítása az az aro create parancs futtatásakor.
    • "Nyilvános" – Az API-kiszolgálót külső hálózatok érhetik el.
    • "Privát" – Az API-kiszolgáló privát IP-címet rendelt a vezérlősík alhálózatához, amely csak csatlakoztatott hálózatokkal érhető el (társviszonyban lévő virtuális hálózatok és a fürt más alhálózatai).
  • Bejövő forgalom láthatósága – Az API láthatóságának beállítása az az aro create parancs futtatásakor.
    • A "Nyilvános" útvonalak alapértelmezés szerint nyilvános standard Load Balancer. (Az alapértelmezett beállítás módosítható.)
    • A "Privát" útvonalak alapértelmezés szerint egy belső terheléselosztóhoz vezetnek. (Az alapértelmezett beállítás módosítható.)

Network security groups (Hálózati biztonsági csoportok)

A hálózati biztonsági csoportok a csomópont erőforráscsoportjában jönnek létre, amely a felhasználók számára zárolva van. A hálózati biztonsági csoportok közvetlenül az alhálózatokhoz vannak hozzárendelve, nem a csomópont hálózati adapterein. A hálózati biztonsági csoportok nem módosíthatók. A felhasználók nem rendelkeznek a módosításukhoz szükséges engedélyekkel.

Nyilvánosan látható API-kiszolgálóval nem hozhat létre hálózati biztonsági csoportokat, és nem rendelheti őket a hálózati adapterekhez.

Tartománytovábbítás

Az Azure Red Hat OpenShift CoreDNS-t használ. A tartománytovábbítás konfigurálható. A saját DNS-ét nem viheti át a virtuális hálózatokra. További információt a DNS-továbbítás használatáról szóló dokumentációban talál.

Következő lépések

A kimenő forgalomról és arról, hogy az Azure Red Hat OpenShift mit támogat a kimenő forgalomhoz, tekintse meg a támogatási szabályzatok dokumentációját.