Pojęcia dotyczące sieci dla usługi Azure Red Hat OpenShift

  • Artykuł

Ten przewodnik zawiera omówienie sieci usługi Azure Red Hat OpenShift w klastrach OpenShift 4 wraz z diagramem i listą ważnych punktów końcowych. Aby uzyskać więcej informacji na temat podstawowych pojęć związanych z siecią w usłudze OpenShift, zobacz dokumentację sieciową usługi Azure Red Hat OpenShift 4.

Diagram sieci usługi Azure Red Hat OpenShift.

Podczas wdrażania usługi Azure Red Hat OpenShift w usłudze OpenShift 4 cały klaster jest zawarty w sieci wirtualnej. W tej sieci wirtualnej węzły płaszczyzny sterowania i węzły procesu roboczego działają we własnej podsieci. Każda podsieć używa wewnętrznego modułu równoważenia obciążenia i publicznego modułu równoważenia obciążenia.

Uwaga

Aby uzyskać informacje na temat najnowszych zmian wprowadzonych w usłudze ARO, zapoznaj się z tematem Co nowego w usłudze Azure Red Hat OpenShift.

Składniki sieciowe

Poniższa lista obejmuje ważne składniki sieciowe w klastrze usługi Azure Red Hat OpenShift.

  • aro-pls

    • Ten Azure Private Link punkt końcowy jest używany przez inżynierów ds. niezawodności lokacji firmy Microsoft i Red Hat do zarządzania klastrem.

  • aro-internal

    • Ten punkt końcowy równoważy ruch do serwera interfejsu API i wewnętrznego ruchu usługi. Węzły płaszczyzny sterowania i węzły robocze znajdują się w puli zaplecza.
    • Ten moduł równoważenia obciążenia nie jest domyślnie tworzony. Jest on tworzony po utworzeniu usługi typu LoadBalancer z odpowiednimi adnotacjami. Na przykład: service.beta.kubernetes.io/azure-load-balancer-internal: "true".

  • Aro

    • Ten punkt końcowy jest używany dla dowolnego ruchu publicznego. Podczas tworzenia aplikacji i trasy ten punkt końcowy jest ścieżką dla ruchu przychodzącego.
    • Ten punkt końcowy również kieruje i równoważy ruch do serwera interfejsu API (jeśli interfejs API jest publiczny). Ten punkt końcowy przypisuje publiczny wychodzący adres IP, aby płaszczyzny sterowania mogły uzyskiwać dostęp do usługi Azure Resource Manager i zgłaszać z powrotem kondycję klastra.
    • Ten moduł równoważenia obciążenia obejmuje również łączność z Internetem z dowolnego zasobnika uruchomionego w węzłach procesu roboczego za pośrednictwem reguł ruchu wychodzącego Azure Load Balancer.
      • Obecnie reguły ruchu wychodzącego nie są konfigurowalne. Przydzielają 1024 porty TCP do każdego węzła.
      • Wartość DisableOutboundSnat nie jest skonfigurowana w regułach modułu równoważenia obciążenia, więc zasobniki mogą uzyskać jako adres IP ruchu wychodzącego dowolny publiczny adres IP skonfigurowany w tej usłudze ALB.
      • W wyniku dwóch poprzednich punktów jedynym sposobem dodawania efemerycznych portów SNAT jest dodanie publicznych usług typu LoadBalancer do usługi ARO.

  • aro-nsg

    • Po uwidocznieniu usługi interfejs API tworzy regułę w tej sieciowej grupie zabezpieczeń, aby ruch przepływał i docierał do płaszczyzny sterowania i węzłów przez port 6443.
    • Domyślnie ta sieciowa grupa zabezpieczeń zezwala na cały ruch wychodzący. Obecnie ruch wychodzący może być ograniczony tylko do płaszczyzny sterowania usługi Azure Red Hat OpenShift.

  • Azure Container Registry

    • Ten rejestr kontenerów jest dostarczany i używany wewnętrznie przez firmę Microsoft. Jest on przeznaczony tylko do odczytu i nie jest przeznaczony do użytku przez użytkowników usługi Azure Red Hat OpenShift.
      • Ten rejestr udostępnia obrazy platformy hosta i składniki klastra. Na przykład monitorowanie lub rejestrowanie kontenerów.
      • Połączenia z tym rejestrem są wykonywane za pośrednictwem punktu końcowego usługi (łączność wewnętrzna między usługami platformy Azure).
      • Domyślnie ten rejestr wewnętrzny nie jest dostępny poza klastrem.

  • Link prywatny

    • Private Link umożliwia łączność sieciową z płaszczyzny zarządzania do klastra. Jest to używane przez inżynierów ds. niezawodności lokacji firmy Microsoft i Oprogramowania Red Hat, aby ułatwić zarządzanie klastrem.

Zasady dotyczące sieci

  • Ruch przychodzący: zasady sieciowe ruchu przychodzącego są obsługiwane w ramach sieci SDN usługi OpenShift. Te zasady sieciowe są domyślnie włączone, a wymuszanie jest wykonywane przez użytkowników. Chociaż zasady sieci przychodzącej są zgodne z zasadami sieci V1, typy ruchu wychodzącego i ipblock nie są obsługiwane.

  • Ruch wychodzący: zasady sieciowe ruchu wychodzącego są obsługiwane przy użyciu funkcji zapory ruchu wychodzącego w usłudze OpenShift. Dla przestrzeni nazw/projektu istnieje tylko jedna zasada ruchu wychodzącego. Zasady ruchu wychodzącego nie są obsługiwane w domyślnej przestrzeni nazw i są oceniane w kolejności od początku do ostatniego.

Podstawowe informacje dotyczące sieci w usłudze OpenShift

Program OpenShift Software Defined Networking (SDN) służy do konfigurowania sieci nakładki przy użyciu technologii Open vSwitch (OVS), implementacji biblioteki OpenFlow opartej na specyfikacji interfejsu sieciowego kontenera (CNI). SDN obsługuje różne wtyczki. Zasady sieciowe to wtyczka używana w usłudze Azure Red Hat w systemie OpenShift 4. Cała komunikacja sieciowa jest zarządzana przez sieć SDN, więc w sieciach wirtualnych nie są potrzebne żadne dodatkowe trasy w celu osiągnięcia komunikacji zasobnika z zasobnikami.

Sieć dla usługi Azure Red Hat OpenShift

Następujące funkcje sieciowe są specyficzne dla usługi Azure Red Hat OpenShift:

  • Użytkownicy mogą utworzyć klaster usługi Azure Red Hat OpenShift w istniejącej sieci wirtualnej lub utworzyć nową sieć wirtualną podczas tworzenia klastra.
  • Można konfigurować karty CIDR sieci zasobników i usług.
  • Węzły i płaszczyzny sterowania znajdują się w różnych podsieciach.
  • Węzły i podsieci sieci wirtualnej płaszczyzny sterowania powinny być co najmniej /27.
  • Domyślna wartość CIDR zasobnika to 10.128.0.0/14.
  • Domyślna usługa CIDR to 172.30.0.0/16.
  • CiDR sieci zasobników i usług nie powinny nakładać się na inne zakresy adresów używane w sieci. Nie mogą znajdować się w zakresie adresów IP sieci wirtualnej klastra.
  • Wartości CIDR zasobnika powinny mieć rozmiar minimalny /18. (Sieć zasobnika to adresy IP bez routingu i jest używana tylko w sieci SDN openShift).
  • Każdy węzeł jest przydzielany /23 podsieci (512 adresów IP) dla swoich zasobników. Nie można zmienić tej wartości.
  • Nie można dołączyć zasobnika do wielu sieci.
  • Nie można skonfigurować statycznego adresu IP ruchu wychodzącego. (To ograniczenie jest funkcją OpenShift. Aby uzyskać informacje, zobacz konfigurowanie adresów IP ruchu wychodzącego).

Ustawienia sieciowe

Następujące ustawienia sieciowe są dostępne dla klastrów usługi Azure Red Hat OpenShift 4:

  • Widoczność interfejsu API — ustaw widoczność interfejsu API podczas uruchamiania polecenia az aro create.
    • "Publiczny" — serwer interfejsu API jest dostępny dla sieci zewnętrznych.
    • "Prywatny" — serwer interfejsu API przypisał prywatny adres IP z podsieci płaszczyzny sterowania, dostępny tylko przy użyciu połączonych sieci (równorzędnych sieci wirtualnych i innych podsieci w klastrze).
  • Widoczność ruchu przychodzącego — ustaw widoczność interfejsu API podczas uruchamiania polecenia az aro create.
    • Trasy "Publiczne" domyślnie są domyślnie usługa Load Balancer w warstwie Standardowa publiczne. (Można zmienić wartość domyślną).
    • Trasy "Prywatne" domyślnie są domyślnie kierowane do wewnętrznego modułu równoważenia obciążenia. (Można zmienić wartość domyślną).

Grupy zabezpieczeń sieci

Sieciowe grupy zabezpieczeń są tworzone w grupie zasobów węzła, która jest zablokowana dla użytkowników. Sieciowe grupy zabezpieczeń są przypisywane bezpośrednio do podsieci, a nie do kart sieciowych węzła. Sieciowe grupy zabezpieczeń są niezmienne. Użytkownicy nie mają uprawnień do ich zmiany.

Przy użyciu publicznie widocznego serwera interfejsu API nie można tworzyć sieciowych grup zabezpieczeń i przypisywać ich do kart sieciowych.

Przekazywanie domeny

Usługa Azure Red Hat OpenShift używa usługi CoreDNS. Przekazywanie domeny można skonfigurować. Nie można przenieść własnego systemu DNS do sieci wirtualnych. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą korzystania z przekazywania DNS.

Następne kroki

Aby uzyskać więcej informacji na temat ruchu wychodzącego i obsługi ruchu wychodzącego w usłudze Azure Red Hat OpenShift na potrzeby ruchu wychodzącego, zobacz dokumentację zasad pomocy technicznej .