مشاركة عبر

مفاهيم الشبكة ل Azure Red Hat OpenShift

  • مقالة

يغطي هذا الدليل نظرة عامة على شبكة Azure Red Hat OpenShift على مجموعات OpenShift 4، جنبا إلى جنب مع رسم تخطيطي وقائمة بنقاط النهاية المهمة. لمزيد من المعلومات حول المفاهيم الأساسية لشبكة OpenShiftـ راجع وثائق شبكات Azure Red Hat OpenShift 4.

رسم تخطيطي لشبكة Azure Red Hat OpenShift.

عند نشر Azure Red Hat OpenShift على OpenShift 4، يتم تضمين مجموعتك بأكملها داخل شبكة ظاهرية. داخل هذه الشبكة الظاهرية، تعيش كل من عقد وحدة التحكم والعقد العاملة في الشبكة الفرعية الخاصة بها. تستخدم كل شبكة فرعية موازن تحميل داخلي وموازن تحميل عمومي.

إشعار

للحصول على معلومات حول أحدث التغييرات التي تم إدخالها على ARO، راجع ما الجديد مع Azure Red Hat OpenShift.

مكونات شبكة الاتصال

تغطي القائمة التالية مكونات شبكة الاتصال الهامة في كتلة Azure Red Hat OpenShift .

  • aro-pls

    • يتم استخدام نقطة نهاية Azure Private Link هذه من قبل مهندسي موثوقية موقع Microsoft وRed Hat لإدارة نظام المجموعة.

  • aro-internal

    • توازن نقطة النهاية هذه نسبة استخدام الشبكة إلى خادم API وحركة مرور الخدمة الداخلية. توجد عقد وحدة التحكم والعقد العاملة في تجمع الواجهة الخلفية.
    • لا يتم إنشاء موازن التحميل هذا بشكل افتراضي. يتم إنشاؤه بمجرد إنشاء خدمة من نوع LoadBalancer مع التعليقات التوضيحية الصحيحة. على سبيل المثال: service.beta.kubernetes.io/azure-load-balancer-internal: "صحيح".

  • ارو

    • تستخدم نقطة النهاية هذه لأي حركة مرور عامة. عند إنشاء تطبيق ومسار، تكون نقطة النهاية هذه هي مسار حركة مرور الدخول.
    • تقوم نقطة النهاية هذه أيضا بتوجيه وموازنة نسبة استخدام الشبكة إلى خادم API (إذا كانت واجهة برمجة التطبيقات عامة). تعين نقطة النهاية هذه عنوان IP صادر عام حتى تتمكن مستويات التحكم من الوصول إلى Azure Resource Manager وتقديم تقرير عن صحة نظام المجموعة.
    • يغطي موازن التحميل هذا أيضا اتصال إنترنت الخروج من أي جراب يعمل في العقد العاملة من خلال قواعد Azure Load Balancer الصادرة.
      • القواعد الصادرة حالياً غير قابلة للتكوين. وهي تخصص 1،024 منفذ TCP إلى كل عقدة.
      • لم يتم تكوين DisableOutboundSnat في قواعد LB، لذلك يمكن أن تحصل pods ك IP خروج أي IP عام تم تكوينه في ALB هذا.
      • نتيجة للنقطتين السابقتين، فإن الطريقة الوحيدة لإضافة منافذ SNAT سريعة الزوال هي عن طريق إضافة خدمات عامة من نوع LoadBalancer إلى ARO.

  • aro-nsg

    • عند عرض خدمة، تنشئ واجهة برمجة التطبيقات قاعدة في مجموعة أمان الشبكة هذه بحيث تتدفق نسبة استخدام الشبكة عبر وحدة التحكم والعقد وتصل إلى المنفذ 6443.
    • وتسمح مجموعة أمان الشبكة هذه بجميع حركة المرور الصادرة بشكل افتراضي. حاليا، يمكن تقييد حركة المرور الصادرة فقط إلى عناصر التحكم في Azure Red Hat OpenShift.

  • Azure Container Registry

    • يتم توفير سجل الحاوية هذا واستخدامه من قبل Microsoft داخليا. إنه للقراءة فقط وليس مخصصا للاستخدام من قبل مستخدمي Azure Red Hat OpenShift.
      • يوفر هذا التسجيل صور النظام الأساسي المضيف ومكونات الكتلة. مثل مراقبة أو تسجيل الحاويات.
      • تحدث الاتصالات إلى هذا التسجيل عبر نقطة نهاية الخدمة (الاتصال الداخلي بين خدمات Azure).
      • بشكل افتراضي، لا يتوفر هذا السجل الداخلي خارج نظام المجموعة.

  • ارتباط خاص

    • يسمح الارتباط الخاص باتصال الشبكة من مستوى الإدارة إلى نظام مجموعة. يستخدم مهندسو موثوقية موقع Microsoft وRed Hat هذا للمساعدة في إدارة نظام المجموعة.

سياسات الشبكات

  • الدخول: تُدعم سياسة شبكات الدخول كجزء من OpenShift SDN. تمكن سياسة الشبكة هذه بشكل افتراضي، وتنفذ عملية الإنفاذ من قبل المستخدمين. بينما يكون نهج شبكة الدخول متوافقا مع V1 NetworkPolicy، فإن أنواع Egress وIPBlock غير مدعومة.

  • الخروج: تُدعم سياسات شبكة الخروج باستخدام ميزة جدار حماية الخروج في OpenShift. هناك نهج خروج واحد فقط لكل مساحة اسم/مشروع. نهج الخروج غير مدعومة على مساحة الاسم "الافتراضية" ويتم تقييمها بالترتيب (من الأول إلى الأخير).

أساسيات الشبكات في OpenShift

يستخدم برنامج OpenShift للشبكات المحددة (SDN) لتكوين شبكة تراكب باستخدام Open vSwitch (OVS)، وتطبيق OpenFlow القائم على مواصفات واجهة شبكة الحاويات (CNI). يدعم SDN المكونات الإضافية المختلفة. نهج الشبكة هو المكون الإضافي المستخدم في Azure Red Hat على OpenShift 4. تُدار جميع اتصالات الشبكة بواسطة شبكة SDN، لذلك ليس هناك حاجة إلى مسارات إضافية على شبكاتك الظاهرية لتحقيق اتصال pod to pod.

الشبكات لـ Azure الأحمر قبعة OpenShift

تختص ميزات شبكة الاتصال التالية بـ Azure Red Hat OpenShift:

  • يمكن للمستخدمين إنشاء مجموعة Azure Red Hat OpenShift الخاصة بهم في شبكة ظاهرية موجودة أو إنشاء شبكة ظاهرية جديدة عند إنشاء نظام المجموعة الخاصة بهم.
  • Pod وCIDR شبكة الخدمات قابلة للتكوين.
  • العقد ووحدات التحكم موجودة في شبكات فرعية مختلفة.
  • يجب أن تكون العقد والشبكات الفرعية للشبكة الظاهرية لمستوى التحكم /27 كحد أدنى.
  • Pod CIDR الافتراضي هو 10.128.0.0/14.
  • إن SERVICE CIDR الافتراضي هو 172.30.0.0/16.
  • يجب ألا تتداخل CIDRs لشبكة الجراب والخدمة مع نطاقات العناوين الأخرى المستخدمة على شبكتك. يجب ألا تكون ضمن نطاق عنوان IP للشبكة الظاهرية من نظام المجموعة.
  • يجب أن يكون حجم CIDRs ل Pod /18 كحد أدنى. (شبكة pod هي IPs غير قابل للتوجيه وتستخدم فقط داخل OpenShift SDN.)
  • تخصص /23 شبكة فرعية (512 IPs) لكل عقدة في pods. لا يمكن تغيير هذه القيمة.
  • لا يمكنك إرفاق جراب بشبكات متعددة.
  • بالنسبة لمجموعات ARO الخاصة باستخدام المكون الإضافي لشبكة OVN-Kubernetes، من الممكن تكوين عناوين IP للخروج. للحصول على معلومات، راجع تكوين عنوان IP للخروج.

إعدادات الشبكة

تتوفر إعدادات الشبكة التالية لمجموعات Azure Red Hat OpenShift 4:

  • رؤية API - تعيين رؤية API عند تشغيل أمر إنشاء az aro.
    • "عام" - يمكن الوصول إلى خادم API بواسطة الشبكات الخارجية.
    • "خاص" - عين خادم واجهة برمجة التطبيقات عنوان IP خاصا من الشبكة الفرعية لمستوى التحكم، ويمكن الوصول إليه فقط باستخدام الشبكات المتصلة (الشبكات الظاهرية النظيرة والشبكات الفرعية الأخرى في نظام المجموعة).
  • رؤية API - تعيين رؤية API عند تشغيل أمر إنشاء az aro.
    • توجيه "عام" افتراضيا إلى موازن تحميل قياسي عام. (يمكن تغيير الإعداد الافتراضي.)
    • توجيه "خاص" افتراضيا إلى موازن تحميل داخلي. (يمكن تغيير الإعداد الافتراضي.)

مجموعات أمان الشبكة

تنشأ مجموعات أمان الشبكة في مجموعة موارد العقدة، التي تؤمن للمستخدمين. تُعين مجموعات أمان الشبكة مباشرة إلى الشبكات الفرعية، وليس على عقدة NICs. مجموعات أمان الشبكة غير قابلة للتغيير. لا يملك المستخدمون الأذونات لتغييرها.

باستخدام خادم API مرئي بشكل عام، لا يمكنك إنشاء مجموعات أمان الشبكة وتعيينها إلى NICs.

إعادة توجيه المجال

Azure Red Hat OpenShift يستخدم CoreDNS. يمكن تكوين إعادة توجيه المجال. لا يمكنك إحضار DNS الخاص بك إلى شبكاتك الظاهرية. لمزيد من المعلومات، راجع الوثائق المتعلقة باستخدام إعادة توجيه DNS.

الخطوات التالية

لمزيد من المعلومات حول حركة المرور الصادرة وما يدعم Azure Red Hat OpenShift للخروج، راجع "وثائق سياسات الدعم".