Síťové koncepty pro Azure Red Hat OpenShift

Tato příručka popisuje přehled sítí Azure Red Hat OpenShift v clusterech OpenShift 4 spolu s diagramem a seznamem důležitých koncových bodů. Další informace o základních konceptech sítí OpenShift najdete v dokumentaci k sítím Azure Red Hat OpenShift 4.

Diagram sítí Azure Red Hat OpenShift

Když nasadíte Azure Red Hat OpenShift na OpenShift 4, bude celý cluster součástí virtuální sítě. V rámci této virtuální sítě jsou uzly řídicí roviny a pracovní uzly aktivní ve své vlastní podsíti. Každá podsíť používá interní nástroj pro vyrovnávání zatížení a veřejný nástroj pro vyrovnávání zatížení.

Poznámka

Informace o nejnovějších změnách zavedených v ARO najdete v tématu Co je nového ve službě Azure Red Hat OpenShift.

Síťové komponenty

Následující seznam popisuje důležité síťové komponenty v clusteru Azure Red Hat OpenShift.

  • aro-pls

    • Tento koncový bod Azure Private Link používají technici spolehlivosti webů Microsoftu a Red Hatu ke správě clusteru.
  • aro-internal

    • Tento koncový bod vyrovnává provoz na server rozhraní API a provoz interní služby. Uzly řídicí roviny a pracovní uzly jsou v back-endovém fondu.
    • Tento nástroj pro vyrovnávání zatížení se ve výchozím nastavení nevytvořil. Vytvoří se po vytvoření služby typu LoadBalancer se správnými poznámkami. Příklad: service.beta.kubernetes.io/azure-load-balancer-internal: "true".
  • Aro

    • Tento koncový bod se používá pro jakýkoli veřejný provoz. Když vytvoříte aplikaci a trasu, je tento koncový bod cestou pro příchozí přenos dat.
    • Tento koncový bod také směruje a vyrovnává provoz na server rozhraní API (pokud je rozhraní API veřejné). Tento koncový bod přiřadí veřejnou odchozí IP adresu, aby řídicí roviny mohly přistupovat k Azure Resource Manager a hlásit stav clusteru.
    • Tento nástroj pro vyrovnávání zatížení také pokrývá odchozí připojení k internetu z jakéhokoli podu spuštěného v pracovních uzlech přes Azure Load Balancer odchozích pravidel.
      • Pravidla odchozích přenosů se v současné době nedají konfigurovat. Každému uzlu přidělují 1 024 portů TCP.
      • DisableOutboundSnat není nakonfigurovaná v pravidlech nástroje pro vyrovnávání zatížení, takže pody můžou jako výchozí IP adresu získat jakoukoli veřejnou IP adresu nakonfigurovanou v tomto albu.
      • V důsledku dvou předchozích bodů je jediným způsobem přidání dočasných portů SNAT přidání veřejných služeb typu LoadBalancer do ARO.
  • aro-nsg

    • Když zveřejníte službu, rozhraní API vytvoří pravidlo v této skupině zabezpečení sítě, aby provoz protéká a dosáhl řídicí roviny a uzlů přes port 6443.
    • Ve výchozím nastavení tato skupina zabezpečení sítě umožňuje veškerý odchozí provoz. V současné době je možné odchozí provoz omezit pouze na řídicí rovinu Azure Red Hat OpenShift.
  • Azure Container Registry

    • Tento registr kontejneru poskytuje a používá interně Microsoft. Je jen pro čtení a není určen pro použití uživateli Azure Red Hat OpenShift.
      • Tento registr poskytuje image hostitelské platformy a komponenty clusteru. Například monitorování nebo protokolování kontejnerů.
      • Připojení k tomuto registru probíhají přes koncový bod služby (interní připojení mezi službami Azure).
      • Ve výchozím nastavení není tento interní registr dostupný mimo cluster.
  • Privátní propojení

    • Private Link umožňuje síťové připojení z roviny správy do clusteru. Tuto možnost používají technici společnosti Microsoft a Red Hat pro spolehlivost webů ke správě clusteru.

Zásady sítí

  • Příchozí přenos dat: Jako součást SDN openshiftu se podporují zásady sítě příchozího přenosu dat. Tato zásada sítě je ve výchozím nastavení povolená a vynucení provádí uživatelé. I když zásady sítě příchozího přenosu dat odpovídají zásadám sítě V1, typy odchozích přenosů a blokování ip adres se nepodporují.

  • Výchozí přenos dat: Zásady výchozí sítě se podporují pomocí funkce brány firewall pro výchozí přenos dat v OpenShiftu. Pro každý obor názvů nebo projekt existuje pouze jedna zásada výchozího přenosu dat. Výchozí zásady se nepodporují v "výchozím" oboru názvů a vyhodnocují se v pořadí (od prvního do posledního).

Základy sítí v OpenShiftu

OpenShift Softwarově definované sítě (SDN) se používá ke konfiguraci překryvné sítě pomocí Open vSwitch (OVS), implementace OpenFlow založené na specifikaci CNI (Container Network Interface). SDN podporuje různé moduly plug-in. Network Policy je modul plug-in používaný v Azure Red Hatu v OpenShiftu 4. Veškerou síťovou komunikaci spravuje SDN, takže ve virtuálních sítích nejsou potřeba žádné další trasy, aby bylo možné dosáhnout komunikace mezi pody.

Sítě pro Azure Red Hat OpenShift

Následující síťové funkce jsou specifické pro Azure Red Hat OpenShift:

  • Uživatelé můžou vytvořit cluster Azure Red Hat OpenShift v existující virtuální síti nebo vytvořit novou virtuální síť při vytváření clusteru.
  • CIDR podů a sítí služeb je možné konfigurovat.
  • Uzly a řídicí roviny jsou v různých podsítích.
  • Uzly a podsítě virtuální sítě řídicí roviny by měly být minimálně /27.
  • Výchozí pod CIDR je 10.128.0.0/14.
  • Výchozí CIDR služby je 172.30.0.0/16.
  • Identifikátory CIDR podu a sítě služeb by se neměly překrývat s jinými rozsahy adres, které se používají ve vaší síti. Nesmí být v rozsahu IP adres virtuální sítě vašeho clusteru.
  • Pod CIDR by měla mít velikost minimálně /18. (Síť podů jsou nesměrovatelné IP adresy a používá se pouze uvnitř SDN OpenShift.)
  • Každému uzlu je přiděleno /23 podů (512 IP adres). Tuto hodnotu nelze změnit.
  • Pod nemůžete připojit k více sítím.
  • Nemůžete nakonfigurovat statickou IP adresu výchozího přenosu dat. (Toto omezení je funkce OpenShift. Informace najdete v tématu konfigurace IP adres výchozího přenosu dat).

Nastavení sítě

Pro clustery Azure Red Hat OpenShift 4 jsou k dispozici následující nastavení sítě:

  • Viditelnost rozhraní API – Nastavte viditelnost rozhraní API při spuštění příkazu az aro create.
    • "Veřejný" – Server ROZHRANÍ API je přístupný externími sítěmi.
    • Privátní – Server rozhraní API přiřadil privátní IP adresu z podsítě řídicí roviny, která je přístupná jenom pomocí připojených sítí (partnerské virtuální sítě a další podsítě v clusteru).
  • Viditelnost příchozího přenosu dat – Nastaví viditelnost rozhraní API při spuštění příkazu az aro create.
    • "Veřejné" trasy výchozí na veřejnou Standard Load Balancer. (Výchozí nastavení je možné změnit.)
    • "Privátní" směruje ve výchozím nastavení na interní nástroj pro vyrovnávání zatížení. (Výchozí nastavení je možné změnit.)

Skupiny zabezpečení sítě

Skupiny zabezpečení sítě se vytvářejí ve skupině prostředků uzlu, která je uzamčená pro uživatele. Skupiny zabezpečení sítě se přiřazují přímo k podsítím, ne na síťových kartách uzlu. Skupiny zabezpečení sítě jsou neměnné. Uživatelé nemají oprávnění je měnit.

S veřejně viditelným serverem rozhraní API nemůžete vytvářet skupiny zabezpečení sítě a přiřazovat je k síťovým kartám.

Předávání domén

Azure Red Hat OpenShift používá CoreDNS. Je možné nakonfigurovat přesměrování domény. Do virtuálních sítí nemůžete přenést vlastní DNS. Další informace najdete v dokumentaci k používání předávání DNS.

Další kroky

Další informace o odchozím provozu a o tom, co Azure Red Hat OpenShift podporuje pro výchozí přenos dat, najdete v dokumentaci k zásadám podpory .