Azure Red Hat OpenShift のネットワークの概念

[アーティクル]
06/21/2023

このガイドでは、OpenShift 4 クラスターにおける Azure Red Hat OpenShift ネットワークの概要について、ダイアグラムと重要なエンドポイントの一覧を交えて説明します。主要な OpenShift ネットワークの概念の詳細については、Azure Red Hat OpenShift 4 ネットワークのドキュメントを参照してください。

Azure Red Hat OpenShift を OpenShift 4 上にデプロイすると、クラスター全体が仮想ネットワーク内に配置されます。この仮想ネットワーク内では、コントロールプレーンノードとワーカーノードが、それぞれのサブネット内に存在します。各サブネットには、内部ロードバランサーとパブリックロードバランサーが使用されています。

注意

ARO に導入された最新の変更については、「Azure Red Hat OpenShift の新機能」を確認してください。

ネットワークコンポーネント

次の一覧は、Azure Red Hat OpenShift クラスターにおける重要なネットワークコンポーネントをまとめたものです。

aro-pls
- この Azure Private Link エンドポイントは、クラスターを管理する目的で Microsoft および Red Hat のサイト信頼性エンジニアによって使われます。
aro-internal
- このエンドポイントは、API サーバーへのトラフィックと内部サービストラフィックのバランスを取ります。コントロールプレーンノードとワーカーノードはバックエンドプールにあります。
- デフォルトではこのロードバランサーは作られません。正しい注釈をつけたロードバランサー型のサービスを作ると、このロードバランサーが作られます。たとえば、service.beta.kubernetes.io/azure-load-balancer-internal: "true" などです。
aro
- このエンドポイントは、すべてのパブリックトラフィックに使用されます。アプリケーションとルートを作成すると、このエンドポイントがイングレストラフィックのパスになります。
- このエンドポイントによって、API サーバーへのトラフィックがルーティングおよび分散されます (API がパブリックの場合)。このエンドポイントは、コントロールプレーンが Azure Resource Manager にアクセスしてクラスターの正常性について返信できるように、パブリック発信 IP を割り当てます。
- また、このロードバランサーは、Azure Load Balancer のアウトバウンド規則を通じて、ワーカーノードで実行中のすべてのポッドからのエグレスインターネット接続も処理します。
  - 現在、アウトバウンド規則は構成できません。それらでは、各ノードに 1,024 個の TCP ポートが割り当てられます。
  - DisableOutboundSnat は LB ルールでは構成されないため、ポッドはこの ALB で構成される任意のパブリック IP をエグレス IP として取得できます。
  - 上の 2 点の結果、エフェメラル SNAT ポートを追加する唯一の方法は、パブリック LoadBalancer タイプのサービスを ARO に追加することです。
aro-nsg
- サービスを公開すると、API によってこのネットワークセキュリティグループに規則が作成され、トラフィックがポート 6443 経由でコントロールプレーンやノードを通過したりそれらに到達したりできるようになります。
- 既定では、このネットワークセキュリティグループで、すべてのアウトバウンドトラフィックが許可されます。現時点では、アウトバウンドトラフィックは Azure Red Hat OpenShift コントロールプレーンのみに制限できます。
Azure Container Registry
- このコンテナーレジストリは Microsoft 内部で提供されて使われます。読み取り専用であり、Azure Red Hat OpenShift ユーザーによる使用は想定されていません。
  - このレジストリは、ホストプラットフォームイメージとクラスターコンポーネントを提供します。たとえば、コンテナーの監視やログ記録などです。
  - このレジストリへの接続は、サービスエンドポイントを介して行われます (Azure サービス間の内部接続)。
  - デフォルトでは、この内部レジストリはクラスターの外部では使えません。
Private Link
- Private Link は管理プレーンからクラスターへのネットワーク接続を許可します。これは、Microsoft および Red Hat のサイト信頼性エンジニアがクラスターの管理を支援するために使われます。

ネットワークポリシー

イングレス: イングレスネットワークポリシーは、OpenShift SDN の一部としてサポートされます。このネットワークポリシーは既定で有効になっており、ユーザーによって実施されます。イングレスネットワークポリシーは V1 ネットワークポリシーに準拠しますが、エグレスおよび IPBlock タイプはサポートされません。
エグレス: エグレスネットワークポリシーは、OpenShift のエグレスファイアウォール機能を使用してサポートされます。エグレスポリシーは、名前空間やプロジェクトごとに 1 つだけ存在します。エグレスポリシーは、「デフォルト」の名前空間ではサポートされず、順番に (最初に受信したものから順に) 診断されます。

OpenShift におけるネットワークの基礎

OpenShift Software Defined Networking (SDN) は、Open vSwitch (OVS) を使用するオーバーレイネットワークを構成するために使用されます。OVS は、Container Network Interface (CNI) 仕様に基づく OpenFlow 実装です。 SDN はさまざまなプラグインをサポートしています。ネットワークポリシーは Azure Red Hat の OpenShift 4 で使われるプラグインです。すべてのネットワーク通信は SDN によって管理されているため、ポッド間通信を実現するために、自分の仮想ネットワークにルートを追加する必要はありません。