Udostępnij za pośrednictwem

Pojęcia dotyczące sieci dla usługi Azure Red Hat OpenShift

  • Artykuł

Ten przewodnik zawiera omówienie sieci usługi Azure Red Hat OpenShift w klastrach OpenShift 4 wraz z diagramem i listą ważnych punktów końcowych. Aby uzyskać więcej informacji na temat podstawowych pojęć związanych z siecią openShift, zobacz dokumentację sieciową usługi Azure Red Hat OpenShift 4.

Diagram sieci usługi Azure Red Hat OpenShift.

Podczas wdrażania usługi Azure Red Hat OpenShift w rozwiązaniu OpenShift 4 cały klaster jest zawarty w sieci wirtualnej. W tej sieci wirtualnej węzły płaszczyzny sterowania i węzły procesu roboczego działają we własnej podsieci. Każda podsieć używa wewnętrznego modułu równoważenia obciążenia i publicznego modułu równoważenia obciążenia.

Uwaga

Aby uzyskać informacje na temat najnowszych zmian wprowadzonych w usłudze ARO, zobacz Co nowego w usłudze Azure Red Hat OpenShift.

Składniki sieci

Poniższa lista obejmuje ważne składniki sieciowe w klastrze usługi Azure Red Hat OpenShift.

  • aro-pls

    • Ten punkt końcowy usługi Azure Private Link jest używany przez inżynierów ds. niezawodności witryny firmy Microsoft i firmy Red Hat do zarządzania klastrem.

  • aro-internal

    • Ten punkt końcowy równoważy ruch do serwera interfejsu API i wewnętrznego ruchu usługi. Węzły płaszczyzny sterowania i węzły robocze znajdują się w puli zaplecza.
    • Ten moduł równoważenia obciążenia nie jest domyślnie tworzony. Zostanie ona utworzona po utworzeniu usługi typu LoadBalancer z odpowiednimi adnotacjami. Na przykład: service.beta.kubernetes.io/azure-load-balancer-internal: "true".

  • Aro

    • Ten punkt końcowy jest używany dla dowolnego ruchu publicznego. Podczas tworzenia aplikacji i trasy ten punkt końcowy jest ścieżką dla ruchu przychodzącego.
    • Ten punkt końcowy również kieruje i równoważy ruch do serwera interfejsu API (jeśli interfejs API jest publiczny). Ten punkt końcowy przypisuje publiczny wychodzący adres IP, aby płaszczyzny sterowania mogły uzyskiwać dostęp do usługi Azure Resource Manager i zgłaszać z powrotem kondycję klastra.
    • Ten moduł równoważenia obciążenia obejmuje również łączność wychodzącą z Internetu z dowolnego zasobnika uruchomionego w węzłach procesu roboczego za pośrednictwem reguł ruchu wychodzącego usługi Azure Load Balancer.
      • Obecnie reguły ruchu wychodzącego nie są konfigurowalne. Przydzielają 1024 porty TCP do każdego węzła.
      • Wartość DisableOutboundSnat nie jest skonfigurowana w regułach modułu równoważenia obciążenia, więc zasobniki mogą uzyskać jako adres IP ruchu wychodzącego dowolny publiczny adres IP skonfigurowany w ramach tego modułu równoważenia obciążenia.
      • W wyniku dwóch poprzednich punktów jedynym sposobem dodawania efemerycznych portów SNAT jest dodanie publicznych usług typu LoadBalancer do usługi ARO.

  • aro-nsg

    • Gdy uwidaczniasz usługę, interfejs API tworzy regułę w tej sieciowej grupie zabezpieczeń, dzięki czemu ruch przepływa przez płaszczyznę sterowania i węzły przez port 6443.
    • Domyślnie ta sieciowa grupa zabezpieczeń zezwala na cały ruch wychodzący. Obecnie ruch wychodzący może być ograniczony tylko do płaszczyzny sterowania usługi Azure Red Hat OpenShift.

  • Azure Container Registry

    • Ten rejestr kontenerów jest udostępniany i używany przez firmę Microsoft wewnętrznie. Jest on przeznaczony tylko do odczytu i nie jest przeznaczony do użytku przez użytkowników usługi Azure Red Hat OpenShift.
      • Ten rejestr udostępnia obrazy platformy hosta i składniki klastra. Na przykład monitorowanie lub rejestrowanie kontenerów.
      • Połączenia z tym rejestrem są wykonywane za pośrednictwem punktu końcowego usługi (łączność wewnętrzna między usługami platformy Azure).
      • Domyślnie ten rejestr wewnętrzny nie jest dostępny poza klastrem.

  • Link prywatny

    • Usługa Private Link umożliwia łączność sieciową z płaszczyzny zarządzania do klastra. Jest to używane przez inżynierów ds. niezawodności witryny firmy Microsoft i firmy Red Hat w celu ułatwienia zarządzania klastrem.

Zasady sieci

  • Ruch przychodzący: zasady sieci ruchu przychodzącego są obsługiwane w ramach sieci SDN usługi OpenShift. Te zasady sieciowe są domyślnie włączone, a wymuszanie jest przeprowadzane przez użytkowników. Chociaż zasady sieciowe ruchu przychodzącego są zgodne z zasadami sieci V1, typy ruchu wychodzącego i ipBlock nie są obsługiwane.

  • Ruch wychodzący: zasady sieci ruchu wychodzącego są obsługiwane przy użyciu funkcji zapory ruchu wychodzącego w usłudze OpenShift. Istnieje tylko jedna zasada ruchu wychodzącego na przestrzeń nazw/projekt. Zasady ruchu wychodzącego nie są obsługiwane w przestrzeni nazw "domyślnej" i są oceniane w kolejności (od początku do ostatniego).

Podstawy dotyczące sieci w rozwiązaniu OpenShift

Program OpenShift Software Defined Networking (SDN) służy do konfigurowania sieci nakładki przy użyciu technologii Open vSwitch (OVS), implementacji openflow opartej na specyfikacji interfejsu sieciowego kontenera (CNI). Nazwa SDN obsługuje różne wtyczki. Network Policy to wtyczka używana w usłudze Azure Red Hat w systemie OpenShift 4. Cała komunikacja sieciowa jest zarządzana przez sieć SDN, więc żadne dodatkowe trasy nie są potrzebne w sieciach wirtualnych, aby osiągnąć zasobnik do komunikacji zasobnika.

Sieć dla usługi Azure Red Hat OpenShift

Następujące funkcje sieciowe są specyficzne dla usługi Azure Red Hat OpenShift:

  • Użytkownicy mogą utworzyć klaster usługi Azure Red Hat OpenShift w istniejącej sieci wirtualnej lub utworzyć nową sieć wirtualną podczas tworzenia klastra.
  • Pod i service network CIDRs są konfigurowalne.
  • Węzły i płaszczyzny sterowania znajdują się w różnych podsieciach.
  • Węzły i podsieci sieci wirtualnej płaszczyzny sterowania powinny być co najmniej /27.
  • Domyślna wartość CIDR zasobnika to 10.128.0.0/14.
  • Domyślna usługa CIDR to 172.30.0.0/16.
  • CiDR sieci zasobników i usług nie powinny nakładać się na inne zakresy adresów używane w sieci. Nie mogą znajdować się w zakresie adresów IP sieci wirtualnej klastra.
  • Wartości CIDR zasobnika powinny mieć rozmiar minimalny /18. (Sieć zasobnika to adresy IP bez routingu i jest używana tylko w sieci SDN openShift).
  • Każdy węzeł jest przydzielany /23 podsieci (512 adresów IP) dla swoich zasobników. Tej wartości nie można zmienić.
  • Nie można dołączyć zasobnika do wielu sieci.
  • W przypadku prywatnych klastrów ARO korzystających z wtyczki sieciowej OVN-Kubernetes można skonfigurować adresy IP ruchu wychodzącego. Aby uzyskać informacje, zobacz konfigurowanie adresu IP ruchu wychodzącego.

Ustawienia sieciowe

Następujące ustawienia sieciowe są dostępne dla klastrów usługi Azure Red Hat OpenShift 4:

  • Widoczność interfejsu API — ustaw widoczność interfejsu API podczas uruchamiania polecenia az aro create.
    • "Publiczny" — serwer interfejsu API jest dostępny dla sieci zewnętrznych.
    • "Prywatny" — serwer interfejsu API przypisał prywatny adres IP z podsieci płaszczyzny sterowania, dostępny tylko przy użyciu połączonych sieci (równorzędnych sieci wirtualnych i innych podsieci w klastrze).
  • Widoczność ruchu przychodzącego — ustaw widoczność interfejsu API podczas uruchamiania polecenia az aro create.
    • Trasy "Publiczne" domyślnie są trasami publicznymi usługa Load Balancer w warstwie Standardowa. (Można zmienić wartość domyślną).
    • "Prywatne" trasy są domyślne dla wewnętrznego modułu równoważenia obciążenia. (Można zmienić wartość domyślną).

Sieciowe grupy zabezpieczeń

Sieciowe grupy zabezpieczeń są tworzone w grupie zasobów węzła, która jest zablokowana dla użytkowników. Sieciowe grupy zabezpieczeń są przypisywane bezpośrednio do podsieci, a nie do kart sieciowych węzła. Sieciowe grupy zabezpieczeń są niezmienne. Użytkownicy nie mają uprawnień do ich zmiany.

Za pomocą publicznie widocznego serwera interfejsu API nie można tworzyć sieciowych grup zabezpieczeń i przypisywać ich do kart sieciowych.

Przekazywanie domeny

Usługa Azure Red Hat OpenShift używa usługi CoreDNS. Przekazywanie domeny można skonfigurować. Nie można przenieść własnego systemu DNS do sieci wirtualnych. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą korzystania z przekazywania DNS.

Następne kroki

Aby uzyskać więcej informacji na temat ruchu wychodzącego i obsługi ruchu wychodzącego w usłudze Azure Red Hat OpenShift na potrzeby ruchu wychodzącego, zobacz dokumentację zasad pomocy technicznej.