Share via

Azure Red Hat OpenShift için ağ kavramları

  • Makale

Bu kılavuzda, OpenShift 4 kümelerinde Azure Red Hat OpenShift ağına genel bir bakış ve bir diyagram ve önemli uç noktaların listesi yer alır. Temel OpenShift ağ kavramları hakkında daha fazla bilgi için Bkz. Azure Red Hat OpenShift 4 ağ belgeleri.

Azure Red Hat OpenShift ağı diyagramı.

Azure Red Hat OpenShift'i OpenShift 4'te dağıttığınızda, kümenizin tamamı bir sanal ağ içinde yer alır. Bu sanal ağ içinde, denetim düzlemi düğümleriniz ve çalışan düğümlerinizin her biri kendi alt ağında yaşar. Her alt ağ bir iç yük dengeleyici ve genel yük dengeleyici kullanır.

Not

ARO'ya sunulan en son değişiklikler hakkında bilgi için Bkz. Azure Red Hat OpenShift ile sunulan yenilikler.

Ağ bileşenleri

Aşağıdaki liste, Azure Red Hat OpenShift kümesindeki önemli ağ bileşenlerini kapsar.

  • aro-pls

    • Bu Azure Özel Bağlantı uç noktası, kümeyi yönetmek için Microsoft ve Red Hat site güvenilirlik mühendisleri tarafından kullanılır.

  • aro-internal

    • Bu uç nokta, API sunucusuna gelen trafiği ve iç hizmet trafiğini dengeler. Denetim düzlemi düğümleri ve çalışan düğümleri arka uç havuzundadır.
    • Bu yük dengeleyici varsayılan olarak oluşturulmaz. Doğru ek açıklamalarla LoadBalancer türünde bir hizmet oluşturduğunuzda oluşturulur. Örneğin: service.beta.kubernetes.io/azure-load-balancer-internal: "true".

  • Aro

    • Bu uç nokta tüm genel trafik için kullanılır. Bir uygulama ve yol oluşturduğunuzda, bu uç nokta giriş trafiğinin yoludur.
    • Bu uç nokta ayrıca trafiği API sunucusuna yönlendirir ve dengeler (API genelse). Bu uç nokta, denetim düzlemlerinin Azure Resource Manager'a erişebilmesi ve küme durumuyla ilgili rapor verebilmesi için genel giden bir IP atar.
    • Bu yük dengeleyici, Azure Load Balancer giden kuralları aracılığıyla çalışan düğümlerinde çalışan herhangi bir poddan çıkış İnternet bağlantısını da kapsar.
      • Şu anda giden kurallar yapılandırılamaz. Her düğüme 1.024 TCP bağlantı noktası ayırır.
      • DisableOutboundSnat LB kurallarında yapılandırılmadığından podlar bu ALB'de yapılandırılmış herhangi bir genel IP'nin çıkış IP'sini alabilir.
      • Önceki iki noktanın sonucu olarak kısa ömürlü SNAT bağlantı noktaları eklemenin tek yolu ARO'ya genel LoadBalancer türü hizmetler eklemektir.

  • aro-nsg

    • Bir hizmeti kullanıma açtığınızda API, trafiğin 6443 numaralı bağlantı noktası üzerinden denetim düzlemi ve düğümlere ulaşması için bu ağ güvenlik grubunda bir kural oluşturur.
    • Varsayılan olarak bu ağ güvenlik grubu tüm giden trafiğe izin verir. Şu anda giden trafik yalnızca Azure Red Hat OpenShift kontrol düzlemi ile kısıtlanabilir.

  • Azure Container Registry

    • Bu kapsayıcı kayıt defteri Microsoft tarafından dahili olarak sağlanır ve kullanılır. Salt okunur olup Azure Red Hat OpenShift kullanıcıları tarafından kullanılmak üzere tasarlanmamıştır.
      • Bu kayıt defteri konak platformu görüntüleri ve küme bileşenleri sağlar. Örneğin, kapsayıcıları izleme veya günlüğe kaydetme.
      • Bu kayıt defterine bağlantılar hizmet uç noktası (Azure hizmetleri arasındaki iç bağlantı) üzerinden gerçekleşir.
      • Varsayılan olarak, bu iç kayıt defteri küme dışında kullanılamaz.

  • Özel Bağlantı

    • Özel Bağlantı, yönetim düzleminden kümeye ağ bağlantısına izin verir. Bu, Microsoft ve Red Hat site güvenilirlik mühendisleri tarafından kümenizi yönetmeye yardımcı olmak için kullanılır.

Ağ ilkeleri

  • Giriş: Giriş ağ ilkesi , OpenShift SDN'nin bir parçası olarak desteklenir. Bu ağ ilkesi varsayılan olarak etkindir ve zorlama kullanıcılar tarafından gerçekleştirilir. Giriş ağ ilkesi V1 NetworkPolicy uyumlu olsa da Çıkış ve IPBlock Türleri desteklenmez.

  • Çıkış: Çıkış ağ ilkeleri, OpenShift'teki çıkış güvenlik duvarı özelliği kullanılarak desteklenir. Ad alanı/proje başına yalnızca bir çıkış ilkesi vardır. Çıkış ilkeleri "varsayılan" ad alanında desteklenmez ve sırayla değerlendirilir (ilk son).

OpenShift'te ağ temelleri

OpenShift Yazılım Tanımlı Ağ (SDN), Kapsayıcı Ağ Arabirimi (CNI) belirtimine dayalı bir OpenFlow uygulaması olan Open vSwitch (OVS) kullanarak bir katman ağı yapılandırmak için kullanılır. SDN farklı eklentileri destekler. Ağ İlkesi, OpenShift 4 üzerinde Azure Red Hat'te kullanılan eklentidir. Tüm ağ iletişimi SDN tarafından yönetilir, bu nedenle poddan poda iletişimi elde etmek için sanal ağlarınızda ek yol gerekmez.

Azure Red Hat OpenShift için ağ

Aşağıdaki ağ özellikleri Azure Red Hat OpenShift'e özeldir:

  • Kullanıcılar mevcut bir sanal ağda Azure Red Hat OpenShift kümelerini oluşturabilir veya kümelerini oluştururken yeni bir sanal ağ oluşturabilir.
  • Pod ve Hizmet Ağı CIDR'leri yapılandırılabilir.
  • Düğümler ve kontrol düzlemleri farklı alt ağlarda bulunur.
  • Düğümler ve denetim düzlemi sanal ağ alt ağları en az /27 olmalıdır.
  • Varsayılan Pod CIDR değeri 10.128.0.0/14'dür.
  • Varsayılan Hizmet CIDR değeri 172.30.0.0/16'dır.
  • Pod ve Hizmet Ağı CIDR'leri ağınızda kullanılan diğer adres aralıklarıyla çakışmamalıdır. Kümenizin sanal ağ IP adresi aralığında olmamalıdır.
  • Pod CIDR'lerinin boyutu en az /18 olmalıdır. (Pod ağı yönlendirilemez IP'lerdir ve yalnızca OpenShift SDN içinde kullanılır.)
  • Her düğüm podları için /23 alt ağı (512 IP) ayrılır. Bu değer değiştirilemez.
  • Birden çok ağa pod ekleyemezsiniz.
  • Çıkış statik IP'lerini yapılandıramazsınız. (Bu kısıtlama bir OpenShift özelliğidir. Bilgi için bkz . Çıkış IP'lerini yapılandırma).

Ağ ayarları

Azure Red Hat OpenShift 4 kümeleri için aşağıdaki ağ ayarları kullanılabilir:

  • API Görünürlüğü - az aro create komutunu çalıştırırken API görünürlüğünü ayarlayın.
    • "Genel" - API Sunucusuna dış ağlar tarafından erişilebilir.
    • "Özel" - API Sunucusu denetim düzlemi alt ağından özel bir IP atadı, yalnızca bağlı ağlar (eşlenmiş sanal ağlar ve kümedeki diğer alt ağlar) kullanılarak erişilebilir.
  • Giriş Görünürlüğü - az aro create komutunu çalıştırırken API görünürlüğünü ayarlayın.
    • "Genel" varsayılan olarak genel bir Standart Load Balancer yönlendirir. (Varsayılan değer değiştirilebilir.)
    • "Özel" varsayılan olarak iç yük dengeleyiciye yönlendirir. (Varsayılan değer değiştirilebilir.)

Ağ güvenlik grupları

Ağ güvenlik grupları, düğümün kullanıcılara karşı kilitlenmiş kaynak grubunda oluşturulur. Ağ güvenlik grupları düğümün NIC'lerinde değil doğrudan alt ağlara atanır. Ağ güvenlik grupları sabittir. Kullanıcıların bunları değiştirme izinleri yoktur.

Genel olarak görünen bir API sunucusuyla ağ güvenlik grupları oluşturup bunları NIC'lere atayamazsınız.

Etki alanı iletme

Azure Red Hat OpenShift, CoreDNS kullanır. Etki alanı iletme yapılandırılabilir. Sanal ağlarınıza kendi DNS'nizi getiremezsiniz. Daha fazla bilgi için DNS iletmeyi kullanma belgelerine bakın.

Sonraki adımlar

Giden trafik ve Azure Red Hat OpenShift'in çıkış için neleri desteklediği hakkında daha fazla bilgi için destek ilkeleri belgelerine bakın.