18 章 章 配置集群入口流量 配置集群入口流量 18.1. 集群入口流量配置概述 18.2. 为服务配置 EXTERNALIP 18.3. 使用 INGRESS CONTROLLER 配置集群入口流量 18.4. 使用负载均衡器配置集群入口流量 18.5. 使用网络负载平衡器在 AWS 上配置集群入口流量 18.6. 为服务外部 IP 配置 INGRESS 集群流量 18.7. 使用 NODEPORT NODEPORT 配置集群入口流量 188 193 199 200 209 211 211 212 216 220 221 222 222 224 227 230 232 234 237 237 238 241 241 243 251 255 257 259 264 264 265 265 271 272 274 279 281 282 285 RHOSP 负载 负载均衡 均衡 22.1. 使用带有 KURYR SDN 的 OCTAVIA OVN 负载均衡器供应商驱动 22.2. 使用 OCTAVIA 为应用程序流量扩展集群 22.3. 使用 RHOSP OCTAVIA 为入站流量扩展 22.4. 配置外部负载均衡器 第 第 23 章 章 使用 使用 METALLB 进 进行 行负载 负载平衡 平衡 23.1. 关于 METALLB 和 METALLB

OpenShift Container Platform 4.6 网 网络 络 4 13.1.2. 支持的默认 CNI 网络供应商功能列表 13.2. 为项目配置出口 IP 13.2.1. 项目出口流量的出口 IP 地址分配 13.2.1.1. 使用自动分配的出口 IP 地址时的注意事项 13.2.1.2. 使用手动分配出口 IP 地址时的注意事项 13.2.2. 为一个命名空间启用自动分配出口 2.1. 使用自定义证书创建重新加密路由 15.2.2. 使用自定义证书创建边缘路由 15.2.3. 创建 passthrough 路由 第 第 16 章 章 配置集群入口流量 配置集群入口流量 16.1. 集群入口流量配置概述 16.2. 为服务配置 EXTERNALIP 16.2.1. 先决条件 16.2.2. 关于 ExternalIP 16.2.2.1. 配置 ExternalIP ExternalIP 地址块配置 外部 IP 配置示例 16.2.4. 为集群配置外部 IP 地址块 16.2.5. 后续步骤 16.3. 使用 INGRESS CONTROLLER 配置集群入口流量 16.3.1. 使用 Ingress Controller 和路由 16.3.2. 先决条件 16.3.3. 创建项目和服务 16.3.4. 通过创建路由公开服务 16.3.5. 通过路由标签（label）配置

配置集群入口流量 配置集群入口流量 30.1. 集群入口流量配置概述 30.2. 为服务配置 EXTERNALIP 30.3. 使用 INGRESS CONTROLLER 配置集群入口流量 30.4. 使用负载均衡器配置集群入口流量 30.5. 在 AWS 上配置集群入口流量 30.6. 为服务外部 IP 配置 INGRESS 集群流量 30.7. 使用 NODEPORT 配置集群入口流量 30 30.8. 使用负载均衡器允许的源范围配置集群入口流量 第 第 31 章 章 KUBERNETES NMSTATE 31.1. 关于 KUBERNETES NMSTATE OPERATOR 31.2. 观察和更新节点网络状态和配置 31.3. 对节点网络配置进行故障排除 第 第 32 章 章 配置集群范 配置集群范围 围代理 代理 32.1. 先决条件 32.2. 启用集群范围代理 32.3 1. 负载均衡器服务的限制 34.2. 使用带有 KURYR SDN 的 OCTAVIA OVN 负载均衡器供应商驱动 34.3. 使用 OCTAVIA 为应用程序流量扩展集群 34.4. 使用 RHOSP OCTAVIA 为入站流量扩展 34.5. 配置外部负载均衡器 第 第 35 章 章 使用 使用 METALLB 进 进行 行负载 负载平衡 平衡 35.1. 关于 METALLB 和 METALLB

1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY SERVICE MESH 和 ISTIO 的不同 2.4. 准备安装 SERVICE MESH 2.5. 安装 SERVICE MESH 2.6. 在 SERVICE MESH 中自定义安全性 2.7. 流量管理 2.8. 在 SERVICE MESH 上部署应用程序 2.9. 数据可视化和可观察性 2.10. 自定义资源 2.11. 使用 3SCALE ISTIO 适配器 2.12. 删除 SERVICE 微服务架构将企业应用的工作分成模块化服务，从而简化扩展和维护。但是，随着微服务架构上构建的企 业应用的规模和复杂性不断增长，理解和管理变得困难。Service Mesh 可以通过捕获或截获服务间的流量 来解决这些架构问题，并可修改、重定向或创建新请求到其他服务。 Service Mesh 基于开源 Istio 项目，为创建部署的服务提供发现、负载均衡、服务对服务身份验证、故障 恢复、指标和监控

为服务网格配置分布式追踪 4.3. 应用程序示例 4.4. KIALI 教程 4.5. 分布式追踪 4.6. 自动路由创建 第 第 5 章 章 SERVICE MESH 用 用户 户指南 指南 5.1. 流量管理 第 第 6 章 章 支持 支持 6.1. 为红帽支持收集 RED HAT OPENSHIFT SERVICE MESH 数据 第 第 7 章 章 3SCALE 适配器 适配器 7.1. Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服 服务标识 务标识和安全性 和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略 策略强 强制 制 - 对服务间的交互 中运行，负载均衡器健康检查就会失败。 MAISTRA-348 OpenShift 4 Beta on AWS 不支持端口 80 或 443 之外的 ingress 网关流量。如果 您将 ingress 网关配置为使用 80 或 443 以外的端口号处理 TCP 流量，作为临时解决方案，您必 须使用 AWS 负载均衡器提供的服务主机名，而不是使用 OpenShift 路由器。 1.5.2. Kiali 修复的问题

在集群的每个节点上运行的一个主节点代理，以确保容器在 pod 中运行。 负载 负载均衡器 均衡器 负载均衡器是客户端的单点联系。API 的负载均衡器在 control plane 节点之间分布传入的流量。 Machine Config Operator 一个 Operator，管理并应用基本操作系统和容器运行时的配置和更新，包括内核和 kubelet 之间的所 有配置和更新。 Operator 14 安装 安装 40 在以前的版本中，在 Quay pod Operator 内运行的所有组件和 worker 都被设置为 DEBUG。因 此，在创建大量流量日志时使用了不必要的空间。在这个版本中，日志级别被设置为 WARN，这 可减少流量信息，同时突出了问题的情况。(PROJQUAY-3504) 4.2.10.22. Mirror registry for Red Hat OpenShift 第 第 5 章 章 在 在 ALIBABA 上安装 上安装 113 1 2 3 4 5 您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有 集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对 对象的 象的 spec.noProxy 字段中添加站点来绕过代理。 注意 注意 Proxy 对象 status

AWS 安全组应用到 control plane 和计算机器。这些安全组必须与您要将 集群部署到的 VPC 关联。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制 这些机器的传入或传出流量。如需更多信息，请参阅将现有 AWS 安全组应用到集群。 1.3.2.14. 从 从 OpenShift Container Platform 4.13 更新至 更新至 4.14 时 时所需的管理 加密。 1.3.9.11. OVN-Kubernetes 网 网络 络插件支持外部流量的 插件支持外部流量的 IPsec 加密（技 加密（技术预览 术预览） ） OpenShift Container Platform 现在支持加密外部流量，也称为南北流量。IPsec 已支持加密 pod 间的网 络流量，称为 东西流量。您可以组合使用这两个功能来为 OpenShift Container Platform 务资源以管理 源以管理负载 负载均衡器后面的 均衡器后面的 pod 的出口流量（技 的出口流量（技术预览 术预览） ） 在这个版本中，您可以使用 EgressService 自定义资源 (CR) 来管理负载均衡器服务后面的 pod 的出口 流量。这作为技术预览功能提供。 您可以使用以下方法使用 EgressService CR 管理出口流量： 将负载均衡器服务的 IP 地址分配为负载均衡器服务后面的 pod

5.4. TRANSIT 中的加密 您需要启用 IPsec，以便 OVN-Kubernetes Container Network Interface (CNI) 集群网络中的节点之间的 所有网络流量都通过加密的隧道进行传输。 默认情况下禁用 IPsec。您可以在安装集群前或安装集群之后启用它。如果您需要在集群安装后启用 IPsec，您必须首先将集群 MTU 大小调整为考虑 IPsec ESP Network(SDN)。在这个默认配置中，SDN 会传输以下类型的流量： Pod 到 pod 流量 Pod 到 OpenShift Data Foundation 的流量，称为 OpenShift Data Foundation 公共网络流量 OpenShift Data Foundation 复制和重新平衡，称为 OpenShift Data Foundation 集群网络流量 但是，OpenShift Data Foundation Foundation 4.8 及更新的版本支持作为技术预览使用 Multus 通过隔离不同类型的 网络流量来提高安全性和性能。 重要 重要 Red Hat OpenShift Data Foundation 4.12 规 规划部署 划部署 24 重要 重要 Multus 支持是一个技术预览功能，它只受支持并在裸机和 VMWare 部署中测试。技术预览 功能不受红帽产品服务等级协议（SLA

在集群的每个节点上运行的一个主节点代理，以确保容器在 pod 中运行。 负载 负载均衡器 均衡器 负载均衡器是客户端的单点联系。API 的负载均衡器在 control plane 节点之间分布传入的流量。 Machine Config Operator 一个 Operator，管理并应用基本操作系统和容器运行时的配置和更新，包括内核和 kubelet 之间的所 有配置和更新。 Operator 接的安装镜 镜像 像 39 在以前的版本中，在 Quay pod Operator 内运行的所有组件和 worker 都被设置为 DEBUG。因 此，在创建大量流量日志时使用了不必要的空间。在这个版本中，日志级别被设置为 WARN，这 可减少流量信息，同时突出了问题的情况。(PROJQUAY-3504) 4.2.10.22. Mirror registry for Red Hat OpenShift 集群配置为使用代理。 先决条件 先决条件 您有一个现有的 install-config.yaml 文件。 您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有 集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对 对象的 象的 spec.noProxy 字段中添加站点来绕过代理。 注意 注意 Proxy 对象 status

程序错误 错误修复 修复 在以前的版本中，在 Quay pod Operator 内运行的所有组件和 worker 都被设置为 DEBUG。因 此，在创建大量流量日志时使用了不必要的空间。在这个版本中，日志级别被设置为 WARN，这 可减少流量信息，同时突出了问题的情况。(PROJQUAY-3504) 3.2.9.20. Mirror registry for Red Hat OpenShift 1 集群配置为使用代理。 先决条件 先决条件 您有一个现有的 install-config.yaml 文件。 您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有 集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对 对象的 象的 spec.noProxy 字段中添加站点来绕过代理。 注意 注意 Proxy 对象 status 集群配置为使用代理。 先决条件 先决条件 您有一个现有的 install-config.yaml 文件。 您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有 集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对 对象的 象的 spec.noProxy 字段中添加站点来绕过代理。 注意 注意 machineNetwork: