of their respective owners. 摘要 摘要 本文档提供有关配置和管理 OpenShift Container Platform 集群网络的说明，其中包括 DNS、 Ingress 和 Pod 网络。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 了解网 了解网络 络 1.1. OPENSHIFT CONTAINER PLATFORM DNS 1.2. OPENSHIFT CONTAINER PLATFORM INGRESS OPERATOR 1.2.1. 路由和 Ingress 的比较 第 第 2 章 章 访问 访问主机 主机 2.1. 访问安装程序置备的基础架构集群中 AMAZON WEB SERVICES 上的主机 第 第 3 章 章 章 网 网络 络 OPERATOR 概述 概述 3.1. CLUSTER NETWORK OPERATOR 3.2. DNS OPERATOR 3.3. INGRESS OPERATOR 第 第 4 章 章 OPENSHIFT CONTAINER PLATFORM 中的 中的 CLUSTER NETWORK OPERATOR 4.1. CLUSTER NETWORK OPERATOR 4

of their respective owners. 摘要 摘要 本文档提供有关配置和管理 OpenShift Container Platform 集群网络的说明，其中包括 DNS、 Ingress 和 Pod 网络。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 第 2 章 章 了解网 了解网络 络 2.1. OPENSHIFT CONTAINER PLATFORM DNS 2.2. OPENSHIFT CONTAINER PLATFORM INGRESS OPERATOR 2.3. OPENSHIFT CONTAINER PLATFORM 网络的常见术语表 第 第 3 章 章 访问 访问主机 主机 3.1. 访问安装程序置备的基础架构集群中 网络 络 OPERATOR 概述 概述 4.1. CLUSTER NETWORK OPERATOR 4.2. DNS OPERATOR 4.3. INGRESS OPERATOR 4.4. 外部 DNS OPERATOR 4.5. INGRESS NODE FIREWALL OPERATOR 4.6. NETWORK OBSERVABILITY OPERATOR 第 第 5 章 章 OPENSHIFT

of their respective owners. 摘要 摘要 本文档提供有关配置和管理 OpenShift Container Platform 集群网络的说明，其中包括 DNS、 Ingress 和 Pod 网络。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 第 1 章 章 了解网 了解网络 络 1.1. OPENSHIFT CONTAINER PLATFORM DNS 1.2. OPENSHIFT CONTAINER PLATFORM INGRESS OPERATOR 1.3. OPENSHIFT CONTAINER PLATFORM 网络的常见术语表 第 第 2 章 章 访问 访问主机 主机 2.1. 访问安装程序置备的基础架构集群中 SERVICES 上的主机 第 第 3 章 章 网 网络 络 OPERATOR 概述 概述 3.1. CLUSTER NETWORK OPERATOR 3.2. DNS OPERATOR 3.3. INGRESS OPERATOR 第 第 4 章 章 OPENSHIFT CONTAINER PLATFORM 中的 中的 CLUSTER NETWORK OPERATOR 4.1. CLUSTER NETWORK

无需迁移 AWS 文档 中的父域以获取示例高级流程。 4.2.1.1. AWS Route 53 的 的 Ingress Operator 端点配置 端点配置 如果您在 Amazon Web Services（AWS）GovCloud(US)US-West 或 US-East 区域中安装，Ingress Operator 使用 us-gov-west-1 区域用于 Route53 并标记 API 客户端。 客户端。 如果配置了带有字符串 'us-gov-east-1' 的自定义端点，Ingress Operator 使用 https://tagging.us-gov- west-1.amazonaws.com 作为 tagging API 端点。 有关 AWS GovCloud（US）端点的更多信息，请参阅 AWS 文档中的有关 GovCloud(US)的服务端点的内 容。 重要 重要 在 us-gov-east-1 Load Balancer）的更多信息，请参阅 使用网 络负载平衡器在 AWS 上配置 Ingress 集群流量。 4.6.9. 在新 AWS 集群上配置 Ingress Controller 网络负载平衡 您可在新集群中创建一个由 AWS Network Load Balancer（NLB）支持的 Ingress Controller。 先决条件 先决条件 创建 install-config

credrequests 目 目录 录的内容示例 的内容示例 Machine API Operator CR 是必需的。 Image Registry Operator CR 是必需的。 Ingress Operator CR 是必需的。 Storage Operator CR 是一个可选组件，可能会在集群中禁用。 4. 使用 ccoctl 工具处理 credrequests 目录中的所有 0000_50_cluster-image-registry-operator_01-registry-credentials-request-alibaba.yaml 2 0000_50_cluster-ingress-operator_00-ingress-credentials-request.yaml 3 0000_50_cluster-storage-operator_03_credentials_request_alibaba redentials.yaml openshift-image-registry-installer-cloud-credentials-credentials.yaml openshift-ingress-operator-cloud-credentials-credentials.yaml openshift-machine-api-alibabacloud-credentials-credentials

程中遵循 noProxy 在这个版本中，如果设置了 noProxy 字段，且在没有集群范围代理的情况下可以访问路由，则 Authentication Operator 将绕过代理，并直接通过配置的 ingress 路由执行连接检查。在以前的版本中， 无论 noProxy 设置如何，身份验证 Operator 始终通过集群范围代理执行连接检查。如需更多信息，请参 阅配置集群范围代理。 1.3.9. 网络 如需更多信息，请参阅通过二级网络接口 配置外部网关。 1.3.9.3. Ingress Node Firewall Operator 已正式 已正式发 发布 布 Ingress Node Firewall Operator 在 OpenShift Container Platform 4.12 中被指定了一个技术预览功能。在 这个版本中，Ingress Node Firewall Operator 已正式发布 已正式发布。现在，您可以在节点级别配置防火墙规则。如 需更多信息，请参阅 Ingress Node Firewall Operator。 OpenShift Container Platform 4.14 发 发行注 行注记 记 16 1.3.9.4. OVS 的非保留 的非保留 CPU 的 的动态 动态使用 使用 在这个版本中，Open vSwitch (OVS) 网络堆栈可以动态使用非保留 CPU。默认情况下，这种非保留

中，默认无法通过端口 80 之外的 ingress 网关访问 TCP 或 HTTPS 服务。AWS 负载均衡器有一个健康检查，它可验证服务端点中的端口 80 是否活 跃。如果服务没有在端口 80 中运行，负载均衡器健康检查就会失败。 MAISTRA-348 OpenShift 4 Beta on AWS 不支持端口 80 或 443 之外的 ingress 网关流量。如果 您将 ingress 网关配置为使用 80 Platform 上的 Service Mesh 安装 Kiali 与社区 Kiali 安装不同。为了解决问题、 提供额外功能或处理不同之处，这些不同有时是必须的。 Kiali 已被默认启用。 默认启用 Ingress 。 对 Kiali ConfigMap 进行了更新。 对 Kiali 的 ClusterRole 设置进行了更新。 用户不应该手动编辑 ConfigMap 或 Kiali 自定义资源文件，因为这些更改可能会被 Jaeger 安装有所不 同。为了解决问题、提供额外功能或处理不同之处，这些不同有时是必须的。 Service Mesh 默认启用 Jaeger。 为 Service Mesh 默认启用 ingress 。 Zipkin 端口名称已改为 Jaeger-collector-zipkin（从 http） Jaeger 默认使用 Elasticsearch 作为存储。 Istio 的社区版本提供了一个通用的

的 credrequests 目 目录的内容示例 的内容示例 Machine API Operator CR 是必需的。 Image Registry Operator CR 是必需的。 Ingress Operator CR 是必需的。 Storage Operator CR 是一个可选组件，可能会在集群中禁用。 4. 使用 ccoctl 工具处理 credrequests 目录中的所有 0000_50_cluster-image-registry-operator_01-registry-credentials-request-alibaba.yaml 2 0000_50_cluster-ingress-operator_00-ingress-credentials-request.yaml 3 0000_50_cluster-storage-operator_03_credentials_request_alibaba redentials.yaml openshift-image-registry-installer-cloud-credentials-credentials.yaml openshift-ingress-operator-cloud-credentials-credentials.yaml openshift-machine-api-alibabacloud-credentials-credentials

redentials.yaml openshift-image-registry-installer-cloud-credentials-credentials.yaml openshift-ingress-operator-cloud-credentials-credentials.yaml openshift-machine-api-alibabacloud-credentials-credentials redentials.yaml openshift-image-registry-installer-cloud-credentials-credentials.yaml openshift-ingress-operator-cloud-credentials-credentials.yaml openshift-machine-api-alibabacloud-credentials-credentials redentials.yaml openshift-image-registry-installer-cloud-credentials-credentials.yaml openshift-ingress-operator-cloud-credentials-credentials.yaml openshift-machine-api-alibabacloud-credentials-credentials