从配置映射配置出口路由器 POD 目的地列表 15.12. 为项目启用多播 15.13. 为项目禁用多播 15.14. 使用 OPENSHIFT SDN 配置网络隔离 15.15. 配置 KUBE-PROXY 第 第 16 章 章 OVN-KUBERNETES 默 默认 认 CNI 网 网络 络供 供应 应商 商 16.1. 关于 OVN-KUBERNETES 默认 CONTAINER NETWORK Operator 提供了一个 Kubernetes API，用于使用 NMState 在 OpenShift Container Platform 集群的节点上执行状态驱动的网络配置。 kube-proxy kube-proxy 是一个代理服务，在每个节点上运行，有助于为外部主机提供服务。它有助于将请求转发 到正确的容器，并且能够执行原语负载平衡。 负载 负载均衡器 均衡器 OpenShift Container Network Interface(CNI)集群网络供应 商。 spec.kubeProxy Config object 此对象的字段指定 kube-proxy 配置。如果您使用 OVN- Kubernetes 集群网络供应商，则 kube-proxy 配置无效。 字段 字段 类 类型 型 描述 描述 defaultNetwork 对 对象配置 象配置 下表列出了 defaultNetwork

14.2. 接合项目 13.14.3. 隔离项目 13.14.4. 对项目禁用网络隔离 13.15. 配置 KUBE-PROXY 13.15.1. 关于 iptables 规则同步 13.15.2. kube-proxy 配置参数 13.15.3. 修改 kube-proxy 配置 第 第 14 章 章 OVN-KUBERNETES 默 默认 认 CNI 网 网络 络供 供应 应商 商 14 Network Interface（CNI）集群网络供 应商。 spec.kubeProxy Config 对 对象 象 此对象的字段指定 kube-proxy 配置。如果您使用 OVN- Kubernetes 集群网络供应商，则 kube-proxy 的配置不会起作 用。 字段 字段 类 类型 型 描述 描述 defaultNetwork 对 对象配置 象配置 defaultNetwork 对象的值在下表中定义： EGRESS_ROUTER_MODE value: http-proxy containers: - name: egress-router-pod image: registry.redhat.io/openshift4/ose-egress-http-proxy env: - name: EGRESS_HTTP_PROXY_DESTINATION 4 value:

和更高版本的支持。 1.2.2.1.1. Red Hat OpenShift Service Mesh 2.2.3 版中包含的组件版本 组 组件 件 版本 版本 Istio 1.12.9 Envoy Proxy 1.20.8 Jaeger 1.36 Kiali 1.48.3 1.2.2.2. Red Hat OpenShift Service Mesh 版本 版本 2.2.2 的新功能 的新功能 和更高版本的支持。 1.2.2.2.1. Red Hat OpenShift Service Mesh 2.2.2 版中包含的组件版本 组 组件 件 版本 版本 Istio 1.12.7 Envoy Proxy 1.20.6 Jaeger 1.36 Kiali 1.48.2-1 1.2.2.2.2. 复制路由标签 在这个版本中，除了复制注解外，您还可以为 OpenShift 路由复制特定的标签。Red 1 版中包含的组件版本 OpenShift Container Platform 4.8 Service Mesh 4 组 组件 件 版本 版本 Istio 1.12.7 Envoy Proxy 1.20.6 Jaeger 1.34.1 Kiali 1.48.2-1 1.2.2.4. Red Hat OpenShift Service Mesh 2.2 的新功能 的新功能 此 Red

章 开 开发 发 PTP 事件消 事件消费 费者 者应 应用程序 用程序 20.1. PTP 事件消费者应用程序参考 20.2. 引用 CLOUD-EVENT-PROXY 部署和服务 CR 20.3. CLOUD-EVENT-PROXY SIDECAR REST API 中的 PTP 事件 20.4. 将消费者应用程序订阅到 PTP 事件 20.5. 获取当前的 PTP 时钟状态 20.6 从配置映射配置出口路由器 POD 目的地列表 28.14. 为项目启用多播 28.15. 为项目禁用多播 28.16. 使用 OPENSHIFT SDN 配置网络隔离 28.17. 配置 KUBE-PROXY 第 第 29 章 章 配置路由 配置路由 29.1. 路由配置 29.2. 安全路由 第 第 30 章 章 配置集群入口流量 配置集群入口流量 30.1. 集群入口流量配置概述 30.2 Operator 提供了一个 Kubernetes API，用于使用 NMState 在 OpenShift Container Platform 集群的节点上执行状态驱动的网络配置。 kube-proxy kube-proxy 是一个代理服务，在每个节点上运行，有助于为外部主机提供服务。它有助于将请求转发 到正确的容器，并且能够执行原语负载平衡。 负载 负载均衡器 均衡器 OpenShift Container

yaml 文件。 您检查了集群需要访问的站点，并决定是否需要绕过代理。默认情况下代理所有集群出口流量， 包括对托管云供应商 API 的调用。您需要将站点添加到 Proxy 对象的 spec.noProxy 字段来绕过 代理。 注意 注意 Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[] Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装, Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。 如果您的集群位于 AWS 上，请将 ec2..amazonaws.co 地址是不够的。 流程 流程 1. 编辑 install-config.yaml 文件并添加代理设置。例如： apiVersion: v1 baseDomain: my.domain.com proxy: httpProxy: http://:@: 1 httpsProxy: https://:@:

您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有 集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对 对象的 象的 spec.noProxy 字段中添加站点来绕过代理。 注意 注意 Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。 流程 流程 1. 编辑 install-config.yaml 文件并添加代理设置。例如： 连接的代理 URL。 要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以 apiVersion: v1 baseDomain: my.domain.com proxy: httpProxy: http://:@: 1 httpsProxy: https://:@:

yaml 文件。 您检查了集群需要访问的站点，并决定是否需要绕过代理。默认情况下代理所有集群出口流量， 包括对托管云供应商 API 的调用。您需要将站点添加到 Proxy 对象的 spec.noProxy 字段来绕过 代理。 注意 注意 Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[] Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装, Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。 如果您的集群位于 AWS 上，请将 ec2..amazonaws.co 射来保存额外的 CA 证书。如果您提供 additionalTrustBundle 和至少一个代理设置，则 Proxy 对象会被配置为引用 trustedCA 字段中的 user-ca-bundle 配置映射。然 apiVersion: v1 baseDomain: my.domain.com proxy: httpProxy: http://:@:

yaml 文件。 您检查了集群需要访问的站点，并决定是否需要绕过代理。默认情况下代理所有集群出口流量， 包括对托管云供应商 API 的调用。您需要将站点添加到 Proxy 对象的 spec.noProxy 字段来绕过 代理。 注意 注意 Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[] Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装, Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。 流程 1. 编辑 install-config.yaml 文件并添加代理设置。例如： openshift-config 命名空间中生成名为 user-ca-bundle 的配置映 射，以容纳额外的 CA 证书。如果您提供 additionalTrustBundle 和至少一个代理设 置，Proxy 对象会被配置为引用 trustedCA 字段中的 user-ca-bundle 配置映射。然 后，Cluster Network Operator 会创建一个 trusted-ca-bundle

您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有 集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对 对象的 象的 spec.noProxy 字段中添加站点来绕过代理。 注意 注意 Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。 流程 流程 1. 编辑 install-config.yaml 文件并添加代理设置。例如： Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映 射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑 包的颁发机构签名。 可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策 略。允许的值是

Install。 3. 在 Install Operator 页面中，修改 Subscription 对象，使其在 spec 部分中包含一个或多个以下 环境变量： HTTP_PROXY HTTPS_PROXY NO_PROXY 例如： LAST SEEN TYPE REASON OBJECT openshift-operators spec: config: env: - name: HTTP_PROXY value: test_http - name: HTTPS_PROXY value: test_https - name: NO_PROXY value: test channel: clusterwide-alpha installPlanApproval: etcd-operator -o yaml \ | grep -i "PROXY" -A 2 - name: HTTP_PROXY value: test_http - name: HTTPS_PROXY value: test_https - name: NO_PROXY value: test