apiVersion: v1
kind: Service
metadata:
name: http-service
spec:
clusterIP: 172.30.163.110
externalIPs:
- 192.168.132.253
externalTrafficPolicy: Cluster
ports:
- name: highport
nodePort: 31903
port: 30102
protocol: TCP
targetPort: 30102
selector:
app: web
sessionAffinity: None
type: LoadBalancer
status:
loadBalancer:
ingress:
- ip: 192.168.132.253- 文档
- OpenShift Container Platform
- 网络
- 配置 Ingress 集群流量
- 为服务配置 ExternalIPs history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的所在地)访问。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 离线环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 快速在 GCP 上安装集群
- 使用自定义设置在 GCP 上安装集群
- 使用网络自定义设置在 GCP 上安装集群
- 在 GCP 受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在受限网络中使用用户预配的基础设施在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在Nutanix上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在IBM Cloud(经典版)上安装
- 在IBM Z和IBM LinuxONE上安装
- 在IBM Power上安装
- 在IBM Power虚拟服务器上安装
- 在OpenStack上安装
- 在OCI上安装
- 在VMware vSphere上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在OpenShift集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在Azure上创建具有多架构计算机器的集群
- 在AWS上创建具有多架构计算机器的集群
- 在GCP上创建具有多架构计算机器的集群
- 在裸机、IBM Power或IBM Z上创建具有多架构计算机器的集群
- 在使用z/VM的IBM Z和IBM LinuxONE上创建具有多架构计算机器的集群
- 在LPAR中使用IBM Z和IBM LinuxONE创建具有多架构计算机器的集群
- 在IBM Z和IBM LinuxONE上使用RHEL KVM创建具有多架构计算机器的集群
- 在IBM Power上创建具有多架构计算机器的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 准备用户
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为离线集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器运算符
- Red Hat OpenShift 的 cert-manager 操作员
- Red Hat OpenShift 的 cert-manager 操作员概述
- Red Hat OpenShift 的 cert-manager 操作员发行说明
- 安装 Red Hat OpenShift 的 cert-manager 操作员
- 配置出口代理
- 使用 cert-manager 操作员 API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager 操作员
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager 操作员保护路由
- 监控 Red Hat OpenShift 的 cert-manager 操作员
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager 操作员的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 操作员
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络操作员
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调优插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标与网络连接关联
- 存储
- 存储概述
- 了解短暂存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联短暂卷
- 共享资源 CSI 驱动程序操作员
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 在非优雅节点关机后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作员
- AWS Elastic File Service CSI 驱动程序操作员
- Azure 磁盘 CSI 驱动程序操作员
- Azure 文件 CSI 驱动程序操作员
- Azure Stack Hub CSI 驱动程序操作员
- GCP PD CSI 驱动程序操作员
- GCP Filestore CSI 驱动程序操作员
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作员
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作员
- OpenStack Cinder CSI 驱动程序操作员
- OpenStack Manila CSI 驱动程序操作员
- Secrets Store CSI 驱动程序操作员
- CIFS/SMB CSI 驱动程序操作员
- VMware vSphere CSI 驱动程序操作员
- 通用短暂卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作员
- 操作员概述
- 了解操作员
- 用户任务
- 管理员任务
- 开发操作员
- 集群 Operator 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器操作器自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用 Job 和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 准备中心集群以进行 ZTP
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证用于 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第 2 天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符 API
- 关于操作符 API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- ImagePruner [imageregistry.operator.openshift.io/v1]
- IngressController [operator.openshift.io/v1]
- InsightsOperator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- MachineConfiguration [operator.openshift.io/v1]
- Network [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- ServiceCA [operator.openshift.io/v1]
- Storage [operator.openshift.io/v1]
- OperatorHub APIs
- 关于 OperatorHub APIs
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略API
- 项目API
- 供应API
- 关于供应API
- BMCEventSubscription [metal3.io/v1alpha1]
- BareMetalHost [metal3.io/v1alpha1]
- DataImage [metal3.io/v1alpha1]
- FirmwareSchema [metal3.io/v1alpha1]
- HardwareData [metal3.io/v1alpha1]
- HostFirmwareComponents [metal3.io/v1alpha1]
- HostFirmwareSettings [metal3.io/v1alpha1]
- Metal3Remediation [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3RemediationTemplate [infrastructure.cluster.x-k8s.io/v1beta1]
- PreprovisioningImage [metal3.io/v1alpha1]
- Provisioning [metal3.io/v1alpha1]
- RBAC API
- 角色API
- 调度和配额API
- 关于调度和配额API
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全API
- 关于安全API
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储API
- 关于存储API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板API
- 用户和组API
- 工作负载API
- 关于工作负载API
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和Istio的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版本的 3scale WebAssembly
- 2.0 版本的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
为服务配置 ExternalIPs
作为集群管理员,您可以指定一个外部IP地址块,该地址块可以向集群中的服务发送流量。
此功能通常最适用于安装在裸机硬件上的集群。
关于ExternalIP
对于非云环境,OpenShift Container Platform 通过**ExternalIP**功能支持将外部IP地址分配给Service对象的spec.externalIPs[]字段。通过设置此字段,OpenShift Container Platform会为服务分配一个额外的虚拟IP地址。IP地址可以在为集群定义的服务网络之外。配置了ExternalIP的服务的功能类似于type=NodePort的服务,允许您将流量定向到本地节点进行负载均衡。
您必须配置网络基础设施以确保您定义的外部IP地址块已路由到集群。因此,IP地址不会在节点的网络接口中配置。为了处理流量,您必须使用静态地址解析协议 (ARP) 条目等方法配置外部IP的路由和访问。
OpenShift Container Platform通过添加以下功能扩展了Kubernetes中的ExternalIP功能
-
通过可配置策略限制用户使用外部IP地址
-
根据请求自动为服务分配外部IP地址
|
默认情况下禁用,使用ExternalIP功能可能存在安全风险,因为到外部IP地址的集群内流量将定向到该服务。这可能允许集群用户拦截目标为外部资源的敏感流量。 |
|
此功能仅在非云部署中受支持。对于云部署,请使用负载均衡器服务来自动部署云负载均衡器以定位服务的端点。 |
您可以使用MetalLB实现或IP故障转移部署来通过以下方式将ExternalIP资源附加到服务
- 自动分配外部IP
-
当您创建设置了
spec.type=LoadBalancer的Service对象时,OpenShift Container Platform会自动将autoAssignCIDRsCIDR块中的IP地址分配到spec.externalIPs[]数组。在这种情况下,OpenShift Container Platform实现负载均衡器服务类型的非云版本,并将IP地址分配给服务。自动分配默认情况下已禁用,必须由集群管理员进行配置,如下节所述。 - 手动分配外部IP
-
当您创建
Service对象时,OpenShift Container Platform使用分配给spec.externalIPs[]数组的IP地址。您不能指定另一个服务已使用的IP地址。
ExternalIP配置
在OpenShift Container Platform中使用外部IP地址受名为cluster的Network.config.openshift.io CR中的以下字段控制
-
spec.externalIP.autoAssignCIDRs定义了负载均衡器在为服务选择外部 IP 地址时使用的 IP 地址块。OpenShift Container Platform 仅支持单个 IP 地址块用于自动分配。与手动为服务分配 ExternalIPs 时必须管理数量有限的共享 IP 地址的端口空间相比,这可能更简单。如果启用自动分配,则分配给具有spec.type=LoadBalancer的Service对象一个外部 IP 地址。 -
spec.externalIP.policy定义了手动指定 IP 地址时允许的 IP 地址块。OpenShift Container Platform 不会将策略规则应用于spec.externalIP.autoAssignCIDRs定义的 IP 地址块。
如果路由正确,则来自配置的外部 IP 地址块的外部流量可以通过服务公开的任何 TCP 或 UDP 端口到达服务端点。
|
作为集群管理员,您必须配置到 externalIPs 的路由。您还必须确保您分配的 IP 地址块终止于集群中的一个或多个节点。有关更多信息,请参见 Kubernetes 外部 IP。 |
OpenShift Container Platform 支持 IP 地址的自动和手动分配,并保证每个地址最多分配给一个服务。这确保每个服务都可以公开其选择的端口,而不管其他服务公开的端口。
|
要在 OpenShift Container Platform 中使用 |
以下 YAML 描述了一个配置了外部 IP 地址的服务
具有已设置
spec.externalIPs[] 的示例 Service 对象外部 IP 地址分配限制
作为集群管理员,您可以指定允许和拒绝的 IP 地址块。
限制仅适用于没有 cluster-admin 权限的用户。集群管理员始终可以将服务 spec.externalIPs[] 字段设置为任何 IP 地址。
您可以通过指定 spec.ExternalIP.policy 字段来定义 policy 对象来配置 IP 地址策略。策略对象具有以下结构
{
"policy": {
"allowedCIDRs": [],
"rejectedCIDRs": []
}
}配置策略限制时,适用以下规则
-
如果设置了
policy={},则创建具有已设置spec.ExternalIPs[]的Service对象将失败。这是 OpenShift Container Platform 的默认值。设置policy=null时的行为相同。 -
如果设置了
policy,并且设置了policy.allowedCIDRs[]或policy.rejectedCIDRs[],则适用以下规则-
如果同时设置了
allowedCIDRs[]和rejectedCIDRs[],则rejectedCIDRs[]优先于allowedCIDRs[]。 -
如果设置了
allowedCIDRs[],则只有在允许指定的 IP 地址时,创建具有spec.ExternalIPs[]的Service对象才会成功。 -
如果设置了
rejectedCIDRs[],则只有在未拒绝指定的 IP 地址时,创建具有spec.ExternalIPs[]的Service对象才会成功。
-
示例策略对象
以下示例演示了几种不同的策略配置。
-
在以下示例中,策略阻止 OpenShift Container Platform 创建任何指定了外部 IP 地址的服务
拒绝为Service对象spec.externalIPs[]指定的任何值的示例策略apiVersion: config.openshift.io/v1 kind: Network metadata: name: cluster spec: externalIP: policy: {} ... -
在以下示例中,同时设置了
allowedCIDRs和rejectedCIDRs字段。包含允许和拒绝的 CIDR 块的示例策略apiVersion: config.openshift.io/v1 kind: Network metadata: name: cluster spec: externalIP: policy: allowedCIDRs: - 172.16.66.10/23 rejectedCIDRs: - 172.16.66.10/24 ... -
在以下示例中,
policy设置为null。如果设置为null,则通过输入oc get networks.config.openshift.io -o yaml检查配置对象时,policy字段将不会出现在输出中。允许为Service对象spec.externalIPs[]指定的任何值的示例策略apiVersion: config.openshift.io/v1 kind: Network metadata: name: cluster spec: externalIP: policy: null ...
ExternalIP 地址块配置
ExternalIP 地址块的配置由名为 cluster 的网络自定义资源 (CR) 定义。Network CR 是 config.openshift.io API 组的一部分。
|
在集群安装期间,集群版本运算符 (CVO) 会自动创建名为 |
以下 YAML 描述了 ExternalIP 配置
名为
cluster 的 Network.config.openshift.io CRapiVersion: config.openshift.io/v1
kind: Network
metadata:
name: cluster
spec:
externalIP:
autoAssignCIDRs: [] (1)
policy: (2)
...| 1 | 以 CIDR 格式定义可用于自动将外部 IP 地址分配给服务的 IP 地址块。只允许单个 IP 地址范围。 |
| 2 | 定义对手动将 IP 地址分配给服务的限制。如果未定义任何限制,则不允许在 Service 对象中指定 spec.externalIP 字段。默认情况下,未定义任何限制。 |
以下 YAML 描述了 policy 部分的字段
Network.config.openshift.io
policy 部分policy:
allowedCIDRs: [] (1)
rejectedCIDRs: [] (2)| 1 | 以 CIDR 格式列出的允许的 IP 地址范围。 |
| 2 | 以 CIDR 格式列出的拒绝的 IP 地址范围。 |
示例外部 IP 配置
以下示例显示了外部 IP 地址池的几种可能的配置
-
以下 YAML 描述了启用自动分配的外部 IP 地址的配置
设置了spec.externalIP.autoAssignCIDRs的示例配置apiVersion: config.openshift.io/v1 kind: Network metadata: name: cluster spec: ... externalIP: autoAssignCIDRs: - 192.168.132.254/29 -
以下 YAML 配置允许和拒绝的 CIDR 范围的策略规则
设置了spec.externalIP.policy的示例配置apiVersion: config.openshift.io/v1 kind: Network metadata: name: cluster spec: ... externalIP: policy: allowedCIDRs: - 192.168.132.0/29 - 192.168.132.8/29 rejectedCIDRs: - 192.168.132.7/32
为您的集群配置外部 IP 地址块
作为集群管理员,您可以配置以下 ExternalIP 设置
-
OpenShift Container Platform 用于自动填充
Service对象的spec.clusterIP字段的 ExternalIP 地址块。 -
一个策略对象,用于限制可以手动分配给
Service对象的spec.clusterIP数组的 IP 地址。
先决条件
-
安装 OpenShift CLI (
oc)。 -
以具有
cluster-admin角色的用户身份访问集群。
步骤
-
可选:要显示当前的外部 IP 配置,请输入以下命令
$ oc describe networks.config cluster -
要编辑配置,请输入以下命令
$ oc edit networks.config cluster -
修改 ExternalIP 配置,例如:
apiVersion: config.openshift.io/v1 kind: Network metadata: name: cluster spec: ... externalIP: (1) ...1 指定 externalIP部分的配置。 -
要确认更新后的 ExternalIP 配置,请输入以下命令
$ oc get networks.config cluster -o go-template='{{.spec.externalIP}}{{"\n"}}'