指定 BGP 广告的名称。
- 文档
- OpenShift Container Platform
- 网络
- 使用 MetalLB 进行负载均衡
- 广告 IP 地址池 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的中心)访问。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义配置安装集群
- 在 GCP 上使用网络自定义配置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在 GCP 的受限网络中使用用户配置的基础设施安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的GCP集群
- 在IBM Cloud上安装
- 在Nutanix上安装
- 使用辅助安装程序在本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在IBM Cloud(经典版)上安装
- 在IBM Z和IBM LinuxONE上安装
- 在IBM Power上安装
- 在IBM Power虚拟服务器上安装
- 在OpenStack上安装
- 在OCI上安装
- 在VMware vSphere上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在OpenShift集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在Azure上创建具有多架构计算机的集群
- 在AWS上创建具有多架构计算机的集群
- 在GCP上创建具有多架构计算机的集群
- 在裸机、IBM Power或IBM Z上创建具有多架构计算机的集群
- 在使用z/VM的IBM Z和IBM LinuxONE上创建具有多架构计算机的集群
- 在 LPAR 中使用 IBM Z 和 IBM LinuxONE 创建具有多架构计算机的集群
- 使用 RHEL KVM 在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 管理您的多架构计算集群
- 使用多架构调整运算符管理多架构集群上的工作负载
- 多架构调整运算符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 准备用户
- 更改云提供商凭据配置
- 配置警报通知
- 将已连接集群转换为断开连接集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全性和合规性
- 安全性和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器运算符
- 适用于 Red Hat OpenShift 的 cert-manager 运算符
- 适用于 Red Hat OpenShift 的 cert-manager 运算符概述
- 适用于 Red Hat OpenShift 的 cert-manager 运算符发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 运算符
- 配置出站代理
- 使用 cert-manager 运算符 API 字段自定义 cert-manager
- 验证适用于 Red Hat OpenShift 的 cert-manager 运算符
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用适用于 Red Hat OpenShift 的 cert-manager 运算符保护路由
- 监控适用于 Red Hat OpenShift 的 cert-manager 运算符
- 配置 cert-manager 和适用于 Red Hat OpenShift 的 cert-manager 运算符的日志级别
- 卸载适用于 Red Hat OpenShift 的 cert-manager 运算符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络运算符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络附件
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作员
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 在非优雅节点关机后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作员
- AWS Elastic File Service CSI 驱动程序操作员
- Azure 磁盘 CSI 驱动程序操作员
- Azure 文件 CSI 驱动程序操作员
- Azure Stack Hub CSI 驱动程序操作员
- GCP PD CSI 驱动程序操作员
- GCP Filestore CSI 驱动程序操作员
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作员
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作员
- OpenStack Cinder CSI 驱动程序操作员
- OpenStack Manila CSI 驱动程序操作员
- Secrets Store CSI 驱动程序操作员
- CIFS/SMB CSI 驱动程序操作员
- VMware vSphere CSI 驱动程序操作员
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作员
- 操作员概述
- 了解操作员
- 用户任务
- 管理员任务
- 开发操作员
- 集群 Operators 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器操作符自动缩放 Pod
- 控制 Pod 到节点的放置(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证用于 vDU 应用程序工作负载的集群调整
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用 Hub 模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第二日运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包
- API 参考
- API 概述
- 常见对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- 资源访问审查 [authorization.openshift.io/v1]
- 自身主体规则审查 [authorization.openshift.io/v1]
- 主体访问审查 [authorization.openshift.io/v1]
- 主体规则审查 [authorization.openshift.io/v1]
- 自身主体审查 [authentication.k8s.io/v1]
- 令牌请求 [authentication.k8s.io/v1]
- 令牌审查 [authentication.k8s.io/v1]
- 本地主体访问审查 [authorization.k8s.io/v1]
- 自身主体访问审查 [authorization.k8s.io/v1]
- 自身主体规则审查 [authorization.k8s.io/v1]
- 主体访问审查 [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- API 服务器 [config.openshift.io/v1]
- 身份验证 [config.openshift.io/v1]
- 构建 [config.openshift.io/v1]
- 集群操作符 [config.openshift.io/v1]
- 集群版本 [config.openshift.io/v1]
- 控制台 [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- 特性开关 [config.openshift.io/v1]
- Helm 图表仓库 [helm.openshift.io/v1beta1]
- 镜像 [config.openshift.io/v1]
- 镜像摘要镜像集 [config.openshift.io/v1]
- 镜像内容策略 [config.openshift.io/v1]
- 镜像标签镜像集 [config.openshift.io/v1]
- 基础设施 [config.openshift.io/v1]
- 入口 [config.openshift.io/v1]
- 网络 [config.openshift.io/v1]
- 节点 [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- 项目 [config.openshift.io/v1]
- 项目 Helm 图表仓库 [helm.openshift.io/v1beta1]
- 代理 [config.openshift.io/v1]
- 调度器 [config.openshift.io/v1]
- 控制台 API
- 扩展 API
- 镜像 API
- 机器 API
- 关于机器 API
- 容器运行时配置 [machineconfiguration.openshift.io/v1]
- 控制器配置 [machineconfiguration.openshift.io/v1]
- 控制平面机器集 [machine.openshift.io/v1]
- Kubelet 配置 [machineconfiguration.openshift.io/v1]
- 机器配置 [machineconfiguration.openshift.io/v1]
- 机器配置池 [machineconfiguration.openshift.io/v1]
- 机器健康检查 [machine.openshift.io/v1beta1]
- 机器 [machine.openshift.io/v1beta1]
- 机器集 [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- Alertmanager 配置 [monitoring.coreos.com/v1beta1]
- 告警重新标记配置 [monitoring.openshift.io/v1]
- 告警规则 [monitoring.openshift.io/v1]
- Pod 监控 [monitoring.coreos.com/v1]
- 探针 [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- Prometheus 规则 [monitoring.coreos.com/v1]
- 服务监控 [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- 节点指标 [metrics.k8s.io/v1beta1]
- Pod 指标 [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- 管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 基于策略的管理员外部路由 [k8s.ovn.org/v1]
- 基线管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 云专用 IP 配置 [cloud.network.openshift.io/v1]
- 出站防火墙 [k8s.ovn.org/v1]
- 出站 IP [k8s.ovn.org/v1]
- 出站 QoS [k8s.ovn.org/v1]
- 出站服务 [k8s.ovn.org/v1]
- 端点 [undefined/v1]
- 端点切片 [discovery.k8s.io/v1]
- 出站路由器 [network.operator.openshift.io/v1]
- 入口 [networking.k8s.io/v1]
- 入口类 [networking.k8s.io/v1]
- IP 池 [whereabouts.cni.cncf.io/v1alpha1]
- 多网络策略 [k8s.cni.cncf.io/v1beta1]
- 网络附件定义 [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围 IP 预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod 网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点 API
- OAuth API
- Operator API
- 关于 Operator API
- 身份验证 [operator.openshift.io/v1]
- 云凭证 [operator.openshift.io/v1]
- 集群 CSI 驱动程序 [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI 快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS 记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容来源策略 [operator.openshift.io/v1alpha1]
- 镜像清理程序 [imageregistry.operator.openshift.io/v1]
- 入口控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- Kube-apiserver [operator.openshift.io/v1]
- Kube-controller-manager [operator.openshift.io/v1]
- Kube-scheduler [operator.openshift.io/v1]
- Kube 存储版本迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShift API 服务器 [operator.openshift.io/v1]
- OpenShift 控制器管理器 [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务 CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM 配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator 条件 [operators.coreos.com/v2]
- Operator 组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略 API
- 项目 API
- 预配 API
- 关于预配 API
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸机主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3 补救 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3 补救模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配镜像 [metal3.io/v1alpha1]
- 预配 [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 关于调度和配额 API
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全 API
- 关于安全 API
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储 API
- 关于存储 API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和追踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版本的 3scale WebAssembly
- 2.0 版本的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
关于 IP 地址池的广告
您可以配置 MetalLB,以便使用第 2 层协议、BGP 协议或两者同时广告 IP 地址。使用第 2 层,MetalLB 提供容错的外部 IP 地址。使用 BGP,MetalLB 提供外部 IP 地址的容错性和负载均衡。
MetalLB 支持对同一组 IP 地址使用 L2 和 BGP 进行广告。
MetalLB 提供灵活性,可以有效地将地址池分配给特定的 BGP 对等体,从而分配到网络上的节点子集。这允许更复杂的配置,例如促进节点隔离或网络分割。
关于 BGPAdvertisement 自定义资源
BGPAdvertisements 对象的字段定义在下面的表格中
| 字段 | 类型 | 描述 | ||
|---|---|---|---|---|
|
|
|||
|
|
指定 BGP 广告的命名空间。指定与 MetalLB 运算符使用的命名空间相同的命名空间。 |
||
|
|
可选:指定要在 32 位 CIDR 掩码中包含的位数。为了聚合发言者向 BGP 对等体通告的路由,将掩码应用于多个服务 IP 地址的路由,并且发言者通告聚合的路由。例如,如果聚合长度为 |
||
|
|
可选:指定要在 128 位 CIDR 掩码中包含的位数。例如,如果聚合长度为 |
||
|
|
可选:指定一个或多个 BGP 社区。每个社区都指定为两个 16 位值,用冒号字符分隔。众所周知的社区必须指定为 16 位值
|
||
|
|
可选:指定此广告的本地首选项。此 BGP 属性适用于自治系统内的 BGP 会话。 |
||
|
|
可选:使用此广告通告的 |
||
|
|
可选:用于使用此广告通告的 |
||
|
|
可选: |
||
|
|
可选:Peers 将通告所选池的 IP 的 BGP 对等体限制为此。为空时,负载均衡器 IP 将通告给配置的所有 BGP 对等体。 |
使用 BGP 广告配置 MetalLB 及其基本用例
按如下方式配置 MetalLB,以便对等 BGP 路由器为 MetalLB 分配给服务的每个负载均衡器 IP 地址接收一个203.0.113.200/32路由和一个fc00:f853:ccd:e799::1/128路由。由于未指定localPref和communities字段,因此路由将使用设置为零的localPref和无 BGP 社区进行通告。
示例:使用 BGP 通告基本地址池配置
按如下方式配置 MetalLB,以便使用 BGP 协议通告IPAddressPool。
先决条件
-
安装 OpenShift CLI(
oc)。 -
以具有
cluster-admin权限的用户身份登录。
步骤
-
创建一个 IP 地址池。
-
创建一个文件,例如
ipaddresspool.yaml,其内容类似于以下示例apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: namespace: metallb-system name: doc-example-bgp-basic spec: addresses: - 203.0.113.200/30 - fc00:f853:ccd:e799::/124 -
应用 IP 地址池的配置
$ oc apply -f ipaddresspool.yaml
-
-
创建一个 BGP 广告。
-
创建一个文件,例如
bgpadvertisement.yaml,其内容类似于以下示例apiVersion: metallb.io/v1beta1 kind: BGPAdvertisement metadata: name: bgpadvertisement-basic namespace: metallb-system spec: ipAddressPools: - doc-example-bgp-basic -
应用配置
$ oc apply -f bgpadvertisement.yaml
-
使用 BGP 广告配置 MetalLB 及其高级用例
按照以下步骤配置 MetalLB,使其在 203.0.113.200 到 203.0.113.203 以及 fc00:f853:ccd:e799::0 到 fc00:f853:ccd:e799::f 范围内为负载均衡服务分配 IP 地址。
为了解释这两个 BGP 通告,考虑 MetalLB 将 203.0.113.200 IP 地址分配给某个服务的情况。以该 IP 地址为例,speaker 会向 BGP 对等体通告两条路由。
-
203.0.113.200/32,localPref设置为100,社区属性设置为NO_ADVERTISE社区的数值。此规范指示对等路由器可以使用此路由,但不应将其传播给其他 BGP 对等体。 -
203.0.113.200/30,将 MetalLB 分配的负载均衡器 IP 地址聚合到单条路由中。MetalLB 以社区属性设置为8000:800向 BGP 对等体通告此聚合路由。BGP 对等体将203.0.113.200/30路由传播到其他 BGP 对等体。当流量路由到具有 speaker 的节点时,将使用203.0.113.200/32路由将流量转发到集群和与服务关联的 Pod。
随着您添加更多服务以及 MetalLB 从池中分配更多负载均衡器 IP 地址,对等路由器将为每个服务接收一条本地路由 203.0.113.20x/32,以及 203.0.113.200/30 聚合路由。您添加的每个服务都会生成 /30 路由,但 MetalLB 会在与对等路由器通信之前将路由去重为一个 BGP 通告。
示例:使用 BGP 通告高级地址池配置
按如下方式配置 MetalLB,以便使用 BGP 协议通告IPAddressPool。
先决条件
-
安装 OpenShift CLI(
oc)。 -
以具有
cluster-admin权限的用户身份登录。
步骤
-
创建一个 IP 地址池。
-
创建一个文件,例如
ipaddresspool.yaml,其内容类似于以下示例apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: namespace: metallb-system name: doc-example-bgp-adv labels: zone: east spec: addresses: - 203.0.113.200/30 - fc00:f853:ccd:e799::/124 autoAssign: false -
应用 IP 地址池的配置
$ oc apply -f ipaddresspool.yaml
-
-
创建一个 BGP 广告。
-
创建一个文件,例如
bgpadvertisement1.yaml,其内容如下例所示apiVersion: metallb.io/v1beta1 kind: BGPAdvertisement metadata: name: bgpadvertisement-adv-1 namespace: metallb-system spec: ipAddressPools: - doc-example-bgp-adv communities: - 65535:65282 aggregationLength: 32 localPref: 100 -
应用配置
$ oc apply -f bgpadvertisement1.yaml -
创建一个文件,例如
bgpadvertisement2.yaml,其内容如下例所示apiVersion: metallb.io/v1beta1 kind: BGPAdvertisement metadata: name: bgpadvertisement-adv-2 namespace: metallb-system spec: ipAddressPools: - doc-example-bgp-adv communities: - 8000:800 aggregationLength: 30 aggregationLengthV6: 124 -
应用配置
$ oc apply -f bgpadvertisement2.yaml
-
从节点子集通告 IP 地址池
要仅从特定节点集通告 IP 地址池中的 IP 地址,请在 BGPAdvertisement 自定义资源中使用 .spec.nodeSelector 规范。此规范将 IP 地址池与集群中的一组节点关联。当集群中节点位于不同的子网上,并且您只想从特定子网(例如,仅公共子网)通告地址池中的 IP 地址时,这非常有用。
先决条件
-
安装 OpenShift CLI(
oc)。 -
以具有
cluster-admin权限的用户身份登录。
步骤
-
使用自定义资源创建 IP 地址池
apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: namespace: metallb-system name: pool1 spec: addresses: - 4.4.4.100-4.4.4.200 - 2001:100:4::200-2001:100:4::400 -
通过定义 BGPAdvertisement 自定义资源中的
.spec.nodeSelector值来控制集群中哪些节点通告来自pool1的 IP 地址。apiVersion: metallb.io/v1beta1 kind: BGPAdvertisement metadata: name: example spec: ipAddressPools: - pool1 nodeSelector: - matchLabels: kubernetes.io/hostname: NodeA - matchLabels: kubernetes.io/hostname: NodeB
在此示例中,来自 pool1 的 IP 地址仅由 NodeA 和 NodeB 通告。
关于 L2Advertisement 自定义资源
l2Advertisements 对象的字段在以下表格中定义
| 字段 | 类型 | 描述 | ||
|---|---|---|---|---|
|
|
指定 L2 通告的名称。 |
||
|
|
指定 L2 通告的命名空间。指定与 MetalLB 运算符使用的命名空间相同。 |
||
|
|
可选:使用此广告通告的 |
||
|
|
可选:用于使用此广告通告的 |
||
|
|
可选:
|
||
|
|
可选:用于通告负载均衡器 IP 的 |
使用 L2 通告配置 MetalLB
按照以下步骤配置 MetalLB,以便使用 L2 协议通告 IPAddressPool。
先决条件
-
安装 OpenShift CLI(
oc)。 -
以具有
cluster-admin权限的用户身份登录。
步骤
-
创建一个 IP 地址池。
-
创建一个文件,例如
ipaddresspool.yaml,其内容类似于以下示例apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: namespace: metallb-system name: doc-example-l2 spec: addresses: - 4.4.4.0/24 autoAssign: false -
应用 IP 地址池的配置
$ oc apply -f ipaddresspool.yaml
-
-
创建一个 L2 通告。
-
创建一个文件,例如
l2advertisement.yaml,其内容如下例所示apiVersion: metallb.io/v1beta1 kind: L2Advertisement metadata: name: l2advertisement namespace: metallb-system spec: ipAddressPools: - doc-example-l2 -
应用配置
$ oc apply -f l2advertisement.yaml
-
使用 L2 通告和标签配置 MetalLB
BGPAdvertisement 和 L2Advertisement 自定义资源定义中的 ipAddressPoolSelectors 字段用于基于分配给 IPAddressPool 的标签而不是名称本身将 IPAddressPool 与通告关联。
此示例演示如何通过配置 ipAddressPoolSelectors 字段来配置 MetalLB,以便使用 L2 协议通告 IPAddressPool。
先决条件
-
安装 OpenShift CLI(
oc)。 -
以具有
cluster-admin权限的用户身份登录。
步骤
-
创建一个 IP 地址池。
-
创建一个文件,例如
ipaddresspool.yaml,其内容类似于以下示例apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: namespace: metallb-system name: doc-example-l2-label labels: zone: east spec: addresses: - 172.31.249.87/32 -
应用 IP 地址池的配置
$ oc apply -f ipaddresspool.yaml
-
-
创建一个使用
ipAddressPoolSelectors通告 IP 的 L2 通告。-
创建一个文件,例如
l2advertisement.yaml,其内容如下例所示apiVersion: metallb.io/v1beta1 kind: L2Advertisement metadata: name: l2advertisement-label namespace: metallb-system spec: ipAddressPoolSelectors: - matchExpressions: - key: zone operator: In values: - east -
应用配置
$ oc apply -f l2advertisement.yaml
-
为选定的接口配置使用 L2 通告的 MetalLB
默认情况下,已分配给服务的 IP 地址池中的 IP 地址将从所有网络接口通告。L2Advertisement 自定义资源定义中的 interfaces 字段用于限制通告 IP 地址池的网络接口。
此示例演示如何配置 MetalLB,以便仅从所有节点的 interfaces 字段中列出的网络接口通告 IP 地址池。
先决条件
-
您已安装 OpenShift CLI (
oc)。 -
您已以具有
cluster-admin权限的用户身份登录。
步骤
-
创建一个 IP 地址池。
-
创建一个文件,例如
ipaddresspool.yaml,并输入如下例所示的配置详细信息apiVersion: metallb.io/v1beta1 kind: IPAddressPool metadata: namespace: metallb-system name: doc-example-l2 spec: addresses: - 4.4.4.0/24 autoAssign: false -
应用 IP 地址池的配置,如下例所示
$ oc apply -f ipaddresspool.yaml
-
-
创建一个使用
interfaces选择器通告 IP 的 L2 通告。-
创建一个 YAML 文件,例如
l2advertisement.yaml,并输入如下例所示的配置详细信息apiVersion: metallb.io/v1beta1 kind: L2Advertisement metadata: name: l2advertisement namespace: metallb-system spec: ipAddressPools: - doc-example-l2 interfaces: - interfaceA - interfaceB -
应用通告的配置,如下例所示
$ oc apply -f l2advertisement.yaml
-
|
接口选择器不会影响 MetalLB 使用 L2 选择通告给定 IP 的节点的方式。如果节点没有选择的接口,则选择的节点不会通告服务。 |
配置具有辅助网络的 MetalLB
从 OpenShift Container Platform 4.14 开始,默认网络行为是不允许在网络接口之间转发 IP 数据包。因此,当在辅助接口上配置 MetalLB 时,您需要添加机器配置以仅为所需的接口启用 IP 转发。
|
从 4.13 升级的 OpenShift Container Platform 集群不受影响,因为在升级过程中会设置全局参数以启用全局 IP 转发。 |
要为辅助接口启用 IP 转发,您有两种选择
-
为特定接口启用 IP 转发。
-
为所有接口启用 IP 转发。
为特定接口启用 IP 转发可以提供更精细的控制,而为所有接口启用 IP 转发则应用全局设置。
为特定接口启用 IP 转发
步骤
-
通过运行以下命令修补集群网络操作符,将参数
routingViaHost设置为true$ oc patch network.operator cluster -p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"gatewayConfig": {"routingViaHost": true} }}}}' --type=merge -
通过创建和应用
MachineConfigCR,为特定辅助接口(例如bridge-net)启用转发-
在本地机器上运行以下命令,对用于配置网络内核参数的字符串进行 Base64 编码
$ echo -e "net.ipv4.conf.bridge-net.forwarding = 1\nnet.ipv6.conf.bridge-net.forwarding = 1\nnet.ipv4.conf.bridge-net.rp_filter = 0\nnet.ipv6.conf.bridge-net.rp_filter = 0" | base64 -w0示例输出bmV0LmlwdjQuY29uZi5icmlkZ2UtbmV0LmZvcndhcmRpbmcgPSAxCm5ldC5pcHY2LmNvbmYuYnJpZGdlLW5ldC5mb3J3YXJkaW5nID0gMQpuZXQuaXB2NC5jb25mLmJyaWRnZS1uZXQucnBfZmlsdGVyID0gMApuZXQuaXB2Ni5jb25mLmJyaWRnZS1uZXQucnBfZmlsdGVyID0gMAo= -
创建
MachineConfigCR 以为名为bridge-net的指定辅助接口启用 IP 转发。 -
将以下 YAML 保存到
enable-ip-forward.yaml文件中apiVersion: machineconfiguration.openshift.io/v1 kind: MachineConfig metadata: labels: machineconfiguration.openshift.io/role: <node_role> (1) name: 81-enable-global-forwarding spec: config: ignition: version: 3.2.0 storage: files: - contents: source: data:text/plain;charset=utf-8;base64,bmV0LmlwdjQuY29uZi5icmlkZ2UtbmV0LmZvcndhcmRpbmcgPSAxCm5ldC5pcHY2LmNvbmYuYnJpZGdlLW5ldC5mb3J3YXJkaW5nID0gMQpuZXQuaXB2NC5jb25mLmJyaWRnZS1uZXQucnBfZmlsdGVyID0gMApuZXQuaXB2Ni5jb25mLmJyaWRnZS1uZXQucnBfZmlsdGVyID0gMAo= (2) verification: {} filesystem: root mode: 644 path: /etc/sysctl.d/enable-global-forwarding.conf osImageURL: ""1 您要启用 IP 转发的节点角色,例如 worker2 使用生成的 Base64 字符串填充 -
运行以下命令应用配置
$ oc apply -f enable-ip-forward.yaml
-
验证
-
应用机器配置后,请按照以下步骤验证更改
-
通过运行以下命令进入目标节点的调试会话
$ oc debug node/<node-name>此步骤实例化一个名为
<node-name>-debug的调试 Pod。 -
在调试 shell 中将
/host设置为根目录,运行以下命令$ chroot /host调试 Pod 将宿主的根文件系统挂载到 Pod 内的
/host。通过将根目录更改为/host,您可以运行包含在主机可执行路径中的二进制文件。 -
运行以下命令验证是否启用了 IP 转发
$ cat /etc/sysctl.d/enable-global-forwarding.conf预期输出net.ipv4.conf.bridge-net.forwarding = 1 net.ipv6.conf.bridge-net.forwarding = 1 net.ipv4.conf.bridge-net.rp_filter = 0 net.ipv6.conf.bridge-net.rp_filter = 0输出指示在
bridge-net接口上启用了 IPv4 和 IPv6 数据包转发。
-