"event":"ipAllocated","ip":"172.22.0.201","msg":"IP address assigned by controller- 文档
- OpenShift 容器平台
- 网络
- 网络运算符
- MetalLB 运算符
- 关于 MetalLB 和 MetalLB 运算符 history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久后将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 离线环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 在现有 GCP VPC 中安装集群
- 在共享 GCP VPC 中安装集群
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板在共享 GCP VPC 中安装集群
- 在具有用户预配基础设施的受限 GCP 网络中安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序安装本地部署
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power Virtual Server 上安装
- 准备在 IBM Power Virtual Server 上安装
- 配置 IBM Cloud 帐户
- 创建 IBM Power Virtual Server 工作区
- 在 IBM Power Virtual Server 上安装具有自定义设置的集群
- 在现有 VPC 中在 IBM Power Virtual Server 上安装集群
- 在 IBM Power Virtual Server 上安装私有集群
- 在受限网络的 IBM Power Virtual Server 上安装集群
- 卸载 IBM Power Virtual Server 上的集群
- IBM Power Virtual Server 的安装配置参数
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装具有自定义设置的集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像仓库
- 存储配置
- 准备用户
- 更改云提供商凭据配置
- 配置告警通知
- 将已连接集群转换为离线集群
- 更新集群
- 支持
- Web控制台
- CLI工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性Operator
- 文件完整性Operator
- 安全配置文件Operator
- NBDE Tang Server Operator
- Red Hat OpenShift 的 cert-manager 操作员
- Red Hat OpenShift 的 cert-manager 操作员概述
- Red Hat OpenShift 的 cert-manager 操作员发行说明
- 安装 Red Hat OpenShift 的 cert-manager 操作员
- 配置出口代理
- 使用 cert-manager 操作员 API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager 操作员
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager 操作员保护路由
- 监控 Red Hat OpenShift 的 cert-manager 操作员
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager 操作员的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 操作员
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许基于 JavaScript 的 API 服务器访问来自其他主机的访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作员
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口(CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源CSI驱动程序操作员
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 非正常节点关闭后分离CSI卷
- AWS弹性块存储CSI驱动程序操作员
- AWS弹性文件系统CSI驱动程序操作员
- Azure磁盘CSI驱动程序操作员
- Azure文件CSI驱动程序操作员
- Azure Stack Hub CSI驱动程序操作员
- GCP PD CSI驱动程序操作员
- GCP Filestore CSI驱动程序操作员
- IBM云块存储(VPC) CSI驱动程序操作员
- IBM Power虚拟服务器块存储CSI驱动程序操作员
- OpenStack Cinder CSI驱动程序操作员
- OpenStack Manila CSI驱动程序操作员
- Secrets Store CSI驱动程序操作员
- CIFS/SMB CSI驱动程序操作员
- VMware vSphere CSI驱动程序操作员
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作员
- 操作员概述
- 了解操作员
- 用户任务
- 管理员任务
- 开发 Operator
- 集群 Operator 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器操作符自动缩放 Pod
- 控制 Pod 在节点上的放置(调度)
- 使用 Job 和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 为ZTP准备中心集群
- 更新GitOps ZTP
- 使用RHACM和SiteConfig资源安装托管集群
- 使用GitOps ZTP手动安装单节点OpenShift集群
- 推荐用于vDU应用程序工作负载的单节点OpenShift集群配置
- 验证vDU应用程序工作负载的集群调优
- 使用SiteConfig资源进行高级托管集群配置
- 使用PolicyGenerator资源管理集群策略
- 使用PolicyGenTemplate资源管理集群策略
- 在PolicyGenerator或PolicyGenTemplate CR中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用GitOps ZTP扩展单节点OpenShift集群
- 为单节点OpenShift部署预缓存镜像
- 单节点OpenShift集群的基于镜像的升级
- 单节点OpenShift的基于镜像的安装
- 电信核心CNF集群的第二日运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本3迁移到4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API参考
- API概述
- 常用对象参考
- 授权API
- 关于授权API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩API
- 集群API
- 配置API
- 关于配置API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台API
- 关于控制台API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展API
- 关于扩展API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像API
- 关于镜像API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器API
- 关于机器API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据API
- 监控API
- 关于监控API
- Alertmanager [monitoring.coreos.com/v1]
- Alertmanager 配置 [monitoring.coreos.com/v1beta1]
- 告警重标签配置 [monitoring.openshift.io/v1]
- 告警规则 [monitoring.openshift.io/v1]
- Pod 监控 [monitoring.coreos.com/v1]
- 探针 [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- Prometheus 规则 [monitoring.coreos.com/v1]
- 服务监控 [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- 节点指标 [metrics.k8s.io/v1beta1]
- Pod 指标 [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- 管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 基于策略的管理员外部路由 [k8s.ovn.org/v1]
- 基线管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 云私有 IP 配置 [cloud.network.openshift.io/v1]
- 出站防火墙 [k8s.ovn.org/v1]
- 出站 IP [k8s.ovn.org/v1]
- 出站 QoS [k8s.ovn.org/v1]
- 出站服务 [k8s.ovn.org/v1]
- 端点 [undefined/v1]
- 端点切片 [discovery.k8s.io/v1]
- 出站路由器 [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- Ingress 类 [networking.k8s.io/v1]
- IP 池 [whereabouts.cni.cncf.io/v1alpha1]
- 多网络策略 [k8s.cni.cncf.io/v1beta1]
- 网络附件定义 [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围 IP 预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod 网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点 API
- OAuth API
- Operator API
- 关于 Operator API
- 认证 [operator.openshift.io/v1]
- 云凭证 [operator.openshift.io/v1]
- 集群 CSI 驱动程序 [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI 快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS 记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress 控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务 CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM 配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator 条件 [operators.coreos.com/v2]
- Operator 组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略 API
- 项目 API
- 供应 API
- 关于供应 API
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸机主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3 补救 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3 补救模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 安全 API
- 关于安全 API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod 安全策略审查 [security.openshift.io/v1]
- Pod 安全策略自身主体审查 [security.openshift.io/v1]
- Pod 安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储 API
- 关于存储 API
- CSI 驱动程序 [storage.k8s.io/v1]
- CSI 节点 [storage.k8s.io/v1]
- CSI 存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 3scale WebAssembly 2.1 版
- 3scale Istio 适配器 2.0 版
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x 版
- 虚拟化
×
关于 MetalLB 和 MetalLB 运算符
作为集群管理员,您可以将 MetalLB 运算符添加到您的集群,以便当类型为 LoadBalancer 的服务添加到集群时,MetalLB 可以为该服务添加一个外部 IP 地址。外部 IP 地址将添加到集群的主机网络。
何时使用 MetalLB
当您拥有一个裸机集群或类似于裸机的基础设施,并且希望通过外部 IP 地址获得对应用程序的容错访问时,使用 MetalLB 非常有价值。
您必须配置您的网络基础设施,以确保外部 IP 地址的网络流量从客户端路由到集群的主机网络。
在使用 MetalLB 运算符部署 MetalLB 后,当您添加类型为 LoadBalancer 的服务时,MetalLB 将提供一个平台原生的负载均衡器。
当外部流量通过 MetalLB LoadBalancer 服务进入您的 OpenShift Container Platform 集群时,返回到客户端的流量将使用负载均衡器的外部 IP 地址作为源 IP。
在 2 层模式下运行的 MetalLB 通过使用类似于 IP 故障转移的机制来提供故障转移支持。但是,MetalLB 不依赖于虚拟路由器冗余协议 (VRRP) 和 keepalived,而是利用基于八卦的协议来识别节点故障实例。当检测到故障转移时,另一个节点将承担领导节点的角色,并发送 gratuitous ARP 消息来广播此更改。
在三层模式或边界网关协议 (BGP) 模式下运行的 MetalLB 将故障检测委托给网络。OpenShift Container Platform 节点已与其建立连接的 BGP 路由器(或路由器)将识别任何节点故障并终止到该节点的路由。
为了确保 Pod 和服务的可用性,最好使用 MetalLB 来代替 IP 故障转移。
MetalLB 运算符自定义资源
MetalLB 运算符监控其自身命名空间中的以下自定义资源
MetalLB-
当您向集群添加
MetalLB自定义资源时,MetalLB 运算符会在集群上部署 MetalLB。运算符仅支持单个自定义资源实例。如果删除该实例,运算符将从集群中删除 MetalLB。 IPAddressPool-
当您添加类型为
LoadBalancer的服务时,MetalLB 需要一个或多个 IP 地址池,以便可以将其分配给该服务。一个IPAddressPool包含一个 IP 地址列表。该列表可以是一个使用范围设置的单个 IP 地址(例如 1.1.1.1-1.1.1.1),一个用 CIDR 表示法指定的范围,一个用连字符分隔的起始和结束地址指定的范围,或者这三种的组合。一个IPAddressPool需要一个名称。文档中使用的名称例如doc-example、doc-example-reserved和doc-example-ipv6。MetalLBcontroller从IPAddressPool中的地址池分配 IP 地址。L2Advertisement和BGPAdvertisement自定义资源启用从给定池中宣传给定 IP。您可以通过使用IPAddressPool自定义资源中的spec.serviceAllocation规范将IPAddressPool中的 IP 地址分配给服务和命名空间。单个
IPAddressPool可以被 L2 广告和 BGP 广告引用。 BGPPeer-
BGP 对等体自定义资源标识 MetalLB 要与其通信的 BGP 路由器、路由器的 AS 号、MetalLB 的 AS 号以及路由宣传的自定义设置。MetalLB 将服务负载均衡器 IP 地址的路由宣传给一个或多个 BGP 对等体。
BFDProfile-
BFD 配置文件自定义资源配置 BGP 对等体的双向转发检测 (BFD)。BFD 提供比 BGP 单独提供的更快的路径故障检测。
L2Advertisement-
L2Advertisement 自定义资源使用 L2 协议宣传来自
IPAddressPool的 IP。 BGPAdvertisement-
BGPAdvertisement 自定义资源使用 BGP 协议宣传来自
IPAddressPool的 IP。
在您向集群添加MetalLB自定义资源并运算符部署 MetalLB 后,controller和speaker MetalLB 软件组件将开始运行。
MetalLB 验证所有相关的自定义资源。
MetalLB 软件组件
安装 MetalLB 运算符时,metallb-operator-controller-manager部署将启动一个 Pod。该 Pod 是运算符的实现。该 Pod 监控所有相关资源的变化。
当运算符启动 MetalLB 实例时,它会启动一个controller部署和一个speaker守护程序集。
|
您可以在 MetalLB 自定义资源中配置部署规范,以管理 |
controller-
运算符启动部署和单个 Pod。当您添加类型为
LoadBalancer的服务时,Kubernetes 使用controller从地址池分配 IP 地址。如果服务发生故障,请验证您的controllerPod 日志中是否包含以下条目示例输出 speaker-
运算符为
speakerPod 启动一个守护程序集。默认情况下,会在集群中的每个节点上启动一个 Pod。您可以通过在启动 MetalLB 时在MetalLB自定义资源中指定节点选择器来将 Pod 限制到特定节点。如果controller已将 IP 地址分配给服务,但服务仍不可用,请阅读speakerPod 日志。如果speakerPod 不可访问,请运行oc describe pod -n命令。对于 2 层模式,在
controller为服务分配 IP 地址后,speakerPod 将使用一种算法来确定集群中哪个节点上的哪个speakerPod 将宣布负载均衡器 IP 地址。该算法涉及对节点名称和负载均衡器 IP 地址进行哈希处理。有关更多信息,请参见“MetalLB 和外部流量策略”。speaker使用地址解析协议 (ARP) 来宣布 IPv4 地址,并使用邻居发现协议 (NDP) 来宣布 IPv6 地址。
对于边界网关协议 (BGP) 模式,在controller为服务分配 IP 地址后,每个speaker Pod 都将其 BGP 对等体宣传负载均衡器 IP 地址。您可以配置哪些节点与 BGP 对等体启动 BGP 会话。
对负载均衡器 IP 地址的请求将路由到具有宣布 IP 地址的speaker的节点。节点收到数据包后,服务代理将数据包路由到服务的端点。在最佳情况下,端点可以在同一节点上,也可以在另一个节点上。每次建立连接时,服务代理都会选择一个端点。
MetalLB 和外部流量策略
在 2 层模式下,集群中的一个节点接收服务 IP 地址的所有流量。在 BGP 模式下,主机网络上的路由器将为新的客户端连接打开到集群中一个节点的连接。集群在流量进入节点后如何处理流量会受到外部流量策略的影响。
cluster-
这是
spec.externalTrafficPolicy的默认值。使用
cluster流量策略,节点收到流量后,服务代理会将流量分发到服务中的所有 Pod。此策略提供跨 Pod 的统一流量分配,但它会隐藏客户端 IP 地址,并且在您的 Pod 中的应用程序看来,流量似乎源自节点而不是客户端。 local-
使用
local流量策略,节点收到流量后,服务代理只将流量发送到同一节点上的 Pod。例如,如果节点 A 上的speakerPod 宣布外部服务 IP,则所有流量都将发送到节点 A。流量进入节点 A 后,服务代理只将流量发送到也在节点 A 上的服务的 Pod。其他节点上的服务 Pod 不会从节点 A 接收任何流量。其他节点上的服务 Pod 在需要故障转移时充当副本。此策略不会影响客户端 IP 地址。应用程序 Pod 可以从传入连接确定客户端 IP 地址。
|
在 BGP 模式下配置外部流量策略时,以下信息非常重要。 尽管 MetalLB 从所有合格节点宣传负载均衡器 IP 地址,但服务的负载均衡节点数量可能会受到路由器建立等价多路径 (ECMP) 路由的能力的限制。如果宣传 IP 的节点数大于路由器的 ECMP 组限制,路由器将使用少于宣传 IP 的节点。 例如,如果外部流量策略设置为 |
2 层模式的 MetalLB 概念
在二层模式下,一个节点上的speaker Pod 会向主机网络广播服务的外部 IP 地址。从网络角度来看,该节点似乎有多个 IP 地址分配给一个网络接口。
|
在二层模式下,MetalLB 依赖于 ARP 和 NDP。这些协议在特定子网内实现本地地址解析。在这种情况下,为了 MetalLB 能够正常工作,客户端必须能够访问 MetalLB 分配的 VIP,该 VIP 必须与广播服务的节点位于同一子网。 |
speaker Pod 会响应 IPv4 服务的 ARP 请求和 IPv6 的 NDP 请求。
在二层模式下,服务 IP 地址的所有流量都通过一个节点路由。流量进入节点后,CNI 网络提供程序的服务代理会将流量分发到该服务的全部 Pod。
由于在二层模式下,服务的所有流量都通过单个节点进入,因此严格来说,MetalLB 没有实现二层负载均衡器。相反,MetalLB 为二层实现了故障转移机制,以便当speaker Pod不可用时,另一个节点上的speaker Pod可以广播服务 IP 地址。
当节点不可用时,故障转移是自动的。其他节点上的speaker Pod 会检测到节点不可用,然后新的speaker Pod 和节点会从失效的节点接管服务 IP 地址。
上图显示了与 MetalLB 相关的以下概念
-
一个应用程序可以通过一个在
172.130.0.0/16子网中具有集群 IP 的服务访问。该 IP 地址可在集群内部访问。该服务还具有 MetalLB 分配给服务的外部 IP 地址192.168.100.200。 -
节点 1 和 3 都有该应用程序的 Pod。
-
speakerDaemonSet 在每个节点上运行一个 Pod。MetalLB Operator 启动这些 Pod。 -
每个
speakerPod 都是一个主机网络 Pod。Pod 的 IP 地址与主机网络上节点的 IP 地址相同。 -
节点 1 上的
speakerPod 使用 ARP 广播服务的外部 IP 地址192.168.100.200。广播外部 IP 地址的speakerPod 必须与服务的端点位于同一节点,并且端点必须处于Ready状态。 -
客户端流量被路由到主机网络并连接到
192.168.100.200IP 地址。流量进入节点后,服务代理会根据为服务设置的外部流量策略将流量发送到同一节点或另一个节点上的应用程序 Pod。-
如果服务的外部流量策略设置为
cluster,则从运行speakerPod 的节点中选择广播192.168.100.200负载均衡器 IP 地址的节点。只有该节点才能接收服务的流量。 -
如果服务的外部流量策略设置为
local,则从运行speakerPod 的节点(并且至少有一个服务的端点)中选择广播192.168.100.200负载均衡器 IP 地址的节点。只有这些节点才能接收服务的流量。在上图中,节点 1 或 3 都可以广播192.168.100.200。
-
-
如果节点 1 变得不可用,则外部 IP 地址将故障转移到另一个节点。在具有应用程序 Pod 实例和服务端点的另一个节点上,
speakerPod 开始广播外部 IP 地址192.168.100.200,并且新节点接收客户端流量。在图中,唯一的候选节点是节点 3。
BGP 模式下的 MetalLB 概念
在 BGP 模式下,默认情况下,每个speaker Pod 会向每个 BGP 对等体广播服务的负载均衡器 IP 地址。还可以通过添加可选的 BGP 对等体列表,将来自给定池的 IP 地址广播到特定的一组对等体。BGP 对等体通常是配置为使用 BGP 协议的网络路由器。当路由器接收到负载均衡器 IP 地址的流量时,路由器会选择一个具有广播该 IP 地址的speaker Pod 的节点。路由器将流量发送到该节点。流量进入节点后,CNI 网络插件的服务代理会将流量分发到该服务的全部 Pod。
与集群节点位于同一二层网络段上的直连路由器可以配置为 BGP 对等体。如果未将直连路由器配置为 BGP 对等体,则需要配置网络,以便负载均衡器 IP 地址的数据包在 BGP 对等体和运行speaker Pod 的集群节点之间路由。
每次路由器接收到负载均衡器 IP 地址的新流量时,它都会创建一个与节点的新连接。每个路由器制造商都有一个特定于实现的算法来选择与哪个节点建立连接。但是,这些算法通常旨在跨可用节点分配流量,以平衡网络负载。
如果节点不可用,路由器将与另一个具有广播负载均衡器 IP 地址的speaker Pod 的节点建立新连接。
图 1. BGP 模式的 MetalLB 拓扑图
上图显示了与 MetalLB 相关的以下概念
-
一个应用程序可以通过一个在
172.130.0.0/16子网中具有 IPv4 集群 IP 的服务访问。该 IP 地址可在集群内部访问。该服务还具有 MetalLB 分配给服务的外部 IP 地址203.0.113.200。 -
节点 2 和 3 都有该应用程序的 Pod。
-
speakerDaemonSet 在每个节点上运行一个 Pod。MetalLB Operator 启动这些 Pod。您可以配置 MetalLB 以指定哪些节点运行speakerPod。 -
每个
speakerPod 都是一个主机网络 Pod。Pod 的 IP 地址与主机网络上节点的 IP 地址相同。 -
每个
speakerPod 都与所有 BGP 对等体启动 BGP 会话,并将负载均衡器 IP 地址或聚合路由广播到 BGP 对等体。speakerPod 宣告它们属于自治系统 65010。该图显示路由器 R1 作为同一自治系统中的 BGP 对等体。但是,您可以配置 MetalLB 以与属于其他自治系统的对等体启动 BGP 会话。 -
所有具有广播负载均衡器 IP 地址的
speakerPod 的节点都可以接收服务的流量。-
如果服务的外部流量策略设置为
cluster,则所有运行speakerPod 的节点都会广播203.0.113.200负载均衡器 IP 地址,并且所有具有speakerPod 的节点都可以接收服务的流量。主机前缀仅当外部流量策略设置为 cluster 时才被广播到路由器对等体。 -
如果服务的外部流量策略设置为
local,则所有运行speakerPod 的节点(并且至少有一个服务的端点正在运行)都可以广播203.0.113.200负载均衡器 IP 地址。只有这些节点才能接收服务的流量。在上图中,节点 2 和 3 将广播203.0.113.200。
-
-
您可以通过在添加 BGP 对等体自定义资源时指定节点选择器来配置 MetalLB,以控制哪些
speakerPod 与特定的 BGP 对等体启动 BGP 会话。 -
任何配置为使用 BGP 的路由器(例如 R1)都可以设置为 BGP 对等体。
-
客户端流量被路由到主机网络上的一个节点。流量进入节点后,服务代理会根据为服务设置的外部流量策略将流量发送到同一节点或另一个节点上的应用程序 Pod。
-
如果某个节点不可用,路由器会检测到故障并与另一个节点建立新的连接。您可以配置 MetalLB 使用双向转发检测 (BFD) 配置文件用于 BGP 对等体。BFD 提供更快的链路故障检测,以便路由器比没有 BFD 时更早地启动新的连接。
限制和约束
MetalLB 的基础设施注意事项
MetalLB 主要适用于本地裸机安装,因为这些安装不包含本机负载均衡器功能。除了裸机安装之外,在某些基础设施上安装 OpenShift Container Platform 也可能不包含本机负载均衡器功能。例如,以下基础设施可以从添加 MetalLB Operator 中受益:
-
裸机
-
VMware vSphere
-
IBM Z® 和 IBM® LinuxONE
-
用于 Red Hat Enterprise Linux (RHEL) KVM 的 IBM Z® 和 IBM® LinuxONE
-
IBM Power®
二层模式的限制
故障转移性能慢
节点之间的故障转移取决于客户端的配合。发生故障转移时,MetalLB 会发送 gratuitous ARP 数据包来通知客户端与服务 IP 关联的 MAC 地址已更改。
大多数客户端操作系统都能正确处理 gratuitous ARP 数据包并迅速更新其邻居缓存。当客户端快速更新其缓存时,故障转移会在几秒钟内完成。客户端通常会在 10 秒内故障转移到新节点。但是,某些客户端操作系统根本不处理 gratuitous ARP 数据包,或者具有过时的实现,从而延迟缓存更新。
Windows、macOS 和 Linux 等常见操作系统的最新版本正确地实现了二层故障转移。除了较旧和不太常见的客户端操作系统外,预计不会出现故障转移缓慢的问题。
为了最大程度地减少计划的故障转移对过时客户端的影响,在切换领导者后,让旧节点继续运行几分钟。旧节点可以继续为过时客户端转发流量,直到其缓存刷新。
在计划外的故障转移期间,服务 IP 在过时客户端刷新其缓存条目之前是不可访问的。
BGP 模式限制
节点故障可能会中断所有活动连接
MetalLB 共享基于 BGP 的负载均衡的常见限制。当 BGP 会话终止时(例如,节点发生故障或speaker Pod 重启时),会话终止可能会导致重置所有活动连接。最终用户可能会遇到Connection reset by peer 消息。
BGP 会话终止的后果对于每个路由器制造商来说都是特定于实现的。但是,您可以预期speaker Pod 数量的变化会影响 BGP 会话的数量,并且与 BGP 对等体的活动连接将会中断。
为了避免或减少服务中断的可能性,您可以在添加 BGP 对等体时指定节点选择器。通过限制启动 BGP 会话的节点数量,不具有 BGP 会话的节点上的故障不会影响与服务的连接。
仅支持单个 ASN 和单个路由器 ID
添加 BGP 对等体自定义资源时,您需要指定spec.myASN 字段来标识 MetalLB 属于的自治系统编号 (ASN)。OpenShift Container Platform 使用 BGP 的实现与 MetalLB 配合使用,这需要 MetalLB 属于单个 ASN。如果您尝试添加 BGP 对等体并为spec.myASN 指定与现有 BGP 对等体自定义资源不同的值,则会收到错误。
同样,添加 BGP 对等体自定义资源时,spec.routerID 字段是可选的。如果您为该字段指定了值,则必须为添加的所有其他 BGP 对等体自定义资源指定相同的值。
支持单个 ASN 和单个路由器 ID 的限制与社区支持的 MetalLB 实现有所不同。