- 文档
- OpenShift 容器平台
- 网络
- 理解网络 history bug_report picture_as_pdf
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上安装具有自定义设置的集群
- 在 GCP 上安装具有网络自定义设置的集群
- 在 GCP 受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在 GCP 受限网络中使用用户预配的基础设施安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义设置在 OpenStack 上安装集群
- 在您自己的基础架构上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础架构卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Z 和 IBM LinuxONE 上使用 RHEL KVM 创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性 Operator
- 文件完整性 Operator
- 安全配置文件 Operator
- NBDE Tang 服务器 Operator
- 适用于 Red Hat OpenShift 的 cert-manager Operator
- 适用于 Red Hat OpenShift 的 cert-manager Operator 概述
- 适用于 Red Hat OpenShift 的 cert-manager Operator 发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager Operator
- 配置出口代理
- 使用 cert-manager Operator API 字段自定义 cert-manager
- 认证适用于 Red Hat OpenShift 的 cert-manager Operator
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 cert-manager Operator 为 Red Hat OpenShift 保护路由
- 监控 Red Hat OpenShift 上的 cert-manager Operator
- 为 Red Hat OpenShift 上的 cert-manager 和 cert-manager Operator 配置日志级别
- 卸载 Red Hat OpenShift 上的 cert-manager Operator
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 理解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络 Operator
- Kubernetes NMState Operator
- AWS Load Balancer Operator
- eBPF manager Operator
- External DNS Operator
- MetalLB Operator
- OpenShift Container Platform 中的集群网络 Operator
- OpenShift Container Platform 中的 DNS Operator
- OpenShift Container Platform 中的 Ingress Operator
- OpenShift Container Platform 中的 Ingress 节点防火墙 Operator
- SR-IOV Operator
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控件和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口(CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源CSI驱动程序操作员
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 在非优雅节点关闭后分离CSI卷
- AWS弹性块存储CSI驱动程序操作员
- AWS弹性文件服务CSI驱动程序操作员
- Azure磁盘CSI驱动程序操作员
- Azure文件CSI驱动程序操作员
- Azure Stack Hub CSI驱动程序操作员
- GCP PD CSI驱动程序操作员
- GCP Filestore CSI驱动程序操作员
- IBM云块存储(VPC)CSI驱动程序操作员
- IBM Power虚拟服务器块存储CSI驱动程序操作员
- OpenStack Cinder CSI驱动程序操作员
- OpenStack Manila CSI驱动程序操作员
- Secrets Store CSI驱动程序操作员
- CIFS/SMB CSI驱动程序操作员
- VMware vSphere CSI驱动程序操作员
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作员
- 操作员概述
- 了解操作员
- 用户任务
- 管理员任务
- 开发 Operators
- 关于 Operator SDK
- 安装 Operator SDK CLI
- 基于 Go 的 Operators
- 基于 Ansible 的 Operators
- 基于 Helm 的 Operators
- 基于 Java 的 Operators
- 定义集群服务版本 (CSV)
- 使用 bundle 镜像
- 符合 Pod 安全准入
- 令牌认证
- 使用评分卡验证 Operators
- 验证 Operator bundles
- 高可用性或单节点集群检测和支持
- 使用 Prometheus 配置内置监控
- 配置领导者选举
- 配置对多个平台的支持
- 对象修剪实用程序
- 将包清单项目迁移到 bundle 格式
- Operator SDK CLI 参考
- 集群 Operators 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用作业和守护程序集
- 使用节点
- 容器操作
- 集群操作
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 为 ZTP 准备中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- vDU 应用程序工作负载的推荐单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第 2 天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到版本 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符 API
- 关于操作符 API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- 图片裁剪器 [imageregistry.operator.openshift.io/v1]
- Ingress 控制器 [operator.openshift.io/v1]
- Insights 运营商 [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub APIs
- 关于 OperatorHub APIs
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略APIs
- 项目APIs
- 供应APIs
- 关于供应APIs
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3Remediation [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3RemediationTemplate [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC APIs
- 角色APIs
- 调度和配额APIs
- 关于调度和配额APIs
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全APIs
- 关于安全APIs
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储APIs
- 关于存储APIs
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板APIs
- 用户和组APIs
- 工作负载APIs
- 关于工作负载APIs
- BuildConfig [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装运营商
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
理解网络
集群管理员有几种选择可以将集群内运行的应用程序公开给外部流量并保护网络连接
-
服务类型,例如节点端口或负载均衡器
-
API 资源,例如
Ingress和Route
默认情况下,Kubernetes 为在 Pod 中运行的应用程序分配每个 Pod 一个内部 IP 地址。Pod 及其容器可以进行网络通信,但集群外部的客户端没有网络访问权限。当您将应用程序公开给外部流量时,为每个 Pod 分配其自己的 IP 地址意味着 Pod 在端口分配、网络、命名、服务发现、负载均衡、应用程序配置和迁移方面可以像物理主机或虚拟机一样对待。
|
一些云平台提供在 169.254.169.254 IP 地址(IPv4 此 CIDR 块无法从 Pod 网络访问。需要访问这些 IP 地址的 Pod 必须通过将 Pod 规范中的 如果允许 Pod 访问主机网络,则会授予 Pod 对底层网络基础设施的特权访问权限。 |
OpenShift Container Platform DNS
如果您运行多个服务(例如用于多个 Pod 的前端和后端服务),则会为用户名、服务 IP 等创建环境变量,以便前端 Pod 可以与后端服务通信。如果服务被删除并重新创建,则可以为服务分配新的 IP 地址,并且需要重新创建前端 Pod 以获取服务 IP 环境变量的更新值。此外,必须在任何前端 Pod 之前创建后端服务,以确保正确生成服务 IP,并且可以将其作为环境变量提供给前端 Pod。
因此,OpenShift Container Platform 具有内置的 DNS,以便可以通过服务 DNS 和服务 IP/端口访问服务。
OpenShift Container Platform Ingress 运算符
创建 OpenShift Container Platform 集群时,集群上运行的 Pod 和服务都会分配自己的 IP 地址。这些 IP 地址可供附近运行的其他 Pod 和服务访问,但外部客户端无法访问。
Ingress 运算符允许外部客户端通过部署和管理一个或多个基于 HAProxy 的Ingress 控制器来访问您的服务,以处理路由。您可以使用 Ingress 运算符通过指定 OpenShift Container Platform Route 和 Kubernetes Ingress 资源来路由流量。Ingress 控制器内的配置(例如定义endpointPublishingStrategy类型和内部负载均衡的能力)提供了发布 Ingress 控制器端点的方法。
比较路由和 Ingress
OpenShift Container Platform 中的 Kubernetes Ingress 资源使用在集群内作为 Pod 运行的共享路由器服务来实现 Ingress 控制器。管理 Ingress 流量最常见的方法是使用 Ingress 控制器。您可以像任何其他常规 Pod 一样扩展和复制此 Pod。此路由器服务基于HAProxy,这是一种开源负载均衡解决方案。
OpenShift Container Platform 路由为集群中的服务提供 Ingress 流量。路由提供标准 Kubernetes Ingress 控制器可能不支持的高级功能,例如 TLS 重新加密、TLS 直通和蓝绿部署的流量分割。
Ingress 流量通过路由访问集群中的服务。路由和 Ingress 是处理 Ingress 流量的主要资源。Ingress 提供类似于路由的功能,例如接受外部请求并根据路由委托它们。但是,使用 Ingress,您只能允许某些类型的连接:HTTP/2、HTTPS 和服务器名称标识 (SNI),以及带有证书的 TLS。在 OpenShift Container Platform 中,会生成路由以满足 Ingress 资源指定的条件。
OpenShift Container Platform 网络常用术语表
本词汇表定义了网络内容中使用的常用术语。
- 身份验证
-
为了控制对 OpenShift Container Platform 集群的访问,集群管理员可以配置用户身份验证并确保只有经过批准的用户才能访问集群。要与 OpenShift Container Platform 集群交互,您必须向 OpenShift Container Platform API 进行身份验证。您可以通过在对 OpenShift Container Platform API 的请求中提供 OAuth 访问令牌或 X.509 客户端证书来进行身份验证。
- AWS 负载均衡器运算符
-
AWS 负载均衡器 (ALB) 运算符部署和管理
aws-load-balancer-controller的实例。 - 集群网络运算符
-
集群网络运算符 (CNO) 部署和管理 OpenShift Container Platform 集群中的集群网络组件。这包括部署在安装期间为集群选择的容器网络接口 (CNI) 网络插件。
- 配置映射
-
配置映射提供了一种将配置数据注入 Pod 的方法。您可以在类型为
ConfigMap的卷中引用存储在配置映射中的数据。在 Pod 中运行的应用程序可以使用此数据。 - 自定义资源 (CR)
-
CR 是 Kubernetes API 的扩展。您可以创建自定义资源。
- DNS
-
集群 DNS 是一个 DNS 服务器,它为 Kubernetes 服务提供 DNS 记录。Kubernetes 启动的容器会自动将其 DNS 服务器包含在其 DNS 搜索中。
- DNS 运算符
-
DNS 运算符部署和管理 CoreDNS 以向 Pod 提供名称解析服务。这使得在 OpenShift Container Platform 中能够进行基于 DNS 的 Kubernetes 服务发现。
- 部署
-
维护应用程序生命周期的 Kubernetes 资源对象。
- 域名
-
域名是由 Ingress 控制器服务的 DNS 名称。
- 出口流量
-
通过网络从 Pod 发出的出站流量进行外部数据共享的过程。
- 外部 DNS 运算符
-
外部 DNS 运算符部署和管理 ExternalDNS,以便为来自外部 DNS 提供商到 OpenShift Container Platform 的服务和路由提供名称解析。
- 基于 HTTP 的路由
-
基于 HTTP 的路由是不安全的路由,它使用基本的 HTTP 路由协议并在不安全的应用程序端口上公开服务。
- Ingress
-
OpenShift Container Platform 中的 Kubernetes Ingress 资源使用在集群内作为 Pod 运行的共享路由器服务来实现 Ingress 控制器。
- Ingress 控制器
-
Ingress 运算符管理 Ingress 控制器。使用 Ingress 控制器是允许外部访问 OpenShift Container Platform 集群最常见的方法。
- 安装程序配置的基础架构
-
安装程序部署和配置集群在其上运行的基础架构。
- kubelet
-
在集群中的每个节点上运行的主要节点代理,以确保容器在 Pod 中运行。
- Kubernetes NMState Operator
-
Kubernetes NMState 运算符为使用 NMState 在 OpenShift Container Platform 集群的节点上执行状态驱动网络配置提供了 Kubernetes API。
- kube-proxy
-
Kube-proxy 是在每个节点上运行的代理服务,有助于使服务可用于外部主机。它有助于将请求转发到正确的容器,并且能够执行基本的负载均衡。
- 负载均衡器
-
OpenShift Container Platform 使用负载均衡器在集群外部与在集群中运行的服务进行通信。
- MetalLB 运算符
-
作为集群管理员,您可以将 MetalLB 运算符添加到您的集群,以便当类型为
LoadBalancer的服务添加到集群时,MetalLB 可以为该服务添加一个外部 IP 地址。 - 组播
-
使用 IP 组播,数据会同时广播到许多 IP 地址。
- 命名空间
-
命名空间隔离对所有进程可见的特定系统资源。在一个命名空间内,只有属于该命名空间的进程才能看到这些资源。
- 网络
-
OpenShift Container Platform 集群的网络信息。
- 节点
-
OpenShift Container Platform 集群中的工作机器。节点可以是虚拟机 (VM) 或物理机。
- OpenShift Container Platform Ingress 运算符
-
Ingress 运算符实现了
IngressControllerAPI,并且是负责启用对 OpenShift Container Platform 服务的外部访问的组件。 - Pod
-
一个或多个具有共享资源(例如卷和 IP 地址)的容器,在您的 OpenShift Container Platform 集群中运行。Pod 是定义、部署和管理的最小计算单元。
- PTP 运算符
-
PTP 运算符创建和管理
linuxptp服务。 - 路由
-
OpenShift Container Platform 路由为集群中的服务提供 Ingress 流量。路由提供标准 Kubernetes Ingress 控制器可能不支持的高级功能,例如 TLS 重新加密、TLS 直通和蓝绿部署的流量分割。
- 扩展
-
增加或减少资源容量。
- 服务
-
公开一组 Pod 上运行的应用程序。
- 单根 I/O 虚拟化 (SR-IOV) 网络运算符
-
单根 I/O 虚拟化 (SR-IOV) 网络运算符管理集群中的 SR-IOV 网络设备和网络附件。
- 软件定义网络 (SDN)
-
一种软件定义网络 (SDN) 方法,用于提供统一的集群网络,使 OpenShift Container Platform 集群中的 Pod 之间能够进行通信。
- 流控制传输协议 (SCTP)
-
SCTP 是一种可靠的消息型协议,运行在 IP 网络之上。
- 污点 (taint)
-
污点和容忍度确保 Pod 被调度到合适的节点上。您可以在节点上应用一个或多个污点。
- 容忍度 (toleration)
-
您可以将容忍度应用于 Pod。容忍度允许调度程序调度具有匹配污点的 Pod。
- Web 控制台
-
用于管理 OpenShift Container Platform 的用户界面 (UI)。