$ oc get dnses.config.openshift.io/cluster -o yaml- 文档
- OpenShift Container Platform
- 安装后配置
- 配置私有集群 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC 中
- 将集群安装到 GCP 中的共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC 中
- 在使用用户预配的基础设施的受限网络中在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序在本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备在 OpenStack 上安装使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义配置在 OpenStack 上安装集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在 Azure 上创建具有多架构计算机器的集群
- 在 AWS 上创建具有多架构计算机器的集群
- 在 GCP 上创建具有多架构计算机器的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机器的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 LPAR 中使用 IBM Z 和 IBM LinuxONE 创建具有多架构计算机器的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 IBM Power 上创建具有多架构计算机器的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像仓库
- 存储配置
- 用户准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和说明
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang Server 运算符
- Red Hat OpenShift 的 cert-manager Operator
- Red Hat OpenShift 的 cert-manager Operator 概述
- Red Hat OpenShift 的 cert-manager Operator 发行说明
- 安装 Red Hat OpenShift 的 cert-manager Operator
- 配置出站代理
- 使用 cert-manager Operator API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager Operator
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager Operator 保护路由
- 监控 Red Hat OpenShift 的 cert-manager Operator
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager Operator 的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager Operator
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许从其他主机基于 JavaScript 访问 API 服务器
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络 Operators
- Kubernetes NMState Operator
- AWS Load Balancer Operator
- eBPF manager Operator
- External DNS Operator
- MetalLB Operator
- OpenShift Container Platform 中的集群网络 Operator
- OpenShift Container Platform 中的 DNS Operator
- OpenShift Container Platform 中的 Ingress Operator
- OpenShift Container Platform 中的 Ingress 节点防火墙 Operator
- SR-IOV Operator
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控件和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围的代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 理解临时存储
- 理解持久性存储
- 配置持久性存储
- 使用容器存储接口(CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源CSI驱动程序操作符
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 非正常关机后分离CSI卷
- AWS Elastic Block Store CSI驱动程序操作符
- AWS Elastic File Service CSI驱动程序操作符
- Azure Disk CSI驱动程序操作符
- Azure File CSI驱动程序操作符
- Azure Stack Hub CSI驱动程序操作符
- GCP PD CSI驱动程序操作符
- GCP Filestore CSI驱动程序操作符
- IBM Cloud块存储(VPC) CSI驱动程序操作符
- IBM Power虚拟服务器块存储CSI驱动程序操作符
- OpenStack Cinder CSI驱动程序操作符
- OpenStack Manila CSI驱动程序操作符
- Secrets Store CSI驱动程序操作符
- CIFS/SMB CSI驱动程序操作符
- VMware vSphere CSI驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 操作符概述
- 理解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 集群Operators参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用作业和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于ZTP的中心集群
- 更新GitOps ZTP
- 使用RHACM和SiteConfig资源安装托管集群
- 使用GitOps ZTP手动安装单节点OpenShift集群
- vDU应用程序工作负载的推荐单节点OpenShift集群配置
- 验证vDU应用程序工作负载的集群调优
- 使用SiteConfig资源进行高级托管集群配置
- 使用PolicyGenerator资源管理集群策略
- 使用PolicyGenTemplate资源管理集群策略
- 在PolicyGenerator或PolicyGenTemplate CR中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用GitOps ZTP扩展单节点OpenShift集群
- 为单节点OpenShift部署预缓存镜像
- 单节点OpenShift集群的基于镜像的升级
- 单节点OpenShift的基于镜像的安装
- 电信核心CNF集群的第二日运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动缩放 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符API
- 关于操作符API
- 身份验证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群CSIDriver [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理程序 [imageregistry.operator.openshift.io/v1]
- Ingress控制器 [operator.openshift.io/v1]
- Insights操作符 [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于OperatorHub API
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- 操作符 [operators.coreos.com/v1]
- 操作符条件 [operators.coreos.com/v2]
- 操作符组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略API
- 项目API
- 供应API
- 关于供应API
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸机主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC API
- 角色API
- 调度和配额API
- 安全API
- 关于安全API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod安全策略审查 [security.openshift.io/v1]
- Pod安全策略自身主体审查 [security.openshift.io/v1]
- Pod安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储API
- 关于存储API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSI存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板API
- 用户和组API
- 工作负载API
- 关于工作负载API
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 虚拟化
×
配置私有集群
安装 OpenShift Container Platform 4.17 版本集群后,您可以将某些核心组件设置为私有。
关于私有集群
默认情况下,OpenShift Container Platform 使用公共可访问的 DNS 和端点进行配置。部署私有集群后,您可以将 DNS、Ingress 控制器和 API 服务器设置为私有。
|
如果集群有任何公共子网,管理员创建的负载均衡器服务可能对公众开放。为确保集群安全,请验证这些服务是否被显式注释为私有。 |
DNS
如果您在安装程序配置的基础架构上安装 OpenShift Container Platform,安装程序会在预先存在的公共区域中创建记录,并在可能的情况下为集群自身的 DNS 解析创建私有区域。在公共区域和私有区域中,安装程序或集群都会为*.apps(用于Ingress对象)和api(用于 API 服务器)创建 DNS 条目。
公共区域和私有区域中的*.apps记录是相同的,因此,当您删除公共区域时,私有区域会无缝地为集群提供所有 DNS 解析。
Ingress 控制器
由于默认的Ingress对象被创建为公共的,因此负载均衡器是面向互联网的,并且位于公共子网中。
Ingress Operator 会为 Ingress Controller 生成一个默认证书,作为占位符,直到您配置自定义默认证书。请勿在生产集群中使用 Operator 生成的默认证书。Ingress Operator 不会轮换其自身的签名证书或其生成的默认证书。Operator 生成的默认证书仅作为您配置的自定义默认证书的占位符。
API 服务器
默认情况下,安装程序会为 API 服务器创建合适的网络负载均衡器,用于内部和外部流量。
在 Amazon Web Services (AWS) 上,会创建单独的公共和私有负载均衡器。这两个负载均衡器是相同的,只是内部负载均衡器上提供了一个额外的端口,用于集群内部使用。尽管安装程序会根据 API 服务器的需求自动创建或销毁负载均衡器,但集群不会管理或维护它们。只要保留集群对 API 服务器的访问权限,就可以手动修改或移动负载均衡器。对于公共负载均衡器,端口 6443 已打开,并且针对/readyz路径配置了 HTTPS 健康检查。
在 Google Cloud Platform 上,会创建一个单一的负载均衡器来管理内部和外部 API 流量,因此您无需修改负载均衡器。
在 Microsoft Azure 上,会创建公共和私有负载均衡器。但是,由于当前实现的限制,您只需在私有集群中保留这两个负载均衡器。
配置要在私有区域中发布的 DNS 记录
对于所有 OpenShift Container Platform 集群(无论是公共的还是私有的),DNS 记录默认情况下都会在公共区域中发布。
您可以从集群 DNS 配置中删除公共区域,以避免将 DNS 记录公开给公众。您可能希望避免公开敏感信息,例如内部域名、内部 IP 地址或组织中的集群数量,或者您可能根本不需要公开发布记录。如果所有应该能够连接到集群内服务的客户端都使用具有私有区域 DNS 记录的私有 DNS 服务,则无需为集群创建公共 DNS 记录。
部署集群后,您可以通过修改DNS自定义资源 (CR) 来修改其 DNS,使其仅使用私有区域。以这种方式修改DNS CR 意味着随后创建的任何 DNS 记录都不会发布到公共 DNS 服务器,这将使 DNS 记录的知识仅限于内部用户。这可以在您将集群配置为私有集群时完成,或者如果您永远都不希望 DNS 记录公开可解析时完成。
或者,即使在私有集群中,您也可以保留公共区域的 DNS 记录,因为它允许客户端解析在该集群上运行的应用程序的 DNS 名称。例如,一个组织可以拥有连接到公共互联网的机器,然后为某些私有 IP 范围建立 VPN 连接以连接到私有 IP 地址。来自这些机器的 DNS 查询使用公共 DNS 来确定这些服务的私有地址,然后通过 VPN 连接到私有地址。
步骤
-
通过运行以下命令并观察输出结果来查看集群的
DNSCR示例输出apiVersion: config.openshift.io/v1 kind: DNS metadata: creationTimestamp: "2019-10-25T18:27:09Z" generation: 2 name: cluster resourceVersion: "37966" selfLink: /apis/config.openshift.io/v1/dnses/cluster uid: 0e714746-f755-11f9-9cb1-02ff55d8f976 spec: baseDomain: <base_domain> privateZone: tags: Name: <infrastructure_id>-int kubernetes.io/cluster/<infrastructure_id>: owned publicZone: id: Z2XXXXXXXXXXA4 status: {}请注意,
spec部分包含私有区域和公共区域。 -
通过运行以下命令来修补
DNSCR 以删除公共区域$ oc patch dnses.config.openshift.io/cluster --type=merge --patch='{"spec": {"publicZone": null}}'示例输出dns.config.openshift.io/cluster patchedIngress Operator 在为
IngressController对象创建 DNS 记录时会查阅DNSCR 定义。如果只指定私有区域,则只创建私有记录。删除公共区域后,不会修改现有的 DNS 记录。如果您不再希望公开发布它们,则必须手动删除以前发布的公共 DNS 记录。
验证
-
通过运行以下命令并观察输出结果来查看集群的
DNSCR,并确认已删除公共区域$ oc get dnses.config.openshift.io/cluster -o yaml示例输出apiVersion: config.openshift.io/v1 kind: DNS metadata: creationTimestamp: "2019-10-25T18:27:09Z" generation: 2 name: cluster resourceVersion: "37966" selfLink: /apis/config.openshift.io/v1/dnses/cluster uid: 0e714746-f755-11f9-9cb1-02ff55d8f976 spec: baseDomain: <base_domain> privateZone: tags: Name: <infrastructure_id>-int kubernetes.io/cluster/<infrastructure_id>-wfpg4: owned status: {}
将 Ingress Controller 设置为私有
部署集群后,您可以修改其 Ingress Controller 以仅使用私有区域。
步骤
-
修改默认 Ingress Controller 以仅使用内部端点
$ oc replace --force --wait --filename - <<EOF apiVersion: operator.openshift.io/v1 kind: IngressController metadata: namespace: openshift-ingress-operator name: default spec: endpointPublishingStrategy: type: LoadBalancerService loadBalancer: scope: Internal EOF示例输出ingresscontroller.operator.openshift.io "default" deleted ingresscontroller.operator.openshift.io/default replaced公共 DNS 条目将被删除,私有区域条目将被更新。
将 API 服务器限制为私有
将集群部署到 Amazon Web Services (AWS) 或 Microsoft Azure 后,您可以重新配置 API 服务器以仅使用私有区域。
先决条件
-
安装 OpenShift CLI (
oc)。 -
以具有
admin权限的用户身份访问 Web 控制台。
步骤
-
在您的云提供商的 Web 门户或控制台中,执行以下操作
-
找到并删除相应的负载均衡器组件
-
对于 AWS,请删除外部负载均衡器。私有区域中的 API DNS 条目已指向内部负载均衡器,该负载均衡器使用相同的配置,因此您无需修改内部负载均衡器。
-
对于 Azure,请删除公共负载均衡器的
api-internal-v4规则。
-
-
对于 Azure,将 Ingress Controller 端点发布范围配置为
Internal。有关更多信息,请参见“将 Ingress Controller 端点发布范围配置为 Internal”。 -
对于 Azure 公共负载均衡器,如果将 Ingress Controller 端点发布范围配置为
Internal并且公共负载均衡器中没有现有的入站规则,则必须显式创建出站规则以提供后端地址池的出站流量。有关更多信息,请参阅有关添加出站规则的 Microsoft Azure 文档。 -
删除公共区域中的
api.$clustername.$yourdomain或api.$clusternameDNS 条目。
-
-
AWS 集群:删除外部负载均衡器
您只能对安装程序预配的基础设施 (IPI) 集群运行以下步骤。对于用户预配的基础设施 (UPI) 集群,您必须手动删除或禁用外部负载均衡器。
-
如果您的集群使用控制平面机器集,请删除控制平面机器集自定义资源中配置公共或外部负载均衡器的行
# ... providerSpec: value: # ... loadBalancers: - name: lk4pj-ext (1) type: network (2) - name: lk4pj-int type: network # ...1 删除外部负载均衡器的 name值(以-ext结尾)。2 删除外部负载均衡器的 type值。 -
如果您的集群不使用控制平面机器集,则必须从每个控制平面机器中删除外部负载均衡器。
-
从您的终端运行以下命令列出集群机器:
$ oc get machine -n openshift-machine-api示例输出NAME STATE TYPE REGION ZONE AGE lk4pj-master-0 running m4.xlarge us-east-1 us-east-1a 17m lk4pj-master-1 running m4.xlarge us-east-1 us-east-1b 17m lk4pj-master-2 running m4.xlarge us-east-1 us-east-1a 17m lk4pj-worker-us-east-1a-5fzfj running m4.xlarge us-east-1 us-east-1a 15m lk4pj-worker-us-east-1a-vbghs running m4.xlarge us-east-1 us-east-1a 15m lk4pj-worker-us-east-1b-zgpzg running m4.xlarge us-east-1 us-east-1b 15m控制平面机器的名称包含
master。 -
从每个控制平面机器上移除外部负载均衡器。
-
运行以下命令来编辑控制平面机器对象:
$ oc edit machines -n openshift-machine-api <control_plane_name> (1)1 指定要修改的控制平面机器对象的名称。 -
移除描述外部负载均衡器的行,这些行在以下示例中已标记。
# ... providerSpec: value: # ... loadBalancers: - name: lk4pj-ext (1) type: network (2) - name: lk4pj-int type: network # ...1 删除外部负载均衡器的 name值(以-ext结尾)。2 删除外部负载均衡器的 type值。 -
保存您的更改并退出对象规范。
-
对每个控制平面机器重复此过程。
-
-
-
在 Azure 上配置私有存储端点
您可以利用 Image Registry Operator 在 Azure 上使用私有端点,这使得在私有 Azure 集群上部署 OpenShift Container Platform 时能够无缝配置私有存储帐户。这允许您部署镜像仓库而无需公开面向公众的存储端点。
|
请勿在 Microsoft Azure Red Hat OpenShift (ARO) 上配置私有存储端点,因为该端点可能使您的 Microsoft Azure Red Hat OpenShift 集群进入不可恢复的状态。 |
您可以通过两种方式之一配置 Image Registry Operator 以使用 Azure 上的私有存储端点:
-
通过配置 Image Registry Operator 来发现 VNet 和子网名称。
-
使用用户提供的 Azure 虚拟网络 (VNet) 和子网名称。
在 Azure 上配置私有存储端点的限制
在 Azure 上配置私有存储端点时,适用以下限制:
-
当配置 Image Registry Operator 以使用私有存储端点时,将禁用对存储帐户的公共网络访问。因此,只有在注册表 Operator 配置中设置
disableRedirect: true时,才能从 OpenShift Container Platform 外部拉取镜像。如果启用重定向,注册表会将客户端重定向到直接从存储帐户拉取镜像,由于禁用了公共网络访问,这将不再有效。有关更多信息,请参阅“在 Azure 上使用私有存储端点时禁用重定向”。 -
此操作无法由 Image Registry Operator 撤消。
通过启用 Image Registry Operator 来发现 VNet 和子网名称,在 Azure 上配置私有存储端点
以下步骤说明了如何通过配置 Image Registry Operator 来发现 VNet 和子网名称来设置 Azure 上的私有存储端点。
先决条件
-
您已配置镜像仓库在 Azure 上运行。
-
您的网络已使用安装程序预配的基础设施安装方法设置。
对于具有自定义网络设置的用户,请参阅“使用用户提供的 VNet 和子网名称在 Azure 上配置私有存储端点”。
步骤
-
编辑 Image Registry Operator
config对象并将networkAccess.type设置为Internal。$ oc edit configs.imageregistry/cluster# ... spec: # ... storage: azure: # ... networkAccess: type: Internal # ... -
可选:输入以下命令以确认 Operator 已完成预配。这可能需要几分钟时间。
$ oc get configs.imageregistry/cluster -o=jsonpath="{.spec.storage.azure.privateEndpointName}" -w -
可选:如果注册表通过路由公开,并且您正在将存储帐户配置为私有,则如果希望集群外部的拉取继续工作,则必须禁用重定向。输入以下命令以禁用 Image Operator 配置中的重定向:
$ oc patch configs.imageregistry cluster --type=merge -p '{"spec":{"disableRedirect": true}}'启用重定向后,将无法从集群外部拉取镜像。
验证
-
运行以下命令获取注册表服务名称:
$ oc get imagestream -n openshift示例输出NAME IMAGE REPOSITORY TAGS UPDATED cli image-registry.openshift-image-registry.svc:5000/openshift/cli latest 8 hours ago ... -
运行以下命令进入调试模式:
$ oc debug node/<node_name> -
运行建议的
chroot命令。例如:$ chroot /host -
输入以下命令登录到您的容器注册表:
$ podman login --tls-verify=false -u unused -p $(oc whoami -t) image-registry.openshift-image-registry.svc:5000示例输出Login Succeeded! -
输入以下命令以验证您可以从注册表拉取镜像:
$ podman pull --tls-verify=false image-registry.openshift-image-registry.svc:5000/openshift/tools示例输出Trying to pull image-registry.openshift-image-registry.svc:5000/openshift/tools/openshift/tools... Getting image source signatures Copying blob 6b245f040973 done Copying config 22667f5368 done Writing manifest to image destination Storing signatures 22667f53682a2920948d19c7133ab1c9c3f745805c14125859d20cede07f11f9
使用用户提供的 VNet 和子网名称在 Azure 上配置私有存储端点
使用以下步骤配置已禁用公共网络访问并位于 Azure 上的私有存储端点背后的存储帐户。
先决条件
-
您已配置镜像仓库在 Azure 上运行。
-
您必须知道 Azure 环境中使用的 VNet 和子网名称。
-
如果您的网络是在 Azure 中的单独资源组中配置的,则您还必须知道其名称。
步骤
-
编辑 Image Registry Operator
config对象并使用您的 VNet 和子网名称配置私有端点。$ oc edit configs.imageregistry/cluster# ... spec: # ... storage: azure: # ... networkAccess: type: Internal internal: subnetName: <subnet_name> vnetName: <vnet_name> networkResourceGroupName: <network_resource_group_name> # ... -
可选:输入以下命令以确认 Operator 已完成预配。这可能需要几分钟时间。
$ oc get configs.imageregistry/cluster -o=jsonpath="{.spec.storage.azure.privateEndpointName}" -w启用重定向后,将无法从集群外部拉取镜像。
验证
-
运行以下命令获取注册表服务名称:
$ oc get imagestream -n openshift示例输出NAME IMAGE REPOSITORY TAGS UPDATED cli image-registry.openshift-image-registry.svc:5000/openshift/cli latest 8 hours ago ... -
运行以下命令进入调试模式:
$ oc debug node/<node_name> -
运行建议的
chroot命令。例如:$ chroot /host -
输入以下命令登录到您的容器注册表:
$ podman login --tls-verify=false -u unused -p $(oc whoami -t) image-registry.openshift-image-registry.svc:5000示例输出Login Succeeded! -
输入以下命令以验证您可以从注册表拉取镜像:
$ podman pull --tls-verify=false image-registry.openshift-image-registry.svc:5000/openshift/tools示例输出Trying to pull image-registry.openshift-image-registry.svc:5000/openshift/tools/openshift/tools... Getting image source signatures Copying blob 6b245f040973 done Copying config 22667f5368 done Writing manifest to image destination Storing signatures 22667f53682a2920948d19c7133ab1c9c3f745805c14125859d20cede07f11f9
可选:在 Azure 上使用私有存储端点时禁用重定向
默认情况下,使用镜像仓库时会启用重定向。重定向允许将流量从注册表 Pod 卸载到对象存储,这使得拉取速度更快。当启用重定向并且存储帐户为私有时,集群外部的用户将无法从注册表拉取镜像。
在某些情况下,用户可能希望禁用重定向,以便集群外部的用户可以从注册表拉取镜像。
使用以下步骤禁用重定向。
先决条件
-
您已配置镜像仓库在 Azure 上运行。
-
您已配置了一个路由。
步骤
-
输入以下命令以禁用镜像仓库配置中的重定向:
$ oc patch configs.imageregistry cluster --type=merge -p '{"spec":{"disableRedirect": true}}'
验证
-
运行以下命令获取注册表服务名称:
$ oc get imagestream -n openshift示例输出NAME IMAGE REPOSITORY TAGS UPDATED cli default-route-openshift-image-registry.<cluster_dns>/cli latest 8 hours ago ... -
输入以下命令登录到您的容器注册表:
$ podman login --tls-verify=false -u unused -p $(oc whoami -t) default-route-openshift-image-registry.<cluster_dns>示例输出Login Succeeded! -
输入以下命令以验证您可以从注册表拉取镜像:
$ podman pull --tls-verify=false default-route-openshift-image-registry.<cluster_dns> /openshift/tools示例输出Trying to pull default-route-openshift-image-registry.<cluster_dns>/openshift/tools... Getting image source signatures Copying blob 6b245f040973 done Copying config 22667f5368 done Writing manifest to image destination Storing signatures 22667f53682a2920948d19c7133ab1c9c3f745805c14125859d20cede07f11f9