-
您的代理必须排除对以下 OpenShift URL 的重新加密
地址 协议/端口 功能 observatorium-mst.api.openshift.comhttps/443
必需。用于托管 OpenShift 特定的遥测。
sso.redhat.comhttps/443
https://cloud.redhat.com/openshift站点使用来自sso.redhat.com的身份验证来下载集群拉取密钥,并使用Red Hat SaaS解决方案来促进对您的订阅、集群清单和收费报告的监控。
-
您的代理必须排除对以下站点可靠性工程 (SRE) 和管理 URL 的重新加密
地址 协议/端口 功能 *.osdsecuritylogs.splunkcloud.com或
inputs1.osdsecuritylogs.splunkcloud.cominputs2.osdsecuritylogs.splunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.cominputs7.osdsecuritylogs.splunkcloud.cominputs8.osdsecuritylogs.splunkcloud.cominputs9.osdsecuritylogs.splunkcloud.cominputs10.osdsecuritylogs.splunkcloud.cominputs11.osdsecuritylogs.splunkcloud.cominputs12.osdsecuritylogs.splunkcloud.cominputs13.osdsecuritylogs.splunkcloud.cominputs14.osdsecuritylogs.splunkcloud.cominputs15.osdsecuritylogs.splunkcloud.comtcp/9997
splunk-forwarder-operator 用作日志转发端点,供 Red Hat SRE 用于基于日志的警报。
http-inputs-osdsecuritylogs.splunkcloud.comhttps/443
splunk-forwarder-operator 用作日志转发端点,供 Red Hat SRE 用于基于日志的警报。
配置集群范围代理
如果您使用的是现有的虚拟私有云 (VPC),则可以在 OpenShift Dedicated 集群安装期间或安装集群后配置集群范围代理。启用代理后,核心集群组件将被拒绝直接访问互联网,但代理不会影响用户工作负载。
|
仅代理集群系统出站流量,包括对云提供商 API 的调用。 |
您只能为使用客户云订阅 (CCS) 模型的 OpenShift Dedicated 集群启用代理。
如果您使用集群范围代理,则有责任维护代理对集群的可用性。如果代理不可用,则可能会影响集群的运行状况和可支持性。
配置集群范围代理的先决条件
要配置集群范围代理,您必须满足以下要求。这些要求在安装期间或安装后配置代理时均有效。
一般要求
-
您是集群所有者。
-
您的帐户拥有足够的权限。
-
您为集群拥有一个现有的虚拟私有云 (VPC)。
-
您正在为集群使用客户云订阅 (CCS) 模型。
-
代理可以访问集群的 VPC 和 VPC 的私有子网。代理也可以从集群的 VPC 和 VPC 的私有子网访问。
-
您已将以下端点添加到您的 VPC 端点
-
ec2.<aws_region>.amazonaws.com -
elasticloadbalancing.<aws_region>.amazonaws.com -
s3.<aws_region>.amazonaws.com这些端点是完成节点到 AWS EC2 API 请求所必需的。由于代理在容器级别而不是节点级别工作,因此您必须通过 AWS 私有网络将这些请求路由到 AWS EC2 API。将 EC2 API 的公网 IP 地址添加到代理服务器中的允许列表是不够的。
使用集群范围代理时,必须将
s3.<aws_region>.amazonaws.com端点配置为Gateway类型。
-
网络需求
-
如果您的代理重新加密出站流量,则必须为域和端口组合创建例外。下表提供了这些例外的指导。
-
有关使用客户云订阅 (CCS) 模型的 OpenShift Dedicated 集群的安装先决条件,请参阅AWS 上的客户云订阅或GCP 上的客户云订阅。
附加信任捆绑包的责任
如果您提供额外的信任捆绑包,您需要负责以下要求
-
确保附加信任捆绑包的内容有效
-
确保附加信任捆绑包中包含的证书(包括中间证书)未过期
-
跟踪过期时间并执行附加信任捆绑包中包含的证书的任何必要的续订
-
使用更新的附加信任捆绑包更新集群配置
安装期间配置代理
您可以在将 OpenShift Dedicated 与客户云订阅 (CCS) 集群安装到现有的虚拟私有云 (VPC) 中时配置 HTTP 或 HTTPS 代理。您可以使用 Red Hat OpenShift 集群管理器在安装期间配置代理。
使用 OpenShift 集群管理器在安装期间配置代理
如果您将 OpenShift Dedicated 集群安装到现有的虚拟私有云 (VPC) 中,则可以使用 Red Hat OpenShift 集群管理器在安装期间启用集群范围的 HTTP 或 HTTPS 代理。您只能为使用客户云订阅 (CCS) 模型的集群启用代理。
在安装之前,您必须验证代理是否可以从安装集群的 VPC 访问。代理还必须可以从 VPC 的私有子网访问。
有关使用 OpenShift 集群管理器在安装期间配置集群范围代理的详细步骤,请参阅“在 AWS 上创建具有 CCS 的集群”或“在 GCP 上创建具有 CCS 的集群”。
安装后配置代理
您可以在将 OpenShift Dedicated 与客户云订阅 (CCS) 集群安装到现有的虚拟私有云 (VPC) 中后配置 HTTP 或 HTTPS 代理。您可以使用 Red Hat OpenShift 集群管理器在安装后配置代理。
使用 OpenShift 集群管理器在安装后配置代理
您可以使用 Red Hat OpenShift 集群管理器向虚拟私有云 (VPC) 中现有的 OpenShift Dedicated 集群添加集群范围的代理配置。您只能为使用客户云订阅 (CCS) 模型的集群启用代理。
您还可以使用 OpenShift 集群管理器更新现有的集群范围代理配置。例如,如果代理的任何证书颁发机构过期,您可能需要更新代理的网络地址或替换附加信任捆绑包。
|
集群会将代理配置应用于控制平面和计算节点。在应用配置时,每个集群节点都会暂时处于不可调度状态并被清空其工作负载。每个节点都会作为流程的一部分重新启动。 |
-
您拥有一个使用客户云订阅 (CCS) 模型的 OpenShift Dedicated 集群。
-
您的集群部署在 VPC 中。
-
导航到OpenShift 集群管理器并选择您的集群。
-
在**网络**页面上的**虚拟私有云 (VPC)**部分下,单击**编辑集群范围代理**。
-
在**编辑集群范围代理**页面上,提供您的代理配置详细信息
-
至少在一个以下字段中输入值
-
指定有效的**HTTP 代理 URL**。
-
指定有效的**HTTPS 代理 URL**。
-
在**附加信任捆绑包**字段中,提供 PEM 编码的 X.509 证书捆绑包。如果您要替换现有的信任捆绑包文件,请选择**替换文件**以查看该字段。该捆绑包将添加到集群节点的受信任证书存储中。如果您使用 TLS 检查代理,则需要附加信任捆绑包文件,除非代理的身份证书由 Red Hat Enterprise Linux CoreOS (RHCOS) 信任捆绑包中的机构签名。此要求适用于代理是透明的还是需要使用
http-proxy和https-proxy参数进行显式配置,无论哪种情况。
-
-
单击**确认**。
-
-
在**网络**页面上的**虚拟私有云 (VPC)**部分下,验证集群的代理配置是否符合预期。