Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

다중 네트워크

OpenShift Container Platform 4.19

OpenShift Container Platform에서 여러 네트워크 인터페이스와 가상 라우팅 구성 및 관리

Red Hat OpenShift Documentation Team

초록

이 문서에서는 OpenShift Container Platform에서 가상 라우팅 및 전달을 포함하여 기본 및 보조 네트워크를 설정하고 관리하는 방법을 설명합니다.

1장. 다중 네트워크 이해하기
링크 복사

기본적으로 OVN-Kubernetes는 OpenShift Container Platform 클러스터의 컨테이너 네트워크 인터페이스(CNI) 역할을 합니다. 클러스터의 기본 CNI로 OVN-Kubernetes를 사용하면 OpenShift Container Platform 관리자나 사용자가 사용자 정의 네트워크(UDN) 또는 NetworkAttachmentDefinition(NAD)을 활용하여 클러스터의 모든 일반 네트워크 트래픽을 처리하는 하나 이상의 기본 네트워크를 만들 수 있습니다. 사용자 정의 네트워크와 네트워크 연결 정의는 모두 다음 네트워크 유형으로 사용될 수 있습니다.

  • 기본 네트워크 : Pod의 기본 네트워크 역할을 합니다. 기본적으로 모든 트래픽은 다른 네트워크를 통해 트래픽을 보내도록 Pod 경로가 구성되지 않는 한 기본 네트워크를 통해 전달됩니다.
  • 보조 네트워크 : Pod의 기본이 아닌 보조 네트워크 역할을 합니다. 2차 네트워크는 특정 트래픽 유형이나 목적에 맞춰 전담된 별도의 인터페이스를 제공합니다. 보조 네트워크를 사용하도록 명시적으로 구성된 Pod 트래픽만 해당 인터페이스를 통해 라우팅됩니다.

그러나 클러스터 설치 중에 OpenShift Container Platform 관리자는 Multus CNI 플러그인을 활용하여 대체 기본 보조 Pod 네트워크를 구성할 수 있습니다. Multus를 사용하면 ipvlan, macvlan 또는 네트워크 연결 정의와 같은 여러 CNI 플러그인을 함께 사용하여 포드의 보조 네트워크 역할을 할 수 있습니다.

참고

사용자 정의 네트워크는 OVN-Kubernetes를 CNI로 사용하는 경우에만 사용할 수 있습니다. 다른 CNI와 함께 사용하는 것은 지원되지 않습니다.

사용 가능한 CNI 플러그인을 기반으로 보조 네트워크를 정의하고 이러한 네트워크 중 하나 이상을 포드에 연결할 수 있습니다. 필요에 따라 클러스터에 대해 두 개 이상의 보조 네트워크를 정의할 수 있습니다. 따라서 스위칭 또는 라우팅과 같은 네트워크 기능을 제공하는 pod를 구성할 때 유연성이 제공됩니다.

지원되는 CNI 플러그인의 전체 목록은 "OpenShift Container Platform의 보조 네트워크"를 참조하세요.

사용자 정의 네트워크에 대한 자세한 내용은 사용자 정의 네트워크(UDN) 정보를 참조하세요.

네트워크 연결 정의에 대한 자세한 내용은 NetworkAttachmentDefinition을 사용하여 기본 네트워크 만들기를 참조하세요.

1.1. 보조 네트워크의 사용 시나리오
링크 복사

데이터 플레인과 제어 플레인 분리를 포함하여 네트워크 격리가 필요한 상황에서는 보조 네트워크 라고도 하는 보조 네트워크를 사용할 수 있습니다. 네트워크 트래픽 격리는 다음과 같은 성능 및 보안상의 이유로 유용합니다.

  1. 성능

    교통 관리 : 두 개의 서로 다른 비행기에 교통을 보내 각 비행기를 따라 얼마나 많은 교통량이 있는지 관리할 수 있습니다.

  2. 보안

    네트워크 격리 : 보안을 고려하여 특별히 관리되는 네트워크 평면으로 민감한 트래픽을 전송할 수 있으며, 테넌트나 고객 간에 공유해서는 안 되는 개인 데이터를 분리할 수 있습니다.

클러스터의 모든 pod는 여전히 클러스터 전체의 기본 네트워크를 사용하여 클러스터 전체의 연결을 유지합니다. 모든 pod에는 클러스터 전체 pod 네트워크에 연결된 eth0 인터페이스가 있습니다. oc exec -it <pod_name> -- ip a 명령을 사용하여 pod의 인터페이스를 확인할 수 있습니다. Multus CNI를 사용하는 보조 네트워크 인터페이스를 추가하는 경우 net1 , net2 , …, netN 이라는 이름이 지정됩니다.

포드에 보조 네트워크 인터페이스를 연결하려면 인터페이스가 연결되는 방식을 정의하는 구성을 만들어야 합니다. UserDefinedNetwork 사용자 정의 리소스(CR) 또는 NetworkAttachmentDefinition CR을 사용하여 각 인터페이스를 지정합니다. 각 CR 내부의 CNI 구성은 해당 인터페이스의 생성 방법을 정의합니다.

UserDefinedNetwork CR을 만드는 방법에 대한 자세한 내용은 사용자 정의 네트워크 정보를 참조하세요.

NetworkAttachmentDefinition CR을 만드는 방법에 대한 자세한 내용은 NetworkAttachmentDefinition을 사용하여 기본 네트워크 만들기를 참조하세요.

1.2. OpenShift 컨테이너 플랫폼의 보조 네트워크
링크 복사

OpenShift Container Platform은 클러스터에서 보조 네트워크를 생성하기 위한 다음과 같은 CNI 플러그인을 제공합니다.

1.3. UserDefinedNetwork 및 NetworkAttachmentDefinition 지원 매트릭스
링크 복사

UserDefinedNetworkNetworkAttachmentDefinition 사용자 정의 리소스(CR)는 클러스터 관리자와 사용자에게 사용자 정의 가능한 네트워크 구성을 만들고, 고유한 네트워크 토폴로지를 정의하고, 네트워크 격리를 보장하고, 워크로드에 대한 IP 주소를 관리하고, 고급 네트워크 기능을 구성하는 기능을 제공합니다. 세 번째 CR인 ClusterUserDefinedNetwork 도 사용할 수 있으며, 이를 통해 관리자는 클러스터 수준에서 여러 네임스페이스에 걸쳐 보조 네트워크를 만들고 정의할 수 있습니다.

사용자 정의 네트워크와 네트워크 연결 정의는 기본 및 보조 네트워크 인터페이스 역할을 모두 수행할 수 있으며, 각각은 레이어 2레이어 3 토폴로지를 지원합니다. 세 번째 네트워크 토폴로지인 Localnet도 보조 네트워크와의 네트워크 연결 정의를 통해 지원됩니다.

참고

OpenShift Container Platform 4.19부터 Localnet 토폴로지는 일반적으로 ClusterUserDefinedNetwork CR에 사용할 수 있으며, 물리적 네트워크를 가상 네트워크에 연결하는 데 선호되는 방법입니다. 또는 NetworkAttachmentDefinition CR을 사용하여 Localnet 토폴로지를 사용하여 보조 네트워크를 생성할 수도 있습니다.

다음 섹션에서는 UserDefinedNetworkNetworkAttachmentDefinition CR이 기본 또는 보조 네트워크로 사용될 때 지원되는 기능을 강조해서 설명합니다. ClusterUserDefinedNetwork CR에 대한 별도 테이블도 포함되어 있습니다.

Expand
표 1.1. UserDefinedNetwork 및 NetworkAttachmentDefinition CR에 대한 기본 네트워크 지원 매트릭스
네트워크 기능Layer2 토폴로지Layer3 토폴로지

동서 교통

남북 교통

영구 IP

X

서비스

라우트

X

X

EgressIP 리소스

멀티캐스트 [1]

X

NetworkPolicy 리소스 [2]

MultinetworkPolicy 리소스

X

X

  1. 멀티캐스트는 네임스페이스에서 활성화되어야 하며, OVN-Kubernetes 네트워크 포드 간에만 사용할 수 있습니다. 멀티캐스트에 대한 자세한 내용은 "프로젝트에 대한 멀티캐스트 활성화"를 참조하세요.
Expand
표 1.2. UserDefinedNetwork 및 NetworkAttachmentDefinition CR에 대한 보조 네트워크 지원 매트릭스
네트워크 기능Layer2 토폴로지Layer3 토폴로지로컬넷 토폴로지 [1]

동서 교통

✓ ( NetworkAttachmentDefinition CR만 해당)

남북 교통

X

X

✓ ( NetworkAttachmentDefinition CR만 해당)

영구 IP

X

✓ ( NetworkAttachmentDefinition CR만 해당)

서비스

X

X

X

라우트

X

X

X

EgressIP 리소스

X

X

X

멀티 캐스트

X

X

X

NetworkPolicy 리소스

X

X

X

MultinetworkPolicy 리소스

✓ ( NetworkAttachmentDefinition CR만 해당)

  1. Localnet 토폴로지는 UserDefinedNetwork CR과 함께 사용할 수 없습니다. NetworkAttachmentDefinition CR의 경우 보조 네트워크에서만 지원됩니다.
Expand
표 1.3. ClusterUserDefinedNetwork CR에 대한 지원 매트릭스
네트워크 기능Layer2 토폴로지Layer3 토폴로지로컬넷 토폴로지

동서 교통

남북 교통

영구 IP

X

서비스

 

라우트

X

X

 

EgressIP 리소스

 

멀티캐스트 [1]

X

 

MultinetworkPolicy 리소스

X

X

NetworkPolicy 리소스 [2]

 
  1. 멀티캐스트는 네임스페이스에서 활성화되어야 하며, OVN-Kubernetes 네트워크 포드 간에만 사용할 수 있습니다. 자세한 내용은 "멀티캐스트 정보"를 참조하세요.
  2. 기본 네트워크 유형으로 ClusterUserDefinedNetwork CR을 생성할 때 UserDefinedNetwork CR 다음에 네트워크 정책을 생성해야 합니다.

2장. 1차 네트워크
링크 복사

2.1. 사용자 정의 네트워크 정보
링크 복사

사용자 정의 네트워크(UDN)를 구현하기 전에는 OpenShift Container Platform용 OVN-Kubernetes CNI 플러그인은 기본 네트워크에서 3계층 토폴로지만 지원했습니다. Kubernetes의 설계 원칙에 따라 모든 Pod는 기본 네트워크에 연결되고, 모든 Pod는 IP 주소를 통해 서로 통신하며, 네트워크 정책에 따라 Pod 간 트래픽이 제한됩니다.

Kubernetes 디자인은 간단한 배포에는 유용하지만, 이 계층 3 토폴로지는 특히 최신 멀티 테넌트 배포의 경우 기본 네트워크 세그먼트 구성의 사용자 정의를 제한합니다.

UDN은 사용자 정의 레이어 2 및 레이어 3 네트워크 세그먼트를 활성화하여 Kubernetes Pod 네트워크의 기본 레이어 3 토폴로지의 유연성과 세분화 기능을 개선합니다. 이러한 모든 세그먼트는 기본적으로 격리됩니다. 이러한 세그먼트는 기본 OVN-Kubernetes CNI 플러그인을 사용하는 컨테이너 포드와 가상 머신의 기본 또는 보조 네트워크 역할을 합니다. UDN은 광범위한 네트워크 아키텍처와 토폴로지를 지원하여 네트워크의 유연성, 보안, 성능을 향상시킵니다.

클러스터 관리자는 ClusterUserDefinedNetwork 사용자 정의 리소스(CR)를 활용하여 클러스터 수준에서 여러 네임스페이스에 걸쳐 있는 기본 또는 보조 네트워크를 만들고 정의하기 위해 UDN을 사용할 수 있습니다. 또한, 클러스터 관리자나 클러스터 사용자는 UDN을 사용하여 UserDefinedNetwork CR을 통해 네임스페이스 수준에서 보조 네트워크를 정의할 수 있습니다.

다음 섹션에서는 사용자 정의 네트워크의 이점과 한계, ClusterUserDefinedNetwork 또는 UserDefinedNetwork CR을 생성할 때의 모범 사례, CR을 생성하는 방법, 배포와 관련이 있을 수 있는 추가 구성 세부 정보를 더욱 강조합니다.

2.1.1. 사용자 정의 네트워크의 이점
링크 복사

사용자 정의 네트워크는 다음과 같은 이점을 제공합니다.

  1. 보안을 위한 향상된 네트워크 격리

    • 테넌트 격리 : 네임스페이스는 Red Hat OpenStack Platform(RHOSP)에서 테넌트가 격리되는 방식과 유사하게 자체적으로 격리된 기본 네트워크를 가질 수 있습니다. 이렇게 하면 테넌트 간 트래픽 위험이 줄어들어 보안이 향상됩니다.

  2. 네트워크 유연성

    • 2계층 및 3계층 지원 : 클러스터 관리자는 기본 네트워크를 2계층 또는 3계층 네트워크 유형으로 구성할 수 있습니다.

  3. 간소화된 네트워크 관리

    • 네트워크 구성의 복잡성 감소 : 사용자 정의 네트워크를 사용하면 서로 다른 네트워크의 작업 부하를 그룹화하여 격리를 달성할 수 있으므로 복잡한 네트워크 정책이 필요 없습니다.

  4. 고급 기능

    • 일관되고 선택 가능한 IP 주소 지정 : 사용자는 다양한 네임스페이스와 클러스터에서 IP 서브넷을 지정하고 재사용하여 일관된 네트워킹 환경을 제공할 수 있습니다.
    • 다중 네트워크 지원 : 사용자 정의 네트워킹 기능을 통해 관리자는 여러 네임스페이스를 단일 네트워크에 연결하거나, 서로 다른 네임스페이스 집합에 대해 별도의 네트워크를 만들 수 있습니다.

  5. Red Hat OpenStack Platform(RHOSP)에서 애플리케이션 마이그레이션 간소화

    • 네트워크 패리티 : 사용자 정의 네트워킹을 사용하면 유사한 네트워크 격리 및 구성 옵션을 제공하여 OpenStack에서 OpenShift Container Platform으로 애플리케이션을 마이그레이션하는 작업이 간소화됩니다.

개발자와 관리자는 사용자 정의 리소스를 사용하여 네임스페이스 범위가 지정된 사용자 정의 네트워크를 만들 수 있습니다. 프로세스 개요는 다음과 같습니다.

  1. 관리자는 k8s.ovn.org/primary-user-defined-network 레이블이 있는 사용자 정의 네트워크에 대한 네임스페이스를 만듭니다.
  2. UserDefinedNetwork CR은 클러스터 관리자나 사용자가 생성합니다.
  3. 사용자는 네임스페이스에 포드를 생성합니다.

2.1.2. 사용자 정의 네트워크의 한계
링크 복사

사용자 정의 네트워크(UDN)는 높은 수준의 사용자 정의가 가능한 네트워크 구성 옵션을 제공하지만, 클러스터 관리자와 개발자는 이러한 네트워크를 구현하고 관리할 때 알아야 할 제한 사항이 있습니다. UDN을 구현하기 전에 다음과 같은 제한 사항을 고려하세요.

  • DNS 제한 사항 :

    • 포드에 대한 DNS 조회는 클러스터 기본 네트워크의 포드 IP 주소로 확인됩니다. 포드가 사용자 정의 네트워크의 일부인 경우에도 DNS 조회는 해당 사용자 정의 네트워크의 포드 IP 주소로 확인되지 않습니다. 하지만 서비스 및 외부 엔터티에 대한 DNS 조회는 예상대로 작동합니다.
    • 포드가 기본 UDN에 할당되면 클러스터의 기본 네트워크에서 Kubernetes API(KAPI) 및 DNS 서비스에 액세스할 수 있습니다.
  • 초기 네트워크 할당 : Pod를 생성하기 전에 네임스페이스와 네트워크를 생성해야 합니다. 포드가 있는 네임스페이스를 새로운 네트워크에 할당하거나 기존 네임스페이스에 UDN을 만드는 것은 OVN-Kubernetes에서 허용되지 않습니다.
  • 상태 점검 제한 사항 : Kubelet 상태 점검은 클러스터 기본 네트워크에서 수행되므로 Pod의 기본 인터페이스의 네트워크 연결을 확인하지 않습니다. 따라서 기본 네트워크에서는 포드가 정상적으로 보이지만 기본 인터페이스에서는 연결이 끊어지는 시나리오가 사용자 정의 네트워크에서 발생할 수 있습니다.
  • 네트워크 정책 제한 : 서로 다른 사용자 정의 기본 네트워크에 연결된 네임스페이스 간 트래픽을 활성화하는 네트워크 정책은 효과적이지 않습니다. 이러한 트래픽 정책은 이러한 분리된 네트워크 간에 연결성이 없기 때문에 적용되지 않습니다.
  • 생성 및 수정 제한 : ClusterUserDefinedNetwork CR과 UserDefinedNetwork CR은 생성된 후에는 수정할 수 없습니다.
  • 기본 네트워크 서비스 액세스 : 사용자 정의 네트워크 포드는 기본 네트워크와 분리되어 있으므로 대부분의 기본 네트워크 서비스에 액세스할 수 없습니다. 예를 들어, 사용자 정의 네트워크 포드는 현재 OpenShift Container Platform 이미지 레지스트리에 액세스할 수 없습니다. 이러한 제한으로 인해 소스-이미지 빌드는 사용자 정의 네트워크 네임스페이스에서 작동하지 않습니다. 또한 Git 저장소의 소스 코드를 기반으로 애플리케이션을 만드는 함수(예: oc new-app <command> )와 소스-이미지 빌드를 사용하는 OpenShift Container Platform 템플릿에서 애플리케이션을 만드는 함수 등 다른 함수는 작동하지 않습니다. 이러한 제한은 다른 openshift-*.svc 서비스에도 영향을 미칠 수 있습니다.
  • 연결 제한 : 사용자 정의 네트워크의 NodePort 서비스는 격리가 보장되지 않습니다. 예를 들어, 같은 노드에 있는 포드에서 서비스로 가는 NodePort 트래픽은 접근할 수 없지만, 다른 노드에 있는 포드에서 오는 트래픽은 성공합니다.
  • IP 주소 소진에 대한 불분명한 오류 메시지 : 사용자 정의 네트워크의 서브넷에서 사용 가능한 IP 주소가 부족하면 새로운 Pod가 시작되지 않습니다. 이 문제가 발생하면 다음 오류가 반환됩니다. 경고: pod sandbox를 만들지 못했습니다 . 이 오류 메시지는 IP 고갈이 원인임을 명확하게 설명하지 않습니다. 문제를 확인하려면 OpenShift Container Platform 웹 콘솔의 포드 네임스페이스에 있는 이벤트 페이지를 확인하면 됩니다. 이 페이지에는 서브넷 고갈에 대한 명시적 메시지가 보고되어 있습니다.

2.1.3. 2계층 및 3계층 토폴로지
링크 복사

플랫 레이어 2 토폴로지는 클러스터의 모든 노드에 분산된 가상 스위치를 생성합니다. 가상 머신과 포드는 이 가상 스위치에 연결되어 모든 구성 요소가 동일한 서브넷 내에서 서로 통신할 수 있습니다. 플랫 레이어 2 토폴로지는 클러스터에 있는 노드 간에 가상 머신을 라이브 마이그레이션하는 데 유용합니다. 다음 다이어그램은 라이브 마이그레이션을 위해 가상 스위치를 사용하는 두 개의 노드가 있는 플랫 레이어 2 토폴로지를 보여줍니다.

그림 2.1. 구성 요소 통신을 위해 가상 스위치를 사용하는 플랫 레이어 2 토폴로지

노드 1에서 노드 2까지의 가상 머신이 서로 통신할 수 있도록 가상 스위치가 있는 플랫 레이어 2 토폴로지
View larger image
노드 1에서 노드 2까지의 가상 머신이 서로 통신할 수 있도록 가상 스위치가 있는 플랫 레이어 2 토폴로지

2계층 서브넷을 지정하지 않기로 결정한 경우 클러스터의 각 포드에 대한 IP 주소를 수동으로 구성해야 합니다. 2계층 서브넷을 지정하지 않으면 포트 보안은 MAC(Media Access Control) 스푸핑만 방지하는 데 국한되며 IP 스푸핑은 방지하지 않습니다. 2계층 토폴로지는 단일 브로드캐스트 도메인을 생성하는데, 이는 대규모 네트워크 환경에서 문제가 될 수 있으며, 토폴로지로 인해 네트워크 성능이 저하될 수 있는 브로드캐스트 스톰이 발생할 수 있습니다.

네트워크에 대해 더욱 구성 가능한 옵션에 액세스하려면 계층 2 토폴로지를 사용자 정의 네트워크(UDN)와 통합할 수 있습니다. 다음 다이어그램은 각 노드에 존재하는 포드를 포함하는 2계층 토폴로지를 갖춘 UDN을 사용하는 두 개의 노드를 보여줍니다. 각 노드에는 두 개의 인터페이스가 포함됩니다.

  • 네트워크 구성 요소를 노드에 연결하는 컴퓨팅 노드인 노드 인터페이스입니다.
  • br-ex 와 같은 OVS(Open vSwitch) 브리지는 Pod가 서로 통신하고 리소스를 공유할 수 있도록 2계층 OVN 스위치를 생성합니다.

외부 스위치는 두 인터페이스를 연결하고, 게이트웨이 또는 라우터는 외부 스위치와 2계층 OVN 스위치 간의 라우팅 트래픽을 처리합니다. 노드 내의 VM과 Pod는 UDN을 사용하여 서로 통신할 수 있습니다. 2계층 OVN 스위치는 UDN을 통한 노드 트래픽을 처리하므로 VM을 한 노드에서 다른 노드로 라이브 마이그레이션할 수 있습니다.

그림 2.2. 2계층 토폴로지를 사용하는 사용자 정의 네트워크(UDN)

노드 1에서 노드 2로 VM을 마이그레이션하기 위해 계층 2 토폴로지를 사용하는 UDN
View larger image
노드 1에서 노드 2로 VM을 마이그레이션하기 위해 계층 2 토폴로지를 사용하는 UDN

3계층 토폴로지는 클러스터의 각 노드에 대해 고유한 2계층 세그먼트를 생성합니다. 3계층 라우팅 메커니즘은 이러한 세그먼트를 상호 연결하여 서로 다른 노드에 호스팅된 가상 머신과 포드가 서로 통신할 수 있도록 합니다. 3계층 토폴로지는 각 도메인을 특정 노드에 할당하여 대규모 브로드캐스트 도메인을 효과적으로 관리할 수 있으므로 브로드캐스트 트래픽의 범위가 줄어듭니다. 3계층 토폴로지를 구성하려면 cidrhostSubnet 매개변수를 구성해야 합니다.

2.1.4. ClusterUserDefinedNetwork CR에 대하여
링크 복사

ClusterUserDefinedNetwork (UDN) 사용자 정의 리소스(CR)는 관리자에게만 클러스터 범위 네트워크 분할 및 격리를 제공합니다.

다음 다이어그램은 클러스터 관리자가 ClusterUserDefinedNetwork CR을 사용하여 테넌트 간에 네트워크 격리를 생성하는 방법을 보여줍니다. 이 네트워크 구성을 사용하면 네트워크를 여러 네임스페이스에 걸쳐 확장할 수 있습니다. 다이어그램에서 네트워크 격리는 두 개의 사용자 정의 네트워크인 udn-1udn-2 를 생성하여 달성됩니다. 이러한 네트워크는 연결되지 않았으며 spec.namespaceSelector.matchLabels 필드는 다른 네임스페이스를 선택하는 데 사용됩니다. 예를 들어, udn-1은 namespace-1namespace-2 에 대한 통신을 구성하고 격리하는 반면, udn-2는 namespace-3namespace-4 에 대한 통신을 구성하고 격리합니다. 격리된 테넌트(테넌트 1과 테넌트 2)는 네임스페이스를 분리하는 동시에 동일한 네임스페이스에 있는 포드가 통신할 수 있도록 허용하여 생성됩니다.

그림 2.3. ClusterUserDefinedNetwork CR을 사용한 테넌트 격리

사용자 정의 네트워크(UDN)의 테넌트 격리 개념
View larger image
사용자 정의 네트워크(UDN)의 테넌트 격리 개념
2.1.4.1. ClusterUserDefinedNetwork CR에 대한 모범 사례
링크 복사

ClusterUserDefinedNetwork 사용자 정의 리소스(CR)를 설정하기 전에 사용자는 다음 정보를 고려해야 합니다.

  • ClusterUserDefinedNetwork CR은 클러스터 관리자가 사용하도록 의도되었으며 관리자가 아닌 사용자는 사용하면 안 됩니다. 잘못 사용하면 배포 시 보안 문제가 발생하거나 중단이 발생하거나 클러스터 네트워크가 끊어질 수 있습니다.
  • ClusterUserDefinedNetwork CR은 기본 네임스페이스를 선택해서는 안 됩니다. 이로 인해 격리가 이루어지지 않을 수 있으며, 결과적으로 클러스터에 보안 위험이 발생할 수 있습니다.
  • ClusterUserDefinedNetwork CR은 openshift-* 네임스페이스를 선택해서는 안 됩니다.

  • OpenShift Container Platform 관리자는 다음 조건 중 하나가 충족되면 클러스터의 모든 네임스페이스가 선택된다는 사실을 알고 있어야 합니다.

    • matchLabels 선택자는 비어 있습니다.
    • matchExpressions 선택자는 비어 있습니다.
    • namespaceSelector 는 초기화되었지만 matchExpressions 또는 matchLabel을 지정하지 않습니다. 예를 들어: namespaceSelector: {} .

  • 기본 네트워크의 경우 ClusterUserDefinedNetwork CR에 사용되는 네임스페이스에는 k8s.ovn.org/primary-user-defined-network 레이블이 포함되어야 합니다. 이 레이블은 업데이트할 수 없으며, 네임스페이스가 생성될 때만 추가할 수 있습니다. 다음 조건은 k8s.ovn.org/primary-user-defined-network 네임스페이스 레이블에 적용됩니다.

    • 네임스페이스에 k8s.ovn.org/primary-user-defined-network 레이블이 없고 포드가 생성되면 포드는 기본 네트워크에 연결됩니다.
    • 네임스페이스에 k8s.ovn.org/primary-user-defined-network 레이블이 없고 네임스페이스와 일치하는 기본 ClusterUserDefinedNetwork CR이 생성되면 오류가 보고되고 네트워크가 생성되지 않습니다.
    • 네임스페이스에 k8s.ovn.org/primary-user-defined-network 레이블이 없고 기본 ClusterUserDefinedNetwork CR이 이미 존재하는 경우 네임스페이스에 포드가 생성되어 기본 네트워크에 연결됩니다.
    • 네임스페이스에 레이블이 있고 기본 ClusterUserDefinedNetwork CR이 없는 경우 ClusterUserDefinedNetwork CR이 생성될 때까지 네임스페이스에 포드가 생성되지 않습니다.

  • ClusterUserDefinedNetwork CR을 사용하여 로컬넷 토폴로지를 생성할 때 관리자를 위한 모범 사례는 다음과 같습니다.

    • CUDN CR을 생성할 때 spec.network.physicalNetworkName 매개변수가 Open vSwitch(OVS) 브리지 매핑에서 구성한 매개변수와 일치하는지 확인해야 합니다. 이렇게 하면 물리적 네트워크의 의도된 세그먼트에 브리징이 이루어집니다. 동일한 브리지 매핑을 사용하여 여러 CUDN CR을 배포하려는 경우 동일한 physicalNetworkName 매개변수를 사용해야 합니다.
    • 물리적 네트워크와 다른 네트워크 인터페이스 사이에 서브넷이 겹치지 않도록 하세요. 중복되는 네트워크 서브넷은 라우팅 충돌과 네트워크 불안정을 초래할 수 있습니다. spec.network.localnet.subnets 매개변수를 사용할 때 충돌을 방지하려면 spec.network.localnet.excludeSubnets 매개변수를 사용할 수 있습니다.
    • VLAN(가상 LAN)을 구성할 때는 기본 물리적 인프라(스위치, 라우터 등)와 노드가 모두 VLAN ID(VID)를 허용하도록 올바르게 구성되었는지 확인해야 합니다. 즉, 예를 들어 eth1 과 같은 물리적 네트워크 인터페이스를 물리적 스위치를 통해 연결하는 VLAN(예: 20 )에 대한 액세스 포트로 구성한다는 의미입니다. 또한, 물리적 인터페이스가 OVN-Kubernetes에 올바르게 연결되었는지 확인하려면 노드에 OVS 브리지 매핑(예: eth1 )이 있는지 확인해야 합니다.
2.1.4.2. CLI를 사용하여 ClusterUserDefinedNetwork CR 만들기
링크 복사

다음 절차에서는 CLI를 사용하여 ClusterUserDefinedNetwork 사용자 정의 리소스(CR)를 만듭니다. 사용 사례에 따라 Layer2 토폴로지 유형의 경우 cluster-layer-two-udn.yaml 예제를 사용하거나 Layer3 토폴로지 유형의 경우 cluster-layer-three-udn.yaml 예제를 사용하여 요청을 만듭니다.

중요
  • ClusterUserDefinedNetwork CR은 클러스터 관리자가 사용하도록 의도되었으며 관리자가 아닌 사용자는 사용하면 안 됩니다. 잘못 사용하면 배포 시 보안 문제가 발생하거나 중단이 발생하거나 클러스터 네트워크가 끊어질 수 있습니다.
  • OpenShift Virtualization은 Layer2Localnet 토폴로지만 지원합니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있는 사용자로 로그인했습니다.

프로세스

  1. 선택 사항: 기본 네트워크를 사용하는 ClusterUserDefinedNetwork CR의 경우 다음 명령을 입력하여 k8s.ovn.org/primary-user-defined-network 레이블이 있는 네임스페이스를 만듭니다. 

    $ cat << EOF | oc apply -f -
apiVersion: v1
kind: Namespace
metadata:
  name: <cudn_namespace_name>
  labels:
    k8s.ovn.org/primary-user-defined-network: ""
EOF
    Copy to Clipboard Toggle word wrap

  2. Layer2 또는 Layer3 토폴로지 유형에 대한 클러스터 전체 사용자 정의 네트워크를 만듭니다.

    1. 다음 예와 같이 Layer2 토폴로지에 대한 요청을 정의하려면 cluster-layer-two-udn.yaml 과 같은 YAML 파일을 만듭니다. 

      apiVersion: k8s.ovn.org/v1
kind: ClusterUserDefinedNetwork
metadata:
  name: <cudn_name>
      1 
      
spec:
  namespaceSelector:
      2 
      
    matchLabels:
      3 
      
      "<label_1_key>": "<label_1_value>"
      4 
      
      "<label_2_key>": "<label_2_value>"
      5 
      
  network:
      6 
      
    topology: Layer2
      7 
      
    layer2:
      8 
      
      role: Primary
      9 
      
      subnets:
        - "2001:db8::/64"
        - "10.100.0.0/16"
      10
      Copy to Clipboard Toggle word wrap
      1
      ClusterUserDefinedNetwork CR의 이름입니다.
      2
      CUDN CR이 적용되는 네임스페이스 세트에 대한 레이블 쿼리입니다. 표준 Kubernetes MatchLabel 선택기를 사용합니다. default 또는 openshift-* 네임스페이스를 가리켜서는 안 됩니다.
      3
      AND 관계로 용어를 평가하는 matchLabels 선택기 유형을 사용합니다.
      4 5
      이 예에서 CUDN CR은 <label_1_key>=<label_1_value><label_2_key>=<label_2_value> 레이블을 모두 포함하는 네임스페이스에 배포됩니다.
      6
      네트워크 구성을 설명합니다.
      7
      토폴로지 필드는 네트워크 구성을 설명합니다. 허용되는 값은 Layer2Layer3 입니다. Layer2 토폴로지 유형을 지정하면 모든 노드에서 공유되는 하나의 논리적 스위치가 생성됩니다.
      8
      이 필드는 토폴로지 구성을 지정합니다. layer2 또는 layer3 이 될 수 있습니다.
      9
      기본 또는 보조를 지정합니다. Primary는 4.19에서 지원되는 유일한 역할 사양입니다.
      10
      Layer2 토폴로지 유형의 경우 다음은 서브넷 필드에 대한 구성 세부 정보를 지정합니다.
      • 서브넷 필드는 선택 사항입니다.
      • 서브넷 필드는 문자열 유형이며 IPv4와 IPv6 모두에 대한 표준 CIDR 형식을 허용합니다.
      • 서브넷 필드에는 1~2개의 항목이 허용됩니다. 두 품목은 서로 다른 계열에 속해야 합니다. 예를 들어, 서브넷 값은 10.100.0.0/162001:db8::/64입니다 .
      • Layer2 서브넷은 생략될 수 있습니다. 생략하면 사용자는 포드에 대한 정적 IP 주소를 구성해야 합니다. 결과적으로 포트 보안은 MAC 스푸핑만 방지합니다. 자세한 내용은 "정적 IP 주소로 Pod 구성"을 참조하세요.

    2. 다음 예와 같이 Layer3 토폴로지에 대한 요청을 정의하려면 cluster-layer-three-udn.yaml 과 같은 YAML 파일을 만듭니다. 

      apiVersion: k8s.ovn.org/v1
kind: ClusterUserDefinedNetwork
metadata:
  name: <cudn_name>
      1 
      
spec:
  namespaceSelector:
      2 
      
    matchExpressions:
      3 
      
    - key: kubernetes.io/metadata.name
      4 
      
      operator: In
      5 
      
      values: ["<example_namespace_one>", "<example_namespace_two>"]
      6 
      
  network:
      7 
      
    topology: Layer3
      8 
      
    layer3:
      9 
      
      role: Primary
      10 
      
      subnets:
      11 
      
        - cidr: 10.100.0.0/16
          hostSubnet: 24
      Copy to Clipboard Toggle word wrap
      1
      ClusterUserDefinedNetwork CR의 이름입니다.
      2
      클러스터 UDN이 적용되는 네임스페이스 세트에 대한 레이블 쿼리입니다. 표준 Kubernetes MatchLabel 선택기를 사용합니다. default 또는 openshift-* 네임스페이스를 가리켜서는 안 됩니다.
      3
      OR 관계로 용어를 평가하는 matchExpressions 선택기 유형을 사용합니다.
      4
      일치시킬 레이블 키를 지정합니다.
      5
      연산자를 지정합니다. 유효한 값은 다음과 같습니다: In , NotIn , Exists , DoesNotExist .
      6
      matchExpressions 유형이 사용되므로 <example_namespace_one> 또는 <example_namespace_two> 와 일치하는 네임스페이스가 프로비저닝됩니다.
      7
      네트워크 구성을 설명합니다.
      8
      토폴로지 필드는 네트워크 구성을 설명합니다. 허용되는 값은 Layer2Layer3 입니다. Layer3 토폴로지 유형을 지정하면 노드당 다른 서브넷을 갖는 Layer 2 세그먼트가 생성됩니다. 3계층 라우팅은 노드 서브넷을 상호 연결하는 데 사용됩니다.
      9
      이 필드는 토폴로지 구성을 지정합니다. 유효한 값은 layer2 또는 layer3 입니다.
      10
      기본 또는 보조 역할을 지정합니다. Primary는 4.19에서 지원되는 유일한 역할 사양입니다.
      11
      Layer3 토폴로지 유형의 경우 다음은 서브넷 필드에 대한 구성 세부 정보를 지정합니다.
      • 서브넷 필드는 필수입니다.

      • 서브넷 필드의 유형은 cidrhostSubnet 입니다.

        • cidr 은 클러스터 서브넷이며 문자열 값을 허용합니다.
        • hostSubnet은 클러스터 서브넷이 분할되는 노드 서브넷 접두사를 지정합니다.
        • IPv6의 경우 hostSubnet 에 대해 /64 길이만 지원됩니다.

  3. 다음 명령을 실행하여 요청을 적용하세요. 

    $ oc create --validate=true -f <example_cluster_udn>.yaml
    Copy to Clipboard Toggle word wrap

    여기서 <example_cluster_udn>.yaml은 Layer2 또는 Layer3 구성 파일의 이름입니다.

  4. 다음 명령을 실행하여 요청이 성공했는지 확인하세요. 

    $ oc get clusteruserdefinednetwork <cudn_name> -o yaml
    Copy to Clipboard Toggle word wrap

    여기서 <cudn_name> 은 클러스터 전체 사용자 정의 네트워크에 대해 생성한 이름입니다.

    출력 예

    apiVersion: k8s.ovn.org/v1
kind: ClusterUserDefinedNetwork
metadata:
  creationTimestamp: "2024-12-05T15:53:00Z"
  finalizers:
  - k8s.ovn.org/user-defined-network-protection
  generation: 1
  name: my-cudn
  resourceVersion: "47985"
  uid: 16ee0fcf-74d1-4826-a6b7-25c737c1a634
spec:
  namespaceSelector:
    matchExpressions:
    - key: custom.network.selector
      operator: In
      values:
      - example-namespace-1
      - example-namespace-2
      - example-namespace-3
  network:
    layer3:
      role: Primary
      subnets:
      - cidr: 10.100.0.0/16
    topology: Layer3
status:
  conditions:
  - lastTransitionTime: "2024-11-19T16:46:34Z"
    message: 'NetworkAttachmentDefinition has been created in following namespaces:
      [example-namespace-1, example-namespace-2, example-namespace-3]'
    reason: NetworkAttachmentDefinitionReady
    status: "True"
    type: NetworkCreated
    Copy to Clipboard Toggle word wrap

2.1.4.3. Localnet 토폴로지에 대한 ClusterUserDefinedNetwork CR 생성
링크 복사

로컬넷 토폴로지는 보조 네트워크를 물리적 언더레이에 연결합니다. 이를 통해 동서 클러스터 트래픽과 클러스터 외부에서 실행되는 서비스에 대한 액세스가 모두 가능해집니다. 이 토폴로지 유형에는 클러스터 노드에서 기본 Open vSwitch(OVS) 시스템의 추가 구성이 필요합니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있는 사용자로 로그인했습니다.
  • OVS 브리지를 통해 논리적 OVN-Kubernetes 네트워크를 물리적 노드 네트워크와 연결하기 위해 Open vSwitch(OVS) 브리지 매핑을 만들고 구성했습니다. 자세한 내용은 "로컬넷 스위치 토폴로지 구성"을 참조하세요.

프로세스

  1. Localnet 토폴로지를 사용하여 클러스터 전체 사용자 정의 네트워크를 만듭니다.

    1. 다음 예와 같이 Localnet 토폴로지에 대한 요청을 정의하려면 cluster-udn-localnet.yaml 과 같은 YAML 파일을 만듭니다. 

      apiVersion: k8s.ovn.org/v1
kind: ClusterUserDefinedNetwork
metadata:
  name: <cudn_name>
      1 
      
spec:
  namespaceSelector:
      2 
      
    matchLabels:
      3 
      
      "<label_1_key>": "<label_1_value>"
      4 
      
      "<label_2_key>": "<label_2_value>"
      5 
      
  network:
      6 
      
    topology: Localnet
      7 
      
    localnet:
      8 
      
      role: Secondary
      9 
      
      physicalNetworkName: test
      ipam: {lifecycle: Persistent}
      subnets: ["192.168.0.0/16", "2001:dbb::/64"]
      10
      Copy to Clipboard Toggle word wrap
      1
      ClusterUserDefinedNetwork (CUDN) CR의 이름입니다.
      2
      클러스터 CUDN CR이 적용되는 네임스페이스 세트에 대한 레이블 쿼리입니다. 표준 Kubernetes MatchLabel 선택기를 사용합니다. default , openshift-* 또는 다른 시스템 네임스페이스를 가리켜서는 안 됩니다.
      3
      AND 관계로 용어를 평가하는 matchLabels 선택기 유형을 사용합니다.
      4 5
      이 예에서 CUDN CR은 <label_1_key>=<label_1_value><label_2_key>=<label_2_value> 레이블을 모두 포함하는 네임스페이스에 배포됩니다.
      6
      네트워크 구성을 설명합니다.
      7
      Localnet 토폴로지 유형을 지정하면 하나의 공급자 네트워크에 직접 연결되는 하나의 논리적 스위치가 생성됩니다.
      8
      이 필드는 로컬넷 토폴로지를 지정합니다.
      9
      네트워크 구성에 대한 역할을 지정합니다. 보조 역할로컬넷 토폴로지에 지원되는 유일한 역할 사양입니다.
      10
      로컬넷 토폴로지 유형의 경우 다음은 서브넷 필드에 대한 구성 세부 정보를 지정합니다.
      • 서브넷 필드는 선택 사항입니다.
      • 서브넷 필드는 문자열 유형이며 IPv4와 IPv6 모두에 대한 표준 CIDR 형식을 허용합니다.
      • 서브넷 필드에는 1~2개의 항목이 허용됩니다. 두 항목은 서로 다른 IP 패밀리에 속해야 합니다. 예를 들어, 서브넷 값은 10.100.0.0/162001:db8::/64입니다 .
      • localnet 서브넷은 생략될 수 있습니다. 생략하면 사용자는 포드에 대한 정적 IP 주소를 구성해야 합니다. 결과적으로 포트 보안은 MAC 스푸핑만 방지합니다. 자세한 내용은 "정적 IP 주소로 Pod 구성"을 참조하세요.

  2. 다음 명령을 실행하여 요청을 적용하세요. 

    $ oc create --validate=true -f <example_cluster_udn>.yaml
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <example_cluster_udn>.yaml
    Localnet 구성 파일의 이름입니다.

  3. 다음 명령을 실행하여 요청이 성공했는지 확인하세요. 

    $ oc get clusteruserdefinednetwork <cudn_name> -o yaml
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <cudn_name>
    클러스터 전체 사용자 정의 네트워크에 대해 만든 이름입니다.

예 2.1. 출력 예

apiVersion: k8s.ovn.org/v1
kind: ClusterUserDefinedNetwork
metadata:
  creationTimestamp: "2025-05-28T19:30:38Z"
  finalizers:
  - k8s.ovn.org/user-defined-network-protection
  generation: 1
  name: cudn-test
  resourceVersion: "140936"
  uid: 7ff185fa-d852-4196-858a-8903b58f6890
spec:
  namespaceSelector:
    matchLabels:
      "1": "1"
      "2": "2"
  network:
    localnet:
      ipam:
        lifecycle: Persistent
      physicalNetworkName: test
      role: Secondary
      subnets:
      - 192.168.0.0/16
      - 2001:dbb::/64
    topology: Localnet
status:
  conditions:
  - lastTransitionTime: "2025-05-28T19:30:38Z"
    message: 'NetworkAttachmentDefinition has been created in following namespaces:
      [test1, test2]'
    reason: NetworkAttachmentDefinitionCreated
    status: "True"
    type: NetworkCreated
Copy to Clipboard Toggle word wrap
2.1.4.4. 웹 콘솔을 사용하여 ClusterUserDefinedNetwork CR 만들기
링크 복사

OpenShift Container Platform 웹 콘솔에서 Layer2 토폴로지를 사용하여 ClusterUserDefinedNetwork 사용자 정의 리소스(CR)를 생성할 수 있습니다.

참고

현재 OpenShift Container Platform 웹 콘솔을 사용하는 경우 Layer3 토폴로지를 사용한 ClusterUserDefinedNetwork CR 생성은 지원되지 않습니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있는 사용자로 OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
  • 네임스페이스를 생성하고 k8s.ovn.org/primary-user-defined-network 라벨을 적용했습니다.

프로세스

  1. 관리자 관점에서 네트워킹사용자 정의 네트워크를 클릭합니다.
  2. ClusterUserDefinedNetwork를 클릭합니다.
  3. 이름 필드에서 클러스터 범위 UDN의 이름을 지정합니다.
  4. 서브넷 필드에 값을 지정합니다.
  5. 프로젝트 일치 레이블 필드에서 클러스터 UDN이 적용되는 네임스페이스를 선택하기 위해 적절한 레이블을 추가합니다.
  6. 생성을 클릭합니다. 클러스터 범위 UDN은 5단계에서 지정한 레이블이 포함된 네임스페이스에 있는 포드의 기본 기본 네트워크 역할을 합니다.

2.1.5. UserDefinedNetwork CR에 대하여
링크 복사

UDN( UserDefinedNetwork ) 사용자 정의 리소스(CR)는 사용자와 관리자에게 고급 네트워크 분할 및 격리 기능을 제공합니다.

다음 다이어그램은 4개의 클러스터 네임스페이스를 보여줍니다. 각 네임스페이스에는 하나의 사용자 정의 네트워크(UDN)가 할당되어 있고, 각 UDN에는 해당 Pod IP 할당을 위한 사용자 정의 서브넷이 할당되어 있습니다. OVN-Kubernetes는 중복되는 UDN 서브넷을 처리합니다. Kubernetes 네트워크 정책을 사용하지 않으면 UDN에 연결된 Pod가 해당 UDN의 다른 Pod와 통신할 수 있습니다. 기본적으로 이러한 포드는 다른 UDN에 있는 포드와의 통신이 차단됩니다. 마이크로세그먼테이션의 경우 UDN 내에서 네트워크 정책을 적용할 수 있습니다. 네임스페이스에 하나 이상의 UDN을 할당할 수 있지만, 네임스페이스에는 기본 UDN을 하나만 할당하고, UDN에는 하나 이상의 네임스페이스를 할당할 수 있습니다.

그림 2.4. UserDefinedNetwork CR을 사용한 네임스페이스 격리

사용자 정의 네트워크(UDN)의 네임스페이스 격리 개념
View larger image
사용자 정의 네트워크(UDN)의 네임스페이스 격리 개념
2.1.5.1. UserDefinedNetwork CR에 대한 모범 사례
링크 복사

UserDefinedNetwork 사용자 정의 리소스(CR)를 설정하기 전에 다음 정보를 고려해야 합니다.

  • openshift-* 네임스페이스는 UserDefinedNetwork CR을 설정하는 데 사용해서는 안 됩니다.
  • UserDefinedNetwork CR은 기본 네임스페이스에 생성되어서는 안 됩니다. 이로 인해 격리가 이루어지지 않을 수 있으며, 결과적으로 클러스터에 보안 위험이 발생할 수 있습니다.

  • 기본 네트워크의 경우 UserDefinedNetwork CR에 사용되는 네임스페이스에는 k8s.ovn.org/primary-user-defined-network 레이블이 포함되어야 합니다. 이 레이블은 업데이트할 수 없으며, 네임스페이스가 생성될 때만 추가할 수 있습니다. 다음 조건은 k8s.ovn.org/primary-user-defined-network 네임스페이스 레이블에 적용됩니다.

    • 네임스페이스에 k8s.ovn.org/primary-user-defined-network 레이블이 없고 포드가 생성되면 포드는 기본 네트워크에 연결됩니다.
    • 네임스페이스에 k8s.ovn.org/primary-user-defined-network 레이블이 없고 네임스페이스와 일치하는 기본 UserDefinedNetwork CR이 생성되면 상태 오류가 보고되고 네트워크가 생성되지 않습니다.
    • 네임스페이스에 k8s.ovn.org/primary-user-defined-network 레이블이 없고 기본 UserDefinedNetwork CR이 이미 존재하는 경우 네임스페이스에 포드가 생성되어 기본 네트워크에 연결됩니다.
    • 네임스페이스에 레이블이 있고 기본 UserDefinedNetwork CR이 없는 경우, UserDefinedNetwork CR이 생성될 때까지 네임스페이스에 포드가 생성되지 않습니다.

  • 사용자 정의 네트워크에는 2개의 가면 IP 주소가 필요합니다. 필요한 수의 네트워크를 수용할 만큼 충분히 크게 매스커레이드 서브넷을 재구성해야 합니다.

    중요
    • OpenShift Container Platform 4.17 이상에서는 클러스터가 IPv4의 경우 169.254.0.0/17을 , IPv6의 경우 fd69::/112를 기본 마스커레이드 서브넷으로 사용합니다. 사용자는 이러한 범위를 피해야 합니다. 업데이트된 클러스터의 경우 기본 마스커레이드 서브넷에는 변경 사항이 없습니다.
    • 프로젝트에 대해 사용자 정의 네트워크가 구성된 후에는 클러스터의 마스커레이드 서브넷을 변경하는 것이 지원되지 않습니다. UserDefinedNetwork CR이 설정된 후에 마스커레이드 서브넷을 수정하려고 하면 네트워크 연결이 중단되고 구성 문제가 발생할 수 있습니다.
  • 테넌트가 NetworkAttachmentDefinition (NAD) CR이 아닌 UserDefinedNetwork 리소스를 사용하고 있는지 확인하세요. 이로 인해 세입자 간에 보안 위험이 발생할 수 있습니다.
  • 네트워크 세분화를 생성할 때 UserDefinedNetwork CR을 사용하여 사용자 정의 네트워크 세분화를 완료할 수 없는 경우에만 NetworkAttachmentDefinition CR을 사용해야 합니다.
  • UserDefinedNetwork CR에 대한 클러스터 서브넷 및 서비스 CIDR은 기본 클러스터 서브넷 CIDR과 겹칠 수 없습니다. OVN-Kubernetes 네트워크 플러그인은 네트워크의 기본 조인 서브넷으로 100.64.0.0/16을 사용합니다. 해당 값을 사용하여 UserDefinedNetwork CR의 joinSubnets 필드를 구성해서는 안 됩니다. 클러스터의 네트워크 어디에서나 기본 주소 값이 사용되는 경우 joinSubnets 필드를 설정하여 기본값을 재정의해야 합니다. 자세한 내용은 "사용자 정의 네트워크에 대한 추가 구성 세부 정보"를 참조하세요.
2.1.5.2. CLI를 사용하여 UserDefinedNetwork CR 만들기
링크 복사

다음 절차에서는 네임스페이스 범위가 지정된 UserDefinedNetwork CR을 만듭니다. 사용 사례에 따라 Layer2 토폴로지 유형의 경우 my-layer-two-udn.yaml 예제를 사용하거나 Layer3 토폴로지 유형의 경우 my-layer-three-udn.yaml 예제를 사용하여 요청을 만듭니다.

특권

  • 클러스터 관리자 권한으로 로그인했거나 역할 기반 액세스 제어(RBAC)를 보고 편집할 수 있는 권한이 있습니다.

프로세스

  1. 선택 사항: 기본 네트워크를 사용하는 UserDefinedNetwork CR의 경우 다음 명령을 입력하여 k8s.ovn.org/primary-user-defined-network 레이블이 있는 네임스페이스를 만듭니다. 

    $ cat << EOF | oc apply -f -
apiVersion: v1
kind: Namespace
metadata:
  name: <udn_namespace_name>
  labels:
    k8s.ovn.org/primary-user-defined-network: ""
EOF
    Copy to Clipboard Toggle word wrap

  2. Layer2 또는 Layer3 토폴로지 유형에 대한 사용자 정의 네트워크를 만듭니다.

    1. 다음 예와 같이 Layer2 토폴로지에 대한 요청을 정의하려면 my-layer-two-udn.yaml 과 같은 YAML 파일을 만듭니다. 

      apiVersion: k8s.ovn.org/v1
kind: UserDefinedNetwork
metadata:
  name: udn-1
      1 
      
  namespace: <some_custom_namespace>
spec:
  topology: Layer2
      2 
      
  layer2:
      3 
      
    role: Primary
      4 
      
    subnets:
      - "10.0.0.0/24"
      - "2001:db8::/60"
      5
      Copy to Clipboard Toggle word wrap
      1
      UserDefinedNetwork 리소스의 이름입니다. 이는 기본값이어서 는 안 되며 클러스터 네트워크 운영자(CNO)가 생성한 글로벌 네임스페이스와 중복되어서는 안 됩니다.
      2
      토폴로지 필드는 네트워크 구성을 설명합니다. 허용되는 값은 Layer2Layer3 입니다. Layer2 토폴로지 유형을 지정하면 모든 노드에서 공유되는 하나의 논리적 스위치가 생성됩니다.
      3
      이 필드는 토폴로지 구성을 지정합니다. layer2 또는 layer3 이 될 수 있습니다.
      4
      기본 또는 보조 역할을 지정합니다.
      5
      Layer2 토폴로지 유형의 경우 다음은 서브넷 필드에 대한 구성 세부 정보를 지정합니다.
      • 서브넷 필드는 선택 사항입니다.
      • 서브넷 필드는 문자열 유형이며 IPv4와 IPv6 모두에 대한 표준 CIDR 형식을 허용합니다.
      • 서브넷 필드에는 1~2개의 항목이 허용됩니다. 두 품목은 서로 다른 계열에 속해야 합니다. 예를 들어, 서브넷 값은 10.100.0.0/162001:db8::/64입니다 .
      • Layer2 서브넷은 생략될 수 있습니다. 생략하면 사용자는 포드에 대한 IP 주소를 구성해야 합니다. 결과적으로 포트 보안은 MAC 스푸핑만 방지합니다.
      • ipamLifecycle 필드가 지정된 경우 Layer2 서브넷 필드는 필수입니다.

    2. 다음 예와 같이 Layer3 토폴로지에 대한 요청을 정의하려면 my-layer-three-udn.yaml 과 같은 YAML 파일을 만듭니다. 

      apiVersion: k8s.ovn.org/v1
kind: UserDefinedNetwork
metadata:
  name: udn-2-primary
      1 
      
  namespace: <some_custom_namespace>
spec:
  topology: Layer3
      2 
      
  layer3:
      3 
      
    role: Primary
      4 
      
    subnets:
      5 
      
      - cidr: 10.150.0.0/16
        hostSubnet: 24
      - cidr: 2001:db8::/60
        hostSubnet: 64
# ...
      Copy to Clipboard Toggle word wrap
      1
      UserDefinedNetwork 리소스의 이름입니다. 이는 기본값이어서 는 안 되며 클러스터 네트워크 운영자(CNO)가 생성한 글로벌 네임스페이스와 중복되어서는 안 됩니다.
      2
      토폴로지 필드는 네트워크 구성을 설명합니다. 허용되는 값은 Layer2Layer3 입니다. Layer3 토폴로지 유형을 지정하면 노드당 다른 서브넷을 갖는 Layer 2 세그먼트가 생성됩니다. 3계층 라우팅은 노드 서브넷을 상호 연결하는 데 사용됩니다.
      3
      이 필드는 토폴로지 구성을 지정합니다. 유효한 값은 layer2 또는 layer3 입니다.
      4
      기본 또는 보조 역할을 지정합니다.
      5
      Layer3 토폴로지 유형의 경우 다음은 서브넷 필드에 대한 구성 세부 정보를 지정합니다.
      • 서브넷 필드는 필수입니다.

      • 서브넷 필드의 유형은 cidrhostSubnet 입니다.

        • cidr은 클러스터의 clusterNetwork 구성 설정과 동일합니다. CIDR의 IP 주소는 사용자 정의 네트워크의 포드에 배포됩니다. 이 매개변수는 문자열 값을 허용합니다.
        • hostSubnet은 노드별 서브넷 접두사를 정의합니다.
        • IPv6의 경우 hostSubnet 에 대해 /64 길이만 지원됩니다.

  3. 다음 명령을 실행하여 요청을 적용하세요. 

    $ oc apply -f <my_layer_two_udn>.yaml
    Copy to Clipboard Toggle word wrap

    여기서 <my_layer_two_udn>.yaml은 Layer2 또는 Layer3 구성 파일의 이름입니다.

  4. 다음 명령을 실행하여 요청이 성공했는지 확인하세요. 

    $ oc get userdefinednetworks udn-1 -n <some_custom_namespace> -o yaml
    Copy to Clipboard Toggle word wrap

    여기서 some_custom_namespace 는 사용자 정의 네트워크에 대해 생성한 네임스페이스입니다.

    출력 예

    apiVersion: k8s.ovn.org/v1
kind: UserDefinedNetwork
metadata:
  creationTimestamp: "2024-08-28T17:18:47Z"
  finalizers:
  - k8s.ovn.org/user-defined-network-protection
  generation: 1
  name: udn-1
  namespace: some-custom-namespace
  resourceVersion: "53313"
  uid: f483626d-6846-48a1-b88e-6bbeb8bcde8c
spec:
  layer2:
    role: Primary
    subnets:
    - 10.0.0.0/24
    - 2001:db8::/60
  topology: Layer2
status:
  conditions:
  - lastTransitionTime: "2024-08-28T17:18:47Z"
    message: NetworkAttachmentDefinition has been created
    reason: NetworkAttachmentDefinitionReady
    status: "True"
    type: NetworkCreated
    Copy to Clipboard Toggle word wrap

2.1.5.3. 웹 콘솔을 사용하여 UserDefinedNetwork 만들기
링크 복사

OpenShift Container Platform 웹 콘솔을 사용하여 Layer2 토폴로지와 기본 역할을 갖춘 UserDefinedNetwork 사용자 지정 리소스(CR)를 만들 수 있습니다.

참고

현재 OpenShift Container Platform 웹 콘솔을 사용하는 경우 Layer3 토폴로지 또는 보조 역할이 있는 UserDefinedNetwork CR을 생성하는 것은 지원되지 않습니다.

사전 요구 사항

  • OpenShift Container Platform 웹 콘솔에 cluster-admin 권한이 있는 사용자로 로그인합니다.
  • 네임스페이스를 생성하고 k8s.ovn.org/primary-user-defined-network 라벨을 적용했습니다.

프로세스

  1. 관리자 관점에서 네트워킹사용자 정의 네트워크를 클릭합니다.
  2. 사용자 정의 네트워크 만들기를 클릭합니다.
  3. 프로젝트 이름 목록에서 이전에 만든 네임스페이스를 선택합니다.
  4. 서브넷 필드에 값을 지정합니다.
  5. 생성을 클릭합니다. 사용자 정의 네트워크는 이 네임스페이스에서 생성하는 포드의 기본 기본 네트워크 역할을 합니다.

2.1.6. 사용자 정의 네트워크에 대한 추가 구성 세부 정보
링크 복사

다음 표에서는 선택 사항인 ClusterUserDefinedNetworkUserDefinedNetwork 사용자 정의 리소스(CR)에 대한 추가 구성을 설명합니다. OVN-Kubernetes 네트워크 토폴로지에 대한 명확한 필요성과 이해가 없이 이러한 필드를 설정하는 것은 권장되지 않습니다.

  1. 사용자 정의 네트워크에 대한 선택적 구성
Expand

CUDN 필드

UDN 필드

유형

설명

spec.network.<topology>.joinSubnets

spec.<topology>.joinSubnets

object

생략하면 플랫폼은 IPv4의 경우 joinSubnets 필드에 기본값을 100.65.0.0/16으로 설정하고 IPv6의 경우 fd99::/64로 설정합니다. 클러스터 네트워크의 어느 곳에서나 기본 주소 값을 사용하는 경우 joinSubnets 필드를 설정하여 해당 값을 재정의해야 합니다. 이 필드를 설정하기로 선택한 경우 클러스터 서브넷, 기본 네트워크 클러스터 서브넷, 마스커레이드 서브넷 등 클러스터의 다른 서브넷과 충돌하지 않는지 확인하세요.

joinSubnets 필드는 사용자 정의 네트워크 내의 서로 다른 세그먼트 간 라우팅을 구성합니다. 듀얼 스택 클러스터는 IP 패밀리마다 하나씩, 총 2개의 서브넷을 설정할 수 있습니다. 그렇지 않은 경우 서브넷은 1개만 허용됩니다. 이 필드는 기본 네트워크에만 허용됩니다.

spec.network.<topology>.excludeSubnets

spec.<topology>.exlcudeSubnets

string

서브넷 필드의 지정된 CIDR에서 제거할 CIDR 목록을 지정합니다. 이 목록에 있는 CIDR은 subnets 에 지정된 하나 이상의 서브넷 범위 내에 있어야 합니다. 생략하면 IP 주소가 제외되지 않으며, 서브넷 필드에 지정된 모든 IP 주소가 할당됩니다. 표준 CIDR 표기법을 사용해야 합니다. 예를 들어, 10.128.0.0/16 . subnets 필드가 설정되지 않았거나 ipam.mode 필드가 Disabled 로 설정된 경우 이 필드는 생략해야 합니다. excludeSubnets 필드에는 최대 25개의 값만 설정할 수 있습니다.

Localnet 토폴로지를 사용하여 보조 네트워크를 배포하는 경우 서브넷에서 IP 중복을 방지하기 위해 물리적 네트워크에서 사용되는 IP 범위를 excludeSubnets 필드에 명시적으로 나열해야 합니다.

spec.network.<topology>.ipam.lifecycle

spec.<topology>.ipam.lifecycle

object

spec.ipam.lifecycle 필드는 IP 주소 관리 시스템(IPAM)을 구성합니다. 가상 워크로드에 대해 이 필드를 사용하여 지속적인 IP 주소를 확보할 수 있습니다. 허용되는 유일한 값은 Persistent 이며, 이를 통해 가상 워크로드가 재부팅 및 마이그레이션 중에도 영구 IP 주소를 갖게 됩니다. 이러한 주소는 컨테이너 네트워크 인터페이스(CNI)에서 할당하고 OVN-Kubernetes에서 Pod IP 주소를 프로그래밍하는 데 사용됩니다. 포드 주석의 경우 이를 변경해서는 안 됩니다.

Persistent 값을 설정하는 것은 ipam.mode 매개변수가 Enabled 로 설정된 경우에만 지원됩니다.

spec.network.<topology>.ipam.mode

spec.<topology>`ipam.mode

object

모드 매개변수는 OVN-Kubernetes가 IP 구성을 얼마나 관리할지 제어합니다. 다음과 같은 옵션을 사용할 수 있습니다.

활성화됨:
이 기능을 활성화하면 OVN-Kubernetes는 SDN 인프라에 IP 구성을 적용하고 선택한 서브넷의 IP 주소를 개별 포드에 할당합니다. 이 설정은 기본 설정입니다. Enabled 로 설정된 경우 서브넷 필드를 정의해야 합니다. 기본 구성은 활성화되어 있습니다.

장애가 있는:
비활성화된 경우, OVN-Kubernetes는 MAC 주소만 할당하고 2계층 통신을 제공하므로 사용자는 IP 주소를 구성할 수 있습니다. 비활성화는 2계층(보조) 네트워크에만 사용할 수 있습니다. IPAM을 비활성화하면 네트워크 정책, 서비스 등 IP를 기준으로 포드를 선택하는 기능이 더 이상 작동하지 않습니다. 또한, 이 네트워크에 연결된 인터페이스의 IP 포트 보안도 비활성화됩니다. spec.ipam.mode 가 Disabled로 설정된 경우 서브넷 필드는 비어 있어야 합니다 .

spec.network.<topology>.mtu

spec.<topology>.mtu

integer

최대 전송 단위(MTU). 기본값은 1400 입니다. IPv4의 경계는 576 이고, IPv6의 경계는 1280 입니다.

spec.network.localnet.vlan

해당 없음

object

이 필드는 선택 사항이며 가상 LAN(Local Area Network) 태그를 구성하고 물리적 네트워크를 여러 개의 독립적인 브로드캐스트 도메인으로 분할할 수 있습니다.

spec.network.localnet.vlan.mode

해당 없음

object

허용되는 값은 Access 입니다. Access 값은 네트워크 인터페이스가 단일 VLAN에 속하고 모든 트래픽이 spec.network.localnet.vlan.mode.access.id 필드에 구성된 ID 로 레이블이 지정됨을 지정합니다. ID는 액세스 포트의 VLAN ID (VID)를 지정합니다. 값은 1~4094 사이의 정수여야 합니다.

spec.network.localnet.physicalNetworkName

해당 없음

string

물리적 네트워크 인터페이스의 이름을 지정합니다. 지정하는 값은 Open vSwitch(OVS) 브리지 매핑에서 제공한 네트워크 이름 매개변수와 일치해야 합니다.

다음과 같습니다.

<topology>
UserDefinedNetwork CR의 경우 layer2 또는 layer3이 될 수 있습니다. ClusterUserDefinedNetwork CR의 경우 토폴로지는 Localnet이 될 수도 있습니다.

2.1.7. 사용자 정의 네트워크 상태 조건 유형
링크 복사

다음 표에서는 리소스를 설명할 때 ClusterUserDefinedNetworkUserDefinedNetwork CR에 대해 반환되는 상태 조건 유형을 설명합니다. 이러한 조건은 배포 문제를 해결하는 데 사용될 수 있습니다.

Expand
표 2.1. NetworkCreated 조건 유형( ClusterDefinedNetwork 및 UserDefinedNetwork CR)
조건 유형상태이유와 메시지

NetworkCreated

True

True인 경우, 다음과 같은 이유와 메시지가 반환됩니다.

이유

메시지

NetworkAttachmentDefinitionCreated

'NetworkAttachmentDefinition이 다음 네임스페이스에 생성되었습니다: [example-namespace-1, example-namespace-2, example-namespace-3]'

NetworkCreated

False

False 인 경우 다음 메시지 중 하나가 반환됩니다.

이유

메시지

SyncError

NetworkAttachmentDefinition을 생성하지 못했습니다.

SyncError

NetworkAttachmentDefinition을 업데이트하지 못했습니다.

SyncError

primary network already exist in namespace "<namespace_name>": "<primary_network_name>"

SyncError

NetworkAttachmentDefinition을 생성하지 못했습니다. NAD 생성 오류

SyncError

원하는 이름을 가진 외부 NetworkAttachmentDefinition이 이미 존재합니다.

SyncError

UserDefinedNetwork에 종료자를 추가하는 데 실패했습니다.

NetworkAttachmentDefinitionDeleted

NetworkAttachmentDefinition is being deleted: [<namespace>/<nad_name>]

Expand
표 2.2. NetworkAllocationSucceeded 조건 유형( UserDefinedNetwork CR)
조건 유형상태이유와 메시지

NetworkAllocationSucceeded

True

True인 경우, 다음과 같은 이유와 메시지가 반환됩니다.

이유

메시지

NetworkAllocationSucceeded

모든 동기화된 노드에 대한 네트워크 할당이 성공했습니다.

NetworkAllocationSucceeded

False

False인 경우 다음 메시지가 반환됩니다.

이유

메시지

InternalError

최소 한 개의 노드 [<node_name>]에 대한 네트워크 할당에 실패했습니다. 자세한 내용은 UDN 이벤트를 확인하세요.

Expand
표 2.3. ClusterUserDefinedNetwork CR에 대한 잘못된 MTU 시나리오 유형
조건 유형이유, 메시지, 해결책

잘못된 MTU

MTU가 잘못 설정되면 다음 메시지 중 하나가 반환됩니다.

이유

메시지

해결

mtu 필드는 65536 보다 높게 설정됩니다.

본문의 spec.network.localnet.mtu는 65536 보다 작아야 합니다.

mtu 필드를 65536 보다 낮게 설정해야 합니다.

mtu 필드는 576 보다 낮게 설정됩니다.

본문의 spec.network.localnet.mtu는 576 이상이어야 합니다.

mtu 필드를 576 이상으로 설정해야 합니다.

IPv6 서브넷을 사용하는 경우 mtu 필드는 최소 1280 이어야 합니다.

IPv6 서브넷을 사용하는 경우 MTU는 1280 이상이어야 합니다.

사용자 정의 네트워크 구성에 IPv6 서브넷이 정의된 경우 MTU 필드를 1280 이상으로 설정해야 합니다.

Expand
표 2.4. ClusterUserDefinedNetwork CR에 대한 잘못된 PhysicalNetworkName 시나리오 유형
조건 유형이유, 메시지, 해결책

invalid PhysicalNetworkName

PhysicalNetworkName이 잘못 설정되면 다음 메시지 중 하나가 반환됩니다.

이유

메시지

해결

물리적 네트워크의 이름이 설정되지 않았습니다.

spec.network.localnet.physicalNetworkName: 필수 값

physicalNetworkName 필드를 설정해야 합니다.

물리적 네트워크의 이름이 최소 길이 요구 사항을 충족하지 않습니다.

본문의 spec.network.localnet.physicalNetworkName은 최소 1자 이상이어야 합니다.

실제 네트워크 이름은 최소 1자 이상으로 설정해야 합니다.

물리적 네트워크 이름이 최대 문자 수인 253자를 초과했습니다.

spec.network.localnet.physicalNetworkName: 너무 깁니다. 253바이트를 넘을 수 없습니다.

물리적 네트워크 이름은 253자를 넘지 않도록 설정해야 합니다.

물리적 네트워크의 이름에는 , 또는 : 이 포함될 수 없습니다.

physicalNetworkName에는 "," 또는 ":" 문자가 포함될 수 없습니다 .

물리적 네트워크 이름에서 , 또는 : 를 제거해야 합니다.

Expand
표 2.5. ClusterUserDefinedNetwork CR에 대한 잘못된 역할 시나리오 유형
조건 유형이유, 메시지, 해결책

역할이 설정되지 않았 거나 역할이 기본임

spec.network.localnet.role 이 잘못 설정되면 다음 메시지 중 하나가 반환됩니다.

이유

메시지

해결

로컬넷 토폴로지에 대한 역할 필드를 설정해야 합니다.

spec.network.localnet.role: 필수 값

역할 필드를 설정해야 합니다.

Primary는 Localnet 토폴로지에 지원되는 값이 아닙니다.

spec.network.localnet.role: 지원되지 않는 값: "Primary": 지원되는 값: "Secondary"

Localnet 토폴로지의 역할 필드를 허용된 값인 Secondary 로 설정해야 합니다.

Expand
표 2.6. ClusterUserDefinedNetwork CR에 대한 잘못된 서브넷 및 IPAM 시나리오 유형
조건 유형이유, 메시지, 해결책

LocalnetInvalidSubnets

spec.network.localnet.subnets 또는 spec.network.localnet.ipam 이 잘못 설정되면 다음 메시지 중 하나가 반환됩니다.

이유

메시지

해결

선택 필드인 subnetsipam.mode 는 함께 설정해야 합니다.

ipam.mode가 활성화되거나 설정되지 않은 경우 서브넷이 필요하고 그렇지 않은 경우 금지됩니다.

spec.network.localnet.ipam.mode가 명시적으로 비활성화되어 있지 않는 한 서브넷 필드를 설정해야 합니다.

이 선택적 필드를 사용할 때 spec.network.localnet.subnets 에는 허용 가능한 값이 있어야 합니다.

ClusterUserDefinedNetwork "localnet-empty-subnets-fail"이 유효하지 않습니다: spec.network.localnet.subnets: 잘못된 값: 0: 본문의 spec.network.localnet.subnets에는 최소 1개의 항목이 있어야 합니다.

spec.network.localnet.subnets 에 대해 허용 가능한 값을 설정해야 합니다. 허용되는 값은 OpenShift Container Platform에서 사용하는 CIDR 범위와 겹치지 않는 IPv4 및 IPv6 Classless Inter-Domain Routing(CIDR) 범위입니다.

선택적 spec.network.localnet.excludeSubnets 필드를 사용하는 경우 서브넷 필드를 설정해야 합니다.

subnets가 설정되지 않은 경우 excludeSubnets도 설정되지 않아야 합니다.

spec.network.localnet.excludeSubnet 필드를 사용하는 경우 spec.network.localnet.subnets 필드 를 설정해야 합니다.

excludeSubnetssubnets 필드 내의 값이어야 합니다.

excludeSubnets는 서브넷 필드에 지정된 네트워크의 하위 네트워크여야 합니다.

excludeSubnets 필드의 값을 subnets 필드 내에 있도록 설정해야 합니다. 예를 들어, 서브넷 값이 192.168.100.0/24 이고 excludeSubnets 값이 192.168.200.1/32 인 것은 유효하지 않습니다.

CIDR 범위가 잘못되었습니다.

ClusterUserDefinedNetwork "localnet-subnets-invalid-ipv4-cidr-fail"이 잘못되었습니다: spec.network.localnet.subnets[0]: 잘못된 값: "string": CIDR이 잘못되었습니다.

spec.network.localnet.subnets 필드에 대해 허용 가능한 CIDR 범위를 설정해야 합니다. 허용되는 값은 OpenShift Container Platform에서 사용되지 않거나 예약되지 않은 IPv4 및 IPv6 CIDR 범위입니다.

ipam.mode가 Enabled 로 설정되어 있거나 IPAM 모드가 설정되지 않은 경우(기본값이 Enabled 이기 때문) 서브넷 필드를 설정해야 합니다.

ipam.mode가 활성화되어 있거나 설정되지 않은 경우 서브넷이 필요하고, 그렇지 않은 경우 금지됩니다 .

spec.network.localnet.ipam.mode가 명시적으로 비활성화되어 있지 않은 한 spec.network.localnet.subnets 필드를 설정해야 합니다.

spec.network.localnet.subnets 필드에 두 개의 CIDR 범위를 설정하려면 하나는 IPv4이고 다른 하나는 IPv6이어야 합니다.

잘못된 값입니다... 2개의 CIDR이 설정되면 서로 다른 IP 패밀리에 속해야 합니다 .

CIDR 범위 중 하나를 다른 IP 패밀리로 변경해야 합니다.

spec.network.localnet.ipam.modeDisabled 이지만 spec.network.localnet.lifecycle 의 값은 Persistent 입니다.

수명 주기 지속성은 ipam.mode가 활성화된 경우에만 지원됩니다.

선택적 필드 lifecycle에 Persistent 값이 있는 경우 ipam.mode를 Enabled 로 설정해야 합니다.

Expand
표 2.7. ClusterUserDefinedNetwork CR에 대한 잘못된 VLAN 시나리오 유형
조건 유형이유, 메시지, 해결책

잘못된 VLAN 또는 잘못된 모드

spec.network.localnet.vlan 이 잘못 설정되면 다음 메시지 중 하나가 반환됩니다.

이유

메시지

해결

spec.network.localnet.vlan.mode 필드를 설정해야 합니다.

spec.network.localnet.vlan.mode: 지원되지 않는 값: "Disabled": 지원되는 값: "Access"

spec.network.localnet.vlan.mode 필드를 액세스 모드로 설정해야 합니다.

spec.network.localnet.vlan.mode가 액세스 모드로 설정된 경우 spec.network.localnet.vlan 필드를 설정해야 합니다.

VLAN 모드가 '액세스'인 경우 VLAN 액세스 구성이 필요하고, 그렇지 않은 경우 금지됩니다 .

액세스 모드를 사용하는 경우 spec.network.localnet.vlan.mode.access 필드를 설정해야 합니다.

액세스 모드를 사용하는 경우 spec.network.localnet.vlan.access.id 값을 설정해야 합니다.

spec.network.localnet.vlan.access.id: 필수 값

spec.network.localnet.mode.access.id 에 대한 값을 설정해야 합니다.

access.id 에 허용되는 값은 1 이상입니다.

본문의 spec.network.localnet.vlan.access.id는 1 이상이어야 합니다.

access.id 필드에는 1 이상의 값을 설정해야 합니다.

access.id 에 허용되는 값은 4094 이하여야 합니다.

본문의 spec.network.localnet.vlan.access.id는 4094 이하여야 합니다.

access.id 필드에는 4094 이하의 값을 설정해야 합니다.

2.1.8. 사용자 정의 네트워크 포드에서 기본 네트워크 포트 열기
링크 복사

기본적으로 사용자 정의 네트워크(UDN)의 포드는 기본 네트워크와 격리됩니다. 즉, Prometheus 또는 Alertmanager와 같은 모니터링 서비스나 OpenShift Container Platform 이미지 레지스트리를 실행하는 기본 네트워크 포드는 UDN 포드에 대한 연결을 시작할 수 없습니다.

기본 네트워크 포드가 사용자 정의 네트워크 포드에 연결되도록 하려면 k8s.ovn.org/open-default-ports 주석을 사용하면 됩니다. 이 주석은 기본 네트워크에서 액세스할 수 있도록 사용자 정의 네트워크 포드의 특정 포트를 엽니다.

다음 Pod 사양은 기본 네트워크에서 포트 80 에서 들어오는 TCP 연결과 포트 53 에서 UDP 트래픽을 허용합니다. 

apiVersion: v1
kind: Pod
metadata:
  annotations:
    k8s.ovn.org/open-default-ports: |
      - protocol: tcp
        port: 80
      - protocol: udp
        port: 53
# ...
Copy to Clipboard Toggle word wrap
참고

열려 있는 포트는 UDN 네트워크 IP가 아닌 포드의 기본 네트워크 IP에서 접근할 수 있습니다.

2.2. NetworkAttachmentDefinition을 사용하여 기본 네트워크 만들기
링크 복사

다음 섹션에서는 NetworkAttachmentDefinition (NAD) 리소스를 사용하여 기본 네트워크를 만들고 관리하는 방법을 설명합니다.

2.2.1. 1차 네트워크 관리 접근 방식
링크 복사

NAD에서 생성된 기본 네트워크의 수명 주기를 다음 두 가지 접근 방식 중 하나를 사용하여 관리할 수 있습니다.

  • 클러스터 네트워크 운영자(CNO) 구성을 수정하여. 이 방법을 사용하면 CNO가 NetworkAttachmentDefinition 객체를 자동으로 생성하고 관리합니다. CNO는 개체 수명 주기를 관리하는 것 외에도 DHCP가 할당된 IP 주소를 사용하는 기본 네트워크에서 DHCP를 사용할 수 있는지 확인합니다.
  • YAML 매니페스트를 적용합니다. 이 방법을 사용하면 NetworkAttachmentDefinition 객체를 생성하여 기본 네트워크를 직접 관리할 수 있습니다. 이 접근 방식을 사용하면 포드에 기본 네트워크 인터페이스를 연결하기 위해 여러 CNI 플러그인을 호출할 수 있습니다.

각 접근 방식은 상호 배타적이며 한 번에 하나의 기본 네트워크를 관리하는 데 하나의 접근 방식만 사용할 수 있습니다. 두 가지 접근 방식 모두 기본 네트워크는 사용자가 구성하는 CNI(컨테이너 네트워크 인터페이스) 플러그인을 통해 관리됩니다.

참고

OVN SDN을 사용하여 Red Hat OpenStack Platform(RHOSP)에 여러 네트워크 인터페이스가 있는 OpenShift Container Platform 노드를 배포하는 경우, 보조 인터페이스의 DNS 구성이 기본 인터페이스의 DNS 구성보다 우선할 수 있습니다. 이 경우 다음 명령을 실행하여 보조 인터페이스에 연결된 서브넷 ID에 대한 DNS 네임 서버를 제거합니다. 

$ openstack subnet set --dns-nameserver 0.0.0.0 <subnet_id>
Copy to Clipboard Toggle word wrap

CNO(Cluster Network Operator)는 추가 네트워크 정의를 관리합니다. 기본 네트워크를 지정하여 생성하면 CNO가 NetworkAttachmentDefinition 사용자 정의 리소스 정의(CRD)를 자동으로 생성합니다.

중요

클러스터 네트워크 운영자가 관리하는 NetworkAttachmentDefinition CRD를 편집하지 마세요. 그렇게 하면 기본 네트워크의 네트워크 트래픽이 중단될 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. 선택 사항: 기본 네트워크에 대한 네임스페이스를 만듭니다. 

    $ oc create namespace <namespace_name>
    Copy to Clipboard Toggle word wrap

  2. CNO 구성을 편집하려면 다음 명령을 입력하세요. 

    $ oc edit networks.operator.openshift.io cluster
    Copy to Clipboard Toggle word wrap

  3. 다음 예제 CR과 같이 만들고 있는 기본 네트워크에 대한 구성을 추가하여 만들고 있는 CR을 수정합니다. 

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  # ...
  additionalNetworks:
  - name: tertiary-net
    namespace: namespace2
    type: Raw
    rawCNIConfig: |-
      {
        "cniVersion": "0.3.1",
        "name": "tertiary-net",
        "type": "ipvlan",
        "master": "eth1",
        "mode": "l2",
        "ipam": {
          "type": "static",
          "addresses": [
            {
              "address": "192.168.1.23/24"
            }
          ]
        }
      }
    Copy to Clipboard Toggle word wrap
  4. 변경 사항을 저장하고 텍스트 편집기를 종료하여 변경 사항을 커밋합니다.

검증

  • 다음 명령을 실행하여 CNO가 NetworkAttachmentDefinition CRD를 생성했는지 확인하세요. CNO가 CRD를 생성하기 전에 지연이 발생할 수 있습니다. 예상되는 출력에는 NAD CRD의 이름과 생성 시간(분)이 표시됩니다. 

    $ oc get network-attachment-definitions -n <namespace>
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <namespace>
    CNO 구성에 추가한 네트워크 연결에 대한 네임스페이스를 지정합니다.
2.2.2.1. 기본 네트워크 연결을 위한 구성
링크 복사

기본 네트워크는 k8s.cni.cncf.io API 그룹의 NetworkAttachmentDefinition API를 사용하여 구성됩니다.

API 구성은 다음 표에 설명되어 있습니다.

Expand
표 2.8. NetworkAttachmentDefinition API 필드
필드유형설명

metadata.name

string

기본 네트워크의 이름입니다.

metadata.namespace

string

오브젝트와 연결된 네임스페이스입니다.

spec.config

string

JSON 형식의 CNI 플러그인 구성입니다.

2.2.3. YAML 매니페스트를 적용하여 기본 네트워크 연결 만들기
링크 복사

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 클러스터 관리자 권한이 있는 사용자로 로그인했습니다.
  • NAD가 배포될 네임스페이스에서 작업하고 있습니다.

프로세스

  1. 다음 예와 같이 기본 네트워크 구성을 포함하는 YAML 파일을 만듭니다. 

    apiVersion: k8s.cni.cncf.io/v1
kind: NetworkAttachmentDefinition
metadata:
  name: next-net
spec:
  config: |-
    {
      "cniVersion": "0.3.1",
      "name": "work-network",
      "namespace": "namespace2",
    1 
    
      "type": "host-device",
      "device": "eth1",
      "ipam": {
        "type": "dhcp"
      }
    }
    Copy to Clipboard Toggle word wrap
    1
    선택 사항: NAD가 적용되는 네임스페이스를 지정할 수 있습니다. NAD가 배포될 네임스페이스에서 작업하는 경우 이 사양은 필요하지 않습니다.

  2. 기본 네트워크를 생성하려면 다음 명령을 입력하세요. 

    $ oc apply -f <file>.yaml
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <file>
    YAML 매니페스트가 포함된 파일의 이름을 지정합니다.

3장. 2차 네트워크
링크 복사

3.1. OVN-Kubernetes에서 보조 네트워크 생성
링크 복사

클러스터 관리자는 NAD( NetworkAttachmentDefinition ) 리소스를 사용하여 클러스터에 대한 보조 네트워크를 구성할 수 있습니다.

참고

OpenShift Container Platform의 향후 버전에서는 사용자 정의 네트워크를 보조 네트워크로 지원하는 기능이 추가될 예정입니다.

3.1.1. OVN-Kubernetes 보조 네트워크 구성
링크 복사

Red Hat OpenShift Networking OVN-Kubernetes 네트워크 플러그인을 사용하면 포드에 대한 보조 네트워크 인터페이스를 구성할 수 있습니다. 보조 네트워크 인터페이스를 구성하려면 NetworkAttachmentDefinition 사용자 정의 리소스 정의(CRD)에서 구성을 정의해야 합니다.

참고

Pod 및 다중 네트워크 정책 생성은 노드의 OVN-Kubernetes 제어 평면 에이전트가 연관된 네트워크 연결 정의 CRD를 처리할 때까지 보류 상태로 유지될 수 있습니다.

OVN-Kubernetes 보조 네트워크를 2계층, 3계층 또는 로컬넷 토폴로지로 구성할 수 있습니다. 이러한 토폴로지에서 지원되는 기능에 대한 자세한 내용은 "UserDefinedNetwork 및 NetworkAttachmentDefinition 지원 매트릭스"를 참조하세요.

다음 섹션에서는 OVN-Kubernetes가 현재 보조 네트워크에 허용하는 각 토폴로지에 대한 구성 예를 제공합니다.

참고

네트워크 이름은 고유해야 합니다. 예를 들어, 동일한 네트워크를 참조하는 서로 다른 구성을 가진 여러 NetworkAttachmentDefinition CRD를 만드는 것은 지원되지 않습니다.

3.1.1.1. OVN-Kubernetes 보조 네트워크에 지원되는 플랫폼
링크 복사

다음 지원 플랫폼에서 OVN-Kubernetes 보조 네트워크를 사용할 수 있습니다.

  • 베어 메탈
  • IBM Power®
  • IBM Z®
  • IBM® LinuxONE
  • VMware vSphere
  • Red Hat 오픈스택 플랫폼(RHOSP)
3.1.1.2. OVN-Kubernetes 네트워크 플러그인 JSON 구성 테이블
링크 복사

다음 표에서는 OVN-Kubernetes CNI 네트워크 플러그인의 구성 매개변수를 설명합니다.

Expand
표 3.1. OVN-Kubernetes 네트워크 플러그인 JSON 구성 테이블
필드유형설명

cniVersion

string

CNI 사양 버전. 필요한 값은 0.3.1 입니다.

name

string

네트워크의 이름. 이러한 네트워크는 네임스페이스가 없습니다. 예를 들어, l2-network 라는 네트워크는 다른 네임스페이스에 있는 NetworkAttachmentDefinition 사용자 정의 리소스(CR)에서 참조될 수 있습니다. 이 구성을 사용하면 서로 다른 네임스페이스에서 NetworkAttachmentDefinition CR을 사용하는 포드가 동일한 보조 네트워크를 통해 통신할 수 있습니다. 그러나 NetworkAttachmentDefinition CR은 topology , subnets , mtu , excludeSubnetsvlanID 와 같은 동일한 네트워크별 매개변수를 공유해야 합니다. vlanID 매개변수는 토폴로지 필드가 localnet 으로 설정된 경우에만 적용됩니다.

type

string

구성할 CNI 플러그인의 이름입니다. 이 값은 ovn-k8s-cni-overlay 로 설정해야 합니다.

토폴로지

string

네트워크의 토폴로지 구성. layer2 또는 localnet 중 하나여야 합니다.

subnets

string

클러스터 전반의 네트워크에 사용할 서브넷입니다.

"topology":"layer2" 배포의 경우 IPv6( 2001:DBB::/64 ) 및 듀얼 스택( 192.168.100.0/24,2001:DBB::/64 ) 서브넷이 지원됩니다.

생략하면 네트워크를 구현하는 논리적 스위치는 2계층 통신만 제공하고 사용자는 포드에 대한 IP 주소를 구성해야 합니다. 포트 보안은 MAC 스푸핑만 방지합니다.

mtu

string

최대 전송 단위(MTU). 값을 설정하지 않으면 클러스터 네트워크 운영자(CNO)가 기본 네트워크 인터페이스의 언더레이 MTU, Geneve(일반 네트워크 가상화 캡슐화)와 같은 Pod 네트워크의 오버레이 MTU, IPsec과 같은 활성화된 기능의 바이트 용량의 차이를 계산하여 기본 MTU 값을 설정합니다.

netAttachDefName

string

이 구성이 포함되는 네트워크 연결 정의 CRD의 메타데이터 네임스페이스이름입니다 . 예를 들어, 이 구성이 l2-network 라는 이름의 네임스페이스 ns1 에 있는 NetworkAttachmentDefinition CRD에 정의된 경우, 이는 ns1/l2-network 로 설정되어야 합니다.

excludeSubnets

string

CIDR과 IP 주소를 쉼표로 구분한 목록입니다. IP 주소는 할당 가능한 IP 주소 풀에서 제거되며 결코 포드에 전달되지 않습니다.

vlanID

integer

토폴로지가 localnet 으로 설정된 경우 지정된 VLAN 태그가 이 보조 네트워크의 트래픽에 할당됩니다. 기본값은 VLAN 태그를 할당하지 않는 것입니다.

physicalNetworkName

string

토폴로지가 localnet 으로 설정된 경우 동일한 물리적 네트워크 매핑을 여러 네트워크 오버레이에서 재사용할 수 있습니다. OVN 오버레이가 연결되는 물리적 네트워크의 이름을 지정합니다. 생략하면 기본값은 localnet 네트워크의 이름 입니다. 서로 다른 네트워크를 분리하려면 오버레이 간에 동일한 물리적 네트워크를 공유할 때 다른 VLAN 태그를 사용해야 합니다.

3.1.1.3. 다중 네트워크 정책과의 호환성
링크 복사

k8s.cni.cncf.io API 그룹의 MultiNetworkPolicy 사용자 정의 리소스 정의(CRD)가 제공하는 다중 네트워크 정책 API는 OVN-Kubernetes 보조 네트워크와 호환됩니다. 네트워크 정책을 정의할 때 사용할 수 있는 네트워크 정책 규칙은 OVN-Kubernetes 보조 네트워크에서 서브넷 필드를 정의하는지 여부에 따라 달라집니다. 자세한 내용은 다음 표를 참조하세요.

Expand
표 3.2. 서브넷 CNI 구성을 기반으로 지원되는 다중 네트워크 정책 선택기
서브넷 필드가 지정됨허용된 다중 네트워크 정책 선택기

제공됨

  • podSelectornamespaceSelector
  • ipBlock

없음

  • ipBlock

MultiNetworkPolicy 객체에서 k8s.v1.cni.cncf.io/policy-for 주석을 사용하여 NetworkAttachmentDefinition (NAD) 사용자 정의 리소스(CR)를 가리킬 수 있습니다. NAD CR은 정책이 적용되는 네트워크를 정의합니다. 다음 예제 다중 네트워크 정책은 blue2 라는 보조 네트워크에 대한 보조 네트워크 CNI 구성에서 서브넷 필드가 정의된 경우에만 유효합니다.

포드 선택기를 사용하는 다중 네트워크 정책 예

apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: allow-same-namespace
  annotations:
    k8s.v1.cni.cncf.io/policy-for: blue2
1 

spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}
Copy to Clipboard Toggle word wrap

다음 예제에서는 OVN-Kubernetes 보조 네트워크에 항상 유효한 ipBlock 네트워크 정책 선택기를 사용합니다.

IP 블록 선택기를 사용하는 다중 네트워크 정책 예

apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name:  ingress-ipblock
  annotations:
    k8s.v1.cni.cncf.io/policy-for: default/flatl2net
spec:
  podSelector:
    matchLabels:
      name: access-control
  policyTypes:
  - Ingress
  ingress:
  - from:
    - ipBlock:
        cidr: 10.200.0.0/30
Copy to Clipboard Toggle word wrap

3.1.1.4. 로컬넷 스위치 토폴로지에 대한 구성
링크 복사

스위치드 로컬 넷 토폴로지는 클러스터 전체의 논리적 스위치를 통해 네트워크 연결 정의(NAD)로 생성된 작업 부하를 물리적 네트워크로 상호 연결합니다.

OVN-Kubernetes 보조 네트워크로 사용하려면 보조 네트워크를 ovs-bridge에 매핑해야 합니다. 브리지 매핑을 통해 네트워크 트래픽이 물리적 네트워크에 도달할 수 있습니다. 브리지 매핑은 인터페이스 레이블이라고도 하는 물리적 네트워크 이름을 Open vSwitch(OVS)로 생성된 브리지에 연결합니다.

nmstate.io/v1 API 그룹의 일부인 NodeNetworkConfigurationPolicy (NNCP) 객체를 생성하여 매핑을 선언적으로 생성할 수 있습니다. 이 API는 NMState Operator가 제공합니다. 이 API를 사용하면 지정한 nodeSelector 표현식(예: node-role.kubernetes.io/worker: '' ) 과 일치하는 노드에 브리지 매핑을 적용할 수 있습니다. 이러한 선언적 접근 방식을 통해 NMState 연산자는 노드 선택기에서 지정한 모든 노드에 보조 네트워크 구성을 자동적이고 투명하게 적용합니다.

보조 네트워크를 연결할 때 기존 br-ex 브리지를 사용하거나 새 브리지를 만들 수 있습니다. 어떤 접근 방식을 사용할지는 사용자의 특정 네트워크 인프라에 따라 달라집니다. 다음 접근 방식을 고려해보세요.

  • 노드에 네트워크 인터페이스가 하나만 있는 경우 기존 브리지를 사용해야 합니다. 이 네트워크 인터페이스는 OVN-Kubernetes가 소유 및 관리하며, br-ex 브리지에서 제거하거나 인터페이스 구성을 변경해서는 안 됩니다. 네트워크 인터페이스를 제거하거나 변경하면 클러스터 네트워크가 제대로 작동하지 않게 됩니다.
  • 노드에 여러 개의 네트워크 인터페이스가 포함되어 있는 경우 다른 네트워크 인터페이스를 새 브리지에 연결하고 이를 보조 네트워크에 사용할 수 있습니다. 이 접근 방식은 기본 클러스터 네트워크로부터 트래픽을 격리합니다.

다음 예에서는 localnet1 네트워크가 br-ex 브리지에 매핑됩니다.

브리지 공유를 위한 예시 매핑

apiVersion: nmstate.io/v1
kind: NodeNetworkConfigurationPolicy
metadata:
  name: mapping
1 

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ''
2 

  desiredState:
    ovn:
      bridge-mappings:
      - localnet: localnet1
3 

        bridge: br-ex
4 

        state: present
5
Copy to Clipboard Toggle word wrap

1 1
구성 객체의 이름입니다.
2
노드 네트워크 구성 정책을 적용할 노드를 지정하는 노드 선택기입니다.
3
트래픽이 OVS 브리지로 전달되는 보조 네트워크의 이름입니다. 이 보조 네트워크는 OVN-Kubernetes 보조 네트워크를 정의하는 NetworkAttachmentDefinition CRD의 spec.config.name 필드 이름과 일치해야 합니다.
4
노드에 있는 OVS 브리지의 이름입니다. 이 값은 state: present를 지정한 경우에만 필요합니다.
5
매핑에 대한 상태입니다. 브리지를 추가하려면 존재 해야 하고, 브리지를 제거하려면 없어야 합니다 . 기본값은 present 입니다.

다음 JSON 예제는 localnet1 이라는 이름의 localnet 보조 네트워크를 구성합니다. mtu 매개변수 값은 br-ex 브리지 인터페이스에 매핑된 보조 네트워크 인터페이스에 설정된 MTU 값과 일치해야 합니다. 

{
  "cniVersion": "0.3.1",
  "name": "localnet1",
  "type": "ovn-k8s-cni-overlay",
  "topology":"localnet",
  "physicalNetworkName": "localnet1",
  "subnets": "202.10.130.112/28",
  "vlanID": 33,
  "mtu": 1500,
  "netAttachDefName": "ns1/localnet-network",
  "excludeSubnets": "10.100.200.0/29"
}
Copy to Clipboard Toggle word wrap

다음 예에서는 localnet2 네트워크 인터페이스가 ovs-br1 브리지에 연결됩니다. 이 첨부 파일을 통해 네트워크 인터페이스를 OVN-Kubernetes 네트워크 플러그인에서 보조 네트워크로 사용할 수 있습니다.

여러 인터페이스가 있는 노드에 대한 예제 매핑

apiVersion: nmstate.io/v1
kind: NodeNetworkConfigurationPolicy
metadata:
  name: ovs-br1-multiple-networks
1 

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ''
2 

  desiredState:
    interfaces:
    - name: ovs-br1
3 

      description: |-
        A dedicated OVS bridge with eth1 as a port
        allowing all VLANs and untagged traffic
      type: ovs-bridge
      state: up
      bridge:
        allow-extra-patch-ports: true
        options:
          stp: false
          mcast-snooping-enable: true
4 

        port:
        - name: eth1
5 

    ovn:
      bridge-mappings:
      - localnet: localnet2
6 

        bridge: ovs-br1
7 

        state: present
8
Copy to Clipboard Toggle word wrap

1
구성 개체의 이름을 지정합니다.
2
노드 네트워크 구성 정책이 적용되는 노드를 식별하는 노드 선택기를 지정합니다.
3
OVN-Kubernetes에서 클러스터 트래픽에 사용하는 기본 브리지와 별도로 작동하는 새로운 OVS 브리지를 지정합니다.
4
멀티캐스트 스누핑을 활성화할지 여부를 지정합니다. 멀티캐스트 스누핑을 활성화하면 네트워크 장치가 모든 네트워크 구성원에게 멀티캐스트 트래픽을 플러딩하는 것을 방지할 수 있습니다. 기본적으로 OVS 브리지는 멀티캐스트 스누핑을 활성화하지 않습니다. 기본값은 false입니다.
5
새로운 OVS 브리지와 연결할 호스트 시스템의 네트워크 장치를 지정합니다.
6
OVS 브리지로 트래픽을 전달하는 보조 네트워크의 이름을 지정합니다. 이 이름은 OVN-Kubernetes 보조 네트워크를 정의하는 NetworkAttachmentDefinition CRD의 spec.config.name 필드 값과 일치해야 합니다.
7
노드의 OVS 브리지 이름을 지정합니다. 이 값은 state: present가 설정된 경우에만 필요합니다.
8
매핑 상태를 지정합니다. 브리지를 추가하려면 유효한 값이 존재 하고, 브리지를 제거하려면 유효한 값 이 없습니다 . 기본값은 present 입니다.

다음 JSON 예제는 localnet2 라는 이름의 localnet 보조 네트워크를 구성합니다. mtu 매개변수 값은 eth1 보조 네트워크 인터페이스에 설정된 MTU 값과 일치해야 합니다. 

{
  "cniVersion": "0.3.1",
  "name": "localnet2",
  "type": "ovn-k8s-cni-overlay",
  "topology":"localnet",
  "physicalNetworkName": "localnet2",
  "subnets": "202.10.130.112/28",
  "vlanID": 33,
  "mtu": 1500,
  "netAttachDefName": "ns1/localnet-network",
  "excludeSubnets": "10.100.200.0/29"
}
Copy to Clipboard Toggle word wrap
3.1.1.4.1. 2계층 스위치 토폴로지에 대한 구성
링크 복사

스위치드(2계층) 토폴로지 네트워크는 클러스터 전체의 논리적 스위치를 통해 작업 부하를 상호 연결합니다. 이 구성은 IPv6 및 듀얼 스택 배포에 사용할 수 있습니다.

참고

2계층 스위치 토폴로지 네트워크는 클러스터 내의 포드 간 데이터 패킷 전송만 허용합니다.

다음 JSON 예제는 스위치드 보조 네트워크를 구성합니다. 

{
  "cniVersion": "0.3.1",
  "name": "l2-network",
  "type": "ovn-k8s-cni-overlay",
  "topology":"layer2",
  "subnets": "10.100.200.0/24",
  "mtu": 1300,
  "netAttachDefName": "ns1/l2-network",
  "excludeSubnets": "10.100.200.0/29"
}
Copy to Clipboard Toggle word wrap
3.1.1.5. 보조 네트워크에 대한 포드 구성
링크 복사

k8s.v1.cni.cncf.io/networks 주석을 통해 보조 네트워크 연결을 지정해야 합니다.

다음 예제에서는 이 가이드에 제시된 각 부착 구성에 대해 하나씩, 두 개의 보조 부착물이 있는 포드를 제공합니다. 

apiVersion: v1
kind: Pod
metadata:
  annotations:
    k8s.v1.cni.cncf.io/networks: l2-network
  name: tinypod
  namespace: ns1
spec:
  containers:
  - args:
    - pause
    image: k8s.gcr.io/e2e-test-images/agnhost:2.36
    imagePullPolicy: IfNotPresent
    name: agnhost-container
Copy to Clipboard Toggle word wrap
3.1.1.6. 고정 IP 주소로 포드 구성
링크 복사

다음 예제에서는 정적 IP 주소로 Pod를 프로비저닝합니다.

참고
  • 네임스페이스 범위 객체인 보조 네트워크 연결이 레이어 2 또는 로컬넷 토폴로지를 사용하는 경우에만 포드의 보조 네트워크 연결에 대한 IP 주소를 지정할 수 있습니다.
  • 포드에 대한 정적 IP 주소를 지정하는 것은 첨부 파일 구성에 서브넷이 없는 경우에만 가능합니다. 
apiVersion: v1
kind: Pod
metadata:
  annotations:
    k8s.v1.cni.cncf.io/networks: '[
      {
        "name": "l2-network",
1 

        "mac": "02:03:04:05:06:07",
2 

        "interface": "myiface1",
3 

        "ips": [
          "192.0.2.20/24"
          ]
4 

      }
    ]'
  name: tinypod
  namespace: ns1
spec:
  containers:
  - args:
    - pause
    image: k8s.gcr.io/e2e-test-images/agnhost:2.36
    imagePullPolicy: IfNotPresent
    name: agnhost-container
Copy to Clipboard Toggle word wrap
1
네트워크의 이름. 이 값은 모든 NetworkAttachmentDefinition CRD에서 고유해야 합니다.
2
인터페이스에 할당할 MAC 주소입니다.
3
Pod에 대해 생성될 네트워크 인터페이스의 이름입니다.
4
네트워크 인터페이스에 할당할 IP 주소입니다.

3.2. 다른 CNI 플러그인을 사용하여 보조 네트워크 생성
링크 복사

다음 섹션에서는 보조 네트워크의 구체적인 구성 필드에 대해 설명합니다.

3.2.1. 브리지 보조 네트워크 구성
링크 복사

다음 객체는 Bridge CNI 플러그인의 구성 매개변수를 설명합니다.

Expand
표 3.3. Bridge CNI 플러그인 JSON 구성 객체
필드유형설명

cniVersion

string

CNI 사양 버전. 0.3.1 값이 필요합니다.

name

string

이전에 CNO 구성에 대해 제공한 이름 매개변수의 값입니다.

type

string

구성할 CNI 플러그인의 이름: bridge .

ipam

object

IPAM CNI 플러그인에 대한 구성 개체입니다. 이 플러그인은 첨부 파일 정의에 대한 IP 주소 할당을 관리합니다.

다리

string

선택 사항: 사용할 가상 브리지의 이름을 지정합니다. 브릿지 인터페이스가 호스트에 없으면 생성됩니다. 기본값은 cni0입니다.

ipMasq

boolean

선택 사항: 가상 네트워크를 벗어나는 트래픽에 대해 IP 마스킹을 활성화하려면 true 로 설정합니다. 모든 트래픽의 소스 IP 주소가 브리지의 IP 주소로 다시 작성됩니다. 브리지에 IP 주소가 없으면 이 설정이 적용되지 않습니다. 기본값은 false입니다.

isGateway

boolean

선택 사항: 브리지에 IP 주소를 할당하려면 true 로 설정합니다. 기본값은 false입니다.

isDefaultGateway

boolean

선택 사항: 브리지를 가상 네트워크의 기본 게이트웨이로 구성하려면 true 로 설정합니다. 기본값은 false입니다. isDefaultGatewaytrue로 설정되면 isGateway도 자동으로 true로 설정됩니다.

forceAddress

boolean

선택 사항: 이전에 할당된 IP 주소를 가상 브리지에 할당하도록 허용하려면 true 로 설정합니다. false로 설정하면 중첩되는 하위 집합의 IPv4 주소 또는 IPv6 주소가 가상 브릿지에 지정되는 경우 오류가 발생합니다. 기본값은 false입니다.

hairpinMode

boolean

선택 사항: 가상 브리지가 수신한 가상 포트를 통해 이더넷 프레임을 다시 보낼 수 있도록 하려면 true 로 설정합니다. 이 모드를 반사 릴레이라고도 합니다. 기본값은 false입니다.

promiscMode

boolean

선택 사항: 브리지에서 무차별 모드를 활성화하려면 true 로 설정합니다. 기본값은 false입니다.

vlan

string

선택 사항: 가상 LAN(VLAN) 태그를 정수 값으로 지정합니다. 기본적으로 VLAN 태그는 할당되지 않습니다.

preserveDefaultVlan

string

선택 사항: 브리지에 연결된 veth 쪽에서 기본 VLAN을 유지해야 하는지 여부를 나타냅니다. 기본값은 True입니다.

vlanTrunk

list

선택 사항: VLAN 트렁크 태그를 할당합니다. 기본값은 none 입니다.

mtu

integer

선택 사항: 최대 전송 단위(MTU)를 지정된 값으로 설정합니다. 기본값은 커널에 의해 자동으로 설정됩니다.

활성화된 광고

boolean

선택 사항: 컨테이너 측 veth 에 대해 중복 주소 감지를 활성화합니다. 기본값은 false입니다.

macspoofchk

boolean

선택 사항: Mac 스푸핑 검사를 활성화하여 컨테이너에서 발생하는 트래픽을 인터페이스의 MAC 주소로 제한합니다. 기본값은 false입니다.

참고

VLAN 매개변수는 veth 의 호스트 측에서 VLAN 태그를 구성하고 브리지 인터페이스에서 vlan_filtering 기능도 활성화합니다.

참고

L2 네트워크에 대한 업링크를 구성하려면 다음 명령을 사용하여 업링크 인터페이스에서 VLAN을 허용해야 합니다. 

$  bridge vlan add vid VLAN_ID dev DEV
Copy to Clipboard Toggle word wrap
3.2.1.1. Bridge CNI 플러그인 구성 예
링크 복사

다음 예제에서는 bridge-net 이라는 보조 네트워크를 구성합니다. 

{
  "cniVersion": "0.3.1",
  "name": "bridge-net",
  "type": "bridge",
  "isGateway": true,
  "vlan": 2,
  "ipam": {
    "type": "dhcp"
    }
}
Copy to Clipboard Toggle word wrap

3.2.2. Bond CNI 보조 네트워크 구성
링크 복사

Bond Container Network Interface(Bond CNI)를 사용하면 컨테이너 내에서 여러 네트워크 인터페이스를 단일 논리적 "본딩" 인터페이스로 집계하여 네트워크 중복성과 내결함성을 향상시킬 수 있습니다. 이 플러그인을 사용하면 SR-IOV 가상 함수(VF)만 본딩할 수 있습니다.

다음 표에서는 Bond CNI 플러그인의 구성 매개변수를 설명합니다.

Expand
표 3.4. Bond CNI 플러그인 JSON 구성 객체
필드유형설명

name

string

이 CNI 네트워크 첨부 정의에 지정된 이름을 지정합니다. 이 이름은 컨테이너 내에서 인터페이스를 식별하고 참조하는 데 사용됩니다.

cniVersion

string

CNI 사양 버전.

type

string

구성할 CNI 플러그인의 이름을 지정합니다: bond .

miimon

string

ARP(주소 확인 프로토콜) 링크 모니터링 빈도를 밀리초 단위로 지정합니다. 이 매개변수는 본드 인터페이스가 집계된 인터페이스의 가용성을 확인하기 위해 ARP 요청을 얼마나 자주 보내는지 정의합니다.

mtu

integer

선택 사항: 본드의 최대 전송 단위(MTU)를 지정합니다. 기본값은 1500입니다.

failOverMac

integer

선택 사항: 본드에 대한 failOverMac 설정을 지정합니다. 기본값은 0입니다.

mode

string

결속 정책을 지정합니다.

linksInContainer

boolean

선택 사항: 본딩이 시작될 때 본딩을 위한 네트워크 인터페이스가 컨테이너의 네트워크 네임스페이스 내에서 생성되어 직접 사용할 수 있는지 여부를 지정합니다. 기본값이 false 인 경우, CNI 플러그인은 본드를 형성하기 전에 먼저 호스트 시스템에서 이러한 인터페이스를 찾습니다.

links

object

본딩할 인터페이스를 지정합니다.

ipam

object

IPAM CNI 플러그인에 대한 구성 개체입니다. 이 플러그인은 첨부 파일 정의에 대한 IP 주소 할당을 관리합니다.

3.2.2.1. Bond CNI 플러그인 구성 예
링크 복사

다음 예제에서는 bond-net1 이라는 이름의 보조 네트워크를 구성합니다. 

{
 "type": "bond",
 "cniVersion": "0.3.1",
 "name": "bond-net1",
 "mode": "active-backup",
 "failOverMac": 1,
 "linksInContainer": true,
 "miimon": "100",
 "mtu": 1500,
 "links": [
       {"name": "net1"},
       {"name": "net2"}
   ],
  "ipam": {
        "type": "host-local",
        "subnet": "10.56.217.0/24",
        "routes": [{
        "dst": "0.0.0.0/0"
        }],
        "gateway": "10.56.217.1"
    }
}
Copy to Clipboard Toggle word wrap

3.2.3. 호스트 장치 보조 네트워크 구성
링크 복사

참고

다음 매개변수 중 하나만 설정하여 네트워크 장치를 지정합니다: device , hwaddr , kernelpath 또는 pciBusID .

다음 개체는 호스트 장치 CNI 플러그인의 구성 매개변수를 설명합니다.

Expand
표 3.5. 호스트 장치 CNI 플러그인 JSON 구성 객체
필드유형설명

cniVersion

string

CNI 사양 버전. 0.3.1 값이 필요합니다.

name

string

이전에 CNO 구성에 대해 제공한 이름 매개변수의 값입니다.

type

string

구성할 CNI 플러그인의 이름: host-device .

device

string

선택 사항: eth0 과 같은 장치 이름입니다.

hwaddr

string

선택 사항: 장치 하드웨어 MAC 주소.

커널패스

string

선택 사항: /sys/devices/pci0000:00/0000:00:1f.6 과 같은 Linux 커널 장치 경로.

pciBusID

string

선택 사항: 네트워크 장치의 PCI 주소(예 : 0000:00:1f.6) .

3.2.3.1. 호스트 장치 구성 예
링크 복사

다음 예제에서는 hostdev-net 이라는 보조 네트워크를 구성합니다. 

{
  "cniVersion": "0.3.1",
  "name": "hostdev-net",
  "type": "host-device",
  "device": "eth1"
}
Copy to Clipboard Toggle word wrap

3.2.4. VLAN 보조 네트워크 구성
링크 복사

다음 개체는 VLAN, vlan , CNI 플러그인에 대한 구성 매개변수를 설명합니다.

Expand
표 3.6. VLAN CNI 플러그인 JSON 구성 객체
필드유형설명

cniVersion

string

CNI 사양 버전. 0.3.1 값이 필요합니다.

name

string

이전에 CNO 구성에 대해 제공한 이름 매개변수의 값입니다.

type

string

구성할 CNI 플러그인의 이름: vlan .

master

string

네트워크 연결과 관련된 이더넷 인터페이스입니다. 마스터를 지정하지 않으면 기본 네트워크 경로에 대한 인터페이스가 사용됩니다.

vlanId

integer

VLAN 의 ID를 설정합니다.

ipam

object

IPAM CNI 플러그인에 대한 구성 개체입니다. 이 플러그인은 첨부 파일 정의에 대한 IP 주소 할당을 관리합니다.

mtu

integer

선택 사항: 최대 전송 단위(MTU)를 지정된 값으로 설정합니다. 기본값은 커널에 의해 자동으로 설정됩니다.

dns

integer

선택 사항: 반환할 DNS 정보입니다. 예를 들어, DNS 네임서버의 우선순위 목록입니다.

linkInContainer

boolean

선택 사항: 마스터 인터페이스가 컨테이너 네트워크 네임스페이스에 있는지 아니면 메인 네트워크 네임스페이스에 있는지 지정합니다. 컨테이너 네임스페이스 마스터 인터페이스 사용을 요청하려면 값을 true 로 설정합니다.

중요

VLAN 구성이 포함된 NetworkAttachmentDefinition 사용자 정의 리소스 정의(CRD)는 노드의 단일 포드에서만 사용할 수 있습니다. CNI 플러그인은 동일한 마스터 인터페이스에서 동일한 VLAN ID를 가진 여러 VLAN 하위 인터페이스를 생성할 수 없기 때문입니다.

3.2.4.1. VLAN 구성 예
링크 복사

다음 예제에서는 vlan-net 이라는 보조 네트워크가 있는 VLAN 구성을 보여줍니다. 

{
  "name": "vlan-net",
  "cniVersion": "0.3.1",
  "type": "vlan",
  "master": "eth0",
  "mtu": 1500,
  "vlanId": 5,
  "linkInContainer": false,
  "ipam": {
      "type": "host-local",
      "subnet": "10.1.1.0/24"
  },
  "dns": {
      "nameservers": [ "10.1.1.1", "8.8.8.8" ]
  }
}
Copy to Clipboard Toggle word wrap

3.2.5. IPVLAN 보조 네트워크 구성
링크 복사

다음 객체는 IPVLAN, ipvlan , CNI 플러그인에 대한 구성 매개변수를 설명합니다.

Expand
표 3.7. IPVLAN CNI 플러그인 JSON 구성 객체
필드유형설명

cniVersion

string

CNI 사양 버전. 0.3.1 값이 필요합니다.

name

string

이전에 CNO 구성에 대해 제공한 이름 매개변수의 값입니다.

type

string

구성할 CNI 플러그인의 이름: ipvlan .

ipam

object

IPAM CNI 플러그인에 대한 구성 개체입니다. 이 플러그인은 첨부 파일 정의에 대한 IP 주소 할당을 관리합니다. 플러그인이 체인되어 있지 않으면 이 작업이 필요합니다.

mode

string

선택 사항: 가상 네트워크의 작동 모드입니다. 값은 l2, l3 또는 l3s여야 합니다. 기본값은 l2입니다.

master

string

선택 사항: 네트워크 연결과 연결할 이더넷 인터페이스입니다. 마스터를 지정하지 않으면 기본 네트워크 경로에 대한 인터페이스가 사용됩니다.

mtu

integer

선택 사항: 최대 전송 단위(MTU)를 지정된 값으로 설정합니다. 기본값은 커널에 의해 자동으로 설정됩니다.

linkInContainer

boolean

선택 사항: 마스터 인터페이스가 컨테이너 네트워크 네임스페이스에 있는지 아니면 메인 네트워크 네임스페이스에 있는지 지정합니다. 컨테이너 네임스페이스 마스터 인터페이스 사용을 요청하려면 값을 true 로 설정합니다.

중요
  • ipvlan 객체는 가상 인터페이스가 마스터 인터페이스와 통신하는 것을 허용하지 않습니다. 따라서 컨테이너는 ipvlan 인터페이스를 사용하여 호스트에 도달할 수 없습니다. 컨테이너가 PTP (Precision Time Protocol)를 지원하는 네트워크와 같이 호스트에 연결을 제공하는 네트워크에 가입되어 있는지 확인하세요.
  • 단일 마스터 인터페이스는 macvlanipvlan을 동시에 사용하도록 구성할 수 없습니다.
  • 인터페이스에 구애받지 않는 IP 할당 방식의 경우, ipvlan 플러그인을 이 논리를 처리하는 이전 플러그인과 연결할 수 있습니다. 마스터가 생략되면 이전 결과에는 슬레이브로 설정할 ipvlan 플러그인에 대한 단일 인터페이스 이름이 포함되어야 합니다. ipam을 생략하면 이전 결과가 ipvlan 인터페이스를 구성하는 데 사용됩니다.
3.2.5.1. IPVLAN CNI 플러그인 구성 예
링크 복사

다음 예제에서는 ipvlan-net 이라는 보조 네트워크를 구성합니다. 

{
  "cniVersion": "0.3.1",
  "name": "ipvlan-net",
  "type": "ipvlan",
  "master": "eth1",
  "linkInContainer": false,
  "mode": "l3",
  "ipam": {
    "type": "static",
    "addresses": [
       {
         "address": "192.168.10.10/24"
       }
    ]
  }
}
Copy to Clipboard Toggle word wrap

3.2.6. MACVLAN 보조 네트워크 구성
링크 복사

다음 개체는 MAC 가상 LAN(MACVLAN) 컨테이너 네트워크 인터페이스(CNI) 플러그인에 대한 구성 매개변수를 설명합니다.

Expand
표 3.8. MACVLAN CNI 플러그인 JSON 구성 객체
필드유형설명

cniVersion

string

CNI 사양 버전. 0.3.1 값이 필요합니다.

name

string

이전에 CNO 구성에 대해 제공한 이름 매개변수의 값입니다.

type

string

구성할 CNI 플러그인의 이름: macvlan .

ipam

object

IPAM CNI 플러그인에 대한 구성 개체입니다. 이 플러그인은 첨부 파일 정의에 대한 IP 주소 할당을 관리합니다.

mode

string

선택 사항: 가상 네트워크에서 트래픽 가시성을 구성합니다. bridge, passthru, private 또는 vepa 중 하나여야 합니다. 값을 입력하지 않으면 기본값은 bridge입니다.

master

string

선택 사항: 새로 생성된 macvlan 인터페이스와 연결할 호스트 네트워크 인터페이스입니다. 값이 지정되지 않으면 기본 경로 인터페이스가 사용됩니다.

mtu

integer

선택 사항: 지정된 값에 대한 최대 전송 단위(MTU)입니다. 기본값은 커널에 의해 자동으로 설정됩니다.

linkInContainer

boolean

선택 사항: 마스터 인터페이스가 컨테이너 네트워크 네임스페이스에 있는지 아니면 메인 네트워크 네임스페이스에 있는지 지정합니다. 컨테이너 네임스페이스 마스터 인터페이스 사용을 요청하려면 값을 true 로 설정합니다.

참고

플러그인 구성에 대한 마스터 키를 지정하는 경우, 충돌 가능성을 피하기 위해 기본 네트워크 플러그인과 연결된 것과 다른 물리적 네트워크 인터페이스를 사용하세요.

3.2.6.1. MACVLAN CNI 플러그인 구성 예
링크 복사

다음 예제에서는 macvlan-net 이라는 보조 네트워크를 구성합니다. 

{
  "cniVersion": "0.3.1",
  "name": "macvlan-net",
  "type": "macvlan",
  "master": "eth1",
  "linkInContainer": false,
  "mode": "bridge",
  "ipam": {
    "type": "dhcp"
    }
}
Copy to Clipboard Toggle word wrap

3.2.7. TAP 보조 네트워크 구성
링크 복사

다음 개체는 TAP CNI 플러그인의 구성 매개변수를 설명합니다.

Expand
표 3.9. TAP CNI 플러그인 JSON 구성 객체
필드유형설명

cniVersion

string

CNI 사양 버전. 0.3.1 값이 필요합니다.

name

string

이전에 CNO 구성에 대해 제공한 이름 매개변수의 값입니다.

type

string

구성할 CNI 플러그인의 이름: 탭합니다 .

mac

string

선택 사항: 인터페이스에 대해 지정된 MAC 주소를 요청합니다.

mtu

integer

선택 사항: 최대 전송 단위(MTU)를 지정된 값으로 설정합니다. 기본값은 커널에 의해 자동으로 설정됩니다.

selinuxcontext

string

선택 사항: 탭 장치와 연결할 SELinux 컨텍스트입니다.

참고

OpenShift Container Platform에는 system_u:system_r:container_t:s0 값이 필요합니다.

multiQueue

boolean

선택 사항: 다중 대기열을 활성화하려면 true 로 설정합니다.

소유자

integer

선택 사항: 탭 장치를 소유한 사용자입니다.

group

integer

선택 사항: 탭 장치를 소유한 그룹입니다.

다리

string

선택 사항: 탭 장치를 이미 존재하는 브리지의 포트로 설정합니다.

3.2.7.1. 탭 구성 예
링크 복사

다음 예제에서는 mynet 이라는 보조 네트워크를 구성합니다. 

{
 "name": "mynet",
 "cniVersion": "0.3.1",
 "type": "tap",
 "mac": "00:11:22:33:44:55",
 "mtu": 1500,
 "selinuxcontext": "system_u:system_r:container_t:s0",
 "multiQueue": true,
 "owner": 0,
 "group": 0
 "bridge": "br1"
}
Copy to Clipboard Toggle word wrap
3.2.7.2. TAP CNI 플러그인에 대한 SELinux 부울 설정
링크 복사

container_t SELinux 컨텍스트로 탭 장치를 생성하려면 Machine Config Operator(MCO)를 사용하여 호스트에서 container_use_devices 부울 값을 활성화합니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.

프로세스

  1. 다음 세부 정보를 포함하여 setsebool-container-use-devices.yaml 과 같은 이름의 새 YAML 파일을 만듭니다. 

    apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfig
metadata:
  labels:
    machineconfiguration.openshift.io/role: worker
  name: 99-worker-setsebool
spec:
  config:
    ignition:
      version: 3.2.0
    systemd:
      units:
      - enabled: true
        name: setsebool.service
        contents: |
          [Unit]
          Description=Set SELinux boolean for the TAP CNI plugin
          Before=kubelet.service

          [Service]
          Type=oneshot
          ExecStart=/usr/sbin/setsebool container_use_devices=on
          RemainAfterExit=true

          [Install]
          WantedBy=multi-user.target graphical.target
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 새로운 MachineConfig 객체를 만듭니다. 

    $ oc apply -f setsebool-container-use-devices.yaml
    Copy to Clipboard Toggle word wrap
    참고

    MachineConfig 개체에 변경 사항을 적용하면 변경 사항이 적용된 후 영향을 받는 모든 노드가 정상적으로 재부팅됩니다. 이 업데이트가 적용되기까지 시간이 다소 걸릴 수 있습니다.

  3. 다음 명령을 실행하여 변경 사항이 적용되었는지 확인하세요. 

    $ oc get machineconfigpools
    Copy to Clipboard Toggle word wrap

    예상 출력

    NAME        CONFIG                                                UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
master      rendered-master-e5e0c8e8be9194e7c5a882e047379cfa      True      False      False      3              3                   3                     0                      7d2h
worker      rendered-worker-d6c9ca107fba6cd76cdcbfcedcafa0f2      True      False      False      3              3                   3                     0                      7d
    Copy to Clipboard Toggle word wrap

    참고

    모든 노드는 업데이트되고 준비된 상태여야 합니다.

3.2.8. 보조 네트워크에서 route-override 플러그인을 사용하여 경로 구성
링크 복사

다음 객체는 route-override CNI 플러그인의 구성 매개변수를 설명합니다.

Expand
표 3.10. 경로 재정의 CNI 플러그인 JSON 구성 객체
필드유형설명

type

string

구성할 CNI 플러그인의 이름: route-override .

플러시루트

boolean

선택 사항: 기존 경로를 모두 플러시하려면 true 로 설정합니다.

flushgateway

boolean

선택 사항: 기본 경로, 즉 게이트웨이 경로를 플러시하려면 true 로 설정합니다.

델루트

object

선택 사항: 컨테이너 네임스페이스에서 삭제할 경로 목록을 지정합니다.

addroutes

object

선택 사항: 컨테이너 네임스페이스에 추가할 경로 목록을 지정합니다. 각 경로는 dst 및 선택적 gw 필드가 포함된 사전입니다. gw가 생략되면 플러그인은 기본 게이트웨이 값을 사용합니다.

skipcheck

boolean

선택 사항: 확인 명령을 건너뛰려면 이 값을 true 로 설정합니다. 기본적으로 CNI 플러그인은 컨테이너 수명 주기 동안 네트워크 설정을 확인합니다. route-override를 사용하여 경로를 동적으로 수정할 때 이 검사를 건너뛰면 최종 구성에 업데이트된 경로가 반영됩니다.

3.2.8.1. Route-override 플러그인 구성 예
링크 복사

경로 재정의 CNI는 부모 CNI와 연결하여 사용하도록 설계된 CNI 유형입니다. 독립적으로 작동하지 않고 부모 CNI가 먼저 네트워크 인터페이스를 만들고 IP 주소를 할당한 후에야 라우팅 규칙을 수정할 수 있습니다.

다음 예제에서는 mymacvlan 이라는 보조 네트워크를 구성합니다. 부모 CNI는 eth1 에 연결된 네트워크 인터페이스를 생성하고 호스트 로컬 IPAM을 사용하여 192.168.1.0/24 범위의 IP 주소를 할당합니다. 그런 다음 경로 재정의 CNI가 부모 CNI에 연결되어 기존 경로를 플러시하고, 192.168.0.0/24 에 대한 경로를 삭제하고, 사용자 지정 게이트웨이를 사용하여 192.168.0.0/24 에 대한 새 경로를 추가하여 라우팅 규칙을 수정합니다. 

{
    "cniVersion": "0.3.0",
    "name": "mymacvlan",
    "plugins": [
        {
            "type": "macvlan",
1 

            "master": "eth1",
            "mode": "bridge",
            "ipam": {
                "type": "host-local",
                "subnet": "192.168.1.0/24"
            }
        },
        {
            "type": "route-override",
2 

            "flushroutes": true,
            "delroutes": [
                {
                    "dst": "192.168.0.0/24"
                }
            ],
            "addroutes": [
                {
                    "dst": "192.168.0.0/24",
                    "gw": "10.1.254.254"
                }
            ]
        }
    ]
}
Copy to Clipboard Toggle word wrap
1
부모 CNI는 eth1 에 연결된 네트워크 인터페이스를 생성합니다.
2
체인 형 경로 재정의 CNI는 라우팅 규칙을 수정합니다.

3.3. 보조 네트워크에 포드 연결
링크 복사

클러스터 사용자는 보조 네트워크에 포드를 연결할 수 있습니다.

3.3.1. 보조 네트워크에 포드 추가
링크 복사

보조 네트워크에 포드를 추가할 수 있습니다. Pod는 기본 네트워크를 통해 정상적인 클러스터 관련 네트워크 트래픽을 계속 전송합니다.

포드가 생성되면 보조 네트워크가 포드에 연결됩니다. 하지만 포드가 이미 존재하는 경우 보조 네트워크를 연결할 수 없습니다.

포드는 보조 네트워크와 동일한 네임스페이스에 있어야 합니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터에 로그인합니다.

프로세스

  1. Pod 오브젝트에 주석을 추가합니다. 다음 주석 형식 중 하나만 사용할 수 있습니다.

    1. 사용자 정의 없이 보조 네트워크를 연결하려면 다음 형식으로 주석을 추가하세요. <네트워크>를 포드와 연결할 보조 네트워크의 이름으로 바꾸세요. 

      metadata:
  annotations:
    k8s.v1.cni.cncf.io/networks: <network>[,<network>,...]
      1
      Copy to Clipboard Toggle word wrap
      1
      두 개 이상의 보조 네트워크를 지정하려면 각 네트워크를 쉼표로 구분하세요. 쉼표 사이에 공백을 포함하지 마십시오. 동일한 보조 네트워크를 여러 번 지정하면 해당 Pod에 여러 개의 네트워크 인터페이스가 해당 네트워크에 연결됩니다.

    2. 사용자 정의를 사용하여 보조 네트워크를 연결하려면 다음 형식으로 주석을 추가하세요. 

      metadata:
  annotations:
    k8s.v1.cni.cncf.io/networks: |-
      [
        {
          "name": "<network>",
      1 
      
          "namespace": "<namespace>",
      2 
      
          "default-route": ["<default_route>"]
      3 
      
        }
      ]
      Copy to Clipboard Toggle word wrap
      1
      NetworkAttachmentDefinition 개체에 의해 정의된 보조 네트워크의 이름을 지정합니다.
      2
      NetworkAttachmentDefinition 오브젝트가 정의된 네임스페이스를 지정합니다.
      3
      선택 사항: 기본 경로에 대한 재정의를 지정합니다(예: 192.168.17.1).

  2. Pod를 생성하려면 다음 명령을 입력합니다. <name>을 Pod 이름으로 교체합니다. 

    $ oc create -f <name>.yaml
    Copy to Clipboard Toggle word wrap

  3. 선택사항: Pod CR에 주석이 있는지 확인하려면 다음 명령을 입력하고 <name>을 Pod 이름으로 교체합니다. 

    $ oc get pod <name> -o yaml
    Copy to Clipboard Toggle word wrap

    다음 예에서 example-pod 포드는 net1 보조 네트워크에 연결됩니다. 

    $ oc get pod example-pod -o yaml
apiVersion: v1
kind: Pod
metadata:
  annotations:
    k8s.v1.cni.cncf.io/networks: macvlan-bridge
    k8s.v1.cni.cncf.io/network-status: |-
    1 
    
      [{
          "name": "ovn-kubernetes",
          "interface": "eth0",
          "ips": [
              "10.128.2.14"
          ],
          "default": true,
          "dns": {}
      },{
          "name": "macvlan-bridge",
          "interface": "net1",
          "ips": [
              "20.2.2.100"
          ],
          "mac": "22:2f:60:a5:f8:00",
          "dns": {}
      }]
  name: example-pod
  namespace: default
spec:
  ...
status:
  ...
    Copy to Clipboard Toggle word wrap
    1
    k8s.v1.cni.cncf.io/network-status 매개변수는 객체의 JSON 배열입니다. 각 객체는 포드에 연결된 보조 네트워크의 상태를 설명합니다. 주석 값은 일반 텍스트 값으로 저장됩니다.
3.3.1.1. Pod별 주소 지정 및 라우팅 옵션 지정
링크 복사

보조 네트워크에 포드를 연결할 때 특정 포드에서 해당 네트워크에 대한 추가 속성을 지정할 수 있습니다. 이를 통해 라우팅의 일부 측면을 변경하고 고정 IP 주소 및 MAC 주소를 지정할 수 있습니다. 이를 위해 JSON 형식의 주석을 사용할 수 있습니다.

사전 요구 사항

  • 포드는 보조 네트워크와 동일한 네임스페이스에 있어야 합니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터에 로그인해야 합니다.

프로세스

주소 지정 및/또는 라우팅 옵션을 지정하면서 보조 네트워크에 포드를 추가하려면 다음 단계를 완료하세요.

  1. Pod 리소스 정의를 편집합니다. 기존 Pod 리소스를 편집하는 경우 다음 명령을 실행하여 기본 편집기에서 정의를 편집합니다. <name>을 편집할 Pod 리소스의 이름으로 교체합니다. 

    $ oc edit pod <name>
    Copy to Clipboard Toggle word wrap

  2. Pod 리소스 정의에서 k8s.v1.cni.cncf.io/networks 매개변수를 Pod metadata 매핑에 추가합니다. k8s.v1.cni.cncf.io/networks는 추가 특성을 지정하는 것 외에도 NetworkAttachmentDefinition Custom Resource(CR) 이름을 참조하는 오브젝트 목록의 JSON 문자열을 허용합니다. 

    metadata:
  annotations:
    k8s.v1.cni.cncf.io/networks: '[<network>[,<network>,...]]'
# ...
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <network>
    다음 예제와 같이 JSON 객체로 바꾸세요. 작은 따옴표를 사용해야 합니다.

    다음 예에서 주석은 default-route 매개변수를 사용하여 기본 경로로 지정될 네트워크 연결을 지정합니다. 

    apiVersion: v1
kind: Pod
metadata:
  name: example-pod
  annotations:
    k8s.v1.cni.cncf.io/networks: '[
    {
      "name": "net1"
    },
    {
      "name": "net2",
    1 
    
      "default-route": ["192.0.2.1"]
    2 
    
    }]'
spec:
  containers:
  - name: example-pod
    command: ["/bin/bash", "-c", "sleep 2000000000000"]
    image: centos/tools
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    name
    이름 키는 Pod와 연결할 보조 네트워크의 이름입니다.
    기본 경로
    default-route 키는 라우팅 테이블에 다른 라우팅 항목이 없는 경우 트래픽이 라우팅될 게이트웨이 값을 지정합니다. default-route 키가 두 개 이상 지정되면 Pod가 활성화되지 않습니다.

    기본 경로는 다른 경로에 지정되지 않은 모든 트래픽이 게이트웨이로 라우팅되도록 합니다.

    중요

    OpenShift Container Platform의 기본 네트워크 인터페이스 이외의 인터페이스로 기본 경로를 설정하면 Pod 사이에서 트래픽이 라우팅될 것으로 예상되는 트래픽이 다른 인터페이스를 통해 라우팅될 수 있습니다.

    Pod의 라우팅 속성을 확인하려면 oc 명령을 사용하여 Pod에서 ip 명령을 실행하십시오. 

    $ oc exec -it <pod_name> -- ip route
    Copy to Clipboard Toggle word wrap
    참고

    JSON 형식의 객체 목록에 default-route 키가 있는지 확인하여 기본 경로가 지정된 보조 네트워크를 확인하려면 포드의 k8s.v1.cni.cncf.io/network-status를 참조할 수도 있습니다.

    Pod의 고정 IP 주소 또는 MAC 주소를 설정하려면 JSON 형식의 주석을 사용하면 됩니다. 이를 위해서는 이러한 기능을 특별하게 허용하는 네트워크를 생성해야 합니다. 이는 다음과 같이 CNO의 rawCNIConfig에서 지정할 수 있습니다.

  3. 다음 명령을 실행하여 CNO CR을 편집합니다. 

    $ oc edit networks.operator.openshift.io cluster
    Copy to Clipboard Toggle word wrap

    다음 YAML은 CNO의 구성 매개변수를 설명합니다.

    CNO(Cluster Network Operator) YAML 구성

    name: <name>
    1 
    
namespace: <namespace>
    2 
    
rawCNIConfig: '{
    3 
    
  ...
}'
type: Raw
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    name
    만들고 있는 보조 네트워크 연결의 이름을 지정합니다. 이름은 지정된 namespace 내에서 고유해야 합니다.
    네임스페이스
    네트워크를 연결한 네임스페이스를 지정합니다. 값을 지정하지 않으면 default 네임스페이스가 사용됩니다.
    rawCNIConfig
    다음 템플릿을 기반으로 JSON 형식으로 CNI 플러그인 구성을 지정합니다.

    다음 객체는 macvlan CNI 플러그인을 사용하여 정적 MAC 주소와 IP 주소를 활용하기 위한 구성 매개변수를 설명합니다.

    macvlan CNI 플러그인 JSON 구성 객체는 정적 IP와 MAC 주소를 사용합니다.

    {
  "cniVersion": "0.3.1",
  "name": "<name>",
    1 
    
  "plugins": [{
    2 
    
      "type": "macvlan",
      "capabilities": { "ips": true },
    3 
    
      "master": "eth0",
    4 
    
      "mode": "bridge",
      "ipam": {
        "type": "static"
      }
    }, {
      "capabilities": { "mac": true },
    5 
    
      "type": "tuning"
    }]
}
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    name
    생성할 보조 네트워크 연결의 이름을 지정합니다. 이름은 지정된 namespace 내에서 고유해야 합니다.
    plugins
    CNI 플러그인 구성의 배열을 지정합니다. 첫 번째 객체는 macvlan 플러그인 구성을 지정하고 두 번째 객체는 튜닝 플러그인 구성을 지정합니다.
    ips
    CNI 플러그인 런타임 구성 기능의 정적 IP 주소 기능을 활성화하기 위한 요청이 이루어졌음을 지정합니다.
    master
    macvlan 플러그인이 사용하는 인터페이스를 지정합니다.
    mac
    CNI 플러그인의 정적 MAC 주소 기능을 활성화하기 위한 요청이 이루어졌음을 지정합니다.

    그런 다음 위의 네트워크 연결을 키와 함께 JSON 형식 주석에서 참조하여 지정된 Pod에 할당할 고정 IP 및 MAC 주소를 지정할 수 있습니다.

    다음을 사용하여 Pod를 편집합니다. 

    $ oc edit pod <name>
    Copy to Clipboard Toggle word wrap

    macvlan CNI 플러그인 JSON 구성 객체는 정적 IP와 MAC 주소를 사용합니다.

    apiVersion: v1
kind: Pod
metadata:
  name: example-pod
  annotations:
    k8s.v1.cni.cncf.io/networks: '[
      {
        "name": "<name>",
    1 
    
        "ips": [ "192.0.2.205/24" ],
    2 
    
        "mac": "CA:FE:C0:FF:EE:00"
    3 
    
      }
    ]'
    Copy to Clipboard Toggle word wrap

    1 1 1 1
    위의 rawCNIConfig를 구성하는 경우에는 제공되는 <name>을 사용해야 합니다.
    2 2 2 2
    서브넷 마스크를 포함하여 IP 주소를 제공합니다.
    3 3 3
    MAC 주소를 입력합니다.
    참고

    고정 IP 주소와 MAC 주소를 동시에 사용할 필요는 없으며 개별적으로 또는 함께 사용할 수 있습니다.

  4. 보조 네트워크가 있는 포드의 IP 주소와 MAC 속성을 확인하려면 oc 명령을 사용하여 포드 내에서 ip 명령을 실행합니다. 

    $ oc exec -it <pod_name> -- ip a
    Copy to Clipboard Toggle word wrap

3.4. 다중 네트워크 정책 구성
링크 복사

관리자는 MultiNetworkPolicy API를 사용하여 보조 네트워크에 연결된 포드의 트래픽을 관리하는 여러 네트워크 정책을 만들 수 있습니다. 예를 들어, 특정 포트, IP/범위 또는 레이블을 기준으로 트래픽을 허용하거나 거부하는 정책을 만들 수 있습니다.

다중 네트워크 정책은 클러스터 내의 보조 네트워크의 트래픽을 관리하는 데 사용될 수 있습니다. 이러한 정책은 기본 클러스터 네트워크나 사용자 정의 네트워크의 기본 네트워크를 관리할 수 없습니다.

클러스터 관리자는 다음 네트워크 유형에 대해 다중 네트워크 정책을 구성할 수 있습니다.

  • 단일 루트 I/O 가상화(SR-IOV)
  • MAC 가상 로컬 영역 네트워크(MacVLAN)
  • IP 가상 로컬 영역 네트워크(IPVLAN)
  • SR-IOV를 통한 본드 컨테이너 네트워크 인터페이스(CNI)
  • OVN-Kubernetes 보조 네트워크
참고

SR-IOV 보조 네트워크에 대한 다중 네트워크 정책 구성 지원은 커널 네트워크 인터페이스 컨트롤러(NIC)에서만 지원됩니다. SR-IOV는 DPDK(Data Plane Development Kit) 애플리케이션에서 지원되지 않습니다.

3.4.1. 다중 네트워크 정책과 네트워크 정책의 차이점
링크 복사

MultiNetworkPolicy API는 NetworkPolicy API를 구현하지만 다음과 같은 몇 가지 중요한 차이점이 있습니다.

  • MultiNetworkPolicy API를 사용해야 합니다. 

    apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
    Copy to Clipboard Toggle word wrap
  • CLI를 사용하여 다중 네트워크 정책과 상호 작용할 때 multi-networkpolicy 리소스 이름을 사용해야 합니다. 예를 들어 oc get multi-networkpolicy <name> 명령을 사용하여 다중 네트워크 정책 오브젝트를 볼 수 있습니다. 여기서 <name>은 다중 네트워크 정책의 이름입니다.

  • MultiNetworkPolicy 객체에서 k8s.v1.cni.cncf.io/policy-for 주석을 사용하여 NetworkAttachmentDefinition (NAD) 사용자 정의 리소스(CR)를 가리킬 수 있습니다. NAD CR은 정책이 적용되는 네트워크를 정의합니다.

    k8s.v1.cni.cncf.io/policy-for 주석을 포함하는 다중 네트워크 정책 예

    apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <namespace_name>
    네임스페이스 이름을 지정합니다.
    <network_name>
    네트워크 연결 정의의 이름을 지정합니다.

3.4.2. 클러스터의 다중 네트워크 정책 활성화
링크 복사

클러스터 관리자는 클러스터에서 다중 네트워크 정책 지원을 활성화할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 클러스터에 로그인합니다.

프로세스

  1. 다음 YAML을 사용하여 multinetwork-enable-patch.yaml 파일을 생성합니다. 

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  useMultiNetworkPolicy: true
    Copy to Clipboard Toggle word wrap

  2. 다중 네트워크 정책을 활성화하도록 클러스터를 구성합니다. 성공적인 출력에는 정책 개체의 이름과 패치 상태가 나열됩니다. 

    $ oc patch network.operator.openshift.io cluster --type=merge --patch-file=multinetwork-enable-patch.yaml
    Copy to Clipboard Toggle word wrap

3.4.3. IPv6 네트워크에서 다중 네트워크 정책 지원
링크 복사

ICMPv6 Neighbor Discovery Protocol(NDP)은 장치가 이웃 노드에 대한 정보를 검색하고 유지 관리할 수 있도록 하는 메시지와 프로세스 집합입니다. NDP는 IPv6 네트워크에서 중요한 역할을 하며, 동일한 링크에 있는 장치 간의 상호 작용을 원활하게 해줍니다.

CNO(클러스터 네트워크 운영자)는 useMultiNetworkPolicy 매개변수가 true 로 설정된 경우 다중 네트워크 정책의 iptables 구현을 배포합니다.

IPv6 네트워크에서 다중 네트워크 정책을 지원하기 위해 클러스터 네트워크 운영자는 다중 네트워크 정책의 영향을 받는 모든 포드에 다음 규칙 집합을 배포합니다.

다중 네트워크 정책 사용자 정의 규칙

kind: ConfigMap
apiVersion: v1
metadata:
  name: multi-networkpolicy-custom-rules
  namespace: openshift-multus
data:

  custom-v6-rules.txt: |
    # accept NDP
    -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
1 

    -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
2 

    # accept RA/RS
    -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
3 

    -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
4
Copy to Clipboard Toggle word wrap

1
이 규칙은 이웃 검색 프로토콜(NDP)의 일부인 수신 ICMPv6 이웃 요청 메시지를 허용합니다. 이러한 메시지는 이웃 노드의 링크 계층 주소를 결정하는 데 도움이 됩니다.
2
이 규칙은 NDP의 일부이며 발신자의 링크 계층 주소에 대한 정보를 제공하는 수신 ICMPv6 이웃 광고 메시지를 허용합니다.
3
이 규칙은 들어오는 ICMPv6 라우터 요청 메시지를 허용합니다. 호스트는 이러한 메시지를 사용하여 라우터 구성 정보를 요청합니다.
4
이 규칙은 호스트에 구성 정보를 제공하는 수신 ICMPv6 라우터 광고 메시지를 허용합니다.
참고

미리 정의된 규칙은 편집할 수 없습니다.

이러한 규칙은 IPv6 환경에서 주소 확인 및 라우터 통신을 포함하여 올바른 네트워크 기능을 위해 필수적인 ICMPv6 트래픽을 활성화합니다. 이러한 규칙이 적용되고 트래픽을 거부하는 다중 네트워크 정책이 있으면 애플리케이션에서 연결 문제가 발생할 가능성은 없습니다.

3.4.4. 다중 네트워크 정책 작업
링크 복사

클러스터 관리자는 다중 네트워크 정책을 생성, 편집, 보기 및 삭제할 수 있습니다.

3.4.4.1. 사전 요구 사항
링크 복사
  • 클러스터에 대한 다중 네트워크 정책 지원을 활성화했습니다.
3.4.4.2. CLI를 사용하여 다중 네트워크 정책 만들기
링크 복사

클러스터의 네임스페이스에서 허용된 수신 또는 송신 네트워크 트래픽을 설명하는 세분화된 규칙을 정의하기 위해 다중 네트워크 정책을 생성할 수 있습니다.

사전 요구 사항

  • 클러스터는 NetworkPolicy 객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며, 모드: NetworkPolicy가 설정되어 있습니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터 관리자 권한이 있는 사용자로 클러스터에 로그인했습니다.
  • 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

프로세스

  1. 다음과 같이 정책 규칙을 생성합니다.

    1. <policy_name>.yaml 파일을 생성합니다. 

      $ touch <policy_name>.yaml
      Copy to Clipboard Toggle word wrap

      다음과 같습니다.

      <policy_name>
      다중 네트워크 정책 파일 이름을 지정합니다.

    2. 방금 만든 파일에서 다음 예와 같이 다중 네트워크 정책을 정의합니다.

      모든 네임스페이스의 모든 Pod에서 수신 거부

      이는 다른 네트워크 정책의 구성에 의해 허용되는 크로스 포드 트래픽 외의 모든 크로스 포드 네트워킹을 차단하는 기본 정책입니다. 

      apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: deny-by-default
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  ingress: []
      Copy to Clipboard Toggle word wrap

      다음과 같습니다.

      <network_name>
      네트워크 연결 정의의 이름을 지정합니다.

      동일한 네임 스페이스에 있는 모든 Pod의 수신 허용

      apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: allow-same-namespace
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}
      Copy to Clipboard Toggle word wrap

      다음과 같습니다.

      <network_name>
      네트워크 연결 정의의 이름을 지정합니다.

      특정 네임스페이스에서 하나의 포드로의 유입 트래픽 허용

      이 정책은 namespace-y 에서 실행되는 포드에서 pod-a 레이블이 있는 포드로의 트래픽을 허용합니다. 

      apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: allow-traffic-pod
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
spec:
  podSelector:
   matchLabels:
      pod: pod-a
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
           kubernetes.io/metadata.name: namespace-y
      Copy to Clipboard Toggle word wrap

      다음과 같습니다.

      <network_name>
      네트워크 연결 정의의 이름을 지정합니다.

      서비스로의 트래픽 제한

      이 정책을 적용하면 app=bookstorerole=api 레이블이 있는 모든 포드는 app=bookstore 레이블이 있는 포드에서만 액세스할 수 있습니다. 이 예에서 애플리케이션은 app=bookstorerole=api 라벨이 표시된 REST API 서버가 될 수 있습니다.

      이 예제에서는 다음과 같은 사용 사례를 다룹니다.

      • 특정 서비스의 트래픽을 해당 서비스를 사용해야 하는 다른 마이크로서비스로만 제한합니다.

      • 해당 애플리케이션에서만 데이터베이스를 사용할 수 있도록 연결을 제한합니다. 

        apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: api-allow
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
spec:
  podSelector:
    matchLabels:
      app: bookstore
      role: api
  ingress:
  - from:
      - podSelector:
          matchLabels:
            app: bookstore
        Copy to Clipboard Toggle word wrap

        다음과 같습니다.

        <network_name>
        네트워크 연결 정의의 이름을 지정합니다.

  2. 다중 네트워크 정책 개체를 생성하려면 다음 명령을 입력하세요. 성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다. 

    $ oc apply -f <policy_name>.yaml -n <namespace>
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <policy_name>
    다중 네트워크 정책 파일 이름을 지정합니다.
    <namespace>
    선택적 매개변수입니다. 현재 네임스페이스와 다른 네임스페이스에 객체를 정의한 경우 매개변수는 네임스페이스를 지정합니다.

    성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다.

참고

클러스터 관리자 권한으로 웹 콘솔에 로그인하면 YAML에서 직접 또는 웹 콘솔의 양식을 통해 클러스터의 모든 네임스페이스에 네트워크 정책을 만들 수 있습니다.

3.4.4.3. 다중 네트워크 정책 편집
링크 복사

네임스페이스에서 다중 네트워크 정책을 편집할 수 있습니다.

사전 요구 사항

  • 클러스터는 NetworkPolicy 객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며, 모드: NetworkPolicy가 설정되어 있습니다.
  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

프로세스

  1. 선택 사항: 네임스페이스의 다중 네트워크 정책 오브젝트를 나열하려면 다음 명령을 입력합니다. 

    $ oc get multi-networkpolicy
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <namespace>
    선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.

  2. 다중 네트워크 정책 오브젝트를 편집합니다.

    • 다중 네트워크 정책 정의를 파일에 저장한 경우 파일을 편집하고 필요한 사항을 변경한 후 다음 명령을 입력합니다. 

      $ oc apply -n <namespace> -f <policy_file>.yaml
      Copy to Clipboard Toggle word wrap

      다음과 같습니다.

      <namespace>
      선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
      <policy_file>
      네트워크 정책이 포함된 파일의 이름을 지정합니다.

    • 다중 네트워크 정책 오브젝트를 직접 업데이트해야 하는 경우 다음 명령을 입력합니다. 

      $ oc edit multi-networkpolicy <policy_name> -n <namespace>
      Copy to Clipboard Toggle word wrap

      다음과 같습니다.

      <policy_name>
      네트워크 정책의 이름을 지정합니다.
      <namespace>
      선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.

  3. 다중 네트워크 정책 오브젝트가 업데이트되었는지 확인합니다. 

    $ oc describe multi-networkpolicy <policy_name> -n <namespace>
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <policy_name>
    다중 네트워크 정책의 이름을 지정합니다.
    <namespace>
    선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
참고

클러스터 관리자 권한으로 웹 콘솔에 로그인하면 클러스터의 모든 네임스페이스에서 네트워크 정책을 YAML에서 직접 편집하거나 웹 콘솔의 작업 메뉴를 통해 정책을 편집할 수 있습니다.

3.4.4.4. CLI를 사용하여 다중 네트워크 정책 보기
링크 복사

네임스페이스에서 다중 네트워크 정책을 검사할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

프로세스

  • 네임스페이스의 다중 네트워크 정책을 나열합니다.

    • 네임스페이스에 정의된 다중 네트워크 정책 오브젝트를 보려면 다음 명령을 입력합니다. 

      $ oc get multi-networkpolicy
      Copy to Clipboard Toggle word wrap

    • 선택 사항: 특정 다중 네트워크 정책을 검사하려면 다음 명령을 입력합니다. 

      $ oc describe multi-networkpolicy <policy_name> -n <namespace>
      Copy to Clipboard Toggle word wrap

      다음과 같습니다.

      <policy_name>
      검사할 다중 네트워크 정책의 이름을 지정합니다.
      <namespace>
      선택 사항: 오브젝트가 현재 네임스페이스와 다른 네임스페이스에 정의된 경우 이를 사용하여 네임스페이스를 지정합니다.
참고

클러스터 관리자 권한으로 웹 콘솔에 로그인하면 클러스터의 모든 네임스페이스에 있는 네트워크 정책을 YAML에서 직접 보거나 웹 콘솔의 양식을 통해 볼 수 있습니다.

3.4.4.5. CLI를 사용하여 다중 네트워크 정책 삭제
링크 복사

네임스페이스에서 다중 네트워크 정책을 삭제할 수 있습니다.

사전 요구 사항

  • 클러스터는 NetworkPolicy 객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며, 모드: NetworkPolicy가 설정되어 있습니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터 관리자 권한이 있는 사용자로 클러스터에 로그인했습니다.
  • 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

프로세스

  • 다중 네트워크 정책 개체를 삭제하려면 다음 명령을 입력하세요. 성공적인 출력에는 정책 개체의 이름과 삭제된 상태가 나열됩니다. 

    $ oc delete multi-networkpolicy <policy_name> -n <namespace>
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <policy_name>
    다중 네트워크 정책의 이름을 지정합니다.
    <namespace>
    선택적 매개변수입니다. 현재 네임스페이스와 다른 네임스페이스에 객체를 정의한 경우 매개변수는 네임스페이스를 지정합니다.

    성공적인 출력에는 정책 개체의 이름과 삭제된 상태가 나열됩니다.

참고

클러스터 관리자 권한으로 웹 콘솔에 로그인하면 YAML에서 직접 클러스터의 네임스페이스에 있는 네트워크 정책을 삭제하거나, 작업 메뉴를 통해 웹 콘솔의 정책을 통해 삭제할 수 있습니다.

3.4.4.6. 모든 다중 네트워크 거부 기본 정책 만들기
링크 복사

이 정책은 다른 배포된 네트워크 정책의 구성에 의해 허용되는 네트워크 트래픽과 호스트 네트워크에 연결된 포드 간 트래픽을 제외한 모든 크로스 포드 네트워킹을 차단합니다. 이 절차는 my-project 네임스페이스에 deny-by-default 정책을 적용하여 강력한 거부 정책을 시행합니다.

주의

트래픽 통신을 허용하는 NetworkPolicy 사용자 정의 리소스(CR)를 구성하지 않으면 다음 정책으로 인해 클러스터 전체에서 통신 문제가 발생할 수 있습니다.

사전 요구 사항

  • 클러스터는 NetworkPolicy 객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며, 모드: NetworkPolicy가 설정되어 있습니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터 관리자 권한이 있는 사용자로 클러스터에 로그인했습니다.
  • 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

프로세스

  1. 모든 네임스페이스의 모든 포드에서 들어오는 트래픽을 거부하는 기본 거부 정책을 정의하는 다음 YAML을 만듭니다. deny-by-default.yaml 파일에 YAML을 저장합니다. 

    apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: deny-by-default
  namespace: my-project
    1 
    
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
    2 
    
spec:
  podSelector: {}
    3 
    
  policyTypes:
    4 
    
  - Ingress
    5 
    
  ingress: []
    6
    Copy to Clipboard Toggle word wrap
    1
    정책을 배포할 네임스페이스를 지정합니다. 예를 들어, my-project 네임스페이스.
    2
    네임스페이스 프로젝트 이름 뒤에 네트워크 연결 정의 이름을 지정합니다.
    3
    이 필드가 비어 있으면 구성이 모든 포드와 일치합니다. 따라서 해당 정책은 my-project 네임스페이스의 모든 포드에 적용됩니다.
    4
    NetworkPolicy 와 관련된 규칙 유형 목록을 지정합니다.
    5
    Ingress 전용 policyTypes를 지정합니다.
    6
    수신 규칙을 지정합니다. 지정하지 않으면 모든 포드에 대한 모든 수신 트래픽이 삭제됩니다.

  2. 다음 명령을 입력하여 정책을 적용합니다. 성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다. 

    $ oc apply -f deny-by-default.yaml
    Copy to Clipboard Toggle word wrap

    성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다.

기본적으로 거부 정책이 적용되면 app=web 레이블이 있는 포드로의 외부 클라이언트의 트래픽을 허용하는 정책을 구성할 수 있습니다.

참고

cluster-admin 역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

공용 인터넷에서 직접 또는 로드 밸런서를 사용하여 포드에 액세스하는 외부 서비스를 허용하는 정책을 구성하려면 다음 절차를 따르세요. 트래픽은 app=web 라벨이 있는 Pod에만 허용됩니다.

사전 요구 사항

  • 클러스터는 NetworkPolicy 객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며, 모드: NetworkPolicy가 설정되어 있습니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터 관리자 권한이 있는 사용자로 클러스터에 로그인했습니다.
  • 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

프로세스

  1. 퍼블릭 인터넷에서 직접 또는 로드 밸런서를 사용하여 트래픽이 포드에 액세스할 수 있도록 허용하는 정책을 만듭니다. web-allow-external.yaml 파일에 YAML을 저장합니다. 

    apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: web-allow-external
  namespace: default
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
spec:
  policyTypes:
  - Ingress
  podSelector:
    matchLabels:
      app: web
  ingress:
    - {}
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 입력하여 정책을 적용합니다. 성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다. 

    $ oc apply -f web-allow-external.yaml
    Copy to Clipboard Toggle word wrap

    성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다. 이 정책은 다음 다이어그램에 표시된 것처럼 외부 트래픽을 포함한 모든 리소스의 트래픽을 허용합니다.

외부 클라이언트의 트래픽 허용
View larger image
외부 클라이언트의 트래픽 허용
참고

cluster-admin 역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

모든 네임스페이스의 모든 포드에서 특정 애플리케이션으로의 트래픽을 허용하는 정책을 구성하려면 다음 절차를 따르세요.

사전 요구 사항

  • 클러스터는 NetworkPolicy 객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며, 모드: NetworkPolicy가 설정되어 있습니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터 관리자 권한이 있는 사용자로 클러스터에 로그인했습니다.
  • 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

프로세스

  1. 모든 네임스페이스의 모든 포드에서 특정 애플리케이션으로의 트래픽을 허용하는 정책을 만듭니다. web-allow-all-namespaces.yaml 파일에 YAML을 저장합니다. 

    apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: web-allow-all-namespaces
  namespace: default
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
spec:
  podSelector:
    matchLabels:
      app: web
    1 
    
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: {}
    2
    Copy to Clipboard Toggle word wrap
    1
    이 정책은 기본 네임스페이스의 app:web 포드에만 적용됩니다.
    2
    모든 네임스페이스의 모든 포드를 선택합니다.
    참고

    기본적으로 정책 개체에서 namespaceSelector 매개변수를 지정하지 않으면 네임스페이스가 선택되지 않습니다. 즉, 정책은 네트워크 정책이 배포된 네임스페이스에서만 트래픽을 허용합니다.

  2. 다음 명령을 입력하여 정책을 적용합니다. 성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다. 

    $ oc apply -f web-allow-all-namespaces.yaml
    Copy to Clipboard Toggle word wrap

    성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다.

검증

  1. 다음 명령을 입력하여 기본 네임스페이스에서 웹 서비스를 시작합니다. 

    $ oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 보조 네임스페이스에 알파인 이미지를 배포하고 셸을 시작합니다. 

    $ oc run test-$RANDOM --namespace=secondary --rm -i -t --image=alpine -- sh
    Copy to Clipboard Toggle word wrap

  3. 셸에서 다음 명령을 실행하고 서비스가 요청을 허용하는지 확인합니다. 

    # wget -qO- --timeout=2 http://web.default
    Copy to Clipboard Toggle word wrap

    예상 출력

    <!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>
    Copy to Clipboard Toggle word wrap

참고

cluster-admin 역할로 사용자로 로그인하는 경우 클러스터의 모든 네임스페이스에서 네트워크 정책을 생성할 수 있습니다.

특정 네임스페이스에서 app=web 레이블이 있는 포드로의 트래픽을 허용하는 정책을 구성하려면 다음 절차를 따르세요. 다음과 같은 경우 이 작업을 수행할 수 있습니다.

  • 프로덕션 워크로드가 배포된 네임스페이스에만 프로덕션 데이터베이스로의 트래픽을 제한합니다.
  • 특정 네임스페이스에 배포된 모니터링 도구를 활성화하여 현재 네임스페이스에서 메트릭을 스크래핑합니다.

사전 요구 사항

  • 클러스터는 NetworkPolicy 객체를 지원하는 네트워크 플러그인(예: OVN-Kubernetes 네트워크 플러그인)을 사용하며, 모드: NetworkPolicy가 설정되어 있습니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터 관리자 권한이 있는 사용자로 클러스터에 로그인했습니다.
  • 다중 네트워크 정책이 적용되는 네임스페이스에서 작업하고 있습니다.

프로세스

  1. 특정 네임스페이스에 있는 모든 포드의 트래픽을 허용하는 정책을 purpose=production 레이블로 만듭니다. web-allow-prod.yaml 파일에 YAML을 저장합니다. 

    apiVersion: k8s.cni.cncf.io/v1beta1
kind: MultiNetworkPolicy
metadata:
  name: web-allow-prod
  namespace: default
  annotations:
    k8s.v1.cni.cncf.io/policy-for:<namespace_name>/<network_name>
spec:
  podSelector:
    matchLabels:
      app: web
    1 
    
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          purpose: production
    2
    Copy to Clipboard Toggle word wrap
    1
    이 정책은 기본 네임스페이스의 app:web 포드에만 적용됩니다.
    2
    라벨이 purpose=production 인 네임스페이스의 포드에만 트래픽을 제한합니다.

  2. 다음 명령을 입력하여 정책을 적용합니다. 성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다. 

    $ oc apply -f web-allow-prod.yaml
    Copy to Clipboard Toggle word wrap

    성공적인 출력에는 정책 개체의 이름과 생성 상태가 나열됩니다.

검증

  1. 다음 명령을 입력하여 기본 네임스페이스에서 웹 서비스를 시작합니다. 

    $ oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 prod 네임스페이스를 만듭니다. 

    $ oc create namespace prod
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 prod 네임스페이스에 레이블을 지정합니다. 

    $ oc label namespace/prod purpose=production
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 dev 네임스페이스를 만듭니다. 

    $ oc create namespace dev
    Copy to Clipboard Toggle word wrap

  5. 다음 명령을 실행하여 dev 네임스페이스에 레이블을 지정합니다. 

    $ oc label namespace/dev purpose=testing
    Copy to Clipboard Toggle word wrap

  6. 다음 명령을 실행하여 dev 네임스페이스에 alpine 이미지를 배포하고 셸을 시작합니다. 

    $ oc run test-$RANDOM --namespace=dev --rm -i -t --image=alpine -- sh
    Copy to Clipboard Toggle word wrap

  7. 셸에서 다음 명령을 실행하고 요청이 차단된 이유를 살펴보세요. 예를 들어, 예상 출력 상태는 wget: download timed out 입니다 . 

    # wget -qO- --timeout=2 http://web.default
    Copy to Clipboard Toggle word wrap

  8. 다음 명령을 실행하여 prod 네임스페이스에 alpine 이미지를 배포하고 셸을 시작합니다. 

    $ oc run test-$RANDOM --namespace=prod --rm -i -t --image=alpine -- sh
    Copy to Clipboard Toggle word wrap

  9. 셸에서 다음 명령을 실행하고 요청이 허용되는지 확인하세요. 

    # wget -qO- --timeout=2 http://web.default
    Copy to Clipboard Toggle word wrap

    예상 출력

    <!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>
    Copy to Clipboard Toggle word wrap

3.5. 보조 네트워크에서 포드 제거
링크 복사

클러스터 사용자는 보조 네트워크에서 포드를 제거할 수 있습니다.

3.5.1. 보조 네트워크에서 포드 제거
링크 복사

보조 네트워크에서 포드를 제거하려면 포드를 삭제해야 합니다.

사전 요구 사항

  • 보조 네트워크가 포드에 연결됩니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 클러스터에 로그인합니다.

프로세스

  • Pod를 삭제하려면 다음 명령을 입력합니다. 

    $ oc delete pod <name> -n <namespace>
    Copy to Clipboard Toggle word wrap
    • <name>은 Pod의 이름입니다.
    • <namespace>는 Pod가 포함된 네임스페이스입니다.

3.6. 보조 네트워크 편집
링크 복사

클러스터 관리자는 기존 보조 네트워크의 구성을 수정할 수 있습니다.

3.6.1. 보조 네트워크 연결 정의 수정
링크 복사

클러스터 관리자는 기존 보조 네트워크를 변경할 수 있습니다. 보조 네트워크에 연결된 기존 포드는 업데이트되지 않습니다.

사전 요구 사항

  • 클러스터에 대한 보조 네트워크를 구성했습니다.
  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

클러스터의 보조 네트워크를 편집하려면 다음 단계를 완료하세요.

  1. 기본 텍스트 편집기에서 CNO(Cluster Network Operator) CR을 편집하려면 다음 명령을 실행합니다. 

    $ oc edit networks.operator.openshift.io cluster
    Copy to Clipboard Toggle word wrap
  2. additionalNetworks 컬렉션에서 변경 사항을 적용하여 보조 네트워크를 업데이트합니다.
  3. 변경 사항을 저장하고 텍스트 편집기를 종료하여 변경 사항을 커밋합니다.

  4. 선택 사항: CNO에서 다음 명령을 실행하여 NetworkAttachmentDefinition 오브젝트를 업데이트했는지 확인합니다. <네트워크 이름>을 표시할 보조 네트워크의 이름으로 바꾸세요. CNO가 변경 사항을 반영하기 위해서 NetworkAttachmentDefinition 오브젝트를 업데이트하기 전에 지연이 발생할 수 있습니다. 

    $ oc get network-attachment-definitions <network-name> -o yaml
    Copy to Clipboard Toggle word wrap

    예를 들어, 다음 콘솔 출력은 net1이라는 NetworkAttachmentDefinition 오브젝트를 표시합니다. 

    $ oc get network-attachment-definitions net1 -o go-template='{{printf "%s\n" .spec.config}}'
{ "cniVersion": "0.3.1", "type": "macvlan",
"master": "ens5",
"mode": "bridge",
"ipam":       {"type":"static","routes":[{"dst":"0.0.0.0/0","gw":"10.128.2.1"}],"addresses":[{"address":"10.128.2.100/23","gateway":"10.128.2.1"}],"dns":{"nameservers":["172.30.0.10"],"domain":"us-west-2.compute.internal","search":["us-west-2.compute.internal"]}} }
    Copy to Clipboard Toggle word wrap

3.7. 보조 네트워크에서 IP 주소 할당 구성
링크 복사

다음 섹션에서는 보조 네트워크에 대한 IP 주소 할당을 구성하는 방법에 대한 지침과 정보를 제공합니다.

3.7.1. 네트워크 연결을 위한 IP 주소 할당 구성
링크 복사

2차 네트워크의 경우 다양한 할당 방법(DHCP(동적 호스트 구성 프로토콜) 및 정적 할당 포함)을 지원하는 IP 주소 관리(IPAM) CNI 플러그인을 사용하여 IP 주소를 할당할 수 있습니다.

IP 주소의 동적 할당을 담당하는 DHCP IPAM CNI 플러그인은 두 가지 고유한 구성 요소로 작동합니다.

  • CNI 플러그인 : IP 주소를 요청하고 해제하기 위해 Kubernetes 네트워킹 스택과 통합하는 역할을 담당합니다.
  • DHCP IPAM CNI 데몬 : 환경 내 기존 DHCP 서버와 협력하여 IP 주소 할당 요청을 처리하는 DHCP 이벤트 리스너입니다. 이 데몬 자체는 DHCP 서버가 아닙니다 .

IPAM 구성에서 dhcp 유형이 필요한 네트워크의 경우 다음을 확인하세요.

  • DHCP 서버가 사용 가능하고 환경에서 실행 중입니다.
  • DHCP 서버는 클러스터 외부에 있으며, 해당 서버가 고객을 위한 기존 네트워크 인프라의 일부를 형성할 것으로 예상합니다.
  • DHCP 서버는 노드에 IP 주소를 제공하도록 적절하게 구성됩니다.

환경에서 DHCP 서버를 사용할 수 없는 경우 대신 Whereabouts IPAM CNI 플러그인을 사용하는 것을 고려하세요. Whereabouts CNI는 외부 DHCP 서버가 필요 없이 유사한 IP 주소 관리 기능을 제공합니다.

참고

외부 DHCP 서버가 없거나 정적 IP 주소 관리가 선호되는 경우 Whereabouts CNI 플러그인을 사용하세요. Whereabouts 플러그인에는 오래된 IP 주소 할당을 관리하는 조정자 데몬이 포함되어 있습니다.

DHCP IPAM CNI 데몬이라는 별도의 데몬을 포함하여 컨테이너의 수명 동안 DHCP 임대를 주기적으로 갱신합니다. DHCP IPAM CNI 데몬을 배포하려면 클러스터 네트워크 운영자(CNO) 구성을 변경하여 이 데몬이 보조 네트워크 설정의 일부로 배포되도록 합니다.

3.7.1.1. 고정 IP 주소 할당 구성
링크 복사

다음 표에서는 정적 IP 주소 할당 구성을 설명합니다.

Expand
표 3.11. ipam 정적 구성 객체
필드유형설명

type

string

IPAM 주소 유형. static 값이 필요합니다.

addresses

array

가상 인터페이스에 할당할 IP 주소를 지정하는 객체의 배열입니다. IPv4 및 IPv6 IP 주소가 모두 지원됩니다.

routes

array

포드 내부에서 구성할 경로를 지정하는 객체 배열입니다.

dns

array

선택 사항: DNS 구성을 지정하는 객체 배열입니다.

주소 배열에는 다음 필드가 있는 객체가 필요합니다.

Expand
표 3.12. ipam.addresses[] array
필드유형설명

address

string

지정하는 IP 주소 및 네트워크 접두사입니다. 예를 들어, 10.10.21.10/24를 지정하면 보조 네트워크에 IP 주소 10.10.21.10 과 넷마스크 255.255.255.0이 할당됩니다.

gateway

string

송신 네트워크 트래픽을 라우팅할 기본 게이트웨이입니다.

Expand
표 3.13. ipam.routes[] 배열
필드유형설명

dst

string

기본 경로의 경우 CIDR 형식의 IP 주소 범위(예: 192.168.17.0/24 또는 0.0.0.0/0)입니다 .

gw

string

네트워크 트래픽을 라우팅하는 게이트웨이.

Expand
표 3.14. ipam.dns 객체
필드유형설명

네임서버

array

DNS 쿼리가 전송되는 하나 이상의 IP 주소 배열입니다.

domain

array

호스트 이름에 추가할 기본 도메인입니다. 예를 들어 도메인이 example.com으로 설정되면 example-host에 대한 DNS 조회 쿼리가 example-host.example.com으로 다시 작성됩니다.

search

array

DNS 조회 쿼리 중에 규정되지 않은 호스트 이름(예: example-host)에 추가할 도메인 이름 배열입니다.

고정 IP 주소 할당 구성 예

{
  "ipam": {
    "type": "static",
      "addresses": [
        {
          "address": "191.168.1.7/24"
        }
      ]
  }
}
Copy to Clipboard Toggle word wrap

3.7.1.2. 동적 IP 주소(DHCP) 할당 구성
링크 복사

pod는 생성될 때 원래 DHCP 리스를 얻습니다. 리스는 클러스터에서 실행되는 최소 DHCP 서버 배포를 통해 주기적으로 갱신되어야 합니다.

중요

이더넷 네트워크 연결의 경우, SR-IOV 네트워크 운영자는 DHCP 서버 배포를 생성하지 않습니다. 클러스터 네트워크 운영자가 최소한의 DHCP 서버 배포를 생성해야 합니다.

DHCP 서버 배포를 트리거하려면 다음 예와 같이 Cluster Network Operator 구성을 편집하여 shim 네트워크 연결을 만들어야 합니다.

shim 네트워크 연결 정의 예

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  additionalNetworks:
  - name: dhcp-shim
    namespace: default
    type: Raw
    rawCNIConfig: |-
      {
        "name": "dhcp-shim",
        "cniVersion": "0.3.1",
        "type": "bridge",
        "ipam": {
          "type": "dhcp"
1 

        }
      }
  # ...
Copy to Clipboard Toggle word wrap

1
클러스터에 대한 동적 IP 주소(DHCP) 할당을 지정합니다.
3.7.1.3. Whereabouts를 사용한 동적 IP 주소 할당 구성
링크 복사

Whereabouts CNI 플러그인은 DHCP 서버를 사용하지 않고 보조 네트워크에 IP 주소를 동적으로 할당하는 데 도움이 됩니다.

Whereabouts CNI 플러그인은 또한 중복되는 IP 주소 범위와 별도의 NetworkAttachmentDefinition CRD 내에서 동일한 CIDR 범위를 여러 번 구성하는 것을 지원합니다. 이를 통해 멀티테넌트 환경에서 더 큰 유연성과 관리 기능이 제공됩니다.

3.7.1.3.1. 동적 IP 주소 구성 매개변수
링크 복사

다음 표에서는 Whereabouts를 사용한 동적 IP 주소 할당을 위한 구성 개체를 설명합니다.

Expand
표 3.15. ipam 위치 구성 매개변수
필드유형설명

type

string

IPAM 주소 유형. whereabouts 값이 필요합니다.

범위

string

CIDR 표기법으로 나타낸 IP 주소와 범위입니다. IP 주소는 이 주소 범위 내에서 할당됩니다.

exclude

array

선택 사항: CIDR 표기법으로 나타낸 0개 이상의 IP 주소 및 범위 목록입니다. 제외된 주소 범위 내의 IP 주소는 할당되지 않습니다.

network_name

string

선택 사항: 동일한 IP 주소 범위를 공유하더라도 각 포드 그룹 또는 도메인이 고유한 IP 주소 세트를 갖도록 보장하는 데 도움이 됩니다. 이 필드를 설정하는 것은 네트워크를 분리하고 체계적으로 유지하는 데 중요하며, 특히 다중 테넌트 환경에서 중요합니다.

다음 예에서는 Whereabouts를 사용하는 NAD 파일의 동적 주소 할당 구성을 보여줍니다.

특정 IP 주소 범위를 제외하는 동적 IP 주소 할당 위치

{
  "ipam": {
    "type": "whereabouts",
    "range": "192.0.2.192/27",
    "exclude": [
       "192.0.2.192/30",
       "192.0.2.196/32"
    ]
  }
}
Copy to Clipboard Toggle word wrap

다음 예에서는 다중 테넌트 네트워크에 대해 중복되는 IP 주소 범위를 사용하는 동적 IP 주소 할당을 보여줍니다.

NetworkAttachmentDefinition 1

{
  "ipam": {
    "type": "whereabouts",
    "range": "192.0.2.192/29",
    "network_name": "example_net_common",
1 

  }
}
Copy to Clipboard Toggle word wrap

1
선택 사항: 설정된 경우 NetworkAttachmentDefinition 2network_name 과 일치해야 합니다.

NetworkAttachmentDefinition 2

{
  "ipam": {
    "type": "whereabouts",
    "range": "192.0.2.192/24",
    "network_name": "example_net_common",
1 

  }
}
Copy to Clipboard Toggle word wrap

1
선택 사항: 설정된 경우 NetworkAttachmentDefinition 1network_name 과 일치해야 합니다.
3.7.1.4. 위치 조정자 데몬 세트 생성
링크 복사

Whereabouts 조정자는 Whereabouts IP 주소 관리(IPAM) 솔루션을 사용하여 클러스터 내의 포드에 대한 동적 IP 주소 할당을 관리하는 역할을 합니다. 이를 통해 각 포드가 지정된 IP 주소 범위에서 고유한 IP 주소를 얻을 수 있습니다. 또한 포드가 삭제되거나 축소될 때 IP 주소 해제도 처리합니다.

참고

동적 IP 주소 할당을 위해 NetworkAttachmentDefinition 사용자 정의 리소스 정의(CRD)를 사용할 수도 있습니다.

클러스터 네트워크 운영자를 통해 보조 네트워크를 구성하면 whereabouts-reconciler 데몬 세트가 자동으로 생성됩니다. YAML 매니페스트에서 보조 네트워크를 구성하는 경우 자동으로 생성되지 않습니다.

whereabouts-reconciler 데몬 세트의 배포를 트리거하려면 Cluster Network Operator 사용자 정의 리소스(CR) 파일을 편집하여 whereabouts-shim 네트워크 연결을 수동으로 만들어야 합니다.

다음 절차에 따라 whereabouts-reconciler 데몬 세트를 배포합니다.

프로세스

  1. 다음 명령을 실행하여 Network.operator.openshift.io CR(사용자 정의 리소스)을 편집합니다. 

    $ oc edit network.operator.openshift.io cluster
    Copy to Clipboard Toggle word wrap

  2. 이 예제 YAML 추출물에 표시된 additionalNetworks 섹션을 사용자 정의 리소스(CR)의 사양 정의에 포함합니다. 

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
# ...
spec:
  additionalNetworks:
  - name: whereabouts-shim
    namespace: default
    rawCNIConfig: |-
      {
       "name": "whereabouts-shim",
       "cniVersion": "0.3.1",
       "type": "bridge",
       "ipam": {
         "type": "whereabouts"
       }
      }
    type: Raw
# ...
    Copy to Clipboard Toggle word wrap
  3. 파일을 저장하고 텍스트 편집기를 종료합니다.

  4. 다음 명령을 실행하여 whereabouts-reconciler 데몬 세트가 성공적으로 배포되었는지 확인하세요. 

    $ oc get all -n openshift-multus | grep whereabouts-reconciler
    Copy to Clipboard Toggle word wrap

    출력 예

    pod/whereabouts-reconciler-jnp6g 1/1 Running 0 6s
pod/whereabouts-reconciler-k76gg 1/1 Running 0 6s
daemonset.apps/whereabouts-reconciler 6 6 6 6 6 kubernetes.io/os=linux 6s
    Copy to Clipboard Toggle word wrap

3.7.1.5. Whereabouts IP 조정자 일정 구성
링크 복사

Whereabouts IPAM CNI 플러그인은 IP 조정기를 매일 실행합니다. 이 프로세스는 IP 소진을 초래할 수 있는 고립된 IP 할당을 정리하여 새로운 포드에 IP가 할당되는 것을 방지합니다.

이 절차를 사용하여 IP 조정기가 실행되는 빈도를 변경합니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
  • whereabouts-reconciler 데몬 세트를 배포했고, whereabouts-reconciler 포드가 작동하여 실행 중입니다.

프로세스

  1. IP 조정자에 대한 특정 Cron 표현식을 사용하여 openshift-multus 네임스페이스에 whereabouts-config라는 이름의 ConfigMap 객체를 생성하려면 다음 명령을 실행하세요. 

    $ oc create configmap whereabouts-config -n openshift-multus --from-literal=reconciler_cron_expression="*/15 * * * *"
    Copy to Clipboard Toggle word wrap

    이 cron 표현식은 IP 조정자가 15분마다 실행됨을 나타냅니다. 귀하의 구체적인 요구 사항에 맞게 표현을 조정하세요.

    참고

    위치 조정자 데몬 세트는 별표 5개가 포함된 cron 표현식 패턴만 사용할 수 있습니다. 초를 나타내는 여섯 번째는 현재 지원되지 않습니다.

  2. 다음 명령을 실행하여 openshift-multus 네임스페이스 내의 whereabouts-reconciler 데몬 세트 및 포드와 관련된 리소스에 대한 정보를 검색합니다. 

    $ oc get all -n openshift-multus | grep whereabouts-reconciler
    Copy to Clipboard Toggle word wrap

    출력 예

    pod/whereabouts-reconciler-2p7hw                   1/1     Running   0             4m14s
pod/whereabouts-reconciler-76jk7                   1/1     Running   0             4m14s
daemonset.apps/whereabouts-reconciler          6         6         6       6            6           kubernetes.io/os=linux   4m16s
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 whereabouts-reconciler 포드가 구성된 간격으로 IP 조정기를 실행하는지 확인합니다. 

    $ oc -n openshift-multus logs whereabouts-reconciler-2p7hw
    Copy to Clipboard Toggle word wrap

    출력 예

    2024-02-02T16:33:54Z [debug] event not relevant: "/cron-schedule/..2024_02_02_16_33_54.1375928161": CREATE
2024-02-02T16:33:54Z [debug] event not relevant: "/cron-schedule/..2024_02_02_16_33_54.1375928161": CHMOD
2024-02-02T16:33:54Z [debug] event not relevant: "/cron-schedule/..data_tmp": RENAME
2024-02-02T16:33:54Z [verbose] using expression: */15 * * * *
2024-02-02T16:33:54Z [verbose] configuration updated to file "/cron-schedule/..data". New cron expression: */15 * * * *
2024-02-02T16:33:54Z [verbose] successfully updated CRON configuration id "00c2d1c9-631d-403f-bb86-73ad104a6817" - new cron expression: */15 * * * *
2024-02-02T16:33:54Z [debug] event not relevant: "/cron-schedule/config": CREATE
2024-02-02T16:33:54Z [debug] event not relevant: "/cron-schedule/..2024_02_02_16_26_17.3874177937": REMOVE
2024-02-02T16:45:00Z [verbose] starting reconciler run
2024-02-02T16:45:00Z [debug] NewReconcileLooper - inferred connection data
2024-02-02T16:45:00Z [debug] listing IP pools
2024-02-02T16:45:00Z [debug] no IP addresses to cleanup
2024-02-02T16:45:00Z [verbose] reconciler success
    Copy to Clipboard Toggle word wrap

3.7.1.6. Whereabouts IPAM CNI 플러그인을 위한 빠른 IPAM 구성
링크 복사

Wherabouts는 클러스터 전체 수준에서 IP 주소를 할당하는 IP 주소 관리(IPAM) 컨테이너 네트워크 인터페이스(CNI) 플러그인입니다. Whereabouts에는 DHCP(동적 호스트 구성 프로토콜) 서버가 필요하지 않습니다.

일반적인 Wherabouts 워크플로는 다음과 같습니다.

  1. Whereabouts는 192.168.2.0/24 와 같은 CIDR(Classless Inter-Domain Routing) 표기법의 주소 범위를 사용하고 192.168.2.1 ~ 192.168.2.254 와 같이 해당 범위 내의 IP 주소를 할당합니다.
  2. Whereabouts는 CIDR 범위에서 가장 낮은 값의 주소인 IP 주소를 Pod에 할당하고 해당 Pod의 수명 동안 데이터 저장소에서 IP 주소를 추적합니다.
  3. 포드가 제거되면 Whereabouts는 포드에서 주소를 해제하여 주소를 할당에 사용할 수 있도록 합니다.

특히 클러스터의 노드가 많은 수의 Pod를 실행하는 경우 Whereabouts의 성능을 개선하려면 Fast IPAM 기능을 활성화할 수 있습니다.

중요

Fast IPAM은 기술 미리보기 기능일 뿐입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

Fast IPAM 기능은 Whereabouts Controller에서 관리하는 nodeslicepools를 사용하여 노드의 IP 할당을 최적화합니다.

사전 요구 사항

  • Network.operator.openshift.io 사용자 정의 리소스(CR)에 whereabouts-shim 구성을 추가하여 클러스터 네트워크 운영자(CNO)가 Whereabouts Controller를 배포할 수 있도록 했습니다. "Whereabouts 조정자 데몬 세트 만들기"를 참조하세요.
  • Fast IPAM 기능을 작동시키려면 NetworkAttachmentDefinition (NAD)과 Pod가 동일한 openshift-multus 네임스페이스에 있는지 확인하세요.

프로세스

  1. 다음 명령을 입력하여 Whereabouts Controller가 실행 중인지 확인하세요. 

    $ oc get pods -n openshift-multus | grep controller
    Copy to Clipboard Toggle word wrap

    출력 예

    multus-admission-controller-d89bc96f-gbf7s   2/2     Running   0              6h3m
...
    Copy to Clipboard Toggle word wrap

    중요

    Whereabouts Controller가 실행 중이 아니면 Fast IPAM이 작동하지 않습니다.

  2. 클러스터에 대한 NAD 파일을 만들고 해당 파일에 Fast IPAM 세부 정보를 추가합니다.

    빠른 IPAM 구성을 사용한 NAD 파일 예

    apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: wb-ipam
  namespace: openshift-multus
    1 
    
spec:
  config: {
	"cniVersion": "0.3.0",
	"name": "wb-ipam-cni-name",
    2 
    
	"type": "bridge",
	"bridge": "cni0",
	"ipam": {
  	"type": "whereabouts",
    3 
    
  	"range": "10.5.0.0/20",
    4 
    
  	"node_slice_size": "/24"
    5 
    
    }
  }
# ...
    Copy to Clipboard Toggle word wrap

    1
    CNO가 NAD를 배포하는 네임스페이스입니다.
    2
    Whereabouts IPAM CNI 플러그인의 이름입니다.
    3
    IPAM CNI 플러그인의 유형: whereabouts .
    4
    Whereabouts IPAM CNI 플러그인이 Pod에 IP 주소를 할당하는 데 사용하는 IP 풀의 IP 주소 범위입니다.
    5
    각 노드에서 사용할 수 있는 IP 주소의 슬라이스 크기를 설정합니다.

  3. 포드의 YAML 파일에 Whereabouts IPAM CNI 플러그인 주석 세부 정보를 추가합니다. 

    apiVersion: v1
kind: Pod
metadata:
  name: <pod_name>
    1 
    
  annotations:
  k8s.v1.cni.cncf.io/networks: openshift-multus/wb-ipam
    2 
    
spec:
  containers:
  - name: samplepod
    3 
    
  command: ["/bin/ash", "-c", "trap : TERM INT; sleep infinity & wait"]
    4 
    
  image: alpine
# ...
    Copy to Clipboard Toggle word wrap
    1
    Pod의 이름입니다.
    2
    openshift-multus 네임스페이스에 있는 Whereabouts IPAM CNI 플러그인 이름을 참조하는 주석 세부 정보입니다.
    3
    포드의 컨테이너 이름입니다.
    4
    컨테이너의 진입점을 정의하고 Whereabouts IPAM CNI 플러그인에서 컨테이너의 동작을 제어합니다.

  4. 클러스터에서 실행되는 노드에 있는 Pod에 NAD 파일 구성을 적용합니다. 

    $ oc create -f <NAD_file_name>.yaml
    Copy to Clipboard Toggle word wrap

검증

  1. 다음 명령을 입력하여 포드의 IP 주소 세부 정보를 표시합니다. 

    $ oc describe pod <pod_name>
    Copy to Clipboard Toggle word wrap

    출력 예

    ...
IP:     192.168.2.0
IPs:
  IP:   192.168.2.0
Containers:
  samplepod:
    Container ID:   docker://<image_name>
    Image:          <app_name>:v1
    Image ID:
...
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 입력하여 포드에 액세스하고 해당 인터페이스를 확인하세요. 

    $ oc exec <pod_name> -- ip a
    Copy to Clipboard Toggle word wrap

    출력 예

    ...
3: net1@if23: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue
    link/ether 82:01:98:e5:0c:b7 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.0/24 brd 10.10.0.255 scope global net1
    1 
    
       valid_lft forever preferred_lft forever
    inet6 fe80::8001:98ff:fee5:cb7/64 scope link
       valid_lft forever preferred_lft forever
...
    Copy to Clipboard Toggle word wrap

    1
    예상대로 Pod는 net1 인터페이스의 192.168.2.1 IP 주소에 연결됩니다.

  3. 다음 명령을 입력하여 openshift-multus 네임스페이스에 노드 선택기 풀이 있는지 확인합니다. 예상되는 출력에는 노드 선택기 풀의 이름과 생성 시간(분)이 표시됩니다. 

    $ oc get nodeslicepool -n openshift-multus
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME            AGE
nodeslicepool   32m
    Copy to Clipboard Toggle word wrap

3.7.1.7. 듀얼 스택 IP 주소를 동적으로 할당하기 위한 구성 생성
링크 복사

듀얼 스택 IP 주소 할당은 다음의 경우 ipRanges 매개변수로 구성할 수 있습니다.

  • IPv4 주소
  • IPv6 주소
  • 다중 IP 주소 할당

프로세스

  1. 유형을 whereabouts 로 설정합니다.

  2. 다음 예와 같이 ipRanges를 사용하여 IP 주소를 할당합니다. 

    cniVersion: operator.openshift.io/v1
kind: Network
=metadata:
  name: cluster
spec:
  additionalNetworks:
  - name: whereabouts-shim
    namespace: default
    type: Raw
    rawCNIConfig: |-
      {
       "name": "whereabouts-dual-stack",
       "cniVersion": "0.3.1,
       "type": "bridge",
       "ipam": {
         "type": "whereabouts",
         "ipRanges": [
                  {"range": "192.168.10.0/24"},
                  {"range": "2001:db8::/64"}
              ]
       }
      }
    Copy to Clipboard Toggle word wrap
  3. 네트워크를 포드에 연결합니다. 자세한 내용은 "보조 네트워크에 포드 추가"를 참조하세요.
  4. 모든 IP 주소가 할당되었는지 확인하세요.

  5. 다음 명령을 실행하여 IP 주소가 메타데이터로 할당되었는지 확인하세요. 

    $ oc exec -it mypod -- ip a
    Copy to Clipboard Toggle word wrap

3.8. 컨테이너 네트워크 네임스페이스에서 마스터 인터페이스 구성
링크 복사

다음 섹션에서는 마스터 인터페이스를 기반으로 MAC-VLAN, IP-VLAN 및 VLAN 하위 인터페이스를 생성하고 관리하는 방법에 대한 지침과 정보를 제공합니다.

컨테이너 네임스페이스에 있는 마스터 인터페이스를 기반으로 MAC-VLAN, IP-VLAN 또는 VLAN 하위 인터페이스를 만들 수 있습니다. 별도의 네트워크 연결 정의 CRD에서 포드 네트워크 구성의 일부로 마스터 인터페이스를 생성할 수도 있습니다.

컨테이너 네임스페이스 마스터 인터페이스를 사용하려면 NetworkAttachmentDefinition CRD의 하위 인터페이스 구성에 있는 linkInContainer 매개변수에 대해 true를 지정해야 합니다.

3.8.1.1. SR-IOV VF에 여러 VLAN 생성
링크 복사

이 기능을 활용하는 예시 사용 사례는 SR-IOV VF를 기반으로 여러 VLAN을 생성하는 것입니다. 이를 위해 먼저 SR-IOV 네트워크를 만든 다음 VLAN 인터페이스에 대한 네트워크 연결을 정의합니다.

다음 예에서는 이 다이어그램에 표시된 설정을 구성하는 방법을 보여줍니다.

그림 3.1. VLAN 생성

VLAN 생성
View larger image
VLAN 생성

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
  • SR-IOV Network Operator가 설치되어 있습니다.

프로세스

  1. 다음 명령을 사용하여 Pod를 배포할 전용 컨테이너 네임스페이스를 만듭니다. 

    $ oc new-project test-namespace
    Copy to Clipboard Toggle word wrap

  2. SR-IOV 노드 정책을 만듭니다.

    1. SriovNetworkNodePolicy 객체를 만든 다음 YAML을 sriov-node-network-policy.yaml 파일에 저장합니다. 

      apiVersion: sriovnetwork.openshift.io/v1
kind: SriovNetworkNodePolicy
metadata:
 name: sriovnic
 namespace: openshift-sriov-network-operator
spec:
 deviceType: netdevice
 isRdma: false
 needVhostNet: true
 nicSelector:
   vendor: "15b3"
      1 
      
   deviceID: "101b"
      2 
      
   rootDevices: ["00:05.0"]
 numVfs: 10
 priority: 99
 resourceName: sriovnic
 nodeSelector:
    feature.node.kubernetes.io/network-sriov.capable: "true"
      Copy to Clipboard Toggle word wrap
      참고

      deviceType: netdevice 설정을 사용한 SR-IOV 네트워크 노드 정책 구성 예는 Mellanox 네트워크 인터페이스 카드(NIC)에 맞게 특별히 제작되었습니다.

      1
      SR-IOV 네트워크 장치의 공급업체 16진수 코드입니다. 값 15b3은 Mellanox NIC와 연결됩니다.
      2
      SR-IOV 네트워크 장치의 16진수 코드입니다.

    2. 다음 명령을 실행하여 YAML을 적용합니다. 

      $ oc apply -f sriov-node-network-policy.yaml
      Copy to Clipboard Toggle word wrap
      참고

      노드를 재부팅해야 하므로 이를 적용하는 데 시간이 걸릴 수 있습니다.

  3. SR-IOV 네트워크를 생성합니다.

    1. 다음 예제 CR과 같이 추가 보조 SR-IOV 네트워크 연결에 대한 SriovNetwork 사용자 지정 리소스(CR)를 만듭니다. YAML을 sriov-network-attachment.yaml 파일로 저장합니다. 

      apiVersion: sriovnetwork.openshift.io/v1
kind: SriovNetwork
metadata:
 name: sriov-network
 namespace: openshift-sriov-network-operator
spec:
 networkNamespace: test-namespace
 resourceName: sriovnic
 spoofChk: "off"
 trust: "on"
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 YAML을 적용합니다. 

      $ oc apply -f sriov-network-attachment.yaml
      Copy to Clipboard Toggle word wrap

  4. VLAN 보조 네트워크를 생성합니다.

    1. 다음 YAML 예제를 사용하여 vlan100-additional-network-configuration.yaml 이라는 파일을 만듭니다. 

      apiVersion: k8s.cni.cncf.io/v1
kind: NetworkAttachmentDefinition
metadata:
  name: vlan-100
  namespace: test-namespace
spec:
  config: |
    {
      "cniVersion": "0.4.0",
      "name": "vlan-100",
      "plugins": [
        {
          "type": "vlan",
          "master": "ext0",
      1 
      
          "mtu": 1500,
          "vlanId": 100,
          "linkInContainer": true,
      2 
      
          "ipam": {"type": "whereabouts", "ipRanges": [{"range": "1.1.1.0/24"}]}
        }
      ]
    }
      Copy to Clipboard Toggle word wrap
      1
      VLAN 구성에서는 마스터 이름을 지정해야 합니다. 이는 Pod 네트워크 주석에서 구성할 수 있습니다.
      2
      linkInContainer 매개변수를 지정해야 합니다.

    2. 다음 명령을 실행하여 YAML 파일을 적용합니다. 

      $ oc apply -f vlan100-additional-network-configuration.yaml
      Copy to Clipboard Toggle word wrap

  5. 이전에 지정한 네트워크를 사용하여 포드 정의를 만듭니다.

    1. 다음 YAML 예제를 사용하여 pod-a.yaml 파일이라는 이름의 파일을 만듭니다.

      참고

      아래 매니페스트에는 2개의 리소스가 포함되어 있습니다.

      • 보안 레이블이 있는 네임스페이스
      • 적절한 네트워크 주석이 포함된 Pod 정의 
      apiVersion: v1
kind: Namespace
metadata:
  name: test-namespace
  labels:
    pod-security.kubernetes.io/enforce: privileged
    pod-security.kubernetes.io/audit: privileged
    pod-security.kubernetes.io/warn: privileged
    security.openshift.io/scc.podSecurityLabelSync: "false"
---
apiVersion: v1
kind: Pod
metadata:
  name: nginx-pod
  namespace: test-namespace
  annotations:
    k8s.v1.cni.cncf.io/networks: '[
      {
        "name": "sriov-network",
        "namespace": "test-namespace",
        "interface": "ext0"
      1 
      
      },
      {
        "name": "vlan-100",
        "namespace": "test-namespace",
        "interface": "ext0.100"
      }
    ]'
spec:
  securityContext:
    runAsNonRoot: true
  containers:
    - name: nginx-container
      image: nginxinc/nginx-unprivileged:latest
      securityContext:
        allowPrivilegeEscalation: false
        capabilities:
          drop: ["ALL"]
      ports:
        - containerPort: 80
      seccompProfile:
        type: "RuntimeDefault"
      Copy to Clipboard Toggle word wrap
      1
      VLAN 인터페이스의 마스터 로 사용될 이름입니다.

    2. 다음 명령을 실행하여 YAML 파일을 적용합니다. 

      $ oc apply -f pod-a.yaml
      Copy to Clipboard Toggle word wrap

  6. 다음 명령을 실행하여 test-namespace 내의 nginx-pod 에 대한 자세한 정보를 얻으세요. 

    $ oc describe pods nginx-pod -n test-namespace
    Copy to Clipboard Toggle word wrap

    출력 예

    Name:         nginx-pod
Namespace:    test-namespace
Priority:     0
Node:         worker-1/10.46.186.105
Start Time:   Mon, 14 Aug 2023 16:23:13 -0400
Labels:       <none>
Annotations:  k8s.ovn.org/pod-networks:
                {"default":{"ip_addresses":["10.131.0.26/23"],"mac_address":"0a:58:0a:83:00:1a","gateway_ips":["10.131.0.1"],"routes":[{"dest":"10.128.0.0...
              k8s.v1.cni.cncf.io/network-status:
                [{
                    "name": "ovn-kubernetes",
                    "interface": "eth0",
                    "ips": [
                        "10.131.0.26"
                    ],
                    "mac": "0a:58:0a:83:00:1a",
                    "default": true,
                    "dns": {}
                },{
                    "name": "test-namespace/sriov-network",
                    "interface": "ext0",
                    "mac": "6e:a7:5e:3f:49:1b",
                    "dns": {},
                    "device-info": {
                        "type": "pci",
                        "version": "1.0.0",
                        "pci": {
                            "pci-address": "0000:d8:00.2"
                        }
                    }
                },{
                    "name": "test-namespace/vlan-100",
                    "interface": "ext0.100",
                    "ips": [
                        "1.1.1.1"
                    ],
                    "mac": "6e:a7:5e:3f:49:1b",
                    "dns": {}
                }]
              k8s.v1.cni.cncf.io/networks:
                [ { "name": "sriov-network", "namespace": "test-namespace", "interface": "ext0" }, { "name": "vlan-100", "namespace": "test-namespace", "i...
              openshift.io/scc: privileged
Status:       Running
IP:           10.131.0.26
IPs:
  IP:  10.131.0.26
    Copy to Clipboard Toggle word wrap

컨테이너 네임스페이스에 있는 브리지 마스터 인터페이스를 기반으로 하위 인터페이스를 만들 수 있습니다. 하위 인터페이스를 만드는 것은 다른 유형의 인터페이스에도 적용될 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 클러스터 관리자 권한이 있는 사용자로 OpenShift Container Platform 클러스터에 로그인했습니다.

프로세스

  1. 다음 명령을 입력하여 Pod를 배포할 전용 컨테이너 네임스페이스를 만듭니다. 

    $ oc new-project test-namespace
    Copy to Clipboard Toggle word wrap

  2. 다음 YAML 예제를 사용하여 bridge-nad.yaml 이라는 브리지 NetworkAttachmentDefinition 사용자 정의 리소스 정의(CRD) 파일을 만듭니다. 

    apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: bridge-network
spec:
  config: '{
    "cniVersion": "0.4.0",
    "name": "bridge-network",
    "type": "bridge",
    "bridge": "br-001",
    "isGateway": true,
    "ipMasq": true,
    "hairpinMode": true,
    "ipam": {
      "type": "host-local",
      "subnet": "10.0.0.0/24",
      "routes": [{"dst": "0.0.0.0/0"}]
    }
  }'
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 NetworkAttachmentDefinition CRD를 OpenShift Container Platform 클러스터에 적용합니다. 

    $ oc apply -f bridge-nad.yaml
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 입력하여 NetworkAttachmentDefinition CRD가 성공적으로 생성되었는지 확인하세요. 예상되는 출력에는 NAD CRD의 이름과 생성 시간(분)이 표시됩니다. 

    $ oc get network-attachment-definitions
    Copy to Clipboard Toggle word wrap

  5. 다음 YAML 예제를 사용하여 IPVLAN 보조 네트워크 구성을 위한 ipvlan-additional-network-configuration.yaml 이라는 파일을 만듭니다. 

    apiVersion: k8s.cni.cncf.io/v1
kind: NetworkAttachmentDefinition
metadata:
  name: ipvlan-net
  namespace: test-namespace
spec:
  config: '{
    "cniVersion": "0.3.1",
    "name": "ipvlan-net",
    "type": "ipvlan",
    "master": "net1",
    1 
    
    "mode": "l3",
    "linkInContainer": true,
    2 
    
    "ipam": {"type": "whereabouts", "ipRanges": [{"range": "10.0.0.0/24"}]}
  }'
    Copy to Clipboard Toggle word wrap
    1
    네트워크 연결과 연결할 이더넷 인터페이스를 지정합니다. 이는 이후 Pod 네트워크 주석에서 구성됩니다.
    2
    마스터 인터페이스가 컨테이너 네트워크 네임스페이스에 있음을 지정합니다.

  6. 다음 명령을 실행하여 YAML 파일을 적용합니다. 

    $ oc apply -f ipvlan-additional-network-configuration.yaml
    Copy to Clipboard Toggle word wrap

  7. 다음 명령을 실행하여 NetworkAttachmentDefinition CRD가 성공적으로 생성되었는지 확인하세요. 예상되는 출력에는 NAD CRD의 이름과 생성 시간(분)이 표시됩니다. 

    $ oc get network-attachment-definitions
    Copy to Clipboard Toggle word wrap

  8. 다음 YAML 예제를 사용하여 pod 정의를 위한 pod-a.yaml 이라는 파일을 만듭니다. 

    apiVersion: v1
kind: Pod
metadata:
  name: pod-a
  namespace: test-namespace
  annotations:
    k8s.v1.cni.cncf.io/networks: '[
      {
        "name": "bridge-network",
        "interface": "net1"
    1 
    
      },
      {
        "name": "ipvlan-net",
        "interface": "net2"
      }
    ]'
spec:
  securityContext:
    runAsNonRoot: true
    seccompProfile:
      type: RuntimeDefault
  containers:
  - name: test-pod
    image: quay.io/openshifttest/hello-sdn@sha256:c89445416459e7adea9a5a416b3365ed3d74f2491beb904d61dc8d1eb89a72a4
    securityContext:
      allowPrivilegeEscalation: false
      capabilities:
        drop: [ALL]
    Copy to Clipboard Toggle word wrap
    1
    IPVLAN 인터페이스의 마스터 로 사용될 이름을 지정합니다.

  9. 다음 명령을 실행하여 YAML 파일을 적용합니다. 

    $ oc apply -f pod-a.yaml
    Copy to Clipboard Toggle word wrap

  10. 다음 명령을 사용하여 Pod가 실행 중인지 확인하세요. 

    $ oc get pod -n test-namespace
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME    READY   STATUS    RESTARTS   AGE
pod-a   1/1     Running   0          2m36s
    Copy to Clipboard Toggle word wrap

  11. 다음 명령을 실행하여 test-namespace 내의 pod-a 리소스에 대한 네트워크 인터페이스 정보를 표시합니다. 

    $ oc exec -n test-namespace pod-a -- ip a
    Copy to Clipboard Toggle word wrap

    출력 예

    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
3: eth0@if105: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc noqueue state UP group default
    link/ether 0a:58:0a:d9:00:5d brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.217.0.93/23 brd 10.217.1.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::488b:91ff:fe84:a94b/64 scope link
       valid_lft forever preferred_lft forever
4: net1@if107: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether be:da:bd:7e:f4:37 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.0.0.2/24 brd 10.0.0.255 scope global net1
       valid_lft forever preferred_lft forever
    inet6 fe80::bcda:bdff:fe7e:f437/64 scope link
       valid_lft forever preferred_lft forever
5: net2@net1: <BROADCAST,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default
    link/ether be:da:bd:7e:f4:37 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global net2
       valid_lft forever preferred_lft forever
    inet6 fe80::beda:bd00:17e:f437/64 scope link
       valid_lft forever preferred_lft forever
    Copy to Clipboard Toggle word wrap

    이 출력은 네트워크 인터페이스 net2가 물리적 인터페이스 net1 과 연결되어 있음을 보여줍니다.

3.9. 추가 네트워크 제거
링크 복사

클러스터 관리자는 추가 네트워크의 연결을 제거할 수 있습니다.

3.9.1. 보조 네트워크 연결 정의 제거
링크 복사

클러스터 관리자는 OpenShift Container Platform 클러스터에서 보조 네트워크를 제거할 수 있습니다. 보조 네트워크는 연결된 모든 포드에서 제거되지 않습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

클러스터에서 보조 네트워크를 제거하려면 다음 단계를 완료하세요.

  1. 다음 명령을 실행하여 기본 텍스트 편집기에서 CNO(Cluster Network Operator)를 편집합니다. 

    $ oc edit networks.operator.openshift.io cluster
    Copy to Clipboard Toggle word wrap

  2. 제거하려는 보조 네트워크에 대한 additionalNetworks 컬렉션에서 CNO가 생성한 구성을 제거하여 CR을 수정합니다. 

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  additionalNetworks: []
    1
    Copy to Clipboard Toggle word wrap
    1
    additionalNetworks 컬렉션에서 유일한 추가 네트워크 첨부 파일 정의에 대한 구성 매핑을 제거하는 경우 빈 컬렉션을 지정해야 합니다.

  3. 클러스터의 네트워크에서 네트워크 연결 정의를 제거하려면 다음 명령을 입력하세요. 

    $ oc delete net-attach-def <name_of_NAD>
    1
    Copy to Clipboard Toggle word wrap
    1
    <name_of_NAD>를 네트워크 연결 정의의 이름으로 바꾸세요.
  4. 변경 사항을 저장하고 텍스트 편집기를 종료하여 변경 사항을 커밋합니다.

  5. 선택 사항: 다음 명령을 실행하여 보조 네트워크 CR이 삭제되었는지 확인하세요. 

    $ oc get network-attachment-definition --all-namespaces
    Copy to Clipboard Toggle word wrap

4장. 가상 라우팅 및 전달
링크 복사

4.1. 가상 라우팅 및 전달 정보
링크 복사

IP 규칙과 결합된 가상 라우팅 및 전달(VRF) 장치는 가상 라우팅 및 전달 도메인을 생성하는 기능을 제공합니다. VRF는 CNF에 필요한 권한 수를 줄이고 보조 네트워크의 네트워크 토폴로지의 가시성을 증대시킵니다. VRF는 예를 들어 각 테넌트마다 고유한 라우팅 테이블이 있고 다른 기본 게이트웨이가 필요한 멀티 테넌시 기능을 제공하는 데 사용됩니다.

프로세스는 소켓을 VRF 장치에 바인딩할 수 있습니다. 바인딩된 소켓을 통한 패킷은 VRF 장치와 연결된 라우팅 테이블을 사용합니다. VRF의 중요한 기능은 OSI 모델 레이어 3 트래픽 및 LLDP와 같은 L2 도구에만 영향을 미치지 않는다는 것입니다. 이를 통해 정책 기반 라우팅과 같은 우선순위가 높은 IP 규칙이 특정 트래픽을 지시하는 VRF 장치 규칙보다 우선합니다.

4.1.1. 통신 운영자의 포드에 대한 보조 네트워크 이점
링크 복사

통신사용 사례에서 각 CNF는 동일한 주소 공간을 공유하는 여러 다른 네트워크에 잠재적으로 연결할 수 있습니다. 이러한 보조 네트워크는 클러스터의 기본 네트워크 CIDR과 잠재적으로 충돌할 수 있습니다. CNI VRF 플러그인을 사용하여 네트워크 기능은 동일한 IP 주소를 사용하여 다른 고객의 인프라에 연결할 수 있으며 서로 다른 고객의 분리된 상태를 유지할 수 있습니다. IP 주소는 OpenShift Container Platform IP 공간과 겹치게 됩니다. 또한 CNI VRF 플러그인은 CNF에 필요한 권한 수를 줄이고 보조 네트워크의 네트워크 토폴로지의 가시성을 증대시킵니다.

5장. VRF에 보조 네트워크 할당
링크 복사

클러스터 관리자는 CNI VRF 플러그인을 사용하여 가상 라우팅 및 전달(VRF) 도메인에 대한 보조 네트워크를 구성할 수 있습니다. 이 플러그인이 만드는 가상 네트워크는 사용자가 지정한 물리적 인터페이스와 연결됩니다.

VRF 인스턴스와 함께 보조 네트워크를 사용하면 다음과 같은 이점이 있습니다.

작업 부하 격리
보조 네트워크에 대한 VRF 인스턴스를 구성하여 워크로드 트래픽을 격리합니다.
보안 강화
VRF 도메인의 격리된 네트워크 경로를 통해 보안을 강화합니다.
멀티 테넌시 지원
각 테넌트에 대한 VRF 도메인의 고유한 라우팅 테이블을 사용하여 네트워크 분할을 통해 다중 테넌시를 지원합니다.
참고

VRF를 사용하는 애플리케이션은 특정 장치에 바인딩해야 합니다. 일반적인 사용은 소켓에 SO_BINDTODEVICE 옵션을 사용하는 것입니다. SO_BINDTODEVICE 옵션은 소켓을 전달된 인터페이스 이름(예: eth1) 에 지정된 장치에 바인딩합니다. SO_BINDTODEVICE 옵션을 사용하려면 애플리케이션에 CAP_NET_RAW 기능이 있어야 합니다.

OpenShift Container Platform Pod에서는 ip vrf exec 명령을 통해 VRF를 사용할 수 없습니다. VRF를 사용하려면 애플리케이션을 VRF 인터페이스에 직접 바인딩합니다.

5.1. CNI VRF 플러그인을 사용하여 보조 네트워크 연결 만들기
링크 복사

클러스터 네트워크 운영자(CNO)는 보조 네트워크 정의를 관리합니다. 생성할 추가 네트워크를 지정하면 CNO가 NetworkAttachmentDefinition CR(사용자 정의 리소스)을 자동으로 생성합니다.

참고

CNO가 관리하는 NetworkAttachmentDefinition CR을 편집하지 마십시오. 그렇게 하면 보조 네트워크의 네트워크 트래픽이 중단될 수 있습니다.

CNI VRF 플러그인을 사용하여 보조 네트워크 연결을 생성하려면 다음 절차를 수행하세요.

사전 요구 사항

  • OpenShift Container Platform CLI, oc를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 OpenShift 클러스터에 로그인합니다.

프로세스

  1. 다음 예제 CR과 같이 추가 네트워크 연결을 위한 네트워크 사용자 정의 리소스(CR)를 만들고 보조 네트워크에 대한 rawCNIConfig 구성을 삽입합니다. YAML을 additional-network-attachment.yaml 파일로 저장합니다. 

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  additionalNetworks:
    - name: test-network-1
      namespace: additional-network-1
      type: Raw
      rawCNIConfig: '{
        "cniVersion": "0.3.1",
        "name": "macvlan-vrf",
        "plugins": [
    1 
    
        {
          "type": "macvlan",
          "master": "eth1",
          "ipam": {
              "type": "static",
              "addresses": [
              {
                  "address": "191.168.1.23/24"
              }
              ]
          }
        },
        {
          "type": "vrf",
    2 
    
          "vrfname": "vrf-1",
    3 
    
          "table": 1001
    4 
    
        }]
      }'
    Copy to Clipboard Toggle word wrap
    1
    plugins는 목록이어야 합니다. 목록의 첫 번째 항목은 VRF 네트워크를 기반으로 하는 보조 네트워크여야 합니다. 목록의 두 번째 항목은 VRF 플러그인 구성입니다.
    2
    typevrf로 설정해야 합니다.
    3
    vrfname은 인터페이스가 할당된 VRF의 이름입니다. 포드에 없는 경우 생성됩니다.
    4
    선택 사항: table은 라우팅 테이블 ID입니다. 기본적으로 tableid 매개변수가 사용됩니다. 지정하지 않으면 CNI에서 무료 라우팅 테이블 ID를 VRF에 할당합니다.
    참고

    VRF는 리소스의 유형이 netdevice인 경우에만 올바르게 작동합니다.

  2. Network 리소스를 생성합니다. 

    $ oc create -f additional-network-attachment.yaml
    Copy to Clipboard Toggle word wrap

  3. CNO가 다음 명령을 실행하여 NetworkAttachmentDefinition CR을 생성했는지 확인합니다. <namespace>를 네트워크 연결을 구성할 때 지정한 네임스페이스(예: additional-network-1)로 바꿉니다. 예상되는 출력에는 NAD CR의 이름과 생성 시간(분)이 표시됩니다. 

    $ oc get network-attachment-definitions -n <namespace>
    Copy to Clipboard Toggle word wrap
    참고

    CNO가 CR을 생성하기 전에 지연이 발생할 수 있습니다.

검증

  1. 포드를 생성하고 VRF 인스턴스가 있는 보조 네트워크에 할당합니다.

    1. Pod 리소스를 정의하는 YAML 파일을 만듭니다.

      pod-additional-net.yaml 파일 예시

      apiVersion: v1
kind: Pod
metadata:
 name: pod-additional-net
 annotations:
   k8s.v1.cni.cncf.io/networks: '[
       {
               "name": "test-network-1"
      1 
      
       }
 ]'
spec:
 containers:
 - name: example-pod-1
   command: ["/bin/bash", "-c", "sleep 9000000"]
   image: centos:8
      Copy to Clipboard Toggle word wrap

      1
      VRF 인스턴스를 사용하여 보조 네트워크의 이름을 지정합니다.

    2. 다음 명령을 실행하여 Pod 리소스를 만듭니다. 예상되는 출력에는 Pod 리소스의 이름과 생성 시간(분)이 표시됩니다. 

      $ oc create -f pod-additional-net.yaml
      Copy to Clipboard Toggle word wrap

  2. Pod 네트워크 연결이 VRF 보조 네트워크에 연결되어 있는지 확인하세요. Pod로 원격 세션을 시작하고 다음 명령을 실행합니다. 예상되는 출력에는 VRF 인터페이스의 이름과 라우팅 테이블에서의 고유 ID가 표시됩니다. 

    $ ip vrf show
    Copy to Clipboard Toggle word wrap

  3. VRF 인터페이스가 보조 인터페이스의 컨트롤러인지 확인하세요. 

    $ ip link
    Copy to Clipboard Toggle word wrap

    출력 예

    5: net1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master red state UP mode
    Copy to Clipboard Toggle word wrap

Legal Notice
링크 복사

Copyright © 2025 Red Hat

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat