Red Hat SummitCapitolo 4. Considerazioni sulla rete
Esamina le strategie per reindirizzare il traffico di rete delle applicazioni dopo la migrazione.
4.1. Considerazioni sul DNS
Il dominio DNS del cluster di destinazione è diverso da quello del cluster di origine. Per impostazione predefinita, le applicazioni ottengono i FQDN del cluster di destinazione dopo la migrazione.
Per preservare il dominio DNS di origine delle applicazioni migrate, seleziona una delle due opzioni descritte di seguito.
4.1.1. Isolare il dominio DNS del cluster di destinazione dai client
È possibile consentire alle richieste dei client inviate al dominio DNS del cluster di origine di raggiungere il dominio DNS del cluster di destinazione senza esporre il cluster di destinazione ai client.
Procedura
- Posizionare un componente di rete esterno, come uno strumento di bilanciamento del carico o un proxy inverso, tra i client e il cluster di destinazione.
- Aggiornare il FQDN dell'applicazione sul cluster di origine nel server DNS per restituire l'indirizzo IP del componente di rete esterno.
- Configurare il componente di rete per inviare le richieste ricevute per l'applicazione nel dominio di origine allo strumento di bilanciamento del carico nel dominio del cluster di destinazione.
-
Creare un record DNS jolly per il dominio
*.apps.source.example.comche punti all'indirizzo IP dello strumento di bilanciamento del carico del cluster di origine. - Creare un record DNS per ogni applicazione che punti all'indirizzo IP del componente di rete esterno di fronte al cluster di destinazione. Un record DNS specifico ha una priorità più alta di un record jolly, quindi non sorge alcun conflitto quando l'FQDN dell'applicazione viene risolto.
- Il componente di rete esterno deve terminare tutte le connessioni TLS sicure. Se le connessioni passano attraverso lo strumento di bilanciamento del carico del cluster di destinazione, l'FQDN dell'applicazione di destinazione è esposto al client e si verificano errori di certificato.
- Le applicazioni non devono restituire ai client i link che fanno riferimento al dominio del cluster di destinazione. Altrimenti, alcune parti dell'applicazione potrebbero non caricarsi o funzionare correttamente.
4.1.2. Impostare il cluster di destinazione per accettare il dominio DNS di origine
È possibile impostare il cluster di destinazione per accettare richieste per un'applicazione migrata nel dominio DNS del cluster di origine.
Procedura
Sia per l'accesso HTTP non sicuro che per l'accesso HTTPS sicuro, eseguire i seguenti passaggi:
Creare un percorso nel progetto del cluster di destinazione che sia configurato per accettare richieste indirizzate all'FQDN dell'applicazione nel cluster di origine:
$ oc expose svc <app1-svc> --hostname <app1.apps.source.example.com> \ -n <app1-namespace>Con questo nuovo percorso in funzione, il server accetta qualsiasi richiesta per quel FQDN e la invia ai pod dell'applicazione corrispondenti. Inoltre, quando si esegue la migrazione dell'applicazione, viene creato un altro percorso nel dominio del cluster di destinazione. Le richieste raggiungono l'applicazione migrata usando uno di questi nomi host.
Creare un record DNS con il provider DNS che punti l'FQDN dell'applicazione nel cluster di origine all'indirizzo IP dello strumento di bilanciamento del carico predefinito del cluster di destinazione. In questo modo si reindirizzerà il traffico dal cluster di origine al cluster di destinazione.
L'FQDN dell'applicazione si risolve nello strumento di bilanciamento del carico del cluster di destinazione. Il router del controller di ingresso predefinito accetta le richieste per quel FQDN perché è esposto un percorso per quel nome host.
Per un accesso HTTPS sicuro, eseguire il seguente passaggio aggiuntivo:
- Sostituire il certificato x509 del controller di ingresso predefinito creato durante il processo di installazione con un certificato personalizzato.
Configurare questo certificato in modo da includere i domini DNS jolly per entrambi i cluster di origine e di destinazione nel campo
subjectAltName.Il nuovo certificato è valido per proteggere le connessioni effettuate utilizzando entrambi i domini DNS.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}