Red Hat Summit第24章 クラスター全体のプロキシーの設定
実稼働環境では、インターネットへの直接アクセスを拒否し、代わりに HTTP または HTTPS プロキシーを使用することができます。既存クラスターのプロキシーオブジェクトを変更 するか、または新規クラスターの install-config.yaml ファイルでプロキシー設定を行うことにより、OpenShift Container Platform をプロキシーを使用するように設定できます。
サポートされているプラットフォームでクラスターのクラスター全体の egress プロキシーを有効にすると、Red Hat Enterprise Linux CoreOS (RHCOS)は status.noProxy パラメーターに、サポートされているプラットフォームに存在する install-config.yaml ファイルの networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr、および networking.serviceNetwork[] フィールドの値を設定します。
インストール後のタスクとして、networking.clusterNetwork[].cidr 値を変更できますが、networking.machineNetwork[].cidr および networking.serviceNetwork[] の値は変更できません。詳細については、クラスターネットワーク範囲の設定を参照してください。
Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure、および Red Hat OpenStack Platform (RHOSP)へのインストールの場合、status.noProxy パラメーターにもインスタンスメタデータのエンドポイント 169.254.169.254 が設定されます。
RHCOS によって プロキシー オブジェクトの status: セグメントに追加された値の例
apiVersion: config.openshift.io/v1 kind: Proxy metadata: name: cluster # ... networking: clusterNetwork: 1 - cidr: <ip_address_from_cidr> hostPrefix: 23 network type: OVNKubernetes machineNetwork: 2 - cidr: <ip_address_from_cidr> serviceNetwork: 3 - 172.30.0.0/16 # ... status: noProxy: - localhost - .cluster.local - .svc - 127.0.0.1 - <api_server_internal_url> 4 # ...
- 1
- Pod IP アドレスの割り当て元となる IP アドレスブロックを指定します。デフォルト値は
10.128.0.0/14で、ホストの接頭辞は/23です。 - 2
- マシンの IP アドレスブロックを指定します。デフォルト値は
10.0.0.0/16です。 - 3
- サービスの IP アドレスブロックを指定します。デフォルト値は
172.30.0.0/16です。 - 4
oc get infrastructures.config.openshift.io cluster -o jsonpath='{.status.etcdDiscoveryDomain}'コマンドを実行して、内部 API サーバーの URL を確認できます。
使用しているインストールタイプに networking.machineNetwork[].cidr フィールドの設定が含まれていない場合は、ノード間のトラフィックがプロキシーをバイパスできるようにするために、.status.noProxy フィールドにマシンの IP アドレスを手動で含める必要があります。
24.1. 前提条件
クラスターがアクセスする必要のあるサイト を確認し、プロキシーをバイパスする必要があるかどうかを判断します。デフォルトで、すべてのクラスターシステムの Egress トラフィック (クラスターをホストするクラウドのクラウドプロバイダー API に対する呼び出しを含む) はプロキシーされます。システム全体のプロキシーは、ユーザーのワークロードではなく、システムコンポーネントにのみ影響します。必要に応じて、プロキシーをバイパスするために Proxy オブジェクトの spec.noProxy パラメーターにサイトを追加します。
