ホーム
製品
OpenShift Container Platform
4.20
Configuring network settings
5.2. クラスター全体のプロキシーの有効化

5.2. クラスター全体のプロキシーの有効化

OpenShift Container Platform クラスターでクラスター全体の Egress プロキシーを有効にするには、Proxy オブジェクトを変更して HTTP および HTTPS プロキシー設定を設定し、プロキシーをバイパスするドメインを指定します。

プロキシーが設定されていない状態でクラスターをインストールまたはアップグレードすると、Proxy オブジェクトは生成されますが、その spec が nil になります。以下に例を示します。

apiVersion: config.openshift.io/v1
kind: Proxy
metadata:
  name: cluster
spec:
  trustedCA:
    name: ""
status:

注記

cluster という名前の Proxy オブジェクトのみがサポートされ、追加のプロキシーを作成することはできません。

クラスター管理者は、cluster Proxy オブジェクトを変更することで、OpenShift Container Platform のプロキシーを設定できます。

警告

クラスターのクラスター全体のプロキシー機能を有効にし、Proxy オブジェクトファイルを保存すると、Machine Config Operator (MCO) によってクラスター内のすべてのノードが再起動され、各ノードがクラスターの外部にある接続にアクセスできるようになります。これらのノードを手動で再起動する必要はありません。

前提条件

クラスター管理者の権限がある。
OpenShift Container Platform oc CLI ツールをインストールした。

手順

HTTPS 接続のプロキシーに必要な追加の CA 証明書が含まれる config map を作成します。
注記
プロキシーのアイデンティティー証明書が Red Hat Enterprise Linux CoreOS (RHCOS) トラストバンドルの認証局によって署名されている場合は、この手順をスキップできます。
1. user-ca-bundle.yaml というファイルを作成し、PEM でエンコードされた証明書の値を指定します。
  apiVersion: v1 data: ca-bundle.crt: |
  1
  <MY_PEM_ENCODED_CERTS>
  2
  kind: ConfigMap metadata: name: user-ca-bundle
  3
  namespace: openshift-config
  4
  ここでは、以下のようになります。
  data.ca-bundle.crt
  ca-bundle.crt という名前でなければならないデータキーを指定します。
  <MY_PEM_ENCODED_CERTS>
  プロキシーのアイデンティティー証明書に署名するために使用される、PEM エンコードされた 1 つ以上の X.509 証明書を指定します。
  ユーザー CA バンドル
  Proxy オブジェクトから参照される config map 名を指定します。
  openshift-config
  config map が存在する必要のある名前空間を指定します。
2. 次のコマンドを入力して、user-ca-bundle.yaml ファイルから config map を作成します。
  $ oc create -f user-ca-bundle.yaml
oc edit コマンドを使用して Proxy オブジェクトを変更します。
```
$ oc edit proxy/cluster
```
プロキシーに必要なフィールドを設定します。
```
apiVersion: config.openshift.io/v1
kind: Proxy
metadata:
  name: cluster
spec:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 
```
1
```
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 
```
2
```
  noProxy: example.com 
```
3
```
  readinessEndpoints:
  - http://www.google.com 
```
4
```
  - https://www.google.com
  trustedCA:
    name: user-ca-bundle 
```
5
ここでは、以下のようになります。
httpProxy
クラスター外部からの HTTP 接続を作成する際に使用するプロキシー URL を指定します。URL スキームは http である必要があります。
httpsProxy
クラスター外部で HTTPS 接続を作成する際に使用するプロキシー URL を指定します。URL スキームは http または https である必要があります。URL スキームをサポートするプロキシーの URL を指定します。たとえば、プロキシーが https を使用するように設定されていても、http しかサポートしていない場合、ほとんどのプロキシーはエラーを報告します。このエラーメッセージはログに反映されず、代わりにネットワーク接続エラーのように見える場合があります。クラスターからの https 接続をリッスンするプロキシーを使用する場合は、プロキシーが使用する CA と証明書を受け入れるようにクラスターを設定する必要がある場合があります。
noProxy
プロキシーを除外する宛先ドメイン名、ドメイン、IP アドレス (またはその他のネットワーク CIDR)、およびポート番号をコンマ区切りで指定します。ポート番号は IPv6 アドレスを設定する場合にのみサポートされることに注意してください。IPv4 アドレスを設定する場合、ポート番号はサポートされません。
サブドメインのみと一致するように、ドメインの前に . を付けます。たとえば、.y.com は x.y.com に一致しますが、y.com には一致しません。* を使用し、すべての宛先のプロキシーをバイパスします。
noproxy フィールドにドメインアドレスを含める必要がある場合は、noproxy フィールドにその FQDN または接頭辞が一致するサブドメインを明示的に指定する必要があります。ドメインをカプセル化する IP アドレスまたは CIDR 範囲は使用できません。なぜなら、クラスターは DNS が IP アドレスを返すのを待たずにルート接続を割り当て、実行されているリクエストを明示的にチェックするからです。たとえば、noproxy フィールドに 10.0.0.0/24 などの CIDR ブロック値がある場合、フィールドが https://10.0.0.11 にアクセスしようとすると、アドレスが正常にマッチします。しかし、A レコードのエントリーが 10.0.0.11 である https://exampleserver.externaldomain.com にアクセスしようとすると、失敗します。noproxy フィールドに .externaldomain.com という追加の値が必要です。
インストール設定の networking.machineNetwork[].cidr フィールドで定義されたネットワークに含まれていないコンピュートノードをスケールアップする場合は、接続の問題を防ぐために、そのノードをこのリストに追加する必要があります。
httpProxy または httpsProxy フィールドのいずれも設定されていない場合に、このフィールドは無視されます。
readinessEndpoints
クラスター外部の 1 つ以上の URL を指定し、httpProxy および httpsProxy の 値を status に書き込む前に、準備状況チェックを実行します。
trustedCA
HTTPS 接続のプロキシーに必要な追加の CA 証明書を含む、openshift-config 名前空間内の config map への参照を指定します。ここで参照する前に config map が存在している必要があります。このフィールドは、プロキシーのアイデンティティー証明書が RHCOS 信頼バンドルからの認証局によって署名されない限り必要になります。
変更を適用するためにファイルを保存します。

5.2. クラスター全体のプロキシーの有効化

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links