ホーム
製品
OpenShift Container Platform
4.20
Ingress and load balancing
1.3.5. ルート固有のアノテーション

1.3.5. ルート固有のアノテーション

Ingress Controller は、公開するすべてのルートのデフォルトオプションを設定できます。個別のルートは、アノテーションに個別の設定を指定して、デフォルトの一部を上書きできます。Red Hat では、ルートアノテーションの Operator 管理ルートへの追加はサポートしません。

重要

複数の送信元 IP またはサブネットを含む許可リストを作成するには、スペースで区切られたリストを使用します。他の区切りタイプを使用すると、リストが警告やエラーメッセージなしに無視されます。

Expand

表1.3 ルートアノテーション
変数	説明
`haproxy.router.openshift.io/balance`	ロードバランシングアルゴリズムを設定します。使用できるオプションは、`random`、`source`、`roundrobin`[¹]、`leastconn` です。デフォルト値は、TLS passthrough ルートの場合、`source` です。他のすべてのルートの場合、デフォルトは `random` です。
`haproxy.router.openshift.io/disable_cookies`	関連の接続を追跡する cookie の使用を無効にします。`'true'` または `'TRUE'` に設定する場合は、分散アルゴリズムを使用して、受信する HTTP 要求ごとに、どのバックエンドが接続を提供するかを選択します。
`router.openshift.io/cookie_name`	このルートに使用するオプションの cookie を指定します。名前は、大文字、小文字、数字、"_" または "-" を任意に組み合わせて指定する必要があります。デフォルトは、ルートのハッシュ化された内部キー名です。
`haproxy.router.openshift.io/pod-concurrent-connections`	ルーターからバッキングされる Pod に対して許容される接続最大数を設定します。注意: Pod が複数ある場合には、それぞれに対応する接続数を設定できます。複数のルーターがある場合は、それらのルーター間で調整は行われず、それぞれがこれに複数回接続する可能性があります。設定されていない場合または 0 に設定されている場合には制限はありません。
`haproxy.router.openshift.io/rate-limit-connections`	`'true'` または `'TRUE'` を設定すると、ルートごとに特定のバックエンドの stick-tables で実装されるレート制限機能が有効になります。注記: このアノテーションを使用すると、サービス拒否攻撃に対する基本的な保護が提供されます。
`haproxy.router.openshift.io/rate-limit-connections.concurrent-tcp`	同じ送信元 IP アドレスで行われる同時 TCP 接続の数を制限します。数値を受け入れます。注記: このアノテーションを使用すると、サービス拒否攻撃に対する基本的な保護が提供されます。
`haproxy.router.openshift.io/rate-limit-connections.rate-http`	同じ送信元 IP アドレスを持つクライアントが HTTP 要求を実行できるレートを制限します。数値を受け入れます。注記: このアノテーションを使用すると、サービス拒否攻撃に対する基本的な保護が提供されます。
`haproxy.router.openshift.io/rate-limit-connections.rate-tcp`	同じ送信元 IP アドレスを持つクライアントが TCP 接続を確立するレートを制限します。数値を受け入れます。
`router.openshift.io/haproxy.health.check.interval`	バックエンドのヘルスチェックの間隔を設定します。(TimeUnits)
`haproxy.router.openshift.io/ip_allowlist`	ルートの許可リストを設定します。許可リストは、承認したソースアドレスの IP アドレスおよび CIDR 範囲のリストをスペース区切りにしたリストです。許可リストに含まれていない IP アドレスからの要求は破棄されます。 `haproxy.config` ファイルで直接表示される IP アドレスと CIDR 範囲の最大数は 61 です [²]。
`haproxy.router.openshift.io/hsts_header`	edge terminated または re-encrypt ルートの Strict-Transport-Security ヘッダーを設定します。
`haproxy.router.openshift.io/rewrite-target`	バックエンドの要求の書き換えパスを設定します。
`router.openshift.io/cookie-same-site`	Cookie を制限するために値を設定します。値は以下のようになります。 `Lax`: ブラウザーは、クロスサイト要求では Cookie を送信しませんが、ユーザーが外部サイトから元のサイトに移動するときに Cookie を送信します。これは、`SameSite` 値が指定されていない場合のブラウザーのデフォルトの動作です。 `Strict`: ブラウザーは、同じサイトのリクエストに対してのみ Cookie を送信します。 `None`: ブラウザーは、クロスサイト要求と同一サイト要求の両方に対して Cookie を送信します。この値は、re-encrypt および edge ルートにのみ適用されます。詳細は、SameSite cookie のドキュメントを参照してください。
`haproxy.router.openshift.io/set-forwarded-headers`	ルートごとに `Forwarded` および `X-Forwarded-For` HTTP ヘッダーを処理するポリシーを設定します。値は以下のようになります。 `append`: ヘッダーを追加し、既存のヘッダーを保持します。これはデフォルト値です。 `replace`: ヘッダーを設定し、既存のヘッダーを削除します。 `never`: ヘッダーを設定しませんが、既存のヘッダーを保持します。 `if-none`: ヘッダーがまだ設定されていない場合にこれを設定します。

デフォルトでは、ルーターは 5 秒ごとにリロードされ、最初から Pod 間の接続のバランスがリセットされます。その結果、roundrobin 状態はリロード間で保持されません。このアルゴリズムは、Pod のコンピューティング能力とストレージ容量がほぼ同じである場合に最適に機能します。たとえば、CI/CD パイプラインの使用により、アプリケーションまたはサービスのエンドポイントが継続的に変更される場合、結果的にバランスが不均一になる可能性があります。その場合は別のアルゴリズムを使用します。
許可リストの IP アドレスと CIDR 範囲の数が 61 を超えると、それらは別のファイルに書き込まれます。これは haproxy.config ファイルから参照されます。このファイルは、/var/lib/haproxy/router/allowlists フォルダーに保存されます。
注記
アドレスが許可リストに書き込まれることを確認するには、CIDR 範囲の完全なリストが Ingress Controller 設定ファイルに記載されていることを確認します。etcd オブジェクトサイズ制限は、ルートアノテーションのサイズを制限します。このため、許可リストに追加できる IP アドレスと CIDR 範囲の最大数のしきい値が作成されます。

特定の IP アドレスを 1 つだけ許可するルート

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.10

ロードバランシングアルゴリズムを leastconn に設定するルート

metadata:
  annotations:
    haproxy.router.openshift.io/balance: leastconn

デフォルトの負荷分散アルゴリズムは ランダム です。

複数の IP アドレスを許可するルート

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.10 192.168.1.11 192.168.1.12

IP アドレスの CIDR ネットワークを許可するルート

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 192.168.1.0/24

IP アドレスと IP アドレスの CIDR ネットワークの両方を許可するルート

metadata:
  annotations:
    haproxy.router.openshift.io/ip_allowlist: 180.5.61.153 192.168.1.0/24 10.0.0.0/8

書き換えターゲットを指定するルート

apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/rewrite-target: /

...

1: バックエンドの要求の書き換えパスとして / を設定します。

ルートに haproxy.router.openshift.io/rewrite-target アノテーションを設定すると、要求をバックエンドアプリケーションに転送する前に Ingress Controller がこのルートを使用して HTTP 要求のパスを書き換える必要があることを指定します。spec.path で指定されたパスに一致する要求パスの一部は、アノテーションで指定された書き換えターゲットに置き換えられます。

以下の表は、spec.path、要求パス、および書き換えターゲットの各種の組み合わせに関するパスの書き換え動作の例を示しています。

Expand

表1.4 rewrite-target の例
Route.spec.path	要求パス	書き換えターゲット	転送された要求パス
/foo	/foo	/	/
/foo	/foo/	/	/
/foo	/foo/bar	/	/bar
/foo	/foo/bar/	/	/bar/
/foo	/foo	/bar	/bar
/foo	/foo/	/bar	/bar/
/foo	/foo/bar	/baz	/baz/bar
/foo	/foo/bar/	/baz	/baz/bar/
/foo/	/foo	/	該当なし (要求パスがルートパスに一致しない)
/foo/	/foo/	/	/
/foo/	/foo/bar	/	/bar

haproxy.router.openshift.io/rewrite-target 内の特定の特殊文字は、適切にエスケープする必要があるため、特別な処理が必要です。これらの文字がどのように処理されるかは、次の表を参照してください。

Expand

表1.5 特殊文字の取り扱い
以下の文字の場合	以下の文字を使用	注記
#	\#	# は書き換え式を終了させるので使用しないでください。
%	% または %%	%%% のような変則的なシーケンスは避けてください。
‘	\’	‘ は無視されるので避けてください。

その他の有効な URL 文字はすべてエスケープせずに使用できます。

1.3.5. ルート固有のアノテーション

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links