Red Hat Summit1.8.11. ハブクラスターとマネージドクラスター間のプロキシーの設定
マネージドクラスターを multicluster engine for Kubernetes Operator に登録するには、マネージドクラスターを multicluster engine Operator ハブクラスターに転送する必要があります。場合によっては、マネージドクラスターが multicluster engine Operator ハブクラスターに直接アクセスできないことがあります。この例では、マネージドクラスターからの通信が HTTP または HTTPS プロキシーサーバー経由で multicluster engine Operator ハブクラスターにアクセスできるようにプロキシー設定を指定します。
たとえば、multicluster engine Operator ハブクラスターはパブリッククラウドにあり、マネージドクラスターはファイアウォールで保護されたネットワーク内のプライベートクラウド環境にあります。プライベートクラウドからの通信は、HTTP または HTTPS プロキシーサーバーのみを経由できます。
前提条件
- HTTP トンネルをサポートするアクティブな HTTP または HTTPS プロキシーサーバーがある。(例: HTTP connect メソッド)
- HTTP または HTTPS プロキシーサーバーに到達できるマネージドクラスターがあり、プロキシーサーバーが multicluster engine Operator ハブクラスターにアクセスできる。
ハブクラスターとマネージドクラスター間のプロキシー設定を行うには、次の手順を実行します。
HTTP または HTTPS プロキシー設定を使用して
KlusterConfigリソースを作成します。HTTP プロキシー設定を使用するには、次の YAML サンプルをリソースに適用します。
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: http-proxy spec: hubKubeAPIServerConfig: proxyURL: "http://<username>:<password>@<ip>:<port>"HTTPS プロキシーには認証局 (CA) バンドルが必要です。必要な認証局バンドルが定義されている HTTPS プロキシーの
KlusterConfigリソースを作成するには、次のコマンドを実行します。oc create -n <configmap-namespace> configmap <configmap-name> --from-file=ca.crt=/path/to/ca/fileCA バンドルが、HTTPS プロキシーを含む 1 つまたは複数の CA 証明書を含む config map を参照する次の設定を参照してください。
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: https-proxy spec: hubKubeAPIServerConfig: proxyURL: "https://<username>:<password>@<ip>:<port>" trustedCABundles: - name: "proxy-ca-bundle" caBundle: name: <configmap-name> namespace: <configmap-namespace>マネージドクラスターの作成時に、
KlusterletConfigリソースを参照するアノテーションを追加して、KlusterletConfigリソースを選択します。以下の例を参照してください。apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: annotations: agent.open-cluster-management.io/klusterlet-config: <klusterlet-config-name> name:<managed-cluster-name> spec: hubAcceptsClient: true leaseDurationSeconds: 60注記:
-
multicluster engine Operator コンソールで操作する場合、YAML ビューを切り替えて、
ManagedClusterリソースにアノテーションを追加することが必要になる場合があります。 -
グローバルの
KlusterletConfigを使用して、バインドにアノテーションを使用せずにすべてのマネージドクラスターで設定を有効化できます。
-
multicluster engine Operator コンソールで操作する場合、YAML ビューを切り替えて、
1.8.11.1. ハブクラスターとマネージドクラスター間のプロキシーの無効化
開発が変更された場合は、HTTP または HTTPS プロキシーを無効にする必要がある場合があります。以下の手順を実行します。
-
ManagedClusterリソースに移動します。 -
agent.open-cluster-management.io/klusterlet-configアノテーションを削除します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}