Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

ネットワーク

Red Hat build of MicroShift 4.13

クラスターネットワークの設定および管理

Red Hat OpenShift Documentation Team

概要

このドキュメントでは、DNS、ingress、Pod ネットワークなど、MicroShift クラスターネットワークを設定および管理する手順を説明します。

第1章 ネットワーク設定について

ネットワークのカスタマイズとデフォルト設定を Red Hat build of MicroShift デプロイメントに適用する方法を学びます。各ノードは単一のマシンと単一の Red Hat build of MicroShift に含まれているため、デプロイごとに個別の構成、Pod、および設定が必要です。

クラスター管理者は、クラスターで実行されるアプリケーションを外部トラフィックに公開し、ネットワーク接続のセキュリティーを保護するための複数のオプションがあります。

  • NodePort などのサービス
  • IngressRoute などの API リソース

デフォルトで、Kubernetes は各 Pod に、Pod 内で実行しているアプリケーションの内部 IP アドレスを割り当てます。Pod とそのコンテナーの間にはトラフィックを配置できますが、NodePort などのサービスで公開されている場合を除き、クラスター外のクライアントは Pod に直接ネットワークアクセスできません。

注記

NodePort サービスの接続問題のトラブルシューティングを行うには、リリースノートの既知の問題を読みください。

1.1. OVN-Kubernetes ネットワークプラグインについて

OVN-Kubernetes は、Red Hat build of MicroShift デプロイメントのデフォルトのネットワークソリューションです。OVN-Kubernetes は、Open Virtual Network (OVN) に基づく Pod およびサービス用の仮想化ネットワークです。OVN-Kubernetes Container Network Interface (CNI) プラグインは、クラスターのネットワークプラグインです。OVN-Kubernetes ネットワークプラグインを使用するクラスターは、ノードで Open vSwitch (OVS) も実行します。OVN は、宣言ネットワーク設定を実装するようにノードで OVS を設定します。

1.1.1. ネットワークトポロジー

OVN-Kubernetes は、オーバーレイベースのネットワーク実装を提供します。このオーバーレイには、Service および NetworkPolicy の OVS ベースの実装が含まれています。オーバーレイネットワークは、Geneve (Generic Network Virtualization Encapsulation) トンネルプロトコルを使用します。Geneve トンネルの Pod 最大送信単位 (MTU) は、ホスト上の物理インターフェイスの MTU よりも小さい値に設定されます。この小さい MTU により、送信前にトンネルヘッダーに追加される必要な情報のためのスペースが確保されます。

OVS は Red Hat build of MicroShift ノードで systemd サービスとして実行します。OVS RPM パッケージは、microshift-networking RPM パッケージへの依存関係としてインストールされます。OVS は、microshift-networking RPM がインストールされるとすぐに開始します。

Red Hat build of MicroShift ネットワークトポロジー

317 RHbM OVN topology 0323

1.1.1.1. 仮想化ネットワークの OVN 論理コンポーネントの説明
OVN ノードスイッチ

<node-name> という名前の仮想スイッチ。OVN ノードスイッチの名前は、ノードのホスト名に基づいて付けられます。

  • この例では、node-namemicroshift-dev です。
OVN クラスタールーター

ovn_cluster_router という名前の仮想ルーター。分散ルーターとも呼ばれます。

  • この例では、クラスターネットワークは 10.42.0.0/16 です。
OVN 参加スイッチ
join という名前の仮想スイッチ。
OVN ゲートウェイルーター
GR_<node-name> という名前の仮想ルーター。外部ゲートウェイルーターとも呼ばれます。
OVN 外部スイッチ
ext_<node-name> という名前の仮想スイッチ。
1.1.1.2. ネットワークトポロジー図の接続の説明
  • ネットワークサービスデバイス enp1s0 と OVN 外部スイッチ ext_microshift-dev の間の North-South トラフィックは、ゲートウェイブリッジ br-ex によって OVS パッチポートを介して提供されます。
  • OVN ゲートウェイルーター GR_microshift-dev は、論理ルーターポート 4 を介して外部ネットワークスイッチ ext_microshift-dev に接続しています。ポート 4 にはノード IP アドレス 192.168.122.14 が割り当てられます。

  • 参加スイッチ join は、OVN ゲートウェイルーター GR_microshift-dev を OVN クラスタールーター ovn_cluster_router に接続します。IP アドレス範囲は 100.62.0.0/16 です。

    • OVN ゲートウェイルーター GR_microshift-dev は、論理ルーターポート 3 を介して OVN 参加スイッチ join に接続します。ポート 3 は内部 IP アドレス 100.64.0.2 に接続します。
    • OVN クラスタールーター ovn_cluster_router は、論理ルーターポート 2 を介して 参加スイッチ join に接続します。ポート 2 は内部 IP アドレス 100.64.0.1 に接続します。
  • OVN クラスタールーター ovn_cluster_router は、論理ルーターポート 1 を介してノードスイッチ microshift-dev に接続します。ポート 1 には、OVN クラスターネットワーク IP アドレス 10.42.0.1 が割り当てられます。
  • Pod とネットワークサービス間の East-West トラフィックは、OVN クラスタールーター ovn_cluster_router とノードスイッチ microshift-dev によって提供されます。IP アドレス範囲は 10.42.0.0/24 です。
  • Pod 間の East-West トラフィックは、ネットワークアドレス変換 (NAT) を使用せずに、ノードスイッチ microshift-dev によって提供されます。
  • Pod と外部ネットワーク間の North-South トラフィックは、OVN クラスタールーター ovn_cluster_router とホストネットワークによって提供されます。このルーターは、ovn-kubernetes 管理ポート ovn-k8s-mp0 を介して、IP アドレス 10.42.0.2 で接続しています。

  • すべての Pod は、インターフェイスを介して OVN ノードスイッチに接続します。

    • この例では、Pod 1 と Pod 2 は、Interface 1Interface 2 を介してノードスイッチに接続しています。

1.1.2. IP 転送

ホストネットワーク sysctl net.ipv4.ip_forward カーネルパラメーターは、起動時に ovnkube-master コンテナーによって自動的に有効になります。これは、着信トラフィックを CNI に転送するために必要です。たとえば、ip_forward が無効になっている場合は、クラスターの外部から NodePort サービスにアクセスすると失敗します。

1.1.3. ネットワークパフォーマンスの最適化

デフォルトでは、リソース消費を最小限に抑えるために、OVS サービスに 3 つのパフォーマンス最適化が適用されます。

  • ovs-vswitchd.service および ovsdb-server.service への CPU アフィニティー
  • no-mlockall から openvswitch.service
  • ハンドラーと revalidator のスレッドを ovs-vswitchd.service に限定

1.1.4. ネットワーク機能

Red Hat build of MicroShift 4.13 で利用可能なネットワーク機能には、以下があります。

  • Kubernetes ネットワークポリシー
  • 動的ノード IP
  • 指定されたホストインターフェイス上のクラスターネットワーク

Red Hat build of MicroShift 4.13 で利用できないネットワーク機能には、以下があります。

  • Egress IP/ファイアウォール/QOS: 無効
  • ハイブリッドネットワーク: サポートなし
  • IPsec: サポートなし
  • ハードウェアオフロード: サポートなし

1.1.5. Red Hat build of MicroShift ネットワーキングコンポーネントとサービス

この簡単な概要では、Red Hat build of MicroShift でのネットワークコンポーネントとその操作を説明します。microshift-networking RPM は、ネットワーク関連の依存関係と systemd サービスを自動的に取り込み、ネットワークを初期化するパッケージです (microshift-ovs-init systemd サービスなど)。

NetworkManager
NetworkManager は、Red Hat build of MicroShift ノードで初期ゲートウェイブリッジを設定するのに必要です。NetworkManager および NetworkManager-ovs RPM パッケージは、必要な設定ファイルを含む microshift-networking RPM パッケージへの依存関係としてインストールされます。Red Hat build of MicroShift の NetworkManager は keyfile プラグインを使用し、microshift-networking RPM パッケージのインストール後に再起動します。
microshift-ovs-init
microshift-ovs-init.service は、microshift.service に依存する systemd サービスとして、microshift-networking RPM パッケージによりインストールされます。OVS ゲートウェイブリッジを設定します。
OVN コンテナー

2 つの OVN-Kubernetes デーモンセットが Red Hat build of MicroShift によってレンダリングおよび適用されます。

  • ovnkube-master northdnbdbsbdb、および ovnkube-master コンテナーが含まれます。

  • ovnkube-node ovnkube-node には、OVN-Controller コンテナーが含まれています。

    Red Hat build of MicroShift の起動後、OVN-Kubernetes デーモンセットが openshift-ovn-kubernetes namespace にデプロイされます。

パッケージ

OVN-Kubernetes マニフェストと起動ロジックは Red Hat build of MicroShift に組み込まれています。microshift-networking RPM に含まれる systemd サービスと設定は次のとおりです。

  • NetworkManager.service の /etc/NetworkManager/conf.d/microshift-nm.conf
  • ovs-vswitchd.service の /etc/systemd/system/ovs-vswitchd.service.d/microshift-cpuaffinity.conf
  • /etc/systemd/system/ovsdb-server.service.d/microshift-cpuaffinity.conf
  • microshift-ovs-init.service の /usr/bin/configure-ovs-microshift.sh
  • microshift-ovs-init.service の /usr/bin/configure-ovs.sh
  • CRI-O サービスの /etc/crio/crio.conf.d/microshift-ovn.conf

1.1.6. ブリッジマッピング

ブリッジマッピングにより、プロバイダーネットワークのトラフィックは、物理ネットワークに到達することが可能となります。トラフィックはプロバイダーネットワークから出て、br-int ブリッジに到達します。br-intbr-ex の間のパッチポートは、トラフィックがプロバイダーネットワークとエッジネットワークを通信できるようにします。Kubernetes Pod は、仮想イーサネットペアを介して br-int ブリッジに接続されます。仮想イーサネットペアの一端は Pod の namespace に接続され、他端は br-int ブリッジに接続されます。

1.1.6.1. プライマリーゲートウェイインターフェイス

ovn.yaml 設定ファイルで、目的のホストインターフェイス名を gatewayInterface として指定できます。指定されたインターフェイスは、CNI ネットワークのゲートウェイブリッジとして機能する OVS ブリッジ br-ex に追加されます。

1.2. OVN-Kubernetes 設定ファイルの作成

OVN-Kubernetes 設定ファイルが作成されていないと、Red Hat build of MicroShift は組み込みのデフォルト OVN-Kubernetes 値を使用します。OVN-Kubernetes 設定ファイルを /etc/microshift/ovn.yaml に書き込むことができます。設定用のサンプルファイルが提供されています。

手順

  1. ovn.yaml ファイルを作成するには、次のコマンドを実行します。 

    $ sudo cp /etc/microshift/ovn.yaml.default /etc/microshift/ovn.yaml

  2. 作成した設定ファイルの内容を一覧表示するには、次のコマンドを実行します。 

    $ cat /etc/microshift/ovn.yaml.default

    デフォルト値を含む yaml 設定ファイルの例

    ovsInit:
  disableOVSInit: false
  gatewayInterface: "" 1
mtu: 1400

    1
    デフォルト値は、未指定を意味する空の文字列です。CNI ネットワークプラグインは、デフォルトの経路とのインターフェイスを自動検出します。

  3. 設定をカスタマイズするには、使用できる有効な値を一覧表示した次の表を使用します。

    表1.1 サポート対象の Red Hat build of MicroShift の OVN-Kubernetes 設定 (任意)
    フィールドデフォルト説明

    ovsInit.disableOVSInit

    bool

    false

    microshift-ovs-init.service における OVS ブリッジの br-ex 設定をスキップします

    true [1]

    ovsInit.gatewayInterface

    Alpha

    eth0

    API ゲートウェイである Ingress

    eth0

    mtu

    uint32

    auto

    Pod に使用される MTU 値

    1300

    1. OVS ブリッジが必要です。disableOVSInit が true の場合は、OVS ブリッジ br-ex を手動で設定する必要があります。

      重要

      ovn.yaml ファイルの mtu 設定値を変更した場合に、更新された設定を適用するには、Red Hat build of MicroShift が実行しているホストを再起動する必要があります。

カスタム ovn.yaml 設定ファイルの例

ovsInit:
  disableOVSInit: true
  gatewayInterface: eth0
mtu: 1300

重要

ovn.yaml 設定ファイルで disableOVSInit が true に設定されている場合は、br-ex OVS ブリッジを手動で設定する必要があります。

1.3. ovnkube-master Pod の再起動

次の手順で ovnkube-master Pod を再起動します。

前提条件

  • OpenShift CLI (oc) がインストールされている。
  • cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。
  • インフラストラクチャーにインストールされたクラスターが OVN-Kubernetes ネットワークプラグインで設定されている。
  • KUBECONFIG 環境変数が設定されている。

手順

次の手順を使用して、ovnkube-master Pod を再起動します。

  1. 次のコマンドを実行して、リモートクラスターにアクセスします。 

    $ export KUBECONFIG=$PWD/kubeconfig

  2. 次のコマンドを実行して、再起動する ovnkube-master Pod の名前を見つけます。 

    $ pod=$(oc get pods -n openshift-ovn-kubernetes | awk -F " " '/ovnkube-master/{print $1}')

  3. 次のコマンドを実行して、ovnkube-master Pod を削除します。 

    $ oc -n openshift-ovn-kubernetes delete pod $pod

  4. 次のコマンドを使用して、新しい ovnkube-master Pod が実行されていることを確認します。 

    $ oc get pods -n openshift-ovn-kubernetes

    実行中の Pod のリストには、新しい ovnkube-master Pod の名前と経過時間が表示されます。

1.4. HTTP(S) プロキシーの背後への Red Hat build of MicroShift のデプロイ

基本的な匿名性とセキュリティー対策を Pod に追加する場合は、HTTP(S) プロキシーの背後に Red Hat build of MicroShift クラスターをデプロイします。

プロキシーの背後に Red Hat build of MicroShift をデプロイする場合は、HTTP(S) 要求を開始するすべてのコンポーネントでプロキシーサービスを使用するように、ホストオペレーティングシステムを設定する必要があります。

クラウドサービスへのアクセスなど、Egress トラフィックを伴うユーザー固有のワークロードまたは Pod はすべて、プロキシーを使用するように設定する必要があります。Red Hat build of MicroShift には、出力トラフィックの透過的なプロキシー機能が組み込まれていません。

1.5. RPM-OStree HTTP(S) プロキシーの使用

RPM-OStree で HTTP(S) プロキシーを使用するには、rpm-ostree サービスの http_proxy-ostreed 変数を設定します。

手順

  1. 次のコマンドを実行して、この設定を /etc/systemd/system/rpm-ostreed.service.d/00-proxy.conf ファイルに追加します。 

    Environment="http_proxy=http://$PROXY_USER:$PROXY_PASSWORD@$PROXY_SERVER:$PROXY_PORT/"

  2. 次に、設定をリロードして、サービスを再起動して変更を適用します。

    1. 次のコマンドを実行して、設定をリロードします。 

      $ sudo systemctl daemon-reload

    2. 次のコマンドを実行して、rpm-ostree サービスを再起動します。 

      $ sudo systemctl restart rpm-ostreed.service

1.6. CRI-O コンテナーランタイムでのプロキシーの使用

CRI-O で HTTP(S) プロキシーを使用するには、HTTP_PROXY および HTTPS_PROXY 環境変数を設定する必要があります。NO_PROXY 変数を設定して、ホストのリストをプロキシーから除外することもできます。

手順

  1. 次の設定を /etc/systemd/system/crio.service.d/00-proxy.conf ファイルに追加します。 

    Environment=NO_PROXY="localhost,127.0.0.1"
Environment=HTTP_PROXY="http://$PROXY_USER:$PROXY_PASSWORD@$PROXY_SERVER:$PROXY_PORT/"
Environment=HTTPS_PROXY="http://$PROXY_USER:$PROXY_PASSWORD@$PROXY_SERVER:$PROXY_PORT/"

  2. 設定を再読み込みします。 

    $ sudo systemctl daemon-reload

  3. CRI-O サービスを再起動して設定を適用します。 

    $ sudo systemctl restart crio

1.7. 実行中のクラスターからの OVS インターフェイスのスナップショット取得

スナップショットは、特定の時点における OVS インターフェイスの状態とデータを表します。

手順

  • 実行中の Red Hat build of MicroShift クラスターから OVS インターフェイスのスナップショットを表示するには、次のコマンドを使用します。 
$ sudo ovs-vsctl show

実行中のクラスターでの OVS インターフェイスの例

9d9f5ea2-9d9d-4e34-bbd2-dbac154fdc93
    Bridge br-ex
        Port enp1s0
            Interface enp1s0
                type: system
        Port br-ex
            Interface br-ex
                type: internal
        Port patch-br-ex_localhost.localdomain-to-br-int 1
            Interface patch-br-ex_localhost.localdomain-to-br-int
                type: patch
                options: {peer=patch-br-int-to-br-ex_localhost.localdomain} 2
    Bridge br-int
        fail_mode: secure
        datapath_type: system
        Port patch-br-int-to-br-ex_localhost.localdomain
            Interface patch-br-int-to-br-ex_localhost.localdomain
                type: patch
                options: {peer=patch-br-ex_localhost.localdomain-to-br-int}
        Port eebee1ce5568761
            Interface eebee1ce5568761 3
        Port b47b1995ada84f4
            Interface b47b1995ada84f4 4
        Port "3031f43d67c167f"
            Interface "3031f43d67c167f" 5
        Port br-int
            Interface br-int
                type: internal
        Port ovn-k8s-mp0 6
            Interface ovn-k8s-mp0
                type: internal
    ovs_version: "2.17.3"

1 2
patch-br-ex_localhost.localdomain-to-br-intpatch-br-int-to-br-ex_localhost.localdomain は、br-exbr-int を接続する OVS パッチポートです。
3 4 5
Pod インターフェイス eebee1ce5568761b47b1995ada84f4、および 3031f43d67c167f は、Pod サンドボックス ID の最初の 15 ビットで名前が付けられ、br-int ブリッジにプラグインされます。
6
ヘアピントラフィック用の OVS 内部ポート ovn-k8s-mp0 は、ovnkube-master コンテナーによって作成されます。

1.8. ワークロードのロードバランサーのデプロイ

Red Hat build of MicroShift は、ネットワークロードバランサーの組み込み実装を提供します。次の手順例では、ノード IP アドレスを LoadBalancer サービス設定ファイルの外部 IP アドレスとして使用します。

前提条件

  • OpenShift CLI (oc) がインストールされている。
  • クラスター管理者のロールを持つユーザーとしてクラスターにアクセスできます。
  • OVN-Kubernetes ネットワークプラグインで設定されたインフラストラクチャーにクラスターがインストールされている。
  • KUBECONFIG 環境変数が設定されている。

手順

  1. 次のコマンドを実行して、Pod が実行していることを確認します。 

    $ oc get pods -A

  2. 次のコマンドを実行して、サンプルの名前空間を作成します。 

    $ NAMESPACE=nginx-lb-test
    $ oc create ns $NAMESPACE

  3. 次の例では、テスト nginx アプリケーションの 3 つのレプリカを名前空間にデプロイします。 

    $ oc apply -n $NAMESPACE -f - <<EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: nginx
data:
  headers.conf: |
    add_header X-Server-IP  \$server_addr always;
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - image: quay.io/packit/nginx-unprivileged
        imagePullPolicy: Always
        name: nginx
        ports:
        - containerPort: 8080
        volumeMounts:
        - name: nginx-configs
          subPath: headers.conf
          mountPath: /etc/nginx/conf.d/headers.conf
        securityContext:
          allowPrivilegeEscalation: false
          seccompProfile:
            type: RuntimeDefault
          capabilities:
            drop: ["ALL"]
          runAsNonRoot: true
      volumes:
        - name: nginx-configs
          configMap:
            name: nginx
            items:
              - key: headers.conf
                path: headers.conf
EOF

  4. 次のコマンドを実行すると、3 つのサンプルレプリカが正常に開始したことを確認できます。 

    $ oc get pods -n $NAMESPACE

  5. 次のサンプルコマンドを使用して、nginx テストアプリケーションの LoadBalancer サービスを作成します。 

    $ oc create -n $NAMESPACE -f - <<EOF
apiVersion: v1
kind: Service
metadata:
  name: nginx
spec:
  ports:
  - port: 81
    targetPort: 8080
  selector:
    app: nginx
  type: LoadBalancer
EOF
    注記

    port パラメーターが、他の LoadBalancer サービスまたは Red Hat build of MicroShift コンポーネントによって占有されていないホストポートであることを確認する必要があります。

  6. サービスファイルが存在し、外部 IP アドレスが適切に割り当てられていること、および外部 IP がノード IP と同一であることを確認するには、次のコマンドを実行します。 

    $ oc get svc -n $NAMESPACE

    出力例

    NAME    TYPE           CLUSTER-IP      EXTERNAL-IP     PORT(S)        AGE
nginx   LoadBalancer   10.43.183.104   192.168.1.241   81:32434/TCP   2m

検証

  • 次のコマンドは、LoadBalancer サービス設定の外部 IP アドレスを使用して、例の nginx アプリケーションへの 5 つの接続を形成します。コマンドの結果は、それらのサーバー IP アドレスのリストです。次のコマンドを使用して、ロードバランサーが実行中のすべてのアプリケーションにリクエストを送信していることを確認します。 

    EXTERNAL_IP=192.168.1.241
seq 5 | xargs -Iz curl -s -I http://$EXTERNAL_IP:81 | grep X-Server-IP

    ロードバランサーがトラフィックをアプリケーションに正常に分散している場合、前のコマンドの出力には異なる IP アドレスが含まれます。次に例を示します。

    出力例

    X-Server-IP: 10.42.0.41
X-Server-IP: 10.42.0.41
X-Server-IP: 10.42.0.43
X-Server-IP: 10.42.0.41
X-Server-IP: 10.42.0.43

1.9. 特定のホストインターフェイス上の NodePort サービスへの外部アクセスをブロックする

OVN-Kubernetes は、Red Hat build of MicroShift ノードの外部から NodePort サービスにアクセスできるホストインターフェイスを制限しません。次の手順では、特定のホストインターフェイスで NodePort サービスをブロックし、外部アクセスを制限する方法を説明します。

前提条件

  • root 権限を持つアカウントが必要です。

手順

  1. 次のコマンドを実行して、NODEPORT 変数を Kubernetes NodePort サービスに割り当てられたホストポート番号に変更します。 

    # export NODEPORT=30700

  2. INTERFACE_IP 値を、ブロックするホストインターフェイスの IP アドレスに変更します。以下に例を示します。 

    # export INTERFACE_IP=192.168.150.33

  3. nat テーブル PREROUTING チェーンに新しいルールを挿入して、宛先ポートと IP アドレスに一致するすべてのパケットをドロップします。以下に例を示します。 

    $ sudo nft -a insert rule ip nat PREROUTING tcp dport $NODEPORT ip daddr $INTERFACE_IP drop

  4. 次のコマンドを実行して、新しいルールをリスト表示します。 

    $ sudo nft -a list chain ip nat PREROUTING
table ip nat {
	chain PREROUTING { # handle 1
		type nat hook prerouting priority dstnat; policy accept;
		tcp dport 30700 ip daddr 192.168.150.33 drop # handle 134
		counter packets 108 bytes 18074 jump OVN-KUBE-ETP # handle 116
		counter packets 108 bytes 18074 jump OVN-KUBE-EXTERNALIP # handle 114
		counter packets 108 bytes 18074 jump OVN-KUBE-NODEPORT # handle 112
	}
}
    注記

    新しく追加したルールの handle 番号をメモします。次の手順で handle 番号を削除する必要があります

  5. 次のサンプルコマンドを使用してカスタムルールを削除します。 

    $ sudo nft -a delete rule ip nat PREROUTING handle 134

1.10. マルチキャスト DNS プロトコル

マルチキャスト DNS プロトコル (mDNS) を使用することで、5353/UDP ポートで公開されているマルチキャストを使用した、ローカルエリアネットワーク (LAN) 内で名前解決とサービス検出が可能になります。

Red Hat build of MicroShift には、権威 DNS サーバーを Red Hat build of MicroShift のサービスに対してクライアントを参照するように再設定できないデプロイメントシナリオ向けに、埋め込みの mDNS サーバーが含まれています。埋め込みの DNS サーバーにより、Red Hat build of MicroShift によって公開された .local ドメインが LAN 上の他の要素によって検出されるようになります。

関連情報

第2章 ファイアウォールの使用

Red Hat build of MicroShift ではファイアウォールは必要ありませんが、ファイアウォールを使用すると、Red Hat build of MicroShift への望ましくないアクセスを防ぐことができます。

2.1. ファイアウォールを通過するネットワークトラフィックについて

Firewalld は、バックグラウンドで実行され、接続要求に応答して、動的にカスタマイズ可能なホストベースのファイアウォールを作成するネットワークサービスです。Red Hat build of MicroShift で Red Hat Enterprise Linux (RHEL) for Edge を使用している場合は、firewalld がすでにインストールされているはずなので、それを設定するだけで済みます。詳細は、次の手順で説明します。全体として、firewalld サービスの実行中に次の OVN-Kubernetes トラフィックを明示的に許可する必要があります。

CNI Pod から CNI Pod へ
CNI Pod からホストネットワーク Pod/ホストネットワーク Pod からホストネットワーク Pod
CNI Pod
CNI ネットワークを使用する Kubernetes Pod
ホストネットワーク Pod
ホストネットワークを使用する Kubernetes Pod 次の手順を使用して、firewalld サービスを設定できます。ほとんどの場合、firewalld は {rhel} インストールの一部です。firewalld をお持ちでない場合は、このセクションの簡単な手順でインストールできます。
重要

Red Hat build of MicroShift Pod は、内部 CoreDNS コンポーネントおよび API サーバーにアクセスできる必要があります。

関連情報

2.2. firewalld サービスのインストール

RHEL for Edge を使用している場合は、firewalld をインストールする必要があります。サービスを使用するには、設定を行うだけです。firewalld がない場合で、firewalld を使用したい場合は、次の手順を使用できます。

次の手順を使用して、Red Hat build of MicroShift の firewalld サービスをインストールして実行します。

手順

  1. オプション:以下のコマンドを実行して、システムで firewalld を確認します。 

    $ rpm -q firewalld

  2. firewalld サービスがインストールされていない場合は、次のコマンドを実行します。 

    $ sudo dnf install -y firewalld

  3. ファイアウォールを開始するには、次のコマンドを実行します。 

    $ sudo systemctl enable firewalld --now

2.3. 必要なファイアウォール設定

クラスターネットワークの IP アドレス範囲は、ファイアウォールの設定時に有効にする必要があります。デフォルト値を使用するか、IP アドレス範囲をカスタマイズできます。デフォルトの 10.42.0.0/16 設定からクラスターネットワークの IP アドレス範囲をカスタマイズする場合は、ファイアウォール設定でも同じカスタム範囲を使用する必要があります。

表2.1 ファイアウォールの IP アドレス設定
IP 範囲ファイアウォールルールが必要説明

10.42.0.0/16

いいえ

他の Pod へのホストネットワーク Pod アクセス

169.254.169.1

はい

Red Hat build of MicroShift API サーバーへのホストネットワーク Pod アクセス

ファイアウォール構成に必須の設定コマンドの例を次に示します。

コマンドの例

  • 他の Pod へのホストネットワーク Pod アクセスを設定します。 

    $ sudo firewall-cmd --permanent --zone=trusted --add-source=10.42.0.0/16

  • Red Hat build of MicroShift API などのホストエンドポイントによってバックアップされたサービスへのホストネットワーク Pod アクセスを設定します。 

    $ sudo firewall-cmd --permanent --zone=trusted --add-source=169.254.169.1

2.4. オプションのポート設定の使用

Red Hat build of MicroShift ファイアウォールサービスでは、オプションのポート設定が可能です。

手順

  • カスタマイズされたポートをファイアウォール設定に追加するには、次のコマンド構文を使用します。 

    $ sudo firewall-cmd --permanent --zone=public --add-port=<port number>/<port protocol>
    表2.2 オプションのポート
    ポートプロトコル説明

    80

    TCP

    OpenShift Container Platform ルーターを介してアプリケーションを提供するために使用される HTTP ポート。

    443

    TCP

    OpenShift Container Platform ルーターを介してアプリケーションを提供するために使用される HTTPS ポート。

    5353

    UDP

    OpenShift Container Platform ルート mDNS ホストに応答する mDNS サービス。

    30000-32767

    TCP

    NodePort サービス用に予約されたポート範囲。LAN 上のアプリケーションを公開するために使用できます。

    30000-32767

    UDP

    NodePort サービス用に予約されたポート範囲。LAN 上のアプリケーションを公開するために使用できます。

    6443

    TCP

    Red Hat build of MicroShift API の HTTPS API ポート。

以下は、API サーバーのポート 6443 など、Red Hat build of MicroShift で実行しているサービスへのファイアウォールを介した外部アクセスを必要とする場合に使用されるコマンドの例です。たとえば、ルーターを介して公開されるアプリケーションのポート 80 および 443 です。

コマンドの例

  • Red Hat build of MicroShift API サーバーのポートの設定: 

    $ sudo firewall-cmd --permanent --zone=public --add-port=6443/tcp

  • ルーター経由で公開されるアプリケーションのポートの設定: 

    $ sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
    $ sudo firewall-cmd --permanent --zone=public --add-port=443/tcp

2.5. ファイアウォールを介したネットワークトラフィックを許可します

IP アドレス範囲を設定し、Pod からネットワークゲートウェイを通過する内部トラフィックを許可する DNS サーバーを挿入することで、ファイアウォールを通過するネットワークトラフィックを許可できます。

手順

  1. 次のコマンドのいずれかを使用して、IP アドレス範囲を設定します。

    1. 次のコマンドを実行して、IP アドレス範囲をデフォルト値で設定します。 

      $ sudo firewall-offline-cmd --permanent --zone=trusted --add-source=10.42.0.0/16

    2. 次のコマンドを実行して、カスタム値を使用して IP アドレス範囲を設定します。 

      $ sudo firewall-offline-cmd --permanent --zone=trusted --add-source=<custom IP range>

  2. Pod からの内部トラフィックがネットワークゲートウェイを通過できるようにするには、次のコマンドを実行します。 

    $ sudo firewall-offline-cmd --permanent --zone=trusted --add-source=169.254.169.1

2.5.1. ファイアウォール設定の適用

ファイアウォール設定を適用するには、ステップ 1 だけからなる以下の手順を使用します。

手順

  • ファイアウォールを介したネットワークアクセスの設定が完了したら、次のコマンドを実行してファイアウォールを再起動し、設定を適用します。 
$ sudo firewall-cmd --reload

2.6. ファイアウォール設定の確認

ファイアウォールを再起動したら、設定を一覧表示して確認できます。

手順

  • ポート関連のルールなど、デフォルトのパブリックゾーンに追加されたルールを確認するには、次のコマンドを実行します。 

    $ sudo firewall-cmd --list-all

  • 信頼されたゾーンに追加されたルール (IP 範囲関連のルールなど) を確認するには、次のコマンドを実行します。 

    $ sudo firewall-cmd --zone=trusted --list-all

関連情報

2.7. 既知のファイアウォールの問題

  • ファイアウォールのリロードまたは再起動でトラフィックフローが中断されないようにするには、Red Hat build of MicroShift を開始する前にファイアウォールコマンドを実行します。Red Hat build of MicroShift の CNI ドライバーは、NodePort サービスを使用するトラフィックフローなど、一部のトラフィックフローに対して iptable ルールを使用します。iptable ルールは CNI ドライバーによって生成および挿入されますが、ファイアウォールのリロードまたは再起動時に削除されます。iptable ルールがないと、トラフィックフローが中断されます。Red Hat build of MicroShift の実行後にファイアウォールコマンドを実行する必要がある場合は、openshift-ovn-kubernetes namespace で ovnkube-master Pod を手動で再起動して、CNI ドライバーによって制御されるルールをリセットします。

法律上の通知

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.