Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第2章 設定ファイルを使用した MicroShift のカスタマイズ

MicroShift YAML ファイルを使用して、設定、設定、およびパラメーターをカスタマイズします。

2.1. カスタム設定の使用
リンクのコピー

カスタム設定を作成するには、/etc/microshift/ ディレクトリーで指定されている config.yaml.default ファイルのコピーを作成し、config.yaml という名前を変更します。このファイルを /etc/microshift/ ディレクトリーに保持してから、MicroShift を起動または再起動する前に、デフォルトをオーバーライドするサポートされている設定を変更できます。

デフォルト設定に変更を加えた場合には、代替方法として設定のドロップインスニペットの使用を検討してください。

重要

設定を変更したら、MicroShift を再起動して有効にします。config.yaml ファイルは、MicroShift の起動時にのみ読み取られます。

2.1.1. 個別の再起動
リンクのコピー

MicroShift ノードで使用されるアプリケーションおよびその他のオプションサービスも、ノード全体で設定の変更を適用するには、個別に再起動する必要がある場合があります。たとえば、特定のネットワーク設定に変更を加える場合は、サービスおよびアプリケーション Pod を停止して再起動し、それらの変更を適用する必要があります。詳細は、完了するタスクのそれぞれの手順を参照してください。

ヒント

必要な設定をすべて一度に追加すると、システムの再起動を最小限に抑えることができます。

2.1.2. MicroShift config.yaml ファイルのパラメーターと値
リンクのコピー

次の表は、MicroShift 設定 YAML パラメーターとそれぞれの有効な値を説明しています。

Expand
表2.1 MicroShift config.yaml パラメーター
フィールド説明

advertiseAddress

string

API サーバーがノードのメンバーにアドバタイズされる IP アドレスを指定する文字列。デフォルト値は、サービスネットワークのアドレスに基づいて計算されます。

auditLog.maxFileAge

number

自動削除前にログファイルが保存される期間。maxFileAge パラメーターのデフォルト値 0 に設定すると、ログファイルが経過時間をベースに削除されなくなります。この値は設定できます。

auditLog.maxFileSize

number

デフォルトでは、audit.log ファイルが maxFileSize の制限に達すると、audit.log ファイルがローテーションされ、MicroShift は新しい audit.log ファイルへの書き込みを開始します。この値は設定できます。

auditLog.maxFiles

number

保存されるログファイルの合計数。デフォルトでは、MicroShift は 10 個のログファイルを保持します。余分なファイルが作成されると、最も古いものが削除されます。この値は設定できます。

auditLog.profile

DefaultWriteRequestBodiesAllRequestBodies または None

読み取りおよび書き込み要求のメタデータのみをログに記録します。OAuth アクセストークン要求を除く要求の本文はログに記録されません。このフィールドを指定しない場合は、Default プロファイルが使用されます。

namedCertificates

list

カスタム認証局を使用して、外部で生成された証明書およびドメイン名を定義します。

namedCertificates.certPath

path

証明書への完全パス。

namedCertificates.keyPath

path

証明書キーへの完全パス。

namedCertificates.names

list

オプション: 明示的な DNS 名のリストを追加します。ワイルドカードは、先頭に指定できます。名前を一覧表示しないと、暗黙的な名前が証明書から抽出されます。

subjectAltNames

完全修飾ドメイン名 (FQDN)、*.domain.com などのワイルドカード、または IP アドレス

API サーバー証明書のサブジェクト代替名。SAN は、証明書で保護されたすべてのドメイン名および IP アドレスを示します。

debugging.logLevel

NormalDebugTrace、または TraceAll

ログの詳細レベル。デフォルトは Normal です。

dns.baseDomain

valid domain

ノードのベースドメイン。管理されるすべての DNS レコードはこのベースのサブドメインです。

etcd.memoryLimitMB

number

デフォルトでは、etcd はシステムの負荷を処理するために必要な量のメモリーを使用します。ただし、メモリー制約のあるシステムでは、etcd が特定の時点で使用できるメモリーの量を制限することが望ましいか、または制限する必要がある場合があります。

ingress.defaultHTTPVersion

number

ingress に使用するデフォルトの HTTP バージョンを決定します。デフォルト値は 1 で、これは HTTP/1.1 プロトコルです。

ingress.forwardedHeaderPolicy

Append, Replace, IfNone, Never

Ingress ルーターが ForwardedX-Forwarded-ForX-Forwarded-HostX-Forwarded-PortX-Forwarded-Proto、および X-Forwarded-Proto-Version HTTP ヘッダーを設定するタイミングと方法を指定します。

  • Append は、Ingress ルーターが既存のヘッダーを追加することを指定します。Append はデフォルト値です。
  • Replace は、Ingress ルーターによってヘッダーを設定し、既存の Forwarded または X-Forwarded-* ヘッダーを置き換えることを指定します。
  • IfNone は、ヘッダーがまだ設定されていない場合に Ingress ルーターによってヘッダーを設定することを指定します。
  • Never は、Ingress ルーターによってヘッダーを設定せず、既存のヘッダーを保持することを指定します。

ingress.httpCompression

object

httpCompression は、HTTP トラフィック圧縮のポリシーを定義します。デフォルトでは HTTP 圧縮はありません。

ingress.httpCompression.mimeTypes

array または null

mimeTypes は、圧縮する MIME タイプのリストです。リストが空の場合、Ingress コントローラーは圧縮を適用しません。リストを定義するには、メッセージボディーのデータのタイプとサブタイプ、およびデータのネイティブエンコーディングを指定する RFC 1341 の Content-Type 定義の形式を使用します。たとえば、Content-Type := type \"/\" subtype *[\";\" parameter] です。

  • Content-Type の値は、アプリケーション、オーディオ、イメージ、メッセージ、マルチパート、テキスト、ビデオ、または先頭に \"X-\" が付き、その後にトークンが続くカスタムタイプのいずれかです。トークンは次のいずれかの方法で定義する必要があります。
  • トークンは 1 文字以上の string です。空白、制御文字、または tspecials セット内の文字を含めることはできません。
  • tspecials セットには、()\u003c\u003e@,;:\\\"/[]?.= 文字が含まれます。
  • Content-Type のサブタイプもトークンです。
  • サブタイプに続くオプションのパラメーターは、token \"=\" (token / quoted-string) という形式で定義します。
  • RFC 822 で定義されている quoted-string は、二重引用符で囲みます。これには、\\\"、および CR を除く任意の文字と空白を含めることができます。quoted-string には、\\.", 文字でエスケープすれば、任意の単一の ASCII 文字を含めることもできます。

すべての MIME タイプが圧縮の恩恵を受けるわけではありませんが、圧縮が設定されていれば、HAProxy がリソースを使用してファイルの圧縮を試みます。一般的に、htmlccsjs などのテキスト形式は圧縮の恩恵を受けます。イメージ、オーディオ、ビデオなど、すでに圧縮されているファイルタイプを圧縮するために CPU リソースを費やしても、おそらく限られた効果しか得られません。

ingress.httpEmptyRequestsPolicy

Respond または Ignore

デフォルト値は Respond です。リクエストを受信する前に接続がタイムアウトした場合に HTTP 接続をどのように処理するかを指定します。このような接続は、通常、ロードバランサーサービスのヘルスプローブ、または preconnect などの Web ブラウザーの投機的な接続から発生します。

  • このフィールドが Respond に設定されている場合、Ingress コントローラーが "HTTP 400" または "408" レスポンスを送信し、接続をログに記録し (アクセスログが有効な場合)、適切なメトリクスで接続をカウントします。
  • このフィールドが Ignore に設定されている場合、Ingress コントローラーはレスポンスを送信せず、接続をログに記録せず、メトリクスの値を増やさずに接続を閉じます。このフィールドを Ignore に設定すると、特にネットワークエラーやポートスキャンによって接続のタイムアウトが発生した場合に、問題や侵入の検出と診断が妨げられる可能性があります。どちらの場合も、空のリクエストをログに記録すると、エラーの診断や侵入の試みの検出に役立ちます。

ingress.listenAddress

IP アドレス、NIC 名、またはその複数。

デフォルト値は、ホストのネットワーク全体になります。有効な設定可能な値は、単一の IP アドレスまたは NIC 名、あるいは複数の IP アドレスと NIC 名のリストです。

ingress.logEmptyRequests

Log または Ignore

デフォルト値は Log です。空のリクエストを受信した接続をどのようにログに記録するかを指定します。このような接続は、通常、ロードバランサーサービスのヘルスプローブ、または preconnect などの Web ブラウザーの投機的な接続から発生します。通常のリクエストをログに記録することは望ましくない場合もあります。しかし、リクエストはネットワークエラーやポートスキャンによって発生する場合もあります。その場合、ロギングはエラーの診断や侵入の試みの検出に役立ちます。

ingress.ports.http

80

デフォルトのポートが表示されます。設定可能です。有効な値は、1 - 65535 の範囲に含まれる単一の一意のポートです。ports.http および ports.https フィールドの値は、同じにすることはできません。

ingress.ports.https

443

デフォルトのポートが表示されます。設定可能です。有効な値は、1 - 65535 の範囲に含まれる単一の一意のポートです。ports.http および ports.https フィールドの値は、同じにすることはできません。

ingress.routeAdmissionPolicy.namespaceOwnership

Strict または InterNamespaceAllowed

複数の namespace のホスト名要求の処理方法を記述します。デフォルトでは、複数の namespace にまたがって、ルートが同じホスト名の異なるパスを要求することを許可します。Strict を指定すると、namespace が異なるルートが、同じホスト名を要求しなくなります。カスタマイズされた MicroShift の config.yaml で値が削除されると、InterNamespaceAllowed 値が自動的に設定されます。

ingress.status

Managed または Removed

ルーターのステータス。デフォルトは Managed です。

ingress.tuningOptions

オブジェクト

Ingress コントローラー Pod のパフォーマンスをチューニングするためのオプションを指定します。

ingress.tuningOptions.clientFinTimeout

duration 形式の string

接続を閉じる前に、サーバー/バックエンドへのクライアントのレスポンスを待機している間、接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 1s (1 秒) です。

ingress.tuningOptions.clientTimeout

duration 形式の string

クライアントのレスポンスを待機している間、接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 30s (30 秒) です。

ingress.tuningOptions.headerBufferBytes

int32 formatinteger。HTTP/2 が有効な場合の最小値は 16384 です。

IngressController 接続セッション用に予約する必要があるメモリーの量をバイト単位で指定します。デフォルト値は 32768 バイトです。

  • このフィールドを設定することは、通常は推奨されません。headerBufferBytes 値が小さすぎると IngressController が壊れる可能性があり、headerBufferBytes 値が大きすぎると IngressController が必要以上に多くのメモリーを使用する可能性があるためです。

ingress.tuningOptions.headerBufferMaxRewriteBytes

int32 形式の integer。最小値は 4096 です。

IngressController 接続セッションの HTTP ヘッダーの書き換えと追加のために、headerBufferBytes から予約する必要があるメモリーの量 (バイト単位) を指定します。デフォルト値は 8192 バイトです。受信 HTTP リクエストは、headerBufferBytes バイトから headerBufferMaxRewriteBytes バイトを引いた値に制限されます。つまり、headerBufferBytes の値を headerBufferMaxRewriteByte の値よりも大きくする必要があります。

  • このフィールドを設定することは通常は推奨されません。headerBufferMaxRewriteBytes 値が小さすぎると IngressController が壊れる可能性があり、headerBufferMaxRewriteBytes 値が大きすぎると IngressController が必要以上に多くのメモリーを使用する可能性があるためです。

ingress.tuningOptions.healthCheckInterval: ""

次のパターンを持つ string: ^(0|((\\.[0-9])?(ns|us|µs|μs|ms|s|m|h))+)$

デフォルトの healthCheckInterval 値は 5s (5 秒) です。このパラメーター値は、ルーターに設定されたバックエンドに対する次回のヘルスチェックまでの間にルーターがどれだけの時間待機するかを定義します。現在、許容最小値は 1s、許容最大値は 2147483647m (24.85 日) です。この範囲は今後のリリースで変更される可能性があります。

  • この値は、すべてのルートのデフォルトとしてグローバルに適用されますが、ルートアノテーション router.openshift.io/haproxy.health.check.interval によってルートごとにオーバーライドされる場合があります。
  • 符号なしの 10 進数の期間文字列を指定する必要があります。それぞれの数字に小数 (任意) と単位の接尾辞をつけます。たとえば、300ms1.5h2h45m です。有効な時間単位は、nsus (または µs U+00B5 または μs U+03BC)、mssmh です。
  • このパラメーター値を 5s 未満に設定すると、TCP ヘルスチェックが頻繁に行われ、SYN パケットストームが発生するため、過剰なトラフィックが発生する可能性があります。
  • このパラメーター値を高く設定しすぎると、バックエンドサーバーが利用できないにもかかわらず、そのことがまだ検出されていないために、レイテンシーが増加する可能性があります。
  • 空または 0 の値は「指定なし」を意味し、Ingress コントローラーによってデフォルト値が選択されます。デフォルト値は今後のリリースで変更される可能性があることに注意してください。

ingress.tuningOptions.maxConnections

integer、有効な値: empty0-1、および 2000-2000000 の範囲

デフォルト値は 0 です。HAProxy プロセスごとに確立できる同時接続の最大数を定義します。この値を増やすと、消費されるシステムリソースが増える代わりに、各 Ingress コントローラー Pod がより多くの接続を処理できるようになります。

  • このフィールドが空または 0 の場合、IngressController はデフォルト値の 50000 を使用します。ただし、このデフォルトは今後のリリースで変更される可能性があります。
  • 値が -1 の場合、HAProxy は実行中のコンテナー内の ulimit 値で設定された利用可能なリソースに基づいて最大値を動的に計算します。auto を意味する -1 を選択すると、大きな値が計算されます。そのため、各 HAProxy プロセスで、現在のデフォルトの 50000 と比較して、大量のメモリーが使用されることになります。
  • 現在のオペレーティングシステムの制限より大きい値を設定すると、HAProxy プロセスが起動しなくなります。

  • 次のメトリクスを使用して、ルーターコンテナーのメモリー使用量を監視できます。 

    container_memory_working_set_bytes{container=`router`,namespace=`openshift-ingress`}`
    Copy to Clipboard Toggle word wrap

  • 次のメトリクスを使用して、ルーターコンテナー内の個々の `HAProxy` プロセスのメモリー使用量を監視できます。 

    container_memory_working_set_bytes{container=`router`,namespace=`openshift-ingress`}/container_processes{container=`router`,namespace=`openshift-ingress`}
    Copy to Clipboard Toggle word wrap

ingress.tuningOptions.serverFinTimeout

duration 形式の string

接続を閉じる前に、サーバーまたはバックエンドからのクライアントへのレスポンスを待機している間、接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 1s です。

ingress.tuningOptions.serverTimeout

duration 形式の string

サーバーまたはバックエンドのレスポンスを待機している間、接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 30s です。

ingress.tuningOptions.threadCount

int32 形式の integer。最小値は 1、最大値は 64 です。

HAProxy プロセスごとに作成されるスレッドの数を定義します。デフォルト値は 4 です。このフィールドが空の場合、デフォルト値が使用されます。

  • 通常、このフィールドを設定することは推奨しません。より多くのスレッドを作成すると、使用されるシステムリソースが増える代わりに、各 Ingress コントローラー Pod がより多くの接続を処理できるようになります。HAProxy スレッドの数を増やすと、Ingress コントローラー Pod がより多くの CPU 時間を負荷発生時に使用できるようになります。ただし、設定値が高すぎると、他の Pod の CPU が不足する可能性があります。逆に、スレッド数を減らすと、Ingress コントローラーのパフォーマンスが低下する可能性があります。

ingress.tuningOptions.tlsInspectDelay

duration 形式の string

一致するルートを検出するためにルーターがデータを保持できる時間を定義します。この間隔の設定値が短すぎると、より適合性の高い証明書を使用できる場合でも、ルーターがエッジ終端クライアントまたは再暗号化ルート用のデフォルト証明書に戻す可能性があります。

  • デフォルトの検査遅延は 5s (5 秒) です。ほとんどの場合はこの値で十分であると予想されます。特に高レイテンシーのネットワークでこの設定の値を増やすと、SSL ハンドシェイクの完了が遅れる可能性があります。設定された値はアプリケーションに対して透過的である必要があります。

ingress.tuningOptions.tunnelTimeout

duration 形式の string

トンネルがアイドル状態の間、websocket を含むトンネル接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 1h (1 時間) です。

kubelet

MicroShift の低レイテンシーの手順を参照してください

kubelet ノードエージェントのパススルー設定のパラメーター。低レイテンシー設定に使用されます。デフォルト値は null です。

manifests

list of paths

マニフェストをロードするために使用する kustomization ファイルをスキャンするファイルシステム上の場所。パスのリストを設定すると、それらのパスのみをスキャンします。マニフェストの読み込みを無効にするには、空のリストに設定します。リスト内のエントリーは、複数のサブディレクトリーに一致する glob パターンに指定できます。デフォルト値は、/usr/lib/microshift/manifests/usr/lib/microshift/manifests.d//etc/microshift/manifests/etc/microshift/manifests.d/ です。

network.clusterNetwork

IP アドレスブロック

Pod IP アドレスの割り当てに使用する IP アドレスのブロック。IPv4 がデフォルトのネットワークです。デュアルスタックエントリーはサポートされています。このフィールドの最初のエントリーは、MicroShift の起動後は変更できません。デフォルトの範囲は 10.42.0.0/16 です。

network.cniPlugin

String

空の場合、または "ovnk" に設定されている場合は、Open Virtual Networking - Kubernetes (OVN-K) ネットワークプラグインをデフォルトの Container Network Interface (CNI) としてデプロイします。サポートされる値は、空、""、または "ovnk" です。"none" に設定すると CNI が削除されるため、推奨されません。OVN-K のみが MicroShift により管理されます。

network.serviceNetwork

IP アドレスブロック

Kubernetes サービスの仮想 IP アドレスのブロック。サービスの IP アドレスプール。IPv4 がデフォルトです。デュアルスタックエントリーはサポートされています。このフィールドの最初のエントリーは、MicroShift の起動後は変更できません。デフォルトの範囲は 10.43.0.0/16 です。

network.serviceNodePortRange

range

NodePort タイプの Kubernetes サービスに許可されるポート範囲。指定しない場合、デフォルトの範囲の 30000-32767 が使用されます。NodePort が指定されていないサービスは、この範囲から自動的に割り当てられます。このパラメーターは、MicroShift の開始後に更新できます。

node.hostnameOverride

string

ノードの名前。デフォルト値はホスト名です。空でない場合、この文字列はホスト名ではなく、ノードを識別するために使用されます。この値は、MicroShift の起動後は変更できません。

node.nodeIP

IPv4 アドレス

ノードの IPv4 アドレス。デフォルト値は、デフォルトルートの IP アドレスです。

nodeIPv6

IPv6 アドレス

デュアルスタック設定のノードの IPv6 アドレス。IPv4 または IPv6 のいずれかのシングルスタックでは設定できません。デフォルトは空の値または null です。

storage.driver

none または lvms

デフォルト値は空です。空の値または null フィールドのデフォルトは LVMS デプロイメントです。

storage.optionalCsiComponents

array

デフォルト値は null または空の配列です。null または空の配列の場合、デフォルトで snapshot-controller がデプロイされます。指定可能な値は csi-snapshot-controller または none です。none のエントリーは、他のいかなる値とも同時に使用できません。

2.1.3. アドバタイズアドレスネットワークフラグの設定
リンクのコピー

apiserver.advertiseAddress フラグは、API サーバーをノードのメンバーにアドバタイズする IP アドレスを指定します。このアドレスは、ノードから到達可能である必要があります。ここでカスタム IP アドレスを設定できますが、その IP アドレスをホストインターフェイスに追加する必要もあります。このパラメーターをカスタマイズすると、MicroShift がデフォルトの IP アドレスを br-ex ネットワークインターフェイスに追加しなくなります。

重要

advertiseAddress IP アドレスをカスタマイズする場合は、ホストインターフェイスに IP アドレスを追加して、MicroShift の起動時にノードからアクセスできることを確認してください。

設定されていない場合、デフォルト値はサービスネットワークのすぐ後のサブネットに設定されます。たとえば、サービスネットワークが 10.43.0.0/16 の場合、advertiseAddress は、10.44.0.0/32 に設定されます。

2.1.4. NodePort サービスのポート範囲の拡張
リンクのコピー

serviceNodePortRange 設定では、NodePort サービスで使用できるポート範囲が拡張します。このオプションは、30000-32767 範囲内で特定の標準ポートを公開する必要がある場合に役立ちます。たとえば、クライアントデバイスは別のポートを使用できないため、デバイスはネットワーク上で 1883/tcp MQ Telemetry Transport (MQTT) ポートを公開する必要があります。

重要

NodePort がシステムポートと重複し、システムまたは MicroShift の誤動作を引き起こす可能性があります。

NodePort サービス範囲を設定するときは、次の点を考慮してください。

  • nodePort を明示的に選択せずに NodePort サービスを作成しないでください。明示的な nodePort が指定されていない場合、このポートは kube-apiserver によってランダムに割り当てられるため、予測できません。
  • デバイスの HostNetwork で公開するシステムサービスポート、MicroShift ポート、またはその他のサービスに対して NodePort サービスを作成しないでください。

  • 表 1 は、ポート範囲の拡張時に避けるべきポートを示しています。

    Expand
    表2.2 回避するポート
    ポート説明

    22/tcp

    SSH ポート

    80/tcp

    OpenShift Router HTTP エンドポイント

    443/tcp

    OpenShift Router HTTPS エンドポイント

    1936/tcp

    現在公開されていない openshift-router のメトリクスサービス

    2379/tcp

    etcd ポート

    2380/tcp

    etcd ポート

    6443

    Kubernetes API

    8445/tcp

    openshift-route-controller-manager

    9537/tcp

    cri-o metrics

    10250/tcp

    kubelet

    10248/tcp

    kubelet healthz ポート

    10259/tcp

    kube スケジューラー

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat