Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第2章 設定ファイルを使用した MicroShift のカスタマイズ

MicroShift YAML ファイルを使用して、設定、設定、およびパラメーターをカスタマイズします。

重要

MicroShift の汎用デバイスプラグインは、テクノロジープレビュー機能のみです。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

2.1. カスタム設定の使用
リンクのコピー

カスタム設定を作成するには、/etc/microshift/ ディレクトリーで指定されている config.yaml.default ファイルのコピーを作成し、config.yaml という名前を変更します。このファイルを /etc/microshift/ ディレクトリーに保持してから、MicroShift を起動または再起動する前に、デフォルトをオーバーライドするサポートされている設定を変更できます。

デフォルト設定に変更を加えた場合には、代替方法として設定のドロップインスニペットの使用を検討してください。

重要

設定を変更したら、MicroShift を再起動して有効にします。config.yaml ファイルは、MicroShift の起動時にのみ読み取られます。

2.1.1. 個別の再起動
リンクのコピー

MicroShift ノードで使用されるアプリケーションおよびその他のオプションサービスも、ノード全体で設定の変更を適用するには、個別に再起動する必要がある場合があります。たとえば、特定のネットワーク設定に変更を加える場合は、サービスおよびアプリケーション Pod を停止して再起動し、それらの変更を適用する必要があります。詳細は、完了するタスクのそれぞれの手順を参照してください。

ヒント

必要な設定をすべて一度に追加すると、システムの再起動を最小限に抑えることができます。

2.1.2. MicroShift config.yaml ファイルのパラメーターと値
リンクのコピー

次の表は、MicroShift 設定 YAML パラメーターとそれぞれの有効な値を説明しています。

Expand
表2.1 MicroShift config.yaml パラメーター
フィールド説明

advertiseAddress

string

API サーバーがノードのメンバーにアドバタイズされる IP アドレスを指定する文字列。デフォルト値は、サービスネットワークのアドレスに基づいて計算されます。

auditLog.maxFileAge

number

自動削除前にログファイルが保存される期間。maxFileAge パラメーターのデフォルト値 0 に設定すると、ログファイルが経過時間をベースに削除されなくなります。この値は設定できます。

auditLog.maxFileSize

number

デフォルトでは、audit.log ファイルが maxFileSize の制限に達すると、audit.log ファイルがローテーションされ、MicroShift は新しい audit.log ファイルへの書き込みを開始します。この値は設定できます。

auditLog.maxFiles

number

保存されるログファイルの合計数。デフォルトでは、MicroShift は 10 個のログファイルを保持します。余分なファイルが作成されると、最も古いものが削除されます。この値は設定できます。

auditLog.profile

DefaultWriteRequestBodiesAllRequestBodies または None

読み取りおよび書き込み要求のメタデータのみをログに記録します。OAuth アクセストークン要求を除く要求の本文はログに記録されません。このフィールドを指定しない場合は、Default プロファイルが使用されます。

namedCertificates

list

カスタム認証局を使用して、外部で生成された証明書およびドメイン名を定義します。

namedCertificates.certPath

path

証明書への完全パス。

namedCertificates.keyPath

path

証明書キーへの完全パス。

namedCertificates.names

list

オプション: 明示的な DNS 名のリストを追加します。ワイルドカードは、先頭に指定できます。名前を一覧表示しないと、暗黙的な名前が証明書から抽出されます。

subjectAltNames

完全修飾ドメイン名 (FQDN)、*.domain.com などのワイルドカード、または IP アドレス

API サーバー証明書のサブジェクト代替名。SAN は、証明書で保護されたすべてのドメイン名および IP アドレスを示します。

tls

list

使用されるトランスポート層プロトコル (TLS) と許可される暗号スイートを定義します。公開された MicroShift API サーバーと内部コントロールプレーンエンドポイントにセキュリティーを提供します。

tls.cipherSuites

string

API サーバーが受け入れて提供する許可された暗号スイートをリスト表示します。デフォルトでは、tls.minVersion パラメーターで設定された TLS 仕様で許可される暗号スイートになります。

tls.minVersion

VersionTLS12 または VersionTLS13

API サーバーから提供する TLS の最小バージョンを指定します。デフォルト値は VersionTLS12 です。

debugging.logLevel

NormalDebugTrace、または TraceAll

ログの詳細レベル。デフォルト値は Normal です。

dns.baseDomain

valid domain

ノードのベースドメイン。管理されるすべての DNS レコードはこのベースのサブドメインです。

etcd.memoryLimitMB

number

デフォルトでは、etcd はシステムの負荷を処理するために必要な量のメモリーを使用します。ただし、メモリー制約のあるシステムでは、etcd が特定の時点で使用できるメモリーの量を制限することが望ましいか、または制限する必要がある場合があります。

generic.Device.Plugin.devices

groups

プラグインによって公開されるデバイス定義を一覧表示します。各デバイスエントリーには、名前およびグループのリストが含まれます。

generic.Device.Plugin.devices.groups

countpaths、usbs

デバイスグループを一覧表示します。グループ内のデバイスは、共通名のデバイスのプールを設定します。そのプールからデバイスを要求すると、異なる定義されたパスからデバイスを受信できます。

generic.Device.Plugin.devices.groups.count

number

このデバイスのグループを同時にマウントできる回数を指定します。指定しない場合、Count はデフォルトで 1 に設定されます。上限がないため、/dev/fuse に高い数( 1000 など)を設定できますが、ホストの機能とデバイスの性質に応じてパフォーマンスに影響が出る可能性があります。

generic.Device.Plugin.devices.groups.paths

string

ホストデバイスファイルパスを一覧表示します。パスは glob パターンにすることができます。たとえば、/dev/ttyUSB です。この場合、一致する各デバイスは数時間可能になります。このフィールドは usbs 専用です。同じデバイスグループに両方のパラメーターを定義することはできません。

generic.Device.Plugin.devices.groups.paths.limit

number

グループ内の他のデバイスがより一致しなくなると、グループ内でこのデバイスを同時に使用できる回数まで指定してください。たとえば、グループ内の 1 つのパスが 5 つのデバイスと一致し、もう 1 つのパスが 1 つのデバイスに一致するが、制限が 10 の場合、グループはデバイスのペアを 5 つ提供します。指定しない場合、制限はデフォルトで 1 に設定されます。

generic.Device.Plugin.devices.groups.paths.mountPath

string

ホストデバイスをコンテナーにマウントする必要があるファイルパス。指定しない場合、mountPath のデフォルトは path に設定されます。

generic.Device.Plugin.devices.groups.paths.path

string

ホスト上のデバイスのファイルパス。たとえば、/dev/video0/dev/ttyUSB* などです。

generic.Device.Plugin.devices.groups.paths.permissions

rwm

マウントされたデバイスに指定されるファイルシステムのパーミッション。Device タイプのマウントにのみ適用されます。次のいずれか 1 つ以上にすることができます。

  • r は、コンテナーが指定されたデバイスから読み取ることを許可します。
  • W は、コンテナーが指定のデバイスに書き込むことを許可します。
  • m を使用すると、コンテナーはまだ存在しないデバイスファイルを作成できます。

指定しない場合、デフォルト値は mrw になります。

generic.Device.Plugin.devices.groups.paths.readOnly

truefalse

パスを読み取り専用でマウントするかどうかを指定します。マウント タイプのマウントにのみ適用されます。

generic.Device.Plugin.devices.groups.paths.type

デバイスマウント

この パス が表すファイルシステムノードの種類と、マウント方法を記述します。指定しない場合、type はデフォルトで Device に設定されます。

generic.Device.Plugin.devices.groups.usbs

string

このデバイス グループが構成する USB 仕様の一覧が表示されます。ベンダー ID と製品 ID が常に一致する必要があります。シリアル ID が指定されている場合は一致するか、ID が空の場合は省略する必要があります。usbs フィールドは パス 専用です。

generic.Device.Plugin.devices.groups.usbs.product

string

照合するデバイスの USB 製品 ID。たとえば、0x7523 です。

generic.Device.Plugin.devices.groups.usbs.serial

string

照合するデバイスのシリアル番号。USB デバイスは、指定したすべての属性で完全に一致して渡す必要があります。

generic.Device.Plugin.devices.groups.usbs.vendor

string

一致するデバイスの USB ベンダー ID。たとえば、0x1a86 です。

generic.Device.Plugin.devices.name

string

この仕様が記述するデバイスの種類を表す一意の文字列。たとえば、serialvideofuse などです。この名前は Pod リソース要求で使用されます。たとえば、device.microshift.io/serial です。

generic.Device.Plugin.domain

string

ドメイン接頭辞で、ノードにアドバタイズされ、存在するデバイスを指定します。たとえば、device.microshift.io/serial です。デフォルト値は device.microshift.io です。

generic.Device.Plugin.status

enabledDisabled

デフォルトの GDP ステータスを指定します。

ingress.certificateSecret

string

Ingress コントローラーによって提供されるデフォルトの証明書を含むシークレットへの参照。ルートが独自の証明書を指定しない場合は、certificateSecret が使用されます。

シークレットには以下のキーおよびデータが含まれている必要があります。

  • tls.crt: 証明書ファイルの内容
  • tls.key: キーファイルの内容

これらの値のいずれかを設定しない場合は、ワイルドカード証明書が自動的に生成され、使用されます。証明書は Ingress コントローラーの domain および subdomains フィールドで有効であり、証明書用に生成された CA はノードのトラストストアと自動的に統合されます。

使用中の証明書はすべて、MicroShift OAuth サーバーに自動的に統合されます。

ingress.clientTLS

AllowedSubjectPatternsspec.clientTLS.ClientCAspec.clientTLS.clientCertificatePolicy

ノードおよびサービスへのクライアントアクセスを認証します。これらの設定を使用する場合、相互 TLS 認証が有効化されます。spec.clientTLS.clientCertificatePolicy および spec.clientTLS.ClientCA の必須サブフィールドに値を設定していない場合、クライアント TLS は有効化されていません。

ingress.clientTLS.AllowedSubjectPatterns

list in PCRE syntax

要求をフィルタリングするために、有効なクライアント証明書の識別名と照合される正規表現のリストを指定するオプションのサブフィールド。このパラメーターを使用すると、Ingress コントローラーは識別名に基づいて証明書を拒否します。Perl Compatible Regular Expressions (PCRE) 構文が必要です。このフィールドを設定する場合、有効な式を含める必要があります。そうしないと、MicroShift サービスは失敗します。1 つ以上のパターンがクライアント証明書の識別名と一致している必要があります。一致しない場合、Ingress コントローラーは証明書を拒否し、接続を拒否します。

ingress.clientTLS.ClientCA

string

openshift-ingress namespace 内の config map を指定する必須のサブフィールド。config map には CA 証明書バンドルが含まれている必要があります。

ingress.clientTLS.ClientCertificatePolicy

RequiredOptional

カスタム証明書を使用した再暗号化 TLS Termination により、セキュアなルートを作成するための必須サブフィールド。PEM エンコードされたファイルに証明書/キーのペアが必要です。ここで、証明書はルートホストに対して有効となっています。Ingress コントローラーは、エッジで終了および再暗号化された TLS ルートのクライアント証明書のみをチェックします。この設定では、プレーンテキスト HTTP またはパススルー TLS ルートの証明書はチェックされません。

ingress.defaultHTTPVersion

number

ingress に使用するデフォルトの HTTP バージョンを決定します。デフォルト値は 1 で、これは HTTP/1.1 プロトコルです。

ingress.forwardedHeaderPolicy

Append, Replace, IfNone, Never

Ingress コントローラーが ForwardedX-Forwarded-ForX-Forwarded-HostX-Forwarded-PortX-Forwarded-Proto、および X-Forwarded-Proto-Version HTTP ヘッダーを設定するタイミングと方法を指定します。デフォルト値は Append です。

  • Append は、Ingress コントローラーが既存のヘッダーを追加することを指定します。
  • Replace は、Ingress コントローラーがヘッダーを設定し、既存の Forwarded または X-Forwarded-* ヘッダーを置き換えることを指定します。
  • IfNone は、ヘッダーがまだ設定されていない場合に、Ingress コントローラーがヘッダーを設定するように指定します。
  • Never は、Ingress コントローラーがヘッダーを設定しないように指定し、既存のヘッダーを保持します。

ingress.httpCompression

object

HTTP トラフィック圧縮のポリシーを定義します。デフォルトでは HTTP 圧縮はありません。

ingress.httpCompression.mimeTypes

array または null

圧縮する MIME タイプのリスト。リストが空の場合、Ingress コントローラーは圧縮を適用しません。リストを定義するには、メッセージボディーのデータのタイプとサブタイプ、およびデータのネイティブエンコーディングを指定する RFC 1341 の Content-Type 定義の形式を使用します。たとえば、Content-Type := type \"/\" subtype *[\";\" parameter] です。

  • Content-Type の値は、アプリケーション、オーディオ、イメージ、メッセージ、マルチパート、テキスト、ビデオ、または先頭に \"X-\" が付き、その後にトークンが続くカスタムタイプのいずれかです。トークンは次のいずれかの方法で定義する必要があります。
  • トークンは 1 文字以上の string です。空白、制御文字、または tspecials セット内の文字を含めることはできません。
  • tspecials セットには、()\u003c\u003e@,;:\\\"/[]?.= 文字が含まれます。
  • Content-Type のサブタイプもトークンです。
  • サブタイプに続くオプションのパラメーターは、token \"=\" (token / quoted-string) という形式で定義します。
  • RFC 822 で定義されている quoted-string は、二重引用符で囲みます。これには、\\\"、および CR を除く任意の文字と空白を含めることができます。quoted-string には、\\.", 文字でエスケープすれば、任意の単一の ASCII 文字を含めることもできます。

すべての MIME タイプが圧縮の恩恵を受けるわけではありませんが、圧縮が設定されていれば、HAProxy がリソースを使用してファイルの圧縮を試みます。一般的に、htmlccsjs などのテキスト形式は圧縮の恩恵を受けます。イメージ、オーディオ、ビデオなど、すでに圧縮されているファイルタイプを圧縮するために CPU リソースを費やしても、おそらく限られた効果しか得られません。

ingress.httpEmptyRequestsPolicy

Respond または Ignore

デフォルト値は Respond です。リクエストを受信する前に接続がタイムアウトした場合に HTTP 接続をどのように処理するかを指定します。このような接続は通常、ロードバランサーサービスのヘルスプローブ、または preconnect などの Web ブラウザーの投機的な接続から発生します。

  • このフィールドが Respond に設定されている場合、Ingress コントローラーが "HTTP 400" または "408" レスポンスを送信し、接続をログに記録し (アクセスログが有効な場合)、適切なメトリクスで接続をカウントします。
  • このフィールドが Ignore に設定されている場合、Ingress コントローラーはレスポンスを送信せず、接続をログに記録せず、メトリクスの値を増やさずに接続を閉じます。このフィールドを Ignore に設定すると、特にネットワークエラーやポートスキャンによって接続のタイムアウトが発生した場合に、問題や侵入の検出と診断が妨げられる可能性があります。どちらの場合も、空のリクエストをログに記録すると、エラーの診断や侵入の試みの検出に役立ちます。

ingress.listenAddress

IP アドレス、NIC 名、またはその複数。

デフォルト値は、ホストのネットワーク全体になります。有効な設定可能な値は、単一の IP アドレスまたは NIC 名、あるいは複数の IP アドレスと NIC 名のリストです。

ingress.logEmptyRequests

Log または Ignore

デフォルト値は Log です。空のリクエストを受信した接続をどのようにログに記録するかを指定します。このような接続は、通常、ロードバランサーサービスのヘルスプローブ、または preconnect などの Web ブラウザーの投機的な接続から発生します。通常のリクエストをログに記録することは望ましくない場合もあります。しかし、リクエストはネットワークエラーやポートスキャンによって発生する場合もあります。その場合、ロギングはエラーの診断や侵入の試みの検出に役立ちます。

ingress.ports.http

80

表示されるデフォルトのポート。設定可能です。有効な値は、1 - 65535 の範囲に含まれる単一の一意のポートです。ports.http および ports.https フィールドの値は、同じにすることはできません。

ingress.ports.https

443

表示されるデフォルトのポート。設定可能です。有効な値は、1 - 65535 の範囲に含まれる単一の一意のポートです。ports.http および ports.https フィールドの値は、同じにすることはできません。

ingress.routeAdmissionPolicy

namespaceOwnership または wildcardPolicy

namespace 全体にわたるクレームの許可または拒否など、新しいルート要求を処理するためのポリシーを定義します。デフォルトでは、複数の namespace にまたがって、ルートが同じホスト名の異なるパスを要求することを許可します。

ingress.routeAdmissionPolicy.namespaceOwnership

Strict または InterNamespaceAllowed

namespace 全体にわたるホスト名要求の処理方法を記述します。デフォルト値は InterNamespaceAllowed です。Strict を指定すると、namespace が異なるルートが、同じホスト名を要求しなくなります。カスタマイズされた MicroShift の config.yaml で値が削除されると、InterNamespaceAllowed 値が自動的に設定されます。

  • Strict: ルートが複数の namespace 間で同じホスト名を要求することを許可しません。
  • InterNamespaceAllowed: ルートが複数の namespace 間で同じホスト名の異なるパスを要求することを許可します。

ingress.routeAdmissionPolicy.wildcardPolicy

WildcardsAllowed または WildcardsDisallowed

ワイルドカードポリシーを持つルートが Ingress コントローラーによって処理される方法を記述します。

  • WildcardsAllowed: ワイルドカードポリシーを持つルートが Ingress コントローラーによって許可されることを示します。
  • WildcardsDisallowed: ワイルドカードポリシーが None のルートのみが Ingress コントローラーによって許可されることを示します。wildcardPolicyWildcardsAllowed から WildcardsDisallowed に更新すると、ワイルドカードポリシーの Subdomain を持つ許可されたルートが機能を停止します。これらのルートは、Ingress コントローラーによって許可されるように None のワイルドカードポリシーに対して再作成される必要があります。WildcardsDisallowed はデフォルト設定です。

ingress.status

Managed または Removed

ルーターのステータス。デフォルトは Managed です。

ingress.tlsSecurityProfile

object

Ingress コントローラーの TLS 接続の設定を指定します。設定しない場合は、デフォルト値は apiservers.config.openshift.io/cluster リソースに基づきます。

ingress.tlsSecurityProfile.type

OldIntermediateModernCustom

TLS セキュリティーのプロファイルタイプを指定します。デフォルト値は Intermediate です。

OldIntermediate、および Modern のプロファイルタイプを使用する場合、有効なプロファイル設定はリリース間で変更される可能性があります。たとえば、リリース X.Y.Z にデプロイされた Intermediate プロファイルを使用する仕様がある場合、リリース X.Y.Z+1 へのアップグレードにより、新規のプロファイル設定が Ingress コントローラーに適用され、ロールアウトが生じる可能性があります。

ingress.tlsSecurityProfile.minTLSVersion

number

Ingress コントローラーの TLS バージョンを指定します。

最小 TLS バージョンは 1.1、最大 TLS バージョンは 1.3 です。

  • 設定されたセキュリティープロファイルの暗号および最小 TLS バージョンが TLSProfile ステータスに反映されます。
  • Ingress コントローラーは、Old または Custom プロファイルの TLS 1.01.1 に変換します。

ingress.tuningOptions

オブジェクト

Ingress コントローラー Pod のパフォーマンスをチューニングするためのオプションを指定します。

ingress.tuningOptions.clientFinTimeout

duration 形式の string

接続を閉じる前に、サーバー/バックエンドへのクライアントのレスポンスを待機している間、接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 1s (1 秒) です。

ingress.tuningOptions.clientTimeout

duration 形式の string

クライアントのレスポンスを待機している間、接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 30s (30 秒) です。

ingress.tuningOptions.headerBufferBytes

int32 formatinteger。HTTP/2 が有効な場合の最小値は 16384 です。

IngressController 接続セッション用に予約する必要があるメモリーの量をバイト単位で指定します。デフォルト値は 32768 バイトです。

  • このフィールドを設定することは、通常は推奨されません。headerBufferBytes 値が小さすぎると IngressController が壊れる可能性があり、headerBufferBytes 値が大きすぎると IngressController が必要以上に多くのメモリーを使用する可能性があるためです。

ingress.tuningOptions.headerBufferMaxRewriteBytes

int32 形式の integer。最小値は 4096 です。

IngressController 接続セッションの HTTP ヘッダーの書き換えと追加のために、headerBufferBytes から予約する必要があるメモリーの量 (バイト単位) を指定します。デフォルト値は 8192 バイトです。受信 HTTP リクエストは、headerBufferBytes バイトから headerBufferMaxRewriteBytes バイトを引いた値に制限されます。つまり、headerBufferBytes の値を headerBufferMaxRewriteBytes の値よりも大きくする必要があります。

  • このフィールドを設定することは通常は推奨されません。headerBufferMaxRewriteBytes 値が小さすぎると IngressController が壊れる可能性があり、headerBufferMaxRewriteBytes 値が大きすぎると IngressController が必要以上に多くのメモリーを使用する可能性があるためです。

ingress.tuningOptions.healthCheckInterval: ""

次のパターンを持つ string: ^(0|((\\.[0-9])?(ns|us|µs|μs|ms|s|m|h))+)$

デフォルトの healthCheckInterval 値は 5s (5 秒) です。このパラメーター値は、ルーターに設定されたバックエンドに対する次回のヘルスチェックまでの間にルーターがどれだけの時間待機するかを定義します。許容最小値は 1s、許容最大値は 2147483647ms (24.85 日) です。

  • この値は、すべてのルートのデフォルトとしてグローバルに適用されますが、ルートアノテーション router.openshift.io/haproxy.health.check.interval によってルートごとにオーバーライドされる場合があります。
  • 符号なしの 10 進数の期間文字列を指定する必要があります。それぞれの数字に小数 (任意) と単位の接尾辞をつけます。たとえば、300ms1.5h2h45m です。有効な時間単位は、nsus (または µs U+00B5 または μs U+03BC)、mssmh です。
  • このパラメーター値を 5s 未満に設定すると、TCP ヘルスチェックが頻繁に行われ、SYN パケットストームが発生するため、過剰なトラフィックが発生する可能性があります。
  • このパラメーター値を高く設定しすぎると、バックエンドサーバーが利用できないにもかかわらず、そのことがまだ検出されていないために、レイテンシーが増加する可能性があります。
  • 空または 0 の値は「指定なし」を意味し、Ingress コントローラーによってデフォルト値が選択されます。デフォルト値は今後のリリースで変更される可能性があることに注意してください。

ingress.tuningOptions.maxConnections

integer、有効な値: empty0-1、および 2000-2000000 の範囲

デフォルト値は 0 です。HAProxy プロセスごとに確立できる同時接続の最大数を定義します。この値を増やすと、消費されるシステムリソースが増える代わりに、各 Ingress コントローラー Pod がより多くの接続を処理できるようになります。

  • このフィールドが空または 0 の場合、IngressController はデフォルト値の 50000 を使用します。ただし、このデフォルトは今後のリリースで変更される可能性があります。
  • 値が -1 の場合、HAProxy は実行中のコンテナー内の ulimit 値で設定された利用可能なリソースに基づいて最大値を動的に計算します。auto を意味する -1 を選択すると、大きな値が計算されます。そのため、各 HAProxy プロセスで、現在のデフォルトの 50000 と比較して、大量のメモリーが使用されることになります。
  • 現在のオペレーティングシステムの制限より大きい値を設定すると、HAProxy プロセスが起動しなくなります。

  • 次のメトリクスを使用して、ルーターコンテナーのメモリー使用量を監視できます。 

    container_memory_working_set_bytes{container=`router`,namespace=`openshift-ingress`}`
    Copy to Clipboard Toggle word wrap

  • 次のメトリクスを使用して、ルーターコンテナー内の個々の `HAProxy` プロセスのメモリー使用量を監視できます。 

    container_memory_working_set_bytes{container=`router`,namespace=`openshift-ingress`}/container_processes{container=`router`,namespace=`openshift-ingress`}
    Copy to Clipboard Toggle word wrap

ingress.tuningOptions.serverFinTimeout

duration 形式の string

接続を閉じる前に、サーバーまたはバックエンドからのクライアントへのレスポンスを待機している間、接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 1s です。

ingress.tuningOptions.serverTimeout

duration 形式の string

サーバーまたはバックエンドのレスポンスを待機している間、接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 30s です。

ingress.tuningOptions.threadCount

int32 形式の integer。最小値は 1、最大値は 64 です。

HAProxy プロセスごとに作成されるスレッドの数を定義します。デフォルト値は 4 です。このフィールドが空の場合、デフォルト値が使用されます。

  • 通常、このフィールドを設定することは推奨しません。より多くのスレッドを作成すると、使用されるシステムリソースが増える代わりに、各 Ingress コントローラー Pod がより多くの接続を処理できるようになります。HAProxy スレッドの数を増やすと、Ingress コントローラー Pod がより多くの CPU 時間を負荷発生時に使用できるようになります。ただし、設定値が高すぎると、他の Pod の CPU が不足する可能性があります。逆に、スレッド数を減らすと、Ingress コントローラーのパフォーマンスが低下する可能性があります。

ingress.tuningOptions.tlsInspectDelay

duration 形式の string

一致するルートを検出するためにルーターがデータを保持できる時間を定義します。この間隔の設定値が短すぎると、より適合性の高い証明書を使用できる場合でも、ルーターがエッジ終端クライアントまたは再暗号化ルート用のデフォルト証明書に戻す可能性があります。

  • デフォルトの検査遅延は 5s (5 秒) です。ほとんどの場合はこの値で十分であると予想されます。特に高レイテンシーのネットワークでこの設定の値を増やすと、SSL ハンドシェイクの完了が遅れる可能性があります。設定された値はアプリケーションに対して透過的である必要があります。

ingress.tuningOptions.tunnelTimeout

duration 形式の string

トンネルがアイドル状態の間、websocket を含むトンネル接続を開いたままにする時間を定義します。デフォルトのタイムアウトは 1h (1 時間) です。

kubelet

MicroShift の低レイテンシーの手順を参照してください

kubelet ノードエージェントのパススルー設定のパラメーター。低レイテンシー設定に使用されます。デフォルト値は null です。

manifests

list of paths

マニフェストをロードするために使用する kustomization ファイルをスキャンするファイルシステム上の場所。パスのリストを設定すると、それらのパスのみをスキャンします。マニフェストの読み込みを無効にするには、空のリストに設定します。リスト内のエントリーは、複数のサブディレクトリーに一致する glob パターンに指定できます。デフォルト値は、/usr/lib/microshift/manifests/usr/lib/microshift/manifests.d//etc/microshift/manifests/etc/microshift/manifests.d/ です。

network.clusterNetwork

IP アドレスブロック

Pod IP アドレスの割り当てに使用する IP アドレスのブロック。IPv4 がデフォルトのネットワークです。デュアルスタックエントリーはサポートされています。このフィールドの最初のエントリーは、MicroShift の起動後は変更できません。デフォルトの範囲は 10.42.0.0/16 です。

network.cniPlugin

String

空の場合、または "ovnk" に設定されている場合は、Open Virtual Networking - Kubernetes (OVN-K) ネットワークプラグインをデフォルトの Container Network Interface (CNI) としてデプロイします。サポートされる値は、空、""、または "ovnk" です。"none" に設定すると CNI が削除されるため、推奨されません。OVN-K のみが MicroShift により管理されます。

network.multus.status

string

Multus Container Network Interface (CNI) のデプロイメントを制御します。デフォルトのステータスは Disabled です。値を Enabled に設定すると、Multus CNI は削除できません。

network.serviceNetwork

IP アドレスブロック

Kubernetes サービスの仮想 IP アドレスのブロック。サービスの IP アドレスプール。IPv4 がデフォルトです。デュアルスタックエントリーはサポートされています。このフィールドの最初のエントリーは、MicroShift の起動後は変更できません。デフォルトの範囲は 10.43.0.0/16 です。

network.serviceNodePortRange

range

NodePort タイプの Kubernetes サービスに許可されるポート範囲。範囲を指定しない場合は、デフォルト範囲 30000-32767 が使用されます。NodePort が指定されていないサービスは、この範囲から自動的に割り当てられます。このパラメーターは、MicroShift の開始後に更新できます。

node.hostnameOverride

string

ノードの名前。デフォルト値はホスト名です。空でない場合、この文字列はホスト名ではなく、ノードを識別するために使用されます。この値は、MicroShift の起動後は変更できません。

node.nodeIP

IPv4 アドレス

ノードの IPv4 アドレス。デフォルト値は、デフォルトルートの IP アドレスです。

nodeIPv6

IPv6 アドレス

デュアルスタック設定のノードの IPv6 アドレス。IPv4 または IPv6 のいずれかのシングルスタックでは設定できません。デフォルトは空の値または null です。

storage.driver

none または lvms

デフォルト値は空です。空の値または null フィールドのデフォルトは LVMS デプロイメントです。

storage.optionalCsiComponents

array

デフォルト値は null または空の配列です。null または空の配列の場合、デフォルトで snapshot-controller がデプロイされます。指定可能な値は csi-snapshot-controller または none です。none のエントリーは、他のいかなる値とも同時に使用できません。

telemetry.endpoint

https://infogw.api.openshift.com

テレメトリーデータが送信されるエンドポイント。報告されるメトリクスには、ユーザーデータや個人データは含まれません。デフォルト値は https://infogw.api.openshift.com です。

telemetry.status

Enabled

テレメトリーのステータスで、Enabled または Disabled になります。デフォルト値は Enabled です。

2.1.3. アドバタイズアドレスネットワークフラグの設定
リンクのコピー

apiserver.advertiseAddress フラグは、API サーバーをノードのメンバーにアドバタイズする IP アドレスを指定します。このアドレスは、ノードから到達可能である必要があります。ここでカスタム IP アドレスを設定できますが、その IP アドレスをホストインターフェイスに追加する必要もあります。このパラメーターをカスタマイズすると、MicroShift がデフォルトの IP アドレスを br-ex ネットワークインターフェイスに追加しなくなります。

重要

advertiseAddress IP アドレスをカスタマイズする場合は、ホストインターフェイスに IP アドレスを追加して、MicroShift の起動時にノードからアクセスできることを確認してください。

設定されていない場合、デフォルト値はサービスネットワークのすぐ後のサブネットに設定されます。たとえば、サービスネットワークが 10.43.0.0/16 の場合、advertiseAddress は、10.44.0.0/32 に設定されます。

2.1.4. NodePort サービスのポート範囲の拡張
リンクのコピー

serviceNodePortRange 設定では、NodePort サービスで使用できるポート範囲が拡張します。このオプションは、30000-32767 範囲内で特定の標準ポートを公開する必要がある場合に役立ちます。たとえば、クライアントデバイスは別のポートを使用できないため、デバイスはネットワーク上で 1883/tcp MQ Telemetry Transport (MQTT) ポートを公開する必要があります。

重要

NodePort がシステムポートと重複し、システムまたは MicroShift の誤動作を引き起こす可能性があります。

NodePort サービス範囲を設定するときは、次の点を考慮してください。

  • nodePort を明示的に選択せずに NodePort サービスを作成しないでください。明示的な nodePort が指定されていない場合、このポートは kube-apiserver によってランダムに割り当てられるため、予測できません。
  • デバイスの HostNetwork で公開するシステムサービスポート、MicroShift ポート、またはその他のサービスに対して NodePort サービスを作成しないでください。

  • 表 1 は、ポート範囲の拡張時に避けるべきポートを示しています。

    Expand
    表2.2 回避するポート
    ポート説明

    22/tcp

    SSH ポート

    80/tcp

    OpenShift Router HTTP エンドポイント

    443/tcp

    OpenShift Router HTTPS エンドポイント

    1936/tcp

    現在公開されていない openshift-router のメトリクスサービス

    2379/tcp

    etcd ポート

    2380/tcp

    etcd ポート

    6443

    Kubernetes API

    8445/tcp

    openshift-route-controller-manager

    9537/tcp

    cri-o metrics

    10250/tcp

    kubelet

    10248/tcp

    kubelet healthz ポート

    10259/tcp

    kube スケジューラー

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat