Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

OVN-Kubernetes ネットワークプラグイン

Red Hat OpenShift Service on AWS 4

Red Hat OpenShift Service on AWS における OVN-Kubernetes ネットワークプラグインの詳細な設定とトラブルシューティング

Red Hat OpenShift Documentation Team

概要

このドキュメントでは、Red Hat OpenShift Service on AWS の OVN-Kubernetes ネットワークプラグインにおけるアーキテクチャー、設定、およびトラブルシューティングに関する情報を提供します。

第1章 OVN-Kubernetes ネットワークプラグインについて
リンクのコピー

Red Hat OpenShift Service on AWS クラスターは、Pod およびサービスネットワークに仮想化ネットワークを使用します。

Red Hat OpenShift Networking の一部である OVN-Kubernetes ネットワークプラグインは、Red Hat OpenShift Service on AWS のデフォルトのネットワークプロバイダーです。OVN-Kubernetes は Open Virtual Network (OVN) をベースとしており、オーバーレイベースのネットワーク実装を提供します。OVN-Kubernetes プラグインを使用するクラスターは、各ノードで Open vSwitch (OVS) も実行します。OVN は、宣言ネットワーク設定を実装するように各ノードで OVS を設定します。

注記

OVN-Kubernetes は、Red Hat OpenShift Service on AWS およびシングルノード OpenShift デプロイメントのデフォルトのネットワークソリューションです。

OVS プロジェクトから生まれた OVN-Kubernetes は、オープンフロールールなどの同じコンストラクトの多くを使用して、パケットがネットワークをどのように移動するかを決定します。詳細は、Open Virtual Network の Web サイト を参照してください。

OVN-Kubernetes は、仮想ネットワーク設定を OpenFlow ルールに変換する OVS 用のデーモンシリーズです。OpenFlow は、ネットワークスイッチやルーターと通信するためのプロトコルであり、ネットワークデバイス上のネットワークトラフィックのフローをリモートで制御する手段を提供します。つまり、ネットワーク管理者はネットワークトラフィックのフローを設定、管理、および監視できます。

OVN-Kubernetes は、OpenFlow では利用できない高度な機能をさらに提供します。OVN は、分散仮想ルーティング、分散論理スイッチ、アクセス制御、Dynamic Host Configuration Protocol (DHCP)、および DNS をサポートしています。OVN は、オープンフローと同等の論理フロー内に分散仮想ルーターを実装します。たとえば、ネットワーク上の DHCP サーバーに DHCP 要求を送信する Pod がある場合、その要求内の論理フロールールが、OVN-Kubernetes によるパケットの処理を補助します。これは、サーバーがゲートウェイ、DNS サーバー、IP アドレスなどの情報で応答できることを意味します。

OVN-Kubernetes は、各ノードでデーモンを実行します。すべてのノードで実行されるデータベースおよび OVN コントローラー用のデーモンセットがあります。OVN コントローラーは、ノード上の Open vSwitch デーモンをプログラムして、次のネットワークプロバイダー機能をサポートします。

  • Egress IP
  • ファイアウォール
  • ハードウェアのオフロード
  • ハイブリッドネットワーク
  • Internet Protocol Security (IPsec) 暗号化
  • IPv6
  • マルチキャスト。
  • ネットワークポリシーとネットワークポリシーログ
  • Routers

1.1. OVN-Kubernetes の目的
リンクのコピー

OVN-Kubernetes ネットワークプラグインは、Open Virtual Network (OVN) を使用してネットワークトラフィックフローを管理する、オープンソースのフル機能の Kubernetes CNI プラグインです。OVN はコミュニティーで開発され、ベンダーに依存しないネットワーク仮想化ソリューションです。OVN-Kubernetes ネットワークプラグインは次のテクノロジーを使用します。

  • ネットワークトラフィックフローを管理するための OVN。
  • Ingress ルールおよび Egress ルールを含む Kubernetes ネットワークポリシーのサポートとログ。
  • ノード間にオーバーレイネットワークを作成するための、Virtual Extensible LAN (VXLAN) ではなく、Generic Network Virtualization Encapsulation (Geneve) プロトコル。

OVN-Kubernetes ネットワークプラグインは、次の機能をサポートしています。

  • Linux と Microsoft Windows の両方のワークロードを実行できるハイブリッドクラスター。この環境は ハイブリッドネットワーキング と呼ばれます。
  • ホストの中央処理装置 (CPU) から互換性のあるネットワークカードおよびデータ処理装置 (DPU) へのネットワークデータ処理のオフロード。これは ハードウェアオフロード と呼ばれます。
  • ベアメタル、VMware vSphere、IBM Power®、IBM Z®、および Red Hat OpenStack Platform (RHOSP) プラットフォーム上の IPv4 プライマリーデュアルスタックネットワーク。
  • RHOSP およびベアメタルプラットフォーム上の IPv6 シングルスタックネットワーク。
  • ベアメタル、VMware vSphere、または RHOSP プラットフォーム上で実行しているクラスター用の IPv6 プライマリーデュアルスタックネットワーク。
  • Egress ファイアウォールデバイスと Egress IP アドレス。
  • リダイレクトモードで動作する Egress ルーターデバイス。
  • クラスター内通信の IPsec 暗号化。

Red Hat は、OVN-Kubernetes ネットワークプラグインを使用する次のインストール後の設定をサポートしません。

  • NMState Operator を使用してインターフェイスのボンディングを設定するなどのプライマリーネットワークインターフェイスの設定。
  • Open vSwitch (OVS) または OVN-Kubernetes br-ex ブリッジネットワークを使用するネットワークデバイス上でのサブインターフェイスまたは追加のネットワークインターフェイスの設定。
  • プライマリーネットワークインターフェイス上での追加の仮想ローカルエリアネットワーク (VLAN) の作成。
  • クラスターのインストール中にノード用に作成した eth0 または bond0 などのプライマリーネットワークインターフェイスを使用した、追加のセカンダリーネットワークの作成。

Red Hat は、OVN-Kubernetes ネットワークプラグインを使用する次のインストール後の設定をサポートします。

  • クラスターのインストール中にプライマリーネットワークインターフェイスをノードの VLAN として設定した eth0.100 などのベースとなる物理インターフェイスからの追加の VLAN の作成。これは、Open vSwitch (OVS) ブリッジが eth0.100 のような初期 VLAN サブインターフェイスに接続され、ベースとなる物理インターフェイスを新しい設定で利用可能な状態のままにするため、機能します。
  • localnet トポロジーネットワークを使用して追加の OVN セカンダリーネットワークを作成するには、NodeNetworkConfigurationPolicy (NNCP) オブジェクトでセカンダリーネットワークを定義する必要があります。ネットワークを作成すると、Pod または仮想マシン (VM) をネットワークに接続できるようになります。これらのセカンダリーネットワークは、VLAN タグ付けを使用する場合と使用しない場合がある物理ネットワークへの専用の接続を提供します。ホストに必要なネットワーク設定などの必要なセットアップがないノードのホストネットワークからは、これらのネットワークにアクセスできません。

1.2. OVN-Kubernetes IPv6 とデュアルスタックの制限
リンクのコピー

OVN-Kubernetes ネットワークプラグインには、次の制限があります。

  • デュアルスタックネットワークに設定されたクラスターでは、IPv4 と IPv6 の両方のトラフィックがデフォルトゲートウェイとして同じネットワークインターフェイスを使用する必要があります。

    この要件が満たされない場合には、ovnkube-node デーモンセットのホストにある Pod は、CrashLoopBackOff 状態になります。

    oc get pod -n openshift-ovn-kubernetes -l app=ovnkube-node -o yaml のようなコマンドで Pod を表示すると、以下の出力のように、status フィールドにデフォルトゲートウェイに関する複数のメッセージが表示されます。 

    I1006 16:09:50.985852   60651 helper_linux.go:73] Found default gateway interface br-ex 192.168.127.1
I1006 16:09:50.985923   60651 helper_linux.go:73] Found default gateway interface ens4 fe80::5054:ff:febe:bcd4
F1006 16:09:50.985939   60651 ovnkube.go:130] multiple gateway interfaces detected: br-ex ens4

    唯一の解決策は、両方の IP ファミリーがデフォルトゲートウェイに同じネットワークインターフェイスを使用するように、ホストネットワークを再設定することです。

  • デュアルスタックネットワーク用に設定されたクラスターの場合、IPv4 と IPv6 の両方のルーティングテーブルにデフォルトゲートウェイが含まれている必要があります。

    この要件が満たされない場合には、ovnkube-node デーモンセットのホストにある Pod は、CrashLoopBackOff 状態になります。

    oc get pod -n openshift-ovn-kubernetes -l app=ovnkube-node -o yaml のようなコマンドで Pod を表示すると、以下の出力のように、status フィールドにデフォルトゲートウェイに関する複数のメッセージが表示されます。 

    I0512 19:07:17.589083  108432 helper_linux.go:74] Found default gateway interface br-ex 192.168.123.1
F0512 19:07:17.589141  108432 ovnkube.go:133] failed to get default gateway interface

    唯一の解決策として、両方の IP ファミリーにデフォルトゲートウェイが含まれるようにホストネットワークを再設定できます。

  • クラスターの MachineConfig カスタムリソース (CR) の kernelArgument セクションで ipv6.disable パラメーターを 1 に設定すると、OVN-Kubernetes Pod が CrashLoopBackOff 状態になります。さらに、Network Operator が Degraded 状態のままになっているため、クラスターを Red Hat OpenShift Service on AWS の新しいバージョンに更新することは失敗します。Red Hat はクラスターの IPv6 アドレスの無効化をサポートしていないため、ipv6.disable パラメーターを 1 に設定しないでください。

1.3. セッションアフィニティー
リンクのコピー

セッションアフィニティーは、Kubernetes Service オブジェクトに適用される機能です。<service_VIP>:<Port> に接続するたびに、トラフィックが常に同じバックエンドに負荷分散されるようにする場合は、セッションアフィニティー を使用できます。クライアントの IP アドレスに基づいてセッションアフィニティーを設定する方法など、詳細は、セッションアフィニティー を参照してください。

1.3.1. セッションアフィニティーのスティッキネスタイムアウト
リンクのコピー

Red Hat OpenShift Service on AWS の OVN-Kubernetes ネットワークプラグインは、最後のパケットに基づいてクライアントからのセッションのスティッキネスタイムアウトを計算します。たとえば、curl コマンドを 10 回実行すると、スティッキーセッションタイマーは最初のパケットではなく 10 番目のパケットから開始します。その結果、クライアントが継続的にサービスに接続している場合でも、セッションがタイムアウトすることはありません。タイムアウトは、timeoutSeconds パラメーターで設定された時間、サービスがパケットを受信しなかった場合に開始されます。

第2章 クラスター全体のプロキシーの設定
リンクのコピー

既存の Virtual Private Cloud (VPC) を使用している場合は、Red Hat OpenShift Service on AWS クラスターのインストール中またはクラスターのインストール後に、クラスター全体のプロキシーを設定できます。プロキシーを有効にすると、コアクラスターコンポーネントはインターネットへの直接アクセスを拒否されますが、プロキシーはユーザーのワークロードには影響しません。

注記

クラウドプロバイダー API への呼び出しを含め、クラスターシステムの egress トラフィックのみがプロキシーされます。

クラスター全体のプロキシーを使用する場合は、責任をもってクラスターへのプロキシーの可用性を確保してください。プロキシーが利用できなくなると、クラスターの正常性とサポート性に影響を与える可能性があります。

2.1. クラスター全体のプロキシーを設定するための前提条件
リンクのコピー

クラスター全体のプロキシーを設定するには、次の要件を満たす必要があります。これらの要件は、インストール中またはインストール後にプロキシーを設定する場合に有効です。

2.1.1. 一般要件
リンクのコピー

  • クラスターの所有者である。
  • アカウントには十分な権限がある。
  • クラスターに既存の Virtual Private Cloud (VPC) がある。
  • プロキシーは、クラスターの VPC および VPC のプライベートサブネットにアクセスできる。プロキシーは、クラスターの VPC および VPC のプライベートサブネットからもアクセスできる必要があります。

  • 次のエンドポイントが VPC エンドポイントに追加されている。

    • ec2.<aws_region>.amazonaws.com
    • elasticloadbalancing.<aws_region>.amazonaws.com

    • s3.<aws_region>.amazonaws.com

      これらのエンドポイントは、ノードから AWS EC2 API への要求を完了するために必要です。プロキシーはノードレベルではなくコンテナーレベルで機能するため、これらの要求を AWS プライベートネットワークを使用して AWS EC2 API にルーティングする必要があります。プロキシーサーバーの許可リストに EC2 API のパブリック IP アドレスを追加するだけでは不十分です。

      重要

      クラスター全体のプロキシーを使用する場合は、s3.<aws_region>.amazonaws.com エンドポイントを Gateway のタイプとして設定する必要があります。

2.1.2. ネットワーク要件
リンクのコピー

プロキシーが Egress トラフィックを再暗号化する場合は、OpenShift に必要ないくつかのドメインとポートの組み合わせに対する除外を作成する必要があります。

プロキシーは、以下の OpenShift URL の再暗号化を除外する必要があります。

Expand
表2.1 Egress トラフィックの再暗号化から除外する URL
アドレスプロトコル/ポート機能

observatorium-mst.api.openshift.com

https/443

必須。Managed OpenShift 固有のテレメトリーに使用されます。

sso.redhat.com

https/443

https://console.redhat.com/openshift サイトでは、sso.redhat.com からの認証を使用してプルシークレットをダウンロードし、Red Hat SaaS ソリューションを使用してサブスクリプション、クラスターインベントリー、チャージバックレポートなどのモニタリングを行います。

2.2. 追加の信頼バンドルに対する責任
リンクのコピー

追加の信頼バンドルを指定する場合は、以下の要件を満たす必要があります。

  • 追加の信頼バンドルの内容が有効であることを確認する
  • 追加の信頼バンドルに含まれる中間証明書を含む証明書の有効期限が切れていないことを確認する
  • 追加の信頼バンドルに含まれる証明書の有効期限を追跡して必要な更新を実行する
  • 更新された追加の信頼バンドルを使用してクラスター設定を更新する

2.3. インストール中にプロキシーを設定する
リンクのコピー

Red Hat OpenShift Service on AWS クラスターを既存の Virtual Private Cloud (VPC) にインストールする時に、HTTP または HTTPS プロキシーを設定できます。Red Hat OpenShift Cluster Manager または ROSA CLI (rosa) を使用して、インストール中にプロキシーを設定できます。

2.3.1. OpenShift Cluster Manager を使用したインストール時のプロキシーの設定
リンクのコピー

Red Hat OpenShift Service on AWS クラスターを既存の Virtual Private Cloud (VPC) にインストールする場合、Red Hat OpenShift Cluster Manager を使用して、インストール中にクラスター全体の HTTP または HTTPS プロキシーを有効にすることができます。

インストールの前に、クラスターがインストールされている VPC からプロキシーにアクセスできることを確認する必要があります。プロキシーは VPC のプライベートサブネットからもアクセスできる必要があります。

OpenShift Cluster Manager を使用してインストール中にクラスター全体のプロキシーを設定する詳細な手順は、OpenShift Cluster Manager を使用したカスタマイズしたクラスターの作成 を参照してください。

2.3.2. CLI を使用したインストール時のプロキシーの設定
リンクのコピー

Red Hat OpenShift Service on AWS クラスターを既存の Virtual Private Cloud (VPC) にインストールする場合は、ROSA CLI (rosa) を使用して、インストール中にクラスター全体の HTTP または HTTPS プロキシーを有効にできます。

以下の手順では、インストール時にクラスター全体のプロキシーを設定するために使用される ROSA CLI (rosa) 引数の詳細を説明します。

前提条件

  • クラスターがインストールされている VPC からプロキシーにアクセスできることを確認している。プロキシーは VPC のプライベートサブネットからもアクセスできる必要があります。

手順

  • クラスターの作成時にプロキシー設定を指定します。 

    $ rosa create cluster \
 <other_arguments_here> \
 --additional-trust-bundle-file <path_to_ca_bundle_file> \
    1
    2
    3 
    
 --http-proxy http://<username>:<password>@<ip>:<port> \
    4
    5 
    
 --https-proxy https://<username>:<password>@<ip>:<port> \
    6
    7 
    
 --no-proxy example.com
    8
    1 4 6
    additional-trust-bundle-filehttp-proxy 引数、および https-proxy 引数はすべてオプションです。
    2
    additional-trust-bundle-file 引数は、PEM でエンコードされた X.509 証明書のバンドルを指すファイルパスであり、これはすべて連結されています。TLS 検査プロキシーを使用する場合、プロキシーのアイデンティティー証明書が Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルの認証局によって署名されていない限り、additional-trust-bundle-file 引数が必要です。これは、プロキシーが透過的であるか、http-proxy および https-proxy 引数を使用して明示的な設定を必要とするかに関係なく適用されます。
    3 5 7
    http-proxy 引数および https-proxy 引数は、有効な URL を指している必要があります。
    8
    プロキシーを除外する宛先ドメイン名、IP アドレス、またはネットワーク CIDR のコンマ区切りのリスト。

    サブドメインのみと一致するように、ドメインの前に . を付けます。たとえば、.y.comx.y.com に一致しますが、y.com には一致しません。* を使用し、すべての宛先のプロキシーをバイパスします。インストール設定で networking.machineNetwork[].cidr フィールドで定義されるネットワークに含まれていないワーカーをスケールアップする場合、それらをこのリストに追加し、接続の問題を防ぐ必要があります。

    httpProxy または httpsProxy フィールドのいずれも設定されていない場合に、このフィールドは無視されます。

2.4. インストール後のプロキシーの設定
リンクのコピー

Red Hat OpenShift Service on AWS クラスターを既存の Virtual Private Cloud (VPC) にインストールした後に、HTTP または HTTPS プロキシーを設定できます。Red Hat OpenShift Cluster Manager または ROSA CLI (rosa) を使用して、インストール後にプロキシーを設定できます。

2.4.1. OpenShift Cluster Manager を使用したインストール後のプロキシーの設定
リンクのコピー

Red Hat OpenShift Cluster Manager を使用して、Virtual Private Cloud (VPC) の既存の Red Hat OpenShift Service on AWS クラスターにクラスター全体のプロキシー設定を追加できます。

OpenShift Cluster Manager を使用して、既存のクラスター全体のプロキシー設定を更新することもできます。たとえば、プロキシーのネットワークアドレスを更新するか、プロキシーの認証局のいずれかが期限切れになる場合は追加の信頼バンドルを置き換える必要がある場合があります。

重要

クラスターはプロキシー設定をコントロールプレーンおよびコンピュートノードに適用します。設定の適用時に、各クラスターノードは一時的にスケジュール不可能な状態になり、そのワークロードが drain (Pod の退避) されます。プロセスの一環として各ノードが再起動されます。

前提条件

  • Red Hat OpenShift Service on AWS クラスターがある。
  • クラスターが VPC にデプロイされている。

手順

  1. OpenShift Cluster Manager に移動し、クラスターを選択します。
  2. Networking ページの Virtual Private Cloud (VPC) セクションで、Edit cluster-wide proxy をクリックします。

  3. Edit cluster-wide proxy ページで、プロキシー設定の詳細を指定します。

    1. 次のフィールドの少なくとも 1 つに値を入力します。

      • 有効な HTTP proxy URL を指定します。
      • 有効な HTTPS proxy URL を指定します。

      • Additional trust bundle フィールドに、PEM でエンコードされた X.509 証明書バンドルを指定します。

        既存の信頼バンドルファイルを置き換える場合は、Replace file を選択してフィールドを表示します。このバンドルはクラスターノードの信頼済み証明書ストアに追加されます。TLS 検査プロキシーを使用する場合は、プロキシーのアイデンティティー証明書が Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルからの認証局によって署名されない限り、追加の信頼バンドルファイルが必要です。この要件は、プロキシーが透過的であるか、http-proxy および https-proxy 引数を使用して明示的な設定を必要とするかに関係なく適用されます。

    2. Confirm をクリックします。

検証

  • Networking ページの Virtual Private Cloud (VPC) セクションで、クラスターのプロキシー設定が想定どおりであることを確認します。

2.4.2. CLI を使用したインストール後のプロキシーの設定
リンクのコピー

ROSA CLI (rosa) を使用して、Virtual Private Cloud (VPC) 内の既存の ROSA クラスターにクラスター全体のプロキシー設定を追加できます。

rosa を使用して、既存のクラスター全体のプロキシー設定を更新することもできます。たとえば、プロキシーのネットワークアドレスを更新するか、プロキシーの認証局のいずれかが期限切れになる場合は追加の信頼バンドルを置き換える必要がある場合があります。

重要

クラスターはプロキシー設定をコントロールプレーンおよびコンピュートノードに適用します。設定の適用時に、各クラスターノードは一時的にスケジュール不可能な状態になり、そのワークロードが drain (Pod の退避) されます。プロセスの一環として各ノードが再起動されます。

前提条件

  • インストールホストに、最新の ROSA (rosa) および OpenShift (oc) CLI をインストールして設定している。
  • VPC にデプロイされた Red Hat OpenShift Service on AWS クラスターがある。

手順

  • クラスター設定を編集して、クラスター全体のプロキシーの詳細を追加または更新します。 

    $ rosa edit cluster \
 --cluster $CLUSTER_NAME \
 --additional-trust-bundle-file <path_to_ca_bundle_file> \
    1
    2
    3 
    
 --http-proxy http://<username>:<password>@<ip>:<port> \
    4
    5 
    
 --https-proxy https://<username>:<password>@<ip>:<port> \
    6
    7 
    
  --no-proxy example.com
    8
    1 4 6
    additional-trust-bundle-filehttp-proxy 引数、および https-proxy 引数はすべてオプションです。
    2
    additional-trust-bundle-file 引数は、PEM でエンコードされた X.509 証明書のバンドルを指すファイルパスであり、これはすべて連結されています。additional-trust-bundle-file 引数は、PEM でエンコードされた X.509 証明書のバンドルを指すファイルパスであり、これはすべて連結されています。TLS 検査プロキシーを使用する場合、プロキシーのアイデンティティー証明書が Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルの認証局によって署名されていない限り、additional-trust-bundle-file 引数が必要です。これは、プロキシーが透過的であるか、http-proxy および https-proxy 引数を使用して明示的な設定を必要とするかに関係なく適用されます。
    重要

    プロキシーまたは追加の信頼バンドル設定をクラスターで直接変更しようとしないでください。変更は、ROSA CLI (rosa) または Red Hat OpenShift Cluster Manager を使用して適用する必要があります。クラスター上のマネージドリソースに直接加えられた変更は、自動的に元に戻ります。

    3 5 7
    http-proxy 引数および https-proxy 引数は、有効な URL を指している必要があります。
    8
    プロキシーを除外する宛先ドメイン名、IP アドレス、またはネットワーク CIDR のコンマ区切りのリスト。

    サブドメインのみと一致するように、ドメインの前に . を付けます。たとえば、.y.comx.y.com に一致しますが、y.com には一致しません。* を使用し、すべての宛先のプロキシーをバイパスします。

    インストール設定で networking.machineNetwork[].cidr フィールドで定義されるネットワークに含まれていないワーカーをスケールアップする場合、それらをこのリストに追加し、接続の問題を防ぐ必要があります。

    httpProxy または httpsProxy フィールドのいずれも設定されていない場合に、このフィールドは無視されます。

検証

  1. クラスターのプロキシー設定を表示し、詳細が想定通りに表示されていることを確認します。 

    $ oc get proxy cluster -o yaml

    出力例

    apiVersion: config.openshift.io/v1
kind: Proxy
spec:
  httpProxy: http://proxy.host.domain:<port>
  httpsProxy: https://proxy.host.domain:<port>
  <...more...>
status:
  httpProxy: http://proxy.host.domain:<port>
  httpsProxy: https://proxy.host.domain:<port>
  <...more...>

2.5. クラスター全体のプロキシーの削除
リンクのコピー

ROSA CLI ツールを使用して、クラスター全体のプロキシーを削除できます。クラスターを削除した後、クラスターに追加された信頼バンドルもすべて削除する必要があります。

2.5.1. CLI を使用してクラスター全体のプロキシーを削除する
リンクのコピー

クラスターからプロキシーのアドレスを削除するには、ROSA CLI (rosa) を使用する必要があります。

前提条件

  • クラスター管理者の権限がある。
  • ROSA CLI (rosa) ツールをインストールしている。

手順

  • rosa edit コマンドを使用して、プロキシーを変更します。--http-proxy および --https-proxy 引数に空の文字列を渡して、クラスターからプロキシーをクリアする必要があります。 

    $ rosa edit cluster -c <cluster_name> --http-proxy "" --https-proxy ""
    注記

    プロキシーはプロキシー引数の 1 つしか使用しない場合がありますが、空のフィールドは無視されるため、空の文字列を --http-proxy 引数と --https-proxy 引数の両方に渡しても問題は発生しません。

    出力例

    I: Updated cluster <cluster_name>

検証

  • rosa describe コマンドを使用して、プロキシーがクラスターから削除されたことを確認できます。 

    $ rosa describe cluster -c <cluster_name>

    削除する前に、プロキシー IP がプロキシーセクションに表示されます。 

    Name:                       <cluster_name>
ID:                         <cluster_internal_id>
External ID:                <cluster_external_id>
OpenShift Version:          4.0
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_account_id>
API URL:                    <api_url>
Console URL:                <console_url>
Region:                     us-east-1
Multi-AZ:                   false
Nodes:
 - Control plane:           3
 - Infra:                   2
 - Compute:                 2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             <host_prefix>
Proxy:
 - HTTPProxy:               <proxy_url>
Additional trust bundle:    REDACTED

    プロキシーを削除すると、プロキシーセクションが削除されます。 

    Name:                       <cluster_name>
ID:                         <cluster_internal_id>
External ID:                <cluster_external_id>
OpenShift Version:          4.0
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_account_id>
API URL:                    <api_url>
Console URL:                <console_url>
Region:                     us-east-1
Multi-AZ:                   false
Nodes:
 - Control plane:           3
 - Infra:                   2
 - Compute:                 2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             <host_prefix>
Additional trust bundle:    REDACTED

2.5.2. Red Hat OpenShift Service on AWS クラスターでの認証局の削除
リンクのコピー

ROSA CLI (rosa) を使用して、クラスターから認証局 (CA) を削除できます。

前提条件

  • クラスター管理者の権限がある。
  • ROSA CLI (rosa) ツールをインストールしている。
  • クラスターには認証局が追加されている。

手順

  • rosa edit コマンドを使用して、CA 信頼バンドルを変更します。--additional-trust-bundle-file 引数に空の文字列を渡して、クラスターから信頼バンドルを消去する必要があります。 

    $ rosa edit cluster -c <cluster_name> --additional-trust-bundle-file ""

    出力例

    I: Updated cluster <cluster_name>

検証

  • rosa describe コマンドを使用して、信頼バンドルがクラスターから削除されたことを確認できます。 

    $ rosa describe cluster -c <cluster_name>

    削除する前に、追加の信頼バンドルセクションが表示され、セキュリティー上の目的でその値が編集されます。 

    Name:                       <cluster_name>
ID:                         <cluster_internal_id>
External ID:                <cluster_external_id>
OpenShift Version:          4.0
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_account_id>
API URL:                    <api_url>
Console URL:                <console_url>
Region:                     us-east-1
Multi-AZ:                   false
Nodes:
 - Control plane:           3
 - Infra:                   2
 - Compute:                 2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             <host_prefix>
Proxy:
 - HTTPProxy:               <proxy_url>
Additional trust bundle:    REDACTED

    プロキシーを削除すると、追加の信頼バンドルセクションが削除されます。 

    Name:                       <cluster_name>
ID:                         <cluster_internal_id>
External ID:                <cluster_external_id>
OpenShift Version:          4.0
Channel Group:              stable
DNS:                        <dns>
AWS Account:                <aws_account_id>
API URL:                    <api_url>
Console URL:                <console_url>
Region:                     us-east-1
Multi-AZ:                   false
Nodes:
 - Control plane:           3
 - Infra:                   2
 - Compute:                 2
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            <service_cidr>
 - Machine CIDR:            <machine_cidr>
 - Pod CIDR:                <pod_cidr>
 - Host Prefix:             <host_prefix>
Proxy:
 - HTTPProxy:               <proxy_url>

Legal Notice
リンクのコピー

Copyright © Red Hat

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of the OpenJS Foundation.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る