클러스터 관리
OpenShift Container Platform 3.11 클러스터 관리
초록
1장. 개요
이러한 클러스터 관리 주제에서는 OpenShift Container Platform 클러스터 및 기타 고급 구성 주제를 관리하기 위한 일상적인 작업을 다룹니다.
2장. 노드 관리
2.1. 개요
CLI 를 사용하여 인스턴스의 노드를 관리할 수 있습니다.
노드 관리 작업을 수행할 때 CLI는 실제 노드 호스트를 나타내는 노드 오브젝트 와 상호 작용합니다. 마스터는 노드 오브젝트의 정보를 사용하여 상태 점검 으로 노드를 검증합니다.
2.2. 노드 나열
마스터에 알려진 모든 노드를 나열하려면 다음을 수행합니다.
$ oc get nodes
출력 예
NAME STATUS ROLES AGE VERSION master.example.com Ready master 7h v1.9.1+a0ce1bc657 node1.example.com Ready compute 7h v1.9.1+a0ce1bc657 node2.example.com Ready compute 7h v1.9.1+a0ce1bc657
노드 정보를 사용하여 프로젝트의 Pod 배포에 대한 정보가 있는 모든 노드를 나열하려면 다음을 수행합니다.
$ oc get nodes -o wide
출력 예
NAME STATUS ROLES AGE VERSION EXTERNAL-IP OS-IMAGE KERNEL-VERSION CONTAINER-RUNTIME ip-172-18-0-39.ec2.internal Ready infra 1d v1.10.0+b81c8f8 54.172.185.130 Red Hat Enterprise Linux Server 7.5 (Maipo) 3.10.0-862.el7.x86_64 docker://1.13.1 ip-172-18-10-95.ec2.internal Ready master 1d v1.10.0+b81c8f8 54.88.22.81 Red Hat Enterprise Linux Server 7.5 (Maipo) 3.10.0-862.el7.x86_64 docker://1.13.1 ip-172-18-8-35.ec2.internal Ready compute 1d v1.10.0+b81c8f8 34.230.50.57 Red Hat Enterprise Linux Server 7.5 (Maipo) 3.10.0-862.el7.x86_64 docker://1.13.1
단일 노드에 대한 정보만 나열하려면 <node> 를 전체 노드 이름으로 교체합니다.
$ oc get node <node>
이러한 명령 출력의 STATUS 열에 다음과 같은 상태의 노드가 표시될 수 있습니다.
| 상태 | 설명 |
|---|---|
|
|
노드는 |
|
| 노드는 마스터에서 수행한 상태 점검을 전달하지 않습니다. |
|
| Pod는 노드에 배치하도록 예약할 수 없습니다. |
CLI가 노드 조건을 찾을 수 없는 경우 STATUS 열에 노드에 대해 Unknown 을 표시할 수도 있습니다.
현재 조건의 이유를 포함하여 특정 노드에 대한 자세한 정보를 얻으려면 다음을 수행합니다.
$ oc describe node <node>
예를 들면 다음과 같습니다.
$ oc describe node node1.example.com
출력 예
Name: node1.example.com 1 Roles: compute 2 Labels: beta.kubernetes.io/arch=amd64 3 beta.kubernetes.io/os=linux kubernetes.io/hostname=m01.example.com node-role.kubernetes.io/compute=true node-role.kubernetes.io/infra=true node-role.kubernetes.io/master=true zone=default Annotations: volumes.kubernetes.io/controller-managed-attach-detach=true 4 CreationTimestamp: Thu, 24 May 2018 11:46:56 -0400 Taints: <none> 5 Unschedulable: false Conditions: 6 Type Status LastHeartbeatTime LastTransitionTime Reason Message ---- ------ ----------------- ------------------ ------ ------- OutOfDisk False Tue, 17 Jul 2018 11:47:30 -0400 Tue, 10 Jul 2018 15:45:16 -0400 KubeletHasSufficientDisk kubelet has sufficient disk space available MemoryPressure False Tue, 17 Jul 2018 11:47:30 -0400 Tue, 10 Jul 2018 15:45:16 -0400 KubeletHasSufficientMemory kubelet has sufficient memory available DiskPressure False Tue, 17 Jul 2018 11:47:30 -0400 Tue, 10 Jul 2018 16:03:54 -0400 KubeletHasNoDiskPressure kubelet has no disk pressure Ready True Tue, 17 Jul 2018 11:47:30 -0400 Mon, 16 Jul 2018 15:10:25 -0400 KubeletReady kubelet is posting ready status PIDPressure False Tue, 17 Jul 2018 11:47:30 -0400 Thu, 05 Jul 2018 10:06:51 -0400 KubeletHasSufficientPID kubelet has sufficient PID available Addresses: 7 InternalIP: 192.168.122.248 Hostname: node1.example.com Capacity: 8 cpu: 2 hugepages-2Mi: 0 memory: 8010336Ki pods: 40 Allocatable: cpu: 2 hugepages-2Mi: 0 memory: 7907936Ki pods: 40 System Info: 9 Machine ID: b3adb9acbc49fc1f9a7d6 System UUID: B3ADB9A-B0CB-C49FC1F9A7D6 Boot ID: 9359d15aec9-81a20aef5876 Kernel Version: 3.10.0-693.21.1.el7.x86_64 OS Image: OpenShift Enterprise Operating System: linux Architecture: amd64 Container Runtime Version: docker://1.13.1 Kubelet Version: v1.10.0+b81c8f8 Kube-Proxy Version: v1.10.0+b81c8f8 ExternalID: node1.example.com Non-terminated Pods: (14 in total) 10 Namespace Name CPU Requests CPU Limits Memory Requests Memory Limits --------- ---- ------------ ---------- --------------- ------------- default docker-registry-2-w252l 100m (5%) 0 (0%) 256Mi (3%) 0 (0%) default registry-console-2-dpnc9 0 (0%) 0 (0%) 0 (0%) 0 (0%) default router-2-5snb2 100m (5%) 0 (0%) 256Mi (3%) 0 (0%) kube-service-catalog apiserver-jh6gt 0 (0%) 0 (0%) 0 (0%) 0 (0%) kube-service-catalog controller-manager-z4t5j 0 (0%) 0 (0%) 0 (0%) 0 (0%) kube-system master-api-m01.example.com 0 (0%) 0 (0%) 0 (0%) 0 (0%) kube-system master-controllers-m01.example.com 0 (0%) 0 (0%) 0 (0%) 0 (0%) kube-system master-etcd-m01.example.com 0 (0%) 0 (0%) 0 (0%) 0 (0%) openshift-ansible-service-broker asb-1-hnn5t 0 (0%) 0 (0%) 0 (0%) 0 (0%) openshift-node sync-dvhvs 0 (0%) 0 (0%) 0 (0%) 0 (0%) openshift-sdn ovs-zjs5k 100m (5%) 200m (10%) 300Mi (3%) 400Mi (5%) openshift-sdn sdn-zr4cb 100m (5%) 0 (0%) 200Mi (2%) 0 (0%) openshift-template-service-broker apiserver-s9n7t 0 (0%) 0 (0%) 0 (0%) 0 (0%) openshift-web-console webconsole-785689b664-q7s9j 100m (5%) 0 (0%) 100Mi (1%) 0 (0%) Allocated resources: (Total limits may be over 100 percent, i.e., overcommitted.) CPU Requests CPU Limits Memory Requests Memory Limits ------------ ---------- --------------- ------------- 500m (25%) 200m (10%) 1112Mi (14%) 400Mi (5%) Events: 11 Type Reason Age From Message ---- ------ ---- ---- ------- Normal NodeHasSufficientPID 6d (x5 over 6d) kubelet, m01.example.com Node m01.example.com status is now: NodeHasSufficientPID Normal NodeAllocatableEnforced 6d kubelet, m01.example.com Updated Node Allocatable limit across pods Normal NodeHasSufficientMemory 6d (x6 over 6d) kubelet, m01.example.com Node m01.example.com status is now: NodeHasSufficientMemory Normal NodeHasNoDiskPressure 6d (x6 over 6d) kubelet, m01.example.com Node m01.example.com status is now: NodeHasNoDiskPressure Normal NodeHasSufficientDisk 6d (x6 over 6d) kubelet, m01.example.com Node m01.example.com status is now: NodeHasSufficientDisk Normal NodeHasSufficientPID 6d kubelet, m01.example.com Node m01.example.com status is now: NodeHasSufficientPID Normal Starting 6d kubelet, m01.example.com Starting kubelet. ...
2.3. 노드 보기
컨테이너에 런타임 환경을 제공하는 노드에 대한 사용량 통계를 표시할 수 있습니다. 이러한 사용량 통계에는 CPU, 메모리, 스토리지 사용량이 포함됩니다.
사용량 통계를 보려면 다음을 수행합니다.
$ oc adm top nodes
출력 예
NAME CPU(cores) CPU% MEMORY(bytes) MEMORY% node-1 297m 29% 4263Mi 55% node-0 55m 5% 1201Mi 15% infra-1 85m 8% 1319Mi 17% infra-0 182m 18% 2524Mi 32% master-0 178m 8% 2584Mi 16%
라벨을 사용하여 노드의 사용량 통계를 보려면 다음을 실행합니다.
$ oc adm top node --selector=''
필터링할 선택기(라벨 쿼리)를 선택해야 합니다. =, ==, !=가 지원됩니다.
사용량 통계를 보려면 cluster-reader 권한이 있어야 합니다.
사용량 통계를 보려면 metrics-server 를 설치해야 합니다. Horizontal Pod Autoscaler 사용에 대한 요구 사항을 참조하십시오.
2.4. 호스트 추가
scaleup.yml 플레이북을 실행하여 클러스터에 새 호스트를 추가할 수 있습니다. 이 플레이북은 마스터를 쿼리하고 새 호스트에 대한 새 인증서를 생성 및 배포한 다음 새 호스트에서만 구성 플레이북을 실행합니다. scaleup.yml 플레이북을 실행하기 전에 사전 요구 사항 호스트 준비 단계를 모두 완료합니다.
scaleup.yml 플레이북은 새 호스트만 구성합니다. 마스터 서비스에서 NO_PROXY 를 업데이트하지 않으며 마스터 서비스를 다시 시작하지 않습니다.
scaleup.yml 플레이북을 실행하려면 현재 클러스터 구성을 나타내는 기존 인벤토리 파일(예: /etc/ansible/hosts )이 있어야 합니다. 이전에 atomic-openshift-installer 명령을 사용하여 설치를 실행하는 경우 설치 프로그램에서 생성한 마지막 인벤토리 파일의 ~/.config/openshift/hosts 를 확인하고 해당 파일을 인벤토리 파일로 사용할 수 있습니다. 필요에 따라 이 파일을 수정할 수 있습니다. 그런 다음 ansible-playbook 을 실행할 때 -i 를 사용하여 파일 위치를 지정해야 합니다.
권장되는 최대 노드 수는 클러스터 최대값 섹션을 참조하십시오.
절차
openshift-ansible 패키지를 업데이트하여 최신 플레이북이 있는지 확인합니다.
# yum update openshift-ansible
/etc/ansible/hosts 파일을 편집하고 new_<host_type> 을 [OSEv3:children] 섹션에 추가합니다. 예를 들어 새 노드 호스트를 추가하려면 new_nodes 를 추가합니다.
[OSEv3:children] masters nodes new_nodes
새 마스터 호스트를 추가하려면 new_masters 를 추가합니다.
[new_<host_type>] 섹션을 생성하여 새 호스트에 대한 호스트 정보를 지정합니다. 새 노드 추가의 다음 예에 표시된 대로 이 섹션을 기존 섹션처럼 포맷합니다.
[nodes] master[1:3].example.com node1.example.com openshift_node_group_name='node-config-compute' node2.example.com openshift_node_group_name='node-config-compute' infra-node1.example.com openshift_node_group_name='node-config-infra' infra-node2.example.com openshift_node_group_name='node-config-infra' [new_nodes] node3.example.com openshift_node_group_name='node-config-infra'
자세한 옵션은 호스트 변수 구성을 참조하십시오.
새 마스터 호스트를 추가할 때 [new_masters] 섹션과 [new_nodes] 섹션 모두에 호스트를 추가하여 새 마스터 호스트가 OpenShift SDN의 일부인지 확인합니다.
[masters] master[1:2].example.com [new_masters] master3.example.com [nodes] master[1:2].example.com node1.example.com openshift_node_group_name='node-config-compute' node2.example.com openshift_node_group_name='node-config-compute' infra-node1.example.com openshift_node_group_name='node-config-infra' infra-node2.example.com openshift_node_group_name='node-config-infra' [new_nodes] master3.example.com
중요node-role.kubernetes.io/infra=true레이블을 사용하여 마스터 호스트에 레이블을 지정하고 다른 전용 인프라 노드가 없는 경우, 항목에openshift_schedulable=true를 추가하여 호스트를 예약 가능으로 명시적으로 표시해야 합니다. 그렇지 않으면 레지스트리 및 라우터 포드를 아무 위치에 배치할 수 없습니다.플레이북 디렉터리로 변경하고 openshift_node_group.yml 플레이북을 실행합니다. 인벤토리 파일이 기본값 /etc/ansible/hosts 이외의 위치에 있는 경우
-i옵션을 사용하여 위치를 지정합니다.$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook [-i /path/to/file] \ playbooks/openshift-master/openshift_node_group.yml
이렇게 하면 새 노드 그룹에 대한 ConfigMap이 생성되고 궁극적으로 호스트에서 노드의 구성 파일이 생성됩니다.
참고openshift_node_group.yaml 플레이북을 실행하면 새 노드만 업데이트됩니다. 클러스터의 기존 노드를 업데이트하기 위해 실행할 수 없습니다.
scaleup.yml 플레이북을 실행합니다. 인벤토리 파일이 기본값 /etc/ansible/hosts 이외의 위치에 있는 경우
-i옵션을 사용하여 위치를 지정합니다.추가 노드의 경우 다음을 수행합니다.
$ ansible-playbook [-i /path/to/file] \ playbooks/openshift-node/scaleup.yml추가 마스터의 경우 다음을 수행합니다.
$ ansible-playbook [-i /path/to/file] \ playbooks/openshift-master/scaleup.yml
클러스터에 EFK 스택을 배포한 경우 node 레이블을
logging-infra-fluentd=true로 설정합니다.# oc label node/new-node.example.com logging-infra-fluentd=true
- 플레이북이 실행된 후 설치를 확인합니다.
[new_<host_type>] 섹션에서 정의한 호스트를 적절한 섹션으로 이동합니다. 이러한 호스트를 이동하면 이 인벤토리 파일을 사용하는 후속 플레이북 실행에서 노드를 올바르게 처리합니다. [new_<host_type>] 섹션은 비어 있습니다. 예를 들어 새 노드를 추가할 때 다음을 수행합니다.
[nodes] master[1:3].example.com node1.example.com openshift_node_group_name='node-config-compute' node2.example.com openshift_node_group_name='node-config-compute' node3.example.com openshift_node_group_name='node-config-compute' infra-node1.example.com openshift_node_group_name='node-config-infra' infra-node2.example.com openshift_node_group_name='node-config-infra' [new_nodes]
2.5. 노드 삭제
CLI를 사용하여 노드를 삭제하면 Kubernetes에서 노드 오브젝트가 삭제되지만 노드 자체에 존재하는 Pod는 삭제되지 않습니다. 복제 컨트롤러에서 지원하지 않는 베어 Pod는 OpenShift Container Platform에 액세스할 수 없으며 복제 컨트롤러에서 지원하는 Pod는 다른 사용 가능한 노드로 다시 예약되며 로컬 매니페스트 Pod 는 수동으로 삭제해야 합니다.
OpenShift Container Platform 클러스터에서 노드를 삭제하려면 다음을 수행합니다.
- 삭제 를 준비 중인 노드에서 Pod 를 비웁니다.
노드 오브젝트를 삭제합니다.
$ oc delete node <node>
노드가 노드 목록에서 제거되었는지 확인합니다.
$ oc get nodes
이제 Pod가 Ready 상태인 나머지 노드에만 예약되어야 합니다.
- 모든 Pod 및 컨테이너를 포함하여 노드 호스트에서 모든 OpenShift Container Platform 콘텐츠를 제거하려면 노드 제거를 계속하고 uninstall.yml 플레이북을 사용하는 절차를 따르십시오. 이 절차에서는 Ansible을 사용하여 클러스터 설치 프로세스에 대한 일반적인 이해라고 가정합니다.
2.6. 노드에서 라벨 업데이트
노드에 라벨을 추가하거나 업데이트하려면 다음을 수행합니다.
$ oc label node <node> <key_1>=<value_1> ... <key_n>=<value_n>
자세한 사용법을 보려면 다음을 수행합니다.
$ oc label -h
2.7. 노드의 Pod 나열
하나 이상의 노드에 있는 모든 Pod 또는 선택한 Pod를 나열하려면 다음을 수행합니다.
$ oc adm manage-node <node1> <node2> \
--list-pods [--pod-selector=<pod_selector>] [-o json|yaml]선택한 노드에서 모든 Pod 또는 선택한 Pod를 나열하려면 다음을 수행합니다.
$ oc adm manage-node --selector=<node_selector> \
--list-pods [--pod-selector=<pod_selector>] [-o json|yaml]2.8. 노드를 예약 불가능 또는 예약 가능으로 표시
기본적으로 상태가 Ready 인 정상 노드는 예약 가능으로 표시됩니다. 즉, 노드에 새 Pod를 배치할 수 있습니다. 수동으로 노드를 예약 불가로 표시하면 새 Pod가 노드에 예약되지 않도록 차단됩니다. 노드의 기존 Pod에는 영향을 미치지 않습니다.
노드 또는 노드를 예약 불가로 표시하려면 다음을 수행합니다.
$ oc adm manage-node <node1> <node2> --schedulable=false
예를 들면 다음과 같습니다.
$ oc adm manage-node node1.example.com --schedulable=false
출력 예
NAME LABELS STATUS node1.example.com kubernetes.io/hostname=node1.example.com Ready,SchedulingDisabled
현재 예약할 수 없는 노드 또는 노드를 예약 가능으로 표시하려면 다음을 수행합니다.
$ oc adm manage-node <node1> <node2> --schedulable
또는 특정 노드 이름(예: <node1> <node2>)을 지정하는 대신 옵션을 사용하여 선택한 노드를 예약 가능 또는 예약 불가로 표시할 수 있습니다.
--selector=< node_selector>
2.9. 노드에서 Pod 비우기
Pod를 비우면 지정된 노드에서 모든 Pod 또는 선택한 Pod를 마이그레이션할 수 있습니다. Pod 비우기를 수행하려면 먼저 노드를 예약할 수 없음으로 표시되어야 합니다.
복제 컨트롤러에서 지원하는 포드만 비울 수 있습니다. 복제 컨트롤러는 다른 노드에 새 포드를 생성하고 지정된 노드에서 기존 포드를 제거합니다. 복제 컨트롤러에서 지원하지 않는 베어 Pod는 기본적으로 영향을 받지 않습니다. Pod 선택기를 지정하여 Pod의 하위 집합을 비울 수 있습니다. 포드 선택기는 라벨을 기반으로 하므로 지정된 레이블이 있는 모든 Pod가 비어 있습니다.
노드에서 모든 Pod 또는 선택한 Pod를 비우려면 다음을 수행합니다.
$ oc adm drain <node> [--pod-selector=<pod_selector>]
--force 옵션을 사용하여 베어 Pod를 강제로 삭제할 수 있습니다. true 로 설정하면 복제 컨트롤러, ReplicaSet, 작업, daemonset 또는 StatefulSet에서 관리하지 않는 Pod가 있는 경우에도 삭제가 계속됩니다.
$ oc adm drain <node> --force=true
--grace-period 를 사용하여 각 포드가 정상적으로 종료될 수 있는 기간(초)을 설정할 수 있습니다. 음수인 경우 Pod에 지정된 기본값이 사용됩니다.
$ oc adm drain <node> --grace-period=-1
--ignore-daemonsets를 사용하여 daemonset- managed Pod를 무시하도록 true 로 설정할 수 있습니다.
$ oc adm drain <node> --ignore-daemonsets=true
--timeout 을 사용하여 포기하기 전에 대기하는 시간을 설정할 수 있습니다. 값이 0이면 시간이 제한되지 않습니다.
$ oc adm drain <node> --timeout=5s
emptyDir(노드 드레이닝 시 삭제되는 로컬 데이터)을 사용하는 Pod가 있는 경우에도 --delete-local-data 를 사용하여 삭제를 계속하도록 true 로 설정할 수 있습니다.
$ oc adm drain <node> --delete-local-data=true
실제로 비우기를 수행하지 않고 마이그레이션할 오브젝트를 나열하려면 --dry-run 옵션을 사용하여 true 로 설정합니다.
$ oc adm drain <node> --dry-run=true
특정 노드 이름을 지정하는 대신 --selector=<node_selector> 옵션을 사용하여 선택기와 일치하는 노드에서 Pod를 비울 수 있습니다.
2.10. 노드 재부팅
플랫폼에서 실행 중인 애플리케이션을 중단하지 않고 노드를 재부팅하려면 먼저 포드를 비우는 것이 중요합니다. 라우팅 계층에서 가용성이 높은 Pod의 경우 다른 작업을 수행할 필요가 없습니다. 스토리지(일반적으로 데이터베이스)가 필요한 기타 Pod의 경우 특정 Pod가 일시적으로 오프라인으로 전환된 상태에서도 계속 작동하는지 확인하는 것이 중요합니다. 상태 저장 Pod에 대한 복원력을 구현하는 것은 애플리케이션마다 다르지만, 모든 경우에 노드 유사성 방지를 사용하도록 스케줄러를 구성하여 Pod가 사용 가능한 노드에 적절하게 분배되도록 하는 것이 중요합니다.
또 다른 문제는 라우터 또는 레지스트리와 같은 중요한 인프라를 실행하는 노드를 처리하는 방법입니다. 동일한 노드 비우기 프로세스가 적용되지만 특정 엣지 케이스를 이해하는 것이 중요합니다.
2.10.1. 인프라 노드
인프라 노드는 OpenShift Container Platform 환경의 일부를 실행하도록 레이블이 지정된 노드입니다. 현재 노드 재부팅을 관리하는 가장 쉬운 방법은 인프라를 실행하는 데 사용 가능한 노드가 3개 이상 있는지 확인하는 것입니다. 아래 시나리오는 두 개의 노드만 사용할 수 있을 때 OpenShift Container Platform에서 실행되는 애플리케이션의 서비스 중단으로 이어질 수 있는 일반적인 실수를 보여줍니다.
- 노드 A가 예약 불가로 표시되고 모든 Pod가 비어 있습니다.
- 이제 해당 노드에서 실행 중인 레지스트리 포드가 B 노드에 재배포됩니다. 즉, 노드 B는 이제 두 레지스트리 포드를 모두 실행합니다.
- 이제 노드 B가 예약 불가로 표시되고 비어 있습니다.
- 노드 B에 두 포드 끝점을 노출하는 서비스는 잠시 동안 노드 A에 재배포될 때까지 모든 엔드포인트가 손실됩니다.
세 개의 인프라 노드를 사용하는 동일한 프로세스로 인해 서비스가 중단되지 않습니다. 그러나 Pod 예약으로 인해 비워진 후 되돌린 마지막 노드가 0개의 레지스트리를 실행 중인 상태로 남아 있습니다. 다른 두 노드는 각각 두 개의 레지스트리와 하나의 레지스트리를 실행합니다. 최상의 솔루션은 Pod 유사성 방지를 사용하는 것입니다. 이는 현재 테스트할 수 있지만 프로덕션 워크로드에서 아직 지원되지 않는 알파 기능입니다.
2.10.2. Pod 유사성 방지 사용
Pod 유사성 방지 는 노드 유사성 방지 와 약간 다릅니다. Pod를 배포할 다른 적절한 위치가 없는 경우 노드 유사성 방지를 위반할 수 있습니다. Pod 유사성 방지를 필수 또는 기본으로 설정할 수 있습니다.
apiVersion: v1
kind: Pod
metadata:
name: with-pod-antiaffinity
spec:
affinity:
podAntiAffinity: 1
preferredDuringSchedulingIgnoredDuringExecution: 2
- weight: 100 3
podAffinityTerm:
labelSelector:
matchExpressions:
- key: docker-registry 4
operator: In 5
values:
- default
topologyKey: kubernetes.io/hostname
이 예제에서는 컨테이너 이미지 레지스트리 포드에 docker-registry=default 레이블이 있다고 가정합니다. Pod 유사성 방지에서는 모든 Kubernetes 일치 표현식을 사용할 수 있습니다.
마지막 필수 단계는 /etc/origin/master/scheduler.json 에서 MatchInterPodAffinity 스케줄러 서술자를 활성화하는 것입니다. 이 경우 두 개의 인프라 노드만 사용할 수 있고 하나의 인프라 노드만 재부팅하면 컨테이너 이미지 레지스트리 포드가 다른 노드에서 실행되지 않습니다. oc get pods 는 적절한 노드를 사용할 수 있을 때까지 포드를 준비되지 않은 것으로 보고합니다. 노드를 사용할 수 있고 모든 Pod가 준비 상태가 되면 다음 노드를 재시작할 수 있습니다.
2.10.3. 라우터를 실행하는 노드 처리
대부분의 경우 OpenShift Container Platform 라우터를 실행하는 Pod는 호스트 포트를 노출합니다. PodFitsPorts 스케줄러 서술자를 사용하면 동일한 포트를 사용하는 라우터 Pod가 동일한 노드에서 실행되지 않으며 Pod 유사성 방지를 구현할 수 있습니다. 라우터가 고가용성을 위해 IP 페일오버를 사용하는 경우 추가로 필요한 것은 없습니다. 고가용성을 위해 AWS Elastic Load Balancing과 같은 외부 서비스를 사용하는 라우터 Pod의 경우 해당 서비스에서 라우터 Pod 재시작에 대응해야 합니다.
드물지만 라우터 포드에 호스트 포트가 구성되어 있지 않을 수 있습니다. 이러한 경우 인프라 노드에 권장되는 재시작 프로세스를 따라야 합니다.
2.11. 노드 수정
설치 중에 OpenShift Container Platform은 각 노드 그룹에 대해 openshift-node 프로젝트에 configmap을 생성합니다.
- node-config-master
- node-config-infra
- node-config-compute
- node-config-all-in-one
- node-config-master-infra
기존 노드를 구성하려면 적절한 구성 맵을 편집합니다. 각 노드의 동기화 Pod 는 구성 맵의 변경 사항을 감시합니다. 설치하는 동안 동기화 Pod는 동기화 Daemonsets 를 사용하고 노드 구성 매개 변수가 있는 /etc/origin/node/node-config.yaml 파일이 각 노드에 추가됩니다. 동기화 Pod에서 구성 맵 변경 사항을 탐지하면 해당 노드 그룹의 모든 노드에서 node-config.yaml 을 업데이트하고 적절한 노드에서 atomic-openshift-node.service 를 다시 시작합니다.
$ oc get cm -n openshift-node
출력 예
NAME DATA AGE node-config-all-in-one 1 1d node-config-compute 1 1d node-config-infra 1 1d node-config-master 1 1d node-config-master-infra 1 1d
node-config-compute 그룹의 구성 맵 샘플
apiVersion: v1 authConfig: 1 authenticationCacheSize: 1000 authenticationCacheTTL: 5m authorizationCacheSize: 1000 authorizationCacheTTL: 5m dnsBindAddress: 127.0.0.1:53 dnsDomain: cluster.local dnsIP: 0.0.0.0 2 dnsNameservers: null dnsRecursiveResolvConf: /etc/origin/node/resolv.conf dockerConfig: dockerShimRootDirectory: /var/lib/dockershim dockerShimSocket: /var/run/dockershim.sock execHandlerName: native enableUnidling: true imageConfig: format: registry.reg-aws.openshift.com/openshift3/ose-${component}:${version} latest: false iptablesSyncPeriod: 30s kind: NodeConfig kubeletArguments: 3 bootstrap-kubeconfig: - /etc/origin/node/bootstrap.kubeconfig cert-dir: - /etc/origin/node/certificates cloud-config: - /etc/origin/cloudprovider/aws.conf cloud-provider: - aws enable-controller-attach-detach: - 'true' feature-gates: - RotateKubeletClientCertificate=true,RotateKubeletServerCertificate=true node-labels: - node-role.kubernetes.io/compute=true pod-manifest-path: - /etc/origin/node/pods 4 rotate-certificates: - 'true' masterClientConnectionOverrides: acceptContentTypes: application/vnd.kubernetes.protobuf,application/json burst: 40 contentType: application/vnd.kubernetes.protobuf qps: 20 masterKubeConfig: node.kubeconfig networkConfig: 5 mtu: 8951 networkPluginName: redhat/openshift-ovs-subnet 6 servingInfo: 7 bindAddress: 0.0.0.0:10250 bindNetwork: tcp4 clientCA: client-ca.crt 8 volumeConfig: localQuota: perFSGroup: null volumeDirectory: /var/lib/origin/openshift.local.volumes
- 1
- 인증 및 권한 부여 구성 옵션.
- 2
- 포드의 /etc/resolv.conf 앞에 추가되는 IP 주소.
- 3
- Kubelet의 명령줄 인수 와 일치하는 Kubelet에 직접 전달되는 키 값 쌍입니다.
- 4
- Pod 매니페스트 파일 또는 디렉터리의 경로입니다. 디렉터리에는 하나 이상의 매니페스트 파일이 포함되어야 합니다. OpenShift Container Platform은 매니페스트 파일을 사용하여 노드에 Pod를 생성합니다.
- 5
- 노드의 Pod 네트워크 설정입니다.
- 6
- 소프트웨어 정의 네트워크(SDN) 플러그인. ovs
-subnet 플러그인의 경우 redhat/openshift-ovs-subnet, ovs -multitenant 플러그인의 경우 redhat/openshift-ovs-multitenant 또는 ovs -networkpolicy 플러그인의 경우 redhat/openshift-ovs-networkpolicy 로 설정합니다. - 7
- 노드의 인증서 정보입니다.
- 8
- 선택 사항: PEM 인코딩 인증서 번들. 설정한 경우 요청 헤더에서 사용자 이름을 확인하기 전에 지정된 파일의 인증 기관에 대해 유효한 클라이언트 인증서를 제공하고 검증해야 합니다.
/etc/origin/node/node-config.yaml 파일을 수동으로 수정하지 마십시오.
2.11.1. 노드 리소스 구성
노드 구성 맵에 kubelet 인수를 추가하여 노드 리소스를 구성할 수 있습니다.
구성 맵을 편집합니다.
$ oc edit cm node-config-compute -n openshift-node
kubeletArguments섹션을 추가하고 옵션을 지정합니다.kubeletArguments: max-pods: 1 - "40" resolv-conf: 2 - "/etc/resolv.conf" image-gc-high-threshold: 3 - "90" image-gc-low-threshold: 4 - "80" kube-api-qps: 5 - "20" kube-api-burst: 6 - "40"
사용 가능한 kubelet 옵션을 모두 보려면 다음을 수행합니다.
$ hyperkube kubelet -h
2.11.2. 노드당 최대 Pod 설정
각 OpenShift Container Platform 버전에 대해 지원되는 최대 한도는 클러스터 최대화 페이지를 참조하십시오.
/etc/origin/node/node-config.yaml 파일에서 하나의 매개변수는 노드에 예약할 수 있는 최대 Pod 수 를 제어합니다. max-pods 옵션을 사용하는 경우 노드의 Pod 수를 제한합니다. 이 값을 초과하면 다음과 같은 결과가 발생할 수 있습니다.
- OpenShift Container Platform 및 Docker 모두에 대한 CPU 사용률 증가
- Pod 예약 속도 저하.
- 메모리 부족 시나리오(노드의 메모리 크기에 따라 다름).
- IP 주소 모두 소진
- 리소스 초과 커밋으로 인한 사용자 애플리케이션 성능 저하
Kubernetes의 경우 단일 컨테이너를 보유한 하나의 Pod에서 실제로 두 개의 컨테이너가 사용됩니다. 두 번째 컨테이너는 실제 컨테이너 시작 전 네트워킹 설정에 사용됩니다. 따라서 10개의 Pod를 실행하는 시스템에서는 실제로 20개의 컨테이너가 실행됩니다.
max-pods 는 노드의 속성에 관계없이 노드가 실행할 수 있는 Pod 수를 고정 값으로 설정합니다. 클러스터 제한 은 max-pods에 대해 지원되는 최대 값을 문서화합니다.
kubeletArguments:
max-pods:
- "250"
위 예를 사용하여 max-pods 의 기본값은 250 입니다.
2.12. Docker 스토리지 재설정
컨테이너 이미지를 다운로드하고 컨테이너를 실행하고 삭제할 때 Docker에서 매핑된 디스크 공간을 항상 확보하지는 않습니다. 결과적으로 시간이 지남에 따라 노드에서 공간이 부족하여 OpenShift Container Platform에서 새 Pod를 생성하거나 Pod를 생성하는 데 몇 분이 걸릴 수 있습니다.
예를 들어 다음은 6분 후에도 ContainerCreating 상태에 있는 Pod를 표시하고 이벤트 로그에 FailedSync 이벤트가 표시됩니다.
$ oc get pod
출력 예
NAME READY STATUS RESTARTS AGE cakephp-mysql-persistent-1-build 0/1 ContainerCreating 0 6m mysql-1-9767d 0/1 ContainerCreating 0 2m mysql-1-deploy 0/1 ContainerCreating 0 6m
$ oc get events
출력 예
LASTSEEN FIRSTSEEN COUNT NAME KIND SUBOBJECT TYPE REASON SOURCE MESSAGE 6m 6m 1 cakephp-mysql-persistent-1-build Pod Normal Scheduled default-scheduler Successfully assigned cakephp-mysql-persistent-1-build to ip-172-31-71-195.us-east-2.compute.internal 2m 5m 4 cakephp-mysql-persistent-1-build Pod Warning FailedSync kubelet, ip-172-31-71-195.us-east-2.compute.internal Error syncing pod 2m 4m 4 cakephp-mysql-persistent-1-build Pod Normal SandboxChanged kubelet, ip-172-31-71-195.us-east-2.compute.internal Pod sandbox changed, it will be killed and re-created.
이 문제에 대한 한 가지 해결책은 Docker에서 필요하지 않은 아티팩트를 제거하도록 Docker 스토리지를 재설정하는 것입니다.
Docker 스토리지를 다시 시작하려는 노드에서 다음을 수행합니다.
다음 명령을 실행하여 노드를 예약할 수 없음으로 표시합니다.
$ oc adm manage-node <node> --schedulable=false
다음 명령을 실행하여 Docker 및 atomic-openshift-node 서비스를 종료합니다.
$ systemctl stop docker atomic-openshift-node
다음 명령을 실행하여 로컬 볼륨 디렉터리를 제거합니다.
$ rm -rf /var/lib/origin/openshift.local.volumes
이 명령은 로컬 이미지 캐시를 지웁니다. 결과적으로 이미지(
ose-*이미지 포함)를 다시 가져와야 합니다. 이렇게 하면 이미지 저장소가 복구되는 동안 Pod 시작 시간이 느려질 수 있습니다./var/lib/docker 디렉토리를 제거합니다.
$ rm -rf /var/lib/docker
다음 명령을 실행하여 Docker 스토리지를 재설정합니다.
$ docker-storage-setup --reset
다음 명령을 실행하여 Docker 스토리지를 다시 생성합니다.
$ docker-storage-setup
/var/lib/docker 디렉터리를 다시 생성합니다.
$ mkdir /var/lib/docker
다음 명령을 실행하여 Docker 및 atomic-openshift-node 서비스를 다시 시작합니다.
$ systemctl start docker atomic-openshift-node
호스트를 재부팅하여 노드 서비스를 다시 시작하십시오.
# systemctl restart atomic-openshift-node.service
다음 명령을 실행하여 노드를 예약 가능으로 표시합니다.
$ oc adm manage-node <node> --schedulable=true
3장. OpenShift Container Platform 구성 요소 복원
3.1. 개요
OpenShift Container Platform에서는 노드 및 애플리케이션을 포함한 클러스터 요소를 별도의 스토리지에서 다시 생성하여 클러스터 및 해당 구성 요소를 복원 할 수 있습니다.
클러스터를 복원하려면 먼저 클러스터를 백업해야 합니다.
다음 프로세스는 애플리케이션 및 OpenShift Container Platform 클러스터를 복원하는 일반적인 방법을 설명합니다. 사용자 정의 요구 사항은 반영할 수 없습니다. 클러스터를 복원하려면 추가 작업을 수행해야 할 수 있습니다.
3.2. 클러스터 복원
클러스터를 복원하려면 먼저 OpenShift Container Platform을 다시 설치합니다.
절차
- 원래 OpenShift Container Platform을 설치한 것과 동일한 방식으로 OpenShift Container Platform을 다시 설치합니다.
- OpenShift Container Platform의 제어 범위를 벗어나 서비스를 변경하거나 모니터링 에이전트와 같은 추가 서비스를 설치하는 등 모든 사용자 정의 설치 후 단계를 실행합니다.
3.3. 마스터 호스트 백업 복원
중요한 마스터 호스트 파일의 백업을 생성한 후, 파일이 손상되거나 실수로 제거된 경우 파일을 다시 마스터로 복사하고 파일에 올바른 콘텐츠가 포함되어 있는지 확인한 다음 영향을 받는 서비스를 다시 시작하여 파일을 복원할 수 있습니다.
프로시저
/etc/origin/master/master-config.yaml파일을 복원하십시오.# MYBACKUPDIR=*/backup/$(hostname)/$(date +%Y%m%d)* # cp /etc/origin/master/master-config.yaml /etc/origin/master/master-config.yaml.old # cp /backup/$(hostname)/$(date +%Y%m%d)/origin/master/master-config.yaml /etc/origin/master/master-config.yaml # master-restart api # master-restart controllers
주의마스터 서비스를 다시 시작하면 다운 타임이 발생할 수 있습니다. 그러나 고가용성 로드 밸런서 풀에서 마스터 호스트를 제거한 다음, 복원 작업을 수행할 수 있습니다. 서비스가 올바르게 복원되면 마스터 호스트를 다시 로드 밸런서 풀에 추가할 수 있습니다.
참고영향을 받는 인스턴스를 완전히 재부팅하여
iptables구성을 복원하십시오.패키지가 없어서 OpenShift Container Platform을 다시 시작할 수 없는 경우 패키지를 다시 설치하십시오.
현재 설치된 패키지 목록을 가져오십시오.
$ rpm -qa | sort > /tmp/current_packages.txt
패키지 목록의 차이점을 확인하십시오.
$ diff /tmp/current_packages.txt ${MYBACKUPDIR}/packages.txt > ansible-2.4.0.0-5.el7.noarch누락된 패키지를 다시 설치하십시오.
# yum reinstall -y <packages> 1- 1
<packages>를 패키지 목록 간에 차이가 있는 패키지로 교체하십시오.
인증서를
/etc/pki/ca-trust/source/anchors/ 디렉토리에 복사하고를 실행하여 시스템 인증서를 복원합니다.update-ca-trust$ MYBACKUPDIR=*/backup/$(hostname)/$(date +%Y%m%d)* $ sudo cp ${MYBACKUPDIR}/etc/pki/ca-trust/source/anchors/<certificate> /etc/pki/ca-trust/source/anchors/ 1 $ sudo update-ca-trust- 1
<certificate>를 복원할 시스템 인증서의 파일 이름으로 바꿉니다.
참고SELinux컨텍스트뿐만 아니라 파일을 다시 복사할 때 사용자 ID와 그룹 ID가 복원되는지 항상 확인하십시오.
3.4. 노드 호스트 백업 복원
중요한 노드 호스트 파일의 백업을 생성한 후, 파일이 손상되거나 실수로 제거된 경우 파일을 다시 복사하고 파일에 올바른 콘텐츠가 포함되어 있는지 확인한 다음 영향을 받는 서비스를 다시 시작하여 파일을 복원할 수 있습니다.
프로시저
/etc/origin/node/node-config.yaml파일을 복원하십시오.# MYBACKUPDIR=/backup/$(hostname)/$(date +%Y%m%d) # cp /etc/origin/node/node-config.yaml /etc/origin/node/node-config.yaml.old # cp /backup/$(hostname)/$(date +%Y%m%d)/etc/origin/node/node-config.yaml /etc/origin/node/node-config.yaml # reboot
서비스를 다시 시작하면 다운 타임이 발생할 수 있습니다. 프로세스를 쉽게 수행하는 방법에 관한 팁은 노드 유지보수를 참조하십시오.
영향을 받는 인스턴스를 완전히 재부팅하여 iptables 구성을 복원하십시오.
패키지가 없어서 OpenShift Container Platform을 다시 시작할 수 없는 경우 패키지를 다시 설치하십시오.
현재 설치된 패키지 목록을 가져오십시오.
$ rpm -qa | sort > /tmp/current_packages.txt
패키지 목록의 차이점을 확인하십시오.
$ diff /tmp/current_packages.txt ${MYBACKUPDIR}/packages.txt > ansible-2.4.0.0-5.el7.noarch누락된 패키지를 다시 설치하십시오.
# yum reinstall -y <packages> 1- 1
<packages>를 패키지 목록 간에 차이가 있는 패키지로 교체하십시오.
인증서를
/etc/pki/ca-trust/source/anchors/ 디렉토리에 복사하고를 실행하여 시스템 인증서를 복원합니다.update-ca-trust$ MYBACKUPDIR=*/backup/$(hostname)/$(date +%Y%m%d)* $ sudo cp ${MYBACKUPDIR}/etc/pki/ca-trust/source/anchors/<certificate> /etc/pki/ca-trust/source/anchors/ $ sudo update-ca-trust<certificate>를 복원할 시스템 인증서의 파일 이름으로 바꿉니다.
참고SELinux컨텍스트뿐만 아니라 파일을 다시 복사할 때 적절한 사용자 ID와 그룹 ID가 복원되는지 항상 확인하십시오.
3.5. etcd 복원
3.5.1. etcd 구성 파일 복원
etcd 호스트가 손상되고 /etc/etcd/etcd.conf 파일이 손실된 경우 다음 절차를 사용하여 복원하십시오.
etcd 호스트에 액세스합니다.
$ ssh master-0 1- 1
master-0을 etcd 호스트 이름으로 교체합니다.
백업
etcd.conf파일을/etc/etcd/에 복사합니다.# cp /backup/etcd-config-<timestamp>/etcd/etcd.conf /etc/etcd/etcd.conf
파일에 필요한 권한 및 selinux 컨텍스트를 설정합니다.
# restorecon -RvF /etc/etcd/etcd.conf
이 예제에서 백업 파일은 /backup/etcd-config-<timestamp>/etcd/etcd.conf 경로에 저장되며, 여기에서 외부 NFS 공유, S3 버킷 또는 기타 스토리지 솔루션으로 사용할 수 있습니다.
etcd 구성 파일을 복원한 후 정적 pod를 다시 시작해야 합니다. etcd 데이터를 복원한 후 수행됩니다.
3.5.2. etcd 데이터 복원
정적 포드에서 etcd를 복원하기 전에 다음을 수행하십시오.
etcdctl바이너리가 사용 가능해야 합니다. 컨테이너화된 설치에서는rhel7/etcd컨테이너를 사용할 수 있어야 합니다.다음 명령을 실행하여 etcd 패키지로
etcdctl바이너리를 설치할 수 있습니다.# yum install etcd
이 패키지에서는 systemd 서비스도 설치합니다. etcd가 정적 포드에서 실행될 때 systemd 서비스로 실행되지 않도록 서비스를 비활성화하고 마스킹하십시오. 서비스를 비활성화하고 마스킹함으로써 실수로 서비스를 시작하는 일이 없게 하고 시스템을 재부팅할 때 서비스가 자동으로 다시 시작되지 않게 할 수 있습니다.
# systemctl disable etcd.service
# systemctl mask etcd.service
정적 포드에서 etcd를 복원하려면 다음을 수행하십시오.
포드가 실행 중이면 포드 매니페스트 YAML 파일을 다른 디렉터리로 이동하여 etcd 포드를 중지하십시오.
# mkdir -p /etc/origin/node/pods-stopped
# mv /etc/origin/node/pods/etcd.yaml /etc/origin/node/pods-stopped
이전 데이터를 모두 이동합니다.
# mv /var/lib/etcd /var/lib/etcd.old
포드를 복원할 노드에서 etcdctl을 사용하여 데이터를 다시 생성합니다.
etcd 스냅샷을 etcd 포드의 마운트 경로로 복원하십시오.
# export ETCDCTL_API=3
# etcdctl snapshot restore /etc/etcd/backup/etcd/snapshot.db \ --data-dir /var/lib/etcd/ \ --name ip-172-18-3-48.ec2.internal \ --initial-cluster "ip-172-18-3-48.ec2.internal=https://172.18.3.48:2380" \ --initial-cluster-token "etcd-cluster-1" \ --initial-advertise-peer-urls https://172.18.3.48:2380 \ --skip-hash-check=true
백업 etcd.conf 파일에서 클러스터에 적절한 값을 가져옵니다.
데이터 디렉터리에서 필요한 권한 및 selinux 컨텍스트를 설정하십시오.
# restorecon -RvF /var/lib/etcd/
포드 매니페스트 YAML 파일을 필요한 디렉터리로 이동하여 etcd 포드를 다시 시작하십시오.
# mv /etc/origin/node/pods-stopped/etcd.yaml /etc/origin/node/pods/
3.6. etcd 노드 추가
etcd를 복원한 후 클러스터에 etcd 노드를 추가할 수 있습니다. Ansible 플레이북을 사용하거나 수동 단계를 통해 etcd 호스트를 추가할 수 있습니다.
3.6.1. Ansible을 사용하여 새 etcd 호스트 추가
프로시저
Ansible 인벤토리 파일에서
[new_etcd]라는 새 그룹을 생성하고 새 호스트를 추가하십시오. 그런 다음new_etcd그룹을[OSEv3]그룹의 하위 그룹으로 추가하십시오.[OSEv3:children] masters nodes etcd new_etcd 1 ... [OUTPUT ABBREVIATED] ... [etcd] master-0.example.com master-1.example.com master-2.example.com [new_etcd] 2 etcd0.example.com 3
참고이전
etcd 호스트항목을 인벤토리 파일의 새etcd 호스트항목으로 교체합니다. 이전etcd 호스트를 교체하는 동안/etc/etcd/ca/디렉터리 사본을 생성해야 합니다. 또는 etcd호스트를 확장하기 전에 etcd ca 및 certs를 재배포할 수 있습니다.OpenShift Container Platform이 설치되어 있고 Ansible 인벤토리 파일을 호스팅하는 호스트에서 플레이북 디렉터리로 이동하여 etcd
scaleup플레이북을 실행하십시오.$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook playbooks/openshift-etcd/scaleup.yml
플레이북을 실행한 다음 새 etcd 호스트를
[new_etcd]그룹에서[etcd]그룹으로 이동하여 현재 상태에 맞게 인벤토리 파일을 수정하십시오.[OSEv3:children] masters nodes etcd new_etcd ... [OUTPUT ABBREVIATED] ... [etcd] master-0.example.com master-1.example.com master-2.example.com etcd0.example.com
Flannel을 사용하는 경우 새 etcd 호스트를 포함하도록
/etc/sysconfig/flanneld에 있는 모든 OpenShift Container Platform 호스트에서flanneld서비스 구성을 수정하십시오.FLANNEL_ETCD_ENDPOINTS=https://master-0.example.com:2379,https://master-1.example.com:2379,https://master-2.example.com:2379,https://etcd0.example.com:2379
flanneld서비스를 다시 시작하십시오.# systemctl restart flanneld.service
3.6.2. 새 etcd 호스트 수동 추가
마스터 노드에서 etcd를 정적 포드로 실행하지 않으면 다른 etcd 호스트를 추가해야 할 수도 있습니다.
프로시저
현재 etcd 클러스터 수정
etcd 인증서를 생성하려면 값을 사용자 환경의 값으로 교체하여 openssl 명령을 실행하십시오.
다음과 같이 일부 환경 변수를 생성하십시오.
export NEW_ETCD_HOSTNAME="*etcd0.example.com*" export NEW_ETCD_IP="192.168.55.21" export CN=$NEW_ETCD_HOSTNAME export SAN="IP:${NEW_ETCD_IP}, DNS:${NEW_ETCD_HOSTNAME}" export PREFIX="/etc/etcd/generated_certs/etcd-$CN/" export OPENSSLCFG="/etc/etcd/ca/openssl.cnf"참고etcd_v3_ca_*로 사용되는 사용자 정의openssl확장에는 $SAN 환경 변수가subjectAltName으로 포함됩니다. 자세한 내용은/etc/etcd/ca/openssl.cnf를 참조하십시오.구성 및 인증서를 저장할 디렉터리를 생성하십시오.
# mkdir -p ${PREFIX}서버 인증서 요청을 생성하고 서명하십시오(server.csr 및 server.crt).
# openssl req -new -config ${OPENSSLCFG} \ -keyout ${PREFIX}server.key \ -out ${PREFIX}server.csr \ -reqexts etcd_v3_req -batch -nodes \ -subj /CN=$CN # openssl ca -name etcd_ca -config ${OPENSSLCFG} \ -out ${PREFIX}server.crt \ -in ${PREFIX}server.csr \ -extensions etcd_v3_ca_server -batch피어 인증서 요청을 생성하고 서명하십시오(peer.csr 및 peer.crt).
# openssl req -new -config ${OPENSSLCFG} \ -keyout ${PREFIX}peer.key \ -out ${PREFIX}peer.csr \ -reqexts etcd_v3_req -batch -nodes \ -subj /CN=$CN # openssl ca -name etcd_ca -config ${OPENSSLCFG} \ -out ${PREFIX}peer.crt \ -in ${PREFIX}peer.csr \ -extensions etcd_v3_ca_peer -batch나중에 수정하기 위해 현재 노드의 현재 etcd 구성 및
ca.crt파일을 예제로 복사하십시오.# cp /etc/etcd/etcd.conf ${PREFIX} # cp /etc/etcd/ca.crt ${PREFIX}아직 남아 있는 etcd 호스트에서 새 호스트를 클러스터에 추가하십시오. 클러스터에 etcd 멤버를 추가하려면 먼저 첫 번째 멤버의
peerURLs값에서 기본 localhost 피어를 조정해야 합니다.member list명령을 사용하여 첫 번째 멤버의 멤버 ID를 가져오십시오.# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://172.18.1.18:2379,https://172.18.9.202:2379,https://172.18.0.75:2379" \ 1 member list- 1
--peers매개변수 값에 활성 etcd 멤버의 URL만 지정하십시오.
etcd가 클러스터 피어를 청취하는 IP 주소를 확보하십시오.
$ ss -l4n | grep 2380
멤버 ID와 이전 단계에서 얻은 IP 주소를 전달하여
etcdctl member update명령으로peerURLs의 값을 업데이트하십시오.# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://172.18.1.18:2379,https://172.18.9.202:2379,https://172.18.0.75:2379" \ member update 511b7fb6cc0001 https://172.18.1.18:2380-
member list명령을 다시 실행하고 피어 URL에 더 이상 localhost가 포함되지 않도록 하십시오.
새 호스트를 etcd 클러스터에 추가하십시오. 새 호스트는 아직 구성되지 않았으므로 새 호스트를 구성할 때까지 상태는
unstarted로 남아 있습니다.주의각 멤버를 추가하고 한 번에 하나씩 온라인 상태로 만들어야 합니다. 각 멤버를 클러스터에 추가할 때 현재 피어의
peerURL목록을 조정해야 합니다.peerURL목록은 각 멤버가 추가될 때마다 하나씩 늘어납니다.etcdctl member add명령은 다음 지침에 설명된 대로 각 멤버를 추가할 때 etcd.conf 파일에 설정해야 하는 값을 출력합니다.# etcdctl -C https://${CURRENT_ETCD_HOST}:2379 \ --ca-file=/etc/etcd/ca.crt \ --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key member add ${NEW_ETCD_HOSTNAME} https://${NEW_ETCD_IP}:2380 1 Added member named 10.3.9.222 with ID 4e1db163a21d7651 to cluster ETCD_NAME="<NEW_ETCD_HOSTNAME>" ETCD_INITIAL_CLUSTER="<NEW_ETCD_HOSTNAME>=https://<NEW_HOST_IP>:2380,<CLUSTERMEMBER1_NAME>=https:/<CLUSTERMEMBER2_IP>:2380,<CLUSTERMEMBER2_NAME>=https:/<CLUSTERMEMBER2_IP>:2380,<CLUSTERMEMBER3_NAME>=https:/<CLUSTERMEMBER3_IP>:2380" ETCD_INITIAL_CLUSTER_STATE="existing"- 1
- 이 라인에서
10.3.9.222는 etcd 멤버의 레이블입니다. 호스트 이름, IP 주소 또는 간단한 이름을 지정할 수 있습니다.
샘플
${PREFIX}/etcd.conf파일을 업데이트하십시오.다음 값을 이전 단계에서 생성된 값으로 교체하십시오.
- ETCD_NAME
- ETCD_INITIAL_CLUSTER
- ETCD_INITIAL_CLUSTER_STATE
이전 단계의 출력에서 얻은 새 호스트 IP로 다음 변수를 수정하십시오.
${NEW_ETCD_IP}를 값으로 사용할 수 있습니다.ETCD_LISTEN_PEER_URLS ETCD_LISTEN_CLIENT_URLS ETCD_INITIAL_ADVERTISE_PEER_URLS ETCD_ADVERTISE_CLIENT_URLS
- 이전에 멤버 시스템을 etcd 노드로 사용한 경우 /etc/etcd/etcd.conf 파일에서 현재 값을 덮어써야 합니다.
구문 오류 또는 누락된 IP 주소가 있는지 파일을 확인하십시오. 그렇지 않으면 etcd 서비스가 실패할 수 있습니다.
# vi ${PREFIX}/etcd.conf
-
설치 파일을 호스팅하는 노드에서 /etc/ansible/hosts 인벤토리 파일의
[etcd]호스트 그룹을 업데이트하십시오. 이전 etcd 호스트를 제거하고 새 호스트를 추가하십시오. 인증서, 샘플 구성 파일 및
ca가 포함된tgz파일을 생성하여 새 호스트에 복사하십시오.# tar -czvf /etc/etcd/generated_certs/${CN}.tgz -C ${PREFIX} . # scp /etc/etcd/generated_certs/${CN}.tgz ${CN}:/tmp/
새 etcd 호스트 수정
iptables-services를 설치하여 etcd의 필수 포트를 여는 iptables 유틸리티를 제공하십시오.# yum install -y iptables-services
etcd가 통신할 수 있도록
OS_FIREWALL_ALLOW방화벽 규칙을 생성하십시오.- 클라이언트용 2379/tcp 포트
피어 통신용 2380/tcp 포트
# systemctl enable iptables.service --now # iptables -N OS_FIREWALL_ALLOW # iptables -t filter -I INPUT -j OS_FIREWALL_ALLOW # iptables -A OS_FIREWALL_ALLOW -p tcp -m state --state NEW -m tcp --dport 2379 -j ACCEPT # iptables -A OS_FIREWALL_ALLOW -p tcp -m state --state NEW -m tcp --dport 2380 -j ACCEPT # iptables-save | tee /etc/sysconfig/iptables
참고이 예에서는 새 체인
OS_FIREWALL_ALLOW가 생성되는데, 이는 OpenShift Container Platform 설치 프로그램이 방화벽 규칙에 사용하는 표준 이름입니다.주의IaaS 환경에서 사용자 환경을 호스팅하는 경우 해당 포트로 들어오는 트래픽도 허용하도록 인스턴스의 보안 그룹을 수정하십시오.
etcd를 설치하십시오.
# yum install -y etcd
버전
etcd-2.3.7-4.el7.x86_64이상이 설치되어 있는지 확인하십시오.etcd 포드 정의를 제거하여 etcd 서비스가 실행 중이지 않은지 확인하십시오.
# mkdir -p /etc/origin/node/pods-stopped # mv /etc/origin/node/pods/* /etc/origin/node/pods-stopped/
etcd 구성 및 데이터를 제거하십시오.
# rm -Rf /etc/etcd/* # rm -Rf /var/lib/etcd/*
인증서 및 구성 파일을 추출하십시오.
# tar xzvf /tmp/etcd0.example.com.tgz -C /etc/etcd/
새 호스트에서 etcd를 시작하십시오.
# systemctl enable etcd --now
호스트가 클러스터의 일부인지 확인하고 현재 클러스터 상태를 점검하십시오.
v2 etcd API를 사용하는 경우 다음 명령을 실행하십시오.
# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379,\ https://*etcd0.example.com*:2379"\ cluster-health member 5ee217d19001 is healthy: got healthy result from https://192.168.55.12:2379 member 2a529ba1840722c0 is healthy: got healthy result from https://192.168.55.8:2379 member 8b8904727bf526a5 is healthy: got healthy result from https://192.168.55.21:2379 member ed4f0efd277d7599 is healthy: got healthy result from https://192.168.55.13:2379 cluster is healthyv3 etcd API를 사용하는 경우 다음 명령을 실행하십시오.
# ETCDCTL_API=3 etcdctl --cert="/etc/etcd/peer.crt" \ --key=/etc/etcd/peer.key \ --cacert="/etc/etcd/ca.crt" \ --endpoints="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379,\ https://*etcd0.example.com*:2379"\ endpoint health https://master-0.example.com:2379 is healthy: successfully committed proposal: took = 5.011358ms https://master-1.example.com:2379 is healthy: successfully committed proposal: took = 1.305173ms https://master-2.example.com:2379 is healthy: successfully committed proposal: took = 1.388772ms https://etcd0.example.com:2379 is healthy: successfully committed proposal: took = 1.498829ms
각 OpenShift Container Platform 마스터 수정
모든 마스터에서
/etc/origin/master/master-config.yaml파일의etcClientInfo섹션에서 마스터 구성을 수정하십시오. OpenShift Container Platform에서 데이터를 저장하는 데 사용하는 etcd 서버 목록에 새 etcd 호스트를 추가하고 실패한 etcd 호스트를 제거하십시오.etcdClientInfo: ca: master.etcd-ca.crt certFile: master.etcd-client.crt keyFile: master.etcd-client.key urls: - https://master-0.example.com:2379 - https://master-1.example.com:2379 - https://master-2.example.com:2379 - https://etcd0.example.com:2379마스터 API 서비스를 다시 시작하십시오.
모든 마스터에서 다음을 수행하십시오.
# master-restart api # master-restart controllers
주의etcd 노드의 수는 홀수여야 하므로 2개 이상의 호스트를 추가해야 합니다.
Flannel을 사용하는 경우 새 etcd 호스트를 포함하도록 모든 OpenShift Container Platform 호스트에서
/etc/sysconfig/flanneld에 있는flanneld서비스 구성을 수정하십시오.FLANNEL_ETCD_ENDPOINTS=https://master-0.example.com:2379,https://master-1.example.com:2379,https://master-2.example.com:2379,https://etcd0.example.com:2379
flanneld서비스를 다시 시작하십시오.# systemctl restart flanneld.service
3.7. OpenShift Container Platform 서비스를 다시 온라인 상태로 되돌리기
변경 사항을 완료한 후 OpenShift Container Platform을 다시 온라인 상태로 전환합니다.
절차
각 OpenShift Container Platform 마스터에서 백업에서 마스터 및 노드 구성을 복원하고 관련 서비스를 모두 활성화하고 다시 시작합니다.
# cp ${MYBACKUPDIR}/etc/origin/node/pods/* /etc/origin/node/pods/ # cp ${MYBACKUPDIR}/etc/origin/master/master.env /etc/origin/master/master.env # cp ${MYBACKUPDIR}/etc/origin/master/master-config.yaml.<timestamp> /etc/origin/master/master-config.yaml # cp ${MYBACKUPDIR}/etc/origin/node/node-config.yaml.<timestamp> /etc/origin/node/node-config.yaml # cp ${MYBACKUPDIR}/etc/origin/master/scheduler.json.<timestamp> /etc/origin/master/scheduler.json # master-restart api # master-restart controllers각 OpenShift Container Platform 노드에서 필요에 따라 노드 구성 맵을 업데이트하고 atomic-openshift-node 서비스를 활성화하고 다시 시작합니다.
# cp /etc/origin/node/node-config.yaml.<timestamp> /etc/origin/node/node-config.yaml # systemctl enable atomic-openshift-node # systemctl start atomic-openshift-node
3.8. 프로젝트 복원
프로젝트를 복원하려면 새 프로젝트를 생성한 다음 oc create -f <file_name> 을 실행하여 내보낸 파일을 복원합니다.
절차
프로젝트를 생성합니다.
$ oc new-project <project_name> 1- 1
- 이
<project_name>값은 백업된 프로젝트 이름과 일치해야 합니다.
프로젝트 오브젝트를 가져옵니다.
$ oc create -f project.yaml
역할 바인딩, 시크릿, 서비스 계정 및 영구 볼륨 클레임과 같이 프로젝트를 백업할 때 내보낸 다른 리소스를 가져옵니다.
$ oc create -f <object>.yaml
일부 리소스를 가져오려면 다른 오브젝트를 가져오지 못할 수 있습니다. 이 경우 오류 메시지를 검토하여 먼저 가져와야 하는 리소스를 확인합니다.
포드 및 기본 서비스 계정과 같은 일부 리소스는 생성되지 않을 수 있습니다.
3.9. 애플리케이션 데이터 복원
컨테이너 이미지 내에 rsync가 설치되어 있다고 가정하면 oc rsync 명령을 사용하여 애플리케이션 데이터를 복원할 수 있습니다. Red Hat rhel7 기본 이미지에는 rsync가 포함되어 있습니다. 따라서 rhel7을 기반으로 하는 모든 이미지에도 포함됩니다. CLI 작업 문제 해결 및 디버깅 - rsync를 참조하십시오.
이는 애플리케이션 데이터의 일반적인 복원이며 데이터베이스 시스템의 특수 내보내기 및 가져오기 프로시저와 같이 애플리케이션별 백업 프로시저는 고려하지 않습니다.
Cinder, NFS 또는 Gluster와 같이 사용하는 영구 볼륨의 유형에 따라 다른 복원 방법이 존재할 수 있습니다.
절차
Jenkins 배포의 애플리케이션 데이터 복원 예
백업을 확인합니다.
$ ls -la /tmp/jenkins-backup/ total 8 drwxrwxr-x. 3 user user 20 Sep 6 11:14 . drwxrwxrwt. 17 root root 4096 Sep 6 11:16 .. drwxrwsrwx. 12 user user 4096 Sep 6 11:14 jenkins
oc rsync툴을 사용하여 데이터를 실행 중인 포드에 복사합니다.$ oc rsync /tmp/jenkins-backup/jenkins jenkins-1-37nux:/var/lib
참고애플리케이션에 따라 애플리케이션을 다시 시작해야 할 수 있습니다.
선택적으로 새 데이터를 사용하여 애플리케이션을 다시 시작합니다.
$ oc delete pod jenkins-1-37nux
또는 배포를 0으로 축소한 다음 다시 확장할 수 있습니다.
$ oc scale --replicas=0 dc/jenkins $ oc scale --replicas=1 dc/jenkins
3.10. 영구 볼륨 클레임 복원
이 주제에서는 데이터 복원을 위한 두 가지 방법을 설명합니다. 첫 번째는 파일을 삭제한 다음 파일을 예상 위치에 다시 배치해야 합니다. 두 번째 예는 영구 볼륨 클레임 마이그레이션을 보여줍니다. 스토리지를 이동해야 하거나 백엔드 스토리지가 더 이상 존재하지 않는 재해 시나리오에서 마이그레이션이 발생했습니다.
데이터를 애플리케이션으로 복원하는 데 필요한 모든 단계에서 특정 애플리케이션의 복원 프로시저가 있는지 확인합니다.
3.10.1. 기존 PVC로 파일 복원
프로시저
파일을 삭제하십시오.
$ oc rsh demo-2-fxx6d sh-4.2$ ls */opt/app-root/src/uploaded/* lost+found ocp_sop.txt sh-4.2$ *rm -rf /opt/app-root/src/uploaded/ocp_sop.txt* sh-4.2$ *ls /opt/app-root/src/uploaded/* lost+found
PVC에 있던 파일의 rsync 백업이 포함된 서버에서 파일을 교체하십시오.
$ oc rsync uploaded demo-2-fxx6d:/opt/app-root/src/
oc rsh를 사용하여 포드에 연결하고 디렉터리의 콘텐츠를 확인하여 파일이 다시 포드에 있는지 확인하십시오.$ oc rsh demo-2-fxx6d sh-4.2$ *ls /opt/app-root/src/uploaded/* lost+found ocp_sop.txt
3.10.2. 새로운 PVC로 데이터 복원
다음 단계에서는 새 pvc가 작성되었다고 가정합니다.
프로시저
현재 정의된
claim-name을 덮어 쓰십시오.$ oc set volume dc/demo --add --name=persistent-volume \ --type=persistentVolumeClaim --claim-name=filestore \ --mount-path=/opt/app-root/src/uploaded --overwrite
포드에서 새로운 PVC를 사용하고 있는지 확인하십시오.
$ oc describe dc/demo Name: demo Namespace: test Created: 3 hours ago Labels: app=demo Annotations: openshift.io/generated-by=OpenShiftNewApp Latest Version: 3 Selector: app=demo,deploymentconfig=demo Replicas: 1 Triggers: Config, Image(demo@latest, auto=true) Strategy: Rolling Template: Labels: app=demo deploymentconfig=demo Annotations: openshift.io/container.demo.image.entrypoint=["container-entrypoint","/bin/sh","-c","$STI_SCRIPTS_PATH/usage"] openshift.io/generated-by=OpenShiftNewApp Containers: demo: Image: docker-registry.default.svc:5000/test/demo@sha256:0a9f2487a0d95d51511e49d20dc9ff6f350436f935968b0c83fcb98a7a8c381a Port: 8080/TCP Volume Mounts: /opt/app-root/src/uploaded from persistent-volume (rw) Environment Variables: <none> Volumes: persistent-volume: Type: PersistentVolumeClaim (a reference to a PersistentVolumeClaim in the same namespace) *ClaimName: filestore* ReadOnly: false ...omitted...배포 구성에서 새 PVC를 사용하므로
oc rsync를실행하여파일을 새 PVC에 배치합니다.$ oc rsync uploaded demo-3-2b8gs:/opt/app-root/src/ sending incremental file list uploaded/ uploaded/ocp_sop.txt uploaded/lost+found/ sent 181 bytes received 39 bytes 146.67 bytes/sec total size is 32 speedup is 0.15
oc rsh를 사용하여 포드에 연결하고 디렉터리의 콘텐츠를 확인하여 파일이 다시 포드에 있는지 확인하십시오.$ oc rsh demo-3-2b8gs sh-4.2$ ls /opt/app-root/src/uploaded/ lost+found ocp_sop.txt
4장. 마스터 호스트 교체
실패한 마스터 호스트를 교체할 수 있습니다.
먼저 클러스터에서 실패한 마스터 호스트를 제거한 다음 대체 마스터 호스트를 추가합니다. 실패한 마스터 호스트에서 etcd를 실행한 경우 새 마스터 호스트에 etcd를 추가하여 etcd를 확장합니다.
이 주제의 모든 섹션을 완료해야 합니다.
4.1. 마스터 호스트 사용 중단
마스터 호스트에서는 OpenShift Container Platform API 및 컨트롤러 서비스와 같은 중요한 서비스를 실행합니다. 마스터 호스트를 사용 중단하려면 이러한 서비스를 중지해야 합니다.
OpenShift Container Platform API 서비스는 활성/활성 서비스이므로, 요청을 별도의 마스터 서버로 보내는 한 서비스를 중지해도 환경에 영향을 미치지 않습니다. 그러나 OpenShift Container Platform 컨트롤러 서비스는 활성/수동 서비스이며, 이 경우 서비스에서 etcd를 사용하여 활성 마스터를 결정합니다.
다중 마스터 아키텍처에서 마스터 호스트를 사용 중단하려면 새로운 연결에서 해당 마스터를 사용하려고 시도하지 않도록 로드 밸런서 풀에서 마스터를 제거해야 합니다. 이 프로세스는 사용 중인 로드 밸런서에 따라 크게 달라집니다. 아래 단계에서는 haproxy에서 마스터를 제거하는 방법을 자세히 보여줍니다. OpenShift Container Platform이 클라우드 공급자에서 실행 중이거나 F5 어플라이언스를 사용하는 경우 해당하는 제품 문서를 참조하여 마스터가 순환 사용되지 않게 제거하십시오.
프로시저
/etc/haproxy/haproxy.cfg구성 파일에서backend섹션을 제거하십시오. 예를 들어haproxy를 사용하여master-0.example.com이라는 마스터를 사용 중단하는 경우 호스트 이름이 다음에서 제거되었는지 확인하십시오.backend mgmt8443 balance source mode tcp # MASTERS 8443 server master-1.example.com 192.168.55.12:8443 check server master-2.example.com 192.168.55.13:8443 check그런 다음
haproxy서비스를 다시 시작하십시오.$ sudo systemctl restart haproxy
마스터가 로드 밸런서에서 제거되면 정적 포드 디렉터리 /etc/origin/node/pods에서 정의 파일을 이동하여 API와 컨트롤러 서비스를 비활성화하십시오.
# mkdir -p /etc/origin/node/pods/disabled # mv /etc/origin/node/pods/controller.yaml /etc/origin/node/pods/disabled/: +
- 마스터 호스트는 스케줄링 가능한 OpenShift 컨테이너 플랫폼 노드이므로 노드 호스트 사용 중단 섹션의 단계를 따르십시오.
/etc/ansible/hostsAnsible 인벤토리 파일의[masters]및[nodes]그룹에서 마스터 호스트를 제거하여 해당 인벤토리 파일로 Ansible 작업을 실행할 때 문제가 발생하지 않도록 하십시오.주의Ansible 인벤토리 파일에 나열된 첫 번째 마스터 호스트를 사용 중단하려면 추가 예방 조치가 필요합니다.
/etc/origin/master/ca.serial.txt파일은 Ansible 호스트 인벤토리에 나열된 첫 번째 마스터에서만 생성됩니다. 첫 번째 마스터 호스트를 더 이상 사용하지 않는 경우 프로세스 전에/etc/origin/master/ca.serial.txt파일을 나머지 마스터 호스트에 복사하십시오.중요여러 마스터를 실행하는 OpenShift Container Platform 3.11 클러스터에서는 마스터 노드 중 하나의
/etc/origin/master,/etc/etcd/ca및/etc/etcd/generated_certs에 추가 CA 인증서가 들어 있습니다. 이 인증서는 애플리케이션 노드 및 etcd 노드 확장 작업에 필요하며, CA 호스트 마스터를 사용 중단하는 경우 다른 마스터 노드에 복원해야 합니다.kubernetes서비스에는 마스터 호스트 IP가 끝점으로 포함되어 있습니다. 마스터가 올바르게 사용 중단되었는지 확인하려면kubernetes서비스 출력을 검토하여 사용 중단된 마스터가 제거되었는지 확인하십시오.$ oc describe svc kubernetes -n default Name: kubernetes Namespace: default Labels: component=apiserver provider=kubernetes Annotations: <none> Selector: <none> Type: ClusterIP IP: 10.111.0.1 Port: https 443/TCP Endpoints: 192.168.55.12:8443,192.168.55.13:8443 Port: dns 53/UDP Endpoints: 192.168.55.12:8053,192.168.55.13:8053 Port: dns-tcp 53/TCP Endpoints: 192.168.55.12:8053,192.168.55.13:8053 Session Affinity: ClientIP Events: <none>
마스터가 사용 중단되면 이전에 그 마스터를 실행하던 호스트를 안전하게 삭제할 수 있습니다.
4.2. 호스트 추가
scaleup.yml 플레이북을 실행하여 클러스터에 새 호스트를 추가할 수 있습니다. 이 플레이북은 마스터를 쿼리하고 새 호스트에 대한 새 인증서를 생성 및 배포한 다음 새 호스트에서만 구성 플레이북을 실행합니다. scaleup.yml 플레이북을 실행하기 전에 사전 요구 사항 호스트 준비 단계를 모두 완료합니다.
scaleup.yml 플레이북은 새 호스트만 구성합니다. 마스터 서비스에서 NO_PROXY 를 업데이트하지 않으며 마스터 서비스를 다시 시작하지 않습니다.
scaleup.yml 플레이북을 실행하려면 현재 클러스터 구성을 나타내는 기존 인벤토리 파일(예: /etc/ansible/hosts )이 있어야 합니다. 이전에 atomic-openshift-installer 명령을 사용하여 설치를 실행하는 경우 설치 프로그램에서 생성한 마지막 인벤토리 파일의 ~/.config/openshift/hosts 를 확인하고 해당 파일을 인벤토리 파일로 사용할 수 있습니다. 필요에 따라 이 파일을 수정할 수 있습니다. 그런 다음 ansible-playbook 을 실행할 때 -i 를 사용하여 파일 위치를 지정해야 합니다.
권장되는 최대 노드 수는 클러스터 최대값 섹션을 참조하십시오.
절차
openshift-ansible 패키지를 업데이트하여 최신 플레이북이 있는지 확인합니다.
# yum update openshift-ansible
/etc/ansible/hosts 파일을 편집하고 new_<host_type> 을 [OSEv3:children] 섹션에 추가합니다. 예를 들어 새 노드 호스트를 추가하려면 new_nodes 를 추가합니다.
[OSEv3:children] masters nodes new_nodes
새 마스터 호스트를 추가하려면 new_masters 를 추가합니다.
[new_<host_type>] 섹션을 생성하여 새 호스트에 대한 호스트 정보를 지정합니다. 새 노드 추가의 다음 예에 표시된 대로 이 섹션을 기존 섹션처럼 포맷합니다.
[nodes] master[1:3].example.com node1.example.com openshift_node_group_name='node-config-compute' node2.example.com openshift_node_group_name='node-config-compute' infra-node1.example.com openshift_node_group_name='node-config-infra' infra-node2.example.com openshift_node_group_name='node-config-infra' [new_nodes] node3.example.com openshift_node_group_name='node-config-infra'
자세한 옵션은 호스트 변수 구성을 참조하십시오.
새 마스터 호스트를 추가할 때 [new_masters] 섹션과 [new_nodes] 섹션 모두에 호스트를 추가하여 새 마스터 호스트가 OpenShift SDN의 일부인지 확인합니다.
[masters] master[1:2].example.com [new_masters] master3.example.com [nodes] master[1:2].example.com node1.example.com openshift_node_group_name='node-config-compute' node2.example.com openshift_node_group_name='node-config-compute' infra-node1.example.com openshift_node_group_name='node-config-infra' infra-node2.example.com openshift_node_group_name='node-config-infra' [new_nodes] master3.example.com
중요node-role.kubernetes.io/infra=true레이블을 사용하여 마스터 호스트에 레이블을 지정하고 다른 전용 인프라 노드가 없는 경우, 항목에openshift_schedulable=true를 추가하여 호스트를 예약 가능으로 명시적으로 표시해야 합니다. 그렇지 않으면 레지스트리 및 라우터 포드를 아무 위치에 배치할 수 없습니다.플레이북 디렉터리로 변경하고 openshift_node_group.yml 플레이북을 실행합니다. 인벤토리 파일이 기본값 /etc/ansible/hosts 이외의 위치에 있는 경우
-i옵션을 사용하여 위치를 지정합니다.$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook [-i /path/to/file] \ playbooks/openshift-master/openshift_node_group.yml
이렇게 하면 새 노드 그룹에 대한 ConfigMap이 생성되고 궁극적으로 호스트에서 노드의 구성 파일이 생성됩니다.
참고openshift_node_group.yaml 플레이북을 실행하면 새 노드만 업데이트됩니다. 클러스터의 기존 노드를 업데이트하기 위해 실행할 수 없습니다.
scaleup.yml 플레이북을 실행합니다. 인벤토리 파일이 기본값 /etc/ansible/hosts 이외의 위치에 있는 경우
-i옵션을 사용하여 위치를 지정합니다.추가 노드의 경우 다음을 수행합니다.
$ ansible-playbook [-i /path/to/file] \ playbooks/openshift-node/scaleup.yml추가 마스터의 경우 다음을 수행합니다.
$ ansible-playbook [-i /path/to/file] \ playbooks/openshift-master/scaleup.yml
클러스터에 EFK 스택을 배포한 경우 node 레이블을
logging-infra-fluentd=true로 설정합니다.# oc label node/new-node.example.com logging-infra-fluentd=true
- 플레이북이 실행된 후 설치를 확인합니다.
[new_<host_type>] 섹션에서 정의한 호스트를 적절한 섹션으로 이동합니다. 이러한 호스트를 이동하면 이 인벤토리 파일을 사용하는 후속 플레이북 실행에서 노드를 올바르게 처리합니다. [new_<host_type>] 섹션은 비어 있습니다. 예를 들어 새 노드를 추가할 때 다음을 수행합니다.
[nodes] master[1:3].example.com node1.example.com openshift_node_group_name='node-config-compute' node2.example.com openshift_node_group_name='node-config-compute' node3.example.com openshift_node_group_name='node-config-compute' infra-node1.example.com openshift_node_group_name='node-config-infra' infra-node2.example.com openshift_node_group_name='node-config-infra' [new_nodes]
4.3. etcd 확장
etcd 호스트에 리소스를 추가하여 etcd 클러스터를 수직으로 확장하거나 etcd 호스트를 더 추가하여 수평으로 확장할 수 있습니다.
투표 시스템 etcd 용도 때문에 클러스터에는 항상 홀수의 멤버가 있어야 합니다.
홀수의 etcd 호스트가 포함된 클러스터가 있으면 내결함성이 있는 것입니다. 홀수의 etcd 호스트가 있으면 쿼럼에 필요한 수는 달라지지 않지만 내결함성이 증가합니다. 예를 들어, 멤버가 3개인 클러스터의 경우 쿼럼은 2이므로 내결함성은 1입니다. 따라서 두 멤버가 정상이면 클러스터가 계속 작동합니다.
3개의 etcd 호스트가 있는 프로덕션 내 클러스터를 사용하는 것이 좋습니다.
새로운 호스트에는 새로운 Red Hat Enterprise Linux 버전 7 전용 호스트가 필요합니다. etcd 스토리지가 최대 성능을 발휘하려면 SSD 디스크 및 /var/lib/etcd에 마운트된 전용 디스크에 있어야 합니다.
전제 조건
- 새 etcd 호스트를 추가하기 전에 etcd 구성 및 데이터를 모두 백업하여 데이터 손실을 방지하십시오.
비정상 클러스터에 새 호스트를 추가하지 않도록 현재 etcd 클러스터 상태를 확인하십시오. 다음 명령을 실행하십시오.
# ETCDCTL_API=3 etcdctl --cert="/etc/etcd/peer.crt" \ --key=/etc/etcd/peer.key \ --cacert="/etc/etcd/ca.crt" \ --endpoints="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379" endpoint health https://master-0.example.com:2379 is healthy: successfully committed proposal: took = 5.011358ms https://master-1.example.com:2379 is healthy: successfully committed proposal: took = 1.305173ms https://master-2.example.com:2379 is healthy: successfully committed proposal: took = 1.388772msscaleup플레이북을 실행하기 전에 새 호스트가 적절한 Red Hat 소프트웨어 채널에 등록되어 있는지 확인하십시오.# subscription-manager register \ --username=*<username>* --password=*<password>* # subscription-manager attach --pool=*<poolid>* # subscription-manager repos --disable="*" # subscription-manager repos \ --enable=rhel-7-server-rpms \ --enable=rhel-7-server-extras-rpmsetcd는
rhel-7-server-extras-rpms소프트웨어 채널에서 호스팅됩니다.사용되지 않은 모든 etcd 멤버가 etcd 클러스터에서 제거되었는지 확인하십시오.
scaleup플레이북을 실행하기 전에 완료해야 합니다.etcd 멤버를 나열하십시오.
# etcdctl --cert="/etc/etcd/peer.crt" --key="/etc/etcd/peer.key" \ --cacert="/etc/etcd/ca.crt" --endpoints=ETCD_LISTEN_CLIENT_URLS member list -w table
해당되는 경우, 사용되지 않은 etcd 멤버 ID를 복사하십시오.
다음 명령에서 ID를 지정하여 사용되지 않은 멤버를 제거하십시오.
# etcdctl --cert="/etc/etcd/peer.crt" --key="/etc/etcd/peer.key" \ --cacert="/etc/etcd/ca.crt" --endpoints=ETCD_LISTEN_CLIENT_URL member remove UNUSED_ETCD_MEMBER_ID
현재 etcd 노드에서 etcd 및 iptables를 업그레이드하십시오.
# yum update etcd iptables-services
- etcd 호스트의 /etc/etcd 구성을 백업하십시오.
- 새 etcd 멤버도 OpenShift Container Platform 노드이면 원하는 수의 호스트를 클러스터에 추가하십시오.
- 이 프로시저의 나머지 부분에서는 호스트를 한 개 추가했다고 가정하지만, 여러 호스트를 추가하는 경우 각 호스트에서 모든 단계를 수행하십시오.
4.3.1. Ansible을 사용하여 새 etcd 호스트 추가
프로시저
Ansible 인벤토리 파일에서
[new_etcd]라는 새 그룹을 생성하고 새 호스트를 추가하십시오. 그런 다음new_etcd그룹을[OSEv3]그룹의 하위 그룹으로 추가하십시오.[OSEv3:children] masters nodes etcd new_etcd 1 ... [OUTPUT ABBREVIATED] ... [etcd] master-0.example.com master-1.example.com master-2.example.com [new_etcd] 2 etcd0.example.com 3
참고이전
etcd 호스트항목을 인벤토리 파일의 새etcd 호스트항목으로 교체합니다. 이전etcd 호스트를 교체하는 동안/etc/etcd/ca/디렉터리 사본을 생성해야 합니다. 또는 etcd호스트를 확장하기 전에 etcd ca 및 certs를 재배포할 수 있습니다.OpenShift Container Platform이 설치되어 있고 Ansible 인벤토리 파일을 호스팅하는 호스트에서 플레이북 디렉터리로 이동하여 etcd
scaleup플레이북을 실행하십시오.$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook playbooks/openshift-etcd/scaleup.yml
플레이북을 실행한 다음 새 etcd 호스트를
[new_etcd]그룹에서[etcd]그룹으로 이동하여 현재 상태에 맞게 인벤토리 파일을 수정하십시오.[OSEv3:children] masters nodes etcd new_etcd ... [OUTPUT ABBREVIATED] ... [etcd] master-0.example.com master-1.example.com master-2.example.com etcd0.example.com
Flannel을 사용하는 경우 새 etcd 호스트를 포함하도록
/etc/sysconfig/flanneld에 있는 모든 OpenShift Container Platform 호스트에서flanneld서비스 구성을 수정하십시오.FLANNEL_ETCD_ENDPOINTS=https://master-0.example.com:2379,https://master-1.example.com:2379,https://master-2.example.com:2379,https://etcd0.example.com:2379
flanneld서비스를 다시 시작하십시오.# systemctl restart flanneld.service
4.3.2. 새 etcd 호스트 수동 추가
마스터 노드에서 etcd를 정적 포드로 실행하지 않으면 다른 etcd 호스트를 추가해야 할 수도 있습니다.
프로시저
현재 etcd 클러스터 수정
etcd 인증서를 생성하려면 값을 사용자 환경의 값으로 교체하여 openssl 명령을 실행하십시오.
다음과 같이 일부 환경 변수를 생성하십시오.
export NEW_ETCD_HOSTNAME="*etcd0.example.com*" export NEW_ETCD_IP="192.168.55.21" export CN=$NEW_ETCD_HOSTNAME export SAN="IP:${NEW_ETCD_IP}, DNS:${NEW_ETCD_HOSTNAME}" export PREFIX="/etc/etcd/generated_certs/etcd-$CN/" export OPENSSLCFG="/etc/etcd/ca/openssl.cnf"참고etcd_v3_ca_*로 사용되는 사용자 정의openssl확장에는 $SAN 환경 변수가subjectAltName으로 포함됩니다. 자세한 내용은/etc/etcd/ca/openssl.cnf를 참조하십시오.구성 및 인증서를 저장할 디렉터리를 생성하십시오.
# mkdir -p ${PREFIX}서버 인증서 요청을 생성하고 서명하십시오(server.csr 및 server.crt).
# openssl req -new -config ${OPENSSLCFG} \ -keyout ${PREFIX}server.key \ -out ${PREFIX}server.csr \ -reqexts etcd_v3_req -batch -nodes \ -subj /CN=$CN # openssl ca -name etcd_ca -config ${OPENSSLCFG} \ -out ${PREFIX}server.crt \ -in ${PREFIX}server.csr \ -extensions etcd_v3_ca_server -batch피어 인증서 요청을 생성하고 서명하십시오(peer.csr 및 peer.crt).
# openssl req -new -config ${OPENSSLCFG} \ -keyout ${PREFIX}peer.key \ -out ${PREFIX}peer.csr \ -reqexts etcd_v3_req -batch -nodes \ -subj /CN=$CN # openssl ca -name etcd_ca -config ${OPENSSLCFG} \ -out ${PREFIX}peer.crt \ -in ${PREFIX}peer.csr \ -extensions etcd_v3_ca_peer -batch나중에 수정하기 위해 현재 노드의 현재 etcd 구성 및
ca.crt파일을 예제로 복사하십시오.# cp /etc/etcd/etcd.conf ${PREFIX} # cp /etc/etcd/ca.crt ${PREFIX}아직 남아 있는 etcd 호스트에서 새 호스트를 클러스터에 추가하십시오. 클러스터에 etcd 멤버를 추가하려면 먼저 첫 번째 멤버의
peerURLs값에서 기본 localhost 피어를 조정해야 합니다.member list명령을 사용하여 첫 번째 멤버의 멤버 ID를 가져오십시오.# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://172.18.1.18:2379,https://172.18.9.202:2379,https://172.18.0.75:2379" \ 1 member list- 1
--peers매개변수 값에 활성 etcd 멤버의 URL만 지정하십시오.
etcd가 클러스터 피어를 청취하는 IP 주소를 확보하십시오.
$ ss -l4n | grep 2380
멤버 ID와 이전 단계에서 얻은 IP 주소를 전달하여
etcdctl member update명령으로peerURLs의 값을 업데이트하십시오.# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://172.18.1.18:2379,https://172.18.9.202:2379,https://172.18.0.75:2379" \ member update 511b7fb6cc0001 https://172.18.1.18:2380-
member list명령을 다시 실행하고 피어 URL에 더 이상 localhost가 포함되지 않도록 하십시오.
새 호스트를 etcd 클러스터에 추가하십시오. 새 호스트는 아직 구성되지 않았으므로 새 호스트를 구성할 때까지 상태는
unstarted로 남아 있습니다.주의각 멤버를 추가하고 한 번에 하나씩 온라인 상태로 만들어야 합니다. 각 멤버를 클러스터에 추가할 때 현재 피어의
peerURL목록을 조정해야 합니다.peerURL목록은 각 멤버가 추가될 때마다 하나씩 늘어납니다.etcdctl member add명령은 다음 지침에 설명된 대로 각 멤버를 추가할 때 etcd.conf 파일에 설정해야 하는 값을 출력합니다.# etcdctl -C https://${CURRENT_ETCD_HOST}:2379 \ --ca-file=/etc/etcd/ca.crt \ --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key member add ${NEW_ETCD_HOSTNAME} https://${NEW_ETCD_IP}:2380 1 Added member named 10.3.9.222 with ID 4e1db163a21d7651 to cluster ETCD_NAME="<NEW_ETCD_HOSTNAME>" ETCD_INITIAL_CLUSTER="<NEW_ETCD_HOSTNAME>=https://<NEW_HOST_IP>:2380,<CLUSTERMEMBER1_NAME>=https:/<CLUSTERMEMBER2_IP>:2380,<CLUSTERMEMBER2_NAME>=https:/<CLUSTERMEMBER2_IP>:2380,<CLUSTERMEMBER3_NAME>=https:/<CLUSTERMEMBER3_IP>:2380" ETCD_INITIAL_CLUSTER_STATE="existing"- 1
- 이 라인에서
10.3.9.222는 etcd 멤버의 레이블입니다. 호스트 이름, IP 주소 또는 간단한 이름을 지정할 수 있습니다.
샘플
${PREFIX}/etcd.conf파일을 업데이트하십시오.다음 값을 이전 단계에서 생성된 값으로 교체하십시오.
- ETCD_NAME
- ETCD_INITIAL_CLUSTER
- ETCD_INITIAL_CLUSTER_STATE
이전 단계의 출력에서 얻은 새 호스트 IP로 다음 변수를 수정하십시오.
${NEW_ETCD_IP}를 값으로 사용할 수 있습니다.ETCD_LISTEN_PEER_URLS ETCD_LISTEN_CLIENT_URLS ETCD_INITIAL_ADVERTISE_PEER_URLS ETCD_ADVERTISE_CLIENT_URLS
- 이전에 멤버 시스템을 etcd 노드로 사용한 경우 /etc/etcd/etcd.conf 파일에서 현재 값을 덮어써야 합니다.
구문 오류 또는 누락된 IP 주소가 있는지 파일을 확인하십시오. 그렇지 않으면 etcd 서비스가 실패할 수 있습니다.
# vi ${PREFIX}/etcd.conf
-
설치 파일을 호스팅하는 노드에서 /etc/ansible/hosts 인벤토리 파일의
[etcd]호스트 그룹을 업데이트하십시오. 이전 etcd 호스트를 제거하고 새 호스트를 추가하십시오. 인증서, 샘플 구성 파일 및
ca가 포함된tgz파일을 생성하여 새 호스트에 복사하십시오.# tar -czvf /etc/etcd/generated_certs/${CN}.tgz -C ${PREFIX} . # scp /etc/etcd/generated_certs/${CN}.tgz ${CN}:/tmp/
새 etcd 호스트 수정
iptables-services를 설치하여 etcd의 필수 포트를 여는 iptables 유틸리티를 제공하십시오.# yum install -y iptables-services
etcd가 통신할 수 있도록
OS_FIREWALL_ALLOW방화벽 규칙을 생성하십시오.- 클라이언트용 2379/tcp 포트
피어 통신용 2380/tcp 포트
# systemctl enable iptables.service --now # iptables -N OS_FIREWALL_ALLOW # iptables -t filter -I INPUT -j OS_FIREWALL_ALLOW # iptables -A OS_FIREWALL_ALLOW -p tcp -m state --state NEW -m tcp --dport 2379 -j ACCEPT # iptables -A OS_FIREWALL_ALLOW -p tcp -m state --state NEW -m tcp --dport 2380 -j ACCEPT # iptables-save | tee /etc/sysconfig/iptables
참고이 예에서는 새 체인
OS_FIREWALL_ALLOW가 생성되는데, 이는 OpenShift Container Platform 설치 프로그램이 방화벽 규칙에 사용하는 표준 이름입니다.주의IaaS 환경에서 사용자 환경을 호스팅하는 경우 해당 포트로 들어오는 트래픽도 허용하도록 인스턴스의 보안 그룹을 수정하십시오.
etcd를 설치하십시오.
# yum install -y etcd
버전
etcd-2.3.7-4.el7.x86_64이상이 설치되어 있는지 확인하십시오.etcd 포드 정의를 제거하여 etcd 서비스가 실행 중이지 않은지 확인하십시오.
# mkdir -p /etc/origin/node/pods-stopped # mv /etc/origin/node/pods/* /etc/origin/node/pods-stopped/
etcd 구성 및 데이터를 제거하십시오.
# rm -Rf /etc/etcd/* # rm -Rf /var/lib/etcd/*
인증서 및 구성 파일을 추출하십시오.
# tar xzvf /tmp/etcd0.example.com.tgz -C /etc/etcd/
새 호스트에서 etcd를 시작하십시오.
# systemctl enable etcd --now
호스트가 클러스터의 일부인지 확인하고 현재 클러스터 상태를 점검하십시오.
v2 etcd API를 사용하는 경우 다음 명령을 실행하십시오.
# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379,\ https://*etcd0.example.com*:2379"\ cluster-health member 5ee217d19001 is healthy: got healthy result from https://192.168.55.12:2379 member 2a529ba1840722c0 is healthy: got healthy result from https://192.168.55.8:2379 member 8b8904727bf526a5 is healthy: got healthy result from https://192.168.55.21:2379 member ed4f0efd277d7599 is healthy: got healthy result from https://192.168.55.13:2379 cluster is healthyv3 etcd API를 사용하는 경우 다음 명령을 실행하십시오.
# ETCDCTL_API=3 etcdctl --cert="/etc/etcd/peer.crt" \ --key=/etc/etcd/peer.key \ --cacert="/etc/etcd/ca.crt" \ --endpoints="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379,\ https://*etcd0.example.com*:2379"\ endpoint health https://master-0.example.com:2379 is healthy: successfully committed proposal: took = 5.011358ms https://master-1.example.com:2379 is healthy: successfully committed proposal: took = 1.305173ms https://master-2.example.com:2379 is healthy: successfully committed proposal: took = 1.388772ms https://etcd0.example.com:2379 is healthy: successfully committed proposal: took = 1.498829ms
각 OpenShift Container Platform 마스터 수정
모든 마스터에서
/etc/origin/master/master-config.yaml파일의etcClientInfo섹션에서 마스터 구성을 수정하십시오. OpenShift Container Platform에서 데이터를 저장하는 데 사용하는 etcd 서버 목록에 새 etcd 호스트를 추가하고 실패한 etcd 호스트를 제거하십시오.etcdClientInfo: ca: master.etcd-ca.crt certFile: master.etcd-client.crt keyFile: master.etcd-client.key urls: - https://master-0.example.com:2379 - https://master-1.example.com:2379 - https://master-2.example.com:2379 - https://etcd0.example.com:2379마스터 API 서비스를 다시 시작하십시오.
모든 마스터에서 다음을 수행하십시오.
# master-restart api # master-restart controllers
주의etcd 노드의 수는 홀수여야 하므로 2개 이상의 호스트를 추가해야 합니다.
Flannel을 사용하는 경우 새 etcd 호스트를 포함하도록 모든 OpenShift Container Platform 호스트에서
/etc/sysconfig/flanneld에 있는flanneld서비스 구성을 수정하십시오.FLANNEL_ETCD_ENDPOINTS=https://master-0.example.com:2379,https://master-1.example.com:2379,https://master-2.example.com:2379,https://etcd0.example.com:2379
flanneld서비스를 다시 시작하십시오.# systemctl restart flanneld.service
5장. 사용자 관리
5.1. 개요
사용자는 OpenShift Container Platform API와 상호 작용하는 엔터티입니다. 애플리케이션을 개발하기 위한 개발자 또는 클러스터 관리를 위한 관리자일 수 있습니다. 사용자는 그룹에 할당될 수 있으며, 이를 통해 모든 그룹의 구성원에 적용되는 권한을 설정할 수 있습니다. 예를 들어 그룹에 API 액세스 권한을 부여하여 그룹의 모든 멤버에게 API 액세스 권한을 부여할 수 있습니다.
이 주제에서는 OpenShift Container Platform에서 새 사용자 계정을 생성하는 방법과 해당 계정을 삭제하는 방법을 포함하여 사용자 계정 관리에 대해 설명합니다.
5.2. 사용자 생성
사용자를 생성하는 프로세스는 구성된 ID 프로바이더에 따라 다릅니다. 기본적으로 OpenShift Container Platform에서는 모든 사용자 이름 및 암호에 대한 액세스를 거부하는 DenyAll ID 공급자를 사용합니다.
다음 프로세스는 새 사용자를 생성한 다음 사용자에게 역할을 추가합니다.
-
ID 공급자에 따라 사용자 계정을 생성합니다. 이는 ID 프로바이더 구성의 일부로
사용되는 mapping메서드에 따라 달라질 수 있습니다. 새 사용자에게 원하는 역할을 제공합니다.
# oc create clusterrolebinding <clusterrolebinding_name> \ --clusterrole=<role> --user=<user>
여기에서
--clusterrole옵션이 원하는 클러스터 역할입니다. 예를 들어 클러스터 내의 모든 항목에 대한 액세스 권한을 제공하는 새 사용자에게cluster-admin권한을 부여하려면 다음을 수행합니다.# oc create clusterrolebinding registry-controller \ --clusterrole=cluster-admin --user=admin
역할 설명 및 목록은 아키텍처 가이드의 클러스터 역할 및 로컬 역할 섹션을 참조하십시오.
클러스터 관리자는 각 사용자의 액세스 수준도 관리할 수 있습니다.
ID 프로바이더 및 정의된 그룹 구조에 따라 일부 역할을 사용자에게 자동으로 제공할 수 있습니다. 자세한 내용은 Synching groups with LDAP 섹션을 참조하십시오.
5.3. 사용자 및 ID 목록 보기
OpenShift Container Platform 사용자 구성은 OpenShift Container Platform의 여러 위치에 저장됩니다. ID 공급자에 관계없이 OpenShift Container Platform은 역할 기반 액세스 제어(RBAC) 정보 및 그룹 멤버십과 같은 세부 정보를 내부적으로 저장합니다. 사용자 정보를 완전히 제거하려면 사용자 계정 외에 이 데이터를 제거해야 합니다.
OpenShift Container Platform에서 두 가지 오브젝트 유형에는 ID 공급자 외부의 사용자 데이터, 즉 사용자 및 ID 가 포함됩니다.
사용자의 현재 목록을 가져오려면 다음을 수행합니다.
$ oc get user NAME UID FULL NAME IDENTITIES demo 75e4b80c-dbf1-11e5-8dc6-0e81e52cc949 htpasswd_auth:demo
현재 ID 목록을 가져오려면 다음을 수행합니다.
$ oc get identity NAME IDP NAME IDP USER NAME USER NAME USER UID htpasswd_auth:demo htpasswd_auth demo demo 75e4b80c-dbf1-11e5-8dc6-0e81e52cc949
두 오브젝트 유형 간에 일치하는 UID를 확인합니다. OpenShift Container Platform 사용을 시작한 후 인증 공급자를 변경하려는 경우 ID 목록의 항목으로 인해 겹치는 사용자 이름이 작동하지 않습니다. 이 항목은 여전히 이전 인증 방법을 가리킵니다.
5.4. 그룹 생성
사용자는 OpenShift Container Platform에 대한 요청을 수행하는 엔터티이지만 사용자는 일련의 사용자로 구성된 하나 이상의 그룹으로 구성할 수 있습니다. 그룹은 권한 부여 정책과 같이 한 번에 여러 사용자를 관리하거나 여러 사용자에게 한 번에 권한을 부여하는 데 유용합니다.
조직에서 LDAP를 사용하는 경우 한 곳에서 그룹을 구성할 수 있도록 LDAP 레코드를 OpenShift Container Platform에 동기화할 수 있습니다. 이는 사용자에 대한 정보가 LDAP 서버에 있다고 가정합니다. 자세한 내용은 Synching groups with LDAP 섹션을 참조하십시오.
LDAP를 사용하지 않는 경우 다음 절차를 사용하여 수동으로 그룹을 생성할 수 있습니다.
새 그룹을 생성하려면 다음을 수행합니다.
# oc adm groups new <group_name> <user1> <user2>
예를 들어, west 그룹을 생성하고 john 및 betty 사용자를 배치하려면 다음을 수행합니다.
# oc adm groups new west john betty
그룹이 생성되었는지 확인하고 그룹과 연결된 사용자를 나열하려면 다음을 실행합니다.
# oc get groups NAME USERS west john, betty
다음 단계:
5.5. 사용자 및 그룹 레이블 관리
사용자 또는 그룹에 라벨을 추가하려면 다음을 수행합니다.
$ oc label user/<user_name> <label_name>=<label_value>
예를 들어 사용자 이름이 theuser 이고 라벨이 level=gold 인 경우 :
$ oc label user/theuser level=gold
라벨을 제거하려면 다음을 수행합니다.
$ oc label user/<user_name> <label_name>-
사용자 또는 그룹의 라벨을 표시하려면 다음을 수행합니다.
$ oc describe user/<user_name>
5.6. 사용자 삭제
사용자를 삭제하려면 다음을 수행합니다.
사용자 레코드를 삭제합니다.
$ oc delete user demo user "demo" deleted
사용자 ID를 삭제합니다.
사용자의 ID는 사용하는 식별 공급자와 관련이 있습니다.
oc get user의 사용자 레코드에서 공급자 이름을 가져옵니다.이 예에서 ID 프로바이더 이름은 htpasswd_auth 입니다. 명령은 다음과 같습니다.
# oc delete identity htpasswd_auth:demo identity "htpasswd_auth:demo" deleted
이 단계를 건너뛰면 사용자가 다시 로그인할 수 없습니다.
이러한 단계를 완료하면 사용자가 다시 로그인할 때 OpenShift Container Platform에 새 계정이 생성됩니다.
사용자가 다시 로그인하지 못하도록 하는 의도(예: 직원이 퇴사하고 계정을 영구적으로 삭제하려는 경우) 구성된 ID 프로바이더에 대한 인증 백엔드(예: htpasswd,kerberos 또는 기타)에서 사용자를 제거할 수도 있습니다.
예를 들어 htpasswd 를 사용하는 경우 사용자 이름과 암호가 있는 OpenShift Container Platform에 구성된 htpasswd 파일에서 항목을 삭제합니다.
LDAP(Lightweight Directory Access Protocol) 또는 Red Hat IdM(Identity Management)과 같은 외부 식별 관리의 경우 사용자 관리 도구를 사용하여 사용자 항목을 제거합니다.
6장. 프로젝트 관리
6.1. 개요
OpenShift Container Platform에서 프로젝트는 관련 오브젝트를 그룹화하고 격리하는 데 사용됩니다. 관리자는 개발자에게 특정 프로젝트에 대한 액세스 권한을 부여하고 자체 프로젝트를 만들 수 있도록 허용하며 개별 프로젝트 내에서 관리 권한을 부여할 수 있습니다.
6.2. 자체 프로비저닝 프로젝트
개발자가 자신의 프로젝트를 만들 수 있도록 허용할 수 있습니다. 템플릿에 따라 프로젝트를 프로비저닝할 엔드포인트가 있습니다 . 개발자가 새 프로젝트를 생성할 때 웹 콘솔 및 oc new-project 명령은 이 엔드포인트를 사용합니다.
6.2.1. 새 프로젝트의 템플릿 수정
API 서버는 master-config.yaml 파일의 projectRequestTemplate 매개 변수로 식별된 템플릿을 기반으로 프로젝트를 자동으로 프로비저닝합니다. 매개 변수가 정의되지 않은 경우 API 서버는 요청된 이름으로 프로젝트를 생성하는 기본 템플릿을 생성하고 요청하는 사용자를 해당 프로젝트의 "admin" 역할에 할당합니다.
사용자 정의 프로젝트 템플릿을 만들려면:
현재 기본 프로젝트 템플릿으로 시작합니다.
$ oc adm create-bootstrap-project-template -o yaml > template.yaml
- 텍스트 편집기를 사용하여 오브젝트를 추가하거나 기존 오브젝트를 수정하여 template.yaml 파일을 수정합니다.
템플릿을 로드합니다.
$ oc create -f template.yaml -n default
로드된 템플릿을 참조하도록 master-config.yaml 파일을 수정합니다.
... projectConfig: projectRequestTemplate: "default/project-request" ...
프로젝트 요청을 제출하면 API에서 다음 매개변수를 템플릿으로 대체합니다.
| 매개변수 | 설명 |
|---|---|
| PROJECT_NAME | 프로젝트 이름입니다. 필수 항목입니다. |
| PROJECT_DISPLAYNAME | 프로젝트의 표시 이름입니다. 비어 있을 수 있습니다. |
| PROJECT_DESCRIPTION | 프로젝트에 대한 설명입니다. 비어 있을 수 있습니다. |
| PROJECT_ADMIN_USER | 관리 사용자의 사용자 이름. |
| PROJECT_REQUESTING_USER | 요청하는 사용자의 사용자 이름. |
API에 대한 액세스 권한은 self-provisioner 역할 및 클러스터 역할 바인딩을 사용하여 개발자에게 부여됩니다. 이 역할은 기본적으로 인증된 모든 개발자에게 제공됩니다.
self-provisioner s
6.2.2. 셀프 프로비저닝 비활성화
인증된 사용자 그룹이 새 프로젝트를 자체 프로비저닝하지 못하도록 할 수 있습니다.
- cluster-admin 권한이 있는 사용자로 로그인합니다.
self-provisionersclusterrolebinding 사용을 검토합니다. 다음 명령을 실행한 다음self-provisioners섹션의 제목을 검토합니다.$ oc describe clusterrolebinding.rbac self-provisioners Name: self-provisioners Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: self-provisioner Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated:oauth
그룹
system:authenticated:oauth에서self-provisioner클러스터 역할을 제거합니다.self-provisioners클러스터 역할 바인딩에서self-provisioner역할을system:authenticated:oauth그룹에만 바인딩하는 경우 다음 명령을 실행합니다.$ oc patch clusterrolebinding.rbac self-provisioners -p '{"subjects": null}'self-provisioners clusterrolebinding에서self-provisioner 역할을 system:authenticated:oauth그룹보다 더 많은 사용자, 그룹 또는 serviceaccounts에 바인딩하는 경우 다음 명령을 실행합니다.$ oc adm policy remove-cluster-role-from-group self-provisioner system:authenticated:oauth
master-config.yaml 파일에서
projectRequestMessage매개변수 값을 설정하여 개발자에게 새 프로젝트를 요청하는 방법을 지시합니다. 이 매개 변수 값은 사용자가 프로젝트를 자체 프로비저닝하려고 할 때 웹 콘솔 및 명령줄에 있는 사용자에게 제공되는 문자열입니다. 다음 메시지 중 하나를 사용할 수 있습니다.-
프로젝트를 요청하려면
projectname@example.com을 통해 시스템 관리자에게 문의하십시오. -
새 프로젝트를 요청하려면
https://internal.example.com/openshift-project-request에 있는 프로젝트 요청 양식을 작성합니다.
YAML 파일 예
... projectConfig: ProjectRequestMessage: "message" ...
-
프로젝트를 요청하려면
역할이 자동으로 업데이트되지 않도록
self-provisioners클러스터 역할 바인딩을 편집합니다. 역할이 자동으로 업데이트되면 클러스터 역할이 기본 상태로 재설정됩니다.명령줄에서 역할 바인딩을 업데이트하려면 다음을 수행합니다.
다음 명령을 실행합니다.
$ oc edit clusterrolebinding.rbac self-provisioners
표시된 역할 바인딩에서 다음 예와 같이
rbac.authorization.kubernetes.io/autoupdate매개변수 값을false로 설정합니다.apiVersion: authorization.openshift.io/v1 kind: ClusterRoleBinding metadata: annotations: rbac.authorization.kubernetes.io/autoupdate: "false" ...
단일 명령을 사용하여 역할 바인딩을 업데이트하려면 다음을 실행합니다.
$ oc patch clusterrolebinding.rbac self-provisioners -p '{ "metadata": { "annotations": { "rbac.authorization.kubernetes.io/autoupdate": "false" } } }'
6.3. 노드 선택기 사용
노드 선택기는 포드 배치를 제어하기 위해 레이블이 지정된 노드와 함께 사용됩니다.
6.3.1. 클러스터 전체 기본 노드 선택기 설정
클러스터 관리자는 Pod 배치를 특정 노드로 제한하도록 클러스터 수준 기본 노드 선택기를 설정할 수 있습니다.
/etc/origin/master/master-config.yaml 에서 마스터 구성 파일을 편집하고 기본 노드 선택기의 값을 추가합니다. 이는 지정된 nodeSelector 값이 없는 모든 프로젝트에서 생성된 Pod에 적용됩니다.
... projectConfig: defaultNodeSelector: "type=user-node,region=east" ...
변경 사항을 적용하려면 OpenShift 서비스를 다시 시작하십시오.
# master-restart api # master-restart controllers
6.3.2. 프로젝트 전체 노드 선택기 설정
노드 선택기를 사용하여 개별 프로젝트를 생성하려면 프로젝트를 생성할 때 --node-selector 옵션을 사용합니다. 예를 들어 여러 리전이 있는 OpenShift Container Platform 토폴로지가 있는 경우 노드 선택기를 사용하여 특정 OpenShift Container Platform 프로젝트를 특정 리전의 노드에만 배포하도록 제한할 수 있습니다.
다음은 myproject 라는 새 프로젝트를 생성하고 사용자 노드 및 east 라는 레이블이 지정된 노드에 포드를 배포함을 나타냅니다.
$ oc adm new-project myproject \
--node-selector='type=user-node,region=east'이 명령이 실행되면 지정된 프로젝트에 포함된 모든 포드의 관리자 세트 노드 선택기가 됩니다.
new-project 하위 명령은 oc adm 및 oc 모두에 사용할 수 있지만 각각 클러스터 관리자 및 developer 명령에는 노드 선택기를 사용하여 새 프로젝트를 생성하는 것은 oc adm 명령만 사용할 수 있습니다. 프로젝트를 자체 프로비저닝하는 경우 new-project 하위 명령은 프로젝트 개발자에게 제공되지 않습니다.
oc adm new-project 명령을 사용하면 주석 섹션이 프로젝트에 추가됩니다. 프로젝트를 편집하고 openshift.io/node-selector 값을 변경하여 기본값을 재정의할 수 있습니다.
...
metadata:
annotations:
openshift.io/node-selector: type=user-node,region=east
...다음 명령을 사용하여 기존 프로젝트 네임스페이스에 대한 기본값을 재정의할 수도 있습니다.
# oc patch namespace myproject -p \
'{"metadata":{"annotations":{"openshift.io/node-selector":"node-role.kubernetes.io/infra=true"}}}'
openshift.io/node-selector 가 빈 문자열(ocadm new-project --node-selector="")로 설정된 경우 클러스터 전체 기본값이 설정된 경우에도 프로젝트에관리자 설정 노드 선택기가 없습니다. 즉, 클러스터 관리자로서 개발자 프로젝트를 노드의 하위 집합으로 제한하고 인프라 또는 기타 프로젝트에서 전체 클러스터를 예약할 수 있도록 기본값을 설정할 수 있습니다.
6.3.3. 개발자 지정 노드 선택기
OpenShift Container Platform 개발자는 노드를 추가로 제한하려는 경우 Pod 구성에 노드 선택기를 설정 할 수 있습니다. 이는 프로젝트 노드 선택기 외에도 노드 선택기 값이 있는 모든 프로젝트의 노드 선택기 값을 지정할 수 있습니다.
예를 들어 위의 주석(openshift.io/node-selector: type=user-node,region=east)을 사용하여 프로젝트가 생성되고 개발자가 해당 프로젝트의 Pod에 다른 노드 선택기를 설정합니다(예: =classified ) Pod는 세 개의 라벨(type=user-node, region=east, parcel=classified)이 모두 있는 노드에만 예약됩니다. 포드에서 region=west 을 설정하면 포드가 region =east 및 레이블이 있는 노드가 요구되며 작동하지 않습니다. 레이블을 하나의 값으로만 설정할 수 있으므로 포드는 예약되지 않습니다.
region= west
6.4. 사용자당 자체 프로비저닝 프로젝트 수 제한
지정된 사용자가 요청한 자체 프로비저닝 프로젝트 수는 ProjectRequestLimit 승인 제어 플러그인으로 제한할 수 있습니다.
프로젝트 요청 템플릿이 OpenShift Container Platform 3.1 또는 이전 버전에서 New Projects 템플릿 수정에 설명된 프로세스를 사용하여 생성된 경우, 생성된 템플릿에는 ProjectRequestLimitConfig 에 사용되는 주석 openshift.io/requester: ${PROJECT_REQUESTING_USER} 이(가) 포함되지 않습니다. 주석을 추가해야 합니다.
사용자에 대한 제한을 지정하려면 /etc/origin/master/master-config.yaml 의 마스터 구성 파일 내의 플러그인에 대한 구성을 지정해야 합니다. 플러그인 구성은 사용자 레이블 선택기 및 연결된 최대 프로젝트 요청 목록을 가져옵니다.
선택기는 순서대로 평가됩니다. 현재 사용자와 일치하는 첫 번째 사용자가 최대 프로젝트 수를 결정하는 데 사용됩니다. 선택기를 지정하지 않으면 제한이 모든 사용자에게 적용됩니다. 최대 프로젝트 수를 지정하지 않으면 특정 선택기에 대해 무제한의 프로젝트가 허용됩니다.
다음 구성에서는 사용자당 프로젝트 2개로 전역 제한을 설정하며 level=admin이라는 레이블이 있는 사용자에 대해 10개의 프로젝트를 허용하고, 무제한 프로젝트는 level=admin 입니다.
admissionConfig:
pluginConfig:
ProjectRequestLimit:
configuration:
apiVersion: v1
kind: ProjectRequestLimitConfig
limits:
- selector:
level: admin 1
- selector:
level: advanced 2
maxProjects: 10
- maxProjects: 2 3사용자 및 그룹 레이블 관리는 사용자와 그룹에 레이블을 추가, 제거 또는 표시하는 방법에 대한 지침을 제공합니다.
변경 사항이 완료되면 OpenShift Container Platform을 다시 시작하여 변경 사항을 적용합니다.
# master-restart api # master-restart controllers
6.5. 서비스 계정별로 자체 프로비저닝 프로젝트 활성화 및 제한
기본적으로 서비스 계정은 프로젝트를 생성할 수 없습니다. 그러나 관리자는 서비스 계정당 이 기능을 활성화할 수 있으며, 지정된 서비스 계정에서 요청한 자체 프로비저닝 프로젝트 수는 ProjectRequestLimit 승인 제어 플러그인으로 제한할 수 있습니다.
서비스 계정이 프로젝트를 생성할 수 있는 경우 프로젝트 편집기에서 해당 레이블을 조작할 수 있으므로 해당 계정에 배치된 레이블을 신뢰할 수 없습니다.
프로젝트에 서비스 계정이 없는 경우 해당 계정을 생성합니다.
$ oc create sa <sa_name>
cluster-admin권한이 있는 사용자로 서비스 계정에self-provisioner클러스터 역할을 추가합니다.$ oc adm policy \ add-cluster-role-to-user self-provisioner \ system:serviceaccount:<project>:<sa_name>/etc/origin/master/master-config.yaml 에서 마스터 구성 파일을 편집하고
ProjectRequestLimit섹션의maxProjectsForServiceAccounts매개변수 값을 생성할 수 있는 지정된 프로젝트 수로 설정합니다.예를 들어 다음 구성은 서비스 계정당 프로젝트 3개로 글로벌 제한을 설정합니다.
admissionConfig: pluginConfig: ProjectRequestLimit: configuration: apiVersion: v1 kind: ProjectRequestLimitConfig maxProjectsForServiceAccounts: 3변경 사항을 저장한 후 OpenShift Container Platform을 다시 시작하여 변경 사항을 적용합니다.
# master-restart api # master-restart controllers
서비스 계정으로 로그인하고 새 프로젝트를 생성하여 변경 사항이 적용되었는지 확인합니다.
토큰을 사용하여 서비스 계정으로 로그인합니다.
$ oc login --token <token>
새 프로젝트를 생성합니다.
$ oc new-project <project_name>
7장. Pod 관리
7.1. 개요
이 주제에서는 한 번 실행 기간 제한 및 사용 가능한 대역폭을 비롯하여 Pod 관리에 대해 설명합니다.
7.2. Pod 보기
컨테이너의 런타임 환경을 제공하는 Pod에 대한 사용량 통계를 표시할 수 있습니다. 이러한 사용량 통계에는 CPU, 메모리, 스토리지 사용량이 포함됩니다.
사용량 통계를 보려면 다음을 수행합니다.
$ oc adm top pods NAME CPU(cores) MEMORY(bytes) hawkular-cassandra-1-pqx6l 219m 1240Mi hawkular-metrics-rddnv 20m 1765Mi heapster-n94r4 3m 37Mi
라벨을 사용하여 Pod의 사용량 통계를 보려면 다음을 수행합니다.
$ oc adm top pod --selector=''
필터링할 선택기(라벨 쿼리)를 선택해야 합니다. =, ==, !=가 지원됩니다.
사용량 통계를 보려면 cluster-reader 권한이 있어야 합니다.
사용량 통계를 보려면 metrics-server 를 설치해야 합니다. Horizontal Pod Autoscaler 사용에 대한 요구 사항을 참조하십시오.
7.3. 한 번 실행 Pod 기간 제한
OpenShift Container Platform은 한 번만 실행 Pod를 사용하여 포드 배포 또는 빌드 수행과 같은 작업을 수행합니다. 한 번 실행 Pod는 RestartPolicy 가 Never 또는 OnFailure 인 Pod입니다.
클러스터 관리자는 RunOnceDuration 승인 제어 플러그인을 사용하여 한 번 실행 Pod를 활성화할 수 있는 시간을 제한할 수 있습니다. 시간 제한이 만료되면 클러스터에서 이러한 Pod를 적극적으로 종료하려고 합니다. 이러한 제한이 있는 주된 이유는 빌드와 같은 작업이 과도한 시간 동안 실행되도록 하는 것입니다.
7.3.1. RunOnceDuration 플러그인 구성
플러그인 구성에는 한 번 실행 Pod의 기본 활성 데드라인이 포함되어야 합니다. 이 데드라인은 전역적으로 적용되지만 프로젝트별로 대체될 수 있습니다.
admissionConfig:
pluginConfig:
RunOnceDuration:
configuration:
apiVersion: v1
kind: RunOnceDurationConfig
activeDeadlineSecondsOverride: 3600 1
....- 1
- 실행 Pod의 글로벌 기본값을 초 단위로 지정합니다.
7.3.2. 프로젝트당 사용자 지정 기간 지정
관리자는 실행 Pod에 대한 글로벌 최대 기간을 지정하는 것 외에도 주석(openshift.io/active-deadline-seconds-override)을 특정 프로젝트에 추가하여 글로벌 기본값을 재정의할 수 있습니다.
새 프로젝트의 경우 프로젝트 specification .yaml 파일에 주석을 정의합니다.
apiVersion: v1 kind: Project metadata: annotations: openshift.io/active-deadline-seconds-override: "1000" 1 name: myproject- 1
- 실행 중인 Pod의 기본 활성 종료 시간(초)을 1000초로 재정의합니다. 덮어쓰기 값은 문자열 형식으로 지정해야 합니다.
기존 프로젝트의 경우
oc edit를 실행하고openshift.io/active-deadline-seconds-override를 추가합니다. 편집기에서 1000주석.$ oc edit namespace <project-name>
또는
oc patch명령을 사용합니다.$ oc patch namespace <project_name> -p '{"metadata":{"annotations":{"openshift.io/active-deadline-seconds-override":"1000"}}}'
7.3.2.1. 송신 라우터 Pod 배포
예 7.1. 송신 라우터의 Pod 정의 예
apiVersion: v1
kind: Pod
metadata:
name: egress-1
labels:
name: egress-1
annotations:
pod.network.openshift.io/assign-macvlan: "true"
spec:
containers:
- name: egress-router
image: openshift3/ose-egress-router
securityContext:
privileged: true
env:
- name: EGRESS_SOURCE 1
value: 192.168.12.99
- name: EGRESS_GATEWAY 2
value: 192.168.12.1
- name: EGRESS_DESTINATION 3
value: 203.0.113.25
nodeSelector:
site: springfield-1 4
pod.network.openshift.io/assign-macvlan 주석 은 기본 네트워크 인터페이스에서 Macvlan 네트워크 인터페이스를 생성한 다음 egress-router 컨테이너를 시작하기 전에 Pod의 네트워크 네임스페이스로 이동합니다.
"true" 로 따옴표를 보존합니다. 이를 생략하면 오류가 발생합니다.
Pod에는 openshift3/ose-egress-router 이미지를 사용하는 단일 컨테이너가 포함되어 있으며, Macvlan 인터페이스를 구성하고 iptables 규칙을 설정할 수 있도록 해당 컨테이너가 권한이 부여됩니다.
환경 변수는 사용할 주소를 송신 라우터 이미지에 알립니다. EGRESS_ GATEWAY 를 게이트웨이로 사용하여 EGRESS_SOURCE 를 IP 주소로 사용하도록 Macvlan 인터페이스를 구성합니다.
NAT 규칙은 Pod의 클러스터 IP 주소의 TCP 또는 UDP 포트에 대한 연결이 EGRESS_DESTINATION 의 동일한 포트로 리디렉션되도록 설정됩니다.
클러스터의 일부 노드만 지정된 소스 IP 주소를 요청하고 지정된 게이트웨이를 사용할 수 있는 경우 허용 가능한 노드를 나타내는 nodeName 또는 nodeSelector를 지정할 수 있습니다.
7.3.2.2. 송신 라우터 서비스 배포
반드시 필요한 것은 아니지만 일반적으로 송신 라우터를 가리키는 서비스를 생성하려고 합니다.
apiVersion: v1
kind: Service
metadata:
name: egress-1
spec:
ports:
- name: http
port: 80
- name: https
port: 443
type: ClusterIP
selector:
name: egress-1이제 Pod에서 이 서비스에 연결할 수 있습니다. 이러한 연결은 예약된 송신 IP 주소를 사용하여 외부 서버의 해당 포트로 리디렉션됩니다.
7.3.3. 송신 방화벽을 사용하여 Pod 액세스 제한
OpenShift Container Platform 클러스터 관리자는 송신 정책을 사용하여 일부 또는 모든 Pod가 클러스터 내에서 액세스할 수 있는 외부 주소를 제한할 수 있습니다.
포드는 내부 호스트와만 통신할 수 있으며 공용 인터넷에 대한 연결을 시작할 수 없습니다.
또는,
포드는 공용 인터넷 전용으로 통신할 수 있으며 클러스터 외부에서는 내부 호스트 연결을 시작할 수 없습니다.
또는,
- Pod는 연결할 이유가 없어 지정된 내부 서브넷/호스트에 도달할 수 없습니다.
예를 들어 지정된 IP 범위에 대한 <project A> 액세스를 허용하지만 < 에 대한 동일한 액세스를 거부하도록 다양한 송신 정책을 사용하여 프로젝트를 구성할 수 있습니다.
project B>
송신 정책을 통해 Pod 액세스를 제한하려면 ovs-multitenant 플러그인이 활성화되어 있어야 합니다.
프로젝트 관리자는 EgressNetworkPolicy 오브젝트 를 생성하거나 프로젝트에서 생성한 개체를 편집할 수 없습니다. 또한 EgressNetworkPolicy 를 생성할 수 있는 몇 가지 제한 사항이 있습니다.
-
기본프로젝트(및oc adm pod-network make-projects-global를 통해 전역적으로 수행된 다른 프로젝트)에는 송신 정책이 없습니다. -
oc adm pod-network join-projects를 통해 두 개의 프로젝트를 함께 병합하면 결합된 프로젝트에서 송신 정책을 사용할 수 없습니다. - 송신 정책 오브젝트가 두 개 이상일 수 있는 프로젝트는 없습니다.
이러한 제한 사항을 위반하면 프로젝트의 송신 정책이 손상되고 모든 외부 네트워크 트래픽이 삭제될 수 있습니다.
7.3.3.1. Pod 액세스 제한 구성
포드 액세스 제한을 구성하려면 oc 명령 또는 REST API를 사용해야 합니다. oc [create|replace|delete] 를 사용하여 EgressNetworkPolicy 오브젝트 를 조작할 수 있습니다. api/swagger-spec/oapi-v1.json 파일에는 오브젝트의 실제 작동 방식에 대한 API 수준의 세부 정보가 있습니다.
Pod 액세스 제한을 구성하려면 다음을 수행합니다.
- 영향을 미칠 프로젝트로 이동합니다.
Pod 제한 정책에 대한 JSON 파일을 생성합니다.
# oc create -f <policy>.json
정책 세부 정보를 사용하여 JSON 파일을 구성합니다. 예를 들면 다음과 같습니다.
{ "kind": "EgressNetworkPolicy", "apiVersion": "v1", "metadata": { "name": "default" }, "spec": { "egress": [ { "type": "Allow", "to": { "cidrSelector": "1.2.3.0/24" } }, { "type": "Allow", "to": { "dnsName": "www.foo.com" } }, { "type": "Deny", "to": { "cidrSelector": "0.0.0.0/0" } } ] } }위의 예가 프로젝트에 추가되면 IP 범위
1.2.3.0/24및 도메인 이름www.foo.com에 대한 트래픽을 허용하지만 다른 모든 외부 IP 주소에 대한 액세스를 거부합니다. (정책이 외부 트래픽에만 적용되므로 다른 포드에 대한 트래픽은 영향을 받지 않습니다.)EgressNetworkPolicy의 규칙이 순서대로 확인되고 일치하는 첫 번째 규칙이 적용됩니다. 위 예제의 세 규칙이 되돌리면0.0.0.0/0규칙이 먼저 확인되므로 트래픽이1.2.3.0/24및www.foo.com에 허용되지 않으며 모든 트래픽과 일치하고 거부됩니다.도메인 이름 업데이트가 30분 이내에 반영됩니다. 위의 예에서
www.foo.com가10.11.12.13로 해결되었지만 나중에20.21.22.23으로 변경되었습니다. 그런 다음 OpenShift Container Platform이 이러한 DNS 업데이트에 맞게 조정하는 데 최대 30분이 걸립니다.
7.4. Pod로 사용 가능한 대역폭 제한
Pod에 서비스 품질 트래픽 조절 기능을 적용하고 사용 가능한 대역폭을 효과적으로 제한할 수 있습니다. Pod에서 송신하는 트래픽은 구성된 속도를 초과하는 패킷을 간단히 삭제하는 정책에 따라 처리합니다. Pod에 수신되는 트래픽은 데이터를 효과적으로 처리하기 위해 대기 중인 패킷을 구성하여 처리합니다. 특정 Pod에 대한 제한 사항은 다른 Pod의 대역폭에 영향을 미치지 않습니다.
Pod의 대역폭을 제한하려면 다음을 수행합니다.
오브젝트 정의 JSON 파일을 작성하고
kubernetes.io/ingress-bandwidth및kubernetes.io/egress-bandwidth주석을 사용하여 데이터 트래픽 속도를 지정합니다. 예를 들어 Pod 송신 및 수신 대역폭을 둘 다 10M/s로 제한하려면 다음을 수행합니다.제한된 Pod 오브젝트 정의
{ "kind": "Pod", "spec": { "containers": [ { "image": "openshift/hello-openshift", "name": "hello-openshift" } ] }, "apiVersion": "v1", "metadata": { "name": "iperf-slow", "annotations": { "kubernetes.io/ingress-bandwidth": "10M", "kubernetes.io/egress-bandwidth": "10M" } } }오브젝트 정의를 사용하여 Pod를 생성합니다.
$ oc create -f <file_or_dir_path>
7.5. 포드 중단 예산 설정
Pod 중단 예산 은 Kubernetes API의 일부이며 다른 오브젝트 유형과 같은 oc 명령으로 관리할 수 있습니다. 유지 관리를 위해 노드를 드레이닝하는 것과 같이 작업 중에 pod 에 대한 보안 제약 조건을 지정할 수 있습니다.
PodDisruptionBudget은 동시에 작동해야 하는 최소 복제본 수 또는 백분율을 지정하는 API 오브젝트입니다. 프로젝트에서 이러한 설정은 노드 유지 관리 (예: 클러스터 축소 또는 클러스터 업그레이드) 중에 유용할 수 있으며 (노드 장애 시가 아니라) 자발적으로 제거된 경우에만 적용됩니다.
PodDisruptionBudget 오브젝트의 구성은 다음과 같은 주요 부분으로 구성되어 있습니다.
- 일련의 pod에 대한 라벨 쿼리 기능인 라벨 선택기입니다.
- 동시에 사용할 수 있어야 하는 최소 Pod 수를 지정하는 가용성 수준입니다.
다음은 PodDisruptionBudget 리소스의 예입니다.
apiVersion: policy/v1beta1 1 kind: PodDisruptionBudget metadata: name: my-pdb spec: selector: 2 matchLabels: foo: bar minAvailable: 2 3
위의 오브젝트 정의를 사용하여 YAML 파일을 생성한 경우 다음을 사용하여 프로젝트에 추가할 수 있습니다.
$ oc create -f </path/to/file> -n <project_name>
다음을 사용하여 모든 프로젝트에서 pod 중단 예산을 확인할 수 있습니다.
$ oc get poddisruptionbudget --all-namespaces NAMESPACE NAME MIN-AVAILABLE SELECTOR another-project another-pdb 4 bar=foo test-project my-pdb 2 foo=bar
PodDisruptionBudget은 시스템에서 최소 minAvailable pod가 실행중인 경우 정상으로 간주됩니다. 이 제한을 초과하는 모든 Pod는 제거할 수 있습니다.
Pod 우선순위 및 선점 설정에 따라 우선순위가 낮은 Pod는 Pod 중단 예산 요구 사항에도 불구하고 제거될 수 있습니다.
7.6. 중요한 Pod 구성
완전한 클러스터에 중요하지만 마스터가 아닌 일반 클러스터 노드에서 실행되는 DNS와 같은 많은 핵심 구성 요소가 있습니다. 중요한 추가 기능이 제거되면 클러스터가 제대로 작동하지 않을 수 있습니다. Descheduler 가 이러한 Pod를 제거하지 않도록 Pod 사양에 scheduler.alpha.kubernetes.io/critical-pod 주석을 추가하여 Pod를 중요화할 수 있습니다.
spec:
template:
metadata:
name: critical-pod
annotations:
scheduler.alpha.kubernetes.io/critical-pod: "true"8장. 네트워킹 관리
8.1. 개요
이 주제에서는 프로젝트 격리 및 아웃바운드 트래픽 제어를 포함하여 전체 클러스터 네트워크의 관리에 대해 설명합니다.
Pod별 대역폭 제한과 같은 Pod 수준 네트워킹 기능에 대해서는 Pod 관리에서 설명합니다.
8.2. Pod 네트워크 관리
클러스터가 ovs-multitenant SDN 플러그인을 사용하도록 구성된 경우 관리자 CLI를 사용하여 프로젝트에 대한 개별 포드 오버레이 네트워크를 관리할 수 있습니다. 필요한 경우 플러그인 구성 단계는 Configuring the SDN 섹션을 참조하십시오.
8.2.1. 프로젝트 네트워크 참여
기존 프로젝트 네트워크에 프로젝트를 참여하려면 다음을 수행합니다.
$ oc adm pod-network join-projects --to=<project1> <project2> <project3>
위의 예에서 <project2> 및 <project 의 모든 Pod 및 서비스에 액세스할 수 있으며 그 반대의 경우도 마찬가지입니다. 서비스는 IP 또는 정규화된 DNS 이름(3> 의 모든 Pod 및 서비스는 <project1><service>.<pod_namespace>.svc.cluster.local)을 통해 액세스할 수 있습니다. 예를 들어 myproject 프로젝트에서 을 사용합니다.
db 라는 서비스에 액세스하려면 db.myproject.svc.cluster.local
또는 특정 프로젝트 이름을 지정하는 대신 --selector=<project_selector> 옵션을 사용할 수 있습니다.
함께 참여한 네트워크를 확인하려면 다음을 수행합니다.
$ oc get netnamespaces
그런 다음 NETID 열을 확인합니다. 동일한 포드 네트워크에 있는 프로젝트는 동일한 NetID를 갖습니다.
8.3. 프로젝트 네트워크 격리
클러스터에서 프로젝트 네트워크를 격리하고 그 반대로 격리하려면 다음을 실행합니다.
$ oc adm pod-network isolate-projects <project1> <project2>
위 예제에서 <project1> 및 < 의 모든 Pod 및 서비스는 클러스터의 다른 글로벌이 아닌 프로젝트에서 포드 및 서비스에 액세스할 수 없으며 그 반대의 경우도 마찬가지입니다.
project2>
또는 특정 프로젝트 이름을 지정하는 대신 --selector=<project_selector> 옵션을 사용할 수 있습니다.
8.3.1. 프로젝트 네트워크 글로벌화
프로젝트에서 클러스터의 모든 Pod 및 서비스에 액세스할 수 있도록 허용하려면 다음을 수행합니다.
$ oc adm pod-network make-projects-global <project1> <project2>
위의 예에서 <project1> 및 < 의 모든 Pod 및 서비스는 이제 클러스터의 모든 Pod 및 서비스에 액세스할 수 있으며 그 반대의 경우도 마찬가지입니다.
project2>
또는 특정 프로젝트 이름을 지정하는 대신 --selector=<project_selector> 옵션을 사용할 수 있습니다.
8.4. 경로 및 Ingress 개체에 대한 호스트 이름 충돌 방지 비활성화
OpenShift Container Platform에서는 경로 및 수신 오브젝트에 대한 호스트 이름 충돌 방지가 기본적으로 활성화되어 있습니다. 즉, cluster-admin 역할이 없는 사용자는 생성 시에만 경로 또는 인그레스 개체에 호스트 이름을 설정할 수 있으며 나중에 변경할 수 없습니다. 그러나 일부 또는 모든 사용자의 경로 및 수신 오브젝트에 대한 이 제한을 완화할 수 있습니다.
OpenShift Container Platform은 오브젝트 생성 타임스탬프를 사용하여 지정된 호스트 이름의 가장 오래된 경로 또는 인그레스 오브젝트를 결정하기 때문에 이전 경로에서 호스트 이름을 변경하거나 인그레스 오브젝트가 도입되면 경로 또는 수신 개체의 호스트 이름을 가로챌 수 있습니다.
OpenShift Container Platform 클러스터 관리자는 생성 후도 경로에서 호스트 이름을 편집할 수 있습니다. 특정 사용자가 수행할 수 있도록 역할을 생성할 수도 있습니다.
$ oc create clusterrole route-editor --verb=update --resource=routes.route.openshift.io/custom-host
그런 다음 새 역할을 사용자에게 바인딩할 수 있습니다.
$ oc adm policy add-cluster-role-to-user route-editor user
수신 오브젝트에 대한 호스트 이름 충돌 방지를 비활성화할 수도 있습니다. 이렇게 하면 cluster-admin 역할 없이 사용자가 생성한 후 인그레스 오브젝트에 대한 호스트 이름을 편집할 수 있습니다. 이는 수신 오브젝트의 호스트 이름을 편집하는 것을 포함하여 Kubernetes 동작에 따라 OpenShift Container Platform 설치에 유용합니다.
master.yaml 파일에 다음을 추가합니다.admissionConfig: pluginConfig: openshift.io/IngressAdmission: configuration: apiVersion: v1 allowHostnameChanges: true kind: IngressAdmissionConfig location: ""변경 사항을 적용하려면 마스터 서비스를 다시 시작하십시오.
$ master-restart api $ master-restart controllers
8.5. 송신 트래픽 제어
클러스터 관리자는 호스트 수준에서 특정 노드에 여러 정적 IP 주소를 할당할 수 있습니다. 애플리케이션 개발자에게 애플리케이션 서비스에 전용 IP 주소가 필요한 경우 방화벽 액세스를 요청하는 데 사용하는 프로세스 중에 하나를 요청할 수 있습니다. 그런 다음 배포 구성에서 nodeSelector 를 사용하여 개발자의 프로젝트에서 송신 라우터를 배포하여 포드가 사전 할당된 고정 IP 주소가 있는 호스트에 배치되도록 할 수 있습니다.
송신 Pod의 배포는 소스 IP 중 하나, 보호된 서비스의 대상 IP 및 대상에 도달할 게이트웨이 IP를 선언합니다. 포드가 배포되면 송신 라우터 포드에 액세스 하는 서비스를 만든 다음 해당 소스 IP를 회사 방화벽에 추가할 수 있습니다. 그런 다음 개발자는 프로젝트에서 생성된 출력 라우터 서비스에 대한 액세스 정보(예: service.project.cluster.domainname.com )를 보유합니다.
개발자가 방화벽 외부 서비스에 액세스해야 하는 경우 실제 보호 서비스 URL 대신 애플리케이션(예: JDBC 연결 정보)의 출력 라우터 포드 서비스(예:service.project.cluster.domainname.com)를 호출할 수 있습니다.
또한 프로젝트에 고정 IP 주소를 할당하여 지정된 프로젝트에서 나가는 모든 외부 연결이 인식할 수 있는지 확인할 수 있습니다. 특정 대상에 트래픽을 보내는 데 사용되는 기본 출력 라우터와는 다릅니다.
자세한 내용은 외부 프로젝트 트래픽에 대한 고정 IP 활성화 섹션을 참조하십시오.
OpenShift Container Platform 클러스터 관리자는 다음과 같은 방식으로 송신 트래픽을 제어할 수 있습니다.
- 방화벽
- 송신 방화벽을 사용하면 허용 가능한 아웃바운드 트래픽 정책을 적용하여 특정 엔드포인트 또는 IP 범위(서브넷)가 통신할 동적 끝점(OpenShift Container Platform 내 포드)에 대해 허용 가능한 유일한 대상입니다.
- 라우터
- 출력 라우터를 사용하면 특정 대상에 트래픽을 보내도록 식별 가능한 서비스를 만들 수 있으므로 외부 대상에서 트래픽을 알려진 소스에서 들어오는 것처럼 취급할 수 있습니다. 이는 네임스페이스의 특정 포드만 데이터베이스에 대한 트래픽을 프록시하는 서비스( 송신 라우터)와 통신할 수 있도록 외부 데이터베이스를 보안할 수 있기 때문에 보안에 유용합니다.
- iptables
- 위의 OpenShift Container Platform 내부 솔루션 외에도 발신 트래픽에 적용할 iptables 규칙을 만들 수도 있습니다. 이러한 규칙은 송신 방화벽보다 더 많은 가능성을 허용하지만 특정 프로젝트로 제한할 수는 없습니다.
8.6. 송신 방화벽을 사용하여 외부 리소스에 대한 액세스 제한
OpenShift Container Platform 클러스터 관리자는 송신 방화벽 정책을 사용하여 일부 또는 모든 Pod가 클러스터 내에서 액세스할 수 있는 외부 IP 주소를 제한할 수 있습니다. 송신 방화벽 정책에서는 다음 시나리오를 지원합니다.
- 포드는 내부 호스트에만 연결할 수 있으며 공용 인터넷에 대한 연결을 시작할 수 없습니다.
- Pod는 공용 인터넷에만 연결할 수 있으며 OpenShift Container Platform 클러스터 외부에 있는 내부 호스트에 대한 연결을 시작할 수 없습니다.
- Pod는 지정된 내부 서브넷 또는 연결할 수 없는 호스트에 연결할 수 없습니다.
송신 정책은 CIDR 형식으로 IP 주소 범위를 지정하거나 DNS 이름을 지정하여 설정할 수 있습니다. 예를 들어 <project_A> 가 지정된 IP 범위에 액세스할 수 있지만 <project_B> 에 대한 동일한 액세스를 거부할 수 있습니다. 또는 애플리케이션 개발자가 (Python) pip 미러에서 업데이트하지 못하도록 제한하고 승인된 소스에서만 업데이트를 강제로 제공할 수 있습니다.
송신 정책을 통해 Pod 액세스를 제한하려면 ovs-multitenant 또는 ovs-networkpolicy 플러그인을 활성화해야 합니다.
ovs-multitenant 플러그인을 사용하는 경우 송신 정책은 프로젝트당 하나의 정책과만 호환되며 글로벌 프로젝트와 같은 네트워크를 공유하는 프로젝트에서는 작동하지 않습니다.
프로젝트 관리자는 EgressNetworkPolicy 오브젝트 를 생성하거나 프로젝트에서 생성한 개체를 편집할 수 없습니다. 또한 EgressNetworkPolicy 를 생성할 수 있는 몇 가지 제한 사항이 있습니다.
-
기본프로젝트(및oc adm pod-network make-projects-global를 통해 전역적으로 수행된 다른 프로젝트)에는 송신 정책이 없습니다. -
oc adm pod-network join-projects를 통해 두 개의 프로젝트를 함께 병합하면 결합된 프로젝트에서 송신 정책을 사용할 수 없습니다. - 송신 정책 오브젝트가 두 개 이상일 수 있는 프로젝트는 없습니다.
이러한 제한 사항을 위반하면 프로젝트의 송신 정책이 손상되고 모든 외부 네트워크 트래픽이 삭제될 수 있습니다.
oc 명령 또는 REST API를 사용하여 송신 정책을 구성합니다. oc [create|replace|delete] 를 사용하여 EgressNetworkPolicy 오브젝트 를 조작할 수 있습니다. api/swagger-spec/oapi-v1.json 파일에는 오브젝트의 실제 작동 방식에 대한 API 수준의 세부 정보가 있습니다.
송신 정책을 구성하려면 다음을 수행합니다.
- 영향을 미칠 프로젝트로 이동합니다.
다음 예와 같이 사용할 정책 구성을 사용하여 JSON 파일을 생성합니다.
{ "kind": "EgressNetworkPolicy", "apiVersion": "v1", "metadata": { "name": "default" }, "spec": { "egress": [ { "type": "Allow", "to": { "cidrSelector": "1.2.3.0/24" } }, { "type": "Allow", "to": { "dnsName": "www.foo.com" } }, { "type": "Deny", "to": { "cidrSelector": "0.0.0.0/0" } } ] } }위의 예가 프로젝트에 추가되면 IP 범위
1.2.3.0/24및 도메인 이름www.foo.com에 대한 트래픽을 허용하지만 다른 모든 외부 IP 주소에 대한 액세스를 거부합니다. 정책이 외부 트래픽에만 적용되므로 다른 포드에 대한 트래픽은 영향을 받지 않습니다.EgressNetworkPolicy의 규칙이 순서대로 확인되고 일치하는 첫 번째 규칙이 적용됩니다. 위 예제의 세 규칙이 되돌리면0.0.0.0/0규칙이 먼저 확인되므로 트래픽이1.2.3.0/24및www.foo.com에 허용되지 않으며 모든 트래픽과 일치하고 거부됩니다.도메인 이름 업데이트는 로컬 권한이 없는 서버가 반환한 도메인의 TTL(Time to Live) 값을 기준으로 폴링됩니다. 또한 Pod는 필요한 경우 동일한 로컬 이름 서버에서 도메인을 확인해야 합니다. 그렇지 않으면 송신 네트워크 정책 컨트롤러에서 인식하는 도메인의 IP 주소가 다르며 Pod는 다르며 송신 네트워크 정책은 예상대로 적용되지 않을 수 있습니다. 송신 네트워크 정책 컨트롤러와 Pod는 동일한 로컬 이름 서버를 비동기적으로 폴링하므로 Pod에서 송신 컨트롤러 전에 업데이트된 IP를 가져올 수 있는 경쟁 조건이 있을 수 있습니다. 이러한 현재 제한으로 인해
EgressNetworkPolicy의 도메인 이름 사용은 IP 주소가 자주 변경되지 않는 도메인에만 권장됩니다.참고송신 방화벽을 사용하면 Pod가 DNS 확인을 위해 Pod가 있는 노드의 외부 인터페이스에 항상 액세스할 수 있습니다. 로컬 노드에서 DNS 확인을 처리하지 않으면 Pod에서 도메인 이름을 사용하는 경우 DNS 서버의 IP 주소에 대한 액세스를 허용하는 송신 방화벽 규칙을 추가해야 합니다.
JSON 파일을 사용하여 EgressNetworkPolicy 오브젝트를 생성합니다.
$ oc create -f <policy>.json
경로를 생성하여 서비스를 노출하면 EgressNetworkPolicy 가 무시됩니다. 송신 네트워크 정책 서비스 끝점 필터링은 노드 kubeproxy 에서 수행됩니다. 라우터가 연결되어 있으면 kubeproxy 를 우회하고 송신 네트워크 정책 시행이 적용되지 않습니다. 관리자는 경로를 생성하도록 액세스를 제한하여 이 바이패스를 방지할 수 있습니다.
8.6.1. 송신 라우터를 사용하여 외부 리소스를 허용하여 포드 트래픽 파악
OpenShift Container Platform 송신 라우터는 다른 업무에 사용되지 않는 프라이빗 소스 IP 주소를 사용하여 지정된 원격 서버로 트래픽을 리디렉션하는 서비스를 실행합니다. 서비스를 사용하면 포드가 허용된 IP 주소에서만 액세스할 수 있도록 설정된 서버와 통신할 수 있습니다.
출력 라우터는 나가는 모든 연결을 위한 것이 아닙니다. 다수의 송신 라우터를 생성하면 네트워크 하드웨어의 제한을 푸시할 수 있습니다. 예를 들어 모든 프로젝트 또는 애플리케이션에 대해 송신 라우터를 생성하면 소프트웨어에서 MAC 주소 필터링으로 대체하기 전에 네트워크 인터페이스에서 처리할 수 있는 로컬 MAC 주소 수를 초과할 수 있습니다.
현재 송신 라우터는 Amazon AWS, Azure Cloud 또는 macvlan 트래픽과의 비호환성으로 인해 계층 2 조작을 지원하지 않는 기타 클라우드 플랫폼과 호환되지 않습니다.
배포 고려 사항
Egress 라우터는 노드의 기본 네트워크 인터페이스에 두 번째 IP 주소와 MAC 주소를 추가합니다. 베어 메탈에서 OpenShift Container Platform을 실행하지 않는 경우 추가 주소를 허용하도록 하이퍼바이저 또는 클라우드 공급자를 구성해야 할 수 있습니다.
- Red Hat OpenStack Platform
Red Hat OpenStack Platform에 OpenShift Container Platform을 배포하는 경우 OpenStack 환경에서 IP 및 MAC 주소를 허용 목록에 추가해야 합니다. 그렇지 않으면 통신에 실패합니다.
neutron port-update $neutron_port_uuid \ --allowed_address_pairs list=true \ type=dict mac_address=<mac_address>,ip_address=<ip_address>
- Red Hat Enterprise Virtualization
-
Red Hat Enterprise Virtualization을 사용하는 경우
EnableMACAntiSpoofingFilterRules를false로 설정해야 합니다. - VMware vSphere
- VMware vSphere를 사용하는 경우 vSphere 표준 스위치 보안을 위한 VMWare 설명서를 참조하십시오. vSphere Web Client에서 호스트의 가상 스위치를 선택하여 VMWare vSphere 기본 설정을 보고 변경합니다.
특히 다음이 활성화되어 있는지 확인하십시오.
송신 라우터 모드
송신 라우터는 리디렉션 모드,HTTP 프록시 모드 및 DNS 프록시 모드의 세 가지 모드로 실행될 수 있습니다. 리디렉션 모드는 HTTP 및 HTTPS를 제외한 모든 서비스에서 작동합니다. HTTP 및 HTTPS 서비스의 경우 HTTP 프록시 모드를 사용하십시오. IP 주소 또는 도메인 이름이 있는 TCP 기반 서비스는 DNS 프록시 모드를 사용하십시오.
8.6.1.1. 리디렉션 모드에서 송신 라우터 Pod 배포
리디렉션 모드에서 송신 라우터는 자체 IP 주소에서 하나 이상의 대상 IP 주소로 트래픽을 리디렉션하도록 iptables 규칙을 설정합니다. 예약된 소스 IP 주소를 사용하려는 클라이언트 Pod는 대상 IP에 직접 연결하는 대신 송신 라우터에 연결하도록 수정해야 합니다.
다음을 사용하여 Pod 구성을 생성합니다.
apiVersion: v1 kind: Pod metadata: name: egress-1 labels: name: egress-1 annotations: pod.network.openshift.io/assign-macvlan: "true" 1 spec: initContainers: - name: egress-router image: registry.redhat.io/openshift3/ose-egress-router securityContext: privileged: true env: - name: EGRESS_SOURCE 2 value: 192.168.12.99/24 - name: EGRESS_GATEWAY 3 value: 192.168.12.1 - name: EGRESS_DESTINATION 4 value: 203.0.113.25 - name: EGRESS_ROUTER_MODE 5 value: init containers: - name: egress-router-wait image: registry.redhat.io/openshift3/ose-pod nodeSelector: site: springfield-1 6- 1
- 기본 네트워크 인터페이스에서 Macvlan 네트워크 인터페이스를 만들고 egress-router 컨테이너를 시작하기 전에 Pod의 네트워크 프로젝트로 이동합니다.
"true"로 따옴표를 보존합니다. 생략하면 오류가 발생합니다. 기본 인터페이스가 아닌 네트워크 인터페이스에서 Macvlan 인터페이스를 생성하려면 주석 값을 해당 인터페이스 이름으로 설정합니다. 예를 들면eth1입니다. - 2
- 노드가 있고 이 포드에서 사용하도록 클러스터 관리자가 예약한 실제 네트워크의 IP 주소입니다. 선택적으로 서브넷 길이
/24접미사를 포함하여 로컬 서브넷 경로를 설정할 수 있습니다. 서브넷 길이를 지정하지 않으면 송신 라우터에서EGRESS_GATEWAY변수로 지정된 호스트에만 액세스하고 서브넷의 다른 호스트에는 액세스할 수 없습니다. - 3
- 노드에서 사용하는 기본 게이트웨이와 동일한 값입니다.
- 4
- 트래픽을 전달할 외부 서버입니다. 이 예제를 사용하면 포드에 대한 연결이 소스 IP 주소가 192.168.12.99인 203.0.113.25로 리디렉션됩니다.
- 5
- 이는 송신 라우터 이미지가 "init 컨테이너"로 배포됨을 알려줍니다. 이전 버전의 OpenShift Container Platform(및 송신 라우터 이미지)은 이 모드를 지원하지 않으며 일반 컨테이너로 실행해야 했습니다.
- 6
- 포드는 레이블이
site=springfield-1인 노드에만 배포됩니다.
위의 정의를 사용하여 Pod를 생성합니다.
$ oc create -f <pod_name>.json
Pod가 생성되었는지 확인하려면 다음을 수행합니다.
$ oc get pod <pod_name>
송신 라우터를 가리키도록 서비스를 생성하여 다른 Pod에서 Pod의 IP 주소를 찾을 수 있는지 확인합니다.
apiVersion: v1 kind: Service metadata: name: egress-1 spec: ports: - name: http port: 80 - name: https port: 443 type: ClusterIP selector: name: egress-1이제 Pod에서 이 서비스에 연결할 수 있습니다. 이러한 연결은 예약된 송신 IP 주소를 사용하여 외부 서버의 해당 포트로 리디렉션됩니다.
송신 라우터 설정은 openshift3/ose-egress-router 이미지에서 생성된 "init 컨테이너"에서 수행되며, 해당 컨테이너는 Macvlan 인터페이스를 구성하고 iptables 규칙을 설정할 수 있도록 권한이 부여됩니다. iptables 규칙 설정이 완료되면 종료되고 pod가 종료될 때까지 openshift3/ose-pod 컨테이너가 실행(아무 것도 수행하지 않음)됩니다.
환경 변수는 사용할 주소를 송신 라우터 이미지에 알립니다. EGRESS_ GATEWAY 를 게이트웨이로 사용하여 EGRESS_SOURCE 를 IP 주소로 사용하도록 Macvlan 인터페이스를 구성합니다.
NAT 규칙은 Pod의 클러스터 IP 주소의 TCP 또는 UDP 포트에 대한 연결이 EGRESS_DESTINATION 의 동일한 포트로 리디렉션되도록 설정됩니다.
클러스터의 일부 노드만 지정된 소스 IP 주소를 요청하고 지정된 게이트웨이를 사용할 수 있는 경우 허용 가능한 노드를 나타내는 nodeName 또는 nodeSelector를 지정할 수 있습니다.
8.6.1.2. 여러 대상으로 리디렉션
이전 예에서 모든 포트의 송신 포드(또는 해당 서비스)에 대한 연결은 단일 대상 IP로 리디렉션됩니다. 포트에 따라 다양한 대상 IP를 구성할 수도 있습니다.
apiVersion: v1
kind: Pod
metadata:
name: egress-multi
labels:
name: egress-multi
annotations:
pod.network.openshift.io/assign-macvlan: "true"
spec:
initContainers:
- name: egress-router
image: registry.redhat.io/openshift3/ose-egress-router
securityContext:
privileged: true
env:
- name: EGRESS_SOURCE 1
value: 192.168.12.99/24
- name: EGRESS_GATEWAY
value: 192.168.12.1
- name: EGRESS_DESTINATION 2
value: |
80 tcp 203.0.113.25
8080 tcp 203.0.113.26 80
8443 tcp 203.0.113.26 443
203.0.113.27
- name: EGRESS_ROUTER_MODE
value: init
containers:
- name: egress-router-wait
image: registry.redhat.io/openshift3/ose-pod
EGRESS_DESTINATION 의 각 줄은 다음 세 가지 유형 중 하나일 수 있습니다.
-
<port> <protocol> <IP_address>- 지정된<port>에 대한 수신되는 연결을 지정된<IP_address>의 동일한 포트로 리디렉션해야 합니다.<protocol>은tcp또는udp입니다. 위의 예에서 첫 번째 줄은 트래픽을 로컬 포트 80에서 203.0.113.25의 포트 80으로 리디렉션합니다. -
<port> <protocol> <IP_address> <remote_port>- 연결이 <IP_address>의 다른위의 예에서 두 번째 및 세 번째 줄은 로컬 포트 8080 및 8443을 203.0.113.26의 원격 포트 80 및 443으로 리디렉션합니다.<remote_port>로 리디렉션된다는 점을 제외하고는 위와 같습니다. -
<fallback_IP_address>-EGRESS_DESTINATION의 마지막 줄이 단일 IP 주소인 경우 다른 포트의 모든 연결이 해당 IP 주소의 해당 포트(예: 위의 예에서 203.0.113.27)로 리디렉션됩니다. 대체 IP 주소가 없으면 다른 포트의 연결이 단순히 거부됩니다.)
8.6.1.3. ConfigMap을 사용하여 EGRESS_DESTINATION 지정
대규모 또는 자주 변경되는 대상 매핑 세트의 경우 ConfigMap을 사용하여 목록을 외부적으로 유지 관리하고 송신 라우터 Pod에서 해당 매핑을 읽도록 할 수 있습니다. 이는 프로젝트 관리자가 ConfigMap을 편집할 수 있는 장점이 있지만 권한 있는 컨테이너가 포함되어 있기 때문에 Pod 정의를 직접 편집하지 못할 수 있습니다.
EGRESS_DESTINATION데이터가 포함된 파일을 생성합니다.$ cat my-egress-destination.txt # Egress routes for Project "Test", version 3 80 tcp 203.0.113.25 8080 tcp 203.0.113.26 80 8443 tcp 203.0.113.26 443 # Fallback 203.0.113.27
빈 줄과 주석을 이 파일에 넣을 수 있습니다.
파일에서 ConfigMap 오브젝트를 생성합니다.
$ oc delete configmap egress-routes --ignore-not-found $ oc create configmap egress-routes \ --from-file=destination=my-egress-destination.txt
여기서
egress-routes는 생성되는 ConfigMap 오브젝트의 이름이고my-egress-destination.txt는 데이터를 읽을 파일의 이름입니다.위와 같이 송신 라우터 Pod 정의를 생성하되 환경 섹션에서
EGRESS_DESTINATION에 대한 ConfigMap을 지정합니다.... env: - name: EGRESS_SOURCE 1 value: 192.168.12.99/24 - name: EGRESS_GATEWAY value: 192.168.12.1 - name: EGRESS_DESTINATION valueFrom: configMapKeyRef: name: egress-routes key: destination - name: EGRESS_ROUTER_MODE value: init ...- 1
- 노드가 있고 이 포드에서 사용하도록 클러스터 관리자가 예약한 실제 네트워크의 IP 주소입니다. 선택적으로 서브넷 길이
/24접미사를 포함하여 로컬 서브넷 경로를 설정할 수 있습니다. 서브넷 길이를 지정하지 않으면 송신 라우터에서EGRESS_GATEWAY변수로 지정된 호스트에만 액세스하고 서브넷의 다른 호스트에는 액세스할 수 없습니다.
출력 라우터는 ConfigMap이 변경되면 자동으로 업데이트되지 않습니다. 포드를 다시 시작하여 업데이트를 가져옵니다.
8.6.1.4. 송신 라우터 HTTP 프록시 Pod 배포
HTTP 프록시 모드에서는 송신 라우터가 포트 8080 에서 HTTP 프록시로 실행됩니다. 이 방법은 HTTP 또는 HTTPS 기반 서비스에 대한 통신 클라이언트에서만 작동하지만 일반적으로 클라이언트 포드를 덜 변경하여 작동하도록 해야 합니다. 환경 변수를 설정하여 HTTP 프록시를 사용하도록 프로그램을 지정할 수 있습니다.
예를 들어 다음을 사용하여 Pod를 생성합니다.
apiVersion: v1 kind: Pod metadata: name: egress-http-proxy labels: name: egress-http-proxy annotations: pod.network.openshift.io/assign-macvlan: "true" 1 spec: initContainers: - name: egress-router-setup image: registry.redhat.io/openshift3/ose-egress-router securityContext: privileged: true env: - name: EGRESS_SOURCE 2 value: 192.168.12.99/24 - name: EGRESS_GATEWAY 3 value: 192.168.12.1 - name: EGRESS_ROUTER_MODE 4 value: http-proxy containers: - name: egress-router-proxy image: registry.redhat.io/openshift3/ose-egress-http-proxy env: - name: EGRESS_HTTP_PROXY_DESTINATION 5 value: | !*.example.com !192.168.1.0/24 *- 1
- 기본 네트워크 인터페이스에서 Macvlan 네트워크 인터페이스를 만든 다음 egress-router 컨테이너를 시작하기 전에 Pod의 네트워크 프로젝트로 이동합니다.
"true"로 따옴표를 보존합니다. 생략하면 오류가 발생합니다. - 2
- 노드가 있고 이 포드에서 사용하도록 클러스터 관리자가 예약한 실제 네트워크의 IP 주소입니다. 선택적으로 서브넷 길이
/24접미사를 포함하여 로컬 서브넷 경로를 설정할 수 있습니다. 서브넷 길이를 지정하지 않으면 송신 라우터에서EGRESS_GATEWAY변수로 지정된 호스트에만 액세스하고 서브넷의 다른 호스트에는 액세스할 수 없습니다. - 3
- 노드 자체에서 사용하는 기본 게이트웨이와 동일한 값입니다.
- 4
- 이는 송신 라우터 이미지가 HTTP 프록시의 일부로 배포 중임을 나타내므로 iptables 리디렉션 규칙을 설정하지 않아야 합니다.
- 5
- 프록시 구성 방법을 지정하는 문자열 또는 여러 줄로 된 YAML 문자열입니다. 이 문자열은 init 컨테이너의 다른 환경 변수가 아닌 HTTP 프록시 컨테이너의 환경 변수로 지정됩니다.
EGRESS_HTTP_PROXY_DESTINATION값에 대해 다음 중 하나를 지정할 수 있습니다.*를 사용할 수도 있습니다. 즉, "모든 원격 대상에 대한 연결을 허용"할 수 있습니다. 구성의 각 줄은 허용 또는 거부할 하나의 연결 그룹을 지정합니다.-
IP 주소(예:
192.168.1.1)는 해당 IP 주소에 대한 연결을 허용합니다. -
CIDR 범위(예:
192.168.1.0/24)는 해당 CIDR 범위에 대한 연결을 허용합니다. -
호스트 이름(예:
www.example.com)은 해당 호스트에 대한 프록시를 허용합니다. -
*(예:
*.example.com) 앞에 있는 도메인 이름은 해당 도메인 및 모든 하위 도메인에 대한 프록시를 허용합니다. -
그만큼
!위의 모든 연결을 거부합니다. 허용하지 않고 -
마지막 줄이
*이면 거부되지 않은 모든 사항이 허용됩니다. 그렇지 않으면 허용되지 않은 모든 것이 거부됩니다.
송신 라우터를 가리키도록 서비스를 생성하여 다른 Pod에서 Pod의 IP 주소를 찾을 수 있는지 확인합니다.
apiVersion: v1 kind: Service metadata: name: egress-1 spec: ports: - name: http-proxy port: 8080 1 type: ClusterIP selector: name: egress-1- 1
http포트가 항상8080으로 설정되어 있는지 확인합니다.
http_proxy 또는변수를 설정하여 HTTP 프록시를 사용하도록 클라이언트 Pod( 송신 프록시 Pod가 아님)를 구성합니다.https_proxy... env: - name: http_proxy value: http://egress-1:8080/ 1 - name: https_proxy value: http://egress-1:8080/ ...- 1
- 2단계에서 생성된 서비스입니다.
참고모든 설정에
http_proxy및https_proxy환경 변수를 사용할 필요는 없습니다. 위 방법으로 유효한 설정이 생성되지 않으면 Pod에서 실행 중인 툴이나 소프트웨어에 대한 설명서를 참조하십시오.
위의 리디렉션 송신 라우터 예와 마찬가지로 ConfigMap을 사용하여 EGRESS_HTTP_PROXY_DESTINATION 을 지정할 수도 있습니다.
8.6.1.5. 송신 라우터 DNS 프록시 Pod 배포
DNS 프록시 모드에서 송신 라우터는 자체 IP 주소에서 하나 이상의 대상 IP 주소로 TCP 기반 서비스의 DNS 프록시로 실행됩니다. 예약된 사용을 원하는 클라이언트 Pod에서는 대상 IP에 직접 연결하는 대신 송신 라우터에 연결하도록 소스 IP 주소를 수정해야 합니다. 이렇게 하면 외부 대상에서 트래픽을 알려진 소스에서 들어오는 것처럼 처리합니다.
예를 들어 다음을 사용하여 Pod를 생성합니다.
apiVersion: v1 kind: Pod metadata: name: egress-dns-proxy labels: name: egress-dns-proxy annotations: pod.network.openshift.io/assign-macvlan: "true" 1 spec: initContainers: - name: egress-router-setup image: registry.redhat.io/openshift3/ose-egress-router securityContext: privileged: true env: - name: EGRESS_SOURCE 2 value: 192.168.12.99/24 - name: EGRESS_GATEWAY 3 value: 192.168.12.1 - name: EGRESS_ROUTER_MODE 4 value: dns-proxy containers: - name: egress-dns-proxy image: registry.redhat.io/openshift3/ose-egress-dns-proxy env: - name: EGRESS_DNS_PROXY_DEBUG 5 value: "1" - name: EGRESS_DNS_PROXY_DESTINATION 6 value: | # Egress routes for Project "Foo", version 5 80 203.0.113.25 100 example.com 8080 203.0.113.26 80 8443 foobar.com 443- 1
pod.network.openshift.io/assign-macvlan 주석을사용하면 기본 네트워크 인터페이스에서 Macvlan 네트워크 인터페이스가 생성되고 egress-router-setup 컨테이너를 시작하기 전에 Pod의 네트워크 네임스페이스로 이동합니다."true"로 따옴표를 보존합니다. 생략하면 오류가 발생합니다.- 2
- 노드가 있고 이 포드에서 사용하도록 클러스터 관리자가 예약한 실제 네트워크의 IP 주소입니다. 선택적으로 서브넷 길이
/24접미사를 포함하여 로컬 서브넷 경로를 설정할 수 있습니다. 서브넷 길이를 지정하지 않으면 송신 라우터에서EGRESS_GATEWAY변수로 지정된 호스트에만 액세스하고 서브넷의 다른 호스트에는 액세스할 수 없습니다. - 3
- 노드 자체에서 사용하는 기본 게이트웨이와 동일한 값입니다.
- 4
- 이는 송신 라우터 이미지가 DNS 프록시의 일부로 배포 중임을 나타내므로 iptables 리디렉션 규칙을 설정하지 않아야 합니다.
- 5
- 선택 사항: 이 변수를 설정하면 stdout에 DNS 프록시 로그 출력이 표시됩니다.
- 6
- 여러 줄 문자열에 YAML 구문을 사용합니다. 자세한 내용은 아래를 참조하십시오.
참고EGRESS_DNS_PROXY_DESTINATION의 각 행은 다음 두 가지 방법 중 하나로 설정할 수 있습니다.-
<port> <remote_address>- 지정된<port>에 대한 들어오는 연결이 지정된 <remote_address>의 동일한 TCP 포트로 프록시되어야 함을 나타냅니다.<remote_address>는 IP 주소 또는 DNS 이름이 될 수 있습니다. DNS 이름의 경우 런타임에 DNS 확인이 수행됩니다. 위의 예에서 첫 번째 줄은 로컬 포트 80에서 203.0.113.25의 포트 80으로 TCP 트래픽을 프록시합니다. 두 번째 행은 example.com의 로컬 포트 100에서 포트 100으로 TCP 트래픽을 프록시합니다. -
<port> <remote_address> <remote_port>- 연결이 <remote_address>의 다른위의 예에서 세 번째 행은 203.0.113.26의 원격 포트 80으로 로컬 포트 8080을 프록시하고, 네 번째 행은 로컬 포트 8443을 foobar.com의 원격 포트 443으로 프록시합니다.<remote_port>에 프록시된다는 점을 제외하고는 위와 같습니다.
송신 라우터를 가리키도록 서비스를 생성하여 다른 Pod에서 Pod의 IP 주소를 찾을 수 있는지 확인합니다.
apiVersion: v1 kind: Service metadata: name: egress-dns-svc spec: ports: - name: con1 protocol: TCP port: 80 targetPort: 80 - name: con2 protocol: TCP port: 100 targetPort: 100 - name: con3 protocol: TCP port: 8080 targetPort: 8080 - name: con4 protocol: TCP port: 8443 targetPort: 8443 type: ClusterIP selector: name: egress-dns-proxy이제 Pod에서 이 서비스에 연결할 수 있습니다. 해당 연결은 예약된 송신 IP 주소를 사용하여 외부 서버의 해당 포트에 프록시됩니다.
위의 리디렉션 송신 라우터 예와 마찬가지로 ConfigMap 을 사용하여 EGRESS_DNS_PROXY_DESTINATION 을 지정할 수도 있습니다.
8.6.1.6. 송신 라우터 Pod의 장애 조치 활성화
복제 컨트롤러를 사용하면 다운타임을 방지하기 위해 송신 라우터 Pod의 복사본이 항상 1개 있는지 확인할 수 있습니다.
다음을 사용하여 복제 컨트롤러 구성 파일을 생성합니다.
apiVersion: v1 kind: ReplicationController metadata: name: egress-demo-controller spec: replicas: 1 1 selector: name: egress-demo template: metadata: name: egress-demo labels: name: egress-demo annotations: pod.network.openshift.io/assign-macvlan: "true" spec: initContainers: - name: egress-demo-init image: registry.redhat.io/openshift3/ose-egress-router env: - name: EGRESS_SOURCE 2 value: 192.168.12.99/24 - name: EGRESS_GATEWAY value: 192.168.12.1 - name: EGRESS_DESTINATION value: 203.0.113.25 - name: EGRESS_ROUTER_MODE value: init securityContext: privileged: true containers: - name: egress-demo-wait image: registry.redhat.io/openshift3/ose-pod nodeSelector: site: springfield-1
- 1
- 언제든지 지정된
EGRESS_SOURCE값을 사용할 수 있으므로복제본이1로 설정되어 있는지 확인합니다. 즉, 레이블이site=springfield-1인 노드에서 단일 라우터 사본만 실행됩니다. - 2
- 노드가 있고 이 포드에서 사용하도록 클러스터 관리자가 예약한 실제 네트워크의 IP 주소입니다. 선택적으로 서브넷 길이
/24접미사를 포함하여 로컬 서브넷 경로를 설정할 수 있습니다. 서브넷 길이를 지정하지 않으면 송신 라우터에서EGRESS_GATEWAY변수로 지정된 호스트에만 액세스하고 서브넷의 다른 호스트에는 액세스할 수 없습니다.
정의를 사용하여 Pod를 생성합니다.
$ oc create -f <replication_controller>.json
확인하려면 복제 컨트롤러 Pod가 생성되었는지 확인합니다.
$ oc describe rc <replication_controller>
8.6.2. iptables 규칙을 사용하여 외부 리소스에 대한 액세스 제한
일부 클러스터 관리자는 EgressNetworkPolicy 모델 또는 송신 라우터 모델에 맞지 않는 나가는 트래픽에 대한 작업을 수행할 수 있습니다. 경우에 따라 iptables 규칙을 직접 생성하여 이 작업을 수행할 수 있습니다.
예를 들어 특정 대상에 대한 트래픽을 기록하거나 초당 특정 수 이상의 나가는 연결을 방지하는 규칙을 만들 수 있습니다.
OpenShift Container Platform은 사용자 지정 iptables 규칙을 자동으로 추가하는 방법을 제공하지 않지만 관리자가 수동으로 이러한 규칙을 추가할 수 있는 장소를 제공합니다. 각 노드는 시작 시 필터 테이블에 OPENSHIFT-ADMIN-OUTPUT-RULES 라는 빈 체인을 생성합니다( 체인이 아직 존재하지 않는다고 가정). 관리자가 해당 체인에 추가된 규칙은 포드에서 클러스터 외부 대상으로 이동하는 모든 트래픽(다른 트래픽에 해당하지 않음)에 적용됩니다.
이 기능을 사용할 때 주의해야 할 몇 가지 사항이 있습니다.
- 각 노드에서 규칙이 생성되도록 해야 합니다. OpenShift Container Platform은 이러한 규칙을 자동으로 수행하지 않습니다.
-
규칙은 송신 라우터를 통해 클러스터를 종료하는 트래픽에 적용되지 않으며
EgressNetworkPolicy규칙이 적용된 후 실행됩니다. 따라서EgressNetworkPolicy에서 거부하는 트래픽을 확인하지 않습니다. - 노드에 "외부" IP 주소와 "내부" SDN IP 주소가 모두 있기 때문에 포드에서 노드 또는 포드로의 연결 처리가 복잡합니다. 따라서 일부 Pod-to-node/master 트래픽이 이 체인을 통과할 수 있지만 다른 Pod-to-node/master 트래픽은 이를 바이패스할 수 있습니다.
8.7. 외부 프로젝트 트래픽의 정적 IP 활성화
클러스터 관리자는 트래픽을 외부에서 쉽게 인식할 수 있도록 특정 정적 IP 주소를 프로젝트에 할당할 수 있습니다. 특정 대상에 트래픽을 보내는 데 사용되는 기본 출력 라우터와는 다릅니다.
인식할 수 있는 IP 트래픽은 출처가 표시되는지 확인하여 클러스터 보안을 강화합니다. 활성화되면 지정된 프로젝트에서 나가는 모든 외부 연결이 동일한 고정 소스 IP를 공유합니다. 즉, 모든 외부 리소스가 트래픽을 인식할 수 있습니다.
출력 라우터와 달리 이는 EgressNetworkPolicy 방화벽 규칙의 영향을 받습니다.
클러스터의 프로젝트에 고정 IP 주소를 할당하려면 SDN에서 ovs-networkpolicy 또는 ovs- multitenant 네트워크 플러그인을 사용해야 합니다.
다중 테넌트 모드에서 OpenShift SDN을 사용하는 경우 연결된 프로젝트에 의해 다른 네임스페이스에 조인된 네임스페이스와 함께 송신 IP 주소를 사용할 수 없습니다. 예를 들어 oc adm pod-network join-projects --to=project1 project2 명령을 실행하여 project1 및 project2를 조인한 경우 두 프로젝트 모두 송신 IP 주소를 사용할 수 없습니다. 자세한 내용은 BZ#1645577를 참조하십시오.
정적 소스 IP를 활성화하려면 다음을 수행합니다.
원하는 IP로
NetNamespace를 업데이트합니다.$ oc patch netnamespace <project_name> -p '{"egressIPs": ["<IP_address>"]}'예를 들어
MyProject프로젝트를 IP 주소 192.168.1.100에 할당하려면 다음을 수행합니다.$ oc patch netnamespace MyProject -p '{"egressIPs": ["192.168.1.100"]}'egressIPs필드는 배열입니다. 고가용성을 제공하기 위해egressIP를 다른 노드에서 둘 이상의 IP 주소로 설정할 수 있습니다. 여러 송신 IP 주소가 설정되어 있으면 Pod는 목록의 첫 번째 IP를 송신에 사용하지만, 해당 IP 주소를 호스팅하는 노드가 실패하면 Pod는 잠시 후 목록의 다음 IP를 사용하도록 전환됩니다.원하는 노드 호스트에 송신 IP를 수동으로 할당합니다. 노드 호스트의
HostSubnet오브젝트에서egressIPs필드를 설정합니다. 해당 노드 호스트에 할당하려는 만큼의 IP를 포함합니다.$ oc patch hostsubnet <node_name> -p \ '{"egressIPs": ["<IP_address_1>", "<IP_address_2>"]}'예를 들어
node1에 송신 IP 192.168.1.100, 192.168.1.101 및 192.168.1.102가 있어야 한다고 설정하려면 다음을 실행합니다.$ oc patch hostsubnet node1 -p \ '{"egressIPs": ["192.168.1.100", "192.168.1.101", "192.168.1.102"]}'중요송신 IP는 기본 네트워크 인터페이스에서 추가 IP 주소로 구현되며 노드의 기본 IP와 동일한 서브넷에 있어야 합니다. 또한 ifcfg-eth0 과 같은 Linux 네트워크 구성 파일에 외부 IP를 구성해서는 안 됩니다.
기본 네트워크 인터페이스에서 추가 IP 주소를 허용하려면 일부 클라우드 또는 VM 솔루션을 사용할 때 추가 구성이 필요할 수 있습니다.
위가 프로젝트에 대해 활성화되면 해당 프로젝트의 모든 송신 트래픽이 해당 송신 IP를 호스팅하는 노드로 라우팅된 다음 NAT를 사용하여 해당 IP 주소에 연결됩니다. egressIPs 가 NetNamespace 에 설정되어 있지만 해당 송신 IP를 호스팅하는 노드가 없는 경우 네임스페이스의 송신 트래픽이 삭제됩니다.
8.8. 자동 송신 IP 활성화
클러스터 관리자로서 외부 프로젝트 트래픽에 대해 정적 IP 활성화와 유사하게 egress IPs 매개변수를 설정하여 네임스페이스에 송신 IP 주소를 할당할 수 있습니다. 하나의 IP 주소만 프로젝트에 연결할 수 있습니다.
NetNamespace 리소스로
다중 테넌트 모드에서 OpenShift SDN을 사용하는 경우 연결된 프로젝트에 의해 다른 네임스페이스에 조인된 네임스페이스와 함께 송신 IP 주소를 사용할 수 없습니다. 예를 들어 oc adm pod-network join-projects --to=project1 project2 명령을 실행하여 project1 및 project2를 조인한 경우 두 프로젝트 모두 송신 IP 주소를 사용할 수 없습니다. 자세한 내용은 BZ#1645577를 참조하십시오.
완전 자동 송신 IP를 사용하면 각 노드의 HostSubnet 리소스의 egressCIDRs 매개변수를 설정하여 호스팅할 수 있는 송신 IP 주소 범위를 나타낼 수 있습니다. 요청된 송신 IP 주소가 있는 네임스페이스는 해당 송신 IP 주소를 호스팅할 수 있는 노드와 일치한 다음 송신 IP 주소가 해당 노드에 할당됩니다.
고가용성은 자동입니다. 송신 IP 주소를 호스팅하는 노드가 중단되고 HostSubnet 리소스의 egressCIDR 값을 기반으로 해당 송신 IP 주소를 호스팅할 수 있는 노드가 있는 경우 송신 IP 주소가 새 노드로 이동합니다. 원래 송신 IP 주소 노드가 다시 온라인 상태가 되면 송신 IP 주소가 자동으로 이동하여 노드 간에 송신 IP 주소의 균형을 조정합니다.
동일한 노드 또는 동일한 IP 주소 범위에서 수동으로 할당 및 자동 할당된 송신 IP 주소를 사용할 수 없습니다.
송신 IP 주소로
NetNamespace를 업데이트합니다.$ oc patch netnamespace <project_name> -p '{"egressIPs": ["<IP_address>"]}'egressIPs매개변수에 대해 단일 IP 주소만 지정할 수 있습니다. 다중 IP 주소 사용은 지원되지 않습니다.예를 들어
project1을 IP 주소 192.168.1.100에 할당하고project2를 IP 주소 192.168.1.101에 할당하려면 다음을 수행합니다.$ oc patch netnamespace project1 -p '{"egressIPs": ["192.168.1.100"]}' $ oc patch netnamespace project2 -p '{"egressIPs": ["192.168.1.101"]}''egress
CIDRs필드를 설정하여 송신 IP 주소를 호스팅할 수 있는 노드를 나타냅니다.$ oc patch hostsubnet <node_name> -p \ '{"egressCIDRs": ["<IP_address_range_1>", "<IP_address_range_2>"]}'예를 들어,
node1및node2를 192.168.1.0에서 192.168.1.255 범위의 송신 IP 주소를 호스팅하도록 설정하려면 다음을 수행합니다.$ oc patch hostsubnet node1 -p '{"egressCIDRs": ["192.168.1.0/24"]}' $ oc patch hostsubnet node2 -p '{"egressCIDRs": ["192.168.1.0/24"]}'-
OpenShift Container Platform은 특정 송신 IP 주소를 균형 있는 방식으로 사용 가능한 노드에 자동으로 할당합니다. 이 경우 송신 IP 주소 192.168.1.100을
node1에 할당하고 송신 IP 주소 192.168.1.101을node2에 할당하거나 그 반대의 경우도 마찬가지입니다.
8.9. 멀티 캐스트 활성화
현재 멀티캐스트는 고 대역폭 솔루션이 아닌 낮은 대역폭 조정 또는 서비스 검색에 가장 적합합니다.
OpenShift Container Platform Pod 간 멀티 캐스트 트래픽은 기본적으로 비활성화되어 있습니다. ovs-multitenant 또는 ovs -networkpolicy 플러그인을 사용하는 경우 프로젝트의 해당 netnamespace 오브젝트에 주석을 설정하여 프로젝트별로 멀티 캐스트를 활성화할 수 있습니다.
$ oc annotate netnamespace <namespace> \
netnamespace.network.openshift.io/multicast-enabled=true주석을 제거하여 멀티 캐스트를 비활성화합니다.
$ oc annotate netnamespace <namespace> \
netnamespace.network.openshift.io/multicast-enabled-ovs-multitenant 플러그인을 사용하는 경우:
- 격리된 프로젝트에서 포드에서 전송한 멀티 캐스트 패킷은 프로젝트의 다른 모든 포드로 전달됩니다.
-
네트워크를 함께 가입한 경우 각 프로젝트의
netnamespace에서 멀티 캐스트를 활성화하여 모든 프로젝트에서 적용되도록 해야 합니다. 결합된 네트워크에서 Pod가 전송한 멀티 캐스트 패킷은 연결된 모든 네트워크의 모든 Pod로 전달됩니다. -
default프로젝트에서 멀티 캐스트를 활성화하려면kube-service-catalog프로젝트에서 도 활성화해야 합니다. 글로벌 프로젝트는 멀티 캐스트를 위해 "글로벌"이 아닙니다. 글로벌 프로젝트의 Pod에서 전송한 멀티 캐스트 패킷은 모든 프로젝트의 모든 포드가 아닌 다른 글로벌 프로젝트의 Pod에만 전달됩니다. 마찬가지로 글로벌 프로젝트의 포드는 모든 프로젝트의 모든 포드에서 아닌 다른 글로벌 프로젝트의 Pod에서 전송된 멀티 캐스트 패킷만 받습니다.
ovs-networkpolicy 플러그인을 사용하는 경우:
-
Pod에서 전송한 멀티 캐스트 패킷은
NetworkPolicy오브젝트에 관계없이 프로젝트의 다른 모든 Pod로 전달됩니다. (포드가 유니캐스트를 통해 통신할 수 없는 경우에도 멀티 캐스트를 통해 통신할 수 있습니다.) -
한 프로젝트에서 Pod가 전송한 멀티 캐스트 패킷은 프로젝트 간에 통신을 허용하는
NetworkPolicy오브젝트가 있더라도 다른 프로젝트의 Pod로 전달되지 않습니다.
8.10. NetworkPolicy 활성화
ovs-subnet 및 ovs-multitenant 플러그인에는 자체 레거시 네트워크 격리 모델이 있으며 Kubernetes NetworkPolicy를 지원하지 않습니다. 그러나 ovs-networkpolicy 플러그인을 사용하여 NetworkPolicy 지원을 사용할 수 있습니다.
Egress 정책 유형, ipBlock 매개변수, podSelector 및 namespaceSelector 매개변수를 결합하는 기능은 OpenShift Container Platform에서 사용할 수 없습니다.
클러스터와의 통신을 중단할 수 있으므로 기본 OpenShift Container Platform 프로젝트에 NetworkPolicy 기능을 적용하지 마십시오.
NetworkPolicy 규칙은 호스트 네트워크 네임스페이스에 적용되지 않습니다. 호스트 네트워킹이 활성화된 Pod는 NetworkPolicy 규칙의 영향을 받지 않습니다.
ovs-networkpolicy 플러그인을 사용하도록 구성된 클러스터에서 네트워크 격리는 NetworkPolicy 오브젝트에 의해 완전히 제어됩니다. 기본적으로 네트워크 정책 모드에서는 다른 Pod 및 네트워크 끝점에서 프로젝트의 모든 Pod에 액세스할 수 있습니다. 프로젝트에서 하나 이상의 Pod를 분리하기 위해 해당 프로젝트에서 NetworkPolicy 오브젝트를 생성하여 수신되는 연결을 표시할 수 있습니다. 프로젝트 관리자는 자신의 프로젝트 내에서 NetworkPolicy 오브젝트를 만들고 삭제할 수 있습니다.
NetworkPolicy 오브젝트를 가리키지 않는 Pod는 완전히 액세스할 수 있지만 하나 이상의 NetworkPolicy 오브젝트가 있는 Pod는 격리됩니다. 이러한 격리된 Pod는 NetworkPolicy 오브젝트 중 하나 이상에서 허용하는 연결만 허용합니다.
다음은 다양한 시나리오를 지원하는 몇 가지 샘플 NetworkPolicy 오브젝트 정의입니다.
모든 트래픽 거부
"기본적으로 거부" 프로젝트를 만들려면 모든 Pod와 일치하지만 트래픽을 허용하지 않는
NetworkPolicy오브젝트를 추가합니다.kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: deny-by-default spec: podSelector: ingress: []
프로젝트 내 Pod 연결만 수락
Pod가 동일한 프로젝트에 있는 다른 Pod의 연결은 수락하지만 다른 프로젝트의 Pod의 다른 모든 연결을 거부하도록 하려면 다음을 수행합니다.
kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: allow-same-namespace spec: podSelector: ingress: - from: - podSelector: {}Pod 레이블을 기반으로 하는 HTTP 및 HTTPS 트래픽만 허용
특정 레이블(다음 예에서
role=frontend)을 사용하여 Pod에 대한 HTTP 및 HTTPS 액세스만 활성화하려면 다음과 유사한NetworkPolicy오브젝트를 추가합니다.kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: allow-http-and-https spec: podSelector: matchLabels: role: frontend ingress: - ports: - protocol: TCP port: 80 - protocol: TCP port: 443
NetworkPolicy 오브젝트는 추가 기능이므로 여러 NetworkPolicy 오브젝트를 결합하여 복잡한 네트워크 요구 사항을 충족할 수 있습니다.
예를 들어, 이전 샘플에서 정의된 NetworkPolicy 오브젝트의 경우 동일한 프로젝트 내에서 allow-same-namespace 정책과 allow-http-and-https 정책을 모두 정의할 수 있습니다. 따라서 레이블이 role=frontend로 지정된 Pod는 각 정책에서 허용하는 모든 연결을 허용할 수 있습니다. 즉, 동일한 네임스페이스에 있는 Pod의 모든 포트 연결 및 모든 네임스페이스의 Pod에서 포트 80 및 443 에 대한 연결입니다.
8.10.1. NetworkPolicy를 효율적으로 사용
NetworkPolicy 오브젝트를 사용하면 네임스페이스 내에서 라벨별로 서로 다른 Pod를 격리할 수 있습니다.
NetworkPolicy 오브젝트를 단일 네임스페이스에서 개별 포드의 많은 수에 적용하는 것은 비효율적입니다. Pod 레이블은 IP 수준에 존재하지 않으므로 NetworkPolicy 오브젝트는 pod Selector 로 선택한 모든 Pod 간에 가능한 모든 링크에 대해 별도의 OVS 흐름 규칙을 생성합니다.
예를 들어 NetworkPolicy 오브젝트 내의 spec podSelector 및 ingress podSelector가 각각 200개의 Pod와 일치하면 40000(200*200) OVS 흐름 규칙이 생성됩니다. 이로 인해 머신이 느려질 수 있습니다.
OVS 흐름 규칙을 줄이려면 네임스페이스를 사용하여 격리해야 하는 포드 그룹을 포함합니다.
namespace Selectors 또는 빈 를 선택하는 podSelectors 를 사용하여 전체 네임스페이스NetworkPolicy 오브젝트는 네임스페이스의 VXLAN VNID와 일치하는 단일 OVS 흐름 규칙만 생성합니다.
원래 네임스페이스에서 분리할 필요가 없는 포드를 유지하고, 분리해야 하는 포드를 하나 이상의 네임스페이스로 이동합니다.
격리된 Pod에서 허용하려는 특정 트래픽을 허용하도록 추가 대상의 네임스페이스 간 정책을 생성합니다.
8.10.2. NetworkPolicy 및 라우터
ovs-multitenant 플러그인을 사용하는 경우 라우터의 트래픽이 모든 네임스페이스에 자동으로 허용됩니다. 라우터는 일반적으로 기본 네임스페이스에 있고 모든 네임스페이스에서 해당 네임스페이스의 포드에서 연결을 허용하기 때문입니다. ovs-networkpolicy 플러그인에서는 자동으로 수행되지 않습니다. 따라서 기본적으로 네임스페이스를 격리하는 정책이 있는 경우 라우터가 액세스할 수 있도록 추가 단계를 수행해야 합니다.
한 가지 옵션은 각 서비스에 대한 정책을 생성하여 모든 소스에서 액세스할 수 있도록 하는 것입니다. 예를 들면 다음과 같습니다.
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: allow-to-database-service
spec:
podSelector:
matchLabels:
role: database
ingress:
- ports:
- protocol: TCP
port: 5432이렇게 하면 라우터가 서비스에 액세스할 수 있지만 다른 사용자의 네임스페이스의 포드도 액세스할 수 있습니다. 이러한 포드는 일반적으로 공용 라우터를 사용하여 서비스에 액세스할 수 있으므로 문제가 발생하지 않습니다.
또는 ovs-multitenant 플러그인과 같이 default 네임스페이스에서 전체 액세스를 허용하는 정책을 생성할 수 있습니다.
default 네임스페이스에 레이블을 추가합니다.
중요이전 절차의 default 레이블로
default프로젝트에 레이블을 지정한 경우 이 단계를 건너뜁니다. 네임스페이스에 레이블을 추가하려면 클러스터 관리자 역할이 필요합니다.$ oc label namespace default name=default
해당 네임스페이스에서 연결을 허용하는 정책을 생성합니다.
참고연결을 허용하려는 각 네임스페이스에 대해 이 단계를 수행합니다. 프로젝트 관리자 역할이 있는 사용자는 정책을 생성할 수 있습니다.
kind: NetworkPolicy apiVersion: networking.k8s.io/v1 metadata: name: allow-from-default-namespace spec: podSelector: ingress: - from: - namespaceSelector: matchLabels: name: default
8.10.3. 새 프로젝트의 기본 NetworkPolicy 설정
클러스터 관리자는 새 프로젝트가 생성될 때마다 기본 NetworkPolicy 오브젝트(한 개 이상)의 자동 생성을 활성화하도록 기본 프로젝트 템플릿을 수정할 수 있습니다. 이 작업을 수행하려면 다음을 수행합니다.
- 사용자 지정 프로젝트 템플릿을 생성하고 마스터를 사용하도록 구성합니다.
default 라벨을 사용하여
default프로젝트에레이블을 지정합니다.중요이전 절차의 default 레이블로
default프로젝트에 레이블을 지정한 경우 이 단계를 건너뜁니다. 네임스페이스에 레이블을 추가하려면 클러스터 관리자 역할이 필요합니다.$ oc label namespace default name=default
원하는
NetworkPolicy 오브젝트를 포함하도록 템플릿을 편집합니다.$ oc edit template project-request -n default
참고기존 템플릿에
NetworkPolicy 오브젝트를포함하려면oc edit명령을 사용합니다. 현재는oc patch를 사용하여 오브젝트를템플릿리소스에 추가할 수 없습니다.각 기본 정책을
objects배열의 요소로 추가합니다.objects: ... - apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-from-same-namespace spec: podSelector: ingress: - from: - podSelector: {} - apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: allow-from-default-namespace spec: podSelector: ingress: - from: - namespaceSelector: matchLabels: name: default ...
8.11. HTTP Strict Transport Security 활성화
HSTS(HTTP Strict Transport Security) 정책은 보안 향상으로 호스트에서 HTTPS 트래픽만 허용합니다. 모든 HTTP 요청은 기본적으로 삭제됩니다. 이는 웹 사이트와의 안전한 상호 작용을 보장하거나 사용자의 이익을 위해 안전한 애플리케이션을 제공하는 데 유용합니다.
HSTS가 활성화되면 HSTS는 엄격한 전송 보안 헤더를 사이트의 HTTPS 응답에 추가합니다. 경로에서 insecureEdgeTerminationPolicy 값을 사용하여 HTTP를 HTTPS로 보내도록 경로를 재지정할 수 있습니다. 그러나 HSTS를 사용하면 클라이언트는 요청을 보내기 전에 HTTP URL의 모든 요청을 HTTPS로 변경하므로 리디렉션이 필요하지 않습니다. 클라이언트가 이를 지원할 필요는 없으며 max-age=0을 설정하여 비활성화할 수 있습니다.
HSTS는 보안 경로(엣지 종료 또는 재암호화)에서만 작동합니다. HTTP 또는 패스스루(passthrough) 경로에서는 구성이 유효하지 않습니다.
경로에 HSTS를 활성화하려면 haproxy.router.openshift.io/hsts_header 값을 에지 종료에 추가하거나 경로를 다시 암호화합니다.
apiVersion: v1
kind: Route
metadata:
annotations:
haproxy.router.openshift.io/hsts_header: max-age=31536000;includeSubDomains;preload
haproxy.router.openshift.io/hsts_header 값의 매개변수에 공백이 없고 다른 값이 없는지 확인합니다. max-age 만 필요합니다.
필수 max-age 매개 변수는 시간(초)을 나타내며 HSTS 정책이 에 적용됨을 나타냅니다. HSTS 헤더가 있는 응답이 호스트에서 수신될 때마다 클라이언트는 max-age를 업데이트합니다. max-age 시간이 초과되면 클라이언트는 정책을 삭제합니다.
선택적 includeSubDomains 매개 변수는 호스트에 호스트의 모든 하위 도메인이 호스트와 동일하게 취급되도록 클라이언트에 지시합니다.
max-age 가 0보다 크면 선택적 preload 매개 변수를 사용하면 외부 서비스에서 이 사이트를 HSTS 사전 로드 목록에 포함할 수 있습니다. 예를 들어 Google과 같은 사이트는 preload가 설정된 사이트 목록을 구성할 수 있습니다. 그런 다음 브라우저는 이러한 목록을 사용하여 사이트와 상호 작용하기 전에 HTTPS를 통해서만 통신할 사이트를 결정할 수 있습니다. 사전 로드 를 설정하지 않으면 헤더를 가져오려면 HTTPS를 통해 사이트와 통신해야 합니다.
8.12. 처리량 문제 해결
OpenShift Container Platform을 통해 애플리케이션을 배포하면 특정 서비스 간에 대기 시간이 비정상적으로 길어지는 등 네트워크 처리량 문제가 발생하는 경우가 있습니다.
Pod 로그에 문제의 원인이 드러나지 않는 경우 다음 방법으로 성능 문제를 분석하십시오.
ping 또는 tcpdump와 같은 패킷 Analyzer를 사용하여 pod와 해당 노드 간 트래픽을 분석합니다.
예를 들어, 각 pod에서 tcpdump 도구를 실행하여 문제의 원인이 되는 동작을 재현합니다. Pod와의 트래픽 대기 시간을 분석하기 위해 전송 및 수신 타임스탬프를 비교하려면 전송 캡처와 수신 캡처를 둘 다 검토하십시오. 다른 Pod, 스토리지 장치 또는 데이터 플레인의 트래픽으로 노드 인터페이스가 과부하된 경우 OpenShift Container Platform에서 대기 시간이 발생할 수 있습니다.
$ tcpdump -s 0 -i any -w /tmp/dump.pcap host <podip 1> && host <podip 2> 1- 1
podip은 Pod의 IP 주소입니다. 다음 명령을 실행하여 Pod의 IP 주소를 가져옵니다.
# oc get pod <podname> -o wide
tcpdump는 이 두 포드 간의 모든 트래픽을 포함하는 /tmp/dump.pcap 에 파일을 생성합니다. 문제가 재현되기 직전에 Analyzer를 실행하고 문제 재현이 종료된 직후 Analyzer를 중지하여 파일 크기를 최소화하는 것이 좋습니다. 다음을 사용하여 노드 간에 패킷 Analyzer를 실행할 수도 있습니다(방정식에서 SDN 제거).
# tcpdump -s 0 -i any -w /tmp/dump.pcap port 4789
- 스트리밍 처리량 및 UDP 처리량을 측정하려면 iperf와 같은 대역폭 측정 도구를 사용합니다. 먼저 포드에서 툴을 실행한 다음 노드에서 툴을 실행하여 병목 현상이 발생하는지 확인합니다. iperf3 도구는 RHEL 7의 일부로 포함되어 있습니다.
iperf3 설치 및 사용에 대한 자세한 내용은 다음 Red Hat 솔루션을 참조하십시오.
9장. 서비스 계정 구성
9.1. 개요
사용자가 OpenShift Container Platform CLI 또는 웹 콘솔을 사용하는 경우 해당 API 토큰은 OpenShift Container Platform API에 인증합니다. 그러나 일반 사용자의 자격 증명을 사용할 수 없는 경우 구성 요소를 독립적으로 API 호출하는 것이 일반적입니다. 예를 들면 다음과 같습니다.
- 복제 컨트롤러는 Pod를 생성하거나 삭제하기 위해 API를 호출합니다.
- 컨테이너 내부의 애플리케이션에서 검색 목적으로 API를 호출할 수 있습니다.
- 외부 애플리케이션에서는 모니터링 또는 통합을 위해 API를 호출할 수 있습니다.
서비스 계정을 사용하면 일반 사용자의 자격 증명을 공유하지 않고도 API 액세스 권한을 유연하게 제어할 수 있습니다.
9.2. 사용자 이름 및 그룹
모든 서비스 계정에는 일반 사용자와 마찬가지로 역할을 부여할 수 있는 관련 사용자 이름이 있습니다. 사용자 이름은 프로젝트 및 이름에서 파생됩니다.
system:serviceaccount:<project>:<name>
예를 들어, top-secret 개체에서 robot 서비스 계정에 view 역할을 추가하려면 다음을 수행합니다.
$ oc policy add-role-to-user view system:serviceaccount:top-secret:robot
프로젝트의 특정 서비스 계정에 대한 액세스 권한을 부여하려면 -z 플래그를 사용할 수 있습니다. 서비스 계정이 속하는 프로젝트에서 -z 플래그를 사용하고 <serviceaccount_name> 을 지정합니다. 이 방법은 오타를 방지하고 지정된 서비스 계정에만 액세스 권한을 부여하는 데 도움이 되므로 권장됩니다. 예를 들면 다음과 같습니다.
$ oc policy add-role-to-user <role_name> -z <serviceaccount_name>
프로젝트에 없는 경우 아래 예제와 같이 -n 옵션을 사용하여 적용되는 프로젝트 네임스페이스를 표시합니다.
모든 서비스 계정은 다음 두 그룹의 멤버이기도 합니다.
- system:serviceaccounts
- 시스템의 모든 서비스 계정이 포함됩니다.
- system:serviceaccounts:<project>
- 지정된 프로젝트의 모든 서비스 계정이 포함됩니다.
예를 들어, 모든 프로젝트의 모든 서비스 계정에서 top-secret 개체에 있는 모든 프로젝트의 리소스를 볼 수 있도록 하려면 다음을 실행합니다.
$ oc policy add-role-to-group view system:serviceaccounts -n top-secret
managers 프로젝트의 모든 서비스 계정에서 top-secret 개체의 리소스를 편집할 수 있도록 하려면 다음을 실행합니다.
$ oc policy add-role-to-group edit system:serviceaccounts:managers -n top-secret
9.3. 서비스 계정 관리
서비스 계정은 각 프로젝트 내에 존재하는 API 오브젝트입니다. 서비스 계정을 관리하려면 oc 명령을 sa 또는 serviceaccount 오브젝트 유형과 함께 사용하거나 웹 콘솔을 사용할 수 있습니다.
현재 프로젝트에서 기존 서비스 계정 목록을 가져오려면 다음을 수행합니다.
$ oc get sa NAME SECRETS AGE builder 2 2d default 2 2d deployer 2 2d
새 서비스 계정을 생성하려면 다음을 수행합니다.
$ oc create sa robot serviceaccount "robot" created
서비스 계정이 생성되는 즉시 다음 두 개의 시크릿이 자동으로 추가됩니다.
- API 토큰
- OpenShift Container Registry 인증 정보
이러한 계정은 서비스 계정을 설명하면 확인할 수 있습니다.
$ oc describe sa robot
Name: robot
Namespace: project1
Labels: <none>
Annotations: <none>
Image pull secrets: robot-dockercfg-qzbhb
Mountable secrets: robot-token-f4khf
robot-dockercfg-qzbhb
Tokens: robot-token-f4khf
robot-token-z8h44시스템에서 서비스 계정에 항상 API 토큰 및 레지스트리 자격 증명이 있는지 확인합니다.
생성된 API 토큰 및 레지스트리 자격 증명은 만료되지 않지만 시크릿을 삭제하여 취소할 수 있습니다. 시크릿이 삭제되면 새 시크릿이 자동으로 생성되어 대체됩니다.
9.4. 서비스 계정 인증 활성화
서비스 계정은 개인 RSA 키에서 서명한 토큰을 사용하여 API에 인증합니다. 인증 계층은 일치하는 공개 RSA 키를 사용하여 서명을 확인합니다.
서비스 계정 토큰 생성을 활성화하려면 마스터의 /etc/origin/master/master-config.yml 파일에서 serviceAccountConfig 스탠자를 업데이트하여 privateKeyFile (서브스크립션용) 및 publicKeyFiles 목록에 일치하는 공개 키 파일을 지정합니다.
serviceAccountConfig: ... masterCA: ca.crt 1 privateKeyFile: serviceaccount.private.key 2 publicKeyFiles: - serviceaccount.public.key 3 - ...
9.5. 관리형 서비스 계정
빌드, 배포 및 기타 포드를 실행하려면 각 프로젝트에 서비스 계정이 필요합니다. 마스터의 /etc/origin/master/master-config.yml 파일의 managedNames 설정은 모든 프로젝트에서 서비스 계정이 자동으로 생성되는지 제어합니다.
serviceAccountConfig: ... managedNames: 1 - builder 2 - deployer 3 - default 4 - ...
- 1
- 모든 프로젝트에서 자동으로 생성할 서비스 계정 목록입니다.
- 2
- 각 프로젝트의 빌더 서비스 계정은 빌드 포드에 필요하며, 내부 컨테이너 이미지 레지스트리를 사용하여 프로젝트의 모든 이미지 스트림으로 이미지를 푸시할 수 있는 system:image-builder 역할이 제공됩니다.
- 3
- 각 프로젝트의 배포자 서비스 계정은 배포 포드에 필요하며 system:deployer 역할이 부여되어 프로젝트에서 복제 컨트롤러 및 포드를 보고 수정할 수 있습니다.
- 4
- 다른 서비스 계정을 지정하지 않는 한 다른 모든 포드에서 기본 서비스 계정을 사용합니다.
프로젝트의 모든 서비스 계정에는 system:image-puller 역할이 부여되므로 내부 컨테이너 이미지 레지스트리를 사용하여 프로젝트의 모든 이미지 스트림에서 이미지를 가져올 수 있습니다.
9.6. 인프라 서비스 계정
다양한 인프라 컨트롤러가 서비스 계정 자격 증명을 사용하여 실행됩니다. 다음 서비스 계정은 서버 시작 시 OpenShift Container Platform 인프라 프로젝트(openshift-infra)에서 생성되며, 클러스터 전체에서 다음 역할이 제공됩니다.
| 서비스 계정 | 설명 |
|---|---|
| replication-controller | system:replication-controller 역할이 할당됨 |
| deployment-controller | system:deployment-controller 역할이 할당됨 |
| build-controller | system:build-controller 역할이 할당되었습니다. 또한 권한 있는 빌드 pod를 생성하기 위해 권한 있는 보안 컨텍스트 제약 조건에 build-controller 서비스 계정이 포함되어 있습니다. |
해당 서비스 계정이 생성되는 프로젝트를 구성하려면 마스터의 /etc/origin/master/master-config.yml 파일에서 openshiftInfrastructureNamespace 필드를 설정합니다.
policyConfig: ... openshiftInfrastructureNamespace: openshift-infra
9.7. 서비스 계정 및 시크릿
서비스 계정에서 포드 시크릿 참조를 허용 목록에 추가하도록 마스터의 /etc/origin/master/master-config.yml 파일의 limitSecretReferences 필드를 true 로 설정합니다. 포드에서 프로젝트의 보안을 참조할 수 있도록 해당 값을 false 로 설정합니다.
serviceAccountConfig: ... limitSecretReferences: false
10장. 역할 기반 액세스 제어(RBAC) 관리
10.1. 개요
10.2. 역할 및 바인딩 보기
역할을 사용하여 클러스터 전체 와 프로젝트 범위에서 다양한 수준의 액세스 권한을 부여할 수 있습니다. 사용자와 그룹은 동시에 여러 역할과 연결하거나 바인딩 할 수 있습니다. oc describe 명령을 사용하여 역할 및 해당 바인딩에 대한 세부 정보를 볼 수 있습니다.
cluster-admin 기본 클러스터 역할이 클러스터 전체에서 바인딩된 사용자는 모든 리소스에서 모든 작업을 수행할 수 있습니다. admin 기본 클러스터 역할이 로컬로 바인딩된 사용자는 해당 프로젝트의 역할 및 바인딩을 관리할 수 있습니다.
평가 권한 섹션에서 동사 전체 목록을 검토합니다.
10.2.1. 클러스터 역할 보기
클러스터 역할 및 관련 규칙 집합을 보려면 다음을 수행합니다.
$ oc describe clusterrole.rbac Name: admin Labels: <none> Annotations: openshift.io/description=A user that has edit rights within the project and can change the project's membership. rbac.authorization.kubernetes.io/autoupdate=true PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- appliedclusterresourcequotas [] [] [get list watch] appliedclusterresourcequotas.quota.openshift.io [] [] [get list watch] bindings [] [] [get list watch] buildconfigs [] [] [create delete deletecollection get list patch update watch] buildconfigs.build.openshift.io [] [] [create delete deletecollection get list patch update watch] buildconfigs/instantiate [] [] [create] buildconfigs.build.openshift.io/instantiate [] [] [create] buildconfigs/instantiatebinary [] [] [create] buildconfigs.build.openshift.io/instantiatebinary [] [] [create] buildconfigs/webhooks [] [] [create delete deletecollection get list patch update watch] buildconfigs.build.openshift.io/webhooks [] [] [create delete deletecollection get list patch update watch] buildlogs [] [] [create delete deletecollection get list patch update watch] buildlogs.build.openshift.io [] [] [create delete deletecollection get list patch update watch] builds [] [] [create delete deletecollection get list patch update watch] builds.build.openshift.io [] [] [create delete deletecollection get list patch update watch] builds/clone [] [] [create] builds.build.openshift.io/clone [] [] [create] builds/details [] [] [update] builds.build.openshift.io/details [] [] [update] builds/log [] [] [get list watch] builds.build.openshift.io/log [] [] [get list watch] configmaps [] [] [create delete deletecollection get list patch update watch] cronjobs.batch [] [] [create delete deletecollection get list patch update watch] daemonsets.extensions [] [] [get list watch] deploymentconfigrollbacks [] [] [create] deploymentconfigrollbacks.apps.openshift.io [] [] [create] deploymentconfigs [] [] [create delete deletecollection get list patch update watch] deploymentconfigs.apps.openshift.io [] [] [create delete deletecollection get list patch update watch] deploymentconfigs/instantiate [] [] [create] deploymentconfigs.apps.openshift.io/instantiate [] [] [create] deploymentconfigs/log [] [] [get list watch] deploymentconfigs.apps.openshift.io/log [] [] [get list watch] deploymentconfigs/rollback [] [] [create] deploymentconfigs.apps.openshift.io/rollback [] [] [create] deploymentconfigs/scale [] [] [create delete deletecollection get list patch update watch] deploymentconfigs.apps.openshift.io/scale [] [] [create delete deletecollection get list patch update watch] deploymentconfigs/status [] [] [get list watch] deploymentconfigs.apps.openshift.io/status [] [] [get list watch] deployments.apps [] [] [create delete deletecollection get list patch update watch] deployments.extensions [] [] [create delete deletecollection get list patch update watch] deployments.extensions/rollback [] [] [create delete deletecollection get list patch update watch] deployments.apps/scale [] [] [create delete deletecollection get list patch update watch] deployments.extensions/scale [] [] [create delete deletecollection get list patch update watch] deployments.apps/status [] [] [create delete deletecollection get list patch update watch] endpoints [] [] [create delete deletecollection get list patch update watch] events [] [] [get list watch] horizontalpodautoscalers.autoscaling [] [] [create delete deletecollection get list patch update watch] horizontalpodautoscalers.extensions [] [] [create delete deletecollection get list patch update watch] imagestreamimages [] [] [create delete deletecollection get list patch update watch] imagestreamimages.image.openshift.io [] [] [create delete deletecollection get list patch update watch] imagestreamimports [] [] [create] imagestreamimports.image.openshift.io [] [] [create] imagestreammappings [] [] [create delete deletecollection get list patch update watch] imagestreammappings.image.openshift.io [] [] [create delete deletecollection get list patch update watch] imagestreams [] [] [create delete deletecollection get list patch update watch] imagestreams.image.openshift.io [] [] [create delete deletecollection get list patch update watch] imagestreams/layers [] [] [get update] imagestreams.image.openshift.io/layers [] [] [get update] imagestreams/secrets [] [] [create delete deletecollection get list patch update watch] imagestreams.image.openshift.io/secrets [] [] [create delete deletecollection get list patch update watch] imagestreams/status [] [] [get list watch] imagestreams.image.openshift.io/status [] [] [get list watch] imagestreamtags [] [] [create delete deletecollection get list patch update watch] imagestreamtags.image.openshift.io [] [] [create delete deletecollection get list patch update watch] jenkins.build.openshift.io [] [] [admin edit view] jobs.batch [] [] [create delete deletecollection get list patch update watch] limitranges [] [] [get list watch] localresourceaccessreviews [] [] [create] localresourceaccessreviews.authorization.openshift.io [] [] [create] localsubjectaccessreviews [] [] [create] localsubjectaccessreviews.authorization.k8s.io [] [] [create] localsubjectaccessreviews.authorization.openshift.io [] [] [create] namespaces [] [] [get list watch] namespaces/status [] [] [get list watch] networkpolicies.extensions [] [] [create delete deletecollection get list patch update watch] persistentvolumeclaims [] [] [create delete deletecollection get list patch update watch] pods [] [] [create delete deletecollection get list patch update watch] pods/attach [] [] [create delete deletecollection get list patch update watch] pods/exec [] [] [create delete deletecollection get list patch update watch] pods/log [] [] [get list watch] pods/portforward [] [] [create delete deletecollection get list patch update watch] pods/proxy [] [] [create delete deletecollection get list patch update watch] pods/status [] [] [get list watch] podsecuritypolicyreviews [] [] [create] podsecuritypolicyreviews.security.openshift.io [] [] [create] podsecuritypolicyselfsubjectreviews [] [] [create] podsecuritypolicyselfsubjectreviews.security.openshift.io [] [] [create] podsecuritypolicysubjectreviews [] [] [create] podsecuritypolicysubjectreviews.security.openshift.io [] [] [create] processedtemplates [] [] [create delete deletecollection get list patch update watch] processedtemplates.template.openshift.io [] [] [create delete deletecollection get list patch update watch] projects [] [] [delete get patch update] projects.project.openshift.io [] [] [delete get patch update] replicasets.extensions [] [] [create delete deletecollection get list patch update watch] replicasets.extensions/scale [] [] [create delete deletecollection get list patch update watch] replicationcontrollers [] [] [create delete deletecollection get list patch update watch] replicationcontrollers/scale [] [] [create delete deletecollection get list patch update watch] replicationcontrollers.extensions/scale [] [] [create delete deletecollection get list patch update watch] replicationcontrollers/status [] [] [get list watch] resourceaccessreviews [] [] [create] resourceaccessreviews.authorization.openshift.io [] [] [create] resourcequotas [] [] [get list watch] resourcequotas/status [] [] [get list watch] resourcequotausages [] [] [get list watch] rolebindingrestrictions [] [] [get list watch] rolebindingrestrictions.authorization.openshift.io [] [] [get list watch] rolebindings [] [] [create delete deletecollection get list patch update watch] rolebindings.authorization.openshift.io [] [] [create delete deletecollection get list patch update watch] rolebindings.rbac.authorization.k8s.io [] [] [create delete deletecollection get list patch update watch] roles [] [] [create delete deletecollection get list patch update watch] roles.authorization.openshift.io [] [] [create delete deletecollection get list patch update watch] roles.rbac.authorization.k8s.io [] [] [create delete deletecollection get list patch update watch] routes [] [] [create delete deletecollection get list patch update watch] routes.route.openshift.io [] [] [create delete deletecollection get list patch update watch] routes/custom-host [] [] [create] routes.route.openshift.io/custom-host [] [] [create] routes/status [] [] [get list watch update] routes.route.openshift.io/status [] [] [get list watch update] scheduledjobs.batch [] [] [create delete deletecollection get list patch update watch] secrets [] [] [create delete deletecollection get list patch update watch] serviceaccounts [] [] [create delete deletecollection get list patch update watch impersonate] services [] [] [create delete deletecollection get list patch update watch] services/proxy [] [] [create delete deletecollection get list patch update watch] statefulsets.apps [] [] [create delete deletecollection get list patch update watch] subjectaccessreviews [] [] [create] subjectaccessreviews.authorization.openshift.io [] [] [create] subjectrulesreviews [] [] [create] subjectrulesreviews.authorization.openshift.io [] [] [create] templateconfigs [] [] [create delete deletecollection get list patch update watch] templateconfigs.template.openshift.io [] [] [create delete deletecollection get list patch update watch] templateinstances [] [] [create delete deletecollection get list patch update watch] templateinstances.template.openshift.io [] [] [create delete deletecollection get list patch update watch] templates [] [] [create delete deletecollection get list patch update watch] templates.template.openshift.io [] [] [create delete deletecollection get list patch update watch] Name: basic-user Labels: <none> Annotations: openshift.io/description=A user that can get basic information about projects. rbac.authorization.kubernetes.io/autoupdate=true PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- clusterroles [] [] [get list] clusterroles.authorization.openshift.io [] [] [get list] clusterroles.rbac.authorization.k8s.io [] [] [get list watch] projectrequests [] [] [list] projectrequests.project.openshift.io [] [] [list] projects [] [] [list watch] projects.project.openshift.io [] [] [list watch] selfsubjectaccessreviews.authorization.k8s.io [] [] [create] selfsubjectrulesreviews [] [] [create] selfsubjectrulesreviews.authorization.openshift.io [] [] [create] storageclasses.storage.k8s.io [] [] [get list] users [] [~] [get] users.user.openshift.io [] [~] [get] Name: cluster-admin Labels: <none> Annotations: authorization.openshift.io/system-only=true openshift.io/description=A super-user that can perform any action in the cluster. When granted to a user within a project, they have full control over quota and membership and can perform every action... rbac.authorization.kubernetes.io/autoupdate=true PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- [*] [] [*] *.* [] [] [*] Name: cluster-debugger Labels: <none> Annotations: authorization.openshift.io/system-only=true rbac.authorization.kubernetes.io/autoupdate=true PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- [/debug/pprof] [] [get] [/debug/pprof/*] [] [get] [/metrics] [] [get] Name: cluster-reader Labels: <none> Annotations: authorization.openshift.io/system-only=true rbac.authorization.kubernetes.io/autoupdate=true PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- [*] [] [get] apiservices.apiregistration.k8s.io [] [] [get list watch] apiservices.apiregistration.k8s.io/status [] [] [get list watch] appliedclusterresourcequotas [] [] [get list watch] ...
10.2.2. 클러스터 역할 바인딩 보기
다양한 역할에 바인딩된 사용자와 그룹을 표시하는 현재 클러스터 역할 바인딩 세트를 보려면 다음을 수행합니다.
$ oc describe clusterrolebinding.rbac Name: admin Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: admin Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount template-instance-controller openshift-infra Name: basic-users Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: basic-user Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated Name: cluster-admin Labels: kubernetes.io/bootstrapping=rbac-defaults Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: cluster-admin Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount pvinstaller default Group system:masters Name: cluster-admins Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: cluster-admin Subjects: Kind Name Namespace ---- ---- --------- Group system:cluster-admins User system:admin Name: cluster-readers Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: cluster-reader Subjects: Kind Name Namespace ---- ---- --------- Group system:cluster-readers Name: cluster-status-binding Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: cluster-status Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated Group system:unauthenticated Name: registry-registry-role Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: system:registry Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount registry default Name: router-router-role Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: system:router Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount router default Name: self-access-reviewers Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: self-access-reviewer Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated Group system:unauthenticated Name: self-provisioners Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: self-provisioner Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated:oauth Name: system:basic-user Labels: kubernetes.io/bootstrapping=rbac-defaults Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: system:basic-user Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated Group system:unauthenticated Name: system:build-strategy-docker-binding Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: system:build-strategy-docker Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated Name: system:build-strategy-jenkinspipeline-binding Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: system:build-strategy-jenkinspipeline Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated Name: system:build-strategy-source-binding Labels: <none> Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: system:build-strategy-source Subjects: Kind Name Namespace ---- ---- --------- Group system:authenticated Name: system:controller:attachdetach-controller Labels: kubernetes.io/bootstrapping=rbac-defaults Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: system:controller:attachdetach-controller Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount attachdetach-controller kube-system Name: system:controller:certificate-controller Labels: kubernetes.io/bootstrapping=rbac-defaults Annotations: rbac.authorization.kubernetes.io/autoupdate=true Role: Kind: ClusterRole Name: system:controller:certificate-controller Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount certificate-controller kube-system Name: system:controller:cronjob-controller Labels: kubernetes.io/bootstrapping=rbac-defaults Annotations: rbac.authorization.kubernetes.io/autoupdate=true ...
10.2.3. 로컬 역할 및 바인딩 보기
모든 기본 클러스터 역할은 사용자 또는 그룹에 로컬로 바인딩할 수 있습니다.
사용자 지정 로컬 역할을 만들 수 있습니다.
로컬 역할 바인딩도 볼 수 있습니다.
다양한 역할에 바인딩된 사용자와 그룹을 표시하는 로컬 역할 바인딩의 현재 집합을 보려면 다음을 수행합니다.
$ oc describe rolebinding.rbac
기본적으로 로컬 역할 바인딩을 볼 때 현재 프로젝트가 사용됩니다. 또는 -n 플래그를 사용하여 프로젝트를 지정할 수 있습니다. 이 기능은 사용자에게 이미 admin 기본 클러스터 역할이 있는 경우 다른 프로젝트의 로컬 역할 바인딩을 확인하는 데 유용합니다.
$ oc describe rolebinding.rbac -n joe-project Name: admin Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: admin Subjects: Kind Name Namespace ---- ---- --------- User joe Name: system:deployers Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: system:deployer Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount deployer joe-project Name: system:image-builders Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: system:image-builder Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount builder joe-project Name: system:image-pullers Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: system:image-puller Subjects: Kind Name Namespace ---- ---- --------- Group system:serviceaccounts:joe-project
10.3. 역할 바인딩 관리
사용자 또는 그룹에 역할을 추가하거나 바인딩 하면 역할 에서 부여하는 관련 액세스 권한이 사용자 또는 그룹에 부여됩니다. oc adm policy 명령을 사용하여 사용자 및 그룹에 역할을 추가하거나 사용자 및 그룹으로부터 역할을 제거할 수 있습니다.
다음 작업을 사용하여 로컬 역할 바인딩에 대한 사용자 또는 그룹의 연결된 역할을 관리할 때 -n 플래그로 프로젝트를 지정할 수 있습니다. 지정하지 않으면 현재 프로젝트가 사용됩니다.
| 명령 | 설명 |
|---|---|
|
| 리소스에 작업을 수행할 수 있는 사용자를 나타냅니다. |
|
| 지정된 역할을 현재 프로젝트의 지정된 사용자에게 바인딩합니다. |
|
| 현재 프로젝트에서 지정된 사용자로부터 지정된 역할을 제거합니다. |
|
| 현재 프로젝트에서 지정된 사용자 및 해당 사용자의 역할을 모두 제거합니다. |
|
| 현재 프로젝트에서 지정된 그룹에 지정된 역할을 바인딩합니다. |
|
| 현재 프로젝트에서 지정된 그룹의 지정된 역할을 제거합니다. |
|
| 현재 프로젝트에서 지정된 그룹과 해당 그룹의 역할을 모두 제거합니다. |
|
|
|
다음 작업을 사용하여 클러스터 역할 바인딩을 관리할 수도 있습니다. 클러스터 역할 바인딩에 네임스페이스가 아닌 리소스가 사용되므로 -n 플래그가 해당 작업에 사용되지 않습니다.
| 명령 | 설명 |
|---|---|
|
| 클러스터의 모든 프로젝트에 대해 지정된 사용자에게 지정된 역할을 바인딩합니다. |
|
| 클러스터의 모든 프로젝트에 대해 지정된 사용자로부터 지정된 역할을 제거합니다. |
|
| 클러스터의 모든 프로젝트에 대해 지정된 역할을 지정된 그룹에 바인딩합니다. |
|
| 클러스터의 모든 프로젝트에 대해 지정된 그룹에서 지정된 역할을 제거합니다. |
|
|
|
예를 들어 다음을 실행하여 joe-project 의 alice 사용자에게 admin 역할을 추가할 수 있습니다.
$ oc adm policy add-role-to-user admin alice -n joe-project
그런 다음 로컬 역할 바인딩을 보고 출력에 추가되었는지 확인할 수 있습니다.
$ oc describe rolebinding.rbac -n joe-project Name: admin Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: admin Subjects: Kind Name Namespace ---- ---- --------- User joe Name: admin-0 1 Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: admin Subjects: Kind Name Namespace ---- ---- --------- User alice 2 Name: system:deployers Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: system:deployer Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount deployer joe-project Name: system:image-builders Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: system:image-builder Subjects: Kind Name Namespace ---- ---- --------- ServiceAccount builder joe-project Name: system:image-pullers Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: system:image-puller Subjects: Kind Name Namespace ---- ---- --------- Group system:serviceaccounts:joe-project
10.4. 로컬 역할 생성
프로젝트의 로컬 역할을 생성하여 이 역할을 사용자에게 바인딩할 수 있습니다.
프로젝트의 로컬 역할을 생성하려면 다음 명령을 실행합니다.
$ oc create role <name> --verb=<verb> --resource=<resource> -n <project>
이 명령에서는 역할이 *
<를 지정합니다. 프로젝트 이름project>에>적용되는 리소스인 *<name>에 적용할 동사의 쉼표로 구분된 목록인 * <verb+ 예를 들어 사용자가
blue프로젝트의 Pod를 볼 수 있는 로컬 역할을 생성하려면 다음 명령을 실행합니다.+
$ oc create role podview --verb=get --resource=pod -n blue
- 새 역할을 사용자에게 바인딩하려면 다음 명령을 실행합니다.
$ oc adm policy add-role-to-user podview user2 --role-namespace=blue -n blue
10.5. 클러스터 역할 생성
클러스터 역할을 만들려면 다음 명령을 실행합니다.
$ oc create clusterrole <name> --verb=<verb> --resource=<resource>
이 명령에서는 다음을 지정합니다.
-
<name>: 로컬 역할 이름 -
<verb>: 역할에 적용할 동사를 쉼표로 구분한 목록 -
<resource>: 역할이 적용되는 리소스
예를 들어 사용자가 pod를 볼 수 있는 클러스터 역할을 만들려면 다음 명령을 실행합니다.
$ oc create clusterrole podviewonly --verb=get --resource=pod
10.6. 클러스터 및 로컬 역할 바인딩
클러스터 역할 바인딩은 클러스터 수준에 존재하는 바인딩입니다. 역할 바인딩은 프로젝트 수준에 있습니다. 해당 사용자가 프로젝트를 보려면 로컬 역할 바인딩을 사용하여 클러스터 역할 보기를 사용자에게 바인딩해야 합니다. 클러스터 역할이 특정 상황에 필요한 권한 집합을 제공하지 않는 경우에만 로컬 역할을 생성하십시오.
일부 클러스터 역할 이름은 처음에는 혼동을 줍니다. 로컬 역할 바인딩을 사용하여 cluster-admin 을 사용자에게 바인딩하여 이 사용자에게 클러스터 관리자 권한이 있음을 나타낼 수 있습니다. 사실은 그렇지 않습니다. cluster-admin 을 특정 프로젝트에 바인딩하는 것은 해당 프로젝트의 슈퍼 관리자와 더 유사하며, 클러스터 역할 관리자의 권한을 부여하고 속도 제한을 편집하는 기능과 같은 몇 가지 추가 권한을 부여합니다. 이는 특히 진정한 클러스터 관리자에게 바인딩된 클러스터 역할 바인딩이 나열되지 않는 웹 콘솔 UI를 통해 혼동될 수 있습니다. 그러나 cluster-admin을 로컬로 바인딩하는 데 사용할 수 있는 로컬 역할 바인딩은 나열됩니다.
10.7. 정책 정의 업데이트
클러스터를 업그레이드하는 동안 마스터를 다시 시작할 때마다 기본 클러스터 역할이 자동으로 조정되어 누락된 권한을 복원합니다.
기본 클러스터 역할을 사용자 지정하고 역할 조정이 수정되지 않도록 하려면 다음을 수행하십시오.
조정으로부터 각 역할을 보호합니다.
$ oc annotate clusterrole.rbac <role_name> --overwrite rbac.authorization.kubernetes.io/autoupdate=false
주의업그레이드 후 신규 또는 필수 권한을 포함하도록 이 설정이 포함된 역할을 수동으로 업데이트해야 합니다.
기본 부트스트랩 정책 템플릿 파일을 생성합니다.
$ oc adm create-bootstrap-policy-file --filename=policy.json
참고파일의 내용은 OpenShift Container Platform 버전에 따라 다르지만 파일에는 기본 정책만 포함되어 있습니다.
- 클러스터 역할 사용자 지정을 포함하도록 policy.json 파일을 업데이트합니다.
정책 파일을 사용하여 보호되지 않은 역할 및 역할 바인딩을 자동으로 조정합니다.
$ oc auth reconcile -f policy.json
보안 컨텍스트 제약 조건을 조정합니다.
# oc adm policy reconcile-sccs \ --additive-only=true \ --confirm
11장. 이미지 정책
11.1. 개요
클러스터에서 가져오고, 태그를 지정하고, 실행할 수 있는 이미지를 제어할 수 있습니다. 이 목적을 위해 두 가지 기능이 있습니다.
가져오기에 허용되는 레지스트리 는 이미지 원본을 특정 외부 레지스트리 세트로 제한할 수 있는 이미지 정책 구성입니다. 이 규칙 세트는 이미지 스트림으로 가져오거나 태그하는 이미지에 적용됩니다. 따라서 규칙 집합과 일치하지 않는 이미지가 규칙 집합과 일치하지 않는 이미지는 거부됩니다.
ImagePolicy 승인 플러그인을 사용하면 클러스터에서 실행할 수 있는 이미지를 지정할 수 있습니다. 현재 베타로 간주됩니다. 이를 통해 다음을 제어할 수 있습니다.
- 이미지 소스: 이미지를 가져오는 데 사용할 수 있는 레지스트리
- 이미지 해상도: 변경 불가능한 다이제스트와 함께 Pod를 실행하여 재태그로 인해 이미지가 변경되지 않도록 강제 적용합니다.
- 컨테이너 이미지 레이블 제한 사항: 이미지에 대한 라벨 제한 또는 필요
- 이미지 주석 제한: 통합 컨테이너 이미지 레지스트리의 이미지에 주석이 제한되거나 필요
11.2. 가져올 수 있는 레지스트리 구성
다음 예에 설명된 대로 imagePolicyConfig:allowedRegistriesForImport 섹션의 master-config.yaml 에서 가져올 수 있는 레지스트리를 구성할 수 있습니다. 설정이 없으면 모든 이미지가 허용되며 이는 기본값입니다.
예 11.1. 가져올 수 있는 레지스트리 구성 예
imagePolicyConfig:
allowedRegistriesForImport:
-
domainName: registry.redhat.io 1
-
domainName: *.mydomain.com
insecure: true 2
-
domainName: local.registry.corp:5000 3각 규칙은 다음 특성으로 구성됩니다.
-
domainname: 특수 와일드카드 문자 (?,*)가 인식되는:<port>접미사가 선택적으로 종료되는 호스트 이름입니다. 전자는 모든 길이의 문자 시퀀스와 일치하고, 나중에는 정확히 하나의 문자와 일치합니다. 와일드카드 문자는:구분 기호 앞뒤로 존재할 수 있습니다. 와일드카드는 구분 기호의 존재 여부와 관계없이 구분 기호 앞뒤 부분에만 적용됩니다. -
insecure:domainName에서:<port>부분이 누락된 경우 일치하는 포트를 결정하는 데 사용되는 부울입니다. true인 경우, 비보안 플래그를 가져오는 동안에는domainName이:80접미사 또는 지정되지 않은 포트가 있는 레지스트리와 일치합니다. false인 경우접미사또는 지정되지 않은 포트가 있는 레지스트리가 일치합니다.
규칙이 동일한 도메인의 보안 및 비보안 포트와 일치해야 하는 경우 규칙이 두 번 나열되어야 합니다(insecure =true로 한 번, 를 한 번 사용).
insecure= false
정규화되지 않은 이미지 참조는 규칙 평가 전에 docker.io 에 자격을 부여합니다. 허용 목록에 domainName: docker.io 를 사용합니다.
domainname: * 규칙은 모든 레지스트리 호스트 이름과 일치하지만 포트는 여전히 443 으로 제한됩니다. 임의의 포트에서 임의의 레지스트리 서비스를 제공하는 것과 일치하려면 domainName: *: * 를 사용합니다.
가져올 수 있는 레지스트리의 예제 구성에 설정된 규칙에 따라:
-
oc tag --insecure reg.mydomain.com/app:v1 app:v1은mydomain.com 규칙을 처리하여 허용 목록에 표시됩니다. -
oc import-image --from reg1.mydomain.com:80/foo foo:latest도 허용 목록에 표시됩니다. -
포트가 세 번째 규칙의
5000과 일치하지 않기 때문에oc tag local.registry.corp/bar bar:latest가 거부됩니다.
거부된 이미지 가져오기는 다음 텍스트와 유사한 오류 메시지를 생성합니다.
The ImageStream "bar" is invalid: * spec.tags[latest].from.name: Forbidden: registry "local.registry.corp" not allowed by whitelist: "local.registry.corp:5000", "*.mydomain.com:80", "registry.redhat.io:443" * status.tags[latest].items[0].dockerImageReference: Forbidden: registry "local.registry.corp" not allowed by whitelist: "local.registry.corp:5000", "*.mydomain.com:80", "registry.redhat.io:443"
11.3. ImagePolicy 승인 플러그인 구성
클러스터에서 실행할 수 있는 이미지를 구성하려면 master-config.yaml 파일에서 ImagePolicy 승인 플러그인을 구성합니다. 필요에 따라 하나 이상의 규칙을 설정할 수 있습니다.
특정 주석이 있는 이미지를 거부합니다.
이 규칙을 사용하여 특정 주석이 설정된 이미지를 모두 거부합니다. 다음은
images.openshift.io/deny-execution주석을 사용하여 모든 이미지를 거부합니다.- name: execution-denied onResources: - resource: pods - resource: builds reject: true matchImageAnnotations: - key: images.openshift.io/deny-execution 1 value: "true" skipOnResolutionFailure: true- 1
- 특정 이미지가 해로운 것으로 간주된 경우 관리자는 이 주석을 설정하여 해당 이미지에 플래그를 지정할 수 있습니다.
사용자가 Docker Hub에서 이미지를 실행할 수 있도록 활성화합니다.
사용자가 Docker Hub의 이미지를 사용할 수 있도록 하려면 이 규칙을 사용합니다.
- name: allow-images-from-dockerhub onResources: - resource: pods - resource: builds matchRegistries: - docker.io
다음은 master-config.yaml 파일에서 여러 ImagePolicy 추가 기능 플러그인 규칙을 설정하는 구성 예입니다.
주석이 있는 예제 파일
admissionConfig:
pluginConfig:
openshift.io/ImagePolicy:
configuration:
kind: ImagePolicyConfig
apiVersion: v1
resolveImages: AttemptRewrite 1
executionRules: 2
- name: execution-denied
# Reject all images that have the annotation images.openshift.io/deny-execution set to true.
# This annotation may be set by infrastructure that wishes to flag particular images as dangerous
onResources: 3
- resource: pods
- resource: builds
reject: true 4
matchImageAnnotations: 5
- key: images.openshift.io/deny-execution
value: "true"
skipOnResolutionFailure: true 6
- name: allow-images-from-internal-registry
# allows images from the internal registry and tries to resolve them
onResources:
- resource: pods
- resource: builds
matchIntegratedRegistry: true
- name: allow-images-from-dockerhub
onResources:
- resource: pods
- resource: builds
matchRegistries:
- docker.io
resolutionRules: 7
- targetResource:
resource: pods
localNames: true
policy: AttemptRewrite
- targetResource: 8
group: batch
resource: jobs
localNames: true 9
policy: AttemptRewrite
- 1
- 이미지를 변경할 수 없는 이미지 다이제스트로 확인하고 Pod의 이미지 가져오기 사양을 업데이트합니다.
- 2
- 들어오는 리소스에 대해 평가할 규칙 배열입니다.
reject: true규칙만 있는 경우 기본값은 모두 허용됩니다. 수락 규칙이 있는 경우 규칙에서reject: false인ImagePolicy의 기본 동작이 deny-all 로 전환됩니다. - 3
- 규칙을 적용할 리소스를 나타냅니다. 아무것도 지정되지 않은 경우 기본값은 pods 입니다.
- 4
- 이 규칙이 일치하면 포드가 거부되어야 함을 나타냅니다.
- 5
- 이미지 오브젝트의 메타데이터와 일치시킬 주석 목록입니다.
- 6
- 이미지를 확인할 수 없는 경우 포드에 실패하지 마십시오.
- 7
- Kubernetes 리소스에서 이미지 스트림을 사용하도록 허용하는 규칙 배열입니다. 기본 구성을 사용하면 Pod, replicationcontrollers, replicasets, statefulsets, daemonsets, 배포 및 작업이 이미지 필드에서 동일한 프로젝트 이미지 스트림 태그 참조를 사용할 수 있습니다.
- 8
- 이 규칙이 적용되는 그룹 및 리소스를 식별합니다. resource가
*이면 이 규칙은 해당 그룹의 모든 리소스에 적용됩니다. - 9
LocalNames는 리소스 또는 대상 이미지 스트림에로컬 이름 확인이활성화된 경우에만 단일 세그먼트 이름(예: ruby:2.5)을 네임스페이스-로컬 이미지 스트림 태그로 해석할 수 있습니다.
일반적으로 기본 레지스트리 접두사(예: docker.io 또는 registry.redhat.io )를 사용하여 가져오는 인프라 이미지를 사용하는 경우 해당 이미지는 레지스트리 접두사가 없으므로 matchRegistries 값과 일치하지 않습니다. 인프라 이미지에 이미지 정책과 일치하는 레지스트리 접두사가 있도록 하려면 master-config .yaml 파일에 imageConfig. format 값을 설정합니다.
11.4. Admission Controller를 사용하여 항상 이미지 가져오기
이미지를 노드로 가져온 후 사용자의 해당 노드의 모든 Pod는 이미지에 대한 권한 부여 확인 없이 이미지를 사용할 수 있습니다. Pod에서 인증 정보가 없는 이미지를 사용하지 않도록 하려면 AlwaysPullImages 승인 컨트롤러를 사용합니다.
이 승인 컨트롤러는 모든 새 Pod를 수정하여 이미지 가져오기 정책을 Always 로 강제 적용하므로 Pod 사양에서 Never 의 이미지 가져오기 정책을 사용하는 경우에도 개인 이미지를 가져올 자격 증명이 있는 사용자만 사용할 수 있습니다.
AlwaysPullImages 승인 컨트롤러를 활성화하려면 다음을 수행합니다.
master-config.yaml에 다음을 추가합니다.admissionConfig: pluginConfig: AlwaysPullImages: 1 configuration: kind: DefaultAdmissionConfig apiVersion: v1 disable: false 2master
-restart 명령을 사용하여 컨트롤 플레인 정적 Pod에서 실행 중인 마스터서비스를 다시 시작합니다.$ master-restart api $ master-restart controllers
11.5. ImagePolicy 승인 플러그인 테스트
openshift/image-policy-check를 사용하여 구성을 테스트합니다.예를 들어 위의 정보를 사용한 다음 다음과 같이 테스트합니다.
$ oc import-image openshift/image-policy-check:latest --confirm
이 YAML을 사용하여 포드를 생성합니다. 포드가 생성되어야 합니다.
apiVersion: v1 kind: Pod metadata: generateName: test-pod spec: containers: - image: docker.io/openshift/image-policy-check:latest name: first다른 레지스트리를 가리키는 다른 포드를 생성합니다. 포드는 거부해야 합니다.
apiVersion: v1 kind: Pod metadata: generateName: test-pod spec: containers: - image: different-registry/openshift/image-policy-check:latest name: first가져온 이미지를 사용하여 내부 레지스트리를 가리키는 포드를 생성합니다. 포드가 생성되어야 하며 이미지 사양을 보면 태그 대신 다이제스트가 표시되어야 합니다.
apiVersion: v1 kind: Pod metadata: generateName: test-pod spec: containers: - image: <internal registry IP>:5000/<namespace>/image-policy-check:latest name: first가져온 이미지를 사용하여 내부 레지스트리를 가리키는 포드를 생성합니다. 포드가 생성되어야 하며 이미지 사양을 보는 경우 태그가 수정되지 않아야 합니다.
apiVersion: v1 kind: Pod metadata: generateName: test-pod spec: containers: - image: <internal registry IP>:5000/<namespace>/image-policy-check:v1 name: firstoc get istag/image-policy-check:latest에서 다이제스트를 가져와서oc 주석 images/<digest> images.openshift.io/deny-execution=true에 사용합니다. 예를 들면 다음과 같습니다.$ oc annotate images/sha256:09ce3d8b5b63595ffca6636c7daefb1a615a7c0e3f8ea68e5db044a9340d6ba8 images.openshift.io/deny-execution=true
이 Pod를 다시 생성하면 Pod가 거부되어야 합니다.
apiVersion: v1 kind: Pod metadata: generateName: test-pod spec: containers: - image: <internal registry IP>:5000/<namespace>/image-policy-check:latest name: first
12장. 이미지 서명
12.1. 개요
RHEL(Red Hat Enterprise Linux) 시스템의 컨테이너 이미지 서명은 다음과 같은 수단을 제공합니다.
- 컨테이너 이미지가 제공된 위치 확인
- 이미지가 로 변조되지 않았는지 확인하고,
- 호스트로 가져올 수 있는 유효성 있는 이미지를 결정하는 정책을 설정합니다.
RHEL 시스템에서 컨테이너 이미지 서명 아키텍처에 대한 자세한 내용은 컨테이너 이미지 서명 통합 가이드를 참조하십시오.
OpenShift Container Registry를 사용하면 REST API를 통해 서명을 저장할 수 있습니다. oc CLI는 웹 콘솔 또는 CLI에 유효성이 검사되어 이미지 서명을 확인하는 데 사용할 수 있습니다.
12.2. Atomic CLI를 사용하여 이미지 서명
OpenShift Container Platform은 이미지 서명을 자동화하지 않습니다. 서명하려면 개발자의 개인 GPG 키가 필요하며, 일반적으로 워크스테이션에 안전하게 저장됩니다. 이 문서에서는 워크플로를 설명합니다.
버전 1.12.5 이상인 atomic 명령행 인터페이스(CLI)는 OpenShift Container Registry로 푸시할 수 있는 컨테이너 이미지에 서명하는 명령을 제공합니다. atomic CLI는 Red Hat 기반 배포에서 사용할 수 있습니다. RHEL, pvcos 및 Fedora. atomic CLI는 RHEL Atomic Host 시스템에 사전 설치되어 있습니다. RHEL 호스트에 atomic 패키지 설치에 대한 자세한 내용은 이미지 서명 지원 활성화를 참조하십시오.
atomic CLI는 oc 로그인 에서 인증된 자격 증명을 사용합니다. atomic 및 oc 명령 모두에 대해 동일한 호스트에서 동일한 사용자를 사용해야 합니다. 예를 들어 sudo로 원자 성 CLI를 실행하는 경우 sudooc login 을 사용하여 OpenShift Container Platform에 로그인해야 합니다.
이미지에 서명을 연결하려면 사용자에게 image-signer 클러스터 역할이 있어야 합니다. 클러스터 관리자는 다음을 사용하여 이를 추가할 수 있습니다.
$ oc adm policy add-cluster-role-to-user system:image-signer <user_name>
이미지는 푸시 시 서명될 수 있습니다.
$ atomic push [--sign-by <gpg_key_id>] --type atomic <image>
서명은 atomic 전송 유형 인수가 지정되면 OpenShift Container Platform에 저장됩니다. 자세한 내용은 서명 전송에서 참조하십시오.
원자 성 CLI를 사용하여 이미지 서명을 설정하고 수행하는 방법에 대한 자세한 내용은 RHEL Atomic Host Managing Containers를 참조하십시오. 컨테이너 이미지 설명서 또는 인수 세부 정보는 atomic push --help 출력에 서명합니다.
원자 성 CLI 및 OpenShift Container Registry로 작업하는 특정 예제 워크플로는 컨테이너 이미지 서명 통합 가이드에 설명되어 있습니다.
12.3. OpenShift CLI를 사용하여 이미지 서명 확인
oc adm verify-image-signature 명령을 사용하여 OpenShift Container Registry로 가져온 이미지의 서명을 확인할 수 있습니다. 이 명령은 공개 GPG 키를 사용하여 서명 자체를 확인하여 이미지 서명에 포함된 이미지 ID를 신뢰할 수 있는지 여부를 확인하고 제공된 예상 ID와 지정된 이미지의 ID(pull spec)와 일치시킵니다.
기본적으로 이 명령은 경로 ~/.gnupg 에 있는 공개 GPG 인증 키를 $GNUPGHOME/pubring.gpg 에 사용합니다. 기본적으로 이 명령은 확인 결과를 이미지 오브젝트로 다시 저장하지 않습니다. 이렇게 하려면 다음과 같이 --save 플래그를 지정해야 합니다.
이미지 서명을 확인하려면 사용자에게 image-auditor 클러스터 역할이 있어야 합니다. 클러스터 관리자는 다음을 사용하여 이를 추가할 수 있습니다.
$ oc adm policy add-cluster-role-to-user system:image-auditor <user_name>
잘못된 GPG 키 또는 유효하지 않은 ID와 함께 이미 확인된 이미지에 --save 플래그를 사용하면 저장된 확인 상태와 모든 서명이 제거되고 이미지가 확인되지 않습니다.
모든 서명을 실수로 삭제하지 않도록 하려면 --save 플래그 없이 명령을 실행하고 잠재적인 문제가 있는지 로그를 확인할 수 있습니다.
이미지 서명을 확인하려면 다음 형식을 사용합니다.
$ oc adm verify-image-signature <image> --expected-identity=<pull_spec> [--save] [options]
<pull_spec> 은 이미지 스트림을 설명하여 찾을 수 있습니다. 이미지 스트림 태그를 설명하여 <image> 를 찾을 수 있습니다. 다음 예제 명령 출력을 참조하십시오.
이미지 서명 확인 예
$ oc describe is nodejs -n openshift
Name: nodejs
Namespace: openshift
Created: 2 weeks ago
Labels: <none>
Annotations: openshift.io/display-name=Node.js
openshift.io/image.dockerRepositoryCheck=2017-07-05T18:24:01Z
Docker Pull Spec: 172.30.1.1:5000/openshift/nodejs
...
$ oc describe istag nodejs:latest -n openshift
Image Name: sha256:2bba968aedb7dd2aafe5fa8c7453f5ac36a0b9639f1bf5b03f95de325238b288
...
$ oc adm verify-image-signature \
sha256:2bba968aedb7dd2aafe5fa8c7453f5ac36a0b9639f1bf5b03f95de325238b288 \
--expected-identity 172.30.1.1:5000/openshift/nodejs:latest \
--public-key /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release \
--save
oc adm verify-image-signature 명령에서 알 수 없는 기관 오류로 서명된 x509: certificate signed 를 반환하는 경우 시스템에서 신뢰할 수 있는 CA 목록에 레지스트리의 CA(인증 기관)를 추가해야 할 수 있습니다. 다음 단계를 수행하여 이 작업을 수행할 수 있습니다.
클러스터에서 클라이언트 시스템으로 CA 인증서를 전송합니다.
예를 들어 docker-registry.default.svc 의 CA를 추가하려면 /etc/docker/certs.d/docker-registry.default.svc\:5000/node-client-ca.crt 에 있는 파일을 전송합니다.
CA 인증서를 /etc/pki/ca-trust/source/anchors/ 디렉터리에 복사합니다. 예를 들면 다음과 같습니다.
# cp </path_to_file>/node-client-ca.crt \ /etc/pki/ca-trust/source/anchors/update-ca-trust를 실행하여 신뢰할 수 있는 CA 목록을 업데이트합니다.# update-ca-trust
12.4. 레지스트리 API를 사용하여 이미지 서명에 액세스
OpenShift Container Registry에서는 이미지 서명을 작성하고 읽을 수 있는 확장 끝점을 제공합니다. 이미지 서명은 컨테이너 이미지 레지스트리 API를 통해 OpenShift Container Platform 키-값 저장소에 저장됩니다.
이 엔드포인트는 실험적이며 업스트림 컨테이너 이미지 레지스트리 프로젝트에서 지원하지 않습니다. 컨테이너 이미지 레지스트리 API에 대한 일반 정보는 업스트림 API 문서를 참조하십시오.
12.4.1. API를 통한 이미지 서명 작성
이미지에 새 서명을 추가하려면 HTTP PUT 메서드를 사용하여 JSON 페이로드를 확장 끝점으로 보낼 수 있습니다.
PUT /extensions/v2/<namespace>/<name>/signatures/<digest>
$ curl -X PUT --data @signature.json http://<user>:<token>@<registry_endpoint>:5000/extensions/v2/<namespace>/<name>/signatures/sha256:<digest>
서명 콘텐츠가 있는 JSON 페이로드에는 다음과 같은 구조가 있어야 합니다.
{
"version": 2,
"type": "atomic",
"name": "sha256:4028782c08eae4a8c9a28bf661c0a8d1c2fc8e19dbaae2b018b21011197e1484@cddeb7006d914716e2728000746a0b23",
"content": "<cryptographic_signature>"
}
name 필드에는 고유해야 하며 <digest>@<name> 형식의 이미지 서명 이름이 포함되어 있습니다. <digest> 는 이미지 이름을 나타내고 <name> 은 서명의 이름입니다. 서명 이름은 32자여야 합니다. <cryptographic_signature> 는 컨테이너/이미지 라이브러리에 설명된 사양을 따라야 합니다.
12.4.2. API를 통해 이미지 서명 읽기
서명된 이미지가 OpenShift Container Registry에 이미 푸시되었다고 가정하면 다음 명령을 사용하여 서명을 읽을 수 있습니다.
GET /extensions/v2/<namespace>/<name>/signatures/<digest>
$ curl http://<user>:<token>@<registry_endpoint>:5000/extensions/v2/<namespace>/<name>/signatures/sha256:<digest>
<namespace> 는 OpenShift Container Platform 프로젝트 이름 또는 레지스트리 리포지토리 이름을 나타내고 <name> 은 이미지 리포지토리의 이름을 나타냅니다. 다이제스트 는 이미지의 SHA-256 체크섬을 나타냅니다.
지정된 이미지에 서명 데이터가 포함된 경우 위의 명령 출력에서 다음 JSON 응답을 생성해야 합니다.
{
"signatures": [
{
"version": 2,
"type": "atomic",
"name": "sha256:4028782c08eae4a8c9a28bf661c0a8d1c2fc8e19dbaae2b018b21011197e1484@cddeb7006d914716e2728000746a0b23",
"content": "<cryptographic_signature>"
}
]
}
name 필드에는 고유해야 하며 <digest>@<name> 형식의 이미지 서명 이름이 포함되어 있습니다. <digest> 는 이미지 이름을 나타내고 <name> 은 서명의 이름입니다. 서명 이름은 32자여야 합니다. <cryptographic_signature> 는 컨테이너/이미지 라이브러리에 설명된 사양을 따라야 합니다.
12.4.3. 서명 저장소에서 자동으로 이미지 서명 가져오기
레지스트리 구성 디렉터리를 통해 모든 OpenShift Container Platform 마스터 노드에 서명 저장소가 구성된 경우 OpenShift Container Platform은 이미지 서명을 자동으로 가져올 수 있습니다.
레지스트리 구성 디렉터리에는 다양한 레지스트리(원격 컨테이너 이미지를 저장하는 서버)와 여기에 저장된 콘텐츠에 대한 구성이 포함되어 있습니다. 단일 디렉터리를 사용하면 container/image의 모든 사용자가 공유할 수 있도록 각 명령의 명령줄 옵션으로 구성을 제공할 필요가 없습니다.
기본 레지스트리 구성 디렉터리는 /etc/containers/registries.d/default.yaml 파일에 있습니다.
모든 Red Hat 이미지에 대해 이미지 서명을 자동으로 가져오는 샘플 구성:
docker:
registry.redhat.io:
sigstore: https://registry.redhat.io/containers/sigstore 1- 1
- 서명 저장소의 URL을 정의합니다. 이 URL은 기존 서명을 읽는 데 사용됩니다.
OpenShift Container Platform에서 자동으로 가져온 서명은 기본적으로 확인되지 않으며 이미지 관리자가 확인해야 합니다.
레지스트리 구성 디렉터리에 대한 자세한 내용은 레지스트리 구성 디렉터리를 참조하십시오.
13장. 범위가 지정된 토큰
13.1. 개요
사용자는 다른 엔터티에 이와 같은 기능을 수행하는 권한을 부여할 수 있지만 제한된 방식으로만 부여할 수 있습니다. 예를 들어 프로젝트 관리자가 포드 생성 권한을 위임할 수 있습니다. 이렇게 하는 한 가지 방법은 범위가 지정된 토큰을 생성하는 것입니다.
범위가 지정된 토큰은 지정된 사용자로 식별되지만 범위별로 특정 작업으로 제한되는 토큰입니다. 현재 cluster-admin 만 범위가 지정된 토큰을 생성할 수 있습니다.
13.2. 평가
범위는 토큰의 범위 집합을 PolicyRules 집합으로 변환하여 평가합니다. 그러면 요청이 해당 규칙과 대조됩니다. 추가적인 권한 확인을 위해 "일반"권한 부여자에게 전달하려면 요청 속성이 하나 이상의 범위 규칙과 일치해야 합니다.
13.3. 사용자 범위
사용자 범위는 지정된 사용자에 대한 정보를 얻는 데 중점을 둡니다. 의도 기반이므로 다음과 같이 규칙이 자동으로 생성됩니다.
-
user:full- 모든 사용자 권한에 API에 대한 전체 읽기/쓰기 액세스를 허용합니다. -
user:info- 사용자 정보(이름, 그룹 등)에 대한 읽기 전용 액세스를 허용합니다. -
user:check-access- self-localsubjectaccessreviews 및 self-subjectaccessreviews에 대한 액세스를 허용합니다. 해당 항목은 요청 오브젝트에서 빈 사용자 및 그룹을 전달하는 변수입니다. -
user:list-projects- 사용자가 액세스할 수 있는 프로젝트를 나열하도록 읽기 전용 액세스를 허용합니다.
13.4. 역할 범위
역할 범위를 사용하면 네임스페이스로 필터링되어 지정된 역할과 동일한 수준의 액세스 권한을 가질 수 있습니다.
role:<cluster-role name>:<namespace or * for all>- 클러스터 역할에 따라 지정된 규칙으로 범위가 제한되지만, 지정된 네임스페이스에 한합니다.참고경고 사항: 이렇게 하면 액세스 권한이 에스컬레이션되지 않습니다. 시크릿, 역할 바인딩 및 역할과 같은 리소스에 액세스할 수 있는 역할이더라도 이 범위는 해당 리소스에 대한 액세스를 거부합니다. 따라서 예기치 않은 에스컬레이션을 방지할 수 있습니다. 대부분의 사람들은 edit와 같은 역할을 에스컬레이션되는 역할로 생각하지 않지만 시크릿에 액세스할 수 있는 경우 에스컬레이션됩니다.
-
role:<cluster-role name>:<namespace or * for all>:!- 느낌표를 넣어 이 범위에서 액세스 권한을 에스컬레이션할 수 있다는 점을 제외하면 위의 예와 유사합니다.
14장. 이미지 모니터링
14.1. 개요
14.2. 이미지 통계 보기
OpenShift Container Platform에서 관리하는 모든 이미지에 대한 사용량 통계를 표시할 수 있습니다. 즉, 모든 이미지는 직접 또는 빌드를 통해 내부 레지스트리에 푸시됩니다.
사용량 통계를 보려면 다음을 수행합니다.
$ oc adm top images NAME IMAGESTREAMTAG PARENTS USAGE METADATA STORAGE sha256:80c985739a78b openshift/python (3.5) yes 303.12MiB sha256:64461b5111fc7 openshift/ruby (2.2) yes 234.33MiB sha256:0e19a0290ddc1 test/ruby-ex (latest) sha256:64461b5111fc71ec Deployment: ruby-ex-1/test yes 150.65MiB sha256:a968c61adad58 test/django-ex (latest) sha256:80c985739a78b760 Deployment: django-ex-1/test yes 186.07MiB
명령은 다음 정보를 표시합니다.
- 이미지 ID
-
포함된
ImageStreamTag의 프로젝트, 이름 및 태그 - ID로 나열된 이미지의 잠재적 부모
- 이미지가 사용되는 위치에 대한 정보
- 이미지에 적절한 Docker 메타데이터 정보가 포함되어 있는지 여부를 알리는 플래그
- 이미지 크기
14.3. 이미지 스트림 통계 보기
이미지 스트림에 대한 사용량 통계를 표시할 수 있습니다.
사용량 통계를 보려면 다음을 수행합니다.
$ oc adm top imagestreams NAME STORAGE IMAGES LAYERS openshift/python 1.21GiB 4 36 openshift/ruby 717.76MiB 3 27 test/ruby-ex 150.65MiB 1 10 test/django-ex 186.07MiB 1 10
명령은 다음 정보를 표시합니다.
-
ImageStream의 프로젝트 및 이름 -
내부 Red Hat Container Registry에 저장된 전체
이미지 스트림의 크기 -
이 특정 이미지 스트림이 가리키는
이미지수 -
레이어 수
ImageStream은 다음으로 구성됩니다.
14.4. 이미지 정리
이전 명령에서 반환된 정보는 이미지 정리를 수행할 때 유용합니다.
15장. 보안 컨텍스트 제약 조건 관리
15.1. 개요
보안 컨텍스트 제약 조건을 통해 관리자는 포드에 대한 권한을 제어할 수 있습니다. 이 API 유형에 대한 자세한 내용은 SCC( 보안 컨텍스트 제약 조건 ) 아키텍처 설명서를 참조하십시오. CLI를 사용하여 인스턴스의 SCC를 일반 API 오브젝트로 관리할 수 있습니다.
SCC를 관리하려면 cluster-admin 권한이 있어야 합니다.
기본 SCC를 수정하지 마십시오. 기본 SCC를 사용자 정의하면 업그레이드 시 문제가 발생할 수 있습니다. 대신 새 SCC를 만듭니다.
15.2. 보안 컨텍스트 제약 조건 나열
현재 SCC 목록을 가져오려면 다음을 실행합니다.
$ oc get scc NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP PRIORITY READONLYROOTFS VOLUMES anyuid false [] MustRunAs RunAsAny RunAsAny RunAsAny 10 false [configMap downwardAPI emptyDir persistentVolumeClaim secret] hostaccess false [] MustRunAs MustRunAsRange MustRunAs RunAsAny <none> false [configMap downwardAPI emptyDir hostPath persistentVolumeClaim secret] hostmount-anyuid false [] MustRunAs RunAsAny RunAsAny RunAsAny <none> false [configMap downwardAPI emptyDir hostPath nfs persistentVolumeClaim secret] hostnetwork false [] MustRunAs MustRunAsRange MustRunAs MustRunAs <none> false [configMap downwardAPI emptyDir persistentVolumeClaim secret] nonroot false [] MustRunAs MustRunAsNonRoot RunAsAny RunAsAny <none> false [configMap downwardAPI emptyDir persistentVolumeClaim secret] privileged true [*] RunAsAny RunAsAny RunAsAny RunAsAny <none> false [*] restricted false [] MustRunAs MustRunAsRange MustRunAs RunAsAny <none> false [configMap downwardAPI emptyDir persistentVolumeClaim secret]
15.3. 보안 컨텍스트 제약 조건 검사 오브젝트
SCC가 적용되는 사용자, 서비스 계정 및 그룹을 포함하여 특정 SCC에 대한 정보를 볼 수 있습니다.
예를 들어 restricted SCC를 검사하려면 다음을 실행합니다.
$ oc describe scc restricted Name: restricted Priority: <none> Access: Users: <none> 1 Groups: system:authenticated 2 Settings: Allow Privileged: false Default Add Capabilities: <none> Required Drop Capabilities: KILL,MKNOD,SYS_CHROOT,SETUID,SETGID Allowed Capabilities: <none> Allowed Seccomp Profiles: <none> Allowed Volume Types: configMap,downwardAPI,emptyDir,persistentVolumeClaim,projected,secret Allow Host Network: false Allow Host Ports: false Allow Host PID: false Allow Host IPC: false Read Only Root Filesystem: false Run As User Strategy: MustRunAsRange UID: <none> UID Range Min: <none> UID Range Max: <none> SELinux Context Strategy: MustRunAs User: <none> Role: <none> Type: <none> Level: <none> FSGroup Strategy: MustRunAs Ranges: <none> Supplemental Groups Strategy: RunAsAny Ranges: <none>
업그레이드 중에 사용자 지정 SCC를 유지하려면 우선 순위, 사용자, 그룹, 레이블 및 주석 이외의 기본 SCC에서 설정을 편집하지 마십시오.
15.4. 새 보안 컨텍스트 제약 조건 생성
새 SCC를 생성하려면 다음을 수행합니다.
JSON 또는 YAML 파일에 SCC를 정의합니다.
보안 컨텍스트 제한 조건 오브젝트 정의
kind: SecurityContextConstraints apiVersion: v1 metadata: name: scc-admin allowPrivilegedContainer: true runAsUser: type: RunAsAny seLinuxContext: type: RunAsAny fsGroup: type: RunAsAny supplementalGroups: type: RunAsAny users: - my-admin-user groups: - my-admin-group
필요한 경우
requiredDropCapabilities필드를 원하는 값으로 설정하여 SCC에 드롭 기능을 추가할 수 있습니다. 지정된 기능은 컨테이너에서 삭제됩니다. 예를 들어KILL,MKNOD및SYS_CHROOT필수 삭제 기능을 사용하여 SCC를 생성하려면 SCC 오브젝트에 다음을 추가합니다.requiredDropCapabilities: - KILL - MKNOD - SYS_CHROOT
Docker 설명서에서 사용 가능한 값 목록을 확인할 수 있습니다.
작은 정보기능이 Docker로 전달되므로 특수한
ALL값을 사용하여 가능한 모든 기능을 삭제할 수 있습니다.그런 다음
oc create를 실행하고 파일을 전달하여 파일을 생성합니다.$ oc create -f scc_admin.yaml securitycontextconstraints "scc-admin" created
SCC가 생성되었는지 확인합니다.
$ oc get scc scc-admin NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP PRIORITY READONLYROOTFS VOLUMES scc-admin true [] RunAsAny RunAsAny RunAsAny RunAsAny <none> false [awsElasticBlockStore azureDisk azureFile cephFS cinder configMap downwardAPI emptyDir fc flexVolume flocker gcePersistentDisk glusterfs iscsi nfs persistentVolumeClaim photonPersistentDisk quobyte rbd secret vsphere]
15.5. 보안 컨텍스트 제약 조건 삭제
SCC를 삭제하려면 다음을 수행합니다.
$ oc delete scc <scc_name>
기본 SCC를 삭제하면 재시작 시 다시 생성됩니다.
15.6. 보안 컨텍스트 제약 조건 업데이트
기존 SCC를 업데이트하려면 다음을 수행합니다.
$ oc edit scc <scc_name>
업그레이드 중에 사용자 지정 SCC를 유지하려면 우선 순위, 사용자 및 그룹 이외의 기본 SCC에 대한 설정을 편집하지 마십시오.
15.6.1. 보안 컨텍스트 제약 조건 설정 예
명시적인 runAsUser 설정 없이
apiVersion: v1
kind: Pod
metadata:
name: security-context-demo
spec:
securityContext: 1
containers:
- name: sec-ctx-demo
image: gcr.io/google-samples/node-hello:1.0
- 1
- 컨테이너 또는 pod에서 실행해야 하는 사용자 ID를 요청하지 않는 경우, 유효 UID는 이 pod를 내보내는 SCC에 따라 다릅니다. 제한된 SCC는 기본적으로 인증된 모든 사용자에게 부여되므로 모든 사용자 및 서비스 계정에서 사용할 수 있으며, 대부분의 사례에서 사용됩니다. 제한된 SCC는
securityContext.runAsUser필드의 사용 가능한 값을 제한하고 기본값을 설정하는 데MustRunAsRange전략을 사용합니다. 허용 플러그인에서는 이 범위를 제공하지 않기 때문에 현재 프로젝트에서openshift.io/sa.scc.uid-range주석을 찾아 범위 필드를 채웁니다. 결국 컨테이너에는 모든 프로젝트의 범위가 다르기 때문에 예측하기 어려운 범위의 첫 번째 값과 동일한runAsUser가 있게 됩니다. 자세한 내용은 사전 할당된 값 및 보안 컨텍스트 제약 조건 이해를 참조하십시오.
명시적인 runAsUser 설정
apiVersion: v1
kind: Pod
metadata:
name: security-context-demo
spec:
securityContext:
runAsUser: 1000 1
containers:
- name: sec-ctx-demo
image: gcr.io/google-samples/node-hello:1.0
- 1
- 특정 사용자 ID를 요청하는 컨테이너 또는 Pod는 서비스 계정 또는 사용자에게 해당 사용자 ID를 허용하는 SCC에 대한 액세스 권한이 부여된 경우에만 OpenShift Container Platform에서 승인됩니다. SCC를 사용하면 임의의 ID, 특정 범위에 속하는 ID 또는 요청과 관련된 정확한 사용자 ID를 허용할 수 있습니다.
이는 SELinux, fsGroup 및 Supplemental Groups에서 작동합니다. 자세한 내용은 볼륨 보안을 참조하십시오.
15.7. 기본 보안 컨텍스트 제약 조건 업데이트
마스터가 누락된 경우 마스터가 시작될 때 기본 SCC가 생성됩니다. SCC를 기본값으로 재설정하거나 업그레이드 후 기존 SCC를 새 기본 정의로 업데이트하려면 다음을 수행할 수 있습니다.
- 재설정할 SCC를 삭제하고 마스터를 다시 시작하여 다시 생성되도록 합니다.
-
oc adm policy reconcile-sccs명령을 사용합니다.
oc adm policy reconcile-sccs 명령은 모든 SCC 정책을 기본값으로 설정하지만 추가 사용자, 그룹, 라벨 및 주석을 이미 설정한 우선순위는 유지합니다. 변경되는 SCC를 보려면 옵션 없이 명령을 실행하거나 -o <format> 옵션으로 선호하는 출력을 지정할 수 있습니다.
기존 SCC를 백업한 다음 --confirm 옵션을 사용하여 데이터를 유지하는 것이 좋습니다.
우선순위 및 부여를 재설정하려면 --additive-only=false 옵션을 사용합니다.
SCC에서 우선 순위, 사용자, 그룹, 레이블 또는 주석을 제외한 사용자 지정 설정이 있는 경우 조정 시 해당 설정이 손실됩니다.
15.8. 어떻게 해야 합니까?
다음은 SCC를 사용하는 일반적인 시나리오 및 절차를 설명합니다.
15.8.1. Privileged SCC에 대한 액세스 권한 부여
관리자가 관리자 그룹 외부의 사용자 또는 그룹이 액세스 권한을 갖는 사용자 또는 그룹을 허용하도록 허용해야 하는 경우도 있습니다. 이를 위해 다음을 수행할 수 있습니다.
SCC에 액세스할 사용자 또는 그룹을 확인합니다.
주의사용자에게 직접 포드를 생성할 때만 사용자에게 액세스 권한을 부여하는 것은 작동합니다. 사용자를 대신하여 생성된 포드의 경우 대부분의 경우 시스템 자체에서 관련 컨트롤러가 작동하는 서비스 계정에 액세스 권한을 부여해야 합니다. 사용자를 대신하여 포드를 생성하는 리소스의 예로는 Deployments, StatefulSets, DaemonSets 등이 있습니다.
다음을 실행합니다.
$ oc adm policy add-scc-to-user <scc_name> <user_name> $ oc adm policy add-scc-to-group <scc_name> <group_name>
예를 들어 e2e-user 가 권한 있는 SCC에 액세스할 수 있도록 하려면 다음을 실행합니다.
$ oc adm policy add-scc-to-user privileged e2e-user
-
권한 있는 모드를 요청하도록 컨테이너의
SecurityContext를 수정합니다.
15.8.2. Privileged SCC에 대한 서비스 계정 액세스 권한 부여
먼저 서비스 계정을 만듭니다. 예를 들어 my project 프로젝트에서 서비스 계정 mysvcacct 를 생성하려면 다음을 수행합니다.
$ oc create serviceaccount mysvcacct -n myproject
그런 다음 권한 있는 SCC에 서비스 계정을 추가합니다.
$ oc adm policy add-scc-to-user privileged system:serviceaccount:myproject:mysvcacct
그런 다음 서비스 계정을 대신하여 리소스가 생성되고 있는지 확인합니다. 이를 위해 spec.serviceAccountName 필드를 서비스 계정 이름으로 설정합니다. 서비스 계정 이름을 비워 두면 기본 서비스 계정이 사용됩니다.
그런 다음 Pod의 컨테이너 중 하나 이상이 보안 컨텍스트에서 권한 있는 모드를 요청하는지 확인합니다.
15.8.3. Dockerfile에서 USER를 사용하여 이미지 활성화
이미지가 권한 있는 SCC에 대한 액세스 권한을 부여하지 않고 사전 할당된 UID로 실행하도록 클러스터의 보안을 완화하려면 다음을 수행합니다.
인증된 모든 사용자에게 anyuid SCC에 대한 액세스 권한을 부여합니다.
$ oc adm policy add-scc-to-group anyuid system:authenticated
이를 통해 Dockerfile 에 USER 가 지정되지 않은 경우 이미지를 루트 UID로 실행할 수 있습니다.
15.8.4. 루트가 필요한 컨테이너 이미지 활성화
일부 컨테이너 이미지(예: postgres 및 redis)에는 루트 액세스 권한이 필요하며 볼륨이 소유되는 방법에 대한 특정 기대치가 있습니다. 이러한 이미지의 경우 anyuid SCC에 서비스 계정을 추가합니다.
$ oc adm policy add-scc-to-user anyuid system:serviceaccount:myproject:mysvcacct
15.8.5. 레지스트리에 --mount-host 사용
레지스트리 배포에 PersistentVolume 및 PersistentVolumeClaim 오브젝트를 사용하는 영구 스토리지를 사용하는 것이 좋습니다. 테스트 중이며 oc adm registry 명령을 --mount-host 옵션과 함께 사용하려면 먼저 레지스트리에 대한 새 서비스 계정을 생성하여 권한 있는 SCC에 추가해야 합니다. 전체 지침은 관리자 가이드를 참조하십시오.
15.8.6. 추가 기능 제공
경우에 따라 이미지에 Docker에서 기본적으로 제공하지 않는 기능이 필요할 수 있습니다. SCC에 대해 검증할 Pod 사양에서 추가 기능을 요청하는 기능을 제공할 수 있습니다.
이렇게 하면 이미지를 상승된 기능으로 실행할 수 있으며 필요한 경우에만 사용해야 합니다. 추가 기능을 활성화하려면 기본 제한된 SCC를 편집해서는 안 됩니다.
루트가 아닌 사용자와 함께 사용하는 경우 추가 기능이 필요한 파일에 setcap 명령을 사용하여 기능이 부여되었는지 확인해야 합니다. 예를 들어 이미지의 Dockerfile 에서 다음을 수행합니다.
setcap cap_net_raw,cap_net_admin+p /usr/bin/ping
또한 Docker에서 기본적으로 기능을 제공하는 경우 pod 사양을 수정하여 요청할 필요가 없습니다. 예를 들어 NET_RAW 는 기본적으로 제공되며 기능은 ping에 이미 설정되어 있어야 하므로 ping 을 실행하는 데 특별한 단계가 필요하지 않습니다 .
추가 기능을 제공하려면 다음을 수행합니다.
- 새 SCC 만들기
-
allowed
Capabilities 필드를 사용하여 허용된기능을 추가합니다. -
Pod를 생성할 때
securityContext.capabilities.add필드의 기능을 요청합니다.
15.8.7. 클러스터 기본 동작 수정
모든 사용자에 대해 anyuid SCC에 대한 액세스 권한을 부여하면 클러스터에 클러스터가 부여됩니다.
- UID를 사전 할당하지 않음
- 컨테이너가 모든 사용자로 실행되도록 허용
- 권한 있는 컨테이너 방지
$ oc adm policy add-scc-to-group anyuid system:authenticated
UID를 사전 할당하지 않고 컨테이너를 root로 실행할 수 없도록 클러스터를 수정하려면 모든 사용자에 대해 루트가 아닌 SCC 에 대한 액세스 권한을 부여합니다.
$ oc adm policy add-scc-to-group nonroot system:authenticated
클러스터 전체에 영향을 미치는 수정 사항에 매우 주의하십시오. 이전 예제와 같이 인증된 모든 사용자에게 SCC를 부여하거나, 제한된 SCC와 같은 모든 사용자에게 적용되는 SCC를 수정하면 웹 콘솔 및 통합 컨테이너 이미지 레지스트리를 포함하여 Kubernetes 및 OpenShift Container Platform 구성 요소에도 영향을 미칩니다. 이러한 SCC의 변경으로 인해 이러한 구성 요소가 작동하지 않을 수 있습니다.
대신 사용자 지정 SCC를 만들고 특정 사용자 또는 그룹에만 대상으로 지정합니다. 이러한 방식으로 잠재적인 문제는 영향을 받는 사용자 또는 그룹에 제한되며 중요한 클러스터 구성 요소에 영향을 주지 않습니다.
15.8.8. hostPath 볼륨 플러그인 사용
Pod에서 privileged, host access 또는 hostmount-anyuid 와 같은 권한 있는 SCC에 대한 액세스 권한을 부여하지 않고 Pod에서 hostPath 볼륨 플러그인을 사용할 수 있도록 클러스터의 보안을 완화하려면 다음 작업을 수행합니다.
-
hostpath라는 새 SCC 만들기 새 SCC에
allowHostDirVolumePlugin매개변수를true로 설정합니다.$ oc patch scc hostpath -p '{"allowHostDirVolumePlugin": true}'모든 사용자에게 이 SCC에 대한 액세스 권한을 부여합니다.
$ oc adm policy add-scc-to-group hostpath system:authenticated
이제 hostPath 볼륨을 요청하는 모든 Pod가 hostpath SCC에서 허용합니다.
15.8.9. 특정 SCC를 먼저 사용하도록 승인했는지 확인하십시오.
SCC의 Priority 필드를 설정하여 허용 중인 SCC 정렬 순서를 제어할 수 있습니다. 정렬에 대한 자세한 내용은 SCC 우선순위 섹션을 참조하십시오.
15.8.10. 사용자, 그룹 또는 프로젝트에 SCC 추가
SCC를 사용자 또는 그룹에 추가하기 전에 먼저 scc-review 옵션을 사용하여 사용자 또는 그룹이 포드를 만들 수 있는지 확인할 수 있습니다. 자세한 내용은 권한 부여 주제를 참조하십시오.
SCC는 프로젝트에 직접 부여되지 않습니다. 대신 SCC에 서비스 계정을 추가하고 포드에서 서비스 계정 이름을 지정하거나 지정되지 않은 경우 default 서비스 계정으로 실행합니다.
사용자에게 SCC를 추가하려면 다음을 수행합니다.
$ oc adm policy add-scc-to-user <scc_name> <user_name>
서비스 계정에 SCC를 추가하려면 다음을 수행합니다.
$ oc adm policy add-scc-to-user <scc_name> \
system:serviceaccount:<serviceaccount_namespace>:<serviceaccount_name>
현재 서비스 계정이 속하는 프로젝트에 있는 경우 -z 플래그를 사용하고 <serviceaccount_name> 만 지정할 수 있습니다.
$ oc adm policy add-scc-to-user <scc_name> -z <serviceaccount_name>
위에 설명된 대로 -z 플래그를 사용하는 것이 좋습니다. 이는 오타를 방지하고 지정된 서비스 계정에만 액세스 권한을 부여하는 데 도움이 되기 때문입니다. 프로젝트에 없는 경우 -n 옵션을 사용하여 적용되는 프로젝트 네임스페이스를 표시합니다.
그룹에 SCC를 추가하려면 다음을 수행합니다.
$ oc adm policy add-scc-to-group <scc_name> <group_name>
네임스페이스의 모든 서비스 계정에 SCC를 추가하려면 다음을 수행합니다.
$ oc adm policy add-scc-to-group <scc_name> \
system:serviceaccounts:<serviceaccount_namespace>16장. 예약
16.1. 개요
16.1.1. 개요
Pod 예약은 클러스터 내 노드에 대한 새 Pod 배치를 결정하는 내부 프로세스입니다.
스케줄러 코드는 새 Pod가 생성될 때 해당 Pod를 감시하고 이를 호스팅하는 데 가장 적합한 노드를 확인할 수 있도록 깔끔하게 분리되어 있습니다. 그런 다음 마스터 API를 사용하여 Pod에 대한 바인딩(Pod와 노드의 바인딩)을 생성합니다.
16.1.2. 기본 예약
OpenShift Container Platform에는 대부분의 사용자의 요구 사항을 충족하는 기본 스케줄러가 제공됩니다. 기본 스케줄러는 고유 툴과 사용자 지정 가능한 툴을 모두 사용하여 Pod에 가장 적합한 도구를 결정합니다.
기본 스케줄러에서 Pod 배치 및 사용 가능한 사용자 정의 매개 변수를 결정하는 방법에 대한 자세한 내용은 기본 예약을 참조하십시오.
16.1.3. 고급 예약
새 Pod가 배치되는 위치를 추가로 제어해야 하는 경우 OpenShift Container Platform 고급 예약 기능을 사용하면 특정 노드 또는 특정 Pod와 함께 Pod를 시작(또는 기본 설정)하도록 Pod를 구성할 수 있습니다. 또한 고급 예약을 통해 Pod가 노드 또는 다른 Pod에 배치되지 않도록 할 수 있습니다.
고급 스케줄링에 대한 자세한 내용은 Advanced Scheduling 을 참조하십시오.
16.1.4. 사용자 정의 예약
OpenShift Container Platform을 사용하면 Pod 사양을 편집하여 자체 또는 타사 스케줄러를 사용할 수도 있습니다.
자세한 내용은 Custom Scheduler를 참조하십시오.
16.2. 기본 예약
16.2.1. 개요
기본 OpenShift Container Platform Pod 스케줄러는 클러스터 내의 노드에 대한 새 Pod 배치를 결정합니다. Pod에서 데이터를 읽고 구성된 정책에 따라 적합한 노드를 찾으려고 합니다. 이 스케줄러는 완전히 독립적이며 독립형/플러그형 솔루션으로 존재합니다. Pod를 수정하지 않고 Pod를 특정 노드에 연결하는 Pod 바인딩만 생성합니다.
16.2.2. 일반 스케줄러
기존 일반 스케줄러는 3단계 작업에서 Pod를 호스팅할 노드를 선택하는 기본 플랫폼 제공 스케줄러 엔진에 해당합니다.
- 스케줄러는 서술자를 사용하여 부적절한 노드를 필터링합니다.
- 스케줄러는 필터링된 노드 목록의 우선 순위를 지정합니다.
- 스케줄러는 Pod 의 우선 순위가 가장 높은 노드를 선택합니다.
16.2.3. 노드 필터링
사용 가능한 노드를 지정된 제약 조건 또는 요구 사항에 따라 필터링합니다. 이 작업은 서술자 라는 필터 함수 목록을 통해 각 노드를 실행하여 수행됩니다.
16.2.3.1. 필터링된 노드 목록 우선순위 지정
이는 0~10 사이의 점수를 할당하는 일련의 우선 순위 함수를 통해 각 노드를 전달하여 달성되며 0은 포드를 호스트하는 데 적합하지 않음을 나타내고 10은 적합함을 나타냅니다. 스케줄러 구성은 각 우선순위 함수에 간단한 가중치(양의 숫자 값)를 사용할 수도 있습니다. 각 우선순위 함수에서 제공하는 노드 점수에 가중치(대부분의 우선순위에 대한 기본 가중치는 1임)를 곱한 다음 모든 우선순위에서 제공하는 각 노드의 점수를 더하여 결합합니다. 관리자는 이러한 가중치 특성을 사용하여 일부 우선순위에 높은 중요성을 부여할 수 있습니다.
16.2.3.2. 최적의 노드 선택
노드는 해당 점수에 따라 정렬되며 점수가 가장 높은 노드가 Pod를 호스팅하도록 선택됩니다. 여러 노드의 점수가 동일한 경우 해당 노드 중 하나가 무작위로 선택됩니다.
16.2.4. 스케줄러 정책
서술자 및 우선순위 를 선택하면 스케줄러에 대한 정책이 정의됩니다.
스케줄러 구성 파일은 스케줄러에서 고려할 서술자 및 우선순위를 지정하는 JSON 파일입니다.
스케줄러 정책 파일이 없으면 기본 구성 파일 /etc/origin/master/scheduler.json 이 적용됩니다.
스케줄러 구성 파일에 정의된 서술자 및 우선순위는 기본 스케줄러 정책을 완전히 덮어씁니다. 기본 서술자 및 우선순위 중 하나라도 필요한 경우 스케줄러 구성 파일에서 함수를 명시적으로 지정해야 합니다.
기본 스케줄러 구성 파일
{
"apiVersion": "v1",
"kind": "Policy",
"predicates": [
{
"name": "NoVolumeZoneConflict"
},
{
"name": "MaxEBSVolumeCount"
},
{
"name": "MaxGCEPDVolumeCount"
},
{
"name": "MaxAzureDiskVolumeCount"
},
{
"name": "MatchInterPodAffinity"
},
{
"name": "NoDiskConflict"
},
{
"name": "GeneralPredicates"
},
{
"name": "PodToleratesNodeTaints"
},
{
"argument": {
"serviceAffinity": {
"labels": [
"region"
]
}
},
"name": "Region"
}
],
"priorities": [
{
"name": "SelectorSpreadPriority",
"weight": 1
},
{
"name": "InterPodAffinityPriority",
"weight": 1
},
{
"name": "LeastRequestedPriority",
"weight": 1
},
{
"name": "BalancedResourceAllocation",
"weight": 1
},
{
"name": "NodePreferAvoidPodsPriority",
"weight": 10000
},
{
"name": "NodeAffinityPriority",
"weight": 1
},
{
"name": "TaintTolerationPriority",
"weight": 1
},
{
"argument": {
"serviceAntiAffinity": {
"label": "zone"
}
},
"name": "Zone",
"weight": 2
}
]
}
16.2.4.1. 스케줄러 정책 수정
스케줄러 정책은 마스터 구성 파일의 kubernetesMasterConfig .schedulerConfigFile 필드에서 재정의하지 않는 한 기본적으로 /etc/origin/master/scheduler.json 이라는 마스터의 파일에 정의되어 있습니다.
수정된 스케줄러 구성 파일 샘플
kind: "Policy"
version: "v1"
"predicates": [
{
"name": "PodFitsResources"
},
{
"name": "NoDiskConflict"
},
{
"name": "MatchNodeSelector"
},
{
"name": "HostName"
},
{
"argument": {
"serviceAffinity": {
"labels": [
"region"
]
}
},
"name": "Region"
}
],
"priorities": [
{
"name": "LeastRequestedPriority",
"weight": 1
},
{
"name": "BalancedResourceAllocation",
"weight": 1
},
{
"name": "ServiceSpreadingPriority",
"weight": 1
},
{
"argument": {
"serviceAntiAffinity": {
"label": "zone"
}
},
"name": "Zone",
"weight": 2
}
]
스케줄러 정책을 수정하려면 다음을 수행합니다.
- 스케줄러 구성 파일을 편집하여 원하는 기본 서술자 및 우선순위를 구성합니다. 사용자 지정 구성을 생성하거나 샘플 정책 구성 중 하나를 사용하고 수정할 수 있습니다.
- 필요한 구성 가능 서술자 및 구성 가능 우선순위 를 추가합니다.
변경 사항을 적용하려면 OpenShift Container Platform을 다시 시작하십시오.
# master-restart api # master-restart controllers
16.2.5. 사용 가능한 서술자
서술자는 정규화되지 않은 노드를 필터링하는 규칙입니다.
OpenShift Container Platform에는 기본적으로 제공되는 몇 가지 서술자가 있습니다. 이러한 서술자 중 일부는 특정 매개변수를 제공하여 사용자 정의할 수 있습니다. 여러 개의 서술자를 결합하여 노드 필터링을 추가로 제공할 수도 있습니다.
16.2.5.1. 정적 서술자
이러한 서술자에는 구성 매개변수 또는 사용자 입력이 사용되지 않습니다. 대신 정확한 이름을 사용하여 스케줄러 구성에 지정됩니다.
16.2.5.1.1. 기본 서술자
기본 스케줄러 정책에는 다음과 같은 서술자가 포함됩니다.
NoVolumeZoneConflict 는 Pod에서 요청하는 볼륨을 영역에서 사용할 수 있는지 확인합니다.
{"name" : "NoVolumeZoneConflict"}MaxEBSVolumeCount 는 AWS 인스턴스에 연결할 수 있는 최대 볼륨 수를 확인합니다.
{"name" : "MaxEBSVolumeCount"}MaxGCEPDVolumeCount 는 최대 GCE(Google Compute Engine) PD(영구 디스크) 수를 확인합니다.
{"name" : "MaxGCEPDVolumeCount"}MatchInterPodAffinity 는 Pod 유사성/유사성 규칙에서 Pod를 허용하는지 확인합니다.
{"name" : "MatchInterPodAffinity"}NoDiskConflict 는 Pod에서 요청한 볼륨을 사용할 수 있는지 확인합니다.
{"name" : "NoDiskConflict"}PodToleratesNodeTaints 는 Pod에서 노드 테인트를 허용할 수 있는지 확인합니다.
{"name" : "PodToleratesNodeTaints"}16.2.5.1.2. 기타 정적 서술자
OpenShift Container Platform에서는 다음과 같은 서술자도 지원합니다.
CheckVolumeBinding 은 Pod가 볼륨에 따라 적합할 수 있는지 평가합니다. * 바인딩된 PVC와 바인딩되지 않은 PVC 모두에 대해 요청합니다. * 서술자는 해당 PV의 노드 유사성이 지정된 노드에서 충족되는지 확인합니다. * 바인딩되지 않은 PVC의 경우 서술자는 PVC 요구 사항을 충족할 수 있는 사용 가능한 PV를 검색하고 PV 노드 유사성이 지정된 노드에 의해 충족되는지 확인합니다.
서술자는 바인딩된 모든 PVC에 노드와 호환되는 PV가 있고 바인딩되지 않은 모든 PVC를 사용 가능하고 노드와 호환되는 PV와 연결할 수 있는 경우 True를 반환합니다.
{"name" : "CheckVolumeBinding"}
CheckVolumeBinding 서술자는 기본이 아닌 스케줄러에서 활성화해야 합니다.
CheckNodeCondition 은 디스크 부족,네트워크를 사용할 수 없거나 준비되지 않은 상태를 보고하는 노드에 Pod를 예약할 수 있는지 확인합니다.
{"name" : "CheckNodeCondition"}PodToleratesNodeNoExecuteTaints 는 Pod 허용 오차가 노드 NoExecute 테인트를 허용할 수 있는지 확인합니다.
{"name" : "PodToleratesNodeNoExecuteTaints"}CheckNodeLabelPresence 는 값과 관계없이 지정된 라벨이 모두 노드에 있는지 확인합니다.
{"name" : "CheckNodeLabelPresence"}checkServiceAffinity 는 노드에 예약된 Pod에 ServiceAffinity 라벨이 동종인지 확인합니다.
{"name" : "checkServiceAffinity"}MaxAzureDiskVolumeCount 는 최대 Azure Disk 볼륨 수를 확인합니다.
{"name" : "MaxAzureDiskVolumeCount"}16.2.5.2. 일반 서술자
다음 일반 서술자는 중요하지 않은 서술자 및 필수 서술자의 전달 여부를 확인합니다. 중요하지 않은 서술자는 중요하지 않은 Pod만 전달해야 하고 필수 서술자는 모든 Pod에서 전달해야 하는 서술자인 서술자입니다.
기본 스케줄러 정책에는 일반 서술자가 포함됩니다.
심각하지 않은 일반 서술자
PodFitsResources 는 리소스 가용성(CPU, 메모리, GPU 등)에 따라 적합성을 결정합니다. 노드는 해당 리소스 용량을 선언할 수 있으며 Pod는 필요한 리소스를 지정할 수 있습니다. 적합성은 사용된 리소스가 아닌 요청된 리소스를 기반으로 합니다.
{"name" : "PodFitsResources"}필수 일반 서술자
PodFitsHostPorts 는 노드에 요청된 Pod 포트에 사용할 수 있는 포트가 있는지 여부를 결정합니다(포트 충돌).
{"name" : "PodFitsHostPorts"}호스트 이름은 호스트 매개 변수 및 호스트 이름과 일치하는 문자열에 따라 적합성을 결정합니다.
{"name" : "HostName"}MatchNodeSelector 는 Pod에 정의된 노드 선택기(nodeSelector) 쿼리에 따라 적합성을 결정합니다.
{"name" : "MatchNodeSelector"}16.2.5.3. 구성 가능한 서술자
이러한 서술자를 기본적으로 /etc/origin/master/scheduler.json 으로 스케줄러 구성에서 구성하여 서술자 함수에 영향을 주는 라벨을 추가할 수 있습니다.
이러한 서술자는 구성 가능하므로 사용자 정의 이름이 다르면 동일한 유형(단일 구성 매개 변수)의 여러 서술자를 결합할 수 있습니다.
이러한 우선순위 사용에 대한 자세한 내용은 스케줄러 정책 수정을 참조하십시오.
ServiceAffinity 는 해당 Pod에서 실행되는 서비스를 기반으로 노드에 Pod를 배치합니다. 동일한 서비스의 Pod를 동일한 노드에 배치하거나 함께 배치하면 효율성이 향상될 수 있습니다.
이 서술자는 동일한 레이블이 있는 노드에서 특정 라벨이 있는 Pod를 노드 선택기 에 배치하려고 합니다.
Pod가 노드 선택기에서 레이블을 지정하지 않으면 첫 번째 Pod가 가용성에 따라 모든 노드에 배치되고 서비스의 모든 후속 포드는 해당 노드와 동일한 레이블 값이 있는 노드에 예약됩니다.
"predicates":[
{
"name":"<name>", 1
"argument":{
"serviceAffinity":{
"labels":[
"<label>" 2
]
}
}
}
],예를 들면 다음과 같습니다.
"name":"ZoneAffinity",
"argument":{
"serviceAffinity":{
"labels":[
"rack"
]
}
}
예를 들어 서비스의 첫 번째 포드에 노드 선택기 랙 이 레이블 region=rack 이 있는 노드에 예약된 경우 동일한 서비스에 속하는 다른 모든 후속 포드가 동일한 region=rack 레이블이 있는 노드에 예약됩니다. 자세한 내용은 Pod 배치 제어를 참조하십시오.
다중 수준 레이블도 지원됩니다. 사용자는 동일한 지역 및 동일한 영역 내의 노드(지역별)에 예약되는 서비스에 대한 모든 Pod를 지정할 수도 있습니다.
labelsPresence 매개변수는 특정 노드에 특정 레이블이 있는지 확인합니다. 레이블은 LabelPreference 우선 순위에서 사용하는 노드 그룹을 생성합니다. 레이블 기반 일치는 노드의 실제 위치 또는 레이블로 정의된 상태가 있는 경우 유용할 수 있습니다.
"predicates":[
{
"name":"<name>", 1
"argument":{
"labelsPresence":{
"labels":[
"<label>" 2
],
"presence": true 3
}
}
}
],예를 들면 다음과 같습니다.
"name":"RackPreferred",
"argument":{
"labelsPresence":{
"labels":[
"rack",
"region"
],
"presence": true
}
}16.2.6. 사용 가능한 우선순위
우선순위는 기본 설정에 따라 나머지 노드의 순위를 지정하는 규칙입니다.
스케줄러를 구성하기 위해 사용자 정의 우선순위 집합을 지정할 수 있습니다. OpenShift Container Platform에는 기본적으로 제공되는 몇 가지 우선순위가 있습니다. 특정 매개변수를 제공하여 기타 우선순위를 사용자 정의할 수 있습니다. 여러 우선순위를 결합하고 각각 서로 다른 가중치를 부여하여 우선순위 지정에 영향을 미칠 수 있습니다.
16.2.6.1. 정적 우선순위
정적 우선순위에는 가중치를 제외하고 사용자의 구성 매개변수가 사용되지 않습니다. 가중치를 지정해야 하며 0 또는 음수를 사용할 수 없습니다.
이러한 값은 스케줄러 구성(기본적으로 /etc/origin/master/scheduler.json )에 지정됩니다.
16.2.6.1.1. 기본 우선순위
기본 스케줄러 정책에는 다음과 같은 우선순위가 포함됩니다. 가중치가 10000 인 NodePreferAvoidPodsPriority 를 제외하고 각 우선순위 함수의 가중치는 1 입니다.
SelectorSpreadPriority는 서비스, RC(복제 컨트롤러),RS(복제 집합), Pod와 일치하는 상태 저장 세트를 찾은 다음 해당 선택기와 일치하는 기존 Pod를 찾습니다. 스케줄러에서는 일치하는 기존 Pod가 적은 노드를 선호합니다. 그런 다음 Pod를 예약할 때 해당 선택기와 일치하는 Pod 수가 가장 적은 노드에 Pod를 예약합니다.
{"name" : "SelectorSpreadPriority", "weight" : 1}
InterPodAffinityPriority는 weighted PodAffinityTerm의 요소를 반복하고 해당 PodAffinityTerm이 해당 노드에 대해 충족되는 경우 합계에 가중치 를 추가하여 합계를 계산합니다. 합계가 가장 많은 노드를 가장 우선적으로 고려합니다.
{"name" : "InterPodAffinityPriority", "weight" : 1}LeastRequestedPriority는 요청된 리소스가 적은 노드를 선호합니다. 노드에 예약된 Pod에서 요청한 메모리 및 CPU의 백분율을 계산하고 사용 가능한/남은 용량이 가장 많은 노드에 우선순위를 부여합니다.
{"name" : "LeastRequestedPriority", "weight" : 1}
BalancedResourceAllocation 은 리소스 사용률이 균형 있는 노드를 선호합니다. 사용한 CPU와 메모리 간의 차이를 용량의 일부로 계산하고 두 메트릭이 서로 얼마나 비슷한지에 따라 노드에 우선순위를 부여합니다. 이 우선순위는 항상 LeastRequestedPriority와 함께 사용해야 합니다.
{"name" : "BalancedResourceAllocation", "weight" : 1}NodePreferAvoidPodsPriority 는 복제 컨트롤러 이외의 컨트롤러에서 소유한 Pod를 무시합니다.
{"name" : "NodePreferAvoidPodsPriority", "weight" : 10000}NodeAffinityPriority는 노드 유사성 스케줄링 기본 설정에 따라 노드에 우선순위를 부여합니다.
{"name" : "NodeAffinityPriority", "weight" : 1}
TaintTolerationPriority는 Pod 에 대해 허용 불가 테인트 수가 적은 노드에 우선순위를 부여합니다. 허용 불가 테인트에는 주요 PreferNoSchedule이 있습니다.
{"name" : "TaintTolerationPriority", "weight" : 1}16.2.6.1.2. 기타 정적 우선순위
OpenShift Container Platform에서는 다음과 같은 우선순위도 지원합니다.
EqualPriority 는 우선순위 구성이 제공되지 않는 경우 모든 노드에 동일한 가중치를 부여합니다. 이 우선순위는 테스트 환경에만 사용하는 것이 좋습니다.
{"name" : "EqualPriority", "weight" : 1}MostRequestedPriority는 요청된 리소스가 가장 많은 노드에 우선순위를 부여합니다. 노드에 예약된 Pod에서 요청한 메모리와 CPU의 백분율을 계산하고 평균 용량 대비 요청 비율의 최댓값에 따라 우선순위를 부여합니다.
{"name" : "MostRequestedPriority", "weight" : 1}ImageLocalityPriority는 요청된 Pod 컨테이너의 이미지가 이미 있는 노드에 우선순위를 부여합니다.
{"name" : "ImageLocalityPriority", "weight" : 1}ServiceSpreadingPriority는 동일한 서비스에 속하는 Pod 수를 동일한 머신에 최소화하여 Pod를 확장합니다.
{"name" : "ServiceSpreadingPriority", "weight" : 1}16.2.6.2. 구성 가능한 우선순위
이러한 우선순위를 기본적으로 /etc/origin/master/scheduler.json 으로 스케줄러 구성에서 구성하여 우선순위 방식에 영향을 주는 라벨을 추가할 수 있습니다.
우선순위 함수의 유형은 사용하는 인수로 확인됩니다. 이러한 우선순위는 구성 가능하므로 사용자 정의 이름이 다른 경우 유형은 동일하지만 구성 매개변수는 다른 우선순위 여러 개를 결합할 수 있습니다.
이러한 우선순위 사용에 대한 자세한 내용은 스케줄러 정책 수정을 참조하십시오.
ServiceAntiAffinity 는 레이블을 사용하여 레이블 값에 따라 동일한 서비스에 속하는 Pod를 노드 그룹에서 잘 분배합니다. 지정된 라벨에 동일한 값이 있는 모든 노드에 동일한 점수를 부여합니다. Pod 밀도가 가장 낮은 그룹 내의 노드에 더 높은 점수를 부여합니다.
"priorities":[
{
"name":"<name>", 1
"weight" : 1 2
"argument":{
"serviceAntiAffinity":{
"label":[
"<label>" 3
]
}
}
}
]예를 들면 다음과 같습니다.
"name":"RackSpread", 1 "weight" : 1 2 "argument":{ "serviceAntiAffinity":{ "label": "rack" 3 } }
사용자 정의 라벨에 따라 ServiceAntiAffinity 를 사용하는 일부 상황에서는 Pod를 예상대로 분배하지 않습니다. 이 Red Hat 솔루션을 참조하십시오.
* labelPreference 매개변수는 지정된 라벨에 따라 우선순위를 부여합니다. 라벨이 노드에 있으면 해당 노드에 우선순위가 부여됩니다. 라벨이 지정되지 않은 경우 라벨이 없는 노드에 우선순위가 부여됩니다.
"priorities":[
{
"name":"<name>", 1
"weight" : 1, 2
"argument":{
"labelPreference":{
"label": "<label>", 3
"presence": true 4
}
}
}
]16.2.7. 사용 사례
OpenShift Container Platform 내에서 예약하는 중요 사용 사례 중 하나는 유연한 유사성 및 유사성 방지 정책을 지원하는 것입니다.
16.2.7.1. 인프라 토폴로지 수준
관리자는 노드(예: region=r1, 지정하여 인프라(노드)에 여러 토폴로지 수준을 정의할 수 있습니다.
zone=z1,rack=s1)에 라벨을
이러한 레이블 이름은 특별한 의미가 없으며 관리자는 인프라 수준(예: 도시/빌딩/방)의 이름을 자유롭게 지정할 수 있습니다. 또한 관리자는 인프라 토폴로지에 원하는 수의 수준을 정의할 수 있으며 일반적으로 세 가지 수준이 적합합니다(예: region → zones → racks). 관리자는 모든 조합에 유사성 및 유사성 방지 규칙을 지정할 수 있습니다.
16.2.7.2. 유사성
관리자는 임의의 토폴로지 수준 또는 여러 수준에도 유사성을 지정하도록 스케줄러를 구성할 수 있어야 합니다. 특정 수준의 유사성은 동일한 서비스에 속하는 모든 Pod가 동일한 수준에 속하는 노드에 예약됨을 나타냅니다. 이렇게 하면 관리자가 피어 Pod가 지리적으로 너무 멀리 떨어져 있지 않도록 할 수 있어 애플리케이션의 대기 시간 요구 사항이 처리됩니다. 동일한 유사성 그룹 내에서 Pod를 호스팅할 수 있는 노드가 없는 경우 Pod를 예약하지 않습니다.
Pod 예약 위치를 더 잘 제어해야 하는 경우 노드 유사성 및 Pod 유사성 사용을 참조하십시오. 관리자는 이러한 고급 예약 기능을 사용하여 Pod를 예약할 수 있는 노드를 지정하고 기타 Pod와 관련된 예약을 강제 적용하거나 거부할 수 있습니다.
16.2.7.3. 유사성 방지
관리자는 임의의 토폴로지 수준 또는 여러 수준에도 유사성 방지를 지정하도록 스케줄러를 구성할 수 있어야 합니다. 특정 수준의 유사성 방지(또는 '분배')는 동일한 서비스에 속하는 모든 Pod가 해당 수준에 속하는 노드에 분배되어 있음을 나타냅니다. 이 경우 고가용성을 위해 애플리케이션이 잘 분배됩니다. 스케줄러는 적용 가능한 모든 노드에서 가능한 한 균등하게 서비스 Pod의 균형을 맞추려고 합니다.
Pod 예약 위치를 더 잘 제어해야 하는 경우 노드 유사성 및 Pod 유사성 사용을 참조하십시오. 관리자는 이러한 고급 예약 기능을 사용하여 Pod를 예약할 수 있는 노드를 지정하고 기타 Pod와 관련된 예약을 강제 적용하거나 거부할 수 있습니다.
16.2.8. 정책 구성 샘플
아래 구성은 스케줄러 정책 파일을 통해 지정하는 경우 기본 스케줄러 구성을 지정합니다.
kind: "Policy" version: "v1" predicates: ... - name: "RegionZoneAffinity" 1 argument: serviceAffinity: 2 labels: 3 - "region" - "zone" priorities: ... - name: "RackSpread" 4 weight: 1 argument: serviceAntiAffinity: 5 label: "rack" 6
아래의 모든 샘플 구성에서 서술자 및 우선순위 함수 목록은 지정된 사용 사례와 관련된 항목만 포함하도록 잘립니다. 실제로 완료된/유의미한 스케줄러 정책에는 위에 나열된 기본 서술자 및 우선순위 전부는 아니더라도 대부분이 포함되어야 합니다.
다음 예제에서는 세 가지 토폴로지 수준, 즉 region(유사성) → zone(유사성) → rack(유사성 방지)을 정의합니다.
kind: "Policy"
version: "v1"
predicates:
...
- name: "RegionZoneAffinity"
argument:
serviceAffinity:
labels:
- "region"
- "zone"
priorities:
...
- name: "RackSpread"
weight: 1
argument:
serviceAntiAffinity:
label: "rack"다음 예제에서는 세 가지 토폴로지 수준, 즉 city(유사성) → building(유사성 방지) → room(유사성 방지)을 정의합니다.
kind: "Policy"
version: "v1"
predicates:
...
- name: "CityAffinity"
argument:
serviceAffinity:
labels:
- "city"
priorities:
...
- name: "BuildingSpread"
weight: 1
argument:
serviceAntiAffinity:
label: "building"
- name: "RoomSpread"
weight: 1
argument:
serviceAntiAffinity:
label: "room"다음 예제에서는 'region' 라벨이 정의된 노드만 사용하고 'zone' 라벨이 정의된 노드를 선호하는 정책을 정의합니다.
kind: "Policy"
version: "v1"
predicates:
...
- name: "RequireRegion"
argument:
labelsPresence:
labels:
- "region"
presence: true
priorities:
...
- name: "ZonePreferred"
weight: 1
argument:
labelPreference:
label: "zone"
presence: true다음 예제에서는 정적 및 구성 가능 서술자와 우선순위를 둘 다 결합합니다.
kind: "Policy"
version: "v1"
predicates:
...
- name: "RegionAffinity"
argument:
serviceAffinity:
labels:
- "region"
- name: "RequireRegion"
argument:
labelsPresence:
labels:
- "region"
presence: true
- name: "BuildingNodesAvoid"
argument:
labelsPresence:
labels:
- "building"
presence: false
- name: "PodFitsPorts"
- name: "MatchNodeSelector"
priorities:
...
- name: "ZoneSpread"
weight: 2
argument:
serviceAntiAffinity:
label: "zone"
- name: "ZonePreferred"
weight: 1
argument:
labelPreference:
label: "zone"
presence: true
- name: "ServiceSpreadingPriority"
weight: 116.3. 일정 변경
16.3.1. 개요
예약 취소는 특정 정책에 따라 Pod를 제거하여 보다 적절한 노드에 Pod를 다시 예약할 수 있도록 합니다.
클러스터는 다양한 이유로 이미 실행 중인 Pod를 스케줄링하고 다시 스케줄링할 수 있습니다.
- 노드가 활용도가 낮거나 과도하게 사용됨.
- 오염 또는 라벨과 같은 Pod 및 노드 선호도 요구 사항이 변경되었으며, 원래 일정 결정이 더 이상 특정 노드에 적합하지 않습니다.
- 노드 장애로 Pod를 이동해야 합니다.
- 새 노드가 클러스터에 추가되었습니다.
Descheduler는 제거된 Pod의 교체를 예약하지 않습니다. 제거된 Pod에 대해 스케줄러 에서 이 작업을 자동으로 수행합니다.
완전히 작동하는 클러스터에 중요하지만 마스터가 아닌 일반 클러스터 노드에서 실행되는 DNS와 같은 여러 핵심 구성 요소가 있다는 점에 유의해야 합니다. 구성 요소가 제거되면 클러스터가 제대로 작동하지 않을 수 있습니다. Descheduler가 이러한 Pod를 제거하지 않도록 하려면 scheduler.alpha.kubernetes.io/critical-pod 주석을 Pod 사양에 추가하여 Pod를 중요한 Pod로 구성합니다.
Descheduler 작업은 중요한 Pod로 간주되어 Descheduler Pod가 Descheduler Pod가 제거되지 않도록 합니다.
Descheduler 작업 및 Descheduler Pod는 기본적으로 생성된 kube-system 프로젝트에 생성됩니다.
Descheduler는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원하지 않으며, 기능상 완전하지 않을 수 있어 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.
Descheduler는 다음 유형의 Pod를 제거하지 않습니다.
-
중요한 Pod(
scheduler.alpha.kubernetes.io/critical-pod주석 포함). - Pod(독립 실행형 모드에서정적 및 미러 Pod 또는 Pod)는 복제 세트, 복제 컨트롤러, 배포 또는 작업(이러한 Pod가 재생성되지 않기 때문에)과 연결되어 있지 않습니다.
- DaemonSet과 연결된 Pod.
- 로컬 스토리지가 있는 pod
- PDB(Pod Disruption Budget)가 적용되는 Pod 는 PDB를 위반하는 경우 제거되지 않습니다. Pod는 제거 정책을 사용하여 제거할 수 있습니다.
Burstable 및 Guaranteed Pod보다 최상의 Pod가 제거됩니다.
다음 섹션에서는 Descheduler를 구성하고 실행하는 프로세스를 설명합니다.
- 역할을 만듭니다.
- 정책 파일에서 일정 변경 동작을 정의합니다.
- 정책 파일을 참조할 구성 맵을 생성합니다.
- Descheduler 작업 구성을 생성합니다.
- Descheduler 작업을 실행합니다.
16.3.2. 클러스터 역할 생성
Descheduler가 Pod에서 작동하는 데 필요한 권한을 구성하려면 다음을 수행합니다.
다음 규칙을 사용하여 클러스터 역할을 생성합니다.
kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: descheduler-cluster-role rules: - apiGroups: [""] resources: ["nodes"] verbs: ["get", "watch", "list"] 1 - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list", "delete"] 2 - apiGroups: [""] resources: ["pods/eviction"] 3 verbs: ["create"]
작업을 실행하는 데 사용할 서비스 계정을 생성합니다.
# oc create sa <file-name>.yaml -n kube-system
예를 들면 다음과 같습니다.
# oc create sa descheduler-sa.yaml -n kube-system
클러스터 역할을 서비스 계정에 바인딩합니다.
# oc create clusterrolebinding descheduler-cluster-role-binding \ --clusterrole=<cluster-role-name> \ --serviceaccount=kube-system:<service-account-name>예를 들면 다음과 같습니다.
# oc create clusterrolebinding descheduler-cluster-role-binding \ --clusterrole=descheduler-cluster-role \ --serviceaccount=kube-system:descheduler-sa
16.3.3. Descheduler 정책 생성
YAML 정책 파일의 전략에 의해 정의된 규칙을 위반하는 노드에서 Pod를 제거하도록 Descheduler를 구성할 수 있습니다. 그런 다음 특정 계획 전략을 적용하기 위해 해당 구성 맵을 사용하여 정책 파일의 경로와 작업 사양을 포함하는 구성 맵을 생성합니다.
Descheduler 정책 파일 샘플
apiVersion: "descheduler/v1alpha1"
kind: "DeschedulerPolicy"
strategies:
"RemoveDuplicates":
enabled: false
"LowNodeUtilization":
enabled: true
params:
nodeResourceUtilizationThresholds:
thresholds:
"cpu" : 20
"memory": 20
"pods": 20
targetThresholds:
"cpu" : 50
"memory": 50
"pods": 50
numberOfNodes: 3
"RemovePodsViolatingInterPodAntiAffinity":
enabled: true
"RemovePodsViolatingNodeAffinity":
enabled: true
params:
nodeAffinityType:
- "requiredDuringSchedulingIgnoredDuringExecution"
Descheduler와 함께 사용할 수 있는 세 가지 기본 전략이 있습니다.
필요에 따라 전략과 관련된 매개변수를 구성하고 비활성화할 수 있습니다.
16.3.3.1. 중복 Pod 제거
RemoveDuplicates 전략을 사용하면 동일한 노드에서 실행 중인 복제본 세트,복제 컨트롤러,배포 구성 또는 작업과 연결된 Pod가 하나만 있는지 확인합니다. 이러한 오브젝트와 연결된 다른 Pod가 있는 경우 중복된 Pod가 제거됩니다. 중복된 Pod를 제거하면 클러스터에 Pod가 분산됩니다.
예를 들어 노드가 실패하고 노드의 Pod가 다른 노드로 이동되어 동일한 노드에서 실행 중인 Replica Set 또는 Replication 컨트롤러와 연결된 두 개 이상의 Pod가 있는 경우 중복 Pod가 발생할 수 있습니다. 오류가 발생한 노드가 다시 준비되면 이 전략을 사용하여 중복된 포드를 제거할 수 있습니다.
이 전략과 연결된 매개 변수가 없습니다.
apiVersion: "descheduler/v1alpha1"
kind: "DeschedulerPolicy"
strategies:
"RemoveDuplicates":
enabled: false 1- 1
- 이 정책을 사용하려면 이 값을
enabled: true로 설정합니다. 이 정책을 비활성화하려면false로설정합니다.
16.3.3.2. 낮은 노드 사용률 정책 생성
LowNodeUtilization 전략은 활용도가 낮은 노드를 찾아 이러한 활용도가 낮은 노드에서 제거된 Pod를 예약할 수 있도록 다른 노드에서 Pod를 제거합니다.
노드 활용도가 낮은 경우 구성 가능한 임계값, 임계값, CPU, 메모리 또는 Pod 수(백분율에 따라)가 결정됩니다. 노드 사용량이 이러한 임계값이 모두 낮은 경우 노드가 활용도가 낮은 것으로 간주되고 Descheduler가 다른 노드에서 Pod를 제거할 수 있습니다. 컴퓨팅 노드 리소스 사용률은 포드 요청 리소스 요구 사항을 고려합니다.
높은 임계값인 targetThresholds 는 적절하게 사용되는 노드를 결정하는 데 사용됩니다. 임계값 과 targetThresholds 사이의 노드는 제대로 사용되는 것으로 간주되며 제거로 간주되지 않습니다. CPU, 메모리, Pod 수(% 기반)에 대해 targetThresholds 를 구성할 수 있습니다.
이러한 임계값은 클러스터 요구 사항에 맞게 조정할 수 있습니다.
numberOfNodes 매개변수는 활용도가 낮은 노드 수가 구성된 값보다 큰 경우에만 전략을 활성화하도록 구성할 수 있습니다. 몇 개의 노드가 활용도가 낮은 경우 이 매개 변수를 설정합니다. 기본적으로 numberOfNodes 는 0으로 설정됩니다.
apiVersion: "descheduler/v1alpha1"
kind: "DeschedulerPolicy"
strategies:
"LowNodeUtilization":
enabled: true
params:
nodeResourceUtilizationThresholds:
thresholds: 1
"cpu" : 20
"memory": 20
"pods": 20
targetThresholds: 2
"cpu" : 50
"memory": 50
"pods": 50
numberOfNodes: 3 316.3.3.3. Pod 간 유사성 위반 제거
RemovePodsViolatingInterPodAntiAffinity 전략은 Pod 간 유사성 방지를 위반하는 Pod가 노드에서 제거되도록 합니다.
예를 들어 Node1 에는 podA,podB 및 podC 가 있습니다. podB 및 podC 에는 Pod A 와 동일한 노드에서 실행되지 않는 유사성 방지 규칙이 있습니다.podA 는 해당 노드에서 podB 및 pod C 를 실행할 수 있도록 노드에서 제거됩니다. 이 상황은 podB 및 pod C 가 노드에서 실행될 때 유사성 방지 규칙이 적용된 경우 발생할 수 있습니다.
apiVersion: "descheduler/v1alpha1"
kind: "DeschedulerPolicy"
strategies:
"RemovePodsViolatingInterPodAntiAffinity": 1
enabled: true- 1
- 이 정책을 사용하려면 이 값을
enabled: true로 설정합니다. 이 정책을 비활성화하려면false로설정합니다.
16.3.3.4. Pod Volating Node Affinity 제거
RemovePodsViolatingNodeAffinity 전략을 사용하면 노드 유사성을 위반하는 모든 Pod가 노드에서 제거됩니다. 노드가 더 이상 Pod의 선호도 규칙을 충족하지 않는 경우 이러한 상황이 발생할 수 있습니다. 유사성 규칙을 충족하는 다른 노드를 사용할 수 있는 경우 Pod가 제거됩니다.
예를 들어 노드가 예약 시 requiredDuringSchedulingIgnoredDuringExecution 노드 유사성 규칙을 만족하기 때문에 podA 는 nodeA에 예약됩니다. nodeA 가 규칙을 충족하는 것을 중지하고 노드 선호도 규칙을 충족하는 다른 노드가 있는 경우 전략은 node A에서 pod A 를 제거하고 다른 노드로 이동합니다.
apiVersion: "descheduler/v1alpha1" kind: "DeschedulerPolicy" strategies: "RemovePodsViolatingNodeAffinity": 1 enabled: true params: nodeAffinityType: - "requiredDuringSchedulingIgnoredDuringExecution" 2
16.3.4. Descheduler 정책에 대한 구성 맵 생성
Descheduler 작업에서 참조할 수 있도록 kube-system 프로젝트에서 Descheduler 정책 파일에 대한 구성 맵을 생성합니다.
# oc create configmap descheduler-policy-configmap \
-n kube-system --from-file=<path-to-policy-dir/policy.yaml> 1- 1
- 생성한 정책 파일의 경로입니다.
16.3.5. 작업 사양 만들기
Descheduler에 대한 작업 구성을 생성합니다.
apiVersion: batch/v1
kind: Job
metadata:
name: descheduler-job
namespace: kube-system
spec:
parallelism: 1
completions: 1
template:
metadata:
name: descheduler-pod 1
annotations:
scheduler.alpha.kubernetes.io/critical-pod: "true" 2
spec:
containers:
- name: descheduler
image: registry.access.redhat.com/openshift3/ose-descheduler
volumeMounts: 3
- mountPath: /policy-dir
name: policy-volume
command:
- "/bin/sh"
- "-ec"
- |
/bin/descheduler --policy-config-file /policy-dir/policy.yaml 4
restartPolicy: "Never"
serviceAccountName: descheduler-sa 5
volumes:
- name: policy-volume
configMap:
name: descheduler-policy-configmap정책 파일은 구성 맵에서 볼륨으로 마운트됩니다.
16.3.6. Descheduler 실행
Pod에서 Descheduler를 작업으로 실행하려면 다음을 수행합니다.
# oc create -f <file-name>.yaml
예를 들면 다음과 같습니다.
# oc create -f descheduler-job.yaml
16.4. 사용자 정의 스케줄링
16.4.1. 개요
기본 스케줄러와 함께 여러 사용자 정의 스케줄러를 실행하고 각 Pod에 사용할 스케줄러를 구성할 수 있습니다.
특정 스케줄러를 사용하여 지정된 Pod를 예약하려면 해당 Pod 사양에서 스케줄러의 이름을 지정합니다.
스케줄러 바이너리를 생성하는 방법에 대한 정보는 이 문서의 범위를 벗어납니다. 예를 들어 Kubernetes 문서 의 다중 스케줄러 구성을 참조하십시오.
16.4.2. 스케줄러 패키지
클러스터에 사용자 지정 스케줄러를 포함하는 일반적인 프로세스에는 배포에 해당 이미지를 포함하여 이미지를 생성해야 합니다.
- 스케줄러 바이너리를 컨테이너 이미지로 패키징합니다.
스케줄러 바이너리를 포함하는 컨테이너 이미지를 생성합니다.
예를 들면 다음과 같습니다.
FROM <source-image> ADD <path-to-binary> /usr/local/bin/kube-scheduler
파일을 Dockerfile로 저장하고 이미지를 빌드한 다음 레지스트리에 내보냅니다.
예를 들면 다음과 같습니다.
docker build -t <dest_env_registry_ip>:<port>/<namespace>/<image name>:<tag> docker push <dest_env_registry_ip>:<port>/<namespace>/<image name>:<tag>
OpenShift Container Platform에서 사용자 정의 스케줄러에 대한 배포를 생성합니다.
apiVersion: v1 kind: ServiceAccount metadata: name: custom-scheduler namespace: kube-system --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: custom-scheduler subjects: - kind: ServiceAccount name: custom-scheduler namespace: kube-system roleRef: kind: ClusterRole name: system:kube-scheduler apiGroup: rbac.authorization.k8s.io --- apiVersion: apps/v1 kind: Deployment metadata: name: custom-scheduler namespace: kube-system labels: app: custom-scheduler spec: replicas: 1 selector: matchLabels: app: custom-scheduler template: metadata: labels: app: custom-scheduler spec: serviceAccount: custom-scheduler containers: - name: custom-scheduler image: "<namespace>/<image name>:<tag>" 1 imagePullPolicy: Always- 1
- 사용자 정의 스케줄러에 대해 생성한 컨테이너 이미지를 지정합니다.
16.4.3. 사용자 정의 스케줄러를 사용하여 Pod 배포
사용자 정의 스케줄러가 클러스터에 배포된 후 기본 스케줄러 대신 해당 스케줄러를 사용하도록 Pod를 구성할 수 있습니다.
Pod 구성을 생성하거나 편집하고 scheduler
Name매개변수를 사용하여 스케줄러 이름을 지정합니다. 이름은 고유해야 합니다.스케줄러를 사용한 샘플 Pod 사양
apiVersion: v1 kind: Pod metadata: name: custom-scheduler-example labels: name: custom-scheduler-example spec: schedulerName: custom-scheduler 1 containers: - name: pod-with-second-annotation-container image: docker.io/ocpqe/hello-pod- 1
- 사용할 스케줄러의 이름입니다. 스케줄러 이름을 제공하지 않으면 기본 스케줄러를 사용하여 Pod가 자동으로 예약됩니다.
다음 명령을 실행하여 Pod를 생성합니다.
$ oc create -f <file-name>.yaml
예를 들면 다음과 같습니다.
$ oc create -f custom-scheduler-example.yaml
다음 명령을 실행하여 Pod가 생성되었는지 확인합니다.
$ oc get pod <file-name>
예를 들면 다음과 같습니다.
$ oc get pod custom-scheduler-example NAME READY STATUS RESTARTS AGE custom-scheduler-example 1/1 Running 0 4m
다음 명령을 실행하여 사용자 정의 스케줄러에서 Pod를 예약했는지 확인합니다.
$ oc describe pod <pod-name>
예를 들면 다음과 같습니다.
$ oc describe pod custom-scheduler-example
다음 잘린 출력에 표시된 대로 스케줄러의 이름이 나열됩니다.
... Events: FirstSeen LastSeen Count From SubObjectPath Type Reason Message --------- -------- ----- ---- ------------- -------- ------ ------- 1m 1m 1 custom-scheduler Normal Scheduled Successfully assigned custom-scheduler to <$node1> ...
16.5. Pod 배치 제어
16.5.1. 개요
클러스터 관리자는 Pod를 예약할 때 특정 역할을 가진 애플리케이션 개발자가 특정 노드를 대상으로 하지 못하도록 정책을 설정할 수 있습니다.
Pod 노드 제한 허용 컨트롤러는 라벨을 사용하여 지정된 노드 호스트에만 Pod를 배포하고 특정 역할이 없는 사용자가 nodeSelector 필드를 사용하여 Pod를 예약하지 않도록 합니다.
16.5.2. 노드 이름을 사용하여 구성 Pod 배치
Pod 노드 제약 조건 승인 컨트롤러를 사용하여 Pod가 레이블을 할당하고 Pod 구성의 node Name 설정에서 이를 지정하여 지정된 노드 호스트에만 배포되도록 합니다.
원하는 라벨(자세한 내용은 노드의 라벨 업데이트 참조 ) 및 환경에 설정된 노드 선택기 가 있는지 확인합니다.
예를 들어 Pod 구성에 원하는 라벨을 나타내는
nodeName값이 포함되어 있는지 확인합니다.apiVersion: v1 kind: Pod spec: nodeName: <value>
마스터 구성 파일 /etc/origin/master/master-config.yaml 을 수정하여
admissionConfig섹션에PodNodeConstraints를 추가합니다.... admissionConfig: pluginConfig: PodNodeConstraints: configuration: apiversion: v1 kind: PodNodeConstraintsConfig ...변경 사항을 적용하려면 OpenShift Container Platform을 다시 시작하십시오.
# master-restart api # master-restart controllers
16.5.3. 노드 선택기를 사용하여 구성 Pod 배치
노드 선택기를 사용하면 Pod가 특정 라벨이 있는 노드에만 배치되도록 할 수 있습니다. 클러스터 관리자는 Pod 노드 제약 조건 승인 컨트롤러를 사용하여 Pod /바인딩 권한이 없는 사용자가 노드 선택기를 사용하여 Pod 를 예약하지 못하도록 하는 정책을 설정할 수 있습니다.
마스터 구성 파일의 nodeSelectorLabelBlacklist 필드를 사용하면 특정 역할이 Pod 구성의 nodeSelector 필드에서 지정할 수 있는 라벨을 제어할 수 있습니다. pod/binding 권한 역할이 있는 사용자, 서비스 계정 및 그룹은 노드 선택기를 지정할 수 있습니다. pod/binding 권한이 없는 사용자는 nodeSelector LabelBlacklist에 표시되는 모든 라벨에 대해 를 설정할 수 없습니다.
nodeSelector
예를 들어 OpenShift Container Platform 클러스터는 두 지역에 분산된 데이터 센터 5개로 구성될 수 있습니다. 미국, us-east, us-central, us - west 및 아시아 태평양 지역(APAC), apac-east 및 apac-west 에서. 각 지역에 있는 각 노드는 그에 따라 레이블이 지정됩니다. 예를 들어 region: us-east 입니다.
라벨 할당에 대한 자세한 내용은 노드의 라벨 업데이트를 참조하십시오.
클러스터 관리자는 애플리케이션 개발자가 지리적 위치에 가장 가까운 노드에만 포드를 배포해야 하는 인프라를 생성할 수 있습니다. 미국 데이터 센터를 슈퍼 지역으로 그룹화하는 노드 선택기를 생성할 수 있습니다. us 및 APAC 데이터 센터를 로 그룹화할 수 있습니다.
superregion: apac
데이터 센터당 리소스를 로드하도록 원하는 지역을 마스터 구성의 nodeSelectorLabelBlacklist 섹션에 추가할 수 있습니다. 그런 다음, 미국 내에 있는 개발자가 포드를 생성할 때마다 수퍼 영역인 us 레이블이 있는 지역 중 하나에 있는 노드에 배포됩니다. 개발자가 포드의 특정 리전을 대상으로 시도하는 경우(예 : region: us-east) 오류가 발생합니다. 포드에서 노드 선택기 없이 다시 시도하면 superregion: us가 프로젝트 수준 노드 선택기로 설정되어 있고 region : us 배포할 수 있습니다 -east의 레이블이 지정된 노드에 superregion: us라는 레이블이 지정되므로 여전히 대상 리전에.
원하는 라벨(자세한 내용은 노드의 라벨 업데이트 참조 ) 및 환경에 설정된 노드 선택기 가 있는지 확인합니다.
예를 들어 Pod 구성에 원하는 라벨을 나타내는
nodeSelector값이 포함되어 있는지 확인합니다.apiVersion: v1 kind: Pod spec: nodeSelector: <key>: <value> ...마스터 구성 파일 /etc/origin/master/master-config.yaml 을 수정하여 pod 배치를 거부할 노드 호스트에 할당된 라벨을 사용하여
nodeSelectorLabelBlacklist를admissionConfig섹션에 추가합니다.... admissionConfig: pluginConfig: PodNodeConstraints: configuration: apiversion: v1 kind: PodNodeConstraintsConfig nodeSelectorLabelBlacklist: - kubernetes.io/hostname - <label> ...변경 사항을 적용하려면 OpenShift Container Platform을 다시 시작하십시오.
# master-restart api # master-restart controllers
16.5.4. 프로젝트에 Pod 배치 제어
Pod 노드 선택기 승인 컨트롤러를 사용하면 특정 프로젝트와 연결된 노드에 Pod를 강제 적용하고 해당 노드에서 Pod가 예약되지 않도록 할 수 있습니다.
Pod 노드 선택기 승인 컨트롤러는 Pod 에 지정된 프로젝트 및 노드 선택기의 라벨을 사용하여 Pod를 배치할 수 있는 위치를 결정합니다. 포드의 노드 선택기가 프로젝트의 라벨과 일치하는 경우에만 프로젝트와 연결된 노드에 새 포드가 배치됩니다.
Pod가 생성되면 노드 선택기가 Pod에 병합되므로 Pod 사양에 원래 사양에 포함된 라벨과 노드 선택기의 새 라벨이 포함됩니다. 아래 예제에서는 병합 효과를 보여줍니다.
Pod 노드 선택기 승인 컨트롤러를 사용하면 특정 프로젝트에서 허용되는 라벨 목록을 생성할 수도 있습니다. 이 목록은 개발자가 프로젝트에서 사용할 수 있는 레이블을 알 수 있도록 하는 허용 목록 역할을 하며 관리자에게 클러스터에서 레이블 지정을 더욱 효과적으로 제어할 수 있도록 합니다.
Pod 노드 선택기 승인 컨트롤러를 활성화하려면 다음을 수행합니다.
다음 방법 중 하나를 사용하여 Pod 노드 선택기 승인 컨트롤러 및 허용 목록을 구성합니다.
마스터 구성 파일 /etc/origin/master/master-config.yaml에 다음을 추가합니다.
admissionConfig: pluginConfig: PodNodeSelector: configuration: podNodeSelectorPluginConfig: 1 clusterDefaultNodeSelector: "k3=v3" 2 ns1: region=west,env=test,infra=fedora,os=fedora 3승인 컨트롤러 정보가 포함된 파일을 생성합니다.
podNodeSelectorPluginConfig: clusterDefaultNodeSelector: "k3=v3" ns1: region=west,env=test,infra=fedora,os=fedora그런 다음 마스터 구성에서 파일을 참조합니다.
admissionConfig: pluginConfig: PodNodeSelector: location: <path-to-file>참고프로젝트에 노드 선택기가 지정되지 않은 경우 기본 노드 선택기(cluster
DefaultNodeSelector)를 사용하여 해당 프로젝트와 연결된 Pod가병합됩니다.
변경 사항을 적용하려면 OpenShift Container Platform을 다시 시작하십시오.
# master-restart api # master-restart controllers
scheduler.alpha.kubernetes.io/node-selector주석 및 라벨이 포함된 프로젝트 오브젝트를 생성합니다.apiVersion: v1 kind: Namespace metadata name: ns1 annotations: scheduler.alpha.kubernetes.io/node-selector: env=test,infra=fedora 1 spec: {}, status: {}- 1
- 프로젝트 레이블 선택기와 일치하도록 라벨을 생성하는 주석입니다. 여기서 키/값 레이블은
env=test및infra=fedora입니다.
참고Pod 노드 선택기 승인 컨트롤러를 사용하는 경우 프로젝트 노드 선택기를 설정하는 데
oc adm new-project <project-name>을 사용할 수 없습니다.oc adm new-project myproject --node-selector='type=user-node,region=<region>명령을 사용하여 프로젝트 노드 선택기를 설정하는 경우 OpenShift Container Platform은 NodeEnv 승인 플러그인에서 처리하는openshift.io/node-selector주석을 설정합니다.노드 선택기에 라벨을 포함하는 Pod 사양을 생성합니다. 예를 들면 다음과 같습니다.
apiVersion: v1 kind: Pod metadata: labels: name: hello-pod name: hello-pod spec: containers: - image: "docker.io/ocpqe/hello-pod:latest" imagePullPolicy: IfNotPresent name: hello-pod ports: - containerPort: 8080 protocol: TCP resources: {} securityContext: capabilities: {} privileged: false terminationMessagePath: /dev/termination-log dnsPolicy: ClusterFirst restartPolicy: Always nodeSelector: 1 env: test os: fedora serviceAccount: "" status: {}- 1
- 프로젝트 레이블과 일치하는 노드 선택기입니다.
프로젝트에서 Pod를 생성합니다.
# oc create -f pod.yaml --namespace=ns1
노드 선택기 레이블이 Pod 구성에 추가되었는지 확인합니다.
get pod pod1 --namespace=ns1 -o json nodeSelector": { "env": "test", "infra": "fedora", "os": "fedora" }노드 선택기는 Pod에 병합되고 Pod를 적절한 프로젝트에 예약해야 합니다.
프로젝트 사양에 지정되지 않은 라벨을 사용하여 Pod를 생성하는 경우 Pod가 노드에 예약되지 않습니다.
예를 들어 여기서 레이블 env: production 은 프로젝트 사양에 없습니다.
nodeSelector: "env: production" "infra": "fedora", "os": "fedora"
노드 선택기 주석이 없는 노드가 있는 경우 해당 노드에 Pod가 예약됩니다.
16.6. Pod 우선 순위 및 선점
16.6.1. Pod 우선순위 및 선점 적용
클러스터에서 Pod 우선순위 및 선점을 활성화할 수 있습니다. Pod 우선 순위는 다른 Pod를 기준으로 Pod의 중요성을 나타내고 해당 우선 순위에 따라 Pod를 큐에 지정합니다. Pod 선점을 사용하면 클러스터에서 우선순위가 낮은 Pod를 제거하거나 선점할 수 있으므로 적절한 노드 Pod 우선순위에 사용 가능한 공간이 없는 경우 우선순위가 높은 Pod를 예약할 수 있습니다. 또한 노드의 Pod 예약 순서에 영향을 미칩니다.
우선순위 및 선점 기능을 사용하려면 Pod의 상대적 가중치를 정의하는 우선순위 클래스를 생성합니다. 그런 다음 Pod 사양의 우선순위 클래스를 참조하여 예약에 해당 값을 적용합니다.
선점은 스케줄러 구성 파일의 disablePreemption 매개변수로 제어되며 기본적으로 false 로 설정됩니다.
16.6.2. Pod 우선순위 정보
Pod 우선 순위 및 선점 기능이 활성화되면 스케줄러는 보류 중인 Pod를 우선 순위에 따라 주문하고 보류 중인 Pod는 예약 큐에서 우선 순위가 낮은 다른 보류 중인 Pod보다 먼저 배치됩니다. 그 결과 예약 요구 사항이 충족되는 경우 우선순위가 높은 Pod가 우선순위가 낮은 Pod보다 더 빨리 예약될 수 있습니다. Pod를 예약할 수 없는 경우에는 스케줄러에서 우선순위가 낮은 다른 Pod를 계속 예약합니다.
16.6.2.1. Pod 우선순위 클래스
네임스페이스가 지정되지 않은 오브젝트로서 이름에서 우선순위 정수 값으로의 매핑을 정의하는 우선순위 클래스를 Pod에 할당할 수 있습니다. 값이 클수록 우선순위가 높습니다.
우선순위 클래스 오브젝트에는 1000000000(10억)보다 작거나 같은 32비트 정수 값을 사용할 수 있습니다. 선점하거나 제거해서는 안 되는 중요한 Pod의 경우 10억보다 큰 숫자를 예약합니다. 기본적으로 OpenShift Container Platform에는 중요한 시스템 Pod의 예약을 보장하기 위해 우선순위 클래스가 2개 예약되어 있습니다.
- system-node-critical - 이 우선순위 클래스의 값은 2000001000이며 노드에서 제거해서는 안 되는 모든 Pod에 사용됩니다. 이 우선순위 클래스가 있는 Pod의 예로는 sdn-ovs, sdn 등이 있습니다.
-
system-cluster-critical - 이 우선순위 클래스의 값은 2000000000(10억)이며 클러스터에 중요한 Pod와 함께 사용됩니다. 이 우선순위 클래스가 있는 Pod는 특정 상황에서 노드에서 제거할 수 있습니다. 예를 들어
system-node-critical우선순위 클래스를 사용하여 구성한 Pod가 우선할 수 있습니다. 그러나 이 우선순위 클래스는 예약을 보장합니다. 이 우선순위 클래스를 사용할 수 있는 Pod의 예로는 fluentd, Descheduler와 같은 추가 기능 구성 요소 등이 있습니다.
기존 클러스터를 업그레이드하는 경우 기존 Pod의 우선순위는 사실상 0입니다. 그러나 scheduler.alpha.kubernetes.io/critical-pod 주석이 있는 기존 Pod는 자동으로 system-cluster-critical 클래스로 변환됩니다.
16.6.2.2. Pod 우선순위 이름
우선순위 클래스가 하나 이상 있으면 Pod 사양에서 우선순위 클래스 이름을 지정하는 Pod를 생성할 수 있습니다. 우선순위 승인 컨트롤러는 우선순위 클래스 이름 필드를 사용하여 정수 값으로 된 우선순위를 채웁니다. 이름이 지정된 우선순위 클래스가 없는 경우 Pod가 거부됩니다.
다음 YAML은 이전 예제에서 생성된 우선 순위 클래스를 사용하는 포드 구성의 예입니다. 우선순위 승인 컨트롤러는 사양을 확인하고 Pod의 우선 순위를 1000000으로 확인합니다.
16.6.3. Pod 선점 정보
개발자가 Pod를 생성하면 Pod가 큐로 들어갑니다. Pod 우선 순위 및 선점 기능이 활성화되면 스케줄러는 대기열에서 Pod를 선택하고 노드에서 Pod를 예약하려고 합니다. 스케줄러가 노드에서 Pod의 지정된 요구 사항을 모두 충족하는 적절한 공간을 찾을 수 없는 경우 보류 중인 Pod에 대한 선점 논리가 트리거됩니다.
스케줄러가 노드에서 하나 이상의 Pod를 선점하면 우선순위가 높은 Pod 사양의 nominatedNodeName 필드가 nodename 필드와 함께 노드의 이름으로 설정됩니다. 스케줄러는 nominatedNodeName 필드를 사용하여 Pod용으로 예약된 리소스를 계속 추적하고 클러스터의 선점에 대한 정보도 사용자에게 제공합니다.
스케줄러에서 우선순위가 낮은 Pod를 선점한 후에는 Pod의 정상 종료 기간을 따릅니다. 스케줄러에서 우선순위가 낮은 Pod가 종료되기를 기다리는 동안 다른 노드를 사용할 수 있게 되는 경우 스케줄러는 해당 노드에서 우선순위가 더 높은 Pod를 예약할 수 있습니다. 결과적으로 Pod 사양의 nominatedNodeName 필드 및 nodeName 필드가 다를 수 있습니다.
또한 스케줄러가 노드의 Pod를 선점하고 종료되기를 기다리고 있는 상태에서 보류 중인 Pod보다 우선순위가 높은 Pod를 예약해야 하는 경우, 스케줄러는 우선순위가 더 높은 Pod를 대신 예약할 수 있습니다. 이러한 경우 스케줄러는 보류 중인 Pod의 nominatedNodeName을 지워 해당 Pod를 다른 노드에 사용할 수 있도록 합니다.
선점을 수행해도 우선순위가 낮은 Pod가 노드에서 모두 제거되는 것은 아닙니다. 스케줄러는 우선순위가 낮은 Pod의 일부를 제거하여 보류 중인 Pod를 예약할 수 있습니다.
스케줄러는 노드에서 보류 중인 Pod를 예약할 수 있는 경우에만 해당 노드에서 Pod 선점을 고려합니다.
16.6.3.1. Pod 선점 및 기타 스케줄러 설정
Pod 우선순위 및 선점 기능을 활성화하는 경우 다른 스케줄러 설정을 고려하십시오.
- Pod 우선순위 및 Pod 중단 예산
- Pod 중단 예산은 동시에 작동해야 하는 최소 복제본 수 또는 백분율을 지정합니다. Pod 중단 예산을 지정하면 Pod를 최적의 노력 수준에서 선점할 때 OpenShift Container Platform에서 해당 예산을 준수합니다. 스케줄러는 Pod 중단 예산을 위반하지 않고 Pod를 선점하려고 합니다. 이러한 Pod를 찾을 수 없는 경우 Pod 중단 예산 요구 사항과 관계없이 우선순위가 낮은 Pod를 선점할 수 있습니다.
- Pod 우선순위 및 Pod 유사성
- Pod 유사성을 위해서는 동일한 라벨이 있는 다른 Pod와 같은 노드에서 새 Pod를 예약해야 합니다.
노드에서 우선순위가 낮은 하나 이상의 Pod와 보류 중인 Pod에 Pod 간 유사성이 있는 경우 스케줄러는 선호도 요구 사항을 위반하지 않고 우선순위가 낮은 Pod를 선점할 수 없습니다. 이 경우 스케줄러는 보류 중인 Pod를 예약할 다른 노드를 찾습니다. 그러나 스케줄러에서 적절한 노드를 찾을 수 있다는 보장이 없고 보류 중인 Pod가 예약되지 않을 수 있습니다.
이러한 상황을 방지하려면 우선순위가 같은 Pod를 사용하여 Pod 유사성을 신중하게 구성합니다.
16.6.3.2. 선점된 Pod의 정상 종료
Pod를 선점할 때 스케줄러는 Pod의 정상 종료 기간이 만료될 때까지 대기하여 Pod가 작동을 완료하고 종료할 수 있습니다. 기간이 지난 후에도 Pod가 종료되지 않으면 스케줄러에서 Pod를 종료합니다. 이러한 정상 종료 기간으로 인해 스케줄러에서 Pod를 선점하는 시점과 노드에서 보류 중인 Pod를 예약할 수 있는 시간 사이에 시차가 발생합니다.
이 간격을 최소화하려면 우선순위가 낮은 Pod의 정상 종료 기간을 짧게 구성하십시오.
16.6.4. Pod 우선순위 예제 시나리오
Pod 우선순위 및 선점은 예약하기 위해 Pod에 우선순위를 할당합니다. 스케줄러는 우선순위가 높은 Pod를 예약하기 위해 우선순위가 낮은 Pod를 선점(evict)합니다.
- 일반적인 선점 시나리오
포드 P 는 보류 중인 포드입니다.
- 스케줄러는 하나 이상의 Pod를 제거하면 해당 노드에서 Pod P 를 예약할 수 있는 노드 N 을 찾습니다.
- 스케줄러는 우선순위가 낮은 Pod를 Node N 에서 삭제하고 노드의 Pod P 를 예약합니다.
-
Pod P 의
nominatedNodeName필드가 Node N 의 이름으로 설정됩니다.
Pod P 가 지정된 노드에 반드시 예약되어 있지 않습니다.
- 선점 및 종료 기간
선점된 Pod의 종료 기간은 길어집니다.
- 스케줄러는 노드 N 에서 우선순위가 낮은 Pod를 선점합니다.
- 스케줄러는 Pod가 정상적으로 종료될 때까지 기다립니다.
- 다른 스케줄링상의 이유로 노드 M 을 사용할 수 있게 됩니다.
- 그런 다음 스케줄러는 노드 M 에서 Pod P 를 예약할 수 있습니다.
16.6.5. 우선순위 및 선점 구성
우선순위 클래스 오브젝트를 생성하고 Pod 사양에서 priority ClassName을 사용하여 Pod를 우선순위에 연결하여 우선순위 및 선점을 적용합니다.
우선순위 클래스 오브젝트 샘플
apiVersion: scheduling.k8s.io/v1beta1 kind: PriorityClass metadata: name: high-priority 1 value: 1000000 2 globalDefault: false 3 description: "This priority class should be used for XYZ service pods only." 4
- 1
- 우선순위 클래스 오브젝트의 이름입니다.
- 2
- 오브젝트의 우선순위 값입니다.
- 3
- 우선순위 클래스 이름이 지정되지 않은 Pod에 이 우선순위 클래스를 사용해야 하는지의 여부를 나타내는 선택적 필드입니다. 이 필드는 기본적으로
false입니다.globalDefault가true로 설정된 하나의 우선순위 클래스만 클러스터에 존재할 수 있습니다.globalDefault:true가 설정된 우선순위 클래스가 없는 경우 우선순위 클래스 이름이 없는 Pod의 우선순위는 0입니다.globalDefault:true를 사용하여 우선순위 클래스를 추가하면 우선순위 클래스를 추가한 후 생성된 Pod에만 영향을 미치고 기존 Pod의 우선순위는 변경되지 않습니다. - 4
- 개발자가 이 우선순위 클래스와 함께 사용해야 하는 Pod를 설명하는 임의의 텍스트 문자열(선택 사항)입니다.
우선순위 클래스 이름이 있는 샘플 Pod 사양
apiVersion: v1
kind: Pod
metadata:
name: nginx
labels:
env: test
spec:
containers:
- name: nginx
image: nginx
imagePullPolicy: IfNotPresent
priorityClassName: high-priority 1
- 1
- 이 Pod에 사용할 우선순위 클래스를 지정합니다.
우선순위 및 선점을 사용하도록 클러스터를 구성하려면 다음을 수행합니다.
우선순위 클래스를 한 개 이상 생성합니다.
- 우선순위의 이름과 값을 지정합니다.
-
필요한 경우 우선순위 클래스 및 설명에
globalDefault필드를 지정합니다.
- Pod를 생성하거나 기존 Pod를 편집하여 우선순위 클래스의 이름을 포함합니다. Pod 구성 또는 Pod 템플릿에 우선순위 이름을 직접 추가할 수 있습니다.
16.6.6. 우선순위 및 선점 비활성화
Pod 우선순위 및 선점 기능을 비활성화할 수 있습니다.
기능이 비활성화되면 기존 Pod는 우선순위 필드를 유지하지만 선점은 비활성화되고 우선순위 필드는 무시됩니다. 기능이 비활성화되면 새 Pod에 우선순위 클래스 이름을 설정할 수 없습니다.
중요한 Pod는 클러스터가 리소스 부족 상태에 있을 때 스케줄러 선점을 사용합니다. 이러한 이유로 선점을 비활성화하지 않는 것이 좋습니다. DaemonSet Pod는 DaemonSet 컨트롤러에서 예약하며 선점을 비활성화하여 영향을 받지 않습니다.
클러스터의 선점을 비활성화하려면 다음을 수행합니다.
master-config.yaml을 수정하여schedulerArgs섹션에서disablePreemption매개변수를false로 설정합니다.disablePreemption=false
OpenShift Container Platform 마스터 서비스 및 스케줄러를 다시 시작하여 변경 사항을 적용합니다.
# master-restart api # master-restart scheduler
16.7. 고급 예약
16.7.1. 개요
고급 예약에는 Pod가 특정 노드에서 실행되거나 특정 노드에서 실행되도록 Pod를 구성해야 합니다.
OpenShift Container Platform에서 적절한 방식으로 Pod를 자동으로 배치하므로 일반적으로 고급 예약은 필요하지 않습니다. 예를 들어 기본 스케줄러는 노드에 Pod를 균등하게 배포하고 노드에서 사용 가능한 리소스를 고려합니다. 그러나 포드가 배치되는 위치를 추가로 제어할 수 있습니다.
Pod가 더 빠른 디스크 속도로 머신에 있어야 하거나 해당 시스템에 배치되지 않거나 Pod를 통신할 수 있도록 두 가지 서비스의 포드를 배치해야 하는 경우 고급 예약을 사용하여 이러한 작업을 수행할 수 있습니다.
적절한 새 Pod가 전용 노드 그룹에 예약되고 다른 새 Pod가 해당 노드에 예약되지 않도록 하려면 필요에 따라 이러한 방법을 결합할 수 있습니다.
16.7.2. 고급 스케줄링 사용
클러스터에서 고급 예약을 호출하는 방법에는 여러 가지가 있습니다.
- Pod 유사성 및 유사성 방지
Pod 유사성을 사용하면 Pod 에서 Pod 그룹(애플리케이션의 대기 시간 요구 사항의 경우, 보안 등으로 인해)에 대한 선호도(또는 유사성 방지)를 사용하여 배치할 수 있습니다. 노드는 배치를 제어할 수 없습니다.
Pod 유사성은 Pod 배치에 대한 규칙을 생성하기 위해 Pod의 노드 및 라벨 선택기의 라벨을 사용합니다. 규칙은 필수(필수) 또는 best-effort(기본값)일 수 있습니다.
- 노드 유사성
노드 유사성을 사용하면 Pod 에서 노드 그룹(특별한 하드웨어, 위치, 고가용성에 대한 요구 사항)에 대해 선호도(또는 유사성 방지)를 지정할 수 있습니다. 노드는 배치를 제어할 수 없습니다.
노드 유사성은 Pod 배치에 대한 규칙을 생성하기 위해 Pod의 노드 및 라벨 선택기의 라벨을 사용합니다. 규칙은 필수(필수) 또는 best-effort(기본값)일 수 있습니다.
노드 유사성 사용을 참조하십시오.
- 노드 선택기
노드 선택기는 고급 스케줄링의 가장 간단한 형식입니다. 노드 유사성과 마찬가지로 노드 선택기는 노드 및 Pod의 라벨을 사용하여 Pod 에서 배치할 수 있는 노드를 제어할 수 있습니다. 그러나 노드 선택기에는 필수 규칙이 없으며 노드 선호도가 있는 기본 규칙이 있습니다.
- 테인트 및 허용 오차
테인트/Tolerations를 사용하면 노드에서 예약해야 하거나 예약해서는 안 되는 Pod 를 제어할 수 있습니다. 테인트는 노드의 레이블이며 허용 오차는 Pod의 라벨입니다. Pod의 라벨은 예약하기 위해 노드의 레이블(taint)과 일치(또는 허용)해야 합니다.
테인트/내선은 선호도보다 한 가지 장점이 있습니다. 예를 들어 다른 레이블이 있는 새 노드 그룹을 클러스터에 추가하는 경우 노드에 액세스하려는 각 Pod와 새 노드를 사용하지 않으려는 다른 Pod에서 유사성을 업데이트해야 합니다. 테인트/내역을 사용하면 다른 Pod가 다시 입력되기 때문에 해당 Pod가 해당 새 노드에 도착하는 데 필요한 해당 Pod만 업데이트하면 됩니다.
테인트 및 허용 오차 사용을 참조하십시오.
16.8. 고급 스케줄링 및 노드 유사성
16.8.1. 개요
노드 유사성 은 스케줄러에서 Pod를 배치할 수 있는 위치를 결정하는 데 사용하는 규칙 집합입니다. 규칙은 노드의 사용자 정의 라벨과 Pod에 지정된 라벨 선택기를 사용하여 정의됩니다. 노드 유사성을 사용하면 Pod 에서 배치할 수 있는 노드 그룹에 대한 선호도(또는 유사성 방지)를 지정할 수 있습니다. 노드는 배치를 제어할 수 없습니다.
예를 들어 특정 CPU 또는 특정 가용성 영역이 있는 노드에서만 실행하도록 Pod를 구성할 수 있습니다.
노드 유사성 규칙에는 필수 및 기본 두 가지의 유형이 있습니다.
노드에 Pod를 예약하려면 먼저 필수 규칙을 충족해야 합니다. 기본 규칙은 규칙이 충족되는 경우 스케줄러가 규칙을 적용하려고 하지만 반드시 적용되는 것은 아닙니다.
노드의 라벨이 런타임에 변경되어 Pod에 대한 노드 유사성 규칙이 더 이상 충족되지 않으면 Pod가 해당 노드에서 계속 실행됩니다.
16.8.2. 노드 유사성 구성
Pod 사양 파일을 통해 노드 유사성을 구성합니다. 필수 규칙, 기본 규칙 또는 둘 다 지정할 수 있습니다. 둘 다 지정하는 경우 노드는 먼저 필수 규칙을 충족한 다음 기본 규칙을 충족하려고 합니다.
다음 예제는 키가 e2e-az-NorthSouth이고 값이 e2e-az- 인 레이블이 있는 노드에 Pod를 배치해야 하는 규칙이 있는 Pod 사양입니다. North 또는 e2e-az-South
노드 유사성 필수 규칙이 있는 Pod 구성 파일 샘플
apiVersion: v1
kind: Pod
metadata:
name: with-node-affinity
spec:
affinity:
nodeAffinity: 1
requiredDuringSchedulingIgnoredDuringExecution: 2
nodeSelectorTerms:
- matchExpressions:
- key: e2e-az-NorthSouth 3
operator: In 4
values:
- e2e-az-North 5
- e2e-az-South 6
containers:
- name: with-node-affinity
image: docker.io/ocpqe/hello-pod
다음 예제는 Pod에 대해 키가 e2e-az-EastWest이고 값이 e2e-az-East 또는 e2e-az-West인 라벨이 있는 노드를 선호하는 기본 규칙이 있는 노드 사양입니다.
노드 유사성 기본 규칙이 있는 Pod 구성 파일 샘플
apiVersion: v1
kind: Pod
metadata:
name: with-node-affinity
spec:
affinity:
nodeAffinity: 1
preferredDuringSchedulingIgnoredDuringExecution: 2
- weight: 1 3
preference:
matchExpressions:
- key: e2e-az-EastWest 4
operator: In 5
values:
- e2e-az-East 6
- e2e-az-West 7
containers:
- name: with-node-affinity
image: docker.io/ocpqe/hello-pod
명시적인 노드 유사성 방지 개념은 없지만 NotIn 또는 DoesNotExist 연산자를 사용하여 해당 동작을 복제합니다.
동일한 Pod 구성에서 노드 유사성 및 노드 선택기를 사용하는 경우 다음을 확인합니다.
-
nodeSelector와nodeAffinity를 둘 다 구성하는 경우 Pod를 후보 노드에 예약하기 위해서는 두 상태를 모두 충족해야 합니다. -
nodeAffinity유형과 연결된nodeSelectorTerms를 여러 개 지정하는 경우nodeSelectorTerms중 하나를 충족하면 Pod를 노드에 예약할 수 있습니다. -
nodeSelectorTerms와 연결된matchExpressions를 여러 개 지정하는 경우 모든matchExpressions를 충족할 때만 Pod를 노드에 예약할 수 있습니다.
16.8.2.1. 필수 노드 유사성 규칙 구성
노드에 Pod를 예약하려면 먼저 필수 규칙을 충족해야 합니다.
다음 단계에서는 하나의 노드 및 스케줄러에서 해당 노드에 배치해야 하는 하나의 Pod를 생성하는 간단한 구성을 보여줍니다.
노드 구성을 편집하거나
oc label node 명령을 사용하여 노드에 레이블을 추가합니다.$ oc label node node1 e2e-az-name=e2e-az1
참고클러스터에서 노드를 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다.
node-config.yaml파일을 수동으로 편집하지 마십시오.Pod 사양에서
nodeAffinity 스탠자를사용하여requiredDuringSchedulingIgnoredDuringExecution 매개변수를 구성합니다.-
충족해야 하는 키와 값을 지정합니다. 편집한 노드에 새 Pod를 예약하려면 노드의 라벨과 동일한
key및value매개변수를 사용합니다. operator를 지정합니다. 연산자는In,NotIn,Exists,DoesNotExist,Lt또는Gt일 수 있습니다. 예를 들어 노드에 라벨이 있어야 하는 경우 연산자In을 사용합니다.spec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: e2e-az-name operator: In values: - e2e-az1 - e2e-az2
-
충족해야 하는 키와 값을 지정합니다. 편집한 노드에 새 Pod를 예약하려면 노드의 라벨과 동일한
Pod를 생성합니다.
$ oc create -f e2e-az2.yaml
16.8.2.2. Preferred 노드 유사성 규칙 구성
기본 규칙은 규칙이 충족되는 경우 스케줄러가 규칙을 적용하려고 하지만 반드시 적용되는 것은 아닙니다.
다음 단계에서는 하나의 노드 및 스케줄러에서 해당 노드에 배치하려고 하는 하나의 Pod를 생성하는 간단한 구성을 보여줍니다.
노드 구성을 편집하거나
oc label node 명령을 실행하여 노드에 레이블을 추가합니다.$ oc label node node1 e2e-az-name=e2e-az3
참고클러스터에서 노드를 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다.
node-config.yaml파일을 수동으로 편집하지 마십시오.Pod 사양에서
nodeAffinity 스탠자를사용하여preferredDuringSchedulingIgnoredDuringExecution 매개변수를 구성합니다.- 노드의 가중치를 숫자 1~100으로 지정합니다. 가중치가 높은 노드가 우선합니다.
충족해야 하는 키와 값을 지정합니다. 편집한 노드에 새 Pod를 예약하려면 노드의 라벨과 동일한
key및value매개변수를 사용합니다.preferredDuringSchedulingIgnoredDuringExecution: - weight: 1 preference: matchExpressions: - key: e2e-az-name operator: In values: - e2e-az3
-
operator를 지정합니다. 연산자는In,NotIn,Exists,DoesNotExist,Lt또는Gt일 수 있습니다. 예를 들어 노드에 라벨이 있어야 하는 경우 연산자In을 사용합니다. Pod를 생성합니다.
$ oc create -f e2e-az3.yaml
16.8.3. 예
다음 예제에서는 노드 유사성을 보여줍니다.
16.8.3.1. 일치하는 라벨을 사용한 노드 유사성
다음 예제에서는 일치하는 라벨이 있는 노드 및 Pod의 노드 유사성을 보여줍니다.
Node1 노드에는 라벨
zone:us가 있습니다.$ oc label node node1 zone=us
Pod pod-s1 에는 필수 노드 유사성 규칙에 따라
zone및us키/값 쌍이 있습니다.$ cat pod-s1.yaml apiVersion: v1 kind: Pod metadata: name: pod-s1 spec: containers: - image: "docker.io/ocpqe/hello-pod" name: hello-pod affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: "zone" operator: In values: - us표준 명령을 사용하여 Pod를 생성합니다.
$ oc create -f pod-s1.yaml pod "pod-s1" created
Pod pod-s1 은 Node1 에서 예약할 수 있습니다.
$ oc get pod -o wide NAME READY STATUS RESTARTS AGE IP NODE pod-s1 1/1 Running 0 4m IP1 node1
16.8.3.2. 일치하는 레이블이 없는 노드 유사성
다음 예제에서는 일치하는 라벨이 없는 노드 및 Pod의 노드 유사성을 보여줍니다.
Node1 노드에는 라벨
zone:emea가 있습니다.$ oc label node node1 zone=emea
Pod pod-s1 에는 필수 노드 유사성 규칙에 따라
zone및us키/값 쌍이 있습니다.$ cat pod-s1.yaml apiVersion: v1 kind: Pod metadata: name: pod-s1 spec: containers: - image: "docker.io/ocpqe/hello-pod" name: hello-pod affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: "zone" operator: In values: - usPod pod-s1 은 Node1 에 예약할 수 없습니다.
$ oc describe pod pod-s1 ... Events: FirstSeen LastSeen Count From SubObjectPath Type Reason --------- -------- ----- ---- ------------- -------- ------ 1m 33s 8 default-scheduler Warning FailedScheduling No nodes are available that match all of the following predicates:: MatchNodeSelector (1).
16.9. 고급 스케줄링 및 Pod 유사성 및 유사성 방지
16.9.1. 개요
Pod 유사성 및 Pod 유사성 방지를 사용하면 다른 Pod와 관련하여 Pod를 배치해야 하는 방법에 대한 규칙을 지정할 수 있습니다. 규칙은 노드의 사용자 정의 라벨과 Pod에 지정된 라벨 선택기를 사용하여 정의됩니다. Pod 유사성/유사성 방지를 사용하면 Pod 에서 배치할 수 있는 Pod 그룹에 유사성(또는 유사성 방지)을 지정할 수 있습니다. 노드는 배치를 제어할 수 없습니다.
예를 들어 유사성 규칙을 사용하여 서비스 내에서 또는 다른 서비스의 Pod와 관련하여 Pod를 분배하거나 패키징할 수 있습니다. 유사성 방지 규칙을 사용하면 특정 서비스의 Pod가 첫 번째 서비스의 Pod 성능을 방해하는 것으로 알려진 다른 서비스의 Pod와 동일한 노드에 예약되지 않도록 할 수 있습니다. 또는 서비스의 Pod를 노드 또는 가용성 영역에 분배하여 관련 오류를 줄일 수 있습니다.
Pod 유사성/유사성 방지를 사용하면 다른 Pod의 라벨에 따라 Pod를 예약할 수 있는 노드를 제한할 수 있습니다. 레이블 은 키/값 쌍입니다.
- Pod 유사성을 사용하면 새 Pod의 라벨 선택기가 현재 Pod의 라벨과 일치하는 경우 다른 Pod와 동일한 노드에서 새 Pod를 찾도록 스케줄러에 지시할 수 있습니다.
- Pod 유사성 방지를 사용하면 새 Pod의 라벨 선택기가 현재 Pod의 라벨과 일치하는 경우 스케줄러에서 동일한 라벨을 사용하여 Pod와 동일한 노드에서 새 Pod를 찾지 않도록 할 수 있습니다.
Pod 유사성 규칙에는 필수 및 기본 두 가지의 유형이 있습니다.
노드에 Pod를 예약하려면 먼저 필수 규칙을 충족해야 합니다. 기본 규칙은 규칙이 충족되는 경우 스케줄러가 규칙을 적용하려고 하지만 반드시 적용되는 것은 아닙니다.
Pod 우선순위 및 선점 설정에 따라 선호도 요구 사항을 위반하지 않고 스케줄러에서 Pod에 적절한 노드를 찾지 못할 수 있습니다. 이 경우 Pod를 예약하지 못할 수 있습니다.
이러한 상황을 방지하려면 우선순위가 같은 Pod를 사용하여 Pod 유사성을 신중하게 구성합니다.
16.9.2. Pod 유사성 및 유사성 방지 구성
Pod 사양 파일을 통해 Pod 유사성/유사성 방지를 구성합니다. 필수 규칙, 기본 규칙 또는 둘 다 지정할 수 있습니다. 둘 다 지정하는 경우 노드는 먼저 필수 규칙을 충족한 다음 기본 규칙을 충족하려고 합니다.
다음 예는 Pod 유사성 및 유사성 방지용으로 구성된 Pod 사양을 보여줍니다.
이 예제에서 Pod 유사성 규칙은 노드에 이미 실행 중인 Pod가 한 개 이상 있고 키가 security이고 값이 S1인 라벨이 있는 경우에만 노드에 Pod를 예약할 수 있음을 나타냅니다. Pod 유사성 방지 규칙은 노드에서 이미 Pod를 실행 중이고 키가 security이고 값이 S2인 라벨이 있는 경우 Pod를 노드에 예약하지 않는 것을 선호함을 나타냅니다.
Pod 유사성이 포함된 샘플 Pod 구성 파일
apiVersion: v1
kind: Pod
metadata:
name: with-pod-affinity
spec:
affinity:
podAffinity: 1
requiredDuringSchedulingIgnoredDuringExecution: 2
- labelSelector:
matchExpressions:
- key: security 3
operator: In 4
values:
- S1 5
topologyKey: failure-domain.beta.kubernetes.io/zone
containers:
- name: with-pod-affinity
image: docker.io/ocpqe/hello-pod
Pod 유사성 방지가 포함된 샘플 Pod 구성 파일
apiVersion: v1
kind: Pod
metadata:
name: with-pod-antiaffinity
spec:
affinity:
podAntiAffinity: 1
preferredDuringSchedulingIgnoredDuringExecution: 2
- weight: 100 3
podAffinityTerm:
labelSelector:
matchExpressions:
- key: security 4
operator: In 5
values:
- S2
topologyKey: kubernetes.io/hostname
containers:
- name: with-pod-affinity
image: docker.io/ocpqe/hello-pod
런타임 시 노드의 라벨이 변경되어 Pod의 유사성 규칙이 더 이상 충족되지 않는 경우 Pod가 노드에서 계속 실행됩니다.
16.9.2.1. 유사성 규칙 구성
다음 단계에서는 라벨이 있는 Pod 및 유사성을 사용하여 해당 Pod에 예약할 수 있는 Pod를 생성하는 간단한 2-Pod 구성을 보여줍니다.
Pod 사양에서 특정 라벨을 사용하여 Pod를 생성합니다.
$ cat team4.yaml apiVersion: v1 kind: Pod metadata: name: security-s1 labels: security: S1 spec: containers: - name: security-s1 image: docker.io/ocpqe/hello-pod다른 Pod를 생성할 때 다음과 같이 Pod 사양을 편집합니다.
-
podAffinity스탠자를 사용하여requiredDuringSchedulingIgnoredDuringExecution매개변수 또는preferredDuringSchedulingIgnoredDuringExecution매개변수를 구성합니다. 충족해야 하는 키와 값을 지정합니다. 새 Pod를 다른 Pod와 함께 예약하려면 첫 번째 Pod의 라벨과 동일한
key및value매개변수를 사용합니다.podAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: security operator: In values: - S1 topologyKey: failure-domain.beta.kubernetes.io/zone-
operator를 지정합니다. 연산자는In,NotIn,Exists또는DoesNotExist일 수 있습니다. 예를 들어 노드에 라벨이 있어야 하는 경우 연산자In을 사용합니다. -
이러한 토폴로지 도메인을 나타내기 위해 사용하며 미리 채워져 있는 Kubernetes 라벨인
topologyKey를 지정합니다.
-
Pod를 생성합니다.
$ oc create -f <pod-spec>.yaml
16.9.2.2. 유사성 방지 규칙 구성
다음 단계에서는 라벨이 있는 Pod 및 유사성 방지 기본 규칙을 사용하여 해당 Pod에 예약하지 않는 Pod를 생성하는 간단한 2-Pod 구성을 보여줍니다.
Pod 사양에서 특정 라벨을 사용하여 Pod를 생성합니다.
$ cat team4.yaml apiVersion: v1 kind: Pod metadata: name: security-s2 labels: security: S2 spec: containers: - name: security-s2 image: docker.io/ocpqe/hello-pod- 다른 Pod를 생성할 때 Pod 사양을 편집하여 다음 매개변수를 설정합니다.
podAffinity스탠자를 사용하여requiredDuringSchedulingIgnoredDuringExecution매개변수 또는preferredDuringSchedulingIgnoredDuringExecution매개변수를 구성합니다.- 노드의 가중치를 1~100으로 지정합니다. 가중치가 높은 노드가 우선합니다.
충족해야 하는 키와 값을 지정합니다. 새 Pod를 다른 Pod와 함께 예약하지 않으려면 첫 번째 Pod의 라벨과 동일한
key및value매개변수를 사용합니다.podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: - weight: 100 podAffinityTerm: labelSelector: matchExpressions: - key: security operator: In values: - S2 topologyKey: kubernetes.io/hostname- 기본 규칙의 경우 1~100의 가중치를 지정합니다.
-
operator를 지정합니다. 연산자는In,NotIn,Exists또는DoesNotExist일 수 있습니다. 예를 들어 노드에 라벨이 있어야 하는 경우 연산자In을 사용합니다.
-
이러한 토폴로지 도메인을 나타내기 위해 사용하며 미리 채워져 있는 Kubernetes 라벨인
topologyKey를 지정합니다. Pod를 생성합니다.
$ oc create -f <pod-spec>.yaml
16.9.3. 예
다음 예제에서는 Pod 유사성 및 Pod 유사성 방지를 보여줍니다.
16.9.3.1. Pod 유사성
다음 예제에서는 일치하는 라벨 및 라벨 선택기가 있는 Pod의 Pod 유사성을 보여줍니다.
Pod team4에는 라벨
team:4가 있습니다.$ cat team4.yaml apiVersion: v1 kind: Pod metadata: name: team4 labels: team: "4" spec: containers: - name: ocp image: docker.io/ocpqe/hello-podPod team4a에는
podAffinity아래에 라벨 선택기team:4가 있습니다.$ cat pod-team4a.yaml apiVersion: v1 kind: Pod metadata: name: team4a spec: affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: team operator: In values: - "4" topologyKey: kubernetes.io/hostname containers: - name: pod-affinity image: docker.io/ocpqe/hello-pod- team4a Pod는 team4 Pod와 동일한 노드에 예약됩니다.
16.9.3.2. Pod 유사성 방지
다음 예제에서는 일치하는 라벨 및 라벨 선택기가 있는 Pod의 Pod 유사성 방지를 보여줍니다.
Pod pod-s1에는 라벨
security:s1이 있습니다.$ cat pod-s1.yaml apiVersion: v1 kind: Pod metadata: name: pod-s1 labels: security: s1 spec: containers: - name: ocp image: docker.io/ocpqe/hello-podPod pod-s2에는
podAntiAffinity아래에 라벨 선택기security:s1이 있습니다.$ cat pod-s2.yaml apiVersion: v1 kind: Pod metadata: name: pod-s2 spec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: security operator: In values: - s1 topologyKey: kubernetes.io/hostname containers: - name: pod-antiaffinity image: docker.io/ocpqe/hello-pod-
Pod pod-s2는
pod-s1과 동일한 노드에 예약할 수 없습니다.
16.9.3.3. 일치하는 라벨이 없는 Pod 유사성
다음 예제에서는 일치하는 라벨 및 라벨 선택기가 없는 Pod의 Pod 유사성을 보여줍니다.
Pod pod-s1에는 라벨
security:s1이 있습니다.$ cat pod-s1.yaml apiVersion: v1 kind: Pod metadata: name: pod-s1 labels: security: s1 spec: containers: - name: ocp image: docker.io/ocpqe/hello-podPod pod-s2에는 라벨 선택기
security:s2가 있습니다.$ cat pod-s2.yaml apiVersion: v1 kind: Pod metadata: name: pod-s2 spec: affinity: podAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: security operator: In values: - s2 topologyKey: kubernetes.io/hostname containers: - name: pod-affinity image: docker.io/ocpqe/hello-podsecurity:s2라벨이 있는 Pod가 포함된 노드가 없는 경우 Pod pod-s2는 예약되지 않습니다. 해당 라벨이 있는 기타 Pod가 없는 경우 새 Pod는 보류 중인 상태로 유지됩니다.NAME READY STATUS RESTARTS AGE IP NODE pod-s2 0/1 Pending 0 32s <none>
16.10. 고급 스케줄링 및 노드 선택기
16.10.1. 개요
노드 선택기는 키-값 쌍으로 구성된 맵을 지정합니다. 규칙은 노드의 사용자 정의 라벨과 Pod에 지정된 선택기를 사용하여 정의됩니다.
Pod를 노드에서 실행하려면 Pod에 노드의 라벨로 표시된 키-값 쌍이 있어야 합니다.
16.10.2. 노드 선택기 구성
Pod 구성에서 nodeSelector 를 사용하여 Pod가 특정 라벨이 있는 노드에만 배치되도록 할 수 있습니다.
원하는 라벨(자세한 내용은 노드의 라벨 업데이트 참조 ) 및 환경에 설정된 노드 선택기 가 있는지 확인합니다.
예를 들어 Pod 구성에 원하는 라벨을 나타내는
nodeSelector값이 포함되어 있는지 확인합니다.apiVersion: v1 kind: Pod spec: nodeSelector: <key>: <value> ...마스터 구성 파일 /etc/origin/master/master-config.yaml 을 수정하여 pod 배치를 거부할 노드 호스트에 할당된 라벨을 사용하여
nodeSelectorLabelBlacklist를admissionConfig섹션에 추가합니다.... admissionConfig: pluginConfig: PodNodeConstraints: configuration: apiversion: v1 kind: PodNodeConstraintsConfig nodeSelectorLabelBlacklist: - kubernetes.io/hostname - <label> ...변경 사항을 적용하려면 OpenShift Container Platform을 다시 시작하십시오.
# master-restart api # master-restart controllers
동일한 Pod 구성에서 노드 선택기 및 노드 유사성을 사용하는 경우 다음을 확인합니다.
-
nodeSelector와nodeAffinity를 둘 다 구성하는 경우 Pod를 후보 노드에 예약하기 위해서는 두 상태를 모두 충족해야 합니다. -
nodeAffinity유형과 연결된nodeSelectorTerms를 여러 개 지정하는 경우nodeSelectorTerms중 하나를 충족하면 Pod를 노드에 예약할 수 있습니다. -
nodeSelectorTerms와 연결된matchExpressions를 여러 개 지정하는 경우 모든matchExpressions를 충족할 때만 Pod를 노드에 예약할 수 있습니다.
16.11. 고급 스케줄링 및 테인트 및 허용 오차
16.11.1. 개요
테인트(Taints) 및 톨러레이션(Tolerations)을 통해 노드에서 예약해야 하는 Pod 를 제어할 수 있습니다.
16.11.2. 테인트 및 허용 오차
테인트를 사용하면 Pod에 일치하는 톨러레이션 이 없는 경우 노드가 Pod 예약을 거부할 수 있습니다.
노드 사양(NodeSpec)을 통해 노드에 테인트를 적용하고 Pod 사양(PodSpec)을 통해Pod에 허용 오차를 적용합니다. 노드의 테인트는 해당 테인트를 허용하지 않는 모든 Pod를 거절하도록 노드에 지시합니다.
테인트 및 톨러레이션은 key, value 및 effect로 구성되어 있습니다. 연산자를 사용하면 이러한 매개 변수 중 하나를 비워 둘 수 있습니다.
| 매개변수 | 설명 | ||||||
|---|---|---|---|---|---|---|---|
|
|
| ||||||
|
|
| ||||||
|
| 다음 명령 중 하나를 실행합니다.
| ||||||
|
|
|
톨러레이션은 테인트와 일치합니다.
operator매개변수가Equal로 설정된 경우:-
key매개변수는 동일합니다. -
value매개변수는 동일합니다. -
effect매개변수는 동일합니다.
-
operator매개변수가Exists로 설정된 경우:-
key매개변수는 동일합니다. -
effect매개변수는 동일합니다.
-
16.11.2.1. 여러 테인트 사용
동일한 노드에 여러 테인트를 배치하고 동일한 pod에 여러 톨러레이션을 배치할 수 있습니다. OpenShift Container Platform은 다음과 같이 여러 테인트 및 톨러레이션을 처리합니다.
- Pod에 일치하는 톨러레이션이 있는 테인트를 처리합니다.
나머지 일치하지 테인트는 pod에서 다음 effect를 갖습니다.
-
effect가
NoSchedule인 일치하지 않는 테인트가 하나 이상있는 경우 OpenShift Container Platform은 해당 노드에 pod를 예약할 수 없습니다. -
effect가
NoSchedule인 일치하지 않는 테인트가 없지만 effect가PreferNoSchedule인 일치하지 않는 테인트가 하나 이상있는 경우, OpenShift 컨테이너 플랫폼은 노드에 pod를 예약 시도하지 않습니다. effect가
NoExecute인 일치하지 않는 테인트가 하나 이상있는 경우 OpenShift Container Platform은 노드에서 Pod를 제거하거나 (노드에서 이미 실행중인 경우) Pod가 노드에 예약되지 않습니다 (노드에서 아직 실행되지 않은 경우).- 테인트를 허용하지 Pod는 즉시 제거됩니다.
-
톨러레이션 사양에
tolerationSeconds를 지정하지 않은 테인트를 허용하는 Pod는 영구적으로 바인딩된 상태로 유지됩니다. -
tolerationSeconds가 지정된 테인트를 허용하는 Pod는 지정된 시간 동안 바인딩된 상태로 유지됩니다.
-
effect가
예를 들면 다음과 같습니다.
노드에는 다음과 같은 테인트가 있습니다.
$ oc adm taint nodes node1 key1=value1:NoSchedule $ oc adm taint nodes node1 key1=value1:NoExecute $ oc adm taint nodes node1 key2=value2:NoSchedule
Pod에는 다음과 같은 톨러레이션이 있습니다.
tolerations: - key: "key1" operator: "Equal" value: "value1" effect: "NoSchedule" - key: "key1" operator: "Equal" value: "value1" effect: "NoExecute"
이 경우 세 번째 테인트와 일치하는 톨러레이션이 없기 때문에 pod를 노드에 예약할 수 없습니다. 세 번째 테인트는 pod에서 허용되지 않는 세 번째 테인트 중 하나이기 때문에 테인트가 추가될 때 노드에서 이미 실행되고 있는 경우 pod가 계속 실행됩니다.
16.11.3. 기존 노드에 테인트 추가
테인트 및 허용 오차 구성 요소 테이블에 설명된 매개변수와 함께 oc adm taint 명령을 사용하여 노드에 테인트 를 추가합니다.
$ oc adm taint nodes <node-name> <key>=<value>:<effect>
예를 들면 다음과 같습니다.
$ oc adm taint nodes node1 key1=value1:NoExecute
이 예제에서는 키가 key .
1, 값 에 taint를 배치합니다value1 이고 테인트 효과 NoExecute가 있는 node 1
16.11.4. Pod에 허용 오차 추가
Pod에 허용 오차를 추가하려면 tolerations 섹션을 포함하도록 Pod 사양을 편집합니다.
Equal 연산자가 있는 Pod 구성 파일의 예
tolerations: - key: "key1" 1 operator: "Equal" 2 value: "value1" 3 effect: "NoExecute" 4 tolerationSeconds: 3600 5
- 1 2 3 4
- 테인트 및 허용 오차 구성 요소 테이블에 설명된 허용 오차 매개변수입니다.
- 5
tolerationSeconds매개변수를 지정하여 pod가 제거되기 전까지 노드에 바인딩되는 시간을 설정합니다. 아래에서 허용 초를 사용하여 Pod 제거를 지연하는 것을 참조하십시오.
Exists 연산자가 있는 pod 구성 파일의 예
tolerations: - key: "key1" operator: "Exists" effect: "NoExecute" tolerationSeconds: 3600
이러한 톨러레이션은 위의 oc adm taint 명령으로 생성된 테인트 와 일치합니다. 톨러레이션이 있는 pod는 node1에 스케줄링할 수 있습니다.
16.11.4.1. 허용 오차를 사용하여 Pod 제거 지연
Pod 사양에 tolerationSeconds 매개변수를 지정하여 Pod가 제거되기 전에 노드에 바인딩되는 시간을 지정할 수 있습니다. NoExecute 효과가 있는 테인트가 노드에 추가되면 테인트를 허용하지 않는 모든 Pod가 즉시 제거됩니다(Taint를 허용하는 Pod는 제거되지 않음). 그러나 제거할 Pod에 tolerationSeconds 매개변수가 있는 경우 해당 기간이 만료될 때까지 Pod가 제거되지 않습니다.
예를 들면 다음과 같습니다.
tolerations: - key: "key1" operator: "Equal" value: "value1" effect: "NoExecute" tolerationSeconds: 3600
여기에서이 pod가 실행 중이지만 일치하는 테인트가 없는 경우 pod는 3,600 초 동안 노드에 바인딩된 후 제거됩니다. 이 시간 이전에 테인트가 제거되면 pod가 제거되지 않습니다.
16.11.4.1.1. 허용 오차 초의 기본값 설정
이 플러그인은 5분 동안 node.kubernetes. io/not-ready:NoExecute 및 테인트를 허용하도록 Pod의 기본 허용 허용 오차를 설정합니다.
node.kubernetes.io/unreachable:NoExecute
사용자가 제공하는 Pod 구성에 허용 오차가 이미 있는 경우 기본값은 추가되지 않습니다.
기본 허용 오차를 활성화하려면 다음을 수행합니다.
마스터 구성 파일(/etc/origin/master/master-config.yaml)을 admissionConfig 섹션에
DefaultTolerationSeconds추가로 수정합니다.admissionConfig: pluginConfig: DefaultTolerationSeconds: configuration: kind: DefaultAdmissionConfig apiVersion: v1 disable: false변경 사항을 적용하려면 OpenShift를 다시 시작하십시오.
# master-restart api # master-restart controllers
기본값이 추가되었는지 확인합니다.
Pod를 생성합니다.
$ oc create -f </path/to/file>
예를 들면 다음과 같습니다.
$ oc create -f hello-pod.yaml pod "hello-pod" created
Pod 허용 오차를 확인합니다.
$ oc describe pod <pod-name> |grep -i toleration
예를 들면 다음과 같습니다.
$ oc describe pod hello-pod |grep -i toleration Tolerations: node.kubernetes.io/not-ready=:Exists:NoExecute for 300s
16.11.5. 노드 문제 제거
OpenShift Container Platform은 노드에 연결할 수 없으며 노드 가 준비되지 않은 상태를 테인트로 표시하도록 구성할 수 있습니다. 이를 통해 기본값인 5분을 사용하는 대신 연결할 수 없거나 준비되지 않은 노드에 바인딩된 상태로 유지되는 시간을 포드당 사양으로 지정할 수 있습니다.
Taint Based Evictions 기능이 활성화되면 노드 컨트롤러에 의해 테인트가 자동으로 추가되고 Ready 노드에서 Pod를 제거하기 위한 일반 논리가 비활성화됩니다.
-
노드가 준비되지 않은 상태가 되면
node.kubernetes.io/not-ready:NoExecute테인트가 추가되고 Pod를 노드에서 예약할 수 없습니다. 기존 Pod는 허용 오차 기간 동안 유지됩니다. -
노드가 연결할 수 없는 상태가 되면
node.kubernetes.io/unreachable:NoExecute테인트가 추가되고 Pod를 노드에 예약할 수 없습니다. 기존 Pod는 허용 오차 기간 동안 유지됩니다.
테인트 기반 제거를 활성화하려면 다음을 수행합니다.
마스터 구성 파일(/etc/origin/master/master-config.yaml)을 수정하여
kubernetesMasterConfig섹션에 다음을 추가합니다.kubernetesMasterConfig: controllerArguments: feature-gates: - TaintBasedEvictions=true테인트가 노드에 추가되었는지 확인합니다.
$ oc describe node $node | grep -i taint Taints: node.kubernetes.io/not-ready:NoExecute
변경 사항을 적용하려면 OpenShift를 다시 시작하십시오.
# master-restart api # master-restart controllers
Pod에 허용 오차를 추가합니다.
tolerations: - key: "node.kubernetes.io/unreachable" operator: "Exists" effect: "NoExecute" tolerationSeconds: 6000
또는
tolerations: - key: "node.kubernetes.io/not-ready" operator: "Exists" effect: "NoExecute" tolerationSeconds: 6000
노드 문제로 인해 Pod 제거의 기존 속도 제한 동작을 유지 관리하기 위해 시스템은 속도가 제한된 방식으로 테인트를 추가합니다. 이렇게 하면 마스터가 노드에서 분할되는 등의 시나리오에서 대규모 Pod 제거가 방지됩니다.
16.11.6. DaemonSet 및 허용 오차
DaemonSet Pod는 node.kubernetes.io/unreachable 및 에 대한 node.kubernetes.io/ not-readyNoExecute 허용 오차 및 node.kubernetes.io/not-ready로 생성되어 Default Toleration Seconds 기능이 비활성화된 경우에도 DaemonSet Pod가 제거되지 않도록 합니다.
16.11.7. 예
테인트 및 허용 오차는 노드에서 Pod를 제어하거나 노드에서 실행되지 않아야 하는 Pod를 제거하는 유연한 방법입니다. 일반적인 몇 가지 조사는 다음과 같습니다.
16.11.7.1. 사용자를 위한 노드 지정
특정 사용자 그룹이 독점적으로 사용할 노드 그룹을 지정할 수 있습니다.
전용 노드를 지정하려면 다음을 수행합니다.
해당 노드에 테인트를 추가합니다.
예를 들면 다음과 같습니다.
$ oc adm taint nodes node1 dedicated=groupName:NoSchedule
사용자 정의 승인 컨트롤러를 작성하여 Pod에 해당 톨러레이션을 추가합니다 .
톨러레이션이 있는 pod만 전용 노드를 사용할 수 있습니다.
16.11.7.2. 사용자를 노드에 바인딩
특정 사용자가 전용 노드만 사용할 수 있도록 노드를 구성할 수 있습니다.
사용자가 해당 노드 만 사용할 수 있도록 노드를 구성하려면 다음을 수행합니다.
해당 노드에 테인트를 추가합니다.
예를 들면 다음과 같습니다.
$ oc adm taint nodes node1 dedicated=groupName:NoSchedule
사용자 정의 승인 컨트롤러를 작성하여 Pod에 해당 톨러레이션을 추가합니다 .
승인 컨트롤러는 pod가
key:value레이블 (dedicated=groupName)로 레이블이 지정된 노드에만 예약할 수 있도록 노드 선호도를 추가해야 합니다.-
전용 노드에 테인트와 유사한 레이블 (예:
key:value레이블)을 추가합니다.
16.11.7.3. 특수 하드웨어가 있는 노드
노드의 작은 하위 집합이 특수 하드웨어 (예: GPU)가 있는 클러스터에서 테인트 및 톨러레이션을 사용하여 특수 하드웨어가 필요하지 않은 Pod를 해당 노드에서 분리하여 특수 하드웨어가 필요한 Pod에 대한 노드를 유지할 수 있습니다. 또한 특정 노드를 사용하기 위해 특수 하드웨어가 필요한 Pod를 요청할 수도 있습니다.
특수 하드웨어에서 Pod를 차단하려면 다음을 수행합니다.
다음 명령 중 하나를 사용하여 특수 하드웨어가 있는 노드에 테인트를 설정합니다.
$ oc adm taint nodes <node-name> disktype=ssd:NoSchedule $ oc adm taint nodes <node-name> disktype=ssd:PreferNoSchedule
- 승인 컨트롤러를 사용하여 특수 하드웨어를 사용하는 Pod에 해당 톨러레이션을 추가합니다 .
예를 들어, 승인 컨트롤러는 톨러레이션을 추가하여 Pod의 일부 특성을 사용하고 Pod가 특수 노드를 사용할 수 있는지 여부를 확인할 수 있습니다.
Pod가 특수 하드웨어만 사용할 수 있도록하려면 추가 메커니즘이 필요합니다. 예를 들어, 특수 하드웨어가 있는 노드에 레이블을 지정하고 하드웨어가 필요한 Pod에서 노드 선호도를 사용할 수 있습니다.
17장. 할당량 설정
17.1. 개요
ResourceQuota 오브젝트에서 정의하는 리소스 할당량은 프로젝트당 집계 리소스 사용을 제한하는 제약 조건을 제공합니다. 프로젝트에서 생성할 수 있는 오브젝트의 수량을 유형별로 제한할 수 있으며 해당 프로젝트의 리소스에서 사용할 수 있는 컴퓨팅 리소스 및 스토리지의 총량도 제한할 수 있습니다.
컴퓨팅 리소스에 대한 자세한 내용은 개발자 가이드를 참조하십시오.
17.2. Quota에서 관리하는 리소스
다음은 할당량으로 관리할 수 있는 컴퓨팅 리소스 및 오브젝트 유형 집합을 설명합니다.
status.phase in (Failed, Succeeded)이 True인 경우 Pod는 터미널 상태에 있습니다.
| 리소스 이름 | 설명 |
|---|---|
|
|
터미널이 아닌 상태에서 모든 Pod의 CPU 요청 합계는 이 값을 초과할 수 없습니다. |
|
|
터미널이 아닌 상태에서 모든 Pod의 메모리 요청 합계는 이 값을 초과할 수 없습니다. |
|
|
터미널이 아닌 상태에서 모든 Pod의 로컬 임시 스토리지 요청 합계는 이 값을 초과할 수 없습니다. |
|
|
터미널이 아닌 상태에서 모든 Pod의 CPU 요청 합계는 이 값을 초과할 수 없습니다. |
|
|
터미널이 아닌 상태에서 모든 Pod의 메모리 요청 합계는 이 값을 초과할 수 없습니다. |
|
|
터미널이 아닌 상태에서 모든 Pod의 임시 스토리지 요청 합계는 이 값을 초과할 수 없습니다. |
|
| 터미널이 아닌 상태에서 모든 Pod의 CPU 제한 합계는 이 값을 초과할 수 없습니다. |
|
| 터미널이 아닌 상태에서 모든 Pod의 메모리 제한 합계는 이 값을 초과할 수 없습니다. |
|
| 터미널이 아닌 상태에서 모든 Pod의 임시 스토리지 제한 합계는 이 값을 초과할 수 없습니다. 이 리소스는 임시 스토리지 기술 프리뷰를 활성화한 경우에만 사용할 수 있습니다. 이 기능은 기본적으로 비활성화되어 있습니다. |
| 리소스 이름 | 설명 |
|---|---|
|
| 상태와 관계없이 모든 영구 볼륨 클레임의 스토리지 요청 합계는 이 값을 초과할 수 없습니다. |
|
| 프로젝트에 존재할 수 있는 총 영구 볼륨 클레임 수입니다. |
|
| 상태와 관계없이 일치하는 스토리지 클래스가 있는 모든 영구 볼륨 클레임의 스토리지 요청 합계는 이 값을 초과할 수 없습니다. |
|
| 프로젝트에 존재할 수 있는, 일치하는 스토리지 클래스가 있는 총 영구 볼륨 클레임 수입니다. |
| 리소스 이름 | 설명 |
|---|---|
|
| 프로젝트에 존재할 수 있는 터미널이 아닌 상태의 총 Pod 수입니다. |
|
| 프로젝트에 존재할 수 있는 총 복제 컨트롤러 수입니다. |
|
| 프로젝트에 존재할 수 있는 총 리소스 할당량 수입니다. |
|
| 프로젝트에 존재할 수 있는 총 서비스 수입니다. |
|
| 프로젝트에 존재할 수 있는 총 시크릿 수입니다. |
|
|
프로젝트에 존재할 수 있는 총 |
|
| 프로젝트에 존재할 수 있는 총 영구 볼륨 클레임 수입니다. |
|
| 프로젝트에 존재할 수 있는 총 이미지 스트림 수입니다. |
할당량을 생성하는 동안 count/<resource>.<group> 구문을 사용하여 이러한 표준 네임스페이스 리소스 유형에 대한 오브젝트 수 할당량을 구성할 수 있습니다.
$ oc create quota <name> --hard=count/<resource>.<group>=<quota> 1- 1
<resource>는 리소스 이름이고<group>은 API 그룹입니다(해당하는 경우). 리소스 및 관련 API 그룹 목록에kubectl api-resources명령을 사용합니다.
17.2.1. 확장 리소스에 대한 리소스 할당량 설정
확장 리소스에는 리소스 과다 할당이 허용되지 않으므로 할당량의 해당 확장 리소스에 requests 및 limits를 지정해야 합니다. 현재는 확장 리소스에 접두사 requests. 가 있는 할당량 항목만 허용됩니다. 다음은 GPU 리소스 nvidia.com/gpu에 대한 리소스 할당량을 설정하는 방법에 대한 예제 시나리오입니다.
프로세스
클러스터의 노드에서 사용 가능한 GPU 수를 결정합니다. 예를 들면 다음과 같습니다.
# oc describe node ip-172-31-27-209.us-west-2.compute.internal | egrep 'Capacity|Allocatable|gpu' openshift.com/gpu-accelerator=true Capacity: nvidia.com/gpu: 2 Allocatable: nvidia.com/gpu: 2 nvidia.com/gpu 0 0이 예에서는 GPU 2개를 사용할 수 있습니다.
네임스페이스
nvidia에 할당량을 설정합니다. 이 예에서 할당량은1입니다.# cat gpu-quota.yaml apiVersion: v1 kind: ResourceQuota metadata: name: gpu-quota namespace: nvidia spec: hard: requests.nvidia.com/gpu: 1할당량을 생성합니다.
# oc create -f gpu-quota.yaml resourcequota/gpu-quota created
네임스페이스에 올바른 할당량이 설정되어 있는지 확인합니다.
# oc describe quota gpu-quota -n nvidia Name: gpu-quota Namespace: nvidia Resource Used Hard -------- ---- ---- requests.nvidia.com/gpu 0 1
단일 GPU를 요청하는 Pod를 실행합니다.
# oc create pod gpu-pod.yaml
apiVersion: v1 kind: Pod metadata: generateName: gpu-pod- namespace: nvidia spec: restartPolicy: OnFailure containers: - name: rhel7-gpu-pod image: rhel7 env: - name: NVIDIA_VISIBLE_DEVICES value: all - name: NVIDIA_DRIVER_CAPABILITIES value: "compute,utility" - name: NVIDIA_REQUIRE_CUDA value: "cuda>=5.0" command: ["sleep"] args: ["infinity"] resources: limits: nvidia.com/gpu: 1Pod가 실행 중인지 확인합니다.
# oc get pods NAME READY STATUS RESTARTS AGE gpu-pod-s46h7 1/1 Running 0 1m
할당량
Used의 카운터가 올바른지 확인합니다.# oc describe quota gpu-quota -n nvidia Name: gpu-quota Namespace: nvidia Resource Used Hard -------- ---- ---- requests.nvidia.com/gpu 1 1
nvidia네임스페이스에서 두 번째 GPU Pod를 생성합니다. 노드에 GPU가 2개 있으므로 기술적으로 가능합니다.# oc create -f gpu-pod.yaml Error from server (Forbidden): error when creating "gpu-pod.yaml": pods "gpu-pod-f7z2w" is forbidden: exceeded quota: gpu-quota, requested: requests.nvidia.com/gpu=1, used: requests.nvidia.com/gpu=1, limited: requests.nvidia.com/gpu=1
이 허용되지 않음 오류 메시지는 할당량이 GPU 1개이고 이 Pod에서 할당량을 초과하는 두 번째 GPU를 할당하려고 했기 때문에 예상된 것입니다.
17.3. 할당량 범위
각 할당량에는 일련의 관련 범위가 있을 수 있습니다. 할당량은 열거된 범위의 교집합과 일치하는 경우에만 리소스 사용량을 측정합니다.
할당량에 범위를 추가하면 할당량을 적용할 수 있는 리소스 세트가 제한됩니다. 허용된 설정을 벗어난 리소스를 지정하면 검증 오류가 발생합니다.
| 범위 | 설명 |
|---|---|
| Terminating |
|
| NotTerminating |
|
| BestEffort |
|
| NotBestEffort |
|
BestEffort 범위는 할당량을 제한하여 다음 리소스를 제한합니다.
-
Pod
Terminating, NotTerminating, NotBestEffort 범위는 할당량을 제한하여 다음 리소스를 추적합니다.
-
Pod -
메모리 -
requests.memory -
limits.memory -
cpu -
requests.cpu -
limits.cpu -
ephemeral-storage -
requests.ephemeral-storage -
limits.ephemeral-storage
임시 스토리지 요청 및 제한은 임시 스토리지 기술 프리뷰를 활성화한 경우에만 적용됩니다. 이 기능은 기본적으로 비활성화되어 있습니다.
17.4. 할당량 적용
프로젝트에 대한 리소스 할당량이 처음 생성되면 프로젝트에서 업데이트된 사용량 통계를 계산할 때까지 할당량 제약 조건을 위반할 수 있는 새 리소스 생성 기능을 제한합니다.
할당량이 생성되고 사용량 통계가 업데이트되면 프로젝트에서 새 콘텐츠 생성을 허용합니다. 리소스를 생성하거나 수정할 때는 리소스 생성 또는 수정 요청에 따라 할당량 사용이 즉시 증가합니다.
리소스를 삭제할 때는 프로젝트에 대한 다음 할당량 통계 전체 재계산 중 할당량 사용이 감소합니다. 구성 가능한 시간에 따라 현재 관찰되는 시스템 값으로 할당량 사용을 줄이는 데 걸리는 시간이 결정됩니다.
프로젝트 수정이 할당량 사용 제한을 초과하는 경우 서버에서 작업을 거부하고 사용자에게 할당량 제한 조건 위반에 대해 설명하는 적절한 오류 메시지와 현재 관찰된 사용 통계가 시스템에 있는지에 대해 설명합니다.
17.5. 요청 및 제한
컴퓨팅 리소스를 할당할 때 각 컨테이너에서 CPU, 메모리 및 임시 스토리지에 대한 요청 및 제한 값을 지정할 수 있습니다. 할당량은 이러한 값 중을 제한할 수 있습니다.
할당량에 requests.cpu 또는 에 대해 지정된 값이 있는 경우 들어오는 모든 컨테이너에서 해당 리소스를 명시적으로 요청해야 합니다. 할당량에 requests. memorylimits.cpu 또는 에 대해 지정된 값이 있는 경우 들어오는 모든 컨테이너에서 해당 리소스에 대한 명시적 제한을 지정해야 합니다.
limits. memory
17.6. 리소스 할당량 정의 샘플
core-object-counts.yaml
apiVersion: v1
kind: ResourceQuota
metadata:
name: core-object-counts
spec:
hard:
configmaps: "10" 1
persistentvolumeclaims: "4" 2
replicationcontrollers: "20" 3
secrets: "10" 4
services: "10" 5
openshift-object-counts.yaml
apiVersion: v1
kind: ResourceQuota
metadata:
name: openshift-object-counts
spec:
hard:
openshift.io/imagestreams: "10" 1
- 1
- 프로젝트에 존재할 수 있는 총 이미지 스트림 수입니다.
compute-resources.yaml
apiVersion: v1
kind: ResourceQuota
metadata:
name: compute-resources
spec:
hard:
pods: "4" 1
requests.cpu: "1" 2
requests.memory: 1Gi 3
requests.ephemeral-storage: 2Gi 4
limits.cpu: "2" 5
limits.memory: 2Gi 6
limits.ephemeral-storage: 4Gi 7
- 1
- 프로젝트에 존재할 수 있는 터미널이 아닌 상태의 총 Pod 수입니다.
- 2
- 터미널이 아닌 상태에서 모든 Pod의 CPU 요청 합계는 코어 1개를 초과할 수 없습니다.
- 3
- 터미널이 아닌 상태에서 모든 Pod의 메모리 요청 합계는 1Gi를 초과할 수 없습니다.
- 4
- 터미널이 아닌 상태에서 모든 Pod의 임시 스토리지 요청 합계는 2Gi를 초과할 수 없습니다.
- 5
- 터미널이 아닌 상태에서 모든 Pod의 CPU 제한 합계는 코어 2개를 초과할 수 없습니다.
- 6
- 터미널이 아닌 상태에서 모든 Pod의 메모리 제한 합계는 2Gi를 초과할 수 없습니다.
- 7
- 터미널이 아닌 상태에서 모든 Pod의 임시 스토리지 제한 합계는 4Gi를 초과할 수 없습니다.
besteffort.yaml
apiVersion: v1
kind: ResourceQuota
metadata:
name: besteffort
spec:
hard:
pods: "1" 1
scopes:
- BestEffort 2
compute-resources-long-running.yaml
apiVersion: v1
kind: ResourceQuota
metadata:
name: compute-resources-long-running
spec:
hard:
pods: "4" 1
limits.cpu: "4" 2
limits.memory: "2Gi" 3
limits.ephemeral-storage: "4Gi" 4
scopes:
- NotTerminating 5
- 1
- 터미널이 아닌 상태의 총 Pod 수입니다.
- 2
- 터미널이 아닌 상태에서 모든 Pod의 CPU 제한 합계는 이 값을 초과할 수 없습니다.
- 3
- 터미널이 아닌 상태에서 모든 Pod의 메모리 제한 합계는 이 값을 초과할 수 없습니다.
- 4
- 터미널이 아닌 상태에서 모든 Pod의 임시 스토리지 제한 합계는 이 값을 초과할 수 없습니다.
- 5
- 할당량을
spec.activeDeadlineSeconds가nil로 설정된 일치하는 Pod로만 제한합니다. 빌드 Pod는RestartNever정책을 적용하지 않는 한NotTerminating에 해당합니다.
compute-resources-time-bound.yaml
apiVersion: v1
kind: ResourceQuota
metadata:
name: compute-resources-time-bound
spec:
hard:
pods: "2" 1
limits.cpu: "1" 2
limits.memory: "1Gi" 3
limits.ephemeral-storage: "1Gi" 4
scopes:
- Terminating 5
- 1
- 터미널이 아닌 상태의 총 Pod 수입니다.
- 2
- 터미널이 아닌 상태에서 모든 Pod의 CPU 제한 합계는 이 값을 초과할 수 없습니다.
- 3
- 터미널이 아닌 상태에서 모든 Pod의 메모리 제한 합계는 이 값을 초과할 수 없습니다.
- 4
- 터미널이 아닌 상태에서 모든 Pod의 임시 스토리지 제한 합계는 이 값을 초과할 수 없습니다.
- 5
- 할당량을
spec.activeDeadlineSeconds >=0인 일치하는 Pod로만 제한합니다. 예를 들어 이 할당량은 빌드 또는 배포자 Pod에 대해 부과되지만 웹 서버 또는 데이터베이스와 같이 오래 실행되는 Pod는 아닙니다.
storage-consumption.yaml
apiVersion: v1
kind: ResourceQuota
metadata:
name: storage-consumption
spec:
hard:
persistentvolumeclaims: "10" 1
requests.storage: "50Gi" 2
gold.storageclass.storage.k8s.io/requests.storage: "10Gi" 3
silver.storageclass.storage.k8s.io/requests.storage: "20Gi" 4
silver.storageclass.storage.k8s.io/persistentvolumeclaims: "5" 5
bronze.storageclass.storage.k8s.io/requests.storage: "0" 6
bronze.storageclass.storage.k8s.io/persistentvolumeclaims: "0" 7
- 1
- 프로젝트의 총 영구 볼륨 클레임 수
- 2
- 프로젝트의 모든 영구 볼륨 클레임에서 요청된 스토리지 합계는 이 값을 초과할 수 없습니다.
- 3
- 프로젝트의 모든 영구 볼륨 클레임에서 골드 스토리지 클래스에 요청된 스토리지 합계는 이 값을 초과할 수 없습니다.
- 4
- 프로젝트의 모든 영구 볼륨 클레임에서 실버 스토리지 클래스에 요청된 스토리지 합계는 이 값을 초과할 수 없습니다.
- 5
- 프로젝트의 모든 영구 볼륨 클레임에서 실버 스토리지 클래스의 총 클레임 수는 이 값을 초과할 수 없습니다.
- 6
- 프로젝트의 모든 영구 볼륨 클레임에서 브론즈 스토리지 클래스에 요청된 스토리지 합계는 이 값을 초과할 수 없습니다. 이 값을
0으로 설정하면 브론즈 스토리지 클래스에서 스토리지를 요청할 수 없습니다. - 7
- 프로젝트의 모든 영구 볼륨 클레임에서 브론즈 스토리지 클래스에 요청된 스토리지 합계는 이 값을 초과할 수 없습니다. 이 값을
0으로 설정하면 브론즈 스토리지 클래스에서 클레임을 생성할 수 없습니다.
17.7. 할당량 생성
할당량을 생성하려면 먼저 Sample Resource Quota Definitions 예제와 같이 파일에서 할당량을 정의합니다. 그런 다음 해당 파일을 사용하여 프로젝트에 적용합니다.
$ oc create -f <resource_quota_definition> [-n <project_name>]
예를 들면 다음과 같습니다.
$ oc create -f core-object-counts.yaml -n demoproject
17.7.1. 오브젝트 개수 할당량 생성
모든 OpenShift Container Platform 표준 네임스페이스 리소스 유형(예: BuildConfig, and DeploymentConfig )에 대한 오브젝트 수 할당량 을 생성할 수 있습니다. 오브젝트 할당량 수는 모든 표준 네임스페이스 리소스 유형에 정의된 할당량을 지정합니다.
리소스 할당량을 사용할 때 서버 스토리지에 존재하는 경우 오브젝트는 할당량에 대해 부과됩니다. 이러한 유형의 할당량은 스토리지 리소스의 소진을 방지하는 데 유용합니다.
리소스에 대한 오브젝트 수 할당량을 구성하려면 다음 명령을 실행합니다.
$ oc create quota <name> --hard=count/<resource>.<group>=<quota>,count/<resource>.<group>=<quota>
예를 들면 다음과 같습니다.
$ oc create quota test --hard=count/deployments.extensions=2,count/replicasets.extensions=4,count/pods=3,count/secrets=4 resourcequota "test" created $ oc describe quota test Name: test Namespace: quota Resource Used Hard -------- ---- ---- count/deployments.extensions 0 2 count/pods 0 3 count/replicasets.extensions 0 4 count/secrets 0 4
이 예제에서는 나열된 리소스가 클러스터에 있는 각 프로젝트의 하드 제한으로 제한됩니다.
17.8. 할당량 보기
웹 콘솔에서 프로젝트의 할당량 페이지로 이동하면 프로젝트 할당량에 정의된 모든 하드 제한과 관련된 사용량 통계를 볼 수 있습니다.
CLI를 사용하여 할당량 세부 정보를 볼 수도 있습니다.
먼저 프로젝트에 정의된 할당량 목록을 가져옵니다. 예를 들어 demoproject라는 프로젝트의 경우 다음과 같습니다.
$ oc get quota -n demoproject NAME AGE besteffort 11m compute-resources 2m core-object-counts 29m
그런 다음 관심 있는 할당량을 설명합니다(예: core-object-counts 할당량).
$ oc describe quota core-object-counts -n demoproject Name: core-object-counts Namespace: demoproject Resource Used Hard -------- ---- ---- configmaps 3 10 persistentvolumeclaims 0 4 replicationcontrollers 3 20 secrets 9 10 services 2 10
17.9. 할당량 동기화 기간 구성
리소스 집합이 삭제되면 리소스의 동기화 시간 프레임은 /etc/origin/master/master -config.yaml 파일의 resource-quota-sync- period 설정에 의해 결정됩니다.
할당량 사용을 복원하기 전에 사용자는 리소스를 재사용하려고 할 때 문제가 발생할 수 있습니다. 리소스 집합을 원하는 시간(초)에 다시 생성하고 리소스를 다시 사용할 수 있도록 resource-quota-sync-period 설정을 변경할 수 있습니다.
kubernetesMasterConfig:
apiLevels:
- v1beta3
- v1
apiServerArguments: null
controllerArguments:
resource-quota-sync-period:
- "10s"변경한 후 마스터 서비스를 다시 시작하여 적용합니다.
# master-restart api # master-restart controllers
재생성 시간을 조정하면 리소스를 생성하고 자동화를 사용할 때 리소스 사용량을 결정하는 데 유용할 수 있습니다.
resource-quota-sync-period 설정은 시스템 성능의 균형을 맞추도록 설계되었습니다. 동기화 기간을 줄이면 마스터에 많은 부하가 발생할 수 있습니다.
17.10. 배포 구성에서 할당량 계정
프로젝트에 대한 할당량이 정의된 경우 배포 구성에 대한 고려 사항은 Deployment Resources 를 참조하십시오.
17.11. 리소스를 사용하려면 명시적인 할당량이 필요합니다
할당량으로 리소스를 관리하지 않는 경우 사용자는 사용할 수 있는 리소스 양에 대한 제한이 없습니다. 예를 들어, 골드 스토리지 클래스와 관련된 스토리지에 할당량이 없으면 프로젝트에서 생성할 수 있는 골드 스토리지의 양이 바인딩되지 않습니다.
높은 비용의 컴퓨팅 또는 스토리지 리소스의 경우 리소스를 사용하려면 명시적인 할당량을 부여해야 할 수 있습니다. 예를 들어, 프로젝트에 골드 스토리지 클래스와 관련된 스토리지에 대한 할당량이 명시적으로 지정되지 않은 경우 해당 프로젝트의 사용자는 해당 유형의 스토리지를 생성할 수 없습니다.
특정 리소스를 사용하도록 명시적 할당량이 필요하려면 master-config.yaml에 다음 스탠자를 추가해야 합니다.
admissionConfig:
pluginConfig:
ResourceQuota:
configuration:
apiVersion: resourcequota.admission.k8s.io/v1alpha1
kind: Configuration
limitedResources:
- resource: persistentvolumeclaims 1
matchContains:
- gold.storageclass.storage.k8s.io/requests.storage 2
위 예제에서 할당량 시스템은 PersistentVolumeClaim 을 생성하거나 업데이트하는 모든 작업을 가로챕니다. 이 스크립트는 사용할 할당량에서 이해하는 리소스를 확인하고, 프로젝트에서 해당 리소스에 대한 쿼터가 없는 경우 요청이 거부됩니다. 이 예에서 사용자가 골드 스토리지 클래스와 연결된 스토리지를 사용하는 PersistentVolumeClaim 을 생성하여 프로젝트에 일치하는 할당량이 없으면 요청이 거부됩니다.
17.12. 확인된 문제
- 유효하지 않은 오브젝트로 인해 프로젝트에 대한 할당량 리소스가 고갈될 수 있습니다. 리소스의 유효성을 검사하기 전에 할당량이 승인 시 증가합니다. 결과적으로 Pod가 궁극적으로 유지되지 않는 경우에도 할당량을 늘릴 수 있습니다. 이 문제는 향후 릴리스에서 해결될 예정입니다. (BZ1485375)
18장. 멀티 프로젝트 할당량 설정
18.1. 개요
ClusterResourceQuota 오브젝트에서 정의하는 다중 프로젝트 할당량 을 사용하면 여러 프로젝트에서 할당량을 공유할 수 있습니다. 선택한 각 프로젝트에서 사용되는 리소스를 집계하고 이 집계를 사용하여 선택한 모든 프로젝트에서 리소스를 제한합니다.
18.2. 프로젝트 선택
주석 선택, 레이블 선택 또는 둘 다에 따라 프로젝트를 선택할 수 있습니다. 예를 들어 주석에 따라 프로젝트를 선택하려면 다음 명령을 실행합니다.
$ oc create clusterquota for-user \
--project-annotation-selector openshift.io/requester=<user-name> \
--hard pods=10 \
--hard secrets=20
다음과 같은 ClusterResourceQuota 오브젝트를 생성합니다.
apiVersion: v1 kind: ClusterResourceQuota metadata: name: for-user spec: quota: 1 hard: pods: "10" secrets: "20" selector: annotations: 2 openshift.io/requester: <user-name> labels: null 3 status: namespaces: 4 - namespace: ns-one status: hard: pods: "10" secrets: "20" used: pods: "1" secrets: "9" total: 5 hard: pods: "10" secrets: "20" used: pods: "1" secrets: "9"
이 다중 프로젝트 할당량 문서는 기본 프로젝트 요청 끝점을 사용하여 <user-name> 에서 요청하는 모든 프로젝트를 제어합니다. Pod 10개와 시크릿 20개로 제한되어 있습니다.
마찬가지로 라벨에 따라 프로젝트를 선택하려면 다음 명령을 실행합니다.
$ oc create clusterresourcequota for-name \ 1 --project-label-selector=name=frontend \ 2 --hard=pods=10 --hard=secrets=20
다음과 같은 ClusterResourceQuota 오브젝트 정의를 생성합니다.
apiVersion: v1
kind: ClusterResourceQuota
metadata:
creationTimestamp: null
name: for-name
spec:
quota:
hard:
pods: "10"
secrets: "20"
selector:
annotations: null
labels:
matchLabels:
name: frontend18.3. 적용 가능한 클러스터 리소스 쿼터보기
프로젝트 관리자는 자신의 프로젝트를 제한하는 다중 프로젝트 할당량을 생성하거나 수정할 수 없지만 관리자는 자신의 프로젝트에 적용되는 다중 프로젝트 할당량 문서를 볼 수 있습니다. 프로젝트 관리자는 AppliedClusterResourceQuota 리소스를 통해 이 작업을 수행할 수 있습니다.
$ oc describe AppliedClusterResourceQuota
생성:
Name: for-user Namespace: <none> Created: 19 hours ago Labels: <none> Annotations: <none> Label Selector: <null> AnnotationSelector: map[openshift.io/requester:<user-name>] Resource Used Hard -------- ---- ---- pods 1 10 secrets 9 20
18.4. 선택 특성
할당량 배분을 요청할 때의 잠금 고려 사항으로 인해 다중 프로젝트 할당량에 따라 선택되는 활성 프로젝트의 수는 중요한 고려 사항입니다. 단일 다중 프로젝트 할당량에서 프로젝트를 100개 이상 선택하면 해당 프로젝트의 API 서버 응답성에 불리한 영향을 미칠 수 있습니다.
19장. 오브젝트 정리
19.1. 개요
시간이 지남에 따라 OpenShift Container Platform에서 생성된 API 오브젝트는 애플리케이션을 빌드하고 배포할 때와 같은 일반 사용자 작업을 통해 etcd 데이터 저장소에 누적될 수 있습니다.
관리자는 더 이상 필요하지 않은 이전 버전의 오브젝트를 OpenShift Container Platform 인스턴스에서 주기적으로 정리할 수 있습니다. 예를 들어 이미지를 정리하면 더 이상 사용하지 않지만 디스크 공간을 차지하고 있는 오래된 이미지와 계층을 삭제할 수 있습니다.
19.2. 기본 정리 작업
CLI 그룹은 공통 상위 명령 아래의 작업을 정리합니다.
$ oc adm prune <object_type> <options>
이 명령은 다음을 지정합니다.
-
작업을 수행할
<object_type>(예:groups,builds,deployments또는images) -
해당 오브젝트 유형을 정리하도록 지원하는
<options>
19.3. 그룹 정리
관리자는 다음 명령을 실행하여 외부 공급자의 그룹 레코드를 정리할 수 있습니다.
$ oc adm prune groups --sync-config=path/to/sync/config [<options>]
| 옵션 | 설명 |
|---|---|
|
| 시험 실행하는 대신 정리를 수행해야 함을 나타냅니다. |
|
| 그룹 블랙리스트 파일의 경로입니다. 블랙리스트 파일 구조에 대해서는 LDAP를 사용하여 그룹 동기화 를 참조하십시오. |
|
| 그룹 허용 목록 파일의 경로입니다. 화이트리스트 파일 구조에 대해서는 LDAP를 사용하여 그룹 동기화 를 참조하십시오. |
|
| 동기화 구성 파일의 경로입니다. 이 파일의 구조에 대해서는 LDAP 동기화 구성을 참조하십시오. |
정리 명령에서 삭제하는 그룹을 확인하려면 다음을 수행하십시오.
$ oc adm prune groups --sync-config=ldap-sync-config.yaml
정리 작업을 수행하려면 다음을 실행합니다.
$ oc adm prune groups --sync-config=ldap-sync-config.yaml --confirm
19.4. 배포 정리
관리자는 다음 명령을 실행하여 수명 및 상태로 인해 시스템에서 더 이상 필요하지 않은 배포를 정리할 수 있습니다.
$ oc adm prune deployments [<options>]
| 옵션 | 설명 |
|---|---|
|
| 시험 실행하는 대신 정리를 수행해야 함을 나타냅니다. |
|
| 배포 구성이 더 이상 존재하지 않거나 상태가 완료 또는 실패하며 복제본 수는 0인 배포를 모두 정리합니다. |
|
|
배포 구성별로 상태가 완료되고 복제본 수가 0인 마지막 배포 N개를 유지합니다(기본값 |
|
|
배포 구성별로 상태가 실패하고 복제본 수가 0인 마지막 N |
|
|
현재 시간을 기준으로 |
정리 작업에서 삭제하는 항목을 확인하려면 다음을 수행합니다.
$ oc adm prune deployments --orphans --keep-complete=5 --keep-failed=1 \
--keep-younger-than=60m실제로 정리 작업을 수행하려면 다음을 실행합니다.
$ oc adm prune deployments --orphans --keep-complete=5 --keep-failed=1 \
--keep-younger-than=60m --confirm19.5. 빌드 정리
관리자는 다음 명령을 실행하여 수명 및 상태로 인해 시스템에서 더 이상 필요하지 않은 빌드를 정리할 수 있습니다.
$ oc adm prune builds [<options>]
| 옵션 | 설명 |
|---|---|
|
| 시험 실행하는 대신 정리를 수행해야 함을 나타냅니다. |
|
| 빌드 구성이 더 이상 존재하지 않거나 상태가 완료, 실패, 오류 또는 취소된 빌드를 모두 정리합니다. |
|
|
빌드 구성별로 상태가 완료된 마지막 빌드 N개를 유지합니다(기본값: |
|
|
빌드 구성별로 상태가 실패, 오류 또는 취소된 마지막 빌드 N |
|
|
현재 시간을 기준으로 |
정리 작업에서 삭제하는 항목을 확인하려면 다음을 수행합니다.
$ oc adm prune builds --orphans --keep-complete=5 --keep-failed=1 \
--keep-younger-than=60m실제로 정리 작업을 수행하려면 다음을 실행합니다.
$ oc adm prune builds --orphans --keep-complete=5 --keep-failed=1 \
--keep-younger-than=60m --confirm개발자는 빌드 구성을 수정하여 자동 빌드 정리를 활성화할 수 있습니다.
19.6. 이미지 정리
관리자는 다음 명령을 실행하여 수명, 상태 또는 제한 초과로 인해 시스템에서 더 이상 필요하지 않은 이미지를 정리할 수 있습니다.
$ oc adm prune images [<options>]
현재는 이미지를 정리하려면 먼저 액세스 토큰이 있는 사용자로 CLI 에 로그인해야 합니다. 사용자에게 클러스터 역할 system:image-pruner 이상이 있어야 합니다(예: cluster-admin).
--prune-registry=false를 사용하지 않는 한 이미지를 정리하면 통합 레지스트리에서 데이터가 제거됩니다. 이 작업이 제대로 작동하려면 레지스트리가 storage:delete:enabled 가 true 로 설정되어 있는지 확인합니다.
--namespace 플래그를 사용하여 이미지를 정리하면 이미지는 제거되지 않고 스트림만 제거됩니다. 이미지는 네임스페이스가 아닌 리소스입니다. 따라서 특정 네임스페이스로 정리를 제한하면 현재 사용량을 계산할 수 없습니다.
기본적으로 통합 레지스트리는 메타데이터를 Blob하여 스토리지에 대한 요청 수를 줄이고 요청 처리 속도를 높입니다. 정리를 수행해도 통합 레지스트리 캐시는 업데이트되지 않습니다. 캐시에 메타데이터가 있는 정리된 계층은 푸시되지 않으므로 정리된 계층이 포함된 이미지가 손상됩니다. 따라서 정리 후 캐시를 지워야 합니다. 이 작업은 레지스트리를 재배포하여 수행할 수 있습니다.
$ oc rollout latest dc/docker-registry
통합 레지스트리에서 redis 캐시를 사용하는 경우 데이터베이스를 수동으로 정리해야 합니다.
정리 후 레지스트리 재배포가 옵션이 아닌 경우 캐시를 영구적으로 비활성화해야 합니다.
| 옵션 | 설명 |
|---|---|
|
|
레지스트리로 내보내지 않았지만 pullthrough에 의해 미러링된 이미지를 포함합니다. 기본적으로 활성화되어 있습니다. 통합 레지스트리로 내보낸 이미지로 정리를 제한하려면 |
|
| OpenShift Container Platform 관리 레지스트리와 통신할 때 사용할 인증 기관 파일의 경로입니다. 기본값은 현재 사용자 구성 파일의 인증 기관 데이터입니다. 제공된 경우 보안 연결이 시작됩니다. |
|
|
시험 실행하는 대신 정리를 수행해야 함을 나타냅니다. 이를 위해서는 통합 컨테이너 이미지 레지스트리에 대한 올바른 경로가 필요합니다. 이 명령이 클러스터 네트워크 외부에서 실행되는 경우 |
|
| 이 옵션에는 주의가 필요합니다. HTTP를 통해 호스팅되거나 잘못된 HTTPS 인증서가 있는 Docker 레지스트리에 비보안 연결을 허용합니다. 자세한 내용은 보안 또는 비보안 연결 사용을 참조하십시오. |
|
|
각 이미지 스트림에 대해 태그당 최대 N |
|
|
현재 시간을 기준으로 |
|
|
동일한 프로젝트에 정의된 최소 제한을 초과하는 각 이미지를 정리합니다. 이 플래그는 |
|
|
레지스트리에 연결할 때 사용하는 주소입니다. 명령은 관리되는 이미지 및 이미지 스트림에서 결정된 클러스터 내부 URL 사용을 시도합니다. 실패하는 경우(레지스트리를 해석하거나 연결할 수 없음) 이 플래그를 사용하여 작동하는 대체 경로를 제공해야 합니다. 레지스트리 호스트 이름 앞에는 특정 연결 프로토콜을 적용하는 |
|
| 이 옵션은 다른 옵션에서 지정하는 조건과 함께 OpenShift Container Platform Image API 오브젝트에 해당하는 레지스트리의 데이터를 정리할지 여부를 제어합니다. 기본적으로 이미지 정리는 Image API 오브젝트와 레지스트리의 해당 데이터를 모두 처리합니다. 이 옵션은 이미지 오브젝트의 수를 줄이기 위해 etcd 콘텐츠만 제거하거나 레지스트리 스토리지를 정리하지 않는 경우 유용합니다. 또는 레지스트리의 적절한 유지 관리 기간 동안 Hard Pruning the Registry 를 별도로 수행하려고 합니다. |
19.6.1. 이미지 정리 조건
--keep주석이 있는 이미지)를 제거하고 현재 다음과 같이 참조하지 않습니다.-younger-than분 전 생성된 모든 이미지 "OpenShift Container Platform에서 관리" (openshift.io/image.managed-
--keep-younger-than분 이내에 생성한 모든 Pod -
--keep-younger-than분 이내에 생성된 모든 이미지 스트림. - 실행 중인 모든 포드.
- 보류 중인 포드.
- 모든 복제 컨트롤러.
- 모든 배포 구성.
- 모든 빌드 구성.
- 모든 빌드.
-
stream.status.tags[].items의--keep-tag-revisions최신 항목입니다.
-
동일한 프로젝트에 정의된 최소 제한을 초과하고 현재 다음을 참조하지 않는 "OpenShift Container Platform에서 관리" 이미지 (openshift
.io/image.managed주석이 있는 이미지)를 제거합니다.- 실행 중인 모든 포드.
- 보류 중인 포드.
- 모든 복제 컨트롤러.
- 모든 배포 구성.
- 모든 빌드 구성.
- 모든 빌드.
- 외부 레지스트리에서 정리를 지원하지 않습니다.
-
이미지를 정리하면
status.tags의 이미지에 대한 참조가 있는 모든 이미지 스트림에서 이미지에 대한 참조가 모두 제거됩니다. - 이미지에서 더 이상 참조하지 않는 이미지 계층도 제거됩니다.
--prune-over-size-limit 는 --keep-tag-revisions 또는 플래그와 결합할 수 없습니다. 이렇게 하면 이 작업을 허용하지 않는 정보가 반환됩니다.
--keep- younger-than
--prune-registry=false 를 사용하여 OpenShift Container Platform Image API 오브젝트 및 이미지 데이터를 레지스트리에서 제거한 다음 레지스트리를 하드 정리하면 일부 타이밍 창이 좁히며 하나의 명령을 통해 정리하는 데 비해 더 안전합니다. 그러나 시차가 완전히 제거되지는 않습니다.
예를 들어 정리에서 정리할 이미지를 식별하므로 이미지를 참조하는 Pod를 계속 생성할 수 있습니다. 제거 작업 중에 이미지를 참조할 수 있는 API 오브젝트를 계속 추적해야 하므로 삭제된 콘텐츠에 대한 참조를 완화할 수 있습니다.
또한 --prune- registry 옵션 없이 또는 --prune-registry =true를 사용하여 정리를 다시 수행해도 이전에 로 정리한 이미지의 이미지 레지스트리에서 연결된 스토리지를 정리하지 않습니다. --prune-registry= false--prune-registry=false 를 사용하여 정리한 이미지는 레지스트리 정리를 통해 레지스트리 스토리지에서만 삭제할 수 있습니다.
정리 작업에서 삭제하는 항목을 확인하려면 다음을 수행합니다.
태그 리버전을 3개까지 유지하고 60분 내에 리소스(이미지, 이미지 스트림 및 Pod)를 유지합니다.
$ oc adm prune images --keep-tag-revisions=3 --keep-younger-than=60m
정의된 제한을 초과하는 모든 이미지를 정리합니다.
$ oc adm prune images --prune-over-size-limit
이전에 언급한 옵션에 대해 실제로 정리 작업을 수행하려면 다음 명령을 실행합니다.
$ oc adm prune images --keep-tag-revisions=3 --keep-younger-than=60m --confirm $ oc adm prune images --prune-over-size-limit --confirm
19.6.2. 보안 또는 비보안 연결 사용
보안 연결은 선호되고 권장되는 접근 방식입니다. 필수 인증서 확인과 함께 HTTPS 프로토콜을 통해 수행됩니다. prune 명령에서는 가능한 경우 항상 필수 인증서 확인을 사용하려고 합니다. 가능하지 않은 경우 일부 경우에는 비보안 연결로 대체할 수 있습니다. 이는 위험합니다. 이 경우 인증서 확인을 건너뛰거나 일반 HTTP 프로토콜을 사용합니다.
다음의 경우 --certificate-authority를 지정하지 않는 한 비보안 연결로 대체할 수 있습니다.
-
prune명령이--force-insecure옵션과 함께 실행됩니다. -
제공된
registry-url이http://스키마로 시작됩니다. -
제공된
registry-url은 로컬 링크 주소 또는 localhost입니다. -
현재 사용자의 구성에서 비보안 연결을 허용합니다. 이는 사용자가
--insecure-skip-tls-verify를 사용하여 로그인하거나 메시지가 표시되면 비보안 연결을 선택하기 때문에 발생할 수 있습니다.
OpenShift Container Platform에서 사용하는 인증 기관과 다른 인증 기관에서 레지스트리를 보호하는 경우 --certificate-authority 플래그를 사용하여 지정해야 합니다. 그렇지 않으면 정리 명령이 Wrong 인증 기관 사용 또는 보안 레지스트리를 반대하는 비보안 연결 사용과 비슷한 오류와 함께 실패합니다.
19.6.3. 이미지 정리 문제
이미지가 정리되지 않음
이미지가 계속 누적되고 prune 명령이 예상 항목의 일부만 제거하는 경우 이미지를 정리 후보로 간주하기 위해 적용해야 하는 조건을 이해해야 합니다.
특히 제거하려는 이미지가 선택한 태그 버전 임계값보다 각 태그 기록의 더 높은 위치에 발생하도록 합니다. 예를 들어 sha:abz라는 오래되고 더 이상 사용되지 않는 이미지를 고려해 보십시오. 이미지에 태그가 지정된 네임스페이스 N 에서 다음 명령을 실행하면 myapp 이라는 단일 이미지 스트림에 이미지에 세 번 태그가 지정됩니다.
$ image_name="sha:abz"
$ oc get is -n openshift -o go-template='{{range $isi, $is := .items}}{{range $ti, $tag := $is.status.tags}}{{range $ii, $item := $tag.items}}{{if eq $item.image "'$image_name'"}}{{$is.metadata.name}}:{{$tag.tag}} at position {{$ii}} out of {{len $tag.items}}
{{end}}{{end}}{{end}}{{end}}' # Before this place {{end}}{{end}}{{end}}{{end}}, use new line
myapp:v2 at position 4 out of 5
myapp:v2.1 at position 2 out of 2
myapp:v2.1-may-2016 at position 0 out of 1
기본 옵션을 사용하면 myapp:v2.1-may-2016 태그 기록의 위치 0 에서 이미지가 정리되지 않으므로 이미지가 정리되지 않습니다. 정리할 이미지에 대해 관리자는 다음 중 하나를 수행해야 합니다.
oc adm prune images명령을 사용하여--keep-tag-revisions=0을 지정합니다.경고이 작업은 지정된 임계값 미만 또는 지정된 임계값 미만인 오브젝트에서 참조하지 않는 한 기본 이미지가 있는 모든 네임스페이스에서 모든 태그를 효과적으로 제거합니다.
-
위치가 리버전 임계값 미만인 istags 를 모두 삭제합니다. 즉,
myapp:v2.1및myapp:v2.1-may-2016을 의미합니다. - 새 빌드를 동일한 istag로 내보내거나 다른 이미지에 태그를 지정하여 내역에서 이미지를 더 이동합니다. 안타깝게도 이전 릴리스 태그에는 이 기능이 적절하지 않습니다.
이미지를 정의하지 않은 시간 동안 유지해야 하는 경우가 아니면 이름에 특정 이미지 빌드의 날짜 또는 시간이 있는 태그를 피해야 합니다. 이러한 태그는 내역에 하나의 이미지만 있어 정리되지 않습니다. istag 명명에 대해 자세히 알아보기.
비보안 레지스트리에 대한 보안 연결 사용
oc adm prune 이미지 출력에 다음과 유사한 메시지가 표시되면 레지스트리가 보안되지 않고 oc adm prune images 클라이언트에서 보안 연결을 사용하려고 합니다.
error: error communicating with registry: Get https://172.30.30.30:5000/healthz: http: server gave HTTP response to HTTPS client
-
권장되는 솔루션은 레지스트리를 보호하는 것입니다. 이를 원하지 않는 경우
--force-insecure를 명령에 추가하여 클라이언트가 안전하지 않은 연결을 사용하도록 할 수 있습니다 (권장되지 않음 ).
19.6.3.1. 보안 레지스트리에 대해 비보안 연결 사용
oc adm prune images 명령 출력에 다음 오류 중 하나가 표시되면 연결 확인을 위해 클라이언트에서 사용하는 인증 기관이 아닌 다른 인증 기관에서 서명한 인증서를 사용하여 레지스트리를 보호함을 의미합니다.
oc adm prune images
error: error communicating with registry: Get http://172.30.30.30:5000/healthz: malformed HTTP response "\x15\x03\x01\x00\x02\x02" error: error communicating with registry: [Get https://172.30.30.30:5000/healthz: x509: certificate signed by unknown authority, Get http://172.30.30.30:5000/healthz: malformed HTTP response "\x15\x03\x01\x00\x02\x02"]
기본적으로 사용자의 구성 파일에 저장된 인증 기관 데이터는 master API와의 통신에 동일한 내용으로 사용됩니다.
--certificate-authority 옵션을 사용하여 컨테이너 이미지 레지스트리 서버에 대한 올바른 인증 기관을 제공합니다.
잘못된 인증 기관 사용
다음 오류는 보안 컨테이너 이미지 레지스트리의 인증서에 서명하는 데 사용되는 인증 기관이 클라이언트에서 사용하는 기관과 다릅니다.
error: error communicating with registry: Get https://172.30.30.30:5000/: x509: certificate signed by unknown authority
--certificate-authority 플래그를 사용하여 올바른 정보를 제공하십시오.
해결 방법으로 --force-insecure 플래그를 대신 추가할 수 있습니다 (권장되지 않음 ).
19.7. 레지스트리 하드 정리
OpenShift Container Registry는 OpenShift Container Platform 클러스터의 etcd에서 참조하지 않는 Blob을 누적할 수 있습니다. 따라서 기본 이미지 정리 절차를 수행할 수 없습니다. 이를 고립된 Blob이라고 합니다.
고립된 Blob은 다음과 같은 시나리오에서 발생할 수 있습니다.
-
etcd의 이미지만 제거하고 레지스트리 스토리지의 이미지는 제거하지 않는
oc delete image <sha256:image-id>명령을 사용하여 이미지를 수동으로 삭제합니다. - docker 데몬 오류로 인해 시작된 레지스트리로 내보내 일부 Blob이 업로드되지만 (최종 구성 요소로 업로드되는) 이미지 매니페스트는 업로드되지 않습니다. 모든 고유 이미지 Blob이 고립됩니다.
- OpenShift Container Platform에서 할당량 제한 때문에 이미지를 거부합니다.
- 표준 이미지 정리기에서 이미지 매니페스트를 삭제하지만 관련 Blob을 삭제하기 전에 중단됩니다.
- 의도한 Blob을 제거하지 못하는 레지스트리 정리기 버그로 인해 해당 Blob을 참조하는 이미지 오브젝트가 제거되고 Blob이 고립됩니다.
기본 이미지 정리와 별도의 절차인 레지스트리 하드 정리를 사용하면 고립된 Blob을 제거할 수 있습니다. OpenShift Container Registry의 스토리지 공간이 부족하고 고립된 Blob이 있다고 생각되면 하드 정리를 수행해야 합니다.
이 작업은 드물게 수행해야 하며 상당한 수의 고립이 새롭게 생성되었다는 증거가 있는 경우에만 필요합니다. 이러한 경우가 아니라면 생성되는 이미지 수에 따라 하루에 한 번과 같이 일정한 간격으로 표준 이미지를 정리하면 됩니다.
레지스트리에서 고립된 Blob을 하드 정리하려면 다음을 수행합니다.
- 로그인: 액세스 토큰이 있는 사용자로 CLI 를 사용하여 로그인합니다.
기본 이미지 정리를 실행합니다. 기본 이미지 정리에서는 더 이상 필요하지 않은 추가 이미지를 제거합니다. 하드 정리는 이미지를 자체적으로 제거하지 않습니다. 레지스트리 스토리지에 저장된 Blob만 제거합니다. 따라서 하드 정리 전에 기본 이미지 정리를 실행해야 합니다.
단계는 이미지 정리를 참조하십시오.
레지스트리를 읽기 전용 모드로 전환: 레지스트리가 읽기 전용 모드로 실행되지 않는 경우 정리 작업과 동시에 발생하는 모든 내보내기 작업에서 다음 중 하나를 수행합니다.
- 실패 및 새로운 고립 발생
- 이미지를 가져올 수 없지만 성공합니다(참조된 Blob 중 일부가 삭제되었기 때문에).
내보내기 작업은 레지스트리가 다시 읽기-쓰기 모드로 전환될 때까지 실패합니다. 따라서 하드 정리는 신중하게 계획해야 합니다.
레지스트리를 읽기 전용 모드로 전환하려면 다음을 수행합니다.
다음 환경 변수를 설정합니다.
$ oc set env -n default \ dc/docker-registry \ 'REGISTRY_STORAGE_MAINTENANCE_READONLY={"enabled":true}'기본적으로 이전 단계가 완료되면 레지스트리가 자동으로 다시 배포되어야 합니다. 계속하기 전에 재배포가 완료될 때까지 기다립니다. 그러나 이러한 트리거를 비활성화한 경우 새 환경 변수가 선택되도록 수동으로 레지스트리를 재배포해야 합니다.
$ oc rollout -n default \ latest dc/docker-registry
system:image-pruner 역할을 추가합니다. 일부 리소스를 나열하는 데에는 레지스트리 인스턴스를 실행하는 데 사용하는 서비스 계정에 추가 권한이 필요합니다.
서비스 계정 이름을 가져옵니다.
$ service_account=$(oc get -n default \ -o jsonpath=$'system:serviceaccount:{.metadata.namespace}:{.spec.template.spec.serviceAccountName}\n' \ dc/docker-registry)system:image-pruner 클러스터 역할을 서비스 계정에 추가합니다.
$ oc adm policy add-cluster-role-to-user \ system:image-pruner \ ${service_account}
(선택 사항) 시험 실행 모드에서 정리기를 실행합니다 : 제거되는 Blob 수를 보려면 시험 실행 모드에서 하드 정리기를 실행합니다. 실제로는 변경되지 않습니다.
$ oc -n default \ exec -i -t "$(oc -n default get pods -l deploymentconfig=docker-registry \ -o jsonpath=$'{.items[0].metadata.name}\n')" \ -- /usr/bin/dockerregistry -prune=check또는 정리 후보에 대한 정확한 경로를 가져오도록 로깅 수준을 높입니다.
$ oc -n default \ exec "$(oc -n default get pods -l deploymentconfig=docker-registry \ -o jsonpath=$'{.items[0].metadata.name}\n')" \ -- /bin/sh \ -c 'REGISTRY_LOG_LEVEL=info /usr/bin/dockerregistry -prune=check'잘린 샘플 출력
$ oc exec docker-registry-3-vhndw \ -- /bin/sh -c 'REGISTRY_LOG_LEVEL=info /usr/bin/dockerregistry -prune=check' time="2017-06-22T11:50:25.066156047Z" level=info msg="start prune (dry-run mode)" distribution_version="v2.4.1+unknown" kubernetes_version=v1.6.1+$Format:%h$ openshift_version=unknown time="2017-06-22T11:50:25.092257421Z" level=info msg="Would delete blob: sha256:00043a2a5e384f6b59ab17e2c3d3a3d0a7de01b2cabeb606243e468acc663fa5" go.version=go1.7.5 instance.id=b097121c-a864-4e0c-ad6c-cc25f8fdf5a6 time="2017-06-22T11:50:25.092395621Z" level=info msg="Would delete blob: sha256:0022d49612807cb348cabc562c072ef34d756adfe0100a61952cbcb87ee6578a" go.version=go1.7.5 instance.id=b097121c-a864-4e0c-ad6c-cc25f8fdf5a6 time="2017-06-22T11:50:25.092492183Z" level=info msg="Would delete blob: sha256:0029dd4228961086707e53b881e25eba0564fa80033fbbb2e27847a28d16a37c" go.version=go1.7.5 instance.id=b097121c-a864-4e0c-ad6c-cc25f8fdf5a6 time="2017-06-22T11:50:26.673946639Z" level=info msg="Would delete blob: sha256:ff7664dfc213d6cc60fd5c5f5bb00a7bf4a687e18e1df12d349a1d07b2cf7663" go.version=go1.7.5 instance.id=b097121c-a864-4e0c-ad6c-cc25f8fdf5a6 time="2017-06-22T11:50:26.674024531Z" level=info msg="Would delete blob: sha256:ff7a933178ccd931f4b5f40f9f19a65be5eeeec207e4fad2a5bafd28afbef57e" go.version=go1.7.5 instance.id=b097121c-a864-4e0c-ad6c-cc25f8fdf5a6 time="2017-06-22T11:50:26.674675469Z" level=info msg="Would delete blob: sha256:ff9b8956794b426cc80bb49a604a0b24a1553aae96b930c6919a6675db3d5e06" go.version=go1.7.5 instance.id=b097121c-a864-4e0c-ad6c-cc25f8fdf5a6 ... Would delete 13374 blobs Would free up 2.835 GiB of disk space Use -prune=delete to actually delete the data하드 정리를 실행합니다. docker-registry Pod에서 실행 중인 하나의 인스턴스 내에서 다음 명령을 실행하여 하드 정리를 실행합니다.
$ oc -n default \ exec -i -t "$(oc -n default get pods -l deploymentconfig=docker-registry -o jsonpath=$'{.items[0].metadata.name}\n')" \ -- /usr/bin/dockerregistry -prune=delete샘플 출력
$ oc exec docker-registry-3-vhndw \ -- /usr/bin/dockerregistry -prune=delete Deleted 13374 blobs Freed up 2.835 GiB of disk space레지스트리를 읽기-쓰기 모드로 다시 전환합니다. 정리가 완료되면 다음을 실행하여 레지스트리를 다시 읽기-쓰기 모드로 전환할 수 있습니다.
$ oc set env -n default dc/docker-registry REGISTRY_STORAGE_MAINTENANCE_READONLY-
19.8. Cron 작업 정리
Cron Jobs는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원하지 않으며, 기능상 완전하지 않을 수 있어 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.
Cron 작업은 성공한 작업을 정리할 수 있지만 실패한 작업은 제대로 처리하지 못할 수 있습니다. 따라서 클러스터 관리자는 수동으로 정기적으로 작업을 정리해야 합니다. 또한 cron 작업에 대한 액세스를 신뢰할 수 있는 소수의 사용자 그룹으로 제한 하고 cron 작업이 너무 많은 작업 및 포드를 생성하지 않도록 적절한 할당량 을 설정하는 것이 좋습니다.
20장. 사용자 정의 리소스를 사용하여 Kubernetes API 확장
20.1. Kubernetes 사용자 정의 리소스 정의
Kubernetes API에서 리소스는 특정 종류의 API 오브젝트 컬렉션을 저장하는 끝점입니다. 예를 들어 기본 제공 Pod 리소스에는 Pod 오브젝트 컬렉션이 포함되어 있습니다.
사용자 정의 리소스는 Kubernetes API를 확장하거나 자체 API를 프로젝트 또는 클러스터에 도입할 수 있는 오브젝트입니다.
CRD(사용자 정의 리소스 정의 ) 파일은 자체 오브젝트 유형을 정의하고 API 서버가 전체 라이프사이클을 처리할 수 있도록 합니다. CRD를 클러스터에 배포하면 Kubernetes API 서버가 지정된 사용자 지정 리소스 제공을 시작합니다.
새 CRD(사용자 정의 리소스 정의)를 생성할 때 Kubernetes API 서버는 전체 클러스터 또는 단일 프로젝트(네임스페이스)에서 액세스할 수 있는 새 RESTful 리소스 경로를 생성하여 반응합니다. 기존의 기본 제공 오브젝트와 마찬가지로 프로젝트를 삭제하면 해당 프로젝트의 모든 사용자 지정 오브젝트가 삭제됩니다.
사용자에게 CRD에 대한 액세스 권한을 부여하려면 클러스터 역할 집계를 사용하여 admin, edit 또는 view 기본 클러스터 역할이 있는 사용자에게 액세스 권한을 부여합니다. 클러스터 역할 집계를 사용하면 이러한 클러스터 역할에 사용자 정의 정책 규칙을 삽입할 수 있습니다. 이 동작은 새 리소스를 기본 제공 리소스인 것처럼 클러스터의 RBAC 정책에 통합합니다.
클러스터 관리자만 CRD를 생성할 수 있지만 읽기 및 쓰기 권한이 있는 경우 CRD에서 오브젝트를 생성할 수 있습니다.
20.2. 사용자 정의 리소스 정의 생성
사용자 정의 오브젝트를 생성하려면 먼저 CRD(사용자 정의 리소스 정의)를 생성해야 합니다.
클러스터 관리자만 CRD를 생성할 수 있습니다.
절차
CRD를 생성하려면 다음을 수행합니다.
다음 예제의 필드가 포함된 YAML 파일을 생성합니다.
사용자 정의 리소스 정의에 대한 YAML 파일의 예
apiVersion: apiextensions.k8s.io/v1beta1 1 kind: CustomResourceDefinition metadata: name: crontabs.stable.example.com 2 spec: group: stable.example.com 3 version: v1 4 scope: Namespaced 5 names: plural: crontabs 6 singular: crontab 7 kind: CronTab 8 shortNames: - ct 9
- 1
apiextensions.k8s.io/v1beta1API를 사용합니다.- 2
- 정의의 이름을 지정합니다.
group및plural필드의 값을 사용하는 <plural-name><group> 형식이어야 합니다. - 3
- API의 그룹 이름을 지정합니다. API 그룹은 논리적으로 관련된 오브젝트의 컬렉션입니다. 예를 들어
Job또는ScheduledJob과 같은 모든 배치 오브젝트는 배치 API 그룹(예: batch.api.example.com)에 있을 수 있습니다. 조직의 정규화된 도메인 이름을 사용하는 것이 좋습니다. - 4
- URL에 사용할 버전 이름을 지정합니다. 각 API 그룹은 여러 버전에 존재할 수 있습니다. 예:
v1alpha,v1beta,v1. - 5
- 특정 프로젝트(
Namespaced) 또는 클러스터의 모든 프로젝트(Cluster)에서 사용자 정의 오브젝트를 사용할 수 있는지 지정합니다. - 6
- URL에서 사용할 복수형 이름을 지정합니다.
plural필드는 API URL의 리소스와 동일합니다. - 7
- CLI 및 디스플레이에서 별칭으로 사용할 단수형 이름을 지정합니다.
- 8
- 생성할 수 있는 오브젝트의 종류를 지정합니다. 유형은 CamelCase에 있을 수 있습니다.
- 9
- CLI의 리소스와 일치하는 짧은 문자열을 지정합니다.
참고기본적으로 사용자 정의 리소스 정의는 클러스터 범위이며 모든 프로젝트에서 사용할 수 있습니다.
오브젝트를 생성합니다.
oc create -f <file-name>.yaml
다음에 새 RESTful API 끝점이 생성됩니다.
/apis/<spec:group>/<spec:version>/<scope>/*/<names-plural>/...
예를 들어 예제 파일을 사용하면 다음 끝점이 생성됩니다.
/apis/stable.example.com/v1/namespaces/*/crontabs/...
이 끝점 URL을 사용하여 사용자 지정 오브젝트를 생성하고 관리할 수 있습니다. 오브젝트의 종류는 생성한 Custom Resource Definition 오브젝트의
spec.kind필드를 기반으로 합니다.
20.3. 사용자 정의 리소스 정의에 대한 클러스터 역할 생성
클러스터 범위의 CRD(사용자 정의 리소스 정의)를 생성한 후 권한을 부여할 수 있습니다. admin, edit, view 기본 클러스터 역할을 사용하는 경우 해당 규칙에 대한 클러스터 역할 집계를 활용하십시오.
이러한 각 역할에 대한 권한을 명시적으로 할당해야 합니다. 권한이 더 많은 역할은 권한이 더 적은 역할의 규칙을 상속하지 않습니다. 역할에 규칙을 할당하는 경우 권한이 더 많은 역할에 해당 동사를 할당해야 합니다. 예를 들어 보기 역할에 "get crontabs" 권한을 부여하는 경우 edit 및 admin 역할에도 부여해야 합니다. admin 또는 edit 역할은 일반적으로 프로젝트 템플릿 을 통해 프로젝트를 생성한 사용자에게 할당됩니다.
사전 요구 사항
- CRD를 생성합니다.
프로세스
CRD의 클러스터 역할 정의 파일을 생성합니다. 클러스터 역할 정의는 각 클러스터 역할에 적용되는 규칙이 포함된 YAML 파일입니다. OpenShift Container Platform 컨트롤러는 사용자가 지정하는 규칙을 기본 클러스터 역할에 추가합니다.
클러스터 역할 정의에 대한 YAML 파일의 예
apiVersion: rbac.authorization.k8s.io/v1 1 kind: ClusterRole items: - metadata: name: aggregate-cron-tabs-admin-edit 2 labels: rbac.authorization.k8s.io/aggregate-to-admin: "true" 3 rbac.authorization.k8s.io/aggregate-to-edit: "true" 4 rules: - apiGroups: ["stable.example.com"] 5 resources: ["crontabs"] 6 verbs: ["get", "list", "watch", "create", "update", "patch", "delete", "deletecollection"] 7 - metadata: name: aggregate-cron-tabs-view 8 labels: # Add these permissions to the "view" default role. rbac.authorization.k8s.io/aggregate-to-view: "true" 9 rbac.authorization.k8s.io/aggregate-to-cluster-reader: "true" 10 rules: - apiGroups: ["stable.example.com"] 11 resources: ["crontabs"] 12 verbs: ["get", "list", "watch"] 13
클러스터 역할을 생성합니다.
oc create -f <file-name>.yaml
20.4. CRD에서 사용자 정의 오브젝트 생성
CRD(사용자 정의 리소스 정의) 오브젝트를 생성한 후 해당 사양을 사용하는 사용자 정의 오브젝트를 생성할 수 있습니다.
사용자 지정 오브젝트에는 임의의 JSON 코드가 포함된 사용자 지정 필드가 포함될 수 있습니다.
사전 요구 사항
- CRD를 생성합니다.
절차
사용자 정의 오브젝트에 대한 YAML 정의를 생성합니다. 다음 예제 정의에서
cronSpec 및 image사용자 지정 필드는 kindCronTab의 사용자 정의 오브젝트에 설정됩니다. 종류는 사용자 정의 리소스 정의 오브젝트의spec.kind필드에서 가져옵니다.사용자 정의 오브젝트의 YAML 파일의 예
apiVersion: "stable.example.com/v1" 1 kind: CronTab 2 metadata: name: my-new-cron-object 3 finalizers: 4 - finalizer.stable.example.com spec: 5 cronSpec: "* * * * /5" image: my-awesome-cron-image
오브젝트 파일을 생성한 후 오브젝트를 생성합니다.
oc create -f <file-name>.yaml
20.5. 사용자 정의 오브젝트 관리
오브젝트를 생성한 후 사용자 정의 리소스를 관리할 수 있습니다.
사전 요구 사항
- CRD(사용자 정의 리소스 정의)를 생성합니다.
- CRD에서 오브젝트를 생성합니다.
절차
특정 유형의 사용자 정의 리소스에 대한 정보를 얻으려면 다음을 입력합니다.
oc get <kind>
예를 들면 다음과 같습니다.
oc get crontab NAME KIND my-new-cron-object CronTab.v1.stable.example.com
리소스 이름은 대소문자를 구분하지 않으며 CRD에 정의된 단수형 또는 복수형 양식과 짧은 이름을 사용할 수 있습니다. 예를 들면 다음과 같습니다.
oc get crontabs oc get crontab oc get ct
사용자 정의 리소스의 원시 YAML 데이터를 볼 수도 있습니다.
oc get <kind> -o yaml
oc get ct -o yaml apiVersion: v1 items: - apiVersion: stable.example.com/v1 kind: CronTab metadata: clusterName: "" creationTimestamp: 2017-05-31T12:56:35Z deletionGracePeriodSeconds: null deletionTimestamp: null name: my-new-cron-object namespace: default resourceVersion: "285" selfLink: /apis/stable.example.com/v1/namespaces/default/crontabs/my-new-cron-object uid: 9423255b-4600-11e7-af6a-28d2447dc82b spec: cronSpec: '* * * * /5' 1 image: my-awesome-cron-image 2
21장. 가비지 컬렉션
21.1. 개요
OpenShift Container Platform 노드는 두 가지 유형의 가비지 컬렉션을 수행합니다.
- 컨테이너 가비지 컬렉션: 종료된 컨테이너를 제거합니다. 기본적으로 사용하도록 설정되어 있습니다.
- 이미지 가비지 컬렉션: 실행 중인 Pod에서 참조하지 않는 이미지를 제거합니다. 기본적으로 활성화되어 있지 않습니다.
21.2. 컨테이너 가비지 컬렉션
컨테이너 가비지 컬렉션은 기본적으로 활성화되어 있으며 제거 임계값에 도달하는 데 자동으로 수행됩니다. 노드는 API에서 액세스할 수 있는 모든 포드의 컨테이너를 유지하려고 합니다. pod가 삭제된 경우 컨테이너도 삭제됩니다. pod가 삭제되지 않고 제거 임계 값에 도달하지 않는 한 컨테이너는 보존됩니다. 노드가 디스크 부족 상태에 있으면 컨테이너가 제거되고 oc 로그를 통해 로그에 더 이상 액세스할 수 없습니다.
컨테이너 가비지 컬렉션 정책은 세 개의 노드 설정을 기반으로 합니다.
| 설정 | 설명 |
|---|---|
|
| 컨테이너가 가비지 컬렉션에 적합한 최소 기간입니다. 기본값은 0입니다. 제한 없이 0 을 사용합니다. 이 설정의 값은 h (시간), m (분), s (초)와 같은 단위 접미사를 사용하여 지정할 수 있습니다. |
|
| 컨테이너당 유지할 이전 인스턴스 수입니다. 기본값은 1입니다. |
|
| 노드에서 총 종료된 컨테이너의 최대 수입니다. 기본값은 -1 이며 무제한을 의미합니다. |
충돌이 있는 경우 maximum-dead-containers 설정은 maximum-dead-containers-per-container 설정보다 우선합니다. 예를 들어 maximum-dead-containers-per-container 의 수를 유지하면 총 최대 컨테이너 수가 max-dead-containers보다 큰 경우 제한을 충족하기 위해 가장 오래된 컨테이너가 제거됩니다.
최대-dead-containers
노드가 종료된 컨테이너를 제거하면 해당 컨테이너 내의 모든 파일도 제거됩니다. 노드에서 생성된 컨테이너만 가비지 수집됩니다.
기본 설정을 사용하지 않으려면 적절한 노드 구성 맵 의 kubeletArguments 섹션에 이러한 설정 값을 지정할 수 있습니다. 아직 없는 경우 섹션을 추가합니다.
이러한 매개변수가 노드 구성 맵에 없는 경우 컨테이너 가비지 컬렉션은 기본값을 사용하여 수행됩니다.
컨테이너 가비지 컬렉션 설정
kubeletArguments:
minimum-container-ttl-duration:
- "10s"
maximum-dead-containers-per-container:
- "2"
maximum-dead-containers:
- "240"
21.2.1. 삭제를 위해 컨테이너 감지
가비지 컬렉터 루프의 각 스핀은 다음 단계를 거칩니다.
- 사용 가능한 컨테이너 목록을 검색합니다.
-
실행 중이거나 활성 상태가
minimum-container-ttl-duration매개변수보다 길지 않은 모든 컨테이너를 필터링합니다. 활성 상태가 아닌 컨테이너는 exited, dead, exit 상태가 될 수 있습니다. - Pod 및 이미지 이름 멤버십에 따라 나머지 모든 컨테이너를 동등한 클래스로 분류합니다.
- 식별되지 않은 모든 컨테이너(Kletlet에서 관리하지만 이름이 잘못된 형식)를 제거합니다.
-
max
-dead-containers-per-container매개변수보다 많은 컨테이너가 포함된 각 클래스에 대해 생성 시간별로 클래스의 컨테이너를 정렬합니다. -
max
-dead-containers-per-container매개 변수가 충족될 때까지 가장 오래된 컨테이너 제거를 시작합니다. -
목록에 max
-dead-containers매개변수보다 많은 컨테이너가 있는 경우 수집기는 각 클래스에서 컨테이너를 제거하기 때문에 각 클래스의 컨테이너 수가 클래스당 평균 컨테이너 수 또는<all_remaining_containers>/<number_of_classes>보다 크지 않습니다. -
충분하지 않은 경우 수집기는 목록에 있는 모든 컨테이너를 정렬하고
maximum-dead-containers표준이 충족될 때까지 가장 오래된 컨테이너 제거를 시작합니다.
요구 사항에 맞게 기본 설정을 업데이트합니다.
가비지 컬렉션은 연결된 Pod가 없는 컨테이너만 제거합니다.
21.3. Image Garbage Collection
이미지 가비지 컬렉션은 노드에서 cAdvisor에 의해 보고된 디스크 사용량에 따라 노드에서 제거할 이미지를 결정합니다. 다음 설정을 고려합니다.
| 설정 | 설명 |
|---|---|
|
| 이미지 가비지 컬렉션을 트리거하는 디스크 사용량의 백분율 (정수로 표시)입니다. |
|
| 이미지 가비지 컬렉션이 해제하려고 하는 디스크 사용량의 백분율 (정수로 표시)입니다. |
이미지 가비지 컬렉션을 활성화하려면 적절한 노드 구성 맵 의 kubeletArguments 섹션에서 이러한 설정 값을 지정합니다. 아직 없는 경우 섹션을 추가합니다.
이러한 매개변수가 노드 구성 맵에 없는 경우 이미지 가비지 컬렉션은 기본값을 사용하여 수행됩니다.
Image Garbage 컬렉션 설정
kubeletArguments:
image-gc-high-threshold:
- "85"
image-gc-low-threshold:
- "80"
21.3.1. 삭제용 이미지 감지
각 가비지 컬렉터 실행으로 두 개의 이미지 목록이 검색됩니다.
- 하나 이상의 Pod에서 현재 실행 중인 이미지 목록
- 호스트에서 사용 가능한 이미지 목록
새로운 컨테이너가 실행되면 새로운 이미지가 나타납니다. 모든 이미지에는 타임 스탬프가 표시됩니다. 이미지가 실행 중이거나 (위의 첫 번째 목록) 새로 감지된 경우 (위의 두 번째 목록) 현재 시간으로 표시됩니다. 나머지 이미지는 이미 이전 실행에서 표시됩니다. 모든 이미지는 타임 스탬프별로 정렬됩니다.
컬렉션이 시작되면 중지 기준이 충족될 때까지 가장 오래된 이미지가 먼저 삭제됩니다.
22장. 노드 리소스 할당
22.1. 노드 리소스 할당 목적
보다 안정적인 스케줄링을 제공하고 노드 리소스 과다 할당을 최소화하려면 kubelet, kube-proxy, 컨테이너 엔진과 같은 기본 노드 구성 요소에서 사용할 CPU 및 메모리 리소스의 일부를 예약하십시오. 예약한 리소스는 나머지 시스템 구성 요소(예: sshd,NetworkManager 등)에서도 사용합니다. 예약할 리소스를 지정하면 Pod에서 노드에서 사용할 수 있는 나머지 메모리 및 CPU 리소스에 대한 자세한 정보가 스케줄러에 제공됩니다.
22.2. 할당된 리소스에 대한 노드 구성
리소스는 system -reserved 노드 설정을 구성하여 OpenShift Container Platform의 노드 구성 요소 및 시스템 구성 요소에 대해 예약됩니다.
OpenShift Container Platform에서는 kube-reserved 설정을 사용하지 않습니다. Kubernetes 환경을 제공하는 일부 클라우드 벤더 및 Kubernetes에 대한 설명서는 kube-reserved 구성을 권장할 수 있습니다. 해당 정보는 OpenShift Container Platform 클러스터에 적용되지 않습니다.
리소스 제한을 사용하여 클러스터를 조정하고 제거를 통해 제한을 적용하는 경우 주의하십시오. system-reserved 제한을 적용하면 중요한 시스템 서비스가 CPU 시간을 수신하지 못하거나 메모리 리소스가 부족할 때 중요한 시스템 서비스를 종료할 수 있습니다.
대부분의 경우 리소스 할당 튜닝은 조정된 다음 프로덕션 유사 워크로드로 클러스터 성능을 모니터링하여 수행됩니다. 이 프로세스는 클러스터가 안정적이면서 서비스 수준 계약을 충족할 때까지 반복됩니다.
이러한 설정의 영향에 대한 자세한 내용은 Computing Allocated Resources를 참조하십시오.
| 설정 | 설명 |
|---|---|
|
|
이 설정은 OpenShift Container Platform과 함께 사용되지 않습니다. |
|
| 노드 구성 요소 및 시스템 구성 요소에 예약된 리소스입니다. 기본값은 none입니다. |
다음 명령을 실행하여 lscgroup 과 같은 도구로 system-reserved 로 제어하는 서비스를 확인합니다.
# yum install libcgroup-tools
$ lscgroup memory:/system.slice
<resource_type>=<resource_quantity> 쌍 세트를 추가하여 노드 구성 맵 의 kubeletArguments 섹션에 리소스를 예약합니다. 예를 들어 cpu=500m,memory=1Gi 는 500밀리코어의 CPU와 1GB의 메모리를 예약합니다.
예 22.1. 노드 할당 가능 리소스 설정
kubeletArguments:
system-reserved:
- "cpu=500m,memory=1Gi"
system-reserved 필드가 없는 경우 추가합니다.
node-config.yaml 파일을 직접 편집하지 마십시오.
이러한 설정에 적절한 값을 결정하려면 노드 요약 API를 사용하여 노드의 리소스 사용량을 확인합니다. 자세한 내용은 노드별로 보고된 시스템 리소스를 참조하십시오.
system-reserved 를 설정한 후 :
노드의 메모리 사용량을 모니터링하여 높은 수준의 표시를 확인합니다.
$ ps aux | grep <service-name>
예를 들면 다음과 같습니다.
$ ps aux | grep atomic-openshift-node USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 11089 11.5 0.3 112712 996 pts/1 R+ 16:23 0:00 grep --color=auto atomic-openshift-node
이 값이
system-reserved 마크에 가까운 경우값을 늘릴 수 있습니다.system-reserved다음 명령을 실행하여
cgget과 같은 도구를 사용하여 시스템 서비스의 메모리 사용량을 모니터링합니다.# yum install libcgroup-tools
$ cgget -g memory /system.slice | grep memory.usage_in_bytes
이 값이
system-reserved 마크에 가까운 경우값을 늘릴 수 있습니다.system-reserved- OpenShift Container Platform 클러스터 로더 를 사용하여 다양한 클러스터 상태에서 배포의 성능 지표를 측정합니다.
22.3. 컴퓨팅 할당 리소스
할당된 리소스 양은 다음 공식에 따라 계산됩니다.
[Allocatable] = [Node Capacity] - [system-reserved] - [Hard-Eviction-Thresholds]
할당 가능에서 Hard-Eviction-Thresholds 를 보류하면 할당 가능 값이 노드 수준에서 Pod에 적용되므로 시스템 안정성이 향상됩니다. experimental-allocatable-ignore-eviction 설정은 기존 동작을 유지하는 데 사용할 수 있지만 향후 릴리스에서는 더 이상 사용되지 않습니다.
[Allocatable] 이 음수이면 0 으로 설정됩니다.
22.4. 노드 할당 가능 리소스 및 용량 보기
노드의 현재 용량 및 할당 가능한 리소스를 보려면 다음 명령을 실행합니다.
$ oc get node/<node_name> -o yaml
다음 부분 출력에서 할당 가능 값은 용량보다 적습니다. 차이점은 예상되며 system-reserved 의 cpu=500m,memory=1Gi 리소스 할당과 일치합니다.
status:
...
allocatable:
cpu: "3500m"
memory: 6857952Ki
pods: "110"
capacity:
cpu: "4"
memory: 8010948Ki
pods: "110"
...
스케줄러 는 할당 가능 값을 사용하여 노드가 Pod 예약 후보인지 결정합니다.
22.5. 노드에서 보고하는 시스템 리소스
각 노드는 컨테이너 런타임 및 kubelet에서 사용하는 시스템 리소스를 보고합니다. system-reserved 구성을 간소화하려면 노드 요약 API를 사용하여 노드의 리소스 사용량을 확인합니다. 노드 요약은 <master>/api/v1/nodes/<node>/proxy/stats/summary 에서 사용할 수 있습니다.
예를 들어 cluster.node22 노드의 리소스에 액세스하려면 다음 명령을 실행합니다.
$ curl <certificate details> https://<master>/api/v1/nodes/cluster.node22/proxy/stats/summary
응답에는 다음과 유사한 정보가 포함됩니다.
{
"node": {
"nodeName": "cluster.node22",
"systemContainers": [
{
"cpu": {
"usageCoreNanoSeconds": 929684480915,
"usageNanoCores": 190998084
},
"memory": {
"rssBytes": 176726016,
"usageBytes": 1397895168,
"workingSetBytes": 1050509312
},
"name": "kubelet"
},
{
"cpu": {
"usageCoreNanoSeconds": 128521955903,
"usageNanoCores": 5928600
},
"memory": {
"rssBytes": 35958784,
"usageBytes": 129671168,
"workingSetBytes": 102416384
},
"name": "runtime"
}
]
}
}인증서 세부 정보에 대한 자세한 내용은 REST API 개요 를 참조하십시오.
22.6. 노드 적용
노드는 구성된 할당 가능 값을 기반으로 Pod에서 사용할 수 있는 총 리소스 양을 제한할 수 있습니다. 이 기능을 사용하면 컨테이너 런타임 및 노드 에이전트와 같은 시스템 서비스에 필요한 CPU 및 메모리 리소스를 Pod에서 사용하지 못하도록 하여 노드의 안정성이 크게 향상됩니다. 관리자는 노드 안정성을 개선하기 위해 리소스 사용량 목표에 따라 리소스를 예약해야 합니다.
노드는 서비스 품질을 적용하는 새 cgroup 계층 구조를 사용하여 리소스 제약 조건을 적용합니다. 모든 Pod는 시스템 데몬과는 별도의 전용 cgroup 계층에서 시작됩니다.
노드 적용을 구성하려면 적절한 노드 구성 맵 에서 다음 매개 변수를 사용합니다.
예 22.2. 노드 Cgroup 설정
kubeletArguments:
cgroups-per-qos:
- "true" 1
cgroup-driver:
- "systemd" 2
enforce-node-allocatable:
- "pods" 3- 1
- 각 서비스 품질에 대해 cgroup 계층 구조를 활성화하거나 비활성화합니다. cgroup은 노드에서 관리합니다. 이 설정을 변경하려면 노드를 완전히 드레이닝해야 합니다. 노드에서 node-allocatable 리소스 제약 조건을 적용할 수 있도록 하려면 이 플래그가
true여야 합니다. 기본값은true이며 Red Hat은 고객이 이 값을 변경하는 것을 권장하지 않습니다. - 2
- cgroup 계층 구조를 관리하기 위해 노드에서 사용하는 cgroup 드라이버입니다. 이 값은 컨테이너 런타임과 연결된 드라이버와 일치해야 합니다. 유효한 값은
systemd및cgroupfs이지만 Red Hat은systemd만 지원합니다. - 3
- 노드에서 노드 리소스 제약 조건을 적용해야 하는 쉼표로 구분된 범위 목록입니다. 기본값은
pods이며 Red Hat은Pod만 지원합니다.
관리자는 서비스 품질이 보장된 Pod와 비슷한 시스템 데몬을 처리해야 합니다. 시스템 데몬은 바인딩 제어 그룹 내에서 버스트될 수 있으며 이 동작은 클러스터 배포의 일부로 관리해야 합니다. 할당된 리소스에 대한 노드 구성 섹션에 표시된 대로 system-reserved 에서 리소스를 지정하여 시스템 데몬의 CPU 및 메모리 리소스를 예약합니다.
설정된 cgroup 드라이버를 보려면 다음 명령을 실행합니다.
$ systemctl status atomic-openshift-node -l | grep cgroup-driver=
출력에는 다음과 유사한 응답이 포함됩니다.
--cgroup-driver=systemd
cgroup 드라이버 관리 및 문제 해결에 대한 자세한 내용은 컨트롤 그룹(Cgroups) 소개를 참조하십시오.
22.7. 제거 임계값
노드가 메모리 부족 상태에 있는 경우 전체 노드 및 실행 중인 모든 Pod에 영향을 미칠 수 있습니다. 시스템 데몬이 예약된 메모리 양보다 많은 양의 메모리를 사용하는 경우 전체 노드 및 노드에서 실행되는 모든 Pod에 영향을 미치는 메모리 부족 이벤트가 발생할 수 있습니다. 시스템에서 메모리 부족 이벤트를 방지하거나 줄이기 위해 노드에서는 리소스를 처리할 수 없습니다.
23장. 오버 커밋
23.1. 개요
컨테이너는 컴퓨팅 리소스 요청 및 제한을 지정할 수 있습니다. 요청은 컨테이너 예약에 사용되며 최소 서비스 보장을 제공합니다. 제한은 노드에서 사용할 수 있는 컴퓨팅 리소스의 양을 제한합니다.
스케줄러 는 클러스터의 모든 노드에서 컴퓨팅 리소스 사용을 최적화하려고 합니다. Pod의 컴퓨팅 리소스 요청 및 노드의 사용 가능한 용량을 고려하여 특정 노드에 Pod를 배치합니다.
관리자는 요청 및 제한을 통해 노드에서 리소스 과다 할당을 허용 및 관리할 수 있습니다. 이 경우 용량에 맞게 보장된 성능을 장단적으로 전환할 수 있는 개발 환경에서 유용할 수 있습니다.
23.2. 요청 및 제한
각 컴퓨팅 리소스에 대해 컨테이너는 리소스 요청 및 제한을 지정할 수 있습니다. 노드에 요청된 값을 충족할 수 있는 충분한 용량을 확보하기 위한 요청에 따라 스케줄링 결정이 내려집니다. 컨테이너가 제한을 지정하지만 요청을 생략하면 요청은 기본적으로 제한 값으로 설정됩니다. 컨테이너가 노드에서 지정된 제한을 초과할 수 없습니다.
제한 적용은 컴퓨팅 리소스 유형에 따라 다릅니다. 컨테이너가 요청하거나 제한하지 않으면 컨테이너는 리소스 보장이 없는 상태에서 노드로 예약됩니다. 실제로 컨테이너는 가장 낮은 로컬 우선 순위로 사용 가능한 만큼의 지정된 리소스를 소비할 수 있습니다. 리소스가 부족한 상태에서는 리소스 요청을 지정하지 않는 컨테이너에 가장 낮은 수준의 QoS (Quality of Service)가 설정됩니다.
23.2.1. 버퍼 Chunk 제한 튜닝
Fluentd 로거가 많은 로그를 유지할 수 없는 경우 메모리 사용량을 줄이고 데이터 손실을 방지하기 위해 파일 버퍼링으로 전환해야 합니다.
Fluentd buffer_chunk_limit 는 기본값 8m 이 있는 환경 변수 BUFFER_SIZE_LIMIT 로 결정됩니다. 출력당 파일 버퍼 크기는 기본값이 256Mi 인 환경 변수 FILE_BUFFER_LIMIT 로 결정됩니다. 영구 볼륨 크기는 FILE_BUFFER_LIMIT 보다 커야 합니다.
Fluentd 및 Mux Pod에서 영구 볼륨 /var/lib/fluentd 는 PVC 또는 hostmount에서 준비해야 합니다(예:). 그런 다음 해당 영역은 파일 버퍼에 사용됩니다.
buffer_type 및 buffer_path 는 다음과 같이 Fluentd 구성 파일에 구성됩니다.
$ egrep "buffer_type|buffer_path" *.conf output-es-config.conf: buffer_type file buffer_path `/var/lib/fluentd/buffer-output-es-config` output-es-ops-config.conf: buffer_type file buffer_path `/var/lib/fluentd/buffer-output-es-ops-config` filter-pre-mux-client.conf: buffer_type file buffer_path `/var/lib/fluentd/buffer-mux-client`
Fluentd buffer_queue_limit 는 variable BUFFER_QUEUE_LIMIT 의 값입니다. 이 값은 기본적으로 32 입니다.
환경 변수 BUFFER_QUEUE_LIMIT 은 (FILE_BUFFER_LIMIT / (number_of_outputs * BUFFER_SIZE_LIMIT) 로 계산됩니다.
BUFFER_QUE_LIMIT 변수에 기본 값 세트가 있는 경우:
-
FILE_BUFFER_LIMIT = 256Mi -
number_of_outputs = 1 -
BUFFER_SIZE_LIMIT = 8Mi
buffer_queue_limit 값은 32 가 됩니다. buffer_queue_limit 를 변경하려면 FILE_BUFFER_LIMIT 값을 변경해야 합니다.
이 공식에서 number_of_outputs 는 모든 로그 가 단일 리소스에 전송되고 추가 리소스마다 1 씩 증가합니다. 예를 들어 number_of_outputs 값은 다음과 같습니다.
-
1- 모든 로그가 단일 ElasticSearch Pod로 전송되는 경우 -
2- 애플리케이션 로그가 ElasticSearch Pod로 전송되고 ops 로그가 다른 ElasticSearch Pod로 전송되는 경우 -
4- 애플리케이션 로그가 ElasticSearch Pod로 전송되면 ops 로그가 다른 ElasticSearch Pod로 전송되고 둘 다 다른 Fluentd 인스턴스로 전달됩니다.
23.3. 컴퓨팅 리소스
컴퓨팅 리소스에 대한 노드 적용 동작은 리소스 유형에 따라 다릅니다.
23.3.1. CPU
컨테이너에 요청된 CPU의 양이 보장되며 컨테이너에서 지정한 한도까지 노드에서 사용 가능한 초과 CPU를 추가로 소비할 수 있습니다. 여러 컨테이너가 초과 CPU를 사용하려고하면 각 컨테이너에서 요청된 CPU 양에 따라 CPU 시간이 분배됩니다.
예를 들어, 한 컨테이너가 500m의 CPU 시간을 요청하고 다른 컨테이너가 250m의 CPU 시간을 요청한 경우 노드에서 사용 가능한 추가 CPU 시간이 2:1 비율로 컨테이너간에 분배됩니다. 컨테이너가 제한을 지정한 경우 지정된 한도를 초과하는 많은 CPU를 사용하지 않도록 제한됩니다.
CPU 요청은 Linux 커널에서 CFS 공유 지원을 사용하여 적용됩니다. 기본적으로 CPU 제한은 Linux 커널에서 CFS 할당량 지원을 사용하여 100ms 측정 간격으로 적용되지만 비활성화할 수 있습니다.
23.3.2. 메모리
컨테이너에 요청된 메모리 양이 보장됩니다. 컨테이너는 요청된 메모리보다 많은 메모리를 사용할 수 있지만 요청된 양을 초과하면 노드의 메모리 부족 상태에서 종료될 수 있습니다.
컨테이너가 요청된 메모리보다 적은 메모리를 사용하는 경우 시스템 작업 또는 데몬이 노드의 리소스 예약에 확보된 메모리 보다 더 많은 메모리를 필요로하지 않는 한 컨테이너는 종료되지 않습니다. 컨테이너가 메모리 제한을 지정할 경우 제한 양을 초과하면 즉시 종료됩니다.
23.3.3. 임시 스토리지
이 항목은 임시 스토리지 기술 프리뷰를 활성화한 경우에만 적용됩니다. 이 기능은 기본적으로 비활성화되어 있습니다. 활성화된 경우 OpenShift Container Platform 클러스터는 임시 스토리지를 사용하여 클러스터를 삭제한 후 유지하지 않아도 되는 정보를 저장합니다. 이 기능을 활성화하려면 임시 스토리지 구성을 참조하십시오.
컨테이너에 요청된 임시 스토리지의 양이 보장됩니다. 컨테이너는 요청된 것보다 많은 임시 스토리지를 사용할 수 있지만 요청된 양을 초과하면 사용 가능한 임시 디스크 공간이 너무 낮아지면 종료할 수 있습니다.
컨테이너는 요청된 것보다 임시 스토리지를 적게 사용하는 경우 시스템 작업이나 데몬이 노드의 리소스 예약에서 고려하는 것보다 더 많은 로컬 임시 스토리지를 필요로 하지 않는 한 종료되지 않습니다. 컨테이너가 임시 스토리지에 제한을 지정하는 경우 제한 양을 초과하면 즉시 종료됩니다.
23.4. QoS (Quality of Service) 클래스
요청이 없는 pod가 예약되어 있거나 해당 노드의 모든 pod에서 제한의 합계가 사용 가능한 머신 용량을 초과하면 노드가 오버 커밋됩니다.
오버 커밋된 환경에서는 노드의 pod가 특정 시점에서 사용 가능한 것보다 더 많은 컴퓨팅 리소스를 사용하려고 할 수 있습니다. 이 경우 노드는 각 pod에 우선 순위를 지정해야합니다. 이러한 결정을 내리는 데 사용되는 기능을 QoS (Quality of Service) 클래스라고 합니다.
각 컴퓨팅 리소스에 대해 컨테이너는 세 가지 QoS 클래스(우선 순위 내림차순)로 나뉩니다.
| 우선 순위 | 클래스 이름 | 설명 |
|---|---|---|
| 1 (가장 높음) | Guaranteed | 모든 리소스에 대해 제한 및 요청 (선택 사항)이 설정되어 있고 (0이 아님) 그 값이 동일하면 컨테이너는 Guaranteed로 분류됩니다. |
| 2 | Burstable | 모든 리소스에 대해 요청 및 제한 (선택 사항)이 설정되어 있고 (0이 아님) 그 값이 동일하지 않은 경우 컨테이너는 Burstable로 분류됩니다. |
| 3 (가장 낮음) | BestEffort | 리소스에 대해 요청 및 제한이 설정되지 않은 경우 컨테이너는 BestEffort로 분류됩니다. |
메모리는 압축할 수 없는 리소스이므로 메모리가 부족한 경우 우선 순위가 가장 낮은 컨테이너가 먼저 종료됩니다.
- Guaranteed 컨테이너는 우선 순위가 가장 높은 컨테이너로 간주되며 제한을 초과하거나 시스템의 메모리가 부족하고 제거할 수 있는 우선 순위가 낮은 컨테이너가 없는 경우에만 종료됩니다.
- 시스템 메모리 부족 상태에 있는 Burstable 컨테이너는 제한을 초과하고 다른 BestEffort 컨테이너가 없으면 종료될 수 있습니다.
- BestEffort 컨테이너는 우선 순위가 가장 낮은 컨테이너로 처리됩니다. 시스템에 메모리가 부족한 경우 이러한 컨테이너의 프로세스가 먼저 종료됩니다.
23.5. 오버 커밋을 위한 마스터 구성
예약은 요청된 리소스를 기반으로하는 반면 할당량 및 하드 제한은 리소스 제한을 나타내며 이는 요청된 리소스보다 높은 값으로 설정할 수 있습니다. 요청과 제한의 차이에 따라 오버 커밋 수준이 결정됩니다. 예를 들어, 컨테이너에 1Gi의 메모리 요청과 2Gi의 메모리 제한이 지정되면 노드에서 사용 가능한 1Gi 요청에 따라 컨테이너가 예약되지만 최대 2Gi를 사용할 수 있습니다. 따라서 이 경우 200% 오버 커밋되는 것입니다.
OpenShift Container Platform 관리자가 노드에서 오버 커밋 수준을 제어하고 컨테이너 밀도를 관리하려는 경우 개발자 컨테이너에 설정된 요청과 제한 사이의 비율을 덮어쓰도록 마스터를 구성할 수 있습니다. 제한 및 기본값을 지정하는 프로젝트별 LimitRange 와 함께 컨테이너 제한 및 요청을 조정하여 원하는 수준의 과다 할당을 수행합니다.
이렇게 하려면 master-config.yaml 에서 ClusterResourceOverride 승인 컨트롤러를 구성해야 합니다(기존 구성 트리가 있는 경우 재사용하거나 필요한 경우 absent 요소를 도입합니다).
admissionConfig:
pluginConfig:
ClusterResourceOverride: 1
configuration:
apiVersion: v1
kind: ClusterResourceOverrideConfig
memoryRequestToLimitPercent: 25 2
cpuRequestToLimitPercent: 25 3
limitCPUToMemoryPercent: 200 4- 1
- 이 이름은 플러그인 이름입니다. 대소문자는 중요하며, 플러그인 이름과 정확히 일치하는 항목은 무시됩니다.
- 2
- (선택 사항, 1-100) 컨테이너 메모리 제한이 지정되거나 기본값으로 설정된 경우 메모리 요청이 제한 백분율로 재정의됩니다.
- 3
- (선택 사항, 1-100) 컨테이너 CPU 제한이 지정되거나 기본값으로 설정된 경우 CPU 요청이 이 제한 백분율로 재정의됩니다.
- 4
- (선택 사항, 양의 정수) 컨테이너 메모리 제한이 지정되거나 기본값으로 설정된 경우 CPU 제한이 메모리 제한의 백분율로 재정의되고 1Gi의 RAM을 1개의 CPU 코어로 스케일링하는 100퍼센트가 설정됩니다. CPU 요청을 재정의하기 전에 처리됩니다(설정된 경우).
마스터 구성을 변경한 후에는 마스터를 다시 시작해야 합니다.
컨테이너에 제한이 설정되지 않은 경우 이러한 덮어쓰기가 적용되지 않습니다. 덮어쓰기 를 적용하기 위해 기본 제한(개별 프로젝트당 또는 프로젝트 템플릿)을사용하여 LimitRange 오브젝트를 생성합니다.
또한 재정의 후에도 프로젝트의 LimitRange 오브젝트에서 컨테이너 제한 및 요청을 계속 검증해야 합니다. 예를 들어 개발자가 최소 제한에 가까운 제한을 지정하고 요청에서 최소 제한 미만을 덮어쓰도록 하여 Pod를 금지할 수 있습니다. 이 사용자 경험은 향후 작업에서 해결해야 하지만 현재는 이 기능과 LimitRanges를 주의해서 구성하십시오.
구성된 경우 프로젝트를 편집하고 다음 주석을 추가하여 프로젝트별로 덮어쓰기를 비활성화할 수 있습니다(예: 인프라 구성 요소를 재정의와 독립적으로 구성 가능).
quota.openshift.io/cluster-resource-override-enabled: "false"
23.6. 오버 커밋을 위한 노드 구성
오버 커밋된 환경에서는 최상의 시스템 동작을 제공하도록 노드를 올바르게 구성하는 것이 중요합니다.
23.6.1. QoS (Quality of Service) 계층 간 메모리 예약
experimental-qos-reserved 매개변수를 사용하여 특정 QoS 수준에서 Pod에서 예약할 메모리 백분율을 지정할 수 있습니다. 이 기능은 요청된 리소스를 예약하여 하위 OoS 클래스의 pod가 고급 QoS 클래스의 pod에서 요청한 리소스를 사용하지 못하도록 합니다.
더 높은 QOS 수준에 대한 리소스를 예약하면 리소스 제한이 없는 Pod가 더 높은 QoS 수준에서 요청한 리소스를 보유할 수 없습니다.
experimental-qos-reserved 매개 변수를 구성하려면 적절한 노드 구성 맵을 편집합니다.
kubeletArguments:
cgroups-per-qos:
- true
cgroup-driver:
- 'systemd'
cgroup-root:
- '/'
experimental-qos-reserved: 1
- 'memory=50%'- 1
- Pod 리소스 요청이 QoS 수준에서 예약되는 방법을 지정합니다.
OpenShift Container Platform은 다음과 같이 experimental-qos-reserved 매개변수를 사용합니다.
-
experimental-qos-reserved=memory=50%값은Burstable및BestEffortQOS 클래스가 더 높은 QoS 클래스에서 요청한 메모리를 소비하지 못하도록 합니다. 이를 통해BestEffort및Burstable워크로드에서 OOM이 발생할 위험이 증가되어Guaranteed및Burstable워크로드에 대한 메모리 리소스의 보장 수준을 높이는 것이 우선됩니다. -
experimental-qos-reserved=memory=50%값은Burstable및BestEffortQOS 클래스가 더 높은 QoS 클래스에서 요청한 메모리의 절반을 소비할 수 있습니다. -
experimental-qos-reserved=memory=0%값은Burstable및BestEffortQoS 클래스가 사용 가능한 경우 할당 가능한 전체 노드 양까지 소비할 수 있지만Guaranteed워크로드가 요청된 메모리에 액세스할 수 없는 위험이 증가합니다. 이로 인해 이 기능은 비활성화되어 있습니다.
23.6.2. CPU 제한 적용
기본적으로 노드는 Linux 커널에서 CPU CFS 할당량 지원을 사용하여 지정된 CPU 제한을 적용합니다. 노드에 CPU 제한을 적용하지 않으려면 다음 매개변수를 포함하도록 적절한 노드 구성 맵을 수정하여 적용을 비활성화할 수 있습니다.
kubeletArguments:
cpu-cfs-quota:
- "false"CPU 제한 적용이 비활성화된 경우 노드에 미치는 영향을 이해해야합니다.
- 컨테이너가 CPU를 요청하면 Linux 커널의 CFS 공유에 의해 계속 시행됩니다.
- 컨테이너가 명시적으로 CPU를 요청하지 않지만 제한을 지정하면 요청은 기본적으로 지정된 제한으로 설정되고 Linux 커널의 CFS 공유에 의해 시행됩니다.
- 컨테이너가 CPU의 요청과 제한을 모두 지정하면 Linux 커널의 CFS 공유에 의해 요청이 적용되며 제한은 노드에 영향을 미치지 않습니다.
23.6.3. 시스템 프로세스의 리소스 예약
스케줄러 는 Pod 요청에 따라 노드의 모든 Pod에 충분한 리소스가 있는지 확인합니다. 노드의 컨테이너 요청 합계가 노드 용량보다 크지 않음을 확인합니다. 노드에서 시작하는 모든 컨테이너가 포함되어 있지만 클러스터 지식 외부에서 시작된 컨테이너 또는 프로세스는 포함되지 않습니다.
클러스터가 작동하기 위해 노드에서 실행해야 하는 시스템 데몬(sd, docker 등)을 허용하려면 노드 용량의 일부 부분을 예약하는 것이 좋습니다. 특히 메모리와 같은 압축 불가능한 리소스의 경우 리소스를 예약하는 것이 좋습니다.
Pod가 아닌 프로세스에 대한 리소스를 명시적으로 예약하려면 다음 두 가지 방법이 있습니다.
- 기본 방법은 스케줄링에 사용할 수 있는 리소스를 지정하여 노드 리소스를 할당하는 것입니다. 자세한 내용은 노드 리소스 할당을 참조하십시오.
또는 클러스터에서 노드에서 예약하지 않고 용량을 예약하지 않는 resource-reserver Pod를 생성할 수 있습니다. 예를 들면 다음과 같습니다.
예 23.1. resource-reserver Pod 정의
정의를 파일에 저장한 다음(예: resource-reserver.yaml ) 노드 구성 디렉터리에 파일을 배치합니다(예: /etc/origin/node/ 또는 달리 지정되는 경우
--config=<dir>위치).또한 적절한 노드 구성 맵의
kubeletArguments.config 매개변수에 디렉터리를 지정하여 노드 구성 디렉토리에서 정의를 읽도록 노드서버를 구성합니다.kubeletArguments: config: - "/etc/origin/node" 1- 1
--config=<dir>이 지정되면 여기에<dir>을 사용합니다.
resource-reserver.yaml 파일을 사용하여 노드 서버를 시작하면 sleep-forever 컨테이너도 시작합니다. 스케줄러는 노드의 나머지 용량을 고려하여 그에 따라 클러스터 Pod를 배치할 위치를 조정합니다.
resource-reserver 포드를 제거하려면 노드 구성 디렉터리에서 resource-reserver.yaml 파일을 삭제하거나 이동할 수 있습니다.
23.6.4. 커널 튜닝 가능 플래그
노드가 시작되면 메모리 관리를 위한 커널 조정 가능한 플래그가 올바르게 설정됩니다. 커널은 실제 메모리가 소진되지 않는 한 메모리 할당에 실패해서는 안됩니다.
이 동작을 보장하기 위해 노드는 커널에 항상 메모리를 과다 할당하도록 지시합니다.
$ sysctl -w vm.overcommit_memory=1
또한 노드는 메모리가 부족할 때 커널이 패닉 상태가 되지 않도록 지시합니다. 대신 커널 OOM 킬러는 우선 순위에 따라 프로세스를 종료해야 합니다.
$ sysctl -w vm.panic_on_oom=0
위의 플래그는 이미 노드에 설정되어 있어야하며 추가 조치가 필요하지 않습니다.
23.6.5. 스왑 메모리 비활성화
OpenShift Container Platform 3.9에서는 Ansible 노드 설치의 일부로 스왑이 비활성화되어 있습니다. 스왑 활성화는 더 이상 지원되지 않지만 스왑에 대한 적절한 지원은 향후 릴리스에서 평가 중입니다.
스왑을 활성화한 상태로 실행하면 의도하지 않은 결과가 발생합니다. 스왑이 활성화되면 사용 가능한 메모리에 대한 리소스 처리 제거 임계값이 예상대로 작동하지 않습니다. 리소스 처리를 해제하여 메모리 부족 상태일 때 Pod를 노드에서 제거하고 이로 인한 문제가 없는 대체 노드에서 일정을 변경할 수 있습니다.
24장. 리소스 오류 처리
24.1. 개요
이 주제에서는 OpenShift Container Platform이 OOM(메모리 부족) 및 디스크 공간 외부 조건이 발생하지 않도록 하는 모범 사례에 대해 설명합니다.
사용 가능한 컴퓨팅 리소스가 부족한 경우 노드는 안정성을 유지 관리해야 합니다. 이는 메모리 또는 디스크와 같은 압축 불가능한 리소스를 처리할 때 특히 중요합니다. 두 리소스 중 하나가 모두 고갈되면 노드가 불안정해집니다.
관리자는 구성 가능한 제거 정책을 사용하여 노드에서 컴퓨팅 및 메모리 리소스가 부족해지는 상황을 사전에 모니터링하고 방지할 수 있습니다.
또한 이 주제에서는 OpenShift Container Platform에서 리소스 부족 조건을 처리하는 방법에 대한 정보를 제공하고 시나리오 및 권장 사례를 제공합니다.
노드에 대해 스왑 메모리를 활성화하면 해당 노드가 메모리 부족 상태를 감지할 수 없습니다.
메모리 기반 제거를 활용하려면 운영자가 스왑을 비활성화해야 합니다.
24.2. 제거 정책 구성
제거 정책을 사용하면 사용 가능한 리소스에서 노드가 부족할 때 노드가 하나 이상의 Pod를 실패할 수 있습니다. Pod가 실패하면 노드에서 필요한 리소스를 회수할 수 있습니다.
제거 정책은 노드 구성 파일에 설정되거나 명령줄 을 통해 설정된 특정 제거 임계값 과 함께 제거 트리거 신호 의 조합입니다. 제거는 어려울 수 있습니다. 노드에서 임계값을 초과하는 Pod에 즉시 조치를 취해야 하는 경우 또는 노드가 조치를 취하기 전에 유예 기간을 허용하는 소프트 가 있을 수 있습니다.
클러스터에서 노드를 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다. node-config.yaml 파일을 수동으로 편집하지 마십시오.
잘 구성된 제거 정책을 사용하여 노드는 컴퓨팅 리소스의 전체 리소스 사용을 사전에 모니터링하고 방지할 수 있습니다.
노드가 Pod에 실패하면 노드는 Pod의 모든 컨테이너를 종료하고 PodPhase 가 Failed 로 전환됩니다.
디스크 부족을 감지할 때 노드는 nodefs 및 파일 시스템 파티션을 지원합니다.
imagefs
nodefs 또는 rootfs 는 노드가 로컬 디스크 볼륨, 데몬 로그, emptyDir 및 기타 로컬 스토리지에 사용하는 파일 시스템입니다. 예를 들어 rootfs 는 / 를 제공하는 파일 시스템입니다. rootfs 에는 기본적으로 /var/lib/origin/openshift .local.volumes인 openshift.local.volumes 가 포함되어 있습니다.
imagefs 는 컨테이너 런타임에서 이미지 및 개별 컨테이너 쓰기 가능 계층을 저장하는 데 사용하는 파일 시스템입니다. 제거 임계값은 imagefs 에 대해 전체 85%입니다. imagefs 파일 시스템은 런타임 및 Docker의 경우 컨테이너에서 사용하는 스토리지 드라이버에 따라 다릅니다.
Docker의 경우:
devicemapper스토리지 드라이버를 사용하는 경우imagefs는 씬 풀입니다.Docker 데몬에서
--storage-opt dm.basesize플래그를 설정하여 컨테이너의 읽기 및 쓰기 계층을 제한할 수 있습니다.$ sudo dockerd --storage-opt dm.basesize=50G
-
overlay2스토리지 드라이버를 사용하는 경우imagefs는 /var/lib/docker/overlay2 를 포함하는 파일 시스템입니다.
-
오버레이 드라이버를 사용하는 CRI-O의 경우 기본적으로
imagefs는 /var/lib/containers/storage 입니다.
로컬 스토리지 격리(임시 스토리지)를 사용하지 않고 XFS 할당량(volumeConfig)을 사용하지 않는 경우 Pod에서 로컬 디스크 사용량을 제한할 수 없습니다.
24.2.1. 노드 구성을 사용하여 정책 생성
제거 정책을 구성하려면 적절한 노드 구성 맵을 편집하여 eviction -hard 또는 매개변수 아래에 제거 임계값을 지정합니다.
eviction- soft
다음 샘플은 제거 임계값을 보여줍니다.
하드 제거를 위한 노드 구성 파일 샘플
kubeletArguments: eviction-hard: 1 - memory.available<100Mi 2 - nodefs.available<10% - nodefs.inodesFree<5% - imagefs.available<15% - imagefs.inodesFree<10%
inodesFree 매개변수의 백분율 값을 제공해야 합니다. 다른 매개변수에 백분율 또는 숫자 값을 제공할 수 있습니다.
소프트 제거를 위한 노드 구성 파일 샘플
kubeletArguments: eviction-soft: 1 - memory.available<100Mi 2 - nodefs.available<10% - nodefs.inodesFree<5% - imagefs.available<15% - imagefs.inodesFree<10% eviction-soft-grace-period:3 - memory.available=1m30s - nodefs.available=1m30s - nodefs.inodesFree=1m30s - imagefs.available=1m30s - imagefs.inodesFree=1m30s
변경 사항을 적용하려면 OpenShift Container Platform 서비스를 다시 시작하십시오.
# systemctl restart atomic-openshift-node
24.2.2. 제거 신호 이해
아래 표에 설명된 신호에서 제거 결정을 트리거하도록 노드를 구성할 수 있습니다. 임계값과 함께 제거 임계값에 제거 신호를 추가합니다.
신호를 보려면 다음을 수행합니다.
curl <certificate details> \ https://<master>/api/v1/nodes/<node>/proxy/stats/summary
| 노드 상태 | 제거 신호 | 현재의 | 설명 |
|---|---|---|---|
|
|
|
| 노드에서 사용 가능한 메모리가 제거 임계값을 초과했습니다. |
|
|
|
| 노드 루트 파일 시스템 또는 이미지 파일 시스템에서 사용 가능한 디스크 공간이 제거 임계값을 초과했습니다. |
|
|
| ||
|
|
| ||
|
|
|
위 테이블의 각 신호는 inodesFree 를 제외하고 리터럴 또는 백분율 기반 값을 지원합니다. inodesFree 신호는 백분율로 지정해야 합니다. 백분율 기반 값은 각 신호와 연결된 총 용량을 기준으로 계산됩니다.
스크립트는 kubelet이 수행하는 동일한 단계 세트를 사용하여 cgroup 드라이버에서 memory.available 의 값을 파생합니다. 스크립트는 비활성 파일 메모리(즉, 비활성 LRU 목록의 파일 지원 메모리 수)를 계산에서 비활성 파일 메모리를 회수할 수 있다고 가정하므로 계산에서 제외합니다.
free -m은 컨테이너에서 작동하지 않기 때문에 free -m 과 같은 툴을 사용하지 마십시오.
OpenShift Container Platform은 10초마다 이러한 파일 시스템을 모니터링합니다.
볼륨을 저장하고 로그를 전용 파일 시스템에 저장하면 노드에서 해당 파일 시스템을 모니터링하지 않습니다.
노드는 디스크 부족에 따라 제거 결정을 트리거하는 기능을 지원합니다. 디스크 부족으로 인해 Pod를 제거하기 전에 노드는 컨테이너 및 이미지 가비지 컬렉션을 수행합니다.
24.2.3. 제거 임계값 이해
제거 임계값을 지정하도록 노드를 구성할 수 있습니다. 임계값에 도달하면 노드가 트리거되어 리소스를 회수합니다. 노드 구성 파일에 임계값을 구성할 수 있습니다.
제거 임계값이 충족되면 관련 유예 기간과 관계없이 노드에서 노드가 메모리 또는 디스크 부족 상태에 있음을 나타내는 조건을 보고합니다. 오류를 보고하면 리소스 회수를 시도하는 동안 스케줄러에서 노드에서 추가 Pod를 예약하지 못합니다.
노드는 node -status-update-frequency 인수로 지정된 빈도로 노드 상태 업데이트를 계속 보고합니다. 기본 빈도는 10s(10 초)입니다.
리소스를 회수하기 전에 유예 기간을 허용하는 경우 노드에서 임계값이 충족될 때 즉시 조치를 취하거나 소프트 가 필요한 경우 제거 임계값이 어려울 수 있습니다.
소프트 제거 사용은 특정 수준의 사용률을 대상으로 할 때 더 일반적이지만 일시적인 스파이크를 허용할 수 있습니다. 하드 제거 임계값보다 낮은 소프트 제거 임계값을 설정하는 것이 좋지만 시간은 운영자에 따라 다를 수 있습니다. 시스템 예약은 소프트 제거 임계값도 포함해야 합니다.
소프트 제거 임계값은 고급 기능입니다. 소프트 제거 임계값을 사용하기 전에 하드 제거 임계값을 구성해야 합니다.
임계값은 다음 형식으로 구성됩니다.
<eviction_signal><operator><quantity>
-
eviction-signal값은 지원되는 제거 신호 일 수 있습니다. -
Operator값은<입니다. -
quantity값은 Kubernetes에서 사용하는 수량 표시와 일치해야 하며%토큰으로 끝나는 경우 백분율로 표시할 수 있습니다.
예를 들어 Operator에 메모리가 10Gi인 노드가 있고 사용 가능한 메모리가 1Gi 미만으로 떨어지면 해당 Operator에서 제거를 축소하려는 경우 메모리의 제거 임계값을 다음 중 하나로 지정할 수 있습니다.
memory.available<1Gi memory.available<10%
노드는 10초마다 제거 임계값을 평가하고 모니터링하며 값을 수정할 수 없습니다. 하우스키핑 간격입니다.
24.2.3.1. 하드 제거 임계값 이해
하드 제거 임계값에는 유예 기간이 없습니다. 하드 제거 임계값이 충족되면 노드는 즉각적인 조치를 취하여 관련 리소스를 회수합니다. 예를 들어 노드는 정상 종료 없이 하나 이상의 Pod를 즉시 종료할 수 있습니다.
하드 제거 임계값을 구성하려면 노드 구성 사용과 정책 생성에 표시된 대로 eviction-hard 아래의 노드 구성 파일에 제거 임계값을 추가합니다.
하드 제거 임계값이 있는 샘플 노드 구성 파일
kubeletArguments: eviction-hard: - memory.available<500Mi - nodefs.available<500Mi - nodefs.inodesFree<5% - imagefs.available<100Mi - imagefs.inodesFree<10%
이 예제는 일반적인 지침이며 권장 설정은 아닙니다.
24.2.3.1.1. 기본 하드 제거 임계값
OpenShift Container Platform은 eviction-hard 에 다음과 같은 기본 구성을 사용합니다.
... kubeletArguments: eviction-hard: - memory.available<100Mi - nodefs.available<10% - nodefs.inodesFree<5% - imagefs.available<15% ...
24.2.3.2. 소프트 제거 임계값 이해
소프트 제거 임계값은 관리자가 지정하는 필수 유예 기간과 제거 임계 값과 일치합니다. 노드는 유예 기간이 초과될 때까지 제거 신호와 연결된 리소스를 회수하지 않습니다. 노드 구성에 유예 기간이 제공되지 않으면 노드에서 시작 시 오류가 발생합니다.
또한 소프트 제거 임계값이 충족되면 Operator는 노드에서 Pod를 제거할 때 사용할 최대 허용 Pod 종료 기간을 지정할 수 있습니다. eviction-max-pod-grace-period 가 지정되면 노드는 pod.Spec.TerminationGracePeriodSeconds 및 최대 허용 유예 기간 중 더 적은 값을 사용합니다. 지정하지 않으면 노드가 정상적으로 종료되지 않고 즉시 Pod를 종료합니다.
소프트 제거 임계값의 경우 다음 플래그가 지원됩니다.
-
eviction-soft:memory.available<1.5Gi와 같은 제거 임계값 세트입니다. 해당 유예 기간 동안 임계값이 충족되면 임계값이 Pod 제거를 트리거합니다. -
eviction-soft-grace-period:memory.available=1m30s와 같은 일련의 제거 유예 기간. 유예 기간은 Pod 제거를 트리거하기 전에 소프트 제거 임계값이 보유해야 하는 기간에 해당합니다. -
eviction-max-pod-grace-period: 소프트 제거 임계값에 따라 Pod를 종료할 때 사용할 최대 허용 유예 기간(초)입니다.
소프트 제거 임계값을 구성하려면 Node Configuration to Create a Policy 에 표시된 대로 eviction-soft 에서 노드 구성 파일에 제거 임계값을 추가합니다.
소프트 제거 임계값이 있는 샘플 노드 구성 파일
kubeletArguments: eviction-soft: - memory.available<500Mi - nodefs.available<500Mi - nodefs.inodesFree<5% - imagefs.available<100Mi - imagefs.inodesFree<10% eviction-soft-grace-period: - memory.available=1m30s - nodefs.available=1m30s - nodefs.inodesFree=1m30s - imagefs.available=1m30s - imagefs.inodesFree=1m30s
이 예제는 일반적인 지침이며 권장 설정은 아닙니다.
24.3. 스케줄링을 위한 리소스 양 구성
스케줄러가 노드를 완전히 할당하고 제거를 방지하도록 예약에 사용할 수 있는 노드 리소스의 양을 제어할 수 있습니다.
Pod를 배포하는 데 사용할 수 있는 리소스 양과 system-daemons의 경우 system-reserved 를 설정합니다. system-reserved 리소스는 sshd 및 NetworkManager 와 같은 운영 체제 데몬용으로 예약됩니다. 제거는 Pod에서 할당 가능 리소스를 요청한 양 이상 사용하는 경우에만 발생해야 합니다.
노드는 두 개의 값을 보고합니다.
-
용량: 시스템에 리소스의 양은 얼마입니까. -
할당 가능: 예약에 사용할 수 있는 리소스 양입니다.
할당 가능한 리소스의 양을 구성하려면 적절한 노드 구성 맵을 편집하여 eviction- hard 또는 eviction 매개변수를 추가하거나 수정합니다.
- reservedsoft 에 대해 system-
kubeletArguments:
eviction-hard: 1
- "memory.available<500Mi"
system-reserved:
- "memory=1.5Gi"- 1
- 이 임계값은
eviction-hard 또는중 하나일 수 있습니다.eviction-soft
system-reserved 설정에 적절한 값을 결정하려면 노드 요약 API를 사용하여 노드의 리소스 사용량을 확인합니다. 자세한 내용은 할당 리소스에 대한 노드 구성을 참조하십시오.
변경 사항을 적용하려면 OpenShift Container Platform 서비스를 다시 시작하십시오.
# systemctl restart atomic-openshift-node
24.4. 노드 상태 오용(Odition Oscillation) 제어
노드가 소프트 제거 임계값보다 크거나 낮은 경우 관련 유예 기간을 초과하지 않으면 오실로 인해 스케줄러에 문제가 발생할 수 있습니다.
oscillation을 방지하려면 eviction-pressure-transition-period 매개변수를 설정하여 노드가 부족 상태에서 전환되기 전에 대기해야 하는 시간을 제어합니다.
<resource_type>=<resource_quantity>쌍을 사용하여 적절한 노드 구성 맵 의kubeletArguments섹션에 매개변수를 편집하거나 추가합니다.kubeletArguments: eviction-pressure-transition-period: - 5m
노드가 지정된 기간 동안 지정된 부족 상태에 대한 제거 임계값을 충족하지 않은 경우 노드는 조건을 false로 전환합니다.
참고조정하기 전에 기본값인 5분을 사용합니다. 기본값은 시스템을 안정화하고 스케줄러에서 새 포드가 노드에 예약되지 않도록 하기 위한 것입니다.
변경 사항을 적용하려면 OpenShift Container Platform 서비스를 다시 시작하십시오.
# systemctl restart atomic-openshift-node
24.5. 노드 수준 리소스 회수
제거 기준이 충족되면 노드는 정의된 임계값 미만이 될 때까지 부족한 리소스를 회수하는 프로세스를 시작합니다. 이 시간 동안 노드는 새 Pod 예약을 지원하지 않습니다.
노드는 호스트 시스템에 컨테이너 런타임에 대해 구성된 전용 imagefs 가 있는지 여부에 따라 노드가 최종 사용자 Pod를 제거하기 전에 노드 수준 리소스를 회수하려고 합니다.
Imagefs 사용
호스트 시스템에 imagefs 가 있는 경우 :
nodefs파일 시스템이 제거 임계값을 충족하는 경우 노드는 디스크 공간을 다음 순서로 확보합니다.- 삭제된 Pod 및 컨테이너를 삭제합니다.
imagefs파일 시스템이 제거 임계값을 충족하는 경우 노드는 디스크 공간을 다음 순서로 확보합니다.- 사용되지 않은 모든 이미지를 삭제합니다.
Imagefs없이
호스트 시스템에 imagefs 가 없는 경우 :
nodefs파일 시스템이 제거 임계값을 충족하는 경우 노드는 디스크 공간을 다음 순서로 확보합니다.- 삭제된 Pod 및 컨테이너를 삭제합니다.
- 사용되지 않은 모든 이미지를 삭제합니다.
24.6. Pod 제거 이해
제거 임계값이 충족되고 유예 기간이 전달되면 노드에서는 신호가 정의된 임계값 미만이 될 때까지 Pod를 제거하는 프로세스를 시작합니다.
노드는 서비스 품질에 따라 Pod를 제거하도록 지정합니다. 서비스 품질이 동일한 Pod 중에서 노드는 Pod의 스케줄링 요청과 관련하여 컴퓨팅 리소스의 소비로 Pod를 평가합니다.
각 서비스 품질 수준에는 메모리 부족 점수가 있습니다. Linux OOM 킬러(메모리 부족 툴)는 점수를 사용하여 종료할 포드를 결정합니다. 자세한 내용은 QoS(Quality of Service and Out of Memory Killer) 이해를 참조하십시오.
다음 표에는 각 서비스 품질 및 관련 메모리 부족 점수가 나열되어 있습니다.
| 서비스 품질 | 설명 |
|---|---|
|
| 요청과 관련하여 가장 많은 리소스를 사용하는 Pod가 먼저 실패합니다. 포드가 요청을 초과하지 않으면 전략은 리소스의 가장 큰 소비자를 대상으로 합니다. |
|
| 해당 리소스에 대한 요청과 관련하여 가장 많은 리소스를 사용하는 Pod는 먼저 실패합니다. 포드가 요청을 초과하지 않으면 전략은 리소스의 가장 큰 소비자를 대상으로 합니다. |
|
| 가장 많은 리소스를 사용하는 Pod는 먼저 실패합니다. |
노드 또는 컨테이너 엔진과 같은 시스템 데몬이 system-reserved 할당을 사용하여 예약된 것보다 더 많은 리소스를 사용하거나 노드에 남아 있는 품질만 보장된 서비스 Pod보다 더 많은 리소스를 사용하지 않는 한 다른 Pod에서 리소스 소비로 인해 보장된 품질은 제거되지 않습니다.
노드에 남은 서비스 Pod 품질만 있는 경우 노드는 노드 안정성에 영향을 미치는 Pod를 제거하고 예기치 않은 소비의 영향을 기타 보장된 서비스 Pod로 제한합니다.
로컬 디스크는 최상의 품질의 서비스 리소스입니다. 필요한 경우 노드는 Pod를 하나씩 제거하여 디스크 부족 시 디스크 공간을 회수합니다. 노드는 서비스 품질별로 Pod를 지정합니다. 노드가 사용 가능한 inode 부족에 응답하는 경우 노드에서 서비스의 품질이 가장 낮은 Pod를 제거하여 inode를 회수합니다. 노드가 사용 가능한 디스크 부족에 응답하는 경우 노드는 가장 많은 양의 로컬 디스크를 사용하는 서비스 품질로 포드를 선택한 다음 해당 Pod를 먼저 제거합니다.
24.6.1. QoS (Quality of Service and Out of Memory Killer) 이해
노드에 메모리를 회수하기 전에 OOM(시스템 out-of-memory) 이벤트가 발생하면 노드는 OOM 킬러에 따라 응답합니다.
노드는 Pod의 서비스 품질을 기반으로 하는 각 컨테이너에 대해 a oom_score_adj 값을 설정합니다.
| 서비스 품질 | oom_score_adj Value |
|---|---|
|
| -998 |
|
| min(max(2, 1000 - (1000 * memoryRequestBytes) / machineMemoryCapacityBytes), 999) |
|
| 1000 |
노드에 시스템 OOM 이벤트가 발생하기 전에 노드에 메모리를 회수할 수 없는 경우 OOM 킬러 프로세스에서 OOM 점수를 계산합니다.
% of node memory a container is using + oom_score_adj = oom_score
그런 다음 노드는 점수가 가장 높은 컨테이너를 종료합니다.
서비스 품질이 가장 낮고 스케줄링 요청을 기준으로 가장 큰 메모리를 사용하는 컨테이너가 먼저 종료됩니다.
Pod 제거와 달리 OOM으로 인해 Pod 컨테이너가 종료되면 노드는 노드 재시작 정책에 따라 컨테이너를 다시 시작할 수 있습니다.
24.7. Pod 스케줄러 및 OOR 조건 이해
스케줄러는 노드에 추가 Pod를 배치할 때 노드 상태를 봅니다. 예를 들어 노드에 다음과 같은 제거 임계값이 있는 경우 다음을 수행합니다.
eviction-hard is "memory.available<500Mi"
사용 가능한 메모리가 500Mi 미만으로 떨어지면 노드는 Node.Status.Conditions의 값을 MemoryPressure 로 true로 보고합니다.
| 노드 상태 | 스케줄러 동작 |
|---|---|
|
|
노드에서 이 상태를 보고하면 스케줄러에서 해당 노드에 |
|
| 노드에서 이 조건을 보고하면 스케줄러에서 해당 노드에 추가 Pod를 배치하지 않습니다. |
24.8. 시나리오 예
Operator:
- 메모리 용량이 10Gi인 노드가 있습니다.
- 커널, 노드 및 기타 데몬과 같은 시스템 데몬에 대해 10%의 메모리 용량을 예약하려고 합니다.
- 시스템 OOM의 스래싱 및 발생 수준을 줄이기 위해 95% 메모리 사용률에서 Pod를 제거하려고 합니다.
이 구성에서 암시적으로는 system-reserved 에 제거 임계값에서 적용되는 메모리 양이 포함되어야 한다는 이해가 있습니다.
해당 용량에 도달하기 위해 일부 포드는 요청보다 많은 것을 사용하거나 시스템에서 1Gi 이상을 사용하고 있습니다.
노드에 10Gi 용량이 있고 system-reserved 설정을 사용하여 시스템 데몬에 대해 해당 용량의 10%를 예약하려면 다음 계산을 수행합니다.
capacity = 10 Gi system-reserved = 10 Gi * .1 = 1 Gi
할당 가능한 리소스의 양은 다음과 같습니다.
allocatable = capacity - system-reserved = 9 Gi
기본적으로 스케줄러는 9Gi의 메모리를 요청하는 Pod를 해당 노드에 예약합니다.
노드에서 사용 가능한 메모리가 30초 동안 10% 미만인 것을 관찰하거나 용량의 5% 미만으로 떨어지는 즉시 제거를 트리거하도록 제거를 활성화하려면 스케줄러가 할당 가능을 8Gi로 평가해야 합니다. 따라서 시스템 예약이 더 큰 제거 임계값에 적용되는지 확인합니다.
capacity = 10 Gi eviction-threshold = 10 Gi * .1 = 1 Gi system-reserved = (10Gi * .1) + eviction-threshold = 2 Gi allocatable = capacity - system-reserved = 8 Gi
적절한 노드 구성 맵에 다음을 추가합니다.
kubeletArguments: system-reserved: - "memory=2Gi" eviction-hard: - "memory.available<.5Gi" eviction-soft: - "memory.available<1Gi" eviction-soft-grace-period: - "memory.available=30s"
이 구성을 사용하면 스케줄러에서 Pod를 노드에 배치하지 않고 즉시 메모리 부족을 줄이고 제거를 트리거합니다. 이 구성에서는 해당 포드가 구성된 요청보다 적게 사용한다고 가정합니다.
24.9. 권장 사례
24.9.1. 데몬 세트 및 리소스 처리 부족
노드가 데몬 세트에 의해 생성된 Pod를 제거하면 Pod가 즉시 다시 생성되고 동일한 노드로 다시 예약됩니다. 노드에서 데몬 세트에서 생성된 Pod와 다른 오브젝트를 구분할 수 없으므로 스케줄러는 이러한 방식으로 작동합니다.
일반적으로 데몬 세트는 제거를 위한 후보 Pod로 식별되지 않도록 최상의 노력 Pod를 생성해서는 안 됩니다. 대신 데몬 세트는 Pod를 시작하고 보장된 서비스 품질로 구성해야 합니다.
25장. 제한 범위 설정
25.1. 제한 범위를 위한 목적
LimitRange 오브젝트에서 정의하는 제한 범위는 포드, 컨테이너, 이미지, 이미지 스트림, 영구 볼륨 클레임 수준의 프로젝트에서 컴퓨팅 리소스 제약 조건을 열거하고 포드, 컨테이너, 이미지, 이미지 스트림 또는 영구 볼륨 클레임이 사용할 수 있는 리소스 양을 지정합니다.
리소스 생성 및 수정을 위한 모든 요청은 프로젝트의 각 LimitRange 오브젝트에 대해 평가됩니다. 리소스가 열거된 제약 조건을 위반하는 경우 해당 리소스는 거부됩니다. 리소스에서 명시적 값을 설정하지 않고 제한 조건이 기본값을 지원하는 경우 기본값이 리소스에 적용됩니다.
CPU 및 메모리 제한의 경우 최대 값을 지정하지만 최소 제한을 지정하지 않으면 리소스에서 최대 값보다 더 많은 CPU 및 메모리 리소스를 사용할 수 있습니다.
임시 스토리지 기술 프리뷰를 사용하여 임시 스토리지에 대한 제한 및 요청을 지정할 수 있습니다. 이 기능은 기본적으로 비활성화되어 있습니다. 이 기능을 활성화하려면 임시 스토리지 구성을 참조하십시오.
코어 제한 범위 오브젝트 정의
apiVersion: "v1" kind: "LimitRange" metadata: name: "core-resource-limits" 1 spec: limits: - type: "Pod" max: cpu: "2" 2 memory: "1Gi" 3 min: cpu: "200m" 4 memory: "6Mi" 5 - type: "Container" max: cpu: "2" 6 memory: "1Gi" 7 min: cpu: "100m" 8 memory: "4Mi" 9 default: cpu: "300m" 10 memory: "200Mi" 11 defaultRequest: cpu: "200m" 12 memory: "100Mi" 13 maxLimitRequestRatio: cpu: "10" 14
- 1
- 제한 범위 오브젝트의 이름입니다.
- 2
- Pod가 노드의 모든 컨테이너에서 요청할 수 있는 최대 CPU 양입니다.
- 3
- Pod에서 모든 컨테이너의 노드에 요청할 수 있는 최대 메모리 양입니다.
- 4
- Pod에서 모든 컨테이너의 노드에 요청할 수 있는 최소 CPU 양입니다.
min 값을 설정하지 않거나 min을0으로설정하면 결과가 제한이 없으며 Pod에서maxCPU 값보다 더 많이 사용할 수 있습니다. - 5
- Pod에서 모든 컨테이너의 노드에 요청할 수 있는 최소 메모리 양입니다.
min 값을 설정하지 않거나 min을0으로설정하면 결과가 제한이 없으며 Pod에서max메모리 값보다 더 많이 사용할 수 있습니다. - 6
- Pod의 단일 컨테이너에서 요청할 수 있는 최대 CPU 양입니다.
- 7
- Pod의 단일 컨테이너에서 요청할 수 있는 최대 메모리 양입니다.
- 8
- Pod의 단일 컨테이너에서 요청할 수 있는 최소 CPU 양입니다.
min 값을 설정하지 않거나 min을0으로설정하면 결과가 제한이 없으며 Pod에서maxCPU 값보다 더 많이 사용할 수 있습니다. - 9
- Pod의 단일 컨테이너에서 요청할 수 있는 최소 메모리 양입니다.
min 값을 설정하지 않거나 min을0으로설정하면 결과가 제한이 없으며 Pod에서max메모리 값보다 더 많이 사용할 수 있습니다. - 10
- Pod 사양에 제한을 지정하지 않은 경우 컨테이너의 기본 CPU 제한입니다.
- 11
- Pod 사양에 제한을 지정하지 않은 경우 컨테이너의 기본 메모리 제한입니다.
- 12
- Pod 사양에 요청을 지정하지 않은 경우 컨테이너에 대한 기본 CPU 요청입니다.
- 13
- Pod 사양에 요청을 지정하지 않은 경우 컨테이너에 대한 기본 메모리 요청입니다.
- 14
- 컨테이너에 대한 최대 제한 대 요청 비율입니다.
CPU 및 메모리를 측정하는 방법에 대한 자세한 내용은 Compute Resources 를 참조하십시오.
OpenShift Container Platform 한계 범위 오브젝트 정의
apiVersion: "v1"
kind: "LimitRange"
metadata:
name: "openshift-resource-limits"
spec:
limits:
- type: openshift.io/Image
max:
storage: 1Gi 1
- type: openshift.io/ImageStream
max:
openshift.io/image-tags: 20 2
openshift.io/images: 30 3
- type: "Pod"
max:
cpu: "2" 4
memory: "1Gi" 5
ephemeral-storage: "1Gi" 6
max:
cpu: "1" 7
memory: "1Gi" 8
- 1
- 내부 레지스트리로 내보낼 수 있는 이미지의 최대 크기입니다.
- 2
- 이미지 스트림 사양에 정의된 최대 고유 이미지 태그 수입니다.
- 3
- 이미지 스트림 상태 사양에 정의된 최대 고유 이미지 참조 수입니다.
- 4
- Pod가 노드의 모든 컨테이너에서 요청할 수 있는 최대 CPU 양입니다.
- 5
- Pod에서 모든 컨테이너의 노드에 요청할 수 있는 최대 메모리 양입니다.
- 6
- 임시 스토리지 기술 프리뷰가 활성화된 경우 Pod가 모든 컨테이너에서 노드에 요청할 수 있는 최대 임시 스토리지 양입니다.
- 7
- Pod에서 모든 컨테이너의 노드에 요청할 수 있는 최소 CPU 양입니다.
min 값을 설정하거나 min을0으로설정하면 결과가 제한이 없으며 Pod에서maxCPU 값보다 더 많이 사용할 수 있습니다. - 8
- Pod에서 모든 컨테이너의 노드에 요청할 수 있는 최소 메모리 양입니다.
min 값을 설정하지 않거나 min을0으로설정하면 결과의 제한이 없으며 Pod에서max메모리 값보다 더 많이 사용할 수 있습니다.
하나의 제한 범위 오브젝트로 코어 및 OpenShift Container Platform 리소스를 모두 지정할 수 있습니다. 두 가지 예에서 명확성을 보여 줍니다.
25.1.1. 컨테이너 제한
지원되는 리소스:
- CPU
- 메모리
지원되는 제한 사항:
지정된 경우 컨테이너당 다음 사항이 충족되어야 합니다.
| 제약 조건 | 동작 |
|---|---|
|
|
구성에서 |
|
|
구성이 |
|
|
제한 범위가
예를 들어 컨테이너에 |
지원되는 기본값:
default[resource]-
기본값은
container.resources.limit[resource]입니다(없으면). 기본 요청[resource]-
기본값은
container.resources.requests[resource]입니다.
25.1.2. Pod 제한
지원되는 리소스:
- CPU
- 메모리
지원되는 제한 사항:
Pod의 모든 컨테이너에서 다음 사항이 충족되어야 합니다.
| 제약 조건 | 강제 동작 |
|---|---|
|
|
|
|
|
|
|
|
|
25.1.3. 이미지 제한
지원되는 리소스:
- 스토리지
리소스 유형 이름:
-
openshift.io/Image
지정된 경우 이미지당 다음 사항이 충족되어야 합니다.
| 제약 조건 | 동작 |
|---|---|
|
|
|
제한을 초과하는 Blob이 레지스트리에 업로드되지 않도록 하려면 할당량을 적용하도록 레지스트리를 구성해야 합니다. REGISTRY_MIDDLEWARE_REPOSITORY_OPENSHIFT_ENFORCEQUOTA 환경 변수를 true 로 설정해야 합니다. 기본적으로 환경 변수는 새 배포의 경우 true 로 설정됩니다.
업로드된 이미지의 매니페스트에서 이미지 크기를 항상 사용할 수 있는 것은 아닙니다. 특히 Docker 1.10 이상으로 빌드하여 v2 레지스트리로 내보낸 이미지의 경우 그러합니다. 이전 Docker 데몬을 사용하여 이러한 이미지를 가져오면 레지스트리에서 이미지 매니페스트를 스키마 v1로 변환하고 모든 크기 정보를 포함하지 않습니다. 이미지에 스토리지 제한이 설정되어 있지 않으므로 업로드할 수 없습니다.
문제가 처리되고 있습니다.
25.1.4. 이미지 스트림 제한
지원되는 리소스:
-
openshift.io/image-tags -
openshift.io/images
리소스 유형 이름:
-
openshift.io/ImageStream
이미지 스트림당 지정된 경우 다음 사항이 충족되어야 합니다.
| 제약 조건 | 동작 |
|---|---|
|
|
|
|
|
|
25.1.4.1. 이미지 참조 수
openshift.io/image-tags 리소스는 고유한 이미지 참조를 나타냅니다. 사용 가능한 참조는 ImageStreamTag, ImageStreamImage 또는 DockerImage 입니다. 태그는 oc tag 및 oc import-image 명령을 사용하거나 태그 추적 을 사용하여 생성할 수 있습니다. 내부 참조와 외부 참조는 구분되지 않습니다. 그러나 이미지 스트림 사양에 태그된 각각의 고유 참조는 한 번만 계산됩니다. 내부 컨테이너 이미지 레지스트리에 대한 내보내기는 어떤 방식으로든 제한하지 않지만 태그 제한에 유용합니다.
openshift.io/images 리소스는 이미지 스트림 상태에 기록되는 고유 이미지 이름을 나타냅니다. 내부 레지스트리로 내보낼 수 있는 이미지 수를 제한할 수 있습니다. 내부 및 외부 참조는 구분되지 않습니다.
25.1.5. 영구 볼륨 클레임 제한
지원되는 리소스:
- 스토리지
지원되는 제한 사항:
프로젝트의 모든 영구 볼륨 클레임에서 다음 사항이 충족되어야 합니다.
| 제약 조건 | 강제 동작 |
|---|---|
|
| min[resource] <= claim.spec.resources.requests[resource] (필수) |
|
| claim.spec.resources.requests[resource] (필수) <= Max[resource] |
제한 범위 오브젝트 정의
{
"apiVersion": "v1",
"kind": "LimitRange",
"metadata": {
"name": "pvcs" 1
},
"spec": {
"limits": [{
"type": "PersistentVolumeClaim",
"min": {
"storage": "2Gi" 2
},
"max": {
"storage": "50Gi" 3
}
}
]
}
}
25.2. 제한 범위 생성
프로젝트에 제한 범위를 적용하려면 다음을 수행합니다.
- 필요한 사양을 사용하여 제한 범위 오브젝트 정의를 생성합니다.
오브젝트를 생성합니다.
$ oc create -f <limit_range_file> -n <project>
25.3. 제한 보기
웹 콘솔에서 프로젝트의 할당량 페이지로 이동하여 프로젝트에 정의된 제한 범위를 볼 수 있습니다.
CLI를 사용하여 다음 단계를 수행하여 제한 범위 세부 정보를 볼 수도 있습니다.
프로젝트에 정의된 제한 범위 오브젝트 목록을 가져옵니다. 예를 들어 demoproject라는 프로젝트의 경우 다음과 같습니다.
$ oc get limits -n demoproject
출력 예
NAME AGE resource-limits 6d
한계 범위를 설명합니다. 예를 들어 resource-limits 라는 제한 범위의 경우 :
$ oc describe limits resource-limits -n demoproject
출력 예
Name: resource-limits Namespace: demoproject Type Resource Min Max Default Request Default Limit Max Limit/Request Ratio ---- -------- --- --- --------------- ------------- ----------------------- Pod cpu 200m 2 - - - Pod memory 6Mi 1Gi - - - Container cpu 100m 2 200m 300m 10 Container memory 4Mi 1Gi 100Mi 200Mi - openshift.io/Image storage - 1Gi - - - openshift.io/ImageStream openshift.io/image - 12 - - - openshift.io/ImageStream openshift.io/image-tags - 10 - - -
25.4. 제한 범위 삭제
제한 범위를 제거하고 더 이상 프로젝트 제한을 적용하지 않으려면 다음을 수행합니다.
다음 명령을 실행합니다.
$ oc delete limits <limit_name>
26장. Node Problem Detector
26.1. 개요
Node Problem Detector는 특정 문제를 찾고 이러한 문제를 API 서버에 보고하여 노드의 상태를 모니터링합니다. 판정은 각 노드에서 데몬 세트로 실행됩니다.
Node Problem Detector는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원하지 않으며, 기능상 완전하지 않을 수 있어 프로덕션에 사용하지 않는 것이 좋습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.
Node Problem Detector는 시스템 로그를 읽고 특정 항목을 감시하고 이러한 문제를 컨트롤 플레인에 표시합니다. 이 경우 oc get node 및 와 같은 OpenShift Container Platform 명령을 사용하여 볼 수 있습니다. 그런 다음 OpenShift Container Platform 로그 모니터링 과 같이 이러한 문제를 적절하게 수정하거나 선택한 툴을 사용하여 메시지를 캡처할 수 있습니다. 감지된 문제는 다음 카테고리 중 하나에 포함될 수 있습니다.
oc get event
-
NodeCondition: Pod에서 노드를 사용할 수 없게 만드는 영구적 문제입니다. 호스트가 재부팅될 때까지 노드 조건이 지워지지 않습니다. -
이벤트: 노드에 미치는 영향이 제한되지만 정보를 제공하는 임시 문제입니다.
노드 문제 탐지기에서 다음을 감지할 수 있습니다.
컨테이너 런타임 문제:
- 응답하지 않는 런타임 데몬
하드웨어 문제:
- bad CPU
- 잘못된 메모리
- 잘못된 디스크
커널 문제:
- 커널 교착 상태
- 손상된 파일 시스템
- 응답하지 않는 런타임 데몬
인프라 데몬 문제:
- NTP 서비스 중단
26.2. Node Problem Detector 출력 예
다음 예제에서는 특정 노드에서 커널 교착 상태의 Node Problem Detector 감시의 출력을 보여줍니다. 명령은 oc get node 를 사용하여 로그에서 KernelDeadlock 항목에 대한 특정 노드 필터링을 확인합니다.
# oc get node <node> -o yaml | grep -B5 KernelDeadlock
문제 없는 샘플 Node Problem Detector 출력
message: kernel has no deadlock reason: KernelHasNoDeadlock status: false type: KernelDeadLock
KernelDeadLock 상태의 출력 예
message: task docker:1234 blocked for more than 120 seconds reason: DockerHung status: true type: KernelDeadLock
이 예에서는 노드의 이벤트를 위한 Node Problem Detector 감시의 출력을 보여줍니다. 다음 명령은 Node Problem Detector 구성 맵 의 이벤트를 사용합니다.
kernel-monitor.json 섹션에 나열된 이벤트를 기본 프로젝트 감시에 대해 oc get
# oc get event -n default --field-selector=source=kernel-monitor --watch
노드에서 이벤트를 표시하는 샘플 출력
LAST SEEN FIRST SEEN COUNT NAME KIND SUBOBJECT TYPE REASON SOURCE MESSAGE 2018-06-27 09:08:27 -0400 EDT 2018-06-27 09:08:27 -0400 EDT 1 my-node1 node Warning TaskHunk kernel-monitor.my-node1 docker:1234 blocked for more than 300 seconds 2018-06-27 09:08:27 -0400 EDT 2018-06-27 09:08:27 -0400 EDT 3 my-node2 node Warning KernelOops kernel-monitor.my-node2 BUG: unable to handle kernel NULL pointer deference at nowhere 2018-06-27 09:08:27 -0400 EDT 2018-06-27 09:08:27 -0400 EDT 1 my-node1 node Warning KernelOops kernel-monitor.my-node2 divide error 0000 [#0] SMP
Node Problem Detector는 리소스를 사용합니다. Node Problem Detector를 사용하는 경우 클러스터 성능의 균형을 조정할 수 있는 충분한 노드가 있는지 확인합니다.
26.3. 노드 문제 탐지기 설치
/etc/ansible/hosts 인벤토리 파일에서 openshift_node_problem_detector_install 을 true 로 설정하면 설치에서 기본적으로 Node Problem Detector daemonset을 생성하고 openshift-node-problem-detector 라는 프로젝트를 생성합니다.
Node Problem Detector는 기술 프리뷰에 있으므로 openshift_node_problem_detector_install 은 기본적으로 false 로 설정됩니다. Node Problem Detector를 설치할 때 매개변수를 수동으로 true 로 변경해야 합니다.
Node Problem Detector가 설치되지 않은 경우 플레이북 디렉터리로 변경하고 openshift-node-problem-detector/config.yml 플레이북을 실행하여 Node Problem Detector를 설치합니다.
$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook playbooks/openshift-node-problem-detector/config.yml
26.4. 감지된 조건 사용자 정의
Node Problem Detector 구성 맵을 편집하여 로그 문자열을 조사하도록 Node Problem Detector를 구성할 수 있습니다.
Node Problem Detector 구성 맵 샘플
apiVersion: v1 kind: ConfigMap metadata: name: node-problem-detector data: docker-monitor.json: | 1 { "plugin": "journald", 2 "pluginConfig": { "source": "docker" }, "logPath": "/host/log/journal", 3 "lookback": "5m", "bufferSize": 10, "source": "docker-monitor", "conditions": [], "rules": [ 4 { "type": "temporary", 5 "reason": "CorruptDockerImage", 6 "pattern": "Error trying v2 registry: failed to register layer: rename /var/lib/docker/image/(.+) /var/lib/docker/image/(.+): directory not empty.*" 7 } ] } kernel-monitor.json: | 8 { "plugin": "journald", 9 "pluginConfig": { "source": "kernel" }, "logPath": "/host/log/journal", 10 "lookback": "5m", "bufferSize": 10, "source": "kernel-monitor", "conditions": [ 11 { "type": "KernelDeadlock", 12 "reason": "KernelHasNoDeadlock", 13 "message": "kernel has no deadlock" 14 } ], "rules": [ { "type": "temporary", "reason": "OOMKilling", "pattern": "Kill process \\d+ (.+) score \\d+ or sacrifice child\\nKilled process \\d+ (.+) total-vm:\\d+kB, anon-rss:\\d+kB, file-rss:\\d+kB" }, { "type": "temporary", "reason": "TaskHung", "pattern": "task \\S+:\\w+ blocked for more than \\w+ seconds\\." }, { "type": "temporary", "reason": "UnregisterNetDevice", "pattern": "unregister_netdevice: waiting for \\w+ to become free. Usage count = \\d+" }, { "type": "temporary", "reason": "KernelOops", "pattern": "BUG: unable to handle kernel NULL pointer dereference at .*" }, { "type": "temporary", "reason": "KernelOops", "pattern": "divide error: 0000 \\[#\\d+\\] SMP" }, { "type": "permanent", "condition": "KernelDeadlock", "reason": "AUFSUmountHung", "pattern": "task umount\\.aufs:\\w+ blocked for more than \\w+ seconds\\." }, { "type": "permanent", "condition": "KernelDeadlock", "reason": "DockerHung", "pattern": "task docker:\\w+ blocked for more than \\w+ seconds\\." } ] }
Node Problem Detector를 구성하려면 문제 조건 및 이벤트를 추가하거나 제거합니다.
텍스트 편집기를 사용하여 Node Problem Detector 구성 맵을 편집합니다.
$ oc edit configmap -n openshift-node-problem-detector node-problem-detector
필요에 따라 노드 상태 또는 이벤트를 제거, 추가 또는 편집합니다.
{ "type": <`temporary` or `permanent`>, "reason": <free-form text describing the error>, "pattern": <log message to watch for> },예를 들면 다음과 같습니다.
{ "type": "temporary", "reason": "UnregisterNetDevice", "pattern": "unregister_netdevice: waiting for \\w+ to become free. Usage count = \\d+" },실행 중인 포드를 다시 시작하여 변경 사항을 적용합니다. Pod를 다시 시작하려면 기존 Pod를 모두 삭제할 수 있습니다.
# oc delete pods -n openshift-node-problem-detector -l name=node-problem-detector
Node Problem Detector 출력을 표준 출력(stdout) 및 표준 오류(stderr)에 표시하려면 Node Problem Detector의 DaemonSet에 다음을 추가합니다.
spec: template: spec: containers: - name: node-problem-detector command: - node-problem-detector - --alsologtostderr=true 1 - --log_dir="/tmp" 2 - --system-log-monitors=/etc/npd/kernel-monitor.json,/etc/npd/docker-monitor.json 3
26.5. Node Problem Detector가 실행 중인지 확인
Node Problem Detector가 활성 상태인지 확인하려면 다음을 수행합니다.
다음 명령을 실행하여 Problem Node Detector Pod의 이름을 가져옵니다.
# oc get pods -n openshift-node-problem-detector NAME READY STATUS RESTARTS AGE node-problem-detector-8z8r8 1/1 Running 0 1h node-problem-detector-nggjv 1/1 Running 0 1h
다음 명령을 실행하여 Problem Node Detector Pod에 대한 로그 정보를 확인합니다.
# oc logs -n openshift-node-problem-detector <pod_name>
출력은 다음과 유사해야 합니다.
# oc logs -n openshift-node-problem-detector node-problem-detector-c6kng I0416 23:22:00.641354 1 log_monitor.go:63] Finish parsing log monitor config file: {WatcherConfig:{Plugin:journald PluginConfig:map[source:kernel] LogPath:/host/log/journal Lookback:5m} BufferSize:10 Source:kernel-monitor DefaultConditions:[{Type:KernelDeadlock Status:false Transition:0001-01-01 00:00:00 +0000 UTC Reason:KernelHasNoDeadlock Message:kernel has no deadlock}]노드에서 이벤트를 시뮬레이션하여 Node Problem Detector를 테스트합니다.
# echo "kernel: divide error: 0000 [#0] SMP." >> /dev/kmsg
노드에서 조건을 시뮬레이션하여 Node Problem Detector를 테스트합니다.
# echo "kernel: task docker:7 blocked for more than 300 seconds." >> /dev/kmsg
26.6. Node Problem Detector 설치 제거
Node Problem Detector를 제거하려면 다음을 수행합니다.
Ansible 인벤토리 파일에 다음 옵션을 추가합니다.
[OSEv3:vars] openshift_node_problem_detector_state=absent
플레이북 디렉터리로 변경하고 config.yml Ansible 플레이북을 실행합니다.
$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook playbooks/openshift-node-problem-detector/config.yml
27장. 인그레스 트래픽에 대해 고유한 외부 IP 할당
27.1. 개요
클러스터로 외부 트래픽을 가져오는 한 가지 방법은 ExternalIP 또는 IngressIP 주소를 사용하는 것입니다.
이 기능은 클라우드 배포가 아닌 경우에만 지원됩니다. 클라우드(GCE, AWS 및 OpenStack) 배포의 경우 클라우드 로드 밸런서의 자동 배포를 위해 로드 밸런서 서비스를 사용하여 서비스의 엔드포인트를 대상으로 합니다.
OpenShift Container Platform은 다음 두 개의 IP 주소 풀을 지원합니다.
- ingressIP는 서비스에 대한 외부 IP 주소를 선택할 때 Loadbalancer에서 사용합니다.
- ExternalIP는 사용자가 구성된 풀에서 특정 IP를 선택할 때 사용됩니다.
NIC(네트워크 인터페이스 컨트롤러) 또는 가상 이더넷은 물론 외부 라우팅에서도 사용할 OpenShift Container Platform 호스트의 장치로 구성해야 합니다. ipfailover는 호스트를 선택하고 NIC를 구성하므로 이 작업에 권장됩니다.
ingressIP 및 ExternalIP는 둘 다 클러스터에 대한 외부 트래픽 액세스를 허용합니다. 올바르게 라우팅되면 외부 트래픽이 서비스에서 노출하는 TCP/UDP 포트를 통해 해당 서비스의 엔드포인트에 도달할 수 있습니다. 서비스에 외부 IP를 수동으로 할당하는 경우 제한된 수의 공유 IP 주소의 포트 공간을 관리하는 것보다 더 간단할 수 있습니다. 또한 고가용성을 구성할 때 이러한 주소를 VIP(가상 IP)로 사용할 수 있습니다.
OpenShift Container Platform에서는 IP 주소의 자동 및 수동 할당을 모두 지원하며 각 주소는 최대 하나의 서비스에 할당됩니다. 따라서 각 서비스는 다른 서비스에서 노출하는 포트와 관계없이 선택한 포트를 노출할 수 있습니다.
27.2. 제한 사항
ExternalIP 를 사용하려면 다음을 수행할 수 있습니다.
-
externalIPNetworkCIDRs범위에서 IP 주소를 선택합니다. 마스터 구성 파일의
ingressIPNetworkCIDR풀에서 할당된 IP 주소가 있어야 합니다. 이 경우 OpenShift Container Platform은 로드 밸런서 서비스 유형의 비클라우드 버전을 구현하고 서비스에 IP 주소를 할당합니다.경고할당한 IP 주소 풀이 클러스터의 노드 1개 이상에서 종료되는지 확인해야 합니다. 기존
oc adm ipfailover를 사용하여 외부 IP가 고가용성인지 확인할 수 있습니다.
수동으로 구성된 외부 IP의 경우 포트 충돌이 선착순으로 처리됩니다. 포트를 요청하면 해당 IP 주소에 아직 할당되지 않은 경우에만 사용할 수 있습니다. 예를 들면 다음과 같습니다.
수동으로 구성된 외부 IP의 포트 충돌 예
두 서비스는 172.7.7.7과 동일한 외부 IP 주소를 사용하여 수동으로 구성되었습니다.
MongoDB 서비스 A 는 포트 27017을 요청한 다음 MongoDB 서비스 B 에서 동일한 포트를 요청합니다. 첫 번째 요청은 포트를 가져옵니다.
그러나 포트 충돌은 컨트롤러에서 각 서비스에 고유한 주소를 할당하므로 수신 컨트롤러에서 할당하는 외부 IP에 문제가 되지 않습니다.
27.3. 고유한 외부 IP를 사용하도록 클러스터 구성
클라우드 이외의 클러스터에서 ingressIPNetworkCIDR 은 기본적으로 172.29.0.0/16 으로 설정됩니다. 클러스터 환경에서 이 프라이빗 범위를 아직 사용하지 않는 경우 기본값을 사용할 수 있습니다. 그러나 다른 범위를 사용하려면 수신 IP를 할당하기 전에 /etc/origin/master/master-config.yaml 파일에서 ingressIPNetworkCIDR 을 설정해야 합니다. 그런 다음 마스터 서비스를 다시 시작합니다.
LoadBalancer 유형의 서비스에 할당된 외부 IP는 항상 ingressIPNetworkCIDR 범위에 있습니다. 할당된 외부 IP가 더 이상 범위를 벗어나도록 ingressIPNetworkCIDR 이 변경되면 영향을 받는 서비스에는 새 범위와 호환되는 새 외부 IP가 할당됩니다.
고가용성을 사용하는 경우 이 범위는 255 IP 주소보다 작아야 합니다.
샘플 /etc/origin/master/master-config.yaml
networkConfig: ingressIPNetworkCIDR: 172.29.0.0/16
27.3.1. 서비스에 대한 Ingress IP 구성
인그레스 IP를 할당하려면 다음을 수행합니다.
loadBalancerIP설정을 통해 특정 IP를 요청하는 LoadBalancer 서비스에 대한 YAML 파일을 생성합니다.샘플 LoadBalancer 구성
apiVersion: v1 kind: Service metadata: name: egress-1 spec: ports: - name: db port: 3306 loadBalancerIP: 172.29.0.1 type: LoadBalancer selector: name: my-db-selectorPod에서 LoadBalancer 서비스를 생성합니다.
$ oc create -f loadbalancer.yaml
서비스에 외부 IP가 있는지 확인합니다. 예를 들어
myservice라는 서비스의 경우 다음을 실행합니다.$ oc get svc myservice
LoadBalancer-type 서비스에 외부 IP가 할당된 경우 출력에 IP가 표시됩니다.
NAME CLUSTER-IP EXTERNAL-IP PORT(S) AGE myservice 172.30.74.106 172.29.0.1 3306/TCP 30s
27.4. 개발 또는 테스트를 위한 Ingress CIDR 라우팅
인그레스 CIDR의 트래픽을 클러스터의 노드로 보내는 정적 경로를 추가합니다. 예를 들면 다음과 같습니다.
# route add -net 172.29.0.0/16 gw 10.66.140.17 eth0
위의 예에서 172.29.0.0/16 은 ingressIPNetworkCIDR 이며 10.66.140.17 은 노드 IP입니다.
27.4.1. 서비스 externalIPs
클러스터의 내부 IP 주소 외에도 애플리케이션 개발자는 클러스터 외부에 있는 IP 주소를 구성할 수 있습니다. OpenShift Container Platform 관리자는 이 IP가 있는 노드에 트래픽이 도착하는지 확인해야 합니다.
master-config.yaml 파일에 구성된 externalIPNetworkCIDRs 범위에서 관리자가 externalIP를 선택해야 합니다. master-config.yaml 이 변경되면 마스터 서비스를 다시 시작해야 합니다.
# master-restart api # master-restart controllers
Sample externalIPNetworkCIDR /etc/origin/master/master-config.yaml
networkConfig: externalIPNetworkCIDR: 172.47.0.0/24
서비스 externalIPs 정의(JSON)
{
"kind": "Service",
"apiVersion": "v1",
"metadata": {
"name": "my-service"
},
"spec": {
"selector": {
"app": "MyApp"
},
"ports": [
{
"name": "http",
"protocol": "TCP",
"port": 80,
"targetPort": 9376
}
],
"externalIPs" : [
"80.11.12.10" 1
]
}
}
- 1
- 포트를 노출하는 외부 IP 주소 목록입니다. 내부 IP 주소 외에)
28장. 라우터 모니터링 및 디버깅
28.1. 개요
기본 구현에 따라 여러 가지 방법으로 실행 중인 라우터 를 모니터링할 수 있습니다. 이 주제에서는 상태를 확인하기 위해 확인할 HAProxy 템플릿 라우터 및 구성 요소에 대해 설명합니다.
28.2. 통계 보기
HAProxy 라우터는 HAProxy 통계에 대한 웹 리스너를 노출합니다. 라우터의 공용 IP 주소와 올바르게 구성된 포트(기본적으로1936 )를 입력하여 통계 페이지를 보고 메시지가 표시되면 관리자 암호를 입력합니다. 이 암호 및 포트는 라우터 설치 중에 구성되지만 컨테이너에서 haproxy.config 파일을 확인하여 찾을 수 있습니다.
Prometheus 형식으로 원시 통계를 추출하려면 다음 명령을 실행합니다.
$ curl -u <user>:<password> -kv <router_IP>:<STATS_PORT>/metrics
이 명령에 필요한 정보를 가져오는 방법에 대한 자세한 내용은 라우터 지표 노출을 참조하십시오.
28.3. 통계 보기 비활성화
기본적으로 HAProxy 통계는 1936 포트(암호 보호 계정 사용)에 노출됩니다. HAProxy 통계 노출을 비활성화하려면 통계 포트 번호로 0 을 지정합니다.
$ oc adm router hap --service-account=router --stats-port=0
참고: HAProxy는 계속 통계를 수집 및 저장하고 웹 리스너를 통해 노출 되지 않습니다. HAProxy 라우터 컨테이너 내부의 HAProxy AF_UNIX 소켓에 요청을 보내 통계에 계속 액세스할 수 있습니다.
$ cmd="echo 'show stat' | socat - UNIX-CONNECT:/var/lib/haproxy/run/haproxy.sock"
$ routerPod=$(oc get pods --selector="router=router" \
--template="{{with index .items 0}}{{.metadata.name}}{{end}}")
$ oc exec $routerPod -- bash -c "$cmd"
보안상의 이유로 권한 있는 컨테이너에 액세스할 때 oc exec 명령이 작동하지 않습니다. 대신 노드 호스트에 SSH를 실행한 다음 원하는 컨테이너에서 docker exec 명령을 사용할 수 있습니다.
28.4. 로그 보기
라우터 로그를 보려면 포드에서 oc logs 명령을 실행합니다. 라우터가 기본 구현을 관리하는 플러그인 프로세스로 실행되므로 실제 HAProxy 로그가 아닌 플러그인용 로그입니다.
HAProxy에서 생성한 로그를 보려면 syslog 서버를 시작하고 다음 환경 변수를 사용하여 위치를 라우터 포드에 전달합니다.
| 환경 변수 | 설명 |
|---|---|
|
| syslog 서버의 IP 주소입니다. 포트를 지정하지 않은 경우 포트 514 가 기본값입니다. |
|
| 선택 사항: HAProxy 로그 수준을 변경하려면 를 설정합니다. 설정되지 않은 경우 기본 로그 수준은 warning 입니다. HAProxy에서 지원하는 모든 로그 수준으로 변경할 수 있습니다. |
|
| 선택 사항: 사용자 지정된 HAProxy 로그 형식을 정의하도록 설정합니다. HAProxy에서 허용하는 로그 형식 문자열로 변경할 수 있습니다. |
syslog 서버에 메시지를 전송하도록 실행 중인 라우터 Pod를 설정하려면 다음을 수행합니다.
$ oc set env dc/router ROUTER_SYSLOG_ADDRESS=<dest_ip:dest_port> ROUTER_LOG_LEVEL=<level>
예를 들어 다음은 기본 포트 514 를 사용하여 로그를 127.0.0.1로 전송하도록 HAProxy를 설정하고 로그 수준을 debug 로 변경합니다.
$ oc set env dc/router ROUTER_SYSLOG_ADDRESS=127.0.0.1 ROUTER_LOG_LEVEL=debug
28.5. 라우터 내부 보기
routes.json
경로는 HAProxy 라우터에서 처리하며 메모리, 디스크 및 HAProxy 구성 파일에 모두 저장됩니다. HAProxy 구성 파일을 생성하기 위해 템플릿에 전달되는 내부 경로 표현은 /var/lib/haproxy/router/routes.json 파일에 있습니다. 라우팅 문제를 해결할 때 이 파일을 보고 구성을 실행하는 데 사용되는 데이터를 확인합니다.
HAProxy 구성
/var/lib/haproxy/conf/haproxy.config 파일의 특정 경로에 대해 생성된 HAProxy 구성 및 백엔드를 찾을 수 있습니다. 매핑 파일은 동일한 디렉터리에 있습니다. 헬퍼 프런트엔드 및 백엔드는 수신 요청을 백엔드에 매핑할 때 매핑 파일을 사용합니다.
인증서
인증서는 다음 두 위치에 저장됩니다.
- 엣지 종료 및 종료 경로 재암호화에 대한 인증서는 /var/lib/haproxy/router/certs 디렉터리에 저장됩니다.
- 종료된 경로를 다시 암호화하기 위해 백엔드에 연결하는 데 사용되는 인증서는 /var/lib/haproxy/router/cacerts 디렉터리에 저장됩니다.
파일은 경로의 네임스페이스와 이름에 의해 키됩니다. 키, 인증서 및 CA 인증서는 단일 파일에 연결됩니다. OpenSSL 을 사용하여 이러한 파일의 내용을 볼 수 있습니다.
29장. 고가용성
29.1. 개요
이 주제에서는 OpenShift Container Platform 클러스터에서 Pod 및 서비스에 대한 고가용성 설정을 설명합니다.
IP 페일오버는 노드 집합에서 VIP(가상 IP) 주소 풀을 관리합니다. 세트의 모든 VIP는 세트에서 선택한 노드에서 서비스를 제공합니다. 단일 노드를 사용할 수 있는 경우 VIP가 제공됩니다. 노드에 VIP를 명시적으로 배포할 방법은 없으므로 VIP가 없는 노드와 VIP가 많은 기타 노드가 있을 수 있습니다. 노드가 하나만 있는 경우 모든 VIP가 노드에 있게 됩니다.
VIP는 클러스터 외부에서 라우팅할 수 있어야 합니다.
IP 페일오버는 각 VIP의 포트를 모니터링하여 노드에서 포트에 연결할 수 있는지 확인합니다. 포트에 연결할 수 없는 경우 VIP가 노드에 할당되지 않습니다. 포트를 0으로 설정하면 이 검사가 비활성화됩니다. 검사 스크립트는 필요한 테스트를 수행합니다.
IP 페일오버 는 Keepalived 를 사용하여 호스트 집합에서 외부 액세스가 가능한 VIP 주소 집합을 호스팅합니다. 각 VIP는 한 번에 하나의 호스트에서만 서비스를 제공합니다. keepalived는 VRRP 프로토콜을 사용하여 어떤 VIP를 서비스할 호스트(호스트 집합)를 결정합니다. 호스트를 사용할 수 없게 되거나 Keepalived 서비스가 응답하지 않는 경우 VIP가 세트의 다른 호스트로 전환됩니다. 따라서 호스트를 사용할 수 있는 한 VIP는 항상 서비스를 제공합니다.
Keepalived 를 실행하는 호스트가 검사 스크립트를 통과하면 선점 전략에 따라 호스트가 우선 순위 및 현재 MASTER 의 우선 순위에 따라 MASTER 상태가 될 수 있습니다.
관리자는 상태가 변경될 때마다 호출되는 --notify-script= 옵션을 통해 스크립트를 제공할 수 있습니다. keepalived는 VIP를 서비스하는 경우, 다른 노드가 VIP를 서비스하는 경우 BACKUP 상태이거나 검사 스크립트가 실패할 때 in FAULT'상태인 경우 Keepalived는 MASTER 상태입니다. 알림 스크립트는 상태가 변경될 때마다 새 상태로 호출됩니다.
OpenShift Container Platform은 oc adm ipfailover 명령을 실행하여 IP 페일오버 배포 구성 생성을 지원합니다. IP 장애 조치 배포 구성은 VIP 주소 집합과 서비스할 노드 집합을 지정합니다. 클러스터에는 고유한 VIP 주소 집합을 관리할 때마다 여러 IP 페일오버 배포 구성이 있을 수 있습니다. IP 페일오버 구성의 각 노드는 IP 페일오버 Pod를 실행하며 이 Pod 는 Keepalived 를 실행합니다.
VIP를 사용하여 호스트 네트워킹(예: 라우터)이 있는 Pod에 액세스하는 경우 애플리케이션 포드는 ipfailover Pod를 실행하는 모든 노드에서 실행되어야 합니다. 이렇게 하면 모든 ipfailover 노드가 마스터가 되고 필요한 경우 VIP에 서비스를 제공할 수 있습니다. ipfailover가 있는 모든 노드에서 애플리케이션 Pod가 실행 중이 아닌 경우 일부 ipfailover 노드는 VIP를 서비스하지 않거나 일부 애플리케이션 Pod는 트래픽을 수신하지 않습니다. 이러한 불일치를 방지하려면 ipfailover 및 애플리케이션 포드 모두에 동일한 선택기 및 복제 수를 사용합니다.
VIP를 사용하여 서비스에 액세스하는 동안 애플리케이션 포드가 실행 중인 위치와 상관없이 모든 노드에서 서비스에 연결할 수 있으므로 모든 노드가 ipfailover 노드 세트에 있을 수 있습니다. 언제든지 ipfailover 노드가 마스터가 될 수 있습니다. 서비스는 외부 IP와 서비스 포트를 사용하거나 nodePort를 사용할 수 있습니다.
서비스 정의에서 외부 IP를 사용하는 경우 VIP가 외부 IP로 설정되고 ipfailover 모니터링 포트가 서비스 포트로 설정됩니다. nodePort는 클러스터의 모든 노드에서 열려 있으며 서비스는 현재 VIP를 지원하는 노드에서 트래픽의 부하를 분산합니다. 이 경우 서비스 정의에서 ipfailover 모니터링 포트가 nodePort로 설정됩니다.
nodePort 설정은 권한 있는 작업입니다.
서비스 VIP를 사용할 수 있지만 성능은 여전히 영향을 받을 수 있습니다. keepalived 는 각 VIP가 구성의 일부 노드에서 서비스를 제공하고, 다른 노드에 없는 경우에도 여러 VIP가 동일한 노드에 표시될 수 있습니다. ipfailover가 동일한 노드에 여러 VIP를 배치하면 일련의 VIP에 외부 로드 밸런싱이 중단될 수 있습니다.
ingressIP를 사용하는 경우 ipfailover를 ingressIP 범위와 동일한 VIP 범위를 갖도록 설정할 수 있습니다. 모니터링 포트를 비활성화할 수도 있습니다. 이 경우 모든 VIP가 클러스터의 동일한 노드에 표시됩니다. 모든 사용자는 ingressIP를 사용하여 서비스를 설정하고 고가용성으로 설정할 수 있습니다.
클러스터에는 최대 255개의 VIP가 있습니다.
29.2. IP Failover 구성
적절한 옵션과 함께 oc adm ipfailover 명령을 사용하여 ipfailover 배포 구성을 생성합니다.
현재 ipfailover는 클라우드 인프라와 호환되지 않습니다. AWS의 경우 AWS 콘솔을 사용하여 OpenShift Container Platform을 고가용성으로 만드는 데 Elastic Load Balancer(ELB)를 사용할 수 있습니다.
관리자는 레이블 선택기에 정의된 대로 전체 클러스터 또는 노드의 하위 집합에서 ipfailover를 구성할 수 있습니다. 클러스터에서 여러 IP 페일오버 배포 구성을 설정할 수도 있습니다. 이 배포 구성은 서로 독립적입니다. oc adm ipfailover 명령은 ipfailover 배포 구성을 생성하여 제약 조건 또는 사용된 레이블과 일치하는 각 노드에서 장애 조치 Pod가 실행되도록 합니다. 이 Pod 는 Keepalived 를 실행하여 모든 Keepalived 데몬에서 VRRP(Virtual Router Redundancy Protocol)를 사용하여 감시된 포트의 서비스를 사용할 수 있는지 확인하고 그렇지 않은 경우 Keepalived 가 가상 IP(VIP)를 자동으로 적용합니다.
프로덕션의 경우 노드를 선택하려면 두 개 이상의 노드가 있는 --selector=<label> 을 사용하십시오. 또한 지정된 선택기의 노드 수와 일치하는 --replicas=<n> 값을 설정합니다.
oc adm ipfailover 명령에는 Keepalived 를 제어하는 환경 변수를 설정하는 명령줄 옵션이 포함되어 있습니다. 환경 변수는 OPENSHIFT_HA_* 로 시작하며 필요에 따라 변경할 수 있습니다.
예를 들어 아래 명령은 router =us-west-ha라는 레이블이 지정된 노드(예: 라우터 프로세스 등 포트 80에서 수신 대기하는 서비스를 모니터링하는 7개의 가상 IP가 있는 4노드)에 IP 페일오버 구성을 생성합니다.
$ oc adm ipfailover --selector="router=us-west-ha" \
--virtual-ips="1.2.3.4,10.1.1.100-104,5.6.7.8" \
--watch-port=80 --replicas=4 --create29.2.1. 가상 IP 주소
keepalived 는 가상 IP 주소 집합(VIP)을 관리합니다. 관리자는 다음 주소를 모두 확인해야 합니다.
- 클러스터 외부에서 구성된 호스트에서 액세스할 수 있습니다.
- 클러스터 내의 다른 용도로는 사용되지 않습니다.
각 노드의 keepalived는 필요한 서비스가 실행 중인지 여부를 결정합니다. 이 경우 VIP가 지원되고 Keepalived 가 협상에 참여하여 VIP를 제공할 노드를 결정합니다. 노드가 참여하려면 VIP의 감시 포트에서 서비스를 수신 대기하거나 검사를 비활성화해야 합니다.
세트의 각 VIP는 다른 노드에서 제공할 수 있습니다.
29.2.2. 스크립트 확인 및 알림
keepalived는 사용자가 제공한 선택적 검사 스크립트를 주기적으로 실행하여 애플리케이션의 상태를 모니터링합니다. 예를 들어 스크립트는 요청을 발행하고 응답을 확인하여 웹 서버를 테스트할 수 있습니다.
스크립트는 oc adm ipfailover 명령에 --check-script=<script> 옵션을 통해 제공됩니다. 스크립트는 PASS 의 경우 0, FAIL 의 경우 1 로 종료해야 합니다.
기본적으로 검사는 2초마다 수행되지만 --check-interval=<seconds> 옵션을 사용하여 변경할 수 있습니다.
검사 스크립트를 제공하지 않으면 TCP 연결을 테스트하는 간단한 기본 스크립트가 실행됩니다. 이 기본 테스트는 모니터 포트가 0이면 비활성화됩니다.
각 VIP(가상 IP)에 대해 keepalived 는 노드의 상태를 유지합니다. 노드의 VIP는 MASTER,BACKUP 또는 FAULT 상태일 수 있습니다. FAULT 상태에 있지 않은 노드의 모든 VIP는 협상에 참여하여 VIP의 MASTER 가 될 것을 결정합니다. 모든 손실자가 BACKUP 상태가 됩니다. MASTER 의 검사 스크립트가 실패하면 VIP가 FAULT 상태가 되고 재협상이 트리거됩니다. BACKUP 이 실패하면 VIP가 FAULT 상태가 됩니다. 검사 스크립트가 FAULT 상태의 VIP에서 다시 통과하면FAULT 를 종료하고 MASTER 에 대해 협상합니다. 결과 상태는 MASTER 또는 BACKUP 입니다.
관리자는 상태가 변경될 때마다 호출되는 선택적 알림 스크립트를 제공할 수 있습니다. keepalived는 다음 세 개의 매개변수를 스크립트에 전달합니다.
-
$1- "GROUP"|"INSTANCE" -
$2- 그룹 또는 인스턴스의 이름 -
$3- 새 상태("MASTER"|"BACKUP"|"FAULT")
이러한 스크립트는 IP 페일오버 Pod에서 실행되며 호스트 파일 시스템이 아닌 Pod의 파일 시스템을 사용합니다. 옵션에는 스크립트의 전체 경로가 필요합니다. 관리자는 알림 스크립트를 실행하여 결과를 추출하려면 포드에서 스크립트를 사용할 수 있도록 해야 합니다. 스크립트를 제공하는 데 권장되는 접근 방식은 ConfigMap 을 사용하는 것입니다.
keepalived가 시작될 때마다 로드되는 keepalived 구성 파일 /etc/keepalived/keepalived.conf 에 검사 및 알림 스크립트의 전체 경로 이름이 추가됩니다. 스크립트는 다음과 같이 ConfigMap을 사용하여 Pod에 추가할 수 있습니다.
원하는 스크립트를 생성하고 ConfigMap을 생성하여 보유합니다. 스크립트에는 입력 인수가 없으며 OK 의 경우
0, FAIL 의 경우1을 반환해야 합니다.검사 스크립트, mycheckscript.sh:
#!/bin/bash # Whatever tests are needed # E.g., send request and verify response exit 0ConfigMap을 생성합니다.
$ oc create configmap mycustomcheck --from-file=mycheckscript.sh
포드에 스크립트를 추가하는 방법에는
oc명령을 사용하거나 배포 구성을 편집하는 두 가지 방법이 있습니다. 두 경우 모두 마운트된configMap파일의defaultMode에서 실행을 허용해야 합니다.0755(493 10진수)의 값이 일반적입니다.oc명령 사용:$ oc env dc/ipf-ha-router \ OPENSHIFT_HA_CHECK_SCRIPT=/etc/keepalive/mycheckscript.sh $ oc set volume dc/ipf-ha-router --add --overwrite \ --name=config-volume \ --mount-path=/etc/keepalive \ --source='{"configMap": { "name": "mycustomcheck", "defaultMode": 493}}'ipf-ha-router 배포 구성을 편집합니다.
oc edit dc ipf-ha-router를 사용하여 텍스트 편집기로 라우터 배포 구성을 편집합니다.... spec: containers: - env: - name: OPENSHIFT_HA_CHECK_SCRIPT 1 value: /etc/keepalive/mycheckscript.sh ... volumeMounts: 2 - mountPath: /etc/keepalive name: config-volume dnsPolicy: ClusterFirst ... volumes: 3 - configMap: defaultMode: 0755 4 name: customrouter name: config-volume ...- 변경 사항을 저장하고 편집기를 종료합니다. 그러면 ipf-ha-router 가 다시 시작됩니다.
29.2.3. VRRP 선점
호스트가 검사 스크립트를 전달하여 FAULT 상태를 벗어나면 새 호스트가 현재 MASTER 상태에 있는 호스트보다 우선 순위가 낮은 경우 호스트가 BACKUP 이 됩니다. 그러나 우선 순위가 더 높은 경우 선점 전략은 클러스터에서 역할을 결정합니다.
nopreempt 전략은 더 낮은 우선 순위 호스트에서 더 높은 우선 순위 호스트로 MASTER 를 이동하지 않습니다. preempt 300 을 사용하면 기본값인 keepalived 는 지정된 300초 동안 기다린 후 더 높은 우선 순위 호스트로 MASTER 를 이동합니다.
선점을 지정하려면 다음을 수행합니다.
preemption-strategy를 사용하여 ipfailover를 생성할 때 :$ oc adm ipfailover --preempt-strategy=nopreempt \ ...
oc set env명령을 사용하여 변수 설정:$ oc set env dc/ipf-ha-router \ --overwrite=true \ OPENSHIFT_HA_PREEMPTION=nopreemptoc edit dc ipf-ha-router를 사용하여 라우터 배포 구성을 편집합니다.... spec: containers: - env: - name: OPENSHIFT_HA_PREEMPTION 1 value: nopreempt ...
29.2.4. keepalived 멀티 캐스트
OpenShift Container Platform의 IP 페일오버는 내부적으로 keepalived 를 사용합니다.
위의 레이블이 지정된 노드에서 멀티 캐스트 가 활성화되고 224.0.0.18 (VRRP 멀티캐스트 IP 주소)의 네트워크 트래픽을 허용할 수 있는지 확인합니다.
keepalived 데몬을 시작하기 전에 시작 스크립트는 멀티캐스트 트래픽 흐름이 가능한 iptables 규칙을 확인합니다. 이러한 규칙이 없는 경우 시작 스크립트에서 새 규칙을 생성하여 IP 테이블 구성에 추가합니다. 이 새 규칙이 IP 테이블 구성에 추가하는 위치는 --iptables-chain= 옵션에 따라 다릅니다. --iptables-chain= 옵션이 지정된 경우 옵션의 지정된 체인에 규칙이 추가됩니다. 그렇지 않으면 규칙이 INPUT 체인에 추가됩니다.
노드에서 하나 이상의 keepalived 데몬이 실행될 때마다 iptables 규칙이 존재해야 합니다.
iptables 규칙은 마지막 keepalived 데몬이 종료된 후에 제거할 수 있습니다. 규칙이 자동으로 제거되지 않습니다.
각 노드에서 iptables 규칙을 수동으로 관리할 수 있습니다. 이 명령은 존재하지 않는 경우에만 생성됩니다(-iptable-chain="" 옵션을 사용하여 ipfailover가 생성되지 않는 한).
시스템을 다시 시작한 후에도 수동으로 추가한 규칙이 지속되는지 확인해야 합니다.
keepalived 데몬이 멀티 캐스트 224.0.0.18을 통해 VRRP 프로토콜을 사용하여 피어와 협상하므로 주의하십시오. 각 VIP 에 다른 VRRP-id(범위 0..255)가 있어야 합니다.
$ for node in openshift-node-{5,6,7,8,9}; do ssh $node <<EOF
export interface=${interface:-"eth0"}
echo "Check multicast enabled ... ";
ip addr show $interface | grep -i MULTICAST
echo "Check multicast groups ... "
ip maddr show $interface | grep 224.0.0
EOF
done;29.2.5. 명령줄 옵션 및 환경 변수
| 옵션 | 변수 이름 | Default | 참고 |
|---|---|---|---|
|
|
| 80 | ipfailover pod는 각 VIP에서 이 포트에 대한 TCP 연결을 열려고 합니다. 연결이 설정되면 서비스가 실행 중인 것으로 간주됩니다. 이 포트가 0으로 설정된 경우 테스트는 항상 통과합니다. |
|
|
|
VRRP 트래픽을 보내는 ipfailover의 인터페이스 이름입니다. 기본적으로 | |
|
|
| 2 |
생성할 복제본 수입니다. ipfailover 배포 |
|
|
| 복제할 IP 주소 범위 목록입니다. 이 정보를 제공해야 합니다. (예: 1.2.3.4-6,1.2.3.9.) 자세한 내용은 이 토론을 참조하십시오. | |
|
|
| 0 | 자세한 내용은 VRRP ID 오프셋 토론을 참조하십시오. |
|
|
|
VRRP에 대해 생성할 그룹 수입니다. 설정하지 않으면 | |
|
|
| INPUT |
VRRP 트래픽을 허용하는 iptables 규칙을 자동으로 추가하는 |
|
|
| 애플리케이션이 작동하는지 확인하기 위해 정기적으로 실행되는 스크립트의 Pod 파일 시스템의 전체 경로 이름입니다. 자세한 내용은 이 토론을 참조하십시오. | |
|
|
| 2 | 확인 스크립트가 실행되는 기간(초)입니다. |
|
|
| 상태가 변경될 때마다 실행되는 스크립트의 Pod 파일 시스템의 전체 경로 이름입니다. 자세한 내용은 이 토론을 참조하십시오. | |
|
|
| 선점 300 | 더 높은 우선 순위 호스트를 처리하는 전략. 자세한 내용은 VRRP 선점 섹션을 참조하십시오. |
29.2.6. VRRP ID 오프셋
ipfailover 배포 구성(1노드/replica당 Pod)에서 관리하는 각 ipfailover Pod는 keepalived 데몬을 실행합니다. 더 많은 ipfailover 배포 구성이 구성되면 더 많은 Pod가 생성되고 더 많은 데몬이 일반적인 VRRP 협상에 연결됩니다. 이 협상은 모든 keepalived 데몬에서 수행하며 어떤 노드가 어떤 VIP(가상 IP)를 서비스할 노드를 결정합니다.
내부적으로 keepalived 는 각 VIP에 고유한 vrrp-id를 할당합니다. 협상은 이 vrrp-id 세트를 사용하며, 결정이 내려지면 vrrp-id에 해당하는 VIP가 성공 노드에서 서비스를 제공합니다.
따라서 ipfailover 배포 구성에 정의된 모든 VIP에 대해 ipfailover Pod에서 해당 vrrp-id를 할당해야 합니다. 이 작업은 --vrrp-id-offset 에서 시작하고 vrrp-ids를 VIP 목록에 순차적으로 할당하여 수행됩니다. vrrp-ids는 1..255 범위의 값이 있을 수 있습니다.
배포 구성의 VIP 수를 늘리고 vr rp-id-id 범위가 겹치지 않도록 ipfailover 배포 구성이 여러 개인 경우 --vrrp-id-offset 을 지정해야 합니다.
29.2.7. 254개 이상의 주소에 대한 IP 페일오버 구성
IP 페일오버 관리는 254개의 VIP 주소 그룹으로 제한됩니다. 기본적으로 OpenShift Container Platform은 각 그룹에 하나의 IP 주소를 할당합니다. virtual-ip-groups 옵션을 사용하여 여러 IP 주소가 각 그룹에 속하도록 변경하고 IP 페일오버를 구성할 때 각 VRRP 인스턴스에 사용 가능한 VIP 그룹 수를 정의할 수 있습니다.
VIP 그룹화는 VRRP 페일오버 이벤트의 경우 VRRP당 VIP의 할당 범위가 넓어지며 클러스터의 모든 호스트가 로컬에서 서비스에 액세스할 수 있는 경우에 유용합니다. 예를 들어 서비스가 ExternalIP를 사용하여 노출되는 경우입니다.
페일오버에 대한 규칙으로 라우터와 같은 서비스를 하나의 특정 호스트로 제한하지 마십시오. 대신 IP 페일오버의 경우 새 호스트에서 서비스를 다시 생성할 필요가 없도록 각 호스트에 서비스를 복제해야 합니다.
OpenShift Container Platform 상태 점검을 사용하는 경우 IP 페일오버 및 그룹의 특성으로 인해 그룹의 모든 인스턴스가 확인되지 않습니다. 따라서 서비스가 활성화되어 있는지 확인하려면 Kubernetes 상태 점검을 사용해야 합니다.
# oc adm ipfailover <ipfailover_name> --create \
...
--virtual-ip-groups=<number_of_ipfailover_groups>
예를 들어 7개의 VIP가 있는 환경에서 --virtual-ip-groups 가 3 으로 설정된 경우 3개의 그룹을 만들어 3개의 VIP를 첫 번째 그룹에 할당하고 두 개의 VIP를 나머지 두 그룹에 할당합니다.
virtual -ip-groups 옵션으로 설정된 그룹 수가 페일오버로 설정된 IP 주소 수보다 적으면 그룹에 두 개 이상의 IP 주소가 포함되어 모든 주소가 단일 단위로 이동합니다.
29.2.8. 고가용성 서비스 구성
다음 예제에서는 노드 집합에서 IP 페일오버를 사용하여 고가용성 라우터 및 geo-cache 네트워크 서비스를 설정하는 방법을 설명합니다.
서비스에 사용할 노드의 레이블을 지정합니다. 이 단계는 OpenShift Container Platform 클러스터의 모든 노드에서 서비스를 실행하고 클러스터의 모든 노드 내에 변동할 수 있는 VIP를 사용하는 경우 선택 사항일 수 있습니다.
다음 예제에서는 미국 서부 지역 ha-svc-nodes=geo-us-west 에서 트래픽을 서비스하는 노드의 레이블을 정의합니다.
$ oc label nodes openshift-node-{5,6,7,8,9} "ha-svc-nodes=geo-us-west"서비스 계정을 만듭니다. ipfailover를 사용하거나(환경 정책에 따라) 라우터를 사용할 때 이전에 생성한 라우터 서비스 계정 또는 새 ipfailover 서비스 계정을 재사용할 수 있습니다.
다음 예제에서는 default 네임스페이스에서 ipfailover라는 이름으로 새 서비스 계정을 생성합니다.
$ oc create serviceaccount ipfailover -n default
default 네임스페이스에 ipfailover 서비스 계정을 권한 있는 SCC에 추가합니다.
$ oc adm policy add-scc-to-user privileged system:serviceaccount:default:ipfailover
라우터 및 geo-cache 서비스를 시작합니다.
중요ipfailover는 1단계의 모든 노드에서 실행되므로 모든 1단계 노드에서 라우터/서비스도 실행하는 것이 좋습니다.
첫 번째 단계에서 사용된 레이블과 일치하는 노드로 라우터를 시작합니다. 다음 예제에서는 ipfailover 서비스 계정을 사용하여 5개의 인스턴스를 실행합니다.
$ oc adm router ha-router-us-west --replicas=5 \ --selector="ha-svc-nodes=geo-us-west" \ --labels="ha-svc-nodes=geo-us-west" \ --service-account=ipfailover각 노드에서 복제본을 사용하여 geo-cache 서비스를 실행합니다. geo-cache 서비스를 실행하기 위한 구성 예를 참조하십시오.
중요파일에서 참조하는 myimages/geo-cache 컨테이너 이미지를 원하는 이미지로 교체해야 합니다. 복제본 수를 geo-cache 레이블의 노드 수로 변경합니다. 레이블이 첫 번째 단계에서 사용된 항목과 일치하는지 확인합니다.
$ oc create -n <namespace> -f ./examples/geo-cache.json
라우터 및 geo-cache 서비스에 대해 ipfailover를 구성합니다. 각 VIP에는 자체 VIP가 있으며, 모두 첫 번째 단계에서 ha-svc-nodes=geo-us-west 로 레이블이 지정된 동일한 노드를 사용합니다. 첫 번째 단계에서 복제본의 수가 레이블 설정에 나열된 노드 수와 일치하는지 확인합니다.
중요라우터,geo-cache 및 ipfailover는 모두 배포 구성을 생성하고 모두 다른 이름이 있어야 합니다.
원하는 인스턴스에서 ipfailover가 모니터링해야 하는 VIP 및 포트 번호를 지정합니다.
라우터 의 ipfailover 명령 :
$ oc adm ipfailover ipf-ha-router-us-west \ --replicas=5 --watch-port=80 \ --selector="ha-svc-nodes=geo-us-west" \ --virtual-ips="10.245.2.101-105" \ --iptables-chain="INPUT" \ --service-account=ipfailover --create다음은 포트 9736에서 수신 대기 중인 geo-cache 서비스에 대한
oc adm ipfailover명령입니다. 두 개의ipfailover배포 구성이 있으므로 각 VIP가 자체 오프셋을 가져오도록--vrrp-id-offset을 설정해야 합니다. 이 경우 값을10으로 설정하면ipf-ha-router-us-west가 10에서 시작되므로있을 수 있습니다.ipf-ha-router-us-west에 최대 10개의 VIP(0-9)가$ oc adm ipfailover ipf-ha-geo-cache \ --replicas=5 --watch-port=9736 \ --selector="ha-svc-nodes=geo-us-west" \ --virtual-ips=10.245.3.101-105 \ --vrrp-id-offset=10 \ --service-account=ipfailover --create위의 명령에는 각 노드에 ipfailover,router 및 geo-cache Pod가 있습니다. 각 ipfailover 구성의 VIP 세트는 중복되지 않아야 하며 외부 또는 클라우드 환경의 다른 위치에서 사용해서는 안 됩니다. 예에서 5개의 VIP 주소
10.245.{2,3}.101-105는 2개의 ipfailover 배포 구성에서 제공됩니다. IP 페일오버는 어떤 노드에서 제공되는 주소를 동적으로 선택합니다.관리자는 모든 라우터 VIP가 동일한 라우터 를 가리키고 모든 geo-cache VIP가 동일한 geo-cache 서비스를 가리키도록 VIP 주소를 가리키도록 외부 DNS를 설정합니다. 하나의 노드가 계속 실행 중인 경우 모든 VIP 주소가 제공됩니다.
29.2.8.1. IP Failover Pod 배포
postgresql -ingress 서비스에 정의된 대로 ipfailover 라우터를 배포하여 노드 포트 32439 및 외부 IP 주소에서 postgresql 수신 대기를 모니터링합니다.
29.2.9. 고가용성 서비스를 위한 가상 IP 동적 업데이트
IP 페일오버 서비스의 기본 배포 전략은 배포를 다시 생성하는 것입니다. 가동 중지 시간이 거의 또는 전혀 없는 고가용성 라우팅 서비스의 VIP를 동적으로 업데이트하려면 다음을 수행해야 합니다.
- 롤링 업데이트 전략을 사용하도록 IP 페일오버 서비스 배포 구성을 업데이트합니다.
-
업데이트된 목록 또는 가상 IP 주소 세트로
OPENSHIFT_HA_VIRTUAL_IPS환경 변수를 업데이트합니다.
다음 예제에서는 배포 전략 및 가상 IP 주소를 동적으로 업데이트하는 방법을 보여줍니다.
다음을 사용하여 생성된 IP 페일오버 구성을 고려하십시오.
$ oc adm ipfailover ipf-ha-router-us-west \ --replicas=5 --watch-port=80 \ --selector="ha-svc-nodes=geo-us-west" \ --virtual-ips="10.245.2.101-105" \ --service-account=ipfailover --create배포 구성을 편집합니다.
$ oc edit dc/ipf-ha-router-us-west
spec.strategy.type필드를재생성에서롤링으로 업데이트합니다.spec: replicas: 5 selector: ha-svc-nodes: geo-us-west strategy: resources: {} rollingParams: maxSurge: 0 type: Rolling 1- 1
롤링으로 설정합니다.
추가 가상 IP 주소를 포함하도록
OPENSHIFT_HA_VIRTUAL_IPS환경 변수를 업데이트합니다.- name: OPENSHIFT_HA_VIRTUAL_IPS value: 10.245.2.101-105,10.245.2.110,10.245.2.201-205 1- 1
10.245.2.110,10.245.2.201-205가 목록에 추가되었습니다.
- VIP 집합과 일치하도록 외부 DNS를 업데이트합니다.
29.3. 서비스 ExternalIP 및 NodePort 구성
사용자는 서비스에서 VIP를 ExternalIP로 할당할 수 있습니다. keepalived는 각 VIP가 ipfailover 구성의 일부 노드에서 제공되는지 확인합니다. 요청이 노드에 도착하면 클러스터의 모든 노드에서 실행 중인 서비스가 서비스 엔드포인트 간에 요청을 부하 분산합니다.
keepalived 가 애플리케이션이 실행 중인지 확인할 수 있도록 NodePorts 를 ipfailover 감시 포트로 설정할 수 있습니다. NodePort는 클러스터의 모든 노드에 노출되므로 모든 ipfailover 노드에서 keepalived 에 사용할 수 있습니다.
29.4. IngressIP의 고가용성
클라우드 이외의 클러스터에서 서비스에 ipfailover 및 ingressIP 를 결합할 수 있습니다. 그 결과 ingressIP를 사용하여 서비스를 생성하는 사용자를 위한 고가용성 서비스가 생성됩니다.
사용 방법은 ingressIPNetworkCIDR 범위를 지정한 다음 ipfailover 구성을 생성할 때 동일한 범위를 사용하는 것입니다.
이후 ipfailover는 전체 클러스터에 대해 최대 255개의 VIP를 지원할 수 있으므로 ingressIPNetworkCIDR 은 /24 이하여야 합니다.
30장. iptables
30.1. 개요
적절한 네트워크 작업을 위해 커널 iptables 구성을 사용하는 로컬 방화벽 정책을 관리하는 OpenShift Container Platform, 컨테이너, 소프트웨어 등 많은 시스템 구성 요소가 있습니다. 또한 네트워킹이 작동하려면 클러스터에 있는 모든 노드의 iptables 구성이 올바르야 합니다.
모든 구성 요소는 다른 구성 요소를 사용하는 방법에 대한 지식 없이 iptables와 독립적으로 작동됩니다. 따라서 한 구성 요소가 다른 구성 요소의 구성을 쉽게 중단할 수 있습니다. 또한 OpenShift Container Platform 및 Docker 서비스는 iptables가 설정되는 대로 정확하게 설정되어 있다고 가정합니다. 다른 구성 요소에서 도입한 변경 사항을 탐지하지 못할 수 있으며 수정 사항을 구현하는 데 다소 지연이 있을 수 있습니다. 특히 OpenShift Container Platform은 문제를 모니터링하고 해결합니다. 그러나 Docker 서비스는 그렇지 않습니다.
노드의 iptables 구성을 변경해도 OpenShift Container Platform 및 Docker 서비스의 작업에 영향을 미치지 않는지 확인합니다. 또한 클러스터의 모든 노드에서 변경해야 하는 경우가 많습니다. iptables는 여러 동시 사용자가 되도록 설계되지 않고 OpenShift Container Platform 및 Docker 네트워킹을 쉽게 중단하기 때문에 주의해야 합니다.
OpenShift Container Platform은 여러 체인을 제공합니다. 이 체인 중 하나는 관리자가 자체 목적으로 사용할 수 있도록 특별히 설계되었습니다. OPENSHIFT-ADMIN-OUTPUT-RULES.
자세한 내용은 iptables 규칙을 사용하여 외부 리소스로 액세스를 제한하는 방법에 대한 설명을 참조하십시오.
OpenShift Container Platform 및 Docker 네트워킹이 제대로 작동하려면 커널 iptables의 체인, 체인 순서 및 규칙을 클러스터의 각 노드에 올바르게 설정해야 합니다. 커널 iptables와 상호 작용하고 실수로 OpenShift Container Platform 및 Docker 서비스에 영향을 줄 수 있는 시스템에서 일반적으로 사용되는 몇 가지 툴과 서비스가 있습니다.
30.2. iptables
iptables 도구를 사용하여 Linux 커널에서 IPv4 패킷 필터 규칙의 테이블을 설정, 유지 관리 및 검사할 수 있습니다.
방화벽과 같은 다른 용도와 관계없이 OpenShift Container Platform 및 Docker 서비스는 일부 테이블에서 체인을 관리합니다. 체인은 특정 순서로 삽입되고 규칙은 요구 사항에 따라 다릅니다.
iptables --flush [chain] 은 키 필수 구성을 제거할 수 있습니다. 이 명령을 실행하지 마십시오.
30.3. iptables.service
iptables 서비스는 로컬 네트워크 방화벽을 지원합니다. iptables 구성에 대한 전체 제어가 가정됩니다. 시작하면 전체 iptables 구성을 플러시하고 복원합니다. 복원된 규칙은 해당 구성 파일인 /etc/sysconfig/iptables 에서 가져온 것입니다. 작업 중에는 구성 파일이 최신 상태로 유지되지 않으므로 다시 시작할 때마다 동적으로 추가된 규칙이 손실됩니다.
iptables.service 를 중지하고 시작하면 OpenShift Container Platform 및 Docker에 필요한 구성이 제거됩니다. OpenShift Container Platform 및 Docker는 변경 사항을 알리지 않습니다.
# systemctl disable iptables.service # systemctl mask iptables.service
iptables.service 를 실행해야 하는 경우 구성 파일에 제한된 구성을 유지하고 OpenShift Container Platform 및 Docker를 사용하여 필요한 규칙을 설치합니다.
iptables.service 구성이 로드됩니다.
/etc/sysconfig/iptables
영구 규칙을 변경하려면 이 파일의 변경 내용을 편집합니다. Docker 또는 OpenShift Container Platform 규칙을 포함하지 마십시오.
노드에서 iptables.service 를 시작하거나 다시 시작한 후 필요한 iptables 구성을 재구축하려면 Docker 서비스 및 atomic-openshift-node.service 를 다시 시작해야 합니다.
Docker 서비스를 다시 시작하면 노드에서 실행 중인 모든 컨테이너가 중지되고 다시 시작됩니다.
# systemctl restart iptables.service # systemctl restart docker # systemctl restart atomic-openshift-node.service
31장. 전략을 통한 빌드 보안
31.1. 개요
OpenShift Container Platform의 빌드는 Docker 데몬 소켓에 액세스할 수 있는 권한 있는 컨테이너에서 실행됩니다. 보안 조치에서는 빌드를 실행할 수 있는 사용자와 해당 빌드에 사용되는 전략을 제한하는 것이 좋습니다. 사용자 지정 빌드는 본질적으로 노드의 Docker 소켓에 대한 전체 액세스 권한으로 빌드의 모든 코드를 실행할 수 있으므로 소스 빌드보다 안전하지 않으므로 기본적으로 비활성화됩니다. Docker 빌드 논리의 취약점으로 인해 호스트 노드에 권한이 부여될 수 있으므로 Docker 빌드 권한도 주의해서 부여되어야 합니다.
Docker 및 사용자 지정 빌드 중에 Docker 데몬에서 수행하는 작업에는 권한이 부여되며 호스트 네트워크 네임스페이스에서 수행됩니다. 이러한 조치는 EgressNetworkPolicy 오브젝트 및 고정 송신 IP 주소에서 정의하는 규칙을 포함하여 구성된 네트워킹 규칙을 바이패스합니다.
기본적으로 빌드를 생성할 수 있는 모든 사용자에게 Docker 및 S2I 빌드 전략을 사용할 수 있는 권한이 부여됩니다. cluster-admin 권한이 있는 사용자는 이 페이지의 전역적으로 빌드 전략에 대한 Restricting Build Strategies에서 참조된 대로 사용자 정의 빌드 전략을 활성화할 수 있습니다.
권한 부여 정책을 사용하여 빌드 전략을 사용하여 빌드할 수 있는 사용자를 제어할 수 있습니다. 각 빌드 전략에는 해당 빌드의 하위 소스가 있습니다. 해당 전략을 사용하여 빌드를 생성하려면 사용자가 빌드를 생성할 수 있는 권한 과 빌드 전략 하위 리소스에서 생성할 수 있는 권한이 있어야 합니다. 빌드 전략 하위 리소스에 대한 생성 권한을 부여하는 기본 역할이 제공됩니다.
| 전략 | 하위 리소스 | 역할 |
|---|---|---|
| Docker | 빌드/Docker | system:build-strategy-docker |
| S2I(Source-to-Image) | 빌드/소스 | system:build-strategy-source |
| 사용자 정의 | 빌드/사용자 정의 | system:build-strategy-custom |
| JenkinsPipeline | builds/jenkinspipeline | system:build-strategy-jenkinspipeline |
31.2. 전역적으로 빌드 전략 비활성화
특정 빌드 전략에 대한 액세스를 전역적으로 방지하려면 cluster-admin 권한이 있는 사용자로 로그인하여 system:authenticated 그룹에서 해당 역할을 제거하고 주석 openshift.io/reconcile-protect: "true" 를 적용하여 API 재시작 시 변경되지 않도록 보호합니다. 다음 예제에서는 Docker 빌드 전략을 비활성화하는 방법을 보여줍니다.
openshift.io/reconcile-protect주석을 적용합니다.$ oc edit clusterrolebinding system:build-strategy-docker-binding apiVersion: v1 groupNames: - system:authenticated kind: ClusterRoleBinding metadata: annotations: openshift.io/reconcile-protect: "true" 1 creationTimestamp: 2018-08-10T01:24:14Z name: system:build-strategy-docker-binding resourceVersion: "225" selfLink: /oapi/v1/clusterrolebindings/system%3Abuild-strategy-docker-binding uid: 17b1f3d4-9c3c-11e8-be62-0800277d20bf roleRef: name: system:build-strategy-docker subjects: - kind: SystemGroup name: system:authenticated userNames: - system:serviceaccount:management-infra:management-admin- 1
openshift.io/reconcile-protect주석 값을"true"로 변경합니다. 기본적으로"false"로 설정됩니다.
역할을 제거합니다.
$ oc adm policy remove-cluster-role-from-group system:build-strategy-docker system:authenticated
3.2 이전 버전에서는 build strategy 하위 리소스가 admin 및 edit 역할에 포함되었습니다.
빌드 전략 하위 소스도 이러한 역할에서 제거되었는지 확인합니다.
$ oc edit clusterrole admin $ oc edit clusterrole edit
각 역할에서 비활성화할 전략 리소스에 해당하는 행을 제거합니다.
관리자에대한 Docker 빌드 전략 비활성화
kind: ClusterRole
metadata:
name: admin
...
rules:
- resources:
- builds/custom
- builds/docker 1
- builds/source
...
...
- 1
- admin 역할이 있는 사용자에 대해 Docker 빌드를 전역적으로 비활성화하려면 이 행을 삭제합니다.
31.3. 전역적으로 빌드 전략 제한
특정 사용자 집합만 특정 전략을 사용하여 빌드를 생성할 수 있도록 하려면 다음을 수행합니다.
- 빌드 전략에 대한 글로벌 액세스를 비활성화합니다.
빌드 전략에 해당하는 역할을 특정 사용자에게 할당합니다. 예를 들어 system:build-strategy-docker 클러스터 역할을 사용자 devuser에 추가하려면 다음을 수행합니다.
$ oc adm policy add-cluster-role-to-user system:build-strategy-docker devuser
클러스터 수준에서 builds/docker 하위 리소스에 대한 사용자 액세스 권한을 부여하면 사용자가 빌드를 생성할 수 있는 모든 프로젝트에서 Docker 전략을 사용하여 빌드를 생성할 수 있습니다.
31.4. 프로젝트에서 빌드 전략 제한
전역적으로 사용자에게 빌드 전략 역할을 부여하는 것과 유사하게 프로젝트 내의 특정 사용자 집합만 특정 전략을 사용하여 빌드를 생성할 수 있습니다.
- 빌드 전략에 대한 글로벌 액세스를 비활성화합니다.
빌드 전략에 해당하는 역할을 프로젝트 내 특정 사용자에게 할당합니다. 예를 들어 프로젝트 devproject 내에서 system:build-strategy-docker 역할을 사용자 devuser에 추가하려면 다음을 실행합니다.
$ oc adm policy add-role-to-user system:build-strategy-docker devuser -n devproject
32장. Seccomp를 사용하여 애플리케이션 기능 제한
32.1. 개요
seccomp(보안 컴퓨팅 모드)는 애플리케이션이 수행할 수 있는 시스템 호출 집합을 제한하는 데 사용되며, 클러스터 관리자가 OpenShift Container Platform에서 실행되는 워크로드의 보안을 제어할 수 있도록 합니다.
seccomp 지원은 Pod 구성의 두 가지 주석을 통해 수행됩니다.
- seccomp.security.alpha.kubernetes.io/pod: 프로파일은 Pod에서 재정의하지 않는 모든 컨테이너에 적용됩니다.
- container.seccomp.security.alpha.kubernetes.io/<container_name>: 컨테이너별 프로파일 덮어쓰기
컨테이너는 기본적으로 제한되지 않은 seccomp 설정으로 실행됩니다.
자세한 설계 정보는 seccomp 설계 문서를 참조하십시오.
32.2. Seccomp 활성화
seccomp는 Linux 커널의 기능입니다. seccomp가 시스템에서 활성화되었는지 확인하려면 다음을 실행합니다.
$ cat /boot/config-`uname -r` | grep CONFIG_SECCOMP= CONFIG_SECCOMP=y
32.3. Seccomp용 OpenShift Container Platform 구성
seccomp 프로필은 syscall을 제공하고 syscall을 호출할 때 수행할 적절한 작업을 제공하는 json 파일입니다.
seccomp 프로필을 생성합니다.
기본 프로필 은 대부분의 경우 충분하지만 클러스터 관리자는 개별 시스템의 보안 제한 조건을 정의해야 합니다.
고유한 사용자 지정 프로필을 만들려면
seccomp-profile-root디렉터리의 모든 노드에 파일을 생성합니다.기본 docker/default 프로필을 사용하는 경우 이를 생성할 필요가 없습니다.
적절한 노드 구성 맵에 kubeletArguments 를 사용하여 프로필을 저장하도록 seccomp-profile-root 디렉토리를 사용하도록 노드를 설정합니다.
kubeletArguments: seccomp-profile-root: - "/your/path"노드 서비스를 다시 시작하여 변경 사항을 적용합니다.
# systemctl restart atomic-openshift-node
사용할 수 있는 프로필을 제어하고 기본 프로필을 설정하려면 seccompProfiles 필드를 통해 SCC를 구성합니다. 첫 번째 프로필은 기본값으로 사용됩니다.
seccompProfiles 필드의 허용 가능한 형식은 다음과 같습니다.
- docker/default: 컨테이너 런타임의 기본 프로필(프로필 필요 없음)
- unconfined: 제한되지 않은 프로파일, seccomp를 비활성화합니다.
localhost/<profile-name>: 노드의 로컬 seccomp 프로필 루트에 설치된 프로파일
예를 들어 기본 docker/default 프로필을 사용하는 경우 다음을 사용하여 SCC를 구성합니다.
seccompProfiles: - docker/default
32.4. 사용자 지정 Seccomp 프로필용 OpenShift Container Platform 구성
클러스터의 Pod를 사용자 정의 프로필로 실행하려면 다음을 수행합니다.
- seccomp -profile-root에 seccomp 프로필을 만듭니다.
seccomp-profile-root 구성 :
kubeletArguments: seccomp-profile-root: - "/your/path"노드 서비스를 다시 시작하여 변경 사항을 적용합니다.
# systemctl restart atomic-openshift-node
SCC를 구성합니다.
seccompProfiles: - localhost/<profile-name>
33장. sysctls
33.1. 개요
sysctl 설정은 Kubernetes를 통해 노출되므로 사용자는 런타임에 컨테이너 내의 네임스페이스에 대한 특정 커널 매개변수를 수정할 수 있습니다. 네임스페이스가 지정된 sysctl만 Pod에 독립적으로 설정할 수 있습니다. sysctl이 node-level이라는 네임스페이스로 지정되지 않은 경우 OpenShift Container Platform 내에서 설정할 수 없습니다. 또한 기본적으로 안전한 것으로 간주되는 sysctl만 허용 목록에 포함됩니다. 노드의 다른 안전하지 않은 sysctl을 사용자에게 제공하도록 수동으로 활성화할 수 있습니다.
33.2. sysctl 이해
Linux에서 sysctl 인터페이스를 사용하면 관리자가 런타임에 커널 매개변수를 수정할 수 있습니다. 매개변수는 /proc/sys/ 가상 프로세스 파일 시스템을 통해 사용할 수 있습니다. 해당 매개변수는 다음과 같이 다양한 하위 시스템에 적용됩니다.
- 커널(공용 접두사: kernel.)
- 네트워킹(공용 접두사: net.)
- 가상 메모리(공용 접두사: vm.)
- MDADM(공용 접두사: dev.)
커널 설명서에 더 많은 하위 시스템이 설명되어 있습니다. 모든 매개변수 목록을 가져오려면 다음을 실행합니다.
$ sudo sysctl -a
33.3. 네임스페이스 지정 sysctl 및 노드 수준 sysctl 비교
다수의 sysctl 은 현재 Linux 커널에 네임스페이스가 지정됩니다. 즉 노드의 각 Pod에 개별적으로 설정할 수 있습니다. Kubernetes 내의 Pod 컨텍스트에서 sysctl에 액세스하려면 네임스페이스를 지정해야 합니다.
다음 sysctl은 네임스페이스로 알려져 있습니다.
- kernel.shm*
- kernel.msg*
- kernel.sem
- fs.mqueue.*
또한 net.* 그룹에 있는 대부분의 sysctl은 네임스페이스로 알려져 있습니다. 해당 네임스페이스 채택은 커널 버전 및 배포자에 따라 다릅니다.
시스템에서 네임스페이스가 지정된 net.* sysctl을 확인하려면 다음 명령을 실행합니다.
$ podman run --rm -ti docker.io/fedora \
/bin/sh -c "dnf install -y findutils && find /proc/sys/ \
| grep -e /proc/sys/net"네임스페이스가 지정되지 않은 sysctl은 노드 수준 이라고 하며 노드의 기본 Linux 배포(예: /etc/sysctls.conf 파일 수정)를 통해 또는 권한 있는 컨테이너에 DaemonSet을 사용하여 클러스터 관리자가 수동으로 설정해야 합니다.
특수 sysctl이 있는 노드를 테인트로 표시하는 것이 좋습니다. 이러한 sysctl 설정이 필요한 노드에만 Pod를 예약하십시오. 테인트 및 허용 오차 기능을 사용하여 노드를 표시합니다.
33.4. 안전한 sysctl 및 안전하지 않은 sysctl 비교
sysctl은 안전한 sysctl 및 안전하지 않은 sysctl로 그룹화됩니다. 적절한 이름 붙여넣기 외에도 안전한 sysctl을 동일한 노드의 Pod 간에 올바르게 격리해야 합니다. 즉 하나의 Pod에 대해 sysctl을 안전한 것으로 설정하면 다음이 수행되지 않아야 합니다.
- 노드의 다른 Pod에 영향을 미침
- 노드 상태 손상
- Pod의 리소스 제한을 벗어나는 CPU 또는 메모리 리소스 확보
지금까지 네임스페이스가 지정된 sysctl 대부분은 안전한 것으로 간주되지 않습니다.
현재 OpenShift Container Platform은 안전한 세트의 다음 sysctl을 지원하거나 허용 목록에 추가합니다.
- kernel.shm_rmid_forced
- net.ipv4.ip_local_port_range
- net.ipv4.tcp_syncookies
kubelet에서 더 나은 격리 메커니즘을 지원하는 경우 이 목록은 향후 버전에서 확장될 수 있습니다.
안전한 sysctl은 모두 기본적으로 활성화됩니다. 안전하지 않은 sysctl은 기본적으로 모두 비활성화되어 있으며 클러스터 관리자가 노드별로 수동으로 활성화해야 합니다. 안전하지 않은 sysctl이 비활성화된 Pod는 예약되지만 시작되지 않습니다.
33.5. 안전하지 않은 sysctl 활성화
클러스터 관리자는 고성능 또는 실시간 애플리케이션 튜닝과 같은 매우 특별한 상황에 대해 안전하지 않은 특정 sysctl을 허용할 수 있습니다.
안전하지 않은 sysctl을 사용하려면 클러스터 관리자가 노드에서 개별적으로 활성화해야 합니다. 네임스페이스가 지정된 sysctl만 활성화할 수 있습니다.
Security Context Constraints 의forbiddenSysctls 및 allowedUnsafeSysctls 필드에 sysctls 목록을 지정하여 Pod에서 설정할 수 있는 sysctl을 추가로 제어할 수 있습니다.
-
forbiddenSysctls옵션은 특정 sysctl을 제외합니다. -
allowedUnsafeSysctls옵션은 고성능 또는 실시간 애플리케이션 튜닝과 같은 특정 요구 사항을 제어합니다.
안전하지 않은 상태의 특성으로 인해 안전하지 않은 sysctl을 사용하는 경우 사용자가 위험을 감수하는 경우 컨테이너 동작, 리소스 부족 또는 노드 중단과 같은 심각한 문제가 발생할 수 있습니다.
Node Resources 구성에 설명된 대로 안전하지 않은 sysctl을 적절한 노드 구성 맵 파일의
kubeletArguments매개변수에 추가합니다.예를 들면 다음과 같습니다.
$ oc edit cm node-config-compute -n openshift-node ... kubeletArguments: allowed-unsafe-sysctls: 1 - "net.ipv4.tcp_keepalive_time" - "net.ipv4.tcp_keepalive_intvl" - "net.ipv4.tcp_keepalive_probes"- 1
- 사용할 안전하지 않은 sysctl을 추가합니다.
restricted SCC의 콘텐츠를 사용하고 안전하지 않은 sysctl을 추가하는 새 SCC를 생성합니다.
... allowHostDirVolumePlugin: false allowHostIPC: false allowHostNetwork: false allowHostPID: false allowHostPorts: false allowPrivilegeEscalation: true allowPrivilegedContainer: false allowedCapabilities: null allowedUnsafeSysctls: 1 - net.ipv4.tcp_keepalive_time - net.ipv4.tcp_keepalive_intvl - net.ipv4.tcp_keepalive_probes ... metadata: name: restricted-sysctls 2 ...
Pod ServiceAccount에 대한 새 SCC 액세스 권한을 부여합니다.
$ oc adm policy add-scc-to-user restricted-sysctls -z default -n your_project_name
Pod의 DeploymentConfig에 안전하지 않은 sysctl을 추가합니다.
kind: DeploymentConfig ... template: ... spec: containers: ... securityContext: sysctls: - name: net.ipv4.tcp_keepalive_time value: "300" - name: net.ipv4.tcp_keepalive_intvl value: "20" - name: net.ipv4.tcp_keepalive_probes value: "3"노드 서비스를 다시 시작하여 변경 사항을 적용합니다.
# systemctl restart atomic-openshift-node
33.6. Pod의 sysctl 설정
sysctl은 Pod의 securityContext 를 사용하여 Pod에 설정됩니다. securityContext는 동일한 Pod의 모든 컨테이너에 적용됩니다.
다음 예제에서는 Pod securityContext를 사용하여 안전한 sysctl인 kernel.shm_rmid_forced와 안전하지 않은 sysctl인 net.ipv4.route.min_pmtu 및 kernel.msgmax를 설정합니다. 사양에서는 안전 및 안전하지 않은 sysctl이 구분되지 않습니다.
운영 체제가 불안정해지는 것을 방지하기 위해 sysctl 매개변수 수정이 미치는 영향을 파악한 후에만 수정하십시오.
다음 예제와 같이 Pod를 정의하는 YAML 파일을 수정하고 securityContext 사양을 추가합니다.
apiVersion: v1
kind: Pod
metadata:
name: sysctl-example
spec:
securityContext:
sysctls:
- name: kernel.shm_rmid_forced
value: "0"
- name: net.ipv4.route.min_pmtu
value: "552"
- name: kernel.msgmax
value: "65536"
...위에서 안전하지 않은 sysctl이 지정된 Pod는 관리자가 안전하지 않은 sysctl을 명시적으로 활성화하지 않은 노드에서 시작되지 않습니다. 노드 수준 sysctl과 마찬가지로 노드에서 테인트 및 허용 오차 기능을 사용하여 해당 Pod를 올바른 노드에 예약합니다.
34장. 데이터 저장소 계층에서 데이터 암호화
34.1. 개요
이 주제에서는 데이터 저장소 계층에서 시크릿 데이터의 암호화를 활성화하고 구성하는 방법을 검토합니다. 예제에서는 시크릿 리소스를 사용하는 반면 configmaps 와 같은 모든 리소스를 암호화할 수 있습니다.
이 기능을 사용하려면 etcd v3 이상이 필요합니다.
34.2. 암호화가 이미 활성화되어 있는지 구성 및 결정
데이터 암호화를 활성화하려면 --experimental-encryption-provider-config 인수를 Kubernetes API 서버로 전달합니다.
master-config.yaml발췌
kubernetesMasterConfig:
apiServerArguments:
experimental-encryption-provider-config:
- /path/to/encryption-config.yaml
master-config.yaml 및 해당 형식에 대한 자세한 내용은 Master Configuration Files 주제를 참조하십시오.
34.3. 암호화 설정 이해
사용 가능한 모든 공급자가 있는 암호화 구성 파일
kind: EncryptionConfig apiVersion: v1 resources: 1 - resources: 2 - secrets providers: 3 - aescbc: 4 keys: - name: key1 5 secret: c2VjcmV0IGlzIHNlY3VyZQ== 6 - name: key2 secret: dGhpcyBpcyBwYXNzd29yZA== - secretbox: keys: - name: key1 secret: YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXoxMjM0NTY= - aesgcm: keys: - name: key1 secret: c2VjcmV0IGlzIHNlY3VyZQ== - name: key2 secret: dGhpcyBpcyBwYXNzd29yZA== - identity: {}
- 1
- 각
리소스배열 항목은 별도의 구성이며 전체 구성이 포함됩니다. - 2
resources.resources필드는 암호화해야 하는 Kubernetes 리소스 이름(리소스또는resource.group)의 배열입니다.- 3
- provider 배열은 가능한 암호화
프로바이더의 순서가 지정된 목록입니다. 항목별로 하나의 공급자 유형만 지정할 수 있습니다(ID또는aescbc를 제공할 수 있지만 둘 다 동일한 항목에서는 지정할 수는 없음). - 4
- 목록의 첫 번째 프로바이더는 스토리지로 이동하는 리소스를 암호화하는 데 사용됩니다.
- 5
- 시크릿의 임의 이름입니다.
- 6
- base64로 인코딩된 임의 키입니다. 서로 다른 공급자는 서로 다른 키 길이를 갖습니다. 키를 생성하는 방법에 대한 지침을 참조하십시오.
스토리지의 리소스를 읽을 때 저장된 데이터와 일치하는 각 공급자는 순서대로 데이터의 암호를 해독하려고 합니다. 형식 또는 시크릿 키에 불일치하여 저장된 데이터를 읽을 수 없는 경우 클라이언트가 해당 리소스에 액세스할 수 없도록 오류가 반환됩니다.
키가 변경되었기 때문에 암호화 구성을 통해 리소스를 읽을 수 없는 경우 기본 etcd에서 해당 키를 직접 삭제하는 것이 유일한 방법입니다. 해당 리소스 읽기를 시도하는 호출은 삭제되거나 유효한 암호 해독 키가 제공될 때까지 실패합니다.
34.3.1. 사용 가능한 공급자
| 이름 | Encryption | 강력함 | 속도 | 키 길이 | 기타 고려 사항 |
|---|---|---|---|---|---|
| identity | 없음 | 해당 없음 | 해당 없음 | 해당 없음 | 암호화 없이 작성된 리소스. 첫 번째 프로바이더로 설정하면 새 값이 작성될 때 리소스의 암호가 해독됩니다. |
| aescbc | PKCS#7 패딩 포함 AES-CBC | 강력함 | 신속 (Fast) | 32바이트 | 권장되는 암호화 선택이지만 secretbox 보다 약간 느릴 수 있습니다. |
| secretbox | XSalsa20 및 Poly1305 | 강력함 | 빠름 | 32바이트 | 높은 수준의 검토가 필요한 환경에서는 최신 표준으로 간주되지 않을 수 있습니다. |
| aesgcm | 임의의 초기화 벡터(IV)가 있는 AES-GCM | 200,000개의 쓰기마다 순환해야 합니다. | 가장 빠른 | 16, 24 또는 32바이트 | 자동 키 순환 체계를 구현하는 경우를 제외하고는 를 사용하지 않는 것이 좋습니다. |
각 공급자는 여러 개의 키를 지원합니다. 암호 해독을 위해 키가 시도됩니다. 공급자가 첫 번째 공급자인 경우 첫 번째 키는 암호화에 사용됩니다.
Kubernetes에는 적절한 nonce 생성기가 없으며 AES-GCM에 대해 임의 IV를 nonce로 사용합니다. AES-GCM은 안전한 의사가 필요하므로 AES-GCM은 권장되지 않습니다. 20만 건의 쓰기 제한은 치명적인 오류 발생 가능성을 합리적인 낮은 마진으로 제한합니다.
34.4. 데이터 암호화
새 암호화 구성 파일을 만듭니다.
kind: EncryptionConfig
apiVersion: v1
resources:
- resources:
- secrets
providers:
- aescbc:
keys:
- name: key1
secret: <BASE 64 ENCODED SECRET>
- identity: {}새 보안을 생성하려면 다음을 수행합니다.
32바이트 임의 키 및 인코딩된 base64를 생성합니다. 예를 들어 Linux 및 macOS에서는 다음을 사용합니다.
$ head -c 32 /dev/urandom | base64
중요/dev/urandom 과 같이 적절한 암호화 방식으로 안전한 난수 생성기를 사용하여 암호화 키를 생성해야 합니다. 예를 들어, Python
의 Golang 또는역할은 적합하지 않습니다.random.random()의 수학/-
해당 값을
비밀필드에 배치합니다. API 서버를 다시 시작하십시오.
# master-restart api # master-restart controllers
암호화 공급자 구성 파일에는 etcd의 콘텐츠를 해독할 수 있는 키가 포함되어 있으므로 마스터 API 서버를 실행하는 사용자만 읽을 수 있도록 마스터에 대한 권한을 적절히 제한해야 합니다.
34.5. 데이터가 암호화되었는지 확인
etcd에 기록할 때 데이터가 암호화됩니다. API 서버를 다시 시작한 후 새로 생성되거나 업데이트된 시크릿을 저장할 때 암호화해야 합니다. etcdctl 명령줄 프로그램을 사용하여 시크릿 내용을 검색할 수 있습니다.
default네임스페이스에secret1이라는 새 보안을 생성합니다.$ oc create secret generic secret1 -n default --from-literal=mykey=mydata
etcdctl명령줄을 사용하여 etcd에서 해당 시크릿을 읽습니다.$ ETCDCTL_API=3 etcdctl get /kubernetes.io/secrets/default/secret1 -w fields [...] | grep Value
[…]은/는 etcd 서버 연결을 위한 추가 인수여야 합니다.최종 명령은 다음과 유사합니다.
$ ETCDCTL_API=3 etcdctl get /kubernetes.io/secrets/default/secret1 -w fields \ --cacert=/var/lib/origin/openshift.local.config/master/ca.crt \ --key=/var/lib/origin/openshift.local.config/master/master.etcd-client.key \ --cert=/var/lib/origin/openshift.local.config/master/master.etcd-client.crt \ --endpoints 'https://127.0.0.1:4001' | grep Value
- 위의 명령의 출력에 k8s:enc:aescbc:v1: 접두사가 지정되었는지 확인합니다. 이는 aescbc 공급자가 결과 데이터를 암호화했음을 나타냅니다.
API를 통해 검색할 때 보안이 올바르게 암호 해독되는지 확인합니다.
$ oc get secret secret1 -n default -o yaml | grep mykey
mykey: bXlkYXRh 와 일치해야 합니다.
34.6. 모든 비밀이 암호화되었는지 확인
시크릿은 작성 시 암호화되므로 시크릿에서 업데이트를 수행하면 해당 콘텐츠를 암호화합니다.
$ oc adm migrate storage --include=secrets --confirm
이 명령은 모든 시크릿을 읽은 다음, 서버 측 암호화를 적용하도록 업데이트합니다. 쓰기와 충돌하여 오류가 발생하면 명령을 다시 시도합니다.
대규모 클러스터의 경우 시크릿을 네임스페이스 또는 스크립트별로 세분화하거나 업데이트를 스크립팅할 수 있습니다.
34.7. 암호 해독 키 순환
다운타임을 발생시키지 않고 시크릿을 변경하려면 여러 API 서버가 실행 중인 고가용성 배포가 있는 다단계 작업이 필요합니다.
- 새 키를 생성하고 모든 서버에서 현재 공급업체의 두 번째 키 항목으로 추가합니다.
각 서버가 새 키를 사용하여 암호 해독할 수 있도록 모든 API 서버를 다시 시작합니다.
참고단일 API 서버를 사용하는 경우 이 단계를 건너뛸 수 있습니다.
# master-restart api # master-restart controllers
-
구성의 암호화에 사용하도록 새 키를
keys배열의 첫 번째 항목으로 만듭니다. 각 서버가 이제 새 키를 사용하여 암호화되도록 모든 API 서버를 다시 시작합니다.
# master-restart api # master-restart controllers
다음을 실행하여 새 키를 사용하여 기존 보안을 모두 암호화합니다.
$ oc adm migrate storage --include=secrets --confirm
- 사용 중인 새 키로 etcd를 백업하고 모든 시크릿을 업데이트한 후 구성에서 이전 암호 해독 키를 제거합니다.
34.8. 데이터 해독
데이터 저장소 계층에서 암호화를 비활성화하려면 다음을 수행합니다.
- ID 공급자를 구성에 첫 번째 항목으로 배치합니다.
kind: EncryptionConfig
apiVersion: v1
resources:
- resources:
- secrets
providers:
- identity: {}
- aescbc:
keys:
- name: key1
secret: <BASE 64 ENCODED SECRET>모든 API 서버를 다시 시작하십시오.
# master-restart api # master-restart controllers
다음을 실행하여 모든 시크릿을 암호 해독하도록 강제 적용합니다.
$ oc adm migrate storage --include=secrets --confirm
35장. IPsec을 사용하여 노드 간 트래픽 암호화
35.1. 개요
IPsec은 인터넷 프로토콜(IP)을 사용하여 통신하는 모든 마스터 호스트와 노드 호스트 간의 통신을 암호화하여 OpenShift Container Platform 클러스터의 트래픽을 보호합니다.
이 주제에서는 OpenShift Container Platform 호스트가 모든 클러스터 관리 및 Pod 데이터 트래픽을 포함하여 IP 주소를 수신하는 전체 IP 서브넷의 통신을 보호하는 방법을 보여줍니다.
OpenShift Container Platform 관리 트래픽은 HTTPS를 사용하므로 IPsec을 활성화하면 관리 트래픽을 두 번 암호화합니다.
이 절차는 각 마스터 호스트에서 클러스터의 노드 호스트에서 반복해야 합니다. IPsec이 활성화되지 않은 호스트는 다음을 수행하는 호스트와 통신할 수 없습니다.
35.2. 호스트 암호화
사전 요구 사항
- libreswan 3.15 이상이 클러스터 호스트에 설치되어 있는지 확인합니다. opportunistic 그룹 기능이 필요한 경우 libreswan 버전 3.19 이상이 필요합니다.
이 주제에서는
62바이트가 필요한 IPsec 구성에 대해 설명합니다. 클러스터가 최대 전송 단위(MTU) 값이1500바이트인 이더넷 네트워크에서 작동하는 경우 IPsec 및 SDN 캡슐화의 오버헤드를 허용하도록 SDN MTU 값을1388바이트로 변경해야 합니다. 클러스터의 노드의 MTU를 변경하려면 다음 절차를 완료합니다.각 ConfigMaps(node
-config-master, node-config-infra,)를 편집합니다.node-config-compute다음 명령을 실행하여 ConfigMap을 편집합니다.
<config_map>을 편집할 ConfigMap의 이름으로 바꿉니다.# oc edit cm <config_map> -n openshift-node
다음과 같이 IPsec 오버헤드에 맞게 the
mtu매개변수를 MTU 크기로 업데이트합니다(예:1388바이트).networkConfig: mtu: 1388
다음 명령을 실행하여 SDN 인터페이스를 제거합니다.
<ovs_pod_name>을 OVS Pod 이름으로 바꿉니다.# oc exec <ovs_pod_name> -- ovs-vsctl del-br br0
클러스터의 각 노드에 대해 다음 작업을 완료합니다.
-
업데이트된 MTU 값이
/etc/origin/node/node-config.yaml파일에 저장되었는지 확인합니다. 다음 명령을 실행하여 SDN 및 OVS Pod를 다시 시작합니다.
# oc delete pod -n openshift-sdn -l=app=ovs # oc delete pod -n openshift-sdn -l=app=sdn
-
업데이트된 MTU 값이
35.2.1. IPsec의 인증서 구성
OpenShift Container Platform 내부 인증 기관(CA)을 사용하여 IPsec에 적합한 RSA 키를 생성할 수 있습니다. 내부 CA에는 openshift-signer 로 설정된 CN(일반 이름) 값이 있습니다.
다음 명령을 실행하여 마스터 노드에서 RSA 인증서를 생성합니다.
# export CA=/etc/origin/master # oc adm ca create-server-cert \ --signer-cert=$CA/ca.crt --signer-key=$CA/ca.key \ --signer-serial=$CA/ca.serial.txt \ --hostnames='<hostname>' \ 1 --cert=<hostname>.crt \ 2 --key=<hostname>.key 3
openssl 을 사용하여 클라이언트 인증서, CA 인증서 및 개인 키 파일을 여러 인증서 및 키의 일반적인 파일 형식인 PKCS#12 파일로 결합합니다.
# openssl pkcs12 -export \ -in <hostname>.crt \ 1 -inkey <hostname>.key \ 2 -certfile /etc/origin/master/ca.crt \ -passout pass: \ -out <hostname>.p12 3
클러스터의 각 노드에서 이전 단계에서 호스트에 대해 생성한 파일을 안전하게 전송한 다음 PKCS#12 파일을 libreswan 인증서 데이터베이스로 가져옵니다.
일시적인 암호는 PKCS#12 파일에 할당되지 않으므로
-W옵션은 비워 둡니다.# ipsec initnss # pk12util -i <hostname>.p12 -d sql:/etc/ipsec.d -W "" # rm <hostname>.p12
35.2.2. libreswan IPsec 정책 생성
필요한 인증서를 libreswan 인증서 데이터베이스로 가져온 후 클러스터의 호스트 간 통신을 보호하는 정책을 생성합니다.
libreswan 3.19 이상을 사용하는 경우 opportunistic 그룹 구성을 사용하는 것이 좋습니다. 그렇지 않으면 명시적인 연결이 필요합니다.
35.2.2.1. opportunistic 그룹 구성
다음 구성은 두 개의 libreswan 연결을 생성합니다. 첫 번째는 OpenShift Container Platform 인증서를 사용하여 트래픽을 암호화하는 반면, 두 번째는 클러스터 외부 트래픽의 암호화에 예외를 생성합니다.
/etc/ipsec.d/openshift-cluster.conf 파일에 다음을 추가합니다.
conn private left=%defaultroute leftid=%fromcert # our certificate leftcert="NSS Certificate DB:<cert_nickname>" 1 right=%opportunisticgroup rightid=%fromcert # their certificate transmitted via IKE rightca=%same ikev2=insist authby=rsasig failureshunt=drop negotiationshunt=hold auto=ondemand encapsulation=yes 2 conn clear left=%defaultroute right=%group authby=never type=passthrough auto=route priority=100
구성된 각 연결에 해당 정책 파일이 있는 /etc/ipsec.d/policies/ 의 정책 파일을 사용하여 각 정책을 적용할 IP 서브넷과 호스트를 libreswan 에 알려줍니다. 따라서 위의 예에서 두 개의 연결
private및clear에는 각각 /etc/ipsec.d/policies/ 에 파일이 있습니다./etc/ipsec.d/policies/private 에는 호스트가 IP 주소를 수신하는 클러스터의 IP 서브넷이 포함되어야 합니다. 기본적으로 원격 호스트의 클라이언트 인증서가 로컬 호스트의 인증 기관 인증서에 대해 인증되면 클러스터 서브넷의 호스트 간의 모든 통신이 암호화됩니다. 원격 호스트의 인증서가 인증되지 않으면 두 호스트 간의 모든 트래픽이 차단됩니다.
예를 들어 모든 호스트가
172.16.0.0/16주소 공간의 주소를 사용하도록 구성된 경우개인정책 파일에는172.16.0.0/16이 포함됩니다. 암호화할 서브넷 수가 이 파일에 추가될 수 있으므로 IPsec을 사용하여 해당 서브넷에 대한 모든 트래픽도 발생할 수 있습니다.트래픽이 들어올 수 있는지 확인하기 위해 모든 호스트와 서브넷 게이트웨이 간의 통신을 암호화 해제하고 클러스터에 종료할 수 있는지 확인합니다. 게이트웨이를 /etc/ipsec.d/policies/ clear 파일에 추가합니다.
172.16.0.1/32
추가 호스트 및 서브넷을 이 파일에 추가하면 이러한 호스트 및 서브넷에 대한 모든 트래픽이 암호화되지 않습니다.
35.2.2.2. 명시적 연결 구성
이 구성에서 각 IPsec 노드 구성은 클러스터에 있는 다른 모든 노드의 구성을 명시적으로 나열해야 합니다. Ansible과 같은 구성 관리 툴을 사용하여 각 호스트에서 이 파일을 생성하는 것이 좋습니다.
node-config.yaml 파일을 수동으로 편집하지 마십시오. 클러스터에서 노드를 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다.
이 구성에서는 각 노드의 전체 인증서 제목도 다른 모든 노드의 구성에 배치해야 합니다.
openssl 을 사용하여 노드 인증서에서 이 제목을 읽습니다.
# openssl x509 \ -in /path/to/client-certificate -text | \ grep "Subject:" | \ sed 's/[[:blank:]]*Subject: //'
클러스터의 다른 모든 노드에 대해 각 노드의 /etc/ipsec.d/openshift-cluster.conf 파일에 다음 행을 배치합니다.
conn <other_node_hostname> left=<this_node_ip> 1 leftid="CN=<this_node_cert_nickname>" 2 leftrsasigkey=%cert leftcert=<this_node_cert_nickname> 3 right=<other_node_ip> 4 rightid="<other_node_cert_full_subject>" 5 rightrsasigkey=%cert auto=start keyingtries=%forever encapsulation=yes 6- 1
- <this_node_ip>를 이 노드의 클러스터 IP 주소로 바꿉니다.
- 2 3
- <this_node_cert_nickname>을 1단계에서 노드 인증서 닉네임으로 바꿉니다.
- 4
- <other_node_ip>를 다른 노드의 클러스터 IP 주소로 바꿉니다.
- 5
- <other_node_cert_full_subject>를 위의 다른 노드의 인증서 제목으로 바꿉니다. 예를 들면 다음과 같습니다. "O=system:nodes,CN=openshift-node-45.example.com".
- 6
- NAT를 사용하지 않는 경우 캡슐화를 강제하려면 구성에
캡슐화=yes를 포함해야 합니다. Amazon 및 Azure 내부 클라우드 네트워크는 IPsecESP또는AH패킷을 라우팅하지 않습니다. 이러한 패킷은UDP에 캡슐화해야 하며 이 패킷이 구성된 경우 NAT 탐지는UDP캡슐화에서ESP를 구성합니다. NAT를 사용하거나 이전에 설명한 대로 Network/Cloud-Provider 제한사항에 있지 않은 경우 이 매개변수와 값을 생략합니다.
각 노드의 /etc/ipsec.d/openshift-cluster.secrets 파일에 다음을 추가합니다.
: RSA "<this_node_cert_nickname>" 1- 1
- <this_node_cert_nickname>을 1단계에서 노드 인증서 닉네임으로 바꿉니다.
35.3. IPsec 방화벽 구성
클러스터 내의 모든 노드는 IPsec 관련 네트워크 트래픽을 허용해야 합니다. 여기에는 IP 프로토콜 번호 50 및 49과 UDP 포트 500이 포함됩니다.
예를 들어 클러스터 노드가 eth0 인터페이스를 통해 통신하는 경우:
-A OS_FIREWALL_ALLOW -i eth0 -p 50 -j ACCEPT -A OS_FIREWALL_ALLOW -i eth0 -p 51 -j ACCEPT -A OS_FIREWALL_ALLOW -i eth0 -p udp --dport 500 -j ACCEPT
또한 IPsec은 NAT 트래픽에 UDP 포트 4500을 사용하지만 일반 클러스터 배포에 적용되지 않아야 합니다.
35.4. IPsec 시작 및 활성화
ipsec 서비스를 시작하여 새 구성 및 정책을 로드하고 암호화를 시작합니다.
# systemctl start ipsec
부팅 시 시작되도록 ipsec 서비스를 활성화합니다.
# systemctl enable ipsec
35.5. IPsec 최적화
IPsec을 사용하여 암호화할 때 성능 제안은 확장 및 성능 가이드를 참조하십시오.
35.6. 문제 해결
두 호스트 간에 인증을 완료할 수 없는 경우 모든 IP 트래픽이 거부되므로 서로 ping할 수 없습니다. 명확한 정책이 올바르게 구성되지 않은 경우 클러스터의 다른 호스트에서 호스트에 SSH 연결을 시작할 수도 없습니다.
ipsec status 명령을 사용하여 일반 및 개인 정책이 로드되었는지 확인할 수 있습니다.
36장. 종속성 트리 빌드
36.1. 개요
OpenShift Container Platform에서는 BuildConfig 에서 이미지 변경 트리거 를 사용하여 이미지 스트림 태그가 업데이트될 때 탐지합니다. oc adm build-chain 명령을 사용하여 지정된 이미지 스트림에서 이미지를 업데이트하여 영향을 받는 이미지를 식별하는 종속성 트리를 빌드할 수 있습니다 .
build-chain 툴은 트리거할 빌드를 결정할 수 있습니다. 해당 빌드의 출력을 분석하여 다른 이미지 스트림 태그를 업데이트할지 여부를 결정합니다. 이렇게 하면 툴은 종속성 트리를 계속 따릅니다. 마지막으로, 최상위 태그에 대한 업데이트의 영향을 받는 이미지 스트림 태그를 지정하는 그래프를 출력합니다. 이 툴의 기본 출력 구문은 사람이 읽을 수 있는 형식으로 설정되어 있습니다. DOT 형식도 지원됩니다.
36.2. 사용법
다음 표에는 일반적인 빌드 체인 사용 및 일반 구문이 설명되어 있습니다.
| 설명 | 구문 |
|---|---|
|
|
$ oc adm build-chain <image-stream> |
| DOT 형식으로 v2 태그의 종속성 트리를 빌드하고 DOT 유틸리티를 사용하여 시각화합니다. |
$ oc adm build-chain <image-stream>:v2 \
-o dot \
| dot -T svg -o deps.svg
|
| 지정된 이미지 스트림 태그에 대한 모든 프로젝트에서 테스트 프로젝트를 찾은 종속성 트리를 빌드합니다. |
$ oc adm build-chain <image-stream>:v1 \
-n test --all
|
dot 명령을 사용하려면 graphviz 패키지를 설치해야 할 수도 있습니다.
37장. 실패한 etcd 멤버 교체
일부 etcd 멤버가 실패하지만 etcd 멤버의 쿼럼이 있는 경우 나머지 etcd 멤버와 포함된 데이터를 사용하여 etcd 또는 클러스터 다운 타임없이 etcd 멤버를 추가할 수 있습니다.
37.1. 실패한 etcd 노드 제거
새 etcd 노드를 추가하기 전에 실패한 노드를 제거하십시오.
프로시저
활성 etcd 호스트에서 실패한 etcd 노드를 제거합니다.
# etcdctl -C https://<surviving host IP>:2379 \ --ca-file=/etc/etcd/ca.crt \ --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key cluster-health # etcdctl -C https://<surviving host IP>:2379 \ --ca-file=/etc/etcd/ca.crt \ --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key member remove <failed member identifier>
etcd pod 정의를 제거하여 실패한 etcd 멤버에서 etcd 서비스를 중지합니다.
# mkdir -p /etc/origin/node/pods-stopped # mv /etc/origin/node/pods/* /etc/origin/node/pods-stopped/
etcd디렉터리의 내용을 제거합니다.중요콘텐츠를 제거하기 전에 이 디렉터리를 클러스터 외부 위치로 백업하는 것이 좋습니다. 성공적인 복원 후 이 백업을 제거할 수 있습니다.
# rm -rf /var/lib/etcd/*
37.2. etcd 멤버 추가
Ansible 플레이북을 사용하거나 수동 단계를 통해 etcd 호스트를 추가할 수 있습니다.
37.2.1. Ansible을 사용하여 새 etcd 호스트 추가
프로시저
Ansible 인벤토리 파일에서
[new_etcd]라는 새 그룹을 생성하고 새 호스트를 추가하십시오. 그런 다음new_etcd그룹을[OSEv3]그룹의 하위 그룹으로 추가하십시오.[OSEv3:children] masters nodes etcd new_etcd 1 ... [OUTPUT ABBREVIATED] ... [etcd] master-0.example.com master-1.example.com master-2.example.com [new_etcd] 2 etcd0.example.com 3
참고이전
etcd 호스트항목을 인벤토리 파일의 새etcd 호스트항목으로 교체합니다. 이전etcd 호스트를 교체하는 동안/etc/etcd/ca/디렉터리 사본을 생성해야 합니다. 또는 etcd호스트를 확장하기 전에 etcd ca 및 certs를 재배포할 수 있습니다.OpenShift Container Platform이 설치되어 있고 Ansible 인벤토리 파일을 호스팅하는 호스트에서 플레이북 디렉터리로 이동하여 etcd
scaleup플레이북을 실행하십시오.$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook playbooks/openshift-etcd/scaleup.yml
플레이북을 실행한 다음 새 etcd 호스트를
[new_etcd]그룹에서[etcd]그룹으로 이동하여 현재 상태에 맞게 인벤토리 파일을 수정하십시오.[OSEv3:children] masters nodes etcd new_etcd ... [OUTPUT ABBREVIATED] ... [etcd] master-0.example.com master-1.example.com master-2.example.com etcd0.example.com
Flannel을 사용하는 경우 새 etcd 호스트를 포함하도록
/etc/sysconfig/flanneld에 있는 모든 OpenShift Container Platform 호스트에서flanneld서비스 구성을 수정하십시오.FLANNEL_ETCD_ENDPOINTS=https://master-0.example.com:2379,https://master-1.example.com:2379,https://master-2.example.com:2379,https://etcd0.example.com:2379
flanneld서비스를 다시 시작하십시오.# systemctl restart flanneld.service
37.2.2. 새 etcd 호스트 수동 추가
마스터 노드에서 etcd를 정적 포드로 실행하지 않으면 다른 etcd 호스트를 추가해야 할 수도 있습니다.
프로시저
현재 etcd 클러스터 수정
etcd 인증서를 생성하려면 값을 사용자 환경의 값으로 교체하여 openssl 명령을 실행하십시오.
다음과 같이 일부 환경 변수를 생성하십시오.
export NEW_ETCD_HOSTNAME="*etcd0.example.com*" export NEW_ETCD_IP="192.168.55.21" export CN=$NEW_ETCD_HOSTNAME export SAN="IP:${NEW_ETCD_IP}, DNS:${NEW_ETCD_HOSTNAME}" export PREFIX="/etc/etcd/generated_certs/etcd-$CN/" export OPENSSLCFG="/etc/etcd/ca/openssl.cnf"참고etcd_v3_ca_*로 사용되는 사용자 정의openssl확장에는 $SAN 환경 변수가subjectAltName으로 포함됩니다. 자세한 내용은/etc/etcd/ca/openssl.cnf를 참조하십시오.구성 및 인증서를 저장할 디렉터리를 생성하십시오.
# mkdir -p ${PREFIX}서버 인증서 요청을 생성하고 서명하십시오(server.csr 및 server.crt).
# openssl req -new -config ${OPENSSLCFG} \ -keyout ${PREFIX}server.key \ -out ${PREFIX}server.csr \ -reqexts etcd_v3_req -batch -nodes \ -subj /CN=$CN # openssl ca -name etcd_ca -config ${OPENSSLCFG} \ -out ${PREFIX}server.crt \ -in ${PREFIX}server.csr \ -extensions etcd_v3_ca_server -batch피어 인증서 요청을 생성하고 서명하십시오(peer.csr 및 peer.crt).
# openssl req -new -config ${OPENSSLCFG} \ -keyout ${PREFIX}peer.key \ -out ${PREFIX}peer.csr \ -reqexts etcd_v3_req -batch -nodes \ -subj /CN=$CN # openssl ca -name etcd_ca -config ${OPENSSLCFG} \ -out ${PREFIX}peer.crt \ -in ${PREFIX}peer.csr \ -extensions etcd_v3_ca_peer -batch나중에 수정하기 위해 현재 노드의 현재 etcd 구성 및
ca.crt파일을 예제로 복사하십시오.# cp /etc/etcd/etcd.conf ${PREFIX} # cp /etc/etcd/ca.crt ${PREFIX}아직 남아 있는 etcd 호스트에서 새 호스트를 클러스터에 추가하십시오. 클러스터에 etcd 멤버를 추가하려면 먼저 첫 번째 멤버의
peerURLs값에서 기본 localhost 피어를 조정해야 합니다.member list명령을 사용하여 첫 번째 멤버의 멤버 ID를 가져오십시오.# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://172.18.1.18:2379,https://172.18.9.202:2379,https://172.18.0.75:2379" \ 1 member list- 1
--peers매개변수 값에 활성 etcd 멤버의 URL만 지정하십시오.
etcd가 클러스터 피어를 청취하는 IP 주소를 확보하십시오.
$ ss -l4n | grep 2380
멤버 ID와 이전 단계에서 얻은 IP 주소를 전달하여
etcdctl member update명령으로peerURLs의 값을 업데이트하십시오.# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://172.18.1.18:2379,https://172.18.9.202:2379,https://172.18.0.75:2379" \ member update 511b7fb6cc0001 https://172.18.1.18:2380-
member list명령을 다시 실행하고 피어 URL에 더 이상 localhost가 포함되지 않도록 하십시오.
새 호스트를 etcd 클러스터에 추가하십시오. 새 호스트는 아직 구성되지 않았으므로 새 호스트를 구성할 때까지 상태는
unstarted로 남아 있습니다.주의각 멤버를 추가하고 한 번에 하나씩 온라인 상태로 만들어야 합니다. 각 멤버를 클러스터에 추가할 때 현재 피어의
peerURL목록을 조정해야 합니다.peerURL목록은 각 멤버가 추가될 때마다 하나씩 늘어납니다.etcdctl member add명령은 다음 지침에 설명된 대로 각 멤버를 추가할 때 etcd.conf 파일에 설정해야 하는 값을 출력합니다.# etcdctl -C https://${CURRENT_ETCD_HOST}:2379 \ --ca-file=/etc/etcd/ca.crt \ --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key member add ${NEW_ETCD_HOSTNAME} https://${NEW_ETCD_IP}:2380 1 Added member named 10.3.9.222 with ID 4e1db163a21d7651 to cluster ETCD_NAME="<NEW_ETCD_HOSTNAME>" ETCD_INITIAL_CLUSTER="<NEW_ETCD_HOSTNAME>=https://<NEW_HOST_IP>:2380,<CLUSTERMEMBER1_NAME>=https:/<CLUSTERMEMBER2_IP>:2380,<CLUSTERMEMBER2_NAME>=https:/<CLUSTERMEMBER2_IP>:2380,<CLUSTERMEMBER3_NAME>=https:/<CLUSTERMEMBER3_IP>:2380" ETCD_INITIAL_CLUSTER_STATE="existing"- 1
- 이 라인에서
10.3.9.222는 etcd 멤버의 레이블입니다. 호스트 이름, IP 주소 또는 간단한 이름을 지정할 수 있습니다.
샘플
${PREFIX}/etcd.conf파일을 업데이트하십시오.다음 값을 이전 단계에서 생성된 값으로 교체하십시오.
- ETCD_NAME
- ETCD_INITIAL_CLUSTER
- ETCD_INITIAL_CLUSTER_STATE
이전 단계의 출력에서 얻은 새 호스트 IP로 다음 변수를 수정하십시오.
${NEW_ETCD_IP}를 값으로 사용할 수 있습니다.ETCD_LISTEN_PEER_URLS ETCD_LISTEN_CLIENT_URLS ETCD_INITIAL_ADVERTISE_PEER_URLS ETCD_ADVERTISE_CLIENT_URLS
- 이전에 멤버 시스템을 etcd 노드로 사용한 경우 /etc/etcd/etcd.conf 파일에서 현재 값을 덮어써야 합니다.
구문 오류 또는 누락된 IP 주소가 있는지 파일을 확인하십시오. 그렇지 않으면 etcd 서비스가 실패할 수 있습니다.
# vi ${PREFIX}/etcd.conf
-
설치 파일을 호스팅하는 노드에서 /etc/ansible/hosts 인벤토리 파일의
[etcd]호스트 그룹을 업데이트하십시오. 이전 etcd 호스트를 제거하고 새 호스트를 추가하십시오. 인증서, 샘플 구성 파일 및
ca가 포함된tgz파일을 생성하여 새 호스트에 복사하십시오.# tar -czvf /etc/etcd/generated_certs/${CN}.tgz -C ${PREFIX} . # scp /etc/etcd/generated_certs/${CN}.tgz ${CN}:/tmp/
새 etcd 호스트 수정
iptables-services를 설치하여 etcd의 필수 포트를 여는 iptables 유틸리티를 제공하십시오.# yum install -y iptables-services
etcd가 통신할 수 있도록
OS_FIREWALL_ALLOW방화벽 규칙을 생성하십시오.- 클라이언트용 2379/tcp 포트
피어 통신용 2380/tcp 포트
# systemctl enable iptables.service --now # iptables -N OS_FIREWALL_ALLOW # iptables -t filter -I INPUT -j OS_FIREWALL_ALLOW # iptables -A OS_FIREWALL_ALLOW -p tcp -m state --state NEW -m tcp --dport 2379 -j ACCEPT # iptables -A OS_FIREWALL_ALLOW -p tcp -m state --state NEW -m tcp --dport 2380 -j ACCEPT # iptables-save | tee /etc/sysconfig/iptables
참고이 예에서는 새 체인
OS_FIREWALL_ALLOW가 생성되는데, 이는 OpenShift Container Platform 설치 프로그램이 방화벽 규칙에 사용하는 표준 이름입니다.주의IaaS 환경에서 사용자 환경을 호스팅하는 경우 해당 포트로 들어오는 트래픽도 허용하도록 인스턴스의 보안 그룹을 수정하십시오.
etcd를 설치하십시오.
# yum install -y etcd
버전
etcd-2.3.7-4.el7.x86_64이상이 설치되어 있는지 확인하십시오.etcd 포드 정의를 제거하여 etcd 서비스가 실행 중이지 않은지 확인하십시오.
# mkdir -p /etc/origin/node/pods-stopped # mv /etc/origin/node/pods/* /etc/origin/node/pods-stopped/
etcd 구성 및 데이터를 제거하십시오.
# rm -Rf /etc/etcd/* # rm -Rf /var/lib/etcd/*
인증서 및 구성 파일을 추출하십시오.
# tar xzvf /tmp/etcd0.example.com.tgz -C /etc/etcd/
새 호스트에서 etcd를 시작하십시오.
# systemctl enable etcd --now
호스트가 클러스터의 일부인지 확인하고 현재 클러스터 상태를 점검하십시오.
v2 etcd API를 사용하는 경우 다음 명령을 실행하십시오.
# etcdctl --cert-file=/etc/etcd/peer.crt \ --key-file=/etc/etcd/peer.key \ --ca-file=/etc/etcd/ca.crt \ --peers="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379,\ https://*etcd0.example.com*:2379"\ cluster-health member 5ee217d19001 is healthy: got healthy result from https://192.168.55.12:2379 member 2a529ba1840722c0 is healthy: got healthy result from https://192.168.55.8:2379 member 8b8904727bf526a5 is healthy: got healthy result from https://192.168.55.21:2379 member ed4f0efd277d7599 is healthy: got healthy result from https://192.168.55.13:2379 cluster is healthyv3 etcd API를 사용하는 경우 다음 명령을 실행하십시오.
# ETCDCTL_API=3 etcdctl --cert="/etc/etcd/peer.crt" \ --key=/etc/etcd/peer.key \ --cacert="/etc/etcd/ca.crt" \ --endpoints="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379,\ https://*etcd0.example.com*:2379"\ endpoint health https://master-0.example.com:2379 is healthy: successfully committed proposal: took = 5.011358ms https://master-1.example.com:2379 is healthy: successfully committed proposal: took = 1.305173ms https://master-2.example.com:2379 is healthy: successfully committed proposal: took = 1.388772ms https://etcd0.example.com:2379 is healthy: successfully committed proposal: took = 1.498829ms
각 OpenShift Container Platform 마스터 수정
모든 마스터에서
/etc/origin/master/master-config.yaml파일의etcClientInfo섹션에서 마스터 구성을 수정하십시오. OpenShift Container Platform에서 데이터를 저장하는 데 사용하는 etcd 서버 목록에 새 etcd 호스트를 추가하고 실패한 etcd 호스트를 제거하십시오.etcdClientInfo: ca: master.etcd-ca.crt certFile: master.etcd-client.crt keyFile: master.etcd-client.key urls: - https://master-0.example.com:2379 - https://master-1.example.com:2379 - https://master-2.example.com:2379 - https://etcd0.example.com:2379마스터 API 서비스를 다시 시작하십시오.
모든 마스터에서 다음을 수행하십시오.
# master-restart api # master-restart controllers
주의etcd 노드의 수는 홀수여야 하므로 2개 이상의 호스트를 추가해야 합니다.
Flannel을 사용하는 경우 새 etcd 호스트를 포함하도록 모든 OpenShift Container Platform 호스트에서
/etc/sysconfig/flanneld에 있는flanneld서비스 구성을 수정하십시오.FLANNEL_ETCD_ENDPOINTS=https://master-0.example.com:2379,https://master-1.example.com:2379,https://master-2.example.com:2379,https://etcd0.example.com:2379
flanneld서비스를 다시 시작하십시오.# systemctl restart flanneld.service
38장. etcd 쿼럼 복원
etcd 쿼럼이 손실되면 이를 복원할 수 있습니다.
- 별도의 호스트에서 etcd를 실행하는 경우 etcd를 백업하고 etcd 클러스터를 끄고 새 호스트를 형성해야 합니다. 하나의 정상 etcd 노드를 사용하여 새 클러스터를 구성할 수 있지만 다른 모든 정상 노드를 제거해야 합니다.
- 마스터 노드에서 etcd를 정적 포드로 실행하는 경우 etcd pod를 중지하고 임시 클러스터를 생성한 다음 etcd pod를 다시 시작합니다.
etcd 쿼럼이 손실되는 동안 OpenShift Container Platform에서 실행되는 애플리케이션에 영향을 미치지 않습니다. 그러나 플랫폼 기능은 읽기 전용 작업으로 제한됩니다. 애플리케이션 확장 또는 축소, 배포 변경, 빌드 실행 또는 수정과 같은 조치를 취할 수 없습니다.
etcd 쿼럼 손실을 확인하려면 다음 명령 중 하나를 실행하고 클러스터가 비정상인지 확인합니다.
etcd v2 API를 사용하는 경우 다음 명령을 실행합니다.
# etcd_ctl=2 etcdctl --cert-file=/etc/origin/master/master.etcd-client.crt \ --key-file /etc/origin/master/master.etcd-client.key \ --ca-file /etc/origin/master/master.etcd-ca.crt \ --endpoints="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379"\ cluster-health member 165201190bf7f217 is unhealthy: got unhealthy result from https://master-0.example.com:2379 member b50b8a0acab2fa71 is unreachable: [https://master-1.example.com:2379] are all unreachable member d40307cbca7bc2df is unreachable: [https://master-2.example.com:2379] are all unreachable cluster is unhealthyv3 API를 사용하는 경우 다음 명령을 실행합니다.
# ETCDCTL_API=3 etcdctl --cert=/etc/origin/master/master.etcd-client.crt \ --key=/etc/origin/master/master.etcd-client.key \ --cacert=/etc/origin/masterca.crt \ --endpoints="https://*master-0.example.com*:2379,\ https://*master-1.example.com*:2379,\ https://*master-2.example.com*:2379"\ endpoint health https://master-0.example.com:2379 is unhealthy: failed to connect: context deadline exceeded https://master-1.example.com:2379 is unhealthy: failed to connect: context deadline exceeded https://master-2.example.com:2379 is unhealthy: failed to connect: context deadline exceeded Error: unhealthy cluster
호스트의 멤버 ID와 호스트 이름을 확인합니다. 새 클러스터를 구성하기 위해 연결할 수 있는 노드 중 하나를 사용합니다.
38.1. 별도의 서비스에 대해 etcd 쿼럼 복원
38.1.1. etcd 백업
etcd를 백업할 때 etcd 구성 파일과 etcd 데이터를 둘 다 백업해야 합니다.
38.1.1.1. etcd 구성 파일 백업
보존할 etcd 구성 파일은 모두 etcd가 실행 중인 인스턴스의 /etc/etcd 디렉터리에 저장됩니다. 여기에는 etcd 구성 파일(/etc/etcd/etcd.conf)과 클러스터 통신에 필요한 인증서가 포함됩니다. 이러한 모든 파일은 Ansible 설치 프로그램에서 설치 시 생성됩니다.
절차
클러스터의 etcd 멤버마다 etcd 구성을 백업하십시오.
$ ssh master-0 1
# mkdir -p /backup/etcd-config-$(date +%Y%m%d)/
# cp -R /etc/etcd/ /backup/etcd-config-$(date +%Y%m%d)/- 1
master-0을 etcd 멤버 이름으로 바꿉니다.
각 etcd 클러스터 멤버의 인증서 및 구성 파일은 고유합니다.
38.1.1.2. etcd 데이터 백업
전제 조건
OpenShift Container Platform 설치 프로그램에서는 별칭을 생성하여 etcd v2 작업의 경우 etcdctl2라는 모든 플래그, etcd v3 작업의 경우 etcdctl3이라는 모든 플래그를 입력하지 않아도 되게 합니다.
그러나 etcdctl3 별칭에서는 etcdctl 명령에 전체 끝점 목록을 제공하지 않으므로, --endpoints 옵션을 지정하고 모든 끝점을 나열해야 합니다.
etcd를 백업하기 전에 다음을 수행하십시오.
-
etcdctl바이너리가 사용 가능해야 합니다. 컨테이너화된 설치에서는rhel7/etcd컨테이너를 사용할 수 있어야 합니다. - OpenShift Container Platform API 서비스가 실행 중인지 확인하십시오.
- etcd 클러스터(2379/tcp 포트)와의 연결을 확인하십시오.
- etcd 클러스터에 연결하기 위한 적절한 인증서를 확인하십시오.
절차
백업을 수행할 때 etcdctl backup 명령을 사용하지만 etcd v3에는 백업이라는 개념이 없습니다. 대신 etcdctl snapshot save 명령으로 활성 멤버에서 스냅샷을 작성하거나 etcd 데이터 디렉터리에서 member/snap/db 파일을 복사합니다.
etcdctl backup 명령을 실행하면 백업에 포함된 일부 메타데이터, 특히 노드 ID 및 클러스터 ID가 다시 작성됩니다. 즉, 백업에서 노드의 이전 ID가 손실됩니다. 백업에서 클러스터를 다시 생성하려면 새로운 단일 노드 클러스터를 생성한 후 나머지 노드를 클러스터에 추가하십시오. 새 노드가 기존 클러스터에 조인하지 못하도록 메타데이터가 다시 작성됩니다.
etcd 데이터를 백업하십시오.
이전 버전의 OpenShift Container Platform에서 업그레이드된 클러스터에는 v2 데이터 저장소가 포함될 수 있습니다. 모든 etcd 데이터 저장소를 백업하십시오.
정적 포드 매니페스트에서 etcd 끝점 IP 주소를 확보하십시오.
$ export ETCD_POD_MANIFEST="/etc/origin/node/pods/etcd.yaml"
$ export ETCD_EP=$(grep https ${ETCD_POD_MANIFEST} | cut -d '/' -f3)관리자로 로그인합니다.
$ oc login -u system:admin
etcd 포드 이름을 확보하십시오.
$ export ETCD_POD=$(oc get pods -n kube-system | grep -o -m 1 '^master-etcd\S*')
kube-system프로젝트로 변경합니다.$ oc project kube-system
포드에서 etcd 데이터의 스냅샷을 작성하여 로컬에 저장하십시오.
$ oc exec ${ETCD_POD} -c etcd -- /bin/bash -c "ETCDCTL_API=3 etcdctl \ --cert /etc/etcd/peer.crt \ --key /etc/etcd/peer.key \ --cacert /etc/etcd/ca.crt \ --endpoints $ETCD_EP \ snapshot save /var/lib/etcd/snapshot.db" 1- 1
/var/lib/etcd/의 디렉터리에 스냅샷을 써야 합니다.
38.1.2. etcd 호스트 제거
복원 후 etcd 호스트에 장애가 발생하면 클러스터에서 제거하십시오. etcd 쿼럼 손실에서 복구하려면 클러스터에서 정상적인 etcd 노드를 모두 제거해야 합니다.
모든 마스터 호스트에서 수행할 단계
프로시저
etcd 클러스터에서 서로 다른 etcd 호스트를 제거하십시오. 각 etcd 노드에 대해 다음 명령을 실행하십시오.
# etcdctl3 --endpoints=https://<surviving host IP>:2379 --cacert=/etc/etcd/ca.crt --cert=/etc/etcd/peer.crt --key=/etc/etcd/peer.key member remove <failed member ID>
모든 마스터의
/etc/origin/master/master-config.yaml+master 구성 파일에서 다른 etcd 호스트를 제거합니다.etcdClientInfo: ca: master.etcd-ca.crt certFile: master.etcd-client.crt keyFile: master.etcd-client.key urls: - https://master-0.example.com:2379 - https://master-1.example.com:2379 1 - https://master-2.example.com:2379 2모든 마스터에서 마스터 API 서비스를 다시 시작하십시오.
# master-restart api restart-master controller
현재 etcd 클러스터에서 수행할 단계
절차
클러스터에서 실패한 호스트를 제거하십시오.
# etcdctl2 cluster-health member 5ee217d19001 is healthy: got healthy result from https://192.168.55.12:2379 member 2a529ba1840722c0 is healthy: got healthy result from https://192.168.55.8:2379 failed to check the health of member 8372784203e11288 on https://192.168.55.21:2379: Get https://192.168.55.21:2379/health: dial tcp 192.168.55.21:2379: getsockopt: connection refused member 8372784203e11288 is unreachable: [https://192.168.55.21:2379] are all unreachable member ed4f0efd277d7599 is healthy: got healthy result from https://192.168.55.13:2379 cluster is healthy # etcdctl2 member remove 8372784203e11288 1 Removed member 8372784203e11288 from cluster # etcdctl2 cluster-health member 5ee217d19001 is healthy: got healthy result from https://192.168.55.12:2379 member 2a529ba1840722c0 is healthy: got healthy result from https://192.168.55.8:2379 member ed4f0efd277d7599 is healthy: got healthy result from https://192.168.55.13:2379 cluster is healthy- 1
remove명령에는 호스트 이름이 아니라 etcd ID가 필요합니다.
etcd 서비스를 다시 시작할 때 etcd 구성이 실패한 호스트를 사용하지 않게 하려면 나머지 모든 etcd 호스트에서
/etc/etcd/etcd.conf파일을 수정하고ETCD_INITIAL_CLUSTER변수의 값에서 실패한 호스트를 제거하십시오.# vi /etc/etcd/etcd.conf
예를 들면 다음과 같습니다.
ETCD_INITIAL_CLUSTER=master-0.example.com=https://192.168.55.8:2380,master-1.example.com=https://192.168.55.12:2380,master-2.example.com=https://192.168.55.13:2380
이는 다음이 됩니다.
ETCD_INITIAL_CLUSTER=master-0.example.com=https://192.168.55.8:2380,master-1.example.com=https://192.168.55.12:2380
참고실패한 호스트는
etcdctl을 사용하여 제거되므로 etcd 서비스를 다시 시작할 필요가 없습니다.클러스터의 현재 상태를 반영하고 플레이북을 다시 실행할 때 문제가 발생하지 않도록 Ansible 인벤토리 파일을 수정하십시오.
[OSEv3:children] masters nodes etcd ... [OUTPUT ABBREVIATED] ... [etcd] master-0.example.com master-1.example.com
Flannel을 사용하는 경우 모든 호스트에서
/etc/sysconfig/flanneld에 있는flanneld서비스 구성을 수정하고 etcd 호스트를 제거하십시오.FLANNEL_ETCD_ENDPOINTS=https://master-0.example.com:2379,https://master-1.example.com:2379,https://master-2.example.com:2379
flanneld서비스를 다시 시작하십시오.# systemctl restart flanneld.service
38.1.3. 단일 노드 etcd 클러스터 생성
OpenShift Container Platform 인스턴스의 전체 기능을 복원하려면 나머지 etcd 노드를 독립 실행형 etcd 클러스터로 설정합니다.
절차
클러스터에서 제거하지 않은 etcd 노드에서 etcd pod 정의를 제거하여 모든 etcd 서비스를 중지합니다.
# mkdir -p /etc/origin/node/pods-stopped # mv /etc/origin/node/pods/etcd.yaml /etc/origin/node/pods-stopped/ # systemctl stop atomic-openshift-node # mv /etc/origin/node/pods-stopped/etcd.yaml /etc/origin/node/pods/
호스트에서 etcd 서비스를 실행하여 새 클러스터를 강제 실행합니다.
이러한 명령은 etcd 서비스의 사용자 지정 파일을 생성하여 etcd start 명령에
--force-new-cluster옵션을 추가합니다.# mkdir -p /etc/systemd/system/etcd.service.d/ # echo "[Service]" > /etc/systemd/system/etcd.service.d/temp.conf # echo "ExecStart=" >> /etc/systemd/system/etcd.service.d/temp.conf # sed -n '/ExecStart/s/"$/ --force-new-cluster"/p' \ /usr/lib/systemd/system/etcd.service \ >> /etc/systemd/system/etcd.service.d/temp.conf # systemctl daemon-reload # master-restart etcdetcd 멤버를 나열하고 멤버 목록에 단일 etcd 호스트만 포함되어 있는지 확인합니다.
# etcdctl member list 165201190bf7f217: name=192.168.34.20 peerURLs=http://localhost:2380 clientURLs=https://master-0.example.com:2379 isLeader=true
데이터를 복원하고 새 클러스터를 생성한 후 etcd가 피어 통신을 수신하는 IP 주소를 사용하도록
peerURLs매개변수 값을 업데이트해야 합니다.# etcdctl member update 165201190bf7f217 https://192.168.34.20:2380 1- 1
165201190bf7f217은 이전 명령의 출력에 표시된 멤버 ID이며https://192.168.34.20:2380은(는) IP 주소입니다.
검증하려면 IP가 멤버 목록에 있는지 확인하십시오.
$ etcdctl2 member list 5ee217d17301: name=master-0.example.com peerURLs=https://*192.168.55.8*:2380 clientURLs=https://192.168.55.8:2379 isLeader=true
38.1.4. 복원 후 etcd 노드 추가
첫 번째 인스턴스가 실행되면 클러스터에 여러 etcd 서버를 추가할 수 있습니다.
절차
ETCD_NAME변수에서 인스턴스의 etcd 이름을 가져옵니다.# grep ETCD_NAME /etc/etcd/etcd.conf
etcd가 피어 통신을 청취하는 IP 주소를 가져옵니다.
# grep ETCD_INITIAL_ADVERTISE_PEER_URLS /etc/etcd/etcd.conf
노드가 이전에 etcd 클러스터의 일부인 경우 이전 etcd 데이터를 삭제합니다.
# rm -Rf /var/lib/etcd/*
etcd가 올바르게 실행되는 etcd 호스트에서 새 멤버를 추가합니다.
# etcdctl3 member add *<name>* \ --peer-urls="*<advertise_peer_urls>*"
명령은 일부 변수를 출력합니다. 예를 들면 다음과 같습니다.
ETCD_NAME="master2" ETCD_INITIAL_CLUSTER="master-0.example.com=https://192.168.55.8:2380" ETCD_INITIAL_CLUSTER_STATE="existing"
이전 명령의 값을 새 호스트의
/etc/etcd/etcd.conf파일에 추가합니다.# vi /etc/etcd/etcd.conf
클러스터에 가입하는 노드에서 etcd 서비스를 시작합니다.
# systemctl start etcd.service
오류 메시지를 확인하십시오.
# master-logs etcd etcd
모든 노드를 추가하고 나면 클러스터 상태 및 클러스터 상태를 확인합니다.
# etcdctl3 endpoint health --endpoints="https://<etcd_host1>:2379,https://<etcd_host2>:2379,https://<etcd_host3>:2379" https://master-0.example.com:2379 is healthy: successfully committed proposal: took = 1.423459ms https://master-1.example.com:2379 is healthy: successfully committed proposal: took = 1.767481ms https://master-2.example.com:2379 is healthy: successfully committed proposal: took = 1.599694ms # etcdctl3 endpoint status --endpoints="https://<etcd_host1>:2379,https://<etcd_host2>:2379,https://<etcd_host3>:2379" https://master-0.example.com:2379, 40bef1f6c79b3163, 3.2.5, 28 MB, true, 9, 2878 https://master-1.example.com:2379, 1ea57201a3ff620a, 3.2.5, 28 MB, false, 9, 2878 https://master-2.example.com:2379, 59229711e4bc65c8, 3.2.5, 28 MB, false, 9, 2878
- 나머지 피어를 클러스터에 다시 추가합니다.
38.2. 정적 Pod에 대한 etcd 쿼럼 복원
etcd에 정적 포드를 사용하는 클러스터에서 etcd 쿼럼이 손실되면 다음 단계를 수행하십시오.
절차
etcd 포드를 중지합니다.
mv /etc/origin/node/pods/etcd.yaml .
etcd 호스트에서 새 클러스터를 일시적으로 강제 적용합니다.
$ cp /etc/etcd/etcd.conf etcd.conf.bak $ echo "ETCD_FORCE_NEW_CLUSTER=true" >> /etc/etcd/etcd.conf
etcd pod를 다시 시작하십시오.
$ mv etcd.yaml /etc/origin/node/pods/.
etcd pod를 중지하고
FORCE_NEW_CLUSTER명령을 제거합니다.$ mv /etc/origin/node/pods/etcd.yaml . $ rm /etc/etcd/etcd.conf $ mv etcd.conf.bak /etc/etcd/etcd.conf
etcd pod를 다시 시작하십시오.
$ mv etcd.yaml /etc/origin/node/pods/.
39장. OpenShift SDN 문제 해결
39.1. 개요
SDN 설명서에 설명된 대로 한 컨테이너의 트래픽을 올바르게 전달하기 위해 여러 계층의 인터페이스가 생성됩니다. 연결 문제를 디버깅하려면 문제가 발생하는 위치에서 다양한 스택 계층을 테스트해야 합니다. 이 가이드는 계층을 분석하여 문제와 문제를 해결하는 방법을 확인하는 데 도움이 됩니다.
문제의 일부는 OpenShift Container Platform을 여러 가지 방법으로 설정할 수 있으며 몇 가지 다른 위치에서 네트워크를 잘못 설정할 수 있다는 것입니다. 따라서 이 문서에서는 대다수의 사례를 다루고자 하는 몇 가지 시나리오에 대해 설명합니다. 문제가 해결되지 않으면 도입된 툴과 개념이 디버깅 작업을 안내해야 합니다.
39.2. 명칭
- Cluster
- 클러스터의 시스템 집합입니다 . 즉 마스터와 노드입니다.
- Master
- OpenShift Container Platform 클러스터의 컨트롤러입니다. 마스터는 클러스터의 노드가 아니므로 포드에 대한 IP 연결이 없을 수 있습니다.
- 노드
- 포드를 호스팅할 수 있는 OpenShift Container Platform을 실행하는 클러스터의 호스트입니다.
- Pod
- OpenShift Container Platform에서 관리하는 노드에서 실행되는 컨테이너 그룹입니다.
- Service
- 하나 이상의 포드에서 지원하는 통합 네트워크 인터페이스를 제공하는 추상화입니다.
- 라우터
- 외부 트래픽이 클러스터로 이동할 수 있도록 다양한 URL과 경로를 OpenShift Container Platform 서비스에 매핑할 수 있는 웹 프록시입니다.
- 노드 주소
- 노드의 IP 주소입니다. 이는 노드가 연결된 네트워크의 소유자가 할당 및 관리합니다. 클러스터의 모든 노드(마스터 및 클라이언트)에서 연결할 수 있어야 합니다.
- Pod 주소
- 포드의 IP 주소입니다. 이러한 항목은 OpenShift Container Platform에서 할당 및 관리합니다. 기본적으로 10.128.0.0/14 네트워크(또는 이전 버전의 10.1.0.0/16)에서 할당됩니다. 클라이언트 노드에서만 연결할 수 있습니다.
- 서비스 주소
- 서비스를 나타내는 IP 주소이며 내부적으로 포드 주소에 매핑됩니다. 이러한 항목은 OpenShift Container Platform에서 할당 및 관리합니다. 기본적으로 172.30.0.0/16 네트워크에서 할당됩니다. 클라이언트 노드에서만 연결할 수 있습니다.
다음 다이어그램은 외부 액세스와 관련된 모든 항목을 보여줍니다.
39.3. HTTP 서비스에 대한 외부 액세스 디버깅
클러스터 외부의 시스템에 있고 클러스터에서 제공하는 리소스에 액세스하려는 경우 공용 IP 주소에서 수신 대기하고 클러스터 내부의 트래픽을 "라우팅"하는 Pod에서 프로세스를 실행해야 합니다. OpenShift Container Platform 라우터 는 HTTP, HTTPS(SNI 사용), WebSockets 또는 TLS(SNI 사용)의 해당 목적을 제공합니다.
클러스터 외부에서 HTTP 서비스에 액세스할 수 없다고 가정하면 문제가 발생하는 시스템의 명령줄에서 문제를 재현하여 시작합니다. 시도:
curl -kv http://foo.example.com:8000/bar # But replace the argument with your URL
이 기능이 작동하면 버그를 적시에서 재현하시겠습니까? 서비스에 작동하는 일부 포드와 없는 포드가 있을 수도 있습니다. 그러면 39.4절. “라우터 디버깅” 섹션으로 이동합니다.
실패한 경우 DNS 이름을 IP 주소로 확인하겠습니다 (아직 그렇지 않은 것으로 가정).
dig +short foo.example.com # But replace the hostname with yours
IP 주소를 다시 제공하지 않으면 DNS 문제를 해결해야 하지만 이 가이드의 범위를 벗어납니다.
다시 설정된 IP 주소가 라우터를 실행할 것으로 예상되는 주소인지 확인합니다. 그렇지 않은 경우 DNS를 수정합니다.
다음으로 ping -c 주소와 tracepath 주소를 사용하여 라우터 호스트에 연결할 수 있는지 확인합니다. ICMP 패킷에 응답하지 않을 수 있습니다. 이 경우 해당 테스트가 실패하지만 라우터 시스템에 연결할 수 있습니다. 어느 경우 telnet 명령을 사용하여 라우터의 포트에 직접 액세스하십시오.
telnet 1.2.3.4 8000
다음을 얻을 수 있습니다.
Trying 1.2.3.4... Connected to 1.2.3.4. Escape character is '^]'.
이 경우 IP 주소의 포트에서 수신 대기 중인 항목이 있습니다. 좋습니다. ctrl-] 을 누른 다음 Enter 키를 누르고 close 를 입력하여 telnet을 종료합니다. 39.4절. “라우터 디버깅” 섹션으로 이동하여 라우터의 다른 항목을 확인합니다.
또는 다음을 얻을 수 있습니다.
Trying 1.2.3.4... telnet: connect to address 1.2.3.4: Connection refused
라우터가 해당 포트에서 수신 대기하지 않음을 알려주는 것은 무엇입니까. 라우터 구성 방법에 대한 자세한 내용은 39.4절. “라우터 디버깅” 섹션을 참조하십시오.
또는 다음을 볼 수 있습니다.
Trying 1.2.3.4... telnet: connect to address 1.2.3.4: Connection timed out
이는 해당 IP 주소의 아무 것도와도 통신할 수 없음을 알려줍니다. 라우팅, 방화벽 및 해당 IP 주소에서 라우터를 수신 대기하는지 확인합니다. 라우터를 디버깅하려면 39.4절. “라우터 디버깅” 섹션을 참조하십시오. IP 라우팅 및 방화벽 문제의 경우 이 가이드의 보기가 아닌 디버깅입니다.
39.4. 라우터 디버깅
이제 IP 주소가 있으므로 해당 시스템에 ssh 를 사용하여 해당 시스템에서 라우터 소프트웨어가 실행되고 있는지 확인하고 올바르게 구성해야 합니다. ssh 를 보고 관리자 OpenShift Container Platform 자격 증명을 가져옵니다.
관리자 자격 증명에 대한 액세스 권한이 있지만 기본 시스템 사용자 system :admin 으로 더 이상 로그인하지 않은 경우 CLI 구성 파일에 인증 정보가 남아 있으면 언제든지 이 사용자로 다시 로그인할 수 있습니다. 다음 명령은 에 로그인하여 기본 프로젝트로 전환합니다.
$ oc login -u system:admin -n default
라우터가 실행 중인지 확인합니다.
# oc get endpoints --namespace=default --selector=router NAMESPACE NAME ENDPOINTS default router 10.128.0.4:80
해당 명령이 실패하면 OpenShift Container Platform 구성이 손상됩니다. 수정은 이 문서의 범위를 벗어납니다.
하나 이상의 라우터 엔드포인트가 나열되어야 하지만 엔드포인트 IP 주소가 클러스터 내부의 포드 주소 중 하나이므로 지정된 외부 IP 주소가 있는 시스템에서 실행되고 있는지는 알 수 없습니다. 라우터 호스트 IP 주소 목록을 가져오려면 다음을 실행합니다.
# oc get pods --all-namespaces --selector=router --template='{{range .items}}HostIP: {{.status.hostIP}} PodIP: {{.status.podIP}}{{"\n"}}{{end}}'
HostIP: 192.168.122.202 PodIP: 10.128.0.4외부 주소에 해당하는 호스트 IP가 표시되어야 합니다. 그렇지 않은 경우 라우터 설명서 를 참조하여 적절한 노드에서 실행되도록 라우터 포드를 구성하거나 라우터가 실행 중인 IP 주소와 일치하도록 DNS를 업데이트합니다.
이 가이드에서는 라우터 포드를 실행하는 노드에 있어야 하지만 HTTP 요청이 작동하도록 할 수는 없습니다. 먼저 라우터가 외부 URL을 올바른 서비스에 매핑하는지 확인해야 하며, 이 경우 모든 엔드포인트에 연결할 수 있는지 확인하기 위해 해당 서비스를 구문 분석해야 합니다.
OpenShift Container Platform에서 알고 있는 모든 경로를 나열합니다.
# oc get route --all-namespaces NAME HOST/PORT PATH SERVICE LABELS TLS TERMINATION route-unsecured www.example.com /test service-name
URL의 호스트 이름과 경로가 반환된 경로 목록의 아무것도 일치하지 않는 경우 경로를 추가해야 합니다. 라우터 설명서 를 참조하십시오.
경로가 있는 경우 엔드포인트에 대한 액세스를 디버그해야 합니다. 이는 서비스에 대한 문제를 디버깅하는 것과 동일하므로 다음 39.5절. “서비스 디버깅” 섹션을 계속 진행합니다.
39.5. 서비스 디버깅
클러스터 내부에서 서비스와 통신할 수 없는 경우(서비스가 직접 통신할 수 없거나 라우터를 사용하고 클러스터로 전환해야 하기 때문에) 서비스와 연결된 엔드포인트를 작업하고 디버깅해야 합니다.
먼저 서비스를 받습니다.
# oc get services --all-namespaces NAMESPACE NAME LABELS SELECTOR IP(S) PORT(S) default docker-registry docker-registry=default docker-registry=default 172.30.243.225 5000/TCP default kubernetes component=apiserver,provider=kubernetes <none> 172.30.0.1 443/TCP default router router=router router=router 172.30.213.8 80/TCP
목록에 서비스가 표시됩니다. 그렇지 않은 경우 서비스를 정의해야 합니다.
서비스 출력에 나열된 IP 주소는 Kubernetes가 해당 서비스를 지원하는 포드 중 하나에 매핑할 Kubernetes 서비스 IP 주소입니다. 따라서 해당 IP 주소와 통신할 수 있어야 합니다. 하지만 가능하더라도 모든 포드에 연결할 수 있는 것은 아닙니다. 그러지 않으면 모든 포드에 연결할 수 없습니다. 이는 kube proxy가 연결한 상태만 알려줍니다.
서비스를 테스트해 보겠습니다. 노드 중 하나에서 다음을 수행합니다.
curl -kv http://172.30.243.225:5000/bar # Replace the argument with your service IP address and port
그런 다음 서비스를 지원하는 Pod를 작업합니다(Docker -registry 를 broken 서비스의 이름으로 바꿉니다).
# oc get endpoints --selector=docker-registry NAME ENDPOINTS docker-registry 10.128.2.2:5000
여기에서 엔드포인트가 하나만 있는 것을 확인할 수 있습니다. 따라서 서비스 테스트가 성공하고 라우터 테스트에 성공한 경우 실제로는 분명한 일이 일어나고 있습니다. 하지만 엔드포인트가 두 개 이상 있거나 서비스 테스트에 실패한 경우 각 엔드포인트에 대해 다음을 시도합니다. 작동하지 않는 엔드포인트를 확인한 후 다음 섹션으로 진행합니다.
먼저 각 엔드포인트를 테스트합니다(URL을 변경하여 올바른 엔드포인트 IP, 포트 및 경로를 갖도록 설정).
curl -kv http://10.128.2.2:5000/bar
잘 되셨다면 다음 영상으로 시도해 보십시오. 실패할 경우 메모해 두십시오. 다음 단원에서는 이유를 설명합니다.
모두 실패하면 로컬 노드가 작동하지 않을 수 있습니다. 39.7절. “로컬 네트워킹 디버깅” 섹션으로 이동하십시오.
모두 작동한 다음 39.11절. “Kubernetes 디버깅” 섹션으로 이동하여 서비스 IP 주소가 작동하지 않는 이유를 확인합니다.
39.6. 노드 네트워킹으로 노드 디버깅
작동하지 않는 엔드포인트 목록을 사용하여 노드 연결을 테스트해야 합니다.
모든 노드에 예상 IP 주소가 있는지 확인합니다.
# oc get hostsubnet NAME HOST HOST IP SUBNET rh71-os1.example.com rh71-os1.example.com 192.168.122.46 10.1.1.0/24 rh71-os2.example.com rh71-os2.example.com 192.168.122.18 10.1.2.0/24 rh71-os3.example.com rh71-os3.example.com 192.168.122.202 10.1.0.0/24
DHCP를 사용하는 경우 변경할 수 있습니다. 호스트 이름, IP 주소 및 서브넷이 예상과 일치하는지 확인합니다. 노드 세부 정보가 변경된 경우
oc edit hostsubnet을 사용하여 항목을 수정합니다.노드 주소와 호스트 이름이 올바른지 확인한 후 끝점 IP 및 노드 IP를 나열합니다.
# oc get pods --selector=docker-registry \ --template='{{range .items}}HostIP: {{.status.hostIP}} PodIP: {{.status.podIP}}{{end}}{{"\n"}}' HostIP: 192.168.122.202 PodIP: 10.128.0.4이전에 기록한 엔드포인트 IP 주소를 찾아
PodIP항목에서 찾고 해당HostIP주소를 찾습니다. 그런 다음HostIP의 주소를 사용하여 노드 호스트 수준에서 연결을 테스트합니다.-
ping -c 3 <IP_address>: 응답이 없는 것은 중간 라우터가 ICMP 트래픽을 차단한다는 것을 의미할 수 있습니다. tracepath <IP_address>: 모든 홉에서 ICMP 패킷을 반환하는 경우 타겟으로 이동한 IP 경로를 표시합니다.추적 경로와ping이 모두 실패하는 경우 로컬 또는 가상 네트워크에서 연결 문제를 찾습니다.
-
로컬 네트워킹의 경우 다음을 확인하십시오.
패킷이 대상 주소로 전송되는 경로를 확인합니다.
# ip route get 192.168.122.202 192.168.122.202 dev ens3 src 192.168.122.46 cache위의 예에서 소스 주소가
192.168.122.46인ens3이라는 인터페이스를 종료하고 타겟으로 직접 이동합니다. 예상한 인터페이스인 경우ip a show dev ens3을 사용하여 인터페이스 세부 정보를 가져오고 이 예상 인터페이스인지 확인합니다.대체 결과는 다음과 같을 수 있습니다.
# ip route get 192.168.122.202 1.2.3.4 via 192.168.122.1 dev ens3 src 192.168.122.46
IP 값을
통해를 통과하여 적절하게 라우팅합니다. 트래픽이 올바르게 라우팅되고 있는지 확인합니다. 디버깅 경로 트래픽은 이 가이드의 범위를 벗어납니다.
다음을 사용하여 노드 간 네트워킹에 대한 기타 디버깅 옵션을 해결할 수 있습니다.
-
양쪽 끝에 이더넷 링크가 있습니까?
ethtool <network_interface>의 출력에서Link detected: yes를 찾습니다. -
이중 설정과 이더넷 속도가 양쪽 끝에 적절한가요? 나머지
ethtool <network_interface>정보를 살펴봅니다. - 케이블이 올바르게 연결되어 있습니까? 올바른 포트에?
- 스위치가 올바르게 구성되어 있습니까?
노드 간 연결에 문제가 없음을 확인하고 나면 양쪽 끝에 있는 SDN 구성을 확인해야 합니다.
39.7. 로컬 네트워킹 디버깅
이때 와 통신할 수 없지만 노드 간 연결이 가능한 하나 이상의 엔드포인트 목록이 있어야 합니다. 각 항목에 대해 잘못된 사항을 해결해야 하지만 먼저 SDN이 다른 포드의 노드에 네트워킹을 설정하는 방법을 이해해야 합니다.
39.7.1. 노드의 인터페이스
다음은 OpenShift SDN에서 생성하는 인터페이스입니다.
-
br0: 컨테이너가 연결될 OVS 브리지 장치입니다. OpenShift SDN은 이 브리지에서 서브넷이 아닌 흐름 규칙 집합도 구성합니다. -
tun0: OVS 내부 포트(br0의포트 2). 이 네트워크에는 클러스터 서브넷 게이트웨이 주소가 할당되며 외부 네트워크 액세스에 사용됩니다. OpenShift SDN에서는 NAT를 통해 클러스터 서브넷에서 외부 네트워크로 액세스할 수 있도록netfilter및 라우팅 규칙을 구성합니다. -
vxlan_sys_4789: 원격 노드의 컨테이너에 대한 액세스를 제공하는 OVS VXLAN 장치(br0의 포트 1)입니다. OVS 규칙에서vxlan0을 참조합니다. -
vethX(주 넷에 있음): Docker netns에서eth0의 Linux 가상 이더넷 피어입니다. 다른 포트 중 하나에서 OVS 브리지에 연결됩니다.
39.7.2. 노드 내부에서 SDN 흐름
액세스하려는 항목에 따라 경로가 달라집니다. SDN이 연결되는 4개의 다른 위치(노드 내)가 있습니다. 위의 다이어그램에서 빨간색으로 레이블이 지정됩니다.
- Pod: 동일한 머신의 한 Pod에서 다른 1로 트래픽이 변경됩니다(1개의 다른 1)
- 원격 노드(또는 Pod): 트래픽은 로컬 Pod에서 동일한 클러스터의 원격 노드 또는 Pod로 이동합니다(1~2)
- 외부 머신: 클러스터 외부의 로컬 Pod에서 트래픽이 변경됩니다(1에서 3으로).
물론 반대로 트래픽 흐름도 가능합니다.
39.7.3. 디버깅 단계
39.7.3.1. IP 전달이 활성화됩니까?
sysctl net.ipv4.ip_forward 가 1로 설정되어 있는지 확인하고(VM인 경우 호스트를 확인합니다)
39.7.3.2. 경로가 올바릅니까?
ip route 를 사용하여 경로 테이블을 확인합니다.
# ip route default via 192.168.122.1 dev ens3 10.128.0.0/14 dev tun0 proto kernel scope link # This sends all pod traffic into OVS 10.128.2.0/23 dev tun0 proto kernel scope link src 10.128.2.1 # This is traffic going to local pods, overriding the above 169.254.0.0/16 dev ens3 scope link metric 1002 # This is for Zeroconf (may not be present) 172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.42.1 # Docker's private IPs... used only by things directly configured by docker; not OpenShift 192.168.122.0/24 dev ens3 proto kernel scope link src 192.168.122.46 # The physical interface on the local subnet
Pod 네트워크가 구성의 기본 범위로 설정되어 있다고 가정하면 10.128.x.x 행이 표시되어야 합니다. 그렇지 않은 경우 OpenShift Container Platform 로그를 확인하십시오 ( 39.10절. “로그 읽기” 섹션 참조)
39.7.4. Open vSwitch (OVS)가 올바르게 구성됩니까?
OVS 포드 중 하나에서 ovs-vsctl 및 ovs-ofctl 명령을 실행해야 합니다.
OVS 포드를 나열하려면 다음 명령을 입력합니다.
$ oc get pod -n openshift-sdn -l app=ovs
양쪽의 Open vSwitch 브리지를 확인합니다. <ovs_pod_name> 을 OVS Pod의 이름으로 바꿉니다.
$ oc exec -n openshift-sdn <ovs_pod_name> -- ovs-vsctl list-br br0
이전 명령에서 br0 을 반환해야 합니다.
OVS에서 알고 있는 모든 포트를 나열할 수 있습니다.
$ oc exec -n openshift-sdn <ovs_pod_name> -- ovs-ofctl -O OpenFlow13 dump-ports-desc br0
OFPST_PORT_DESC reply (OF1.3) (xid=0x2):
1(vxlan0): addr:9e:f1:7d:4d:19:4f
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
2(tun0): addr:6a:ef:90:24:a3:11
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
8(vethe19c6ea): addr:1e:79:f3:a0:e8:8c
config: 0
state: 0
current: 10GB-FD COPPER
speed: 10000 Mbps now, 0 Mbps max
LOCAL(br0): addr:0a:7f:b4:33:c2:43
config: PORT_DOWN
state: LINK_DOWN
speed: 0 Mbps now, 0 Mbps max
특히 모든 활성 포드의 vethX 장치가 포트로 나열되어야 합니다.
그런 다음 해당 브리지에 구성된 흐름을 나열합니다.
$ oc exec -n openshift-sdn <ovs_pod_name> -- ovs-ofctl -O OpenFlow13 dump-flows br0
결과는 ovs-subnet 또는 ovs- multitenant 플러그인을 사용하는지에 따라 약간 다르지만 다음과 같은 일반적인 사항을 찾을 수 있습니다.
-
모든 원격 노드에는
tun_src=<node_IP_address>(해당 노드에서 들어오는 VXLAN 트래픽의 경우)와set_field:<node_IP_address>->tun_dst(해당 노드로 나가는 VXLAN 트래픽의 경우)와 일치하는 흐름이 있어야 합니다. -
모든 로컬 Pod에는
arp_spa=<pod_IP_address> 및(해당 Pod의 수신 및 발신 ARP 트래픽의 경우)와 일치하는 흐름이 있어야 하며arp_tpa=<pod_IP_address>nw_src=<pod_IP_address>와 일치하는 흐름이 있어야 합니다. 및nw_dst=<pod_IP_address>(해당 Pod에 대해 들어오고 나가는 IP 트래픽의 경우).
흐름이 누락된 경우 39.10절. “로그 읽기” 섹션을 참조하십시오.
39.7.4.1. iptables 구성이 올바릅니까?
iptables-save 의 출력을 확인하여 트래픽을 필터링하지 않는지 확인합니다. 그러나 OpenShift Container Platform은 정상적인 작업 중에 iptables 규칙을 설정하므로 여기에서 항목을 볼 수 있습니다.
39.7.4.2. 외부 네트워크가 올바르습니까?
외부 방화벽을 확인합니다(있는 경우 대상 주소에 대한 트래픽을 허용합니다(이 가이드의 참조 이후에는 사이트 종속됨).
39.8. 가상 네트워킹 디버깅
39.8.1. 가상 네트워크에서 빌드가 실패하고 있습니다
가상 네트워크(예: OpenStack)를 사용하여 OpenShift Container Platform을 설치하고 빌드가 실패하는 경우 대상 노드 호스트의 최대 전송 단위(MTU)가 기본 네트워크 인터페이스(예: eth0)의 MTU와 호환되지 않을 수 있습니다.
빌드가 성공적으로 완료되려면 노드 호스트 간에 데이터를 전달하려면 SDN의 MTU가 eth0 네트워크 MTU보다 작아야 합니다.
ip addr명령을 실행하여 네트워크의 MTU를 확인합니다.# ip addr --- 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether fa:16:3e:56:4c:11 brd ff:ff:ff:ff:ff:ff inet 172.16.0.0/24 brd 172.16.0.0 scope global dynamic eth0 valid_lft 168sec preferred_lft 168sec inet6 fe80::f816:3eff:fe56:4c11/64 scope link valid_lft forever preferred_lft forever ---위의 네트워크의 MTU는 1500입니다.
노드 구성의 MTU는 network 값보다 작아야 합니다. 대상 노드 호스트의 노드
구성에서해당 기능을 확인합니다.# $ oc describe configmaps node-config-infra ... networkConfig: mtu: 1450 networkPluginName: company/openshift-ovs-subnet ...
위의 노드 구성 파일에서 the
mtu값은 네트워크 MTU보다 작으므로 구성이 필요하지 않습니다. themtu값이 높으면 파일을 편집하고 기본 네트워크 인터페이스의 MTU보다 최소 50유닛으로 낮은 다음 노드 서비스를 다시 시작합니다. 이렇게 하면 더 큰 데이터 패킷이 노드 간에 전달될 수 있습니다.참고클러스터에서 노드를 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다.
node-config.yaml파일을 수동으로 편집하지 마십시오.
39.9. Pod 송신 디버깅
Pod에서 외부 서비스에 액세스하려는 경우 다음과 같습니다.
curl -kv github.com
DNS가 올바르게 해결되고 있는지 확인합니다.
dig +search +noall +answer github.com
github 서버의 IP 주소가 반환되어야 하지만 올바른 주소가 다시 있는지 확인합니다. 주소가 없거나 시스템 중 하나의 주소를 반환하면 로컬 DNS 서버의 와일드카드 항목과 일치할 수 있습니다.
이 문제를 해결하려면 와일드카드 항목이 있는 DNS 서버가 /etc/resolv.conf의 또는 와일드카드 도메인이 이름 서버로 나열되지 않았는지 확인해야 합니다.검색 목록에 나열되지 않았는지 확인해야 합니다.
올바른 IP 주소가 반환된 경우 위에 나열된 디버깅 지침을 39.7절. “로컬 네트워킹 디버깅” 에 시도하십시오. 트래픽은 포트 2의 Open vSwitch를 종료하여 iptables 규칙을 통과한 다음 경로 테이블을 정상적으로 전달해야 합니다.
39.10. 로그 읽기
run: journalctl -u atomic-openshift-node.service --boot | less
Output of setup script: line을 찾습니다. 아래 '+'로 시작하는 모든 것이 스크립트 단계입니다. 이를 통해 분명한 오류가 있는지 확인합니다.
스크립트 뒤에 output of table=0이 있는 줄이 표시됩니다. 이러한 규칙은 OVS 규칙이며 오류가 없어야 합니다.
39.11. Kubernetes 디버깅
iptables -t nat -L 을 확인하여 서비스가 kubeproxy 의 로컬 시스템의 올바른 포트에 NAT'd인지 확인합니다.
이 모든 것이 곧 변화되고 있습니다. kubeProxy가 제거되고 iptables전용 솔루션으로 교체됩니다.
39.12. 진단 도구를 사용하여 네트워크 문제 찾기
클러스터 관리자로 진단 툴을 실행하여 일반적인 네트워크 문제를 진단합니다.
# oc adm diagnostics NetworkCheck
진단 툴은 지정된 구성 요소에 대한 오류 조건을 일련의 검사를 실행합니다. 자세한 내용은 진단 툴 섹션을 참조하십시오.
현재 진단 툴은 IP 페일오버 문제를 진단할 수 없습니다. 이 문제를 해결하려면 마스터의 https://raw.githubusercontent.com/openshift/openshift-sdn/master/hack/ipf-debug.sh 또는 마스터에 액세스할 수 있는 다른 머신에서 스크립트를 실행하여 유용한 디버깅 정보를 생성할 수 있습니다. 그러나 이 스크립트는 지원되지 않습니다.
기본적으로 oc adm diagnostics NetworkCheck 는 /tmp/openshift/ 에 오류를 기록합니다. 이 작업은 --network-logdir 옵션으로 구성할 수 있습니다.
# oc adm diagnostics NetworkCheck --network-logdir=<path/to/directory>
39.13. 기타 참고 사항
39.13.1. 수신 관련 기타 설명
- kube - 서비스를 NodePort로 선언하면 클러스터의 모든 머신(인터페이스?)에서 해당 포트를 요청한 다음 kube-proxy로 라우팅한 다음 백업 Pod로 지정합니다. https://kubernetes.io/docs/concepts/services-networking/service/#type-nodeport 을 참조하십시오(일부 노드는 외부에서 액세스할 수 있어야 함)
- kube - LoadBalancer로 선언하고 작성해야 하는 내용은 나머지 작업을 수행합니다.
- OS/AE - 둘 다 라우터 사용
39.13.2. TLS Handshake Timeout
Pod 배포에 실패하면 Docker 로그에서 TLS 핸드셰이크 시간 초과를 확인합니다.
$ docker log <container_id> ... [...] couldn't get deployment [...] TLS handshake timeout ...
일반적으로 이 조건은 tun0 MTU가 1500이고 eth0 MTU가 9000(점보 프레임)과 같은 tun0 및 기본 인터페이스(예: eth0) 사이의 MTU 값의 큰 차이로 인해 보안 연결 설정 오류로 인해 발생할 수 있습니다.
39.13.3. 기타 디버깅 노트
-
ethtool -S ifname을 사용하여 (Linux 가상 이더넷 쌍의 피어 인터페이스)를 결정할 수 있습니다. -
드라이버 유형:
ethtool -i ifname
40장. 진단 도구
40.1. 개요
oc adm diagnostics 명령은 호스트 또는 클러스터에서 오류 조건을 점검하는 일련의 검사를 실행합니다. 특히, 다음과 같습니다.
- 기본 레지스트리 및 라우터가 실행 중이고 올바르게 구성되었는지 확인합니다.
-
ClusterRoleBindings및ClusterRoles에서기본 정책과의 일관성을 확인합니다. - 모든 클라이언트 구성 컨텍스트가 유효하며 에 연결할 수 있는지 확인합니다.
- SkyDNS가 제대로 작동하고 Pod에 SDN 연결이 있는지 확인합니다.
- 호스트에서 마스터 및 노드 구성을 검증합니다.
- 노드가 실행 중이고 사용 가능한지 확인합니다.
- 알려진 오류를 위해 호스트 로그를 분석합니다.
- systemd 장치가 호스트에 대해 예상대로 구성되었는지 확인합니다.
40.2. 진단 도구 사용
OpenShift Container Platform을 여러 가지 방법으로 배포할 수 있습니다. 여기에는 다음이 포함됩니다.
- 소스에서 빌드
- VM 이미지 내에 포함
- 컨테이너 이미지로
- 엔터프라이즈 RPM 사용
각 방법은 다른 구성 및 환경에 적합합니다. 환경 가정을 최소화하기 위해 진단 툴은 OpenShift Container Platform 서버 또는 클라이언트 내에서 진단을 제공하기 위해 openshift 바이너리에 포함됩니다.
일반적으로 마스터 호스트 및 클러스터 관리자에서 진단 툴을 사용하려면 다음을 실행합니다.
# oc adm diagnostics
이렇게 하면 사용 가능한 모든 진단이 실행되며 환경에 적용되지 않는 진단은 건너뜁니다.
문제를 해결하기 위해 작업하는 대로 이름별로 특정 진단을 실행하거나 이름별로 특정 진단을 실행할 수 있습니다. 예를 들면 다음과 같습니다.
$ oc adm diagnostics
진단 도구 옵션에는 작업 구성 파일이 필요합니다. 예를 들어 노드 구성을 사용할 수 없는 한 NodeConfigCheck 는 실행되지 않습니다.
진단 도구는 기본적으로 표준 구성 파일 위치를 사용합니다.
클라이언트:
-
$KUBECONFIG환경 변수에 표시된 대로 - ~/.kube/config 파일
-
마스터:
- /etc/origin/master/master-config.yaml
노드:
- /etc/origin/node/node-config.yaml
--config, -- 옵션을 사용하여 비표준 위치를 지정할 수 있습니다. 구성 파일을 지정하지 않으면 관련 진단을 건너뜁니다.
master-config 및 -- node-config
사용 가능한 진단은 다음과 같습니다.
| 진단 이름 | 목적 |
|---|---|
|
| 적절한 구성 및 작업을 위해 집계된 로깅 통합을 확인합니다. |
|
| 문제가 있는지 systemd 서비스 로그를 확인합니다. 를 확인하기 위해 구성 파일이 필요하지 않습니다. |
|
| 클러스터에 빌드 및 이미지 스트림에 대해 작동하는 컨테이너 이미지 레지스트리가 있는지 확인합니다. |
|
| 기본 클러스터 역할 바인딩이 있고 기본 정책에 따라 예상 주체가 포함되어 있는지 확인합니다. |
|
| 클러스터 역할이 있으며 기본 정책에 따라 예상 권한이 포함되어 있는지 확인합니다. |
|
| 클러스터에서 작동하는 기본 라우터가 있는지 확인합니다. |
|
| 클라이언트 구성의 각 컨텍스트가 완료되었으며 해당 API 서버에 연결되어 있는지 확인합니다. |
|
| 애플리케이션 관점에서 진단을 실행하는 Pod를 생성합니다. 그러면 포드 내의 DNS가 예상대로 작동하고 기본 서비스 계정의 자격 증명이 마스터 API에 올바르게 인증되었는지 확인합니다. |
|
| etcd에 대한 쓰기 볼륨을 일정 기간 동안 확인하고 작업 및 키로 분류합니다. 이 진단은 다른 진단만큼 빨리 실행되지 않고 etcd에 대한 로드를 늘릴 수 있으므로 구체적으로 요청된 경우에만 실행됩니다. |
|
| 이 호스트의 마스터 구성 파일에서 문제가 있는지 확인합니다. |
|
| 이 호스트에서 실행 중인 마스터에서도 노드를 실행하여 클러스터 SDN의 멤버인지 확인합니다. |
|
| 클러스터 API 프록시를 통해 통합 Heapster 지표에 도달할 수 있는지 확인합니다. |
|
| 여러 노드에 진단 포드를 생성하여 애플리케이션 또는 Pod 관점에서 일반적인 네트워크 문제를 진단합니다. 마스터에서 노드에 포드를 예약할 수 있는 경우 이 진단을 실행하되 포드에 연결 문제가 있습니다. 이 확인은 포드가 서비스, 기타 포드 및 외부 네트워크에 연결할 수 있는지 확인합니다.
오류가 있는 경우 이 진단은 추가 분석을 위해 결과를 로컬 디렉토리(기본적으로/tmp/openshift/ )에 저장하고 검색된 파일을 저장합니다. 디렉터리는 |
|
| 이 호스트의 노드 구성 파일에서 문제가 있는지 확인합니다. |
|
| 마스터 API에 정의된 노드가 준비되었으며 포드를 예약할 수 있는지 확인합니다. |
|
| 확장 검증으로 거부할 수 있는 경로 인증서를 모두 확인합니다. |
|
| 마스터 구성에 따라 허용하지 않는 외부 IP를 지정하는 기존 서비스를 확인합니다. |
|
| OpenShift Container Platform과 관련된 이 호스트의 유닛의 systemd 상태를 확인합니다. 를 확인하기 위해 구성 파일이 필요하지 않습니다. |
40.3. 서버 환경에서 진단 실행
Ansible에서 배포된 클러스터는 OpenShift Container Platform 클러스터 내의 노드에 대한 추가 진단 이점을 제공합니다. 여기에는 다음이 포함됩니다.
- 마스터 및 노드 구성은 표준 위치의 구성 파일을 기반으로 합니다.
- systemd 단위는 서버를 관리하도록 구성됩니다.
- 마스터 및 노드 구성 파일은 모두 표준 위치에 있습니다.
- systemd 단위는 클러스터의 노드를 관리할 수 있도록 생성 및 구성됩니다.
- 모든 구성 요소는 journald에 기록합니다.
Ansible 배포 클러스터에서 배치한 구성 파일의 기본 위치를 유지하면 oc adm 진단 실행이 플래그 없이 작동합니다. 구성 파일의 기본 위치를 사용하지 않는 경우 --master-config 및 옵션을 사용해야 합니다.
--node-config
# oc adm diagnostics --master-config=<file_path> --node-config=<file_path>
journald의 systemd 장치 및 로그 항목은 현재 로그 진단 논리에 필요합니다. 다른 배포 유형의 경우 로그를 단일 파일에 저장하거나 노드와 마스터 로그를 결합하는 파일에 저장하거나 stdout에 인쇄할 수 있습니다. 로그 항목이 journald를 사용하지 않으면 로그 진단이 작동하지 않으며 실행되지 않습니다.
40.4. 클라이언트 환경에서 진단 실행
진단 툴을 일반 사용자 또는 cluster-admin 으로 실행할 수 있으며 이를 실행하는 계정에 부여된 권한 수준을 사용하여 실행됩니다.
일반 액세스 권한이 있는 클라이언트는 마스터에 대한 연결을 진단하고 진단 포드를 실행할 수 있습니다. 여러 사용자 또는 마스터가 구성된 경우 모두 연결이 테스트되지만 진단 포드는 현재 사용자, 서버 또는 프로젝트에 대해서만 실행됩니다.
cluster-admin 액세스 권한이 있는 클라이언트는 노드, 레지스트리 및 라우터와 같은 인프라 상태를 진단할 수 있습니다. 각 경우에 oc adm 진단을 실행하면 표준 클라이언트 구성 파일이 표준 위치에서 검색되고 사용 가능한 경우 이 파일을 사용합니다.
40.5. Ansible 기반 상태 점검
추가 진단 상태 점검은 OpenShift Container Platform 클러스터를 설치하고 관리하는 데 사용되는 Ansible 기반 툴 을 통해 사용할 수 있습니다. 현재 OpenShift Container Platform 설치에 대한 일반적인 배포 문제를 보고할 수 있습니다.
이러한 점검은 ansible-playbook 명령( 클러스터 설치중에 사용되는 것과 동일한 방법) 또는 컨테이너화된 openshift-ansible 버전을 사용하여 실행할 수 있습니다. ansible-playbook 메서드의 경우 openshift-ansible RPM 패키지에서 점검을 제공합니다. 컨테이너화된 방법의 경우 openshift3/ose-ansible 컨테이너 이미지는 Red Hat Container Registry 를 통해 배포됩니다. 각 메서드의 사용 예는 후속 섹션에 제공됩니다.
다음 상태 점검은 제공된 health.yml 플레이북을 사용하여 배포된 OpenShift Container Platform 클러스터에 대해 Ansible 인벤토리 파일에 대해 실행해야 하는 진단 작업 집합입니다.
잠재적인 변경으로 인해 상태 점검 플레이북이 환경에 적용할 수 있으므로 Ansible 배포 클러스터에 대해서만 플레이북을 실행하고 배포에 사용되는 동일한 인벤토리 파일을 사용해야 합니다. 변경 사항은 검사에서 필수 정보를 수집할 수 있도록 종속성을 설치하는 것으로 구성됩니다. 경우에 따라 현재 상태가 인벤토리 파일의 구성 요소와 다를 경우 docker 또는 네트워킹 구성 요소와 같은 추가 시스템 구성 요소가 변경될 수 있습니다. 인벤토리 파일이 기존 클러스터 구성을 변경할 것으로 예상하지 않는 경우에만 이러한 상태 점검을 실행해야 합니다.
| 이름 확인 | 목적 |
|---|---|
|
| 이 검사에서는 etcd 클러스터에서 OpenShift Container Platform 이미지 데이터의 총 크기를 측정합니다. 계산된 크기가 사용자 정의 제한을 초과하면 확인에 실패합니다. 제한이 지정되지 않은 경우 이 검사는 이미지 데이터 크기가 etcd 클러스터에서 현재 사용된 공간 중 50% 이상인 경우 실패합니다. 이 검사에서 오류가 발생하면 etcd의 상당한 공간이 OpenShift Container Platform 이미지 데이터에 의해 수집되고 있으므로 결국 etcd 클러스터가 충돌할 수 있습니다.
|
|
|
이 검사는 etcd 호스트의 더 높은 일반 트래픽을 감지합니다. etcd 동기화 기간 경고가 있는 etcd 성능 향상에 대한 자세한 내용은 OpenShift Container Platform etcd 호스트 및 Red Hat 지식베이스 권장 사항을 참조하십시오. |
|
|
이 검사를 통해 etcd 클러스터의 볼륨 사용량이 사용자 지정 최대 임계값 미만인지 확인합니다. 최대 임계값이 지정되지 않은 경우 기본값은 총 볼륨 크기의
사용자 정의 제한은 |
|
| docker 데몬(노드 및 컨테이너화된 설치)을 사용하는 호스트에서만 실행됩니다. Docker의 총 사용량이 사용자 정의 제한을 초과하지 않는지 확인합니다. 사용자 정의 제한이 설정되지 않은 경우 docker 의 최대 사용량 임계값은 사용 가능한 총 크기의 90%로 설정됩니다.
인벤토리 파일의 변수를 사용하여 총 백분율 사용량에 대한 임계값 제한을 설정할 수 있습니다(예: 또한 Docker의 스토리지에서 지원되는 구성을 사용하고 있는지 확인합니다. |
|
|
이 검사 세트는 Curator, Kibana, Elasticsearch 및 Fluentd Pod가 배포되었으며 |
|
| 이 검사는 로깅 스택 배포에서 Elasticsearch를 통해 로그 생성 및 로그 집계 간의 일반 시간 지연보다 더 많은 것을 감지합니다. 시간 초과(기본적으로 30초) 내에 Elasticsearch를 통해 새 로그 항목을 쿼리할 수 없는 경우 실패합니다. 로깅이 활성화된 경우에만 점검이 실행됩니다.
|
|
| 이 검사는 OpenShift Container Platform SDN의 다음 클러스터 수준 진단을 수행합니다.
이 검사는 |
설치 프로세스의 일부로 실행되는 유사한 검사 집합은 클러스터 사전 설치 검사 구성에서 확인할 수 있습니다. 인증서 만료를 확인하기 위한 또 다른 검사 집합은 인증서 재배포를 참조하십시오.
40.5.1. ansible-playbook을 통한 상태 점검 실행
ansible -playbook 명령을 사용하여 openshift- ansible 상태 점검을 실행하려면 플레이북 디렉터리로 변경하고 클러스터의 인벤토리 파일을 지정하고 health.yml 플레이북을 실행합니다.
$ cd /usr/share/ansible/openshift-ansible
$ ansible-playbook -i <inventory_file> \
playbooks/openshift-checks/health.yml
명령줄에서 변수를 설정하려면 원하는 변수가 key=value 형식으로 -e 플래그를 포함합니다. 예를 들면 다음과 같습니다.
$ cd /usr/share/ansible/openshift-ansible
$ ansible-playbook -i <inventory_file> \
playbooks/openshift-checks/health.yml \
-e openshift_check_logging_index_timeout_seconds=45 \
-e etcd_max_image_data_size_bytes=40000000000
특정 검사를 비활성화하려면 플레이북을 실행하기 전에 인벤토리 파일에 쉼표로 구분된 확인 이름 목록을 사용하여 openshift_disable_check 변수를 포함합니다. 예를 들면 다음과 같습니다.
openshift_disable_check=etcd_traffic,etcd_volume
또는 ansible-playbook 명령을 실행할 때 -e openshift_disable_check=<check1>,<check2> 를 사용하여 변수로 비활성화하도록 검사를 설정합니다.
40.5.2. Docker CLI를 통한 상태 점검 실행
Docker CLI를 통해 ose -ansible 이미지를 실행할 수 있는 호스트에서 Ansible을 설치하고 구성할 필요가 없도록 컨테이너에서 openshift -ansible 플레이북을 실행할 수 있습니다.
컨테이너를 실행할 권한이 있는 루트가 아닌 사용자로 다음을 실행합니다.
# docker run -u `id -u` \ 1 -v $HOME/.ssh/id_rsa:/opt/app-root/src/.ssh/id_rsa:Z,ro \ 2 -v /etc/ansible/hosts:/tmp/inventory:ro \ 3 -e INVENTORY_FILE=/tmp/inventory \ -e PLAYBOOK_FILE=playbooks/openshift-checks/health.yml \ 4 -e OPTS="-v -e openshift_check_logging_index_timeout_seconds=45 -e etcd_max_image_data_size_bytes=40000000000" \ 5 openshift3/ose-ansible
- 1
- 이러한 옵션을 사용하면 컨테이너 내부에서 SSH 키를 읽을 수 있도록 권한에 필요한 현재 사용자와 동일한 UID로 컨테이너를 실행할 수 있습니다(SSH 개인 키는 소유자만 읽을 수 있음).
- 2
- 컨테이너를 루트가 아닌 사용자로 실행할 때 일반 사용 아래에 /opt/app-root/src/.ssh 아래에 볼륨으로 SSH 키를 마운트합니다.
- 3
- 다른 경우 /etc/ansible/hosts 를 클러스터의 인벤토리 파일의 위치로 변경합니다. 이 파일은 컨테이너의
INVENTORY_FILE환경 변수에 따라 사용되는 /tmp/inventory 에 바인딩 마운트됩니다. - 4
PLAYBOOK_FILE환경 변수는 컨테이너 내에서 /usr/share/ansible/openshift-ansible 을 기준으로 health.yml 플레이북의 위치로 설정됩니다.- 5
-e key=value형식을 사용하여 단일 실행에 필요한 변수를 설정합니다.
이전 명령에서 SSH 키는 :Z 옵션으로 마운트되어 컨테이너에서 제한된 SELinux 컨텍스트에서 SSH 키를 읽을 수 있습니다. 이 옵션을 추가하면 원래 SSH 키 파일의 레이블이 system_u:object_r:container_file_t:s0:c113,c247 과 유사하게 레이블이 다시 지정됩니다. :Z 에 대한 자세한 내용은 docker-run(1) 도움말 페이지를 참조하십시오.
이러한 볼륨 마운트 사양은 예기치 않은 결과를 초래할 수 있습니다. 예를 들어, 마운트 및 ✓여기서 레이블을 다시 지정하면 $HOME/.ssh 디렉터리인 sshd 는 원격 로그인을 허용하기 위해 공개 키에 액세스할 수 없게 됩니다. 원본 파일 레이블을 변경하지 않도록 하려면 SSH 키 또는 디렉터리의 사본을 마운트합니다.
전체 .ssh 디렉토리를 마운트하는 데 유용할 수 있습니다.
- SSH 구성을 사용하여 호스트와 키와 일치하거나 다른 연결 매개 변수를 수정할 수 있습니다.
-
사용자가 known_hosts 파일을 제공하고 SSH 검증 호스트 키를 갖도록 허용합니다. 이 설정은 기본 구성에서 비활성화되며
-e ANSIBLE_HOST_KEY_CHEC=True를docker명령줄에 추가하여 환경 변수를 사용하여 다시 활성화할 수 있습니다.
41장. 애플리케이션을 유휴 상태로 설정
41.1. 개요
OpenShift Container Platform 관리자는 리소스 사용을 줄이기 위해 애플리케이션을 유휴 상태로 설정할 수 있습니다. 이는 비용이 리소스 사용과 관련된 퍼블릭 클라우드에 배포할 때 유용합니다.
확장 가능한 리소스가 사용되지 않는 경우 OpenShift Container Platform에서 복제본을 0개로 스케일링하여 유휴 상태로 설정합니다. 네트워크 트래픽이 리소스로 전달되면 복제본을 확장하여 유휴 상태가 해제된 다음 작업을 계속합니다.
애플리케이션은 서비스 및 배포 구성과 같은 기타 확장 가능한 리소스로 구성됩니다. 애플리케이션을 유휴 상태로 설정하는 작업에서는 관련 리소스를 모두 유휴 상태로 설정합니다.
41.2. 애플리케이션을 유휴 상태로 설정
애플리케이션을 유휴 상태로 설정하려면 서비스와 관련된 확장 가능 리소스(배포 구성, 복제 컨트롤러 등)를 찾아야 합니다. 애플리케이션을 유휴 상태로 설정하는 작업에서는 서비스를 검색하여 유휴 상태로 표시하고 리소스를 복제본 수 0개로 축소합니다.
oc idle 명령을 사용하여 단일 서비스를 유휴 상태로 설정하거나 --resource-names-file 옵션을 사용하여 여러 서비스를 유휴 상태로 설정할 수 있습니다.
41.2.1. 단일 서비스를 유휴 상태로 설정
다음 명령을 사용하여 단일 서비스를 유휴 상태로 설정합니다.
$ oc idle <service>
41.2.2. 여러 서비스를 유휴 상태로 설정
원하는 서비스 목록을 생성한 다음 oc idle 명령에 설정합니다.
--resource-names-file 옵션을 사용하여 여러 서비스를 유휴 상태로
이 기능은 애플리케이션이 프로젝트 내의 서비스 집합에 걸쳐 있거나 동일한 프로젝트 내의 대규모로 여러 애플리케이션을 유휴 상태로 설정하기 위해 스크립트와 함께 여러 서비스를 유휴 상태로 설정할 때 유용합니다.
- 각 행에 서비스 목록이 포함된 텍스트 파일을 만듭니다.
--resource-names-file옵션을 사용하여 서비스를 유휴 상태로 설정합니다.$ oc idle --resource-names-file <filename>
idle 명령은 단일 프로젝트로 제한됩니다. 클러스터 전체의 애플리케이션을 유휴 상태로 설정하려면 각 프로젝트에 대해 개별적으로 idle 명령을 실행합니다.
41.3. 애플리케이션 유휴 상태 해제
애플리케이션 서비스는 네트워크 트래픽을 수신하면 다시 활성화되며 이전 상태를 백업합니다. 여기에는 서비스에 대한 트래픽과 경로를 통과하는 트래픽이 모두 포함됩니다.
리소스를 확장하여 애플리케이션의 유휴 상태를 수동으로 해제할 수 있습니다. 예를 들어 deploymentconfig를 확장하려면 명령을 실행합니다.
$ oc scale --replicas=1 dc <deploymentconfig>
라우터에 의한 자동 유휴 상태 해제는 현재 기본 HAProxy 라우터에서만 지원합니다.
42장. 클러스터 용량 분석
42.1. 개요
클러스터 관리자는 hypercc 클러스터 용량 툴을 사용하여 현재 리소스를 늘리기 전에 예약할 수 있는 Pod 수를 확인하고 향후 Pod를 예약할 수 있습니다. 이러한 용량은 클러스터의 개별 노드 호스트에서 제공하며 CPU, 메모리, 디스크 공간 등을 포함합니다.
hypercc 클러스터 용량 툴은 보다 정확한 추정을 제공하기 위해 리소스가 고갈되기 전에 클러스터에서 예약할 수 있는 입력 Pod의 인스턴스 수를 확인하기 위해 일련의 스케줄링 결정을 시뮬레이션합니다.
나머지 할당 가능 용량은 여러 노드에 배포되는 모든 리소스를 계산하지 않기 때문에 대략적인 추정치입니다. 남은 리소스만 분석하고 클러스터에서 예약할 수 있는 지정된 요구 사항이 포함된 Pod의 여러 인스턴스 측면에서 여전히 사용할 수 있는 가용 용량을 추정합니다.
또한 Pod는 선택 및 유사성 기준에 따라 특정 노드 집합에서만 예약 기능이 지원될 수 있습니다. 이로 인해 클러스터에서 예약할 수 있는 나머지 Pod를 추정하기 어려울 수 있습니다.
hypercc 클러스터 용량 분석 툴을 명령줄에서 독립형 유틸리티로 실행하거나 OpenShift Container Platform 클러스터 내부의 Pod에서 작업으로 실행할 수 있습니다. Pod 내에서 작업으로 실행하면 개입 없이 여러 번 실행할 수 있습니다.
42.2. 명령줄에서 클러스터 용량 분석 실행
openshift-enterprise-cluster-capacity RPM 패키지를 설치하여 툴을 가져옵니다. 명령줄에서 툴을 실행하려면 다음을 수행합니다.
$ hypercc cluster-capacity --kubeconfig <path-to-kubeconfig> \
--podspec <path-to-pod-spec>
kubeconfig 옵션은 Kubernetes 구성 파일을 나타내고, --podspec 옵션은 툴에서 리소스 사용량을 추정하는 데 사용하는 샘플 Pod 사양 파일을 나타냅니다. podspec은 리소스 요구 사항을 limits 또는 requests로 지정합니다. hypercc 클러스터 용량 툴은 추정 분석에 Pod의 리소스 요구 사항을 고려합니다.
Pod 사양 입력의 예는 다음과 같습니다.
apiVersion: v1
kind: Pod
metadata:
name: small-pod
labels:
app: guestbook
tier: frontend
spec:
containers:
- name: php-redis
image: gcr.io/google-samples/gb-frontend:v4
imagePullPolicy: Always
resources:
limits:
cpu: 150m
memory: 100Mi
requests:
cpu: 150m
memory: 100Mi
-verbose 옵션을 추가하여 클러스터의 각 노드에서 예약할 수 있는 Pod 수에 대한 자세한 설명을 출력할 수도 있습니다.
$ hypercc cluster-capacity --kubeconfig <path-to-kubeconfig> \
--podspec <path-to-pod-spec> --verbose출력은 다음과 유사합니다.
small-pod pod requirements: - CPU: 150m - Memory: 100Mi The cluster can schedule 52 instance(s) of the pod small-pod. Termination reason: Unschedulable: No nodes are available that match all of the following predicates:: Insufficient cpu (2). Pod distribution among nodes: small-pod - 192.168.124.214: 26 instance(s) - 192.168.124.120: 26 instance(s)
위 예에서 클러스터에 예약할 수 있는 예상 Pod 수는 52개입니다.
42.3. Pod 내부에서 클러스터 용량을 작업으로 실행
Pod 내부에서 클러스터 용량 툴을 작업으로 실행하면 사용자 개입 없이도 여러 번 실행할 수 있다는 장점이 있습니다. 클러스터 용량 툴을 작업으로 실행하려면 ConfigMap 을 사용해야 합니다.
클러스터 역할을 생성합니다.
$ cat << EOF| oc create -f - kind: ClusterRole apiVersion: v1 metadata: name: cluster-capacity-role rules: - apiGroups: [""] resources: ["pods", "nodes", "persistentvolumeclaims", "persistentvolumes", "services"] verbs: ["get", "watch", "list"] EOF
서비스 계정을 생성합니다.
$ oc create sa cluster-capacity-sa
서비스 계정에 역할을 추가합니다.
$ oc adm policy add-cluster-role-to-user cluster-capacity-role \ system:serviceaccount:default:cluster-capacity-sa 1- 1
- 서비스 계정이
default 프로젝트에 없는 경우 default를 프로젝트 이름으로바꿉니다.
Pod 사양을 정의하고 생성합니다.
apiVersion: v1 kind: Pod metadata: name: small-pod labels: app: guestbook tier: frontend spec: containers: - name: php-redis image: gcr.io/google-samples/gb-frontend:v4 imagePullPolicy: Always resources: limits: cpu: 150m memory: 100Mi requests: cpu: 150m memory: 100Mi클러스터 용량 분석은 입력 Pod 사양 파일
pod.yaml을 경로/test이라는-pod의 볼륨test-volume에 마운트하기 위해 cluster-capacity-configmapConfigMap을 사용하여 볼륨에 마운트됩니다.ConfigMap을 생성하지 않은 경우 작업을 생성하기 전에 하나의 맵을 생성합니다.$ oc create configmap cluster-capacity-configmap \ --from-file=pod.yaml아래의 작업 사양 파일 예제를 사용하여 작업을 생성합니다.
apiVersion: batch/v1 kind: Job metadata: name: cluster-capacity-job spec: parallelism: 1 completions: 1 template: metadata: name: cluster-capacity-pod spec: containers: - name: cluster-capacity image: registry.redhat.io/openshift3/ose-cluster-capacity imagePullPolicy: "Always" volumeMounts: - mountPath: /test-pod name: test-volume env: - name: CC_INCLUSTER 1 value: "true" command: - "/bin/sh" - "-ec" - | /bin/cluster-capacity --podspec=/test-pod/pod.yaml --verbose restartPolicy: "Never" serviceAccountName: cluster-capacity-sa volumes: - name: test-volume configMap: name: cluster-capacity-configmap- 1
- 클러스터 용량 툴에 클러스터 내에서 Pod로 실행되고 있음을 알리는 필수 환경 변수입니다.
ConfigMap의pod.yaml키는 필수는 아니지만 Pod 사양 파일 이름과 동일합니다. 이렇게 하면 Pod 내부에서/test-pod/pod.yaml로 입력 Pod 사양 파일에 액세스할 수 있습니다.
Pod에서 클러스터 용량 이미지를 작업으로 실행합니다.
$ oc create -f cluster-capacity-job.yaml
작업 로그를 확인하여 클러스터에서 예약할 수 있는 Pod 수를 찾습니다.
$ oc logs jobs/cluster-capacity-job small-pod pod requirements: - CPU: 150m - Memory: 100Mi The cluster can schedule 52 instance(s) of the pod small-pod. Termination reason: Unschedulable: No nodes are available that match all of the following predicates:: Insufficient cpu (2). Pod distribution among nodes: small-pod - 192.168.124.214: 26 instance(s) - 192.168.124.120: 26 instance(s)
43장. AWS에서 클러스터 자동 스케일러 구성
AWS(Amazon Web Services)의 OpenShift Container Platform 클러스터에서 자동 스케일러를 구성하여 애플리케이션 워크로드에 대한 탄력성을 제공할 수 있습니다. 자동 확장기를 사용하면 Pod를 실행하기에 충분한 노드가 활성 상태이며 활성 노드 수가 현재 수요에 비례합니다.
AWS에서만 자동 스케일러를 실행할 수 있습니다.
43.1. OpenShift Container Platform 자동 스케일러 정보
OpenShift Container Platform의 자동 스케일러는 보류 중인 노드 할당인 Pod 수를 반복적으로 확인합니다. Pod가 보류 중인 할당 중이고 자동 확장기가 최대 용량을 충족하지 않은 경우 현재 수요를 충족하기 위해 새 노드가 지속적으로 프로비저닝됩니다. 수요가 삭제되고 필요한 노드 수가 적으면 자동 확장기에서 사용되지 않는 노드를 제거합니다. 자동 확장기를 설치한 후 해당 동작은 자동으로 수행됩니다. 원하는 수의 복제본만 배포에 추가해야 합니다.
OpenShift Container Platform 버전 3.11에서는 AWS(Amazon Web Services)에만 자동 스케일러를 배포할 수 있습니다. 자동 확장기에서는 일부 표준 AWS 오브젝트를 사용하여 자동 확장 그룹 및 시작 구성을 포함하여 클러스터 크기를 관리합니다.
자동 확장기에서는 다음 자산을 사용합니다.
- 자동 확장 그룹
- 자동 확장 그룹은 시스템 집합의 논리적 표현입니다. 실행할 최소 인스턴스 수, 실행할 수 있는 최대 인스턴스 수 및 실행할 원하는 인스턴스 수를 사용하여 자동 확장 그룹을 구성합니다. 자동 확장 그룹은 원하는 용량을 충족하기에 충분한 인스턴스를 시작하여 시작합니다. 0개의 인스턴스로 시작하도록 자동 확장 그룹을 구성할 수 있습니다.
- 설정 시작
시작 구성은 자동 확장 그룹이 인스턴스를 시작하는 데 사용하는 템플릿입니다. 시작 구성을 생성할 때 다음과 같은 정보를 지정합니다.
- 기본 이미지로 사용할 AMI(Amazon Machine Image)의 ID
- 인스턴스 유형(예: m4.large)
- 키 쌍
- 하나 이상의 보안 그룹
- 시작 구성을 적용할 서브넷
- OpenShift Container Platform 기본 이미지
- 자동 확장 그룹에서 새 인스턴스를 프로비저닝할 때 시작하는 이미지에 OpenShift Container Platform이 이미 준비되어 있어야 합니다. 자동 확장 그룹은 이 이미지를 사용하여 노드를 자동으로 부트스트랩하고 수동 조작 없이 클러스터에 등록합니다.
43.2. 기본 이미지 생성
Ansible 플레이북을 사용하여 자동 스케일러가 사용할 기본 이미지를 자동으로 생성할 수 있습니다. 기존 AWS(Amazon Web Services) 클러스터에서 속성을 제공해야 합니다.
기본 이미지가 이미 있는 경우 새 이미지를 생성하는 대신 사용할 수 있습니다.
절차
OpenShift Container Platform 클러스터를 생성하는 데 사용한 호스트에서 기본 이미지를 생성합니다.
로컬 호스트에 새 Ansible 인벤토리 파일을 생성합니다. 이 파일에는 참여 노드에서 자동 스케일링을 활성화하기 위해
cloudprovider플래그를 할당하는 변수가 필요합니다. 이러한 변수가 없으면build_ami.yml플레이북에서openshift_cloud_provider역할을 사용할 수 없습니다.[OSEv3:children] masters nodes etcd [OSEv3:vars] openshift_deployment_type=openshift-enterprise ansible_ssh_user=ec2-user openshift_clusterid=mycluster ansible_become=yes openshift_cloudprovider_kind=aws 1 openshift_cloudprovider_aws_access_key=<aws_access_key> 2 openshift_cloudprovider_aws_secret_key=<aws_secret_key> 3 [masters] [etcd] [nodes]
로컬 호스트에 프로비저닝 파일 build-ami-provisioning-vars.yaml 을 생성합니다.
openshift_deployment_type: openshift-enterprise openshift_aws_clusterid: mycluster 1 openshift_aws_region: us-east-1 2 openshift_aws_create_vpc: false 3 openshift_aws_vpc_name: production 4 openshift_aws_subnet_az: us-east-1d 5 openshift_aws_create_security_groups: false 6 openshift_aws_ssh_key_name: production-ssh-key 7 openshift_aws_base_ami: ami-12345678 8 openshift_aws_create_s3: False 9 openshift_aws_build_ami_group: default 10 openshift_aws_vpc: 11 name: "{{ openshift_aws_vpc_name }}" cidr: 172.18.0.0/16 subnets: us-east-1: - cidr: 172.18.0.0/20 az: "us-east-1d" container_runtime_docker_storage_type: overlay2 12 container_runtime_docker_storage_setup_device: /dev/xvdb 13 # atomic-openshift-node service requires gquota to be set on the # filesystem that hosts /var/lib/origin/openshift.local.volumes (OCP # emptydir). Often is it not ideal or cost effective to deploy a vol # for emptydir. This pushes emptydir up to the / filesystem. Base ami # often does not ship with gquota enabled for /. Set this bool true to # enable gquota on / filesystem when using Red Hat Cloud Access RHEL7 # AMI or Amazon Market RHEL7 AMI. openshift_aws_ami_build_set_gquota_on_slashfs: true 14 rhsub_user: user@example.com 15 rhsub_pass: password 16 rhsub_pool: pool-id 17
- 1
- 기존 클러스터의 이름을 제공합니다.
- 2
- 기존 클러스터가 현재 실행 중인 리전을 제공합니다.
- 3
- VPC 생성을 비활성화하려면
False를 지정합니다. - 4
- 클러스터가 실행 중인 기존 VPC 이름을 제공합니다.
- 5
- 기존 클러스터가 실행 중인 서브넷의 이름을 제공합니다.
- 6
- 보안 그룹 생성을 비활성화하려면
False를 지정합니다. - 7
- SSH 액세스에 사용할 AWS 키 이름을 제공합니다.
- 8
- 기본 이미지의 기본 이미지로 사용할 AMI 이미지 ID를 제공합니다. Red Hat® Cloud Access 를 참조하십시오.
- 9
- S3 버킷 생성을 비활성화하려면
False를 지정합니다. - 10
- 보안 그룹 이름을 입력합니다.
- 11
- 기존 클러스터가 실행 중인 VPC 서브넷을 제공합니다.
- 12
overlay2를 Docker 스토리지 유형으로 지정합니다.- 13
- LVM 및 /var/lib/docker 디렉터리의 마운트 지점을 지정합니다.
- 14
- Red Hat Cloud를 사용하는 경우 이 매개변수 값을
true로 설정하여 파일 시스템에서gquota를 활성화합니다. - 15
- 활성 OpenShift Container Platform 서브스크립션을 사용하여 Red Hat 계정의 이메일 주소를 지정합니다.
- 16
- Red Hat 계정의 암호를 지정합니다
- 17
- OpenShift Container Platform 서브스크립션의 풀 ID를 지정합니다. 클러스터를 만들 때 사용한 것과 동일한 풀 ID를 사용할 수 있습니다.
build_ami.yml 플레이북을 실행하여 기본 이미지를 생성합니다.
# ansible-playbook -i </path/to/inventory/file> \ /usr/openshift-ansible/playbooks/aws/openshift-cluster/build_ami.yml \ -e @build-ami-provisioning-vars.yaml플레이북이 실행되면 출력에 새 이미지 ID 또는 AMI가 표시됩니다. 시작 구성을 생성할 때 생성되는 AMI를 지정합니다.
43.3. 시작 구성 및 자동 확장 그룹 생성
클러스터 자동 확장기를 배포하기 전에 기본 이미지를 참조하는 AWS(Amazon Web Services) 시작 구성 및 자동 확장 그룹을 생성해야 합니다. 새 노드가 시작될 때 기존 클러스터에 자동으로 참여하도록 시작 구성을 구성해야 합니다.
사전 요구 사항
- AWS에 OpenShift Container Platform 클러스터를 설치합니다.
- 기본 이미지를 만듭니다.
-
클러스터에 EFK 스택을 배포한 경우 노드 레이블을
logging-infra-fluentd=true로 설정합니다.
절차
마스터 노드에서 부트스트랩.kubeconfig 파일을 생성합니다.
$ ssh master "sudo oc serviceaccounts create-kubeconfig -n openshift-infra node-bootstrapper" > ~/bootstrap.kubeconfig
bootstrap .kubeconfig 파일에서 user-data.txt cloud-init 파일을 생성합니다.
$ cat <<EOF > user-data.txt #cloud-config write_files: - path: /root/openshift_bootstrap/openshift_settings.yaml owner: 'root:root' permissions: '0640' content: | openshift_node_config_name: node-config-compute - path: /etc/origin/node/bootstrap.kubeconfig owner: 'root:root' permissions: '0640' encoding: b64 content: | $(base64 ~/bootstrap.kubeconfig | sed '2,$s/^/ /') runcmd: - [ ansible-playbook, /root/openshift_bootstrap/bootstrap.yml] - [ systemctl, restart, systemd-hostnamed] - [ systemctl, restart, NetworkManager] - [ systemctl, enable, atomic-openshift-node] - [ systemctl, start, atomic-openshift-node] EOF- 시작 구성 템플릿을 AWS S3 버킷에 업로드합니다.
AWS CLI를 사용하여 시작 구성을 생성합니다.
$ aws autoscaling create-launch-configuration \ --launch-configuration-name mycluster-LC \ 1 --region us-east-1 \ 2 --image-id ami-987654321 \ 3 --instance-type m4.large \ 4 --security-groups sg-12345678 \ 5 --template-url https://s3-.amazonaws.com/.../yourtemplate.json \ 6 --key-name production-key \ 7참고템플릿을 인코딩하기 전에 16KB 미만인 경우
--template-url을로 대체하여 AWS CLI를 사용하여 제공할 수 있습니다.--user-dataAWS CLI를 사용하여 자동 확장 그룹을 생성합니다.
$ aws autoscaling create-auto-scaling-group \ --auto-scaling-group-name mycluster-ASG \ 1 --launch-configuration-name mycluster-LC \ 2 --min-size 1 \ 3 --max-size 6 \ 4 --vpc-zone-identifier subnet-12345678 \ 5 --tags ResourceId=mycluster-ASG,ResourceType=auto-scaling-group,Key=Name,Value=mycluster-ASG-node,PropagateAtLaunch=true ResourceId=mycluster-ASG,ResourceType=auto-scaling-group,Key=kubernetes.io/cluster/mycluster,Value=true,PropagateAtLaunch=true ResourceId=mycluster-ASG,ResourceType=auto-scaling-group,Key=k8s.io/cluster-autoscaler/node-template/label/node-role.kubernetes.io/compute,Value=true,PropagateAtLaunch=true 6
43.4. 클러스터에 자동 스케일러 구성 요소 배포
시작 구성 및 자동 확장 그룹을 생성한 후 자동 확장기 구성 요소를 클러스터에 배포할 수 있습니다.
사전 요구 사항
- AWS에 OpenShift Container Platform 클러스터를 설치합니다.
- 기본 이미지를 만듭니다.
- 기본 이미지를 참조하는 시작 구성 및 자동 확장 그룹을 만듭니다.
절차
자동 스케일러를 배포하려면 다음을 수행합니다.
자동 스케일러를 실행하도록 클러스터를 업데이트합니다.
클러스터를 생성하는 데 사용한 인벤토리 파일에 다음 매개변수를 추가합니다. 기본적으로 /etc/ansible/hosts:
openshift_master_bootstrap_auto_approve=true
자동 확장기 구성 요소를 가져오려면 플레이북 디렉터리로 변경하고 플레이북을 다시 실행합니다.
$ cd /usr/share/ansible/openshift-ansible $ ansible-playbook -i </path/to/inventory/file> \ playbooks/openshift-master/enable_bootstrap.ymlbootstrap-autoapproverPod가 실행 중인지 확인합니다.$ oc get pods --all-namespaces | grep bootstrap-autoapprover NAMESPACE NAME READY STATUS RESTARTS AGE openshift-infra bootstrap-autoapprover-0 1/1 Running 0
자동 스케일러의 네임스페이스를 생성합니다.
$ oc apply -f - <<EOF apiVersion: v1 kind: Namespace metadata: name: cluster-autoscaler annotations: openshift.io/node-selector: "" EOF자동 스케일러의 서비스 계정을 생성합니다.
$ oc apply -f - <<EOF apiVersion: v1 kind: ServiceAccount metadata: labels: k8s-addon: cluster-autoscaler.addons.k8s.io k8s-app: cluster-autoscaler name: cluster-autoscaler namespace: cluster-autoscaler EOF서비스 계정에 필요한 권한을 부여하는 클러스터 역할을 생성합니다.
$ oc apply -n cluster-autoscaler -f - <<EOF apiVersion: v1 kind: ClusterRole metadata: name: cluster-autoscaler rules: - apiGroups: 1 - "" resources: - pods/eviction verbs: - create attributeRestrictions: null - apiGroups: - "" resources: - persistentvolumeclaims - persistentvolumes - pods - replicationcontrollers - services verbs: - get - list - watch attributeRestrictions: null - apiGroups: - "" resources: - events verbs: - get - list - watch - patch - create attributeRestrictions: null - apiGroups: - "" resources: - nodes verbs: - get - list - watch - patch - update attributeRestrictions: null - apiGroups: - extensions - apps resources: - daemonsets - replicasets - statefulsets verbs: - get - list - watch attributeRestrictions: null - apiGroups: - policy resources: - poddisruptionbudgets verbs: - get - list - watch attributeRestrictions: null EOF- 1
cluster-autoscaler오브젝트가 있는 경우 동사create와 함께pods/eviction규칙이 있는지 확인합니다.
배포 자동 스케일러에 대한 역할을 만듭니다.
$ oc apply -n cluster-autoscaler -f - <<EOF apiVersion: v1 kind: Role metadata: name: cluster-autoscaler rules: - apiGroups: - "" resources: - configmaps resourceNames: - cluster-autoscaler - cluster-autoscaler-status verbs: - create - get - patch - update attributeRestrictions: null - apiGroups: - "" resources: - configmaps verbs: - create attributeRestrictions: null - apiGroups: - "" resources: - events verbs: - create attributeRestrictions: null EOF
자동 스케일러의 AWS 인증 정보를 저장할 a creds 파일을 생성합니다.
$ cat <<EOF > creds [default] aws_access_key_id = your-aws-access-key-id aws_secret_access_key = your-aws-secret-access-key EOF
자동 확장기에서는 이러한 자격 증명을 사용하여 새 인스턴스를 시작합니다.
AWS 인증 정보가 포함된 보안을 생성합니다.
$ oc create secret -n cluster-autoscaler generic autoscaler-credentials --from-file=creds
자동 확장기에서는 이 시크릿을 사용하여 AWS 내에서 인스턴스를 시작합니다.
생성한 cluster-
autoscaler 서비스 계정에 cluster-reader 역할을 생성하고 부여합니다.$ oc adm policy add-cluster-role-to-user cluster-autoscaler system:serviceaccount:cluster-autoscaler:cluster-autoscaler -n cluster-autoscaler $ oc adm policy add-role-to-user cluster-autoscaler system:serviceaccount:cluster-autoscaler:cluster-autoscaler --role-namespace cluster-autoscaler -n cluster-autoscaler $ oc adm policy add-cluster-role-to-user cluster-reader system:serviceaccount:cluster-autoscaler:cluster-autoscaler -n cluster-autoscaler
클러스터 자동 스케일러를 배포합니다.
$ oc apply -n cluster-autoscaler -f - <<EOF apiVersion: apps/v1 kind: Deployment metadata: labels: app: cluster-autoscaler name: cluster-autoscaler namespace: cluster-autoscaler spec: replicas: 1 selector: matchLabels: app: cluster-autoscaler role: infra template: metadata: labels: app: cluster-autoscaler role: infra spec: containers: - args: - /bin/cluster-autoscaler - --alsologtostderr - --v=4 - --skip-nodes-with-local-storage=False - --leader-elect-resource-lock=configmaps - --namespace=cluster-autoscaler - --cloud-provider=aws - --nodes=0:6:mycluster-ASG env: - name: AWS_REGION value: us-east-1 - name: AWS_SHARED_CREDENTIALS_FILE value: /var/run/secrets/aws-creds/creds image: registry.redhat.io/openshift3/ose-cluster-autoscaler:v3.11 name: autoscaler volumeMounts: - mountPath: /var/run/secrets/aws-creds name: aws-creds readOnly: true dnsPolicy: ClusterFirst nodeSelector: node-role.kubernetes.io/infra: "true" serviceAccountName: cluster-autoscaler terminationGracePeriodSeconds: 30 volumes: - name: aws-creds secret: defaultMode: 420 secretName: autoscaler-credentials EOF
43.5. 자동 스케일러 테스트
AWS(Amazon Web Services) 클러스터에 자동 스케일러를 추가한 후 현재 노드를 실행할 수 있는 것보다 더 많은 Pod를 배포하여 자동 스케일러가 작동하는지 확인할 수 있습니다.
사전 요구 사항
- AWS에서 실행되는 OpenShift Container Platform 클러스터에 자동 스케일러를 추가했습니다.
절차
자동 스케일링을 테스트하는 배포 구성이 포함된 scale-up.yaml 파일을 생성합니다.
apiVersion: apps/v1 kind: Deployment metadata: name: scale-up labels: app: scale-up spec: replicas: 20 1 selector: matchLabels: app: scale-up template: metadata: labels: app: scale-up spec: containers: - name: origin-base image: openshift/origin-base resources: requests: memory: 2Gi command: - /bin/sh - "-c" - "echo 'this should be in the logs' && sleep 86400" terminationGracePeriodSeconds: 0- 1
- 이 배포는 20개의 복제본을 지정하지만 클러스터의 초기 크기는 먼저 계산 노드 수를 늘리지 않고 모든 Pod를 실행할 수 없습니다.
배포를 위한 네임스페이스를 생성합니다.
$ oc apply -f - <<EOF apiVersion: v1 kind: Namespace metadata: name: autoscaler-demo EOF
구성을 배포합니다.
$ oc apply -n autoscaler-demo -f scale-up.yaml
네임스페이스에서 Pod를 확인합니다.
네임스페이스에서 실행 중인 Pod를 확인합니다.
$ oc get pods -n autoscaler-demo | grep Running cluster-autoscaler-5485644d46-ggvn5 1/1 Running 0 1d scale-up-79684ff956-45sbg 1/1 Running 0 31s scale-up-79684ff956-4kzjv 1/1 Running 0 31s scale-up-79684ff956-859d2 1/1 Running 0 31s scale-up-79684ff956-h47gv 1/1 Running 0 31s scale-up-79684ff956-htjth 1/1 Running 0 31s scale-up-79684ff956-m996k 1/1 Running 0 31s scale-up-79684ff956-pvvrm 1/1 Running 0 31s scale-up-79684ff956-qs9pp 1/1 Running 0 31s scale-up-79684ff956-zwdpr 1/1 Running 0 31s
네임스페이스에서 보류 중인 Pod를 확인합니다.
$ oc get pods -n autoscaler-demo | grep Pending scale-up-79684ff956-5jdnj 0/1 Pending 0 40s scale-up-79684ff956-794d6 0/1 Pending 0 40s scale-up-79684ff956-7rlm2 0/1 Pending 0 40s scale-up-79684ff956-9m2jc 0/1 Pending 0 40s scale-up-79684ff956-9m5fn 0/1 Pending 0 40s scale-up-79684ff956-fr62m 0/1 Pending 0 40s scale-up-79684ff956-q255w 0/1 Pending 0 40s scale-up-79684ff956-qc2cn 0/1 Pending 0 40s scale-up-79684ff956-qjn7z 0/1 Pending 0 40s scale-up-79684ff956-tdmqt 0/1 Pending 0 40s scale-up-79684ff956-xnjhw 0/1 Pending 0 40s
이러한 보류 중인 포드는 클러스터 자동 확장기에서 새 계산 노드를 자동으로 프로비저닝하여 에서 포드를 실행할 때까지 실행할 수 없습니다. 노드에
Ready상태가 클러스터에 있는 경우 몇 분 정도 걸릴 수 있습니다.
몇 분 후에 노드 목록을 확인하여 새 노드가 준비되었는지 확인합니다.
$ oc get nodes NAME STATUS ROLES AGE VERSION ip-172-31-49-172.ec2.internal Ready infra 1d v1.11.0+d4cacc0 ip-172-31-53-217.ec2.internal Ready compute 7m v1.11.0+d4cacc0 ip-172-31-55-89.ec2.internal Ready compute 9h v1.11.0+d4cacc0 ip-172-31-56-21.ec2.internal Ready compute 7m v1.11.0+d4cacc0 ip-172-31-56-71.ec2.internal Ready compute 7m v1.11.0+d4cacc0 ip-172-31-63-234.ec2.internal Ready master 1d v1.11.0+d4cacc0
더 많은 노드가 준비되면 네임스페이스에서 실행 중인 Pod를 다시 확인합니다.
$ oc get pods -n autoscaler-demo NAME READY STATUS RESTARTS AGE cluster-autoscaler-5485644d46-ggvn5 1/1 Running 0 1d scale-up-79684ff956-45sbg 1/1 Running 0 8m scale-up-79684ff956-4kzjv 1/1 Running 0 8m scale-up-79684ff956-5jdnj 1/1 Running 0 8m scale-up-79684ff956-794d6 1/1 Running 0 8m scale-up-79684ff956-7rlm2 1/1 Running 0 8m scale-up-79684ff956-859d2 1/1 Running 0 8m scale-up-79684ff956-9m2jc 1/1 Running 0 8m scale-up-79684ff956-9m5fn 1/1 Running 0 8m scale-up-79684ff956-fr62m 1/1 Running 0 8m scale-up-79684ff956-h47gv 1/1 Running 0 8m scale-up-79684ff956-htjth 1/1 Running 0 8m scale-up-79684ff956-m996k 1/1 Running 0 8m scale-up-79684ff956-pvvrm 1/1 Running 0 8m scale-up-79684ff956-q255w 1/1 Running 0 8m scale-up-79684ff956-qc2cn 1/1 Running 0 8m scale-up-79684ff956-qjn7z 1/1 Running 0 8m scale-up-79684ff956-qs9pp 1/1 Running 0 8m scale-up-79684ff956-tdmqt 1/1 Running 0 8m scale-up-79684ff956-xnjhw 1/1 Running 0 8m scale-up-79684ff956-zwdpr 1/1 Running 0 8m ...
44장. 기능 게이트를 사용하여 기능 비활성화
관리자는 Feature Gate를 사용하여 특정 노드 또는 전체 플랫폼에 대한 특정 기능을 비활성화할 수 있습니다.
예를 들어 프로덕션 클러스터에 대한 새 기능을 끄고 완전히 테스트할 수 있는 테스트 클러스터에 대한 기능을 그대로 유지할 수 있습니다.
웹 콘솔에 표시되는 기능을 비활성화하면 해당 기능이 표시되지만 오브젝트는 나열되지 않습니다. 비활성화된 기능과 관련된 명령을 사용하려고 하면 OpenShift Container Platform에 오류가 표시됩니다.
클러스터의 모든 애플리케이션이 사용하는 기능을 비활성화하면 비활성화된 기능 및 애플리케이션에서 해당 기능을 사용하는 방법에 따라 애플리케이션이 제대로 작동하지 않을 수 있습니다.
기능 게이트는 마스터 구성 파일(/etc/origin/master/master-config.yaml)에서 key=value 쌍을 사용하고 차단하려는 기능을 설명하는 및 노드 구성 파일을 사용합니다.
노드 구성 파일을 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다. node-config.yaml 파일을 수동으로 편집하지 마십시오.
예를 들어 다음 코드는 Huge Pages 기능을 비활성화합니다.
kubernetesMasterConfig:
apiServerArguments:
feature-gates:
- HugePages=false 1
...
controllerArguments:
feature-gates:
- HugePages=false 2쉼표로 구분된 한 줄로 여러 개의 기능 게이트를 지정합니다.
kubeletArguments: feature-gates: - RotateKubeletClientCertificate=true,RotateKubeletServerCertificate=true,ExpandPersistentVolumes=true,HugePages=false
44.1. 클러스터의 기능 비활성화
전체 클러스터에 대한 기능을 해제하려면 기본적으로 /etc/origin/master/master-config.yaml에 따라 마스터 구성 파일을 편집합니다.
해제하려는 기능에 대해
apiServerArguments 및아래에controllerArguments<feature_name>=false를 입력합니다.예를 들면 다음과 같습니다.
kubernetesMasterConfig: apiServerArguments: feature-gates: - HugePages=false controllerArguments: feature-gates: - HugePages=false쉼표로 구분된 한 줄로 여러 개의 기능 게이트를 지정합니다.
kubernetesMasterConfig: apiServerArguments: feature-gates: - RotateKubeletClientCertificate=false,RotateKubeletServerCertificate=false,ExpandPersistentVolumes=true,HugePages=false controllerArguments: feature-gates: - RotateKubeletClientCertificate=false,RotateKubeletServerCertificate=false,ExpandPersistentVolumes=true,HugePages=falseOpenShift Container Platform 마스터 서비스를 다시 시작하여 변경 사항을 적용합니다.
# master-restart api # master-restart controllers
비활성화된 기능을 다시 사용하려면 마스터 구성 파일을 편집하여 <feature_name>=false 를 제거하고 마스터 서비스를 다시 시작합니다.
44.2. 노드의 기능 비활성화
노드 호스트에 대한 기능을 비활성화하려면 적절한 노드 구성 맵을 편집합니다.
노드 구성 파일을 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다. node-config.yaml 파일을 수동으로 편집하지 마십시오.
해제하려는 기능에 대해
kubeletArguments아래에<feature_name>=false를 입력합니다.예를 들면 다음과 같습니다.
kubeletArguments: feature-gates: - HugePages=false
쉼표로 구분된 한 줄로 여러 개의 기능 게이트를 지정합니다.
kubeletArguments: feature-gates: - RotateKubeletClientCertificate=false,RotateKubeletServerCertificate=false,ExpandPersistentVolumes=true,HugePages=false
변경 사항을 적용하려면 OpenShift Container Platform 서비스를 다시 시작하십시오.
# systemctl restart atomic-openshift-node.service
비활성화된 기능을 다시 사용하려면 노드 구성 파일을 편집하여 <feature_name>=false 를 제거하고 노드 서비스를 다시 시작합니다.
노드 구성 파일을 수정하려면 필요에 따라 노드 구성 맵을 업데이트합니다. node-config.yaml 파일을 수동으로 편집하지 마십시오.
44.2.1. 기능 게이트 목록
다음 목록을 사용하여 비활성화할 기능의 이름을 확인합니다.
| 기능 게이트 | 설명 |
|---|---|
| 액셀러레이터 | Docker를 사용할 때 Nvidia GPU 지원을 활성화합니다. |
| AdvancedAuditing | 고급 감사 활성화. |
| APIListChunking | API 클라이언트가 청크의 API 서버에서 LIST 또는 GET 리소스를 검색할 수 있습니다. |
| APIResponseCompression | LIST 또는 GET 요청에 대한 API 응답 압축을 활성화합니다. |
| AppArmor | Docker를 사용할 때 Linux 노드에서 AppArmor 기반 필수 액세스 제어를 활성화합니다. 자세한 내용은 Kubernetes AppArmor 문서를 참조하십시오. |
| BlockVolume | 포드에서 원시 블록 장치의 정의 및 사용을 활성화합니다. 자세한 내용은 Kubernetes Raw Block Volume Support 를 참조하십시오. |
| CPUManager | 컨테이너 수준 CPU 선호도 지원을 활성화합니다. 자세한 내용은 CPU 관리자 사용을 참조하십시오. |
| CRIContainerLogRotation | CRI 컨테이너 런타임에 대한 컨테이너 로그 회전을 활성화합니다. |
| CSIPersistentVolume | CSI(Container Storage Interface) 호환 볼륨 플러그인을 통해 프로비저닝된 볼륨을 검색하고 마운트할 수 있습니다. 자세한 내용은 Kubernetes 설계 설명서의 CSI 볼륨 플러그인을 참조하십시오. |
| CustomPodDNS | dnsConfig 속성을 사용하여 Pod의 DNS 설정을 사용자 지정합니다. |
| CustomResourceSubresources | CustomResourceDefinition에서 생성된 리소스에서 /status 및 /scale 하위 리소스를 활성화합니다. Custom Resource로 Kubernetes API 확장을 참조하십시오. |
| CustomResourceValidation | 사용자 정의 리소스 정의에서 생성된 리소스에 대한 스키마 기반 검증을 활성화합니다. 자세한 내용은 Custom Resources로 Kubernetes API 확장을 참조하십시오. |
| DebugContainers | Pod 네임스페이스에서 디버깅 컨테이너를 실행하여 실행 중인 Pod의 문제를 해결합니다. |
| DevicePlugins | 노드에서 장치 플러그인 기반 리소스 프로비저닝을 활성화합니다. |
| DynamicKubeletConfig | 클러스터에서 동적 구성을 활성화합니다. |
| DynamicVolumeProvisioning(deprecated) | 영구 볼륨의 동적 프로비저닝을 포드에 활성화합니다. |
| EnableEquivalenceClassCache | Pod를 예약할 때 스케줄러가 노드의 동등성을 캐시할 수 있습니다. |
| ExperimentalCriticalPodAnnotation | 특정 Pod에 중요한 주석을 달아 예약이 보장되도록 합니다. |
| ExperimentalHostUserNamespaceDefaultingGate | 사용자 네임스페이스 비활성화를 활성화합니다. 이는 권한이 있는 다른 호스트 프로젝트, 호스트 마운트 또는 MKNODE, SYS_MODULE 등의 특정 비 프로젝트 기능을 사용하는 컨테이너용입니다. Docker 데몬에서 사용자 프로젝트 다시 매핑이 활성화된 경우에만 활성화되어야 합니다. |
| GCERegionalPersistentDisk | GCE 영구 디스크 기능을 활성화합니다. |
| HugePages | 사전 할당된 대규모 페이지의 할당 및 사용을 활성화합니다. |
| HyperVContainer | Windows 컨테이너에 대한 Hyper-V 격리 가능. |
| Intializers | 기본 제공 승인 컨트롤러에 대한 확장으로 동적 승인 제어를 활성화합니다. |
| LocalStorageCapacityIsolation |
로컬 임시 스토리지의 사용과 emptyDir 볼륨의 |
| MountContainers | 호스트에서 유틸리티 컨테이너를 볼륨 마운트로 사용할 수 있습니다. |
| MountPropagation | 한 컨테이너에서 마운트한 볼륨을 다른 컨테이너 또는 포드에 공유할 수 있습니다. |
| PersistentLocalVolumes | 로컬 볼륨 포드 사용을 활성화합니다. 로컬 볼륨을 요청하는 경우 Pod 유사성을 지정해야 합니다. |
| PodPriority | 우선순위에 따라 Pod 예약 및 선점 활성화 |
| ReadOnlyAPIDataVolumes | |
| ResourceLimitsPriorityFunction |
입력 Pod CPU 및 메모리 제한 중 하나를 충족하는 노드에 가능한 최소 점수를 |
| RotateKubeletClientCertificate | 클러스터에서 클라이언트 TLS 인증서 교대를 활성화합니다. |
| RotateKubeletServerCertificate | 클러스터에서 서버 TLS 인증서 교대를 활성화합니다. |
| RunAsGroup | 컨테이너의 init 프로세스에 설정된 기본 그룹 ID를 제어합니다. |
| ScheduleDaemonSetPods | DaemonSet Pod를 DaemonSet 컨트롤러 대신 기본 스케줄러 로 예약할 수 있습니다. |
| ServiceNodeExclusion | 클라우드 프로바이더가 생성한 로드 밸런서에서 노드를 제외할 수 있습니다. |
| StorageObjectInUseProtection | 영구 볼륨 또는 영구 볼륨 클레임 오브젝트가 아직 사용 중인 경우 삭제를 연기할 수 있습니다. |
| StreamingProxyRedirects | 스트리밍 요청을 위해 백엔드 kubelet에서 리디렉션을 가로채고 따르도록 API 서버에 지시합니다. |
| SupportIPVSProxyMode | IP 가상 서버를 사용하여 클러스터 내부 서비스 부하 분산 제공. |
| SupportPodPidsLimit | Pod에서 실행되는 프로세스(PID)의 수를 제한하는 기능을 활성화합니다. |
| TaintBasedEvictions | 노드의 테인트 및 Pod의 허용 오차를 기반으로 노드에서 Pod를 제거할 수 있습니다. |
| TaintNodesByCondition | 노드 상태에 따라 자동 테인트 노드를 활성화합니다. |
| TokenRequest | 서비스 계정 리소스에서 TokenRequest 엔드포인트를 활성화합니다. |
| 볼륨 예약 | 볼륨 토폴로지 인식 스케줄링을 활성화하고 PVC( 영구 볼륨 클레임 ) 바인딩에서 스케줄링 결정을 인식합니다. 또한 PersistentLocalVolumes 기능 게이트와 함께 사용할 때 로컬 볼륨 유형을 사용할 수 있습니다. |
45장. Kuryr SDN 관리
45.1. 개요
Kuryr (또는 Kuryr-Kubernetes)는 OpenShift Container Platform의 SDN 선택 사항 중 하나입니다. Kuryr는 OpenStack 네트워킹 서비스 Neutron을 사용하여 포드를 네트워크에 연결합니다. 이 방법을 사용하면 Pod가 OpenStack VM에 배포된 OpenShift Container Platform 클러스터에 유용한 OpenStack VM(가상 머신)과 상호 연결할 수 있습니다.
45.1.1. 분리된 OpenStack 리소스
Kuryr에서 생성한 모든 OpenStack 리소스는 OpenShift Container Platform 리소스 라이프사이클에 연결됩니다. OpenStack VM과 같이 Kuryr에서 생성한 리소스를 수동으로 삭제하면 OpenStack 배포에 리소스가 분리될 수 있습니다. 여기에는 Kuryr 사용을 위해 사전에 생성된 Neutron 포트, Octavia, 로드 밸런서, 네트워크, 서브넷 및 보안 그룹이 포함되어 있지만 이에 국한되지 않습니다. kuryr.conf 파일에 있는 리소스 ID를 찾아 분리된 리소스를 올바르게 제거할 수 있습니다. 또는 별도의 OpenStack 사용자가 Kuryr 리소스를 생성한 경우 관련 사용자 이름으로 OpenStack API를 쿼리할 수 있습니다.
