26장. 경로 구성
26.1. 경로 구성
26.1.1. HTTP 기반 경로 생성
경로를 사용하면 공용 URL에서 애플리케이션을 호스팅할 수 있습니다. 애플리케이션의 네트워크 보안 구성에 따라 보안 또는 보안되지 않을 수 있습니다. HTTP 기반 경로는 기본 HTTP 라우팅 프로토콜을 사용하고 비보안 애플리케이션 포트에 서비스를 노출하는 비보안 경로입니다.
다음 절차에서는 hello-openshift
애플리케이션을 예제로 사용하여 웹 애플리케이션에 대한 간단한 HTTP 기반 경로를 생성하는 방법을 설명합니다.
사전 요구 사항
-
OpenShift CLI(
oc
)를 설치합니다. - 관리자로 로그인되어 있습니다.
- 포트에서 트래픽을 수신 대기하는 포트 및 TCP 엔드포인트를 노출하는 웹 애플리케이션이 있습니다.
절차
다음 명령을 실행하여
hello-openshift
라는 프로젝트를 생성합니다.$ oc new-project hello-openshift
다음 명령을 실행하여 프로젝트에서 Pod를 생성합니다.
$ oc create -f https://raw.githubusercontent.com/openshift/origin/master/examples/hello-openshift/hello-pod.json
다음 명령을 실행하여
hello-openshift
라는 서비스를 생성합니다.$ oc expose pod/hello-openshift
다음 명령을 실행하여
hello-openshift
애플리케이션에 대한 비보안 경로를 생성합니다.$ oc expose svc hello-openshift
검증
생성한
경로
리소스가 있는지 확인하려면 다음 명령을 실행합니다.$ oc get routes -o yaml <name of resource> 1
- 1
- 이 예에서 경로 이름은
hello-openshift
입니다.
생성된 비보안 경로에 대한 샘플 YAML 정의:
apiVersion: route.openshift.io/v1 kind: Route metadata: name: hello-openshift spec: host: hello-openshift-hello-openshift.<Ingress_Domain> 1 port: targetPort: 8080 2 to: kind: Service name: hello-openshift
- 1
<Ingress_Domain
>은 기본 수신 도메인 이름입니다.ingresses.config/cluster
오브젝트는 설치 중에 생성되며 변경할 수 없습니다. 다른 도메인을 지정하려면appsDomain
옵션을 사용하여 대체 클러스터 도메인을 지정할 수 있습니다.- 2
targetPort
는 이 경로가 가리키는 서비스에서 선택한 Pod의 대상 포트입니다.참고기본 Ingress 도메인을 표시하려면 다음 명령을 실행합니다.
$ oc get ingresses.config/cluster -o jsonpath={.spec.domain}
26.1.2. Ingress 컨트롤러 분할을 위한 경로 생성
경로를 사용하면 URL에서 애플리케이션을 호스팅할 수 있습니다. 이 경우 호스트 이름이 설정되지 않고 경로는 대신 하위 도메인을 사용합니다. 하위 도메인을 지정하면 경로를 노출하는 Ingress 컨트롤러의 도메인을 자동으로 사용합니다. 여러 Ingress 컨트롤러에서 경로가 노출되는 경우 경로는 여러 URL에서 호스팅됩니다.
다음 절차에서는 hello-openshift
애플리케이션을 예제로 사용하여 Ingress 컨트롤러 샤딩의 경로를 생성하는 방법을 설명합니다.
Ingress 컨트롤러 분할은 들어오는 트래픽 부하를 일련의 Ingress 컨트롤러에 균형 있게 분배하고 트래픽을 특정 Ingress 컨트롤러에 격리할 때 유용합니다. 예를 들어, 회사 A는 하나의 Ingress 컨트롤러로, 회사 B는 다른 Ingress 컨트롤러로 이동합니다.
사전 요구 사항
-
OpenShift CLI(
oc
)를 설치합니다. - 프로젝트 관리자로 로그인되어 있습니다.
- 포트에서 트래픽을 수신 대기하는 포트 및 HTTP 또는 TLS 엔드포인트를 노출하는 웹 애플리케이션이 있습니다.
- 분할을 위해 Ingress 컨트롤러가 구성되어 있습니다.
프로세스
다음 명령을 실행하여
hello-openshift
라는 프로젝트를 생성합니다.$ oc new-project hello-openshift
다음 명령을 실행하여 프로젝트에서 Pod를 생성합니다.
$ oc create -f https://raw.githubusercontent.com/openshift/origin/master/examples/hello-openshift/hello-pod.json
다음 명령을 실행하여
hello-openshift
라는 서비스를 생성합니다.$ oc expose pod/hello-openshift
hello-openshift-route.yaml
이라는 경로 정의를 생성합니다.분할을 위해 생성된 경로의 YAML 정의:
apiVersion: route.openshift.io/v1 kind: Route metadata: labels: type: sharded 1 name: hello-openshift-edge namespace: hello-openshift spec: subdomain: hello-openshift 2 tls: termination: edge to: kind: Service name: hello-openshift
다음 명령을 실행하여
hello-openshift-route.yaml
을 사용하여hello-openshift
애플리케이션에 대한 경로를 생성합니다.$ oc -n hello-openshift create -f hello-openshift-route.yaml
검증
다음 명령을 사용하여 경로의 상태를 가져옵니다.
$ oc -n hello-openshift get routes/hello-openshift-edge -o yaml
결과
경로
리소스는 다음과 유사합니다.출력 예
apiVersion: route.openshift.io/v1 kind: Route metadata: labels: type: sharded name: hello-openshift-edge namespace: hello-openshift spec: subdomain: hello-openshift tls: termination: edge to: kind: Service name: hello-openshift status: ingress: - host: hello-openshift.<apps-sharded.basedomain.example.net> 1 routerCanonicalHostname: router-sharded.<apps-sharded.basedomain.example.net> 2 routerName: sharded 3
26.1.3. 경로 시간 초과 구성
SLA(Service Level Availability) 목적에 필요한 낮은 시간 초과 또는 백엔드가 느린 경우 높은 시간 초과가 필요한 서비스가 있는 경우 기존 경로에 대한 기본 시간 초과를 구성할 수 있습니다.
사전 요구 사항
- 실행 중인 클러스터에 배포된 Ingress 컨트롤러가 필요합니다.
절차
oc annotate
명령을 사용하여 경로에 시간 초과를 추가합니다.$ oc annotate route <route_name> \ --overwrite haproxy.router.openshift.io/timeout=<timeout><time_unit> 1
- 1
- 지원되는 시간 단위는 마이크로초(us), 밀리초(ms), 초(s), 분(m), 시간(h) 또는 일(d)입니다.
다음 예제에서는 이름이
myroute
인 경로에서 2초의 타임아웃을 설정합니다.$ oc annotate route myroute --overwrite haproxy.router.openshift.io/timeout=2s
26.1.4. HSTS(HTTP Strict Transport Security)
HSTS(HTTP Strict Transport Security) 정책은 라우트 호스트에서 HTTPS 트래픽만 허용됨을 브라우저 클라이언트에 알리는 보안 강화 정책입니다. 또한 HSTS는 HTTP 리디렉션을 사용하지 않고 HTTPS 전송 신호를 통해 웹 트래픽을 최적화합니다. HSTS는 웹사이트와의 상호 작용을 가속화하는 데 유용합니다.
HSTS 정책이 적용되면 HSTS는 사이트의 HTTP 및 HTTPS 응답에 Strict Transport Security 헤더를 추가합니다. 경로에서 insecureEdgeTerminationPolicy
값을 사용하여 HTTP를 HTTPS로 리디렉션할 수 있습니다. HSTS를 적용하면 클라이언트는 요청을 전송하기 전에 HTTP URL의 모든 요청을 HTTPS로 변경하여 리디렉션이 필요하지 않습니다.
클러스터 관리자는 다음을 수행하도록 HSTS를 구성할 수 있습니다.
- 경로당 HSTS 활성화
- 라우팅당 HSTS 비활성화
- 도메인당 HSTS 시행, 도메인 집합 또는 도메인과 함께 네임스페이스 라벨 사용
HSTS는 보안 경로(엣지 종료 또는 재암호화)에서만 작동합니다. HTTP 또는 패스스루(passthrough) 경로에서는 구성이 유효하지 않습니다.
26.1.4.1. 라우팅당 HSTS(HTTP Strict Transport Security) 활성화
HTTP Strict transport security (HSTS)는 HAProxy 템플릿에 구현되어 haproxy.router.openshift.io/hsts_header
주석이 있는 에지 및 재암호화 경로에 적용됩니다.
사전 요구 사항
- 프로젝트에 대한 관리자 권한이 있는 사용자로 클러스터에 로그인되어 있습니다.
-
oc
CLI를 설치했습니다.
절차
경로에서 HSTS를 활성화하려면
haproxy.router.openshift.io/hsts_header
값을 에지 종료 또는 재암호화 경로에 추가합니다. 다음 명령을 실행하여oc annotate
툴을 사용하여 이 작업을 수행할 수 있습니다.$ oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=31536000;\ 1 includeSubDomains;preload"
- 1
- 이 예에서 최대 기간은
31536000
ms로 설정되어 있으며 약 8시간 반입니다.
참고이 예에서는 등호(
=
)가 따옴표로 표시됩니다. 이는 annotate 명령을 올바르게 실행하는 데 필요합니다.주석으로 구성된 경로 예
apiVersion: route.openshift.io/v1 kind: Route metadata: annotations: haproxy.router.openshift.io/hsts_header: max-age=31536000;includeSubDomains;preload 1 2 3 ... spec: host: def.abc.com tls: termination: "reencrypt" ... wildcardPolicy: "Subdomain"
- 1
- 필수 항목입니다.
max-age
는 HSTS 정책이 적용되는 시간(초)을 측정합니다.0
으로 설정하면 정책을 부정합니다. - 2
- 선택 사항: 포함된 경우
includeSubDomains
는 호스트의 모든 하위 도메인에 호스트와 동일한 HSTS 정책을 보유해야 함을 클라이언트에 알려줍니다. - 3
- 선택 사항:
max-age
가 0보다 크면haproxy.router.openshift.io/hsts_header
에preload
를 추가하여 외부 서비스가 이 사이트를 HSTS 사전 로드 목록에 포함할 수 있습니다. 예를 들어 Google과 같은 사이트는사전 로드
가 설정된 사이트 목록을 구성할 수 있습니다. 그런 다음 브라우저는 이 목록을 사용하여 사이트와 상호 작용하기 전에 HTTPS를 통해 통신할 수 있는 사이트를 결정할 수 있습니다.사전 로드를
설정하지 않으면 브라우저가 헤더를 얻으려면 HTTPS를 통해 사이트와 상호 작용해야 합니다.
26.1.4.2. 라우팅당 HSTS(HTTP Strict Transport Security) 비활성화
경로당 HTTP 엄격한 전송 보안(HSTS)을 비활성화하려면 경로 주석의 max-age
값을 0
으로 설정할 수 있습니다.
사전 요구 사항
- 프로젝트에 대한 관리자 권한이 있는 사용자로 클러스터에 로그인되어 있습니다.
-
oc
CLI를 설치했습니다.
절차
HSTS를 비활성화하려면 다음 명령을 입력하여 경로 주석의
max-age
값을0
으로 설정합니다.$ oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"
작은 정보다음 YAML을 적용하여 구성 맵을 만들 수 있습니다.
경로당 HSTS 비활성화 예
metadata: annotations: haproxy.router.openshift.io/hsts_header: max-age=0
네임스페이스의 모든 경로에 대해 HSTS를 비활성화하려면 다음 명령을 입력합니다.
$ oc annotate route --all -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"
검증
모든 경로에 대한 주석을 쿼리하려면 다음 명령을 입력합니다.
$ oc get route --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'
출력 예
Name: routename HSTS: max-age=0
26.1.4.3. 도메인별 HSTS(HTTP Strict Transport Security) 적용
보안 경로에 HSTS(HTTP Strict Transport Security)를 적용하려면 HSTS 정책 구성을 캡처하기 위해 Ingress 사양에 requiredHSTSPolicies
레코드를 추가합니다.
HSTS를 적용하도록 requiredHSTSPolicy
를 구성하는 경우 새로 생성된 모든 경로를 준수 HSTS 정책 주석을 사용하여 구성해야 합니다.
준수하지 않는 HSTS 경로를 사용하여 업그레이드된 클러스터를 처리하려면 소스에서 매니페스트를 업데이트하고 업데이트를 적용할 수 있습니다.
oc expose route
또는 oc create route
명령을 사용하여 HSTS를 적용하는 도메인에 경로를 추가할 수 없습니다. 이러한 명령의 API는 주석을 허용하지 않기 때문입니다.
HSTS는 전역의 모든 경로에 HSTS가 요청되는 경우에도 비보안 또는 비TLS 경로에는 적용되지 않습니다.
사전 요구 사항
- 프로젝트에 대한 관리자 권한이 있는 사용자로 클러스터에 로그인되어 있습니다.
-
oc
CLI를 설치했습니다.
절차
Ingress 구성 파일을 편집합니다.
$ oc edit ingresses.config.openshift.io/cluster
HSTS 정책 예
apiVersion: config.openshift.io/v1 kind: Ingress metadata: name: cluster spec: domain: 'hello-openshift-default.apps.username.devcluster.openshift.com' requiredHSTSPolicies: 1 - domainPatterns: 2 - '*hello-openshift-default.apps.username.devcluster.openshift.com' - '*hello-openshift-default2.apps.username.devcluster.openshift.com' namespaceSelector: 3 matchLabels: myPolicy: strict maxAge: 4 smallestMaxAge: 1 largestMaxAge: 31536000 preloadPolicy: RequirePreload 5 includeSubDomainsPolicy: RequireIncludeSubDomains 6 - domainPatterns: 7 - 'abc.example.com' - '*xyz.example.com' namespaceSelector: matchLabels: {} maxAge: {} preloadPolicy: NoOpinion includeSubDomainsPolicy: RequireNoIncludeSubDomains
- 1
- 필수 항목입니다.
필수HSTSPolicies
는 순서대로 검증되며 일치하는domainPECDHEns가
적용됩니다. - 2 7
- 필수 항목입니다. 하나 이상의
domainPselectorns 호스트 이름을 지정해야 합니다
. 도메인 수를 나열할 수 있습니다. 다른domain
Pselectorns에 대한 옵션을 강제 적용하는 여러 섹션을 포함할 수 있습니다. - 3
- 선택 사항:
namespaceSelector
를 포함하는 경우 경로에 설정된 HSTS 정책을 적용하려면 경로가 있는 프로젝트의 라벨과 일치해야 합니다.namespaceSelector
와만 일치하는 경로와domain
PECDHEns가 일치하지 않는 경로는 검증되지 않습니다. - 4
- 필수 항목입니다.
max-age
는 HSTS 정책이 적용되는 시간(초)을 측정합니다. 이 정책 설정은 최소 및 가장 큰최대 용량
을 적용할 수 있습니다.-
largestMaxAge
값은0
에서2147483647
사이여야 합니다. 지정되지 않은 상태로 둘 수 있습니다. 즉, 상한이 적용되지 않습니다. -
smallestMaxAge
값은0
에서2147483647
사이여야 합니다. 문제 해결에 HSTS를 비활성화하려면0
을 입력하고, HSTS를 비활성화하지 않으려면1
을 입력합니다. 지정되지 않은 상태로 둘 수 있습니다. 즉, 더 낮은 제한이 적용되지 않습니다.
-
- 5
- 선택 사항:
haproxy.router.openshift.io/hsts_header
에사전 로드
를 포함하면 외부 서비스가 이 사이트를 HSTS 사전 로드 목록에 포함할 수 있습니다. 그런 다음 브라우저는 이 목록을 사용하여 사이트와 상호 작용하기 전에 HTTPS를 통해 통신할 수 있는 사이트를 결정할 수 있습니다.사전 로드를
설정하지 않으면 브라우저가 헤더를 얻으려면 사이트에 한 번 이상 상호 작용해야 합니다.사전 로드
는 다음 중 하나로 설정할 수 있습니다.-
RequirePreload
:RequiredHSTSPolicy
에서사전 로드
해야 합니다. -
RequireNoPreload
:preload
는RequiredHSTSPolicy
에서 금지합니다. -
NoOpinion
:preload
는RequiredHSTSPolicy
에 중요하지 않습니다.
-
- 6
- 선택 사항:
includeSubDomainsPolicy
는 다음 중 하나로 설정할 수 있습니다.-
RequireIncludeSubDomains
:includeSubDomains
는RequiredHSTSPolicy
에 필요합니다. -
RequireNoIncludeSubDomains
:includeSubDomains
는RequiredHSTSPolicy
에서 금지합니다. -
NoOpinion
:includeSubDomains
는RequiredHSTSPolicy
에 중요하지 않습니다.
-
oc annotate 명령을
입력하여 클러스터의 모든 경로 또는 특정 네임스페이스에 HSTS를 적용할 수 있습니다.클러스터의 모든 경로에 HSTS를 적용하려면
oc annotate 명령을
입력합니다. 예를 들면 다음과 같습니다.$ oc annotate route --all --all-namespaces --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=31536000"
특정 네임스페이스의 모든 경로에 HSTS를 적용하려면
oc annotate 명령을
입력합니다. 예를 들면 다음과 같습니다.$ oc annotate route --all -n my-namespace --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=31536000"
검증
구성한 HSTS 정책을 검토할 수 있습니다. 예를 들면 다음과 같습니다.
필요한 HSTS 정책에 대한
maxAge
세트를 검토하려면 다음 명령을 입력합니다.$ oc get clusteroperator/ingress -n openshift-ingress-operator -o jsonpath='{range .spec.requiredHSTSPolicies[*]}{.spec.requiredHSTSPolicies.maxAgePolicy.largestMaxAge}{"\n"}{end}'
모든 경로에서 HSTS 주석을 검토하려면 다음 명령을 입력합니다.
$ oc get route --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'
출력 예
Name: <_routename_> HSTS: max-age=31536000;preload;includeSubDomains
26.1.5. 처리량 문제 해결 방법
OpenShift Container Platform을 사용하여 애플리케이션을 배포하면 특정 서비스 간에 대기 시간이 비정상적으로 길어지는 등 네트워크 처리량 문제가 발생할 수 있습니다.
Pod 로그에 문제의 원인이 표시되지 않는 경우 다음 방법을 사용하여 성능 문제를 분석하십시오.
ping
또는tcpdump
와 같은 패킷 Analyzer를 사용하여 Pod와 해당 노드 간 트래픽을 분석합니다.예를 들어 각 pod에서
tcpdump
도구를 실행하여 문제의 원인이 되는 동작을 재현합니다. Pod에서 나가거나 Pod로 들어오는 트래픽의 대기 시간을 분석하기 위해 전송 및 수신 타임 스탬프를 비교하려면 전송 캡처와 수신 캡처를 둘 다 검토하십시오. 다른 Pod, 스토리지 장치 또는 데이터 플레인의 트래픽으로 노드 인터페이스가 과부하된 경우 OpenShift Container Platform에서 대기 시간이 발생할 수 있습니다.$ tcpdump -s 0 -i any -w /tmp/dump.pcap host <podip 1> && host <podip 2> 1
- 1
PodIP
는 Pod의 IP 주소입니다.oc get pod <pod_name> -o wide
명령을 실행하여 Pod의 IP 주소를 가져옵니다.
tcpdump
명령은/tmp/dump.pcap
에 이 두 포드 간의 모든 트래픽을 포함하는 파일을 생성합니다. 문제가 재현되기 직전에 Analyzer를 실행하고 문제가 재현된 직후 Analyzer를 중지하여 파일 크기를 최소화할 수 있습니다. 다음을 사용하여 노드 간에 패킷 Analyzer를 실행할 수도 있습니다(방정식에서 SDN 구현).$ tcpdump -s 0 -i any -w /tmp/dump.pcap port 4789
스트리밍 처리량 및 UDP 처리량을 측정하려면
iperf
와 같은 대역폭 측정 도구를 사용합니다. 먼저 Pod에서 툴을 실행한 다음 노드에서 실행하면 병목 현상을 찾습니다.-
iperf
설치 및 사용에 대한 자세한 내용은 이 Red Hat 솔루션을 참조하십시오.
-
- 경우에 따라 클러스터는 대기 시간 문제로 인해 라우터 Pod가 비정상인 노드를 비정상으로 표시할 수 있습니다. 작업을 수행하기 전에 클러스터에서 노드의 상태 업데이트를 기다리는 빈도를 조정하려면 작업자 대기 시간 프로필을 사용합니다.
-
클러스터가 더 짧은 대기 시간과 더 높은 대기 시간 노드를 지정한 경우 Ingress 컨트롤러의
spec.nodePlacement
필드를 구성하여 라우터 Pod의 배치를 제어합니다.
26.1.6. 쿠키를 사용하여 경로 상태 유지
OpenShift Container Platform은 모든 트래픽이 동일한 끝점에 도달하도록 하여 스테이트풀(stateful) 애플리케이션 트래픽을 사용할 수 있는 고정 세션을 제공합니다. 그러나 재시작, 스케일링 또는 구성 변경 등으로 인해 끝점 pod가 종료되면 이러한 상태 저장 특성이 사라질 수 있습니다.
OpenShift Container Platform에서는 쿠키를 사용하여 세션 지속성을 구성할 수 있습니다. Ingress 컨트롤러에서는 사용자 요청을 처리할 끝점을 선택하고 세션에 대한 쿠키를 생성합니다. 쿠키는 요청에 대한 응답으로 다시 전달되고 사용자는 세션의 다음 요청과 함께 쿠키를 다시 보냅니다. 쿠키는 세션을 처리하는 끝점을 Ingress 컨트롤러에 알려 클라이언트 요청이 쿠키를 사용하여 동일한 Pod로 라우팅되도록 합니다.
HTTP 트래픽을 볼 수 없기 때문에 통과 경로에서 쿠키를 설정할 수 없습니다. 대신, 백엔드를 결정하는 소스 IP 주소를 기반으로 번호가 계산됩니다.
백엔드가 변경되면 트래픽을 잘못된 서버로 전달하여 고정을 줄일 수 있습니다. 소스 IP를 숨기는 로드 밸런서를 사용하는 경우 모든 연결에 대해 동일한 번호가 설정되고 트래픽이 동일한 pod로 전송됩니다.
26.1.6.1. 쿠키를 사용하여 경로에 주석 달기
쿠키 이름을 설정하여 경로에 자동 생성되는 기본 쿠키 이름을 덮어쓸 수 있습니다. 그러면 경로 트래픽을 수신하는 애플리케이션에서 쿠키 이름을 확인할 수 있게 됩니다. 쿠키를 삭제하여 다음 요청에서 끝점을 다시 선택하도록 할 수 있습니다. 그러므로 서버에 과부하가 걸리면 클라이언트의 요청을 제거하고 재분배합니다.
프로세스
지정된 쿠키 이름으로 경로에 주석을 답니다.
$ oc annotate route <route_name> router.openshift.io/cookie_name="<cookie_name>"
다음과 같습니다.
<route_name>
- 경로 이름을 지정합니다.
<cookie_name>
- 쿠키 이름을 지정합니다.
예를 들어 쿠키 이름
my_cookie
로my_route
경로에 주석을 달 수 있습니다.$ oc annotate route my_route router.openshift.io/cookie_name="my_cookie"
경로 호스트 이름을 변수에 캡처합니다.
$ ROUTE_NAME=$(oc get route <route_name> -o jsonpath='{.spec.host}')
다음과 같습니다.
<route_name>
- 경로 이름을 지정합니다.
쿠키를 저장한 다음 경로에 액세스합니다.
$ curl $ROUTE_NAME -k -c /tmp/cookie_jar
경로에 연결할 때 이전 명령으로 저장된 쿠키를 사용합니다.
$ curl $ROUTE_NAME -k -b /tmp/cookie_jar
26.1.7. 경로 기반 라우터
경로 기반 라우터는 URL과 비교할 수 있는 경로 구성 요소를 지정하며 이를 위해 라우트의 트래픽이 HTTP 기반이어야 합니다. 따라서 동일한 호스트 이름을 사용하여 여러 경로를 제공할 수 있으며 각각 다른 경로가 있습니다. 라우터는 가장 구체적인 경로를 기반으로 하는 라우터와 일치해야 합니다. 그러나 이는 라우터 구현에 따라 다릅니다.
다음 표에서는 경로 및 액세스 가능성을 보여줍니다.
경로 | 비교 대상 | 액세스 가능 |
---|---|---|
www.example.com/test | www.example.com/test | 있음 |
www.example.com | 없음 | |
www.example.com/test 및 www.example.com | www.example.com/test | 있음 |
www.example.com | 있음 | |
www.example.com | www.example.com/text | 예 (경로가 아닌 호스트에 의해 결정됨) |
www.example.com | 있음 |
경로가 있는 보안되지 않은 라우터
apiVersion: route.openshift.io/v1
kind: Route
metadata:
name: route-unsecured
spec:
host: www.example.com
path: "/test" 1
to:
kind: Service
name: service-name
- 1
- 경로는 경로 기반 라우터에 대해 추가된 유일한 속성입니다.
라우터가 해당 경우 TLS를 종료하지 않고 요청 콘텐츠를 읽을 수 없기 때문에 패스스루 TLS를 사용할 때 경로 기반 라우팅을 사용할 수 없습니다.
26.1.8. 경로별 주석
Ingress 컨트롤러는 노출하는 모든 경로에 기본 옵션을 설정할 수 있습니다. 개별 경로는 주석에 특정 구성을 제공하는 방식으로 이러한 기본값 중 일부를 덮어쓸 수 있습니다. Red Hat은 operator 관리 경로에 경로 주석 추가를 지원하지 않습니다.
여러 소스 IP 또는 서브넷이 있는 화이트리스트를 생성하려면 공백으로 구분된 목록을 사용합니다. 다른 구분 기호 유형으로 인해 경고 또는 오류 메시지 없이 목록이 무시됩니다.
변수 | 설명 | 기본값으로 사용되는 환경 변수 |
---|---|---|
|
로드 밸런싱 알고리즘을 설정합니다. 사용 가능한 옵션은 |
통과 경로의 경우 |
|
쿠키를 사용하여 관련 연결을 추적하지 않도록 설정합니다. | |
| 이 경로에 사용할 선택적 쿠키를 지정합니다. 이름은 대문자와 소문자, 숫자, ‘_’, ‘-’의 조합으로 구성해야 합니다. 기본값은 경로의 해시된 내부 키 이름입니다. | |
|
라우터에서 백업 pod로 허용되는 최대 연결 수를 설정합니다. | |
|
| |
|
동일한 소스 IP 주소를 통해 만든 동시 TCP 연결 수를 제한합니다. 숫자 값을 허용합니다. | |
|
동일한 소스 IP 주소가 있는 클라이언트에서 HTTP 요청을 수행할 수 있는 속도를 제한합니다. 숫자 값을 허용합니다. | |
|
동일한 소스 IP 주소가 있는 클라이언트에서 TCP 연결을 수행할 수 있는 속도를 제한합니다. 숫자 값을 허용합니다. | |
| 경로에 대한 서버 쪽 타임아웃을 설정합니다. (TimeUnits) |
|
| 이 제한 시간은 터널 연결(예: 일반 텍스트, 에지, 재암호화 경로 또는 패스스루)에 적용됩니다. 일반 텍스트, 에지 또는 재암호화 경로 유형이 있는 이 주석은 기존 시간 초과 값과 함께 시간 제한 터널로 적용됩니다. passthrough 경로 유형의 경우 주석은 기존 시간 초과 값 세트보다 우선합니다. |
|
|
IngressController 또는 Ingress 구성을 설정할 수 있습니다. 이 주석은 라우터를 재배포하고 clean soft-stop를 수행하는 데 허용되는 최대 시간을 정의하는 haproxy |
|
| 백엔드 상태 점검 간격을 설정합니다. (TimeUnits) |
|
| 경로에 대한 화이트리스트를 설정합니다. 화이트리스트는 승인된 소스 주소에 대한 IP 주소 및 CIDR 범위가 공백으로 구분된 목록입니다. 화이트리스트에 없는 IP 주소의 요청은 삭제됩니다. 화이트리스트에 허용되는 최대 IP 주소 및 CIDR 범위 수는 61개입니다. | |
| 엣지 종단 경로 또는 재암호화 경로에 Strict-Transport-Security 헤더를 설정합니다. | |
|
Syslog 헤더에 | |
| 백엔드의 요청 재작성 경로를 설정합니다. | |
| 쿠키를 제한하는 값을 설정합니다. 값은 다음과 같습니다.
이 값은 재암호화 및 엣지 경로에만 적용됩니다. 자세한 내용은 SameSite 쿠키 설명서를 참조하십시오. | |
|
경로당
|
|
환경 변수는 편집할 수 없습니다.
라우터 시간 제한 변수
TimeUnits
는 숫자 다음에 단위로 표시됩니다. us
*(microseconds), ms
(밀리초, 기본값), s
(초), m
(분), h
*(시간), d
(일)입니다.
정규 표현식은 [1-9][0-9]*(us
\|
\|m
ss
\|h
\|d
)입니다.
변수 | 기본값 | 설명 |
---|---|---|
|
| 백엔드에서 후속 활성 검사 사이의 시간입니다. |
|
| 경로에 연결된 클라이언트의 TCP FIN 시간 제한 기간을 제어합니다. FIN이 연결을 닫도록 전송한 경우 지정된 시간 내에 응답하지 않으면 HAProxy가 연결을 종료합니다. 낮은 값으로 설정하면 문제가 없으며 라우터에서 더 적은 리소스를 사용합니다. |
|
| 클라이언트가 데이터를 승인하거나 보내야 하는 시간입니다. |
|
| 최대 연결 시간입니다. |
|
| 라우터에서 경로를 지원하는 pod로의 TCP FIN 시간 초과를 제어합니다. |
|
| 서버에서 데이터를 승인하거나 보내야 하는 시간입니다. |
|
| TCP 또는 WebSocket 연결이 열린 상태로 유지되는 동안의 시간입니다. 이 시간 제한 기간은 HAProxy를 다시 로드할 때마다 재설정됩니다. |
|
|
새 HTTP 요청이 표시될 때까지 대기할 최대 시간을 설정합니다. 이 값을 너무 낮게 설정하면 브라우저 및 애플리케이션에 작은
일부 유효한 시간 제한 값은 예상되는 특정 시간 초과가 아니라 특정 변수의 합계일 수 있습니다. 예를 들어 |
|
| HTTP 요청 전송에 걸리는 시간입니다. |
|
| 라우터의 최소 빈도가 새 변경 사항을 다시 로드하고 승인하도록 허용합니다. |
|
| HAProxy 메트릭 수집에 대한 시간 제한입니다. |
경로 설정 사용자 정의 타임아웃
apiVersion: route.openshift.io/v1
kind: Route
metadata:
annotations:
haproxy.router.openshift.io/timeout: 5500ms 1
...
- 1
- HAProxy 지원 단위(
us
,ms
,s
,m
,h
,d
)를 사용하여 새 시간 초과를 지정합니다. 단위를 제공하지 않으면ms
가 기본값입니다.
패스스루(passthrough) 경로에 대한 서버 쪽 타임아웃 값을 너무 낮게 설정하면 해당 경로에서 WebSocket 연결이 자주 시간 초과될 수 있습니다.
하나의 특정 IP 주소만 허용하는 경로
metadata: annotations: haproxy.router.openshift.io/ip_whitelist: 192.168.1.10
여러 IP 주소를 허용하는 경로
metadata: annotations: haproxy.router.openshift.io/ip_whitelist: 192.168.1.10 192.168.1.11 192.168.1.12
IP 주소 CIDR 네트워크를 허용하는 경로
metadata: annotations: haproxy.router.openshift.io/ip_whitelist: 192.168.1.0/24
IP 주소 및 IP 주소 CIDR 네트워크를 둘 다 허용하는 경로
metadata: annotations: haproxy.router.openshift.io/ip_whitelist: 180.5.61.153 192.168.1.0/24 10.0.0.0/8
재작성 대상을 지정하는 경로
apiVersion: route.openshift.io/v1
kind: Route
metadata:
annotations:
haproxy.router.openshift.io/rewrite-target: / 1
...
- 1
/
를 백엔드의 요청 재작성 경로로 설정합니다.
경로에 haproxy.router.openshift.io/rewrite-target
주석을 설정하면 Ingress 컨트롤러가 요청을 백엔드 애플리케이션으로 전달하기 전에 이 경로를 사용하여 HTTP 요청의 경로를 다시 작성해야 합니다. spec.path
에 지정된 경로와 일치하는 요청 경로 부분은 주석에 지정된 재작성 대상으로 교체됩니다.
다음 표에서는 spec.path
, 요청 경로 및 재작성 대상의 다양한 조합에 대한 경로 재작성 동작의 예를 제공합니다.
Route.spec.path | 요청 경로 | 재작성 대상 | 전달된 요청 경로 |
---|---|---|---|
/foo | /foo | / | / |
/foo | /foo/ | / | / |
/foo | /foo/bar | / | /bar |
/foo | /foo/bar/ | / | /bar/ |
/foo | /foo | /bar | /bar |
/foo | /foo/ | /bar | /bar/ |
/foo | /foo/bar | /baz | /baz/bar |
/foo | /foo/bar/ | /baz | /baz/bar/ |
/foo/ | /foo | / | N/A(요청 경로가 라우팅 경로와 일치하지 않음) |
/foo/ | /foo/ | / | / |
/foo/ | /foo/bar | / | /bar |
26.1.9. 경로 허용 정책 구성
관리자 및 애플리케이션 개발자는 도메인 이름이 동일한 여러 네임스페이스에서 애플리케이션을 실행할 수 있습니다. 이는 여러 팀이 동일한 호스트 이름에 노출되는 마이크로 서비스를 개발하는 조직을 위한 것입니다.
네임스페이스 간 클레임은 네임스페이스 간 신뢰가 있는 클러스터에 대해서만 허용해야 합니다. 그렇지 않으면 악의적인 사용자가 호스트 이름을 인수할 수 있습니다. 따라서 기본 승인 정책에서는 네임스페이스 간에 호스트 이름 클레임을 허용하지 않습니다.
사전 요구 사항
- 클러스터 관리자 권한이 있어야 합니다.
절차
다음 명령을 사용하여
ingresscontroller
리소스 변수의.spec.routeAdmission
필드를 편집합니다.$ oc -n openshift-ingress-operator patch ingresscontroller/default --patch '{"spec":{"routeAdmission":{"namespaceOwnership":"InterNamespaceAllowed"}}}' --type=merge
샘플 Ingress 컨트롤러 구성
spec: routeAdmission: namespaceOwnership: InterNamespaceAllowed ...
작은 정보다음 YAML을 적용하여 경로 승인 정책을 구성할 수 있습니다.
apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: routeAdmission: namespaceOwnership: InterNamespaceAllowed
26.1.10. Ingress 오브젝트를 통해 경로 생성
일부 에코시스템 구성 요소는 Ingress 리소스와 통합되지만 경로 리소스와는 통합되지 않습니다. 이러한 경우를 처리하기 위해 OpenShift Container Platform에서는 Ingress 오브젝트가 생성될 때 관리형 경로 오브젝트를 자동으로 생성합니다. 이러한 경로 오브젝트는 해당 Ingress 오브젝트가 삭제될 때 삭제됩니다.
프로세스
OpenShift Container Platform 콘솔에서 또는
oc create
명령을 입력하여 Ingress 오브젝트를 정의합니다.Ingress의 YAML 정의
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: frontend annotations: route.openshift.io/termination: "reencrypt" 1 route.openshift.io/destination-ca-certificate-secret: secret-ca-cert 2 spec: rules: - host: www.example.com 3 http: paths: - backend: service: name: frontend port: number: 443 path: / pathType: Prefix tls: - hosts: - www.example.com secretName: example-com-tls-certificate
- 1
Ingress
에는Route
에 대한 필드가 없으므로route.openshift.io/termination
주석을 사용하여spec.tls.termination
필드를 구성할 수 있습니다. 허용되는 값은에지
,패스스루
및재암호화입니다
. 다른 모든 값은 자동으로 무시됩니다. 주석 값이 설정되지 않으면edge
가 기본 경로입니다. 기본 엣지 경로를 구현하려면 템플릿 파일에 TLS 인증서 세부 정보를 정의해야 합니다.- 3
Ingress
오브젝트로 작업할 때 라우팅을 사용할 때와 달리 명시적 호스트 이름을 지정해야 합니다. <host_name>.<cluster_ingress_domain
> 구문을 사용할 수 있습니다(예:apps.openshiftdemos.com
).*.<cluster_ingress_domain
> 와일드카드 DNS 레코드와 클러스터에 대한 인증서를 제공합니다. 그렇지 않으면 선택한 호스트 이름에 대한 DNS 레코드가 있는지 확인해야 합니다.route.openshift.io/termination
주석에passthrough
값을 지정하는 경우path
를''
로 설정하고 spec에서pathType
을ImplementationSpecific
으로 설정합니다.spec: rules: - host: www.example.com http: paths: - path: '' pathType: ImplementationSpecific backend: service: name: frontend port: number: 443
$ oc apply -f ingress.yaml
- 2
- Ingress 오브젝트에
route.openshift.io/destination-ca-certificate-secret
을 사용하여 사용자 정의 대상 인증서(CA)로 경로를 정의할 수 있습니다. 이 주석은 생성된 경로에 삽입될 kubernetes 시크릿secret-ca-cert
를 참조합니다.-
Ingress 오브젝트에서 대상 CA로 경로 오브젝트를 지정하려면 시크릿의
data.tls.crt
ECDHE에서 PEM 인코딩 형식의 인증서를 사용하여kubernetes.io/tls
또는Opaque
유형 보안을 생성해야 합니다.
-
Ingress 오브젝트에서 대상 CA로 경로 오브젝트를 지정하려면 시크릿의
노드를 나열합니다.
$ oc get routes
결과에는 이름이
frontend-
로 시작하는 자동 생성 경로가 포함됩니다.NAME HOST/PORT PATH SERVICES PORT TERMINATION WILDCARD frontend-gnztq www.example.com frontend 443 reencrypt/Redirect None
이 경로를 살펴보면 다음과 같습니다.
자동 생성 경로의 YAML 정의
apiVersion: route.openshift.io/v1 kind: Route metadata: name: frontend-gnztq ownerReferences: - apiVersion: networking.k8s.io/v1 controller: true kind: Ingress name: frontend uid: 4e6c59cc-704d-4f44-b390-617d879033b6 spec: host: www.example.com path: / port: targetPort: https tls: certificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- insecureEdgeTerminationPolicy: Redirect key: | -----BEGIN RSA PRIVATE KEY----- [...] -----END RSA PRIVATE KEY----- termination: reencrypt destinationCACertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- to: kind: Service name: frontend
26.1.11. Ingress 오브젝트를 통해 기본 인증서를 사용하여 경로 생성
TLS 구성을 지정하지 않고 Ingress 오브젝트를 생성하면 OpenShift Container Platform에서 비보안 경로를 생성합니다. 기본 수신 인증서를 사용하여 보안 엣지 종료 경로를 생성하는 Ingress 오브젝트를 생성하려면 다음과 같이 빈 TLS 구성을 지정할 수 있습니다.
사전 요구 사항
- 노출하려는 서비스가 있습니다.
-
OpenShift CLI(
oc
)에 액세스할 수 있습니다.
절차
Ingress 오브젝트에 대한 YAML 파일을 생성합니다. 이 예제에서는 파일을
example-ingress.yaml
이라고 합니다.Ingress 오브젝트의 YAML 정의
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: frontend ... spec: rules: ... tls: - {} 1
- 1
- 이 정확한 구문을 사용하여 사용자 정의 인증서를 지정하지 않고 TLS를 지정합니다.
다음 명령을 실행하여 Ingress 오브젝트를 생성합니다.
$ oc create -f example-ingress.yaml
검증
다음 명령을 실행하여 OpenShift Container Platform에서 Ingress 오브젝트에 대한 예상 경로를 생성했는지 확인합니다.
$ oc get routes -o yaml
출력 예
apiVersion: v1 items: - apiVersion: route.openshift.io/v1 kind: Route metadata: name: frontend-j9sdd 1 ... spec: ... tls: 2 insecureEdgeTerminationPolicy: Redirect termination: edge 3 ...
26.1.12. Ingress 주석의 대상 CA 인증서를 사용하여 경로 생성
Ingress 오브젝트에 route.openshift.io/destination-ca-certificate-secret
주석을 사용하여 사용자 정의 대상 CA 인증서로 경로를 정의할 수 있습니다.
사전 요구 사항
- PEM 인코딩 파일에 인증서/키 쌍이 있을 수 있으며 이 파일은 인증서가 경로 호스트에 유효합니다.
- 인증서 체인을 완성하는 PEM 인코딩 파일에 별도의 CA 인증서가 있을 수 있습니다.
- PEM 인코딩 파일에 별도의 대상 CA 인증서가 있어야 합니다.
- 노출하려는 서비스가 있어야 합니다.
프로세스
Ingress 주석에
route.openshift.io/destination-ca-certificate-secret
을 추가합니다.apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: frontend annotations: route.openshift.io/termination: "reencrypt" route.openshift.io/destination-ca-certificate-secret: secret-ca-cert 1 ...
- 1
- 주석은 kubernetes 보안을 참조합니다.
이 주석에서 참조하는 보안이 생성된 경로에 삽입됩니다.
출력 예
apiVersion: route.openshift.io/v1 kind: Route metadata: name: frontend annotations: route.openshift.io/termination: reencrypt route.openshift.io/destination-ca-certificate-secret: secret-ca-cert spec: ... tls: insecureEdgeTerminationPolicy: Redirect termination: reencrypt destinationCACertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- ...
26.1.13. 듀얼 스택 네트워킹을 위한 OpenShift Container Platform Ingress 컨트롤러 구성
OpenShift Container Platform 클러스터가 IPv4 및 IPv6 이중 스택 네트워킹에 맞게 구성된 경우 OpenShift Container Platform 경로에서 외부에서 클러스터에 연결할 수 있습니다.
Ingress 컨트롤러는 IPv4 및 IPv6 엔드 포인트가 모두 있는 서비스를 자동으로 제공하지만 단일 스택 또는 듀얼 스택 서비스에 대해 Ingress 컨트롤러를 구성할 수 있습니다.
사전 요구 사항
- 베어메탈에 OpenShift Container Platform 클러스터를 배포했습니다.
-
OpenShift CLI(
oc
)를 설치합니다.
프로세스
Ingress 컨트롤러가 워크로드에 IPv4/IPv6을 통해 트래픽을 제공하도록 하려면
ipFamilies
및ipFamilyPolicy
필드를 설정하여 서비스 YAML 파일을 생성하거나 기존 서비스 YAML 파일을 수정할 수 있습니다. 예를 들면 다음과 같습니다.샘플 서비스 YAML 파일
apiVersion: v1 kind: Service metadata: creationTimestamp: yyyy-mm-ddT00:00:00Z labels: name: <service_name> manager: kubectl-create operation: Update time: yyyy-mm-ddT00:00:00Z name: <service_name> namespace: <namespace_name> resourceVersion: "<resource_version_number>" selfLink: "/api/v1/namespaces/<namespace_name>/services/<service_name>" uid: <uid_number> spec: clusterIP: 172.30.0.0/16 clusterIPs: 1 - 172.30.0.0/16 - <second_IP_address> ipFamilies: 2 - IPv4 - IPv6 ipFamilyPolicy: RequireDualStack 3 ports: - port: 8080 protocol: TCP targetport: 8080 selector: name: <namespace_name> sessionAffinity: None type: ClusterIP status: loadbalancer: {}
이러한 리소스는 해당
끝점
을 생성합니다. Ingress 컨트롤러는 이제endpointslices
를 감시합니다.끝점
을 보려면 다음 명령을 입력합니다.$ oc get endpoints
endpointslices
를 보려면 다음 명령을 입력합니다.$ oc get endpointslices