9.10. 설치 후 RHOSP 네트워크 구성
설치 후 RHOSP(Red Hat OpenStack Platform) 클러스터에서 OpenShift Container Platform의 일부 측면을 구성할 수 있습니다.
9.10.1. 부동 IP 주소로 애플리케이션 액세스 구성
OpenShift Container Platform을 설치한 후 애플리케이션 네트워크 트래픽을 허용하도록 RHOSP(Red Hat OpenStack Platform)를 구성합니다.
install-config.yaml
파일에서 platform.openstack.apiFloatingIP
및 platform.openstack.ingressFloatingIP
에 대한 값을 제공하거나 설치 중에 inventory.yaml
플레이 북의 os_api_fip
및 os_ingress_fip
에 대한 값을 제공한 경우 이 절차를 수행 할 필요가 없습니다. 부동 IP 주소가 이미 설정되어 있습니다.
전제 조건
- OpenShift Container Platform 클러스터가 설치되어 있어야 합니다.
- RHOSP의 OpenShift Container Platform 설치에 관한 문서에 설명 된대로 부동 IP 주소가 활성화됩니다.
프로세스
OpenShift Container Platform 클러스터를 설치한 후 부동 IP 주소를 인그레스 포트에 연결합니다.
포트 표시:
$ openstack port show <cluster_name>-<cluster_ID>-ingress-port
IP 주소에 포트 연결:
$ openstack floating ip set --port <ingress_port_ID> <apps_FIP>
*apps
의 와일드카드A
레코드를 DNS 파일에 추가:*.apps.<cluster_name>.<base_domain> IN A <apps_FIP>
DNS 서버를 제어하지 않지만 프로덕션 이외의 목적으로 애플리케이션 액세스를 활성화하려는 경우 다음과 같은 호스트 이름을 /etc/hosts
에 추가할 수 있습니다.
<apps_FIP> console-openshift-console.apps.<cluster name>.<base domain> <apps_FIP> integrated-oauth-server-openshift-authentication.apps.<cluster name>.<base domain> <apps_FIP> oauth-openshift.apps.<cluster name>.<base domain> <apps_FIP> prometheus-k8s-openshift-monitoring.apps.<cluster name>.<base domain> <apps_FIP> <app name>.apps.<cluster name>.<base domain>
9.10.2. Kuryr 포트 풀
Kuryr 포트 풀은 Pod 생성을 위해 대기 중인 다수의 포트를 유지 관리합니다.
포트를 대기 상태로 유지하면 Pod 생성 시간이 최소화됩니다. 포트 풀이 없으면 Kuryr는 Pod를 생성하거나 삭제할 때마다 포트 생성 또는 삭제를 명시적으로 요청해야 합니다.
Kuryr가 사용하는 Neutron 포트는 네임스페이스에 연결된 서브넷에 생성됩니다. 이러한 Pod 포트도 OpenShift Container Platform 클러스터 노드의 기본 포트에 하위 포트로 추가됩니다.
Kuryr는 각 네임스페이스를 별도의 서브넷에 유지하므로 각 네임스페이스-작업자 쌍에 대해 별도의 포트 풀이 유지됩니다.
클러스터를 설치하기 전에 cluster-network-03-config.yml
매니페스트 파일에서 다음 매개변수를 설정하여 포트 풀 동작을 구성할 수 있습니다.
-
enablePortPoolsPrepopulation
매개변수는 Pod에 전용 네트워크를 사용하도록 구성된 첫 번째 Pod가 생성되어 Pod에 전용 네트워크를 사용하도록 구성된 경우 Kuryr가 풀에 Neutron 포트를 추가하도록 강제 적용합니다. 기본값은false
입니다. -
poolMinPorts
매개변수는 풀에 보관되는 사용 가능한 최소 포트 수입니다. 기본값은1
입니다. poolMaxPorts
매개변수는 풀에 보관되는 사용 가능한 최대 포트 수입니다. 값이0
이면 해당 상한이 비활성화됩니다. 이 설정은 기본 설정입니다.OpenStack 포트 할당량이 낮거나 pod 네트워크에 IP 주소가 제한된 경우 이 옵션을 설정하여 불필요한 포트가 삭제되었는지 확인합니다.
-
poolBatchPorts
매개 변수는 한 번에 생성할 수 있는 최대 Neutron 포트 수를 정의합니다. 기본값은3
입니다.
9.10.3. RHOSP의 활성 배포에서 Kuryr 포트 풀 설정 조정
CR(사용자 정의 리소스)을 사용하여 Kuryr가 RHOSP(Red Hat OpenStack Platform) Neutron 포트를 관리하는 방법을 구성하여 배포된 클러스터에서 Pod 생성 속도와 효율성을 제어할 수 있습니다.
프로세스
명령줄에서 편집을 위해 CNO(Cluster Network Operator) CR을 엽니다.
$ oc edit networks.operator.openshift.io cluster
요구 사항에 맞게 설정을 편집합니다. 다음 파일은 예제로 제공됩니다.
apiVersion: operator.openshift.io/v1 kind: Network metadata: name: cluster spec: clusterNetwork: - cidr: 10.128.0.0/14 hostPrefix: 23 serviceNetwork: - 172.30.0.0/16 defaultNetwork: type: Kuryr kuryrConfig: enablePortPoolsPrepopulation: false 1 poolMinPorts: 1 2 poolBatchPorts: 3 3 poolMaxPorts: 5 4
- 1
- Pod에 전용 네트워크를 사용하도록 구성된 첫 번째 Pod가 네임스페이스에 생성될 때 Kuryr가 Neutron 포트를 생성하도록 하려면
enablePortPoolsPrepopulation
을true
로 설정합니다. 이 설정은 Neutron 포트 할당량을 높이지만 pod를 생성하는 데 필요한 시간을 줄일 수 있습니다. 기본값은false
입니다. - 2
- Kuryr는 풀의 사용 가능한 포트 수가
poolMinPorts
값보다 낮은 경우 풀에 대한 새 포트를 만듭니다. 기본값은1
입니다. - 3
poolBatchPorts
는 사용 가능한 포트 수가poolMinPorts
값보다 낮은 경우 생성되는 새 포트 수를 제어합니다. 기본값은3
입니다.- 4
- 풀에서 사용 가능한 포트 수가
poolMaxPorts
값보다 크면 Kuryr는 숫자가 해당 값과 일치할 때까지 해당 포트를 삭제합니다. 값을0
으로 설정하면 이 상한이 비활성화되므로 풀이 축소되지 않습니다. 기본값은0
입니다.
- 변경 사항을 저장하고 텍스트 편집기를 종료하여 변경 사항을 커밋합니다.
실행 중인 클러스터에서 이러한 옵션을 수정하면 kuryr-controller 및 kuryr-cni Pod가 다시 시작됩니다. 결과적으로 새 Pod 및 서비스 생성이 지연됩니다.
9.10.4. OVS 하드웨어 오프로드 활성화
RHOSP(Red Hat OpenStack Platform)에서 실행되는 클러스터의 경우 OVS(Open vSwitch) 하드웨어 오프로드를 활성화할 수 있습니다.
OVS는 대규모 다중 서버 네트워크 가상화를 활성화하는 다중 계층 가상 스위치입니다.
사전 요구 사항
- RHOSP에 SR-IOV(Single-root input/output virtualization)용으로 구성된 클러스터가 설치되어 있어야 합니다.
- 클러스터에 SR-IOV Network Operator가 설치되어 있어야 합니다.
-
클러스터에 두 개의
hw-offload
유형 VF(가상 기능) 인터페이스를 생성했습니다.
애플리케이션 계층 게이트웨이 흐름은 OpenShift Container Platform 버전 4.10, 4.11 및 4.12에서 손상됩니다. 또한 OpenShift Container Platform 버전 4.13의 애플리케이션 계층 게이트웨이 흐름을 오프로드할 수 없습니다.
프로세스
클러스터에 있는 두
hw-offload
유형 VF 인터페이스에 대한SriovNetworkNodePolicy
정책을 생성합니다.첫 번째 가상 기능 인터페이스
apiVersion: sriovnetwork.openshift.io/v1 kind: SriovNetworkNodePolicy 1 metadata: name: "hwoffload9" namespace: openshift-sriov-network-operator spec: deviceType: netdevice isRdma: true nicSelector: pfNames: 2 - ens6 nodeSelector: feature.node.kubernetes.io/network-sriov.capable: 'true' numVfs: 1 priority: 99 resourceName: "hwoffload9"
두 번째 가상 기능 인터페이스
apiVersion: sriovnetwork.openshift.io/v1 kind: SriovNetworkNodePolicy 1 metadata: name: "hwoffload10" namespace: openshift-sriov-network-operator spec: deviceType: netdevice isRdma: true nicSelector: pfNames: 2 - ens5 nodeSelector: feature.node.kubernetes.io/network-sriov.capable: 'true' numVfs: 1 priority: 99 resourceName: "hwoffload10"
두 인터페이스에 대한
NetworkAttachmentDefinition
리소스를 생성합니다.첫 번째 인터페이스에 대한
NetworkAttachmentDefinition
리소스apiVersion: k8s.cni.cncf.io/v1 kind: NetworkAttachmentDefinition metadata: annotations: k8s.v1.cni.cncf.io/resourceName: openshift.io/hwoffload9 name: hwoffload9 namespace: default spec: config: '{ "cniVersion":"0.3.1", "name":"hwoffload9","type":"host-device","device":"ens6" }'
두 번째 인터페이스에 대한
NetworkAttachmentDefinition
리소스apiVersion: k8s.cni.cncf.io/v1 kind: NetworkAttachmentDefinition metadata: annotations: k8s.v1.cni.cncf.io/resourceName: openshift.io/hwoffload10 name: hwoffload10 namespace: default spec: config: '{ "cniVersion":"0.3.1", "name":"hwoffload10","type":"host-device","device":"ens5" }'
Pod와 함께 생성한 인터페이스를 사용합니다. 예를 들면 다음과 같습니다.
두 개의 OVS 오프로드 인터페이스를 사용하는 Pod
apiVersion: v1 kind: Pod metadata: name: dpdk-testpmd namespace: default annotations: irq-load-balancing.crio.io: disable cpu-quota.crio.io: disable k8s.v1.cni.cncf.io/resourceName: openshift.io/hwoffload9 k8s.v1.cni.cncf.io/resourceName: openshift.io/hwoffload10 spec: restartPolicy: Never containers: - name: dpdk-testpmd image: quay.io/krister/centos8_nfv-container-dpdk-testpmd:latest
9.10.5. OVS 하드웨어 오프로드 네트워크 연결
OVS(Open vSwitch) 하드웨어 오프로드 네트워크를 클러스터에 연결할 수 있습니다.
사전 요구 사항
- 클러스터가 설치되어 실행 중입니다.
- 클러스터에 사용할 OVS 하드웨어 오프로드 네트워크를 RHOSP(Red Hat OpenStack Platform)에 프로비저닝했습니다.
프로세스
다음 템플릿에서
network.yaml
이라는 파일을 생성합니다.spec: additionalNetworks: - name: hwoffload1 namespace: cnf rawCNIConfig: '{ "cniVersion": "0.3.1", "name": "hwoffload1", "type": "host-device","pciBusId": "0000:00:05.0", "ipam": {}}' 1 type: Raw
다음과 같습니다.
pciBusId
오프로드 네트워크에 연결된 장치를 지정합니다. 이 값이 없는 경우 다음 명령을 실행하여 이 값을 찾을 수 있습니다.
$ oc describe SriovNetworkNodeState -n openshift-sriov-network-operator
명령줄에서 다음 명령을 입력하여 클러스터를 파일로 패치합니다.
$ oc apply -f network.yaml
9.10.6. RHOSP에서 Pod에 IPv6 연결 활성화
다른 노드에 있는 추가 네트워크가 있는 Pod 간에 IPv6 연결을 활성화하려면 서버의 IPv6 포트에 대한 포트 보안을 비활성화합니다. 포트 보안을 비활성화하면 Pod에 할당된 각 IPv6 주소에 대해 허용된 주소 쌍을 생성하고 보안 그룹에서 트래픽을 활성화할 필요가 없습니다.
다음 IPv6 추가 네트워크 구성만 지원됩니다.
- SLAAC 및 호스트 장치
- SLAAC 및 MACVLAN
- DHCP 상태 비저장 및 호스트 장치
- DHCP 상태 비저장 및 MACVLAN
프로세스
명령줄에서 다음 명령을 입력합니다.
$ openstack port set --no-security-group --disable-port-security <compute_ipv6_port>
중요이 명령은 포트에서 보안 그룹을 제거하고 포트 보안을 비활성화합니다. 트래픽 제한은 전적으로 포트에서 제거됩니다.
다음과 같습니다.
- <compute_ipv6_port>
- 컴퓨팅 서버의 IPv6 포트를 지정합니다.
9.10.7. RHOSP의 Pod에 IPv6 연결 추가
Pod에서 IPv6 연결을 활성화한 후 CNI(Container Network Interface) 구성을 사용하여 연결을 추가합니다.
프로세스
CNO(Cluster Network Operator)를 편집하려면 다음 명령을 입력합니다.
$ oc edit networks.operator.openshift.io cluster
spec
필드에서 CNI 구성을 지정합니다. 예를 들어 다음 구성은 MACVLAN과 함께 SLAAC 주소 모드를 사용합니다.... spec: additionalNetworks: - name: ipv6 namespace: ipv6 1 rawCNIConfig: '{ "cniVersion": "0.3.1", "name": "ipv6", "type": "macvlan", "master": "ens4"}' 2 type: Raw
참고상태 저장 주소 모드를 사용하는 경우 CNI 구성에 IPAM(IP 주소 관리)을 포함합니다.
DHCPv6은 Multus에서 지원되지 않습니다.
- 변경 사항을 저장하고 텍스트 편집기를 종료하여 변경 사항을 커밋합니다.
검증
명령줄에서 다음 명령을 입력합니다.
$ oc get network-attachment-definitions -A
출력 예
NAMESPACE NAME AGE ipv6 ipv6 21h
이제 보조 IPv6 연결이 있는 pod를 생성할 수 있습니다.
추가 리소스
9.10.8. RHOSP에 IPv6 연결이 있는 Pod 생성
Pod에 IPv6 연결을 활성화하고 Pod에 추가한 후 보조 IPv6 연결이 있는 Pod를 생성합니다.
프로세스
IPv6 네임스페이스와
k8s.v1.cni.cncf.io/networks: <additional_network_name
> 주석을 사용하는 Pod를 정의합니다. 여기서 <additional_network_name
은 추가 네트워크의 이름입니다. 예를 들어Deployment
오브젝트의 일부로 다음을 수행합니다.apiVersion: apps/v1 kind: Deployment metadata: name: hello-openshift namespace: ipv6 spec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - hello-openshift replicas: 2 selector: matchLabels: app: hello-openshift template: metadata: labels: app: hello-openshift annotations: k8s.v1.cni.cncf.io/networks: ipv6 spec: securityContext: runAsNonRoot: true seccompProfile: type: RuntimeDefault containers: - name: hello-openshift securityContext: allowPrivilegeEscalation: false capabilities: drop: - ALL image: quay.io/openshift/origin-hello-openshift ports: - containerPort: 8080
Pod를 생성합니다. 예를 들어 명령줄에서 다음 명령을 입력합니다.
$ oc create -f <ipv6_enabled_resource>
다음과 같습니다.
- <ipv6_enabled_resource>
- 리소스 정의가 포함된 파일을 지정합니다.