10.9. Ingress 컨트롤러 구성
10.9.1. 사용자 정의 기본 인증서 설정
관리자는 Secret 리소스를 생성하고 IngressController
CR(사용자 정의 리소스)을 편집하여 사용자 정의 인증서를 사용하도록 Ingress 컨트롤러를 구성할 수 있습니다.
사전 요구 사항
- PEM 인코딩 파일에 인증서/키 쌍이 있어야 합니다. 이때 인증서는 신뢰할 수 있는 인증 기관 또는 사용자 정의 PKI에서 구성한 신뢰할 수 있는 개인 인증 기관의 서명을 받은 인증서입니다.
인증서가 다음 요구 사항을 충족합니다.
- 인증서가 Ingress 도메인에 유효해야 합니다.
-
인증서는
subjectAltName
확장자를 사용하여*.apps.ocp4.example.com과
같은 와일드카드 도메인을 지정합니다.
IngressController
CR이 있어야 합니다. 기본 설정을 사용할 수 있어야 합니다.$ oc --namespace openshift-ingress-operator get ingresscontrollers
출력 예
NAME AGE default 10m
임시 인증서가 있는 경우 사용자 정의 기본 인증서가 포함 된 보안의 tls.crt
파일에 인증서가 포함되어 있어야 합니다. 인증서를 지정하는 경우에는 순서가 중요합니다. 서버 인증서 다음에 임시 인증서를 나열해야 합니다.
프로세스
아래에서는 사용자 정의 인증서 및 키 쌍이 현재 작업 디렉터리의 tls.crt
및 tls.key
파일에 있다고 가정합니다. 그리고 tls.crt
및 tls.key
의 실제 경로 이름으로 변경합니다. Secret 리소스를 생성하고 IngressController CR에서 참조하는 경우 custom-certs-default
를 다른 이름으로 변경할 수도 있습니다.
이 작업을 수행하면 롤링 배포 전략에 따라 Ingress 컨트롤러가 재배포됩니다.
tls.crt
및tls.key
파일을 사용하여openshift-ingress
네임스페이스에 사용자 정의 인증서를 포함하는 Secret 리소스를 만듭니다.$ oc --namespace openshift-ingress create secret tls custom-certs-default --cert=tls.crt --key=tls.key
새 인증서 보안 키를 참조하도록 IngressController CR을 업데이트합니다.
$ oc patch --type=merge --namespace openshift-ingress-operator ingresscontrollers/default \ --patch '{"spec":{"defaultCertificate":{"name":"custom-certs-default"}}}'
업데이트가 적용되었는지 확인합니다.
$ echo Q |\ openssl s_client -connect console-openshift-console.apps.<domain>:443 -showcerts 2>/dev/null |\ openssl x509 -noout -subject -issuer -enddate
다음과 같습니다.
<domain>
- 클러스터의 기본 도메인 이름을 지정합니다.
출력 예
subject=C = US, ST = NC, L = Raleigh, O = RH, OU = OCP4, CN = *.apps.example.com issuer=C = US, ST = NC, L = Raleigh, O = RH, OU = OCP4, CN = example.com notAfter=May 10 08:32:45 2022 GM
작은 정보다음 YAML을 적용하여 사용자 지정 기본 인증서를 설정할 수 있습니다.
apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: defaultCertificate: name: custom-certs-default
인증서 보안 이름은 CR을 업데이트하는 데 사용된 값과 일치해야 합니다.
IngressController CR이 수정되면 Ingress Operator는 사용자 정의 인증서를 사용하도록 Ingress 컨트롤러의 배포를 업데이트합니다.
10.9.2. 사용자 정의 기본 인증서 제거
관리자는 사용할 Ingress 컨트롤러를 구성한 사용자 정의 인증서를 제거할 수 있습니다.
사전 요구 사항
-
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다. -
OpenShift CLI(
oc
)가 설치되어 있습니다. - 이전에는 Ingress 컨트롤러에 대한 사용자 정의 기본 인증서를 구성했습니다.
프로세스
사용자 정의 인증서를 제거하고 OpenShift Container Platform과 함께 제공되는 인증서를 복원하려면 다음 명령을 입력합니다.
$ oc patch -n openshift-ingress-operator ingresscontrollers/default \ --type json -p $'- op: remove\n path: /spec/defaultCertificate'
클러스터가 새 인증서 구성을 조정하는 동안 지연이 발생할 수 있습니다.
검증
원래 클러스터 인증서가 복원되었는지 확인하려면 다음 명령을 입력합니다.
$ echo Q | \ openssl s_client -connect console-openshift-console.apps.<domain>:443 -showcerts 2>/dev/null | \ openssl x509 -noout -subject -issuer -enddate
다음과 같습니다.
<domain>
- 클러스터의 기본 도메인 이름을 지정합니다.
출력 예
subject=CN = *.apps.<domain> issuer=CN = ingress-operator@1620633373 notAfter=May 10 10:44:36 2023 GMT
10.9.3. Ingress 컨트롤러 자동 스케일링
처리량 증가 요구와 같은 라우팅 성능 또는 가용성 요구 사항을 동적으로 충족하도록 Ingress 컨트롤러를 자동으로 확장할 수 있습니다.
다음 절차에서는 기본 Ingress 컨트롤러를 확장하는 예제를 제공합니다.
사전 요구 사항
-
OpenShift CLI(
oc
)가 설치되어 있어야 합니다. -
cluster-admin
역할의 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다. Custom Metrics Autoscaler Operator 및 관련 KEDA 컨트롤러가 설치되어 있습니다.
-
웹 콘솔에서 OperatorHub를 사용하여 Operator를 설치할 수 있습니다. Operator를 설치한 후
KedaController
의 인스턴스를 생성할 수 있습니다.
-
웹 콘솔에서 OperatorHub를 사용하여 Operator를 설치할 수 있습니다. Operator를 설치한 후
프로세스
다음 명령을 실행하여 Thanos로 인증할 서비스 계정을 생성합니다.
$ oc create -n openshift-ingress-operator serviceaccount thanos && oc describe -n openshift-ingress-operator serviceaccount thanos
출력 예
Name: thanos Namespace: openshift-ingress-operator Labels: <none> Annotations: <none> Image pull secrets: thanos-dockercfg-kfvf2 Mountable secrets: thanos-dockercfg-kfvf2 Tokens: <none> Events: <none>
다음 명령을 사용하여 서비스 계정 시크릿 토큰을 수동으로 생성합니다.
$ oc apply -f - <<EOF apiVersion: v1 kind: Secret metadata: name: thanos-token namespace: openshift-ingress-operator annotations: kubernetes.io/service-account.name: thanos type: kubernetes.io/service-account-token EOF
서비스 계정의 토큰을 사용하여
openshift-ingress-operator
네임스페이스에TriggerAuthentication
오브젝트를 정의합니다.TriggerAuthentication
오브젝트를 생성하고secret
변수 값을TOKEN
매개변수에 전달합니다.$ oc apply -f - <<EOF apiVersion: keda.sh/v1alpha1 kind: TriggerAuthentication metadata: name: keda-trigger-auth-prometheus namespace: openshift-ingress-operator spec: secretTargetRef: - parameter: bearerToken name: thanos-token key: token - parameter: ca name: thanos-token key: ca.crt EOF
Thanos에서 메트릭을 읽는 역할을 생성하고 적용합니다.
Pod 및 노드에서 지표를 읽는 새 역할
thanos-metrics-reader.yaml
을 생성합니다.thanos-metrics-reader.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: thanos-metrics-reader namespace: openshift-ingress-operator rules: - apiGroups: - "" resources: - pods - nodes verbs: - get - apiGroups: - metrics.k8s.io resources: - pods - nodes verbs: - get - list - watch - apiGroups: - "" resources: - namespaces verbs: - get
다음 명령을 실행하여 새 역할을 적용합니다.
$ oc apply -f thanos-metrics-reader.yaml
다음 명령을 입력하여 서비스 계정에 새 역할을 추가합니다.
$ oc adm policy -n openshift-ingress-operator add-role-to-user thanos-metrics-reader -z thanos --role-namespace=openshift-ingress-operator
$ oc adm policy -n openshift-ingress-operator add-cluster-role-to-user cluster-monitoring-view -z thanos
참고add-cluster-role-to-user
인수는 네임스페이스 간 쿼리를 사용하는 경우에만 필요합니다. 다음 단계에서는 이 인수가 필요한kube-metrics
네임스페이스의 쿼리를 사용합니다.기본 Ingress 컨트롤러 배포를 대상으로 하는 새 scaled
Object
YAML 파일ingress-autoscaler.yaml
을 만듭니다.scaled
Object
정의의 예apiVersion: keda.sh/v1alpha1 kind: ScaledObject metadata: name: ingress-scaler namespace: openshift-ingress-operator spec: scaleTargetRef: 1 apiVersion: operator.openshift.io/v1 kind: IngressController name: default envSourceContainerName: ingress-operator minReplicaCount: 1 maxReplicaCount: 20 2 cooldownPeriod: 1 pollingInterval: 1 triggers: - type: prometheus metricType: AverageValue metadata: serverAddress: https://thanos-querier.openshift-monitoring.svc.cluster.local:9091 3 namespace: openshift-ingress-operator 4 metricName: 'kube-node-role' threshold: '1' query: 'sum(kube_node_role{role="worker",service="kube-state-metrics"})' 5 authModes: "bearer" authenticationRef: name: keda-trigger-auth-prometheus
중요네임스페이스 간 쿼리를 사용하는 경우
serverAddress
필드에서 포트 9091이 아닌 포트 9091을 대상으로 지정해야 합니다. 또한 이 포트에서 메트릭을 읽을 수 있는 높은 권한이 있어야 합니다.다음 명령을 실행하여 사용자 정의 리소스 정의를 적용합니다.
$ oc apply -f ingress-autoscaler.yaml
검증
다음 명령을 실행하여 기본 Ingress 컨트롤러가
kube-state-metrics
쿼리에서 반환된 값과 일치하도록 확장되었는지 확인합니다.grep
명령을 사용하여 Ingress 컨트롤러 YAML 파일에서 복제본을 검색합니다.$ oc get -n openshift-ingress-operator ingresscontroller/default -o yaml | grep replicas:
출력 예
replicas: 3
openshift-ingress
프로젝트에서 Pod를 가져옵니다.$ oc get pods -n openshift-ingress
출력 예
NAME READY STATUS RESTARTS AGE router-default-7b5df44ff-l9pmm 2/2 Running 0 17h router-default-7b5df44ff-s5sl5 2/2 Running 0 3d22h router-default-7b5df44ff-wwsth 2/2 Running 0 66s
10.9.4. Ingress 컨트롤러 확장
처리량 증가 요구 등 라우팅 성능 또는 가용성 요구 사항을 충족하도록 Ingress 컨트롤러를 수동으로 확장할 수 있습니다. IngressController
리소스를 확장하려면 oc
명령을 사용합니다. 다음 절차는 기본 IngressController
를 확장하는 예제입니다.
원하는 수의 복제본을 만드는 데에는 시간이 걸리기 때문에 확장은 즉시 적용되지 않습니다.
프로세스
기본
IngressController
의 현재 사용 가능한 복제본 개수를 살펴봅니다.$ oc get -n openshift-ingress-operator ingresscontrollers/default -o jsonpath='{$.status.availableReplicas}'
출력 예
2
oc patch
명령을 사용하여 기본IngressController
의 복제본 수를 원하는 대로 조정합니다. 다음 예제는 기본IngressController
를 3개의 복제본으로 조정합니다.$ oc patch -n openshift-ingress-operator ingresscontroller/default --patch '{"spec":{"replicas": 3}}' --type=merge
출력 예
ingresscontroller.operator.openshift.io/default patched
기본
IngressController
가 지정한 복제본 수에 맞게 조정되었는지 확인합니다.$ oc get -n openshift-ingress-operator ingresscontrollers/default -o jsonpath='{$.status.availableReplicas}'
출력 예
3
작은 정보또는 다음 YAML을 적용하여 Ingress 컨트롤러를 세 개의 복제본으로 확장할 수 있습니다.
apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: replicas: 3 1
- 1
- 다른 양의 복제본이 필요한 경우
replicas
값을 변경합니다.
10.9.5. 수신 액세스 로깅 구성
Ingress 컨트롤러가 로그에 액세스하도록 구성할 수 있습니다. 수신 트래픽이 많지 않은 클러스터의 경우 사이드카에 로그를 기록할 수 있습니다. 트래픽이 많은 클러스터가 있는 경우 로깅 스택의 용량을 초과하지 않거나 OpenShift Container Platform 외부의 로깅 인프라와 통합하기 위해 사용자 정의 syslog 끝점으로 로그를 전달할 수 있습니다. 액세스 로그의 형식을 지정할 수도 있습니다.
컨테이너 로깅은 기존 Syslog 로깅 인프라가 없는 경우 트래픽이 적은 클러스터에서 액세스 로그를 활성화하거나 Ingress 컨트롤러의 문제를 진단하는 동안 단기적으로 사용하는 데 유용합니다.
액세스 로그가 OpenShift 로깅 스택 용량을 초과할 수 있는 트래픽이 많은 클러스터 또는 로깅 솔루션이 기존 Syslog 로깅 인프라와 통합되어야 하는 환경에는 Syslog가 필요합니다. Syslog 사용 사례는 중첩될 수 있습니다.
사전 요구 사항
-
cluster-admin
권한이 있는 사용자로 로그인합니다.
프로세스
사이드카에 Ingress 액세스 로깅을 구성합니다.
수신 액세스 로깅을 구성하려면
spec.logging.access.destination
을 사용하여 대상을 지정해야 합니다. 사이드카 컨테이너에 로깅을 지정하려면Container
spec.logging.access.destination.type
을 지정해야 합니다. 다음 예제는Container
대상에 로그를 기록하는 Ingress 컨트롤러 정의입니다.apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: replicas: 2 logging: access: destination: type: Container
사이드카에 로그를 기록하도록 Ingress 컨트롤러를 구성하면 Operator는 Ingress 컨트롤러 Pod에
logs
라는 컨테이너를 만듭니다.$ oc -n openshift-ingress logs deployment.apps/router-default -c logs
출력 예
2020-05-11T19:11:50.135710+00:00 router-default-57dfc6cd95-bpmk6 router-default-57dfc6cd95-bpmk6 haproxy[108]: 174.19.21.82:39654 [11/May/2020:19:11:50.133] public be_http:hello-openshift:hello-openshift/pod:hello-openshift:hello-openshift:10.128.2.12:8080 0/0/1/0/1 200 142 - - --NI 1/1/0/0/0 0/0 "GET / HTTP/1.1"
Syslog 끝점에 대한 Ingress 액세스 로깅을 구성합니다.
수신 액세스 로깅을 구성하려면
spec.logging.access.destination
을 사용하여 대상을 지정해야 합니다. Syslog 끝점 대상에 로깅을 지정하려면spec.logging.access.destination.type
에 대한Syslog
를 지정해야 합니다. 대상 유형이Syslog
인 경우spec.logging.access.destination.syslog.address
를 사용하여 대상 끝점도 지정해야 하며spec.logging.access.destination.syslog.facility
를 사용하여 기능을 지정할 수 있습니다. 다음 예제는Syslog
대상에 로그를 기록하는 Ingress 컨트롤러 정의입니다.apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: replicas: 2 logging: access: destination: type: Syslog syslog: address: 1.2.3.4 port: 10514
참고syslog
대상 포트는 UDP여야 합니다.syslog
대상 주소는 IP 주소여야 합니다. DNS 호스트 이름을 지원하지 않습니다.
특정 로그 형식으로 Ingress 액세스 로깅을 구성합니다.
spec.logging.access.httpLogFormat
을 지정하여 로그 형식을 사용자 정의할 수 있습니다. 다음 예제는 IP 주소 1.2.3.4 및 포트 10514를 사용하여syslog
끝점에 로그하는 Ingress 컨트롤러 정의입니다.apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: replicas: 2 logging: access: destination: type: Syslog syslog: address: 1.2.3.4 port: 10514 httpLogFormat: '%ci:%cp [%t] %ft %b/%s %B %bq %HM %HU %HV'
Ingress 액세스 로깅을 비활성화합니다.
Ingress 액세스 로깅을 비활성화하려면
spec.logging
또는spec.logging.access
를 비워 둡니다.apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: replicas: 2 logging: access: null
사이드카를 사용할 때 Ingress 컨트롤러에서 HAProxy 로그 길이를 수정할 수 있도록 허용합니다.
spec.logging.access.destination.destination.
를 사용합니다.type: Syslog를 사용하는 경우 spec.logging.access.destination.
maxLengthapiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: replicas: 2 logging: access: destination: type: Syslog syslog: address: 1.2.3.4 maxLength: 4096 port: 10514
spec.logging.access.destination.destination.
를 사용합니다.type: Container를 사용하는 경우 spec.logging.access.destination.
maxLengthapiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: replicas: 2 logging: access: destination: type: Container container: maxLength: 8192
10.9.6. Ingress 컨트롤러 스레드 수 설정
클러스터 관리자는 클러스터에서 처리할 수 있는 들어오는 연결의 양을 늘리기 위해 스레드 수를 설정할 수 있습니다. 기존 Ingress 컨트롤러에 패치하여 스레드의 양을 늘릴 수 있습니다.
사전 요구 사항
- 다음은 Ingress 컨트롤러를 이미 생성했다고 가정합니다.
프로세스
스레드 수를 늘리도록 Ingress 컨트롤러를 업데이트합니다.
$ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"threadCount": 8}}}'
참고많은 리소스를 실행할 수 있는 노드가 있는 경우 원하는 노드의 용량과 일치하는 라벨을 사용하여
spec.nodePlacement.nodeSelector
를 구성하고spec.tuningOptions.threadCount
를 적절하게 높은 값으로 구성할 수 있습니다.
10.9.7. 내부 로드 밸런서를 사용하도록 Ingress 컨트롤러 구성
클라우드 플랫폼에서 Ingress 컨트롤러를 생성할 때 Ingress 컨트롤러는 기본적으로 퍼블릭 클라우드 로드 밸런서에 의해 게시됩니다. 관리자는 내부 클라우드 로드 밸런서를 사용하는 Ingress 컨트롤러를 생성할 수 있습니다.
클라우드 공급자가 Microsoft Azure인 경우 노드를 가리키는 퍼블릭 로드 밸런서가 하나 이상 있어야 합니다. 그렇지 않으면 모든 노드의 인터넷 연결이 끊어집니다.
IngressController
의 범위를
변경하려면 CR(사용자 정의 리소스)을 생성한 후 .spec.endpointPublishingStrategy.loadBalancer.scope
매개변수를 변경할 수 있습니다.
그림 10.1. LoadBalancer 다이어그램
이전 그림에서는 OpenShift Container Platform Ingress LoadBalancerService 끝점 게시 전략과 관련된 다음 개념을 보여줍니다.
- 클라우드 공급자 로드 밸런서를 사용하거나 내부적으로 OpenShift Ingress 컨트롤러 로드 밸런서를 사용하여 외부에서 부하를 분산할 수 있습니다.
- 그래픽에 표시된 클러스터에 표시된 대로 로드 밸런서의 단일 IP 주소와 8080 및 4200과 같은 더 친숙한 포트를 사용할 수 있습니다.
- 외부 로드 밸런서의 트래픽은 Pod에서 전달되고 다운 노드의 인스턴스에 표시된 대로 로드 밸런서에 의해 관리됩니다. 구현 세부 사항은 Kubernetes 서비스 설명서를 참조하십시오.
사전 요구 사항
-
OpenShift CLI(
oc
)를 설치합니다. -
cluster-admin
권한이 있는 사용자로 로그인합니다.
프로세스
다음 예제와 같이
<name>-ingress-controller.yam
파일에IngressController
CR(사용자 정의 리소스)을 생성합니다.apiVersion: operator.openshift.io/v1 kind: IngressController metadata: namespace: openshift-ingress-operator name: <name> 1 spec: domain: <domain> 2 endpointPublishingStrategy: type: LoadBalancerService loadBalancer: scope: Internal 3
다음 명령을 실행하여 이전 단계에서 정의된 Ingress 컨트롤러를 생성합니다.
$ oc create -f <name>-ingress-controller.yaml 1
- 1
<name>
을IngressController
오브젝트의 이름으로 변경합니다.
선택 사항: Ingress 컨트롤러가 생성되었는지 확인하려면 다음 명령을 실행합니다.
$ oc --all-namespaces=true get ingresscontrollers
10.9.8. GCP에서 Ingress 컨트롤러에 대한 글로벌 액세스 구성
내부 로드 밸런서가 있는 GCP에서 생성된 Ingress 컨트롤러는 서비스의 내부 IP 주소를 생성합니다. 클러스터 관리자는 로드 밸런서와 동일한 VPC 네트워크 및 컴퓨팅 리전 내의 모든 리전의 클라이언트가 클러스터에서 실행되는 워크로드에 도달할 수 있도록 하는 글로벌 액세스 옵션을 지정할 수 있습니다.
자세한 내용은 글로벌 액세스에 대한 GCP 설명서를 참조하십시오.
사전 요구 사항
- GCP 인프라에 OpenShift Container Platform 클러스터를 배포했습니다.
- 내부 로드 밸런서를 사용하도록 Ingress 컨트롤러 구성
-
OpenShift CLI(
oc
)를 설치합니다.
프로세스
글로벌 액세스를 허용하도록 Ingress 컨트롤러 리소스를 구성합니다.
참고Ingress 컨트롤러를 생성하고 글로벌 액세스 옵션을 지정할 수도 있습니다.
Ingress 컨트롤러 리소스를 구성합니다.
$ oc -n openshift-ingress-operator edit ingresscontroller/default
YAML 파일을 편집합니다.
Global
에 대한clientAccess
구성 샘플spec: endpointPublishingStrategy: loadBalancer: providerParameters: gcp: clientAccess: Global 1 type: GCP scope: Internal type: LoadBalancerService
- 1
gcp.clientAccess
를Global
로 설정합니다.
- 파일을 저장하여 변경 사항을 적용합니다.
다음 명령을 실행하여 서비스가 글로벌 액세스를 허용하는지 확인합니다.
$ oc -n openshift-ingress edit svc/router-default -o yaml
출력에서 주석
networking.gke.io/internal-load-balancer-allow-global-access
가 있는 GCP에 글로벌 액세스가 활성화되어 있음을 보여줍니다.
10.9.9. Ingress 컨트롤러 상태 점검 간격 설정
클러스터 관리자는 상태 점검 간격을 설정하여 라우터가 연속 상태 점검 사이에 대기하는 시간을 정의할 수 있습니다. 이 값은 모든 경로에 대해 전역적으로 적용됩니다. 기본값은 5초입니다.
사전 요구 사항
- 다음은 Ingress 컨트롤러를 이미 생성했다고 가정합니다.
프로세스
백엔드 상태 점검 간 간격을 변경하도록 Ingress 컨트롤러를 업데이트합니다.
$ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"healthCheckInterval": "8s"}}}'
참고단일 경로의
healthCheckInterval
을 재정의하려면 경로 주석router.openshift.io/haproxy.health.check.interval
을 사용합니다.
10.9.10. 클러스터의 기본 Ingress 컨트롤러를 내부로 구성
클러스터를 삭제하고 다시 생성하여 클러스터의 default
Ingress 컨트롤러를 내부용으로 구성할 수 있습니다.
클라우드 공급자가 Microsoft Azure인 경우 노드를 가리키는 퍼블릭 로드 밸런서가 하나 이상 있어야 합니다. 그렇지 않으면 모든 노드의 인터넷 연결이 끊어집니다.
IngressController
의 범위를
변경하려면 CR(사용자 정의 리소스)을 생성한 후 .spec.endpointPublishingStrategy.loadBalancer.scope
매개변수를 변경할 수 있습니다.
사전 요구 사항
-
OpenShift CLI(
oc
)를 설치합니다. -
cluster-admin
권한이 있는 사용자로 로그인합니다.
프로세스
클러스터의
기본
Ingress 컨트롤러를 삭제하고 다시 생성하여 내부용으로 구성합니다.$ oc replace --force --wait --filename - <<EOF apiVersion: operator.openshift.io/v1 kind: IngressController metadata: namespace: openshift-ingress-operator name: default spec: endpointPublishingStrategy: type: LoadBalancerService loadBalancer: scope: Internal EOF
10.9.11. 경로 허용 정책 구성
관리자 및 애플리케이션 개발자는 도메인 이름이 동일한 여러 네임스페이스에서 애플리케이션을 실행할 수 있습니다. 이는 여러 팀이 동일한 호스트 이름에 노출되는 마이크로 서비스를 개발하는 조직을 위한 것입니다.
네임스페이스 간 클레임은 네임스페이스 간 신뢰가 있는 클러스터에 대해서만 허용해야 합니다. 그렇지 않으면 악의적인 사용자가 호스트 이름을 인수할 수 있습니다. 따라서 기본 승인 정책에서는 네임스페이스 간에 호스트 이름 클레임을 허용하지 않습니다.
사전 요구 사항
- 클러스터 관리자 권한이 있어야 합니다.
프로세스
다음 명령을 사용하여
ingresscontroller
리소스 변수의.spec.routeAdmission
필드를 편집합니다.$ oc -n openshift-ingress-operator patch ingresscontroller/default --patch '{"spec":{"routeAdmission":{"namespaceOwnership":"InterNamespaceAllowed"}}}' --type=merge
샘플 Ingress 컨트롤러 구성
spec: routeAdmission: namespaceOwnership: InterNamespaceAllowed ...
작은 정보다음 YAML을 적용하여 경로 승인 정책을 구성할 수 있습니다.
apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: routeAdmission: namespaceOwnership: InterNamespaceAllowed
10.9.12. 와일드카드 경로 사용
HAProxy Ingress 컨트롤러는 와일드카드 경로를 지원합니다. Ingress Operator는 wildcardPolicy
를 사용하여 Ingress 컨트롤러의 ROUTER_ALLOW_WILDCARD_ROUTES
환경 변수를 구성합니다.
Ingress 컨트롤러의 기본 동작은 와일드카드 정책이 None
인 경로를 허용하고, 이는 기존 IngressController
리소스의 이전 버전과 호환됩니다.
프로세스
와일드카드 정책을 구성합니다.
다음 명령을 사용하여
IngressController
리소스를 편집합니다.$ oc edit IngressController
spec
에서wildcardPolicy
필드를WildcardsDisallowed
또는WildcardsAllowed
로 설정합니다.spec: routeAdmission: wildcardPolicy: WildcardsDisallowed # or WildcardsAllowed
10.9.13. HTTP 헤더 구성
OpenShift Container Platform은 HTTP 헤더를 사용하는 다양한 방법을 제공합니다. 헤더를 설정하거나 삭제할 때 Ingress 컨트롤러의 특정 필드를 사용하거나 개별 경로를 사용하여 요청 및 응답 헤더를 수정할 수 있습니다. 경로 주석을 사용하여 특정 헤더를 설정할 수도 있습니다. 헤더를 구성하는 다양한 방법은 함께 작업할 때 문제가 발생할 수 있습니다.
IngressController
또는 Route
CR 내에서 헤더만 설정하거나 삭제할 수 있으므로 추가할 수 없습니다. HTTP 헤더가 값으로 설정된 경우 해당 값은 완료되어야 하며 나중에 추가할 필요가 없습니다. X-Forwarded-For 헤더와 같은 헤더를 추가하는 것이 적합한 경우 spec.httpHeaders.actions
대신 spec.httpHeaders.forwardedHeaderPolicy
필드를 사용합니다.
10.9.13.1. 우선순위 순서
Ingress 컨트롤러와 경로에서 동일한 HTTP 헤더를 수정하는 경우 HAProxy는 요청 또는 응답 헤더인지 여부에 따라 특정 방식으로 작업에 우선순위를 부여합니다.
- HTTP 응답 헤더의 경우 경로에 지정된 작업 후에 Ingress 컨트롤러에 지정된 작업이 실행됩니다. 즉, Ingress 컨트롤러에 지정된 작업이 우선합니다.
- HTTP 요청 헤더의 경우 경로에 지정된 작업은 Ingress 컨트롤러에 지정된 작업 후에 실행됩니다. 즉, 경로에 지정된 작업이 우선합니다.
예를 들어 클러스터 관리자는 다음 구성을 사용하여 Ingress 컨트롤러에서 값이 DENY
인 X-Frame-Options 응답 헤더를 설정합니다.
IngressController
사양 예
apiVersion: operator.openshift.io/v1 kind: IngressController # ... spec: httpHeaders: actions: response: - name: X-Frame-Options action: type: Set set: value: DENY
경로 소유자는 클러스터 관리자가 Ingress 컨트롤러에 설정한 것과 동일한 응답 헤더를 설정하지만 다음 구성을 사용하여 SAMEORIGIN
값이 사용됩니다.
Route
사양의 예
apiVersion: route.openshift.io/v1 kind: Route # ... spec: httpHeaders: actions: response: - name: X-Frame-Options action: type: Set set: value: SAMEORIGIN
IngressController
사양과 Route
사양 모두에서 X-Frame-Options 응답 헤더를 구성하는 경우 특정 경로에서 프레임을 허용하는 경우에도 Ingress 컨트롤러의 글로벌 수준에서 이 헤더에 설정된 값이 우선합니다. 요청 헤더의 경우 Route
spec 값은 IngressController
사양 값을 재정의합니다.
이 우선순위는 haproxy.config
파일에서 다음 논리를 사용하므로 Ingress 컨트롤러가 프런트 엔드로 간주되고 개별 경로가 백엔드로 간주되기 때문입니다. 프런트 엔드 구성에 적용된 헤더 값 DENY
는 백엔드에 설정된 SAMEORIGIN
값으로 동일한 헤더를 재정의합니다.
frontend public http-response set-header X-Frame-Options 'DENY' frontend fe_sni http-response set-header X-Frame-Options 'DENY' frontend fe_no_sni http-response set-header X-Frame-Options 'DENY' backend be_secure:openshift-monitoring:alertmanager-main http-response set-header X-Frame-Options 'SAMEORIGIN'
또한 Ingress 컨트롤러 또는 경로 주석을 사용하여 설정된 경로 덮어쓰기 값에 정의된 모든 작업입니다.
10.9.13.2. 특수 케이스 헤더
다음 헤더는 완전히 설정되거나 삭제되지 않거나 특정 상황에서 허용되지 않습니다.
헤더 이름 | IngressController 사양을 사용하여 구성 가능 | Route 사양을 사용하여 구성 가능 | 허용하지 않는 이유 | 다른 방법을 사용하여 구성 가능 |
---|---|---|---|---|
| 없음 | 없음 |
| 없음 |
| 없음 | 제공됨 |
| 없음 |
| 없음 | 없음 |
|
제공됨: |
| 없음 | 없음 | HAProxy가 클라이언트 연결을 특정 백엔드 서버에 매핑하는 세션 추적에 사용되는 쿠키입니다. 이러한 헤더를 설정하도록 허용하면 HAProxy의 세션 선호도를 방해하고 HAProxy의 쿠키 소유권을 제한할 수 있습니다. | 예:
|
10.9.14. Ingress 컨트롤러에서 HTTP 요청 및 응답 헤더 설정 또는 삭제
규정 준수 목적 또는 기타 이유로 특정 HTTP 요청 및 응답 헤더를 설정하거나 삭제할 수 있습니다. Ingress 컨트롤러에서 제공하는 모든 경로 또는 특정 경로에 대해 이러한 헤더를 설정하거나 삭제할 수 있습니다.
예를 들어 상호 TLS를 사용하기 위해 클러스터에서 실행 중인 애플리케이션을 마이그레이션할 수 있습니다. 이 경우 애플리케이션에서 X-Forwarded-Client-Cert 요청 헤더를 확인해야 하지만 OpenShift Container Platform 기본 Ingress 컨트롤러는 X-SSL-Client-Der 요청 헤더를 제공합니다.
다음 절차에서는 X-Forwarded-Client-Cert 요청 헤더를 설정하도록 Ingress 컨트롤러를 수정하고 X-SSL-Client-Der 요청 헤더를 삭제합니다.
사전 요구 사항
-
OpenShift CLI(
oc
)가 설치되어 있습니다. -
cluster-admin
역할의 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.
프로세스
Ingress 컨트롤러 리소스를 편집합니다.
$ oc -n openshift-ingress-operator edit ingresscontroller/default
X-SSL-Client-Der HTTP 요청 헤더를 X-Forwarded-Client-Cert HTTP 요청 헤더로 바꿉니다.
apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: httpHeaders: actions: 1 request: 2 - name: X-Forwarded-Client-Cert 3 action: type: Set 4 set: value: "%{+Q}[ssl_c_der,base64]" 5 - name: X-SSL-Client-Der action: type: Delete
- 1
- HTTP 헤더에서 수행할 작업 목록입니다.
- 2
- 변경할 헤더 유형입니다. 이 경우 요청 헤더가 있습니다.
- 3
- 변경할 헤더의 이름입니다. 설정하거나 삭제할 수 있는 사용 가능한 헤더 목록은 HTTP 헤더 구성 을 참조하십시오.
- 4
- 헤더에서 수행되는 작업 유형입니다. 이 필드에는
Set
또는Delete
값이 있을 수 있습니다. - 5
- HTTP 헤더를 설정할 때
값을
제공해야 합니다. 값은 해당 헤더에 사용 가능한 지시문 목록(예:DENY
)의 문자열이거나 HAProxy의 동적 값 구문을 사용하여 해석되는 동적 값이 될 수 있습니다. 이 경우 동적 값이 추가됩니다.
참고HTTP 응답에 대한 동적 헤더 값을 설정하기 위해 허용되는 샘플 페이퍼는
res.hdr
및ssl_c_der
입니다. HTTP 요청에 대한 동적 헤더 값을 설정하는 경우 허용되는 샘플 페더는req.hdr
및ssl_c_der
입니다. request 및 response 동적 값은 모두lower
및base64
컨버터를 사용할 수 있습니다.- 파일을 저장하여 변경 사항을 적용합니다.
10.9.15. X-Forwarded 헤더 사용
HAProxy Ingress 컨트롤러를 구성하여 Forwarded
및 X-Forwarded-For
를 포함한 HTTP 헤더 처리 방법에 대한 정책을 지정합니다. Ingress Operator는 HTTPHeaders
필드를 사용하여 Ingress 컨트롤러의 ROUTER_SET_FORWARDED_HEADERS
환경 변수를 구성합니다.
프로세스
Ingress 컨트롤러에 대한
HTTPHeaders
필드를 구성합니다.다음 명령을 사용하여
IngressController
리소스를 편집합니다.$ oc edit IngressController
spec
에서HTTPHeaders
정책 필드를Append
,Replace
,IfNone
또는Never
로 설정합니다.apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: httpHeaders: forwardedHeaderPolicy: Append
사용 사례 예
클러스터 관리자는 다음을 수행할 수 있습니다.
Ingress 컨트롤러로 전달하기 전에
X-Forwarded-For
헤더를 각 요청에 삽입하는 외부 프록시를 구성합니다.헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성하려면
never
정책을 지정합니다. 그러면 Ingress 컨트롤러에서 헤더를 설정하지 않으며 애플리케이션은 외부 프록시에서 제공하는 헤더만 수신합니다.외부 프록시에서 외부 클러스터 요청에 설정한
X-Forwarded-For
헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성합니다.외부 프록시를 통과하지 않는 내부 클러스터 요청에
X-Forwarded-For
헤더를 설정하도록 Ingress 컨트롤러를 구성하려면if-none
정책을 지정합니다. HTTP 요청에 이미 외부 프록시를 통해 설정된 헤더가 있는 경우 Ingress 컨트롤러에서 해당 헤더를 보존합니다. 요청이 프록시를 통해 제공되지 않아 헤더가 없는 경우에는 Ingress 컨트롤러에서 헤더를 추가합니다.
애플리케이션 개발자는 다음을 수행할 수 있습니다.
X-Forwarded-For
헤더를 삽입하는 애플리케이션별 외부 프록시를 구성합니다.다른 경로에 대한 정책에 영향을 주지 않으면서 애플리케이션 경로에 대한 헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성하려면 애플리케이션 경로에 주석
haproxy.router.openshift.io/set-forwarded-headers: if-none
또는haproxy.router.openshift.io/set-forwarded-headers: never
를 추가하십시오.참고Ingress 컨트롤러에 전역적으로 설정된 값과 관계없이 경로별로
haproxy.router.openshift.io/set-forwarded-headers
주석을 설정할 수 있습니다.
10.9.16. HTTP/2 수신 연결 사용
이제 HAProxy에서 투명한 엔드 투 엔드 HTTP/2 연결을 활성화할 수 있습니다. 애플리케이션 소유자는 이를 통해 단일 연결, 헤더 압축, 바이너리 스트림 등 HTTP/2 프로토콜 기능을 활용할 수 있습니다.
개별 Ingress 컨트롤러 또는 전체 클러스터에 대해 HAProxy에서 HTTP/2 연결을 활성화할 수 있습니다.
클라이언트에서 HAProxy로의 연결에 HTTP/2 사용을 활성화하려면 경로에서 사용자 정의 인증서를 지정해야 합니다. 기본 인증서를 사용하는 경로에서는 HTTP/2를 사용할 수 없습니다. 이것은 동일한 인증서를 사용하는 다른 경로의 연결을 클라이언트가 재사용하는 등 동시 연결로 인한 문제를 방지하기 위한 제한입니다.
HAProxy에서 애플리케이션 pod로의 연결은 re-encrypt 라우팅에만 HTTP/2를 사용할 수 있으며 Edge termination 또는 비보안 라우팅에는 사용할 수 없습니다. 이 제한은 백엔드와 HTTP/2 사용을 협상할 때 HAProxy가 TLS의 확장인 ALPN(Application-Level Protocol Negotiation)을 사용하기 때문에 필요합니다. 이는 엔드 투 엔드 HTTP/2가 패스스루(passthrough) 및 re-encrypt 라우팅에는 적합하지만 비보안 또는 Edge termination 라우팅에는 적합하지 않음을 의미합니다.
패스스루(passthrough)가 아닌 경로의 경우 Ingress 컨트롤러는 클라이언트와의 연결과 관계없이 애플리케이션에 대한 연결을 협상합니다. 다시 말해 클라이언트가 Ingress 컨트롤러에 연결하여 HTTP/1.1을 협상하고, Ingress 컨트롤러가 애플리케이션에 연결하여 HTTP/2를 협상하고, 클라이언트 HTTP/1.1 연결에서 받은 요청을 HTTP/2 연결을 사용하여 애플리케이션에 전달할 수 있습니다. Ingress 컨트롤러는 WebSocket을 HTTP/2로 전달할 수 없고 HTTP/2 연결을 WebSocket으로 업그레이드할 수 없기 때문에 나중에 클라이언트가 HTTP/1.1 연결을 WebSocket 프로토콜로 업그레이드하려고 하면 문제가 발생하게 됩니다. 결과적으로, WebSocket 연결을 허용하는 애플리케이션이 있는 경우 HTTP/2 프로토콜 협상을 허용하지 않아야 합니다. 그러지 않으면 클라이언트가 WebSocket 프로토콜로 업그레이드할 수 없게 됩니다.
프로세스
단일 Ingress 컨트롤러에서 HTTP/2를 활성화합니다.
Ingress 컨트롤러에서 HTTP/2를 사용하려면 다음과 같이
oc annotate
명령을 입력합니다.$ oc -n openshift-ingress-operator annotate ingresscontrollers/<ingresscontroller_name> ingress.operator.openshift.io/default-enable-http2=true
<ingresscontroller_name>
을 주석 처리할 Ingress 컨트롤러의 이름으로 변경합니다.
전체 클러스터에서 HTTP/2를 활성화합니다.
전체 클러스터에 HTTP/2를 사용하려면
oc annotate
명령을 입력합니다.$ oc annotate ingresses.config/cluster ingress.operator.openshift.io/default-enable-http2=true
작은 정보다음 YAML을 적용하여 주석을 추가할 수도 있습니다.
apiVersion: config.openshift.io/v1 kind: Ingress metadata: name: cluster annotations: ingress.operator.openshift.io/default-enable-http2: "true"
10.9.17. Ingress 컨트롤러에 대한 PROXY 프로토콜 구성
클러스터 관리자는 Ingress 컨트롤러에서 HostNetwork
,NodePortService
또는 Private
엔드포인트 게시 전략 유형을 사용하는 경우 PROXY 프로토콜 을 구성할 수 있습니다. PROXY 프로토콜을 사용하면 로드 밸런서에서 Ingress 컨트롤러가 수신하는 연결에 대한 원래 클라이언트 주소를 유지할 수 있습니다. 원래 클라이언트 주소는 HTTP 헤더를 로깅, 필터링 및 삽입하는 데 유용합니다. 기본 구성에서 Ingress 컨트롤러가 수신하는 연결에는 로드 밸런서와 연결된 소스 주소만 포함됩니다.
Keepalived Ingress 가상 IP(VIP)를 사용하는 클라우드 플랫폼에 설치 관리자 프로비저닝 클러스터가 있는 기본 Ingress 컨트롤러는 PROXY 프로토콜을 지원하지 않습니다.
PROXY 프로토콜을 사용하면 로드 밸런서에서 Ingress 컨트롤러가 수신하는 연결에 대한 원래 클라이언트 주소를 유지할 수 있습니다. 원래 클라이언트 주소는 HTTP 헤더를 로깅, 필터링 및 삽입하는 데 유용합니다. 기본 구성에서 Ingress 컨트롤러에서 수신하는 연결에는 로드 밸런서와 연결된 소스 IP 주소만 포함됩니다.
패스스루 경로 구성의 경우 OpenShift Container Platform 클러스터의 서버는 원래 클라이언트 소스 IP 주소를 관찰할 수 없습니다. 원래 클라이언트 소스 IP 주소를 알아야 하는 경우 클라이언트 소스 IP 주소를 볼 수 있도록 Ingress 컨트롤러에 대한 Ingress 액세스 로깅을 구성합니다.
재암호화 및 에지 경로의 경우 OpenShift Container Platform 라우터는 애플리케이션 워크로드가 클라이언트 소스 IP 주소를 확인하도록 Forwarded
및 X-Forwarded-For
헤더를 설정합니다.
Ingress 액세스 로깅에 대한 자세한 내용은 " Ingress 액세스 로깅 구성"을 참조하십시오.
LoadBalancerService
끝점 게시 전략 유형을 사용하는 경우 Ingress 컨트롤러에 대한 PROXY 프로토콜 구성은 지원되지 않습니다. 이 제한은 OpenShift Container Platform이 클라우드 플랫폼에서 실행되고 Ingress 컨트롤러에서 서비스 로드 밸런서를 사용해야 함을 지정하기 때문에 Ingress Operator는 로드 밸런서 서비스를 구성하고 소스 주소를 유지하기 위한 플랫폼 요구 사항에 따라 PROXY 프로토콜을 활성화하기 때문입니다.
PROXY 프로토콜 또는 TCP를 사용하도록 OpenShift Container Platform과 외부 로드 밸런서를 모두 구성해야 합니다.
이 기능은 클라우드 배포에서 지원되지 않습니다. 이 제한은 OpenShift Container Platform이 클라우드 플랫폼에서 실행되고 Ingress 컨트롤러에서 서비스 로드 밸런서를 사용해야 함을 지정하기 때문에 Ingress Operator는 로드 밸런서 서비스를 구성하고 소스 주소를 유지하기 위한 플랫폼 요구 사항에 따라 PROXY 프로토콜을 활성화하기 때문입니다.
PROXY 프로토콜을 사용하거나 TCP(Transmission Control Protocol)를 사용하려면 OpenShift Container Platform과 외부 로드 밸런서를 모두 구성해야 합니다.
사전 요구 사항
- Ingress 컨트롤러가 생성되어 있습니다.
프로세스
CLI에 다음 명령을 입력하여 Ingress 컨트롤러 리소스를 편집합니다.
$ oc -n openshift-ingress-operator edit ingresscontroller/default
PROXY 구성을 설정합니다.
Ingress 컨트롤러에서
HostNetwork
끝점 게시 전략 유형을 사용하는 경우spec.endpointPublishingStrategy.hostNetwork.protocol
하위 필드를PROXY
:로 설정합니다.PROXY
에 대한hostNetwork
구성 샘플# ... spec: endpointPublishingStrategy: hostNetwork: protocol: PROXY type: HostNetwork # ...
Ingress 컨트롤러에서
NodePortService
끝점 게시 전략 유형을 사용하는 경우spec.endpointPublishingStrategy.nodePort.protocol
하위 필드를PROXY
로 설정합니다.PROXY
에 대한nodePort
구성 샘플# ... spec: endpointPublishingStrategy: nodePort: protocol: PROXY type: NodePortService # ...
Ingress 컨트롤러에서
Private
끝점 게시 전략 유형을 사용하는 경우spec.endpointPublishingStrategy.private.protocol
하위 필드를PROXY
로 설정합니다.PROXY
에 대한개인
구성 샘플# ... spec: endpointPublishingStrategy: private: protocol: PROXY type: Private # ...
추가 리소스
10.9.18. appsDomain 옵션을 사용하여 대체 클러스터 도메인 지정
클러스터 관리자는 appsDomain
필드를 구성하여 사용자가 생성한 경로에 대한 기본 클러스터 도메인의 대안을 지정할 수 있습니다. appsDomain
필드는 도메인 필드에 지정된 기본값 대신 사용할 OpenShift Container Platform의 선택적 도메인
입니다. 대체 도메인을 지정하면 새 경로의 기본 호스트를 결정하기 위해 기본 클러스터 도메인을 덮어씁니다.
예를 들어, 회사의 DNS 도메인을 클러스터에서 실행되는 애플리케이션의 경로 및 인그레스의 기본 도메인으로 사용할 수 있습니다.
사전 요구 사항
- OpenShift Container Platform 클러스터를 배포했습니다.
-
oc
명령줄 인터페이스를 설치했습니다.
프로세스
사용자 생성 경로에 대한 대체 기본 도메인을 지정하여
appsDomain
필드를 구성합니다.ingress
클러스터
리소스를 편집합니다.$ oc edit ingresses.config/cluster -o yaml
YAML 파일을 편집합니다.
test.example.com
에 대한appsDomain
구성 샘플apiVersion: config.openshift.io/v1 kind: Ingress metadata: name: cluster spec: domain: apps.example.com 1 appsDomain: <test.example.com> 2
경로를 노출하고 경로 도메인 변경을 확인하여 기존 경로에
appsDomain
필드에 지정된 도메인 이름이 포함되어 있는지 확인합니다.참고경로를 노출하기 전에
openshift-apiserver
가 롤링 업데이트를 완료할 때까지 기다립니다.경로를 노출합니다.
$ oc expose service hello-openshift route.route.openshift.io/hello-openshift exposed
출력 예
$ oc get routes NAME HOST/PORT PATH SERVICES PORT TERMINATION WILDCARD hello-openshift hello_openshift-<my_project>.test.example.com hello-openshift 8080-tcp None
10.9.19. HTTP 헤더 대소문자 변환
HAProxy 소문자 HTTP 헤더 이름(예: Host: xyz.com
을 host: xyz.com
)으로 변경합니다. 기존 애플리케이션이 HTTP 헤더 이름의 대문자에 민감한 경우 Ingress Controller spec.httpHeaders.headerNameCaseAdjustments
API 필드를 사용하여 기존 애플리케이션을 수정할 때 까지 지원합니다.
OpenShift Container Platform에는 HAProxy 2.8이 포함되어 있습니다. 이 웹 기반 로드 밸런서 버전으로 업데이트하려면 spec.httpHeaders.headerNameCaseAdjustments
섹션을 클러스터의 구성 파일에 추가해야 합니다.
클러스터 관리자는 oc patch
명령을 입력하거나 Ingress 컨트롤러 YAML 파일에서 HeaderNameCaseAdjustments
필드를 설정하여 HTTP 헤더 케이스를 변환할 수 있습니다.
사전 요구 사항
-
OpenShift CLI(
oc
)가 설치되어 있습니다. -
cluster-admin
역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
oc patch
명령을 사용하여 HTTP 헤더를 대문자로 설정합니다.다음 명령을 실행하여 HTTP 헤더를
host
에서Host
로 변경합니다.$ oc -n openshift-ingress-operator patch ingresscontrollers/default --type=merge --patch='{"spec":{"httpHeaders":{"headerNameCaseAdjustments":["Host"]}}}'
주석을 애플리케이션에 적용할 수 있도록
Route
리소스 YAML 파일을 생성합니다.my-application
이라는 경로 예apiVersion: route.openshift.io/v1 kind: Route metadata: annotations: haproxy.router.openshift.io/h1-adjust-case: true 1 name: <application_name> namespace: <application_name> # ...
- 1
- Ingress 컨트롤러가 지정된 대로
호스트
요청 헤더를 조정할 수 있도록haproxy.router.openshift.io/h1-adjust-case
를 설정합니다.
Ingress 컨트롤러 YAML 구성 파일에서
HeaderNameCaseAdjustments
필드를 구성하여 조정을 지정합니다.다음 예제 Ingress 컨트롤러 YAML 파일은 적절한 주석이 달린 경로에 대해 HTTP/1 요청에 대해
호스트
헤더를Host
로 조정합니다.Ingress 컨트롤러 YAML 예시
apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: httpHeaders: headerNameCaseAdjustments: - Host
다음 예제 경로에서는
haproxy.router.openshift.io/h1-adjust-case
주석을 사용하여 HTTP 응답 헤더 이름 대소문자 조정을 활성화합니다.경로 YAML의 예
apiVersion: route.openshift.io/v1 kind: Route metadata: annotations: haproxy.router.openshift.io/h1-adjust-case: true 1 name: my-application namespace: my-application spec: to: kind: Service name: my-application
- 1
haproxy.router.openshift.io/h1-adjust-case
를 true로 설정합니다.
10.9.20. 라우터 압축 사용
특정 MIME 유형에 대해 전역적으로 라우터 압축을 지정하도록 HAProxy Ingress 컨트롤러를 구성합니다. mimeTypes
변수를 사용하여 압축이 적용되는 MIME 유형의 형식을 정의할 수 있습니다. 유형은 application, image, message, multipart, text, video 또는 "X-"가 붙은 사용자 지정 유형입니다. MIME 유형 및 하위 유형에 대한 전체 표기법을 보려면 RFC1341 을 참조하십시오.
압축에 할당된 메모리는 최대 연결에 영향을 미칠 수 있습니다. 또한 큰 버퍼를 압축하면 많은 regex 또는 긴 regex 목록과 같은 대기 시간이 발생할 수 있습니다.
모든 MIME 유형이 압축의 이점은 아니지만 HAProxy는 여전히 리소스를 사용하여 다음을 지시한 경우 압축합니다. 일반적으로 html, css, js와 같은 텍스트 형식은 압축할 수 있지만 이미 압축한 형식(예: 이미지, 오디오, 비디오 등)은 압축에 소요되는 시간과 리소스를 거의 교환하지 못합니다.
프로세스
Ingress 컨트롤러의
httpCompression
필드를 구성합니다.다음 명령을 사용하여
IngressController
리소스를 편집합니다.$ oc edit -n openshift-ingress-operator ingresscontrollers/default
spec
에서httpCompression
정책 필드를mimeTypes
로 설정하고 압축이 적용되어야 하는 MIME 유형 목록을 지정합니다.apiVersion: operator.openshift.io/v1 kind: IngressController metadata: name: default namespace: openshift-ingress-operator spec: httpCompression: mimeTypes: - "text/html" - "text/css; charset=utf-8" - "application/json" ...
10.9.21. 라우터 지표 노출
기본 통계 포트인 1936에서 Prometheus 형식으로 기본적으로 HAProxy 라우터 지표를 노출할 수 있습니다. Prometheus와 같은 외부 메트릭 컬렉션 및 집계 시스템은 HAProxy 라우터 지표에 액세스할 수 있습니다. 브라우저에서 HAProxy 라우터 메트릭을 HTML 및 쉼표로 구분된 값(CSV) 형식으로 볼 수 있습니다.
사전 요구 사항
- 기본 통계 포트인 1936에 액세스하도록 방화벽을 구성했습니다.
프로세스
다음 명령을 실행하여 라우터 Pod 이름을 가져옵니다.
$ oc get pods -n openshift-ingress
출력 예
NAME READY STATUS RESTARTS AGE router-default-76bfffb66c-46qwp 1/1 Running 0 11h
라우터 Pod가
/var/lib/haproxy/conf/metrics-auth/statsUsername
및/var/lib/haproxy/conf/metrics-auth/statsPassword
파일에 저장하는 라우터의 사용자 이름과 암호를 가져옵니다.다음 명령을 실행하여 사용자 이름을 가져옵니다.
$ oc rsh <router_pod_name> cat metrics-auth/statsUsername
다음 명령을 실행하여 암호를 가져옵니다.
$ oc rsh <router_pod_name> cat metrics-auth/statsPassword
다음 명령을 실행하여 라우터 IP 및 메트릭 인증서를 가져옵니다.
$ oc describe pod <router_pod>
다음 명령을 실행하여 Prometheus 형식으로 원시 통계를 가져옵니다.
$ curl -u <user>:<password> http://<router_IP>:<stats_port>/metrics
다음 명령을 실행하여 메트릭에 안전하게 액세스합니다.
$ curl -u user:password https://<router_IP>:<stats_port>/metrics -k
다음 명령을 실행하여 기본 stats 포트 1936에 액세스합니다.
$ curl -u <user>:<password> http://<router_IP>:<stats_port>/metrics
예 10.1. 출력 예
... # HELP haproxy_backend_connections_total Total number of connections. # TYPE haproxy_backend_connections_total gauge haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route"} 0 haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route-alt"} 0 haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route01"} 0 ... # HELP haproxy_exporter_server_threshold Number of servers tracked and the current threshold value. # TYPE haproxy_exporter_server_threshold gauge haproxy_exporter_server_threshold{type="current"} 11 haproxy_exporter_server_threshold{type="limit"} 500 ... # HELP haproxy_frontend_bytes_in_total Current total of incoming bytes. # TYPE haproxy_frontend_bytes_in_total gauge haproxy_frontend_bytes_in_total{frontend="fe_no_sni"} 0 haproxy_frontend_bytes_in_total{frontend="fe_sni"} 0 haproxy_frontend_bytes_in_total{frontend="public"} 119070 ... # HELP haproxy_server_bytes_in_total Current total of incoming bytes. # TYPE haproxy_server_bytes_in_total gauge haproxy_server_bytes_in_total{namespace="",pod="",route="",server="fe_no_sni",service=""} 0 haproxy_server_bytes_in_total{namespace="",pod="",route="",server="fe_sni",service=""} 0 haproxy_server_bytes_in_total{namespace="default",pod="docker-registry-5-nk5fz",route="docker-registry",server="10.130.0.89:5000",service="docker-registry"} 0 haproxy_server_bytes_in_total{namespace="default",pod="hello-rc-vkjqx",route="hello-route",server="10.130.0.90:8080",service="hello-svc-1"} 0 ...
브라우저에 다음 URL을 입력하여 통계 창을 시작합니다.
http://<user>:<password>@<router_IP>:<stats_port>
선택 사항: 브라우저에 다음 URL을 입력하여 CSV 형식으로 통계를 가져옵니다.
http://<user>:<password>@<router_ip>:1936/metrics;csv
10.9.22. HAProxy 오류 코드 응답 페이지 사용자 정의
클러스터 관리자는 503, 404 또는 두 오류 페이지에 대한 사용자 지정 오류 코드 응답 페이지를 지정할 수 있습니다. HAProxy 라우터는 애플리케이션 pod가 실행 중이 아닌 경우 503 오류 페이지 또는 요청된 URL이 없는 경우 404 오류 페이지를 제공합니다. 예를 들어 503 오류 코드 응답 페이지를 사용자 지정하면 애플리케이션 pod가 실행되지 않을 때 페이지가 제공되며 HAProxy 라우터에서 잘못된 경로 또는 존재하지 않는 경로에 대해 기본 404 오류 코드 HTTP 응답 페이지가 제공됩니다.
사용자 정의 오류 코드 응답 페이지가 구성 맵에 지정되고 Ingress 컨트롤러에 패치됩니다. 구성 맵 키의 사용 가능한 파일 이름은 error-page-503.http
및 error-page-404.http
입니다.
사용자 지정 HTTP 오류 코드 응답 페이지는 HAProxy HTTP 오류 페이지 구성 지침을 따라야 합니다. 다음은 기본 OpenShift Container Platform HAProxy 라우터 http 503 오류 코드 응답 페이지의 예입니다. 기본 콘텐츠를 고유한 사용자 지정 페이지를 생성하기 위한 템플릿으로 사용할 수 있습니다.
기본적으로 HAProxy 라우터는 애플리케이션이 실행 중이 아니거나 경로가 올바르지 않거나 존재하지 않는 경우 503 오류 페이지만 제공합니다. 이 기본 동작은 OpenShift Container Platform 4.8 및 이전 버전의 동작과 동일합니다. HTTP 오류 코드 응답 사용자 정의에 대한 구성 맵이 제공되지 않고 사용자 정의 HTTP 오류 코드 응답 페이지를 사용하는 경우 라우터는 기본 404 또는 503 오류 코드 응답 페이지를 제공합니다.
OpenShift Container Platform 기본 503 오류 코드 페이지를 사용자 지정 템플릿으로 사용하는 경우 파일의 헤더에 CRLF 줄 끝을 사용할 수 있는 편집기가 필요합니다.
프로세스
openshift-config
네임스페이스에my-custom-error-code-pages
라는 구성 맵을 생성합니다.$ oc -n openshift-config create configmap my-custom-error-code-pages \ --from-file=error-page-503.http \ --from-file=error-page-404.http
중요사용자 정의 오류 코드 응답 페이지에 올바른 형식을 지정하지 않으면 라우터 Pod 중단이 발생합니다. 이 중단을 해결하려면 구성 맵을 삭제하거나 수정하고 영향을 받는 라우터 Pod를 삭제하여 올바른 정보로 다시 생성해야 합니다.
이름별로
my-custom-error-code-pages
구성 맵을 참조하도록 Ingress 컨트롤러를 패치합니다.$ oc patch -n openshift-ingress-operator ingresscontroller/default --patch '{"spec":{"httpErrorCodePages":{"name":"my-custom-error-code-pages"}}}' --type=merge
Ingress Operator는
my-custom-error-code-pages
구성 맵을openshift-config
네임스페이스에서openshift-ingress
네임스페이스로 복사합니다. Operator는openshift-ingress
네임스페이스에서<your_ingresscontroller_name>-errorpages
패턴에 따라 구성 맵의 이름을 지정합니다.복사본을 표시합니다.
$ oc get cm default-errorpages -n openshift-ingress
출력 예
NAME DATA AGE default-errorpages 2 25s 1
- 1
default
Ingress 컨트롤러 CR(사용자 정의 리소스)이 패치되었기 때문에 구성 맵 이름은default-errorpages
입니다.
사용자 정의 오류 응답 페이지가 포함된 구성 맵이 라우터 볼륨에 마운트되는지 확인합니다. 여기서 구성 맵 키는 사용자 정의 HTTP 오류 코드 응답이 있는 파일 이름입니다.
503 사용자 지정 HTTP 사용자 정의 오류 코드 응답의 경우:
$ oc -n openshift-ingress rsh <router_pod> cat /var/lib/haproxy/conf/error_code_pages/error-page-503.http
404 사용자 지정 HTTP 사용자 정의 오류 코드 응답의 경우:
$ oc -n openshift-ingress rsh <router_pod> cat /var/lib/haproxy/conf/error_code_pages/error-page-404.http
검증
사용자 정의 오류 코드 HTTP 응답을 확인합니다.
테스트 프로젝트 및 애플리케이션을 생성합니다.
$ oc new-project test-ingress
$ oc new-app django-psql-example
503 사용자 정의 http 오류 코드 응답의 경우:
- 애플리케이션의 모든 pod를 중지합니다.
다음 curl 명령을 실행하거나 브라우저에서 경로 호스트 이름을 방문합니다.
$ curl -vk <route_hostname>
404 사용자 정의 http 오류 코드 응답의 경우:
- 존재하지 않는 경로 또는 잘못된 경로를 방문합니다.
다음 curl 명령을 실행하거나 브라우저에서 경로 호스트 이름을 방문합니다.
$ curl -vk <route_hostname>
errorfile
속성이haproxy.config
파일에 제대로 있는지 확인합니다.$ oc -n openshift-ingress rsh <router> cat /var/lib/haproxy/conf/haproxy.config | grep errorfile
10.9.23. Ingress 컨트롤러 최대 연결 설정
클러스터 관리자는 OpenShift 라우터 배포에 대한 최대 동시 연결 수를 설정할 수 있습니다. 기존 Ingress 컨트롤러를 패치하여 최대 연결 수를 늘릴 수 있습니다.
사전 요구 사항
- 다음은 Ingress 컨트롤러를 이미 생성했다고 가정합니다.
프로세스
HAProxy의 최대 연결 수를 변경하도록 Ingress 컨트롤러를 업데이트합니다.
$ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"maxConnections": 7500}}}'
주의spec.tuningOptions.maxConnections
값을 현재 운영 체제 제한보다 크게 설정하면 HAProxy 프로세스가 시작되지 않습니다. 이 매개변수에 대한 자세한 내용은 "Ingress Controller 구성 매개변수" 섹션의 표를 참조하십시오.