Red Hat Summit23장. 클러스터 전체 프록시 구성
프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 기존 클러스터의 프록시 오브젝트를 수정하거나 새 클러스터의 install-config.yaml 파일에서 프록시 설정을 구성하여 프록시를 사용하도록 OpenShift Container Platform을 구성할 수 있습니다.
지원되는 플랫폼에서 클러스터에 대한 클러스터 전체 송신 프록시를 활성화하면 RHCOS(Red Hat Enterprise Linux CoreOS)는 지원되는 플랫폼에 존재하는 install-config.yaml 파일의 networking.machineNetwork[].cidr,networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 status.noProxy 매개변수를 채웁니다.
설치 후 작업에서는 networking.clusterNetwork[].cidr 값을 변경할 수 있지만 networking.machineNetwork[].cidr 및 networking.serviceNetwork[] 값은 변경할 수 없습니다. 자세한 내용은 "클러스터 네트워크 범위 구성"을 참조하십시오.
AWS(Amazon Web Services), GCP(Google Cloud Platform), Microsoft Azure 및 RHOSP(Red Hat OpenStack Platform)에 설치하는 경우 status.noProxy 매개변수도 인스턴스 메타데이터 끝점인 169.254.169.254 로 채워집니다.
RHCOS에서 프록시 오브젝트의 status: segment에 추가된 값의 예
apiVersion: config.openshift.io/v1 kind: Proxy metadata: name: cluster # ... networking: clusterNetwork: 1 - cidr: <ip_address_from_cidr> hostPrefix: 23 network type: OVNKubernetes machineNetwork: 2 - cidr: <ip_address_from_cidr> serviceNetwork: 3 - 172.30.0.0/16 # ... status: noProxy: - localhost - .cluster.local - .svc - 127.0.0.1 - <api_server_internal_url> 4 # ...
설치 유형에 networking.machineNetwork[].cidr 필드 설정이 포함되지 않은 경우 노드 간 트래픽이 프록시를 바이패스할 수 있도록 .status.noProxy 필드에 머신 IP 주소를 수동으로 포함해야 합니다.
23.1. 사전 요구 사항
클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인합니다. 클러스터를 호스팅하는 클라우드의 클라우드 공급자 API에 대한 호출을 포함하여 기본적으로 모든 클러스터 시스템 송신 트래픽이 프록시됩니다. 시스템 전체 프록시는 사용자 워크로드가 아닌 시스템 구성 요소에만 영향을 미칩니다. 필요한 경우 프록시를 바이패스하려면 프록시 오브젝트의 spec.no 매개변수에 사이트를 추가합니다.
Proxy
