Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

네트워킹 운영자

OpenShift Container Platform 4.19

OpenShift Container Platform에서 네트워킹별 운영자 관리

Red Hat OpenShift Documentation Team

초록

이 문서에서는 OpenShift Container Platform에서 다양한 네트워킹 관련 운영자의 설치, 구성 및 관리에 대해 설명합니다.

1장. Kubernetes NMState Operator
링크 복사

Kubernetes NMState Operator는 OpenShift Container Platform 클러스터 노드에서 NMState를 사용하여 상태 중심 네트워크 구성을 수행하는 데 필요한 Kubernetes API를 제공합니다. Kubernetes NMState Operator는 사용자에게 클러스터 노드에서 다양한 네트워크 인터페이스 유형, DNS 및 라우팅을 구성하는 기능을 제공합니다. 또한 클러스터 노드의 데몬은 각 노드의 네트워크 인터페이스 상태를 API 서버에 정기적으로 보고합니다.

중요

Red Hat은 베어메탈, IBM Power®, IBM Z®, IBM® LinuxONE, VMware vSphere 및 Red Hat OpenStack Platform(RHOSP) 설치의 프로덕션 환경에서 Kubernetes NMState Operator를 지원합니다.

Red Hat은 Microsoft Azure에서 Kubernetes NMState Operator를 사용하도록 지원하지만 그 기능은 제한적입니다. 지원은 설치 후 작업으로 시스템에 DNS 서버를 구성하는 것으로 제한됩니다.

OpenShift Container Platform과 함께 NMState를 사용하기 전에 Kubernetes NMState Operator를 설치해야 합니다. Kubernetes NMState Operator를 설치한 후 다음 작업을 완료할 수 있습니다.

  • 노드 네트워크 상태 및 구성 관찰 및 업데이트
  • 사용자 정의 br-ex 브리지를 포함하는 매니페스트 개체 만들기

이러한 작업에 대한 자세한 내용은 추가 리소스 섹션을 참조하세요.

참고

Kubernetes NMState Operator는 보조 NIC의 네트워크 구성을 업데이트합니다. 운영자는 기본 NIC의 네트워크 구성을 업데이트할 수 없으며, 대부분의 온프레미스 네트워크에서 br-ex 브리지를 업데이트할 수 없습니다.

베어 메탈 플랫폼에서 Kubernetes NMState Operator를 사용하여 br-ex 브리지 네트워크 구성을 업데이트하는 것은 머신 구성 매니페스트 파일에서 br-ex 브리지를 인터페이스로 설정한 경우에만 지원됩니다. 설치 후 작업으로 br-ex 브리지를 업데이트하려면 클러스터의 NodeNetworkConfigurationPolicy 사용자 정의 리소스(CR)의 NMState 구성에서 br-ex 브리지를 인터페이스로 설정해야 합니다. 자세한 내용은 설치 후 구성 에서 사용자 정의 br-ex 브리지를 포함하는 매니페스트 개체 만들기를 참조하세요.

OpenShift Container Platform에서는 nmstate를 사용하여 노드 네트워크의 상태를 보고하고 구성합니다. 이를 통해 단일 구성 매니페스트를 클러스터에 적용하여(예: 모든 노드에서 Linux 브리지 생성) 네트워크 정책 구성을 수정할 수 있습니다.

노드 네트워킹은 다음 오브젝트에서 모니터링하고 업데이트합니다.

NodeNetworkState
해당 노드의 네트워크 상태를 보고합니다.
NodeNetworkConfigurationPolicy
노드에서 요청된 네트워크 구성을 설명합니다. NodeNetworkConfigurationPolicy 매니페스트를 클러스터에 적용하는 방식으로 인터페이스 추가 및 제거를 포함하여 노드 네트워크 구성을 업데이트합니다.
NodeNetworkConfigurationEnactment
각 노드에 적용된 네트워크 정책을 보고합니다.

1.1. Kubernetes NMState Operator 설치
링크 복사

웹 콘솔이나 CLI를 사용하여 Kubernetes NMState Operator를 설치할 수 있습니다.

1.1.1. 웹 콘솔을 사용하여 Kubernetes NMState Operator 설치
링크 복사

웹 콘솔을 사용하여 Kubernetes NMState Operator를 설치할 수 있습니다. Kubernetes NMState Operator를 설치하면 Operator가 모든 클러스터 노드에 NMState State Controller를 데몬 세트로 배포합니다.

사전 요구 사항

  • cluster-admin 권한이 있는 사용자로 로그인했습니다.

프로세스

  1. OperatorsOperatorHub를 선택합니다.
  2. 모든 항목 아래의 검색 필드에 nmstate를 입력하고 Enter를 클릭하여 Kubernetes NMState Operator를 검색합니다.
  3. Kubernetes NMState Operator 검색 결과를 클릭합니다.
  4. 설치를 클릭하여 Operator 설치 창을 엽니다.
  5. 설치를 클릭하여 Operator를 설치합니다.
  6. Operator 설치가 완료되면 Operator 보기를 클릭합니다.
  7. 제공된 API 아래에서 인스턴스 생성을 클릭하여 kubernetes-nmstate의 인스턴스 생성을 위해 대화 상자를 엽니다.

  8. 대화 상자의 이름 필드에서 인스턴스 이름이 nmstate인지 확인합니다.

    참고

    이름 제한은 알려진 문제입니다. 인스턴스는 전체 클러스터에 대한 단일 생성입니다.

  9. 기본 설정을 수락하고 만들기를 클릭하여 인스턴스를 만듭니다.

1.1.2. CLI를 사용하여 Kubernetes NMState Operator 설치
링크 복사

OpenShift CLI( oc) 를 사용하여 Kubernetes NMState Operator를 설치할 수 있습니다. Operator가 설치되면 NMState State Controller를 모든 클러스터 노드에 데몬 세트로 배포할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • cluster-admin 권한이 있는 사용자로 로그인했습니다.

프로세스

  1. nmstate 연산자 네임스페이스를 만듭니다. 

    $ cat << EOF | oc apply -f -
apiVersion: v1
kind: Namespace
metadata:
  name: openshift-nmstate
spec:
  finalizers:
  - kubernetes
EOF
    Copy to Clipboard Toggle word wrap

  2. OperatorGroup을 생성합니다. 

    $ cat << EOF | oc apply -f -
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: openshift-nmstate
  namespace: openshift-nmstate
spec:
  targetNamespaces:
  - openshift-nmstate
EOF
    Copy to Clipboard Toggle word wrap

  3. nmstate 운영자 구독: 

    $ cat << EOF| oc apply -f -
apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: kubernetes-nmstate-operator
  namespace: openshift-nmstate
spec:
  channel: stable
  installPlanApproval: Automatic
  name: kubernetes-nmstate-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
EOF
    Copy to Clipboard Toggle word wrap

  4. nmstate Operator 배포에 대한 ClusterServiceVersion (CSV) 상태가 Succeeded 로 확인됩니다. 

    $ oc get clusterserviceversion -n openshift-nmstate \
 -o custom-columns=Name:.metadata.name,Phase:.status.phase
    Copy to Clipboard Toggle word wrap

  5. nmstate 연산자의 인스턴스를 생성합니다. 

    $ cat << EOF | oc apply -f -
apiVersion: nmstate.io/v1
kind: NMState
metadata:
  name: nmstate
EOF
    Copy to Clipboard Toggle word wrap

  6. DNS 연결 문제로 인해 클러스터에서 DNS 상태 검사 프로브에 문제가 발생하는 경우 다음 DNS 호스트 이름 구성을 NMState CRD에 추가하여 이러한 문제를 해결할 수 있는 상태 검사를 빌드할 수 있습니다. 

    apiVersion: nmstate.io/v1
kind: NMState
metadata:
  name: nmstate
spec:
  probeConfiguration:
    dns:
      host: redhat.com
# ...
    Copy to Clipboard Toggle word wrap

    1. 다음 명령을 실행하여 클러스터 네트워크에 DNS 호스트 이름 구성을 적용합니다. <파일 이름>을 CRD 파일 이름으로 바꿔야 합니다. 

      $ oc apply -f <filename>.yaml
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 리소스가 사용 가능 조건에 도달할 때까지 nmstate CRD를 모니터링합니다. --timeout 옵션에 값을 설정하여 사용 가능 조건이 이 설정된 최대 대기 시간 내에 충족되지 않으면 명령이 시간 초과되고 오류 메시지를 생성하도록 해야 합니다. 

      $ oc wait --for=condition=Available nmstate/nmstate --timeout=600s
      Copy to Clipboard Toggle word wrap

검증

  1. 다음 명령을 입력하여 NMState Operator의 모든 포드가 Running 상태인지 확인하세요. 

    $ oc get pod -n openshift-nmstate
    Copy to Clipboard Toggle word wrap

1.1.3. Kubernetes NMState Operator가 수집한 메트릭 보기
링크 복사

Kubernetes NMState Operator인 kubernetes-nmstate-operatorkubernetes_nmstate_features_applied 구성 요소에서 메트릭을 수집하고 이를 즉시 사용 가능한 메트릭으로 노출할 수 있습니다. 메트릭을 보기 위한 사용 사례로 NodeNetworkConfigurationPolicy 사용자 지정 리소스를 생성하고 정책이 활성화되었는지 확인하려는 상황을 고려해 보겠습니다.

참고

kubernetes_nmstate_features_applied 메트릭은 API가 아니며 OpenShift Container Platform 버전 간에 변경될 수 있습니다.

웹 콘솔에서 Metrics UI에는 선택한 프로젝트에 대한 미리 정의된 CPU, 메모리, 대역폭 및 네트워크 패킷 쿼리가 포함되어 있습니다. 프로젝트에 대한 CPU, 메모리, 대역폭, 네트워크 패킷 및 애플리케이션 메트릭에 대해 사용자 정의 Prometheus Query Language(PromQL) 쿼리를 실행할 수도 있습니다.

다음 예제에서는 OpenShift Container Platform 클러스터에 적용되는 NodeNetworkConfigurationPolicy 매니페스트 예제를 보여줍니다. 

# ...
interfaces:
  - name: br1
    type: linux-bridge
    state: up
    ipv4:
      enabled: true
      dhcp: true
      dhcp-custom-hostname: foo
    bridge:
      options:
        stp:
          enabled: false
      port: []
# ...
Copy to Clipboard Toggle word wrap

NodeNetworkConfigurationPolicy 매니페스트는 메트릭을 노출하고 이를 클러스터 모니터링 운영자(CMO)가 사용할 수 있도록 합니다. 다음 예에서는 일부 노출된 측정 항목을 보여줍니다. 

controller_runtime_reconcile_time_seconds_bucket{controller="nodenetworkconfigurationenactment",le="0.005"} 16
controller_runtime_reconcile_time_seconds_bucket{controller="nodenetworkconfigurationenactment",le="0.01"} 16
controller_runtime_reconcile_time_seconds_bucket{controller="nodenetworkconfigurationenactment",le="0.025"} 16
...
# HELP kubernetes_nmstate_features_applied Number of nmstate features applied labeled by its name
# TYPE kubernetes_nmstate_features_applied gauge
kubernetes_nmstate_features_applied{name="dhcpv4-custom-hostname"} 1
Copy to Clipboard Toggle word wrap

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 관리자 권한으로 웹 콘솔에 로그인하고 Kubernetes NMState Operator를 설치했습니다.
  • 개발자로 또는 메트릭을 확인하는 프로젝트에 대한 보기 권한이 있는 사용자로 클러스터에 액세스할 수 있습니다.
  • 사용자 정의 프로젝트에 대한 모니터링을 활성화했습니다.
  • 사용자 정의 프로젝트에 서비스를 배포했습니다.
  • NodeNetworkConfigurationPolicy 매니페스트를 생성하여 클러스터에 적용했습니다.
중요

OpenShift Container Platform 4.19부터 웹 콘솔의 관점이 통합되었습니다. 개발자 관점은 더 이상 기본적으로 활성화되지 않습니다.

모든 사용자는 OpenShift Container Platform 웹 콘솔 기능을 모두 사용할 수 있습니다. 하지만 클러스터 소유자가 아닌 경우 클러스터 소유자에게 특정 기능에 대한 액세스 권한을 요청해야 할 수도 있습니다.

개발자 관점을 계속 활성화할 수 있습니다. 웹 콘솔의 시작하기 창에서 콘솔을 둘러보고, 클러스터 설정에 대한 정보를 찾고, 개발자 관점을 활성화하기 위한 빠른 시작을 보고, 링크를 따라가서 새로운 기능과 성능을 살펴볼 수 있습니다.

프로세스

  1. OpenShift Container Platform 웹 콘솔에서 개발자 관점에서 메트릭을 보려면 다음 작업을 완료하세요.

    1. 관찰을 클릭하세요.
    2. 특정 프로젝트의 지표를 보려면 프로젝트 목록에서 프로젝트를 선택하세요. 예를 들어, openshift-nmstate .
    3. 메트릭 탭을 클릭합니다.

    4. 플롯의 메트릭을 시각화하려면 쿼리 선택 목록에서 쿼리를 선택하거나 'PromQL 표시'를 선택하여 선택한 쿼리를 기반으로 사용자 지정 PromQL 쿼리를 만듭니다.

      참고

      개발자 역할로는 한 번에 하나의 쿼리만 실행할 수 있습니다.

  2. 관리자 권한으로 OpenShift Container Platform 웹 콘솔에서 메트릭을 보려면 다음 작업을 완료하세요.

    1. 관찰지표를 클릭합니다.
    2. 표현식 필드에 kubernetes_nmstate_features_applied를 입력합니다.
    3. 쿼리 추가를 클릭한 다음 쿼리 실행을 클릭합니다.

  3. 시각화된 지표를 살펴보려면 다음 작업 중 하나를 수행하세요.

    1. 플롯을 확대하고 시간 범위를 변경하려면 다음 작업 중 하나를 수행하세요.

      • 시간 범위를 시각적으로 선택하려면 플롯을 수평으로 클릭하고 드래그하세요.
      • 시간 범위를 선택하려면 콘솔의 왼쪽 상단에 있는 메뉴를 사용하세요.
    2. 시간 범위를 재설정하려면 확대/축소 재설정을 선택합니다.
    3. 특정 시점의 모든 쿼리에 대한 출력을 표시하려면 해당 시점의 플롯에 마우스 커서를 올려놓으세요. 쿼리 출력은 팝업 상자에 표시됩니다.

1.2. Kubernetes NMState Operator 설치
링크 복사

Operator Lifecycle Manager(OLM)를 사용하여 Kubernetes NMState Operator를 제거할 수 있지만, OLM은 기본적으로 연관된 사용자 정의 리소스 정의(CRD), 사용자 정의 리소스(CR) 또는 API 서비스를 삭제하지 않습니다.

OLM에서 사용하는 구독 리소스에서 Kubernetes NMState Operator를 제거하기 전에 삭제할 Kubernetes NMState Operator 리소스를 식별합니다. 이 식별을 통해 실행 중인 클러스터에 영향을 주지 않고 리소스를 삭제할 수 있습니다.

Kubernetes NMState Operator를 다시 설치해야 하는 경우 "CLI를 사용하여 Kubernetes NMState Operator 설치" 또는 "웹 콘솔을 사용하여 Kubernetes NMState Operator 설치"를 참조하세요.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • jq CLI 도구를 설치했습니다.
  • cluster-admin 권한이 있는 사용자로 로그인했습니다.

프로세스

  1. 다음 명령을 실행하여 구독 리소스에서 Kubernetes NMState Operator 구독을 취소합니다. 

    $ oc delete --namespace openshift-nmstate subscription kubernetes-nmstate-operator
    Copy to Clipboard Toggle word wrap

  2. Kubernetes NMState Operator와 연결된 ClusterServiceVersion (CSV) 리소스를 찾으세요. 

    $ oc get --namespace openshift-nmstate clusterserviceversion
    Copy to Clipboard Toggle word wrap

    CSV 리소스를 나열하는 예제 출력

    NAME                              	  DISPLAY                   	VERSION   REPLACES     PHASE
kubernetes-nmstate-operator.v4.19.0   Kubernetes NMState Operator   4.19.0           	   Succeeded
    Copy to Clipboard Toggle word wrap

  3. CSV 리소스를 삭제합니다. 파일을 삭제하면 OLM은 Operator를 위해 생성한 RBAC 등의 특정 리소스를 삭제합니다. 

    $ oc delete --namespace openshift-nmstate clusterserviceversion kubernetes-nmstate-operator.v4.19.0
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 nmstate CR 및 관련된 배포 리소스를 삭제합니다. 

    $ oc -n openshift-nmstate delete nmstate nmstate
    Copy to Clipboard Toggle word wrap 
    $ oc delete --all deployments --namespace=openshift-nmstate
    Copy to Clipboard Toggle word wrap

  5. nmstate CR을 삭제한 후 console.operator.openshift.io/cluster CR에서 nmstate-console-plugin 콘솔 플러그인 이름을 제거합니다.

    1. 다음 명령을 실행하여 활성화된 플러그인 목록에 있는 nmstate-console-plugin 항목의 위치를 저장합니다. 다음 명령은 jq CLI 도구를 사용하여 INDEX 라는 환경 변수에 항목 인덱스를 저장합니다. 

      INDEX=$(oc get console.operator.openshift.io cluster -o json | jq -r '.spec.plugins | to_entries[] | select(.value == "nmstate-console-plugin") | .key')
      Copy to Clipboard Toggle word wrap

    2. 다음 패치 명령을 실행하여 console.operator.openshift.io/cluster CR에서 nmstate-console-plugin 항목을 제거합니다. 

      $ oc patch console.operator.openshift.io cluster --type=json -p "[{\"op\": \"remove\", \"path\": \"/spec/plugins/$INDEX\"}]"
      1
      Copy to Clipboard Toggle word wrap
      1
      INDEX는 보조 변수입니다. 이 변수에 다른 이름을 지정할 수 있습니다.

  6. 다음 명령을 실행하여 nmstates.nmstate.io 와 같은 모든 사용자 정의 리소스 정의(CRD)를 삭제합니다. 

    $ oc delete crd nmstates.nmstate.io
    Copy to Clipboard Toggle word wrap 
    $ oc delete crd nodenetworkconfigurationenactments.nmstate.io
    Copy to Clipboard Toggle word wrap 
    $ oc delete crd nodenetworkstates.nmstate.io
    Copy to Clipboard Toggle word wrap 
    $ oc delete crd nodenetworkconfigurationpolicies.nmstate.io
    Copy to Clipboard Toggle word wrap

  7. 네임스페이스를 삭제합니다. 

    $ oc delete namespace kubernetes-nmstate
    Copy to Clipboard Toggle word wrap

2장. AWS Load Balancer Operator
링크 복사

2.1. AWS 로드 밸런서 운영자 릴리스 노트
링크 복사

AWS Load Balancer(ALB) 운영자는 AWSLoadBalancerController 리소스의 인스턴스를 배포하고 관리합니다.

중요

AWS Load Balancer(ALB) 연산자는 x86_64 아키텍처에서만 지원됩니다.

이 릴리스 노트는 OpenShift Container Platform의 AWS Load Balancer Operator 개발 과정을 추적합니다.

AWS Load Balancer Operator에 대한 개요는 OpenShift Container Platform의 AWS Load Balancer Operator를 참조하세요.

참고

AWS Load Balancer Operator는 현재 AWS GovCloud를 지원하지 않습니다.

2.1.1. AWS Load Balancer Operator 1.0.0
링크 복사

다음 공지 사항은 AWS Load Balancer Operator 버전 1.2.0에 대해 제공됩니다.

2.1.1.1. 주요 변경 사항
링크 복사
  • 이 릴리스에서는 AWS Load Balancer Controller 버전 2.8.2를 지원합니다.
  • 이 릴리스를 통해 인프라 리소스에 정의된 플랫폼 태그가 이제 컨트롤러에서 생성한 모든 AWS 객체에 추가됩니다.

2.1.2. AWS Load Balancer Operator 1.0.0
링크 복사

다음 권고 사항은 AWS Load Balancer Operator 버전 1.1.1에 대해 제공됩니다.

2.1.3. AWS Load Balancer Operator 1.1.0
링크 복사

AWS Load Balancer Operator 버전 1.1.0은 AWS Load Balancer Controller 버전 2.4.4를 지원합니다.

다음 공지 사항은 AWS Load Balancer Operator 버전 1.1.0에 대해 제공됩니다.

2.1.3.1. 주요 변경 사항
링크 복사
  • 이 릴리스에서는 Kubernetes API 버전 0.27.2를 사용합니다.
2.1.3.2. 새로운 기능
링크 복사
  • AWS Load Balancer Operator는 이제 Cloud Credential Operator를 사용하여 표준화된 STS(보안 토큰 서비스) 흐름을 지원합니다.
2.1.3.3. 버그 수정
링크 복사

  • FIPS 호환 클러스터는 TLS 버전 1.2를 사용해야 합니다. 이전에는 AWS Load Balancer Controller용 웹훅이 최소 버전으로 TLS 1.3만 허용했기 때문에 FIPS 호환 클러스터에서 다음과 같은 오류가 발생했습니다. 

    remote error: tls: protocol version not supported
    Copy to Clipboard Toggle word wrap

    이제 AWS Load Balancer Controller는 최소 TLS 버전으로 TLS 1.2를 허용하여 이 문제를 해결했습니다. (OCPBUGS-14846)

2.1.4. AWS Load Balancer Operator 1.0.1
링크 복사

다음 권고 사항은 AWS Load Balancer Operator 버전 1.0.1에 대해 제공됩니다.

2.1.5. AWS Load Balancer Operator 1.0.0
링크 복사

AWS Load Balancer Operator는 이제 이 릴리스를 통해 일반적으로 사용할 수 있습니다. AWS Load Balancer Operator 버전 1.0.0은 AWS Load Balancer Controller 버전 2.4.4를 지원합니다.

다음 권고 사항은 AWS Load Balancer Operator 버전 1.0.0에 대해 제공됩니다.

중요

AWS Load Balancer(ALB) Operator 버전 1.xx는 Technology Preview 버전 0.xx에서 자동으로 업그레이드할 수 없습니다. 이전 버전에서 업그레이드하려면 ALB 피연산자를 제거하고 aws-load-balancer-operator 네임스페이스를 삭제해야 합니다.

2.1.5.1. 주요 변경 사항
링크 복사
  • 이 릴리스에서는 새로운 v1 API 버전을 사용합니다.
2.1.5.2. 버그 수정
링크 복사
  • 이전에는 AWS Load Balancer Operator가 프로비저닝한 컨트롤러가 클러스터 전체 프록시에 대한 구성을 제대로 사용하지 않았습니다. 이제 이러한 설정이 컨트롤러에 적절하게 적용됩니다. (OCPBUGS-4052, OCPBUGS-5295)

2.1.6. 이전 버전
링크 복사

AWS Load Balancer Operator의 가장 초기 버전 두 가지는 기술 미리 보기로 제공됩니다. 이러한 버전은 프로덕션 클러스터에서 사용하면 안 됩니다. Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

다음 권고 사항은 AWS Load Balancer Operator 버전 0.2.0에 대해 제공됩니다.

다음 권고 사항은 AWS Load Balancer Operator 버전 0.0.1에 대해 제공됩니다.

2.2. OpenShift 컨테이너 플랫폼의 AWS 로드 밸런서 운영자
링크 복사

AWS 로드 밸런서 운영자는 AWS 로드 밸런서 컨트롤러를 배포하고 관리합니다. OpenShift Container Platform 웹 콘솔이나 CLI를 사용하여 OperatorHub에서 AWS Load Balancer Operator를 설치할 수 있습니다.

2.2.1. AWS 로드 밸런서 운영자 고려 사항
링크 복사

AWS Load Balancer Operator를 설치하고 사용하기 전에 다음 제한 사항을 검토하세요.

  • IP 트래픽 모드는 AWS Elastic Kubernetes Service(EKS)에서만 작동합니다. AWS Load Balancer Operator는 AWS Load Balancer Controller의 IP 트래픽 모드를 비활성화합니다. IP 트래픽 모드를 비활성화한 결과, AWS Load Balancer Controller는 Pod 준비 게이트를 사용할 수 없습니다.
  • AWS Load Balancer Operator는 --disable-ingress-class-annotation--disable-ingress-group-name-annotation 과 같은 명령줄 플래그를 AWS Load Balancer Controller에 추가합니다. 따라서 AWS Load Balancer Operator는 Ingress 리소스에서 kubernetes.io/ingress.classalb.ingress.kubernetes.io/group.name 주석을 사용하는 것을 허용하지 않습니다.
  • AWS Load Balancer Operator를 구성하여 SVC 유형이 NodePort ( LoadBalancer 또는 ClusterIP가 아님)가 되도록 했습니다.

2.2.2. AWS Load Balancer Operator
링크 복사

AWS Load Balancer Operator는 kubernetes.io/role/elb 태그가 없는 경우 퍼블릭 서브넷에 태그를 지정할 수 있습니다. 또한 AWS Load Balancer Operator는 기본 AWS 클라우드에서 다음 정보를 감지합니다.

  • 운영자를 호스팅하는 클러스터가 배포된 가상 사설 클라우드(VPC)의 ID입니다.
  • 검색된 VPC의 공개 및 비공개 서브넷입니다.

AWS Load Balancer Operator는 인스턴스 대상 유형만 사용하여 Network Load Balancer(NLB)를 사용하여 LoadBalancer 유형의 Kubernetes 서비스 리소스를 지원합니다.

프로세스

  1. OperatorHub에서 AWS Load Balancer Operator를 주문형으로 배포하려면 다음 명령을 실행하여 구독 객체를 만듭니다. 

    $ oc -n aws-load-balancer-operator get sub aws-load-balancer-operator --template='{{.status.installplan.name}}{{"\n"}}'
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 설치 계획의 상태가 완료 인지 확인하세요. 

    $ oc -n aws-load-balancer-operator get ip <install_plan_name> --template='{{.status.phase}}{{"\n"}}'
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 aws-load-balancer-operator-controller-manager 배포 상태를 확인하세요. 

    $ oc get -n aws-load-balancer-operator deployment/aws-load-balancer-operator-controller-manager
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                           READY     UP-TO-DATE   AVAILABLE   AGE
aws-load-balancer-operator-controller-manager  1/1       1            1           23h
    Copy to Clipboard Toggle word wrap

2.2.3. Outpost로 확장된 AWS VPC 클러스터에서 AWS Load Balancer Operator 사용
링크 복사

AWS VPC 클러스터에서 Outpost로 확장된 AWS Application Load Balancer를 프로비저닝하도록 AWS Load Balancer Operator를 구성할 수 있습니다. AWS Outposts는 AWS 네트워크 로드 밸런서를 지원하지 않습니다. 결과적으로 AWS Load Balancer Operator는 Outpost에서 Network Load Balancer를 프로비저닝할 수 없습니다.

클라우드 서브넷이나 Outpost 서브넷에서 AWS Application Load Balancer를 생성할 수 있습니다. 클라우드의 애플리케이션 로드 밸런서는 클라우드 기반 컴퓨팅 노드에 연결될 수 있으며, 아웃포스트의 애플리케이션 로드 밸런서는 에지 컴퓨팅 노드에 연결될 수 있습니다. 외부 서브넷 또는 VPC 서브넷으로 Ingress 리소스에 주석을 달어야 하지만 둘 다 해당되지는 않습니다.

사전 요구 사항

  • AWS VPC 클러스터를 Outpost로 확장했습니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.
  • AWS Load Balancer Operator를 설치하고 AWS Load Balancer Controller를 생성했습니다.

프로세스

  • 지정된 서브넷을 사용하도록 Ingress 리소스를 구성합니다.

    Ingress 리소스 구성 예시

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: <application_name>
  annotations:
    alb.ingress.kubernetes.io/subnets: <subnet_id>
    1 
    
spec:
  ingressClassName: alb
  rules:
    - http:
        paths:
          - path: /
            pathType: Exact
            backend:
              service:
                name: <application_name>
                port:
                  number: 80
    Copy to Clipboard Toggle word wrap

    1
    사용할 서브넷을 지정합니다.
    • 아웃포스트에서 애플리케이션 로드 밸런서를 사용하려면 아웃포스트 서브넷 ID를 지정하세요.
    • 클라우드에서 Application Load Balancer를 사용하려면 서로 다른 가용성 영역에 있는 두 개 이상의 서브넷을 지정해야 합니다.

2.3. AWS Load Balancer Operator를 위한 AWS STS 클러스터 준비
링크 복사

보안 토큰 서비스(STS)를 사용하는 클러스터에 Amazon Web Services(AWS) 로드 밸런서 운영자를 설치할 수 있습니다. Operator를 설치하기 전에 다음 단계에 따라 클러스터를 준비하세요.

AWS 로드 밸런서 운영자는 CredentialsRequest 객체를 사용하여 운영자와 AWS 로드 밸런서 컨트롤러를 부트스트랩합니다. AWS 로드 밸런서 운영자는 필요한 비밀이 생성되어 사용할 수 있을 때까지 기다립니다.

2.3.1. 사전 요구 사항
링크 복사

  • OpenShift CLI(oc)를 설치합니다.

  • 클러스터의 인프라 ID를 알고 있습니다. 이 ID를 표시하려면 CLI에서 다음 명령을 실행하세요. 

    $ oc get infrastructure cluster -o=jsonpath="{.status.infrastructureName}"
    Copy to Clipboard Toggle word wrap

  • 클러스터의 OpenID Connect(OIDC) DNS 정보를 알고 있습니다. 이 정보를 표시하려면 CLI에 다음 명령을 입력하세요. 

    $ oc get authentication.config cluster -o=jsonpath="{.spec.serviceAccountIssuer}"
    1
    Copy to Clipboard Toggle word wrap
    1
    OIDC DNS의 예는 https://rh-oidc.s3.us-east-1.amazonaws.com/28292va7ad7mr9r4he1fb09b14t59t4f 입니다.
  • AWS 웹 콘솔에 로그인하고 IAM액세스 관리ID 공급자 로 이동하여 OIDC Amazon 리소스 이름(ARN) 정보를 찾았습니다. OIDC ARN의 예는 arn:aws:iam::777777777777:oidc-provider/<oidc_dns_url> 입니다.

2.3.2. AWS Load Balancer Operator에 대한 IAM 역할 생성
링크 복사

STS를 사용하는 클러스터에 AWS Load Balancer Operator를 성공적으로 설치하려면 추가적인 Amazon Web Services(AWS) Identity and Access Management(IAM) 역할이 필요합니다. 서브넷 및 VPC(가상 사설 클라우드)와 상호 작용하려면 IAM 역할이 필요합니다. AWS Load Balancer Operator는 IAM 역할로 CredentialsRequest 객체를 생성하여 자체적으로 부트스트랩합니다.

다음 옵션을 사용하여 IAM 역할을 만들 수 있습니다.

사용자 환경이 ccoctl 명령을 지원하지 않는 경우 AWS CLI를 사용하세요.

2.3.2.1. Cloud Credential Operator 유틸리티를 사용하여 AWS IAM 역할 생성
링크 복사

Cloud Credential Operator 유틸리티( ccoctl )를 사용하여 AWS Load Balancer Operator에 대한 AWS IAM 역할을 생성할 수 있습니다. AWS IAM 역할은 서브넷 및 VPC(가상 사설 클라우드)와 상호 작용합니다.

사전 요구 사항

  • ccoctl 바이너리를 추출하고 준비해야 합니다.

프로세스

  1. 다음 명령을 실행하여 CredentialsRequest 사용자 정의 리소스(CR)를 다운로드하고 디렉토리에 저장합니다. 

    $ curl --create-dirs -o <credentials_requests_dir>/operator.yaml https://raw.githubusercontent.com/openshift/aws-load-balancer-operator/main/hack/operator-credentials-request.yaml
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 ccoctl 유틸리티를 사용하여 AWS IAM 역할을 만듭니다. 

    $ ccoctl aws create-iam-roles \
    --name <name> \
    --region=<aws_region> \
    --credentials-requests-dir=<credentials_requests_dir> \
    --identity-provider-arn <oidc_arn>
    Copy to Clipboard Toggle word wrap

    출력 예

    2023/09/12 11:38:57 Role arn:aws:iam::777777777777:role/<name>-aws-load-balancer-operator-aws-load-balancer-operator created
    1 
    
2023/09/12 11:38:57 Saved credentials configuration to: /home/user/<credentials_requests_dir>/manifests/aws-load-balancer-operator-aws-load-balancer-operator-credentials.yaml
2023/09/12 11:38:58 Updated Role policy for Role <name>-aws-load-balancer-operator-aws-load-balancer-operator created
    Copy to Clipboard Toggle word wrap

    1
    AWS Load Balancer Operator에 대해 생성된 AWS IAM 역할의 Amazon 리소스 이름(ARN)을 기록해 두세요(예 : arn:aws:iam::777777777777:role/<name>-aws-load-balancer-operator-aws-load-balancer-operator) .
    참고

    AWS IAM 역할 이름의 길이는 12자 이하여야 합니다.

2.3.2.2. AWS CLI를 사용하여 AWS IAM 역할 생성
링크 복사

AWS 명령줄 인터페이스를 사용하여 AWS Load Balancer Operator에 대한 IAM 역할을 생성할 수 있습니다. IAM 역할은 서브넷 및 VPC(가상 사설 클라우드)와 상호 작용하는 데 사용됩니다.

사전 요구 사항

  • AWS 명령줄 인터페이스( aws )에 액세스할 수 있어야 합니다.

프로세스

  1. 다음 명령을 실행하여 ID 공급자를 사용하여 신뢰 정책 파일을 생성합니다. 

    $ cat <<EOF > albo-operator-trust-policy.json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "<oidc_arn>"
    1 
    
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "<cluster_oidc_endpoint>:sub": "system:serviceaccount:aws-load-balancer-operator:aws-load-balancer-operator-controller-manager"
    2 
    
                }
            }
        }
    ]
}
EOF
    Copy to Clipboard Toggle word wrap
    1
    OIDC ID 공급자의 Amazon 리소스 이름(ARN)을 지정합니다(예 : arn:aws:iam::777777777777:oidc-provider/rh-oidc.s3.us-east-1.amazonaws.com/28292va7ad7mr9r4he1fb09b14t59t4f) .
    2
    AWS Load Balancer Controller에 대한 서비스 계정을 지정합니다. <cluster_oidc_endpoint> 의 예는 rh-oidc.s3.us-east-1.amazonaws.com/28292va7ad7mr9r4he1fb09b14t59t4f 입니다.

  2. 다음 명령을 실행하여 생성된 신뢰 정책으로 IAM 역할을 만듭니다. 

    $ aws iam create-role --role-name albo-operator --assume-role-policy-document file://albo-operator-trust-policy.json
    Copy to Clipboard Toggle word wrap

    출력 예

    ROLE	arn:aws:iam::<aws_account_number>:role/albo-operator	2023-08-02T12:13:22Z
    1 
    
ASSUMEROLEPOLICYDOCUMENT	2012-10-17
STATEMENT	sts:AssumeRoleWithWebIdentity	Allow
STRINGEQUALS	system:serviceaccount:aws-load-balancer-operator:aws-load-balancer-controller-manager
PRINCIPAL	arn:aws:iam:<aws_account_number>:oidc-provider/<cluster_oidc_endpoint>
    Copy to Clipboard Toggle word wrap

    1
    AWS Load Balancer Operator에 대해 생성된 AWS IAM 역할의 ARN을 기록해 두세요(예 : arn:aws:iam::777777777777:role/albo-operator ) .

  3. 다음 명령을 실행하여 AWS Load Balancer Operator에 대한 권한 정책을 다운로드하세요. 

    $ curl -o albo-operator-permission-policy.json https://raw.githubusercontent.com/openshift/aws-load-balancer-operator/main/hack/operator-permission-policy.json
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 AWS Load Balancer Controller에 대한 권한 정책을 IAM 역할에 연결합니다. 

    $ aws iam put-role-policy --role-name albo-operator --policy-name perms-policy-albo-operator --policy-document file://albo-operator-permission-policy.json
    Copy to Clipboard Toggle word wrap

2.3.3. AWS Load Balancer Operator에 대한 ARN 역할 구성
링크 복사

AWS Load Balancer Operator에 대한 Amazon 리소스 이름(ARN) 역할을 환경 변수로 구성할 수 있습니다. CLI를 사용하여 ARN 역할을 구성할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.

프로세스

  1. 다음 명령을 실행하여 aws-load-balancer-operator 프로젝트를 만듭니다. 

    $ oc new-project aws-load-balancer-operator
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 OperatorGroup 객체를 만듭니다. 

    $ cat <<EOF | oc apply -f -
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: aws-load-balancer-operator
  namespace: aws-load-balancer-operator
spec:
  targetNamespaces: []
EOF
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 서브스크립션 오브젝트를 생성합니다. 

    $ cat <<EOF | oc apply -f -
apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: aws-load-balancer-operator
  namespace: aws-load-balancer-operator
spec:
  channel: stable-v1
  name: aws-load-balancer-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  config:
    env:
    - name: ROLEARN
      value: "<albo_role_arn>"
    1 
    
EOF
    Copy to Clipboard Toggle word wrap
    1
    AWS Load Balancer Operator에 대한 AWS 자격 증명을 프로비저닝하기 위해 CredentialsRequest 에서 사용할 ARN 역할을 지정합니다. <albo_role_arn> 의 예는 arn:aws:iam::<aws_account_number>:role/albo-operator 입니다.
    참고

    AWS 로드 밸런서 운영자는 비밀이 생성될 때까지 기다린 후 사용 가능 상태로 전환합니다.

2.3.4. AWS Load Balancer Controller에 대한 IAM 역할 생성
링크 복사

AWS Load Balancer Controller의 CredentialsRequest 객체는 수동으로 프로비저닝된 IAM 역할로 설정해야 합니다.

다음 옵션을 사용하여 IAM 역할을 만들 수 있습니다.

사용자 환경이 ccoctl 명령을 지원하지 않는 경우 AWS CLI를 사용하세요.

Cloud Credential Operator 유틸리티( ccoctl )를 사용하여 AWS Load Balancer Controller에 대한 AWS IAM 역할을 생성할 수 있습니다. AWS IAM 역할은 서브넷 및 VPC(가상 사설 클라우드)와 상호 작용하는 데 사용됩니다.

사전 요구 사항

  • ccoctl 바이너리를 추출하고 준비해야 합니다.

프로세스

  1. 다음 명령을 실행하여 CredentialsRequest 사용자 정의 리소스(CR)를 다운로드하고 디렉토리에 저장합니다. 

    $ curl --create-dirs -o <credentials_requests_dir>/controller.yaml https://raw.githubusercontent.com/openshift/aws-load-balancer-operator/main/hack/controller/controller-credentials-request.yaml
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 ccoctl 유틸리티를 사용하여 AWS IAM 역할을 만듭니다. 

    $ ccoctl aws create-iam-roles \
    --name <name> \
    --region=<aws_region> \
    --credentials-requests-dir=<credentials_requests_dir> \
    --identity-provider-arn <oidc_arn>
    Copy to Clipboard Toggle word wrap

    출력 예

    2023/09/12 11:38:57 Role arn:aws:iam::777777777777:role/<name>-aws-load-balancer-operator-aws-load-balancer-controller created
    1 
    
2023/09/12 11:38:57 Saved credentials configuration to: /home/user/<credentials_requests_dir>/manifests/aws-load-balancer-operator-aws-load-balancer-controller-credentials.yaml
2023/09/12 11:38:58 Updated Role policy for Role <name>-aws-load-balancer-operator-aws-load-balancer-controller created
    Copy to Clipboard Toggle word wrap

    1
    AWS Load Balancer Controller에 대해 생성된 AWS IAM 역할의 Amazon 리소스 이름(ARN)을 기록해 두세요(예 : arn:aws:iam::777777777777:role/<name>-aws-load-balancer-operator-aws-load-balancer-controller ) .
    참고

    AWS IAM 역할 이름의 길이는 12자 이하여야 합니다.

2.3.4.2. AWS CLI를 사용하여 컨트롤러에 대한 AWS IAM 역할 생성
링크 복사

AWS 명령줄 인터페이스를 사용하여 AWS Load Balancer Controller에 대한 AWS IAM 역할을 생성할 수 있습니다. AWS IAM 역할은 서브넷 및 VPC(가상 사설 클라우드)와 상호 작용하는 데 사용됩니다.

사전 요구 사항

  • AWS 명령줄 인터페이스( aws )에 액세스할 수 있어야 합니다.

프로세스

  1. 다음 명령을 실행하여 ID 공급자를 사용하여 신뢰 정책 파일을 생성합니다. 

    $ cat <<EOF > albo-controller-trust-policy.json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "<oidc_arn>"
    1 
    
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "<cluster_oidc_endpoint>:sub": "system:serviceaccount:aws-load-balancer-operator:aws-load-balancer-operator-controller-manager"
    2 
    
                }
            }
        }
    ]
}
EOF
    Copy to Clipboard Toggle word wrap
    1
    OIDC ID 공급자의 Amazon 리소스 이름(ARN)을 지정합니다(예 : arn:aws:iam::777777777777:oidc-provider/rh-oidc.s3.us-east-1.amazonaws.com/28292va7ad7mr9r4he1fb09b14t59t4f) .
    2
    AWS Load Balancer Controller에 대한 서비스 계정을 지정합니다. <cluster_oidc_endpoint> 의 예는 rh-oidc.s3.us-east-1.amazonaws.com/28292va7ad7mr9r4he1fb09b14t59t4f 입니다.

  2. 다음 명령을 실행하여 생성된 신뢰 정책으로 AWS IAM 역할을 만듭니다. 

    $ aws iam create-role --role-name albo-controller --assume-role-policy-document file://albo-controller-trust-policy.json
    Copy to Clipboard Toggle word wrap

    출력 예

    ROLE	arn:aws:iam::<aws_account_number>:role/albo-controller	2023-08-02T12:13:22Z
    1 
    
ASSUMEROLEPOLICYDOCUMENT	2012-10-17
STATEMENT	sts:AssumeRoleWithWebIdentity	Allow
STRINGEQUALS	system:serviceaccount:aws-load-balancer-operator:aws-load-balancer-operator-controller-manager
PRINCIPAL	arn:aws:iam:<aws_account_number>:oidc-provider/<cluster_oidc_endpoint>
    Copy to Clipboard Toggle word wrap

    1
    AWS Load Balancer Controller에 대한 AWS IAM 역할의 ARN(예 : arn:aws:iam::777777777777:role/albo-controller ) 을 기록해 보세요.

  3. 다음 명령을 실행하여 AWS Load Balancer Controller에 대한 권한 정책을 다운로드합니다. 

    $ curl -o albo-controller-permission-policy.json https://raw.githubusercontent.com/openshift/aws-load-balancer-operator/main/assets/iam-policy.json
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 AWS Load Balancer Controller에 대한 권한 정책을 AWS IAM 역할에 연결합니다. 

    $ aws iam put-role-policy --role-name albo-controller --policy-name perms-policy-albo-controller --policy-document file://albo-controller-permission-policy.json
    Copy to Clipboard Toggle word wrap

  5. AWSLoadBalancerController 객체를 정의하는 YAML 파일을 만듭니다.

    sample-aws-lb-manual-creds.yaml 파일 예시

    apiVersion: networking.olm.openshift.io/v1
kind: AWSLoadBalancerController
    1 
    
metadata:
  name: cluster
    2 
    
spec:
  credentialsRequestConfig:
    stsIAMRoleARN: <albc_role_arn>
    3
    Copy to Clipboard Toggle word wrap

    1
    AWSLoadBalancerController 객체를 정의합니다.
    2
    AWS Load Balancer Controller 이름을 정의합니다. 모든 관련 리소스는 이 인스턴스 이름을 접미사로 사용합니다.
    3
    AWS Load Balancer Controller에 대한 ARN 역할을 지정합니다. CredentialsRequest 객체는 이 ARN 역할을 사용하여 AWS 자격 증명을 프로비저닝합니다. <albc_role_arn> 의 예는 arn:aws:iam::777777777777:role/albo-controller 입니다 .

2.4. AWS 로드 밸런서 운영자 설치
링크 복사

AWS 로드 밸런서 운영자는 AWS 로드 밸런서 컨트롤러를 배포하고 관리합니다. OpenShift Container Platform 웹 콘솔이나 CLI를 사용하여 OperatorHub에서 AWS Load Balancer Operator를 설치할 수 있습니다.

2.4.1. 웹 콘솔을 사용하여 AWS Load Balancer Operator 설치
링크 복사

웹 콘솔을 사용하여 AWS Load Balancer Operator를 설치할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 웹 콘솔에 cluster-admin 권한이 있는 사용자로 로그인합니다.
  • 귀하의 클러스터는 플랫폼 유형 및 클라우드 공급자로 AWS로 구성되었습니다.
  • 보안 토큰 서비스(STS) 또는 사용자 제공 인프라를 사용하는 경우 관련 준비 단계를 따르세요. 예를 들어 AWS 보안 토큰 서비스를 사용하는 경우 "AWS 보안 토큰 서비스(STS)를 사용하여 클러스터에서 AWS 로드 밸런서 운영자 준비"를 참조하세요.

프로세스

  1. OpenShift Container Platform 웹 콘솔에서 OperatorOperatorHub로 이동합니다.
  2. AWS Load Balancer Operator를 선택합니다. 키워드로 필터링 텍스트 상자를 사용하거나 필터 목록을 사용하여 운영자 목록에서 AWS Load Balancer 운영자를 검색할 수 있습니다.
  3. aws-load-balancer-operator 네임스페이스를 선택합니다.

  4. 설치 운영자 페이지에서 다음 옵션을 선택하세요.

    1. 채널을 stable-v1 로 업데이트합니다.
    2. 설치 모드클러스터의 모든 네임스페이스(기본값) 입니다.
    3. 네임스페이스를 aws-load-balancer-operator설치했습니다 . aws-load-balancer-operator 네임스페이스가 없으면 Operator 설치 중에 생성됩니다.
    4. 업데이트 승인을 자동 또는 수동 으로 선택합니다. 기본적으로 업데이트 승인은 자동 으로 설정됩니다. 자동 업데이트를 선택하면 OLM(Operator Lifecycle Manager)은 개입 없이 Operator의 실행 중인 인스턴스를 자동으로 업그레이드합니다. 수동 업데이트를 선택하면 OLM에서 업데이트 요청을 생성합니다. 클러스터 관리자는 Operator를 새 버전으로 업데이트하려면 OLM 업데이트 요청을 수동으로 승인해야 합니다.
  5. 설치를 클릭합니다.

검증

  • 설치된 운영자 대시보드에서 AWS Load Balancer 운영자의 상태가 성공 으로 표시되는지 확인합니다.

2.4.2. CLI를 사용하여 AWS Load Balancer Operator 설치
링크 복사

CLI를 사용하여 AWS Load Balancer Operator를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 OpenShift Container Platform 웹 콘솔에 로그인되어 있습니다.
  • 귀하의 클러스터는 플랫폼 유형 및 클라우드 공급자로 AWS로 구성되었습니다.
  • OpenShift CLI( oc )에 로그인했습니다.

프로세스

  1. 네임스페이스 객체를 만듭니다.

    1. 네임스페이스 객체를 정의하는 YAML 파일을 만듭니다.

      namespace.yaml 파일 예

      apiVersion: v1
kind: Namespace
metadata:
  name: aws-load-balancer-operator
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 네임스페이스 객체를 만듭니다. 

      $ oc apply -f namespace.yaml
      Copy to Clipboard Toggle word wrap

  2. OperatorGroup 오브젝트를 생성합니다.

    1. OperatorGroup 객체를 정의하는 YAML 파일을 만듭니다.

      operatorgroup.yaml 파일 예시

      apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: aws-lb-operatorgroup
  namespace: aws-load-balancer-operator
spec:
  upgradeStrategy: Default
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 OperatorGroup 객체를 만듭니다. 

      $ oc apply -f operatorgroup.yaml
      Copy to Clipboard Toggle word wrap

  3. Subscription 오브젝트를 생성합니다.

    1. 구독 객체를 정의하는 YAML 파일을 만듭니다.

      subscription.yaml 파일 예시

      apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: aws-load-balancer-operator
  namespace: aws-load-balancer-operator
spec:
  channel: stable-v1
  installPlanApproval: Automatic
  name: aws-load-balancer-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 서브스크립션 오브젝트를 생성합니다. 

      $ oc apply -f subscription.yaml
      Copy to Clipboard Toggle word wrap

검증

  1. 구독에서 설치 계획의 이름을 가져옵니다. 

    $ oc -n aws-load-balancer-operator \
  get subscription aws-load-balancer-operator \
  --template='{{.status.installplan.name}}{{"\n"}}'
    Copy to Clipboard Toggle word wrap

  2. 설치 계획의 상태를 확인하세요. 

    $ oc -n aws-load-balancer-operator \
  get ip <install_plan_name> \
  --template='{{.status.phase}}{{"\n"}}'
    Copy to Clipboard Toggle word wrap

    출력은 완료 되어야 합니다.

2.4.3. AWS 로드 밸런서 컨트롤러 생성
링크 복사

클러스터에 AWSLoadBalancerController 객체의 단일 인스턴스만 설치할 수 있습니다. CLI를 사용하여 AWS Load Balancer Controller를 생성할 수 있습니다. AWS Load Balancer Operator는 리소스라는 이름의 클러스터 만 조정합니다.

사전 요구 사항

  • echoserver 네임스페이스를 생성했습니다.
  • OpenShift CLI(oc)에 액세스할 수 있습니다.

프로세스

  1. AWSLoadBalancerController 객체를 정의하는 YAML 파일을 만듭니다.

    sample-aws-lb.yaml 파일 예시

    apiVersion: networking.olm.openshift.io/v1
kind: AWSLoadBalancerController
    1 
    
metadata:
  name: cluster
    2 
    
spec:
  subnetTagging: Auto
    3 
    
  additionalResourceTags:
    4 
    
  - key: example.org/security-scope
    value: staging
  ingressClass: alb
    5 
    
  config:
    replicas: 2
    6 
    
  enabledAddons:
    7 
    
    - AWSWAFv2
    8
    Copy to Clipboard Toggle word wrap

    1
    AWSLoadBalancerController 객체를 정의합니다.
    2
    AWS Load Balancer Controller 이름을 정의합니다. 이 인스턴스 이름은 모든 관련 리소스에 접미사로 추가됩니다.
    3
    AWS Load Balancer Controller에 대한 서브넷 태그 지정 방법을 구성합니다. 유효한 값은 다음과 같습니다.
    • 자동 : AWS Load Balancer Operator는 클러스터에 속하는 서브넷을 결정하고 이에 적절한 태그를 지정합니다. 내부 서브넷 태그가 내부 서브넷에 없으면 운영자는 역할을 올바르게 결정할 수 없습니다.
    • 수동 : 클러스터에 속한 서브넷에 적절한 역할 태그를 수동으로 지정합니다. 사용자가 제공한 인프라에 클러스터를 설치한 경우 이 옵션을 사용하세요.
    4
    AWS 리소스를 프로비저닝할 때 AWS Load Balancer Controller에서 사용하는 태그를 정의합니다.
    5
    수신 클래스 이름을 정의합니다. 기본값은 alpha입니다.
    6
    AWS Load Balancer Controller의 복제본 수를 지정합니다.
    7
    AWS Load Balancer Controller에 대한 추가 기능으로 주석을 지정합니다.
    8
    alb.ingress.kubernetes.io/wafv2-acl-arn 주석을 활성화합니다.

  2. 다음 명령을 실행하여 AWSLoadBalancerController 객체를 만듭니다. 

    $ oc create -f sample-aws-lb.yaml
    Copy to Clipboard Toggle word wrap

  3. 배포 리소스를 정의하는 YAML 파일을 만듭니다.

    sample-aws-lb.yaml 파일 예시

    apiVersion: apps/v1
kind: Deployment
    1 
    
metadata:
  name: <echoserver>
    2 
    
  namespace: echoserver
spec:
  selector:
    matchLabels:
      app: echoserver
  replicas: 3
    3 
    
  template:
    metadata:
      labels:
        app: echoserver
    spec:
      containers:
        - image: openshift/origin-node
          command:
           - "/bin/socat"
          args:
            - TCP4-LISTEN:8080,reuseaddr,fork
            - EXEC:'/bin/bash -c \"printf \\\"HTTP/1.0 200 OK\r\n\r\n\\\"; sed -e \\\"/^\r/q\\\"\"'
          imagePullPolicy: Always
          name: echoserver
          ports:
            - containerPort: 8080
    Copy to Clipboard Toggle word wrap

    1
    배포 리소스를 정의합니다.
    2
    배포 이름을 지정합니다.
    3
    배포 복제본 수를 지정합니다.

  4. 서비스 리소스를 정의하는 YAML 파일을 만듭니다.

    service-albo.yaml 파일 예시

    apiVersion: v1
kind: Service
    1 
    
metadata:
  name: <echoserver>
    2 
    
  namespace: echoserver
spec:
  ports:
    - port: 80
      targetPort: 8080
      protocol: TCP
  type: NodePort
  selector:
    app: echoserver
    Copy to Clipboard Toggle word wrap

    1
    서비스 리소스를 정의합니다.
    2
    서비스 이름을 지정합니다.

  5. Ingress 리소스를 정의하는 YAML 파일을 만듭니다.

    ingress-albo.yaml 파일 예시

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: <name>
    1 
    
  namespace: echoserver
  annotations:
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: instance
spec:
  ingressClassName: alb
  rules:
    - http:
        paths:
          - path: /
            pathType: Exact
            backend:
              service:
                name: <echoserver>
    2 
    
                port:
                  number: 80
    Copy to Clipboard Toggle word wrap

    1
    Ingress 리소스의 이름을 지정합니다.
    2
    서비스 이름을 지정합니다.

검증

  • 다음 명령을 실행하여 HOST 변수에 Ingress 리소스 상태를 저장합니다. 

    $ HOST=$(oc get ingress -n echoserver echoserver --template='{{(index .status.loadBalancer.ingress 0).hostname}}')
    Copy to Clipboard Toggle word wrap

  • 다음 명령을 실행하여 Ingress 리소스의 상태를 확인하세요. 

    $ curl $HOST
    Copy to Clipboard Toggle word wrap

2.5. AWS 로드 밸런서 운영자 구성
링크 복사

2.5.1. 클러스터 전체 프록시의 인증 기관 신뢰
링크 복사

AWS Load Balancer Operator에서 클러스터 전체 프록시를 구성할 수 있습니다. 클러스터 전체 프록시를 구성한 후, Operator Lifecycle Manager(OLM)는 HTTP_PROXY , HTTPS_PROXY , NO_PROXY 와 같은 환경 변수를 사용하여 모든 Operator 배포를 자동으로 업데이트합니다. 이러한 변수는 AWS Load Balancer Operator에 의해 관리되는 컨트롤러에 채워집니다.

  1. 다음 명령을 실행하여 aws-load-balancer-operator 네임스페이스에 인증 기관(CA) 번들을 포함하는 구성 맵을 만듭니다. 

    $ oc -n aws-load-balancer-operator create configmap trusted-ca
    Copy to Clipboard Toggle word wrap

  2. 신뢰할 수 있는 CA 번들을 구성 맵에 주입하려면 다음 명령을 실행하여 구성 맵에 config.openshift.io/inject-trusted-cabundle=true 레이블을 추가합니다. 

    $ oc -n aws-load-balancer-operator label cm trusted-ca config.openshift.io/inject-trusted-cabundle=true
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 AWS Load Balancer Operator 배포의 구성 맵에 액세스하도록 AWS Load Balancer Operator 구독을 업데이트합니다. 

    $ oc -n aws-load-balancer-operator patch subscription aws-load-balancer-operator --type='merge' -p '{"spec":{"config":{"env":[{"name":"TRUSTED_CA_CONFIGMAP_NAME","value":"trusted-ca"}],"volumes":[{"name":"trusted-ca","configMap":{"name":"trusted-ca"}}],"volumeMounts":[{"name":"trusted-ca","mountPath":"/etc/pki/tls/certs/albo-tls-ca-bundle.crt","subPath":"ca-bundle.crt"}]}}}'
    Copy to Clipboard Toggle word wrap

  4. AWS Load Balancer Operator가 배포된 후 다음 명령을 실행하여 CA 번들이 aws-load-balancer-operator-controller-manager 배포에 추가되었는지 확인합니다. 

    $ oc -n aws-load-balancer-operator exec deploy/aws-load-balancer-operator-controller-manager -c manager -- bash -c "ls -l /etc/pki/tls/certs/albo-tls-ca-bundle.crt; printenv TRUSTED_CA_CONFIGMAP_NAME"
    Copy to Clipboard Toggle word wrap

    출력 예

    -rw-r--r--. 1 root 1000690000 5875 Jan 11 12:25 /etc/pki/tls/certs/albo-tls-ca-bundle.crt
trusted-ca
    Copy to Clipboard Toggle word wrap

  5. 선택 사항: 다음 명령을 실행하여 구성 맵이 변경될 때마다 AWS Load Balancer Operator 배포를 다시 시작합니다. 

    $ oc -n aws-load-balancer-operator rollout restart deployment/aws-load-balancer-operator-controller-manager
    Copy to Clipboard Toggle word wrap

2.5.2. AWS Load Balancer에 TLS 종료 추가
링크 복사

도메인의 트래픽을 서비스의 Pod로 라우팅하고 AWS Load Balancer에 TLS 종료를 추가할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)에 액세스할 수 있습니다.

프로세스

  1. AWSLoadBalancerController 리소스를 정의하는 YAML 파일을 만듭니다.

    add-tls-termination-albc.yaml 파일 예시

    apiVersion: networking.olm.openshift.io/v1
kind: AWSLoadBalancerController
metadata:
  name: cluster
spec:
  subnetTagging: Auto
  ingressClass: tls-termination
    1
    Copy to Clipboard Toggle word wrap

    1
    수신 클래스 이름을 정의합니다. 클러스터에 수신 클래스가 없으면 AWS Load Balancer Controller가 수신 클래스를 생성합니다. spec.controller가 ingress.k8s.aws/alb 로 설정된 경우 AWS Load Balancer Controller는 추가 수신 클래스 값을 조정합니다.

  2. Ingress 리소스를 정의하는 YAML 파일을 만듭니다.

    add-tls-termination-ingress.yaml 파일 예시

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: <example>
    1 
    
  annotations:
    alb.ingress.kubernetes.io/scheme: internet-facing
    2 
    
    alb.ingress.kubernetes.io/certificate-arn: arn:aws:acm:us-west-2:xxxxx
    3 
    
spec:
  ingressClassName: tls-termination
    4 
    
  rules:
  - host: example.com
    5 
    
    http:
        paths:
          - path: /
            pathType: Exact
            backend:
              service:
                name: <example_service>
    6 
    
                port:
                  number: 80
    Copy to Clipboard Toggle word wrap

    1
    수신 이름을 지정합니다.
    2
    컨트롤러는 인터넷을 통해 로드 밸런서에 액세스할 수 있도록 공용 서브넷에서 로드 밸런서의 수신을 프로비저닝합니다.
    3
    로드 밸런서에 첨부하는 인증서의 Amazon 리소스 이름(ARN)입니다.
    4
    수신 클래스 이름을 정의합니다.
    5
    트래픽 라우팅을 위한 도메인을 정의합니다.
    6
    트래픽 라우팅에 대한 서비스를 정의합니다.

2.5.3. 단일 AWS 로드 밸런서를 통해 여러 개의 수신 리소스 생성
링크 복사

단일 AWS Load Balancer를 통해 단일 도메인에 속한 여러 개의 수신 리소스가 있는 다양한 서비스로 트래픽을 라우팅할 수 있습니다. 각 수신 리소스는 도메인의 다른 엔드포인트를 제공합니다.

사전 요구 사항

  • OpenShift CLI(oc)에 액세스할 수 있습니다.

프로세스

  1. 다음과 같이 sample-single-lb-params.yaml 과 같은 IngressClassParams 리소스 YAML 파일을 만듭니다. 

    apiVersion: elbv2.k8s.aws/v1beta1
    1 
    
kind: IngressClassParams
metadata:
  name: single-lb-params
    2 
    
spec:
  group:
    name: single-lb
    3
    Copy to Clipboard Toggle word wrap
    1
    IngressClassParams 리소스의 API 그룹과 버전을 정의합니다.
    2
    IngressClassParams 리소스 이름을 지정합니다.
    3
    IngressGroup 리소스 이름을 지정합니다. 이 클래스의 모든 Ingress 리소스는 이 IngressGroup 에 속합니다.

  2. 다음 명령을 실행하여 IngressClassParams 리소스를 만듭니다. 

    $ oc create -f sample-single-lb-params.yaml
    Copy to Clipboard Toggle word wrap

  3. 다음과 같이 IngressClass 리소스 YAML 파일(예: sample-single-lb-class.yaml) 을 만듭니다. 

    apiVersion: networking.k8s.io/v1
    1 
    
kind: IngressClass
metadata:
  name: single-lb
    2 
    
spec:
  controller: ingress.k8s.aws/alb
    3 
    
  parameters:
    apiGroup: elbv2.k8s.aws
    4 
    
    kind: IngressClassParams
    5 
    
    name: single-lb-params
    6
    Copy to Clipboard Toggle word wrap
    1
    IngressClass 리소스의 API 그룹과 버전을 정의합니다.
    2
    수신 클래스 이름을 지정합니다.
    3
    컨트롤러 이름을 정의합니다. ingress.k8s.aws/alb 값은 이 클래스의 모든 ingress 리소스가 AWS Load Balancer Controller에서 관리되어야 함을 나타냅니다.
    4
    IngressClassParams 리소스의 API 그룹을 정의합니다.
    5
    IngressClassParams 리소스의 리소스 유형을 정의합니다.
    6
    IngressClassParams 리소스 이름을 정의합니다.

  4. 다음 명령을 실행하여 IngressClass 리소스를 만듭니다. 

    $ oc create -f sample-single-lb-class.yaml
    Copy to Clipboard Toggle word wrap

  5. 다음과 같이 AWSLoadBalancerController 리소스 YAML 파일(예: sample-single-lb.yaml ) 을 만듭니다. 

    apiVersion: networking.olm.openshift.io/v1
kind: AWSLoadBalancerController
metadata:
  name: cluster
spec:
  subnetTagging: Auto
  ingressClass: single-lb
    1
    Copy to Clipboard Toggle word wrap
    1
    IngressClass 리소스의 이름을 정의합니다.

  6. 다음 명령을 실행하여 AWSLoadBalancerController 리소스를 만듭니다. 

    $ oc create -f sample-single-lb.yaml
    Copy to Clipboard Toggle word wrap

  7. 다음과 같이 Ingress 리소스 YAML 파일(예: sample-multiple-ingress.yaml ) 을 만듭니다. 

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-1
    1 
    
  annotations:
    alb.ingress.kubernetes.io/scheme: internet-facing
    2 
    
    alb.ingress.kubernetes.io/group.order: "1"
    3 
    
    alb.ingress.kubernetes.io/target-type: instance
    4 
    
spec:
  ingressClassName: single-lb
    5 
    
  rules:
  - host: example.com
    6 
    
    http:
        paths:
        - path: /blog
    7 
    
          pathType: Prefix
          backend:
            service:
              name: example-1
    8 
    
              port:
                number: 80
    9 
    
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-2
  annotations:
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/group.order: "2"
    alb.ingress.kubernetes.io/target-type: instance
spec:
  ingressClassName: single-lb
  rules:
  - host: example.com
    http:
        paths:
        - path: /store
          pathType: Prefix
          backend:
            service:
              name: example-2
              port:
                number: 80
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-3
  annotations:
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/group.order: "3"
    alb.ingress.kubernetes.io/target-type: instance
spec:
  ingressClassName: single-lb
  rules:
  - host: example.com
    http:
        paths:
        - path: /
          pathType: Prefix
          backend:
            service:
              name: example-3
              port:
                number: 80
    Copy to Clipboard Toggle word wrap
    1
    수신 이름을 지정합니다.
    2
    인터넷에 액세스하기 위해 공용 서브넷에 로드 밸런서를 프로비저닝하는 것을 나타냅니다.
    3
    로드 밸런서에서 요청을 수신할 때 여러 인그레스 리소스의 규칙이 매칭되는 순서를 지정합니다.
    4
    로드 밸런서가 서비스에 도달하기 위해 OpenShift Container Platform 노드를 타겟으로 한다는 것을 나타냅니다.
    5
    이 수신에 속하는 수신 클래스를 지정합니다.
    6
    요청 라우팅에 사용되는 도메인 이름을 정의합니다.
    7
    서비스로 라우팅해야 하는 경로를 정의합니다.
    8
    Ingress 리소스에 구성된 엔드포인트를 제공하는 서비스 이름을 정의합니다.
    9
    엔드포인트에 서비스를 제공하는 서비스의 포트를 정의합니다.

  8. 다음 명령을 실행하여 Ingress 리소스를 만듭니다. 

    $ oc create -f sample-multiple-ingress.yaml
    Copy to Clipboard Toggle word wrap

2.5.4. AWS 로드 밸런서 운영자 로그
링크 복사

oc logs 명령을 사용하면 AWS Load Balancer Operator 로그를 볼 수 있습니다.

프로세스

  • 다음 명령을 실행하여 AWS Load Balancer Operator의 로그를 확인하세요. 

    $ oc logs -n aws-load-balancer-operator deployment/aws-load-balancer-operator-controller-manager -c manager
    Copy to Clipboard Toggle word wrap

3장. eBPF 관리자 Operator
링크 복사

3.1. eBPF 관리자 운영자에 대하여
링크 복사

중요

eBPF Manager Operator는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

3.1.1. 확장 버클리 패킷 필터(eBPF)에 대하여
링크 복사

eBPF는 고급 네트워크 트래픽 필터링을 위해 원래의 Berkeley Packet Filter를 확장합니다. Linux 커널 내부의 가상 머신 역할을 하며, 네트워크 패킷, 시스템 호출, 커널 함수 등의 이벤트에 응답하여 샌드박스 프로그램을 실행할 수 있습니다.

3.1.2. eBPF 관리자 운영자에 대하여
링크 복사

eBPF Manager는 Kubernetes 내에서 eBPF 프로그램의 관리와 배포를 간소화하고, eBPF 프로그램 사용과 관련된 보안을 강화합니다. OCI 컨테이너 이미지로 패키징된 eBPF 프로그램을 관리하기 위해 Kubernetes 사용자 정의 리소스 정의(CRD)를 활용합니다. 이러한 접근 방식은 특정 사용자가 배포할 수 있는 프로그램 유형을 제한하여 배포 권한을 구분하고 보안을 강화하는 데 도움이 됩니다.

eBPF Manager는 Kubernetes 내에서 eBPF 프로그램을 관리하도록 설계된 소프트웨어 스택입니다. Kubernetes 클러스터에서 eBPF 프로그램의 로딩, 언로딩, 수정 및 모니터링을 용이하게 합니다. 여기에는 데몬, CRD, 에이전트 및 연산자가 포함됩니다.

bpfman
gRPC API를 통해 eBPF 프로그램을 관리하는 시스템 데몬입니다.
eBPF CRDs
eBPF 프로그램을 로드하기 위한 XdpProgram 및 TcProgram과 같은 CRD 세트와 로드된 프로그램의 상태를 나타내기 위한 bpfman에서 생성한 CRD(BpfProgram)입니다.
bpfman-agent
데몬셋 컨테이너 내에서 실행되어 각 노드의 eBPF 프로그램이 원하는 상태에 있는지 확인합니다.
bpfman-operator
Operator SDK를 사용하여 클러스터의 bpfman-agent와 CRD의 수명 주기를 관리합니다.

eBPF 관리자 운영자는 다음과 같은 기능을 제공합니다.

  • 제어된 데몬을 통해 eBPF 프로그램 로딩을 중앙에서 관리하여 보안을 강화합니다. eBPF 관리자는 애플리케이션의 권한이 상승되지 않도록 권한이 상승되어 있습니다. eBPF 프로그램 제어는 표준 Kubernetes 역할 기반 액세스 제어(RBAC)에 의해 규제되며, 이를 통해 애플리케이션이 eBPF 프로그램 로딩 및 언로딩을 관리하는 다양한 eBPF 관리자 CRD에 액세스하도록 허용하거나 거부할 수 있습니다.
  • 활성 eBPF 프로그램에 대한 자세한 가시성을 제공하여 시스템 전반에서 문제를 디버깅하는 능력을 향상시킵니다.
  • XDP 및 TC 프로그램을 위한 libxdp와 같은 프로토콜을 사용하여 서로 다른 소스의 여러 eBPF 프로그램이 공존할 수 있도록 하여 상호 운용성을 향상시킵니다.
  • Kubernetes에서 eBPF 프로그램의 배포 및 수명 주기 관리를 간소화합니다. Cilium, libbpf, Aya와 같은 기존 eBPF 라이브러리에 대한 지원을 통해 개발자는 수명 주기 관리보다는 프로그램 상호 작용에 집중할 수 있습니다.

3.1.4. 다음 단계
링크 복사

3.2. eBPF Manager Operator 설치
링크 복사

클러스터 관리자는 OpenShift Container Platform CLI 또는 웹 콘솔을 사용하여 NFD Operator를 설치할 수 있습니다.

중요

eBPF Manager Operator는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

3.2.1. CLI를 사용하여 eBPF Manager Operator 설치
링크 복사

클러스터 관리자는 CLI를 사용하여 Operator를 설치할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 관리자 권한이 있는 계정이 있습니다.

프로세스

  1. bpfman 네임스페이스를 만들려면 다음 명령을 입력하세요. 

    $ cat << EOF| oc create -f -
apiVersion: v1
kind: Namespace
metadata:
  labels:
    pod-security.kubernetes.io/enforce: privileged
    pod-security.kubernetes.io/enforce-version: v1.24
  name: bpfman
EOF
    Copy to Clipboard Toggle word wrap

  2. OperatorGroup CR을 생성하려면 다음 명령을 입력합니다. 

    $ cat << EOF| oc create -f -
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: bpfman-operators
  namespace: bpfman
EOF
    Copy to Clipboard Toggle word wrap

  3. eBPF 관리자 운영자를 구독하세요.

    1. eBPF 관리자 운영자에 대한 구독 CR을 생성하려면 다음 명령을 입력하세요. 

      $ cat << EOF| oc create -f -
apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: bpfman-operator
  namespace: bpfman
spec:
  name: bpfman-operator
  channel: alpha
  source: community-operators
  sourceNamespace: openshift-marketplace
EOF
      Copy to Clipboard Toggle word wrap

  4. Operator가 설치되었는지 확인하려면 다음 명령을 입력합니다. 

    $ oc get ip -n bpfman
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME            CSV                                 APPROVAL    APPROVED
install-ppjxl   security-profiles-operator.v0.8.5   Automatic   true
    Copy to Clipboard Toggle word wrap

  5. Operator 버전을 확인하려면 다음 명령을 입력하세요. 

    $ oc get csv -n bpfman
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                DISPLAY                      VERSION   REPLACES                            PHASE
bpfman-operator.v0.5.0              eBPF Manager Operator              0.5.0     bpfman-operator.v0.4.2              Succeeded
    Copy to Clipboard Toggle word wrap

3.2.2. 웹 콘솔을 사용하여 eBPF Manager Operator 설치
링크 복사

클러스터 관리자는 웹 콘솔을 사용하여 eBPF Manager Operator를 설치할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 관리자 권한이 있는 계정이 있습니다.

프로세스

  1. eBPF 관리자 운영자를 설치하세요:

    1. OpenShift Container Platform 웹 콘솔에서 OperatorOperatorHub를 클릭합니다.
    2. 사용 가능한 운영자 목록에서 eBPF 관리자 운영자를 선택하고 커뮤니티 운영자 표시 여부를 묻는 메시지가 표시되면 계속을 클릭합니다.
    3. 설치를 클릭합니다.
    4. Operator 설치 페이지의 설치된 네임스페이스 에서 Operator 권장 네임스페이스를 선택합니다.
    5. 설치를 클릭합니다.

  2. eBPF Manager Operator가 성공적으로 설치되었는지 확인하세요.

    1. Operator설치된 Operator 페이지로 이동합니다.

    2. eBPF Manager Operator가 openshift-ingress-node-firewall 프로젝트에 InstallSucceeded 상태 로 나열되어 있는지 확인하세요.

      참고

      설치 중에 Operator는 실패 상태를 표시할 수 있습니다. 나중에 InstallSucceeded 메시지와 함께 설치에 성공하면 이 실패 메시지를 무시할 수 있습니다.

      운영자의 상태가 InstallSucceeded가 아닌 경우 다음 단계에 따라 문제를 해결하세요.

      • Operator 서브스크립션설치 계획 탭의 상태 아래에서 장애 또는 오류가 있는지 점검합니다.
      • 워크로드포드 페이지로 이동하여 bpfman 프로젝트의 포드 로그를 확인하세요.

3.2.3. 다음 단계
링크 복사

3.3. eBPF 프로그램 배포
링크 복사

클러스터 관리자는 eBPF Manager Operator를 사용하여 컨테이너화된 eBPF 애플리케이션을 배포할 수 있습니다.

이 절차에 배포된 예시 eBPF 프로그램의 경우 샘플 매니페스트는 다음을 수행합니다.

먼저 Namespace , ServiceAccount , ClusterRoleBinding 과 같은 기본 Kubernetes 객체를 생성합니다. 또한 eBPF 관리자가 제공하는 사용자 정의 리소스 정의(CRD)인 XdpProgram 객체를 생성하여 eBPF XDP 프로그램을 로드합니다. 각 프로그램 유형은 자체 CRD를 가지고 있지만, 수행하는 작업은 비슷합니다. 자세한 내용은 Kubernetes에 eBPF 프로그램 로딩을 참조하세요.

두 번째로, eBPF 프로그램이 채우고 있는 eBPF 맵을 읽는 사용자 공간 프로그램을 실행하는 데몬 세트를 생성합니다. 이 eBPF 맵은 CSI(Container Storage Interface) 드라이버를 사용하여 볼륨 마운트되었습니다. 호스트에서 액세스하는 대신 컨테이너에서 eBPF 맵을 볼륨 마운트하면 애플리케이션 포드가 권한 없이 eBPF 맵에 액세스할 수 있습니다. CSI가 구성되는 방법에 대한 자세한 내용은 Kubernetes에서 eBPF 지원 애플리케이션 배포를 참조하세요.

중요

eBPF Manager Operator는 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

3.3.1. 컨테이너화된 eBPF 프로그램 배포
링크 복사

클러스터 관리자는 클러스터의 노드에 eBPF 프로그램을 배포할 수 있습니다. 이 절차에서는 샘플 컨테이너화된 eBPF 프로그램이 go-xdp-counter 네임스페이스에 설치됩니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 관리자 권한이 있는 계정이 있습니다.
  • eBPF Manager Operator를 설치했습니다.

프로세스

  1. 매니페스트를 다운로드하려면 다음 명령을 입력하세요. 

    $ curl -L https://github.com/bpfman/bpfman/releases/download/v0.5.1/go-xdp-counter-install-selinux.yaml -o go-xdp-counter-install-selinux.yaml
    Copy to Clipboard Toggle word wrap

  2. 샘플 eBPF 애플리케이션을 배포하려면 다음 명령을 입력하세요. 

    $ oc create -f go-xdp-counter-install-selinux.yaml
    Copy to Clipboard Toggle word wrap

    출력 예

    namespace/go-xdp-counter created
serviceaccount/bpfman-app-go-xdp-counter created
clusterrolebinding.rbac.authorization.k8s.io/xdp-binding created
daemonset.apps/go-xdp-counter-ds created
xdpprogram.bpfman.io/go-xdp-counter-example created
selinuxprofile.security-profiles-operator.x-k8s.io/bpfman-secure created
    Copy to Clipboard Toggle word wrap

  3. eBPF 샘플 애플리케이션이 성공적으로 배포되었는지 확인하려면 다음 명령을 입력하세요. 

    $ oc get all -o wide -n go-xdp-counter
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                          READY   STATUS    RESTARTS   AGE   IP             NODE                                 NOMINATED NODE   READINESS GATES
pod/go-xdp-counter-ds-4m9cw   1/1     Running   0          44s   10.129.0.92    ci-ln-dcbq7d2-72292-ztrkp-master-1   <none>           <none>
pod/go-xdp-counter-ds-7hzww   1/1     Running   0          44s   10.130.0.86    ci-ln-dcbq7d2-72292-ztrkp-master-2   <none>           <none>
pod/go-xdp-counter-ds-qm9zx   1/1     Running   0          44s   10.128.0.101   ci-ln-dcbq7d2-72292-ztrkp-master-0   <none>           <none>

NAME                               DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE   CONTAINERS       IMAGES                                           SELECTOR
daemonset.apps/go-xdp-counter-ds   3         3         3       3            3           <none>          44s   go-xdp-counter   quay.io/bpfman-userspace/go-xdp-counter:v0.5.0   name=go-xdp-counter
    Copy to Clipboard Toggle word wrap

  4. 예제 XDP 프로그램이 실행 중인지 확인하려면 다음 명령을 입력하세요. 

    $ oc get xdpprogram go-xdp-counter-example
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                     BPFFUNCTIONNAME   NODESELECTOR   STATUS
go-xdp-counter-example   xdp_stats         {}             ReconcileSuccess
    Copy to Clipboard Toggle word wrap

  5. XDP 프로그램이 데이터를 수집하고 있는지 확인하려면 다음 명령을 입력하세요. 

    $ oc logs <pod_name> -n go-xdp-counter
    Copy to Clipboard Toggle word wrap

    <pod_name>을 go-xdp-counter-ds-4m9cw 와 같은 XDP 프로그램 Pod의 이름으로 바꾸세요.

    출력 예

    2024/08/13 15:20:06 15016 packets received
2024/08/13 15:20:06 93581579 bytes received
...
    Copy to Clipboard Toggle word wrap

4장. 외부 DNS Operator
링크 복사

4.1. 외부 DNS 운영자 릴리스 노트
링크 복사

외부 DNS 운영자는 외부 DNS 공급자에서 OpenShift Container Platform으로의 서비스와 경로에 대한 이름 확인을 제공하기 위해 ExternalDNS를 배포하고 관리합니다.

중요

외부 DNS 운영자는 x86_64 아키텍처에서만 지원됩니다.

이 릴리스 노트는 OpenShift Container Platform의 외부 DNS 운영자 개발 과정을 추적합니다.

4.1.1. 외부 DNS Operator
링크 복사

다음 권고 사항은 외부 DNS 운영자 버전 1.3.0에 대해 제공됩니다.

이 업데이트에는 업스트림 프로젝트의 0.14.2 버전으로 리베이스한 내용이 포함되어 있습니다.

4.1.1.1. 버그 수정
링크 복사

이전에는 ExternalDNS Operator가 HCP 클러스터에 피연산자를 배포할 수 없었습니다. 이 릴리스에서는 Operator가 피연산자를 실행 중이고 준비된 상태로 배포합니다. (OCPBUGS-37059)

이전에는 ExternalDNS Operator가 RHEL 9를 빌딩 또는 기본 이미지로 사용하지 않았습니다. 이 릴리스에서는 RHEL9가 기반이 됩니다. (OCPBUGS-41683)

이전에는 godoc에 Infoblox 공급자에 대한 링크가 끊어져 있었습니다. 이번 릴리스에서는 godoc의 정확성이 수정되었습니다. 일부 링크는 제거되고, 다른 일부는 GitHub 영구 링크로 대체됩니다. (OCPBUGS-36797)

4.1.2. 외부 DNS Operator
링크 복사

다음 권고 사항은 외부 DNS 운영자 버전 1.2.0에 대해 제공됩니다.

4.1.2.1. 새로운 기능
링크 복사
4.1.2.2. 버그 수정
링크 복사
  • 피연산자의 업데이트 전략이 Rolling 에서 Recreate 로 변경되었습니다. (OCPBUGS-3630)

4.1.3. 외부 DNS Operator
링크 복사

다음 권고 사항은 외부 DNS 운영자 버전 1.1.1에 대해 제공됩니다.

4.1.4. 외부 DNS Operator
링크 복사

이 릴리스에는 업스트림 프로젝트 버전 0.13.1의 피연산자를 리베이스한 것이 포함되었습니다. 다음 권고 사항은 외부 DNS 운영자 버전 1.1.0에 대해 제공됩니다.

4.1.4.1. 버그 수정
링크 복사
  • 이전에는 ExternalDNS Operator가 볼륨에 대해 빈 defaultMode 값을 적용했는데, 이로 인해 OpenShift API와의 충돌로 인해 지속적인 업데이트가 발생했습니다. 이제 defaultMode 값이 적용되지 않으며 피연산자 배포가 지속적으로 업데이트되지 않습니다. (OCPBUGS-2793)

4.1.5. 외부 DNS Operator
링크 복사

다음 권고 사항은 외부 DNS 운영자 버전 1.0.1에 대해 제공됩니다.

4.1.6. 외부 DNS Operator
링크 복사

다음 권고 사항은 외부 DNS 운영자 버전 1.0.0에 대해 제공됩니다.

4.1.6.1. 버그 수정
링크 복사
  • 이전에 외부 DNS 운영자는 ExternalDNS 피연산자 포드 배포 중 제한된 SCC 정책 위반에 대한 경고를 발행했습니다. 이 문제는 해결되었습니다. (BZ#2086408)

4.2. 외부 DNS 운영자 이해
링크 복사

외부 DNS 운영자는 외부 DNS 공급자에서 OpenShift Container Platform으로의 서비스와 경로에 대한 이름 확인을 제공하기 위해 ExternalDNS를 배포하고 관리합니다.

4.2.1. 외부 DNS Operator
링크 복사

외부 DNS 운영자는 olm.openshift.io API 그룹의 외부 DNS API를 구현합니다. 외부 DNS 운영자는 서비스, 경로 및 외부 DNS 공급자를 업데이트합니다.

사전 요구 사항

  • yq CLI 도구를 설치했습니다.

프로세스

OperatorHub에서 필요에 따라 외부 DNS 운영자를 배포할 수 있습니다. 외부 DNS 운영자를 배포하면 구독 개체가 생성됩니다.

  1. 다음 명령을 실행하여 install-zcvlr 과 같은 설치 계획의 이름을 확인하세요. 

    $ oc -n external-dns-operator get sub external-dns-operator -o yaml | yq '.status.installplan.name'
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 설치 계획의 상태가 완료 인지 확인하세요. 

    $ oc -n external-dns-operator get ip <install_plan_name> -o yaml | yq '.status.phase'
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 external-dns-operator 배포 상태를 확인하세요. 

    $ oc get -n external-dns-operator deployment/external-dns-operator
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                    READY     UP-TO-DATE   AVAILABLE   AGE
external-dns-operator   1/1       1            1           23h
    Copy to Clipboard Toggle word wrap

4.2.2. 외부 DNS 운영자 로그 보기
링크 복사

oc logs 명령을 사용하면 외부 DNS 운영자 로그를 볼 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 외부 DNS 운영자의 로그를 확인하세요. 

    $ oc logs -n external-dns-operator deployment/external-dns-operator -c external-dns-operator
    Copy to Clipboard Toggle word wrap
4.2.2.1. 외부 DNS 운영자 도메인 이름 제한
링크 복사

외부 DNS 운영자는 TXT 레코드에 접두사를 추가하는 TXT 레지스트리를 사용합니다. 이렇게 하면 TXT 레코드에 대한 도메인 이름의 최대 길이가 줄어듭니다. DNS 레코드는 해당 TXT 레코드 없이는 존재할 수 없으므로 DNS 레코드의 도메인 이름은 TXT 레코드와 동일한 제한을 따라야 합니다. 예를 들어, <domain_name_from_source> 의 DNS 레코드는 external-dns-<record_type>-<domain_name_from_source> 의 TXT 레코드를 생성합니다.

외부 DNS 운영자가 생성한 DNS 레코드의 도메인 이름에는 다음과 같은 제한이 있습니다.

Expand
레코드 유형문자 수

씨네임

44

AzureDNS의 와일드카드 CNAME 레코드

42

A

48

AzureDNS의 와일드카드 A 레코드

46

생성된 도메인 이름이 도메인 이름 제한을 초과하는 경우 외부 DNS 운영자 로그에 다음 오류가 나타납니다. 

time="2022-09-02T08:53:57Z" level=error msg="Failure in zone test.example.io. [Id: /hostedzone/Z06988883Q0H0RL6UMXXX]"
time="2022-09-02T08:53:57Z" level=error msg="InvalidChangeBatch: [FATAL problem: DomainLabelTooLong (Domain label is too long) encountered with 'external-dns-a-hello-openshift-aaaaaaaaaa-bbbbbbbbbb-ccccccc']\n\tstatus code: 400, request id: e54dfd5a-06c6-47b0-bcb9-a4f7c3a4e0c6"
Copy to Clipboard Toggle word wrap

4.3. 외부 DNS 운영자 설치
링크 복사

AWS, Azure, GCP와 같은 클라우드 제공업체에 외부 DNS 운영자를 설치할 수 있습니다.

4.3.1. OperatorHub를 사용하여 외부 DNS 운영자 설치
링크 복사

OpenShift Container Platform OperatorHub를 사용하여 외부 DNS 운영자를 설치할 수 있습니다.

프로세스

  1. OpenShift Container Platform 웹 콘솔에서 OperatorOperatorHub를 클릭합니다.
  2. 외부 DNS 운영자를 클릭합니다. 키워드로 필터링 텍스트 상자나 필터 목록을 사용하여 운영자 목록에서 외부 DNS 운영자를 검색할 수 있습니다.
  3. external-dns-operator 네임스페이스를 선택합니다.
  4. 외부 DNS 운영자 페이지에서 설치를 클릭합니다.

  5. 설치 운영자 페이지에서 다음 옵션을 선택했는지 확인하세요.

    1. 채널을 stable-v1 로 업데이트합니다.
    2. 클러스터에 특정 이름을 지정하는 설치 모드입니다.
    3. 네임스페이스를 external-dns-operator 로 설치했습니다. 네임스페이스 external-dns-operator가 존재하지 않으면 Operator 설치 중에 생성됩니다.
    4. 승인 전략을 자동 또는 수동으로 선택합니다. 승인 전략은 기본적으로 자동 으로 설정됩니다.
    5. 설치를 클릭합니다.

자동 업데이트를 선택하면 OLM(Operator Lifecycle Manager)은 개입 없이 Operator의 실행 중인 인스턴스를 자동으로 업그레이드합니다.

수동 업데이트를 선택하면 OLM에서 업데이트 요청을 생성합니다. 클러스터 관리자는 Operator를 새 버전으로 업데이트하려면 OLM 업데이트 요청을 수동으로 승인해야 합니다.

검증

설치된 운영자 대시보드에서 외부 DNS 운영자의 상태가 성공 으로 표시되는지 확인합니다.

4.3.2. CLI를 사용하여 외부 DNS 운영자 설치
링크 복사

CLI를 사용하여 외부 DNS 운영자를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 OpenShift Container Platform 웹 콘솔에 로그인되어 있습니다.
  • OpenShift CLI( oc )에 로그인했습니다.

프로세스

  1. 네임스페이스 객체를 만듭니다.

    1. 네임스페이스 객체를 정의하는 YAML 파일을 만듭니다.

      namespace.yaml 파일 예

      apiVersion: v1
kind: Namespace
metadata:
  name: external-dns-operator
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 네임스페이스 객체를 만듭니다. 

      $ oc apply -f namespace.yaml
      Copy to Clipboard Toggle word wrap

  2. OperatorGroup 오브젝트를 생성합니다.

    1. OperatorGroup 객체를 정의하는 YAML 파일을 만듭니다.

      operatorgroup.yaml 파일 예시

      apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: external-dns-operator
  namespace: external-dns-operator
spec:
  upgradeStrategy: Default
  targetNamespaces:
  - external-dns-operator
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 OperatorGroup 객체를 만듭니다. 

      $ oc apply -f operatorgroup.yaml
      Copy to Clipboard Toggle word wrap

  3. Subscription 오브젝트를 생성합니다.

    1. 구독 객체를 정의하는 YAML 파일을 만듭니다.

      subscription.yaml 파일 예시

      apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: external-dns-operator
  namespace: external-dns-operator
spec:
  channel: stable-v1
  installPlanApproval: Automatic
  name: external-dns-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 서브스크립션 오브젝트를 생성합니다. 

      $ oc apply -f subscription.yaml
      Copy to Clipboard Toggle word wrap

검증

  1. 다음 명령을 실행하여 구독에서 설치 계획의 이름을 가져옵니다. 

    $ oc -n external-dns-operator \
  get subscription external-dns-operator \
  --template='{{.status.installplan.name}}{{"\n"}}'
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 설치 계획의 상태가 완료 인지 확인하세요. 

    $ oc -n external-dns-operator \
  get ip <install_plan_name> \
  --template='{{.status.phase}}{{"\n"}}'
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 external-dns-operator pod의 상태가 실행 중인지 확인하세요. 

    $ oc -n external-dns-operator get pod
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                     READY   STATUS    RESTARTS   AGE
external-dns-operator-5584585fd7-5lwqm   2/2     Running   0          11m
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 구독의 카탈로그 소스가 redhat-operators 인지 확인하세요. 

    $ oc -n external-dns-operator get subscription
    Copy to Clipboard Toggle word wrap

  5. 다음 명령을 실행하여 external-dns-operator 버전을 확인하세요. 

    $ oc -n external-dns-operator get csv
    Copy to Clipboard Toggle word wrap

4.4. 외부 DNS 운영자 구성 매개변수
링크 복사

외부 DNS 운영자에는 다음과 같은 구성 매개변수가 포함됩니다.

4.4.1. 외부 DNS 운영자 구성 매개변수
링크 복사

외부 DNS 운영자에는 다음과 같은 구성 매개변수가 포함됩니다.

Expand
매개변수설명

spec

클라우드 공급자의 유형을 활성화합니다. 

spec:
  provider:
    type: AWS
1 

    aws:
      credentials:
        name: aws-access-key
2
Copy to Clipboard Toggle word wrap
1
AWS, GCP, Azure, Infoblox 등 사용 가능한 옵션을 정의합니다.
2
클라우드 공급자에 대한 비밀 이름을 정의합니다.

zones[]

도메인별로 DNS 영역을 지정할 수 있습니다. 영역을 지정하지 않으면 ExternalDNS 리소스가 클라우드 공급자 계정에 있는 모든 영역을 검색합니다. 

zones:
- "myzoneid"
1
Copy to Clipboard Toggle word wrap
1
DNS 영역의 이름을 지정합니다.

도메인

도메인별로 AWS 영역을 지정할 수 있습니다. 도메인을 지정하지 않으면 ExternalDNS 리소스가 클라우드 공급자 계정에 있는 모든 영역을 검색합니다. 

domains:
- filterType: Include
1 

  matchType: Exact
2 

  name: "myzonedomain1.com"
3 

- filterType: Include
  matchType: Pattern
4 

  pattern: ".*\\.otherzonedomain\\.com"
5
Copy to Clipboard Toggle word wrap
1
ExternalDNS 리소스에 도메인 이름이 포함되어 있는지 확인합니다.
2
ExternalDNS 에 도메인 일치가 정규 표현식 일치와 달리 정확해야 한다고 지시합니다.
3
도메인의 이름을 정의합니다.
4
ExternalDNS 리소스에서 regex-domain-filter 플래그를 설정합니다. 정규식 필터를 사용하여 가능한 도메인을 제한할 수 있습니다.
5
ExternalDNS 리소스가 대상 영역의 도메인을 필터링하는 데 사용할 정규식 패턴을 정의합니다.

소스

DNS 레코드의 소스, 서비스 또는 경로를 지정할 수 있습니다. 

source:
1 

  type: Service
2 

  service:
    serviceType:
3 

      - LoadBalancer
      - ClusterIP
  labelFilter:
4 

    matchLabels:
      external-dns.mydomain.org/publish: "yes"
  hostnameAnnotation: "Allow"
5 

  fqdnTemplate:
  - "{{.Name}}.myzonedomain.com"
6
Copy to Clipboard Toggle word wrap
1
DNS 레코드 소스에 대한 설정을 정의합니다.
2
ExternalDNS 리소스는 서비스 유형을 DNS 레코드를 생성하기 위한 소스로 사용합니다.
3
ExternalDNS 리소스에서 서비스 유형 필터 플래그를 설정합니다. serviceType 에는 다음 필드가 포함됩니다.
  • 기본값 : LoadBalancer
  • expected: ClusterIP
  • NodePort
  • LoadBalancer
  • ExternalName
4
컨트롤러가 레이블 필터와 일치하는 리소스만 고려하도록 보장합니다.
5
hostnameAnnotation 의 기본값은 Ignore 이며, 이는 ExternalDNS가 fqdnTemplates 필드에 지정된 템플릿을 사용하여 DNS 레코드를 생성하도록 지시합니다. 값이 허용 인 경우, external-dns.alpha.kubernetes.io/hostname 주석에 지정된 값을 기반으로 DNS 레코드가 생성됩니다.
6
외부 DNS 운영자는 호스트 이름을 정의하지 않은 소스에서 DNS 이름을 생성하거나 가짜 소스와 함께 사용할 때 호스트 이름 접미사를 추가하기 위해 문자열을 사용합니다. 
source:
  type: OpenShiftRoute
1 

  openshiftRouteOptions:
    routerName: default
2 

    labelFilter:
      matchLabels:
        external-dns.mydomain.org/publish: "yes"
Copy to Clipboard Toggle word wrap
1
DNS 레코드를 생성합니다.
2
소스 유형이 OpenShiftRoute 인 경우 Ingress 컨트롤러 이름을 전달할 수 있습니다. ExternalDNS 리소스는 CNAME 레코드의 대상으로 Ingress Controller의 정식 이름을 사용합니다.

4.5. AWS에서 DNS 레코드 생성
링크 복사

외부 DNS 운영자를 사용하여 AWS 및 AWS GovCloud에서 DNS 레코드를 생성할 수 있습니다.

Red Hat 외부 DNS 운영자를 사용하여 AWS의 퍼블릭 호스팅 영역에 DNS 레코드를 만들 수 있습니다. 동일한 지침을 사용하여 AWS GovCloud의 호스팅 영역에 DNS 레코드를 만들 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 system:admin 과 같은 사용자 프로필을 확인하세요. 사용자 프로필에는 kube-system 네임스페이스에 대한 액세스 권한이 있어야 합니다. 자격 증명이 없으면 다음 명령을 실행하여 kube-system 네임스페이스에서 자격 증명을 가져와 클라우드 공급자 클라이언트를 사용할 수 있습니다. 

    $ oc whoami
    Copy to Clipboard Toggle word wrap

  2. kube-system 네임스페이스에 있는 aws-creds secret에서 값을 가져옵니다. 

    $ export AWS_ACCESS_KEY_ID=$(oc get secrets aws-creds -n kube-system  --template={{.data.aws_access_key_id}} | base64 -d)
    Copy to Clipboard Toggle word wrap 
    $ export AWS_SECRET_ACCESS_KEY=$(oc get secrets aws-creds -n kube-system  --template={{.data.aws_secret_access_key}} | base64 -d)
    Copy to Clipboard Toggle word wrap

  3. 도메인을 확인하기 위한 경로를 가져옵니다. 

    $ oc get routes --all-namespaces | grep console
    Copy to Clipboard Toggle word wrap

    출력 예

    openshift-console          console             console-openshift-console.apps.testextdnsoperator.apacshift.support                       console             https   reencrypt/Redirect     None
openshift-console          downloads           downloads-openshift-console.apps.testextdnsoperator.apacshift.support                     downloads           http    edge/Redirect          None
    Copy to Clipboard Toggle word wrap

  4. DNS 영역 목록을 가져오고 이전에 쿼리한 경로의 도메인에 해당하는 DNS 영역을 찾으세요. 

    $ aws route53 list-hosted-zones | grep testextdnsoperator.apacshift.support
    Copy to Clipboard Toggle word wrap

    출력 예

    HOSTEDZONES	terraform	/hostedzone/Z02355203TNN1XXXX1J6O	testextdnsoperator.apacshift.support.	5
    Copy to Clipboard Toggle word wrap

  5. 경로 소스에 대한 ExternalDNS 리소스를 만듭니다. 

    $ cat <<EOF | oc create -f -
apiVersion: externaldns.olm.openshift.io/v1beta1
kind: ExternalDNS
metadata:
  name: sample-aws
    1 
    
spec:
  domains:
  - filterType: Include
    2 
    
    matchType: Exact
    3 
    
    name: testextdnsoperator.apacshift.support
    4 
    
  provider:
    type: AWS
    5 
    
  source:
    6 
    
    type: OpenShiftRoute
    7 
    
    openshiftRouteOptions:
      routerName: default
    8 
    
EOF
    Copy to Clipboard Toggle word wrap
    1
    외부 DNS 리소스의 이름을 정의합니다.
    2
    기본적으로 모든 호스팅 영역이 잠재적 대상으로 선택됩니다. 필요한 호스팅 영역을 포함할 수 있습니다.
    3
    대상 영역의 도메인 일치는 정확해야 합니다(정규 표현식 일치와 대조적으로).
    4
    업데이트하려는 영역의 정확한 도메인을 지정하세요. 경로의 호스트 이름은 지정된 도메인의 하위 도메인이어야 합니다.
    5
    AWS Route53 DNS 공급자를 정의합니다.
    6
    DNS 레코드 소스에 대한 옵션을 정의합니다.
    7
    이전에 지정된 DNS 공급자에서 생성되는 DNS 레코드의 소스로 OpenShift 경로 리소스를 정의합니다.
    8
    소스가 OpenShiftRoute 인 경우 OpenShift Ingress Controller 이름을 전달할 수 있습니다. 외부 DNS 운영자는 CNAME 레코드를 생성하는 동안 해당 라우터의 정식 호스트 이름을 대상으로 선택합니다.

  6. 다음 명령을 사용하여 OCP 경로에 대해 생성된 레코드를 확인하세요. 

    $ aws route53 list-resource-record-sets --hosted-zone-id Z02355203TNN1XXXX1J6O --query "ResourceRecordSets[?Type == 'CNAME']" | grep console
    Copy to Clipboard Toggle word wrap

4.5.2. 공유 VPC를 사용하여 다른 AWS 계정에 DNS 레코드 만들기
링크 복사

ExternalDNS Operator를 사용하면 공유 Virtual Private Cloud(VPC)를 사용하여 다른 AWS 계정에 DNS 레코드를 만들 수 있습니다. 공유 VPC를 사용하면 조직에서 여러 프로젝트의 리소스를 공통 VPC 네트워크에 연결할 수 있습니다. 그런 다음 조직에서는 VPC 공유를 사용하여 여러 AWS 계정에서 단일 Route 53 인스턴스를 사용할 수 있습니다.

사전 요구 사항

  • Amazon AWS 계정 두 개를 만들었습니다. 하나는 VPC와 Route 53 개인 호스팅 영역이 구성된 계정(계정 A)이고, 다른 하나는 클러스터를 설치하기 위한 계정(계정 B)입니다.
  • 계정 A에서 계정 B가 계정 A의 Route 53 호스팅 영역에 DNS 레코드를 생성할 수 있도록 적절한 권한이 있는 IAM 정책과 IAM 역할을 생성했습니다.
  • 계정 A의 기존 VPC에 계정 B의 클러스터를 설치했습니다.
  • 계정 B의 클러스터에 ExternalDNS Operator를 설치했습니다.

프로세스

  1. 다음 명령을 실행하여 계정 B가 계정 A의 Route 53 호스팅 영역에 액세스할 수 있도록 생성한 IAM 역할의 역할 ARN을 가져옵니다. 

    $ aws --profile account-a iam get-role --role-name user-rol1 | head -1
    Copy to Clipboard Toggle word wrap

    출력 예

    ROLE	arn:aws:iam::1234567890123:role/user-rol1	2023-09-14T17:21:54+00:00	3600	/	AROA3SGB2ZRKRT5NISNJN	user-rol1
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 계정 A의 자격 증명을 사용할 개인 호스팅 영역을 찾습니다. 

    $ aws --profile account-a route53 list-hosted-zones | grep testextdnsoperator.apacshift.support
    Copy to Clipboard Toggle word wrap

    출력 예

    HOSTEDZONES	terraform	/hostedzone/Z02355203TNN1XXXX1J6O	testextdnsoperator.apacshift.support. 5
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 ExternalDNS 객체를 만듭니다. 

    $ cat <<EOF | oc create -f -
apiVersion: externaldns.olm.openshift.io/v1beta1
kind: ExternalDNS
metadata:
  name: sample-aws
spec:
  domains:
  - filterType: Include
    matchType: Exact
    name: testextdnsoperator.apacshift.support
  provider:
    type: AWS
    aws:
      assumeRole:
        arn: arn:aws:iam::12345678901234:role/user-rol1
    1 
    
  source:
    type: OpenShiftRoute
    openshiftRouteOptions:
      routerName: default
EOF
    Copy to Clipboard Toggle word wrap
    1
    DNS 레코드가 계정 A에 생성되도록 역할 ARN을 지정합니다.

  4. 다음 명령을 사용하여 OpenShift Container Platform(OCP) 경로에 대해 생성된 레코드를 확인하세요. 

    $ aws --profile account-a route53 list-resource-record-sets --hosted-zone-id Z02355203TNN1XXXX1J6O --query "ResourceRecordSets[?Type == 'CNAME']" | grep console-openshift-console
    Copy to Clipboard Toggle word wrap

4.6. Azure에서 DNS 레코드 만들기
링크 복사

외부 DNS 운영자를 사용하여 Azure에서 DNS 레코드를 만들 수 있습니다.

중요

Microsoft Entra Workload ID가 활성화된 클러스터나 Microsoft Azure Government(MAG) 지역에서 실행되는 클러스터에서는 외부 DNS 운영자를 사용할 수 없습니다.

4.6.1. Azure DNS 영역에서 DNS 레코드 만들기
링크 복사

외부 DNS 운영자를 사용하여 Azure의 공용 또는 개인 DNS 영역에 DNS(도메인 이름 서버) 레코드를 만들 수 있습니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있어야합니다.
  • 관리자kube-system 네임스페이스에 액세스할 수 있어야 합니다.

프로세스

  1. 다음 명령을 실행하여 클라우드 공급자 클라이언트를 사용하기 위해 kube-system 네임스페이스에서 자격 증명을 가져옵니다. 

    $ CLIENT_ID=$(oc get secrets azure-credentials  -n kube-system  --template={{.data.azure_client_id}} | base64 -d)
$ CLIENT_SECRET=$(oc get secrets azure-credentials  -n kube-system  --template={{.data.azure_client_secret}} | base64 -d)
$ RESOURCE_GROUP=$(oc get secrets azure-credentials  -n kube-system  --template={{.data.azure_resourcegroup}} | base64 -d)
$ SUBSCRIPTION_ID=$(oc get secrets azure-credentials  -n kube-system  --template={{.data.azure_subscription_id}} | base64 -d)
$ TENANT_ID=$(oc get secrets azure-credentials  -n kube-system  --template={{.data.azure_tenant_id}} | base64 -d)
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 Azure에 로그인합니다. 

    $ az login --service-principal -u "${CLIENT_ID}" -p "${CLIENT_SECRET}" --tenant "${TENANT_ID}"
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 경로 목록을 가져옵니다. 

    $ oc get routes --all-namespaces | grep console
    Copy to Clipboard Toggle word wrap

    출력 예

    openshift-console          console             console-openshift-console.apps.test.azure.example.com                       console             https   reencrypt/Redirect     None
openshift-console          downloads           downloads-openshift-console.apps.test.azure.example.com                     downloads           http    edge/Redirect          None
    Copy to Clipboard Toggle word wrap

  4. DNS 영역 목록을 가져옵니다.

    1. 공용 DNS 영역의 경우 다음 명령을 실행합니다. 

      $ az network dns zone list --resource-group "${RESOURCE_GROUP}"
      Copy to Clipboard Toggle word wrap

    2. 개인 DNS 영역의 경우 다음 명령을 실행합니다. 

      $ az network private-dns zone list -g "${RESOURCE_GROUP}"
      Copy to Clipboard Toggle word wrap

  5. 예를 들어, ExternalDNS 객체를 정의하는 external-dns-sample-azure.yaml 과 같은 YAML 파일을 만듭니다.

    external-dns-sample-azure.yaml 파일 예시

    apiVersion: externaldns.olm.openshift.io/v1beta1
kind: ExternalDNS
metadata:
  name: sample-azure
    1 
    
spec:
  zones:
  - "/subscriptions/1234567890/resourceGroups/test-azure-xxxxx-rg/providers/Microsoft.Network/dnszones/test.azure.example.com"
    2 
    
  provider:
    type: Azure
    3 
    
  source:
    openshiftRouteOptions:
    4 
    
      routerName: default
    5 
    
    type: OpenShiftRoute
    6
    Copy to Clipboard Toggle word wrap

    1
    외부 DNS 이름을 지정합니다.
    2
    영역 ID를 정의합니다. 개인 DNS 영역의 경우 dnszones를 privateDnsZones 로 변경합니다.
    3
    공급자 유형을 정의합니다.
    4
    DNS 레코드의 소스에 대한 옵션을 정의할 수 있습니다.
    5
    소스 유형이 OpenShiftRoute 인 경우 OpenShift Ingress 컨트롤러 이름을 전달할 수 있습니다. 외부 DNS는 CNAME 레코드를 생성하는 동안 해당 라우터의 정식 호스트 이름을 대상으로 선택합니다.
    6
    Azure DNS 레코드의 소스로 경로 리소스를 정의합니다.

문제 해결

  1. 경로에 대해 생성된 기록을 확인하세요.

    1. 공용 DNS 영역의 경우 다음 명령을 실행합니다. 

      $ az network dns record-set list -g "${RESOURCE_GROUP}" -z "${ZONE_NAME}" | grep console
      Copy to Clipboard Toggle word wrap

    2. 개인 DNS 영역의 경우 다음 명령을 실행합니다. 

      $ az network private-dns record-set list -g "${RESOURCE_GROUP}" -z "${ZONE_NAME}" | grep console
      Copy to Clipboard Toggle word wrap

4.7. GCP에서 DNS 레코드 만들기
링크 복사

외부 DNS 운영자를 사용하여 Google Cloud Platform(GCP)에서 DNS 레코드를 만들 수 있습니다.

중요

GCP 워크로드 ID가 활성화된 클러스터에서 외부 DNS 운영자를 사용하는 것은 지원되지 않습니다. GCP 워크로드 ID에 대한 자세한 내용은 GCP 워크로드 ID를 참조하세요.

4.7.1. GCP용 공개 관리 영역에 DNS 레코드 만들기
링크 복사

외부 DNS 운영자를 사용하여 GCP의 공개 관리 영역에 DNS 레코드를 만들 수 있습니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있어야합니다.

프로세스

  1. 다음 명령을 실행하여 인코딩된 gcloud.json 파일에 gcp-credentials 비밀번호를 복사합니다. 

    $ oc get secret gcp-credentials -n kube-system --template='{{$v := index .data "service_account.json"}}{{$v}}' | base64 -d - > decoded-gcloud.json
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 Google 자격 증명을 내보냅니다. 

    $ export GOOGLE_CREDENTIALS=decoded-gcloud.json
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 사용하여 계정을 활성화하세요. 

    $ gcloud auth activate-service-account  <client_email as per decoded-gcloud.json> --key-file=decoded-gcloud.json
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 프로젝트를 설정하세요. 

    $ gcloud config set project <project_id as per decoded-gcloud.json>
    Copy to Clipboard Toggle word wrap

  5. 다음 명령을 실행하여 경로 목록을 가져옵니다. 

    $ oc get routes --all-namespaces | grep console
    Copy to Clipboard Toggle word wrap

    출력 예

    openshift-console          console             console-openshift-console.apps.test.gcp.example.com                       console             https   reencrypt/Redirect     None
openshift-console          downloads           downloads-openshift-console.apps.test.gcp.example.com                     downloads           http    edge/Redirect          None
    Copy to Clipboard Toggle word wrap

  6. 다음 명령을 실행하여 qe-cvs4g-private-zone test.gcp.example.com 과 같은 관리되는 영역 목록을 가져옵니다. 

    $ gcloud dns managed-zones list | grep test.gcp.example.com
    Copy to Clipboard Toggle word wrap

  7. 예를 들어, ExternalDNS 객체를 정의하는 external-dns-sample-gcp.yaml 과 같은 YAML 파일을 만듭니다.

    external-dns-sample-gcp.yaml 파일 예시

    apiVersion: externaldns.olm.openshift.io/v1beta1
kind: ExternalDNS
metadata:
  name: sample-gcp
    1 
    
spec:
  domains:
    - filterType: Include
    2 
    
      matchType: Exact
    3 
    
      name: test.gcp.example.com
    4 
    
  provider:
    type: GCP
    5 
    
  source:
    openshiftRouteOptions:
    6 
    
      routerName: default
    7 
    
    type: OpenShiftRoute
    8
    Copy to Clipboard Toggle word wrap

    1
    외부 DNS 이름을 지정합니다.
    2
    기본적으로 모든 호스팅 영역이 잠재적 대상으로 선택됩니다. 호스팅된 영역을 포함할 수 있습니다.
    3
    대상의 도메인은 name 키로 정의된 문자열과 일치해야 합니다.
    4
    업데이트하려는 영역의 정확한 도메인을 지정하세요. 경로의 호스트 이름은 지정된 도메인의 하위 도메인이어야 합니다.
    5
    공급자 유형을 정의합니다.
    6
    DNS 레코드의 소스에 대한 옵션을 정의할 수 있습니다.
    7
    소스 유형이 OpenShiftRoute 인 경우 OpenShift Ingress 컨트롤러 이름을 전달할 수 있습니다. 외부 DNS는 CNAME 레코드를 생성하는 동안 해당 라우터의 정식 호스트 이름을 대상으로 선택합니다.
    8
    경로 리소스를 GCP DNS 레코드의 소스로 정의합니다.

  8. 다음 명령을 실행하여 OpenShift Container Platform 경로에 대해 생성된 DNS 레코드를 확인하세요. 

    $ gcloud dns record-sets list --zone=qe-cvs4g-private-zone | grep console
    Copy to Clipboard Toggle word wrap

4.8. Infoblox에서 DNS 레코드 생성
링크 복사

외부 DNS 운영자를 사용하여 Infoblox에서 DNS 레코드를 만들 수 있습니다.

4.8.1. Infoblox의 공용 DNS 영역에 DNS 레코드 만들기
링크 복사

Infoblox의 공용 DNS 영역에 DNS 레코드를 생성하려면 외부 DNS 운영자를 사용하세요.

사전 요구 사항

  • OpenShift CLI(oc)에 액세스할 수 있습니다.
  • Infoblox UI에 액세스할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 Infoblox 자격 증명으로 비밀 개체를 만듭니다. 

    $ oc -n external-dns-operator create secret generic infoblox-credentials --from-literal=EXTERNAL_DNS_INFOBLOX_WAPI_USERNAME=<infoblox_username> --from-literal=EXTERNAL_DNS_INFOBLOX_WAPI_PASSWORD=<infoblox_password>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 경로 목록을 가져옵니다. 

    $ oc get routes --all-namespaces | grep console
    Copy to Clipboard Toggle word wrap

    출력 예

    openshift-console          console             console-openshift-console.apps.test.example.com                       console             https   reencrypt/Redirect     None
openshift-console          downloads           downloads-openshift-console.apps.test.example.com                     downloads           http    edge/Redirect          None
    Copy to Clipboard Toggle word wrap

  3. 예를 들어, ExternalDNS 객체를 정의하는 external-dns-sample-infoblox.yaml과 같은 YAML 파일을 만듭니다.

    external-dns-sample-infoblox.yaml 파일 예시

    apiVersion: externaldns.olm.openshift.io/v1beta1
kind: ExternalDNS
metadata:
  name: sample-infoblox
    1 
    
spec:
  provider:
    type: Infoblox
    2 
    
    infoblox:
      credentials:
        name: infoblox-credentials
      gridHost: ${INFOBLOX_GRID_PUBLIC_IP}
      wapiPort: 443
      wapiVersion: "2.3.1"
  domains:
  - filterType: Include
    matchType: Exact
    name: test.example.com
  source:
    type: OpenShiftRoute
    3 
    
    openshiftRouteOptions:
      routerName: default
    4
    Copy to Clipboard Toggle word wrap

    1
    외부 DNS 이름을 지정합니다.
    2
    공급자 유형을 정의합니다.
    3
    DNS 레코드의 소스에 대한 옵션을 정의할 수 있습니다.
    4
    소스 유형이 OpenShiftRoute 인 경우 OpenShift Ingress 컨트롤러 이름을 전달할 수 있습니다. 외부 DNS는 CNAME 레코드를 생성하는 동안 해당 라우터의 정식 호스트 이름을 대상으로 선택합니다.

  4. 다음 명령을 실행하여 Infoblox에서 ExternalDNS 리소스를 만듭니다. 

    $ oc create -f external-dns-sample-infoblox.yaml
    Copy to Clipboard Toggle word wrap

  5. Infoblox UI에서 콘솔 경로에 대해 생성된 DNS 레코드를 확인하세요.

    1. 데이터 관리DNS영역을 클릭합니다.
    2. 영역 이름을 선택하세요.

4.9. 외부 DNS 운영자에서 클러스터 전체 프록시 구성
링크 복사

클러스터 전체 프록시를 구성한 후, Operator Lifecycle Manager(OLM)는 HTTP_PROXY , HTTPS_PROXYNO_PROXY 환경 변수의 새 내용을 사용하여 배포된 모든 Operator에 대한 자동 업데이트를 트리거합니다.

4.9.1. 클러스터 전체 프록시의 인증 기관 신뢰
링크 복사

클러스터 전체 프록시의 인증 기관을 신뢰하도록 외부 DNS 운영자를 구성할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 external-dns-operator 네임스페이스에 CA 번들을 포함하는 구성 맵을 만듭니다. 

    $ oc -n external-dns-operator create configmap trusted-ca
    Copy to Clipboard Toggle word wrap

  2. 신뢰할 수 있는 CA 번들을 구성 맵에 주입하려면 다음 명령을 실행하여 구성 맵에 config.openshift.io/inject-trusted-cabundle=true 레이블을 추가합니다. 

    $ oc -n external-dns-operator label cm trusted-ca config.openshift.io/inject-trusted-cabundle=true
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 외부 DNS 운영자의 구독을 업데이트합니다. 

    $ oc -n external-dns-operator patch subscription external-dns-operator --type='json' -p='[{"op": "add", "path": "/spec/config", "value":{"env":[{"name":"TRUSTED_CA_CONFIGMAP_NAME","value":"trusted-ca"}]}}]'
    Copy to Clipboard Toggle word wrap

검증

  • 외부 DNS 운영자 배포가 완료된 후 다음 명령을 실행하여 신뢰할 수 있는 CA 환경 변수가 external-dns-operator 배포에 추가되어 trusted-ca 로 출력되었는지 확인합니다. 

    $ oc -n external-dns-operator exec deploy/external-dns-operator -c external-dns-operator -- printenv TRUSTED_CA_CONFIGMAP_NAME
    Copy to Clipboard Toggle word wrap

5장. MetalLB Operator
링크 복사

5.1. MetalLB 및 MetalLB Operator 정보
링크 복사

클러스터 관리자는 MetalLB Operator를 클러스터에 추가하여 LoadBalancer 유형의 서비스가 클러스터에 추가되면 MetalLB에서 서비스에 내결함성 외부 IP 주소를 추가할 수 있습니다. 외부 IP 주소가 클러스터의 호스트 네트워크에 추가됩니다.

5.1.1. MetalLB 사용 시기
링크 복사

MetalLB를 사용하는 것은 베어 메탈 클러스터 또는 베어 메탈과 같은 인프라가 있는 경우 중요하며, 외부 IP 주소를 통해 애플리케이션에 내결함성 액세스를 원할 때 중요합니다.

외부 IP 주소의 네트워크 트래픽이 클라이언트에서 클러스터의 호스트 네트워크로 라우팅되도록 네트워킹 인프라를 구성해야 합니다.

MetalLB Operator를 사용하여 MetalLB를 배포한 후 LoadBalancer 유형의 서비스를 추가하면 MetalLB에서 플랫폼 네이티브 로드 밸런서를 제공합니다.

외부 트래픽이 MetalLB LoadBalancer 서비스를 통해 OpenShift Container Platform 클러스터에 들어오면 클라이언트로 반환되는 트래픽의 소스 IP는 로드 밸런서의 외부 IP 주소입니다.

Layer2 모드에서 작동하는 MetalLB는 IP 장애 조치와 유사한 메커니즘을 활용하여 장애 조치에 대한 지원을 제공합니다. 하지만 MetalLB는 VRRP(가상 라우터 중복 프로토콜)와 keepalived에 의존하는 대신 가십 기반 프로토콜을 활용하여 노드 장애 인스턴스를 식별합니다. 장애 조치가 감지되면 다른 노드가 리더 노드의 역할을 맡고, 이 변경 사항을 브로드캐스트하기 위해 무상 ARP 메시지가 전송됩니다.

3계층 또는 BGP(Border Gateway Protocol) 모드에서 작동하는 MetalLB는 네트워크에 장애 감지를 위임합니다. OpenShift Container Platform 노드가 연결을 설정한 BGP 라우터는 모든 노드 장애를 식별하고 해당 노드로의 경로를 종료합니다.

포드와 서비스의 고가용성을 보장하려면 IP 장애 조치 대신 MetalLB를 사용하는 것이 좋습니다.

5.1.2. MetalLB Operator 사용자 정의 리소스
링크 복사

MetalLB Operator는 다음과 같은 사용자 정의 리소스에 대해 자체 네임스페이스를 모니터링합니다.

MetalLB
클러스터에 MetalLB 사용자 정의 리소스를 추가하면 MetalLB Operator에서 클러스터에 MetalLB를 배포합니다. Operator는 사용자 정의 리소스의 단일 인스턴스만 지원합니다. 인스턴스가 삭제되면 Operator는 클러스터에서 MetalLB를 제거합니다.
IPAddressPool

MetalLB에는 LoadBalancer 유형의 서비스를 추가할 때 서비스에 할당할 수 있는 하나 이상의 IP 주소 풀이 필요합니다. IPAddressPool 에는 IP 주소 목록이 포함되어 있습니다. 목록은 1.1.1.1-1.1.1.1과 같이 범위를 사용하여 설정된 단일 IP 주소이거나, CIDR 표기법으로 지정된 범위이거나, 하이픈으로 구분된 시작 및 종료 주소로 지정된 범위이거나, 이 세 가지를 조합한 것일 수 있습니다. IPAddressPool 에는 이름이 필요합니다. 이 문서에서는 doc-example,doc-example -reserved, doc- example-ipv6 등의 이름을 사용합니다. MetalLB 컨트롤러는 IPAddressPool 의 주소 풀에서 IP 주소를 할당합니다. L2AdvertisementBGPAdvertisement 사용자 정의 리소스를 사용하면 지정된 풀에서 지정된 IP를 광고할 수 있습니다. IPAddressPool 사용자 지정 리소스에서 spec.serviceAllocation 사양을 사용하여 IPAddressPool 의 IP 주소를 서비스 및 네임스페이스에 할당할 수 있습니다.

참고

단일 IPAddressPool은 L2 광고와 BGP 광고에서 참조될 수 있습니다.

BGPPeer
BGP 피어 사용자 정의 리소스는 MetalLB가 통신할 BGP 라우터, 라우터의 AS 번호, MetalLB의 AS 번호, 경로 광고에 대한 사용자 정의를 식별합니다. MetalLB는 서비스 로드 밸런서 IP 주소에 대한 경로를 하나 이상의 BGP 피어에 알립니다.
BFDProfile
BFD 프로필 사용자 정의 리소스는 BGP 피어에 대한 양방향 전달 감지(BFD)를 구성합니다. BFD는 BGP만으로 제공하는 것보다 더 빠른 경로 오류 감지 기능을 제공합니다.
L2Advertisement
L2Advertisement 사용자 정의 리소스는 L2 프로토콜을 사용하여 IPAddressPool 에서 나오는 IP를 광고합니다.
BGPAdvertisement
BGPAdvertisement 사용자 정의 리소스는 BGP 프로토콜을 사용하여 IPAddressPool 에서 나오는 IP를 광고합니다.

MetalLB 사용자 정의 리소스를 클러스터에 추가하고 Operator에서 MetalLB를 배포하면 MetalLB 소프트웨어 구성 요소, controllerspeaker가 실행됩니다.

MetalLB는 모든 관련 사용자 정의 리소스를 검증합니다.

5.1.3. MetalLB 소프트웨어 구성 요소
링크 복사

MetalLB Operator를 설치하면 metallb-operator-controller-manager 배포가 Pod를 시작합니다. Pod는 Operator의 구현입니다. 포드는 모든 관련 리소스의 변경 사항을 모니터링합니다.

Operator에서 MetalLB 인스턴스를 시작하면 controller 배포 및 speaker 데몬 세트를 시작합니다.

참고

MetalLB 사용자 정의 리소스에서 배포 사양을 구성하여 컨트롤러스피커 포드가 클러스터에서 어떻게 배포되고 실행되는지 관리할 수 있습니다. 이러한 배포 사양에 대한 자세한 내용은 추가 리소스 섹션을 참조하세요.

컨트롤러

Operator는 배포 및 단일 Pod를 시작합니다. LoadBalancer 유형의 서비스를 추가하면 Kubernetes는 controller를 사용하여 주소 풀에서 IP 주소를 할당합니다. 서비스 장애가 발생한 경우 컨트롤러 포드 로그에 다음 항목이 있는지 확인하세요.

출력 예

"event":"ipAllocated","ip":"172.22.0.201","msg":"IP address assigned by controller
Copy to Clipboard Toggle word wrap

speaker

운영자는 스피커 포드에 대한 데몬 세트를 시작합니다. 기본적으로 클러스터의 각 노드에서 Pod가 시작됩니다. MetalLB를 시작할 때 MetalLB 사용자 정의 리소스에서 노드 선택기를 지정하여 포드를 특정 노드로 제한할 수 있습니다. 컨트롤러가 서비스에 IP 주소를 할당했지만 여전히 서비스를 사용할 수 없는 경우 스피커 포드 로그를 읽어보세요. 스피커 포드를 사용할 수 없는 경우 oc describe pod -n 명령을 실행합니다.

2계층 모드의 경우, 컨트롤러가 서비스에 대한 IP 주소를 할당한 후, 스피커 포드는 알고리즘을 사용하여 어떤 노드의 어떤 스피커 포드가 로드 밸런서 IP 주소를 알릴지 결정합니다. 이 알고리즘에는 노드 이름과 로드 밸런서 IP 주소를 해시하는 작업이 포함됩니다. 자세한 내용은 "MetalLB 및 외부 트래픽 정책"을 참조하세요. speaker는 ARP(Address Resolution Protocol)를 사용하여 IPv4 주소를 알리고 NDP(neighbor Discovery Protocol)를 사용하여 IPv6 주소를 알립니다.

BGP(Border Gateway Protocol) 모드의 경우, 컨트롤러가 서비스에 대한 IP 주소를 할당한 후, 각 스피커 포드는 로드 밸런서 IP 주소를 BGP 피어에 알립니다. BGP 피어와 BGP 세션을 시작할 노드를 구성할 수 있습니다.

로드 밸런서 IP 주소에 대한 요청은 IP 주소를 알려주는 speaker가 있는 노드로 라우팅됩니다. 노드가 패킷을 수신하면 서비스 프록시가 패킷을 서비스의 엔드포인트로 라우팅합니다. 최적의 경우 엔드포인트가 동일한 노드에 있거나 다른 노드에 있을 수 있습니다. 서비스 프록시는 연결이 설정될 때마다 엔드포인트를 선택합니다.

5.1.4. MetalLB 및 외부 트래픽 정책
링크 복사

계층 2 모드에서는 클러스터의 한 노드에서 서비스 IP 주소에 대한 모든 트래픽을 수신합니다. BGP 모드를 사용하면 호스트 네트워크의 라우터가 클러스터의 노드 중 하나에 대한 연결을 열어 새로운 클라이언트에 연결합니다. 노드가 입력된 후 클러스터에서 트래픽을 처리하는 방법은 외부 트래픽 정책의 영향을 받습니다.

cluster

spec.externalTrafficPolicy의 기본값입니다.

cluster 트래픽 정책을 사용하면 노드가 트래픽을 수신한 후 서비스 프록시에서 서비스의 모든 pod에 트래픽을 배포합니다. 이 정책은 pod에서 균일한 트래픽 배포를 제공하지만 클라이언트 IP 주소가 지워지고 클라이언트 대신 노드에서 트래픽이 시작된 pod의 애플리케이션에 표시될 수 있습니다.

로컬

local 트래픽 정책에서는 노드가 트래픽을 수신한 후 서비스 프록시에서 동일한 노드의 pod에만 트래픽을 보냅니다. 예를 들어 A 노드의 speaker Pod에서 외부 서비스 IP를 알릴 경우 모든 트래픽이 노드 A로 전송됩니다. 트래픽이 노드 A에 진입하면 서비스 프록시는 A 노드에도 있는 서비스의 Pod에만 트래픽을 전송합니다. 추가 노드에 있는 서비스의 Pod는 A 노드에서 트래픽을 받지 않습니다. 추가 노드의 서비스에 대한 Pod는 장애 조치가 필요한 경우 복제본 역할을 합니다.

이 정책은 클라이언트 IP 주소에 영향을 미치지 않습니다. 애플리케이션 pod는 들어오는 연결에서 클라이언트 IP 주소를 확인할 수 있습니다.

참고

BGP 모드에서 외부 트래픽 정책을 구성할 때 다음 정보가 중요합니다.

MetalLB는 모든 적격 노드에서 로드 밸런서 IP 주소를 광고하지만, 서비스를 로드 밸런싱하는 노드 수는 동일 비용 다중 경로(ECMP) 경로를 설정하는 라우터의 용량에 따라 제한될 수 있습니다. IP를 광고하는 노드의 수가 라우터의 ECMP 그룹 제한보다 많으면 라우터는 IP를 광고하는 노드보다 적은 노드를 사용합니다.

예를 들어, 외부 트래픽 정책이 로컬 로 설정되고 라우터의 ECMP 그룹 제한이 16으로 설정되어 있으며 LoadBalancer 서비스를 구현하는 포드가 30개 노드에 배포된 경우, 14개 노드에 배포된 포드는 트래픽을 수신하지 못하게 됩니다. 이런 상황에서는 서비스의 외부 트래픽 정책을 클러스터 로 설정하는 것이 더 좋습니다.

5.1.5. 계층 2 모드의 MetalLB 개념
링크 복사

계층 2 모드에서 하나의 노드의 speaker pod는 서비스의 외부 IP 주소를 호스트 네트워크에 알립니다. 네트워크 화면에서 볼 때 노드에는 네트워크 인터페이스에 할당된 여러 IP 주소가 있는 것으로 보입니다.

참고

2계층 모드에서 MetalLB는 ARP와 NDP를 사용합니다. 이러한 프로토콜은 특정 서브넷 내에서 로컬 주소 확인을 구현합니다. 이 컨텍스트에서 클라이언트는 MetalLB가 작동하려면 서비스를 발표하는 노드와 동일한 서브넷에 있는 MetalLB에서 할당한 VIP에 도달할 수 있어야 합니다.

speaker pod는 IPv6에 대한 IPv4 서비스 및 NDP 요청에 대한 ARP 요청에 응답합니다.

계층 2 모드에서는 서비스 IP 주소의 모든 트래픽이 하나의 노드를 통해 라우팅됩니다. 트래픽이 노드에 진입하면 CNI 네트워크 공급자의 서비스 프록시에서 서비스의 모든 Pod에 트래픽을 배포합니다.

서비스의 모든 트래픽이 계층 2 모드에서 단일 노드를 통해 시작되기 때문에 MetalLB는 계층 2에 대한 로드 밸런서를 구현하지 않습니다. 대신 MetalLB는 speaker pod를 사용할 수 없게 되는 계층 2에 대한 페일오버 메커니즘을 구현하여 다른 노드의 speaker Pod에서 서비스 IP 주소를 알릴 수 있습니다.

노드를 사용할 수 없게 되면 장애 조치가 자동으로 수행됩니다. 다른 노드의 speaker Pod는 노드를 사용할 수 없음을 감지하고 새 speaker Pod 및 노드가 실패한 노드에서 서비스 IP 주소의 소유권을 가져옵니다.

MetalLB 및 계층 2 모드의 개념 다이어그램
View larger image
MetalLB 및 계층 2 모드의 개념 다이어그램

이전 그림에서는 MetalLB와 관련된 다음 개념을 보여줍니다.

  • 애플리케이션은 172.130.0.0/16 서브넷에 클러스터 IP가 있는 서비스를 통해 사용할 수 있습니다. 이 IP 주소는 클러스터 내부에서 액세스할 수 있습니다. 서비스에는 MetalLB가 서비스에 할당된 외부 IP 주소 192.168.100.200도 있습니다.
  • 노드 1 및 3에는 애플리케이션용 pod가 있습니다.
  • speaker 데몬 세트는 각 노드에서 Pod를 실행합니다. MetalLB Operator는 이러한 Pod를 시작합니다.
  • speaker pod는 호스트 네트워크 포드입니다. pod의 IP 주소는 호스트 네트워크에 있는 노드의 IP 주소와 동일합니다.
  • 노드 1의 speaker pod는 ARP를 사용하여 서비스의 외부 IP 주소 192.168.100.200을 알립니다. 외부 IP 주소를 발표하는 speaker pod는 서비스의 엔드포인트와 동일한 노드에 있어야 하며 엔드포인트는 Ready 상태에 있어야 합니다.

  • 클라이언트 트래픽은 호스트 네트워크로 라우팅되고 192.168.100.200 IP 주소에 연결됩니다. 트래픽이 노드로 전환되면 서비스 프록시는 서비스에 설정한 외부 트래픽 정책에 따라 동일한 노드 또는 다른 노드의 애플리케이션 pod로 트래픽을 전송합니다.

    • 해당 서비스의 외부 트래픽 정책이 클러스터 로 설정된 경우, 스피커 포드가 실행 중인 노드 중에서 192.168.100.200 로드 밸런서 IP 주소를 광고하는 노드가 선택됩니다. 해당 노드만 해당 서비스에 대한 트래픽을 수신할 수 있습니다.
    • 해당 서비스의 외부 트래픽 정책이 로컬 로 설정된 경우, 192.168.100.200 로드 밸런서 IP 주소를 광고하는 노드는 스피커 포드가 실행 중인 노드와 최소한 서비스 엔드포인트 중에서 선택됩니다. 해당 노드만 해당 서비스에 대한 트래픽을 수신할 수 있습니다. 이전 그래픽에서 노드 1 또는 3은 192.168.100.200을 광고합니다.
  • 노드 1을 사용할 수 없게 되면 외부 IP 주소가 다른 노드로 장애 조치됩니다. 애플리케이션 pod 및 서비스 엔드포인트의 인스턴스가 있는 다른 노드에서 speaker pod는 외부 IP 주소 192.168.100.200을 알리기 시작하고 새 노드는 클라이언트 트래픽을 수신합니다. 다이어그램에서 유일한 후보는 노드 3입니다.

5.1.6. BGP 모드에 대한 MetalLB 개념
링크 복사

BGP 모드에서는 기본적으로 각 스피커 포드가 각 BGP 피어에 서비스의 로드 밸런서 IP 주소를 알립니다. BGP 피어의 선택적 목록을 추가하여 주어진 풀에서 나오는 IP를 특정 피어 세트에 광고하는 것도 가능합니다. BGP 피어는 일반적으로 BGP 프로토콜을 사용하도록 구성된 네트워크 라우터입니다. 라우터가 로드 밸런서 IP 주소에 대한 트래픽을 수신하면 라우터는 IP 주소를 광고하는 스피커 포드가 있는 노드 중 하나를 선택합니다. 라우터는 해당 노드로 트래픽을 전송합니다. 트래픽이 노드에 진입하면 CNI 네트워크 공급자의 서비스 프록시에서 서비스의 모든 Pod에 트래픽을 배포합니다.

클러스터 노드와 동일한 2계층 네트워크 세그먼트에 직접 연결된 라우터는 BGP 피어로 구성될 수 있습니다. 직접 연결된 라우터가 BGP 피어로 구성되지 않은 경우, 로드 밸런서 IP 주소에 대한 패킷이 BGP 피어와 스피커 포드를 실행하는 클러스터 노드 간에 라우팅되도록 네트워크를 구성해야 합니다.

라우터가 로드 밸런서 IP 주소에 대한 새로운 트래픽을 수신할 때마다 노드에 대한 새로운 연결을 만듭니다. 각 라우터 제조업체는 연결을 시작할 노드를 선택하기 위한 구현별 알고리즘을 갖고 있습니다. 그러나 이러한 알고리즘은 일반적으로 네트워크 부하를 균형 있게 조절하기 위해 사용 가능한 노드에 트래픽을 분산하도록 설계됩니다.

노드를 사용할 수 없게 되면 라우터는 로드 밸런서 IP 주소를 광고하는 스피커 포드가 있는 다른 노드와 새로운 연결을 시작합니다.

그림 5.1. BGP 모드에 대한 MetalLB 토폴로지 다이어그램

호스트 네트워크 10.0.1.0/24의 스피커 포드는 BGP를 사용하여 로드 밸런서 IP 주소 203.0.113.200을 라우터에 광고합니다.
View larger image
호스트 네트워크 10.0.1.0/24의 스피커 포드는 BGP를 사용하여 로드 밸런서 IP 주소 203.0.113.200을 라우터에 광고합니다.

이전 그림에서는 MetalLB와 관련된 다음 개념을 보여줍니다.

  • 애플리케이션은 172.130.0.0/16 서브넷에 클러스터 IP가 있는 서비스를 통해 사용할 수 있습니다. 이 IP 주소는 클러스터 내부에서 액세스할 수 있습니다. 서비스에는 MetalLB가 서비스에 할당된 외부 IP 주소 192.168.100.200도 있습니다.
  • 노드 1 및 3에는 애플리케이션용 pod가 있습니다.
  • speaker 데몬 세트는 각 노드에서 Pod를 실행합니다. MetalLB Operator는 이러한 Pod를 시작합니다. MetalLB를 구성하여 어떤 노드가 스피커 포드를 실행할지 지정할 수 있습니다.
  • speaker pod는 호스트 네트워크 포드입니다. pod의 IP 주소는 호스트 네트워크에 있는 노드의 IP 주소와 동일합니다.
  • 스피커 포드는 모든 BGP 피어와 BGP 세션을 시작하고 로드 밸런서 IP 주소나 집계된 경로를 BGP 피어에 알립니다. 스피커 포드는 자신들이 자율 시스템 65010의 일부임을 광고합니다. 이 다이어그램은 동일한 자율 시스템 내의 BGP 피어인 라우터 R1을 보여줍니다. 하지만 다른 자율 시스템에 속한 피어와 BGP 세션을 시작하도록 MetalLB를 구성할 수 있습니다.

  • 로드 밸런서 IP 주소를 광고하는 스피커 포드가 있는 모든 노드는 서비스에 대한 트래픽을 수신할 수 있습니다.

    • 해당 서비스의 외부 트래픽 정책이 클러스터 로 설정된 경우, 스피커 포드가 실행 중인 모든 노드는 203.0.113.200 로드 밸런서 IP 주소를 알리고, 스피커 포드가 있는 모든 노드는 해당 서비스에 대한 트래픽을 수신할 수 있습니다. 외부 트래픽 정책이 클러스터로 설정된 경우에만 호스트 접두사가 라우터 피어에 광고됩니다.
    • 해당 서비스의 외부 트래픽 정책이 로컬 로 설정된 경우, 스피커 포드가 실행 중인 모든 노드와 최소한 서비스 엔드포인트가 실행 중인 노드는 203.0.113.200 로드 밸런서 IP 주소를 광고할 수 있습니다. 해당 노드만 서비스에 대한 트래픽을 수신할 수 있습니다. 이전 그래픽에서 노드 2와 3은 203.0.113.200을 광고합니다.
  • BGP 피어 사용자 정의 리소스를 추가할 때 노드 선택기를 지정하여 MetalLB가 특정 BGP 피어와 BGP 세션을 시작할 스피커 포드를 제어하도록 구성할 수 있습니다.
  • BGP를 사용하도록 구성된 R1과 같은 모든 라우터는 BGP 피어로 설정할 수 있습니다.
  • 클라이언트 트래픽은 호스트 네트워크의 노드 중 하나로 라우팅됩니다. 트래픽이 노드로 전환되면 서비스 프록시는 서비스에 설정한 외부 트래픽 정책에 따라 동일한 노드 또는 다른 노드의 애플리케이션 pod로 트래픽을 전송합니다.
  • 노드를 사용할 수 없게 되면 라우터는 장애를 감지하고 다른 노드와 새로운 연결을 시작합니다. BGP 피어에 대해 BFD(양방향 전달 감지) 프로필을 사용하도록 MetalLB를 구성할 수 있습니다. BFD는 링크 장애 감지 속도를 높여 라우터가 BFD가 없을 때보다 더 일찍 새로운 연결을 시작할 수 있도록 합니다.

5.1.7. 제한 사항
링크 복사

5.1.7.1. MetalLB의 인프라 고려 사항
링크 복사

MetalLB는 기본적으로 베어 메탈 설치에 유용합니다. 이러한 설치에는 기본 로드 밸런서 기능이 포함되어 있지 않기 때문입니다. 베어 메탈 설치 외에도 일부 인프라에 OpenShift Container Platform을 설치할 때 기본 로드 밸런서 기능이 포함되지 않을 수 있습니다. 예를 들어 다음 인프라는 MetalLB Operator를 추가하는 데 도움이 될 수 있습니다.

  • 베어 메탈
  • VMware vSphere
  • IBM Z® 및 IBM® LinuxONE
  • Red Hat Enterprise Linux(RHEL) KVM용 IBM Z® 및 IBM® LinuxONE
  • IBM Power®
5.1.7.2. 계층 2 모드에 대한 제한 사항
링크 복사
5.1.7.2.1. 단일 노드 성능 장애
링크 복사

MetalLB는 단일 노드를 통해 서비스에 대한 모든 트래픽을 라우팅합니다. 이 노드는 병목 현상을 일으키고 성능을 제한할 수 있습니다.

계층 2 모드는 서비스의 수신 대역폭을 단일 노드의 대역폭으로 제한합니다. 이는 ARP 및 NDP를 사용하여 트래픽을 전달하는 기본 제한 사항입니다.

5.1.7.2.2. 페일오버 성능 저하
링크 복사

노드 간 페일오버는 클라이언트와의 협업에 따라 달라집니다. 페일오버가 발생하면 MetalLB에서 적절한 ARP 패킷을 전송하여 서비스에 연결된 MAC 주소가 변경되었음을 알립니다.

대부분의 클라이언트 운영 체제는 적절한 ARP 패킷을 올바르게 처리하고 인접 캐시를 즉시 업데이트합니다. 클라이언트에서 캐시를 빠르게 업데이트하면 몇 초 내에 페일오버가 완료됩니다. 일반적으로 클라이언트는 10초 내에 새 노드로 페일오버합니다. 그러나 일부 클라이언트 운영 체제는 적절한 ARP 패킷을 전혀 처리하지 않거나 캐시 업데이트를 지연하는 오래된 구현을 보유하고 있습니다.

Windows, macOS 및 Linux와 같은 일반적인 운영 체제의 최신 버전은 계층 2 페일오버를 올바르게 구현합니다. 오래되고 덜 일반적인 클라이언트 운영 체제를 제외하고는 느린 페일오버 문제가 발생하지 않습니다.

계획된 페일오버가 오래된 클라이언트에 미치는 영향을 최소화하려면 리더십 전환 후 몇 분 동안 이전 노드를 계속 실행하십시오. 이전 노드는 캐시가 새로 고쳐질 때까지 오래된 클라이언트의 트래픽을 계속 전달할 수 있습니다.

계획되지 않은 페일오버가 발생하면 오래된 클라이언트가 캐시 항목을 새로 고칠 때까지 서비스 IP에 연결할 수 없습니다.

MetalLB와 소스 포드에 설정된 추가 네트워크 인터페이스에 동일한 VLAN을 사용하면 연결에 실패할 수 있습니다. 이는 MetalLB IP와 소스 포드가 모두 동일한 노드에 있을 때 발생합니다.

연결 실패를 방지하려면 MetalLB IP를 소스 포드가 있는 서브넷과 다른 서브넷에 배치하세요. 이 구성을 사용하면 소스 포드의 트래픽이 기본 게이트웨이를 사용하게 됩니다. 결과적으로 트래픽은 OVN 오버레이 네트워크를 사용하여 효과적으로 목적지에 도달할 수 있으며, 연결이 의도한 대로 기능하도록 보장됩니다.

5.1.7.3. BGP 모드에 대한 제한 사항
링크 복사
5.1.7.3.1. 노드 장애로 인해 모든 활성 연결이 끊어질 수 있습니다.
링크 복사

MetalLB는 BGP 기반 부하 분산과 공통적인 제한 사항을 공유합니다. BGP 세션이 종료되는 경우(예: 노드에 장애가 발생하거나 스피커 포드가 다시 시작되는 경우) 세션 종료로 인해 모든 활성 연결이 재설정될 수 있습니다. 최종 사용자는 피어 메시지로 인한 연결 재설정을 경험할 수 있습니다.

BGP 세션이 종료된 결과는 라우터 제조업체마다 구현 방식에 따라 다릅니다. 그러나 스피커 포드의 수가 변경되면 BGP 세션의 수가 영향을 받고 BGP 피어와의 활성 연결이 끊어질 수 있다는 점을 예상할 수 있습니다.

서비스 중단 가능성을 방지하거나 줄이려면 BGP 피어를 추가할 때 노드 선택기를 지정할 수 있습니다. BGP 세션을 시작하는 노드 수를 제한함으로써, BGP 세션이 없는 노드에서 오류가 발생해도 서비스 연결에는 영향을 미치지 않습니다.

5.1.7.3.2. 단일 ASN 및 단일 라우터 ID만 지원
링크 복사

BGP 피어 사용자 지정 리소스를 추가하는 경우 MetalLB가 속한 ASN(자율 시스템 번호)을 식별하기 위해 spec.myASN 필드를 지정합니다. OpenShift Container Platform은 MetalLB가 단일 ASN에 속해야 하는 BGP 구현을 MetalLB와 함께 사용합니다. BGP 피어를 추가하려고 하면서 spec.myASN 에 기존 BGP 피어 사용자 지정 리소스와 다른 값을 지정하면 오류가 발생합니다.

마찬가지로 BGP 피어 사용자 지정 리소스를 추가하는 경우 spec.routerID 필드는 선택 사항입니다. 이 필드에 값을 지정하는 경우 추가하는 다른 모든 BGP 피어 사용자 정의 리소스에 대해서도 동일한 값을 지정해야 합니다.

단일 ASN과 단일 라우터 ID를 지원해야 한다는 제한은 MetalLB의 커뮤니티 지원 구현과의 차이점입니다.

5.2. MetalLB Operator 설치
링크 복사

클러스터 관리자는 Operator가 클러스터에서 MetalLB 인스턴스의 라이프사이클을 관리할 수 있도록 MetallB Operator를 추가할 수 있습니다.

MetalLB 및 IP 페일오버가 호환되지 않습니다. 클러스터에 IP 페일오버를 구성한 경우 Operator를 설치하기 전에 IP 페일오버 제거 단계를 수행합니다.

5.2.1. 웹 콘솔을 사용하여 OperatorHub에서 MetalLB Operator 설치
링크 복사

클러스터 관리자는 OpenShift Container Platform 웹 콘솔을 사용하여 MetalLB Operator를 설치할 수 있습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. OpenShift Container Platform 웹 콘솔에서 OperatorOperatorHub로 이동합니다.

  2. 원하는 Operator를 찾으려면 키워드를 Filter by keyword 상자에 입력하거나 스크롤합니다. 예를 들어 metallb를 입력하여 MetalLB Operator를 찾습니다.

    인프라 기능에서 옵션을 필터링할 수 있습니다. 예를 들어, 연결이 끊긴 환경 (제한된 네트워크 환경이라고도 함)에서 작업하는 Operator를 표시하려면 Disconnected를 선택합니다.

  3. Install Operator 페이지에서 기본값을 적용하고 Install을 클릭합니다.

검증

  1. 설치에 성공했는지 확인하려면 다음을 수행하십시오.

    1. Operator설치된 Operator 페이지로 이동합니다.
    2. Operator가 openshift-operators 네임스페이스에 설치되어 있고 상태가 Succeeded 인지 확인하세요.

  2. Operator가 성공적으로 설치되지 않은 경우 Operator 상태를 확인하고 로그를 검토하세요.

    1. Operator설치된 Operator 페이지로 이동하여 Status 열에 오류 또는 실패가 있는지 점검합니다.
    2. 워크로드Pod 페이지로 이동하고 openshift-compliance 프로젝트에서 문제를 보고하는 Pod의 로그를 확인합니다.

5.2.2. CLI를 사용하여 OperatorHub에서 설치
링크 복사

OpenShift Container Platform 웹 콘솔을 사용하는 대신 CLI를 사용하여 OperatorHub에서 Operator를 설치할 수 있습니다. OpenShift CLI( oc )를 사용하여 MetalLB Operator를 설치할 수 있습니다.

CLI를 사용할 때는 metallb-system 네임스페이스에 Operator를 설치하는 것이 좋습니다.

사전 요구 사항

  • 클러스터가 베어 메탈 하드웨어에 설치되어 있어야 합니다.
  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. 다음 명령을 입력하여 MetalLB Operator에 대한 네임스페이스를 만듭니다. 

    $ cat << EOF | oc apply -f -
apiVersion: v1
kind: Namespace
metadata:
  name: metallb-system
EOF
    Copy to Clipboard Toggle word wrap

  2. 네임스페이스에 Operator group 사용자 정의 리소스를 생성합니다. 

    $ cat << EOF | oc apply -f -
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: metallb-operator
  namespace: metallb-system
EOF
    Copy to Clipboard Toggle word wrap

  3. Operator group이 네임스페이스에 설치되어 있는지 확인합니다. 

    $ oc get operatorgroup -n metallb-system
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME               AGE
metallb-operator   14m
    Copy to Clipboard Toggle word wrap

  4. 서브스크립션을 생성합니다.

    1. 구독 CR을 정의하고 YAML 파일(예: metallb-sub.yaml) 을 저장합니다. 

      apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: metallb-operator-sub
  namespace: metallb-system
spec:
  channel: stable
  name: metallb-operator
  source: redhat-operators
      1 
      
  sourceNamespace: openshift-marketplace
      Copy to Clipboard Toggle word wrap
      1
      redhat-operators 값을 지정해야 합니다.

    2. 구독 CR을 생성하려면 다음 명령을 실행하세요. 

      $ oc create -f metallb-sub.yaml
      Copy to Clipboard Toggle word wrap

  5. 선택 사항: BGP 및 BFD 메트릭이 Prometheus에 나타나도록 하려면 다음 명령과 같이 네임스페이스에 레이블을 지정할 수 있습니다. 

    $ oc label ns metallb-system "openshift.io/cluster-monitoring=true"
    Copy to Clipboard Toggle word wrap

검증

검증 단계에서는 MetalLB Operator가 metallb-system 네임스페이스에 설치되어 있다고 가정합니다.

  1. 설치 계획이 네임스페이스에 있는지 확인합니다. 

    $ oc get installplan -n metallb-system
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME            CSV                                   APPROVAL    APPROVED
install-wzg94   metallb-operator.4.19.0-nnnnnnnnnnnn   Automatic   true
    Copy to Clipboard Toggle word wrap

    참고

    운영자 설치에는 몇 초가 걸릴 수 있습니다.

  2. Operator가 설치되었는지 확인하려면 다음 명령을 입력한 다음 Operator에 대해 출력에 Succeeded가 표시되는지 확인하세요. 

    $ oc get clusterserviceversion -n metallb-system \
  -o custom-columns=Name:.metadata.name,Phase:.status.phase
    Copy to Clipboard Toggle word wrap

5.2.3. 클러스터에서 MetalLB 시작
링크 복사

Operator를 설치한 후 MetalLB 사용자 정의 리소스의 단일 인스턴스를 구성해야 합니다. 사용자 정의 리소스를 구성한 후 Operator는 클러스터에서 MetalLB를 시작합니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.
  • MetalLB Operator를 설치합니다.

프로세스

이 절차에서는 MetalLB Operator가 metallb-system 네임스페이스에 설치되어 있다고 가정합니다. 웹 콘솔을 사용하여 설치한 경우 네임스페이스 대신 openshift-operators를 사용하세요.

  1. MetalLB 사용자 지정 리소스의 단일 인스턴스를 생성합니다. 

    $ cat << EOF | oc apply -f -
apiVersion: metallb.io/v1beta1
kind: MetalLB
metadata:
  name: metallb
  namespace: metallb-system
EOF
    Copy to Clipboard Toggle word wrap

검증

MetalLB 컨트롤러 및 MetalLB 발표자의 데몬 세트가 실행 중인지 확인합니다.

  1. 컨트롤러의 배포가 실행 중인지 확인합니다. 

    $ oc get deployment -n metallb-system controller
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME         READY   UP-TO-DATE   AVAILABLE   AGE
controller   1/1     1            1           11m
    Copy to Clipboard Toggle word wrap

  2. 발표자의 데몬 세트가 실행 중인지 확인합니다. 

    $ oc get daemonset -n metallb-system speaker
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME      DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR            AGE
speaker   6         6         6       6            6           kubernetes.io/os=linux   18m
    Copy to Clipboard Toggle word wrap

    예제 출력은 6개의 발표자 pod를 나타냅니다. 클러스터의 발표자 Pod 수는 예제 출력과 다를 수 있습니다. 출력에 클러스터의 각 노드에 하나의 pod가 표시되는지 확인합니다.

5.2.4. MetalLB 배포 사양
링크 복사

MetalLB 사용자 정의 리소스를 사용하여 MetalLB 인스턴스를 시작하면 MetalLB 사용자 정의 리소스에서 배포 사양을 구성하여 컨트롤러 또는 스피커 포드가 클러스터에서 배포되고 실행되는 방식을 관리할 수 있습니다. 다음 작업을 관리하려면 이러한 배포 사양을 사용하세요.

  • MetalLB Pod 배포를 위한 노드를 선택합니다.
  • Pod 우선순위와 Pod 친화성을 사용하여 일정을 관리합니다.
  • MetalLB 포드에 CPU 제한을 할당합니다.
  • MetalLB 포드에 컨테이너 RuntimeClass를 할당합니다.
  • MetalLB 포드에 대한 메타데이터를 할당합니다.
5.2.4.1. 스피커 포드를 특정 노드로 제한
링크 복사

기본적으로 MetalLB Operator를 사용하여 MetalLB를 시작하면 Operator는 클러스터의 각 노드에서 스피커 포드 인스턴스를 시작합니다. 스피커 포드가 있는 노드만 로드 밸런서 IP 주소를 광고할 수 있습니다. 노드 선택기를 사용하여 MetalLB 사용자 정의 리소스를 구성하여 스피커 포드를 실행할 노드를 지정할 수 있습니다.

스피커 포드를 특정 노드로 제한하는 가장 일반적인 이유는 특정 네트워크의 네트워크 인터페이스를 갖춘 노드만 로드 밸런서 IP 주소를 광고하도록 하기 위함입니다. 스피커 포드가 실행 중인 노드만 로드 밸런서 IP 주소의 대상으로 광고됩니다.

스피커 포드를 특정 노드로 제한하고 서비스의 외부 트래픽 정책에 대해 로컬을 지정하는 경우 해당 서비스의 애플리케이션 포드가 동일한 노드에 배포되었는지 확인해야 합니다.

스피커 포드를 작업자 노드로 제한하는 구성 예

apiVersion: metallb.io/v1beta1
kind: MetalLB
metadata:
  name: metallb
  namespace: metallb-system
spec:
  nodeSelector:
1 

    node-role.kubernetes.io/worker: ""
  speakerTolerations:
2 

  - key: "Example"
    operator: "Exists"
    effect: "NoExecute"
Copy to Clipboard Toggle word wrap

1
예시 구성에서는 스피커 포드를 워커 노드에 할당하도록 지정하지만, 노드나 유효한 노드 선택기에 할당한 레이블을 지정할 수 있습니다.
2
이 예제 구성에서 이 허용 범위가 연결된 포드는 연산자를 사용하여 값과 효과 값과 일치하는 모든 오염을 허용합니다.

spec.nodeSelector 필드로 매니페스트를 적용한 후에는 oc get daemonset -n metallb-system Speaker 명령을 사용하여 Operator가 배포한 Pod 수를 확인할 수 있습니다. 마찬가지로 oc get nodes -l node-role.kubernetes.io/worker= 와 같은 명령을 사용하면 레이블과 일치하는 노드를 표시할 수 있습니다.

선택적으로, 친화성 규칙을 사용하여 노드가 어떤 스피커 포드를 예약할지 또는 예약하지 않을지 제어할 수 있습니다. 또한 허용 목록을 적용하여 이러한 포드를 제한할 수도 있습니다. 친화성 규칙, 오염 및 허용에 대한 자세한 내용은 추가 리소스를 참조하세요.

5.2.4.2. MetalLB 배포에서 Pod 우선 순위 및 Pod 친화성 구성
링크 복사

MetalLB 사용자 정의 리소스를 구성하여 컨트롤러스피커 포드에 포드 우선 순위 및 포드 친화성 규칙을 선택적으로 할당할 수 있습니다. 포드 우선순위는 노드에서 포드의 상대적 중요성을 나타내며 이 우선순위에 따라 포드를 예약합니다. 노드의 다른 포드보다 스케줄링 우선순위를 보장하려면 컨트롤러스피커 포드에 높은 우선순위를 설정하세요.

포드 친화성은 포드 간의 관계를 관리합니다. 스케줄러가 포드 관계의 컨텍스트에서 포드를 어느 노드에 배치할지 제어하기 위해 컨트롤러 또는 스피커 포드에 포드 친화성을 할당합니다. 예를 들어, Pod 친화성 규칙을 사용하여 특정 Pod가 동일한 노드에 위치하도록 할 수 있으며, 이를 통해 네트워크 통신을 개선하고 해당 구성 요소 간의 지연 시간을 줄이는 데 도움이 될 수 있습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 사용자로 로그인했습니다.
  • MetalLB Operator를 설치했습니다.
  • 클러스터에서 MetalLB Operator를 시작했습니다.

프로세스

  1. 우선순위 수준을 구성하려면 myPriorityClass.yaml 과 같은 PriorityClass 사용자 정의 리소스를 만듭니다. 이 예제에서는 값이 1000000high-priority 라는 PriorityClass를 정의합니다. 이 우선 순위 클래스가 할당된 Pod는 낮은 우선 순위 클래스가 할당된 Pod에 비해 스케줄링 중에 더 높은 우선 순위로 간주됩니다. 

    apiVersion: scheduling.k8s.io/v1
kind: PriorityClass
metadata:
  name: high-priority
value: 1000000
    Copy to Clipboard Toggle word wrap

  2. PriorityClass 사용자 정의 리소스 구성을 적용합니다. 

    $ oc apply -f myPriorityClass.yaml
    Copy to Clipboard Toggle word wrap

  3. PriorityClassNamepodAffinity 값을 지정하려면 MetalLBPodConfig.yaml 과 같은 MetalLB 사용자 정의 리소스를 만듭니다. 

    apiVersion: metallb.io/v1beta1
kind: MetalLB
metadata:
  name: metallb
  namespace: metallb-system
spec:
  logLevel: debug
  controllerConfig:
    priorityClassName: high-priority
    1 
    
    affinity:
      podAffinity:
    2 
    
        requiredDuringSchedulingIgnoredDuringExecution:
        - labelSelector:
            matchLabels:
             app: metallb
          topologyKey: kubernetes.io/hostname
  speakerConfig:
    priorityClassName: high-priority
    affinity:
      podAffinity:
        requiredDuringSchedulingIgnoredDuringExecution:
        - labelSelector:
            matchLabels:
             app: metallb
          topologyKey: kubernetes.io/hostname
    Copy to Clipboard Toggle word wrap
    1
    MetalLB 컨트롤러 포드의 우선 순위 클래스를 지정합니다. 이 경우에는 높은 우선순위 로 설정됩니다.
    2
    Pod 친화성 규칙을 구성하고 있음을 지정합니다. 이러한 규칙은 포드가 다른 포드나 노드와 관련하여 어떻게 예약되는지를 지시합니다. 이 구성은 스케줄러에게 app:metallb 라벨이 있는 포드를 동일한 호스트 이름을 공유하는 노드에 스케줄하도록 지시합니다. 이를 통해 MetalLB 관련 포드를 동일한 노드에 공동 배치하여 이러한 포드 간의 네트워크 통신, 지연 시간 및 리소스 사용을 최적화할 수 있습니다.

  4. MetalLB 사용자 정의 리소스 구성을 적용합니다. 

    $ oc apply -f MetalLBPodConfig.yaml
    Copy to Clipboard Toggle word wrap

검증

  • metallb-system 네임스페이스의 포드에 할당한 우선 순위 클래스를 보려면 다음 명령을 실행하세요. 

    $ oc get pods -n metallb-system -o custom-columns=NAME:.metadata.name,PRIORITY:.spec.priorityClassName
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                                 PRIORITY
controller-584f5c8cd8-5zbvg                          high-priority
metallb-operator-controller-manager-9c8d9985-szkqg   <none>
metallb-operator-webhook-server-c895594d4-shjgx      <none>
speaker-dddf7                                        high-priority
    Copy to Clipboard Toggle word wrap

  • 스케줄러가 Pod 친화성 규칙에 따라 Pod를 배치했는지 확인하려면 다음 명령을 실행하여 Pod 노드에 대한 메타데이터를 확인하세요. 

    $ oc get pod -o=custom-columns=NODE:.spec.nodeName,NAME:.metadata.name -n metallb-system
    Copy to Clipboard Toggle word wrap
5.2.4.3. MetalLB 배포에서 Pod CPU 제한 구성
링크 복사

MetalLB 사용자 정의 리소스를 구성하여 컨트롤러스피커 포드에 포드 CPU 제한을 선택적으로 할당할 수 있습니다. 컨트롤러 또는 스피커 포드에 대한 CPU 제한을 정의하면 노드의 컴퓨팅 리소스를 관리하는 데 도움이 됩니다. 이를 통해 노드의 모든 포드가 작업 부하와 클러스터 정리를 관리하는 데 필요한 컴퓨팅 리소스를 확보할 수 있습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 사용자로 로그인했습니다.
  • MetalLB Operator를 설치했습니다.

프로세스

  1. 컨트롤러스피커 포드의 CPU 값을 지정하려면 CPULimits.yaml 과 같은 MetalLB 사용자 정의 리소스 파일을 만듭니다. 

    apiVersion: metallb.io/v1beta1
kind: MetalLB
metadata:
  name: metallb
  namespace: metallb-system
spec:
  logLevel: debug
  controllerConfig:
    resources:
      limits:
        cpu: "200m"
  speakerConfig:
    resources:
      limits:
        cpu: "300m"
    Copy to Clipboard Toggle word wrap

  2. MetalLB 사용자 정의 리소스 구성을 적용합니다. 

    $ oc apply -f CPULimits.yaml
    Copy to Clipboard Toggle word wrap

검증

  • 포드의 컴퓨팅 리소스를 보려면 다음 명령을 실행하고 <pod_name>을 대상 포드로 바꿉니다. 

    $ oc describe pod <pod_name>
    Copy to Clipboard Toggle word wrap

5.2.6. 다음 단계
링크 복사

5.3. MetalLB 운영자 업그레이드
링크 복사

기본적으로 metallb-system 에 네임스페이스를 구독하는 구독 사용자 정의 리소스(CR)는 installPlanApproval 매개변수를 자동으로 Automatic 으로 설정합니다. 즉, Red Hat에서 제공하는 Operator 카탈로그에 최신 버전의 MetalLB Operator가 포함되어 있는 경우 MetalLB Operator가 자동으로 업그레이드됩니다.

MetalLB Operator 업그레이드를 수동으로 제어해야 하는 경우 installPlanApproval 매개변수를 Manual 로 설정합니다.

5.3.1. MetalLB Operator 수동 업그레이드
링크 복사

MetalLB Operator 업그레이드를 수동으로 제어하려면 네임스페이스를 metallb-system 에 구독하는 구독 사용자 정의 리소스(CR)를 편집해야 합니다. 구독 CR은 운영자 설치의 일부로 생성되며 CR에는 기본적으로 installPlanApproval 매개변수가 자동 으로 설정되어 있습니다.

사전 요구 사항

  • 클러스터를 최신 z-stream 릴리스로 업데이트했습니다.
  • MetalLB Operator를 설치하려면 OperatorHub를 사용했습니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. 다음 명령을 입력하여 metallb-system 네임스페이스에서 metallb-operator 구독의 YAML 정의를 가져옵니다. 

    $ oc -n metallb-system get subscription metallb-operator -o yaml
    Copy to Clipboard Toggle word wrap

  2. installPlanApproval 매개변수를 Manual 로 설정하여 구독 CR을 편집합니다. 

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: metallb-operator
  namespace: metallb-system
# ...
spec:
   channel: stable
   installPlanApproval: Manual
   name: metallb-operator
   source: redhat-operators
   sourceNamespace: openshift-marketplace
# ...
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 입력하여 MetalLB Operator의 최신 OpenShift Container Platform 4.19 버전을 찾으세요. 

    $ oc -n metallb-system get csv
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 입력하여 네임스페이스에 있는 설치 계획을 확인합니다. 

    $ oc -n metallb-system get installplan
    Copy to Clipboard Toggle word wrap

    install-tsz2g를 수동 설치 계획으로 보여주는 예시 출력

    NAME            CSV                                     APPROVAL    APPROVED
install-shpmd   metallb-operator.v4.19.0-202502261233   Automatic   true
install-tsz2g   metallb-operator.v4.19.0-202503102139   Manual      false
    Copy to Clipboard Toggle word wrap

  5. 다음 명령을 입력하여 네임스페이스에 있는 설치 계획을 편집합니다. <name_of_installplan>을 install-tsz2g 와 같은 설치 계획의 이름으로 바꿔야 합니다. 

    $ oc edit installplan <name_of_installplan> -n metallb-system
    Copy to Clipboard Toggle word wrap

    1. 편집기에서 설치 계획을 연 상태에서 spec.approval 매개변수를 Manual 로 설정하고 spec.approved 매개변수를 true 로 설정합니다.

      참고

      설치 계획을 편집하면 업그레이드 작업이 시작됩니다. 업그레이드 작업 중에 oc -n metallb-system get csv 명령을 입력하면 출력에 교체 중 또는 보류 중 상태가 표시될 수 있습니다.

검증

  • Operator가 업그레이드되었는지 확인하려면 다음 명령을 입력한 다음 Operator에 대해 출력에 Succeeded가 표시되는지 확인하세요. 

    $ oc -n metallb-system get csv
    Copy to Clipboard Toggle word wrap

5.3.2. 추가 리소스
링크 복사

6장. OpenShift 컨테이너 플랫폼의 Cluster Network Operator
링크 복사

클러스터 네트워크 운영자(CNO)를 사용하면 설치 중에 클러스터에 대해 선택된 컨테이너 네트워크 인터페이스(CNI) 네트워크 플러그인을 포함하여 OpenShift Container Platform 클러스터에 클러스터 네트워크 구성 요소를 배포하고 관리할 수 있습니다.

6.1. CNO(Cluster Network Operator)
링크 복사

Cluster Network Operator는 operator.openshift.io API 그룹에서 네트워크 API를 구현합니다. 운영자는 데몬 세트를 사용하여 OVN-Kubernetes 네트워크 플러그인이나 클러스터 설치 중에 선택한 네트워크 공급자 플러그인을 배포합니다.

프로세스

Cluster Network Operator는 설치 중에 Kubernetes Deployment로 배포됩니다.

  1. 다음 명령을 실행하여 배포 상태를 확인합니다. 

    $ oc get -n openshift-network-operator deployment/network-operator
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME               READY   UP-TO-DATE   AVAILABLE   AGE
network-operator   1/1     1            1           56m
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 Cluster Network Operator의 상태를 확인합니다. 

    $ oc get clusteroperator/network
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME      VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
network   4.16.1     True        False         False      50m
    Copy to Clipboard Toggle word wrap

    AVAILABLE, PROGRESSINGDEGRADED 필드에서 Operator 상태에 대한 정보를 볼 수 있습니다. Cluster Network Operator가 사용 가능한 상태 조건을 보고하는 경우 AVAILABLE 필드는 True로 설정됩니다.

6.2. 클러스터 네트워크 구성 보기
링크 복사

모든 새로운 OpenShift Container Platform 설치에는 이름이 clusternetwork.config 오브젝트가 있습니다.

프로세스

  • oc describe 명령을 사용하여 클러스터 네트워크 구성을 확인합니다. 

    $ oc describe network.config/cluster
    Copy to Clipboard Toggle word wrap

    출력 예

    Name:         cluster
Namespace:
Labels:       <none>
Annotations:  <none>
API Version:  config.openshift.io/v1
Kind:         Network
Metadata:
  Creation Timestamp:  2024-08-08T11:25:56Z
  Generation:          3
  Resource Version:    29821
  UID:                 808dd2be-5077-4ff7-b6bb-21b7110126c7
Spec:
    1 
    
  Cluster Network:
    Cidr:         10.128.0.0/14
    Host Prefix:  23
  External IP:
    Policy:
  Network Diagnostics:
    Mode:
    Source Placement:
    Target Placement:
  Network Type:  OVNKubernetes
  Service Network:
    172.30.0.0/16
Status:
    2 
    
  Cluster Network:
    Cidr:               10.128.0.0/14
    Host Prefix:        23
  Cluster Network MTU:  1360
  Conditions:
    Last Transition Time:  2024-08-08T11:51:50Z
    Message:
    Observed Generation:   0
    Reason:                AsExpected
    Status:                True
    Type:                  NetworkDiagnosticsAvailable
  Network Type:            OVNKubernetes
  Service Network:
    172.30.0.0/16
Events:  <none>
    Copy to Clipboard Toggle word wrap

    1
    Spec 필드에는 클러스터 네트워크의 구성 상태가 표시됩니다.
    2
    Status 필드에는 클러스터 네트워크 구성의 현재 상태가 표시됩니다.

6.3. CNO(Cluster Network Operator) 상태 보기
링크 복사

oc describe 명령을 사용하여 상태를 조사하고 Cluster Network Operator의 세부 사항을 볼 수 있습니다.

프로세스

  • 다음 명령을 실행하여 Cluster Network Operator의 상태를 확인합니다. 

    $ oc describe clusteroperators/network
    Copy to Clipboard Toggle word wrap

6.4. 전 세계적으로 IP 전달 활성화
링크 복사

OpenShift Container Platform 4.14부터 OVN-Kubernetes 기반 클러스터 배포에서는 전역 IP 주소 전달이 비활성화되어 라우터 역할을 하는 노드가 있는 클러스터 관리자에게 바람직하지 않은 영향을 미치지 않습니다. 그러나 관리자가 트래픽이 전달될 것으로 예상하는 경우 새로운 구성 매개변수 ipForwarding 을 사용하여 모든 IP 트래픽을 전달할 수 있습니다.

OVN-Kubernetes 관리 인터페이스의 모든 트래픽에 대한 IP 전달을 다시 활성화하려면 다음 절차에 따라 클러스터 네트워크 운영자의 gatewayConfig.ipForwarding 사양을 글로벌 로 설정합니다.

프로세스

  1. 다음 명령을 실행하여 기존 네트워크 구성을 백업합니다. 

    $ oc get network.operator cluster -o yaml > network-config-backup.yaml
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 기존 네트워크 구성을 수정하세요. 

    $ oc edit network.operator cluster
    Copy to Clipboard Toggle word wrap

    1. 다음 예제에서 설명한 대로 사양 에 따라 다음 블록을 추가하거나 업데이트합니다. 

      spec:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  serviceNetwork:
  - 172.30.0.0/16
  networkType: OVNKubernetes
  clusterNetworkMTU: 8900
  defaultNetwork:
    ovnKubernetesConfig:
      gatewayConfig:
        ipForwarding: Global
      Copy to Clipboard Toggle word wrap
    2. 파일을 저장하고 닫습니다.

  3. 변경 사항을 적용한 후 OpenShift 클러스터 네트워크 운영자(CNO)는 클러스터 전체에 업데이트를 적용합니다. 다음 명령을 사용하여 진행 상황을 모니터링할 수 있습니다. 

    $ oc get clusteroperators network
    Copy to Clipboard Toggle word wrap

    상태는 결국 Available , Progressing=False , Degraded=False 로 보고되어야 합니다.

  4. 또는 다음 명령을 실행하여 IP 전달을 전역적으로 활성화할 수 있습니다. 

    $ oc patch network.operator cluster -p '{"spec":{"defaultNetwork":{"ovnKubernetesConfig":{"gatewayConfig":{"ipForwarding": "Global"}}}}}' --type=merge
    Copy to Clipboard Toggle word wrap
    참고

    이 매개변수에 대한 다른 유효한 옵션은 이 변경 사항을 되돌리려는 경우 제한됨 입니다. 기본값 은 제한됨이며 해당 설정을 사용하면 글로벌 IP 주소 전달이 비활성화됩니다.

6.5. CNO(Cluster Network Operator) 로그 보기
링크 복사

oc logs 명령을 사용하여 Cluster Network Operator 로그를 확인할 수 있습니다.

프로세스

  • 다음 명령을 실행하여 Cluster Network Operator의 로그를 확인합니다. 

    $ oc logs --namespace=openshift-network-operator deployment/network-operator
    Copy to Clipboard Toggle word wrap

6.6. CNO(Cluster Network Operator) 구성
링크 복사

클러스터 네트워크의 구성은 CNO(Cluster Network Operator) 구성의 일부로 지정되며 cluster라는 이름의 CR(사용자 정의 리소스) 오브젝트에 저장됩니다. CR은 operator.openshift.io API 그룹에서 Network API의 필드를 지정합니다.

CNO 구성은 Network.config.openshift.io API 그룹의 Network API에서 클러스터 설치 중에 다음 필드를 상속받습니다.

clusterNetwork
Pod IP 주소가 할당되는 IP 주소 풀입니다.
serviceNetwork
서비스를 위한 IP 주소 풀입니다.
defaultNetwork.type
클러스터 네트워크 플러그인. 설치 중에 지원되는 유일한 플러그인은 OVNKubernetes 입니다.
참고

클러스터를 설치한 후에는 클러스터네트워크 IP 주소 범위만 수정할 수 있습니다.

cluster라는 CNO 오브젝트에서 defaultNetwork 오브젝트의 필드를 설정하여 클러스터의 클러스터 네트워크 공급자 구성을 지정할 수 있습니다.

6.6.1. CNO(Cluster Network Operator) 구성 오브젝트
링크 복사

CNO(Cluster Network Operator)의 필드는 다음 표에 설명되어 있습니다.

Expand
표 6.1. CNO(Cluster Network Operator) 구성 오브젝트
필드유형설명

metadata.name

string

CNO 개체 이름입니다. 이 이름은 항상 cluster입니다.

spec.clusterNetwork

array

Pod IP 주소가 할당되는 IP 주소 블록과 클러스터의 각 개별 노드에 할당된 서브넷 접두사 길이를 지정하는 목록입니다. 예를 들면 다음과 같습니다. 

spec:
  clusterNetwork:
  - cidr: 10.128.0.0/19
    hostPrefix: 23
  - cidr: 10.128.32.0/19
    hostPrefix: 23
Copy to Clipboard Toggle word wrap

spec.serviceNetwork

array

서비스의 IP 주소 블록입니다. OVN-Kubernetes 네트워크 플러그인은 서비스 네트워크에 대해 단일 IP 주소 블록만 지원합니다. 예를 들면 다음과 같습니다. 

spec:
  serviceNetwork:
  - 172.30.0.0/14
Copy to Clipboard Toggle word wrap

이 값은 준비 전용이며 클러스터 설치 중에 cluster 라는 Network.config.openshift.io 개체에서 상속됩니다.

spec.defaultNetwork

object

클러스터 네트워크에 대한 네트워크 플러그인을 구성합니다.

spec.additionalRoutingCapabilities.providers

array

이 설정은 동적 라우팅 공급자를 활성화합니다. 경로 광고 기능을 사용하려면 FRR 라우팅 기능 제공자가 필요합니다. 지원되는 유일한 값은 FRR 입니다.

  • FRR : FRR 라우팅 제공자 
spec:
  additionalRoutingCapabilities:
    providers:
    - FRR
Copy to Clipboard Toggle word wrap

spec.kubeProxyConfig

object

이 개체의 필드는 kube-proxy 구성을 지정합니다. OVN-Kubernetes 클러스터 네트워크 공급자를 사용하는 경우 kube-proxy 구성이 적용되지 않습니다.

중요

여러 네트워크에 객체를 배포해야 하는 클러스터의 경우 install-config.yaml 파일에 정의된 각 네트워크 유형에 대해 clusterNetwork.hostPrefix 매개변수에 동일한 값을 지정해야 합니다. 각 clusterNetwork.hostPrefix 매개변수에 다른 값을 설정하면 OVN-Kubernetes 네트워크 플러그인에 영향을 미쳐 플러그인이 여러 노드 간에 개체 트래픽을 효과적으로 라우팅할 수 없습니다.

6.6.1.1. defaultNetwork 오브젝트 구성
링크 복사

defaultNetwork 오브젝트의 값은 다음 표에 정의되어 있습니다.

Expand
표 6.2. defaultNetwork 오브젝트
필드유형설명

type

string

ovnKubernetes Red Hat OpenShift Networking 네트워크 플러그인은 설치 중에 선택됩니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

참고

OpenShift Container Platform은 기본적으로 OVN-Kubernetes 네트워크 플러그인을 사용합니다.

ovnKubernetesConfig

object

이 객체는 OVN-Kubernetes 네트워크 플러그인에만 유효합니다.

6.6.1.1.1. OVN-Kubernetes 네트워크 플러그인 구성
링크 복사

다음 표에서는 OVN-Kubernetes 네트워크 플러그인의 구성 필드를 설명합니다.

Expand
표 6.3. ovnKubernetesConfig object
필드유형설명

mtu

integer

Geneve(Generic Network Virtualization Encapsulation) 오버레이 네트워크의 MTU(최대 전송 단위)입니다. 이 값은 일반적으로 자동 구성됩니다.

genevePort

integer

Geneve 오버레이 네트워크용 UDP 포트입니다.

ipsecConfig

object

클러스터의 IPsec 모드를 설명하는 객체입니다.

ipv4

object

IPv4 설정에 대한 구성 객체를 지정합니다.

ipv6

object

IPv6 설정에 대한 구성 개체를 지정합니다.

policyAuditConfig

object

네트워크 정책 감사 로깅을 사용자 정의할 구성 오브젝트를 지정합니다. 설정되지 않으면 기본값 감사 로그 설정이 사용됩니다.

routeAdvertisements

string

클러스터 네트워크 경로를 광고할지 여부를 지정합니다. 기본값은 Disabled 입니다.

  • 활성화 : 클러스터 네트워크로 경로를 가져오고 RouteAdvertisements 개체에 구성된 대로 클러스터 네트워크 경로를 광고합니다.
  • 비활성화 : 클러스터 네트워크로 경로를 가져오지 않거나 클러스터 네트워크 경로를 광고하지 않습니다.

gatewayConfig

object

선택 사항: 송신 트래픽이 노드 게이트웨이로 전송되는 방법을 사용자 정의할 구성 오브젝트를 지정합니다. 유효한 값은 공유로컬 입니다. 기본값은 공유 입니다. 기본 설정에서 Open vSwitch(OVS)는 트래픽을 노드 IP 인터페이스로 직접 출력합니다. 로컬 설정에서는 호스트 네트워크를 통과합니다. 따라서 호스트의 라우팅 테이블에 적용됩니다.

참고

송신 트래픽을 마이그레이션하는 동안 클러스터 네트워크 운영자(CNO)가 변경 사항을 성공적으로 롤아웃할 때까지 작업 부하와 서비스 트래픽이 일부 중단될 것으로 예상할 수 있습니다.

Expand
표 6.4. ovnKubernetesConfig.ipv4 object
필드유형설명

internalTransitSwitchSubnet

string

기존 네트워크 인프라가 100.88.0.0/16 IPv4 서브넷과 겹치는 경우 OVN-Kubernetes에서 내부적으로 사용할 다른 IP 주소 범위를 지정할 수 있습니다. 동서 트래픽을 가능하게 하는 분산형 전송 스위치의 서브넷입니다. 이 서브넷은 OVN-Kubernetes 또는 호스트 자체에서 사용하는 다른 서브넷과 겹칠 수 없습니다. 클러스터의 노드당 하나의 IP 주소를 수용할 수 있을 만큼 커야 합니다.

기본값은 100.88.0.0/16 입니다.

internalJoinSubnet

string

기존 네트워크 인프라가 100.64.0.0/16 IPv4 서브넷과 겹치는 경우 OVN-Kubernetes에서 내부적으로 사용할 다른 IP 주소 범위를 지정할 수 있습니다. IP 주소 범위가 OpenShift Container Platform 설치에서 사용하는 다른 서브넷과 겹치지 않도록 해야 합니다. IP 주소 범위는 클러스터에 추가할 수 있는 최대 노드 수보다 커야 합니다. 예를 들어 clusterNetwork.cidr 값이 10.128.0.0/14 이고 clusterNetwork.hostPrefix 값이 /23 이면 최대 노드 수는 2^(23-14)=512 입니다.

기본값은 100.64.0.0/16 입니다.

Expand
표 6.5. ovnKubernetesConfig.ipv6 object
필드유형설명

internalTransitSwitchSubnet

string

기존 네트워크 인프라가 fd97::/64 IPv6 서브넷과 겹치는 경우 OVN-Kubernetes에서 내부적으로 사용할 다른 IP 주소 범위를 지정할 수 있습니다. 동서 트래픽을 가능하게 하는 분산형 전송 스위치의 서브넷입니다. 이 서브넷은 OVN-Kubernetes 또는 호스트 자체에서 사용하는 다른 서브넷과 겹칠 수 없습니다. 클러스터의 노드당 하나의 IP 주소를 수용할 수 있을 만큼 커야 합니다.

기본값은 fd97::/64 입니다.

internalJoinSubnet

string

기존 네트워크 인프라가 fd98::/64 IPv6 서브넷과 겹치는 경우 OVN-Kubernetes에서 내부적으로 사용할 다른 IP 주소 범위를 지정할 수 있습니다. IP 주소 범위가 OpenShift Container Platform 설치에서 사용하는 다른 서브넷과 겹치지 않도록 해야 합니다. IP 주소 범위는 클러스터에 추가할 수 있는 최대 노드 수보다 커야 합니다.

기본값은 fd98::/64 입니다.

Expand
표 6.6. policyAuditConfig 오브젝트
필드유형설명

rateLimit

integer

노드당 1초마다 생성할 최대 메시지 수입니다. 기본값은 초당 20 개의 메시지입니다.

maxFileSize

integer

감사 로그의 최대 크기(바이트)입니다. 기본값은 50000000 또는 50MB입니다.

maxLogFiles

integer

보관되는 로그 파일의 최대 수.

대상

string

다음 추가 감사 로그 대상 중 하나입니다.

libc
호스트에서 journald 프로세스의 libc syslog() 함수입니다.
udp:<host>:<port>
syslog 서버입니다. <host>:<port>를 syslog 서버의 호스트 및 포트로 바꿉니다.
unix:<file>
<file>로 지정된 Unix Domain Socket 파일입니다.
null
감사 로그를 추가 대상으로 보내지 마십시오.

syslogFacility

string

RFC5424에 정의된 kern과 같은 syslog 기능입니다. 기본값은 local0입니다.

Expand
표 6.7. gatewayConfig 오브젝트
필드유형설명

routingViaHost

boolean

Pod에서 호스트 네트워킹 스택으로 송신 트래픽을 보내려면 이 필드를 true로 설정합니다. 커널 라우팅 테이블에 수동으로 구성된 경로를 사용하는 고도의 전문 설치 및 애플리케이션의 경우 송신 트래픽을 호스트 네트워킹 스택으로 라우팅해야 할 수 있습니다. 기본적으로 송신 트래픽은 클러스터를 종료하기 위해 OVN에서 처리되며 커널 라우팅 테이블의 특수 경로의 영향을 받지 않습니다. 기본값은 false입니다.

이 필드는 Open vSwitch 하드웨어 오프로드 기능과 상호 작용합니다. 이 필드를 true 로 설정하면 송신 트래픽이 호스트 네트워킹 스택에서 처리되므로 오프로드의 성능 이점이 제공되지 않습니다.

ipForwarding

object

네트워크 리소스의 ipForwarding 사양을 사용하여 OVN-Kubernetes 관리 인터페이스의 모든 트래픽에 대한 IP 전달을 제어할 수 있습니다. Kubernetes 관련 트래픽에 대해서만 IP 전달을 허용하려면 '제한됨'을 지정합니다. 모든 IP 트래픽 전달을 허용하려면 글로벌을 지정합니다. 새로 설치하는 경우 기본값은 제한됨 입니다. OpenShift Container Platform 4.14 이상으로 업데이트하는 경우 기본값은 Global 입니다.

참고

기본값인 Restricted 를 사용하면 IP 전달이 삭제됩니다.

ipv4

object

선택 사항: IPv4 주소에 대한 호스트에서 서비스로의 트래픽에 대한 내부 OVN-Kubernetes 마스커레이드 주소를 구성할 객체를 지정합니다.

ipv6

object

선택 사항: IPv6 주소에 대한 호스트에서 서비스 트래픽으로의 내부 OVN-Kubernetes 마스커레이드 주소를 구성할 객체를 지정합니다.

Expand
표 6.8. gatewayConfig.ipv4 object
필드유형설명

internalMasqueradeSubnet

string

호스트에서 서비스로의 트래픽을 활성화하기 위해 내부적으로 사용되는 위장 IPv4 주소입니다. 호스트는 이러한 IP 주소와 공유 게이트웨이 브리지 인터페이스로 구성됩니다. 기본값은 169.254.169.0/29 입니다.

중요

OpenShift Container Platform 4.17 이상 버전의 경우 클러스터는 기본 마스커레이드 서브넷으로 169.254.0.0/17을 사용합니다. 업그레이드된 클러스터의 경우 기본 마스커레이드 서브넷에는 변경 사항이 없습니다.

Expand
표 6.9. gatewayConfig.ipv6 object
필드유형설명

internalMasqueradeSubnet

string

호스트에서 서비스로의 트래픽을 활성화하기 위해 내부적으로 사용되는 위장 IPv6 주소입니다. 호스트는 이러한 IP 주소와 공유 게이트웨이 브리지 인터페이스로 구성됩니다. 기본값은 fd69::/125 입니다.

중요

OpenShift Container Platform 4.17 이상 버전의 경우 클러스터는 fd69::/112를 기본 마스커레이드 서브넷으로 사용합니다. 업그레이드된 클러스터의 경우 기본 마스커레이드 서브넷에는 변경 사항이 없습니다.

Expand
표 6.10. ipsecConfig 객체
필드유형설명

mode

string

IPsec 구현의 동작을 지정합니다. 다음 값 중 하나여야 합니다.

  • 비활성화 : 클러스터 노드에서 IPsec이 활성화되지 않았습니다.
  • 외부 : 외부 호스트와의 네트워크 트래픽에 대해 IPsec이 활성화됩니다.
  • 전체 : 포드 트래픽과 외부 호스트와의 네트워크 트래픽에 대해 IPsec이 활성화됩니다.
참고

클러스터 네트워크 플러그인의 구성은 클러스터 설치 중에만 변경할 수 있습니다. 단, gatewayConfig 필드는 런타임에 설치 후 작업으로 변경할 수 있습니다.

IPSec가 활성화된 OVN-Kubernetes 구성의 예

defaultNetwork:
  type: OVNKubernetes
  ovnKubernetesConfig:
    mtu: 1400
    genevePort: 6081
    ipsecConfig:
      mode: Full
Copy to Clipboard Toggle word wrap

6.6.2. CNO(Cluster Network Operator) 구성 예시
링크 복사

다음 예에서는 전체 CNO 구성이 지정됩니다.

CNO(Cluster Network Operator) 개체 예시

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  serviceNetwork:
  - 172.30.0.0/16
  networkType: OVNKubernetes
Copy to Clipboard Toggle word wrap

7장. OpenShift Container Platform에서의 DNS Operator
링크 복사

OpenShift Container Platform에서 DNS 운영자는 CoreDNS 인스턴스를 배포하고 관리하여 클러스터 내부의 포드에 이름 확인 서비스를 제공하고, DNS 기반 Kubernetes 서비스 검색을 활성화하고, 내부 cluster.local 이름을 확인합니다.

7.1. DNS 운영자 상태 확인
링크 복사

DNS Operator는 operator.openshift.io API 그룹에서 dns API를 구현합니다. Operator는 데몬 세트를 사용하여 CoreDNS를 배포하고 데몬 세트에 대한 서비스를 생성하며 이름 확인에서 CoreDNS 서비스 IP 주소를 사용하기 위해 Pod에 명령을 내리도록 kubelet을 구성합니다.

프로세스

DNS Operator는 설치 중에 Deployment 오브젝트로 배포됩니다.

  1. oc get 명령을 사용하여 배포 상태를 확인합니다. 

    $ oc get -n openshift-dns-operator deployment/dns-operator
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME           READY     UP-TO-DATE   AVAILABLE   AGE
dns-operator   1/1       1            1           23h
    Copy to Clipboard Toggle word wrap

  2. oc get 명령을 사용하여 DNS Operator의 상태를 확인합니다. 

    $ oc get clusteroperator/dns
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME      VERSION     AVAILABLE   PROGRESSING   DEGRADED   SINCE   MESSAGE
dns       4.1.15-0.11  True        False         False      92m
    Copy to Clipboard Toggle word wrap

    AVAILABLE, PROGRESSINGDEGRADED는 Operator의 상태에 대한 정보를 제공합니다. CoreDNS 데몬 세트에서 최소 1개의 포드가 사용 가능 상태 조건을 보고하고 DNS 서비스에 클러스터 IP 주소가 있는 경우 AVAILABLE은 True 입니다.

7.2. 기본 DNS보기
링크 복사

모든 새로운 OpenShift Container Platform 설치에서는 dns.operator의 이름이 default로 지정됩니다.

프로세스

  1. oc describe 명령을 사용하여 기본 dns를 확인합니다. 

    $ oc describe dns.operator/default
    Copy to Clipboard Toggle word wrap

    출력 예

    Name:         default
Namespace:
Labels:       <none>
Annotations:  <none>
API Version:  operator.openshift.io/v1
Kind:         DNS
...
Status:
  Cluster Domain:  cluster.local
    1 
    
  Cluster IP:      172.30.0.10
    2 
    
...
    Copy to Clipboard Toggle word wrap

    1
    Cluster Domain 필드는 정규화된 pod 및 service 도메인 이름을 구성하는 데 사용되는 기본 DNS 도메인입니다.
    2
    Cluster IP는 이름을 확인하기 위한 주소 Pod 쿼리입니다. IP는 service CIDR 범위에서 10번째 주소로 정의됩니다.

  2. 클러스터의 서비스 CIDR 범위(예: 172.30.0.0/16) 를 찾으려면 oc get 명령을 사용하세요. 

    $ oc get networks.config/cluster -o jsonpath='{$.status.serviceNetwork}'
    Copy to Clipboard Toggle word wrap

7.3. DNS 전달 사용
링크 복사

다음과 같은 방법으로 DNS 전달을 사용하여 /etc/resolv.conf 파일의 기본 전달 구성을 재정의할 수 있습니다.

  • 모든 영역에 대해 이름 서버( spec.servers )를 지정합니다. 전달된 영역이 OpenShift Container Platform에서 관리하는 Ingress 도메인인 경우 도메인에 대한 업스트림 이름 서버를 승인해야 합니다.
  • 업스트림 DNS 서버 목록을 제공합니다( spec.upstreamResolvers ).
  • 기본 전달 정책을 변경합니다.
참고

기본 도메인에 대한 DNS 전달 구성에는 /etc/resolv.conf 파일에 지정된 기본 서버와 업스트림 DNS 서버가 모두 포함될 수 있습니다.

프로세스

  • 이름이 default인 DNS Operator 오브젝트를 수정합니다. 

    $ oc edit dns.operator/default
    Copy to Clipboard Toggle word wrap

    이전 명령을 실행한 후 운영자는 spec.servers를 기반으로 추가 서버 구성 블록을 사용하여 dns-default 라는 구성 맵을 만들고 업데이트합니다. 서버 중 어느 것에도 쿼리와 일치하는 영역이 없으면 이름 확인은 업스트림 DNS 서버로 돌아갑니다.

    DNS 전달 구성

    apiVersion: operator.openshift.io/v1
kind: DNS
metadata:
  name: default
spec:
  cache:
    negativeTTL: 0s
    positiveTTL: 0s
  logLevel: Normal
  nodePlacement: {}
  operatorLogLevel: Normal
  servers:
  - name: example-server
    1 
    
    zones:
    - example.com
    2 
    
    forwardPlugin:
      policy: Random
    3 
    
      upstreams:
    4 
    
      - 1.1.1.1
      - 2.2.2.2:5353
  upstreamResolvers:
    5 
    
    policy: Random
    6 
    
    protocolStrategy: ""
    7 
    
    transportConfig: {}
    8 
    
    upstreams:
    - type: SystemResolvConf
    9 
    
    - type: Network
      address: 1.2.3.4
    10 
    
      port: 53
    11 
    
    status:
      clusterDomain: cluster.local
      clusterIP: x.y.z.10
      conditions:
...
    Copy to Clipboard Toggle word wrap

    1
    name은 rfc6335 서비스 이름 구문을 준수해야 합니다.
    2
    rfc1123 서비스 이름 구문의 하위 도메인 정의를 준수해야 합니다. 클러스터 도메인 cluster.localzones 필드에 적합하지 않은 하위 도메인입니다.
    3
    forwardPlugin 에 나열된 업스트림 리졸버를 선택하는 정책을 정의합니다. 기본값은 Random 입니다. RoundRobinSequential 값을 사용할 수도 있습니다.
    4
    forwardPlugin당 최대 15개의 업스트림이 허용됩니다.
    5
    upstreamResolvers를 사용하면 기본 전달 정책을 재정의하고 기본 도메인에 대한 지정된 DNS 확인자(업스트림 확인자)로 DNS 확인을 전달할 수 있습니다. 업스트림 리졸버를 제공하지 않으면 DNS 이름 쿼리는 /etc/resolv.conf 에 선언된 서버로 이동합니다.
    6
    업스트림 에 나열된 업스트림 서버가 쿼리를 위해 선택되는 순서를 결정합니다. 다음 값 중 하나를 지정할 수 있습니다: Random , RoundRobin 또는 Sequential . 기본값은 Sequential 입니다.
    7
    생략하면 플랫폼은 기본값(일반적으로 원래 클라이언트 요청의 프로토콜)을 선택합니다. 클라이언트 요청이 UDP를 사용하더라도 플랫폼이 모든 업스트림 DNS 요청에 TCP를 사용해야 함을 지정하려면 TCP 로 설정합니다.
    8
    DNS 요청을 업스트림 리졸버에 전달할 때 전송 유형, 서버 이름, 선택적 사용자 정의 CA 또는 CA 번들을 구성하는 데 사용됩니다.
    9
    SystemResolvConf 또는 Network라는 두 가지 유형의 업스트림을 지정할 수 있습니다. SystemResolvConf는 업스트림이 /etc/resolv.conf를 사용하도록 구성하고 Network는 Networkresolver를 정의합니다. 둘 중 하나 또는 둘 다 지정할 수 있습니다.
    10
    지정된 유형이 네트워크 인 경우 IP 주소를 제공해야 합니다. 주소 필드는 유효한 IPv4 또는 IPv6 주소여야 합니다.
    11
    지정된 유형이 네트워크 인 경우 선택적으로 포트를 제공할 수 있습니다. 포트 필드는 1 ~ 65535 사이의 값을 가져야 합니다. 업스트림에 대한 포트를 지정하지 않으면 기본 포트는 853입니다.

7.4. DNS 운영자 상태 확인
링크 복사

oc describe 명령을 사용하여 상태를 확인하고 DNS Operator의 세부 사항을 볼 수 있습니다.

프로세스

  • DNS Operator의 상태를 확인하려면 다음을 실행합니다. 

    $ oc describe clusteroperators/dns
    Copy to Clipboard Toggle word wrap

    특정 릴리스에서는 메시지와 철자가 다를 수 있지만 예상되는 상태 출력은 다음과 같습니다. 

    Status:
  Conditions:
    Last Transition Time:  <date>
    Message:               DNS "default" is available.
    Reason:                AsExpected
    Status:                True
    Type:                  Available
    Last Transition Time:  <date>
    Message:               Desired and current number of DNSes are equal
    Reason:                AsExpected
    Status:                False
    Type:                  Progressing
    Last Transition Time:  <date>
    Reason:                DNSNotDegraded
    Status:                False
    Type:                  Degraded
    Last Transition Time:  <date>
    Message:               DNS default is upgradeable: DNS Operator can be upgraded
    Reason:                DNSUpgradeable
    Status:                True
    Type:                  Upgradeable
    Copy to Clipboard Toggle word wrap

7.5. DNS 운영자 로그 보기
링크 복사

oc logs 명령을 사용하여 DNS Operator 로그를 확인할 수 있습니다.

프로세스

  • DNS Operator의 로그를 확인합니다. 

    $ oc logs -n openshift-dns-operator deployment/dns-operator -c dns-operator
    Copy to Clipboard Toggle word wrap

7.6. CoreDNS 로그 수준 설정
링크 복사

CoreDNS와 CoreDNS Operator의 로그 수준은 서로 다른 방법을 사용하여 설정됩니다. CoreDNS 로그 수준을 구성하여 로깅된 오류 메시지의 세부 정보 양을 결정할 수 있습니다. CoreDNS 로그 수준에 유효한 값은 Normal , Debug , Trace 입니다. 기본 logLevel은 Normal 입니다.

참고

CoreDNS 오류 로그 수준은 항상 활성화되어 있습니다. 다음 로그 수준 설정은 다양한 오류 응답을 보고합니다.

  • logLevel : Normal은 "오류" 클래스를 활성화합니다: log . { class error } .
  • logLevel : Debug는 "거부" 클래스를 활성화합니다: log . { class denial error } .
  • logLevel : 추적은 "all" 클래스를 활성화합니다: log . { class all } .

프로세스

  • logLevel을 Debug 로 설정하려면 다음 명령을 입력하세요. 

    $ oc patch dnses.operator.openshift.io/default -p '{"spec":{"logLevel":"Debug"}}' --type=merge
    Copy to Clipboard Toggle word wrap

  • logLevel을 Trace 로 설정하려면 다음 명령을 입력하세요. 

    $ oc patch dnses.operator.openshift.io/default -p '{"spec":{"logLevel":"Trace"}}' --type=merge
    Copy to Clipboard Toggle word wrap

검증

  • 원하는 로그 수준이 설정되었는지 확인하려면 구성 맵을 확인하세요. 

    $ oc get configmap/dns-default -n openshift-dns -o yaml
    Copy to Clipboard Toggle word wrap

    예를 들어, logLevel을 Trace 로 설정하면 각 서버 블록에서 다음 연을 볼 수 있습니다. 

    errors
log . {
    class all
}
    Copy to Clipboard Toggle word wrap

7.7. CoreDNS 로그 보기
링크 복사

oc logs 명령을 사용하면 CoreDNS 로그를 볼 수 있습니다.

프로세스

  • 다음 명령을 입력하여 특정 CoreDNS 포드의 로그를 확인하세요. 

    $ oc -n openshift-dns logs -c dns <core_dns_pod_name>
    Copy to Clipboard Toggle word wrap

  • 다음 명령을 입력하여 모든 CoreDNS 포드의 로그를 추적하세요. 

    $ oc -n openshift-dns logs -c dns -l dns.operator.openshift.io/daemonset-dns=default -f --max-log-requests=<number>
    1
    Copy to Clipboard Toggle word wrap
    1
    로그를 스트리밍할 DNS 포드의 수를 지정합니다. 최대 6개입니다.

7.8. CoreDNS 운영자 로그 수준 설정
링크 복사

CoreDNS 및 CoreDNS Operator의 로그 수준은 서로 다른 방법을 사용하여 설정됩니다. 클러스터 관리자는 운영자 로그 수준을 구성하여 OpenShift DNS 문제를 더 빠르게 추적할 수 있습니다. operatorLogLevel 의 유효한 값은 Normal , DebugTrace 입니다. 가장 자세한 정보는 Trace에서 얻을 수 있습니다. 기본 operatorlogLevelNormal 입니다. 운영자 문제에는 추적, 디버그, 정보, 경고, 오류, 치명적, 패닉의 7가지 로깅 수준이 있습니다. 로깅 수준이 설정되면 해당 심각도 또는 그 이상의 심각도를 가진 로그 항목이 로깅됩니다.

  • operatorLogLevel: "Normal" sets logrus.SetLogLevel("Info").
  • operatorLogLevel: "Debug"는 logrus.SetLogLevel("Debug")를 설정합니다.
  • operatorLogLevel: "Trace" sets logrus.SetLogLevel("Trace").

프로세스

  • operatorLogLevel을 Debug 로 설정하려면 다음 명령을 입력하세요. 

    $ oc patch dnses.operator.openshift.io/default -p '{"spec":{"operatorLogLevel":"Debug"}}' --type=merge
    Copy to Clipboard Toggle word wrap

  • operatorLogLevel을 Trace 로 설정하려면 다음 명령을 입력하세요. 

    $ oc patch dnses.operator.openshift.io/default -p '{"spec":{"operatorLogLevel":"Trace"}}' --type=merge
    Copy to Clipboard Toggle word wrap

검증

  1. 변경된 결과를 검토하려면 다음 명령을 입력하세요. 

    $ oc get dnses.operator -A -oyaml
    Copy to Clipboard Toggle word wrap

    두 개의 로그 수준 항목이 표시되어야 합니다. operatorLogLevel은 OpenShift DNS Operator 문제에 적용되고 logLevel은 CoreDNS Pod의 데몬셋에 적용됩니다. 

     logLevel: Trace
 operatorLogLevel: Debug
    Copy to Clipboard Toggle word wrap

  2. 데몬셋의 로그를 검토하려면 다음 명령을 입력하세요. 

    $ oc logs -n openshift-dns ds/dns-default
    Copy to Clipboard Toggle word wrap

7.9. CoreDNS 캐시 조정
링크 복사

CoreDNS의 경우 성공적이거나 실패한 캐싱의 최대 기간을 구성할 수 있습니다. 이를 긍정적 캐싱 또는 부정적 캐싱이라고도 합니다. DNS 쿼리 응답의 캐시 기간을 조정하면 업스트림 DNS 확인자의 부하를 줄일 수 있습니다.

주의

TTL 필드를 낮은 값으로 설정하면 클러스터, 업스트림 리졸버 또는 둘 다에 부하가 증가할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 default 라는 DNS 운영자 객체를 편집합니다. 

    $ oc edit dns.operator.openshift.io/default
    Copy to Clipboard Toggle word wrap

  2. TTL(수명) 캐싱 값을 수정합니다.

    DNS 캐싱 구성

    apiVersion: operator.openshift.io/v1
kind: DNS
metadata:
  name: default
spec:
  cache:
    positiveTTL: 1h
    1 
    
    negativeTTL: 0.5h10m
    2
    Copy to Clipboard Toggle word wrap

    1
    문자열 값 1h는 CoreDNS에 의해 해당 초 수로 변환됩니다. 이 필드를 생략하면 값은 0 으로 간주되고 클러스터는 대체 값으로 내부 기본값인 900을 사용합니다.
    2
    문자열 값은 0.5h10m 과 같은 단위의 조합일 수 있으며, CoreDNS에 의해 해당 초 수로 변환됩니다. 이 필드가 생략되면 값은 0 으로 간주되고 클러스터는 대체 값으로 내부 기본값인 30초를 사용합니다.

검증

  1. 변경 사항을 검토하려면 다음 명령을 실행하여 구성 맵을 다시 살펴보세요. 

    $ oc get configmap/dns-default -n openshift-dns -o yaml
    Copy to Clipboard Toggle word wrap

  2. 다음 예와 같은 항목이 있는지 확인하세요. 

           cache 3600 {
            denial 9984 2400
        }
    Copy to Clipboard Toggle word wrap

7.10. 고급 작업
링크 복사

7.10.1. DNS Operator managementState 변경
링크 복사

DNS는 CoreDNS 구성 요소를 관리하여 클러스터의 pod 및 서비스에 대한 이름 확인 서비스를 제공합니다. DNS Operator의 managementState는 기본적으로 Managed로 설정되어 있으며 이는 DNS Operator가 리소스를 적극적으로 관리하고 있음을 의미합니다. Unmanaged로 변경할 수 있습니다. 이는 DNS Operator가 해당 리소스를 관리하지 않음을 의미합니다.

다음은 DNS Operator managementState를 변경하는 사용 사례입니다.

  • 사용자가 개발자이며 구성 변경을 테스트하여 CoreDNS의 문제가 해결되었는지 확인하려고 합니다. managementStateUnmanaged로 설정하여 DNS Operator가 변경 사항을 덮어쓰지 않도록 할 수 있습니다.
  • 클러스터 관리자이며 CoreDNS 관련 문제를 보고했지만 문제가 해결될 때까지 해결 방법을 적용해야 합니다. DNS Operator의 managementState 필드를 Unmanaged로 설정하여 해결 방법을 적용할 수 있습니다.

프로세스

  1. DNS 운영자에서 관리 상태를 관리되지 않음 으로 변경: 

    oc patch dns.operator.openshift.io default --type merge --patch '{"spec":{"managementState":"Unmanaged"}}'
    Copy to Clipboard Toggle word wrap

  2. jsonpath 명령줄 JSON 파서를 사용하여 DNS 운영자의 관리 상태를 검토합니다. 

    $ oc get dns.operator.openshift.io default -ojsonpath='{.spec.managementState}'
    Copy to Clipboard Toggle word wrap
    참고

    managementStateUnmanaged 로 설정되어 있는 동안에는 업그레이드할 수 없습니다.

7.10.2. DNS Pod 배치 제어
링크 복사

DNS 운영자에는 두 개의 데몬 세트가 있습니다. 하나는 CoreDNS용 dns-default 이고, 다른 하나는 /etc/hosts 파일을 관리하기 위한 node-resolver 입니다.

지정된 노드에 CoreDNS 포드를 할당하고 실행할 수 있습니다. 예를 들어, 클러스터 관리자가 노드 쌍 간 통신을 금지하는 보안 정책을 구성한 경우, CoreDNS 포드가 제한된 노드 집합에서 실행되도록 구성할 수 있습니다.

다음 상황이 참인 경우 모든 포드에서 DNS 서비스를 사용할 수 있습니다.

  • DNS 포드가 클러스터의 일부 노드에서 실행 중입니다.
  • DNS 포드가 실행되지 않는 노드는 DNS 포드가 실행 중인 노드에 네트워크로 연결되어 있습니다.

노드 리졸버 데몬 세트는 클러스터 이미지 레지스트리에 이미지 풀링을 지원하는 항목을 추가하므로 모든 노드 호스트에서 실행되어야 합니다. node-resolver 포드는 단 하나의 작업만 수행합니다. image-registry.openshift-image-registry.svc 서비스의 클러스터 IP 주소를 조회하여 노드 호스트의 /etc/hosts 에 추가하여 컨테이너 런타임이 서비스 이름을 확인할 수 있도록 합니다.

클러스터 관리자는 사용자 정의 노드 선택기를 사용하여 특정 노드에서 CoreDNS를 실행하거나 실행하지 않도록 데몬 세트를 구성할 수 있습니다.

사전 요구 사항

  • oc CLI를 설치했습니다.
  • cluster-admin 권한이 있는 사용자로 클러스터에 로그인합니다.
  • DNS 운영자 관리 상태가 관리됨으로 설정되었습니다.

프로세스

  • CoreDNS의 데몬 세트가 노드에서 실행되도록 테인트 및 허용 오차를 구성합니다.

    1. 다음 명령을 입력하여 DNS 포드 배치를 제어하려는 노드에 오염을 설정합니다. 

      $ oc adm taint nodes <node_name> dns-only=abc:NoExecute
      1
      Copy to Clipboard Toggle word wrap
      1
      <node_name>을 노드의 실제 이름으로 바꾸세요.

    2. 다음 명령을 입력하여 default 라는 이름의 DNS 운영자 객체를 수정하여 해당 허용 범위를 포함시킵니다. 

      $ oc edit dns.operator/default
      Copy to Clipboard Toggle word wrap

    3. 테인트 키와 테인트에 대한 허용 오차를 지정합니다. 다음 허용 범위는 노드에 설정된 오염과 일치합니다. 

       spec:
   nodePlacement:
     tolerations:
     - effect: NoExecute
       key: "dns-only"
      1 
      
       operator: Equal
       value: abc
       tolerationSeconds: 3600
      2
      Copy to Clipboard Toggle word wrap
      1
      필드가 dns-only 로 설정되면 무기한 허용됩니다.
      2
      tolerationSeconds 필드는 선택 사항입니다.

    4. 선택 사항: 노드 선택기를 사용하여 노드 배치를 지정하려면 기본 DNS 운영자를 수정하세요.

      1. default 라는 이름의 DNS 운영자 객체를 편집하여 노드 선택기를 포함합니다. 

         spec:
   nodePlacement:
     nodeSelector:
        1 
        
       node-role.kubernetes.io/control-plane: ""
        Copy to Clipboard Toggle word wrap
        1
        이 노드 선택기는 CoreDNS 포드가 제어 평면 노드에서만 실행되도록 보장합니다.

7.10.3. TLS를 사용하여 DNS 전달 구성
링크 복사

고도로 규제된 환경에서 작업하는 경우 추가 DNS 트래픽 및 데이터 개인 정보를 보장할 수 있도록 요청을 업스트림 해석기로 전달할 때 DNS(Domain Name System) 트래픽을 보호할 수 있는 기능이 필요할 수 있습니다.

CoreDNS는 전달된 연결을 10초 동안 캐시한다는 점에 유의하세요. 요청이 없으면 CoreDNS는 10초 동안 TCP 연결을 열어 둡니다. 대규모 클러스터의 경우, 노드당 연결을 시작할 수 있으므로 DNS 서버에서 많은 새 연결을 열어두어야 할 수도 있다는 점을 알고 있어야 합니다. 성능 문제를 방지하려면 DNS 계층 구조를 적절히 설정하세요.

프로세스

  1. 이름이 default인 DNS Operator 오브젝트를 수정합니다. 

    $ oc edit dns.operator/default
    Copy to Clipboard Toggle word wrap

    클러스터 관리자는 전달된 DNS 쿼리에 대해 TLS(전송 계층 보안)를 구성할 수 있습니다.

    TLS를 사용하여 DNS 전달 구성

    apiVersion: operator.openshift.io/v1
kind: DNS
metadata:
  name: default
spec:
  servers:
  - name: example-server
    1 
    
    zones:
    - example.com
    2 
    
    forwardPlugin:
      transportConfig:
        transport: TLS
    3 
    
        tls:
          caBundle:
            name: mycacert
          serverName: dnstls.example.com
    4 
    
      policy: Random
    5 
    
      upstreams:
    6 
    
      - 1.1.1.1
      - 2.2.2.2:5353
  upstreamResolvers:
    7 
    
    transportConfig:
      transport: TLS
      tls:
        caBundle:
          name: mycacert
        serverName: dnstls.example.com
    upstreams:
    - type: Network
    8 
    
      address: 1.2.3.4
    9 
    
      port: 53
    10
    Copy to Clipboard Toggle word wrap

    1
    name은 rfc6335 서비스 이름 구문을 준수해야 합니다.
    2
    rfc1123 서비스 이름 구문의 하위 도메인 정의를 준수해야 합니다. 클러스터 도메인 cluster.localzones 필드에 대한 잘못된 하위 도메인입니다. 클러스터 도메인에 해당하는 cluster.local영역에 유효하지 않은 하위 도메인입니다.
    3
    전달된 DNS 쿼리에 대해 TLS를 구성할 때 transport 필드 값을 TLS 로 설정합니다.
    4
    전달된 DNS 쿼리에 대해 TLS를 구성할 때 이는 업스트림 TLS 서버 인증서를 검증하기 위한 서버 이름 표시(SNI)의 일부로 사용되는 필수 서버 이름입니다.
    5
    업스트림 리졸버를 선택하는 정책을 정의합니다. 기본값은 Random 입니다. RoundRobinSequential 값을 사용할 수도 있습니다.
    6
    필수 항목입니다. 이를 사용하여 업스트림 리졸버를 제공합니다. forwardPlugin 항목당 최대 15개의 업스트림 항목이 허용됩니다.
    7
    선택 사항: 이를 사용하면 기본 정책을 재정의하고 기본 도메인에 대한 지정된 DNS 확인자(업스트림 확인자)로 DNS 확인을 전달할 수 있습니다. 업스트림 리졸버를 제공하지 않으면 DNS 이름 쿼리는 /etc/resolv.conf 에 있는 서버로 전송됩니다.
    8
    TLS를 사용하는 경우 네트워크 유형만 허용되며 IP 주소를 제공해야 합니다. 네트워크 유형은 이 업스트림 리졸버가 /etc/resolv.conf 에 나열된 업스트림 리졸버와 별도로 전달된 요청을 처리해야 함을 나타냅니다.
    9
    주소 필드는 유효한 IPv4 또는 IPv6 주소여야 합니다.
    10
    선택적으로 포트를 제공할 수 있습니다. 포트는 1 ~ 65535 사이의 값을 가져야 합니다. 업스트림에 대한 포트를 지정하지 않으면 기본 포트는 853입니다.
    참고

    servers 가 정의되지 않았거나 유효하지 않은 경우 ConfigMap에는 기본 서버만 포함됩니다.

검증

  1. 구성 맵 보기: 

    $ oc get configmap/dns-default -n openshift-dns -o yaml
    Copy to Clipboard Toggle word wrap

    TLS 전달 예제를 기반으로 한 샘플 DNS ConfigMap

    apiVersion: v1
data:
  Corefile: |
    example.com:5353 {
        forward . 1.1.1.1 2.2.2.2:5353
    }
    bar.com:5353 example.com:5353 {
        forward . 3.3.3.3 4.4.4.4:5454
    1 
    
    }
    .:5353 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
            pods insecure
            upstream
            fallthrough in-addr.arpa ip6.arpa
        }
        prometheus :9153
        forward . /etc/resolv.conf 1.2.3.4:53 {
            policy Random
        }
        cache 30
        reload
    }
kind: ConfigMap
metadata:
  labels:
    dns.operator.openshift.io/owning-dns: default
  name: dns-default
  namespace: openshift-dns
    Copy to Clipboard Toggle word wrap

    1
    forwardPlugin을 변경하면 CoreDNS 데몬 세트의 롤링 업데이트가 트리거됩니다.

8장. OpenShift Container Platform에서의 Ingress Operator
링크 복사

Ingress Operator는 IngressController API를 구현하며 OpenShift Container Platform 클러스터 서비스에 대한 외부 액세스를 활성화하는 구성 요소입니다.

8.1. OpenShift Container Platform Ingress Operator
링크 복사

OpenShift Container Platform 클러스터를 생성할 때 클러스터에서 실행되는 Pod 및 서비스에는 각각 자체 IP 주소가 할당됩니다. IP 주소는 내부에서 실행되지만 외부 클라이언트가 액세스할 수 없는 다른 pod 및 서비스에 액세스할 수 있습니다.

Ingress Operator를 사용하면 라우팅을 처리하기 위해 하나 이상의 HAProxy 기반 Ingress 컨트롤러를 배포하고 관리하여 외부 클라이언트가 서비스에 액세스할 수 있습니다. Ingress Operator를 사용하여 OpenShift 컨테이너 플랫폼 Route 및 Kubernetes Ingress 리소스를 지정하면 수신 트래픽을 라우팅할 수 있습니다. endpointPublishingStrategy 유형 및 내부 로드 밸런싱을 정의하는 기능과 같은 Ingress 컨트롤러 내 구성은 Ingress 컨트롤러 끝점을 게시하는 방법을 제공합니다.

8.2. Ingress 구성 자산
링크 복사

설치 프로그램은 config.openshift.io API 그룹인 cluster-ingress-02-config.ymlIngress 리소스가 포함된 자산을 생성합니다.

Ingress 리소스의 YAML 정의

apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
spec:
  domain: apps.openshiftdemos.com
Copy to Clipboard Toggle word wrap

설치 프로그램은 이 자산을 manifests / 디렉터리의 cluster-ingress-02-config.yml 파일에 저장합니다. 이 Ingress 리소스는 Ingress와 관련된 전체 클러스터 구성을 정의합니다. 이 Ingress 구성은 다음과 같이 사용됩니다.

  • Ingress Operator는 클러스터 Ingress 구성에 설정된 도메인을 기본 Ingress 컨트롤러의 도메인으로 사용합니다.
  • OpenShift API Server Operator는 클러스터 Ingress 구성의 도메인을 사용합니다. 이 도메인은 명시적 호스트를 지정하지 않는 Route 리소스에 대한 기본 호스트를 생성할 수도 있습니다.

8.3. Ingress 컨트롤러 구성 매개변수
링크 복사

IngressController 사용자 정의 리소스(CR)에는 조직의 특정 요구 사항을 충족하도록 구성할 수 있는 선택적 구성 매개변수가 포함되어 있습니다.

Expand
매개변수설명

domain

domain은 Ingress 컨트롤러에서 제공하는 DNS 이름이며 여러 기능을 구성하는 데 사용됩니다.

  • LoadBalancerService 끝점 게시 방식에서는 domain을 사용하여 DNS 레코드를 구성합니다. endpointPublishingStrategy를 참조하십시오.
  • 생성된 기본 인증서를 사용하는 경우, 인증서는 domain 및 해당 subdomains에 유효합니다. defaultCertificate를 참조하십시오.
  • 사용자가 외부 DNS 레코드의 대상 위치를 확인할 수 있도록 이 값이 개별 경로 상태에 게시됩니다.

domain 값은 모든 Ingress 컨트롤러에서 고유해야 하며 업데이트할 수 없습니다.

비어 있는 경우 기본값은 ingress.config.openshift.io/cluster .spec.domain입니다.

replicas

replicas 는 Ingress Controller 복제본의 수입니다. 설정되지 않은 경우, 기본값은 2입니다.

endpointPublishingStrategy

endpointPublishingStrategy는 Ingress 컨트롤러 끝점을 다른 네트워크에 게시하고 로드 밸런서 통합을 활성화하며 다른 시스템에 대한 액세스를 제공하는 데 사용됩니다.

클라우드 환경의 경우 loadBalancer 필드를 사용하여 Ingress Controller에 대한 엔드포인트 게시 전략을 구성합니다.

GCP, AWS 및 Azure에서는 다음 endpointPublishingStrategy 필드를 구성할 수 있습니다.

  • loadBalancer.scope
  • loadBalancer.allowedSourceRanges

설정되지 않은 경우, 기본값은 infrastructure.config.openshift.io/cluster .status.platform을 기반으로 다음과 같습니다.

  • Azure: LoadBalancerService(외부 범위 포함)
  • Google Cloud Platform(GCP): LoadBalancerService (외부 범위 포함)

대부분의 플랫폼의 경우 endpointPublishingStrategy 값은 업데이트할 수 없습니다. GCP에서는 다음 endpointPublishingStrategy 필드를 구성할 수 있습니다.

  • loadBalancer.scope
  • loadbalancer.providerParameters.gcp.clientAccess

베어메탈 플랫폼과 같은 비클라우드 환경의 경우 NodePortService , HostNetwork 또는 Private 필드를 사용하여 Ingress Controller에 대한 엔드포인트 게시 전략을 구성합니다.

이러한 필드 중 하나에 값을 설정하지 않으면 기본값은 IngressController CR의 .status.platform 값에 지정된 바인딩 포트를 기반으로 합니다.

클러스터가 배포된 후 endpointPublishingStrategy 값을 업데이트해야 하는 경우 다음 endpointPublishingStrategy 필드를 구성할 수 있습니다.

  • hostNetwork.protocol
  • nodePort.protocol
  • private.protocol

defaultCertificate

defaultCertificate 값은 Ingress 컨트롤러가 제공하는 기본 인증서가 포함된 보안에 대한 참조입니다. 경로가 고유한 인증서를 지정하지 않으면 defaultCertificate가 사용됩니다.

보안에는 키와 데이터, 즉 *tls.crt: 인증서 파일 내용 *tls.key: 키 파일 내용이 포함되어야 합니다.

설정하지 않으면 와일드카드 인증서가 자동으로 생성되어 사용됩니다. 인증서는 Ingress 컨트롤러 도메인하위 도메인에 유효하며 생성된 인증서의 CA는 클러스터의 신뢰 저장소와 자동으로 통합됩니다.

생성된 인증서 또는 사용자 정의 인증서는 OpenShift Container Platform 내장 OAuth 서버와 자동으로 통합됩니다.

namespaceSelector

namespaceSelector는 Ingress 컨트롤러가 서비스를 제공하는 네임스페이스 집합을 필터링하는 데 사용됩니다. 이는 분할을 구현하는 데 유용합니다.

routeSelector

routeSelector는 Ingress 컨트롤러가 서비스를 제공하는 경로 집합을 필터링하는 데 사용됩니다. 이는 분할을 구현하는 데 유용합니다.

nodePlacement

nodePlacement를 사용하면 Ingress 컨트롤러의 스케줄링을 명시적으로 제어할 수 있습니다.

설정하지 않으면 기본값이 사용됩니다.

참고

nodePlacement 매개변수는 nodeSelectortolerations의 두 부분으로 구성됩니다. 예를 들면 다음과 같습니다. 

nodePlacement:
 nodeSelector:
   matchLabels:
     kubernetes.io/os: linux
 tolerations:
 - effect: NoSchedule
   operator: Exists
Copy to Clipboard Toggle word wrap

tlsSecurityProfile

tlsSecurityProfile은 Ingress 컨트롤러의 TLS 연결 설정을 지정합니다.

설정되지 않으면, 기본값은 apiservers.config.openshift.io/cluster 리소스를 기반으로 설정됩니다.

Old, IntermediateModern 프로파일 유형을 사용하는 경우 유효한 프로파일 구성은 릴리스마다 변경될 수 있습니다. 예를 들어, 릴리스 X.Y.Z에 배포된 Intermediate 프로파일을 사용하도록 설정한 경우 X.Y.Z+1 릴리스로 업그레이드하면 새 프로파일 구성이 Ingress 컨트롤러에 적용되어 롤아웃이 발생할 수 있습니다.

Ingress 컨트롤러의 최소 TLS 버전은 1.1이며 최대 TLS 버전은 1.3입니다.

참고

구성된 보안 프로파일의 암호 및 최소 TLS 버전은 TLSProfile 상태에 반영됩니다.

중요

Ingress Operator는 Old 또는 Custom 프로파일의 TLS 1.01.1로 변환합니다.

clientTLS

clientTLS는 클러스터 및 서비스에 대한 클라이언트 액세스를 인증하므로 상호 TLS 인증이 활성화됩니다. 설정되지 않은 경우 클라이언트 TLS가 활성화되지 않습니다.

clientTLS에는 필수 하위 필드인 spec.clientTLS.clientCertificatePolicyspec.clientTLS.ClientCA가 있습니다.

ClientCertificatePolicy 하위 필드는 Required 또는 Optional 이라는 두 값 중 하나를 허용합니다. ClientCA 하위 필드는 openshift-config 네임스페이스에 있는 구성 맵을 지정합니다. 구성 맵에는 CA 인증서 번들이 포함되어야 합니다.

AllowedSubjectPatterns는 요청을 필터링할 유효한 클라이언트 인증서의 고유 이름과 일치하는 정규식 목록을 지정하는 선택적 값입니다. 정규 표현식은 PCRE 구문을 사용해야 합니다. 클라이언트 인증서의 고유 이름과 일치하는 패턴이 하나 이상 있어야 합니다. 그렇지 않으면 Ingress 컨트롤러에서 인증서를 거부하고 연결을 거부합니다. 지정되지 않은 경우 Ingress 컨트롤러에서 고유 이름을 기반으로 인증서를 거부하지 않습니다.

routeAdmission

routeAdmission은 네임스페이스에서 클레임을 허용 또는 거부하는 등 새로운 경로 클레임을 처리하기 위한 정책을 정의합니다.

namespaceOwnership은 네임스페이스에서 호스트 이름 클레임을 처리하는 방법을 설명합니다. 기본값은 Strict입니다.

  • Strict: 경로가 네임스페이스에서 동일한 호스트 이름을 요청하는 것을 허용하지 않습니다.
  • InterNamespaceAllowed: 경로가 네임스페이스에서 동일한 호스트 이름의 다른 경로를 요청하도록 허용합니다.

wildcardPolicy는 Ingress 컨트롤러에서 와일드카드 정책이 포함된 경로를 처리하는 방법을 설명합니다.

  • WildcardsAllowed: 와일드카드 정책이 포함된 경로가 Ingress 컨트롤러에 의해 허용됨을 나타냅니다.
  • WildcardsDisallowed: 와일드카드 정책이 None인 경로만 Ingress 컨트롤러에 의해 허용됨을 나타냅니다. WildcardsAllowed에서 WildcardsDisallowedwildcardPolicy를 업데이트하면 와일드카드 정책이 Subdomain인 허용되는 경로의 작동이 중지됩니다. Ingress 컨트롤러에서 이러한 경로를 다시 허용하려면 이 경로를 설정이 None인 와일드카드 정책으로 다시 생성해야 합니다. 기본 설정은 WildcardsDisallowed입니다.

IngressControllerLogging

logging은 어디에서 무엇이 기록되는지에 대한 매개변수를 정의합니다. 이 필드가 비어 있으면 작동 로그는 활성화되지만 액세스 로그는 비활성화됩니다.

  • access는 클라이언트 요청이 기록되는 방법을 설명합니다. 이 필드가 비어 있으면 액세스 로깅이 비활성화됩니다.

    • destination은 로그 메시지의 대상을 설명합니다.

      • type은 로그 대상의 유형입니다.

        • Container 는 로그가 사이드카 컨테이너로 이동하도록 지정합니다. Ingress Operator는 Ingress 컨트롤러 pod에서 logs 라는 컨테이너를 구성하고 컨테이너에 로그를 작성하도록 Ingress 컨트롤러를 구성합니다. 관리자는 이 컨테이너에서 로그를 읽는 사용자 정의 로깅 솔루션을 구성해야 합니다. 컨테이너 로그를 사용한다는 것은 로그 비율이 컨테이너 런타임 용량 또는 사용자 정의 로깅 솔루션 용량을 초과하면 로그가 삭제될 수 있음을 의미합니다.
        • Syslog는 로그가 Syslog 끝점으로 전송되도록 지정합니다. 관리자는 Syslog 메시지를 수신할 수 있는 끝점을 지정해야 합니다. 관리자가 사용자 정의 Syslog 인스턴스를 구성하는 것이 좋습니다.
      • 컨테이너Container 로깅 대상 유형의 매개변수를 설명합니다. 현재는 컨테이너 로깅에 대한 매개변수가 없으므로 이 필드는 비어 있어야 합니다.

      • syslogSyslog 로깅 대상 유형의 매개변수를 설명합니다.

        • address는 로그 메시지를 수신하는 syslog 끝점의 IP 주소입니다.
        • port는 로그 메시지를 수신하는 syslog 끝점의 UDP 포트 번호입니다.
        • maxLength는 syslog 메시지의 최대 길이입니다. 480 ~ 4096 바이트여야 합니다. 이 필드가 비어 있으면 최대 길이는 기본값인 1024 바이트로 설정됩니다.
        • facility는 로그 메시지의 syslog 기능을 지정합니다. 이 필드가 비어 있으면 장치가 local1이 됩니다. 아니면 kern, user, mail, daemon, auth, syslog, lpr, news, uucp, cron, auth2, ftp, ntp, audit, alert, cron2, local0, local1, local2, local3, local4, local5, local6 또는 local7 중에서 유효한 syslog 장치를 지정해야 합니다.
    • httpLogFormat은 HTTP 요청에 대한 로그 메시지의 형식을 지정합니다. 이 필드가 비어 있으면 로그 메시지는 구현의 기본 HTTP 로그 형식을 사용합니다. HAProxy의 기본 HTTP 로그 형식과 관련한 내용은 HAProxy 문서를 참조하십시오.

httpHeaders

httpHeaders는 HTTP 헤더에 대한 정책을 정의합니다.

IngressControllerHTTPHeadersforwardedHeaderPolicy를 설정하여 Ingress 컨트롤러에서 Forwarded, X-Forwarded-For, X-Forwarded-Host, X-Forwarded-Port, X-Forwarded-Proto, X-Forwarded-Proto-Version HTTP 헤더를 설정하는 시기와 방법을 지정합니다.

기본적으로 정책은 Append로 설정됩니다.

  • Append는 Ingress 컨트롤러에서 기존 헤더를 유지하면서 헤더를 추가하도록 지정합니다.
  • Replace는 Ingress 컨트롤러에서 헤더를 설정하고 기존 헤더를 제거하도록 지정합니다.
  • IfNone은 헤더가 아직 설정되지 않은 경우 Ingress 컨트롤러에서 헤더를 설정하도록 지정합니다.
  • Never는 Ingress 컨트롤러에서 헤더를 설정하지 않고 기존 헤더를 보존하도록 지정합니다.

headerNameCaseAdjustments를 설정하여 HTTP 헤더 이름에 적용할 수 있는 대/소문자 조정을 지정할 수 있습니다. 각 조정은 원하는 대문자를 사용하여 HTTP 헤더 이름으로 지정됩니다. 예를 들어 X-Forwarded-For를 지정하면 지정된 대문자를 사용하도록 x-forwarded-for HTTP 헤더를 조정해야 합니다.

이러한 조정은 HTTP/1을 사용하는 경우에만 일반 텍스트, 에지 종료 및 재암호화 경로에 적용됩니다.

요청 헤더의 경우 이러한 조정은 haproxy.router.openshift.io/h1-adjust-case=true 주석이 있는 경로에만 적용됩니다. 응답 헤더의 경우 이러한 조정이 모든 HTTP 응답에 적용됩니다. 이 필드가 비어 있으면 요청 헤더가 조정되지 않습니다.

actions는 헤더에 대해 특정 작업을 수행하기 위한 옵션을 지정합니다. TLS 패스스루 연결의 경우 헤더를 설정하거나 삭제할 수 없습니다. actions 필드에는 추가 하위 필드 spec.httpHeader.actions.responsespec.httpHeader.actions.request 가 있습니다.

  • 응답 하위 필드는 설정하거나 삭제할 HTTP 응답 헤더 목록을 지정합니다.
  • 요청 하위 필드는 설정하거나 삭제할 HTTP 요청 헤더 목록을 지정합니다.

httpCompression

httpCompression은 HTTP 트래픽 압축 정책을 정의합니다.

  • mimeTypes는 압축을 적용할 MIME 유형 목록을 정의합니다. 예를 들어, text/css; charset=utf-8 , text/html , text/* , image/svg+xml , application/octet-stream , X-custom/customsub , 형식 패턴 type/subtype; [;attribute=value]를 사용합니다. 유형은 다음과 같습니다. 애플리케이션, 이미지, 메시지, 멀티파트, 텍스트, 비디오 또는 X- 로 시작하는 사용자 정의 유형입니다. 예를 들어 MIME 유형 및 하위 유형에 대한 전체 표기법을 보려면 RFC1341을 참조하세요.

httpErrorCodePages

httpErrorCodePages는 사용자 정의 HTTP 오류 코드 응답 페이지를 지정합니다. 기본적으로 IngressController는 IngressController 이미지에 빌드된 오류 페이지를 사용합니다.

httpCaptureCookies

httpCaptureCookies는 액세스 로그에 캡처하려는 HTTP 쿠키를 지정합니다. httpCaptureCookies 필드가 비어 있으면 액세스 로그가 쿠키를 캡처하지 않습니다.

캡처하려는 쿠키에 대해서는 다음 매개변수가 IngressController 구성에 있어야 합니다.

  • name은 쿠키의 이름을 지정합니다.
  • maxLength는 쿠키의 최대 길이를 지정합니다.
  • matchType은 쿠키의 필드 이름이 캡처 쿠키 설정과 정확히 일치하는지 또는 캡처 쿠키 설정의 접두사인지 여부를 지정합니다. matchType 필드는 ExactPrefix 매개변수를 사용합니다.

예를 들면 다음과 같습니다. 

  httpCaptureCookies:
  - matchType: Exact
    maxLength: 128
    name: MYCOOKIE
Copy to Clipboard Toggle word wrap

httpCaptureHeaders

httpCaptureHeaders는 액세스 로그에서 캡처하려는 HTTP 헤더를 지정합니다. httpCaptureHeaders 필드가 비어 있으면 액세스 로그가 헤더를 캡처하지 않습니다.

httpCaptureHeaders 에는 액세스 로그에서 캡처할 헤더 목록이 두 개 포함되어 있습니다. 헤더 필드의 두 목록은 요청응답 입니다. 두 목록 모두에서 이름 필드는 헤더 이름을 지정해야 하고, 최대 길이 필드는 헤더의 최대 길이를 지정해야 합니다. 예를 들면 다음과 같습니다. 

  httpCaptureHeaders:
    request:
    - maxLength: 256
      name: Connection
    - maxLength: 128
      name: User-Agent
    response:
    - maxLength: 256
      name: Content-Type
    - maxLength: 256
      name: Content-Length
Copy to Clipboard Toggle word wrap

tuningOptions

tuningOptions는 Ingress 컨트롤러 Pod의 성능을 조정하는 옵션을 지정합니다.

  • clientFinTimeout은 연결을 닫는 서버에 대한 클라이언트 응답을 기다리는 동안 연결이 열린 상태로 유지되는 시간을 지정합니다. 기본 시간 초과는 1초 입니다.
  • ClientTimeout은 클라이언트 응답을 기다리는 동안 연결이 열린 상태로 유지되는 시간을 지정합니다. 기본 시간 초과는 30초 입니다.
  • headerBufferBytes는 Ingress 컨트롤러 연결 세션에 대해 예약된 메모리 양을 바이트 단위로 지정합니다. Ingress 컨트롤러에 HTTP/2가 활성화된 경우 이 값은 16384 이상이어야 합니다. 설정되지 않은 경우, 기본값은 32768 바이트입니다. headerBufferBytes 값이 너무 작으면 Ingress 컨트롤러가 손상될 수 있으며 headerBufferBytes 값이 너무 크면 Ingress 컨트롤러가 필요 이상으로 많은 메모리를 사용할 수 있기 때문에 이 필드를 설정하지 않는 것이 좋습니다.
  • headerBufferMaxRewriteBytes는 HTTP 헤더 재작성 및 Ingress 컨트롤러 연결 세션에 대한 headerBufferBytes의 바이트 단위로 예약해야 하는 메모리 양을 지정합니다. headerBufferMaxRewriteBytes의 최소 값은 4096입니다. headerBufferBytes는 들어오는 HTTP 요청에 대해 headerBufferMaxRewriteBytes보다 커야 합니다. 설정되지 않은 경우, 기본값은 8192 바이트입니다. headerBufferMaxRewriteBytes 값이 너무 작으면 Ingress 컨트롤러가 손상될 수 있으며 headerBufferMaxRewriteBytes 값이 너무 크면 Ingress 컨트롤러가 필요 이상으로 많은 메모리를 사용할 수 있기 때문에 이 필드를 설정하지 않는 것이 좋습니다.
  • healthCheckInterval은 라우터가 상태 검사 사이에 대기하는 시간을 지정합니다. 기본값은 5s입니다.
  • serverFinTimeout은 연결을 종료하는 클라이언트에 대한 서버 응답을 기다리는 동안 연결이 열린 상태로 유지되는 시간을 지정합니다. 기본 시간 초과는 1초 입니다.
  • ServerTimeout은 서버 응답을 기다리는 동안 연결이 열린 상태로 유지되는 시간을 지정합니다. 기본 시간 초과는 30초 입니다.
  • threadCount는 HAProxy 프로세스별로 생성할 스레드 수를 지정합니다. 더 많은 스레드를 생성하면 각 Ingress 컨트롤러 Pod가 더 많은 시스템 리소스 비용으로 더 많은 연결을 처리할 수 있습니다. HAProxy는 최대 64개의 스레드를 지원합니다. 이 필드가 비어 있으면 Ingress 컨트롤러는 기본값 4 스레드를 사용합니다. 기본값은 향후 릴리스에서 변경될 수 있습니다. HAProxy 스레드 수를 늘리면 Ingress 컨트롤러 Pod에서 부하에 더 많은 CPU 시간을 사용할 수 있고 다른 Pod에서 수행해야 하는 CPU 리소스를 수신하지 못하므로 이 필드를 설정하지 않는 것이 좋습니다. 스레드 수를 줄이면 Ingress 컨트롤러가 제대로 작동하지 않을 수 있습니다.
  • tlsInspectDelay는 라우터에서 일치하는 경로를 찾기 위해 데이터를 보유할 수 있는 기간을 지정합니다. 이 값을 너무 짧게 설정하면 일치하는 인증서를 사용하는 경우에도 라우터가 에지 종료 또는 재암호화 경로의 기본 인증서로 대체될 수 있습니다. 기본 검사 지연 시간은 5초 입니다.
  • tunnelTimeout은 터널이 유휴 상태일 때 웹소켓을 포함한 터널 연결이 열린 상태로 유지되는 시간을 지정합니다. 기본 시간 초과는 1시간 입니다.

  • maxConnections는 HAProxy 프로세스당 동시에 설정할 수 있는 최대 연결 수를 지정합니다. 이 값을 늘리면 각 인그레스 컨트롤러 포드가 더 많은 시스템 리소스를 희생하여 더 많은 연결을 처리할 수 있습니다. 허용되는 값은 0 , -1 , 2000 ~ 2000000 범위 내의 값이고, 필드를 비워둘 수도 있습니다.

    • 이 필드가 비어 있거나 값이 0 인 경우 Ingress Controller는 기본값인 50000을 사용합니다. 이 값은 향후 릴리스에서 변경될 수 있습니다.
    • 필드의 값이 -1 이면 HAProxy는 실행 중인 컨테이너에서 사용 가능한 ulimits를 기반으로 최대값을 동적으로 계산합니다. 이 프로세스는 현재 기본값인 50000 과 비교했을 때 상당한 메모리 사용량을 초래하는 큰 계산된 값을 생성합니다.
    • 필드에 현재 운영 체제 제한보다 큰 값이 있는 경우 HAProxy 프로세스가 시작되지 않습니다.
    • 개별 값을 선택하고 라우터 포드가 새 노드로 마이그레이션되는 경우 새 노드에 동일한 ulimit이 구성되지 않았을 수 있습니다. 이런 경우에는 포드가 시작되지 않습니다.
    • 서로 다른 ulimits가 구성된 노드가 있고 개별 값을 선택하는 경우 이 필드에 -1 값을 사용하는 것이 좋습니다. 이렇게 하면 런타임에 최대 연결 수가 계산됩니다.

logEmptyRequests

logEmptyRequests는 요청이 수신 및 기록되지 않은 연결을 지정합니다. 이러한 빈 요청은 로드 밸런서 상태 프로브 또는 웹 브라우저 추측 연결(사전 연결)에서 발생하며 이러한 요청을 로깅하는 것은 바람직하지 않을 수 있습니다. 이러한 빈 요청은 로드 밸런서 상태 프로브 또는 웹 브라우저 추측 연결(사전 연결)에서 발생하며 이러한 요청을 로깅하는 것은 바람직하지 않을 수 있습니다. 이러한 요청은 포트 검색으로 인해 발생할 수 있으며 빈 요청을 로깅하면 침입 시도를 감지하는 데 도움이 될 수 있습니다. 이 필드에 허용되는 값은 LogIgnore 입니다. 기본값은 Log 입니다.

LoggingPolicy 유형은 다음 두 값 중 하나를 허용합니다.

  • Log: 이 값을 Log로 설정하면 이벤트가 로깅되어야 함을 나타냅니다.
  • ignore: 이 값을 Ignore 로 설정하면 HAproxy 구성에서 dontlognull 옵션이 설정됩니다.

HTTPEmptyRequestsPolicy

HTTPEmptyRequestsPolicy는 요청을 수신하기 전에 연결 시간이 초과된 경우 HTTP 연결이 처리되는 방법을 설명합니다.. 이 필드에 허용되는 값은 RespondIgnore입니다. 기본값은 Respond입니다.

HTTPEmptyRequestsPolicy 유형은 다음 두 값 중 하나를 허용합니다.

  • Response: 필드가 Respond로 설정된 경우 Ingress 컨트롤러는 HTTP 400 또는 408 응답을 전송하고 액세스 로깅이 활성화된 경우 연결을 로깅한 다음 적절한 메트릭의 연결을 계산합니다.
  • ignore: 이 옵션을 Ignore로 설정하면 HAproxy 구성에 http-ignore-probes 매개변수가 추가됩니다. 필드가 Ignore 로 설정된 경우 Ingress 컨트롤러는 응답을 전송하지 않고 연결을 종료한 다음 연결을 기록하거나 메트릭을 늘립니다.

이러한 연결은 로드 밸런서 상태 프로브 또는 웹 브라우저 추측 연결(preconnect)에서 제공되며 무시해도 됩니다. 그러나 이러한 요청은 네트워크 오류로 인해 발생할 수 있으므로 이 필드를 Ignore로 설정하면 문제를 탐지하고 진단할 수 있습니다. 이러한 요청은 포트 검색으로 인해 발생할 수 있으며, 이 경우 빈 요청을 로깅하면 침입 시도를 탐지하는 데 도움이 될 수 있습니다.

8.3.1. Ingress 컨트롤러 TLS 보안 프로필
링크 복사

TLS 보안 프로필은 서버가 서버에 연결할 때 연결 클라이언트가 사용할 수 있는 암호를 규제하는 방법을 제공합니다.

8.3.1.1. TLS 보안 프로필 이해
링크 복사

TLS(Transport Layer Security) 보안 프로필을 사용하여 다양한 OpenShift Container Platform 구성 요소에 필요한 TLS 암호를 정의할 수 있습니다. OpenShift Container Platform TLS 보안 프로필은 Mozilla 권장 구성을 기반으로 합니다.

각 구성 요소에 대해 다음 TLS 보안 프로필 중 하나를 지정할 수 있습니다.

Expand
표 8.1. TLS 보안 프로필
Profile설명

Old

이 프로필은 레거시 클라이언트 또는 라이브러리와 함께 사용하기 위한 것입니다. 프로필은 이전 버전과의 호환성 권장 구성을 기반으로 합니다.

Old 프로파일에는 최소 TLS 버전 1.0이 필요합니다.

참고

Ingress 컨트롤러의 경우 최소 TLS 버전이 1.0에서 1.1로 변환됩니다.

Intermediate

Ingress 컨트롤러, kubelet 및 컨트롤 플레인의 기본 TLS 보안 프로필입니다. 프로필은 중간 호환성 권장 구성을 기반으로 합니다.

Intermediate 프로필에는 최소 TLS 버전이 1.2가 필요합니다.

참고

이 프로필은 대부분의 클라이언트에서 권장되는 구성입니다.

Modern

이 프로필은 이전 버전과의 호환성이 필요하지 않은 최신 클라이언트와 사용하기 위한 것입니다. 이 프로필은 최신 호환성 권장 구성을 기반으로 합니다.

Modern 프로필에는 최소 TLS 버전 1.3이 필요합니다.

사용자 지정

이 프로필을 사용하면 사용할 TLS 버전과 암호를 정의할 수 있습니다.

주의

Custom 프로파일을 사용할 때는 잘못된 구성으로 인해 문제가 발생할 수 있으므로 주의해야 합니다.

참고

미리 정의된 프로파일 유형 중 하나를 사용하는 경우 유효한 프로파일 구성은 릴리스마다 변경될 수 있습니다. 예를 들어 릴리스 X.Y.Z에 배포된 중간 프로필을 사용하는 사양이 있는 경우 릴리스 X.Y.Z+1로 업그레이드하면 새 프로필 구성이 적용되어 롤아웃이 발생할 수 있습니다.

8.3.1.2. Ingress 컨트롤러의 TLS 보안 프로필 구성
링크 복사

Ingress 컨트롤러에 대한 TLS 보안 프로필을 구성하려면 IngressController CR(사용자 정의 리소스)을 편집하여 사전 정의된 또는 사용자 지정 TLS 보안 프로필을 지정합니다. TLS 보안 프로필이 구성되지 않은 경우 기본값은 API 서버에 설정된 TLS 보안 프로필을 기반으로 합니다.

Old TLS 보안 프로파일을 구성하는 샘플 IngressController CR

apiVersion: operator.openshift.io/v1
kind: IngressController
 ...
spec:
  tlsSecurityProfile:
    old: {}
    type: Old
 ...
Copy to Clipboard Toggle word wrap

TLS 보안 프로필은 Ingress 컨트롤러의 TLS 연결에 대한 최소 TLS 버전과 TLS 암호를 정의합니다.

Status.Tls Profile 아래의 IngressController CR(사용자 정의 리소스) 및 Spec.Tls Security Profile 아래 구성된 TLS 보안 프로필에서 구성된 TLS 보안 프로필의 암호 및 최소 TLS 버전을 확인할 수 있습니다. Custom TLS 보안 프로필의 경우 특정 암호 및 최소 TLS 버전이 두 매개변수 아래에 나열됩니다.

참고

HAProxy Ingress 컨트롤러 이미지는 TLS 1.3Modern 프로필을 지원합니다.

Ingress Operator는 Old 또는 Custom 프로파일의 TLS 1.01.1로 변환합니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. openshift-ingress-operator 프로젝트에서 IngressController CR을 편집하여 TLS 보안 프로필을 구성합니다. 

    $ oc edit IngressController default -n openshift-ingress-operator
    Copy to Clipboard Toggle word wrap

  2. spec.tlsSecurityProfile 필드를 추가합니다.

    Custom 프로필에 대한 IngressController CR 샘플

    apiVersion: operator.openshift.io/v1
kind: IngressController
 ...
spec:
  tlsSecurityProfile:
    type: Custom
    1 
    
    custom:
    2 
    
      ciphers:
    3 
    
      - ECDHE-ECDSA-CHACHA20-POLY1305
      - ECDHE-RSA-CHACHA20-POLY1305
      - ECDHE-RSA-AES128-GCM-SHA256
      - ECDHE-ECDSA-AES128-GCM-SHA256
      minTLSVersion: VersionTLS11
 ...
    Copy to Clipboard Toggle word wrap

    1
    TLS 보안 프로필 유형(Old,Intermediate 또는 Custom)을 지정합니다. 기본값은 Intermediate입니다.
    2
    선택한 유형의 적절한 필드를 지정합니다.
    • old: {}
    • intermediate: {}
    • Modern
    • custom:
    3
    custom 유형의 경우 TLS 암호화 목록 및 최소 허용된 TLS 버전을 지정합니다.
  3. 파일을 저장하여 변경 사항을 적용합니다.

검증

  • IngressController CR에 프로파일이 설정되어 있는지 확인합니다. 

    $ oc describe IngressController default -n openshift-ingress-operator
    Copy to Clipboard Toggle word wrap

    출력 예

    Name:         default
Namespace:    openshift-ingress-operator
Labels:       <none>
Annotations:  <none>
API Version:  operator.openshift.io/v1
Kind:         IngressController
 ...
Spec:
 ...
  Tls Security Profile:
    Custom:
      Ciphers:
        ECDHE-ECDSA-CHACHA20-POLY1305
        ECDHE-RSA-CHACHA20-POLY1305
        ECDHE-RSA-AES128-GCM-SHA256
        ECDHE-ECDSA-AES128-GCM-SHA256
      Min TLS Version:  VersionTLS11
    Type:               Custom
 ...
    Copy to Clipboard Toggle word wrap

8.3.1.3. 상호 TLS 인증 구성
링크 복사

spec.clientTLS 값을 설정하여 mTLS(mTLS) 인증을 사용하도록 Ingress 컨트롤러를 구성할 수 있습니다. clientTLS 값은 클라이언트 인증서를 확인하도록 Ingress 컨트롤러를 구성합니다. 이 구성에는 구성 맵에 대한 참조인 clientCA 값 설정이 포함됩니다. 구성 맵에는 클라이언트의 인증서를 확인하는 데 사용되는 PEM 인코딩 CA 인증서 번들이 포함되어 있습니다. 필요한 경우 인증서 제목 필터 목록을 구성할 수 있습니다.

clientCA 값이 X509v3 인증서 해지 목록(CRL) 배포 지점을 지정하는 경우 Ingress Operator는 제공된 각 인증서에 지정된 HTTP URI X509v3 CRL 배포 지점을 기반으로 CRL 구성 맵을 다운로드하고 관리합니다. Ingress Controller는 mTLS/TLS 협상 중에 이 구성 맵을 사용합니다. 유효한 인증서를 제공하지 않는 요청은 거부됩니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
  • PEM으로 인코딩된 CA 인증서 번들이 있습니다.

  • CA 번들이 CRL 배포 지점을 참조하는 경우 클라이언트 CA 번들에 최종 엔터티 또는 리프 인증서도 포함해야 합니다. 이 인증서에는 RFC 5280에 설명된 대로 CRL 배포 지점 에 HTTP URI가 포함되어야 합니다. 예를 들면 다음과 같습니다. 

     Issuer: C=US, O=Example Inc, CN=Example Global G2 TLS RSA SHA256 2020 CA1
         Subject: SOME SIGNED CERT            X509v3 CRL Distribution Points:
                Full Name:
                  URI:http://crl.example.com/example.crl
    Copy to Clipboard Toggle word wrap

프로세스

  1. openshift-config 네임스페이스에서 CA 번들에서 구성 맵을 만듭니다. 

    $ oc create configmap \
   router-ca-certs-default \
   --from-file=ca-bundle.pem=client-ca.crt \
    1 
    
   -n openshift-config
    Copy to Clipboard Toggle word wrap
    1
    구성 맵 데이터 키는 ca-bundle.pem이어야 하며 데이터 값은 PEM 형식의 CA 인증서여야 합니다.

  2. openshift-ingress-operator 프로젝트에서 IngressController 리소스를 편집합니다. 

    $ oc edit IngressController default -n openshift-ingress-operator
    Copy to Clipboard Toggle word wrap

  3. spec.clientTLS 필드 및 하위 필드를 추가하여 상호 TLS를 구성합니다.

    패턴 필터링을 지정하는 clientTLS 프로필에 대한 IngressController CR 샘플

      apiVersion: operator.openshift.io/v1
  kind: IngressController
  metadata:
    name: default
    namespace: openshift-ingress-operator
  spec:
    clientTLS:
      clientCertificatePolicy: Required
      clientCA:
        name: router-ca-certs-default
      allowedSubjectPatterns:
      - "^/CN=example.com/ST=NC/C=US/O=Security/OU=OpenShift$"
    Copy to Clipboard Toggle word wrap

  4. 선택 사항으로, 다음 명령을 입력하여 allowedSubjectPatterns 에 대한 DN(고유 이름)을 가져옵니다. 
$ openssl  x509 -in custom-cert.pem  -noout -subject
subject= /CN=example.com/ST=NC/C=US/O=Security/OU=OpenShift
Copy to Clipboard Toggle word wrap

8.4. 기본 Ingress 컨트롤러 보기
링크 복사

Ingress Operator는 OpenShift Container Platform의 핵심 기능이며 즉시 사용이 가능합니다.

모든 새로운 OpenShift Container Platform 설치에는 이름이 ingresscontroller로 기본으로 지정됩니다. 추가 Ingress 컨트롤러를 추가할 수 있습니다. 기본 ingresscontroller가 삭제되면 Ingress Operator가 1분 이내에 자동으로 다시 생성합니다.

프로세스

  • 기본 Ingress 컨트롤러를 확인합니다. 

    $ oc describe --namespace=openshift-ingress-operator ingresscontroller/default
    Copy to Clipboard Toggle word wrap

8.5. Ingress Operator 상태 보기
링크 복사

Ingress Operator의 상태를 확인 및 조사할 수 있습니다.

프로세스

  • Ingress Operator 상태를 확인합니다. 

    $ oc describe clusteroperators/ingress
    Copy to Clipboard Toggle word wrap

8.6. Ingress 컨트롤러 로그 보기
링크 복사

Ingress 컨트롤러의 로그를 확인할 수 있습니다.

프로세스

  • Ingress 컨트롤러 로그를 확인합니다. 

    $ oc logs --namespace=openshift-ingress-operator deployments/ingress-operator -c <container_name>
    Copy to Clipboard Toggle word wrap

8.7. Ingress 컨트롤러 상태 보기
링크 복사

특정 Ingress 컨트롤러의 상태를 확인할 수 있습니다.

프로세스

  • Ingress 컨트롤러의 상태를 확인합니다. 

    $ oc describe --namespace=openshift-ingress-operator ingresscontroller/<name>
    Copy to Clipboard Toggle word wrap

8.8. 사용자 정의 Ingress 컨트롤러 생성
링크 복사

클러스터 관리자는 새로운 사용자 정의 Ingress 컨트롤러를 만들 수 있습니다. 기본 Ingress 컨트롤러는 OpenShift Container Platform 업데이트 중에 변경될 수 있으므로 클러스터 업데이트에도 지속되는 구성을 수동으로 유지 관리할 때 사용자 지정 Ingress 컨트롤러를 만드는 것이 도움이 될 수 있습니다.

이 예제에서는 사용자 정의 Ingress 컨트롤러에 대한 최소 사양을 제공합니다. 사용자 정의 Ingress 컨트롤러를 추가로 사용자 지정하려면 "Ingress 컨트롤러 구성"을 참조하세요.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. 사용자 정의 IngressController 객체를 정의하는 YAML 파일을 만듭니다.

    custom-ingress-controller.yaml 파일 예시

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
    name: <custom_name>
    1 
    
    namespace: openshift-ingress-operator
spec:
    defaultCertificate:
        name: <custom-ingress-custom-certs>
    2 
    
    replicas: 1
    3 
    
    domain: <custom_domain>
    4
    Copy to Clipboard Toggle word wrap

    1
    IngressController 객체에 사용자 정의 이름을 지정합니다.
    2
    사용자 정의 와일드카드 인증서로 비밀의 이름을 지정합니다.
    3
    최소 복제본은 1개여야 합니다.
    4
    도메인 이름에 도메인을 지정하세요. IngressController 객체에 지정된 도메인과 인증서에 사용된 도메인은 일치해야 합니다. 예를 들어, 도메인 값이 "custom_domain.mycompany.com"인 경우 인증서에는 SAN *.custom_domain.mycompany.com(도메인에 *. 추가)이 있어야 합니다.

  2. 다음 명령을 실행하여 CR 오브젝트를 생성합니다. 

    $ oc create -f custom-ingress-controller.yaml
    Copy to Clipboard Toggle word wrap

8.9. Ingress 컨트롤러 구성
링크 복사

8.9.1. 사용자 정의 기본 인증서 설정
링크 복사

관리자는 Secret 리소스를 생성하고 IngressController CR(사용자 정의 리소스)을 편집하여 사용자 정의 인증서를 사용하도록 Ingress 컨트롤러를 구성할 수 있습니다.

사전 요구 사항

  • PEM 인코딩 파일에 인증서/키 쌍이 있어야 합니다. 이때 인증서는 신뢰할 수 있는 인증 기관 또는 사용자 정의 PKI에서 구성한 신뢰할 수 있는 개인 인증 기관의 서명을 받은 인증서입니다.

  • 인증서가 다음 요구 사항을 충족합니다.

    • 인증서가 Ingress 도메인에 유효해야 합니다.
    • 인증서는 subjectAltName 확장자를 사용하여 *.apps.ocp4.example.com과 같은 와일드카드 도메인을 지정합니다.

  • IngressController CR이 있어야 합니다. 여기에는 기본 IngressController CR이 포함됩니다. 다음 명령을 실행하여 IngressController CR이 있는지 확인할 수 있습니다. 

    $ oc --namespace openshift-ingress-operator get ingresscontrollers
    Copy to Clipboard Toggle word wrap
참고

임시 인증서가 있는 경우 사용자 정의 기본 인증서가 포함 된 보안의 tls.crt 파일에 인증서가 포함되어 있어야 합니다. 인증서를 지정하는 경우에는 순서가 중요합니다. 서버 인증서 다음에 임시 인증서를 나열해야 합니다.

프로세스

아래에서는 사용자 정의 인증서 및 키 쌍이 현재 작업 디렉터리의 tls.crttls.key 파일에 있다고 가정합니다. 그리고 tls.crttls.key의 실제 경로 이름으로 변경합니다. Secret 리소스를 생성하고 IngressController CR에서 참조하는 경우 custom-certs-default를 다른 이름으로 변경할 수도 있습니다.

참고

이 작업을 수행하면 롤링 배포 전략에 따라 Ingress 컨트롤러가 재배포됩니다.

  1. tls.crttls.key 파일을 사용하여 openshift-ingress 네임스페이스에 사용자 정의 인증서를 포함하는 Secret 리소스를 만듭니다. 

    $ oc --namespace openshift-ingress create secret tls custom-certs-default --cert=tls.crt --key=tls.key
    Copy to Clipboard Toggle word wrap

  2. 새 인증서 보안 키를 참조하도록 IngressController CR을 업데이트합니다. 

    $ oc patch --type=merge --namespace openshift-ingress-operator ingresscontrollers/default \
  --patch '{"spec":{"defaultCertificate":{"name":"custom-certs-default"}}}'
    Copy to Clipboard Toggle word wrap

  3. 업데이트가 적용되었는지 확인합니다. 

    $ echo Q |\
  openssl s_client -connect console-openshift-console.apps.<domain>:443 -showcerts 2>/dev/null |\
  openssl x509 -noout -subject -issuer -enddate
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <domain>
    클러스터의 기본 도메인 이름을 지정합니다.

    출력 예

    subject=C = US, ST = NC, L = Raleigh, O = RH, OU = OCP4, CN = *.apps.example.com
issuer=C = US, ST = NC, L = Raleigh, O = RH, OU = OCP4, CN = example.com
notAfter=May 10 08:32:45 2022 GM
    Copy to Clipboard Toggle word wrap

    작은 정보

    다음 YAML을 적용하여 사용자 지정 기본 인증서를 설정할 수 있습니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  defaultCertificate:
    name: custom-certs-default
    Copy to Clipboard Toggle word wrap

    인증서 보안 이름은 CR을 업데이트하는 데 사용된 값과 일치해야 합니다.

IngressController CR이 수정되면 Ingress Operator는 사용자 정의 인증서를 사용하도록 Ingress 컨트롤러의 배포를 업데이트합니다.

8.9.2. 사용자 정의 기본 인증서 설정
링크 복사

관리자는 Ingress Controller에서 사용하도록 구성한 사용자 지정 인증서를 제거할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 이전에 Ingress Controller에 대한 사용자 지정 기본 인증서를 구성했습니다.

프로세스

  • 사용자 정의 인증서를 제거하고 OpenShift Container Platform과 함께 제공되는 인증서를 복원하려면 다음 명령을 입력하세요. 

    $ oc patch -n openshift-ingress-operator ingresscontrollers/default \
  --type json -p $'- op: remove\n  path: /spec/defaultCertificate'
    Copy to Clipboard Toggle word wrap

    클러스터가 새로운 인증서 구성을 조정하는 동안 지연이 발생할 수 있습니다.

검증

  • 원래 클러스터 인증서가 복원되었는지 확인하려면 다음 명령을 입력하세요. 

    $ echo Q | \
  openssl s_client -connect console-openshift-console.apps.<domain>:443 -showcerts 2>/dev/null | \
  openssl x509 -noout -subject -issuer -enddate
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <domain>
    클러스터의 기본 도메인 이름을 지정합니다.

    출력 예

    subject=CN = *.apps.<domain>
issuer=CN = ingress-operator@1620633373
notAfter=May 10 10:44:36 2023 GMT
    Copy to Clipboard Toggle word wrap

8.9.3. Ingress 컨트롤러 확장
링크 복사

라우팅 성능이나 처리량 증가 요구 사항 등 가용성 요구 사항을 동적으로 충족하기 위해 Ingress Controller를 자동으로 확장할 수 있습니다.

다음 절차는 기본 IngressController를 확장하는 예제입니다.

사전 요구 사항

  • OpenShift CLI( oc )가 설치되어 있습니다.
  • cluster-admin 역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.

  • Custom Metrics Autoscaler Operator와 관련 KEDA 컨트롤러를 설치했습니다.

    • 웹 콘솔에서 OperatorHub를 사용하여 Operator를 설치할 수 있습니다. Operator를 설치한 후 KedaController 인스턴스를 생성할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 Thanos에 인증할 서비스 계정을 만듭니다. 

    $ oc create -n openshift-ingress-operator serviceaccount thanos && oc describe -n openshift-ingress-operator serviceaccount thanos
    Copy to Clipboard Toggle word wrap

    출력 예

    Name:                thanos
Namespace:           openshift-ingress-operator
Labels:              <none>
Annotations:         <none>
Image pull secrets:  thanos-dockercfg-kfvf2
Mountable secrets:   thanos-dockercfg-kfvf2
Tokens:              <none>
Events:              <none>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 사용하여 서비스 계정 비밀 토큰을 수동으로 생성합니다. 

    $ oc apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: thanos-token
  namespace: openshift-ingress-operator
  annotations:
    kubernetes.io/service-account.name: thanos
type: kubernetes.io/service-account-token
EOF
    Copy to Clipboard Toggle word wrap

  3. 서비스 계정의 토큰을 사용하여 openshift-ingress-operator 네임스페이스 내에 TriggerAuthentication 객체를 정의합니다.

    1. TriggerAuthentication 객체를 생성하고 secret 변수 값을 TOKEN 매개변수에 전달합니다. 

      $ oc apply -f - <<EOF
apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: keda-trigger-auth-prometheus
  namespace: openshift-ingress-operator
spec:
  secretTargetRef:
  - parameter: bearerToken
    name: thanos-token
    key: token
  - parameter: ca
    name: thanos-token
    key: ca.crt
EOF
      Copy to Clipboard Toggle word wrap

  4. Thanos에서 메트릭을 읽기 위한 역할을 만들고 적용합니다.

    1. 포드와 노드에서 메트릭을 읽는 새로운 역할인 thanos-metrics-reader.yaml을 만듭니다.

      thanos-metrics-reader.yaml

      apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: thanos-metrics-reader
  namespace: openshift-ingress-operator
rules:
- apiGroups:
  - ""
  resources:
  - pods
  - nodes
  verbs:
  - get
- apiGroups:
  - metrics.k8s.io
  resources:
  - pods
  - nodes
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - namespaces
  verbs:
  - get
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 새로운 역할을 적용합니다. 

      $ oc apply -f thanos-metrics-reader.yaml
      Copy to Clipboard Toggle word wrap

  5. 다음 명령을 입력하여 서비스 계정에 새 역할을 추가합니다. 

    $ oc adm policy -n openshift-ingress-operator add-role-to-user thanos-metrics-reader -z thanos --role-namespace=openshift-ingress-operator
    Copy to Clipboard Toggle word wrap 
    $ oc adm policy -n openshift-ingress-operator add-cluster-role-to-user cluster-monitoring-view -z thanos
    Copy to Clipboard Toggle word wrap
    참고

    add-cluster-role-to-user 인수는 크로스 네임스페이스 쿼리를 사용하는 경우에만 필요합니다. 다음 단계에서는 이 인수가 필요한 kube-metrics 네임스페이스의 쿼리를 사용합니다.

  6. 기본 Ingress Controller 배포를 대상으로 하는 새로운 ScaledObject YAML 파일인 ingress-autoscaler.yaml 을 만듭니다.

    ScaledObject 정의 예제

    apiVersion: keda.sh/v1alpha1
kind: ScaledObject
metadata:
  name: ingress-scaler
  namespace: openshift-ingress-operator
spec:
  scaleTargetRef:
    1 
    
    apiVersion: operator.openshift.io/v1
    kind: IngressController
    name: default
    envSourceContainerName: ingress-operator
  minReplicaCount: 1
  maxReplicaCount: 20
    2 
    
  cooldownPeriod: 1
  pollingInterval: 1
  triggers:
  - type: prometheus
    metricType: AverageValue
    metadata:
      serverAddress: https://thanos-querier.openshift-monitoring.svc.cluster.local:9091
    3 
    
      namespace: openshift-ingress-operator
    4 
    
      metricName: 'kube-node-role'
      threshold: '1'
      query: 'sum(kube_node_role{role="worker",service="kube-state-metrics"})'
    5 
    
      authModes: "bearer"
    authenticationRef:
      name: keda-trigger-auth-prometheus
    Copy to Clipboard Toggle word wrap

    1
    타겟팅하고 있는 사용자 정의 리소스입니다. 이 경우에는 Ingress Controller입니다.
    2
    선택 사항: 복제본의 최대 수. 이 필드를 생략하면 기본 최대값은 100개 복제본으로 설정됩니다.
    3
    openshift-monitoring 네임스페이스의 Thanos 서비스 엔드포인트.
    4
    Ingress Operator 네임스페이스.
    5
    이 표현식은 배포된 클러스터에 있는 작업자 노드의 수를 평가합니다.
    중요

    크로스 네임스페이스 쿼리를 사용하는 경우 serverAddress 필드에서 포트 9092가 아닌 포트 9091을 대상으로 지정해야 합니다. 이 포트에서 메트릭을 읽으려면 상승된 권한이 있어야 합니다.

  7. 다음 명령을 실행하여 사용자 정의 리소스 정의를 적용합니다. 

    $ oc apply -f ingress-autoscaler.yaml
    Copy to Clipboard Toggle word wrap

검증

  • 다음 명령을 실행하여 기본 Ingress 컨트롤러가 kube-state-metrics 쿼리에서 반환된 값과 일치하도록 확장되었는지 확인하세요.

    • grep 명령을 사용하여 Ingress Controller YAML 파일에서 복제본 수를 검색합니다. 

      $ oc get -n openshift-ingress-operator ingresscontroller/default -o yaml | grep replicas:
      Copy to Clipboard Toggle word wrap

    • openshift-ingress 프로젝트에서 포드를 가져옵니다. 

      $ oc get pods -n openshift-ingress
      Copy to Clipboard Toggle word wrap

      출력 예

      NAME                             READY   STATUS    RESTARTS   AGE
router-default-7b5df44ff-l9pmm   2/2     Running   0          17h
router-default-7b5df44ff-s5sl5   2/2     Running   0          3d22h
router-default-7b5df44ff-wwsth   2/2     Running   0          66s
      Copy to Clipboard Toggle word wrap

8.9.4. Ingress 컨트롤러 확장
링크 복사

처리량 증가 요구 등 라우팅 성능 또는 가용성 요구 사항을 충족하도록 Ingress 컨트롤러를 수동으로 확장할 수 있습니다. IngressController 리소스를 확장하려면 oc 명령을 사용합니다. 다음 절차는 기본 IngressController를 확장하는 예제입니다.

참고

원하는 수의 복제본을 만드는 데에는 시간이 걸리기 때문에 확장은 즉시 적용되지 않습니다.

프로세스

  1. 기본 IngressController의 현재 사용 가능한 복제본 개수를 살펴봅니다. 

    $ oc get -n openshift-ingress-operator ingresscontrollers/default -o jsonpath='{$.status.availableReplicas}'
    Copy to Clipboard Toggle word wrap

  2. oc patch 명령을 사용하여 기본 IngressController의 복제본 수를 원하는 대로 조정합니다. 다음 예제는 기본 IngressController를 3개의 복제본으로 조정합니다. 

    $ oc patch -n openshift-ingress-operator ingresscontroller/default --patch '{"spec":{"replicas": 3}}' --type=merge
    Copy to Clipboard Toggle word wrap

  3. 기본 IngressController가 지정한 복제본 수에 맞게 조정되었는지 확인합니다. 

    $ oc get -n openshift-ingress-operator ingresscontrollers/default -o jsonpath='{$.status.availableReplicas}'
    Copy to Clipboard Toggle word wrap
    작은 정보

    또는 다음 YAML을 적용하여 Ingress 컨트롤러를 세 개의 복제본으로 확장할 수 있습니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 3
    1
    Copy to Clipboard Toggle word wrap
    1
    다른 양의 복제본이 필요한 경우 replicas 값을 변경합니다.

8.9.5. 수신 액세스 로깅 구성
링크 복사

Ingress 컨트롤러가 로그에 액세스하도록 구성할 수 있습니다. 수신 트래픽이 많지 않은 클러스터의 경우 사이드카에 로그를 기록할 수 있습니다. 트래픽이 많은 클러스터가 있는 경우 로깅 스택의 용량을 초과하지 않거나 OpenShift Container Platform 외부의 로깅 인프라와 통합하기 위해 사용자 정의 syslog 끝점으로 로그를 전달할 수 있습니다. 액세스 로그의 형식을 지정할 수도 있습니다.

컨테이너 로깅은 기존 Syslog 로깅 인프라가 없는 경우 트래픽이 적은 클러스터에서 액세스 로그를 활성화하거나 Ingress 컨트롤러의 문제를 진단하는 동안 단기적으로 사용하는 데 유용합니다.

액세스 로그가 OpenShift 로깅 스택 용량을 초과할 수 있는 트래픽이 많은 클러스터 또는 로깅 솔루션이 기존 Syslog 로깅 인프라와 통합되어야 하는 환경에는 Syslog가 필요합니다. Syslog 사용 사례는 중첩될 수 있습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

사이드카에 Ingress 액세스 로깅을 구성합니다.

  • 수신 액세스 로깅을 구성하려면 spec.logging.access.destination을 사용하여 대상을 지정해야 합니다. 사이드카 컨테이너에 로깅을 지정하려면 Container spec.logging.access.destination.type을 지정해야 합니다. 다음 예제는 Container 대상에 로그를 기록하는 Ingress 컨트롤러 정의입니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        type: Container
    Copy to Clipboard Toggle word wrap

  • 사이드카에 로그를 기록하도록 Ingress 컨트롤러를 구성하면 Operator는 Ingress 컨트롤러 Pod에 logs 라는 컨테이너를 만듭니다. 

    $ oc -n openshift-ingress logs deployment.apps/router-default -c logs
    Copy to Clipboard Toggle word wrap

    출력 예

    2020-05-11T19:11:50.135710+00:00 router-default-57dfc6cd95-bpmk6 router-default-57dfc6cd95-bpmk6 haproxy[108]: 174.19.21.82:39654 [11/May/2020:19:11:50.133] public be_http:hello-openshift:hello-openshift/pod:hello-openshift:hello-openshift:10.128.2.12:8080 0/0/1/0/1 200 142 - - --NI 1/1/0/0/0 0/0 "GET / HTTP/1.1"
    Copy to Clipboard Toggle word wrap

Syslog 끝점에 대한 Ingress 액세스 로깅을 구성합니다.

  • 수신 액세스 로깅을 구성하려면 spec.logging.access.destination을 사용하여 대상을 지정해야 합니다. Syslog 끝점 대상에 로깅을 지정하려면 spec.logging.access.destination.type에 대한 Syslog를 지정해야 합니다. 대상 유형이 Syslog인 경우, spec.logging.access.destination.syslog.endpoint를 사용하여 대상 끝점을 지정해야 하며 spec.logging.access.destination.syslog.facility를 사용하여 장치를 지정할 수 있습니다. 다음 예제는 Syslog 대상에 로그를 기록하는 Ingress 컨트롤러 정의입니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        type: Syslog
        syslog:
          address: 1.2.3.4
          port: 10514
    Copy to Clipboard Toggle word wrap
    참고

    syslog 대상 포트는 UDP여야 합니다.

    Syslog 대상 주소는 IP 주소여야 합니다. DNS 호스트 이름을 지원하지 않습니다.

특정 로그 형식으로 Ingress 액세스 로깅을 구성합니다.

  • spec.logging.access.httpLogFormat을 지정하여 로그 형식을 사용자 정의할 수 있습니다. 다음 예제는 IP 주소 1.2.3.4 및 포트 10514를 사용하여 syslog 끝점에 로그하는 Ingress 컨트롤러 정의입니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        type: Syslog
        syslog:
          address: 1.2.3.4
          port: 10514
      httpLogFormat: '%ci:%cp [%t] %ft %b/%s %B %bq %HM %HU %HV'
    Copy to Clipboard Toggle word wrap

Ingress 액세스 로깅을 비활성화합니다.

  • Ingress 액세스 로깅을 비활성화하려면 spec.logging 또는 spec.logging.access를 비워 둡니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access: null
    Copy to Clipboard Toggle word wrap

사이드카를 사용할 때 Ingress Controller가 HAProxy 로그 길이를 수정할 수 있도록 허용합니다.

  • spec.logging.access.destination.type: Syslog를 사용하는 경우 spec.logging.access.destination.syslog.maxLength를 사용하세요. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        type: Syslog
        syslog:
          address: 1.2.3.4
          maxLength: 4096
          port: 10514
    Copy to Clipboard Toggle word wrap

  • spec.logging.access.destination.type : Container를 사용하는 경우 spec.logging.access.destination.container.maxLength를 사용하세요. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        container:
          maxLength: 8192
        type: Container
      httpCaptureHeaders:
        request:
        - maxLength: 128
          name: X-Forwarded-For
    Copy to Clipboard Toggle word wrap
  • Ingress 액세스 로그에서 X-Forwarded-For 헤더를 사용하여 원래 클라이언트 소스 IP 주소를 보려면 Red Hat Knowledgebase 솔루션인 "Ingress 및 애플리케이션 로그의 X-Forwarded-For 헤더에서 원래 클라이언트 IP 캡처"를 참조하세요.

8.9.6. Ingress 컨트롤러 스레드 수 설정
링크 복사

클러스터 관리자는 클러스터에서 처리할 수 있는 들어오는 연결의 양을 늘리기 위해 스레드 수를 설정할 수 있습니다. 기존 Ingress 컨트롤러에 패치하여 스레드의 양을 늘릴 수 있습니다.

사전 요구 사항

  • 다음은 Ingress 컨트롤러를 이미 생성했다고 가정합니다.

프로세스

  • 스레드 수를 늘리도록 Ingress 컨트롤러를 업데이트합니다. 

    $ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"threadCount": 8}}}'
    Copy to Clipboard Toggle word wrap
    참고

    많은 리소스를 실행할 수 있는 노드가 있는 경우 원하는 노드의 용량과 일치하는 라벨을 사용하여 spec.nodePlacement.nodeSelector를 구성하고 spec.tuningOptions.threadCount를 적절하게 높은 값으로 구성할 수 있습니다.

8.9.7. 내부 로드 밸런서를 사용하도록 Ingress 컨트롤러 구성
링크 복사

클라우드 플랫폼에서 Ingress 컨트롤러를 생성할 때 Ingress 컨트롤러는 기본적으로 퍼블릭 클라우드 로드 밸런서에 의해 게시됩니다. 관리자는 내부 클라우드 로드 밸런서를 사용하는 Ingress 컨트롤러를 생성할 수 있습니다.

주의

클라우드 공급자가 Microsoft Azure인 경우 노드를 가리키는 퍼블릭 로드 밸런서가 하나 이상 있어야 합니다. 그렇지 않으면 모든 노드의 인터넷 연결이 끊어집니다.

중요

IngressController범위를 변경하려면 사용자 정의 리소스(CR)를 만든 후 .spec.endpointPublishingStrategy.loadBalancer.scope 매개변수를 변경할 수 있습니다.

그림 8.1. LoadBalancer 다이어그램

OpenShift 컨테이너 플랫폼 Ingress LoadBalancer 서비스 엔드포인트 게시 전략
View larger image
OpenShift 컨테이너 플랫폼 Ingress LoadBalancer 서비스 엔드포인트 게시 전략

위의 그래픽은 OpenShift Container Platform Ingress LoadBalancerService 엔드포인트 게시 전략과 관련된 다음 개념을 보여줍니다.

  • 클라우드 공급자 로드 밸런서를 사용하여 외부적으로 로드 밸런싱을 수행하거나, OpenShift Ingress Controller 로드 밸런서를 사용하여 내부적으로 로드 밸런싱을 수행할 수 있습니다.
  • 그래픽에 표시된 클러스터에 표시된 대로 로드 밸런서의 단일 IP 주소와 8080 및 4200과 같은 보다 익숙한 포트를 사용할 수 있습니다.
  • 외부 로드 밸런서의 트래픽은 포드로 전달되고, 다운 노드의 경우에서 볼 수 있듯이 로드 밸런서에서 관리됩니다. 구현 세부 사항은 Kubernetes 서비스 설명서를 참조하십시오.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. 다음 예제와 같이 <name>-ingress-controller.yam 파일에 IngressController CR(사용자 정의 리소스)을 생성합니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  namespace: openshift-ingress-operator
  name: <name>
    1 
    
spec:
  domain: <domain>
    2 
    
  endpointPublishingStrategy:
    type: LoadBalancerService
    loadBalancer:
      scope: Internal
    3
    Copy to Clipboard Toggle word wrap
    1
    <name>IngressController 오브젝트의 이름으로 변경합니다.
    2
    컨트롤러가 게시한 애플리케이션의 domain을 지정합니다.
    3
    내부 로드 밸런서를 사용하려면 Internal 값을 지정합니다.

  2. 다음 명령을 실행하여 이전 단계에서 정의된 Ingress 컨트롤러를 생성합니다. 

    $ oc create -f <name>-ingress-controller.yaml
    1
    Copy to Clipboard Toggle word wrap
    1
    <name>IngressController 오브젝트의 이름으로 변경합니다.

  3. 선택 사항: Ingress 컨트롤러가 생성되었는지 확인하려면 다음 명령을 실행합니다. 

    $ oc --all-namespaces=true get ingresscontrollers
    Copy to Clipboard Toggle word wrap

8.9.8. GCP에서 Ingress 컨트롤러에 대한 글로벌 액세스 구성
링크 복사

내부 로드 밸런서가 있는 GCP에서 생성된 Ingress 컨트롤러는 서비스의 내부 IP 주소를 생성합니다. 클러스터 관리자는 로드 밸런서와 동일한 VPC 네트워크 및 컴퓨팅 리전 내의 모든 리전의 클라이언트가 클러스터에서 실행되는 워크로드에 도달할 수 있도록 하는 글로벌 액세스 옵션을 지정할 수 있습니다.

자세한 내용은 글로벌 액세스에 대한 GCP 설명서를 참조하십시오.

사전 요구 사항

  • GCP 인프라에 OpenShift Container Platform 클러스터를 배포했습니다.
  • 내부 로드 밸런서를 사용하도록 Ingress 컨트롤러 구성
  • OpenShift CLI(oc)를 설치합니다.

프로세스

  1. 글로벌 액세스를 허용하도록 Ingress 컨트롤러 리소스를 구성합니다.

    참고

    Ingress 컨트롤러를 생성하고 글로벌 액세스 옵션을 지정할 수도 있습니다.

    1. Ingress 컨트롤러 리소스를 구성합니다. 

      $ oc -n openshift-ingress-operator edit ingresscontroller/default
      Copy to Clipboard Toggle word wrap

    2. YAML 파일을 편집합니다.

      Global에 대한 clientAccess 구성 샘플

        spec:
    endpointPublishingStrategy:
      loadBalancer:
        providerParameters:
          gcp:
            clientAccess: Global
      1 
      
          type: GCP
        scope: Internal
      type: LoadBalancerService
      Copy to Clipboard Toggle word wrap

      1
      gcp.clientAccessGlobal로 설정합니다.
    3. 파일을 저장하여 변경 사항을 적용합니다.

  2. 다음 명령을 실행하여 서비스가 글로벌 액세스를 허용하는지 확인합니다. 

    $ oc -n openshift-ingress edit svc/router-default -o yaml
    Copy to Clipboard Toggle word wrap

    출력에서 주석 networking.gke.io/internal-load-balancer-allow-global-access가 있는 GCP에 글로벌 액세스가 활성화되어 있음을 보여줍니다.

8.9.9. Ingress Controller 상태 점검 간격 설정
링크 복사

클러스터 관리자는 라우터가 두 개의 연속된 상태 검사 사이에 대기하는 시간을 정의하기 위해 상태 검사 간격을 설정할 수 있습니다. 이 값은 모든 경로에 기본적으로 전역적으로 적용됩니다. 기본값은 15초입니다.

사전 요구 사항

  • 다음은 Ingress 컨트롤러를 이미 생성했다고 가정합니다.

프로세스

  • 백엔드 상태 검사 간격을 변경하려면 Ingress Controller를 업데이트하세요. 

    $ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"healthCheckInterval": "8s"}}}'
    Copy to Clipboard Toggle word wrap
    참고

    단일 경로에 대한 healthCheckInterval을 재정의하려면 경로 주석 router.openshift.io/haproxy.health.check.interval을 사용하세요.

8.9.10. 클러스터의 기본 Ingress 컨트롤러를 내부로 구성
링크 복사

클러스터를 삭제하고 다시 생성하여 클러스터의 default Ingress 컨트롤러를 내부용으로 구성할 수 있습니다.

주의

클라우드 공급자가 Microsoft Azure인 경우 노드를 가리키는 퍼블릭 로드 밸런서가 하나 이상 있어야 합니다. 그렇지 않으면 모든 노드의 인터넷 연결이 끊어집니다.

중요

IngressController범위를 변경하려면 사용자 정의 리소스(CR)를 만든 후 .spec.endpointPublishingStrategy.loadBalancer.scope 매개변수를 변경할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. 클러스터의 기본 Ingress 컨트롤러를 삭제하고 다시 생성하여 내부용으로 구성합니다. 

    $ oc replace --force --wait --filename - <<EOF
apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  namespace: openshift-ingress-operator
  name: default
spec:
  endpointPublishingStrategy:
    type: LoadBalancerService
    loadBalancer:
      scope: Internal
EOF
    Copy to Clipboard Toggle word wrap

8.9.11. 경로 허용 정책 구성
링크 복사

관리자 및 애플리케이션 개발자는 도메인 이름이 동일한 여러 네임스페이스에서 애플리케이션을 실행할 수 있습니다. 이는 여러 팀이 동일한 호스트 이름에 노출되는 마이크로 서비스를 개발하는 조직을 위한 것입니다.

주의

네임스페이스 간 클레임은 네임스페이스 간 신뢰가 있는 클러스터에 대해서만 허용해야 합니다. 그렇지 않으면 악의적인 사용자가 호스트 이름을 인수할 수 있습니다. 따라서 기본 승인 정책에서는 네임스페이스 간에 호스트 이름 클레임을 허용하지 않습니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있어야 합니다.

프로세스

  • 다음 명령을 사용하여 ingresscontroller 리소스 변수의 .spec.routeAdmission 필드를 편집합니다. 

    $ oc -n openshift-ingress-operator patch ingresscontroller/default --patch '{"spec":{"routeAdmission":{"namespaceOwnership":"InterNamespaceAllowed"}}}' --type=merge
    Copy to Clipboard Toggle word wrap

    샘플 Ingress 컨트롤러 구성

    spec:
  routeAdmission:
    namespaceOwnership: InterNamespaceAllowed
...
    Copy to Clipboard Toggle word wrap

    작은 정보

    다음 YAML을 적용하여 경로 승인 정책을 구성할 수 있습니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  routeAdmission:
    namespaceOwnership: InterNamespaceAllowed
    Copy to Clipboard Toggle word wrap

8.9.12. 와일드카드 경로 사용
링크 복사

HAProxy Ingress 컨트롤러는 와일드카드 경로를 지원합니다. Ingress Operator는 wildcardPolicy를 사용하여 Ingress 컨트롤러의 ROUTER_ALLOW_WILDCARD_ROUTES 환경 변수를 구성합니다.

Ingress 컨트롤러의 기본 동작은 와일드카드 정책이 None인 경로를 허용하고, 이는 기존 IngressController 리소스의 이전 버전과 호환됩니다.

프로세스

  1. 와일드카드 정책을 구성합니다.

    1. 다음 명령을 사용하여 IngressController 리소스를 편집합니다. 

      $ oc edit IngressController
      Copy to Clipboard Toggle word wrap

    2. spec에서 wildcardPolicy 필드를 WildcardsDisallowed 또는 WildcardsAllowed로 설정합니다. 

      spec:
  routeAdmission:
    wildcardPolicy: WildcardsDisallowed # or WildcardsAllowed
      Copy to Clipboard Toggle word wrap

8.9.13. HTTP 헤더 구성
링크 복사

OpenShift Container Platform은 HTTP 헤더 작업을 위한 다양한 방법을 제공합니다. 헤더를 설정하거나 삭제할 때 Ingress Controller의 특정 필드나 개별 경로를 사용하여 요청 및 응답 헤더를 수정할 수 있습니다. 경로 주석을 사용하여 특정 헤더를 설정할 수도 있습니다. 헤더를 구성하는 다양한 방법은 함께 작업할 때 어려움을 야기할 수 있습니다.

참고

IngressController 또는 Route CR 내에서만 헤더를 설정하거나 삭제할 수 있으며, 헤더를 추가할 수는 없습니다. HTTP 헤더에 값이 설정된 경우 해당 값은 완전해야 하며 나중에 추가할 필요가 없어야 합니다. X-Forwarded-For 헤더와 같이 헤더를 추가하는 것이 합리적인 상황에서는 spec.httpHeaders.actions 대신 spec.httpHeaders.forwardedHeaderPolicy 필드를 사용합니다.

8.9.13.1. 우선순위
링크 복사

동일한 HTTP 헤더가 Ingress Controller와 경로에서 모두 수정되면 HAProxy는 요청 헤더인지 응답 헤더인지에 따라 특정 방식으로 작업의 우선순위를 지정합니다.

  • HTTP 응답 헤더의 경우, Ingress Controller에 지정된 작업은 경로에 지정된 작업 이후에 실행됩니다. 즉, Ingress Controller에 지정된 작업이 우선적으로 적용됩니다.
  • HTTP 요청 헤더의 경우, 경로에 지정된 작업은 Ingress Controller에 지정된 작업 이후에 실행됩니다. 즉, 경로에 지정된 작업이 우선합니다.

예를 들어, 클러스터 관리자는 다음 구성을 사용하여 Ingress Controller에서 X-Frame-Options 응답 헤더를 DENY 값으로 설정합니다.

IngressController 사양 예시

apiVersion: operator.openshift.io/v1
kind: IngressController
# ...
spec:
  httpHeaders:
    actions:
      response:
      - name: X-Frame-Options
        action:
          type: Set
          set:
            value: DENY
Copy to Clipboard Toggle word wrap

경로 소유자는 다음 구성을 사용하여 클러스터 관리자가 Ingress Controller에서 설정한 것과 동일한 응답 헤더를 SAMEORIGIN 값으로 설정합니다.

예시 경로 사양

apiVersion: route.openshift.io/v1
kind: Route
# ...
spec:
  httpHeaders:
    actions:
      response:
      - name: X-Frame-Options
        action:
          type: Set
          set:
            value: SAMEORIGIN
Copy to Clipboard Toggle word wrap

IngressController 사양과 Route 사양이 모두 X-Frame-Options 응답 헤더를 구성하는 경우, 특정 경로에서 프레임을 허용하는 경우에도 Ingress Controller의 글로벌 수준에서 이 헤더에 설정된 값이 우선합니다. 요청 헤더의 경우 Route 사양 값이 IngressController 사양 값을 재정의합니다.

이러한 우선순위 지정은 haproxy.config 파일이 Ingress Controller를 프런트 엔드로 간주하고 개별 경로를 백엔드로 간주하는 다음 논리를 사용하기 때문에 발생합니다. 프런트엔드 구성에 적용된 헤더 값 DENY는 백엔드에 설정된 값 SAMEORIGIN 을 갖는 동일한 헤더를 재정의합니다. 

frontend public
  http-response set-header X-Frame-Options 'DENY'

frontend fe_sni
  http-response set-header X-Frame-Options 'DENY'

frontend fe_no_sni
  http-response set-header X-Frame-Options 'DENY'

backend be_secure:openshift-monitoring:alertmanager-main
  http-response set-header X-Frame-Options 'SAMEORIGIN'
Copy to Clipboard Toggle word wrap

또한, Ingress Controller나 경로에 정의된 모든 작업은 경로 주석을 사용하여 설정된 값을 재정의합니다.

8.9.13.2. 특수 케이스 헤더
링크 복사

다음 헤더는 설정 또는 삭제가 전혀 금지되어 있거나, 특정 상황에서만 허용됩니다.

Expand
표 8.2. 특수 케이스 헤더 구성 옵션
헤더 이름IngressController 사양을 사용하여 구성 가능Route 사양을 사용하여 구성 가능불허 사유다른 방법을 사용하여 구성 가능

proxy

없음

없음

프록시 HTTP 요청 헤더는 헤더 값을 HTTP_PROXY 환경 변수에 주입하여 취약한 CGI 애플리케이션을 악용하는 데 사용될 수 있습니다. 프록시 HTTP 요청 헤더도 비표준이며 구성 중에 오류가 발생하기 쉽습니다.

없음

host

없음

제공됨

IngressController CR을 사용하여 호스트 HTTP 요청 헤더를 설정하는 경우 HAProxy는 올바른 경로를 찾을 때 실패할 수 있습니다.

없음

strict-transport-security

없음

없음

strict-transport-security HTTP 응답 헤더는 이미 경로 주석을 사용하여 처리되므로 별도의 구현이 필요하지 않습니다.

예: haproxy.router.openshift.io/hsts_header 경로 주석

쿠키쿠키 설정

없음

없음

HAProxy가 설정하는 쿠키는 클라이언트 연결을 특정 백엔드 서버에 매핑하기 위한 세션 추적에 사용됩니다. 이러한 헤더를 설정하도록 허용하면 HAProxy의 세션 친화성이 방해를 받을 수 있으며 HAProxy의 쿠키 소유권이 제한될 수 있습니다.

제공됨

  • haproxy.router.openshift.io/disable_cookie 경로 주석
  • haproxy.router.openshift.io/cookie_name 경로 주석

8.9.14. Ingress Controller에서 HTTP 요청 및 응답 헤더 설정 또는 삭제
링크 복사

규정 준수 목적이나 기타 이유로 특정 HTTP 요청 및 응답 헤더를 설정하거나 삭제할 수 있습니다. Ingress Controller에서 제공하는 모든 경로 또는 특정 경로에 대해 이러한 헤더를 설정하거나 삭제할 수 있습니다.

예를 들어, 클러스터에서 실행 중인 애플리케이션을 상호 TLS를 사용하도록 마이그레이션하려는 경우 애플리케이션에서 X-Forwarded-Client-Cert 요청 헤더를 확인해야 하지만 OpenShift Container Platform의 기본 Ingress 컨트롤러는 X-SSL-Client-Der 요청 헤더를 제공합니다.

다음 절차에서는 Ingress Controller를 수정하여 X-Forwarded-Client-Cert 요청 헤더를 설정하고 X-SSL-Client-Der 요청 헤더를 삭제합니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • cluster-admin 역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.

프로세스

  1. Ingress 컨트롤러 리소스를 편집합니다. 

    $ oc -n openshift-ingress-operator edit ingresscontroller/default
    Copy to Clipboard Toggle word wrap

  2. X-SSL-Client-Der HTTP 요청 헤더를 X-Forwarded-Client-Cert HTTP 요청 헤더로 바꾸세요. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  httpHeaders:
    actions:
    1 
    
      request:
    2 
    
      - name: X-Forwarded-Client-Cert
    3 
    
        action:
          type: Set
    4 
    
          set:
           value: "%{+Q}[ssl_c_der,base64]"
    5 
    
      - name: X-SSL-Client-Der
        action:
          type: Delete
    Copy to Clipboard Toggle word wrap
    1
    HTTP 헤더에 대해 수행하려는 작업 목록입니다.
    2
    변경하려는 헤더의 유형입니다. 이 경우에는 요청 헤더입니다.
    3
    변경하려는 헤더의 이름입니다. 설정하거나 삭제할 수 있는 사용 가능한 헤더 목록을 보려면 HTTP 헤더 구성을 참조하세요.
    4
    헤더에 대해 수행되는 작업의 유형입니다. 이 필드는 Set 또는 Delete 값을 가질 수 있습니다.
    5
    HTTP 헤더를 설정할 때 값을 제공해야 합니다. 값은 해당 헤더에 사용 가능한 지시문 목록의 문자열(예: DENY ) 이 될 수도 있고, HAProxy의 동적 값 구문을 사용하여 해석되는 동적 값이 될 수도 있습니다. 이 경우에는 동적 값이 추가됩니다.
    참고

    HTTP 응답에 대한 동적 헤더 값을 설정하는 데 허용되는 샘플 페처는 res.hdrssl_c_der 입니다. HTTP 요청에 대한 동적 헤더 값을 설정하는 데 허용되는 샘플 페처는 req.hdrssl_c_der 입니다. 요청과 응답 동적 값 모두 lowerbase64 변환기를 사용할 수 있습니다.

  3. 파일을 저장하여 변경 사항을 적용합니다.

8.9.15. X-Forwarded 헤더 사용
링크 복사

HAProxy Ingress 컨트롤러를 구성하여 ForwardedX-Forwarded-For를 포함한 HTTP 헤더 처리 방법에 대한 정책을 지정합니다. Ingress Operator는 HTTPHeaders 필드를 사용하여 Ingress 컨트롤러의 ROUTER_SET_FORWARDED_HEADERS 환경 변수를 구성합니다.

프로세스

  1. Ingress 컨트롤러에 대한 HTTPHeaders 필드를 구성합니다.

    1. 다음 명령을 사용하여 IngressController 리소스를 편집합니다. 

      $ oc edit IngressController
      Copy to Clipboard Toggle word wrap

    2. spec에서 HTTPHeaders 정책 필드를 Append, Replace, IfNone 또는 Never로 설정합니다. 

      apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  httpHeaders:
    forwardedHeaderPolicy: Append
      Copy to Clipboard Toggle word wrap
8.9.15.1. 사용 사례 예
링크 복사

클러스터 관리자는 다음을 수행할 수 있습니다.

  • Ingress 컨트롤러로 전달하기 전에 X-Forwarded-For 헤더를 각 요청에 삽입하는 외부 프록시를 구성합니다.

    헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성하려면 never 정책을 지정합니다. 그러면 Ingress 컨트롤러에서 헤더를 설정하지 않으며 애플리케이션은 외부 프록시에서 제공하는 헤더만 수신합니다.

  • 외부 프록시에서 외부 클러스터 요청에 설정한 X-Forwarded-For 헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성합니다.

    외부 프록시를 통과하지 않는 내부 클러스터 요청에 X-Forwarded-For 헤더를 설정하도록 Ingress 컨트롤러를 구성하려면 if-none 정책을 지정합니다. HTTP 요청에 이미 외부 프록시를 통해 설정된 헤더가 있는 경우 Ingress 컨트롤러에서 해당 헤더를 보존합니다. 요청이 프록시를 통해 제공되지 않아 헤더가 없는 경우에는 Ingress 컨트롤러에서 헤더를 추가합니다.

애플리케이션 개발자는 다음을 수행할 수 있습니다.

  • X-Forwarded-For 헤더를 삽입하는 애플리케이션별 외부 프록시를 구성합니다.

    다른 경로에 대한 정책에 영향을 주지 않으면서 애플리케이션 경로에 대한 헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성하려면 애플리케이션 경로에 주석 haproxy.router.openshift.io/set-forwarded-headers: if-none 또는 haproxy.router.openshift.io/set-forwarded-headers: never를 추가하십시오.

    참고

    Ingress 컨트롤러에 전역적으로 설정된 값과 관계없이 경로별로 haproxy.router.openshift.io/set-forwarded-headers 주석을 설정할 수 있습니다.

8.9.16. Ingress 컨트롤러에서 HTTP/2 활성화 또는 비활성화
링크 복사

HAProxy에서 투명한 엔드투엔드 HTTP/2 연결을 활성화하거나 비활성화할 수 있습니다. 애플리케이션 소유자는 단일 연결, 헤더 압축, 바이너리 스트림 등을 포함한 HTTP/2 프로토콜 기능을 사용할 수 있습니다.

개별 Ingress 컨트롤러 또는 전체 클러스터에 대해 HAProxy에서 HTTP/2 연결을 활성화할 수 있습니다.

참고

개별 Ingress Controller와 전체 클러스터에 대해 HTTP/2 연결을 활성화하거나 비활성화하는 경우, Ingress Controller의 HTTP/2 구성이 클러스터의 HTTP/2 구성보다 우선합니다.

클라이언트에서 HAProxy 인스턴스로의 연결에 HTTP/2를 사용하려면 경로에서 사용자 지정 인증서를 지정해야 합니다. 기본 인증서를 사용하는 경로에서는 HTTP/2를 사용할 수 없습니다. 이것은 동일한 인증서를 사용하는 다른 경로의 연결을 클라이언트가 재사용하는 등 동시 연결로 인한 문제를 방지하기 위한 제한입니다.

각 경로 유형에 대한 HTTP/2 연결의 다음 사용 사례를 고려하세요.

  • 재암호화 경로의 경우, 애플리케이션이 ALPN(Application-Level Protocol Negotiation)을 사용하여 HAProxy와 HTTP/2를 협상하는 것을 지원하는 경우 HAProxy에서 애플리케이션 포드로의 연결은 HTTP/2를 사용할 수 있습니다. Ingress Controller에서 HTTP/2가 활성화되어 있지 않으면 재암호화 경로와 함께 HTTP/2를 사용할 수 없습니다.
  • 패스스루 경로의 경우, 애플리케이션이 ALPN을 사용하여 클라이언트와 HTTP/2를 협상하는 것을 지원하는 경우 연결에서 HTTP/2를 사용할 수 있습니다. Ingress Controller에서 HTTP/2가 활성화되어 있거나 비활성화되어 있는 경우 패스스루 경로로 HTTP/2를 사용할 수 있습니다.
  • 에지 종료 보안 경로의 경우 서비스에서 appProtocol: kubernetes.io/h2c 만 지정하면 연결은 HTTP/2를 사용합니다. Ingress Controller에서 HTTP/2가 활성화되어 있거나 비활성화되어 있는 경우, 엣지 종료 보안 경로로 HTTP/2를 사용할 수 있습니다.
  • 안전하지 않은 경로의 경우 서비스에서 appProtocol: kubernetes.io/h2c 만 지정하면 연결은 HTTP/2를 사용합니다. Ingress Controller에서 HTTP/2가 활성화 또는 비활성화된 경우 안전하지 않은 경로로 HTTP/2를 사용할 수 있습니다.
중요

패스스루(passthrough)가 아닌 경로의 경우 Ingress 컨트롤러는 클라이언트와의 연결과 관계없이 애플리케이션에 대한 연결을 협상합니다. 즉, 클라이언트는 Ingress Controller에 연결하여 HTTP/1.1을 협상할 수 있습니다. 그런 다음 Ingress Controller는 애플리케이션에 연결하고 HTTP/2를 협상하고 HTTP/2 연결을 사용하여 클라이언트 HTTP/1.1 연결에서 애플리케이션으로 요청을 전달합니다.

이러한 일련의 이벤트로 인해 클라이언트가 이후 HTTP/1.1에서 WebSocket 프로토콜로 연결을 업그레이드하려고 하면 문제가 발생합니다. WebSocket 연결을 허용하려는 애플리케이션이 있고 해당 애플리케이션이 HTTP/2 프로토콜 협상을 허용하려고 시도하는 경우, 클라이언트는 WebSocket 프로토콜로 업그레이드하려는 모든 시도에 실패합니다.

8.9.16.1. Enabling HTTP/2
링크 복사

특정 Ingress Controller에서 HTTP/2를 활성화하거나 전체 클러스터에서 HTTP/2를 활성화할 수 있습니다.

프로세스

  • 특정 Ingress Controller에서 HTTP/2를 활성화하려면 oc annotate 명령을 입력하세요. 

    $ oc -n openshift-ingress-operator annotate ingresscontrollers/<ingresscontroller_name> ingress.operator.openshift.io/default-enable-http2=true
    1
    Copy to Clipboard Toggle word wrap
    1
    <ingresscontroller_name>을 HTTP/2를 활성화하는 Ingress Controller의 이름으로 바꾸세요.

  • 전체 클러스터에 HTTP/2를 사용하려면 oc annotate 명령을 입력합니다. 

    $ oc annotate ingresses.config/cluster ingress.operator.openshift.io/default-enable-http2=true
    Copy to Clipboard Toggle word wrap
작은 정보

또는 다음 YAML 코드를 적용하여 HTTP/2를 활성화할 수 있습니다. 

apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
  annotations:
    ingress.operator.openshift.io/default-enable-http2: "true"
Copy to Clipboard Toggle word wrap
8.9.16.2. Disabling HTTP/2
링크 복사

특정 Ingress Controller에서 HTTP/2를 비활성화하거나, 전체 클러스터에서 HTTP/2를 비활성화할 수 있습니다.

프로세스

  • 특정 Ingress Controller에서 HTTP/2를 비활성화하려면 oc annotate 명령을 입력하세요. 

    $ oc -n openshift-ingress-operator annotate ingresscontrollers/<ingresscontroller_name> ingress.operator.openshift.io/default-enable-http2=false
    1
    Copy to Clipboard Toggle word wrap
    1
    HTTP/2를 비활성화하려면 <ingresscontroller_name>을 Ingress Controller의 이름으로 바꾸세요.

  • 전체 클러스터에 HTTP/2를 사용하려면 oc annotate 명령을 입력합니다. 

    $ oc annotate ingresses.config/cluster ingress.operator.openshift.io/default-enable-http2=false
    Copy to Clipboard Toggle word wrap
작은 정보

또는 다음 YAML 코드를 적용하여 HTTP/2를 비활성화할 수 있습니다. 

apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
  annotations:
    ingress.operator.openshift.io/default-enable-http2: "false"
Copy to Clipboard Toggle word wrap

8.9.17. Ingress 컨트롤러에 대한 PROXY 프로토콜 구성
링크 복사

클러스터 관리자는 Ingress 컨트롤러에서 HostNetwork 또는 NodePortService 엔드포인트 게시 전략 유형을 사용하는 경우 PROXY 프로토콜을 구성할 수 있습니다. PROXY 프로토콜을 사용하면 로드 밸런서에서 Ingress 컨트롤러가 수신하는 연결에 대한 원래 클라이언트 주소를 유지할 수 있습니다. 원래 클라이언트 주소는 HTTP 헤더를 로깅, 필터링 및 삽입하는 데 유용합니다. 기본 구성에서 Ingress 컨트롤러가 수신하는 연결에는 로드 밸런서와 연결된 소스 주소만 포함됩니다.

주의

클라우드가 아닌 플랫폼에서 Keepalived Ingress 가상 IP(VIP)를 사용하는 설치 프로그램 제공 클러스터가 있는 기본 Ingress 컨트롤러는 PROXY 프로토콜을 지원하지 않습니다.

PROXY 프로토콜을 사용하면 로드 밸런서에서 Ingress 컨트롤러가 수신하는 연결에 대한 원래 클라이언트 주소를 유지할 수 있습니다. 원래 클라이언트 주소는 HTTP 헤더를 로깅, 필터링 및 삽입하는 데 유용합니다. 기본 구성에서 Ingress 컨트롤러가 수신하는 연결에는 로드 밸런서와 연결된 소스 주소만 포함됩니다.

중요

패스스루 경로 구성의 경우 OpenShift Container Platform 클러스터의 서버는 원래 클라이언트 소스 IP 주소를 관찰할 수 없습니다. 원래 클라이언트 소스 IP 주소를 알아야 하는 경우 Ingress Controller에 대한 Ingress 액세스 로깅을 구성하여 클라이언트 소스 IP 주소를 볼 수 있습니다.

재암호화 및 에지 경로의 경우, OpenShift Container Platform 라우터는 ForwardedX-Forwarded-For 헤더를 설정하여 애플리케이션 워크로드가 클라이언트 소스 IP 주소를 확인하도록 합니다.

Ingress 액세스 로깅에 대한 자세한 내용은 "Ingress 액세스 로깅 구성"을 참조하세요.

LoadBalancerService 엔드포인트 게시 전략 유형을 사용하는 경우 Ingress Controller에 대한 PROXY 프로토콜을 구성하는 것은 지원되지 않습니다. 이 제한 사항은 OpenShift Container Platform이 클라우드 플랫폼에서 실행되고 IngressController에서 서비스 로드 밸런서를 사용해야 함을 지정하기 때문에 Ingress Operator는 로드 밸런서 서비스를 구성하고 소스 주소를 유지하기 위한 플랫폼 요구 사항에 따라 PROXY 프로토콜을 활성화하기 때문입니다.

중요

OpenShift Container Platform과 외부 로드 밸런서 모두 PROXY 프로토콜이나 TCP를 사용하도록 구성해야 합니다.

이 기능은 클라우드 배포에서 지원되지 않습니다. 이 제한 사항은 OpenShift Container Platform이 클라우드 플랫폼에서 실행되고 IngressController에서 서비스 로드 밸런서를 사용해야 함을 지정하기 때문에 Ingress Operator는 로드 밸런서 서비스를 구성하고 소스 주소를 유지하기 위한 플랫폼 요구 사항에 따라 PROXY 프로토콜을 활성화하기 때문입니다.

중요

OpenShift Container Platform과 외부 로드 밸런서 모두 PROXY 프로토콜을 사용하거나 TCP(Transmission Control Protocol)를 사용하도록 구성해야 합니다.

사전 요구 사항

  • Ingress 컨트롤러가 생성되어 있습니다.

프로세스

  1. CLI에 다음 명령을 입력하여 Ingress Controller 리소스를 편집하세요. 

    $ oc -n openshift-ingress-operator edit ingresscontroller/default
    Copy to Clipboard Toggle word wrap

  2. PROXY 구성을 설정합니다.

    • Ingress 컨트롤러에서 hostNetwork 엔드포인트 게시 전략 유형을 사용하는 경우 spec.endpointPublishingStrategy.hostNetwork.protocol 하위 필드를 PROXY로 설정합니다.

      PROXY에 대한 hostNetwork 구성 샘플

      # ...
  spec:
    endpointPublishingStrategy:
      hostNetwork:
        protocol: PROXY
      type: HostNetwork
# ...
      Copy to Clipboard Toggle word wrap

    • Ingress 컨트롤러에서 NodePortService 엔드포인트 게시 전략 유형을 사용하는 경우 spec.endpointPublishingStrategy.nodePort.protocol 하위 필드를 PROXY로 설정합니다.

      PROXY에 대한 nodePort 구성 샘플

      # ...
  spec:
    endpointPublishingStrategy:
      nodePort:
        protocol: PROXY
      type: NodePortService
# ...
      Copy to Clipboard Toggle word wrap

    • Ingress Controller가 Private 엔드포인트 게시 전략 유형을 사용하는 경우 spec.endpointPublishingStrategy.private.protocol 하위 필드를 PROXY 로 설정합니다.

      PROXY 에 대한 샘플 개인 구성

      # ...
  spec:
    endpointPublishingStrategy:
      private:
        protocol: PROXY
    type: Private
# ...
      Copy to Clipboard Toggle word wrap

8.9.18. appsDomain 옵션을 사용하여 대체 클러스터 도메인 지정
링크 복사

클러스터 관리자는 appsDomain 필드를 구성하여 사용자가 생성한 경로에 대한 기본 클러스터 도메인에 대한 대체 도메인을 지정할 수 있습니다. appsDomain 필드는 OpenShift Container Platform이 domain 필드에 지정된 기본값 대신 사용할 수 있는 선택적 도메인입니다. 대체 도메인을 지정하면 새 경로의 기본 호스트를 결정하기 위해 기본 클러스터 도메인을 덮어씁니다.

예를 들어, 회사의 DNS 도메인을 클러스터에서 실행되는 애플리케이션의 경로 및 인그레스의 기본 도메인으로 사용할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc 명령줄 인터페이스를 설치했습니다.

프로세스

  1. 사용자 생성 경로에 대한 대체 기본 도메인을 지정하여 appsDomain 필드를 구성합니다.

    1. Ingress 클러스터 리소스를 편집합니다. 

      $ oc edit ingresses.config/cluster -o yaml
      Copy to Clipboard Toggle word wrap

    2. YAML 파일을 편집합니다.

      test.example.com 에 대한 샘플 appsDomain 구성

      apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
spec:
  domain: apps.example.com
      1 
      
  appsDomain: <test.example.com>
      2
      Copy to Clipboard Toggle word wrap

      1
      기본 도메인을 지정합니다. 설치 후에는 기본 도메인을 수정할 수 없습니다.
      2
      선택 사항: 애플리케이션 경로에 사용할 OpenShift Container Platform 인프라의 도메인입니다. 기본 접두사인 apps 대신 test 와 같은 대체 접두사를 사용할 수 있습니다.

  2. appsDomain 필드에 지정된 도메인 이름이 기존 경로에 포함되어 있는지 확인하려면 경로를 노출하고 경로 도메인 변경을 확인하세요.

    참고

    경로를 노출하기 전에 openshift-apiserver가 롤링 업데이트를 완료할 때까지 기다립니다.

    1. 다음 명령을 입력하여 경로를 표시합니다. 이 명령은 route.route.openshift.io/hello-openshift를 출력하여 경로의 노출을 지정합니다. 

      $ oc expose service hello-openshift
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 경로 목록을 가져옵니다. 

      $ oc get routes
      Copy to Clipboard Toggle word wrap

      출력 예

      NAME              HOST/PORT                                   PATH   SERVICES          PORT       TERMINATION   WILDCARD
hello-openshift   hello_openshift-<my_project>.test.example.com
hello-openshift   8080-tcp                 None
      Copy to Clipboard Toggle word wrap

8.9.19. HTTP 헤더 대소문자 변환
링크 복사

HAProxy 2.2는 기본적으로 HTTP 헤더 이름을 소문자로 (예: Host: xyz.comhost: xyz.com으로) 변경합니다. 기존 애플리케이션이 HTTP 헤더 이름의 대문자에 민감한 경우 Ingress Controller spec.httpHeaders.headerNameCaseAdjustments API 필드를 사용하여 기존 애플리케이션을 수정할 때 까지 지원합니다.

중요

OpenShift Container Platform에는 HAProxy 2.8이 포함되어 있습니다. 웹 기반 로드 밸런서의 이 버전으로 업데이트하려면 클러스터의 구성 파일에 spec.httpHeaders.headerNameCaseAdjustments 섹션을 추가해야 합니다.

클러스터 관리자는 oc patch 명령을 입력하거나 Ingress 컨트롤러 YAML 파일에서 HeaderNameCaseAdjustments 필드를 설정하여 HTTP 헤더 케이스를 변환할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  • oc patch 명령을 사용하여 HTTP 헤더를 대문자로 시작합니다.

    1. 다음 명령을 실행하여 HTTP 헤더를 host 에서 Host 로 변경합니다. 

      $ oc -n openshift-ingress-operator patch ingresscontrollers/default --type=merge --patch='{"spec":{"httpHeaders":{"headerNameCaseAdjustments":["Host"]}}}'
      Copy to Clipboard Toggle word wrap

    2. 주석을 애플리케이션에 적용할 수 있도록 Route 리소스 YAML 파일을 만듭니다.

      my-application 이라는 이름의 경로 예

      apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/h1-adjust-case: true
      1 
      
  name: <application_name>
  namespace: <application_name>
# ...
      Copy to Clipboard Toggle word wrap

      1
      Ingress Controller가 호스트 요청 헤더를 지정된 대로 조정할 수 있도록 haproxy.router.openshift.io/h1-adjust-case를 설정합니다.

  • Ingress Controller YAML 구성 파일에서 HeaderNameCaseAdjustments 필드를 구성하여 조정을 지정합니다.

    1. 다음 예제 Ingress 컨트롤러 YAML은 적절하게 주석이 달린 경로의 HTTP/1 요청에 대해 host 헤더를 Host로 조정합니다.

      Ingress 컨트롤러 YAML 예시

      apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  httpHeaders:
    headerNameCaseAdjustments:
    - Host
      Copy to Clipboard Toggle word wrap

    2. 다음 예제 경로에서는 haproxy.router.openshift.io/h1-adjust-case 주석을 사용하여 HTTP 응답 헤더 이름 대소문자 조정을 활성화합니다.

      경로 YAML의 예

      apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/h1-adjust-case: true
      1 
      
  name: my-application
  namespace: my-application
spec:
  to:
    kind: Service
    name: my-application
      Copy to Clipboard Toggle word wrap

      1
      haproxy.router.openshift.io/h1-adjust-case를 true로 설정합니다.

8.9.20. 라우터 압축 사용
링크 복사

HAProxy Ingress Controller를 구성하여 특정 MIME 유형에 대해 라우터 압축을 전역적으로 지정하세요. mimeTypes 변수를 사용하여 압축이 적용되는 MIME 유형의 형식을 정의할 수 있습니다. 유형은 다음과 같습니다: 애플리케이션, 이미지, 메시지, 멀티파트, 텍스트, 비디오 또는 "X-"로 시작하는 사용자 정의 유형입니다. MIME 유형 및 하위 유형에 대한 전체 표기법을 보려면 RFC1341을 참조하세요.

참고

압축에 할당된 메모리는 최대 연결 수에 영향을 미칠 수 있습니다. 또한, 대용량 버퍼를 압축하면 정규 표현식이 많거나 정규 표현식 목록이 길어지는 경우 지연이 발생할 수 있습니다.

모든 MIME 유형이 압축의 이점을 얻는 것은 아니지만 HAProxy는 지시가 있으면 여전히 리소스를 사용하여 압축을 시도합니다. 일반적으로 html, css, js와 같은 텍스트 형식은 압축으로부터 이익을 얻지만, 이미지, 오디오, 비디오와 같이 이미 압축된 형식은 압축에 소요되는 시간과 리소스에 비해 이익이 거의 없습니다.

프로세스

  1. Ingress Controller에 대한 httpCompression 필드를 구성합니다.

    1. 다음 명령을 사용하여 IngressController 리소스를 편집합니다. 

      $ oc edit -n openshift-ingress-operator ingresscontrollers/default
      Copy to Clipboard Toggle word wrap

    2. spec 에서 httpCompression 정책 필드를 mimeTypes 로 설정하고 압축을 적용해야 하는 MIME 유형 목록을 지정합니다. 

      apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  httpCompression:
    mimeTypes:
    - "text/html"
    - "text/css; charset=utf-8"
    - "application/json"
   ...
      Copy to Clipboard Toggle word wrap

8.9.21. 라우터 메트릭 노출
링크 복사

기본적으로 HAProxy 라우터 메트릭을 기본 통계 포트인 1936에서 Prometheus 형식으로 노출할 수 있습니다. Prometheus와 같은 외부 메트릭 수집 및 집계 시스템은 HAProxy 라우터 메트릭에 액세스할 수 있습니다. 브라우저에서 HTML과 CSV(쉼표로 구분된 값) 형식으로 HAProxy 라우터 메트릭을 볼 수 있습니다.

사전 요구 사항

  • 방화벽을 기본 통계 포트인 1936에 액세스하도록 구성했습니다.

프로세스

  1. 다음 명령을 실행하여 라우터 포드 이름을 가져옵니다. 

    $ oc get pods -n openshift-ingress
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                              READY   STATUS    RESTARTS   AGE
router-default-76bfffb66c-46qwp   1/1     Running   0          11h
    Copy to Clipboard Toggle word wrap

  2. 라우터 포드가 /var/lib/haproxy/conf/metrics-auth/statsUsername/var/lib/haproxy/conf/metrics-auth/statsPassword 파일에 저장하는 라우터의 사용자 이름과 비밀번호를 가져옵니다.

    1. 다음 명령을 실행하여 사용자 이름을 가져옵니다. 

      $ oc rsh <router_pod_name> cat metrics-auth/statsUsername
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 비밀번호를 얻으세요. 

      $ oc rsh <router_pod_name> cat metrics-auth/statsPassword
      Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 라우터 IP 및 메트릭 인증서를 가져옵니다. 

    $ oc describe pod <router_pod>
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 Prometheus 형식의 원시 통계를 가져옵니다. 

    $ curl -u <user>:<password> http://<router_IP>:<stats_port>/metrics
    Copy to Clipboard Toggle word wrap

  5. 다음 명령을 실행하여 안전하게 메트릭에 액세스하세요. 

    $ curl -u user:password https://<router_IP>:<stats_port>/metrics -k
    Copy to Clipboard Toggle word wrap

  6. 다음 명령을 실행하여 기본 통계 포트인 1936에 액세스하세요. 

    $ curl -u <user>:<password> http://<router_IP>:<stats_port>/metrics
    Copy to Clipboard Toggle word wrap

    예 8.1. 출력 예

    ...
# HELP haproxy_backend_connections_total Total number of connections.
# TYPE haproxy_backend_connections_total gauge
haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route"} 0
haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route-alt"} 0
haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route01"} 0
...
# HELP haproxy_exporter_server_threshold Number of servers tracked and the current threshold value.
# TYPE haproxy_exporter_server_threshold gauge
haproxy_exporter_server_threshold{type="current"} 11
haproxy_exporter_server_threshold{type="limit"} 500
...
# HELP haproxy_frontend_bytes_in_total Current total of incoming bytes.
# TYPE haproxy_frontend_bytes_in_total gauge
haproxy_frontend_bytes_in_total{frontend="fe_no_sni"} 0
haproxy_frontend_bytes_in_total{frontend="fe_sni"} 0
haproxy_frontend_bytes_in_total{frontend="public"} 119070
...
# HELP haproxy_server_bytes_in_total Current total of incoming bytes.
# TYPE haproxy_server_bytes_in_total gauge
haproxy_server_bytes_in_total{namespace="",pod="",route="",server="fe_no_sni",service=""} 0
haproxy_server_bytes_in_total{namespace="",pod="",route="",server="fe_sni",service=""} 0
haproxy_server_bytes_in_total{namespace="default",pod="docker-registry-5-nk5fz",route="docker-registry",server="10.130.0.89:5000",service="docker-registry"} 0
haproxy_server_bytes_in_total{namespace="default",pod="hello-rc-vkjqx",route="hello-route",server="10.130.0.90:8080",service="hello-svc-1"} 0
...
    Copy to Clipboard Toggle word wrap

  7. 브라우저에 다음 URL을 입력하여 통계 창을 실행하세요. 

    http://<user>:<password>@<router_IP>:<stats_port>
    Copy to Clipboard Toggle word wrap

  8. 선택 사항: 브라우저에 다음 URL을 입력하여 CSV 형식으로 통계를 가져옵니다. 

    http://<user>:<password>@<router_ip>:1936/metrics;csv
    Copy to Clipboard Toggle word wrap

8.9.22. HAProxy 오류 코드 응답 페이지 사용자 정의
링크 복사

클러스터 관리자는 503, 404 또는 두 오류 페이지에 대한 사용자 지정 오류 코드 응답 페이지를 지정할 수 있습니다. HAProxy 라우터는 애플리케이션 pod가 실행 중이 아닌 경우 503 오류 페이지 또는 요청된 URL이 없는 경우 404 오류 페이지를 제공합니다. 예를 들어 503 오류 코드 응답 페이지를 사용자 지정하면 애플리케이션 pod가 실행되지 않을 때 페이지가 제공되며 HAProxy 라우터에서 잘못된 경로 또는 존재하지 않는 경로에 대해 기본 404 오류 코드 HTTP 응답 페이지가 제공됩니다.

사용자 정의 오류 코드 응답 페이지가 구성 맵에 지정되고 Ingress 컨트롤러에 패치됩니다. 구성 맵 키의 사용 가능한 파일 이름은 error-page-503.httperror-page-404.http 입니다.

사용자 지정 HTTP 오류 코드 응답 페이지는 HAProxy HTTP 오류 페이지 구성 지침을 따라야 합니다. 다음은 기본 OpenShift Container Platform HAProxy 라우터 http 503 오류 코드 응답 페이지의 예입니다. 기본 콘텐츠를 고유한 사용자 지정 페이지를 생성하기 위한 템플릿으로 사용할 수 있습니다.

기본적으로 HAProxy 라우터는 애플리케이션이 실행 중이 아니거나 경로가 올바르지 않거나 존재하지 않는 경우 503 오류 페이지만 제공합니다. 이 기본 동작은 OpenShift Container Platform 4.8 및 이전 버전의 동작과 동일합니다. HTTP 오류 코드 응답 사용자 정의에 대한 구성 맵이 제공되지 않고 사용자 정의 HTTP 오류 코드 응답 페이지를 사용하는 경우 라우터는 기본 404 또는 503 오류 코드 응답 페이지를 제공합니다.

참고

OpenShift Container Platform 기본 503 오류 코드 페이지를 사용자 지정 템플릿으로 사용하는 경우 파일의 헤더에 CRLF 줄 끝을 사용할 수 있는 편집기가 필요합니다.

프로세스

  1. openshift-config 네임스페이스에 my-custom-error-code-pages 라는 구성 맵을 생성합니다. 

    $ oc -n openshift-config create configmap my-custom-error-code-pages \
  --from-file=error-page-503.http \
  --from-file=error-page-404.http
    Copy to Clipboard Toggle word wrap
    중요

    사용자 정의 오류 코드 응답 페이지에 올바른 형식을 지정하지 않으면 라우터 Pod 중단이 발생합니다. 이 중단을 해결하려면 구성 맵을 삭제하거나 수정하고 영향을 받는 라우터 Pod를 삭제하여 올바른 정보로 다시 생성해야 합니다.

  2. 이름별로 my-custom-error-code-pages 구성 맵을 참조하도록 Ingress 컨트롤러를 패치합니다. 

    $ oc patch -n openshift-ingress-operator ingresscontroller/default --patch '{"spec":{"httpErrorCodePages":{"name":"my-custom-error-code-pages"}}}' --type=merge
    Copy to Clipboard Toggle word wrap

    Ingress Operator는 my-custom-error-code-pages 구성 맵을 openshift-config 네임스페이스에서 openshift-ingress 네임스페이스로 복사합니다. Operator는 openshift-ingress 네임스페이스에서 <your_ingresscontroller_name>-errorpages 패턴에 따라 구성 맵의 이름을 지정합니다.

  3. 복사본을 표시합니다. 

    $ oc get cm default-errorpages -n openshift-ingress
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                       DATA   AGE
default-errorpages         2      25s
    1
    Copy to Clipboard Toggle word wrap

    1
    default Ingress 컨트롤러 CR(사용자 정의 리소스)이 패치되었기 때문에 구성 맵 이름은 default-errorpages입니다.

  4. 사용자 정의 오류 응답 페이지가 포함된 구성 맵이 라우터 볼륨에 마운트되는지 확인합니다. 여기서 구성 맵 키는 사용자 정의 HTTP 오류 코드 응답이 있는 파일 이름입니다.

    • 503 사용자 지정 HTTP 사용자 정의 오류 코드 응답의 경우: 

      $ oc -n openshift-ingress rsh <router_pod> cat /var/lib/haproxy/conf/error_code_pages/error-page-503.http
      Copy to Clipboard Toggle word wrap

    • 404 사용자 지정 HTTP 사용자 정의 오류 코드 응답의 경우: 

      $ oc -n openshift-ingress rsh <router_pod> cat /var/lib/haproxy/conf/error_code_pages/error-page-404.http
      Copy to Clipboard Toggle word wrap

검증

사용자 정의 오류 코드 HTTP 응답을 확인합니다.

  1. 테스트 프로젝트 및 애플리케이션을 생성합니다. 

    $ oc new-project test-ingress
    Copy to Clipboard Toggle word wrap 
    $ oc new-app django-psql-example
    Copy to Clipboard Toggle word wrap

  2. 503 사용자 정의 http 오류 코드 응답의 경우:

    1. 애플리케이션의 모든 pod를 중지합니다.

    2. 다음 curl 명령을 실행하거나 브라우저에서 경로 호스트 이름을 방문합니다. 

      $ curl -vk <route_hostname>
      Copy to Clipboard Toggle word wrap

  3. 404 사용자 정의 http 오류 코드 응답의 경우:

    1. 존재하지 않는 경로 또는 잘못된 경로를 방문합니다.

    2. 다음 curl 명령을 실행하거나 브라우저에서 경로 호스트 이름을 방문합니다. 

      $ curl -vk <route_hostname>
      Copy to Clipboard Toggle word wrap

  4. errorfile 속성이 haproxy.config 파일에 제대로 있는지 확인합니다. 

    $ oc -n openshift-ingress rsh <router> cat /var/lib/haproxy/conf/haproxy.config | grep errorfile
    Copy to Clipboard Toggle word wrap

8.9.23. Ingress Controller 최대 연결 설정
링크 복사

클러스터 관리자는 OpenShift 라우터 배포에 대한 최대 동시 연결 수를 설정할 수 있습니다. 기존 Ingress Controller에 패치를 적용하여 최대 연결 수를 늘릴 수 있습니다.

사전 요구 사항

  • 다음은 Ingress 컨트롤러를 이미 생성했다고 가정합니다.

프로세스

  • HAProxy에 대한 최대 연결 수를 변경하려면 Ingress Controller를 업데이트하세요. 

    $ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"maxConnections": 7500}}}'
    Copy to Clipboard Toggle word wrap
    주의

    spec.tuningOptions.maxConnections 값을 현재 운영 체제 제한보다 크게 설정하면 HAProxy 프로세스가 시작되지 않습니다. 이 매개변수에 대한 자세한 내용은 "Ingress Controller 구성 매개변수" 섹션의 표를 참조하세요.

9장. OpenShift 컨테이너 플랫폼의 Ingress 노드 방화벽 운영자
링크 복사

Ingress Node Firewall Operator는 OpenShift Container Platform에서 노드 수준의 Ingress 트래픽을 관리하기 위한 상태 비저장 eBPF 기반 방화벽을 제공합니다.

9.1. Ingress 노드 방화벽 운영자
링크 복사

Ingress Node Firewall Operator는 방화벽 구성에서 지정하고 관리하는 노드에 데몬 세트를 배포하여 노드 수준에서 Ingress 방화벽 규칙을 제공합니다. 데몬 세트를 배포하려면 IngressNodeFirewallConfig 사용자 정의 리소스(CR)를 만듭니다. 운영자는 IngressNodeFirewallConfig CR을 적용하여 nodeSelector 와 일치하는 모든 노드에서 실행되는 Ingress 노드 방화벽 데몬 세트 데몬을 생성합니다.

IngressNodeFirewall CR의 규칙을 구성하고 nodeSelector를 사용하여 클러스터에 적용하고 값을 "true"로 설정합니다.

중요

Ingress Node Firewall Operator는 상태 비저장 방화벽 규칙만 지원합니다.

기본 XDP 드라이버를 지원하지 않는 NIC(네트워크 인터페이스 컨트롤러)는 낮은 성능으로 실행됩니다.

OpenShift Container Platform 4.14 이상의 경우 RHEL 9.0 이상에서 Ingress Node Firewall Operator를 실행해야 합니다.

9.2. Ingress 노드 방화벽 운영자 설치
링크 복사

클러스터 관리자는 OpenShift Container Platform CLI나 웹 콘솔을 사용하여 Ingress Node Firewall Operator를 설치할 수 있습니다.

9.2.1. CLI를 사용하여 Ingress Node Firewall Operator 설치
링크 복사

클러스터 관리자는 CLI를 사용하여 Operator를 설치할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 관리자 권한이 있는 계정이 있습니다.

프로세스

  1. openshift-ingress-node-firewall 네임스페이스를 생성하려면 다음 명령을 입력하세요. 

    $ cat << EOF| oc create -f -
apiVersion: v1
kind: Namespace
metadata:
  labels:
    pod-security.kubernetes.io/enforce: privileged
    pod-security.kubernetes.io/enforce-version: v1.24
  name: openshift-ingress-node-firewall
EOF
    Copy to Clipboard Toggle word wrap

  2. OperatorGroup CR을 생성하려면 다음 명령을 입력합니다. 

    $ cat << EOF| oc create -f -
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: ingress-node-firewall-operators
  namespace: openshift-ingress-node-firewall
EOF
    Copy to Clipboard Toggle word wrap

  3. Ingress 노드 방화벽 운영자를 구독하세요.

    • Ingress 노드 방화벽 운영자에 대한 구독 CR을 생성하려면 다음 명령을 입력하세요. 

      $ cat << EOF| oc create -f -
apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: ingress-node-firewall-sub
  namespace: openshift-ingress-node-firewall
spec:
  name: ingress-node-firewall
  channel: stable
  source: redhat-operators
  sourceNamespace: openshift-marketplace
EOF
      Copy to Clipboard Toggle word wrap

  4. Operator가 설치되었는지 확인하려면 다음 명령을 입력합니다. 

    $ oc get ip -n openshift-ingress-node-firewall
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME            CSV                                         APPROVAL    APPROVED
install-5cvnz   ingress-node-firewall.4.19.0-202211122336   Automatic   true
    Copy to Clipboard Toggle word wrap

  5. Operator 버전을 확인하려면 다음 명령을 입력하세요. 

    $ oc get csv -n openshift-ingress-node-firewall
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                        DISPLAY                          VERSION               REPLACES                                    PHASE
ingress-node-firewall.4.19.0-202211122336   Ingress Node Firewall Operator   4.19.0-202211122336   ingress-node-firewall.4.19.0-202211102047   Succeeded
    Copy to Clipboard Toggle word wrap

9.2.2. 웹 콘솔을 사용하여 Ingress Node Firewall Operator 설치
링크 복사

클러스터 관리자는 웹 콘솔을 사용하여 Operator를 설치할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 관리자 권한이 있는 계정이 있습니다.

프로세스

  1. Ingress 노드 방화벽 운영자 설치:

    1. OpenShift Container Platform 웹 콘솔에서 OperatorOperatorHub를 클릭합니다.
    2. 사용 가능한 운영자 목록에서 Ingress Node Firewall Operator를 선택한 다음 설치를 클릭합니다.
    3. Operator 설치 페이지의 설치된 네임스페이스 에서 Operator 권장 네임스페이스를 선택합니다.
    4. 설치를 클릭합니다.

  2. Ingress Node Firewall Operator가 성공적으로 설치되었는지 확인하세요.

    1. Operator설치된 Operator 페이지로 이동합니다.

    2. Ingress Node Firewall Operator가 installSucceeded 상태openshift-ingress-node-firewall 프로젝트에 나열되어 있는지 확인하세요.

      참고

      설치 중에 Operator는 실패 상태를 표시할 수 있습니다. 나중에 InstallSucceeded 메시지와 함께 설치에 성공하면 이 실패 메시지를 무시할 수 있습니다.

      운영자의 상태가 InstallSucceeded가 아닌 경우 다음 단계에 따라 문제를 해결하세요.

      • Operator 서브스크립션설치 계획 탭의 상태 아래에서 장애 또는 오류가 있는지 점검합니다.
      • 워크로드포드 페이지로 이동하여 openshift-ingress-node-firewall 프로젝트의 포드 로그를 확인합니다.

      • YAML 파일의 네임스페이스를 확인하세요. 주석이 누락된 경우 다음 명령을 사용하여 Operator 네임스페이스에 workload.openshift.io/allowed=management 주석을 추가할 수 있습니다. 

        $ oc annotate ns/openshift-ingress-node-firewall workload.openshift.io/allowed=management
        Copy to Clipboard Toggle word wrap
        참고

        단일 노드 OpenShift 클러스터의 경우 openshift-ingress-node-firewall 네임스페이스에는 workload.openshift.io/allowed=management 주석이 필요합니다.

9.3. Ingress 노드 방화벽 운영자 배포
링크 복사

사전 요구 사항

  • Ingress Node Firewall Operator가 설치되었습니다.

프로세스

Ingress Node Firewall Operator를 배포하려면 Operator의 데몬 세트를 배포할 IngressNodeFirewallConfig 사용자 정의 리소스를 만듭니다. 방화벽 규칙을 적용하여 하나 이상의 IngressNodeFirewall CRD를 노드에 배포할 수 있습니다.

  1. openshift-ingress-node-firewall 네임스페이스 내에 ingressnodefirewallconfig 라는 이름의 IngressNodeFirewallConfig를 생성합니다.

  2. 다음 명령을 실행하여 Ingress Node Firewall Operator 규칙을 배포합니다. 

    $ oc apply -f rule.yaml
    Copy to Clipboard Toggle word wrap

9.3.1. Ingress 노드 방화벽 구성 개체
링크 복사

Ingress 노드 방화벽 구성 개체의 필드는 다음 표에 설명되어 있습니다.

Expand
표 9.1. Ingress 노드 방화벽 구성 개체
필드유형설명

metadata.name

string

CR 객체의 이름입니다. 방화벽 규칙 개체의 이름은 ingressnodefirewallconfig 여야 합니다.

metadata.namespace

string

Ingress Firewall Operator CR 개체에 대한 네임스페이스입니다. IngressNodeFirewallConfig CR은 openshift-ingress-node-firewall 네임스페이스 내부에 생성되어야 합니다.

spec.nodeSelector

string

지정된 노드 레이블을 통해 노드를 타겟으로 지정하는 데 사용되는 노드 선택 제약 조건입니다. 예를 들면 다음과 같습니다. 

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""
Copy to Clipboard Toggle word wrap
참고

데몬 세트를 시작하려면 nodeSelector 에서 사용된 레이블 중 하나가 노드의 레이블과 일치해야 합니다. 예를 들어, 노드 레이블 node-role.kubernetes.io/workernode-type.kubernetes.io/vm 이 노드에 적용되는 경우 데몬 세트를 시작하려면 nodeSelector를 사용하여 최소한 하나의 레이블을 설정해야 합니다.

spec.ebpfProgramManagerMode

boolean

Node Ingress Firewall Operator가 eBPF Manager Operator를 사용하여 eBPF 프로그램을 관리할지 여부를 지정합니다. 이 기능은 기술 미리보기 기능입니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

참고

운영자는 CR을 사용하여 nodeSelector 와 일치하는 모든 노드에 설정된 수신 노드 방화벽 데몬을 생성합니다.

9.3.2. Ingress 노드 방화벽 운영자 구성 예시
링크 복사

다음 예에서는 완전한 Ingress 노드 방화벽 구성을 지정합니다.

Ingress 노드 방화벽 구성 객체를 만드는 방법의 예

$ cat << EOF | oc create -f -
apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewallConfig
metadata:
  name: ingressnodefirewallconfig
  namespace: openshift-ingress-node-firewall
spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""
EOF
Copy to Clipboard Toggle word wrap

참고

Operator는 CR 객체를 사용하고 nodeSelector 와 일치하는 모든 노드에 설정된 수신 노드 방화벽 데몬을 생성합니다.

9.3.3. Ingress 노드 방화벽 규칙 개체
링크 복사

Ingress 노드 방화벽 규칙 개체의 필드는 다음 표에 설명되어 있습니다.

Expand
표 9.2. Ingress 노드 방화벽 규칙 개체
필드유형설명

metadata.name

string

CR 객체의 이름입니다.

interfaces

array

이 개체의 필드는 방화벽 규칙을 적용할 인터페이스를 지정합니다. 예를 들어, - en0- en1 .

nodeSelector

array

nodeSelector를 사용하면 방화벽 규칙을 적용할 노드를 선택할 수 있습니다. 규칙을 적용하려면 명명된 노드 선택기 레이블의 값을 true 로 설정합니다.

ingress[]

object

ingress를 사용하면 클러스터의 서비스에 대한 외부 액세스를 허용하는 규칙을 구성할 수 있습니다.

9.3.3.1. Ingress 객체 구성
링크 복사

ingress 객체의 값은 다음 표에 정의되어 있습니다.

Expand
표 9.3. 진입 객체
필드유형설명

sourceCIDRs

array

CIDR 블록을 설정할 수 있습니다. 다양한 주소 패밀리에서 여러 CIDR을 구성할 수 있습니다.

참고

CIDR이 다르면 동일한 주문 규칙을 사용할 수 있습니다. 동일한 노드와 인터페이스에 대해 CIDR이 겹치는 여러 IngressNodeFirewall 개체가 있는 경우, 순서 필드는 어떤 규칙이 먼저 적용되는지 지정합니다. 규칙은 오름차순으로 적용됩니다.

rules[]

array

Ingress 방화벽 규칙.order 객체는 각 소스 에 대해 1 부터 시작하여 정렬되며 CIDR당 최대 100개의 규칙이 있습니다. 낮은 순위의 규칙이 먼저 실행됩니다.

rules.protocolConfig.protocol은 다음 프로토콜을 지원합니다: TCP, UDP, SCTP, ICMP 및 ICMPv6. ICMP 및 ICMPv6 규칙은 ICMP 및 ICMPv6 유형이나 코드와 일치할 수 있습니다. TCP, UDP 및 SCTP 규칙은 <start : end-1> 형식을 사용하여 단일 대상 포트 또는 포트 범위와 일치할 수 있습니다.

rules.action을 설정하여 규칙을 적용하도록 허용하고 , 거부하여 규칙을 허용하지 않도록 합니다.

참고

Ingress 방화벽 규칙은 잘못된 구성을 차단하는 검증 웹훅을 사용하여 검증됩니다. 확인 웹훅을 사용하면 API 서버와 같은 중요한 클러스터 서비스를 차단하지 못하게 됩니다.

9.3.3.2. Ingress 노드 방화벽 규칙 객체 예
링크 복사

다음 예에서는 완전한 Ingress 노드 방화벽 구성을 지정합니다.

Ingress 노드 방화벽 구성 예

apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewall
metadata:
  name: ingressnodefirewall
spec:
  interfaces:
  - eth0
  nodeSelector:
    matchLabels:
      <ingress_firewall_label_name>: <label_value>
1 

  ingress:
  - sourceCIDRs:
       - 172.16.0.0/12
    rules:
    - order: 10
      protocolConfig:
        protocol: ICMP
        icmp:
          icmpType: 8 #ICMP Echo request
      action: Deny
    - order: 20
      protocolConfig:
        protocol: TCP
        tcp:
          ports: "8000-9000"
      action: Deny
  - sourceCIDRs:
       - fc00:f853:ccd:e793::0/64
    rules:
    - order: 10
      protocolConfig:
        protocol: ICMPv6
        icmpv6:
          icmpType: 128 #ICMPV6 Echo request
      action: Deny
Copy to Clipboard Toggle word wrap

1
<label_name>과 <label_value>는 노드에 있어야 하며 ingressfirewallconfig CR을 실행하려는 노드에 적용된 nodeselector 레이블 및 값과 일치해야 합니다. <label_value>는 true 또는 false가 될 수 있습니다. nodeSelector 레이블을 사용하면 ingressfirewallconfig CR을 사용하여 서로 다른 규칙을 적용할 별도의 노드 그룹을 타겟팅할 수 있습니다.
9.3.3.3. Zero trust Ingress 노드 방화벽 규칙 객체 예시
링크 복사

Zero trust Ingress 노드 방화벽 규칙은 다중 인터페이스 클러스터에 추가적인 보안을 제공할 수 있습니다. 예를 들어, 제로 트러스트 Ingress 노드 방화벽 규칙을 사용하면 SSH를 제외한 특정 인터페이스의 모든 트래픽을 삭제할 수 있습니다.

다음 예에서는 Zero Trust Ingress 노드 방화벽 규칙 세트의 전체 구성을 지정합니다.

중요

사용자는 애플리케이션이 제대로 작동하도록 하기 위해 다음과 같은 경우 허용 목록에 모든 포트를 추가해야 합니다.

예제 제로 트러스트 Ingress 노드 방화벽 규칙

apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewall
metadata:
 name: ingressnodefirewall-zero-trust
spec:
 interfaces:
 - eth1
1 

 nodeSelector:
   matchLabels:
     <ingress_firewall_label_name>: <label_value>
2 

 ingress:
 - sourceCIDRs:
      - 0.0.0.0/0
3 

   rules:
   - order: 10
     protocolConfig:
       protocol: TCP
       tcp:
         ports: 22
     action: Allow
   - order: 20
     action: Deny
4
Copy to Clipboard Toggle word wrap

1
네트워크 인터페이스 클러스터
2
<label_name>과 <label_value>는 ingressfirewallconfig CR을 적용하려는 특정 노드에 적용된 nodeSelector 레이블 및 값과 일치해야 합니다.
3
0.0.0.0/0은 모든 CIDR과 일치하도록 설정됩니다.
4
거부 로 설정된 작업
중요

eBPF Manager Operator 통합은 기술 미리 보기 기능에 불과합니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

9.4. Ingress 노드 방화벽 운영자 통합
링크 복사

Ingress 노드 방화벽은 eBPF 프로그램을 사용하여 일부 주요 방화벽 기능을 구현합니다. 기본적으로 이러한 eBPF 프로그램은 Ingress 노드 방화벽에 특화된 메커니즘을 사용하여 커널에 로드됩니다. 대신 Ingress Node Firewall Operator를 구성하여 eBPF Manager Operator를 사용하여 이러한 프로그램을 로드하고 관리할 수 있습니다.

이 통합이 활성화되면 다음과 같은 제한이 적용됩니다.

  • XDP를 사용할 수 없고 TCX가 bpfman과 호환되지 않는 경우 Ingress Node Firewall Operator는 TCX를 사용합니다.
  • Ingress Node Firewall Operator 데몬 세트 포드는 방화벽 규칙이 적용될 때까지 ContainerCreating 상태로 유지됩니다.
  • Ingress Node Firewall Operator 데몬 세트 포드는 특권 모드로 실행됩니다.

9.5. eBPF 관리자 운영자를 사용하도록 Ingress 노드 방화벽 운영자 구성
링크 복사

Ingress 노드 방화벽은 eBPF 프로그램을 사용하여 일부 주요 방화벽 기능을 구현합니다. 기본적으로 이러한 eBPF 프로그램은 Ingress 노드 방화벽에 특화된 메커니즘을 사용하여 커널에 로드됩니다.

클러스터 관리자는 Ingress Node Firewall Operator를 구성하여 eBPF Manager Operator를 사용하여 이러한 프로그램을 로드하고 관리하고, 이를 통해 보안 및 관찰 기능을 추가할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 관리자 권한이 있는 계정이 있습니다.
  • Ingress Node Firewall Operator를 설치했습니다.
  • eBPF Manager Operator를 설치했습니다.

프로세스

  1. 다음 레이블을 ingress-node-firewall-system 네임스페이스에 적용합니다. 

    $ oc label namespace openshift-ingress-node-firewall \
    pod-security.kubernetes.io/enforce=privileged \
    pod-security.kubernetes.io/warn=privileged --overwrite
    Copy to Clipboard Toggle word wrap

  2. ingressnodefirewallconfig 라는 IngressNodeFirewallConfig 객체를 편집하고 ebpfProgramManagerMode 필드를 설정합니다.

    Ingress 노드 방화벽 운영자 구성 개체

    apiVersion: ingressnodefirewall.openshift.io/v1alpha1
kind: IngressNodeFirewallConfig
metadata:
  name: ingressnodefirewallconfig
  namespace: openshift-ingress-node-firewall
spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""
  ebpfProgramManagerMode: <ebpf_mode>
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <ebpf_mode> : Ingress Node Firewall Operator가 eBPF Manager Operator를 사용하여 eBPF 프로그램을 관리할지 여부를 지정합니다. 이거나 거짓 이어야 합니다. 설정하지 않으면 eBPF 관리자가 사용되지 않습니다.

9.6. Ingress 노드 방화벽 운영자 규칙 보기
링크 복사

프로세스

  1. 현재 모든 규칙을 보려면 다음 명령을 실행하세요. 

    $ oc get ingressnodefirewall
    Copy to Clipboard Toggle word wrap

  2. 반환된 <resource> 이름 중 하나를 선택하고 다음 명령을 실행하여 규칙이나 구성을 확인하세요. 

    $ oc get <resource> <name> -o yaml
    Copy to Clipboard Toggle word wrap

9.7. Ingress 노드 방화벽 운영자 문제 해결
링크 복사

  • 다음 명령을 실행하여 설치된 Ingress 노드 방화벽 사용자 정의 리소스 정의(CRD)를 나열합니다. 

    $ oc get crds | grep ingressnodefirewall
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME               READY   UP-TO-DATE   AVAILABLE   AGE
ingressnodefirewallconfigs.ingressnodefirewall.openshift.io       2022-08-25T10:03:01Z
ingressnodefirewallnodestates.ingressnodefirewall.openshift.io    2022-08-25T10:03:00Z
ingressnodefirewalls.ingressnodefirewall.openshift.io             2022-08-25T10:03:00Z
    Copy to Clipboard Toggle word wrap

  • 다음 명령을 실행하여 Ingress 노드 방화벽 운영자의 상태를 확인하세요. 

    $ oc get pods -n openshift-ingress-node-firewall
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                       READY  STATUS         RESTARTS  AGE
ingress-node-firewall-controller-manager   2/2    Running        0         5d21h
ingress-node-firewall-daemon-pqx56         3/3    Running        0         5d21h
    Copy to Clipboard Toggle word wrap

    다음 필드는 운영자의 상태에 대한 정보를 제공합니다: READY , STATUS , AGE , RESTARTS . Ingress 노드 방화벽 운영자가 할당된 노드에 데몬 세트를 배포하는 경우 STATUS 필드는 실행 중 입니다.

  • 다음 명령을 실행하여 모든 수신 방화벽 노드 포드의 로그를 수집합니다. 

    $ oc adm must-gather – gather_ingress_node_firewall
    Copy to Clipboard Toggle word wrap

    로그는 /sos_commands/ebpf 에 있는 eBPF bpftool 출력을 포함하는 sos 노드 보고서에서 사용할 수 있습니다. 이러한 보고서에는 수신 방화벽 XDP가 패킷 처리를 처리하고, 통계를 업데이트하고, 이벤트를 방출할 때 사용되거나 업데이트되는 조회 테이블이 포함됩니다.

10장. SR-IOV Operator
링크 복사

10.1. SR-IOV Network Operator 설치
링크 복사

SR-IOV(Single Root I/O Virtualization) Network Operator를 클러스터에 설치하여 SR-IOV 네트워크 장치 및 네트워크 연결을 관리할 수 있습니다.

10.1.1. SR-IOV Network Operator 설치
링크 복사

클러스터 관리자는 OpenShift Container Platform CLI나 웹 콘솔을 사용하여 SR-IOV(Single Root I/O Virtualization) 네트워크 운영자를 설치할 수 있습니다.

10.1.1.1. CLI: SR-IOV Network Operator 설치
링크 복사

클러스터 관리자는 CLI를 사용하여 Operator를 설치할 수 있습니다.

사전 요구 사항

  • SR-IOV를 지원하는 하드웨어가 있는 노드로 베어 메탈 하드웨어에 설치된 클러스터.
  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 계정.

프로세스

  1. 다음 명령을 입력하여 openshift-sriov-network-operator 네임스페이스를 만듭니다. 

    $ cat << EOF| oc create -f -
apiVersion: v1
kind: Namespace
metadata:
  name: openshift-sriov-network-operator
  annotations:
    workload.openshift.io/allowed: management
EOF
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 입력하여 OperatorGroup 사용자 정의 리소스(CR)를 만듭니다. 

    $ cat << EOF| oc create -f -
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: sriov-network-operators
  namespace: openshift-sriov-network-operator
spec:
  targetNamespaces:
  - openshift-sriov-network-operator
EOF
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 입력하여 SR-IOV 네트워크 운영자에 대한 구독 CR을 만듭니다. 

    $ cat << EOF| oc create -f -
apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: sriov-network-operator-subscription
  namespace: openshift-sriov-network-operator
spec:
  channel: stable
  name: sriov-network-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
EOF
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 입력하여 SriovoperatorConfig 리소스를 만듭니다. 

    $ cat <<EOF | oc create -f -
apiVersion: sriovnetwork.openshift.io/v1
kind: SriovOperatorConfig
metadata:
  name: default
  namespace: openshift-sriov-network-operator
spec:
  enableInjector: true
  enableOperatorWebhook: true
  logLevel: 2
  disableDrain: false
EOF
    Copy to Clipboard Toggle word wrap

검증

  • Operator가 설치되었는지 확인하려면 다음 명령을 입력한 다음 Operator에 대해 출력에 Succeeded가 표시되는지 확인하세요. 

    $ oc get csv -n openshift-sriov-network-operator \
  -o custom-columns=Name:.metadata.name,Phase:.status.phase
    Copy to Clipboard Toggle word wrap
10.1.1.2. 웹 콘솔 : SR-IOV Network Operator 설치
링크 복사

클러스터 관리자는 웹 콘솔을 사용하여 Operator를 설치할 수 있습니다.

사전 요구 사항

  • SR-IOV를 지원하는 하드웨어가 있는 노드로 베어 메탈 하드웨어에 설치된 클러스터.
  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 계정.

프로세스

  1. SR-IOV Network Operator 설치:

    1. OpenShift Container Platform 웹 콘솔에서 OperatorOperatorHub를 클릭합니다.
    2. 사용 가능한 Operator 목록에서 SR-IOV Network Operator를 선택한 다음 설치를 클릭합니다.
    3. Operator 설치 페이지의 설치된 네임스페이스 에서 Operator 권장 네임스페이스를 선택합니다.
    4. 설치를 클릭합니다.

  2. SR-IOV Network Operator가 설치되었는지 확인하십시오.

    1. Operator설치된 Operator 페이지로 이동합니다.

    2. SR-IOV Network Operatoropenshift-sriov-network-operator 프로젝트에 InstallSucceeded 상태로 나열되어 있는지 확인하십시오.

      참고

      설치 중에 Operator는 실패 상태를 표시할 수 있습니다. 나중에 InstallSucceeded 메시지와 함께 설치에 성공하면 이 실패 메시지를 무시할 수 있습니다.

      Operator가 설치된 것으로 나타나지 않으면 다음과 같이 추가 문제 해결을 수행합니다.

      • Operator 서브스크립션설치 계획 탭의 상태 아래에서 장애 또는 오류가 있는지 점검합니다.
      • WorkloadsPod 페이지로 이동하여 openshift-sriov-network-operator 프로젝트에서 Pod 로그를 확인하십시오.

      • YAML 파일의 네임스페이스를 확인하세요. 주석이 누락된 경우 다음 명령을 사용하여 Operator 네임스페이스에 workload.openshift.io/allowed=management 주석을 추가할 수 있습니다. 

        $ oc annotate ns/openshift-sriov-network-operator workload.openshift.io/allowed=management
        Copy to Clipboard Toggle word wrap
        참고

        단일 노드 OpenShift 클러스터의 경우 네임스페이스에 workload.openshift.io/allowed=management 주석이 필요합니다.

10.1.2. 다음 단계
링크 복사

10.2. SR-IOV Network Operator 구성
링크 복사

SR-IOV(Single Root I/O Virtualization) Network Operator는 클러스터의 SR-IOV 네트워크 장치 및 네트워크 첨부 파일을 관리합니다.

10.2.1. SR-IOV Network Operator 구성
링크 복사

  • 모든 SR-IOV Operator 구성 요소를 배포하기 위해 SriovOperatorConfig 사용자 지정 리소스(CR)를 만듭니다.

    1. 다음 YAML을 사용하여 sriovOperatorConfig.yaml 이라는 파일을 만듭니다. 

      apiVersion: sriovnetwork.openshift.io/v1
kind: SriovOperatorConfig
metadata:
  name: default
      1 
      
  namespace: openshift-sriov-network-operator
spec:
  disableDrain: false
  enableInjector: true
      2 
      
  enableOperatorWebhook: true
      3 
      
  logLevel: 2
  featureGates:
    metricsExporter: false
      Copy to Clipboard Toggle word wrap
      1
      SriovOperatorConfig 리소스에 유효한 이름은 기본값 뿐이며 Operator가 배포된 네임스페이스에 있어야 합니다.
      2
      CR에 지정되지 않았거나 명시적으로 true 로 설정된 경우 enableInjector 필드는 false 또는 <none> 으로 기본 설정되어 네임스페이스에서 network-resources-injector 포드가 실행되지 않습니다. 권장 설정은 true 입니다.
      3
      CR에 지정되지 않았거나 명시적으로 true로 설정된 경우 enableOperatorWebhook 필드는 false 또는 <none> 으로 기본 설정되어 네임스페이스에서 모든 operator-webhook 포드가 실행되지 않습니다. 권장 설정은 true 입니다.

    2. 다음 명령을 실행하여 리소스를 생성합니다. 

      $ oc apply -f sriovOperatorConfig.yaml
      Copy to Clipboard Toggle word wrap
10.2.1.1. SR-IOV 네트워크 운영자 구성 사용자 정의 리소스
링크 복사

다음 표에서는 sriovoperatorconfig 사용자 정의 리소스에 대한 필드에 대해 설명합니다.

Expand
표 10.1. SR-IOV 네트워크 운영자 구성 사용자 정의 리소스
필드유형설명

metadata.name

string

SR-IOV 네트워크 운영자 인스턴스의 이름을 지정합니다. 기본값은 default입니다. 다른 값을 설정하지 마세요.

metadata.namespace

string

SR-IOV 네트워크 운영자 인스턴스의 네임스페이스를 지정합니다. 기본값은 openshift-sriov-network-operator 입니다. 다른 값을 설정하지 마세요.

spec.configDaemonNodeSelector

string

선택한 노드에서 SR-IOV 네트워크 구성 데몬의 스케줄링을 제어하기 위한 노드 선택을 지정합니다. 기본적으로 이 필드는 설정되지 않으며 운영자는 작업자 노드에 설정된 SR-IOV 네트워크 구성 데몬을 배포합니다.

spec.disableDrain

boolean

노드에서 NIC를 구성하기 위해 새 정책을 적용할 때 노드 드레이닝 프로세스를 비활성화할지 아니면 활성화할지를 지정합니다. 이 필드를 true 로 설정하면 소프트웨어 개발이 용이해지고 단일 노드에 OpenShift Container Platform을 설치할 수 있습니다. 기본적으로 이 필드는 설정되지 않습니다.

단일 노드 클러스터의 경우 Operator를 설치한 후 이 필드를 true 로 설정합니다. 이 필드는 true 로 설정되어야 합니다.

spec.enableInjector

boolean

네트워크 리소스 인젝터 데몬 세트를 활성화할지 비활성화할지 지정합니다.

spec.enableOperatorWebhook

boolean

Operator Admission Controller 웹후크 데몬 세트를 활성화할지 비활성화할지 지정합니다.

spec.logLevel

integer

연산자의 로그 세부 정보 수준을 지정합니다. 기본적으로 이 필드는 0 으로 설정되어 기본 로그만 표시합니다. 사용 가능한 모든 로그를 표시하려면 2 로 설정합니다.

spec.featureGates

map[string]bool

옵션 기능을 활성화할지 비활성화할지 지정합니다. 예를 들어, metricsExporter .

spec.featureGates.metricsExporter

boolean

SR-IOV 네트워크 운영자 메트릭을 활성화할지 비활성화할지 지정합니다. 기본적으로 이 필드는 false 로 설정됩니다.

spec.featureGates.mellanoxFirmwareReset

boolean

SR-IOV 네트워크 운영자의 가상 기능(VF) 변경 시 펌웨어를 재설정할지 여부를 지정합니다. Intel C740 시리즈와 같은 일부 칩셋은 NVIDIA/Mellanox NIC에서 VF를 구성하는 데 필요한 PCI-E 장치의 전원을 완전히 끄지 않습니다. 기본적으로 이 필드는 false 로 설정됩니다.

중요

spec.featureGates.mellanoxFirmwareReset 매개변수는 Technology Preview 기능에만 해당됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

10.2.1.2. Network Resources Injector 정보
링크 복사

Network Resources Injector는 다음과 같은 기능을 제공하는 Kubernetes Dynamic Admission Controller 애플리케이션입니다.

  • SR-IOV 네트워크 연결 정의 주석에 따라 SR-IOV 리소스 이름을 추가하기 위해 Pod 사양의 리소스 요청 및 제한 변경
  • Pod 사양을 Downward API 볼륨으로 변경하여 Pod 주석, 라벨 및 대규모 페이지 요청 및 제한을 노출합니다. pod에서 실행되는 컨테이너는 /etc/podnetinfo 경로에 있는 파일로 노출된 정보에 액세스할 수 있습니다.

네트워크 리소스 인젝터는 SriovOperatorConfig CR에서 enableInjector가 true 로 설정된 경우 SR-IOV 네트워크 운영자에 의해 활성화됩니다. 네트워크 리소스 인젝터 포드는 모든 제어 평면 노드에서 데몬 세트로 실행됩니다. 다음은 3개의 컨트롤 플레인 노드가 있는 클러스터에서 실행 중인 Network Resources Injector Pod의 예입니다. 

$ oc get pods -n openshift-sriov-network-operator
Copy to Clipboard Toggle word wrap

출력 예

NAME                                      READY   STATUS    RESTARTS   AGE
network-resources-injector-5cz5p          1/1     Running   0          10m
network-resources-injector-dwqpx          1/1     Running   0          10m
network-resources-injector-lktz5          1/1     Running   0          10m
Copy to Clipboard Toggle word wrap

기본적으로 Network Resources Injector 웹후크의 failurePolicy 필드는 Ignore 로 설정됩니다. 이 기본 설정은 웹훅을 사용할 수 없는 경우 포드 생성이 차단되는 것을 방지합니다.

failurePolicy 필드를 Fail 로 설정하고 Network Resources Injector 웹훅을 사용할 수 없는 경우 웹훅은 모든 Pod 생성 및 업데이트 요청을 변형하려고 시도합니다. 이러한 동작으로 인해 Pod 생성이 차단되고 정상적인 클러스터 작업이 중단될 수 있습니다. 이러한 문제를 방지하려면 SriovOperatorConfig 개체에서 featureGates.resourceInjectorMatchCondition 기능을 활성화하여 네트워크 리소스 인젝터 웹훅의 범위를 제한할 수 있습니다. 이 기능을 활성화하면 웹훅은 보조 네트워크 주석 k8s.v1.cni.cncf.io/networks가 있는 포드에만 적용됩니다.

resourceInjectorMatchCondition 기능을 활성화한 후 failurePolicy 필드를 Fail 로 설정하면 웹훅은 보조 네트워크 주석 k8s.v1.cni.cncf.io/networks가 있는 포드에만 적용됩니다. 웹훅을 사용할 수 없는 경우 이 주석이 없는 포드는 계속 배포되므로 클러스터 작업이 불필요하게 중단되는 것을 방지할 수 있습니다.

featureGates.resourceInjectorMatchCondition 기능은 기본적으로 비활성화되어 있습니다. 이 기능을 활성화하려면 SriovOperatorConfig 개체에서 featureGates.resourceInjectorMatchCondition 필드를 true 로 설정합니다.

SriovOperatorConfig 객체 구성 예

apiVersion: sriovnetwork.openshift.io/v1
kind: SriovOperatorConfig
metadata:
  name: default
  namespace: sriov-network-operator
spec:
# ...
  featureGates:
    resourceInjectorMatchCondition: true
# ...
Copy to Clipboard Toggle word wrap

10.2.1.3. Network Resources Injector 비활성화 또는 활성화
링크 복사

네트워크 리소스 인젝터를 비활성화하거나 활성화하려면 다음 절차를 완료하세요.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.
  • SR-IOV Network Operator가 설치되어 있어야 합니다.

프로세스

  • enableInjector 필드를 설정합니다. 기능을 비활성화하려면 <value>false로 바꾸고 기능을 활성화하려면 true로 바꿉니다. 

    $ oc patch sriovoperatorconfig default \
  --type=merge -n openshift-sriov-network-operator \
  --patch '{ "spec": { "enableInjector": <value> } }'
    Copy to Clipboard Toggle word wrap
    작은 정보

    또는 다음 YAML을 적용하여 Operator를 업데이트할 수 있습니다. 

    apiVersion: sriovnetwork.openshift.io/v1
kind: SriovOperatorConfig
metadata:
  name: default
  namespace: openshift-sriov-network-operator
spec:
  enableInjector: <value>
    Copy to Clipboard Toggle word wrap
10.2.1.4. SR-IOV 네트워크 Operator Admission Controller webhook 정보
링크 복사

SR-IOV 네트워크 Operator Admission Controller webhook은 Kubernetes Dynamic Admission Controller 애플리케이션입니다. 다음과 같은 기능을 제공합니다.

  • SriovNetworkNodePolicy CR이 생성 또는 업데이트될 때 유효성 검사
  • CR을 만들거나 업데이트할 때 prioritydeviceType 필드의 기본값을 설정하여 SriovNetworkNodePolicy CR 변경

SR-IOV 네트워크 운영자 입장 컨트롤러 웹훅은 SriovOperatorConfig CR에서 enableOperatorWebhooktrue 로 설정된 경우 운영자에 의해 활성화됩니다. operator-webhook 포드는 모든 제어 평면 노드에서 데몬 세트로 실행됩니다.

참고

SR-IOV 네트워크 운영자 입장 컨트롤러 웹훅을 비활성화할 때는 주의하세요. 문제 해결이나 지원되지 않는 기기를 사용하려는 경우와 같이 특정 상황에서는 웹훅을 비활성화할 수 있습니다. 지원되지 않는 장치를 구성하는 방법에 대한 자세한 내용은 지원되지 않는 NIC를 사용하도록 SR-IOV 네트워크 운영자 구성을 참조하세요.

다음은 3개의 컨트롤 플레인 노드가 있는 클러스터에서 실행되는 Operator Admission Controller 웹 후크 Pod의 예입니다. 

$ oc get pods -n openshift-sriov-network-operator
Copy to Clipboard Toggle word wrap

출력 예

NAME                                      READY   STATUS    RESTARTS   AGE
operator-webhook-9jkw6                    1/1     Running   0          16m
operator-webhook-kbr5p                    1/1     Running   0          16m
operator-webhook-rpfrl                    1/1     Running   0          16m
Copy to Clipboard Toggle word wrap

입장 컨트롤러 웹훅을 비활성화하거나 활성화하려면 다음 절차를 완료하세요.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.
  • SR-IOV Network Operator가 설치되어 있어야 합니다.

프로세스

  • enableOperatorWebhook 필드를 설정합니다. 기능을 비활성화하려면 <value>false로 바꾸고 활성화하려면 true로 바꿉니다. 

    $ oc patch sriovoperatorconfig default --type=merge \
  -n openshift-sriov-network-operator \
  --patch '{ "spec": { "enableOperatorWebhook": <value> } }'
    Copy to Clipboard Toggle word wrap
    작은 정보

    또는 다음 YAML을 적용하여 Operator를 업데이트할 수 있습니다. 

    apiVersion: sriovnetwork.openshift.io/v1
kind: SriovOperatorConfig
metadata:
  name: default
  namespace: openshift-sriov-network-operator
spec:
  enableOperatorWebhook: <value>
    Copy to Clipboard Toggle word wrap
10.2.1.6. 사용자 정의 노드 선택기 정보
링크 복사

SR-IOV Network Config 데몬은 클러스터 노드에서 SR-IOV 네트워크 장치를 검색하고 구성합니다. 기본적으로 클러스터의 모든 worker 노드에 배포됩니다. 노드 레이블을 사용하여 SR-IOV Network Config 데몬이 실행되는 노드를 지정할 수 있습니다.

10.2.1.7. SR-IOV Network Config 데몬에 대한 사용자 정의 NodeSelector 구성
링크 복사

SR-IOV Network Config 데몬은 클러스터 노드에서 SR-IOV 네트워크 장치를 검색하고 구성합니다. 기본적으로 클러스터의 모든 worker 노드에 배포됩니다. 노드 레이블을 사용하여 SR-IOV Network Config 데몬이 실행되는 노드를 지정할 수 있습니다.

SR-IOV Network Config 데몬이 배포된 노드를 지정하려면 다음 절차를 완료하십시오.

중요

configDaemonNodeSelector 필드를 업데이트하면 선택한 각 노드에서 SR-IOV Network Config 데몬이 다시 생성됩니다. 데몬이 다시 생성되는 동안 클러스터 사용자는 새로운 SR-IOV 네트워크 노드 정책을 적용하거나 새로운 SR-IOV Pod를 만들 수 없습니다.

프로세스

  • Operator의 노드 선택기를 업데이트하려면 다음 명령을 입력합니다. 

    $ oc patch sriovoperatorconfig default --type=json \
  -n openshift-sriov-network-operator \
  --patch '[{
      "op": "replace",
      "path": "/spec/configDaemonNodeSelector",
      "value": {<node_label>}
    }]'
    Copy to Clipboard Toggle word wrap

    "node-role.kubernetes.io/worker": ""에서와 같이 적용하려면 <node_label>을 레이블로 바꿉니다.

    작은 정보

    또는 다음 YAML을 적용하여 Operator를 업데이트할 수 있습니다. 

    apiVersion: sriovnetwork.openshift.io/v1
kind: SriovOperatorConfig
metadata:
  name: default
  namespace: openshift-sriov-network-operator
spec:
  configDaemonNodeSelector:
    <node_label>
    Copy to Clipboard Toggle word wrap
10.2.1.8. 단일 노드 설치를 위한 SR-IOV 네트워크 운영자 구성
링크 복사

기본적으로 SR-IOV 네트워크 운영자는 정책이 변경되기 전에 노드에서 작업 부하를 제거합니다. 운영자는 재구성 전에 가상 기능을 사용하는 작업 부하가 없는지 확인하기 위해 이 작업을 수행합니다.

단일 노드에 설치하는 경우 작업 부하를 수신할 다른 노드가 없습니다. 따라서 운영자는 단일 노드에서 작업 부하를 소모하지 않도록 구성되어야 합니다.

중요

드레이닝 워크로드를 비활성화하기 위해 다음 절차를 수행한 후에는 SR-IOV 네트워크 노드 정책을 변경하기 전에 SR-IOV 네트워크 인터페이스를 사용하는 모든 워크로드를 제거해야 합니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.
  • SR-IOV Network Operator가 설치되어 있어야 합니다.

프로세스

  • disableDrain 필드를 true 로 설정하고 configDaemonNodeSelector 필드를 node-role.kubernetes.io/master: "" 로 설정하려면 다음 명령을 입력하세요. 

    $ oc patch sriovoperatorconfig default --type=merge -n openshift-sriov-network-operator --patch '{ "spec": { "disableDrain": true, "configDaemonNodeSelector": { "node-role.kubernetes.io/master": "" } } }'
    Copy to Clipboard Toggle word wrap
    작은 정보

    또는 다음 YAML을 적용하여 Operator를 업데이트할 수 있습니다. 

    apiVersion: sriovnetwork.openshift.io/v1
kind: SriovOperatorConfig
metadata:
  name: default
  namespace: openshift-sriov-network-operator
spec:
  disableDrain: true
  configDaemonNodeSelector:
   node-role.kubernetes.io/master: ""
    Copy to Clipboard Toggle word wrap
10.2.1.9. 호스트된 컨트롤 플레인을 위한 SR-IOV Operator 배포
링크 복사

호스팅 서비스 클러스터를 구성하고 배포한 후 호스팅된 클러스터에서 SR-IOV Operator에 대한 서브스크립션을 생성할 수 있습니다. SR-IOV Pod는 컨트롤 플레인이 아닌 작업자 머신에서 실행됩니다.

사전 요구 사항

AWS에 호스팅 클러스터를 구성하고 배포해야 합니다.

프로세스

  1. 네임스페이스 및 Operator 그룹을 생성합니다. 

    apiVersion: v1
kind: Namespace
metadata:
  name: openshift-sriov-network-operator
---
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: sriov-network-operators
  namespace: openshift-sriov-network-operator
spec:
  targetNamespaces:
  - openshift-sriov-network-operator
    Copy to Clipboard Toggle word wrap

  2. SR-IOV Operator에 대한 서브스크립션을 생성합니다. 

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: sriov-network-operator-subsription
  namespace: openshift-sriov-network-operator
spec:
  channel: stable
  name: sriov-network-operator
  config:
    nodeSelector:
      node-role.kubernetes.io/worker: ""
  source: redhat-operators
  sourceNamespace: openshift-marketplace
    Copy to Clipboard Toggle word wrap

검증

  1. SR-IOV Operator가 준비되었는지 확인하려면 다음 명령을 실행하고 결과 출력을 확인합니다. 

    $ oc get csv -n openshift-sriov-network-operator
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                         DISPLAY                   VERSION               REPLACES                                     PHASE
sriov-network-operator.4.19.0-202211021237   SR-IOV Network Operator   4.19.0-202211021237   sriov-network-operator.4.19.0-202210290517   Succeeded
    Copy to Clipboard Toggle word wrap

  2. SR-IOV Pod가 배포되었는지 확인하려면 다음 명령을 실행합니다. 

    $ oc get pods -n openshift-sriov-network-operator
    Copy to Clipboard Toggle word wrap

10.2.2. SR-IOV 네트워크 메트릭 내보내기 정보
링크 복사

단일 루트 I/O 가상화(SR-IOV) 네트워크 메트릭 내보내기 프로그램은 SR-IOV 가상 함수(VF)에 대한 메트릭을 읽고 이러한 VF 메트릭을 Prometheus 형식으로 노출합니다. SR-IOV 네트워크 메트릭 내보내기 기능이 활성화된 경우 OpenShift Container Platform 웹 콘솔을 사용하여 SR-IOV VF 메트릭을 쿼리하여 SR-IOV 포드의 네트워킹 활동을 모니터링할 수 있습니다.

웹 콘솔을 사용하여 SR-IOV VF 메트릭을 쿼리하면 SR-IOV 네트워크 메트릭 내보내기 도구가 VF가 연결된 Pod의 이름과 네임스페이스와 함께 VF 네트워크 통계를 가져와서 반환합니다.

다음 표에서는 메트릭 내보내기 프로그램이 Prometheus 형식으로 읽고 노출하는 SR-IOV VF 메트릭에 대해 설명합니다.

Expand
표 10.2. SR-IOV VF 메트릭
지표설명VF 메트릭을 조사하기 위한 PromQL 쿼리 예

sriov_vf_rx_bytes

가상 함수당 수신된 바이트.

sriov_vf_rx_bytes * on (pciAddr,node) group_left(pod,namespace,dev_type) sriov_kubepoddevice

sriov_vf_tx_bytes

가상 함수당 전송된 바이트.

sriov_vf_tx_bytes * on (pciAddr,node) group_left(pod,namespace,dev_type) sriov_kubepoddevice

sriov_vf_rx_packets

가상 함수당 수신된 패킷.

sriov_vf_rx_packets * on (pciAddr,node) group_left(pod,namespace,dev_type) sriov_kubepoddevice

sriov_vf_tx_packets

가상 함수당 전송된 패킷.

sriov_vf_tx_packets * on (pciAddr,node) group_left(pod,namespace,dev_type) sriov_kubepoddevice

sriov_vf_rx_dropped

가상 함수당 수신 시 패킷이 삭제됩니다.

sriov_vf_rx_dropped * on (pciAddr,node) group_left(pod,namespace,dev_type) sriov_kubepoddevice

sriov_vf_tx_dropped

가상 함수당 전송 중에 삭제된 패킷.

sriov_vf_tx_dropped * on (pciAddr,node) group_left(pod,namespace,dev_type) sriov_kubepoddevice

sriov_vf_rx_multicast

가상 함수당 수신된 멀티캐스트 패킷.

sriov_vf_rx_multicast * (pciAddr, 노드) group_left(pod, 네임스페이스, 장치 유형) sriov_kubepoddevice

sriov_vf_rx_broadcast

가상 함수당 수신된 브로드캐스트 패킷.

sriov_vf_rx_bytes * on (pciAddr,node) group_left(pod,namespace,dev_type) sriov_kubepoddevice

sriov_kubepoddevice

활성 포드에 연결된 가상 함수입니다.

-

이러한 쿼리를 kube-state-metrics와 결합하여 SR-IOV 포드에 대한 자세한 정보를 얻을 수도 있습니다. 예를 들어, 다음 쿼리를 사용하면 표준 Kubernetes Pod 레이블에서 애플리케이션 이름과 함께 VF 네트워크 통계를 가져올 수 있습니다. 

(sriov_vf_tx_packets * on (pciAddr,node)  group_left(pod,namespace)  sriov_kubepoddevice) * on (pod,namespace) group_left (label_app_kubernetes_io_name) kube_pod_labels
Copy to Clipboard Toggle word wrap
10.2.2.1. SR-IOV 네트워크 메트릭 내보내기 활성화
링크 복사

단일 루트 I/O 가상화(SR-IOV) 네트워크 메트릭 내보내기 기능은 기본적으로 비활성화되어 있습니다. 메트릭 내보내기 기능을 활성화하려면 spec.featureGates.metricsExporter 필드를 true 로 설정해야 합니다.

중요

메트릭 내보내기 기능이 활성화된 경우, SR-IOV 네트워크 운영자는 SR-IOV 기능이 있는 노드에만 메트릭 내보내기 기능을 배포합니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • cluster-admin 권한이 있는 사용자로 로그인했습니다.
  • SR-IOV Network Operator가 설치되어 있습니다.

프로세스

  1. 다음 명령을 실행하여 클러스터 모니터링을 활성화하세요. 

    $ oc label ns/openshift-sriov-network-operator openshift.io/cluster-monitoring=true
    Copy to Clipboard Toggle word wrap

    클러스터 모니터링을 활성화하려면 SR-IOV 네트워크 운영자를 설치한 네임스페이스에 openshift.io/cluster-monitoring=true 레이블을 추가해야 합니다.

  2. 다음 명령을 실행하여 spec.featureGates.metricsExporter 필드를 true 로 설정합니다. 

    $ oc patch -n openshift-sriov-network-operator sriovoperatorconfig/default \
    --type='merge' -p='{"spec": {"featureGates": {"metricsExporter": true}}}'
    Copy to Clipboard Toggle word wrap

검증

  1. 다음 명령을 실행하여 SR-IOV 네트워크 메트릭 내보내기가 활성화되었는지 확인하세요. 

    $ oc get pods -n openshift-sriov-network-operator
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                     READY   STATUS    RESTARTS   AGE
operator-webhook-hzfg4                   1/1     Running   0          5d22h
sriov-network-config-daemon-tr54m        1/1     Running   0          5d22h
sriov-network-metrics-exporter-z5d7t     1/1     Running   0          10s
sriov-network-operator-cc6fd88bc-9bsmt   1/1     Running   0          5d22h
    Copy to Clipboard Toggle word wrap

    sriov-network-metrics-exporter 포드는 READY 상태여야 합니다.

  2. 선택 사항: OpenShift Container Platform 웹 콘솔을 사용하여 SR-IOV 가상 함수(VF) 메트릭을 조사합니다. 자세한 내용은 "메트릭 쿼리"를 참조하세요.

10.2.3. 다음 단계
링크 복사

10.3. SR-IOV Network Operator 설치
링크 복사

SR-IOV 네트워크 운영자를 제거하려면 실행 중인 모든 SR-IOV 워크로드를 삭제하고, 운영자를 제거하고, 운영자가 사용한 웹훅을 삭제해야 합니다.

10.3.1. SR-IOV Network Operator 설치
링크 복사

클러스터 관리자는 SR-IOV 네트워크 운영자를 제거할 수 있습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 계정을 사용하여 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.
  • SR-IOV 네트워크 운영자가 설치되어 있습니다.

프로세스

  1. 모든 SR-IOV 사용자 정의 리소스(CR)를 삭제합니다. 

    $ oc delete sriovnetwork -n openshift-sriov-network-operator --all
    Copy to Clipboard Toggle word wrap 
    $ oc delete sriovnetworknodepolicy -n openshift-sriov-network-operator --all
    Copy to Clipboard Toggle word wrap 
    $ oc delete sriovibnetwork -n openshift-sriov-network-operator --all
    Copy to Clipboard Toggle word wrap 
    $ oc delete sriovoperatorconfigs -n openshift-sriov-network-operator --all
    Copy to Clipboard Toggle word wrap
  2. 클러스터에서 SR-IOV 네트워크 운영자를 제거하려면 "클러스터에서 운영자 삭제" 섹션의 지침을 따르세요.

  3. SR-IOV 네트워크 운영자가 제거된 후에도 클러스터에 남아 있는 SR-IOV 사용자 정의 리소스 정의를 삭제합니다. 

    $ oc delete crd sriovibnetworks.sriovnetwork.openshift.io
    Copy to Clipboard Toggle word wrap 
    $ oc delete crd sriovnetworknodepolicies.sriovnetwork.openshift.io
    Copy to Clipboard Toggle word wrap 
    $ oc delete crd sriovnetworknodestates.sriovnetwork.openshift.io
    Copy to Clipboard Toggle word wrap 
    $ oc delete crd sriovnetworkpoolconfigs.sriovnetwork.openshift.io
    Copy to Clipboard Toggle word wrap 
    $ oc delete crd sriovnetworks.sriovnetwork.openshift.io
    Copy to Clipboard Toggle word wrap 
    $ oc delete crd sriovoperatorconfigs.sriovnetwork.openshift.io
    Copy to Clipboard Toggle word wrap

  4. SR-IOV 네트워크 운영자 네임스페이스를 삭제합니다. 

    $ oc delete namespace openshift-sriov-network-operator
    Copy to Clipboard Toggle word wrap

11장. DPU 운영자
링크 복사

11.1. DPU 및 DPU 운영자 정보
링크 복사

클러스터 관리자는 DPU 운영자를 클러스터에 추가하여 DPU 장치와 네트워크 연결을 관리할 수 있습니다.

중요

DPU Operator는 기술 미리보기 기능일 뿐입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

11.1.1. DPU 운영자를 사용한 DPU 조정
링크 복사

DPU(데이터 처리 장치)는 CPU, GPU와 함께 컴퓨팅의 3대 기본 요소 중 하나로 간주되는 프로그래밍 가능 프로세서 유형입니다. CPU가 일반적인 컴퓨팅 작업을 처리하고 GPU가 특정 워크로드를 가속화하는 반면, DPU의 주요 역할은 네트워킹, 스토리지, 보안 기능과 같은 데이터 중심 워크로드를 오프로드하고 가속화하는 것입니다.

DPU는 일반적으로 데이터 센터와 클라우드 환경에서 CPU에서 이러한 작업을 오프로드하여 성능을 개선하고, 지연 시간을 줄이고, 보안을 강화하는 데 사용됩니다. DPU는 특수 워크로드를 데이터 소스에 더 가깝게 배포할 수 있도록 하여 보다 효율적이고 유연한 인프라를 만드는 데에도 사용할 수 있습니다.

DPU 운영자는 DPU 장치와 네트워크 연결을 관리할 책임이 있습니다. DPU 운영자는 DPU 데몬을 OpenShift Container Platform 컴퓨팅 노드에 배포하고, 이 노드는 DPU에서 실행되는 DPU 데몬을 제어하는 API를 통해 인터페이스합니다. DPU 운영자는 ovn-kube 구성 요소의 수명 주기 관리와 DPU에서 필요한 호스트 네트워크 초기화를 담당합니다.

현재 지원되는 DPU 장치는 다음 표에 설명되어 있습니다.

Expand
표 11.1. 지원되는 장치
vendor장치펌웨어설명

Intel

IPU E2100

버전 2.0.0.11126 이상

데이터 센터의 호스트 CPU에서 네트워킹, 스토리지, 보안 작업을 오프로드하여 효율성과 성능을 개선하도록 설계된 DPU입니다. 엔드투엔드 전체 솔루션을 배포하는 방법에 대한 지침은 Intel E2100 IPU, DPU Operator 및 F5 NGINX를 사용하여 OpenShift에서 기밀 AI 가속화라는 Red Hat Knowledgebase 솔루션을 참조하세요.

11.2. DPU 오퍼레이터 설치
링크 복사

클러스터에 DPU(데이터 처리 장치) 운영자를 설치하여 DPU 장치와 네트워크 연결을 관리할 수 있습니다. 호스트 클러스터와 모든 DPU 클러스터에 DPU Operator를 설치합니다. DPU 운영자는 지원되는 모든 DPU의 수명 주기를 관리합니다.

클러스터 관리자는 OpenShift Container Platform CLI 또는 웹 콘솔을 사용하여 NFD Operator를 설치할 수 있습니다.

참고

호스트 클러스터와 각 DPU 클러스터에 DPU Operator를 설치해야 합니다.

11.2.1. CLI를 사용하여 DPU Operator 설치
링크 복사

클러스터 관리자는 CLI를 사용하여 Operator를 설치할 수 있습니다.

참고

DPU 클러스터에 DPU Operator를 설치하려면 CLI를 사용해야 합니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 계정.

프로세스

  1. 다음 명령을 입력하여 openshift-dpu-operator 네임스페이스를 만듭니다. 

    $ cat << EOF| oc create -f -
apiVersion: v1
kind: Namespace
metadata:
  name: openshift-dpu-operator
  annotations:
    workload.openshift.io/allowed: management
EOF
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 입력하여 OperatorGroup 사용자 정의 리소스(CR)를 만듭니다. 

    $ cat << EOF| oc create -f -
apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: dpu-operators
  namespace: openshift-dpu-operator
spec:
  targetNamespaces:
  - openshift-dpu-operator
EOF
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 입력하여 DPU 운영자에 대한 구독 CR을 만듭니다. 

    $ cat << EOF| oc create -f -
apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: openshift-dpu-operator-subscription
  namespace: openshift-dpu-operator
spec:
  channel: stable
  name: dpu-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
EOF
    Copy to Clipboard Toggle word wrap

검증

  1. Operator가 설치되었는지 확인하려면 다음 명령을 입력한 다음 Operator에 대해 출력에 Succeeded가 표시되는지 확인하세요. 

    $ oc get csv -n openshift-dpu-operator \
  -o custom-columns=Name:.metadata.name,Phase:.status.phase
    Copy to Clipboard Toggle word wrap

  2. openshift-dpu-operator 프로젝트 변경: 

    $ oc project openshift-dpu-operator
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 입력하여 DPU Operator가 실행 중인지 확인하세요. 

    $ oc get pods -n openshift-dpu-operator
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                                               READY   STATUS    RESTARTS   AGE
dpu-operator-controller-manager-6b7bbb5db8-7lvkj   2/2     Running   0          2m9s
    Copy to Clipboard Toggle word wrap

11.2.2. 웹 콘솔을 사용하여 DPU Operator 설치
링크 복사

클러스터 관리자는 웹 콘솔을 사용하여 DPU Operator를 설치할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 계정.

프로세스

  1. OpenShift Container Platform 웹 콘솔에서 OperatorOperatorHub를 클릭합니다.
  2. 사용 가능한 Operator 목록에서 PTP Operator를 선택한 다음 설치를 클릭합니다.

  3. Operator 설치 페이지의 설치된 네임스페이스 에서 Operator가 권장하는 네임스페이스 옵션이 기본적으로 미리 선택되어 있습니다. 작업이 필요하지 않습니다.

    1. 설치를 클릭합니다.

검증

  1. Operator설치된 Operator 페이지로 이동합니다.

  2. DPU Operator가 openshift-dpu-operator 프로젝트에 InstallSucceeded 상태 로 나열되어 있는지 확인하세요.

    참고

    설치 중에 Operator는 실패 상태를 표시할 수 있습니다. 나중에 InstallSucceeded 메시지와 함께 설치에 성공하면 이 실패 메시지를 무시할 수 있습니다.

문제 해결

  • Operator 서브스크립션설치 계획 탭의 상태 아래에서 장애 또는 오류가 있는지 점검합니다.
  • 워크로드Pod 페이지로 이동하여 openshift-dpu-operator 프로젝트의 Pod 로그를 확인하세요.

  • YAML 파일의 네임스페이스를 확인하세요. 주석이 누락된 경우 다음 명령을 사용하여 Operator 네임스페이스에 workload.openshift.io/allowed=management 주석을 추가할 수 있습니다. 

    $ oc annotate ns/openshift-dpu-operator workload.openshift.io/allowed=management
    Copy to Clipboard Toggle word wrap
    참고

    단일 노드 OpenShift 클러스터의 경우 네임스페이스에 workload.openshift.io/allowed=management 주석이 필요합니다.

11.2.3. 다음 단계
링크 복사

11.3. DPU 운영자 구성
링크 복사

DPU 운영자를 구성하여 클러스터의 DPU 장치와 네트워크 연결을 관리할 수 있습니다.

11.3.1. DPU 운영자 구성
링크 복사

DPU 운영자를 구성하려면 다음 단계를 따르세요.

프로세스

  1. 호스트 클러스터와 각 DPU 클러스터 모두에 DpuOperatorConfig 사용자 정의 리소스(CR)를 만듭니다. 이 CR이 생성된 후 각 클러스터의 DPU 운영자가 활성화됩니다.

  2. 다음 YAML을 사용하여 dpu-operator-host-config.yaml 이라는 파일을 만듭니다. 

    apiVersion: config.openshift.io/v1
kind: DpuOperatorConfig
metadata:
 name: dpu-operator-config
    1 
    
spec:
 mode: host
    2
    Copy to Clipboard Toggle word wrap
    1
    사용자 정의 리소스의 이름은 dpu-operator-config 여야 합니다.
    2
    호스트 클러스터에서 호스트 로 값을 설정합니다. DPU당 하나의 MicroShift 클러스터를 실행하는 각 DPU 클러스터에서 값을 dpu 로 설정합니다.

  3. 다음 명령을 실행하여 리소스를 생성합니다. 

    $ oc apply -f dpu-operator-host-config.yaml
    Copy to Clipboard Toggle word wrap

  4. DPU가 연결되어 있거나 DPU로 기능하는 모든 노드에 레이블을 지정해야 합니다. 호스트 클러스터에서 이는 각 노드에 dpu=true 로 연결된 DPU가 있다고 가정하고 모든 컴퓨팅 노드에 레이블을 지정하는 것을 의미합니다. 각 MicroShift 클러스터가 단일 노드로 구성된 DPU에서 각 클러스터의 단일 노드에 dpu=true라는 레이블을 지정합니다. 다음 명령을 실행하여 이 레이블을 적용할 수 있습니다. 

    $ oc label node <node_name> dpu=true
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    node_name
    : worker-1 과 같은 노드의 이름을 나타냅니다.

11.4. DPU에서 작업 실행
링크 복사

DPU에서 워크로드를 실행하면 네트워킹, 보안, 스토리지 등의 특수 인프라 작업을 전용 처리 장치에 오프로드할 수 있습니다. 이를 통해 성능이 향상되고, 인프라와 애플리케이션 워크로드 간에 더 강력한 보안 경계가 적용되며, 호스트 CPU 리소스가 확보됩니다.

11.4.1. DPU에서 작업 실행
링크 복사

DPU에 워크로드를 배포하려면 다음 단계를 따르세요.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있어야 합니다.
  • 클러스터 관리자 권한이 있는 계정을 사용할 수 있습니다.
  • DPU Operator가 설치되었습니다.

프로세스

  1. 다음 YAML을 사용하여 호스트 측에서 샘플 워크로드를 만들고 파일을 workload-host.yaml 로 저장합니다. 

    apiVersion: v1
kind: Pod
metadata:
  name: my-pod
  namespace: default
  annotations:
    k8s.v1.cni.cncf.io/networks: default-sriov-net
spec:
  nodeSelector:
    kubernetes.io/hostname: worker-237
    1 
    
  containers:
  - name: appcntr1
    image: registry.access.redhat.com/ubi9/ubi:latest
    command: ['/bin/sh', '-c', 'sleep infinity']
    imagePullPolicy: Always
    securityContext:
      priviledged: true
      runAsNonRoot: false
      runAsUser: 0
      seccompProfile:
        type: RuntimeDefault
    resources:
      requests:
        openshift.io/dpu: '1'
      limits:
        openshift.io/dpu: '1'
    Copy to Clipboard Toggle word wrap
    1
    워크로드가 배포되는 노드의 이름입니다.

  2. 다음 명령을 실행하여 작업 부하를 생성합니다. 

    $ oc apply -f workload-host.yaml
    Copy to Clipboard Toggle word wrap

11.4.2. DPU에 서비스 기능 체인 생성
링크 복사

네트워크 서비스 체이닝은 서비스 기능 체이닝(SFC)이라고도 하며, 소프트웨어 정의 네트워킹(SDN) 기능을 사용하여 방화벽, 네트워크 주소 변환(NAT), 침입 방지와 같은 L4-7 서비스와 같은 연결된 네트워크 서비스 체인을 생성하는 기능입니다.

서비스 기능 체인에서 네트워크 기능 my-network-function을 생성하려면 DPU에서 이 절차를 따르세요.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 계정.
  • DPU Operator를 설치합니다.

프로세스

  1. 다음 YAML 파일 예를 sfc.yaml 로 저장합니다. 

    apiVersion: config.openshift.io/v1
kind: ServiceFunctionChain
metadata:
  name: sfc
  namespace: openshift-dpu-operator
spec:
  networkFunctions:
  - name: my-network-function
    1 
    
    image: quay.io/example-org/my-network-function:latest
    2
    Copy to Clipboard Toggle word wrap
    1
    네트워크 기능의 이름입니다. 이 이름은 서비스 기능 체인에서 네트워크 기능을 식별하는 데 사용됩니다.
    2
    네트워크 기능이 포함된 컨테이너 이미지의 URL입니다. 이미지는 DPU에서 접근할 수 있어야 합니다.

  2. DPU 노드에서 다음 명령을 실행하여 체인을 생성합니다. 

    $ oc apply -f sfc.yaml
    Copy to Clipboard Toggle word wrap

11.5. DPU Operator 제거
링크 복사

DPU Operator를 제거하려면 먼저 실행 중인 DPU 워크로드를 삭제해야 합니다. DPU Operator를 제거하려면 다음 절차를 따르세요.

11.5.1. DPU Operator 제거
링크 복사

클러스터 관리자는 DPU Operator를 제거할 수 있습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 계정을 사용하여 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.
  • DPU Operator가 설치되어 있습니다.

프로세스

  1. 다음 명령을 실행하여 생성된 DpuOperatorConfig CR을 삭제합니다. 

    $ oc delete DpuOperatorConfig dpu-operator-config
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 실행하여 DPU Operator를 설치하는 데 사용된 구독을 삭제합니다. 

    $ oc delete Subscription openshift-dpu-operator-subscription -n openshift-dpu-operator
    Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 생성된 OperatorGroup 리소스를 제거합니다. 

    $ oc delete OperatorGroup dpu-operators -n openshift-dpu-operator
    Copy to Clipboard Toggle word wrap

  4. 다음과 같이 DPU Operator를 제거하세요.

    1. 다음 명령을 실행하여 설치된 Operators를 확인하세요. 

      $ oc get csv -n openshift-dpu-operator
      Copy to Clipboard Toggle word wrap

      출력 예

      NAME                                DISPLAY        VERSION               REPLACES   PHASE
dpu-operator.v4.19.0-202503130333   DPU Operator   4.19.0-202503130333              Failed
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 DPU Operator를 삭제합니다. 

      $ oc delete csv dpu-operator.v4.19.0-202503130333 -n openshift-dpu-operator
      Copy to Clipboard Toggle word wrap

  5. 다음 명령을 실행하여 DPU Operator용으로 생성된 네임스페이스를 삭제합니다. 

    $ oc delete namespace openshift-dpu-operator
    Copy to Clipboard Toggle word wrap

검증

  1. 다음 명령을 실행하여 DPU Operator가 제거되었는지 확인하세요. 성공적인 명령 출력의 예는 'openshift-dpu-operator 네임스페이스에서 리소스를 찾을 수 없습니다' 입니다. 

    $ oc get csv -n openshift-dpu-operator
    Copy to Clipboard Toggle word wrap

Legal Notice
링크 복사

Copyright © 2025 Red Hat

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat