Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

8.9. Ingress 컨트롤러 구성

8.9.1. 사용자 정의 기본 인증서 설정
링크 복사

관리자는 Secret 리소스를 생성하고 IngressController CR(사용자 정의 리소스)을 편집하여 사용자 정의 인증서를 사용하도록 Ingress 컨트롤러를 구성할 수 있습니다.

사전 요구 사항

  • PEM 인코딩 파일에 인증서/키 쌍이 있어야 합니다. 이때 인증서는 신뢰할 수 있는 인증 기관 또는 사용자 정의 PKI에서 구성한 신뢰할 수 있는 개인 인증 기관의 서명을 받은 인증서입니다.

  • 인증서가 다음 요구 사항을 충족합니다.

    • 인증서가 Ingress 도메인에 유효해야 합니다.
    • 인증서는 subjectAltName 확장자를 사용하여 *.apps.ocp4.example.com과 같은 와일드카드 도메인을 지정합니다.

  • IngressController CR이 있어야 합니다. 여기에는 기본 IngressController CR이 포함됩니다. 다음 명령을 실행하여 IngressController CR이 있는지 확인할 수 있습니다. 

    $ oc --namespace openshift-ingress-operator get ingresscontrollers
    Copy to Clipboard Toggle word wrap
참고

임시 인증서가 있는 경우 사용자 정의 기본 인증서가 포함 된 보안의 tls.crt 파일에 인증서가 포함되어 있어야 합니다. 인증서를 지정하는 경우에는 순서가 중요합니다. 서버 인증서 다음에 임시 인증서를 나열해야 합니다.

프로세스

아래에서는 사용자 정의 인증서 및 키 쌍이 현재 작업 디렉터리의 tls.crttls.key 파일에 있다고 가정합니다. 그리고 tls.crttls.key의 실제 경로 이름으로 변경합니다. Secret 리소스를 생성하고 IngressController CR에서 참조하는 경우 custom-certs-default를 다른 이름으로 변경할 수도 있습니다.

참고

이 작업을 수행하면 롤링 배포 전략에 따라 Ingress 컨트롤러가 재배포됩니다.

  1. tls.crttls.key 파일을 사용하여 openshift-ingress 네임스페이스에 사용자 정의 인증서를 포함하는 Secret 리소스를 만듭니다. 

    $ oc --namespace openshift-ingress create secret tls custom-certs-default --cert=tls.crt --key=tls.key
    Copy to Clipboard Toggle word wrap

  2. 새 인증서 보안 키를 참조하도록 IngressController CR을 업데이트합니다. 

    $ oc patch --type=merge --namespace openshift-ingress-operator ingresscontrollers/default \
  --patch '{"spec":{"defaultCertificate":{"name":"custom-certs-default"}}}'
    Copy to Clipboard Toggle word wrap

  3. 업데이트가 적용되었는지 확인합니다. 

    $ echo Q |\
  openssl s_client -connect console-openshift-console.apps.<domain>:443 -showcerts 2>/dev/null |\
  openssl x509 -noout -subject -issuer -enddate
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <domain>
    클러스터의 기본 도메인 이름을 지정합니다.

    출력 예

    subject=C = US, ST = NC, L = Raleigh, O = RH, OU = OCP4, CN = *.apps.example.com
issuer=C = US, ST = NC, L = Raleigh, O = RH, OU = OCP4, CN = example.com
notAfter=May 10 08:32:45 2022 GM
    Copy to Clipboard Toggle word wrap

    작은 정보

    다음 YAML을 적용하여 사용자 지정 기본 인증서를 설정할 수 있습니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  defaultCertificate:
    name: custom-certs-default
    Copy to Clipboard Toggle word wrap

    인증서 보안 이름은 CR을 업데이트하는 데 사용된 값과 일치해야 합니다.

IngressController CR이 수정되면 Ingress Operator는 사용자 정의 인증서를 사용하도록 Ingress 컨트롤러의 배포를 업데이트합니다.

8.9.2. 사용자 정의 기본 인증서 제거
링크 복사

관리자는 Ingress Controller에서 사용하도록 구성한 사용자 지정 인증서를 제거할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.
  • 이전에 Ingress Controller에 대한 사용자 지정 기본 인증서를 구성했습니다.

프로세스

  • 사용자 정의 인증서를 제거하고 OpenShift Container Platform과 함께 제공되는 인증서를 복원하려면 다음 명령을 입력하세요. 

    $ oc patch -n openshift-ingress-operator ingresscontrollers/default \
  --type json -p $'- op: remove\n  path: /spec/defaultCertificate'
    Copy to Clipboard Toggle word wrap

    클러스터가 새로운 인증서 구성을 조정하는 동안 지연이 발생할 수 있습니다.

검증

  • 원래 클러스터 인증서가 복원되었는지 확인하려면 다음 명령을 입력하세요. 

    $ echo Q | \
  openssl s_client -connect console-openshift-console.apps.<domain>:443 -showcerts 2>/dev/null | \
  openssl x509 -noout -subject -issuer -enddate
    Copy to Clipboard Toggle word wrap

    다음과 같습니다.

    <domain>
    클러스터의 기본 도메인 이름을 지정합니다.

    출력 예

    subject=CN = *.apps.<domain>
issuer=CN = ingress-operator@1620633373
notAfter=May 10 10:44:36 2023 GMT
    Copy to Clipboard Toggle word wrap

8.9.3. Ingress 컨트롤러 자동 확장
링크 복사

라우팅 성능이나 처리량 증가 요구 사항 등 가용성 요구 사항을 동적으로 충족하기 위해 Ingress Controller를 자동으로 확장할 수 있습니다.

다음 절차에서는 기본 Ingress 컨트롤러를 확장하는 방법에 대한 예를 제공합니다.

사전 요구 사항

  • OpenShift CLI( oc )가 설치되어 있습니다.
  • cluster-admin 역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.

  • Custom Metrics Autoscaler Operator와 관련 KEDA 컨트롤러를 설치했습니다.

    • 웹 콘솔에서 OperatorHub를 사용하여 Operator를 설치할 수 있습니다. Operator를 설치한 후 KedaController 인스턴스를 생성할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 Thanos에 인증할 서비스 계정을 만듭니다. 

    $ oc create -n openshift-ingress-operator serviceaccount thanos && oc describe -n openshift-ingress-operator serviceaccount thanos
    Copy to Clipboard Toggle word wrap

    출력 예

    Name:                thanos
Namespace:           openshift-ingress-operator
Labels:              <none>
Annotations:         <none>
Image pull secrets:  thanos-dockercfg-kfvf2
Mountable secrets:   thanos-dockercfg-kfvf2
Tokens:              <none>
Events:              <none>
    Copy to Clipboard Toggle word wrap

  2. 다음 명령을 사용하여 서비스 계정 비밀 토큰을 수동으로 생성합니다. 

    $ oc apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: thanos-token
  namespace: openshift-ingress-operator
  annotations:
    kubernetes.io/service-account.name: thanos
type: kubernetes.io/service-account-token
EOF
    Copy to Clipboard Toggle word wrap

  3. 서비스 계정의 토큰을 사용하여 openshift-ingress-operator 네임스페이스 내에 TriggerAuthentication 객체를 정의합니다.

    1. TriggerAuthentication 객체를 생성하고 secret 변수 값을 TOKEN 매개변수에 전달합니다. 

      $ oc apply -f - <<EOF
apiVersion: keda.sh/v1alpha1
kind: TriggerAuthentication
metadata:
  name: keda-trigger-auth-prometheus
  namespace: openshift-ingress-operator
spec:
  secretTargetRef:
  - parameter: bearerToken
    name: thanos-token
    key: token
  - parameter: ca
    name: thanos-token
    key: ca.crt
EOF
      Copy to Clipboard Toggle word wrap

  4. Thanos에서 메트릭을 읽기 위한 역할을 만들고 적용합니다.

    1. 포드와 노드에서 메트릭을 읽는 새로운 역할인 thanos-metrics-reader.yaml을 만듭니다.

      thanos-metrics-reader.yaml

      apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: thanos-metrics-reader
  namespace: openshift-ingress-operator
rules:
- apiGroups:
  - ""
  resources:
  - pods
  - nodes
  verbs:
  - get
- apiGroups:
  - metrics.k8s.io
  resources:
  - pods
  - nodes
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - namespaces
  verbs:
  - get
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 새로운 역할을 적용합니다. 

      $ oc apply -f thanos-metrics-reader.yaml
      Copy to Clipboard Toggle word wrap

  5. 다음 명령을 입력하여 서비스 계정에 새 역할을 추가합니다. 

    $ oc adm policy -n openshift-ingress-operator add-role-to-user thanos-metrics-reader -z thanos --role-namespace=openshift-ingress-operator
    Copy to Clipboard Toggle word wrap 
    $ oc adm policy -n openshift-ingress-operator add-cluster-role-to-user cluster-monitoring-view -z thanos
    Copy to Clipboard Toggle word wrap
    참고

    add-cluster-role-to-user 인수는 크로스 네임스페이스 쿼리를 사용하는 경우에만 필요합니다. 다음 단계에서는 이 인수가 필요한 kube-metrics 네임스페이스의 쿼리를 사용합니다.

  6. 기본 Ingress Controller 배포를 대상으로 하는 새로운 ScaledObject YAML 파일인 ingress-autoscaler.yaml 을 만듭니다.

    ScaledObject 정의 예제

    apiVersion: keda.sh/v1alpha1
kind: ScaledObject
metadata:
  name: ingress-scaler
  namespace: openshift-ingress-operator
spec:
  scaleTargetRef:
    1 
    
    apiVersion: operator.openshift.io/v1
    kind: IngressController
    name: default
    envSourceContainerName: ingress-operator
  minReplicaCount: 1
  maxReplicaCount: 20
    2 
    
  cooldownPeriod: 1
  pollingInterval: 1
  triggers:
  - type: prometheus
    metricType: AverageValue
    metadata:
      serverAddress: https://thanos-querier.openshift-monitoring.svc.cluster.local:9091
    3 
    
      namespace: openshift-ingress-operator
    4 
    
      metricName: 'kube-node-role'
      threshold: '1'
      query: 'sum(kube_node_role{role="worker",service="kube-state-metrics"})'
    5 
    
      authModes: "bearer"
    authenticationRef:
      name: keda-trigger-auth-prometheus
    Copy to Clipboard Toggle word wrap

    1
    타겟팅하고 있는 사용자 정의 리소스입니다. 이 경우에는 Ingress Controller입니다.
    2
    선택 사항: 복제본의 최대 수. 이 필드를 생략하면 기본 최대값은 100개 복제본으로 설정됩니다.
    3
    openshift-monitoring 네임스페이스의 Thanos 서비스 엔드포인트.
    4
    Ingress Operator 네임스페이스.
    5
    이 표현식은 배포된 클러스터에 있는 작업자 노드의 수를 평가합니다.
    중요

    크로스 네임스페이스 쿼리를 사용하는 경우 serverAddress 필드에서 포트 9092가 아닌 포트 9091을 대상으로 지정해야 합니다. 이 포트에서 메트릭을 읽으려면 상승된 권한이 있어야 합니다.

  7. 다음 명령을 실행하여 사용자 정의 리소스 정의를 적용합니다. 

    $ oc apply -f ingress-autoscaler.yaml
    Copy to Clipboard Toggle word wrap

검증

  • 다음 명령을 실행하여 기본 Ingress 컨트롤러가 kube-state-metrics 쿼리에서 반환된 값과 일치하도록 확장되었는지 확인하세요.

    • grep 명령을 사용하여 Ingress Controller YAML 파일에서 복제본 수를 검색합니다. 

      $ oc get -n openshift-ingress-operator ingresscontroller/default -o yaml | grep replicas:
      Copy to Clipboard Toggle word wrap

    • openshift-ingress 프로젝트에서 포드를 가져옵니다. 

      $ oc get pods -n openshift-ingress
      Copy to Clipboard Toggle word wrap

      출력 예

      NAME                             READY   STATUS    RESTARTS   AGE
router-default-7b5df44ff-l9pmm   2/2     Running   0          17h
router-default-7b5df44ff-s5sl5   2/2     Running   0          3d22h
router-default-7b5df44ff-wwsth   2/2     Running   0          66s
      Copy to Clipboard Toggle word wrap

8.9.4. Ingress 컨트롤러 확장
링크 복사

처리량 증가 요구 등 라우팅 성능 또는 가용성 요구 사항을 충족하도록 Ingress 컨트롤러를 수동으로 확장할 수 있습니다. IngressController 리소스를 확장하려면 oc 명령을 사용합니다. 다음 절차는 기본 IngressController를 확장하는 예제입니다.

참고

원하는 수의 복제본을 만드는 데에는 시간이 걸리기 때문에 확장은 즉시 적용되지 않습니다.

프로세스

  1. 기본 IngressController의 현재 사용 가능한 복제본 개수를 살펴봅니다. 

    $ oc get -n openshift-ingress-operator ingresscontrollers/default -o jsonpath='{$.status.availableReplicas}'
    Copy to Clipboard Toggle word wrap

  2. oc patch 명령을 사용하여 기본 IngressController를 원하는 복제본 수로 확장합니다. 다음 예제에서는 기본 IngressController를 3개의 복제본으로 확장합니다. 

    $ oc patch -n openshift-ingress-operator ingresscontroller/default --patch '{"spec":{"replicas": 3}}' --type=merge
    Copy to Clipboard Toggle word wrap

  3. 기본 IngressController가 지정한 복제본 수에 맞게 조정되었는지 확인합니다. 

    $ oc get -n openshift-ingress-operator ingresscontrollers/default -o jsonpath='{$.status.availableReplicas}'
    Copy to Clipboard Toggle word wrap
    작은 정보

    또는 다음 YAML을 적용하여 Ingress 컨트롤러를 세 개의 복제본으로 확장할 수 있습니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 3
    1
    Copy to Clipboard Toggle word wrap
    1
    다른 양의 복제본이 필요한 경우 replicas 값을 변경합니다.

8.9.5. 수신 액세스 로깅 구성
링크 복사

Ingress 컨트롤러가 로그에 액세스하도록 구성할 수 있습니다. 수신 트래픽이 많지 않은 클러스터의 경우 사이드카에 로그를 기록할 수 있습니다. 트래픽이 많은 클러스터가 있는 경우 로깅 스택의 용량을 초과하지 않거나 OpenShift Container Platform 외부의 로깅 인프라와 통합하기 위해 사용자 정의 syslog 끝점으로 로그를 전달할 수 있습니다. 액세스 로그의 형식을 지정할 수도 있습니다.

컨테이너 로깅은 기존 Syslog 로깅 인프라가 없는 경우 트래픽이 적은 클러스터에서 액세스 로그를 활성화하거나 Ingress 컨트롤러의 문제를 진단하는 동안 단기적으로 사용하는 데 유용합니다.

액세스 로그가 OpenShift 로깅 스택 용량을 초과할 수 있는 트래픽이 많은 클러스터 또는 로깅 솔루션이 기존 Syslog 로깅 인프라와 통합되어야 하는 환경에는 Syslog가 필요합니다. Syslog 사용 사례는 중첩될 수 있습니다.

사전 요구 사항

  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

사이드카에 Ingress 액세스 로깅을 구성합니다.

  • 수신 액세스 로깅을 구성하려면 spec.logging.access.destination을 사용하여 대상을 지정해야 합니다. 사이드카 컨테이너에 로깅을 지정하려면 Container spec.logging.access.destination.type을 지정해야 합니다. 다음 예제는 Container 대상에 로그를 기록하는 Ingress 컨트롤러 정의입니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        type: Container
    Copy to Clipboard Toggle word wrap

  • 사이드카에 로그를 기록하도록 Ingress 컨트롤러를 구성하면 Operator는 Ingress 컨트롤러 Pod에 logs 라는 컨테이너를 만듭니다. 

    $ oc -n openshift-ingress logs deployment.apps/router-default -c logs
    Copy to Clipboard Toggle word wrap

    출력 예

    2020-05-11T19:11:50.135710+00:00 router-default-57dfc6cd95-bpmk6 router-default-57dfc6cd95-bpmk6 haproxy[108]: 174.19.21.82:39654 [11/May/2020:19:11:50.133] public be_http:hello-openshift:hello-openshift/pod:hello-openshift:hello-openshift:10.128.2.12:8080 0/0/1/0/1 200 142 - - --NI 1/1/0/0/0 0/0 "GET / HTTP/1.1"
    Copy to Clipboard Toggle word wrap

Syslog 끝점에 대한 Ingress 액세스 로깅을 구성합니다.

  • 수신 액세스 로깅을 구성하려면 spec.logging.access.destination을 사용하여 대상을 지정해야 합니다. Syslog 끝점 대상에 로깅을 지정하려면 spec.logging.access.destination.type에 대한 Syslog를 지정해야 합니다. 대상 유형이 Syslog 인 경우 spec.logging.access.destination.syslog.address를 사용하여 대상 엔드포인트를 지정해야 하며 spec.logging.access.destination.syslog.facility를 사용하여 시설을 지정할 수 있습니다. 다음 예제는 Syslog 대상에 로그를 기록하는 Ingress 컨트롤러 정의입니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        type: Syslog
        syslog:
          address: 1.2.3.4
          port: 10514
    Copy to Clipboard Toggle word wrap
    참고

    syslog 대상 포트는 UDP여야 합니다.

    Syslog 대상 주소는 IP 주소여야 합니다. DNS 호스트 이름을 지원하지 않습니다.

특정 로그 형식으로 Ingress 액세스 로깅을 구성합니다.

  • spec.logging.access.httpLogFormat을 지정하여 로그 형식을 사용자 정의할 수 있습니다. 다음 예제는 IP 주소 1.2.3.4 및 포트 10514를 사용하여 syslog 끝점에 로그하는 Ingress 컨트롤러 정의입니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        type: Syslog
        syslog:
          address: 1.2.3.4
          port: 10514
      httpLogFormat: '%ci:%cp [%t] %ft %b/%s %B %bq %HM %HU %HV'
    Copy to Clipboard Toggle word wrap

Ingress 액세스 로깅을 비활성화합니다.

  • Ingress 액세스 로깅을 비활성화하려면 spec.logging 또는 spec.logging.access를 비워 둡니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access: null
    Copy to Clipboard Toggle word wrap

사이드카를 사용할 때 Ingress Controller가 HAProxy 로그 길이를 수정할 수 있도록 허용합니다.

  • spec.logging.access.destination.type: Syslog를 사용하는 경우 spec.logging.access.destination.syslog.maxLength를 사용하세요. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        type: Syslog
        syslog:
          address: 1.2.3.4
          maxLength: 4096
          port: 10514
    Copy to Clipboard Toggle word wrap

  • spec.logging.access.destination.type : Container를 사용하는 경우 spec.logging.access.destination.container.maxLength를 사용하세요. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  replicas: 2
  logging:
    access:
      destination:
        container:
          maxLength: 8192
        type: Container
      httpCaptureHeaders:
        request:
        - maxLength: 128
          name: X-Forwarded-For
    Copy to Clipboard Toggle word wrap
  • Ingress 액세스 로그에서 X-Forwarded-For 헤더를 사용하여 원래 클라이언트 소스 IP 주소를 보려면 Red Hat Knowledgebase 솔루션인 "Ingress 및 애플리케이션 로그의 X-Forwarded-For 헤더에서 원래 클라이언트 IP 캡처"를 참조하세요.

8.9.6. Ingress 컨트롤러 스레드 수 설정
링크 복사

클러스터 관리자는 클러스터에서 처리할 수 있는 들어오는 연결의 양을 늘리기 위해 스레드 수를 설정할 수 있습니다. 기존 Ingress 컨트롤러에 패치하여 스레드의 양을 늘릴 수 있습니다.

사전 요구 사항

  • 다음은 Ingress 컨트롤러를 이미 생성했다고 가정합니다.

프로세스

  • 스레드 수를 늘리도록 Ingress 컨트롤러를 업데이트합니다. 

    $ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"threadCount": 8}}}'
    Copy to Clipboard Toggle word wrap
    참고

    많은 리소스를 실행할 수 있는 노드가 있는 경우 원하는 노드의 용량과 일치하는 라벨을 사용하여 spec.nodePlacement.nodeSelector를 구성하고 spec.tuningOptions.threadCount를 적절하게 높은 값으로 구성할 수 있습니다.

8.9.7. 내부 로드 밸런서를 사용하도록 Ingress 컨트롤러 구성
링크 복사

클라우드 플랫폼에서 Ingress 컨트롤러를 생성할 때 Ingress 컨트롤러는 기본적으로 퍼블릭 클라우드 로드 밸런서에 의해 게시됩니다. 관리자는 내부 클라우드 로드 밸런서를 사용하는 Ingress 컨트롤러를 생성할 수 있습니다.

주의

클라우드 공급자가 Microsoft Azure인 경우 노드를 가리키는 퍼블릭 로드 밸런서가 하나 이상 있어야 합니다. 그렇지 않으면 모든 노드의 인터넷 연결이 끊어집니다.

중요

IngressController범위를 변경하려면 사용자 정의 리소스(CR)를 만든 후 .spec.endpointPublishingStrategy.loadBalancer.scope 매개변수를 변경할 수 있습니다.

그림 8.1. LoadBalancer 다이어그램

OpenShift 컨테이너 플랫폼 Ingress LoadBalancer 서비스 엔드포인트 게시 전략
View larger image
OpenShift 컨테이너 플랫폼 Ingress LoadBalancer 서비스 엔드포인트 게시 전략

위의 그래픽은 OpenShift Container Platform Ingress LoadBalancerService 엔드포인트 게시 전략과 관련된 다음 개념을 보여줍니다.

  • 클라우드 공급자 로드 밸런서를 사용하여 외부적으로 로드 밸런싱을 수행하거나, OpenShift Ingress Controller 로드 밸런서를 사용하여 내부적으로 로드 밸런싱을 수행할 수 있습니다.
  • 그래픽에 표시된 클러스터에 표시된 대로 로드 밸런서의 단일 IP 주소와 8080 및 4200과 같은 보다 익숙한 포트를 사용할 수 있습니다.
  • 외부 로드 밸런서의 트래픽은 포드로 전달되고, 다운 노드의 경우에서 볼 수 있듯이 로드 밸런서에서 관리됩니다. 구현 세부 사항은 Kubernetes 서비스 설명서를 참조하십시오.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. 다음 예제와 같이 <name>-ingress-controller.yam 파일에 IngressController CR(사용자 정의 리소스)을 생성합니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  namespace: openshift-ingress-operator
  name: <name>
    1 
    
spec:
  domain: <domain>
    2 
    
  endpointPublishingStrategy:
    type: LoadBalancerService
    loadBalancer:
      scope: Internal
    3
    Copy to Clipboard Toggle word wrap
    1
    <name>IngressController 오브젝트의 이름으로 변경합니다.
    2
    컨트롤러가 게시한 애플리케이션의 domain을 지정합니다.
    3
    내부 로드 밸런서를 사용하려면 Internal 값을 지정합니다.

  2. 다음 명령을 실행하여 이전 단계에서 정의된 Ingress 컨트롤러를 생성합니다. 

    $ oc create -f <name>-ingress-controller.yaml
    1
    Copy to Clipboard Toggle word wrap
    1
    <name>IngressController 오브젝트의 이름으로 변경합니다.

  3. 선택 사항: Ingress 컨트롤러가 생성되었는지 확인하려면 다음 명령을 실행합니다. 

    $ oc --all-namespaces=true get ingresscontrollers
    Copy to Clipboard Toggle word wrap

8.9.8. GCP에서 Ingress 컨트롤러에 대한 글로벌 액세스 구성
링크 복사

내부 로드 밸런서가 있는 GCP에서 생성된 Ingress 컨트롤러는 서비스의 내부 IP 주소를 생성합니다. 클러스터 관리자는 로드 밸런서와 동일한 VPC 네트워크 및 컴퓨팅 리전 내의 모든 리전의 클라이언트가 클러스터에서 실행되는 워크로드에 도달할 수 있도록 하는 글로벌 액세스 옵션을 지정할 수 있습니다.

자세한 내용은 글로벌 액세스에 대한 GCP 설명서를 참조하십시오.

사전 요구 사항

  • GCP 인프라에 OpenShift Container Platform 클러스터를 배포했습니다.
  • 내부 로드 밸런서를 사용하도록 Ingress 컨트롤러 구성
  • OpenShift CLI(oc)를 설치합니다.

프로세스

  1. 글로벌 액세스를 허용하도록 Ingress 컨트롤러 리소스를 구성합니다.

    참고

    Ingress 컨트롤러를 생성하고 글로벌 액세스 옵션을 지정할 수도 있습니다.

    1. Ingress 컨트롤러 리소스를 구성합니다. 

      $ oc -n openshift-ingress-operator edit ingresscontroller/default
      Copy to Clipboard Toggle word wrap

    2. YAML 파일을 편집합니다.

      Global에 대한 clientAccess 구성 샘플

        spec:
    endpointPublishingStrategy:
      loadBalancer:
        providerParameters:
          gcp:
            clientAccess: Global
      1 
      
          type: GCP
        scope: Internal
      type: LoadBalancerService
      Copy to Clipboard Toggle word wrap

      1
      gcp.clientAccessGlobal로 설정합니다.
    3. 파일을 저장하여 변경 사항을 적용합니다.

  2. 다음 명령을 실행하여 서비스가 글로벌 액세스를 허용하는지 확인합니다. 

    $ oc -n openshift-ingress edit svc/router-default -o yaml
    Copy to Clipboard Toggle word wrap

    출력에서 주석 networking.gke.io/internal-load-balancer-allow-global-access가 있는 GCP에 글로벌 액세스가 활성화되어 있음을 보여줍니다.

8.9.9. Ingress Controller 상태 점검 간격 설정
링크 복사

클러스터 관리자는 라우터가 두 개의 연속된 상태 검사 사이에 대기하는 시간을 정의하기 위해 상태 검사 간격을 설정할 수 있습니다. 이 값은 모든 경로에 기본적으로 전역적으로 적용됩니다. 기본값은 5초입니다.

사전 요구 사항

  • 다음은 Ingress 컨트롤러를 이미 생성했다고 가정합니다.

프로세스

  • 백엔드 상태 검사 간격을 변경하려면 Ingress Controller를 업데이트하세요. 

    $ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"healthCheckInterval": "8s"}}}'
    Copy to Clipboard Toggle word wrap
    참고

    단일 경로에 대한 healthCheckInterval을 재정의하려면 경로 주석 router.openshift.io/haproxy.health.check.interval을 사용하세요.

8.9.10. 클러스터의 기본 Ingress 컨트롤러를 내부로 구성
링크 복사

클러스터를 삭제하고 다시 생성하여 클러스터의 default Ingress 컨트롤러를 내부용으로 구성할 수 있습니다.

주의

클라우드 공급자가 Microsoft Azure인 경우 노드를 가리키는 퍼블릭 로드 밸런서가 하나 이상 있어야 합니다. 그렇지 않으면 모든 노드의 인터넷 연결이 끊어집니다.

중요

IngressController범위를 변경하려면 사용자 정의 리소스(CR)를 만든 후 .spec.endpointPublishingStrategy.loadBalancer.scope 매개변수를 변경할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. 클러스터의 기본 Ingress 컨트롤러를 삭제하고 다시 생성하여 내부용으로 구성합니다. 

    $ oc replace --force --wait --filename - <<EOF
apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  namespace: openshift-ingress-operator
  name: default
spec:
  endpointPublishingStrategy:
    type: LoadBalancerService
    loadBalancer:
      scope: Internal
EOF
    Copy to Clipboard Toggle word wrap

8.9.11. 경로 허용 정책 구성
링크 복사

관리자 및 애플리케이션 개발자는 도메인 이름이 동일한 여러 네임스페이스에서 애플리케이션을 실행할 수 있습니다. 이는 여러 팀이 동일한 호스트 이름에 노출되는 마이크로 서비스를 개발하는 조직을 위한 것입니다.

주의

네임스페이스 간 클레임은 네임스페이스 간 신뢰가 있는 클러스터에 대해서만 허용해야 합니다. 그렇지 않으면 악의적인 사용자가 호스트 이름을 인수할 수 있습니다. 따라서 기본 승인 정책에서는 네임스페이스 간에 호스트 이름 클레임을 허용하지 않습니다.

사전 요구 사항

  • 클러스터 관리자 권한이 있어야 합니다.

프로세스

  • 다음 명령을 사용하여 ingresscontroller 리소스 변수의 .spec.routeAdmission 필드를 편집합니다. 

    $ oc -n openshift-ingress-operator patch ingresscontroller/default --patch '{"spec":{"routeAdmission":{"namespaceOwnership":"InterNamespaceAllowed"}}}' --type=merge
    Copy to Clipboard Toggle word wrap

    샘플 Ingress 컨트롤러 구성

    spec:
  routeAdmission:
    namespaceOwnership: InterNamespaceAllowed
...
    Copy to Clipboard Toggle word wrap

    작은 정보

    다음 YAML을 적용하여 경로 승인 정책을 구성할 수 있습니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  routeAdmission:
    namespaceOwnership: InterNamespaceAllowed
    Copy to Clipboard Toggle word wrap

8.9.12. 와일드카드 경로 사용
링크 복사

HAProxy Ingress 컨트롤러는 와일드카드 경로를 지원합니다. Ingress Operator는 wildcardPolicy를 사용하여 Ingress 컨트롤러의 ROUTER_ALLOW_WILDCARD_ROUTES 환경 변수를 구성합니다.

Ingress 컨트롤러의 기본 동작은 와일드카드 정책이 None인 경로를 허용하고, 이는 기존 IngressController 리소스의 이전 버전과 호환됩니다.

프로세스

  1. 와일드카드 정책을 구성합니다.

    1. 다음 명령을 사용하여 IngressController 리소스를 편집합니다. 

      $ oc edit IngressController
      Copy to Clipboard Toggle word wrap

    2. spec에서 wildcardPolicy 필드를 WildcardsDisallowed 또는 WildcardsAllowed로 설정합니다. 

      spec:
  routeAdmission:
    wildcardPolicy: WildcardsDisallowed # or WildcardsAllowed
      Copy to Clipboard Toggle word wrap

8.9.13. HTTP 헤더 구성
링크 복사

OpenShift Container Platform은 HTTP 헤더 작업을 위한 다양한 방법을 제공합니다. 헤더를 설정하거나 삭제할 때 Ingress Controller의 특정 필드나 개별 경로를 사용하여 요청 및 응답 헤더를 수정할 수 있습니다. 경로 주석을 사용하여 특정 헤더를 설정할 수도 있습니다. 헤더를 구성하는 다양한 방법은 함께 작업할 때 어려움을 야기할 수 있습니다.

참고

IngressController 또는 Route CR 내에서만 헤더를 설정하거나 삭제할 수 있으며, 헤더를 추가할 수는 없습니다. HTTP 헤더에 값이 설정된 경우 해당 값은 완전해야 하며 나중에 추가할 필요가 없어야 합니다. X-Forwarded-For 헤더와 같이 헤더를 추가하는 것이 합리적인 상황에서는 spec.httpHeaders.actions 대신 spec.httpHeaders.forwardedHeaderPolicy 필드를 사용합니다.

8.9.13.1. 우선순위
링크 복사

동일한 HTTP 헤더가 Ingress Controller와 경로에서 모두 수정되면 HAProxy는 요청 헤더인지 응답 헤더인지에 따라 특정 방식으로 작업의 우선순위를 지정합니다.

  • HTTP 응답 헤더의 경우, Ingress Controller에 지정된 작업은 경로에 지정된 작업 이후에 실행됩니다. 즉, Ingress Controller에 지정된 작업이 우선적으로 적용됩니다.
  • HTTP 요청 헤더의 경우, 경로에 지정된 작업은 Ingress Controller에 지정된 작업 이후에 실행됩니다. 즉, 경로에 지정된 작업이 우선합니다.

예를 들어, 클러스터 관리자는 다음 구성을 사용하여 Ingress Controller에서 X-Frame-Options 응답 헤더를 DENY 값으로 설정합니다.

IngressController 사양 예시

apiVersion: operator.openshift.io/v1
kind: IngressController
# ...
spec:
  httpHeaders:
    actions:
      response:
      - name: X-Frame-Options
        action:
          type: Set
          set:
            value: DENY
Copy to Clipboard Toggle word wrap

경로 소유자는 다음 구성을 사용하여 클러스터 관리자가 Ingress Controller에서 설정한 것과 동일한 응답 헤더를 SAMEORIGIN 값으로 설정합니다.

예시 경로 사양

apiVersion: route.openshift.io/v1
kind: Route
# ...
spec:
  httpHeaders:
    actions:
      response:
      - name: X-Frame-Options
        action:
          type: Set
          set:
            value: SAMEORIGIN
Copy to Clipboard Toggle word wrap

IngressController 사양과 Route 사양이 모두 X-Frame-Options 응답 헤더를 구성하는 경우, 특정 경로에서 프레임을 허용하는 경우에도 Ingress Controller의 글로벌 수준에서 이 헤더에 설정된 값이 우선합니다. 요청 헤더의 경우 Route 사양 값이 IngressController 사양 값을 재정의합니다.

이러한 우선순위 지정은 haproxy.config 파일이 Ingress Controller를 프런트 엔드로 간주하고 개별 경로를 백엔드로 간주하는 다음 논리를 사용하기 때문에 발생합니다. 프런트엔드 구성에 적용된 헤더 값 DENY는 백엔드에 설정된 값 SAMEORIGIN 을 갖는 동일한 헤더를 재정의합니다. 

frontend public
  http-response set-header X-Frame-Options 'DENY'

frontend fe_sni
  http-response set-header X-Frame-Options 'DENY'

frontend fe_no_sni
  http-response set-header X-Frame-Options 'DENY'

backend be_secure:openshift-monitoring:alertmanager-main
  http-response set-header X-Frame-Options 'SAMEORIGIN'
Copy to Clipboard Toggle word wrap

또한, Ingress Controller나 경로에 정의된 모든 작업은 경로 주석을 사용하여 설정된 값을 재정의합니다.

8.9.13.2. 특수 케이스 헤더
링크 복사

다음 헤더는 설정 또는 삭제가 전혀 금지되어 있거나, 특정 상황에서만 허용됩니다.

Expand
표 8.2. 특수 케이스 헤더 구성 옵션
헤더 이름IngressController 사양을 사용하여 구성 가능Route 사양을 사용하여 구성 가능불허 사유다른 방법을 사용하여 구성 가능

proxy

없음

없음

프록시 HTTP 요청 헤더는 헤더 값을 HTTP_PROXY 환경 변수에 주입하여 취약한 CGI 애플리케이션을 악용하는 데 사용될 수 있습니다. 프록시 HTTP 요청 헤더도 비표준이며 구성 중에 오류가 발생하기 쉽습니다.

없음

host

없음

제공됨

IngressController CR을 사용하여 호스트 HTTP 요청 헤더를 설정하는 경우 HAProxy는 올바른 경로를 찾을 때 실패할 수 있습니다.

없음

strict-transport-security

없음

없음

strict-transport-security HTTP 응답 헤더는 이미 경로 주석을 사용하여 처리되므로 별도의 구현이 필요하지 않습니다.

예: haproxy.router.openshift.io/hsts_header 경로 주석

쿠키쿠키 설정

없음

없음

HAProxy가 설정하는 쿠키는 클라이언트 연결을 특정 백엔드 서버에 매핑하기 위한 세션 추적에 사용됩니다. 이러한 헤더를 설정하도록 허용하면 HAProxy의 세션 친화성이 방해를 받을 수 있으며 HAProxy의 쿠키 소유권이 제한될 수 있습니다.

예:

  • haproxy.router.openshift.io/disable_cookie 경로 주석
  • haproxy.router.openshift.io/cookie_name 경로 주석

8.9.14. Ingress Controller에서 HTTP 요청 및 응답 헤더 설정 또는 삭제
링크 복사

규정 준수 목적이나 기타 이유로 특정 HTTP 요청 및 응답 헤더를 설정하거나 삭제할 수 있습니다. Ingress Controller에서 제공하는 모든 경로 또는 특정 경로에 대해 이러한 헤더를 설정하거나 삭제할 수 있습니다.

예를 들어, 클러스터에서 실행 중인 애플리케이션을 상호 TLS를 사용하도록 마이그레이션하려는 경우 애플리케이션에서 X-Forwarded-Client-Cert 요청 헤더를 확인해야 하지만 OpenShift Container Platform의 기본 Ingress 컨트롤러는 X-SSL-Client-Der 요청 헤더를 제공합니다.

다음 절차에서는 Ingress Controller를 수정하여 X-Forwarded-Client-Cert 요청 헤더를 설정하고 X-SSL-Client-Der 요청 헤더를 삭제합니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • cluster-admin 역할이 있는 사용자로 OpenShift Container Platform 클러스터에 액세스할 수 있습니다.

프로세스

  1. Ingress 컨트롤러 리소스를 편집합니다. 

    $ oc -n openshift-ingress-operator edit ingresscontroller/default
    Copy to Clipboard Toggle word wrap

  2. X-SSL-Client-Der HTTP 요청 헤더를 X-Forwarded-Client-Cert HTTP 요청 헤더로 바꾸세요. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  httpHeaders:
    actions:
    1 
    
      request:
    2 
    
      - name: X-Forwarded-Client-Cert
    3 
    
        action:
          type: Set
    4 
    
          set:
           value: "%{+Q}[ssl_c_der,base64]"
    5 
    
      - name: X-SSL-Client-Der
        action:
          type: Delete
    Copy to Clipboard Toggle word wrap
    1
    HTTP 헤더에 대해 수행하려는 작업 목록입니다.
    2
    변경하려는 헤더의 유형입니다. 이 경우에는 요청 헤더입니다.
    3
    변경하려는 헤더의 이름입니다. 설정하거나 삭제할 수 있는 사용 가능한 헤더 목록을 보려면 HTTP 헤더 구성을 참조하세요.
    4
    헤더에 대해 수행되는 작업의 유형입니다. 이 필드는 Set 또는 Delete 값을 가질 수 있습니다.
    5
    HTTP 헤더를 설정할 때 값을 제공해야 합니다. 값은 해당 헤더에 사용 가능한 지시문 목록의 문자열(예: DENY ) 이 될 수도 있고, HAProxy의 동적 값 구문을 사용하여 해석되는 동적 값이 될 수도 있습니다. 이 경우에는 동적 값이 추가됩니다.
    참고

    HTTP 응답에 대한 동적 헤더 값을 설정하는 데 허용되는 샘플 페처는 res.hdrssl_c_der 입니다. HTTP 요청에 대한 동적 헤더 값을 설정하는 데 허용되는 샘플 페처는 req.hdrssl_c_der 입니다. 요청과 응답 동적 값 모두 lowerbase64 변환기를 사용할 수 있습니다.

  3. 파일을 저장하여 변경 사항을 적용합니다.

8.9.15. X-Forwarded 헤더 사용
링크 복사

HAProxy Ingress 컨트롤러를 구성하여 ForwardedX-Forwarded-For를 포함한 HTTP 헤더 처리 방법에 대한 정책을 지정합니다. Ingress Operator는 HTTPHeaders 필드를 사용하여 Ingress 컨트롤러의 ROUTER_SET_FORWARDED_HEADERS 환경 변수를 구성합니다.

프로세스

  1. Ingress 컨트롤러에 대한 HTTPHeaders 필드를 구성합니다.

    1. 다음 명령을 사용하여 IngressController 리소스를 편집합니다. 

      $ oc edit IngressController
      Copy to Clipboard Toggle word wrap

    2. spec에서 HTTPHeaders 정책 필드를 Append, Replace, IfNone 또는 Never로 설정합니다. 

      apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  httpHeaders:
    forwardedHeaderPolicy: Append
      Copy to Clipboard Toggle word wrap
사용 사례 예

클러스터 관리자는 다음을 수행할 수 있습니다.

  • Ingress 컨트롤러로 전달하기 전에 X-Forwarded-For 헤더를 각 요청에 삽입하는 외부 프록시를 구성합니다.

    헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성하려면 never 정책을 지정합니다. 그러면 Ingress 컨트롤러에서 헤더를 설정하지 않으며 애플리케이션은 외부 프록시에서 제공하는 헤더만 수신합니다.

  • 외부 프록시에서 외부 클러스터 요청에 설정한 X-Forwarded-For 헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성합니다.

    외부 프록시를 통과하지 않는 내부 클러스터 요청에 X-Forwarded-For 헤더를 설정하도록 Ingress 컨트롤러를 구성하려면 if-none 정책을 지정합니다. HTTP 요청에 이미 외부 프록시를 통해 설정된 헤더가 있는 경우 Ingress 컨트롤러에서 해당 헤더를 보존합니다. 요청이 프록시를 통해 제공되지 않아 헤더가 없는 경우에는 Ingress 컨트롤러에서 헤더를 추가합니다.

애플리케이션 개발자는 다음을 수행할 수 있습니다.

  • X-Forwarded-For 헤더를 삽입하는 애플리케이션별 외부 프록시를 구성합니다.

    다른 경로에 대한 정책에 영향을 주지 않으면서 애플리케이션 경로에 대한 헤더를 수정하지 않은 상태로 전달하도록 Ingress 컨트롤러를 구성하려면 애플리케이션 경로에 주석 haproxy.router.openshift.io/set-forwarded-headers: if-none 또는 haproxy.router.openshift.io/set-forwarded-headers: never를 추가하십시오.

    참고

    Ingress 컨트롤러에 전역적으로 설정된 값과 관계없이 경로별로 haproxy.router.openshift.io/set-forwarded-headers 주석을 설정할 수 있습니다.

8.9.16. Ingress 컨트롤러에서 HTTP/2 활성화 또는 비활성화
링크 복사

HAProxy에서 투명한 엔드투엔드 HTTP/2 연결을 활성화하거나 비활성화할 수 있습니다. 애플리케이션 소유자는 단일 연결, 헤더 압축, 바이너리 스트림 등을 포함한 HTTP/2 프로토콜 기능을 사용할 수 있습니다.

개별 Ingress Controller 또는 전체 클러스터에 대해 HTTP/2 연결을 활성화하거나 비활성화할 수 있습니다.

참고

개별 Ingress Controller와 전체 클러스터에 대해 HTTP/2 연결을 활성화하거나 비활성화하는 경우, Ingress Controller의 HTTP/2 구성이 클러스터의 HTTP/2 구성보다 우선합니다.

클라이언트에서 HAProxy 인스턴스로의 연결에 HTTP/2를 사용하려면 경로에서 사용자 지정 인증서를 지정해야 합니다. 기본 인증서를 사용하는 경로에서는 HTTP/2를 사용할 수 없습니다. 이것은 동일한 인증서를 사용하는 다른 경로의 연결을 클라이언트가 재사용하는 등 동시 연결로 인한 문제를 방지하기 위한 제한입니다.

각 경로 유형에 대한 HTTP/2 연결의 다음 사용 사례를 고려하세요.

  • 재암호화 경로의 경우, 애플리케이션이 ALPN(Application-Level Protocol Negotiation)을 사용하여 HAProxy와 HTTP/2를 협상하는 것을 지원하는 경우 HAProxy에서 애플리케이션 포드로의 연결은 HTTP/2를 사용할 수 있습니다. Ingress Controller에서 HTTP/2가 활성화되어 있지 않으면 재암호화 경로와 함께 HTTP/2를 사용할 수 없습니다.
  • 패스스루 경로의 경우, 애플리케이션이 ALPN을 사용하여 클라이언트와 HTTP/2를 협상하는 것을 지원하는 경우 연결에서 HTTP/2를 사용할 수 있습니다. Ingress Controller에서 HTTP/2가 활성화되어 있거나 비활성화되어 있는 경우 패스스루 경로로 HTTP/2를 사용할 수 있습니다.
  • 에지 종료 보안 경로의 경우 서비스에서 appProtocol: kubernetes.io/h2c 만 지정하면 연결은 HTTP/2를 사용합니다. Ingress Controller에서 HTTP/2가 활성화되어 있거나 비활성화되어 있는 경우, 엣지 종료 보안 경로로 HTTP/2를 사용할 수 있습니다.
  • 안전하지 않은 경로의 경우 서비스에서 appProtocol: kubernetes.io/h2c 만 지정하면 연결은 HTTP/2를 사용합니다. Ingress Controller에서 HTTP/2가 활성화 또는 비활성화된 경우 안전하지 않은 경로로 HTTP/2를 사용할 수 있습니다.
중요

패스스루(passthrough)가 아닌 경로의 경우 Ingress 컨트롤러는 클라이언트와의 연결과 관계없이 애플리케이션에 대한 연결을 협상합니다. 즉, 클라이언트는 Ingress Controller에 연결하여 HTTP/1.1을 협상할 수 있습니다. 그런 다음 Ingress Controller는 애플리케이션에 연결하고 HTTP/2를 협상하고 HTTP/2 연결을 사용하여 클라이언트 HTTP/1.1 연결에서 애플리케이션으로 요청을 전달합니다.

이러한 일련의 이벤트로 인해 클라이언트가 이후 HTTP/1.1에서 WebSocket 프로토콜로 연결을 업그레이드하려고 하면 문제가 발생합니다. WebSocket 연결을 허용하려는 애플리케이션이 있고 해당 애플리케이션이 HTTP/2 프로토콜 협상을 허용하려고 시도하는 경우, 클라이언트는 WebSocket 프로토콜로 업그레이드하려는 모든 시도에 실패합니다.

8.9.16.1. Enabling HTTP/2
링크 복사

특정 Ingress Controller에서 HTTP/2를 활성화하거나 전체 클러스터에서 HTTP/2를 활성화할 수 있습니다.

프로세스

  • 특정 Ingress Controller에서 HTTP/2를 활성화하려면 oc annotate 명령을 입력하세요. 

    $ oc -n openshift-ingress-operator annotate ingresscontrollers/<ingresscontroller_name> ingress.operator.openshift.io/default-enable-http2=true
    1
    Copy to Clipboard Toggle word wrap
    1
    <ingresscontroller_name>을 HTTP/2를 활성화하는 Ingress Controller의 이름으로 바꾸세요.

  • 전체 클러스터에 HTTP/2를 사용하려면 oc annotate 명령을 입력합니다. 

    $ oc annotate ingresses.config/cluster ingress.operator.openshift.io/default-enable-http2=true
    Copy to Clipboard Toggle word wrap
작은 정보

또는 다음 YAML 코드를 적용하여 HTTP/2를 활성화할 수 있습니다. 

apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
  annotations:
    ingress.operator.openshift.io/default-enable-http2: "true"
Copy to Clipboard Toggle word wrap

8.9.16.2. Disabling HTTP/2
링크 복사

특정 Ingress Controller에서 HTTP/2를 비활성화하거나, 전체 클러스터에서 HTTP/2를 비활성화할 수 있습니다.

프로세스

  • 특정 Ingress Controller에서 HTTP/2를 비활성화하려면 oc annotate 명령을 입력하세요. 

    $ oc -n openshift-ingress-operator annotate ingresscontrollers/<ingresscontroller_name> ingress.operator.openshift.io/default-enable-http2=false
    1
    Copy to Clipboard Toggle word wrap
    1
    HTTP/2를 비활성화하려면 <ingresscontroller_name>을 Ingress Controller의 이름으로 바꾸세요.

  • 클러스터 전체에 대해 HTTP/2를 비활성화하려면 oc annotate 명령을 입력하세요. 

    $ oc annotate ingresses.config/cluster ingress.operator.openshift.io/default-enable-http2=false
    Copy to Clipboard Toggle word wrap
작은 정보

또는 다음 YAML 코드를 적용하여 HTTP/2를 비활성화할 수 있습니다. 

apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
  annotations:
    ingress.operator.openshift.io/default-enable-http2: "false"
Copy to Clipboard Toggle word wrap

8.9.17. Ingress 컨트롤러에 대한 PROXY 프로토콜 구성
링크 복사

클러스터 관리자는 Ingress Controller가 HostNetwork , NodePortService 또는 Private 엔드포인트 게시 전략 유형을 사용하는 경우 PROXY 프로토콜을 구성할 수 있습니다. PROXY 프로토콜을 사용하면 로드 밸런서에서 Ingress 컨트롤러가 수신하는 연결에 대한 원래 클라이언트 주소를 유지할 수 있습니다. 원래 클라이언트 주소는 HTTP 헤더를 로깅, 필터링 및 삽입하는 데 유용합니다. 기본 구성에서 Ingress 컨트롤러가 수신하는 연결에는 로드 밸런서와 연결된 소스 주소만 포함됩니다.

주의

클라우드가 아닌 플랫폼에서 Keepalived Ingress 가상 IP(VIP)를 사용하는 설치 프로그램 제공 클러스터가 있는 기본 Ingress 컨트롤러는 PROXY 프로토콜을 지원하지 않습니다.

PROXY 프로토콜을 사용하면 로드 밸런서에서 Ingress 컨트롤러가 수신하는 연결에 대한 원래 클라이언트 주소를 유지할 수 있습니다. 원래 클라이언트 주소는 HTTP 헤더를 로깅, 필터링 및 삽입하는 데 유용합니다. 기본 구성에서 Ingress Controller가 수신하는 연결에는 로드 밸런서와 연결된 소스 IP 주소만 포함됩니다.

중요

패스스루 경로 구성의 경우 OpenShift Container Platform 클러스터의 서버는 원래 클라이언트 소스 IP 주소를 관찰할 수 없습니다. 원래 클라이언트 소스 IP 주소를 알아야 하는 경우 Ingress Controller에 대한 Ingress 액세스 로깅을 구성하여 클라이언트 소스 IP 주소를 볼 수 있습니다.

재암호화 및 에지 경로의 경우, OpenShift Container Platform 라우터는 ForwardedX-Forwarded-For 헤더를 설정하여 애플리케이션 워크로드가 클라이언트 소스 IP 주소를 확인하도록 합니다.

Ingress 액세스 로깅에 대한 자세한 내용은 "Ingress 액세스 로깅 구성"을 참조하세요.

LoadBalancerService 엔드포인트 게시 전략 유형을 사용하는 경우 Ingress Controller에 대한 PROXY 프로토콜을 구성하는 것은 지원되지 않습니다. 이러한 제한이 있는 이유는 OpenShift Container Platform이 클라우드 플랫폼에서 실행되고 Ingress Controller가 서비스 로드 밸런서를 사용해야 한다고 지정하는 경우 Ingress Operator가 로드 밸런서 서비스를 구성하고 소스 주소를 보존하기 위한 플랫폼 요구 사항에 따라 PROXY 프로토콜을 활성화하기 때문입니다.

중요

OpenShift Container Platform과 외부 로드 밸런서 모두 PROXY 프로토콜이나 TCP를 사용하도록 구성해야 합니다.

이 기능은 클라우드 배포에서 지원되지 않습니다. 이러한 제한이 있는 이유는 OpenShift Container Platform이 클라우드 플랫폼에서 실행되고 Ingress Controller가 서비스 로드 밸런서를 사용해야 한다고 지정하는 경우 Ingress Operator가 로드 밸런서 서비스를 구성하고 소스 주소를 보존하기 위한 플랫폼 요구 사항에 따라 PROXY 프로토콜을 활성화하기 때문입니다.

중요

OpenShift Container Platform과 외부 로드 밸런서 모두 PROXY 프로토콜을 사용하거나 TCP(Transmission Control Protocol)를 사용하도록 구성해야 합니다.

사전 요구 사항

  • Ingress 컨트롤러가 생성되어 있습니다.

프로세스

  1. CLI에 다음 명령을 입력하여 Ingress Controller 리소스를 편집하세요. 

    $ oc -n openshift-ingress-operator edit ingresscontroller/default
    Copy to Clipboard Toggle word wrap

  2. PROXY 구성을 설정합니다.

    • Ingress 컨트롤러에서 hostNetwork 엔드포인트 게시 전략 유형을 사용하는 경우 spec.endpointPublishingStrategy.hostNetwork.protocol 하위 필드를 PROXY로 설정합니다.

      PROXY에 대한 hostNetwork 구성 샘플

      # ...
  spec:
    endpointPublishingStrategy:
      hostNetwork:
        protocol: PROXY
      type: HostNetwork
# ...
      Copy to Clipboard Toggle word wrap

    • Ingress 컨트롤러에서 NodePortService 엔드포인트 게시 전략 유형을 사용하는 경우 spec.endpointPublishingStrategy.nodePort.protocol 하위 필드를 PROXY로 설정합니다.

      PROXY에 대한 nodePort 구성 샘플

      # ...
  spec:
    endpointPublishingStrategy:
      nodePort:
        protocol: PROXY
      type: NodePortService
# ...
      Copy to Clipboard Toggle word wrap

    • Ingress Controller가 Private 엔드포인트 게시 전략 유형을 사용하는 경우 spec.endpointPublishingStrategy.private.protocol 하위 필드를 PROXY 로 설정합니다.

      PROXY 에 대한 샘플 개인 구성

      # ...
  spec:
    endpointPublishingStrategy:
      private:
        protocol: PROXY
    type: Private
# ...
      Copy to Clipboard Toggle word wrap

8.9.18. appsDomain 옵션을 사용하여 대체 클러스터 도메인 지정
링크 복사

클러스터 관리자는 appsDomain 필드를 구성하여 사용자가 생성한 경로에 대한 기본 클러스터 도메인에 대한 대체 도메인을 지정할 수 있습니다. appsDomain 필드는 OpenShift Container Platform이 domain 필드에 지정된 기본값 대신 사용할 수 있는 선택적 도메인입니다. 대체 도메인을 지정하면 새 경로의 기본 호스트를 결정하기 위해 기본 클러스터 도메인을 덮어씁니다.

예를 들어, 회사의 DNS 도메인을 클러스터에서 실행되는 애플리케이션의 경로 및 인그레스의 기본 도메인으로 사용할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc 명령줄 인터페이스를 설치했습니다.

프로세스

  1. 사용자 생성 경로에 대한 대체 기본 도메인을 지정하여 appsDomain 필드를 구성합니다.

    1. Ingress 클러스터 리소스를 편집합니다. 

      $ oc edit ingresses.config/cluster -o yaml
      Copy to Clipboard Toggle word wrap

    2. YAML 파일을 편집합니다.

      test.example.com 에 대한 샘플 appsDomain 구성

      apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
spec:
  domain: apps.example.com
      1 
      
  appsDomain: <test.example.com>
      2
      Copy to Clipboard Toggle word wrap

      1
      기본 도메인을 지정합니다. 설치 후에는 기본 도메인을 수정할 수 없습니다.
      2
      선택 사항: 애플리케이션 경로에 사용할 OpenShift Container Platform 인프라의 도메인입니다. 기본 접두사인 apps 대신 test 와 같은 대체 접두사를 사용할 수 있습니다.

  2. appsDomain 필드에 지정된 도메인 이름이 기존 경로에 포함되어 있는지 확인하려면 경로를 노출하고 경로 도메인 변경을 확인하세요.

    참고

    경로를 노출하기 전에 openshift-apiserver가 롤링 업데이트를 완료할 때까지 기다립니다.

    1. 다음 명령을 입력하여 경로를 표시합니다. 이 명령은 route.route.openshift.io/hello-openshift를 출력하여 경로의 노출을 지정합니다. 

      $ oc expose service hello-openshift
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 경로 목록을 가져옵니다. 

      $ oc get routes
      Copy to Clipboard Toggle word wrap

      출력 예

      NAME              HOST/PORT                                   PATH   SERVICES          PORT       TERMINATION   WILDCARD
hello-openshift   hello_openshift-<my_project>.test.example.com
hello-openshift   8080-tcp                 None
      Copy to Clipboard Toggle word wrap

8.9.19. HTTP 헤더 대소문자 변환
링크 복사

HAProxy는 기본적으로 HTTP 헤더 이름을 소문자로 변환합니다. 예를 들어, Host: xyz.com을 host: xyz.com 으로 변경합니다. 기존 애플리케이션이 HTTP 헤더 이름의 대문자에 민감한 경우 Ingress Controller spec.httpHeaders.headerNameCaseAdjustments API 필드를 사용하여 기존 애플리케이션을 수정할 때 까지 지원합니다.

중요

OpenShift Container Platform에는 HAProxy 2.8이 포함되어 있습니다. 웹 기반 로드 밸런서의 이 버전으로 업데이트하려면 클러스터의 구성 파일에 spec.httpHeaders.headerNameCaseAdjustments 섹션을 추가해야 합니다.

클러스터 관리자는 oc patch 명령을 입력하거나 Ingress 컨트롤러 YAML 파일에서 HeaderNameCaseAdjustments 필드를 설정하여 HTTP 헤더 케이스를 변환할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  • oc patch 명령을 사용하여 HTTP 헤더를 대문자로 시작합니다.

    1. 다음 명령을 실행하여 HTTP 헤더를 host 에서 Host 로 변경합니다. 

      $ oc -n openshift-ingress-operator patch ingresscontrollers/default --type=merge --patch='{"spec":{"httpHeaders":{"headerNameCaseAdjustments":["Host"]}}}'
      Copy to Clipboard Toggle word wrap

    2. 주석을 애플리케이션에 적용할 수 있도록 Route 리소스 YAML 파일을 만듭니다.

      my-application 이라는 이름의 경로 예

      apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/h1-adjust-case: true
      1 
      
  name: <application_name>
  namespace: <application_name>
# ...
      Copy to Clipboard Toggle word wrap

      1
      Ingress Controller가 호스트 요청 헤더를 지정된 대로 조정할 수 있도록 haproxy.router.openshift.io/h1-adjust-case를 설정합니다.

  • Ingress Controller YAML 구성 파일에서 HeaderNameCaseAdjustments 필드를 구성하여 조정을 지정합니다.

    1. 다음 예제 Ingress Controller YAML 파일은 적절하게 주석이 달린 경로에 대한 HTTP/1 요청에 대해 호스트 헤더를 Host 로 조정합니다.

      Ingress 컨트롤러 YAML 예시

      apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  httpHeaders:
    headerNameCaseAdjustments:
    - Host
      Copy to Clipboard Toggle word wrap

    2. 다음 예제 경로는 haproxy.router.openshift.io/h1-adjust-case 주석을 사용하여 HTTP 응답 헤더 이름 대소문자 조정을 활성화합니다.

      경로 YAML의 예

      apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/h1-adjust-case: true
      1 
      
  name: my-application
  namespace: my-application
spec:
  to:
    kind: Service
    name: my-application
      Copy to Clipboard Toggle word wrap

      1
      haproxy.router.openshift.io/h1-adjust-case를 true로 설정합니다.

8.9.20. 라우터 압축 사용
링크 복사

HAProxy Ingress Controller를 구성하여 특정 MIME 유형에 대해 라우터 압축을 전역적으로 지정하세요. mimeTypes 변수를 사용하여 압축이 적용되는 MIME 유형의 형식을 정의할 수 있습니다. 유형은 다음과 같습니다: 애플리케이션, 이미지, 메시지, 멀티파트, 텍스트, 비디오 또는 "X-"로 시작하는 사용자 정의 유형입니다. MIME 유형 및 하위 유형에 대한 전체 표기법을 보려면 RFC1341을 참조하세요.

참고

압축에 할당된 메모리는 최대 연결 수에 영향을 미칠 수 있습니다. 또한, 대용량 버퍼를 압축하면 정규 표현식이 많거나 정규 표현식 목록이 길어지는 경우 지연이 발생할 수 있습니다.

모든 MIME 유형이 압축의 이점을 얻는 것은 아니지만 HAProxy는 지시가 있으면 여전히 리소스를 사용하여 압축을 시도합니다. 일반적으로 html, css, js와 같은 텍스트 형식은 압축으로부터 이익을 얻지만, 이미지, 오디오, 비디오와 같이 이미 압축된 형식은 압축에 소요되는 시간과 리소스에 비해 이익이 거의 없습니다.

프로세스

  1. Ingress Controller에 대한 httpCompression 필드를 구성합니다.

    1. 다음 명령을 사용하여 IngressController 리소스를 편집합니다. 

      $ oc edit -n openshift-ingress-operator ingresscontrollers/default
      Copy to Clipboard Toggle word wrap

    2. spec 에서 httpCompression 정책 필드를 mimeTypes 로 설정하고 압축을 적용해야 하는 MIME 유형 목록을 지정합니다. 

      apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  name: default
  namespace: openshift-ingress-operator
spec:
  httpCompression:
    mimeTypes:
    - "text/html"
    - "text/css; charset=utf-8"
    - "application/json"
   ...
      Copy to Clipboard Toggle word wrap

8.9.21. 라우터 메트릭 노출
링크 복사

기본적으로 HAProxy 라우터 메트릭을 기본 통계 포트인 1936에서 Prometheus 형식으로 노출할 수 있습니다. Prometheus와 같은 외부 메트릭 수집 및 집계 시스템은 HAProxy 라우터 메트릭에 액세스할 수 있습니다. 브라우저에서 HTML과 CSV(쉼표로 구분된 값) 형식으로 HAProxy 라우터 메트릭을 볼 수 있습니다.

사전 요구 사항

  • 방화벽을 기본 통계 포트인 1936에 액세스하도록 구성했습니다.

프로세스

  1. 다음 명령을 실행하여 라우터 포드 이름을 가져옵니다. 

    $ oc get pods -n openshift-ingress
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                              READY   STATUS    RESTARTS   AGE
router-default-76bfffb66c-46qwp   1/1     Running   0          11h
    Copy to Clipboard Toggle word wrap

  2. 라우터 포드가 /var/lib/haproxy/conf/metrics-auth/statsUsername/var/lib/haproxy/conf/metrics-auth/statsPassword 파일에 저장하는 라우터의 사용자 이름과 비밀번호를 가져옵니다.

    1. 다음 명령을 실행하여 사용자 이름을 가져옵니다. 

      $ oc rsh <router_pod_name> cat metrics-auth/statsUsername
      Copy to Clipboard Toggle word wrap

    2. 다음 명령을 실행하여 비밀번호를 얻으세요. 

      $ oc rsh <router_pod_name> cat metrics-auth/statsPassword
      Copy to Clipboard Toggle word wrap

  3. 다음 명령을 실행하여 라우터 IP 및 메트릭 인증서를 가져옵니다. 

    $ oc describe pod <router_pod>
    Copy to Clipboard Toggle word wrap

  4. 다음 명령을 실행하여 Prometheus 형식의 원시 통계를 가져옵니다. 

    $ curl -u <user>:<password> http://<router_IP>:<stats_port>/metrics
    Copy to Clipboard Toggle word wrap

  5. 다음 명령을 실행하여 안전하게 메트릭에 액세스하세요. 

    $ curl -u user:password https://<router_IP>:<stats_port>/metrics -k
    Copy to Clipboard Toggle word wrap

  6. 다음 명령을 실행하여 기본 통계 포트인 1936에 액세스하세요. 

    $ curl -u <user>:<password> http://<router_IP>:<stats_port>/metrics
    Copy to Clipboard Toggle word wrap

    예 8.1. 출력 예

    ...
# HELP haproxy_backend_connections_total Total number of connections.
# TYPE haproxy_backend_connections_total gauge
haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route"} 0
haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route-alt"} 0
haproxy_backend_connections_total{backend="http",namespace="default",route="hello-route01"} 0
...
# HELP haproxy_exporter_server_threshold Number of servers tracked and the current threshold value.
# TYPE haproxy_exporter_server_threshold gauge
haproxy_exporter_server_threshold{type="current"} 11
haproxy_exporter_server_threshold{type="limit"} 500
...
# HELP haproxy_frontend_bytes_in_total Current total of incoming bytes.
# TYPE haproxy_frontend_bytes_in_total gauge
haproxy_frontend_bytes_in_total{frontend="fe_no_sni"} 0
haproxy_frontend_bytes_in_total{frontend="fe_sni"} 0
haproxy_frontend_bytes_in_total{frontend="public"} 119070
...
# HELP haproxy_server_bytes_in_total Current total of incoming bytes.
# TYPE haproxy_server_bytes_in_total gauge
haproxy_server_bytes_in_total{namespace="",pod="",route="",server="fe_no_sni",service=""} 0
haproxy_server_bytes_in_total{namespace="",pod="",route="",server="fe_sni",service=""} 0
haproxy_server_bytes_in_total{namespace="default",pod="docker-registry-5-nk5fz",route="docker-registry",server="10.130.0.89:5000",service="docker-registry"} 0
haproxy_server_bytes_in_total{namespace="default",pod="hello-rc-vkjqx",route="hello-route",server="10.130.0.90:8080",service="hello-svc-1"} 0
...
    Copy to Clipboard Toggle word wrap

  7. 브라우저에 다음 URL을 입력하여 통계 창을 실행하세요. 

    http://<user>:<password>@<router_IP>:<stats_port>
    Copy to Clipboard Toggle word wrap

  8. 선택 사항: 브라우저에 다음 URL을 입력하여 CSV 형식으로 통계를 가져옵니다. 

    http://<user>:<password>@<router_ip>:1936/metrics;csv
    Copy to Clipboard Toggle word wrap

8.9.22. HAProxy 오류 코드 응답 페이지 사용자 정의
링크 복사

클러스터 관리자는 503, 404 또는 두 오류 페이지에 대한 사용자 지정 오류 코드 응답 페이지를 지정할 수 있습니다. HAProxy 라우터는 애플리케이션 pod가 실행 중이 아닌 경우 503 오류 페이지 또는 요청된 URL이 없는 경우 404 오류 페이지를 제공합니다. 예를 들어 503 오류 코드 응답 페이지를 사용자 지정하면 애플리케이션 pod가 실행되지 않을 때 페이지가 제공되며 HAProxy 라우터에서 잘못된 경로 또는 존재하지 않는 경로에 대해 기본 404 오류 코드 HTTP 응답 페이지가 제공됩니다.

사용자 정의 오류 코드 응답 페이지가 구성 맵에 지정되고 Ingress 컨트롤러에 패치됩니다. 구성 맵 키의 사용 가능한 파일 이름은 error-page-503.httperror-page-404.http 입니다.

사용자 지정 HTTP 오류 코드 응답 페이지는 HAProxy HTTP 오류 페이지 구성 지침을 따라야 합니다. 다음은 기본 OpenShift Container Platform HAProxy 라우터 http 503 오류 코드 응답 페이지의 예입니다. 기본 콘텐츠를 고유한 사용자 지정 페이지를 생성하기 위한 템플릿으로 사용할 수 있습니다.

기본적으로 HAProxy 라우터는 애플리케이션이 실행 중이 아니거나 경로가 올바르지 않거나 존재하지 않는 경우 503 오류 페이지만 제공합니다. 이 기본 동작은 OpenShift Container Platform 4.8 및 이전 버전의 동작과 동일합니다. HTTP 오류 코드 응답 사용자 정의에 대한 구성 맵이 제공되지 않고 사용자 정의 HTTP 오류 코드 응답 페이지를 사용하는 경우 라우터는 기본 404 또는 503 오류 코드 응답 페이지를 제공합니다.

참고

사용자 정의를 위한 템플릿으로 OpenShift Container Platform의 기본 503 오류 코드 페이지를 사용하는 경우, 파일의 헤더에는 CRLF 줄 끝을 사용할 수 있는 편집기가 필요합니다.

프로세스

  1. openshift-config 네임스페이스에 my-custom-error-code-pages 라는 구성 맵을 생성합니다. 

    $ oc -n openshift-config create configmap my-custom-error-code-pages \
  --from-file=error-page-503.http \
  --from-file=error-page-404.http
    Copy to Clipboard Toggle word wrap
    중요

    사용자 정의 오류 코드 응답 페이지에 올바른 형식을 지정하지 않으면 라우터 Pod 중단이 발생합니다. 이 중단을 해결하려면 구성 맵을 삭제하거나 수정하고 영향을 받는 라우터 Pod를 삭제하여 올바른 정보로 다시 생성해야 합니다.

  2. 이름별로 my-custom-error-code-pages 구성 맵을 참조하도록 Ingress 컨트롤러를 패치합니다. 

    $ oc patch -n openshift-ingress-operator ingresscontroller/default --patch '{"spec":{"httpErrorCodePages":{"name":"my-custom-error-code-pages"}}}' --type=merge
    Copy to Clipboard Toggle word wrap

    Ingress Operator는 my-custom-error-code-pages 구성 맵을 openshift-config 네임스페이스에서 openshift-ingress 네임스페이스로 복사합니다. Operator는 openshift-ingress 네임스페이스에서 <your_ingresscontroller_name>-errorpages 패턴에 따라 구성 맵의 이름을 지정합니다.

  3. 복사본을 표시합니다. 

    $ oc get cm default-errorpages -n openshift-ingress
    Copy to Clipboard Toggle word wrap

    출력 예

    NAME                       DATA   AGE
default-errorpages         2      25s
    1
    Copy to Clipboard Toggle word wrap

    1
    default Ingress 컨트롤러 CR(사용자 정의 리소스)이 패치되었기 때문에 구성 맵 이름은 default-errorpages입니다.

  4. 사용자 정의 오류 응답 페이지가 포함된 구성 맵이 라우터 볼륨에 마운트되는지 확인합니다. 여기서 구성 맵 키는 사용자 정의 HTTP 오류 코드 응답이 있는 파일 이름입니다.

    • 503 사용자 지정 HTTP 사용자 정의 오류 코드 응답의 경우: 

      $ oc -n openshift-ingress rsh <router_pod> cat /var/lib/haproxy/conf/error_code_pages/error-page-503.http
      Copy to Clipboard Toggle word wrap

    • 404 사용자 지정 HTTP 사용자 정의 오류 코드 응답의 경우: 

      $ oc -n openshift-ingress rsh <router_pod> cat /var/lib/haproxy/conf/error_code_pages/error-page-404.http
      Copy to Clipboard Toggle word wrap

검증

사용자 정의 오류 코드 HTTP 응답을 확인합니다.

  1. 테스트 프로젝트 및 애플리케이션을 생성합니다. 

    $ oc new-project test-ingress
    Copy to Clipboard Toggle word wrap 
    $ oc new-app django-psql-example
    Copy to Clipboard Toggle word wrap

  2. 503 사용자 정의 http 오류 코드 응답의 경우:

    1. 애플리케이션의 모든 pod를 중지합니다.

    2. 다음 curl 명령을 실행하거나 브라우저에서 경로 호스트 이름을 방문합니다. 

      $ curl -vk <route_hostname>
      Copy to Clipboard Toggle word wrap

  3. 404 사용자 정의 http 오류 코드 응답의 경우:

    1. 존재하지 않는 경로 또는 잘못된 경로를 방문합니다.

    2. 다음 curl 명령을 실행하거나 브라우저에서 경로 호스트 이름을 방문합니다. 

      $ curl -vk <route_hostname>
      Copy to Clipboard Toggle word wrap

  4. errorfile 속성이 haproxy.config 파일에 제대로 있는지 확인합니다. 

    $ oc -n openshift-ingress rsh <router> cat /var/lib/haproxy/conf/haproxy.config | grep errorfile
    Copy to Clipboard Toggle word wrap

8.9.23. Ingress Controller 최대 연결 설정
링크 복사

클러스터 관리자는 OpenShift 라우터 배포에 대한 최대 동시 연결 수를 설정할 수 있습니다. 기존 Ingress Controller에 패치를 적용하여 최대 연결 수를 늘릴 수 있습니다.

사전 요구 사항

  • 다음은 Ingress Controller를 이미 생성했다고 가정합니다.

프로세스

  • HAProxy에 대한 최대 연결 수를 변경하려면 Ingress Controller를 업데이트하세요. 

    $ oc -n openshift-ingress-operator patch ingresscontroller/default --type=merge -p '{"spec":{"tuningOptions": {"maxConnections": 7500}}}'
    Copy to Clipboard Toggle word wrap
    주의

    spec.tuningOptions.maxConnections 값을 현재 운영 체제 제한보다 크게 설정하면 HAProxy 프로세스가 시작되지 않습니다. 이 매개변수에 대한 자세한 내용은 "Ingress Controller 구성 매개변수" 섹션의 표를 참조하세요.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat