9장. 송신 IP 주소 구성

다음 표에는 다양한 플랫폼의 송신 IP 주소 기능에 대한 지원이 요약되어 있습니다.

일반적으로 퍼블릭 클라우드 제공업체는 이탈 IP에 제한을 둡니다. 즉, 퍼블릭 클라우드 인프라에 프로비저닝된 클러스터의 경우 노드당 할당 가능한 IP 주소의 절대 수에 제약이 있습니다. 노드당 할당 가능한 IP 주소의 최대 수 또는 IP 용량은 다음 공식으로 설명할 수 있습니다.

IP capacity = public cloud default capacity - sum(current IP assignments)

IP capacity = public cloud default capacity - sum(current IP assignments)

Egress IP 기능은 노드당 IP 주소 용량을 관리하지만 배포 시 이러한 제약 조건을 계획하는 것이 중요합니다. 예를 들어, 퍼블릭 클라우드 제공자가 노드당 IP 주소 용량을 10개로 제한하고 노드가 8개인 경우, 할당 가능한 IP 주소의 총 수는 80개에 불과합니다. 더 높은 IP 주소 용량을 확보하려면 추가 노드를 할당해야 합니다. 예를 들어, 할당 가능한 IP 주소가 150개 필요한 경우 7개의 추가 노드를 할당해야 합니다.

퍼블릭 클라우드 환경에서 모든 노드의 IP 용량과 서브넷을 확인하려면 oc get node <노드 이름> -o yaml 명령을 입력하면 됩니다. cloud.network.openshift.io/egress-ipconfig 주석에는 노드의 용량 및 서브넷 정보가 포함되어 있습니다.

주석 값은 기본 네트워크 인터페이스에 대한 다음 정보를 제공하는 필드가 있는 단일 객체가 있는 배열입니다.

노드 간 트래픽에 대한 이그레스 IP 주소를 자동으로 연결하고 분리할 수 있습니다. 이를 통해 네임스페이스의 여러 포드에서 발생하는 트래픽이 클러스터 외부 위치로 일관된 소스 IP 주소를 가질 수 있습니다. 이는 또한 OpenShift Container Platform 4.19의 Red Hat OpenShift Networking의 기본 네트워킹 플러그인인 OpenShift SDN 및 OVN-Kubernetes도 지원합니다.

다음 예는 여러 퍼블릭 클라우드 공급자의 노드에서 주석을 설명한 것입니다. 가독성을 위해 주석은 들여쓰기되어 있습니다.

cloud.network.openshift.io/egress-ipconfig: [
  {
    "interface":"eni-078d267045138e436",
    "ifaddr":{"ipv4":"10.0.128.0/18"},
    "capacity":{"ipv4":14,"ipv6":15}
  }
]

cloud.network.openshift.io/egress-ipconfig: [
  {
    "interface":"eni-078d267045138e436",
    "ifaddr":{"ipv4":"10.0.128.0/18"},
    "capacity":{"ipv4":14,"ipv6":15}
  }
]

cloud.network.openshift.io/egress-ipconfig: [
  {
    "interface":"nic0",
    "ifaddr":{"ipv4":"10.0.128.0/18"},
    "capacity":{"ip":14}
  }
]

cloud.network.openshift.io/egress-ipconfig: [
  {
    "interface":"nic0",
    "ifaddr":{"ipv4":"10.0.128.0/18"},
    "capacity":{"ip":14}
  }
]

다음 섹션에서는 용량 계산에 사용할 수 있는 지원되는 퍼블릭 클라우드 환경의 IP 주소 용량을 설명합니다.

OpenShift Container Platform에서 송신 IP는 관리자에게 네트워크 트래픽을 제어할 수 있는 방법을 제공합니다. 탈출 IP는 br-ex Open vSwitch(OVS) 브리지 인터페이스 및 IP 연결이 활성화된 모든 물리적 인터페이스와 함께 사용할 수 있습니다.

다음 명령을 실행하여 네트워크 인터페이스 유형을 검사할 수 있습니다.

ip -details link show

$ ip -details link show

기본 네트워크 인터페이스에는 서브넷 마스크도 포함된 노드 IP 주소가 지정됩니다. 클러스터 내의 각 노드에 대한 Kubernetes 노드 개체에서 k8s.ovn.org/node-primary-ifaddr 주석을 검사하여 이 노드 IP 주소에 대한 정보를 검색할 수 있습니다. IPv4 클러스터에서 이 주석은 다음 예와 유사합니다: "k8s.ovn.org/node-primary-ifaddr: {"ipv4":"192.168.111.23/24"}" .

송신 IP가 기본 네트워크 인터페이스 서브넷의 서브넷 내에 없는 경우 기본 네트워크 인터페이스 유형이 아닌 다른 Linux 네트워크 인터페이스에서 송신 IP를 사용할 수 있습니다. 이를 통해 OpenShift Container Platform 관리자는 라우팅, 주소 지정, 세분화, 보안 정책 등의 네트워킹 측면에 대해 더 높은 수준의 제어권을 확보할 수 있습니다. 이 기능은 사용자에게 트래픽 분할이나 특수 요구 사항 충족 등의 목적으로 특정 네트워크 인터페이스를 통해 워크로드 트래픽을 라우팅하는 옵션을 제공합니다.

송신 IP가 기본 네트워크 인터페이스의 서브넷 내에 없으면 노드에 다른 네트워크 인터페이스가 있을 경우 송신 트래픽에 대해 다른 네트워크 인터페이스가 선택될 수 있습니다.

k8s.ovn.org/host-cidrs Kubernetes 노드 주석을 검사하면 어떤 다른 네트워크 인터페이스가 송신 IP를 지원하는지 확인할 수 있습니다. 이 주석에는 기본 네트워크 인터페이스에 대해 발견된 주소와 서브넷 마스크가 포함되어 있습니다. 여기에는 추가적인 네트워크 인터페이스 주소와 서브넷 마스크 정보도 포함되어 있습니다. 이러한 주소와 서브넷 마스크는 가장 긴 접두사 일치 라우팅 메커니즘을 사용하여 어떤 네트워크 인터페이스가 출구 IP를 지원하는지 확인하는 네트워크 인터페이스에 할당됩니다.

기본 네트워크 인터페이스가 아닌 네트워크 인터페이스에 출구 IP를 할당하기 위한 요구 사항

기본 네트워크 인터페이스가 아닌 특정 인터페이스를 통해 송신 IP 및 트래픽을 라우팅하려는 사용자의 경우 다음 조건을 충족해야 합니다.

하나 이상의 송신 IP를 네임스페이스 또는 네임스페이스의 특정 Pod에 할당하려면 다음 조건을 충족해야 합니다.

EgressIP 오브젝트를 생성할 때 k8s.ovn.org/egress-assignable: "" 레이블이 지정된 노드에 다음 조건이 적용됩니다.

Pod가 여러 EgressIP 오브젝트의 선택기와 일치하는 경우 EgressIP 오브젝트에 지정된 송신 IP 주소 중 어느 것이 Pod의 송신 IP 주소로 할당되는지 보장할 수 없습니다.

또한, EgressIP 객체가 여러 개의 송신 IP 주소를 지정하는 경우 어떤 송신 IP 주소가 사용될지 보장할 수 없습니다. 예를 들어, 포드가 두 개의 송신 IP 주소( 10.10.20.1 및 10.10.20.2 )를 갖는 EgressIP 객체에 대한 선택기와 일치하는 경우 각 TCP 연결 또는 UDP 대화에 두 주소가 사용될 수 있습니다.

다음 다이어그램에서는 송신 IP 주소 구성을 보여줍니다. 다이어그램은 클러스터의 세 개 노드에서 실행 중인 두 개의 다른 네임스페이스에 있는 포드 4개를 설명합니다. 노드는 호스트 네트워크의 192.168.126.0/18 CIDR 블록에서 할당된 IP 주소입니다.

노드 1과 노드 3은 모두 k8s.ovn.org/egress-assignable: ""로 레이블이 지정되어 있으므로 송신 IP 주소 할당에 사용할 수 있습니다.

다이어그램에 있는 점선은 노드 1 및 노드 3에서 클러스터를 나가기 위해 포드 네트워크를 통해 이동하는 pod1, pod2, pod3의 트래픽 흐름을 나타냅니다. 외부 서비스에서 예제의 EgressIP 오브젝트에서 선택한 Pod 중 하나에서 트래픽을 수신하는 경우 소스 IP 주소는 192.168.126.10 또는 192.168.126.102입니다. 트래픽은 이 두 노드 간에 대략적으로 균등하게 분산됩니다.

다이어그램의 다음 리소스는 자세히 설명되어 있습니다.