1.3.11. 네트워킹

HAProxy 버전 2.8.18로 업데이트

OpenShift Container Platform 4.22에서 HAProxy 버전 2.8.18을 사용합니다. 이번 업데이트를 통해 Ingress 컨트롤러는 HAProxy의 최신 버그 수정 및 성능 개선의 이점을 누릴 수 있습니다. 이 버전의 변경 사항에 대한 자세한 내용은 HAProxy 2.8.18 릴리스 노트 를 참조하십시오.

네트워크 정책 개선 사항

클러스터 공격 면적을 줄이고 예측 가능한 네트워크 동작을 보장하기 위해 OpenShift Container Platform은 이제 중요한 네트워킹 구성 요소에 최소 권한 네트워크 정책을 적용합니다. 4.22부터 OpenShift Container Platform에는 일부 자체 네임스페이스에 기본 NetworkPolicy 오브젝트가 포함되어 있습니다. 특히 클러스터 DNS 및 클러스터 Ingress를 관리하는 Operator는 해당 네임스페이스에서 기본 거부 NetworkPolicy 오브젝트를 자동으로 설치하고 유지 관리합니다.

중요

이러한 네임스페이스는 이제 기본 거부 모델에서 작동하므로 이러한 네임스페이스에서 실행 중인 관리되지 않는 Pod 또는 사용자 정의 Pod의 네트워크 트래픽이 차단됩니다. OpenShift Container Platform이 기본적으로 자체 네임스페이스에 포함하는 기본 NetworkPolicy 오브젝트를 수정하지 마십시오.

기본적으로 오브젝트가 포함된 네임스페이스를 확인하려면 다음 명령을 실행합니다.

$ oc get networkpolicies --all-namespaces

OpenShift Container Platform 4.22 릴리스에는 이러한 오브젝트가 모든 OpenShift Container Platform 네임스페이스에 포함되지 않았습니다. 이후 OpenShift Container Platform 릴리스에는 추가 네임스페이스에 개체가 포함될 수 있습니다.

특정 네트워크 인터페이스에 대한 IPv4 전달

Kubernetes NMState Operator를 사용하여 특정 네트워크 인터페이스에서 IPv4 전달을 활성화할 수 있습니다. NodeNetworkConfigurationPolicy 사용자 정의 리소스에서 forwarding: true 필드를 설정하면 클러스터에서 글로벌 IP 전달을 활성화하지 않고 IP 패킷을 전달하도록 개별 인터페이스를 구성할 수 있습니다. 이 접근 방식은 MetalLB 로드 밸런서에서 사용하는 보조 인터페이스와 같이 필요한 인터페이스에서만 전달을 허용하는 동안 글로벌 전달을 비활성화 상태로 유지하여 보안을 향상시킵니다.

자세한 내용은 특정 인터페이스에서 IP 전달 활성화를 참조하십시오.

Kubernetes NMState Operator에서 메트릭 지원을 확장

이제 Kubernetes NMState Operator에서 다음 Kubernetes 구성 요소에서 지표를 수집할 수 있습니다.

kubernetes_nmstate_policies_status: 클러스터에서 NodeNetworkConfigurationPolicy (NNCP) 리소스의 활성 상태를 추적합니다.
kubernetes_nmstate_enactments_status: 노드별로 NodeNetworkConfigurationEnactment (NNCE) 리소스의 활성 상태를 추적합니다.
자세한 내용은 Kubernetes NMState Operator에서 수집한 메트릭 보기를 참조하십시오.

Kubernetes NMState Operator를 사용한 네트워크 인터페이스의 대체 인터페이스 이름

Kubernetes NMState Operator를 사용하여 네트워크 인터페이스에 대체 이름을 할당합니다. 대체 이름은 클러스터 노드 간 인터페이스에 대한 일관되고 설명이 포함된 레이블을 제공하여 노드마다 인터페이스 이름이 다른 환경에서 자동화를 단순화합니다.

자세한 내용은 대체 네트워크 인터페이스 이름 구성 을 참조하십시오.

쉼표trix 플러그인을 사용한 Ingress 방화벽 구성

쉼표 trix 플러그인 은 클러스터 노드에 배포하기 위해 Butane 형식으로 nftables 방화벽 규칙을 생성합니다. 이러한 규칙은 배포된 서비스에 필요한 흐름으로만 수신 트래픽을 제한하여 제로 신뢰 보안 상태를 승격합니다. 이 플러그인은 노드를 재부팅하지 않고 규칙 업데이트를 적용하기 위해 NodeDisruptionPolicy 패치를 생성합니다.

자세한 내용은 Butane 형식으로 nftables 방화벽 규칙 생성 을 참조하십시오.

MetalLB ConfigurationState 리소스는 컨트롤러 및 발표자 구성 상태를 보고합니다.

이제 새 ConfigurationState 사용자 정의 리소스를 사용하여 MetalLB가 클러스터에 설정을 성공적으로 적용했는지 확인할 수 있습니다. 이 기능은 개별 노드 로그 또는 FRR 상태 보고서를 통해 검색하면 이전에 표시되는 구성 오류를 식별할 수 있는 단일 일관된 위치를 제공합니다.

MetalLB는 컨트롤러 및 각 speaker 노드에 대한 ConfigurationState 리소스를 생성합니다. 각 리소스는 구성이 유효한지 여부를 보고하고 유효성 검사가 실패하면 IPAddressPool,BGPPeer 또는 BFDProfile 오브젝트와 같은 특정 오류 세부 정보를 표시합니다. 이 중앙 집중식 보고를 사용하면 시스템 무결성을 모니터링하고 네트워킹 충돌을 보다 신속하게 해결할 수 있습니다.

자세한 내용은 MetalLB 구성 상태 확인을 참조하십시오.

다중 네트워크 정책 백엔드에서 nftables 사용

이번 릴리스에서는 다중 네트워크 정책 백엔드에서 iptables 대신 nftables 를 사용합니다. iptables 백엔드가 제거되었으며 해당 백엔드로 되돌릴 수 있는 옵션이 없습니다. MultiNetworkPolicy API 및 사용자용 구성은 변경되지 않으므로 기존 다중 네트워크 정책은 수정 없이 계속 작동합니다.

자세한 내용은 다중 네트워크 정책 구성을 참조하십시오.

서비스 레이블을 사용하여 개별 LoadBalancer 서비스의 MetalLB 알림 조정

MetalLB를 사용하면 이제 BGPAdvertisement 및 L2Advertisement CR(사용자 정의 리소스)에 spec.serviceSelectors 를 설정할 수 있습니다. 이를 통해 LoadBalancer 서비스를 라벨별로 일치시킬 수 있으므로 각 광고는 해당 서비스에서 동일한 IPAddressPool을 사용하는 경우에도 선택한 서비스에 자체 BGP 또는 계층 2 설정을 적용할 수 있습니다.

자세한 내용은 IP 주소 풀에 대한 알림 정보를 참조하십시오.

서비스를 위한 불변 AWS Network Load Balancer

이번 릴리스에서는 AWS Load Balancer를 사용하여 서비스를 배포할 때 기존 서비스에서 service.beta.kubernetes.io/aws-load-balancer-type 주석을 사용할 수 없습니다. 로드 밸런서 유형을 변경하려면 서비스를 다시 생성해야 합니다.

클러스터 사용자 정의 네트워크의 BGP EVPN

이번 릴리스에서는 기본 클러스터 사용자 정의 네트워크에서 BGP EVPN(Border Gateway Protocol Ethernet Virtual Private Network)을 사용할 수 있습니다. OpenShift Container Platform에서 이 기능을 활성화하면 ClusterUserDefinedNetwork 오버레이 네트워크가 EVPN 컨트롤 플레인을 사용하여 데이터 센터 네트워크와 보다 긴밀하게 통합할 수 있습니다.

자세한 내용은 기본 클러스터 사용자 정의 네트워크의 BGP EVPN 정보를 참조하십시오.

BGP 라우팅을 사용하는 NoOverlay 모드

이번 릴리스에서는 BGP(Border Gateway Protocol) 라우팅이 포함된 덮어쓰기 모드가 OVN-Kubernetes를 사용하는 베어 메탈 클러스터에서 기술 프리뷰 기능으로 사용할 수 있습니다. 덮어쓰기 모드가 Geneve 캡슐화 대신 BGP가 지정된 경로를 사용하여 오버레이 네트워크에서 계층 3 Pod 트래픽을 전달하지 않으므로 east-west 성능을 개선할 수 있습니다. 기본 계층 3cluster 네트워크 및 기본 ClusterUserDefinedNetwork 리소스에서 no-overlay 모드를 활성화할 수 있습니다.

자세한 내용은 BGP를 사용하여 underlay에서 Pod를 라우팅하여 east-west 성능 개선을 참조하십시오.

Intel Granite Rapids-D 하드웨어에서 홀드 오버 없이 PTP 경계 클럭 지원

이제 NAC(Network Acceleration complex) 포트 및 선택적 카트레이트 확장 네트워크 인터페이스 카드(NIC)를 사용하는 Intel Granite Rapids-D(GNR-D) 하드웨어에서 holdover 없이 PTP(Precision Time Protocol) 경계 클럭(BC)을 구성할 수 있습니다.

이 배포에서 시간 송신기(TT) 포트가 동기화된 시간 다운스트림을 배포하는 동안 한 번 수신자(TR) 포트가 업스트림 타이밍 소스와 동기화됩니다. carter Flat 하드웨어에 대한 홀드오버 배포가 없는 GNR-D Cryostat에는 모니터링된 홀오버가 지원되지 않기 때문에 지속적인 업스트림 PTP 타이밍 소스가 필요합니다.

자세한 내용은 Intel Granite Rapids-D 하드웨어에서 홀드오버가 없는 경계 클록 을 참조하십시오.

Intel GNR-D 플랫폼에서 홀드오버가 있는 Granite Rapids-D (GNR-D) boundary clock 지원 (기술 프리뷰)

PTP Operator를 사용하여 홀드오버 지원이 포함된 Intel® Granite Rapids-D(GNR-D) 플랫폼 장치를 T-BC(Teleover boundary clock)로 구성할 수 있습니다.

이 기술 프리뷰 기능을 사용하면 GNR-D 플랫폼에서 T-BC holdover를 dell/XR8720t 및 hpe/EL140-Gen12 에서 구성할 수 있습니다.

이 구성에서 한 번의 시간 수신기(TR) 포트는 업스트림 journalctl 할 마스터 클록과 동기화되는 반면, 시간 송신기(TT) 포트는 동기화된 시간을 다운스트림 장치에 배포합니다. 업스트림 타이밍 소스 성능 저하, 연결 해제 또는 사용할 수 없게 되는 경우 시스템은 홀드오버 모드로 전환되고 구성된 디지털 단계 잠금 루프(DPLL) 장치를 사용하여 타이밍을 유지합니다.

자세한 내용은 GNR-D T-BC 홀더링 구성을 참조하십시오.

Intel Granite Rapids-D의 PTP Telecom Grandmaster (기술 프리뷰)

Intel Granite Rapids-D(GNR-D) 서버에서 PTP(Precision Time Protocol) Telecom Grandmaster(T-GM)를 구성할 수 있으므로 단일 글로벌 탐색 Satellite 시스템(GNSS) 피드는 온보드 네트워크 가속기(NAC) 포트 및 선택적 카터 플러스트 확장 네트워크 인터페이스 카드(Putter Flat expansion network interface cards)에 걸쳐 타이밍을 동기화할 수 있습니다. PTP Operator는 e830 및 e825 하드웨어 플러그인과 인증된 하드웨어 레이아웃에 맞게 사용자 지정하는 PtpConfig CR(사용자 정의 리소스) 예제를 사용하여 GNR-D 배포를 지원합니다. GNR-D의 PTP T-GM은 기술 프리뷰 기능으로 제공됩니다.

자세한 내용은 Intel Granite Rapids-D 하드웨어의 Telecom Grandmaster 클럭 을 참조하십시오.

1.3.11. 네트워킹

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 소개

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 문서 정보

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links