Red Hat Summit1장. 서비스 메시 통합
1.1. OpenShift Serverless와 Service Mesh 2.x 통합
OpenShift Serverless Operator는 Kourier를 Knative의 기본 수신으로 제공합니다. 그러나 Kourier가 활성화되어 있는지 여부에 관계없이 OpenShift Serverless에서 Service Mesh를 사용할 수 있습니다. Kourier disabled와 통합하면 mTLS 기능과 같이 Kourier 인그레스가 지원하지 않는 추가 네트워킹 및 라우팅 옵션을 구성할 수 있습니다.
다음과 같은 가정 및 제한 사항에 유의하십시오.
- 모든 Knative 내부 구성 요소와 Knative 서비스는 서비스 메시의 일부이며 사이드카 삽입이 활성화되어 있습니다. 즉, 엄격한 mTLS가 전체 메시 내에서 적용됩니다. Knative 서비스에 대한 모든 요청에는 OpenShift 라우팅에서 들어오는 호출을 제외하고 클라이언트가 인증서를 보내야 하는 mTLS 연결이 필요합니다.
- Service Mesh를 사용한 OpenShift Serverless 통합은 하나의 서비스 메시만 대상으로 할 수 있습니다. 클러스터에 여러 메시가 존재할 수 있지만 OpenShift Serverless는 해당 중 하나에서만 사용할 수 있습니다.
-
OpenShift Serverless가 포함된 대상
ServiceMeshMemberRoll을 변경하면 OpenShift Serverless를 다른 메시로 이동하는 것은 지원되지 않습니다. 대상 서비스 메시를 변경하는 유일한 방법은 OpenShift Serverless를 설치 제거하고 다시 설치하는 것입니다.
1.1.1. 사전 요구 사항
- 클러스터 관리자 액세스 권한이 있는 Red Hat OpenShift Serverless 계정에 액세스할 수 있습니다.
-
OpenShift CLI(
oc)가 설치되어 있습니다. - Serverless Operator를 설치했습니다.
- Red Hat OpenShift Service Mesh 2.x Operator가 설치되어 있습니다.
다음 절차의 예제에서는 도메인
example.com을 사용합니다. 이 도메인에 사용되는 예제 인증서는 하위 도메인 인증서에 서명하는 CA(인증 기관)로 사용됩니다.배포에서 이 절차를 완료하고 확인하려면 널리 신뢰받는 공용 CA에서 서명한 인증서 또는 조직에서 제공하는 CA가 필요합니다. 도메인, 하위 도메인, CA에 따라 예제 명령을 조정해야 합니다.
-
OpenShift Container Platform 클러스터의 도메인과 일치하도록 와일드카드 인증서를 구성해야 합니다. 예를 들어 OpenShift Container Platform 콘솔 주소가
https://console-openshift-console.apps.openshift.example.com인 경우 도메인이*.apps.openshift.example.com이 되도록 와일드카드 인증서를 구성해야 합니다. 와일드카드 인증서 구성에 대한 자세한 내용은 수신되는 외부 트래픽을 암호화하기 위한 인증서 생성에 관한 다음의 내용을 참조하십시오. - 기본 OpenShift Container Platform 클러스터 도메인의 하위 도메인이 아닌 도메인 이름을 사용하려면 해당 도메인에 대한 도메인 매핑을 설정해야 합니다. 자세한 내용은 사용자 정의 도메인 매핑 생성에 대한 OpenShift Serverless 설명서를 참조하십시오.
OpenShift Serverless는 본 안내서에 명시되어 있는 Red Hat OpenShift Service Mesh 기능만 지원하며 문서화되지 않은 다른 기능은 지원하지 않습니다.
Service Mesh에서 Serverless 1.31 사용은 Service Mesh 버전 2.2 이상에서만 지원됩니다. 1.31 이외의 버전에 대한 자세한 내용 및 정보는 "Red Hat OpenShift Serverless 지원 구성" 페이지를 참조하십시오.
1.1.2. 수신 외부 트래픽을 암호화하기 위한 인증서 생성
기본적으로 Service Mesh mTLS 기능은 사이드카가 있는 수신 게이트웨이와 개별 Pod 간에 Service Mesh 자체의 트래픽만 보호합니다. OpenShift Container Platform 클러스터로 전달될 때 트래픽을 암호화하려면 OpenShift Serverless 및 Service Mesh 통합을 활성화하기 전에 인증서를 생성해야 합니다.
사전 요구 사항
- OpenShift Container Platform에 대한 클러스터 관리자 권한이 있거나 AWS 또는 OpenShift Dedicated의 Red Hat OpenShift Service에 대한 클러스터 또는 전용 관리자 권한이 있습니다.
- OpenShift Serverless Operator 및 Knative Serving이 설치되어 있습니다.
-
OpenShift CLI(
oc)가 설치되어 있습니다. -
설치 중에 OpenShift Serverless Operator가 자동으로 생성하는
knative-serving-ingress네임스페이스에 액세스할 수 있습니다. - 프로젝트를 생성하거나 애플리케이션 및 기타 워크로드를 생성할 수 있는 적절한 역할 및 권한이 있는 프로젝트에 액세스할 수 있습니다.
프로세스
Knative 서비스의 인증서에 서명할 root 인증서 및 개인 키를 생성합니다.
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 \ -subj '/O=Example Inc./CN=example.com' \ -keyout root.key \ -out root.crt$ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 \ -subj '/O=Example Inc./CN=example.com' \ -keyout root.key \ -out root.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 와일드카드 인증서를 만듭니다.
openssl req -nodes -newkey rsa:2048 \ -subj "/CN=*.apps.openshift.example.com/O=Example Inc." \ -keyout wildcard.key \ -out wildcard.csr$ openssl req -nodes -newkey rsa:2048 \ -subj "/CN=*.apps.openshift.example.com/O=Example Inc." \ -keyout wildcard.key \ -out wildcard.csrCopy to Clipboard Copied! Toggle word wrap Toggle overflow 와일드카드 인증서를 서명합니다.
openssl x509 -req -days 365 -set_serial 0 \ -CA root.crt \ -CAkey root.key \ -in wildcard.csr \ -out wildcard.crt$ openssl x509 -req -days 365 -set_serial 0 \ -CA root.crt \ -CAkey root.key \ -in wildcard.csr \ -out wildcard.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow Service Mesh 버전에 따라 다음 명령 중 하나를 입력하여 와일드카드 인증서가 포함된 보안을 생성합니다.
옵션 A: Service Mesh 2.x의 경우 다음 명령을 입력하여
istio-system네임스페이스에 보안을 생성합니다.oc create -n istio-system secret tls wildcard-certs \ --key=wildcard.key \ --cert=wildcard.crt$ oc create -n istio-system secret tls wildcard-certs \ --key=wildcard.key \ --cert=wildcard.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 옵션 B: Service Mesh 3.x의 경우 다음 명령을 입력하여
knative-serving-ingress네임스페이스에 보안을 생성합니다.oc create -n knative-serving-ingress secret tls wildcard-certs \ --key=wildcard.key \ --cert=wildcard.crt$ oc create -n knative-serving-ingress secret tls wildcard-certs \ --key=wildcard.key \ --cert=wildcard.crtCopy to Clipboard Copied! Toggle word wrap Toggle overflow 시크릿에 사용되는 네임스페이스는 Service Mesh 버전에 따라 다릅니다. Service Mesh 2.x는
istio-system네임스페이스에 인증서가 있어야 합니다. Service Mesh 3.x는 OpenShift Serverless 수신 게이트웨이가 실행되는 전용knative-serving-ingress네임스페이스를 사용합니다.
1.1.3. OpenShift Serverless와 Service Mesh 통합
Service Mesh 2.x를 OpenShift Serverless와 통합하여 서버리스 애플리케이션의 고급 트래픽 관리, 보안 및 관찰 기능을 활성화할 수 있습니다. 이 섹션에서는 사전 요구 사항을 확인하고, 구성 요소를 설치 및 구성하고, 통합이 예상대로 작동하는지 확인하는 단계를 제공합니다.
1.1.3.1. 설치 사전 요구 사항 확인
Serverless와 Service Mesh 통합을 설치하고 구성하기 전에 사전 요구 사항이 충족되었는지 확인합니다.
프로세스
충돌하는 게이트웨이를 확인합니다.
명령 예
oc get gateway -A -o jsonpath='{range .items[*]}{@.metadata.namespace}{"/"}{@.metadata.name}{" "}{@.spec.servers}{"\n"}{end}' | column -t$ oc get gateway -A -o jsonpath='{range .items[*]}{@.metadata.namespace}{"/"}{@.metadata.name}{" "}{@.spec.servers}{"\n"}{end}' | column -tCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
knative-serving/knative-ingress-gateway [{"hosts":["*"],"port":{"name":"https","number":443,"protocol":"HTTPS"},"tls":{"credentialName":"wildcard-certs","mode":"SIMPLE"}}] knative-serving/knative-local-gateway [{"hosts":["*"],"port":{"name":"http","number":8081,"protocol":"HTTP"}}]knative-serving/knative-ingress-gateway [{"hosts":["*"],"port":{"name":"https","number":443,"protocol":"HTTPS"},"tls":{"credentialName":"wildcard-certs","mode":"SIMPLE"}}] knative-serving/knative-local-gateway [{"hosts":["*"],"port":{"name":"http","number":8081,"protocol":"HTTP"}}]Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령은 다른 Service Mesh 인스턴스의 일부인
knative-serving및Gateway의게이트웨이를 제외하고포트 443및호스트: ["*"]를 바인딩하는게이트웨이를 반환해서는 안 됩니다.참고Serverless에서 속하는 메시는 Serverless 워크로드에만 예약되어 있어야 합니다. 이는 게이트웨이와 같은 추가 구성이 Serverless 게이트웨이
knative-local-gateway및knative-ingress-gateway를 방해할 수 있기 때문입니다.Red Hat OpenShift Service Mesh는 하나의 게이트웨이가 동일한 포트(포트:443)에서 와일드카드호스트 바인딩(호스트: ["*"])을 요청할 수 있도록 허용합니다. 다른 게이트웨이가 이미 이 구성을 바인딩하고 있는 경우 Serverless 워크로드에 대해 별도의 메시를 생성해야 합니다.
1.1.3.2. 서비스 메시 설치 및 구성
Serverless를 Service Mesh와 통합하려면 특정 구성으로 서비스 메시를 설치해야 합니다.
프로세스
다음 구성을 사용하여
istio-system네임스페이스에서ServiceMeshControlPlane리소스를 생성합니다.중요기존
ServiceMeshControlPlane오브젝트가 있는 경우 동일한 구성이 적용되었는지 확인합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 메시에서 엄격한 mTLS를 적용합니다. 유효한 클라이언트 인증서를 사용하는 호출만 허용됩니다.
- 2
- Serverless에서 Knative 서비스에 대한 정상 종료 시간은 30초입니다.
Istio-proxy에는 요청이 삭제되지 않도록 하려면 더 긴 종료 기간이 있어야 합니다. - 3
- Knative 게이트웨이만 대상으로 할 수신 게이트웨이의 특정 선택기를 정의합니다.
- 4
- 이러한 포트는 Kubernetes 및 클러스터 모니터링에 의해 호출되며 메시의 일부가 아니며 mTLS를 사용하여 호출할 수 없습니다. 따라서 이러한 포트는 메시에서 제외됩니다.
Service Mesh와 통합할 네임스페이스를
ServiceMeshMemberRoll오브젝트에 멤버로 추가합니다.servicemesh-member-roll.yaml구성 파일 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Service Mesh와 통합할 네임스페이스 목록입니다.
중요이 네임스페이스 목록에
knative-serving및knative-eventing네임스페이스가 포함되어야 합니다.ServiceMeshMemberRoll리소스를 적용합니다.oc apply -f servicemesh-member-roll.yaml
$ oc apply -f servicemesh-member-roll.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서비스 메시가 트래픽을 수락할 수 있도록 필요한 게이트웨이를 생성합니다. 다음 예제에서는
ISTIO_MUTUAL모드(mTLS)와 함께knative-local-gateway오브젝트를 사용합니다.istio-knative-gateways.yaml구성 파일의 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow Gateway리소스를 적용합니다.oc apply -f istio-knative-gateways.yaml
$ oc apply -f istio-knative-gateways.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.1.3.3. Serverless 설치 및 구성
Service Mesh를 설치한 후 특정 구성으로 Serverless를 설치해야 합니다.
프로세스
Istio 통합을 활성화하는 다음
KnativeServing사용자 정의 리소스를 사용하여 Knative Serving을 설치합니다.knative-serving-config.yaml구성 파일의 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow KnativeServing리소스를 적용합니다.oc apply -f knative-serving-config.yaml
$ oc apply -f knative-serving-config.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow Istio 통합을 활성화하는 다음
KnativeEventing오브젝트를 사용하여 Knative Eventing을 설치합니다.knative-eventing-config.yaml구성 파일의 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
spec.config.features.istio를 사용하면 Eventing Istio 컨트롤러에서 각InMemoryChannel또는KafkaChannel서비스에 대한DestinationRule을 생성할 수 있습니다. -
spec.workload는 Knative Eventing Pod에 사이드카 삽입을 활성화합니다.
-
KnativeEventing리소스를 적용합니다.oc apply -f knative-eventing-config.yaml
$ oc apply -f knative-eventing-config.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow Istio 통합을 활성화하는 다음
KnativeKafka사용자 정의 리소스를 사용하여 Knative Kafka를 설치합니다.knative-kafka-config.yaml구성 파일의 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow KnativeEventing오브젝트를 적용합니다.oc apply -f knative-kafka-config.yaml
$ oc apply -f knative-kafka-config.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow ServiceEntry를 설치하여KnativeKafka구성 요소와 Apache Kafka 클러스터 간의 통신에 대해 서비스 메시에 알립니다.kafka-cluster-serviceentry.yaml구성 파일의 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고spec.ports에서 나열된 포트는 예제 Cryostat 포트입니다. 실제 값은 Apache Kafka 클러스터 구성 방법에 따라 다릅니다.ServiceEntry리소스를 적용합니다.oc apply -f kafka-cluster-serviceentry.yaml
$ oc apply -f kafka-cluster-serviceentry.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
1.1.3.4. 통합 확인
Istio가 활성화된 Service Mesh 및 Serverless를 설치한 후 통합이 작동하는지 확인할 수 있습니다.
프로세스
사이드카 삽입이 활성화되고 패스쓰루(pass-through) 경로를 사용하는 Knative 서비스를 생성합니다.
knative-service.yaml구성 파일의 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow 중요이 예제의 주석을 모든 Knative 서비스에 항상 추가하여 서비스 메시에서 작동하도록 합니다.
Service리소스를 적용합니다.oc apply -f knative-service.yaml
$ oc apply -f knative-service.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow CA에서 신뢰하는 보안 연결을 사용하여 서버리스 애플리케이션에 액세스합니다.
curl --cacert root.crt <service_url>
$ curl --cacert root.crt <service_url>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들어 다음을 실행합니다.
명령 예
curl --cacert root.crt https://hello-default.apps.openshift.example.com
$ curl --cacert root.crt https://hello-default.apps.openshift.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Hello Openshift!
Hello Openshift!Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.1.4. mTLS와 함께 서비스 메시를 사용할 때 Knative Serving 및 Knative Eventing 메트릭 활성화
mTLS(mutual Transport Layer Security)를 사용하여 서비스 메시를 활성화하면 서비스 메시가 Prometheus가 메트릭을 스크랩하지 못하기 때문에 Knative Serving 및 Knative Eventing에 대한 메트릭이 기본적으로 비활성화되어 있습니다. Service Mesh 및 mTLS를 사용할 때 Knative Serving 및 Knative Eventing 메트릭을 활성화할 수 있습니다.
사전 요구 사항
클러스터에 액세스할 수 있는 다음 권한 중 하나가 있습니다.
- OpenShift Container Platform에 대한 클러스터 관리자 권한
- AWS의 Red Hat OpenShift Service에 대한 클러스터 관리자 권한
- OpenShift Dedicated에 대한 전용 관리자 권한
-
OpenShift CLI(
oc)가 설치되어 있습니다. - 애플리케이션 및 기타 워크로드를 생성할 수 있는 적절한 역할 및 권한이 있는 프로젝트에 액세스할 수 있습니다.
- 클러스터에 OpenShift Serverless Operator, Knative Serving 및 Knative Eventing을 설치했습니다.
- mTLS 기능이 활성화된 Red Hat OpenShift Service Mesh를 설치했습니다.
프로세스
Knative Serving 사용자 정의 리소스(CR)의
observability사양에서prometheus를metrics.backend-destination으로 지정합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이 단계에서는 메트릭이 기본적으로 비활성화되지 않습니다.
참고manageNetworkPolicy: false를 사용하여ServiceMeshControlPlane을 구성할 때 KnativeEventing에서 주석을 사용하여 적절한 이벤트 전달을 보장해야 합니다.동일한 메커니즘이 Knative Eventing에 사용됩니다. Knative Eventing에 대한 메트릭을 활성화하려면 다음과 같이 Knative Eventing CR(사용자 정의 리소스)의
관찰가능성 사양에prometheus를metrics.backend-destination으로 지정해야 합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 사양을 포함하도록
istio-system네임스페이스에서 기본 서비스 메시 컨트롤 플레인을 수정하고 다시 적용합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.1.5. 기본 네트워크 정책 비활성화
OpenShift Serverless Operator는 기본적으로 네트워크 정책을 생성합니다. 기본 네트워크 정책 생성을 비활성화하려면 KnativeEventing 및 KnativeServing CR(사용자 정의 리소스)에 서버리스.openshift.io/disable-istio-net-policies-generation 주석을 추가할 수 있습니다.
OpenShift Serverless Operator는 기본적으로 필요한 네트워크 정책을 생성합니다. 그러나 Service Mesh 3.x에 대한 지원은 현재 기술 프리뷰에 있으며 이러한 기본 네트워크 정책은 아직 Service Mesh 3.x의 네트워킹 요구 사항을 고려하지 않습니다. 결과적으로 이러한 정책을 적용할 때 새로 생성된 Knative 서비스(ksvc)가 Ready 상태에 도달하지 못할 수 있습니다.
이 문제를 방지하려면 KnativeServing 및 KnativeEventing 사용자 정의 리소스에서 서버리스.openshift.io/disable-istio-net-policies-generation 주석을 true 로 설정하여 Istio 관련 네트워크 정책의 자동 생성을 비활성화해야 합니다.
사전 요구 사항
클러스터에 액세스할 수 있는 다음 권한 중 하나가 있습니다.
- OpenShift Container Platform에 대한 클러스터 관리자 권한
- AWS의 Red Hat OpenShift Service에 대한 클러스터 관리자 권한
- OpenShift Dedicated에 대한 전용 관리자 권한
-
OpenShift CLI(
oc)가 설치되어 있습니다. - 애플리케이션 및 기타 워크로드를 생성할 수 있는 적절한 역할 및 권한이 있는 프로젝트에 액세스할 수 있습니다.
- 클러스터에 OpenShift Serverless Operator, Knative Serving 및 Knative Eventing을 설치했습니다.
- mTLS 기능이 활성화된 Red Hat OpenShift Service Mesh를 설치했습니다.
프로세스
서버리스.openshift.io/disable-istio-net-policies-generation: "true"주석을 Knative 사용자 정의 리소스에 추가합니다.참고OpenShift Serverless Operator는 기본적으로 필요한 네트워크 정책을 생성합니다.
manageNetworkPolicy: false를 사용하여ServiceMeshControlPlane을 구성할 때 적절한 이벤트 전달을 보장하기 위해 기본 네트워크 정책 생성을 비활성화해야 합니다. 기본 네트워크 정책 생성을 비활성화하려면KnativeEventing및KnativeServingCR(사용자 정의 리소스)에서버리스.openshift.io/disable-istio-net-policies-generation주석을 추가할 수 있습니다.다음 명령을 실행하여
KnativeEventingCR에 주석을 답니다.oc edit KnativeEventing -n knative-eventing
$ oc edit KnativeEventing -n knative-eventingCopy to Clipboard Copied! Toggle word wrap Toggle overflow KnativeEventingCR의 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여
KnativeServingCR에 주석을 답니다.oc edit KnativeServing -n knative-serving
$ oc edit KnativeServing -n knative-servingCopy to Clipboard Copied! Toggle word wrap Toggle overflow KnativeServingCR의 예Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.1.6. Service Mesh에 대한 시크릿 필터링을 사용하여 net-istio 메모리 사용량 개선
기본적으로 Kubernetes client-go 라이브러리에 대한 정보 제공자 는 특정 유형의 모든 리소스를 가져옵니다. 이로 인해 많은 리소스가 사용 가능한 경우 상당한 오버헤드가 발생할 수 있으므로 메모리 누수로 인해 대규모 클러스터에서 Knative net-istio Ingress 컨트롤러가 실패할 수 있습니다. 그러나 필터링 메커니즘은 Knative net-istio 수신 컨트롤러에서 사용할 수 있으므로 컨트롤러가 Knative 관련 시크릿만 가져올 수 있습니다.
OpenShift Serverless Operator 측에서는 기본적으로 보안 필터링이 활성화됩니다. 환경 변수 ENABLE_SECRET_INFORMER_BY_CERT_UID=true 가 기본적으로 net-istio 컨트롤러 포드에 추가됩니다.
보안 필터링을 활성화하는 경우 networking.internal.knative.dev/certificate-uid: "<id>" 로 모든 보안에 레이블을 지정해야 합니다. 그렇지 않으면 Knative Serving이 탐지되지 않아 오류가 발생합니다. 새 보안 및 기존 보안에 레이블을 지정해야 합니다.
사전 요구 사항
- OpenShift Container Platform에 대한 클러스터 관리자 권한이 있거나 AWS 또는 OpenShift Dedicated의 Red Hat OpenShift Service에 대한 클러스터 또는 전용 관리자 권한이 있습니다.
- 프로젝트를 생성하거나 애플리케이션 및 기타 워크로드를 생성할 수 있는 적절한 역할 및 권한이 있는 프로젝트에 액세스할 수 있습니다.
- Red Hat OpenShift Service Mesh를 설치합니다. OpenShift Serverless with Service Mesh는 Red Hat OpenShift Service Mesh 버전 2.0.5 이상에서만 지원됩니다.
- OpenShift Serverless Operator 및 Knative Serving을 설치합니다.
-
OpenShift CLI(
oc)를 설치합니다.
KnativeServing CR(사용자 정의 리소스)의 workloads 필드를 사용하여 ENABLE_SECRET_INFORMER_FILTERING_BY_CERT_UID 변수를 false 로 설정하여 시크릿 필터링을 비활성화할 수 있습니다.
KnativeServing CR의 예
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}