第 9 章 配置出口 IP 地址

下表概述了对不同平台中的出口 IP 地址功能的支持：

通常，公共云供应商对出口 IP 地址施加一个限制。这意味着，对于公共云基础架构上置备的集群，每个节点都有可分配 IP 地址的限制。如下公式描述了每个节点的可分配 IP 地址或 IP 容量 上限：

IP capacity = public cloud default capacity - sum(current IP assignments)

IP capacity = public cloud default capacity - sum(current IP assignments)

虽然 Egress IP 地址功能管理每个节点的 IP 地址容量，但在部署中计划这个约束非常重要。例如，如果公共云提供商将 IP 地址容量限制为每个节点 10 个 IP 地址，并且您有 8 个节点，则可分配的 IP 地址总数仅为 80。为了获得更高的 IP 地址容量，您需要分配额外的节点。例如，如果您需要 150 个可分配的 IP 地址，则需要分配 7 个节点。

要确认公共云环境中任何节点的 IP 容量和子网，您可以输入 oc get node <node_name> -o yaml 命令。cloud.network.openshift.io/egress-ipconfig 注解包括节点的容量和子网信息。

注解值是一个带有单个对象的数组，其中包含为主网络接口提供以下信息的字段：

为节点之间的流量自动附加和分离出口 IP 地址。这允许命名空间中许多 pod 的流量在集群外的位置上具有一致的源 IP 地址。这还支持 OpenShift SDN 和 OVN-Kubernetes，这是 OpenShift Container Platform 4.18 中 Red Hat OpenShift Networking 中的默认网络插件。

以下示例演示了来自多个公共云提供商上节点的注解。注解被缩进以便于阅读。

cloud.network.openshift.io/egress-ipconfig: [
  {
    "interface":"eni-078d267045138e436",
    "ifaddr":{"ipv4":"10.0.128.0/18"},
    "capacity":{"ipv4":14,"ipv6":15}
  }
]

cloud.network.openshift.io/egress-ipconfig: [
  {
    "interface":"eni-078d267045138e436",
    "ifaddr":{"ipv4":"10.0.128.0/18"},
    "capacity":{"ipv4":14,"ipv6":15}
  }
]

cloud.network.openshift.io/egress-ipconfig: [
  {
    "interface":"nic0",
    "ifaddr":{"ipv4":"10.0.128.0/18"},
    "capacity":{"ip":14}
  }
]

cloud.network.openshift.io/egress-ipconfig: [
  {
    "interface":"nic0",
    "ifaddr":{"ipv4":"10.0.128.0/18"},
    "capacity":{"ip":14}
  }
]

以下小节描述了支持公共云环境的 IP 地址容量，用于容量计算。

下图显示了出口 IP 地址配置。图中描述了，在一个集群的三个节点上运行的两个不同命名空间中的四个 pod。节点从主机网络上的 192.168.126.0/18 CIDR 块中分配 IP 地址。

Node 1 和 Node 3 都标记为 k8s.ovn.org/egress-assignable: ""，因此可用于分配出口 IP 地址。

图中的横线描述了 pod1、pod2 和 pod 3 的流量流，通过 pod 网络来从 Node 1 和 Node 3 出口集群。当外部服务从示例 EgressIP 对象选择的任何 pod 接收流量时，源 IP 地址为 192.168.126.10 或 192.168.126.102。这两个节点之间流量大致平衡。

根据示意图，以下清单文件定义命名空间：

apiVersion: v1
kind: Namespace
metadata:
  name: namespace1
  labels:
    env: prod
---
apiVersion: v1
kind: Namespace
metadata:
  name: namespace2
  labels:
    env: prod

apiVersion: v1
kind: Namespace
metadata:
  name: namespace1
  labels:
    env: prod
---
apiVersion: v1
kind: Namespace
metadata:
  name: namespace2
  labels:
    env: prod

根据示意图，以下 EgressIP 对象描述了一个配置，该配置选择将 env 标签设置为 prod 的任意命名空间中的所有 pod。所选 pod 的出口 IP 地址为 192.168.126.10 和 192.168.126.102。

apiVersion: k8s.ovn.org/v1
kind: EgressIP
metadata:
  name: egressips-prod
spec:
  egressIPs:
  - 192.168.126.10
  - 192.168.126.102
  namespaceSelector:
    matchLabels:
      env: prod
status:
  items:
  - node: node1
    egressIP: 192.168.126.10
  - node: node3
    egressIP: 192.168.126.102

apiVersion: k8s.ovn.org/v1
kind: EgressIP
metadata:
  name: egressips-prod
spec:
  egressIPs:
  - 192.168.126.10
  - 192.168.126.102
  namespaceSelector:
    matchLabels:
      env: prod
status:
  items:
  - node: node1
    egressIP: 192.168.126.10
  - node: node3
    egressIP: 192.168.126.102

对于上例中的配置，OpenShift Container Platform 会为可用节点分配两个出口 IP 地址。status 字段显示是否以及在哪里分配了出口 IP 地址。

在 OpenShift Container Platform 中，出口 IP 地址为管理员提供控制网络流量的方法。出口 IP 地址可用于 br-ex Open vSwitch (OVS)网桥接口，以及启用了 IP 连接的任何物理接口。

您可以运行以下命令来检查网络接口类型：

ip -details link show

$ ip -details link show

主网络接口被分配一个节点 IP 地址，该地址还包含子网掩码。此节点 IP 地址的信息可以通过检查 k8s.ovn.org/node-primary-ifaddr 注解从集群中的每个节点检索。在 IPv4 集群中，此注解类似以下示例："k8s.ovn.org/node-primary-ifaddr: {"ipv4":"192.168.111.23/24"}"。

如果出口 IP 地址不在主网络接口子网的子网中，您可以在不属于主网络接口类型的另一个 Linux 网络接口中使用出口 IP 地址。这样一来，OpenShift Container Platform 管理员提供了对网络方面的更高级别控制，如路由、寻址、分段和安全策略。此功能允许用户选择通过特定网络接口路由工作负载流量，如流量分段或满足特殊要求。

如果出口 IP 地址不在主网络接口的子网中，则如果节点上存在，则出口流量的另一个网络接口可能会发生。

您可以通过检查 k8s.ovn.org/host-cidrs Kubernetes 节点注解来确定哪些其他网络接口可能会支持出口 IP 地址。此注释包含为主网络接口找到的地址和子网掩码。它还包含其他网络接口地址和子网掩码信息。这些地址和子网掩码分配给使用 最长前缀匹配路由 机制的网络接口，以确定哪个网络接口支持出口 IP 地址。

对于希望出口 IP 地址和流量通过不是主网络接口的特定接口路由的用户，必须满足以下条件：