红帽全球峰会第 1 章 了解网络
了解 OpenShift Container Platform 中网络的基本知识可确保集群中高效和安全通信,对于有效的网络管理至关重要。您环境中的网络关键元素包括了解 pod 和服务如何通信、IP 地址的角色以及使用 DNS 进行服务发现。
1.1. OpenShift Container Platform 中的网络
OpenShift Container Platform 可确保集群中不同组件之间以及外部客户端和集群间的无缝通信。网络依赖于以下核心概念和组件:
- pod 到 pod 的通信
- 服务
- DNS
- 入口
- 网络控制
- 负载平衡
1.1.1. 网络服务的常见实践
在 OpenShift Container Platform 中,服务会为客户端创建一个 IP 地址,即使多个 pod 都提供该服务。此抽象支持无缝扩展、容错和滚动升级,而不会影响客户端。
网络安全策略管理集群中的流量。网络控制允许命名空间管理员为其 pod 定义入口和出口规则。通过使用网络管理策略,集群管理员可以建立命名空间策略,覆盖命名空间策略,或者在没有定义时设置默认策略。
出口防火墙配置控制 pod 的出站流量。这些配置设置可确保仅进行授权的通信。入口节点防火墙通过控制传入流量来保护节点。另外,Universal Data Network 管理集群中的数据流量。
1.1.2. 网络功能
OpenShift Container Platform 提供多个网络功能和增强。这些功能及改进如下:
- Ingress Operator 和 Route API:OpenShift Container Platform 包含实现 Ingress Controller API 的 Ingress Operator。此组件通过部署和管理支持高级路由配置和负载平衡的基于 HAProxy 的 Ingress Controller,实现对集群服务的外部访问。OpenShift Container Platform 使用 Route API 将上游 Ingress 对象转换为路由对象。路由特定于 OpenShift Container Platform 中的网络,但也可以使用第三方 Ingress Controller。
增强安全性:OpenShift Container Platform 提供高级网络安全功能,如出口防火墙和入口节点防火墙。
- 出口防火墙 :出口防火墙控制并限制集群中 pod 的出站流量。您可以设置规则来限制哪些外部主机或 pod 可与之通信的 IP 范围。
Ingress 节点防火墙:入口节点防火墙由 Ingress Firewall Operator 管理,并在节点级别提供防火墙规则。您可以通过在集群内的特定节点上配置此防火墙,以便在到达这些节点前过滤传入的流量来保护节点免受威胁。
注意OpenShift Container Platform 还实施服务,如 Network Policy、Admin Network Policy 和 Security Context Constraints (SCC),以保护 pod 之间的通信并强制实施访问控制。
- 基于角色的访问控制 (RBAC):OpenShift Container Platform 会扩展 Kubernetes RBAC,以更精细地控制谁可以访问和管理网络资源。RBAC 有助于在集群中保持安全和合规性。
- 多租户支持:OpenShift Container Platform 提供多租户支持,使多个用户和团队能够共享同一集群,同时保持其资源隔离和安全。
- 混合云和多云功能:OpenShift Container Platform 旨在在内部、云和多云环境间无缝工作。这种灵活性使机构能够在不同的基础架构上部署和管理容器化应用。
- 可观察性和监控 :OpenShift Container Platform 提供集成的可观察性和监控工具,可帮助管理并排除网络问题。这些工具包括对网络指标和日志的基于角色的访问。
- 用户定义的网络 (UDN):UDN 允许管理员自定义网络配置。UDN 提供增强的网络隔离和 IP 地址管理。
- Egress IP: Egress IP 允许您为来自命名空间中的 pod 的所有出口流量分配固定源 IP 地址。出口 IP 可通过确保外部服务提供一致的源 IP 地址来提高安全性和访问控制。例如,如果 pod 需要访问只允许来自特定 IP 地址流量的外部数据库,您可以为该 pod 配置出口 IP 来满足访问要求。
- Egress 路由器:出口(Egress)路由器是一个 pod,充当集群和外部系统间的桥接。出口路由器允许来自 pod 的流量通过不用于任何其他目的的特定 IP 地址路由。使用出口路由器,您可以通过特定网关强制访问控制或路由流量。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}