主页
产品
OpenShift Container Platform
4.4
网络
5.2. Ingress 控制器配置参数

5.2. Ingress 控制器配置参数

ingresscontrollers.operator.openshift.io 资源提供了以下配置参数。

Expand

参数	描述
`domain`	`domain` 是 Ingress controller 服务的一个 DNS 名称，用于配置多个功能：对于 `LoadBalancerService` 端点发布策略，`domain` 被用来配置 DNS 记录。请参阅 `endpointPublishingStrategy`。当使用生成的默认证书时，该证书对`域`及其`子域`有效。请参阅 `defaultCertificate`。该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的位置。一个 `domain` 值在所有 Ingress 控制器中需要是唯一的，且不能更新。如果为空，默认值为 `ingress.config.openshift.io/cluster` `.spec.domain`。
`replicas`	`replicas` 是 Ingress 控制器副本数量。如果没有设置，则默认值为 `2`。
`endpointPublishingStrategy`	`endpointPublishingStrategy` 用于向其他网络发布 Ingress Controller 端点，以启用负载均衡器集成，并提供对其他系统的访问。如果没有设置，则默认值基于 `infrastructure.config.openshift.io/cluster` `.status.platform`： AWS: `LoadBalancerService` （具有外部范围） Azure: `LoadBalancerService` （具有外部范围） GCP: `LoadBalancerService` （具有外部范围）裸机: `NodePortService` 其它: `HostNetwork`。 `endpointPublishingStrategy` 的值不能被更新。
`defaultCertificate`	`defaultCertificate` 的值是一个到包括由 Ingress controller 提供的默认证书的 secret 的指代。当 Routes 没有指定其自身证书时，使用 `defaultCertificate`。 secret 必须包含以下密钥和数据：* `tls.crt`：证书文件内容 * `tls.key`：密钥文件内容如果没有设置，则自动生成和使用通配符证书。该证书对 Ingress Controller 的`域` 和`子域`有效，所生成的证书的 CA 会自动与集群的信任存储集成。内部证书（无论是生成的证书还是用户指定的证书）自动与 OpenShift Container Platform 内置的 OAuth 服务器集成。
`namespaceSelector`	`namespaceSelector` 用来过滤由 Ingress 控制器提供服务的一组命名空间。这对实现分片（shard）非常有用。
`routeSelector`	`routeSelector` 用于由 Ingress 控制器提供服务的一组 Route。这对实现分片（shard）非常有用。
`nodePlacement`	`nodePlacement` 启用对 Ingress 控制器调度的明确控制。如果没有设置，则使用默认值。注意 `nodePlacement` 参数包括两个部分: `nodeSelector` 和 `tolerations`。例如： `nodePlacement: nodeSelector: matchLabels: beta.kubernetes.io/os: linux tolerations: - effect: NoSchedule operator: Exists` Copy to Clipboard Toggle word wrap
`tlsSecurityProfile`	`tlsSecurityProfile` 指定 Ingress 控制器的 TLS 连接的设置。如果没有设置，则默认值基于 `apiservers.config.openshift.io/cluster` 资源。当使用 `Old`、`Intermediate` 和 `Modern`配置集类型时，有效的配置集可能会在不同发行版本间有所改变。例如：在版本 `X.Y.Z` 中使用 `Intermediate` 进行了部署，当升级到版本 `X.Y.Z+1` 时可能会把一个新的配置集应用到 Ingress 控制器，从而导致一个 rollout 操作。 Ingress 控制器的 TLS 的最低版本是 `1.1`，最高 TLS 版本为 `1.2`。重要 HAProxy Ingress controller 镜像不支持 TLS `1.3` 。因为 `Modern` 配置集需要 TLS `1.3`，所以这个配置集不被支持。Ingress Operator 会将 `Modern` 配置集转换为 `Intermediate`。 Ingress Operator 还会将 `Old` 或 `Custom` 配置集的 TLS `1.0` 转换为 `1.1`，将`Custom` 配置集的 TLS `1.3` 转换为 `1.2`。注意加密器和配置的安全配置集的最小 TLS 版本反映在 `TLSProfile` 状态中。
`routeAdmission`	`routeAdmission` 定义了处理新路由声明的策略，如允许或拒绝命名空间间的声明。 `namespaceOwnership` 描述了如何处理跨命名空间的主机名声明。默认为 `Strict`。 `严格`：不允许路由在命名空间间声明相同的主机名。 `InterNamespaceAllowed`：允许路由在命名空间间声明相同主机名的不同路径。

注意

所有参数都是可选的。

5.2.1. Ingress 控制器 TLS 配置集
复制链接

tlsSecurityProfile 参数定义 TLS 安全配置集的 schema。Operator 使用这个对象将 TLS 安全设置应用到操作对象。

有四个 TLS 安全配置集类型：

Old
Intermediate
Modern
Custom

Old、Intermediate 和 Modern 配置集基于推荐的配置。Custom 配置集可以用来指定独立 TLS 安全配置集参数。

Old 配置集配置示例

spec:
  tlsSecurityProfile:
    type: Old

spec:
  tlsSecurityProfile:
    type: Old

Copy to Clipboard

Toggle word wrap

Intermediate 配置集配置示例

spec:
  tlsSecurityProfile:
    type: Intermediate

spec:
  tlsSecurityProfile:
    type: Intermediate

Copy to Clipboard

Toggle word wrap

Modern 配置集配置示例

spec:
  tlsSecurityProfile:
    type: Modern

spec:
  tlsSecurityProfile:
    type: Modern

Copy to Clipboard

Toggle word wrap

Custom 配置集是一个用户定义的 TLS 安全配置集。

警告

您需要小心使用 Custom 配置集，因为无效的配置可能会造成问题。

Custom 配置集示例

spec:
  tlsSecurityProfile:
    type: Custom
    custom:
      ciphers:
        - ECDHE-ECDSA-AES128-GCM-SHA256
        - ECDHE-RSA-AES128-GCM-SHA256
      minTLSVersion: VersionTLS11

spec:
  tlsSecurityProfile:
    type: Custom
    custom:
      ciphers:
        - ECDHE-ECDSA-AES128-GCM-SHA256
        - ECDHE-RSA-AES128-GCM-SHA256
      minTLSVersion: VersionTLS11

Copy to Clipboard

Toggle word wrap

5.2.2. Ingress 控制器端点发布策略
复制链接

NodePortService 端点发布策略

NodePortService 端点发布策略使用 Kubernetes NodePort 服务发布 Ingress Controller。

在这个配置中，Ingress Controller 部署使用容器网络。创建了一个 NodePortService 来发布部署。特定的节点端口由 OpenShift Container Platform 动态分配; 但是，为了支持静态端口分配，您会保留对受管 NodePortService 的节点端口字段的更改 。

注意

Ingress Operator 忽略对服务的 .spec.ports[].nodePort 字段的任何更新。

默认情况下，端口会自动分配，您可以访问集成的端口分配。但是，有时需要静态分配端口来与现有基础架构集成，这些基础架构可能无法根据动态端口进行重新配置。要实现与静态节点端口的集成，您可以直接更新受管服务资源。

如需有关 daemonset 的更多信息，请参阅关于 NodePort 的 Kubernetes 服务文档。

HostNetwork 端点发布策略

HostNetwork 端点发布策略会在部署 Ingress Controller 的节点端口上发布 Ingress Controller。

带有 HostNetwork 端点发布策略的 Ingress 控制器每个节点只能有一个 pod 副本。如果您想要 n 个副本，则必须至少使用可调度这些副本的 n 个节点。因为每个 Pod 副本都会通过调度的节点主机上的端口 80 和 443 进行请求，所以如果同一节点上的其他 pod 使用这些端口，则无法将副本调度到该节点。

返回顶部

5.2. Ingress 控制器配置参数

5.2.1. Ingress 控制器 TLS 配置集
复制链接

5.2.2. Ingress 控制器端点发布策略
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.2. Ingress 控制器配置参数

5.2.1. Ingress 控制器 TLS 配置集复制链接链接已复制到粘贴板!

5.2.2. Ingress 控制器端点发布策略复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.2.1. Ingress 控制器 TLS 配置集
复制链接

5.2.2. Ingress 控制器端点发布策略
复制链接