主页
产品
OpenShift Container Platform
4.8
网络
21.2. 启用集群范围代理

21.2. 启用集群范围代理

Proxy 对象用于管理集群范围出口代理。如果在安装或升级集群时没有配置代理，则 Proxy 对象仍会生成，但它会有一个空的 spec。例如：

apiVersion: config.openshift.io/v1
kind: Proxy
metadata:
  name: cluster
spec:
  trustedCA:
    name: ""
status:

apiVersion: config.openshift.io/v1
kind: Proxy
metadata:
  name: cluster
spec:
  trustedCA:
    name: ""
status:

Copy to Clipboard

Toggle word wrap

集群管理员可以通过修改这个 cluster Proxy 对象来配置 OpenShift Container Platform 的代理。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

先决条件

集群管理员权限
已安装 OpenShift Container Platform oc CLI 工具

流程

创建包含代理 HTTPS 连接所需的额外 CA 证书的 ConfigMap。
注意
如果代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名，您可以跳过这一步。
1. 利用以下内容，创建一个名为 user-ca-bundle.yaml 的文件，并提供 PEM 编码证书的值：
  apiVersion: v1 data: ca-bundle.crt: |
  1
  <MY_PEM_ENCODED_CERTS>
  2
  kind: ConfigMap metadata: name: user-ca-bundle
  3
  namespace: openshift-config
  4
  Copy to Clipboard Toggle word wrap
  1
  这个数据键必须命名为 ca-bundle.crt。
  2
  一个或多个 PEM 编码的 X.509 证书，用来为代理的身份证书签名。
  3
  从 Proxy 对象引用的配置映射名称。
  4
  配置映射必须位于 openshift-config 命名空间中。
2. 从此文件创建配置映射：
  $ oc create -f user-ca-bundle.yaml
  Copy to Clipboard Toggle word wrap
使用 oc edit 命令修改 Proxy 对象：
```
oc edit proxy/cluster
```
```
$ oc edit proxy/cluster
```
Copy to Clipboard Toggle word wrap
为代理配置所需的字段：
```
apiVersion: config.openshift.io/v1
kind: Proxy
metadata:
  name: cluster
spec:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 
  noProxy: example.com 
  readinessEndpoints:
  - http://www.google.com 
  - https://www.google.com
  trustedCA:
    name: user-ca-bundle 
```
```
apiVersion: config.openshift.io/v1
kind: Proxy
metadata:
  name: cluster
spec:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 
```
1
```
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 
```
2
```
  noProxy: example.com 
```
3
```
  readinessEndpoints:
  - http://www.google.com 
```
4
```
  - https://www.google.com
  trustedCA:
    name: user-ca-bundle 
```
5
Copy to Clipboard Toggle word wrap
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。URL 方案必须是 http 或 https。指定支持 URL 方案的代理的 URL。例如，如果大多数代理被配置为使用 https，则大多数代理都会报告错误，但它们只支持 http。此失败消息可能无法传播到日志，并可能显示为网络连接失败。如果使用侦听来自集群的 https 连接的代理，您可能需要配置集群以接受代理使用的 CA 和证书。
3
要排除代理的目标域名、域、IP 地址或其他网络 CIDR 的逗号分隔列表。
在域前面加 . 来仅匹配子域。例如： .y.com 匹配 x.y.com，但不匹配 y.com。使用 * 可对所有目的地绕过所有代理。如果您扩展了未包含在安装配置中 networking.machineNetwork[].cidr 字段定义的 worker，您必须将它们添加到此列表中，以防止连接问题。
如果未设置 httpProxy 或 httpsProxy 字段，则此字段将被忽略。
4
将 httpProxy 和 httpsProxy 值写进状态之前，执行就绪度检查时要使用的一个或多个集群外部 URL。
5
引用 openshift-config 命名空间中的 ConfigMap，其包含代理 HTTPS 连接所需的额外 CA 证书。注意 ConfigMap 必须已经存在，然后才能在这里引用它。此字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
保存文件以使改变生效。

返回顶部

21.2. 启用集群范围代理

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links