网络


Red Hat Advanced Cluster Management for Kubernetes 2.7

了解更多信息以了解更多有关网络的信息。

摘要

了解更多信息以了解更多有关网络的信息。

第 1 章 网络

了解 hub 集群和受管集群的网络要求。

1.1. hub 集群网络配置

重要:可信 CA 捆绑包在 Red Hat Advanced Cluster Management 命名空间中可用,但该增强需要更改您的网络。可信 CA 捆绑包 ConfigMap 使用 trusted-ca-bundle 的默认名称。您可以通过在名为 TRUSTED_CA_BUNDLE 的环境变量中提供 Operator 来更改此名称。如需更多信息,请参阅 Red Hat OpenShift Container Platform 的网络部分中的配置集群范围代理

您可以引用 hub 集群网络的配置。

1.1.1. hub 集群网络配置表

请参阅下表中的 hub 集群网络要求:

方向协议连接端口(如果指定)源地址目标地址

出站到受管集群

HTTPS

从搜索控制台为受管集群的 pod 动态检索日志,使用受管集群中运行的 klusterlet-addon-workmgr 服务

443

用于访问受管集群路由的 IP 地址

出站到受管集群

HTTPS

安装过程中置备的受管集群的 Kubernetes API 服务器来安装 klusterlet

6443

Kubernetes 受管集群 API 服务器的 IP

到频道源的外向流量

HTTPS

频道源,包括 GitHub、Object Store 和 Helm 仓库,只有在您使用应用程序生命周期、OpenShift GitOps 或 ArgoCD 时才需要它

443

频道源的 IP

来自受管集群的内向流量

HTTPS

用于推送只为运行 OpenShift Container Platform 版本 4.8 或更高版本的受管集群收集的指标和警报的受管集群

443

hub 集群访问路由的 IP 地址

来自受管集群的内向流量

HTTPS

监视受管集群的 Kubernetes API 服务器,用于监视受管集群的更改

6443

hub 集群 Kubernetes API 服务器的 IP 地址

出站到 ObjectStore

HTTPS

当 Cluster Backup Operator 运行时,为长期存储发送 Observability 指标数据

443

ObjectStore 的 IP 地址

出站到镜像存储库

HTTPS

访问 OpenShift Container Platform 和 Red Hat Advanced Cluster Management 的镜像

443

镜像存储库的 IP 地址

1.2. 受管集群网络配置

您可以引用受管集群网络的配置。

1.2.1. 受管集群网络配置表

下表中查看受管集群网络要求:

方向协议连接端口(如果指定)源地址目标地址

来自 hub 集群的内向流量

HTTPS

从搜索控制台为受管集群的 pod 动态发送日志,使用受管集群中运行的 klusterlet-addon-workmgr 服务

443

用于访问受管集群路由的 IP 地址

来自 hub 集群的内向流量

HTTPS

安装过程中置备的受管集群的 Kubernetes API 服务器来安装 klusterlet

6443

Kubernetes 受管集群 API 服务器的 IP

出站到镜像存储库

HTTPS

访问 OpenShift Container Platform 和 Red Hat Advanced Cluster Management 的镜像

443

镜像存储库的 IP 地址

到 hub 集群的外向流量

HTTPS

用于推送只为运行 OpenShift Container Platform 版本 4.8 或更高版本的受管集群收集的指标和警报的受管集群

443

hub 集群访问路由的 IP 地址

到 hub 集群的外向流量

HTTPS

监视 hub 集群的 Kubernetes API 服务器的变化

6443

hub 集群 Kubernetes API 服务器的 IP 地址

到频道源的外向流量

HTTPS

频道源,包括 GitHub、Object Store 和 Helm 仓库,只有在您使用应用程序生命周期、OpenShift GitOps 或 ArgoCD 时才需要它

443

频道源的 IP

1.3. 高级网络配置

1.3.1. 基础架构 operator 表的额外网络要求

当使用 Infrastructure Operator 安装裸机受管集群时,请参阅以下表以了解额外网络要求:

方向协议连接端口(如果指定)

hub 集群在一个单一的节点 OpenShift Container Platform 受管集群中到 BMC 接口的外向流量

HTTPS(在断开连接的环境中的 HTTP)

引导 OpenShift Container Platform 集群

443

从 OpenShift Container Platform 受管集群到 hub 集群的外向流量

HTTPS

使用 assistedService 路由报告硬件信息

443

1.3.2. Submariner 网络要求表

使用 Submariner 的集群需要三个打开的端口。下表显示了您可以使用的端口:

方向协议连接端口(如果指定)

出站和入站

UDP

每个受管集群

4800

出站和入站

UDP

每个受管集群

4500、500 以及网关节点上 IPSec 流量的任何其他端口

入站

TCP

每个受管集群

8080

1.3.3. Hive 表的额外网络要求

当使用 Hive Operator 安装裸机受管集群(包括使用中央基础架构管理)时,您必须在 hub 集群和 libvirt 置备主机间配置第 2 层或第 3 层端口连接。在使用 Hive 创建基本集群的过程中,需要它们来与置备主机进行连接。如需更多信息,请参阅下表:

方向协议连接端口(如果指定)

libvirt 置备主机的 hub 集群的内向和外向流量

IP

将 hub 集群(Hive operator 安装的位置)连接到 libvirt 置备主机(在创建裸机集群时作为一个 bootstrap)

 

注: 这些要求只适用于安装时,在升级使用 Infrastructure Operator 安装的集群时不需要。

1.3.4. 托管 control planes 网络要求表(技术预览)

使用托管的 control plane 时,HypershiftDeployment 资源必须具有与下表中列出的端点的连接:

方向连接端口(如果指定)

出站

OpenShift Container Platform control-plane 和 worker 节点

 

出站

仅限 Amazon Web Services 上的托管集群:到 AWS API 和 S3 API 的出站连接

 

出站

对于 Microsoft Azure 云服务上的托管集群:到 Azure API 的出站连接

 

出站

OpenShift Container Platform 镜像存储库,用于存储 coreOS 的 ISO 镜像和 OpenShift Container Platform pod 的镜像 registry

 

出站

托管集群中 klusterlet 的本地 API 客户端与 HyperShift 托管集群的 API 通信

 

1.3.5. 应用程序部署网络要求表

通常,应用程序部署通信是从受管集群到 hub 集群的一种方法。连接使用 kubeconfig,后者由受管集群上的代理配置。受管集群中的应用程序部署需要访问 hub 集群中的以下命名空间:

  • 频道资源的命名空间
  • 受管集群的命名空间

1.3.6. 命名空间连接网络要求表

  • 应用程序生命周期连接:

    • 命名空间 open-cluster-management 需要访问端口 4000 上的控制台 API。
    • 命名空间 open-cluster-management 需要在端口 3001 上公开 Application UI。
  • 应用程序生命周期后端组件(pod):

    在 hub 集群中,所有应用程序生命周期 pod 都安装在 open-cluster-management 命名空间中,包括以下 pod:

    • multicluster-operators-hub-subscription
    • multicluster-operators-standalone-subscription
    • multicluster-operators-channel
    • multicluster-operators-application
    • multicluster-integrations

      由于这些 pod 位于 open-cluster-management 命名空间中:

    • 命名空间 open-cluster-management 需要通过端口 6443 访问 Kube API。

    在受管集群中,只有 klusterlet-addon-appmgr 应用程序生命周期 pod 安装在 open-cluster-management-agent-addon 命名空间中:

    • 命名空间 open-cluster-management-agent-addon 需要通过端口 6443 访问 Kube API。
  • 监管和风险:

    在 hub 集群中,需要以下访问权限:

    • 命名空间 open-cluster-management 需要通过端口 6443 访问 Kube API。
    • 命名空间 open-cluster-management 需要访问端口 5353 上的 OpenShift DNS。

    在受管集群中,需要以下访问权限:

    • 命名空间 open-cluster-management-addon 需要通过端口 6443 访问 Kube API。

法律通告

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.