红帽全球峰会1.3. 高级网络配置
1.3.1. 基础架构 operator 表的额外网络要求
当使用 Infrastructure Operator 安装裸机受管集群时,请参阅以下表以了解额外网络要求:
| 方向 | 协议 | 连接 | 端口(如果指定) |
|---|---|---|---|
| hub 集群在一个单一的节点 OpenShift Container Platform 受管集群中到 BMC 接口的外向流量 | HTTPS(在断开连接的环境中的 HTTP) | 引导 OpenShift Container Platform 集群 | 443 |
| 从 OpenShift Container Platform 受管集群到 hub 集群的外向流量 | HTTPS |
使用 | 443 |
1.3.2. Submariner 网络要求表
使用 Submariner 的集群需要三个打开的端口。下表显示了您可以使用的端口:
| 方向 | 协议 | 连接 | 端口(如果指定) |
|---|---|---|---|
| 出站和入站 | UDP | 每个受管集群 | 4800 |
| 出站和入站 | UDP | 每个受管集群 | 4500、500 以及网关节点上 IPSec 流量的任何其他端口 |
| 入站 | TCP | 每个受管集群 | 8080 |
1.3.3. Hive 表的额外网络要求
当使用 Hive Operator 安装裸机受管集群(包括使用中央基础架构管理)时,您必须在 hub 集群和 libvirt 置备主机间配置第 2 层或第 3 层端口连接。在使用 Hive 创建基本集群的过程中,需要它们来与置备主机进行连接。如需更多信息,请参阅下表:
| 方向 | 协议 | 连接 | 端口(如果指定) |
|---|---|---|---|
|
到 | IP |
将 hub 集群(Hive operator 安装的位置)连接到 |
注: 这些要求只适用于安装时,在升级使用 Infrastructure Operator 安装的集群时不需要。
1.3.4. 托管 control planes 网络要求表(技术预览)
使用托管的 control plane 时,HypershiftDeployment 资源必须具有与下表中列出的端点的连接:
| 方向 | 连接 | 端口(如果指定) |
|---|---|---|
| 出站 | OpenShift Container Platform control-plane 和 worker 节点 | |
| 出站 | 仅限 Amazon Web Services 上的托管集群:到 AWS API 和 S3 API 的出站连接 | |
| 出站 | 对于 Microsoft Azure 云服务上的托管集群:到 Azure API 的出站连接 | |
| 出站 | OpenShift Container Platform 镜像存储库,用于存储 coreOS 的 ISO 镜像和 OpenShift Container Platform pod 的镜像 registry | |
| 出站 | 托管集群中 klusterlet 的本地 API 客户端与 HyperShift 托管集群的 API 通信 |
1.3.5. 应用程序部署网络要求表
通常,应用程序部署通信是从受管集群到 hub 集群的一种方法。连接使用 kubeconfig,后者由受管集群上的代理配置。受管集群中的应用程序部署需要访问 hub 集群中的以下命名空间:
- 频道资源的命名空间
- 受管集群的命名空间
1.3.6. 命名空间连接网络要求表
应用程序生命周期连接:
-
命名空间
open-cluster-management需要访问端口 4000 上的控制台 API。 -
命名空间
open-cluster-management需要在端口 3001 上公开 Application UI。
-
命名空间
应用程序生命周期后端组件(pod):
在 hub 集群中,所有应用程序生命周期 pod 都安装在
open-cluster-management命名空间中,包括以下 pod:- multicluster-operators-hub-subscription
- multicluster-operators-standalone-subscription
- multicluster-operators-channel
- multicluster-operators-application
multicluster-integrations
由于这些 pod 位于
open-cluster-management命名空间中:-
命名空间
open-cluster-management需要通过端口 6443 访问 Kube API。
在受管集群中,只有
klusterlet-addon-appmgr应用程序生命周期 pod 安装在open-cluster-management-agent-addon命名空间中:-
命名空间
open-cluster-management-agent-addon需要通过端口 6443 访问 Kube API。
监管和风险:
在 hub 集群中,需要以下访问权限:
-
命名空间
open-cluster-management需要通过端口 6443 访问 Kube API。 -
命名空间
open-cluster-management需要访问端口 5353 上的 OpenShift DNS。
在受管集群中,需要以下访问权限:
-
命名空间
open-cluster-management-addon需要通过端口 6443 访问 Kube API。
-
命名空间
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}