红帽全球峰会连接链接简介
前言
对红帽文档提供反馈
红帽感谢您对产品文档的反馈。
要进行改进,请创建一个 Jira 问题,并描述您推荐的更改。提供尽可能多的详细信息,以帮助文档团队快速定位请求。
前提条件
- 您有一个红帽客户门户网站帐户。此帐户允许您登录到 Red Hat Jira Software 实例。如果您没有帐户,系统会提示您创建一个帐户。
流程
- 单击以下链接: 创建问题。
- 在 Summary 文本框中,输入问题的简短描述。
在 Description 文本框中,提供以下信息:
- 找到此问题的页面的 URL。
- 有关此问题的详细描述。您可以将信息保留在其他字段中,使其默认值。
- 在 Reporter 字段中输入 JIRA 用户名。
- 点 Create 将 JIRA 问题提交到文档团队。
感谢您抽出时间提供反馈。
第 1 章 红帽连接链接概述
红帽连接链接是一个模块化且灵活的解决方案,用于在多云和混合云环境中实现应用程序连接、策略管理和 API 管理。连接链接可让您保护、保护、连接和观察您的 API、应用程序和基础架构。
连接链接提供的云应用程序连接和策略管理功能基于 Kuadrant 社区项目。API 管理功能包括 API 控制器 1.0 开发者预览,以及基于 Apicurio 社区项目的 API 设计器和 API registry。
红帽不支持开发人员预览功能,且功能完整或生产就绪。不要将开发人员预览功能用于生产环境或业务关键型工作负载。开发人员预览功能在红帽产品产品中包括早期对功能的访问。客户可以使用这些功能在开发过程中测试并提供反馈。
开发人员预览功能可能没有任何文档,可以随时更改或删除,并且已获得有限的测试。红帽可能会提供在没有相关 SLA 的情况下提交对开发人员预览功能的反馈。如需更多信息,请参阅红帽开发人员预览 - 支持范围。
连接链接面向平台工程师、应用程序开发人员和业务用户的特定用户角色。
1.1. 红帽连接链接架构
连接链接提供了一个 control plane,用于根据 Kubernetes 网关 API 标准配置和部署入口网关。此 control plane 为平台工程师提供 Kubernetes 原生 API,为证书管理、身份验证和授权策略、速率限制策略以及多集群负载均衡、健康检查和补救的 DNS 策略配置网关。
连接链接为应用程序开发人员提供了强大的数据平面策略,以便使用身份验证、授权和速率限制来保护应用程序和 API。连接链接还为所有用户角色提供可观察性仪表板、指标、追踪和警报的模板。
连接链接支持 OpenShift Service Mesh 3.0 作为网关 API 供应商,该供应商基于 Istio 社区项目。
下图显示了连接链接架构及其主要功能和技术的高级概述:
图 1.1. 连接链接架构概述
第 2 章 连接链接功能
连接链接包括以下主要功能来保护、保护、连接和观察云应用程序和 API:
- 多云对象网关
DNS 供应商集成:
- Amazon Web Services Route 53
- Google Cloud DNS
- MicroSoft Azure DNS
- 高可用性和灾难恢复
- 全局负载均衡
- 应用程序可移植性
- 应用程序连接配置
- 端点健康和状态检查
- 自动 TLS 证书生成
- 通用身份验证
- Kubernetes 入口策略管理
- 全局 DNS 策略
- TLS 策略
- Auth 策略
- 速率限制策略
- 流量权重和发布
- 基于用户角色的设计
- 多集群管理
- Observability 仪表板和警报
- OpenShift web console dynamic plug-in
- 可组合 API 管理
- API designer 和 API registry
- 设计、测试和部署 API
- API 安全性和监管
- 高级指标集合
- 与开源工具的灵活的集成
- 用于身份验证、授权和速率限制的 API 级别策略
第 3 章 连接链接技术和模式
连接链接提供的主要技术和模式包括:
- Gateway API
网关在应用程序连接和安全方面扮演着重要角色。在基于 Kubernetes 的环境中,网关 API 是部署入口网关和管理应用程序网络的新标准。
网关 API 为入口流量管理提供标准化 API,支持多个协议。网关 API 是用户用户角色,面向角色,提供配置灵活性和可移植性。您可以使用网关 API 在每个 OpenShift 集群上设置入口策略,以便以最少的努力进行一致、一致和实施。
图 3.1. 网关 API 用户基于人员的设计
- 基于策略的配置
通过使用定义为 Kubernetes 自定义资源定义(CRD)的连接链接策略,平台工程师和应用程序开发人员可以轻松地保护、保护和连接其应用程序和基础架构。连接链接提供了用于管理 TLS、身份验证和授权、速率限制和 DNS 的策略。
策略附加 模式提供了一种使用配置在网络对象中添加行为的方法,这些配置不能在 object
spec字段中描述。策略附加还提供默认值和覆盖概念,允许不同的角色在对象层次结构的不同级别上操作策略 API。这些策略随特定规则和策略合并,以形成有效的策略。以下速率限制策略的简单示例为目标网关中定义的每 10 秒配置指定的 5 个请求限制,该请求没有定义自己的速率限制策略:
简单速率限制策略示例
apiVersion: kuadrant.io/v1beta2 kind: RateLimitPolicy metadata: name: gw-rlp spec: targetRef: # Specifies Gateway API policy attachment group: gateway.networking.k8s.io kind: Gateway name: external defaults: # Means it can be overridden limits: # Limitador component configuration "global": rates: - limit: 5 window: 10sapiVersion: kuadrant.io/v1beta2 kind: RateLimitPolicy metadata: name: gw-rlp spec: targetRef: # Specifies Gateway API policy attachment group: gateway.networking.k8s.io kind: Gateway name: external defaults: # Means it can be overridden limits: # Limitador component configuration "global": rates: - limit: 5 window: 10sCopy to Clipboard Copied! - WebAssembly 插件
与其他连接管理系统不同,连接链接不是独立网关。连接链接是一个 WebAssembly (WASM) 插件,它为 Envoy 代理开发。这意味着,OpenShift Service Mesh、Istio 或 Envoy 的用户不需要对现有入口对象和策略进行重大更改,才能开始使用连接链接。
WebAssembly 插件设计还意味着连接链接轻便、快速、硬件独立、非入侵和安全。
- 多集群配置镜像
连接链接在多多和混合云环境中使用多集群配置镜像,以确保您可以在需要它们时提供路由、配置和策略。您必须不再根据云服务供应商以不同的方式设置不同的策略,您可以改为提供自己的策略。
您还可以确保设置开发、测试和生产环境,从而防止以后出现意外。这样,连接链接提供了一致性、简单性、统一体验、全球管理和安全合规性。
图 3.2. 跨多云和混合云环境的多集群配置镜像
- API 控制器 1.0 开发者预览
连接链接引入了 API 控制器 1.0 开发人员预览组件,它为 API 管理提供了下一代方法,并扩展了其他产品提供的传统 API 管理功能。
API 管理需要连接,连接链接提供可扩展的多集群和多Gateway 连接管理,以及 API 设计、API registry、API 可观察性、身份验证和速率限制等 API 管理功能。
如需了解更多详细信息,请参阅 API 控制器 1.0 开发人员预览。
重要红帽不支持开发人员预览功能,且功能完整或生产就绪。不要将开发人员预览功能用于生产环境或业务关键型工作负载。开发人员预览功能在红帽产品产品中包括早期对功能的访问。客户可以使用这些功能在开发过程中测试并提供反馈。
开发人员预览功能可能没有任何文档,可以随时更改或删除,并且已获得有限的测试。红帽可能会提供在没有相关 SLA 的情况下提交对开发人员预览功能的反馈。如需更多信息,请参阅红帽开发人员预览 - 支持范围。
图 3.3. 连接链接 API 管理和连接
第 4 章 连接链接策略 API 和可观察性
本节论述了您可以用来保护、保护、连接和观察云应用程序和 API 的连接核心策略 API 和可观察性功能。
4.1. 连接链接策略 API
- 使用 TLSPolicy 保护应用程序
- 用于管理目标网关的 TLS 的轻量级打包程序 API。
- 通过使用与 cert-manager 和 ACME 供应商(如 Let 的 Encrypt)集成,根据网关侦听器主机自动置备 TLS 证书。
- 配置 secret,以便网关在就绪时自动检索它们。
- 使用 AuthPolicy 保护应用程序
- 在网关中的所有或特定监听程序或 HTTPRouteRule 级别应用身份验证和授权。
- 使用默认分层和基于角色的概念,并覆盖来提高协作并确保合规性。
- 利用专用身份验证供应商,如红帽构建的 Keycloak。
- 根据请求和元数据属性应用精细的授权要求。
- 使用 RateLimitPolicy 保护应用程序
- 在网关或 HTTPRouteRule 级别在所有监听器之间应用速率限制规则。
- 使用基于角色的默认值和分级概念,提高协作并确保合规性。
- 根据元数据和请求数据配置限制。
- 通过在多集群环境中使用后端存储共享计数器。
- 将应用程序与 DNSPolicy 连接
- 不基于自定义注解的完整 API。
- 根据侦听器主机和由网关 API 资源表示的地址自动填充 DNS 记录。
- 配置多集群连接和路由选项,如地理和加权响应。
- 利用常见的云 DNS 供应商:AWS Route 53、MicroSoft Azure DNS 和 Google DNS (也计划的CoreDNS)。
- 配置健康检查以启用 DNS 故障切换。
4.2. 连接链接可观察性
连接链接使用 Kuadrant-maintained Gateway API 状态指标、通过连接链接组件公开的指标,以及 Envoy 公开的标准指标来构建一组模板警报和仪表板。您可以下载并使用这些 Kuadrant 社区模板与 Grafana、Prometheus 和 Alertmanager 部署集成,或者将它们用作根据您的特定需求修改的起点。
图 4.1. 平台工程师 Grafana 仪表板
平台工程师仪表板显示如下详情:
- 策略合规性和监管.
- 资源消耗。
- 错误率。
- 请求延迟和吞吐量。
- 用于 API 错误率和延迟的多窗口、多刻刻警报模板。
- 多集群分割。
图 4.2. 应用程序开发人员 Grafana 仪表板
应用程序开发人员仪表板更侧重于策略,而不是平台工程师仪表板,它更侧重于 API 和应用程序。例如,这包括请求延迟和每个 API 吞吐量等详情,以及 API 路径的请求和错误率。
图 4.3. Business 用户 Grafana 仪表板
business 用户仪表板包括如下详情:
- 每个 API 每秒的请求数。
- 在指定时间增加或降低 API 使用量率。
第 5 章 连接链接优势
连接链接提供以下主要业务优势:
- user-role oriented
网关 API 由 API 资源组成,它们对应于基础架构所有者、集群操作员和应用程序开发人员的组织角色。基础架构所有者和集群操作员是定义共享基础架构如何为多个不同非协调应用程序开发团队使用的平台工程师。
应用程序开发人员负责创建和管理集群中运行的应用程序。例如,这包括创建 API 并管理应用程序超时、请求匹配和后端的路径路由。
- Kubernetes-native
- 连接链接旨在使用 Kubernetes 原生功能提高资源效率和最佳使用。这些功能可以在任何公共或私有 OpenShift 集群上运行,默认提供 multicloud 和 hybrid-cloud 行为。OpenShift 已证明具有可扩展性、弹性和高可用性。
- 表达配置
- 网关 API 资源为基于标头的匹配、流量权重和其他功能提供内置功能,这些功能目前只能使用自定义注解和自定义代码在现有入口标准中实现。这可实现更智能的路由、安全性和特定路由隔离,而无需编写自定义代码。
- 可移植性
- 网关 API 是一种具有许多实施的开源标准,其使用灵活的一致性概念设计。这促进了高度可移植的核心 API,它仍然具有灵活性和可扩展性,以支持环境和实施的原生功能。这可让概念和核心资源在实施和环境中保持一致,从而减少复杂性并增加对它的了解。
- 混合云和多云
连接链接包括将同一应用部署到托管在公共或私有云的任何 OpenShift 集群的灵活性。这通过绑定到特定云供应商来删除单次依赖项或单一故障点。
例如,如果一个云供应商存在网络问题,您可以将部署和流量切换到另一个云供应商,以最大程度降低对客户的影响。这提供了高可用性和灾难恢复功能,并确保您准备意外并建立不间断的服务,以便您的平台和应用程序保持弹性。
- 基础架构作为代码
- 您可以使用代码来定义基础架构,以确保它被控制、测试且易于复制。自动扩展利用 OpenShift 自动扩展功能根据工作负载需求动态调整资源。这也包括能够实施强大的监控和日志记录解决方案,以全面了解您的 OpenShift 集群。
- 模块和灵活的
高度灵活和模块化连接链接架构使您能够使用已有的技术和工具,同时允许您插入连接管理平台以实现最大效率。
图 5.1. 连接链接模块化和灵活的设计
第 6 章 连接链接用户工作流
连接链接包括以下主要用户用户角色角色:
- 平台工程师
- 应用程序开发人员
- 商业用户
6.1. 平台工程师工作流
平台工程师使用连接链接在特定区域的 OpenShift 集群上设置入口网关。然后,它们确保所有策略在所有网关上都相同,以实现一致性。
例如,平台工程师配置 DNS 策略,以确保巴西客户路由到南美数据中心,并且世界各地的其他客户都路由到适当的环境。它们也会配置 TLS、身份验证和授权以及速率限制策略,以确保网关安全性、性能和监控符合正确的标准。
下图显示了连接链接平台工程师工作流的高级概述:
图 6.1. 连接链接平台工程师设置网关
图 6.2. 连接链接平台工程师配置网关策略
作为平台工程师,必须先创建一个或多个网关(如果尚未创建)。
您可以通过创建 DNS 策略并配置全局负载平衡策略来连接网关。DNS 记录会自动与您的云 DNS 供应商协调,无论是在单集群还是多集群环境中。
您可以使用 TLS 策略为网关中指定的主机名自动生成证书请求来保护网关。这包括对主 ACME 提供程序的支持,如 Let 的 Encrypt。您还可以使用身份验证和授权策略和速率限制策略来设置应用程序安全默认值和覆盖。
另外,您可以使用基于 Grafana 的仪表板和警报观察连接和运行时指标。例如,这包括策略合规和监管、资源消耗、错误率、请求延迟和吞吐量、多集群分割等的指标。
6.2. 应用程序开发人员工作流
应用程序开发人员使用连接链接在 OpenShift 集群和已经由平台工程师设置的网关上部署应用程序和 API。应用程序开发人员确保应用程序和 API 受所需的身份验证和授权保护,并对 API 请求配置速率限制。它们还设置应用程序路由和 API 定义,并将它们发布到集群。
应用程序开发人员使用 Grafana 仪表板查看 API 指标,如正常运行时间、每秒请求、延迟和错误,以确保 API 满足其他数据中心所实现的性能和可用性基准。下图显示了连接链接应用程序开发人员工作流的高级概述:
图 6.3. 连接链接应用程序开发人员为应用程序和 API 配置策略
作为应用程序开发人员,您可以从网关路由到应用程序,使用 root 级别身份验证、外部授权和速率限制配置服务的保护。您还可以使用基于 Grafana 的可观察性仪表板和警报来监控工作负载以及 OpenShift 资源指标和追踪的状态。
6.3. 商业用户工作流
帐户经理和应用程序所有者等业务用户使用基于 Grafana 的可观察仪表板来监控特定区域的数据中心的应用程序和 API 状态,并与客户处理特定的性能指标。它们查看 API 指标,如每分钟的运行时间、每秒请求、延迟和错误,以确保 API 满足客户预期的性能和可用性基准。
如果客户遇到可由平台工程师或应用程序开发人员解决的任何问题,则业务用户也与工程团队联系。
附录 A. 使用您的红帽订阅
红帽连接链接通过软件订阅提供。要管理您的订阅,请通过红帽客户门户网站访问您的帐户。
管理您的订阅
- 转至 access.redhat.com。
- 如果您还没有帐户,请创建一个帐户。
- 登录到您的帐户。
- 在菜单栏中,单击 Subscriptions 以查看和管理您的订阅。
更新于 2025-06-12
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}