红帽全球峰会8.7. 集群
8.7.1. 配置 JGroups Discovery Mechanism
要在 OpenShift 上启用 JBoss EAP 集群,请将 JBoss EAP 配置中的Groups 协议堆栈配置为使用 kubernetes.KUBE_PING 或 dns.DNS_PING 发现机制。
虽然您可以使用自定义 standalone-openshift.xml 配置文件,但建议您使用环境变量在镜像构建中配置 JGroups。
以下说明使用环境变量为 OpenShift 镜像配置 JBoss EAP 的发现机制。
如果您使用其中一个可用的应用程序模板在用于 OpenShift 镜像的 JBoss EAP 上部署应用程序,则默认发现机制为 dns.DNS_PING。
dns.DNS_PING 和 kubernetes.KUBE_PING 发现机制相互兼容。无法组成两个独立子集群的超集群,使用 dns.DNS_PING 机制进行发现,另一个使用 kubernetes.KUBE_PING 机制。同样,当执行滚动升级时,源和目标集群的发现机制需要相同。
8.7.1.1. 配置 KUBE_PING
使用 KUBE_PING JGroups 发现机制:
JGroups 协议堆栈必须配置为使用
KUBE_PING作为发现机制。您可以将
JGROUPS_PING_PROTOCOL环境变量设置为kubernetes.KUBE_PING:JGROUPS_PING_PROTOCOL=kubernetes.KUBE_PINGKUBERNETES_NAMESPACE环境变量必须设置为 OpenShift 项目名称。如果没有设置,则服务器的行为为一个单节点集群(一个"集群")。例如:KUBERNETES_NAMESPACE=PROJECT_NAME应设置
KUBERNETES_LABELS环境变量。这应当 与服务级别 中设置的标签匹配。如果没有设置,则应用程序外部的 pod(位于您的命名空间中)将尝试加入。例如:KUBERNETES_LABELS=application=APP_NAME必须授权授予在 下运行 Pod 的服务帐户,以允许访问 Kubernetes 的 REST API。这可通过 OpenShift CLI 完成。以下示例使用当前项目命名空间中的
default服务帐户:oc policy add-role-to-user view system:serviceaccount:$(oc project -q):default -n $(oc project -q)在项目命名空间中使用
eap-service-account:oc policy add-role-to-user view system:serviceaccount:$(oc project -q):eap-service-account -n $(oc project -q)注意如需有关向服务帐户添加策略的更多信息,请参阅为 应用程序部署准备 OpenShift。
8.7.1.2. 配置 DNS_PING
使用 DNS_PING JGroups 发现机制:
JGroups 协议堆栈必须配置为使用
DNS_PING作为发现机制。您可以将
JGROUPS_PING_PROTOCOL环境变量设置为dns.DNS_PING:JGROUPS_PING_PROTOCOL=dns.DNS_PINGOPENSHIFT_DNS_PING_SERVICE_NAME环境变量必须设置为集群的 ping 服务名称。OPENSHIFT_DNS_PING_SERVICE_NAME=PING_SERVICE_NAMEOPENSHIFT_DNS_PING_SERVICE_PORT环境变量应设置为公开 ping 服务的端口号。DNS_PING协议尝试从 SRV 记录中识别端口,否则默认为8888。OPENSHIFT_DNS_PING_SERVICE_PORT=PING_PORT必须定义公开 ping 端口的 ping 服务。这个服务应该是无头(ClusterIP=None),且必须具有以下内容:
- 端口必须命名为。
该服务必须注解为
service.alpha.kubernetes.io/tolerate-unready-endpoints和publishNotReadyAddresses属性,两者均设置为true。注意-
使用
service.alpha.kubernetes.io/tolerate-unready-endpoints和publishNotReadyAddresses属性来确保 ping 服务在两个更新的 OpenShift 版本中正常工作。 - 省略这些注解会导致每个节点在启动过程中组成自己的"集群"。然后,每个节点会在启动时将其集群合并到其他节点的集群,因为其他节点在启动后不会检测到它们。
kind: Service apiVersion: v1 spec: publishNotReadyAddresses: true clusterIP: None ports: - name: ping port: 8888 selector: deploymentConfig: eap-app metadata: name: eap-app-ping annotations: service.alpha.kubernetes.io/tolerate-unready-endpoints: "true" description: "The JGroups ping port for clustering."-
使用
DNS_PING 不需要对服务帐户进行任何修改,并使用默认权限工作。
8.7.2. 配置 JGroups 以加密集群流量
要在 OpenShift 上为 JBoss EAP 加密集群流量,您必须在 JBoss EAP 配置中配置 JGroups 协议堆栈,以使用 SYM_ENCRYPT 或 ASYM_ENCRYPT 协议。
虽然您可以使用自定义 standalone-openshift.xml 配置文件,但建议您使用环境变量在镜像构建中配置 JGroups。
以下说明使用环境变量来配置用于 OpenShift 镜像的 JBoss EAP 集群流量加密的协议。
SYM_ENCRYPT 和 ASYM_ENCRYPT 协议不相互兼容。无法将超级集群从两个独立的子集群组成,并有一个使用 SYM_ENCRYPT 协议加密集群流量,然后使用 ASYM_ENCRYPT 协议。同样,当执行滚动升级时,源和目标集群的协议需要相同。
8.7.2.1. Configuring SYM_ENCRYPT
使用 SYM_ENCRYPT 协议加密 JGroups 集群流量:
JGroups 协议堆栈必须配置为使用
SYM_ENCRYPT作为加密协议。您可以将
JGROUPS_ENCRYPT_PROTOCOL环境变量设置为SYM_ENCRYPT:JGROUPS_ENCRYPT_PROTOCOL=SYM_ENCRYPTJGROUPS_ENCRYPT_SECRET环境变量必须设置为包含用于保护 JGroups 通讯的机密名称。如果没有设置,集群通信不会加密,并发出警告。例如:JGROUPS_ENCRYPT_SECRET=eap7-app-secretJGROUPS_ENCRYPT_KEYSTORE_DIR环境变量必须设置为通过JGROUPS_ENCRYPT_SECRET变量指定的 secret 中密钥存储文件的目录路径。如果没有设置,集群通信不会加密,并发出警告。例如:JGROUPS_ENCRYPT_KEYSTORE_DIR=/etc/jgroups-encrypt-secret-volumeJGROUPS_ENCRYPT_KEYSTORE环境变量必须设置为通过JGROUPS_ENCRYPT_SECRET变量指定的 secret 内的密钥存储文件的名称。如果没有设置,集群通信不会加密,并发出警告。例如:JGROUPS_ENCRYPT_KEYSTORE=jgroups.jceksJGROUPS_ENCRYPT_NAME环境变量必须设置为与服务器证书关联的名称。如果没有设置,集群通信不会加密,并发出警告。例如:JGROUPS_ENCRYPT_NAME=jgroupsJGROUPS_ENCRYPT_PASSWORD环境变量必须设置为用于访问密钥存储和证书的密码。如果没有设置,集群通信不会加密,并发出警告。例如:JGROUPS_ENCRYPT_PASSWORD=mypassword
8.7.2.2. Configuring ASYM_ENCRYPT
JBoss EAP 7.4 包含 ASYM_ENCRYPT 协议的新版本。以前版本的协议已弃用。如果指定了 JGROUPS_CLUSTER_PASSWORD 环境变量,则会使用已弃用的协议版本,并在 pod 日志中打印警告。
要使用 ASYM_ENCRYPT 协议加密 JGroups 集群流量,请指定 ASYM_ENCRYPT 作为加密协议,并将它配置为使用 elytron 子系统中配置的密钥存储。
-e JGROUPS_ENCRYPT_PROTOCOL="ASYM_ENCRYPT" \
-e JGROUPS_ENCRYPT_SECRET="encrypt_secret" \
-e JGROUPS_ENCRYPT_NAME="encrypt_name" \
-e JGROUPS_ENCRYPT_PASSWORD="encrypt_password" \
-e JGROUPS_ENCRYPT_KEYSTORE="encrypt_keystore" \
-e JGROUPS_CLUSTER_PASSWORD="cluster_password"8.7.3. 扩展 pod 的注意事项
根据 JGroups 中的发现机制,启动节点将搜索现有集群协调器节点。如果在给定超时内找不到协调器节点,则起始节点会假定它是第一个成员,它会占用协调器状态。
当多个节点同时启动时,它们都假定第一个成员为第一个成员,从而导致使用多个分区的分割集群。例如,使用 DeploymentConfig API 扩展从 0 到 2 个 pod 可能会导致分割集群创建。为避免这种情况,您需要启动第一个 pod,然后再扩展至所需 pod 数量。
默认情况下,EAP Operator 使用 StatefulSet API,按顺序启动 pod,即逐个启动 pod,从而防止创建拆分集群。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}