Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

11.5. 集群

11.5.1. 配置 JGroups Discovery Mechanism
复制链接

要在 OpenShift 上启用 JBoss EAP 集群,请在 JBoss EAP 配置中配置 JGroups 协议堆栈,以使用 kubernetes.KUBE_PINGdns.DNS_PING 发现机制。

虽然您可以使用自定义 standalone.xml 配置文件,但建议您使用 环境变量 在镜像构建中配置 JGroups。

以下说明使用环境变量为 OpenShift 镜像配置 JBoss EAP 的发现机制。

重要

如果您使用 Helm Chart 在 JBoss EAP for OpenShift 镜像上部署应用程序,则默认发现机制为 dns.DNS_PING

dns.DNS_PINGkubernetes.KUBE_PING 发现机制相互兼容。不能从两个独立的子集群构成超级集群,一个使用 dns.DNS_PING 机制进行发现,另一个使用 kubernetes.KUBE_PING 机制。同样,在执行滚动升级时,在源和目标集群中,发现机制需要相同。

11.5.1.1. 配置 KUBE_PING
复制链接

使用 KUBE_PING JGroups 发现机制:

  1. JGroups 协议堆栈必须配置为使用 KUBE_PING 作为发现机制。

    您可以将 JGROUPS_PING_PROTOCOL 环境变量设置为 kubernetes.KUBE_PING

    JGROUPS_PING_PROTOCOL=kubernetes.KUBE_PING
    Copy to Clipboard Toggle word wrap

  2. KUBERNETES_NAMESPACE 环境变量必须设置为 OpenShift 项目名称。例如: 

    KUBERNETES_NAMESPACE=PROJECT_NAME
    Copy to Clipboard Toggle word wrap

  3. 应设置 KUBERNETES_LABELS 环境变量。这应该 与服务级别 上设置的标签匹配。如果没有设置,则应用程序以外的 pod (在您的命名空间中)将尝试加入。例如: 

    KUBERNETES_LABELS=application=APP_NAME
    Copy to Clipboard Toggle word wrap

  4. 必须向服务帐户授予在 下运行 pod 的授权,才能访问 Kubernetes 的 REST API。这可通过 OpenShift CLI 完成。以下示例使用当前项目命名空间中的 default 服务帐户: 

    oc policy add-role-to-user view system:serviceaccount:$(oc project -q):default -n $(oc project -q)
    Copy to Clipboard Toggle word wrap

    在项目命名空间中使用 eap-service-account

    oc policy add-role-to-user view system:serviceaccount:$(oc project -q):eap-service-account -n $(oc project -q)
    Copy to Clipboard Toggle word wrap
    注意

    如需有关向服务帐户添加策略的更多信息,请参阅准备 OpenShift 以部署应用程序

11.5.1.2. 配置 DNS_PING
复制链接

使用 DNS_PING JGroups 发现机制:

  1. JGroups 协议堆栈必须配置为使用 DNS_PING 作为发现机制。

    您可以将 JGROUPS_PING_PROTOCOL 环境变量设置为 dns.DNS_PING

    JGROUPS_PING_PROTOCOL=dns.DNS_PING
    Copy to Clipboard Toggle word wrap

  2. OPENSHIFT_DNS_PING_SERVICE_NAME 环境变量必须设置为集群的 ping 服务名称。 

    OPENSHIFT_DNS_PING_SERVICE_NAME=PING_SERVICE_NAME
    Copy to Clipboard Toggle word wrap

  3. OPENSHIFT_DNS_PING_SERVICE_PORT 环境变量应设置为公开 ping 服务的端口号。DNS_PING 协议尝试从 SRV 记录中识别端口,否则默认为 8888

    OPENSHIFT_DNS_PING_SERVICE_PORT=PING_PORT
    Copy to Clipboard Toggle word wrap

  4. 必须定义公开 ping 端口的 ping 服务。这个服务应该是无头(ClusterIP=None),且必须具有以下内容:

    1. 端口必须命名为。

    2. 该服务必须使用 service.alpha.kubernetes.io/tolerate-unready-endpointspublishNotReadyAddresses 属性标注,两者都设置为 true

      注意
      • 使用 service.alpha.kubernetes.io/tolerate-unready-endpointspublishNotReadyAddresses 属性来确保 ping 服务在两个更新的 OpenShift 版本中正常工作。
      • 省略这些注解会导致每个节点在启动过程中组成自己的 "cluster of one"。然后,每个节点会在启动后将其集群合并到其他节点的集群中,因为其他节点在启动后不会被检测到。 
      kind: Service
apiVersion: v1
spec:
    publishNotReadyAddresses: true
    clusterIP: None
    ports:
    - name: ping
      port: 8888
    selector:
        deploymentConfig: eap-app
metadata:
    name: eap-app-ping
    annotations:
        service.alpha.kubernetes.io/tolerate-unready-endpoints: "true"
        description: "The JGroups ping port for clustering."
      Copy to Clipboard Toggle word wrap
注意

DNS_PING 不需要对服务帐户进行任何修改,并使用默认权限。

11.5.2. 配置 JGroups 以加密集群流量
复制链接

要在 OpenShift 上为 JBoss EAP 加密集群流量,您必须在 JBoss EAP 配置中配置 JGroups 协议堆栈,以使用 SYM_ENCRYPTASYM_ENCRYPT 协议。

虽然您可以使用自定义 standalone.xml 配置文件,但建议您使用 环境变量 在镜像构建中配置 JGroups。

以下说明使用环境变量为 JBoss EAP for OpenShift 镜像配置集群流量加密的协议。

重要

SYM_ENCRYPTASYM_ENCRYPT 协议不相互兼容。不能从两个独立的子集群构成超级集群,一个使用 SYM_ENCRYPT 协议加密集群流量,另一个使用 ASYM_ENCRYPT 协议。同样,在执行滚动升级时,对源和目标集群的协议需要相同。

11.5.2.1. 配置 SYM_ENCRYPT
复制链接

使用 SYM_ENCRYPT 协议加密 JGroups 集群流量:

  1. JGroups 协议堆栈必须配置为使用 SYM_ENCRYPT 作为加密协议。

    您可以将 JGROUPS_ENCRYPT_PROTOCOL 环境变量设置为 SYM_ENCRYPT

    JGROUPS_ENCRYPT_PROTOCOL=SYM_ENCRYPT
    Copy to Clipboard Toggle word wrap

  2. JGROUPS_ENCRYPT_KEYSTORE_DIR 环境变量必须设置为挂载包含密钥存储的机密的目录路径。例如: 

    JGROUPS_ENCRYPT_KEYSTORE_DIR=/etc/jgroups-encrypt-secret-volume
    Copy to Clipboard Toggle word wrap

  3. JGROUPS_ENCRYPT_KEYSTORE 环境变量必须设置为指定 secret 中的密钥存储文件的名称。如果没有设置,集群通信不会加密,并发出警告。例如: 

    JGROUPS_ENCRYPT_KEYSTORE=jgroups.jceks
    Copy to Clipboard Toggle word wrap

  4. JGROUPS_ENCRYPT_NAME 环境变量必须设置为与服务器证书关联的名称。如果没有设置,集群通信不会加密,并发出警告。例如: 

    JGROUPS_ENCRYPT_NAME=jgroups
    Copy to Clipboard Toggle word wrap

  5. JGROUPS_ENCRYPT_PASSWORD 环境变量必须设置为用于访问密钥存储和证书的密码。如果没有设置,集群通信不会加密,并发出警告。例如: 

    JGROUPS_ENCRYPT_PASSWORD=mypassword
    Copy to Clipboard Toggle word wrap

11.5.2.2. 配置 ASYM_ENCRYPT
复制链接

注意

JBoss EAP 8.0 包括 ASYM_ENCRYPT 协议的新版本。以前版本的协议已弃用。如果您指定了 JGROUPS_CLUSTER_PASSWORD 环境变量,则会使用已弃用的协议版本,并在 pod 日志中输出警告信息。

要使用 ASYM_ENCRYPT 协议加密 JGroups 集群流量,请将 ASYM_ENCRYPT 指定为加密协议,并将它配置为使用 elytron 子系统中配置的密钥存储。 

-e JGROUPS_ENCRYPT_PROTOCOL="ASYM_ENCRYPT" \
-e JGROUPS_ENCRYPT_NAME="encrypt_name" \
-e JGROUPS_ENCRYPT_PASSWORD="encrypt_password" \
-e JGROUPS_ENCRYPT_KEYSTORE="encrypt_keystore" \
-e JGROUPS_CLUSTER_PASSWORD="cluster_password"
Copy to Clipboard Toggle word wrap

11.5.3. 扩展 pod 的注意事项
复制链接

根据 JGroups 中的发现机制,启动节点将搜索现有集群协调器节点。如果在给定超时中没有找到协调器节点,则起始节点会假定它是第一个成员,并占用协调器状态。

当多个节点同时启动时,它们假定是创建具有多个分区的分割集群的第一个成员。例如,使用 DeploymentConfig API 扩展从 0 到 2 个 pod 可能会导致分割集群创建。要避免这种情况,您需要启动第一个 pod,然后扩展到所需的 pod 数量。

注意

默认情况下,JBoss EAP Operator 使用 StatefulSet API,它会按顺序创建 pod,即防止创建分割集群。

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部