9.2. 私有集群
您可以部署不公开外部端点的私有 OpenShift Container Platform 集群。私有集群只能从内部网络访问,且无法在互联网中看到。
默认情况下,OpenShift Container Platform 被置备为使用可公开访问的 DNS 和端点。在部署集群时,私有集群会将 DNS、Ingress Controller 和 API 服务器设置为私有。这意味着集群资源只能从您的内部网络访问,且不能在互联网中看到。
如果集群有任何公共子网,管理员创建的负载均衡器服务可能会公开访问。为确保集群安全性,请验证这些服务是否已明确标注为私有。
要部署私有集群,您必须:
- 使用满足您的要求的现有网络。集群资源可能会在网络上的其他集群间共享。
从有权访问的机器中部署:
- 您置备的云的 API 服务。
- 您调配的网络上的主机。
- 用于获取安装介质的互联网。
您可以使用符合这些访问要求的机器,并按照您的公司规定进行操作。例如,此机器可以是云网络上的堡垒主机,也可以是可通过 VPN 访问网络的机器。
9.2.1. GCP 中的私有集群
要在 Google Cloud Platform(GCP)上创建私有集群,您必须提供一个现有的私有 VPC 和子网来托管集群。安装程序还必须能够解析集群所需的 DNS 记录。安装程序只为内部流量配置 Ingress Operator 和 API 服务器。
集群仍然需要访问互联网来访问 GCP API。
安装私有集群时不需要或创建以下项目:
- 公共子网
- 支持公共入口的公共网络负载均衡器
-
与集群的
baseDomain匹配的公共 DNS 区域
安装程序会使用您指定的 baseDomain 来创建私有 DNS 区域以及集群所需的记录。集群被配置,以便 Operator 不会为集群创建公共记录,并将所有集群机器放置在您指定的私有子网中。
由于无法根据源标签限制对外部负载均衡器的访问,私有集群只使用内部负载均衡器来允许对内部实例的访问。
内部负载均衡器依赖于实例组而不是网络负载均衡器使用的目标池。安装程序为每个区创建实例组,即使该组中没有实例。
- 集群 IP 地址仅为内部地址。
- 一个转发规则管理 Kubernetes API 和机器配置服务器端口。
- 后端服务由每个区实例组以及 bootstrap 实例组组成。
- 防火墙使用一条仅基于内部源范围的规则。
9.2.1.1. 限制
因为负载均衡器功能不同,机器配置服务器 /healthz 没有运行健康检查。两个内部负载均衡器无法共享一个 IP 地址,但两个网络负载均衡器可以共享一个外部 IP 地址。相反,实例的健康状况完全由端口 6443 上的 /readyz 检查决定。
