搜索

1.6. 网络配置

download PDF

您可以参考 hub 集群和受管集群的配置,以及额外的网络信息:

1.6.1. hub 集群网络配置表

请参阅下表中的 hub 集群网络要求:

方向协议连接端口(如果指定)源地址目标地址

出站到受管集群

HTTPS

从搜索控制台为受管集群的 pod 动态检索日志,使用受管集群中运行的 klusterlet-addon-workmgr 服务

443

None

用于访问受管集群路由的 IP 地址

出站到受管集群

HTTPS

安装过程中置备的受管集群的 Kubernetes API 服务器来安装 klusterlet

6443

None

Kubernetes 受管集群 API 服务器的 IP

到频道源的外向流量

HTTPS

频道源,包括 GitHub、Object Store 和 Helm 仓库,只有在您使用应用程序生命周期、OpenShift GitOps 或 ArgoCD 时才需要它

443

None

频道源的 IP

来自受管集群的内向流量

HTTPS

用于推送只为运行 OpenShift Container Platform 版本 4.8 或更高版本的受管集群收集的指标和警报的受管集群

443

None

hub 集群访问路由的 IP 地址

来自受管集群的内向流量

HTTPS

监视受管集群的 Kubernetes API 服务器,用于监视受管集群的更改

6443

None

hub 集群 Kubernetes API 服务器的 IP 地址

出站到 ObjectStore

HTTPS

当 Cluster Backup Operator 运行时,为长期存储发送 Observability 指标数据

443

None

ObjectStore 的 IP 地址

出站到镜像存储库

HTTPS

访问 OpenShift Container Platform 和 Red Hat Advanced Cluster Management 的镜像

443

None

镜像存储库的 IP 地址

1.6.2. 受管集群网络配置表

:在受管集群中的注册代理工作代理不支持代理设置,因为它们通过建立 mTLS 连接与 hub 集群上的 apiserver 通信,该连接无法通过代理进行。

下表中查看受管集群网络要求:

方向协议连接端口(如果指定)源地址目标地址

来自 hub 集群的内向流量

HTTPS

从搜索控制台为受管集群的 pod 动态发送日志,使用受管集群中运行的 klusterlet-addon-workmgr 服务

443

None

用于访问受管集群路由的 IP 地址

来自 hub 集群的内向流量

HTTPS

安装过程中置备的受管集群的 Kubernetes API 服务器来安装 klusterlet

6443

None

Kubernetes 受管集群 API 服务器的 IP

出站到镜像存储库

HTTPS

访问 OpenShift Container Platform 和 Red Hat Advanced Cluster Management 的镜像

443

None

镜像存储库的 IP 地址

到 hub 集群的外向流量

HTTPS

用于推送只为运行 OpenShift Container Platform 版本 4.8 或更高版本的受管集群收集的指标和警报的受管集群

443

None

hub 集群访问路由的 IP 地址

到 hub 集群的外向流量

HTTPS

监视 hub 集群的 Kubernetes API 服务器的变化

6443

None

hub 集群 Kubernetes API 服务器的 IP 地址

到频道源的外向流量

HTTPS

频道源,包括 GitHub、Object Store 和 Helm 仓库,只有在您使用应用程序生命周期、OpenShift GitOps 或 ArgoCD 时才需要它

443

None

频道源的 IP

1.6.3. 基础架构 operator 表的额外网络要求

当使用 Infrastructure Operator 安装裸机受管集群时,请参阅以下表以了解额外网络要求:

方向协议连接端口(如果指定)

hub 集群到 ISO/rootfs 镜像仓库的外向流量

HTTPS(在断开连接的环境中的 HTTP)

用于在 Red Hat Advanced Cluster Management hub 上创建 ISO 镜像

443(断开连接的环境中为 80)

hub 集群在一个单一的节点 OpenShift Container Platform 受管集群中到 BMC 接口的外向流量

HTTPS(在断开连接的环境中的 HTTP)

引导 OpenShift Container Platform 集群

443

从 OpenShift Container Platform 受管集群到 hub 集群的外向流量

HTTPS

使用 assistedService 路由报告硬件信息

443

从 OpenShift Container Platform 受管集群到 ISO/rootfs 镜像仓库的外向流量

HTTP

下载 rootfs 镜像

80

1.6.4. Submariner 网络要求表

使用 Submariner 的集群需要三个打开的端口。下表显示了您可以使用的端口:

方向协议连接端口(如果指定)

出站和入站

UDP

每个受管集群

4800

出站和入站

UDP

每个受管集群

4500、500 以及网关节点上 IPSec 流量的任何其他端口

入站

TCP

每个受管集群

8080

1.6.5. Hive 表的额外网络要求

当使用 Central Infrastructure Management(包括使用 Central Infrastructure Management)安装裸机受管集群时,您必须在 hub 集群和 libvirt 置备主机间配置第 2 层或第 3 层端口连接。在使用 Hive 创建基本集群的过程中,需要它们来与置备主机进行连接。如需更多信息,请参阅下表:

方向协议连接端口(如果指定)

libvirt 置备主机的 hub 集群的内向和外向流量

IP

将 hub 集群(Hive operator 安装的位置)连接到 libvirt 置备主机(在创建裸机集群时作为一个 bootstrap)

 

注: 这些要求只适用于安装时,在升级使用 Infrastructure Operator 安装的集群时不需要。

1.6.6. 应用程序部署网络要求表

通常,应用程序部署通信是从受管集群到 hub 集群的一种方法。连接使用 kubeconfig,后者由受管集群上的代理配置。受管集群中的应用程序部署需要访问 hub 集群中的以下命名空间:

  • 频道资源的命名空间
  • 受管集群的命名空间

1.6.7. 命名空间连接网络要求表

  • 应用程序生命周期连接:

    • 命名空间 open-cluster-management 需要访问端口 4000 上的控制台 API。
    • 命名空间 open-cluster-management 需要在端口 3001 上公开 Application UI。
  • 应用程序生命周期后端组件(pod):

    在 hub 集群中,所有应用程序生命周期 pod 都安装在 open-cluster-management 命名空间中,包括以下 pod:

    • multicluster-operators-hub-subscription
    • multicluster-operators-standalone-subscription
    • multicluster-operators-channel
    • multicluster-operators-application
    • multicluster-integrations

      由于这些 pod 位于 open-cluster-management 命名空间中:

    • 命名空间 open-cluster-management 需要通过端口 6443 访问 Kube API。

    在受管集群中,只有 klusterlet-addon-appmgr 应用程序生命周期 pod 安装在 open-cluster-management-agent-addon 命名空间中:

    • 命名空间 open-cluster-management-agent-addon 需要通过端口 6443 访问 Kube API。
  • 监管和风险:

    在 hub 集群中,需要以下访问权限:

    • 命名空间 open-cluster-management 需要通过端口 6443 访问 Kube API。
    • 命名空间 open-cluster-management 需要访问端口 5353 上的 OpenShift DNS。

    在受管集群中,需要以下访问权限:

    • 命名空间 open-cluster-management-addon 需要通过端口 6443 访问 Kube API。

如需了解更多信息,请参阅 Red Hat Advanced Cluster Management for Kubernetes 2.5 支持列表

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.