Chapitre 4. Considérations relatives au réseau

Passez en revue les stratégies de redirection du trafic réseau des applications après la migration.

4.1. Considérations relatives au DNS

Le domaine DNS du cluster cible est différent de celui du cluster source. Par défaut, les applications obtiennent les noms de domaine complets (FQDN) du cluster cible après la migration.

Pour conserver le domaine DNS source des applications migrées, sélectionnez l’une des deux options décrites ci-dessous.

4.1.1. Isoler le domaine DNS du cluster cible des clients

Vous pouvez autoriser les demandes des clients envoyées au domaine DNS du cluster source à atteindre le domaine DNS du cluster cible sans exposer ce dernier aux clients.

Procédure

  1. Placez un composant réseau extérieur, tel qu’un équilibreur de charge d’application ou un proxy inverse, entre les clients et le cluster cible.
  2. Mettez à jour le nom de domaine complet de l’application sur le cluster source dans le serveur DNS pour renvoyer l’adresse IP du composant réseau extérieur.
  3. Configurez le composant réseau de manière à envoyer les demandes reçues pour l’application dans le domaine source à l’équilibreur de charge dans le domaine du cluster cible.
  4. Créez un enregistrement DNS générique pour le domaine *.apps.source.example.com qui pointe vers l’adresse IP de l’équilibreur de charge du cluster source.
  5. Créez un enregistrement DNS pour chaque application qui pointe vers l’adresse IP du composant réseau extérieur devant le cluster cible. Un enregistrement DNS spécifique a une priorité plus élevée qu’un enregistrement générique, de sorte qu’aucun conflit ne survient lorsque le nom de domaine complet de l’application est résolu.
Note
  • Le composant réseau extérieur doit mettre fin à toutes les connexions TLS sécurisées. Si les connexions passent par l’équilibreur de charge du cluster cible, le nom de domaine complet de l’application cible est exposé au client et des erreurs de certificat se produisent.
  • Les applications ne doivent pas renvoyer aux clients des liens faisant référence au domaine du cluster cible. Sinon, certaines parties de l’application risquent de ne pas se charger ou de ne pas fonctionner correctement.

4.1.2. Configuration du cluster cible pour accepter le domaine DNS source

Vous pouvez configurer le cluster cible pour qu’il accepte les demandes portant sur une application migrée dans le domaine DNS du cluster source.

Procédure

Pour l’accès HTTP non sécurisé et l’accès HTTPS sécurisé, procédez comme suit :

  1. Créez, dans le projet du cluster cible, une route configurée pour accepter les demandes adressées au nom de domaine complet (FQDN) de l’application dans le cluster source : 

    $ oc expose svc <app1-svc> --hostname <app1.apps.source.example.com> \
 -n <app1-namespace>

    Avec cette nouvelle route, le serveur accepte toute demande portant sur ce FQDN et l’envoie aux pods d’application correspondants. En outre, lorsque vous migrez l’application, une autre route est créée dans le domaine du cluster cible. Les demandes atteignent l’application migrée en utilisant l’un de ces noms d’hôte.

  2. Créez un enregistrement DNS avec votre fournisseur DNS qui fait pointer le FQDN de l’application dans le cluster source vers l’adresse IP de l’équilibreur de charge par défaut du cluster cible. Cela permettra de rediriger le trafic de votre cluster source vers votre cluster cible.

    Le FQDN de l’application est résolu sur l’équilibreur de charge du cluster cible. Le routeur du contrôleur d'entrée par défaut accepte les demandes pour ce FQDN car une route pour ce nom d'hôte est exposée.

Pour un accès HTTPS sécurisé, effectuez l’étape supplémentaire suivante :

  1. Remplacez le certificat x509 du contrôleur d'entrée par défaut créé pendant le processus d'installation par un certificat personnalisé.

  2. Configurez ce certificat de manière à inclure les domaines DNS génériques pour les clusters source et cible dans le champ subjectAltName.

    Le nouveau certificat est valide pour sécuriser les connexions effectuées à l’aide de l’un des domaines DNS.

Ressources supplémentaires