13.2. 为项目配置出口 IP

作为集群管理员,您可以配置 OpenShift SDN 默认 Container Network Interface (CNI) 网络供应商,为项目分配一个或多个出口 IP 地址。

13.2.1. 项目出口流量的出口 IP 地址分配

通过为项目配置出口 IP 地址,来自指定项目的所有出站外部连接将共享相同的固定源 IP 地址。外部资源可以根据出口 IP 地址识别来自特定项目的流量。分配给项目的出口 IP 地址与用来向特定目的地发送流量的出口路由器不同。

出口 IP 地址是作为额外 IP 地址在节点的主网络接口中实现的,且必须与节点的主 IP 地址处于同一个子网中。

重要

不能在任何 Linux 网络配置文件中配置出口 IP 地址,比如 ifcfg-eth0

Amazon Web Services(AWS)、Google Cloud Platform(GCP)和 Azure 上的出口 IP 仅在 OpenShift Container Platform 版本 4.10 及更新的版本中支持。

在使用一些虚拟机解决方案时,在主网络接口上允许额外的 IP 地址可能需要额外的配置。

您可以通过设置 NetNamespace 对象的 egressIPs 参数,将出口 IP 地址分配给命名空间。在出口 IP 与项目关联后,OpenShift SDN 允许您以两种方式为主机分配出口 IP:

  • 自动分配方法中,给节点分配一个出口 IP 地址范围。
  • 手动分配方法中,给节点分配包含一个或多个出口 IP 地址的列表。

请求出口 IP 地址的命名空间与可以托管那些出口 IP 地址的节点匹配,然后为那些节点分配出口 IP 地址。如果在 NetNamespace 对象中设置了 egressIPs 参数,但没有节点托管该出口 IP 地址,则会丢弃来自该命名空间的出口流量。

节点高可用性是自动的。如果托管出口 IP 地址的节点不可访问,并且有可以托管那些出口 IP 地址的节点,那么出口 IP 地址将会移到新节点。当无法访问的托管原始出口 IP 地址的节点恢复正常后,出口 IP 地址会自动转移,以在不同节点之间均衡出口 IP 地址。

重要

将出口 IP 地址与 OpenShift SDN 集群网络供应商搭配使用时会有以下限制:

  • 您不能在同一节点上同时使用手动分配和自动分配的出口 IP 地址。
  • 如果手动从 IP 地址范围分配出口 IP 地址,则不得将该范围用于自动 IP 分配。
  • 您不能使用 OpenShift SDN 出口 IP 地址在多个命名空间间共享出口 IP 地址。如果您需要在命名空间间共享 IP 地址,则 OVN-Kubernetes 集群网络供应商出口 IP 地址可以在多个命名空间中分散 IP 地址。
注意

如果您以多租户模式使用 OpenShift SDN,则无法将出口 IP 地址与与其关联的项目附加到另一个命名空间的任何命名空间一起使用。例如,如果 project1project2 通过运行 oc adm pod-network join-projects --to=project1 project2 命令被连接,则这两个项目都不能使用出口 IP 地址。如需更多信息,请参阅 BZ#1645577

13.2.1.1. 使用自动分配的出口 IP 地址时的注意事项

当对出口 IP 地址使用自动分配方法时,请注意以下事项:

  • 您可以设置每个节点的 HostSubnet 资源的 egressCIDRs 参数,以指明节点可以托管的出口 IP 地址范围。OpenShift Container Platform 根据您指定的 IP 地址范围设置 HostSubnet 资源的 egressIPs 参数。
  • 使用自动分配模式时,支持每个命名空间具有一个出口 IP 地址。

如果托管命名空间的出口 IP 地址的节点不可访问,OpenShift Container Platform 会将出口 IP 地址重新分配给具有兼容出口 IP 地址范围的另外一个节点。自动分配方法最适合在把额外的 IP 地址与节点进行关联时具有灵活性的环境中安装的集群。

13.2.1.2. 使用手动分配出口 IP 地址时的注意事项

此方法用于集群,在公共云环境中将其他 IP 地址与节点(如公共云环境中)关联可能存在限制。

当手动分配出口 IP 地址时,请考虑以下事项:

  • 您可以设置每个节点的 HostSubnet 资源的 egressIPs 参数,以指明节点可以托管的 IP 地址。
  • 支持一个命名空间带有多个出口 IP 地址。

当命名空间有多个出口 IP 地址时,如果托管第一个出口 IP 地址的节点不可访问,OpenShift Container Platform 将自动切换到使用下一个可用的出口 IP 地址,直到可以再次访问第一个出口 IP 地址。