Language:
Format:

第 3 章配置集群范围代理

如果您使用现有的 Virtual Private Cloud (VPC)，您可以在 OpenShift Dedicated 集群安装过程中或安装集群后配置集群范围的代理。当您启用代理时，核心集群组件会被拒绝访问互联网，但代理不会影响用户工作负载。

注意

只有集群系统出口流量会被代理，包括对云供应商 API 的调用。

您只能对使用客户 Cloud Subscription (CCS)模型的 OpenShift Dedicated 集群启用代理。

如果使用集群范围代理，您需要维护到集群的代理可用性。如果代理不可用，这可能会影响集群的健康和支持性。

3.1. 配置集群范围代理的先决条件

要配置集群范围代理，您必须满足以下要求。当您在安装过程中或安装后配置代理时，这些要求有效。

常规要求

您是集群所有者。
您的帐户有足够的权限。
已为集群有一个现有的 Virtual Private Cloud (VPC)。
您为集群使用客户云订阅(CCS)模式。
代理可以访问集群的 VPC 和 VPC 的专用子网。此代理也可以从 VPC 的集群以及 VPC 的专用子网访问。
您以将 ec2.<region>.amazonaws.com, elasticloadbalancing.<region>.amazonaws.com, 和 s3.<region>.amazonaws.com 端点添加到您的 VPC 端点。需要这些端点才能完成节点到 AWS EC2 API 的请求。由于代理在容器级别工作，而不是在节点级别，因此您必须通过 AWS 专用网络将这些请求路由到 AWS EC2 API。在您的代理服务器中的允许列表中添加 EC2 API 的公共 IP 地址是不够的。

网络要求

如果您的代理重新排序出口流量，您必须创建指向域和端口组合的排除项。下表针对这些例外提供了指导。

将以下 OpenShift URL 添加到 allowlist 中用于重新加密。

address	协议/门户	功能
`observatorium-mst.api.openshift.com`	https/443	必需。用于受管 OpenShift 特定的遥测。
`sso.redhat.com`	https/443	https://cloud.redhat.com/openshift 站点使用 sso.redhat.com 上的身份验证来下载集群 pull secret，并使用 Red Hat SaaS 解决方案来帮助监控您的订阅、集群清单和计费报告。

在允许列表中添加以下站点可靠性工程(SRE)和管理 URL 来重新加密。

address 协议/门户功能

address	协议/门户	功能
`*.osdsecuritylogs.splunkcloud.com` 或者 `inputs1.osdsecuritylogs.splunkcloud.com` `inputs2.osdsecuritylogs.splunkcloud.com` `inputs4.osdsecuritylogs.splunkcloud.com` `inputs5.osdsecuritylogs.splunkcloud.com` `inputs6.osdsecuritylogs.splunkcloud.com` `inputs7.osdsecuritylogs.splunkcloud.com` `inputs8.osdsecuritylogs.splunkcloud.com` `inputs9.osdsecuritylogs.splunkcloud.com` `inputs10.osdsecuritylogs.splunkcloud.com` `inputs11.osdsecuritylogs.splun kcloud.com` `inputs12.osdsecuritylogs.splunkcloud.com` `inputs13.osdsecuritylogs.splunkcloud.com` `输入14.osdsecuritylogs.splunkcloud.com` `inputs15.osdsecuritylogs.splunkcloud.com`	tcp/9997	由 splunk-forwarder-operator 使用，作为 Red Hat SRE 用于基于日志的警报的日志转发端点。
`http-inputs-osdsecuritylogs.splunkcloud.com`	https/443	由 splunk-forwarder-operator 使用，作为 Red Hat SRE 用于基于日志的警报的日志转发端点。

*.osdsecuritylogs.splunkcloud.com

或者

inputs1.osdsecuritylogs.splunkcloud.com inputs2.osdsecuritylogs.splunkcloud.com inputs4.osdsecuritylogs.splunkcloud.com inputs5.osdsecuritylogs.splunkcloud.com inputs6.osdsecuritylogs.splunkcloud.com inputs7.osdsecuritylogs.splunkcloud.com inputs8.osdsecuritylogs.splunkcloud.com inputs9.osdsecuritylogs.splunkcloud.com inputs10.osdsecuritylogs.splunkcloud.com inputs11.osdsecuritylogs.splun kcloud.com inputs12.osdsecuritylogs.splunkcloud.com inputs13.osdsecuritylogs.splunkcloud.com 输入14.osdsecuritylogs.splunkcloud.com inputs15.osdsecuritylogs.splunkcloud.com

tcp/9997

由 splunk-forwarder-operator 使用，作为 Red Hat SRE 用于基于日志的警报的日志转发端点。

http-inputs-osdsecuritylogs.splunkcloud.com

https/443

由 splunk-forwarder-operator 使用，作为 Red Hat SRE 用于基于日志的警报的日志转发端点。

重要

目前，如果服务器充当透明的转发代理（其中没有通过 --http-proxy 或 --https-proxy 参数），则不支持使用代理服务器来执行 TLS 重新加密。

透明的转发代理会截获集群流量，但它实际上并没有在集群本身配置。

其它资源

有关使用客户云订阅(CCS)模型的 OpenShift Dedicated 集群的安装先决条件，请参阅 AWS 或 GCP 上的客户云订阅。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

第 3 章配置集群范围代理

3.1. 配置集群范围代理的先决条件

常规要求

网络要求

Language and Page Formatting Options

第 3 章 配置集群范围代理

3.1. 配置集群范围代理的先决条件

常规要求

网络要求

第 3 章配置集群范围代理