第 3 章 配置集群范围代理

如果您使用现有的 Virtual Private Cloud (VPC),您可以在 OpenShift Dedicated 集群安装过程中或安装集群后配置集群范围的代理。当您启用代理时,核心集群组件会被拒绝访问互联网,但代理不会影响用户工作负载。

注意

只有集群系统出口流量会被代理,包括对云供应商 API 的调用。

您只能对使用客户 Cloud Subscription (CCS)模型的 OpenShift Dedicated 集群启用代理。

如果使用集群范围代理,您需要维护到集群的代理可用性。如果代理不可用,这可能会影响集群的健康和支持性。

3.1. 配置集群范围代理的先决条件

要配置集群范围代理,您必须满足以下要求。当您在安装过程中或安装后配置代理时,这些要求有效。

常规要求

  • 您是集群所有者。
  • 您的帐户有足够的权限。
  • 已为集群有一个现有的 Virtual Private Cloud (VPC)。
  • 您为集群使用客户云订阅(CCS)模式。
  • 代理可以访问集群的 VPC 和 VPC 的专用子网。此代理也可以从 VPC 的集群以及 VPC 的专用子网访问。
  • 您以将 ec2.<region>.amazonaws.com, elasticloadbalancing.<region>.amazonaws.com, 和 s3.<region>.amazonaws.com 端点添加到您的 VPC 端点。需要这些端点才能完成节点到 AWS EC2 API 的请求。由于代理在容器级别工作,而不是在节点级别,因此您必须通过 AWS 专用网络将这些请求路由到 AWS EC2 API。在您的代理服务器中的允许列表中添加 EC2 API 的公共 IP 地址是不够的。

网络要求

  • 如果您的代理重新排序出口流量,您必须创建指向域和端口组合的排除项。下表针对这些例外提供了指导。

    • 将以下 OpenShift URL 添加到 allowlist 中用于重新加密。

      address协议/门户功能

      observatorium-mst.api.openshift.com

      https/443

      必需。用于受管 OpenShift 特定的遥测。

      sso.redhat.com

      https/443

      https://cloud.redhat.com/openshift 站点使用 sso.redhat.com 上的身份验证来下载集群 pull secret,并使用 Red Hat SaaS 解决方案来帮助监控您的订阅、集群清单和计费报告。

    • 在允许列表中添加以下站点可靠性工程(SRE)和管理 URL 来重新加密。

      address协议/门户功能

      *.osdsecuritylogs.splunkcloud.com

      或者

      inputs1.osdsecuritylogs.splunkcloud.com inputs2.osdsecuritylogs.splunkcloud.com inputs4.osdsecuritylogs.splunkcloud.com inputs5.osdsecuritylogs.splunkcloud.com inputs6.osdsecuritylogs.splunkcloud.com inputs7.osdsecuritylogs.splunkcloud.com inputs8.osdsecuritylogs.splunkcloud.com inputs9.osdsecuritylogs.splunkcloud.com inputs10.osdsecuritylogs.splunkcloud.com inputs11.osdsecuritylogs.splun kcloud.com inputs12.osdsecuritylogs.splunkcloud.com inputs13.osdsecuritylogs.splunkcloud.com 输入14.osdsecuritylogs.splunkcloud.com inputs15.osdsecuritylogs.splunkcloud.com

      tcp/9997

      由 splunk-forwarder-operator 使用,作为 Red Hat SRE 用于基于日志的警报的日志转发端点。

      http-inputs-osdsecuritylogs.splunkcloud.com

      https/443

      由 splunk-forwarder-operator 使用,作为 Red Hat SRE 用于基于日志的警报的日志转发端点。

    重要

    目前,如果服务器充当透明的转发代理(其中没有通过 --http-proxy--https-proxy 参数),则不支持使用代理服务器来执行 TLS 重新加密。

    透明的转发代理会截获集群流量,但它实际上并没有在集群本身配置。

其它资源