第 5 章 配置集群范围代理

如果使用现有的 Virtual Private Cloud (VPC),您可以在 OpenShift Dedicated 集群安装过程中或安装集群后配置集群范围代理。当您启用代理时,核心集群组件会被拒绝访问互联网,但代理不会影响用户工作负载。

注意

只有集群系统出口流量会被代理,包括对云供应商 API 的调用。

您只能为使用客户云订阅 (CCS) 模型的 OpenShift Dedicated 集群启用代理。

如果使用集群范围代理,您需要维护到集群的代理可用性。如果代理不可用,这可能会影响集群的健康和支持性。

5.1. 配置集群范围代理的先决条件

要配置集群范围的代理,您必须满足以下要求。当您在安装过程中或安装后配置代理时,这些要求有效。

常规要求

  • 您是集群所有者。
  • 您的帐户有足够的权限。
  • 集群有一个现有的 Virtual Private Cloud (VPC)。
  • 您为集群使用客户云订阅 (CCS) 模型。
  • 代理可以访问集群的 VPC 和 VPC 的专用子网。此代理也可以从 VPC 的集群以及 VPC 的专用子网访问。
  • 您已在 VPC 端点中添加了以下端点:

    • ec2.<aws_region>.amazonaws.com
    • elasticloadbalancing.<aws_region>.amazonaws.com
    • s3.<aws_region>.amazonaws.com

      需要这些端点才能完成节点到 AWS EC2 API 的请求。由于代理在容器级别而不是在节点级别工作,因此您必须通过 AWS 专用网络将这些请求路由到 AWS EC2 API。在代理服务器中的允许列表中添加 EC2 API 的公共 IP 地址是不够的。

      注意

      在使用集群范围代理时,您必须将 s3.<aws_region>.amazonaws.com 端点配置为类型 Gateway。另外,您可以将 ec2.<aws_region>.amazonaws.comelasticloadbalancing.<aws_region>.amazonaws.com 端点配置为类型 Interface

网络要求

  • 如果您的代理重新发现出口流量,则必须为域和端口组合创建排除项。下表提供了这些例外的指导。

    • 您的代理必须排除以下 OpenShift URL 的重新加密:

      地址协议/端口功能

      observatorium-mst.api.openshift.com

      https/443

      必需。用于管理的 OpenShift 特定遥测。

      sso.redhat.com

      https/443

      https://cloud.redhat.com/openshift 站点使用 sso.redhat.com 中的身份验证来下载集群 pull secret,并使用 Red Hat SaaS 解决方案来简化订阅、集群清单和计费报告的监控。

    • 您的代理必须排除以下站点可靠性工程 (SRE) 和管理 URL:

      地址协议/端口功能

      *.osdsecuritylogs.splunkcloud.com

      或者

      inputs1.osdsecuritylogs.splunkcloud.cominputs2.osdsecuritylogs.splunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.cominputs7.osdsecuritylogs.splunkcloud.cominputs8.osdsecuritylogs.splunkcloud.cominputs9.osdsecuritylogs.splunkcloud.cominputs10.osdsecuritylogs.splunkcloud.cominputs11.osdsecuritylogs.splunkcloud.cominputs12.osdsecuritylogs.splunkcloud.cominputs13.osdsecuritylogs.splunkcloud.cominputs14.osdsecuritylogs.splunkcloud.cominputs15.osdsecuritylogs.splunkcloud.com

      tcp/9997

      splunk-forwarder-operator 使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。

      http-inputs-osdsecuritylogs.splunkcloud.com

      https/443

      splunk-forwarder-operator 使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。

    重要

    如果服务器充当透明的转发代理(通过 --http-proxy--https-proxy 参数在集群上没有配置它),则当前不支持使用代理服务器来执行 TLS 重新加密。

    透明的转发代理会截获集群的流量,但它实际上并没有在集群本身配置。

其它资源