DO280OpenShift网络--平台网络实现
🎹 个人简介:大家好,我是 金鱼哥,CSDN运维领域新星创作者,华为云·云享专家,阿里云社区·专家博主
📚个人资质: CCNA、HCNP、CSNA(网络分析师),软考初级、中级网络工程师、RHCSA、RHCE、RHCA、RHCI、ITIL😜
💬格言:努力不一定成功,但要想成功就必须努力🔥🎈支持我:可点赞👍、可收藏⭐️、可留言📝
📜软件定义网络(SDN)
默认情况下,Docker网络使用仅主机虚机网桥bridge,主机内的所有容器都连接至该网桥。连接到此桥的所有容器都可以彼此通信,但不能与不同主机上的容器通信。通常,这种通信使用端口映射来处理,其中容器端口绑定到主机上的端口,所有通信都通过物理主机上的端口路由。
当有大量主机和容器时,使用此模式,需要手动管理所有端口绑定非常不现实。
为了支持跨集群的容器之间的通信,OpenShift容器平台使用了软件定义的网络(SDN)方法。软件定义的网络是一种网络模型,它通过几个网络层的抽象来管理网络服务。SDN将处理流量的软件(称为控制平面)和路由流量的底层机制(称为数据平面)解耦。SDN支持控制平面和数据平面之间的通信。
在OpenShift Container Platform 3.9中(之后简称OCP),管理员可以为pod网络配置三个SDN插件:
- ovs-subnet:默认插件,子网提供了一个flat pod网络,其中每个pod可以与其他pod和service通信。
- ovs-multitenant:该为pod和服务提供了额外的隔离层。当使用此插件时,每个project接收一个惟一的虚拟网络ID (VNID),该ID标识来自属于该project的pod的流量。通过使用VNID,来自不同project的pod不能与其他project的pod和service通信。
- ovs-networkpolicy:此插件允许管理员使用NetworkPolicy对象定义自己的隔离策略。
cluster network由OpenShift SDN建立和维护,它使用Open vSwitch创建overlay网络,master节点不能通过集群网络访问容器,除非master同时也为node节点。
注意:VNID为0的project可以与所有其他pod通信,在OpenShift容器平台中,默认项目的VNID为0。
📜Kubernetes SDN Pod
在默认的OpenShift容器平台安装中,每个pod都有一个惟一的IP地址。pod中的所有容器都对外表现在相同的主机上。给每个pod提供自己的IP地址意味着,在端口分配、网络、DNS、负载平衡、应用程序配置和迁移方面,pod被视为物理主机或虚拟机的独立节点(仅从网络层面看待)。
Kubernetes提供了service的概念,在任何OpenShift应用程序中,service都是必不可少的资源。service充当一个或多个pod前的负载平衡器。该service提供一个固定的IP地址,并且允许与pod通信,而不必跟踪单独的pod IP地址。
大多数实际应用程序都不是作为单个pod运行的。它们需要水平伸缩,这样应用程序就可以在许多pod上运行,以满足不断增长的用户需求。在OpenShift集群中,pod不断地在集群中的节点之间创建和销毁。每次创建pod时,它们都会获得一个不同的IP地址。一个service提供一个单独的、惟一的IP地址供其他pod使用,而不依赖于pod运行的节点,因此一个pod不必一定需要发现另一个pod的IP地址。客户端通过service的请求在不同pod之间实现负载均衡。
📜Kubernetes SDN Service
service背后运行的一组pod由OpenShift容器平台自动管理。每个service都被分配了一个唯一的IP地址供客户端连接。这个IP地址也来自OpenShift SDN,它与pod的内部网络不同,也只在集群中可见。每个与selector匹配的pod都作为endpoint添加到service资源中。当创建和销毁pods时,service后面的endpoint将自动更新。
📑service yaml语法:
- apiVersion: v1
kind: Service #声明资源类型
metadata:
labels:
app: hello-openshift
name: hello-openshift #服务的唯一名称
spec:
ports:
- name: 8080-tcp
port: 8080 #服务对外公开的端口客户机连接到服务端口
protocol: TCP
targetPort: 8080 #targetPort属性必须匹配pod容器定义中的containerPort,服务将数据包转发到pod中定义的目标端口。
selector: #该服务使用selector属性查找要转发数据包的pod。目标pod的元数据中需要有匹配的标签。如果服务发现多个具有匹配标签的pod,它将在它们之间实现负载
app: hello-openshift
deploymentconfig: hello-openshift
📜service对外暴露
默认情况下,pod和service IP地址不能从OpenShift集群外部访问。对于需要从OpenShift集群外部访问服务的应用程序,可以通过以下三种方式。
HostPort/HostNetwork:在这种方法中,client可以通过主机上的网络端口直接访问集群中的应用程序pod。应用程序pod中的端口被绑定到运行该pod的主机上的端口。这种方法在集群中运行大量pod时,存在端口冲突的风险。
NodePort:这是一种较老的基于Kubernetes的方法,通过绑定到node主机上的可用端口,将service公开给外部客户端,然后node主机代理到service IP地址的连接。使用oc edit svc命令编辑服务属性,指定NodePort的类型,并为NodePort属性提供端口值。OpenShift然后通过node主机的公共IP地址和nodePort中设置的端口值代理到服务的连接。这种方法支持非http通信。
OpenShift routes:OpenShift中的推荐方式。它使用唯一的URL公开服务。使用oc expose命令公开用于外部访问的服务,或者从OpenShift web控制台公开服务。在这种方法中,目前只支持HTTP、HTTPS、TLS whit SNI和WebSockets。
附图:显示了NodePort服务如何允许外部访问Kubernetes服务。
📑service nodeport yaml语法:
apiVersion: v1
kind: Service
metadata:
...
spec:
ports:
- name: 3306-tcp
port: 3306
protocol: TCP
targetPort: 3306 #pod目标端口,即需要和pod定义的端口匹配
nodePort: 30306 #OpenShift集群中主机上的端口,暴露给外部客户端
selector:
app: mysqldb
deploymentconfig: mysqldb
sessionAffinity: None
type: NodePort #服务的类型,如NodePort
...
OpenShift将服务绑定到服务定义的nodePort属性中定义的值,并为集群中所有node(包括master)上的流量打开该端口。外部客户端可以连接到node端口上的任何节点的公共IP地址来访问服务。请求会在服务后面的各个pod之间实现轮询的负载平衡。
OpenShift route主要限于HTTP和HTTPS流量,但是节点端口可以处理非HTTP流量,当设置好公开的端口后,客户机可以使用TCP或UDP的协议连接到该端口。
提示:缺省情况下,NodePort属性的端口号限制在30000-32767之间,可通过在OpenShift主配置文件中配置范围。node port在集群中的所有node上都是打开的,包括master节点。如果没有提供node端口值,OpenShift将自动在配置范围内分配一个随机端口。
📜pod访问外部网络
pod可以使用其主机的地址与外部网络通信。只要主机能够解析pod需要到达的服务器,pod就可以使用网络地址转换(network address translation, NAT)机制与目标服务器通信。
📜课本练习
📑前置准备
[student@workstation ~]$ lab install-prepare setup
[student@workstation ~]$ cd /home/student/do280-ansible
[student@workstation do280-ansible]$ ./install.sh
提示:以上准备为部署一个正确的OpenShift平台。
📑本练习准备
[student@workstation ~]$ lab openshift-network setup # 准备本实验环境
📑创建应用
[student@workstation ~]$ oc login -u developer -p redhat https://master.lab.example.com
[student@workstation ~]$ oc new-project network-test #创建project
[student@workstation ~]$ oc new-app --name=hello -i php:7.0 http://registry.lab.example.com/scaling
[student@workstation ~]$ oc get pods
NAME READY STATUS RESTARTS AGE
hello-1-2lq5h 1/1 Running 0 21s
hello-1-build 0/1 Completed 0 55s
📑扩展应用
[student@workstation ~]$ oc scale --replicas=2 dc hello
[student@workstation ~]$ oc get pods -o wide
NAME READY STATUS RESTARTS AGE IP NODE
hello-1-vwghp 1/1 Running 0 3m 10.128.0.15 node1.lab.example.com
hello-1-build 0/1 Completed 0 3m 10.128.0.10 node1.lab.example.com
hello-1-tvsc2 1/1 Running 0 27s 10.128.0.25 node2.lab.example.com
📑测试访问
[student@workstation ~]$ curl http://10.128.0.15:8080
curl: (7) Failed connect to 10.128.0.12:8080; Network is unreachable
[root@node1 ~]# curl http://10.128.0.15:8080
<html>
<head>
<title>PHP Test</title>
</head>
<body>
<br/> Server IP: 10.128.0.12
</body>
</html>
默认情况下,pod的ip属于内部,集群内部节点可以使用pod ip访问,集群外部(如workstation)无法访问。
[student@workstation ~]$ oc get svc hello
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
hello ClusterIP 172.30.210.177 <none> 8080/TCP 9m
[student@workstation ~]$ curl http://172.30.210.177:8080
curl: (7) Failed connect to 172.30.210.177:8080; Network is unreachable
# 验证负载均衡
[root@node1 ~]# curl http://172.30.210.177:8080
<html>
<head>
<title>PHP Test</title>
</head>
<body>
<br/> Server IP: 10.128.0.15
</body>
</html>
[root@node1 ~]# curl http://172.30.210.177:8080
<html>
<head>
<title>PHP Test</title>
</head>
<body>
<br/> Server IP: 10.128.0.25
</body>
</html>
默认情况下,cluster的ip属于内部,集群内部节点可以使用cluster ip访问,集群外部(如workstation)无法访问。
📑检查服务
[student@workstation ~]$ oc describe svc hello
Name: hello
Namespace: network-test
Labels: app=hello
Annotations: openshift.io/generated-by=OpenShiftNewApp
Selector: app=hello,deploymentconfig=hello
Type: ClusterIP
IP: 172.30.210.177
Port: 8080-tcp 8080/TCP
TargetPort: 8080/TCP
Endpoints: 10.128.0.15:8080,10.128.0.25:8080
Session Affinity: None
Events: <none>
解释:
endpoint:显示请求路由到的pod IP地址列表。当pod有更新后,endpoint将自动更新。
Selector:OpenShift使用为pods定义的选择器和标签来使用给定的集群IP,以便实现应用的负载均衡。如上所示为OpenShift将此服务的请求路由到所有标记为app=hello和deploymentconfig=hello的pod。
📑检查pod
[student@workstation ~]$ oc describe pod hello-1-
hello-1-tvsc2 hello-1-vwghp
[student@workstation ~]$ oc describe pod hello-1-tvsc2
Name: hello-1-tvsc2
Namespace: network-test
Node: node1.lab.example.com/172.25.250.11
Start Time: Fri, 26 Feb 2021 16:13:55 +0800
Labels: app=hello
deployment=hello-1
deploymentconfig=hello
Annotations: openshift.io/deployment-config.latest-version=1
openshift.io/deployment-config.name=hello
openshift.io/deployment.name=hello-1
openshift.io/generated-by=OpenShiftNewApp
openshift.io/scc=restricted
Status: Running
IP: 10.128.0.25
Controlled By: ReplicationController/hello-1
…………
📑设置外部访问
使用NodePort方式设置外部访问。
[student@workstation ~]$ oc edit svc hello
apiVersion: v1
kind: Service
metadata:
annotations:
openshift.io/generated-by: OpenShiftNewApp
creationTimestamp: 2021-02-25T15:35:15Z
labels:
app: hello
name: hello
namespace: network-test
resourceVersion: "87317"
selfLink: /api/v1/namespaces/network-test/services/hello
uid: 0eb3e8e7-777f-11eb-95f8-52540000fa0a
spec:
clusterIP: 172.30.210.177
externalTrafficPolicy: Cluster
ports:
- name: 8080-tcp
nodePort: 30800
port: 8080
protocol: TCP
targetPort: 8080
selector:
app: hello
deploymentconfig: hello
sessionAffinity: None
type: NodePort
status:
loadBalancer: {}
[student@workstation ~]$ oc describe svc hello
Name: hello
Namespace: network-test
Labels: app=hello
Annotations: openshift.io/generated-by=OpenShiftNewApp
Selector: app=hello,deploymentconfig=hello
Type: NodePort #验证是否为NodePort
IP: 172.30.210.177
Port: 8080-tcp 8080/TCP
TargetPort: 8080/TCP
NodePort: 8080-tcp 30800/TCP
Endpoints: 10.128.0.15:8080,10.128.0.25:8080
Session Affinity: None
External Traffic Policy: Cluster
Events: <none>
📑验证外部访问
[student@workstation ~]$ curl http://node1.lab.example.com:30800
<html>
<head>
<title>PHP Test</title>
</head>
<body>
<br/> Server IP: 10.128.0.15
</body>
</html>
[student@workstation ~]$ curl http://node2.lab.example.com:30800
<html>
<head>
<title>PHP Test</title>
</head>
<body>
<br/> Server IP: 10.128.0.25
</body>
</html>
📑使用pod shell
[student@workstation ~]$ oc rsh hello-1-tvsc2
sh-4.2$ cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.4 (Maipo)
sh-4.2$ curl http://services.lab.example.com
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en-US" lang="en-US">
<!-- git web interface version 1.8.3.1, (C) 2005-2006, Kay Sievers <kay.sievers@vrfy.org>, Christian Gierke -->
<!-- git core binaries version 1.8.3.1 -->
<head>
…………
📑清除项目
[student@workstation ~]$ oc delete project network-test
project "network-test" deleted
💡总结
RHCA认证需要经历5门的学习与考试,还是需要花不少时间去学习与备考的,好好加油,可以噶🤪。
以上就是【金鱼哥】对 第三章 OpenShift网络--平台网络实现 的简述和讲解。希望能对看到此文章的小伙伴有所帮助。
💾 红帽认证专栏系列:
RHCSA专栏: 戏说 RHCSA 认证
RHCE专栏: 戏说 RHCE 认证
此文章收录在RHCA专栏: RHCA 回忆录
如果这篇【文章】有帮助到你,希望可以给【金鱼哥】点个赞👍,创作不易,相比官方的陈述,我更喜欢用【通俗易懂】的文笔去讲解每一个知识点。
如果有对【运维技术】感兴趣,也欢迎关注❤️❤️❤️ 【金鱼哥】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💕💕!