金鱼哥RHCA回忆录:DO280OpenShift网络--平台网络实现

本文涉及的产品
网络型负载均衡 NLB,每月750个小时 15LCU
传统型负载均衡 CLB,每月750个小时 15LCU
应用型负载均衡 ALB,每月750个小时 15LCU
简介: 第三章 OpenShift网络--平台网络实现

DO280OpenShift网络--平台网络实现

🎹 个人简介:大家好,我是 金鱼哥,CSDN运维领域新星创作者,华为云·云享专家,阿里云社区·专家博主
📚个人资质: CCNA、HCNP、CSNA(网络分析师),软考初级、中级网络工程师、RHCSA、RHCE、RHCA、RHCI、ITIL😜
💬格言:努力不一定成功,但要想成功就必须努力🔥

🎈支持我:可点赞👍、可收藏⭐️、可留言📝


📜软件定义网络(SDN)

默认情况下,Docker网络使用仅主机虚机网桥bridge,主机内的所有容器都连接至该网桥。连接到此桥的所有容器都可以彼此通信,但不能与不同主机上的容器通信。通常,这种通信使用端口映射来处理,其中容器端口绑定到主机上的端口,所有通信都通过物理主机上的端口路由。

当有大量主机和容器时,使用此模式,需要手动管理所有端口绑定非常不现实。

为了支持跨集群的容器之间的通信,OpenShift容器平台使用了软件定义的网络(SDN)方法。软件定义的网络是一种网络模型,它通过几个网络层的抽象来管理网络服务。SDN将处理流量的软件(称为控制平面)和路由流量的底层机制(称为数据平面)解耦。SDN支持控制平面和数据平面之间的通信。

在OpenShift Container Platform 3.9中(之后简称OCP),管理员可以为pod网络配置三个SDN插件:

  1. ovs-subnet:默认插件,子网提供了一个flat pod网络,其中每个pod可以与其他pod和service通信。
  2. ovs-multitenant:该为pod和服务提供了额外的隔离层。当使用此插件时,每个project接收一个惟一的虚拟网络ID (VNID),该ID标识来自属于该project的pod的流量。通过使用VNID,来自不同project的pod不能与其他project的pod和service通信。
  3. ovs-networkpolicy:此插件允许管理员使用NetworkPolicy对象定义自己的隔离策略。

cluster network由OpenShift SDN建立和维护,它使用Open vSwitch创建overlay网络,master节点不能通过集群网络访问容器,除非master同时也为node节点。

注意:VNID为0的project可以与所有其他pod通信,在OpenShift容器平台中,默认项目的VNID为0。


📜Kubernetes SDN Pod

在这里插入图片描述

在默认的OpenShift容器平台安装中,每个pod都有一个惟一的IP地址。pod中的所有容器都对外表现在相同的主机上。给每个pod提供自己的IP地址意味着,在端口分配、网络、DNS、负载平衡、应用程序配置和迁移方面,pod被视为物理主机或虚拟机的独立节点(仅从网络层面看待)。

Kubernetes提供了service的概念,在任何OpenShift应用程序中,service都是必不可少的资源。service充当一个或多个pod前的负载平衡器。该service提供一个固定的IP地址,并且允许与pod通信,而不必跟踪单独的pod IP地址。

在这里插入图片描述

大多数实际应用程序都不是作为单个pod运行的。它们需要水平伸缩,这样应用程序就可以在许多pod上运行,以满足不断增长的用户需求。在OpenShift集群中,pod不断地在集群中的节点之间创建和销毁。每次创建pod时,它们都会获得一个不同的IP地址。一个service提供一个单独的、惟一的IP地址供其他pod使用,而不依赖于pod运行的节点,因此一个pod不必一定需要发现另一个pod的IP地址。客户端通过service的请求在不同pod之间实现负载均衡。


📜Kubernetes SDN Service

service背后运行的一组pod由OpenShift容器平台自动管理。每个service都被分配了一个唯一的IP地址供客户端连接。这个IP地址也来自OpenShift SDN,它与pod的内部网络不同,也只在集群中可见。每个与selector匹配的pod都作为endpoint添加到service资源中。当创建和销毁pods时,service后面的endpoint将自动更新。

📑service yaml语法:

- apiVersion: v1
  kind: Service             #声明资源类型
  metadata:
    labels:
      app: hello-openshift
      name: hello-openshift     #服务的唯一名称
  spec:
    ports:
    - name: 8080-tcp
      port: 8080        #服务对外公开的端口客户机连接到服务端口
      protocol: TCP
      targetPort: 8080        #targetPort属性必须匹配pod容器定义中的containerPort,服务将数据包转发到pod中定义的目标端口。
    selector:            #该服务使用selector属性查找要转发数据包的pod。目标pod的元数据中需要有匹配的标签。如果服务发现多个具有匹配标签的pod,它将在它们之间实现负载
      app: hello-openshift
      deploymentconfig: hello-openshift

📜service对外暴露

默认情况下,pod和service IP地址不能从OpenShift集群外部访问。对于需要从OpenShift集群外部访问服务的应用程序,可以通过以下三种方式。

HostPort/HostNetwork:在这种方法中,client可以通过主机上的网络端口直接访问集群中的应用程序pod。应用程序pod中的端口被绑定到运行该pod的主机上的端口。这种方法在集群中运行大量pod时,存在端口冲突的风险。

NodePort:这是一种较老的基于Kubernetes的方法,通过绑定到node主机上的可用端口,将service公开给外部客户端,然后node主机代理到service IP地址的连接。使用oc edit svc命令编辑服务属性,指定NodePort的类型,并为NodePort属性提供端口值。OpenShift然后通过node主机的公共IP地址和nodePort中设置的端口值代理到服务的连接。这种方法支持非http通信。

OpenShift routes:OpenShift中的推荐方式。它使用唯一的URL公开服务。使用oc expose命令公开用于外部访问的服务,或者从OpenShift web控制台公开服务。在这种方法中,目前只支持HTTP、HTTPS、TLS whit SNI和WebSockets。

附图:显示了NodePort服务如何允许外部访问Kubernetes服务。

在这里插入图片描述


📑service nodeport yaml语法:

apiVersion: v1
kind: Service
metadata:
...
spec:
  ports:
  - name: 3306-tcp
    port: 3306
    protocol: TCP
    targetPort: 3306    #pod目标端口,即需要和pod定义的端口匹配
    nodePort: 30306    #OpenShift集群中主机上的端口,暴露给外部客户端
  selector:
    app: mysqldb
    deploymentconfig: mysqldb
    sessionAffinity: None
  type: NodePort    #服务的类型,如NodePort
...

OpenShift将服务绑定到服务定义的nodePort属性中定义的值,并为集群中所有node(包括master)上的流量打开该端口。外部客户端可以连接到node端口上的任何节点的公共IP地址来访问服务。请求会在服务后面的各个pod之间实现轮询的负载平衡。

OpenShift route主要限于HTTP和HTTPS流量,但是节点端口可以处理非HTTP流量,当设置好公开的端口后,客户机可以使用TCP或UDP的协议连接到该端口。

提示:缺省情况下,NodePort属性的端口号限制在30000-32767之间,可通过在OpenShift主配置文件中配置范围。node port在集群中的所有node上都是打开的,包括master节点。如果没有提供node端口值,OpenShift将自动在配置范围内分配一个随机端口


📜pod访问外部网络

pod可以使用其主机的地址与外部网络通信。只要主机能够解析pod需要到达的服务器,pod就可以使用网络地址转换(network address translation, NAT)机制与目标服务器通信。


📜课本练习

📑前置准备

[student@workstation ~]$ lab install-prepare setup
[student@workstation ~]$ cd /home/student/do280-ansible
[student@workstation do280-ansible]$ ./install.sh 

提示:以上准备为部署一个正确的OpenShift平台。


📑本练习准备

[student@workstation ~]$ lab openshift-network setup    # 准备本实验环境

📑创建应用

[student@workstation ~]$ oc login -u developer -p redhat https://master.lab.example.com
[student@workstation ~]$ oc new-project network-test             #创建project
[student@workstation ~]$ oc new-app --name=hello -i php:7.0 http://registry.lab.example.com/scaling
[student@workstation ~]$ oc get pods
NAME            READY     STATUS      RESTARTS   AGE
hello-1-2lq5h   1/1       Running     0          21s
hello-1-build   0/1       Completed   0          55s

📑扩展应用

[student@workstation ~]$ oc scale --replicas=2 dc hello
[student@workstation ~]$ oc get pods -o wide
NAME            READY     STATUS      RESTARTS   AGE       IP            NODE
hello-1-vwghp  1/1       Running     0          3m        10.128.0.15   node1.lab.example.com
hello-1-build   0/1       Completed   0          3m        10.128.0.10   node1.lab.example.com
hello-1-tvsc2   1/1       Running     0          27s       10.128.0.25   node2.lab.example.com

📑测试访问

[student@workstation ~]$ curl http://10.128.0.15:8080
curl: (7) Failed connect to 10.128.0.12:8080; Network is unreachable 

[root@node1 ~]# curl http://10.128.0.15:8080
<html>
 <head>
  <title>PHP Test</title>
 </head>
 <body>
 <br/> Server IP: 10.128.0.12 
 </body>
</html>

默认情况下,pod的ip属于内部,集群内部节点可以使用pod ip访问,集群外部(如workstation)无法访问。

[student@workstation ~]$ oc get svc hello
NAME      TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)    AGE
hello     ClusterIP   172.30.210.177   <none>        8080/TCP   9m
[student@workstation ~]$ curl http://172.30.210.177:8080
curl: (7) Failed connect to 172.30.210.177:8080; Network is unreachable

# 验证负载均衡

[root@node1 ~]# curl http://172.30.210.177:8080
<html>
 <head>
  <title>PHP Test</title>
 </head>
 <body>
 <br/> Server IP: 10.128.0.15 
 </body>
</html>
[root@node1 ~]# curl http://172.30.210.177:8080
<html>
 <head>
  <title>PHP Test</title>
 </head>
 <body>
 <br/> Server IP: 10.128.0.25 
 </body>
</html>

默认情况下,cluster的ip属于内部,集群内部节点可以使用cluster ip访问,集群外部(如workstation)无法访问。


📑检查服务

[student@workstation ~]$ oc describe svc hello 
Name:              hello
Namespace:         network-test
Labels:            app=hello
Annotations:       openshift.io/generated-by=OpenShiftNewApp
Selector:          app=hello,deploymentconfig=hello
Type:              ClusterIP
IP:                172.30.210.177
Port:              8080-tcp  8080/TCP
TargetPort:        8080/TCP
Endpoints:         10.128.0.15:8080,10.128.0.25:8080
Session Affinity:  None
Events:            <none>

解释:

endpoint:显示请求路由到的pod IP地址列表。当pod有更新后,endpoint将自动更新。

Selector:OpenShift使用为pods定义的选择器和标签来使用给定的集群IP,以便实现应用的负载均衡。如上所示为OpenShift将此服务的请求路由到所有标记为app=hello和deploymentconfig=hello的pod。


📑检查pod

[student@workstation ~]$ oc describe pod hello-1-
hello-1-tvsc2  hello-1-vwghp  
[student@workstation ~]$ oc describe pod hello-1-tvsc2 
Name:           hello-1-tvsc2
Namespace:      network-test
Node:           node1.lab.example.com/172.25.250.11
Start Time:     Fri, 26 Feb 2021 16:13:55 +0800
Labels:         app=hello
                deployment=hello-1
                deploymentconfig=hello
Annotations:    openshift.io/deployment-config.latest-version=1
                openshift.io/deployment-config.name=hello
                openshift.io/deployment.name=hello-1
                openshift.io/generated-by=OpenShiftNewApp
                openshift.io/scc=restricted
Status:         Running
IP:             10.128.0.25
Controlled By:  ReplicationController/hello-1
…………

📑设置外部访问

使用NodePort方式设置外部访问。

[student@workstation ~]$ oc edit svc hello
apiVersion: v1
kind: Service
metadata:
  annotations:
    openshift.io/generated-by: OpenShiftNewApp
  creationTimestamp: 2021-02-25T15:35:15Z
  labels:
    app: hello
  name: hello
  namespace: network-test
  resourceVersion: "87317"
  selfLink: /api/v1/namespaces/network-test/services/hello
  uid: 0eb3e8e7-777f-11eb-95f8-52540000fa0a
spec:
  clusterIP: 172.30.210.177
  externalTrafficPolicy: Cluster
  ports:
  - name: 8080-tcp
    nodePort: 30800
    port: 8080
    protocol: TCP
    targetPort: 8080
  selector:
    app: hello
    deploymentconfig: hello
  sessionAffinity: None
  type: NodePort
status:
  loadBalancer: {}
[student@workstation ~]$  oc describe svc hello
Name:                     hello
Namespace:                network-test
Labels:                   app=hello
Annotations:              openshift.io/generated-by=OpenShiftNewApp
Selector:                 app=hello,deploymentconfig=hello
Type:                     NodePort           #验证是否为NodePort
IP:                       172.30.210.177
Port:                     8080-tcp  8080/TCP
TargetPort:               8080/TCP
NodePort:                 8080-tcp  30800/TCP
Endpoints:                10.128.0.15:8080,10.128.0.25:8080
Session Affinity:         None
External Traffic Policy:  Cluster
Events:                   <none>

📑验证外部访问

[student@workstation ~]$ curl http://node1.lab.example.com:30800
<html>
 <head>
  <title>PHP Test</title>
 </head>
 <body>
 <br/> Server IP: 10.128.0.15 
 </body>
</html>
[student@workstation ~]$ curl http://node2.lab.example.com:30800
<html>
 <head>
  <title>PHP Test</title>
 </head>
 <body>
 <br/> Server IP: 10.128.0.25 
 </body>
</html>

📑使用pod shell

[student@workstation ~]$ oc rsh hello-1-tvsc2 
sh-4.2$ cat /etc/redhat-release 
Red Hat Enterprise Linux Server release 7.4 (Maipo)
sh-4.2$ curl http://services.lab.example.com
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en-US" lang="en-US">
<!-- git web interface version 1.8.3.1, (C) 2005-2006, Kay Sievers <kay.sievers@vrfy.org>, Christian Gierke -->
<!-- git core binaries version 1.8.3.1 -->
<head>
…………

📑清除项目

[student@workstation ~]$ oc delete project network-test
project "network-test" deleted

💡总结

RHCA认证需要经历5门的学习与考试,还是需要花不少时间去学习与备考的,好好加油,可以噶🤪。

以上就是【金鱼哥】对 第三章 OpenShift网络--平台网络实现 的简述和讲解。希望能对看到此文章的小伙伴有所帮助。

💾 红帽认证专栏系列:
RHCSA专栏: 戏说 RHCSA 认证
RHCE专栏: 戏说 RHCE 认证
此文章收录在RHCA专栏: RHCA 回忆录

如果这篇【文章】有帮助到你,希望可以给【金鱼哥】点个赞👍,创作不易,相比官方的陈述,我更喜欢用【通俗易懂】的文笔去讲解每一个知识点。

如果有对【运维技术】感兴趣,也欢迎关注❤️❤️❤️ 【金鱼哥】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💕💕!

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
4天前
|
NoSQL 关系型数据库 MySQL
《docker高级篇(大厂进阶):4.Docker网络》包括:是什么、常用基本命令、能干嘛、网络模式、docker平台架构图解
《docker高级篇(大厂进阶):4.Docker网络》包括:是什么、常用基本命令、能干嘛、网络模式、docker平台架构图解
90 56
《docker高级篇(大厂进阶):4.Docker网络》包括:是什么、常用基本命令、能干嘛、网络模式、docker平台架构图解
|
2月前
|
安全 物联网 物联网安全
量子通信网络:安全信息交换的新平台
【10月更文挑战第6天】量子通信网络作为一种全新的安全信息交换平台,正逐步展现出其独特的优势和巨大的潜力。通过深入研究和不断探索,我们有理由相信,量子通信网络将成为未来信息安全领域的重要支柱,为构建更加安全、高效、可靠的信息社会贡献力量。让我们共同期待量子通信网络在未来的广泛应用和美好前景!
|
3月前
|
XML 网络协议 物联网
基于surging的木舟IOT平台如何添加网络组件
【8月更文挑战第30天】在基于 Surging 的木舟 IOT 平台中添加网络组件需经历八个步骤:首先理解 Surging 及平台架构;其次明确组件需求,选择合适技术库;接着创建项目并配置;然后设计实现网络功能;再将组件集成至平台;接着进行详尽测试;最后根据反馈持续优化与维护。具体实施时应参照最新文档调整。
69 10
|
3月前
|
缓存 算法 物联网
基于AODV和leach协议的自组网络平台matlab仿真,对比吞吐量,负荷,丢包率,剩余节点个数,节点消耗能量
本系统基于MATLAB 2017b,对AODV与LEACH自组网进行了升级仿真,新增运动节点路由测试,修正丢包率统计。AODV是一种按需路由协议,结合DSDV和DSR,支持动态路由。程序包含参数设置、消息收发等功能模块,通过GUI界面配置节点数量、仿真时间和路由协议等参数,并计算网络性能指标。 该代码实现了节点能量管理、簇头选举、路由发现等功能,并统计了网络性能指标。
178 73
|
6月前
|
JavaScript Java 测试技术
基于ssm+vue.js+uniapp小程序的网络游戏公司官方平台附带文章和源代码部署视频讲解等
基于ssm+vue.js+uniapp小程序的网络游戏公司官方平台附带文章和源代码部署视频讲解等
49 2
|
7月前
|
JavaScript Java 测试技术
基于ssm+vue.js+uniapp小程序的网络游戏交易平台信息管理系统附带文章和源代码设计说明文档ppt
基于ssm+vue.js+uniapp小程序的网络游戏交易平台信息管理系统附带文章和源代码设计说明文档ppt
47 1
|
3月前
|
机器学习/深度学习 人工智能 算法
【新闻文本分类识别系统】Python+卷积神经网络算法+人工智能+深度学习+计算机毕设项目+Django网页界面平台
文本分类识别系统。本系统使用Python作为主要开发语言,首先收集了10种中文文本数据集("体育类", "财经类", "房产类", "家居类", "教育类", "科技类", "时尚类", "时政类", "游戏类", "娱乐类"),然后基于TensorFlow搭建CNN卷积神经网络算法模型。通过对数据集进行多轮迭代训练,最后得到一个识别精度较高的模型,并保存为本地的h5格式。然后使用Django开发Web网页端操作界面,实现用户上传一段文本识别其所属的类别。
107 1
【新闻文本分类识别系统】Python+卷积神经网络算法+人工智能+深度学习+计算机毕设项目+Django网页界面平台
|
3月前
|
机器学习/深度学习 人工智能 算法
【果蔬识别系统】Python+卷积神经网络算法+人工智能+深度学习+计算机毕设项目+Django网页界面平台
【果蔬识别系统】Python+卷积神经网络算法+人工智能+深度学习+计算机毕设项目+Django网页界面平台。果蔬识别系统,本系统使用Python作为主要开发语言,通过收集了12种常见的水果和蔬菜('土豆', '圣女果', '大白菜', '大葱', '梨', '胡萝卜', '芒果', '苹果', '西红柿', '韭菜', '香蕉', '黄瓜'),然后基于TensorFlow库搭建CNN卷积神经网络算法模型,然后对数据集进行训练,最后得到一个识别精度较高的算法模型,然后将其保存为h5格式的本地文件方便后期调用。再使用Django框架搭建Web网页平台操作界面,实现用户上传一张果蔬图片识别其名称。
68 0
【果蔬识别系统】Python+卷积神经网络算法+人工智能+深度学习+计算机毕设项目+Django网页界面平台
|
4月前
|
云安全 安全 物联网
惊叹:《黑神话:悟空》所在 Steam 发行平台遭网络狂袭,威胁流量猛增两万倍!
8月24日,热门游戏《黑神话:悟空》的玩家发现主要发行平台Steam无法登录,引发“#Steam崩了#”登上微博热搜。起初猜测是在线人数过多导致,但完美世界竞技平台公告表示系遭受DDoS攻击。奇安信Xlab实验室详细解析了此次攻击,发现攻击指令暴增两万多倍,涉及多个僵尸网络。此次攻击对Steam造成严重影响,但也凸显了网络安全的重要性。为保障游戏环境安全,需加强服务器防护并选择可靠的防御公司。德迅云安全提供高防服务器、DDoS高防IP和安全加速SCDN等服务,助力游戏企业提升安全性。
|
4月前
|
机器学习/深度学习 前端开发 数据挖掘
基于Python Django的房价数据分析平台,包括大屏和后台数据管理,有线性、向量机、梯度提升树、bp神经网络等模型
本文介绍了一个基于Python Django框架开发的房价数据分析平台,该平台集成了多种机器学习模型,包括线性回归、SVM、GBDT和BP神经网络,用于房价预测和市场分析,同时提供了前端大屏展示和后台数据管理功能。
121 9
下一篇
DataWorks