OpenShift Container Platform 4.6 网络

### OpenShift Container Platform 4.6 网络总结 #### 1. 默认 CNI 网络供应商 OpenShift Container Platform 提供两种默认 CNI 网络供应商：**OpenShift SDN** 和 **OVN-Kubernetes**。两者功能对比如下： | 功能 | OpenShift SDN | OVN-Kubernetes | |---------------------|-----------------------------------|---------------------------------| | 出口 IP | 支持 | 支持 | | Egress 防火墙 | 支持 | 支持 | | 出口路由器 | 支持 | 不支持 | | Kubernetes 网络策略 | 部分支持（不支持出口规则和 ipBlock） | 完全支持 | | 多播 | 支持 | 支持 | **OpenShift SDN** 使用 Open vSwitch (OVS) 配置覆盖网络，默认提供三种网络隔离模式： - **网络策略模式**：基于 NetworkPolicy 对象配置隔离策略，默认模式。 - **多租户模式**：项目级别的网络隔离。 - **子网模式**：提供扁平网络，所有 pod 可以互相通信。 #### 2. 多网络配置 OpenShift 支持通过 **Multus CNI 插件** 实现多网络，允许为集群定义多个额外网络。支持的网络类型包括： - **桥接网络**：同一主机上的容器通信。 - **host-device**：pod 访问主机物理网络设备。 - **IPvLAN 和 macvlan**：基于接口的网络隔离。 - **SR-IOV**：直接使用硬件虚拟功能 (VF) 接口。 额外网络适用于以下场景： - **性能优化**：通过不同网络平面管理流量。 - **安全性**：隔离敏感流量或私密数据。 配置额外网络可以通过以下方式实现： - **Cluster Network Operator**：集中管理网络配置。 - **YAML 清单**：通过自定义资源定义网络接口。 #### 3. SR-IOV 网络 SR-IOV（单根 I/O 虚拟化）允许 pod 直接使用硬件接口的虚拟功能 (VF)，提供高性能网络通信。OpenShift 提供 **SR-IOV Network Operator** 管理相关组件，支持以下功能： - 自动发现和配置 SR-IOV 网络设备。 - 通过 `NetworkAttachmentDefinition` 将 pod 附加到 SR-IOV 网络。 - 示例：pod 可以通过 VF 接口与其他主机上的 pod 通信。 #### 4. Ingress 和 DNS - **Ingress Operator**：负责管理外部流量访问集群服务，支持 HAProxy 负载均衡器和高级功能（如 TLS 重新加密、蓝绿部署）。 - **DNS Operator**：为 pod 提供 DNS 解析服务，支持服务发现和域名解析。 #### 5. 网络策略 OpenShift 支持 Kubernetes 网络策略，允许项目管理员定义 pod 之间的通信规则。网络策略模式是默认模式，支持部分 Kubernetes 网络策略功能，但不支持出口规则和一些 `ipBlock` 规则。 #### 6. 负载均衡器 OpenShift 支持通过负载均衡器实现外部流量访问集群服务，提供以下功能： - 负载均衡器分配唯一 IP 地址。 - 支持池化和虚拟 IP (VIP) 配置。 - 集群管理员需确保外部端口和网络环境配置正确。 #### 7. 网络 Operator OpenShift 提供以下网络 Operator： - **Cluster Network Operator (CNO)**：管理集群网络组件，默认部署 CNI 插件。 - **DNS Operator**：部署 CoreDNS，提供名称解析服务。 - **Ingress Operator**：管理 Ingress Controller，实现外部流量路由。 #### 8. 其他注意事项 - **元数据 API**：某些云平台提供 169.254.169.254 IP 的元数据 API，pod 需通过 `spec.hostnetwork: true` 访问。 - **网络策略限制**：OpenShift SDN 不支持 Kubernetes 服务的外部流量策略设置为 `local`。 - **性能和安全性**：多网络配置可提升性能和安全性，需谨慎管理网络策略。 总结：OpenShift Container Platform 4.6 提供灵活的网络配置选项，支持多种网络供应商、额外网络和高级功能，如 SR-IOV、Ingress 和网络策略，便于管理员根据需求定制集群网络。