OpenShift Container Platform 4.13 网络

# OpenShift Container Platform 4.13 网络总结 ## 1. 网络架构概述 OpenShift Container Platform (OCP) 4.13 提供了灵活且强大的网络功能，支持多种网络插件和操作符，用于管理集群网络、负载均衡、安全性和可观察性。 ## 2. 核心网络操作符 - **Cluster Network Operator (CNO)**：管理集群网络组件和CNI插件的部署。 - **DNS Operator**：部署CoreDNS，提供基于DNS的服务发现。 - **Ingress Operator**：实现Ingress Controller API，启用外部访问。 - **External DNS Operator**：管理ExternalDNS，将集群服务注册到外部DNS供应商。 - **Ingress Node Firewall Operator**：使用eBPF和XDP处理节点防火墙规则，确保安全。 - **Network Observability Operator**：使用eBPF技术提供网络流量观察和故障排除。 ## 3. OpenShift SDN 网络插件 - **功能**：使用Open vSwitch (OVS) 配置覆盖网络，支持三种网络隔离模式： - **网络策略模式**：默认模式，允许项目管理员配置隔离策略。 - **多租户模式**：提供项目级别的网络隔离。 - **子网模式**：所有pod间通信无限制。 - **支持功能**：包括出口IP、防火墙、出口路由器等，但不支持硬件卸载和IPv6。 ## 4. 多网络配置 - 使用Multus CNI插件附加额外网络接口，支持多种网络类型（如bridge、macvlan、SR-IOV）。 - 支持网络隔离和性能优化，适用于数据平面与控制平面分离等场景。 ## 5. CIDR 范围定义 - **Machine CIDR**：默认10.0.0.0/16，用于节点IP分配。 - **Service CIDR**：默认172.30.0.0/16，供服务使用。 - **Pod CIDR**：默认10.128.0.0/14，可扩展。 - **主机前缀**：默认/23，支持510节点和每个节点510个pod IP。 ## 6. OVN-Kubernetes 网络插件 - 作为默认插件，支持更多功能，如IPsec加密、硬件卸载和IPv6。 - 功能比较： | 功能 | OVN-Kubernetes | OpenShift SDN | |--------------------|----------------|---------------| | 集群内通信IPsec | 支持 | 不支持 | | 硬件卸载 | 支持 | 不支持 | | IPv6 | 支持 | 不支持 | ## 7. 负载均衡与访问 - 使用负载均衡器服务公开应用，支持外部IP配置，流程包括创建项目、服务和路由。 ## 8. 其他资源 - **网络策略**：定义默认网络策略以增强安全性。 - **混合网络**：支持Linux和Windows工作负载的混合集群。 - **网络观察**：通过Loki存储和分析网络流，提供深入的网络洞察。 总结：OpenShift Container Platform 4.13 提供了丰富的网络功能，支持多种插件和操作符，满足不同场景需求，从基本网络配置到高级网络隔离和观察，确保集群网络的灵活性、安全性和高性能。