xlarge 实例。 弹性 IP (EIP) 0 到 1 每个帐户 5 个 EIP 要在高可用性配置中置备集群，安装程序将为区域中 的每个可用区创建一个公共和专用子网。每个专用子 网都需要 NAT 网关，每个 NAT 网关需要单独的弹性 IP。查看 AWS 区域图来确定每个区域有多少个可用 区。要利用默认高可用性，请在至少含有三个可用区 的区域安装集群。要在有超过五个可用区的区域安装 集群，您必须提高 个内部和外部网络负载均衡器，并为路由器创建一个 典型的弹性负载均衡器。使用类型 LoadBalancer 部署更多 Kubernetes Service 对象将创建额外的负 载均衡器。 NAT 网关 5 每个可用区 5 个 集群在每个可用区中部署一个 NAT 网关。 弹性网络 接口 (ENI) 至少 12 个 每个区域 350 个 默认安装创建 21 个 ENI，并为区域中的每个可用区创 建一个 ENI。例如，us-east-1 因为安装程序无法了解您现有子网中还有哪些其他组件，所以无法选择子网 CIDR 。您必须为安装集群的 子网配置网络。 4.7.3.1. 使用 使用 VPC 的要求 的要求 安装程序不再创建以下组件： 互联网网关 NAT 网关 子网 路由表 VPCs VPC DHCP 选项 VPC 端点 注意 注意 安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安 装失败。 如果您使用自定义

上安装 77 弹性 IP (EIP) 0 到 1 每个帐户 5 个 EIP 要在高可用性配置中置备集群，安装程序将为区域中的 每个可用区创建一个公共和专用子网。每个专用子网都 需要 NAT 网关，每个 NAT 网关需要单独的弹性 IP。查 看 AWS 区域图来确定每个区域有多少个可用区。要利 用默认高可用性，请在至少含有三个可用区的区域安装 集群。要在有超过五个可用区的区域安装集群，您必须 提高 内部和外部网络负载均衡器，并为路由器创建一个典型 的弹性负载均衡器。使用类型 LoadBalancer 部署更 多 Kubernetes Service 对象将创建额外的负载均衡 器。 NAT 网关 5 每个可用区 5 个 集群在每个可用区中部署一个 NAT 网关。 弹性网络 接口 (ENI) 至少 12 个 每个区域 350 个 默认安装创建 21 个 ENI，并为区域中的每个可用区创建 一个 ENI。例如，us-east-1 因为安装程序无法了解您现有子网中还有哪些其他组件，所以无法选择子网 CIDR 。您必须为安装集群的 子网配置网络。 4.7.3.1. 使用 使用 VPC 的要求 的要求 安装程序不再创建以下组件： 互联网网关 NAT 网关 子网 路由表 VPCs VPC DHCP 选项 VPC 端点 注意 注意 安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安 装失败。 如果您使用自定义

VPC 的要求 的要求 VPC CIDR 块的 union，机器网络 CIDR 不能为空。vSwitch 必须在机器网络中。 安装程序不会创建以下组件： VPC vSwitches 路由表 NAT 网关 注意 注意 安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安 装失败。 4.6.2.2. VPC 验证 验证 要确保您提供的 vSwitch 是适当的，安装程序会确认以下数据： xlarge 实例。 弹性 IP (EIP) 0 到 1 每个帐户 5 个 EIP 要在高可用性配置中置备集群，安装程序将为区域中 的每个可用区创建一个公共和专用子网。每个专用子 网都需要 NAT 网关，每个 NAT 网关需要单独的弹性 IP。查看 AWS 区域图来确定每个区域有多少个可用 区。要利用默认高可用性，请在至少含有三个可用区 的区域安装集群。要在有超过五个可用区的区域安装 集群，您必须提高 个内部和外部网络负载均衡器，并为路由器创建一个 典型的弹性负载均衡器。使用类型 LoadBalancer 部署更多 Kubernetes Service 对象将创建额外的负 载均衡器。 NAT 网关 5 每个可用区 5 个 集群在每个可用区中部署一个 NAT 网关。 弹性网络 接口 (ENI) 至少 12 个 每个区域 350 个 默认安装创建 21 个 ENI，并为区域中的每个可用区创 建一个 ENI。例如，us-east-1

VPC 的要求 的要求 VPC CIDR 块的 union，机器网络 CIDR 不能为空。vSwitch 必须在机器网络中。 安装程序不会创建以下组件： VPC vSwitches 路由表 NAT 网关 注意 注意 OpenShift Container Platform 4.14 安装 安装 142 注意 注意 安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS xlarge 实例。 弹性 IP (EIP) 0 到 1 每个帐户 5 个 EIP 要在高可用性配置中置备集群，安装程序将为区域中 的每个可用区创建一个公共和专用子网。每个专用子 网都需要 NAT 网关，每个 NAT 网关需要单独的弹性 IP。查看 AWS 区域图来确定每个区域有多少个可用 区。要利用默认高可用性，请在至少含有三个可用区 的区域安装集群。要在有超过五个可用区的区域安装 集群，您必须提高 个内部和外部网络负载均衡器，并为路由器创建一个 典型的弹性负载均衡器。使用类型 LoadBalancer 部署更多 Kubernetes Service 对象将创建额外的负 载均衡器。 NAT 网关 5 每个可用区 5 个 集群在每个可用区中部署一个 NAT 网关。 第 第 6 章 章 在 在 AWS 上安装 上安装 173 弹性网络 接口 (ENI) 至少 12 个 每个区域 350 个 默认安装创建 21 个

VPC 的要求 的要求 VPC CIDR 块的 union，机器网络 CIDR 不能为空。vSwitch 必须在机器网络中。 安装程序不会创建以下组件： VPC vSwitches 路由表 NAT 网关 注意 注意 安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安 装失败。 5.6.2.2. VPC 验证 要确保您提供的 vSwitch 是适当的，安装程序会确认以下数据： xlarge 实例。 弹性 IP (EIP) 0 到 1 每个帐户 5 个 EIP 要在高可用性配置中置备集群，安装程序将为区域中 的每个可用区创建一个公共和专用子网。每个专用子 网都需要 NAT 网关，每个 NAT 网关需要单独的弹性 IP。查看 AWS 区域图来确定每个区域有多少个可用 区。要利用默认高可用性，请在至少含有三个可用区 的区域安装集群。要在有超过五个可用区的区域安装 集群，您必须提高 个内部和外部网络负载均衡器，并为路由器创建一个 典型的弹性负载均衡器。使用类型 LoadBalancer 部署更多 Kubernetes Service 对象将创建额外的负 载均衡器。 NAT 网关 5 每个可用区 5 个 集群在每个可用区中部署一个 NAT 网关。 OpenShift Container Platform 4.13 安装 安装 186 弹性网络 接口 (ENI) 至少 12 个 每个区域 350

z9 + iptables -D PREROUTING -t nat -j VSYSTEM-AGENT-PREROUTING + true + iptables -F VSYSTEM-AGENT-PREROUTING -t nat + true + iptables -X VSYSTEM-AGENT-PREROUTING -t nat 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 您可以运行以下命令来查看此发行版本中的容器镜像： + true + iptables -N VSYSTEM-AGENT-PREROUTING -t nat iptables v1.6.2: can't initialize iptables table `nat': Permission denied OpenShift Container Platform 4.6 发 发行注 行注记 记 72 1

ovnkube-master-gt4ms pod 在 IP Address 10.0.242.240 上运行。 2. 运行以下命令以显示北向数据库中的所有对象： 此处列出输出太长。列表中包含 NAT 规则、逻辑交换机、负载均衡器等。 运行以下命令，以显示可用于命令 ovn-nbctl 的选项： Defaulted container "northd" out of: northd, nbdb lr-list 显示逻辑路由器。 ovn-nbctl lrp-list 使用 ovn-nbctl lr-list 中的路由器信息来显示路由器端口。 ovn-nbctl lr-nat-list 显示指定路由器的网络地址转换详情。 ovn-nbctl ls-list 显示逻辑交换机 ovn-nbctl lsp-list 使用 ovn-nbctl : [] logical_port : br-ex_helix13.lab.eng.tlv2.redhat.com mac : [unknown] nat_addresses : [] options : {network_name=physnet} parent_port : [] port_security

192.168.1.100、192.168.1.101 和 192.168.1.102： 在上例中，project1 的所有出口流量都将路由到托管指定出口 IP 地址的节点，然后通过网络地址 转换（NAT）连接到那个 IP 地址。 15.3. 为项目配置出口防火墙 作为集群管理员，您可以为项目创建一个出口防火墙，用于限制离开 OpenShift Container Platform 集群 的出口流量。 egress-router 镜像使用的地址。镜像将 macvlan 接口配置为使用 EGRESS_SOURCE 作 为其 IP 地址，并将 EGRESS_GATEWAY 作为网关的 IP 地址。 网络地址转换（NAT）规则被设置，使任何到 TCP 或 UDP 端口上的 pod 的集群 IP 地址的连接被重新指 向由 EGRESS_DESTINATION 变量指定的 IP 地址的同一端口。 如果集群中只有部分节点能够声明指定的源 必须能够解析集群中所有其他机器的主机名。 表 表 16.7. 用于全机器到所有机器通信的端口 用于全机器到所有机器通信的端口 协议 协议 port 描述 描述 UDP 500 IPsec IKE 数据包 4500 IPsec NAT-T 数据包 ESP N/A IPsec Encapsulating Security Payload(ESP) 16.5.2. 加密协议和 IPsec 模式 使用的加密机制是 AES-GCM

LAN(VXLAN) 6081 Geneve 9000-9999 主机级别的服务，包括端口 9100-9101 上的节点导出器。 500 IPsec IKE 数据包 4500 IPsec NAT-T 数据包 TCP/UDP 30000-32767 Kubernetes 节点端口 ESP N/A IPsec Encapsulating Security Payload(ESP) 协议 协议 LAN(VXLAN) 6081 Geneve 9000-9999 主机级别的服务，包括端口 9100-9101 上的节点导出器。 500 IPsec IKE 数据包 4500 IPsec NAT-T 数据包 TCP/UDP 30000-32767 Kubernetes 节点端口 ESP N/A IPsec Encapsulating Security Payload(ESP) 协议 协议 主机级别的服务，包括端口 9100-9101 上的节点导出器。 500 IPsec IKE 数据包 第 第 1 章 章 在 在 VSPHERE 上安装 上安装 57 4500 IPsec NAT-T 数据包 TCP/UDP 30000-32767 Kubernetes 节点端口 ESP N/A IPsec Encapsulating Security Payload(ESP) 协议 协议

存储桶。如果您有一个用于 防止删除 S3 存储桶的安全策略时，此选项很有用。 1.3.2.3. 使用 使用 NAT 网关在 网关在 Microsoft Azure 上安装集群（技 上安装集群（技术预览 术预览） ） 在 OpenShift Container Platform 4.14 中，您可以安装使用 NAT 网关进行出站网络的集群。这作为技术 预览提供 (TP)。如需更多信息，请参阅其他 Azure 配置参数。