到多个 Openshift 集群的流量NodePortService 用例

[roseline371274]

技术
在我之前的文章中，我描述了如何使用多个入口控制器来设置多个 infranodes，以防您必须处理一些现有网络。但是，如果您对默认入口控制器非常满意，而是想将流量分散到多个 Openshift 集群上，该怎么办？这篇博文介绍了如何使用 NodePortService 策略在同一个 infranodes 上设置多个入口控制器。

这个挑战听起来相当简单。假设有两个 Openshift 集群：cluster1 和 cluster2。这些集群彼此之间没有任何联系，它们只是运行自己的工作负载。


您可以简单地添加第三个负载均衡器并将其命名为 *.apps。hacluster .yourdomain 并将所有 443/tcp 流量转发到那 4 个 infranodes 对吗？

不幸的是，在这种情况下，通配符证书就失效了！
发送至 *.apps 的任何请求。hacluster.yourdomain将由来自 cluster1 或 cluster2 的 ingresscontroller 应答。这意味着您将收到来自域 *.apps 的响应。cluster1.yourdomain或 *.apps。cluster2 .你的域名。
这与您的浏览器 URL 不匹配，您将收到不安全的证书警告。

好的，下一步是什么？您可以替换两个集群上的默认通配符 喀麦隆 数字数据 证书以匹配 *.apps。hacluster .yourdomain 但这会破坏流向特定集群的流量。例如，特定集群的控制台也托管在 *.apps.cluster1.yourdomain 上。

那么也许在同一个 infranode 上添加第二个入口控制器？您可以使用我之前博客文章中的 yaml 来执行此操作，但您很快就会看到一个错误：默认入口控制器已经使用端口 443，并且您的新入口控制器无法推送任何路由器 pod，因为该端口已被使用。

但是，如果您能够在 443 旁边设置不同的端口，则可以在同一个 infranode 上使用第二个入口控制器。看一下这张图片：


如您所见，我们可以设置一个监听端口 32443 的入口控制器，而默认入口控制器将保持不变（使用自己的通配符证书）在端口 443 上。为此，请应用以下 yaml：

我的/负载均衡器：hacluster复制
操作员现在将做三件事：在 infranodes 上安排路由器 pod，生成一个名为“router-certs-hacluster”的秘密，并且您将获得一项额外的服务：router-nodeport-hacluster。正如前一篇博文所述，这个秘密是一个无用的占位符，因为它包含由操作员签名的通配符证书。