Klassische Teilnetze und IP-Adressen konfigurieren

Ändern Sie den Pool der verfügbaren portierbaren öffentlichen oder privaten IP-Adressen, indem Sie Ihrem Red Hat® OpenShift® on IBM Cloud®-Cluster Teilnetze hinzufügen.

Übersicht über den klassischen Netzbetrieb in Red Hat OpenShift on IBM Cloud

Machen Sie sich mit den grundlegenden Konzepten des klassischen Netzbetriebs in Red Hat OpenShift on IBM Cloud-Clustern vertraut. Red Hat OpenShift on IBM Cloud verwendet VLANs, Teilnetze und IP-Adressen für die Netzkonnektivität von Clusterkomponenten.

VLANs

Beim Erstellen eines Clusters werden die Workerknoten des Clusters automatisch mit einem VLAN verbunden. Ein VLAN konfiguriert eine Gruppe von Workerknoten und Pods so, als wären diese an dasselbe physische Kabel angeschlossen und es bietet einen Kanal für die Konnektivität zwischen Worker und Pods.

VLANs für Standardcluster: Wenn Sie bei Standardclustern in einer Zone zum ersten Mal einen Cluster erstellen, werden in dieser Zone automatisch ein öffentliches und ein privates VLAN für Sie in Ihrem Konto der IBM Cloud-Infrastruktur bereitgestellt. Für jeden weiteren Cluster, den Sie in dieser Zone erstellen, müssen Sie das VLAN-Paar angeben, das Sie in dieser Zone verwenden möchten. Sie können dasselbe öffentliche und private VLAN wiederverwenden, die für Sie erstellt wurden, da ein VLAN von mehreren Clustern gemeinsam genutzt werden kann. Sie können Ihre Workerknoten entweder mit einem öffentlichen und einem privaten VLAN verbinden oder nur mit einem privaten VLAN. Wenn Ihre Workerknoten nur mit einem privaten VLAN verbunden werden sollen, können Sie die ID eines vorhandenen privaten VLANs verwenden oder ein privates VLAN erstellen und die ID während der Clustererstellung verwenden.

Um die VLANs anzuzeigen, die in jeder Zone für Ihr Konto bereitgestellt werden, führen Sie ibmcloud oc vlan ls --zone <zone>. aus, um die VLANs anzuzeigen, in denen ein Cluster bereitgestellt wird, führen Sie ibmcloud oc cluster get --cluster <cluster_name_or_ID> --show-resources aus und suchen Sie nach dem Abschnitt Teilnetz-VLANs.

Die IBM Cloud-Infrastruktur verwaltet die VLANs, die automatisch bereitgestellt werden, wenn Sie Ihren ersten Cluster in einer Zone erstellen. Wenn ein VLAN nicht mehr verwendet wird, z. B. nach dem Entfernen aller Workerknoten aus dem VLAN, wird das VLAN von der IBM Cloud-Infrastruktur freigegeben. Wenn Sie ein neues VLAN benötigen, wenden Sie sich an den IBM Cloud-Support.

Kann ich meine VLAN-Entscheidung später ändern?: Sie können Ihre VLAN-Konfiguration ändern, indem Sie die Worker-Pools in Ihrem Cluster modifizieren. Weitere Informationen finden Sie unter VLAN-Verbindungen für Workerknoten ändern.

Teilnetze und IP-Adressen

Neben Workerknoten und Pods werden auch Teilnetze automatisch in VLANs bereitgestellt. Teilnetze stellen für Ihre Clusterkomponenten Netzkonnektivität bereit, indem sie ihnen IP-Adressen zuordnen.

Die folgenden Teilnetze werden automatisch in den standardmäßigen öffentlichen und privaten VLANs bereitgestellt.

Öffentliche VLAN-Teilnetze

Durch das primäre öffentliche Teilnetz werden die öffentlichen IP-Adressen festgelegt, die während der Clustererstellung den Workerknoten zugeordnet werden. Mehrere im selben VLAN vorhandene Cluster können ein einzelnes primäres öffentliches Teilnetz gemeinsam nutzen.
Das portierbare öffentliche Teilnetz ist nur an einen Cluster gebunden und stellt dem Cluster 8 öffentliche IP-Adressen zur Verfügung. 3 IPs sind für IBM Cloud-Infrastrukturfunktionen reserviert. 1 IP wird von der standardmäßigen öffentlichen Ingress-ALB verwendet und 4 IPs können verwendet werden, um Services für die öffentliche Netzlastausgleichsfunktion (NLB) oder weitere öffentliche ALBs zu erstellen. Portierbare öffentliche IPs sind permanente, feste IP-Adressen, die für den Zugriff auf NLBs oder ALBs über das Internet verwendet werden können. Wenn Sie für NLBs oder ALBs mehr als 4 IPs benötigen, lesen Sie die Informationen unter Portierbare IP-Adressen hinzufügen. Beachten Sie, dass diese IP-Adressen für den Einsatz in Red Hat OpenShift on IBM Cloud vorgesehen sind. Verwenden Sie diese IP-Adressen nicht für andere Zwecke außerhalb von Red Hat OpenShift on IBM Cloud.

Private VLAN-Teilnetze

Durch das primäre private Teilnetz werden die privaten IP-Adressen festgelegt, die während der Clustererstellung den Workerknoten zugeordnet werden. Mehrere im selben VLAN vorhandene Cluster können ein einzelnes primäres privates Teilnetz gemeinsam nutzen.
Das portierbare private Teilnetz ist nur an einen Cluster gebunden und stellt dem Cluster 8 private IP-Adressen zur Verfügung. 3 IPs sind für IBM Cloud-Infrastrukturfunktionen reserviert. 1 IP wird von der standardmäßigen privaten Ingress-ALB verwendet und 4 IPs können verwendet werden, um Services für die private Netzlastausgleichsfunktion (NLB) oder mehr private ALBs zu erstellen. Portierbare private IPs sind permanente, feste IP-Adressen, die für den Zugriff auf NLBs oder ALBs über ein privates Netz verwendet werden können. Wenn Sie für private NLBs oder ALBs mehr als 4 IPs benötigen, lesen Sie die Informationen unter Portierbare IP-Adressen hinzufügen. Beachten Sie, dass diese IP-Adressen für den Einsatz in Red Hat OpenShift on IBM Cloud vorgesehen sind. Verwenden Sie diese IP-Adressen nicht für andere Zwecke außerhalb von Red Hat OpenShift on IBM Cloud.

Suche nach in Ihrem Account bereitgestellten Teilnetzen

Um alle Teilnetze anzuzeigen, die in allen Ressourcengruppen Ihres Kontos eingerichtet wurden, führen Sie ibmcloud oc subnets --provider classic aus. Um die portierbaren öffentlichen und portierbaren privaten Teilnetze anzuzeigen, die an einen Cluster gebunden sind, können Sie ibmcloud oc cluster get --cluster <cluster_name_or_ID> --show-resources ausführen und nach dem Abschnitt Teilnetz-VLANs suchen.

In Red Hat OpenShift on IBM Cloud geilt ein Grenzwert von 40 Teilnetzen für VLANs. Überprüfen Sie bei Erreichen dieses Grenzwerts zunächst, ob Sie Teilnetze im VLAN wiederverwenden können, um neue Cluster zu erstellen. Wenn Sie ein neues VLAN benötigen, wenden Sie sich an den IBM Cloud-Support und fordern Sie es an. Erstellen Sie dann einen Cluster, der dieses neue VLAN verwendet.

Ändern sich die IP-Adressen für meine Arbeitsknoten?: Ihrem Workerknoten wird eine IP-Adresse für die öffentlichen oder privaten VLANs zugewiesen, die vom Cluster verwendet werden. Nach der Bereitstellung des Workerknotens bleibt die IP-Adresse des Workerknotens über Operationen reboot und update hinweg bestehen. Nach einer Operation replace ändert sich jedoch die IP-Adresse des Workerknotens. Darüber hinaus wird die private IP-Adresse des Workerknotens in den meisten oc-Befehlen für die Identität des Workerknotens verwendet. Wenn Sie die vom Worker-Pool verwendeten VLANs ändern, verwenden neue Workerknoten, die in diesem Pool bereitgestellt werden, die neuen VLANs für ihre IP-Adressen. Vorhandene IP-Adressen von Workerknoten ändern sich nicht, aber Sie können die Workerknoten entfernen, die die alten VLANs verwenden.
Kann ich Subnetze für Pods und Dienste in meinem Cluster festlegen?: Falls Sie planen, Ihren Cluster mit lokalen Netzen über IBM Cloud Direct Link oder über einen VPN-Service zu verbinden, können Sie Teilnetzkonflikte vermeiden, indem Sie ein CIDR für ein angepasstes Teilnetz angeben, das die privaten IP-Adressen für Ihre Pods bereitstellt, und ein CIDS für ein angepasstes Teilnetz, das die privaten IP-Adressen für Services bereitstellt.

Um während der Cluster-Erstellung benutzerdefinierte Pod- und Service-Subnetze anzugeben, verwenden Sie die Optionen --pod-subnet und --service-subnet im CLI-Befehl ibmcloud oc cluster create.

Pods

Standardbereich

Allen Services, die im Cluster bereitgestellt werden, wird standardmäßig eine private IP-Adresse im Bereich 172.30.0.0/16 zugeordnet.

Größenanforderungen

Wenn Sie ein angepasstes Teilnetz angeben, berücksichtigen Sie die Größe des Clusters, den Sie erstellen möchten, und die Anzahl der Workerknoten, die Sie zukünftig hinzufügen können. Das Teilnetz muss ein CIDR von mindestens /23 haben, sodass ausreichend Pod-IP-Adressen für die maximale Anzahl von vier Workerknoten in einem Cluster zur Verfügung gestellt werden können. Für größere Cluster verwenden Sie /22, um genügend Pod-IP-Adressen für acht Workerknoten zu haben, /21, um genügend Pod-IP-Adressen für 16 Workerknoten zu haben, usw.

Bereichsanforderungen

Die Pod- und Serviceteilnetze dürfen sich nicht überschneiden und das Pod-Teilnetz darf sich nicht mit den Teilnetzen für Ihre Workerknoten überschneiden. Das von Ihnen ausgewählte Teilnetz muss in einem der folgenden Bereiche liegen.

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.254.255
198.18.0.0 - 198.19.255.255

Die Bereiche 172.16.0.0/16, 172.18.0.0/16, 172.19.0.0/16 und 172.20.0.0/16 dürfen nicht verwendet werden.

Services

Standardbereich

Allen Services, die im Cluster bereitgestellt werden, wird standardmäßig eine private IP-Adresse im Bereich 172.21.0.0/16 zugeordnet.

Größenanforderungen

Wenn Sie ein angepasstes Teilnetz angeben, muss das Teilnetz im CIDR-Format mit einer Größe von mindestens /24 angegeben werden, was mindestens 255 Services im Cluster ermöglicht.

Bereichsanforderungen

Die Pod- und Serviceteilnetze dürfen sich nicht überschneiden. Das von Ihnen ausgewählte Teilnetz muss innerhalb eines der folgenden Bereiche liegen:

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.254.255
198.18.0.0 - 198.19.255.255

Die Bereiche 172.16.0.0/16, 172.18.0.0/16, 172.19.0.0/16 und 172.20.0.0/16 dürfen nicht verwendet werden.

Netzsegmentierung

Mit 'Netzsegmentierung' wird die Methode beschrieben, bei der ein Netz in mehrere Teilnetze aufgeteilt wird. Apps, die in einem Teilnetz ausgeführt werden, können keine Apps in einem anderen Teilnetz sehen oder darauf zugreifen. Weitere Informationen zu Optionen der Netzsegmentierung und ihrer Beziehung zu VLANs finden Sie in diesem Abschnitt zur Clustersicherheit.

In verschiedenen Situationen müssen Komponenten in Ihrem Cluster jedoch berechtigt werden, über mehrere private VLANs hinzu zu kommunizieren. Wenn Sie zum Beispiel einen Mehrzonencluster erstellen wollen, wenn Sie über mehrere VLANs für einen Cluster verfügen, oder wenn Sie über mehrere Teilnetze im selben VLAN verfügen, können die Workerknoten in verschiedenen Teilnetzen im selben VLAN oder in verschiedenen VLANs nicht automatisch miteinander kommunizieren. Sie müssen entweder eine VRF-Funktion (Virtual Router Function) oder VLAN Spanning für Ihr Konto der IBM Cloud-Infrastruktur aktivieren.

Virtual Routing and Forwarding (VRF): VRF ermöglicht allen VLANs und Teilnetzen in Ihrem Infrastrukturkonto die Kommunikation miteinander. Darüber hinaus ist eine VRF-Funktion erforderlich, um die Kommunikation Ihrer Worker und Ihres Masters über den Private-Cloud-Serviceendpunkt zu ermöglichen. Informationen zum Aktivieren von VRF finden Sie im Abschnitt VRF aktivieren. Mit dem Befehl ibmcloud account show können Sie überprüfen, ob VRF bereits aktiviert ist. Beachten Sie, dass VRF die Option des VLAN Spannings für Ihr Konto ausschließt, da alle VLANs kommunizieren können, sofern Sie keine Gateway-Appliance zur Verwaltung des Datenverkehrs konfigurieren.
VLAN-Spanning: Wenn Sie VRF nicht aktivieren können oder möchten, aktivieren Sie VLAN-Spanning. Für diese Aktion benötigen Sie die Netz > VLAN-Spanning für Netz verwalten Infrastrukturberechtigung oder Sie können den Kontoeigner anfordern, um sie zu aktivieren. Verwenden Sie den ibmcloud oc vlan spanning get --region <region>- Befehl, um zu überprüfen, ob die übergreifende VLAN-Verarbeitung bereits aktiviert ist. Beachten Sie, dass Sie den privaten Cloud-Serviceendpunkt nicht aktivieren können, wenn Sie übergreifende VLAN-Verarbeitung anstelle von VRF aktivieren.
Wie wirken sich VRF oder VLAN-Spanning auf die Netzsegmentierung aus?: Wenn eine VRF-Funktion oder VLAN Spanning aktiviert ist, kann jedes System, das mit einem der privaten VLANs im selben IBM Cloud-Konto verbunden ist, mit Workerknoten kommunizieren. Sie können Ihren Cluster von anderen Systemen im privaten Netz isolieren, indem Sie Calico-Richtlinien für private Netze anwenden. Red Hat OpenShift on IBM Cloud ist auch mit allen Firewallangeboten der IBM Cloud-Infrastrukturkompatibel. Sie können eine Firewall wie Virtual Router Appliance mit angepassten Netzrichtlinien einrichten, um für Ihren Standardcluster dedizierte Netzsicherheit bereitzustellen und unbefugten Zugriff zu erkennen und zu unterbinden.

Vorhandene Teilnetze zum Erstellen eines Clusters verwenden

Wenn Sie einen Standardcluster erstellen, werden Teilnetze automatisch für Sie erstellt. Statt die automatisch bereitgestellten Teilnetze zu verwenden, können Sie jedoch vorhandene portierbare Teilnetze aus Ihrem Konto der IBM Cloud-Infrastruktur verwenden oder Teilnetze aus einem gelöschten Cluster wiederverwenden.

Verwenden Sie diese Option, um stabile statische IP-Adressen beizubehalten, obwohl Cluster entfernt oder erstellt werden, oder um größere Blöcke von IP-Adressen zu bestellen. Wenn Sie stattdessen mehr portierbare öffentliche oder private IP-Adressen für die Erstellung von NLB- oder Ingress-ALB-Services (ALB = Application Load Balancer; Anwendungslastausgleich) erhalten wollen, lesen Sie die Informationen unter Portierbare IP-Adressen hinzufügen.

Alle Teilnetze, die während der Clustererstellung automatisch bestellt wurden, werden sofort zum Löschen markiert, nachdem Sie einen Cluster löschen, und Sie können die Teilnetze nicht wiederverwenden, um einen neuen Cluster zu erstellen.

Vorbereitende Schritte

Rufen Sie Ihren Red Hat OpenShift-Cluster auf.
Wenn Sie benutzerverwaltete private Teilnetze aus einem Cluster wiederverwenden möchten, den Sie nicht mehr benötigen, löschen Sie den nicht benötigten Cluster.
```
ibmcloud oc cluster rm --cluster <cluster_name_or_ID>
```
Die Netzteilbereiche von 172.16.0.0/16, 172.18.0.0/16, 172.19.0.0/16 und 172.20.0.0/16 sind nicht zulässig.

Gehen Sie wie folgt vor, um einen Cluster mit vorhandenen Teilnetzen zu erstellen:

Rufen Sie die Teilnetz-ID und die ID des VLANs ab, in dem sich das Teilnetz befindet.

ibmcloud oc subnets --provider classic

In dieser Beispielausgabe lautet die Teilnetz-ID 1602829 und die VLAN-ID 2234945:

GETting subnet list...
OK
ID        Network             Gateway          VLAN ID   Type      Bound Cluster
1550165   10.xxx.xx.xxx/26    10.xxx.xx.xxx    2234947   private
1602829   169.xx.xxx.xxx/28   169.xx.xxx.xxx   2234945   public

Erstellen Sie einen Cluster über die CLI unter Verwendung der von Ihnen angegebenen VLAN-ID. Fügen Sie die Option --no-subnet ein, um zu verhindern, dass ein neues portables öffentliches IP-Subnetz und ein neues portables privates IP-Subnetz automatisch erstellt werden.
```
ibmcloud oc cluster create classic --zone dal10 --flavor b3c.4x16 --no-subnet --public-vlan 2234945 --private-vlan 2234947 --workers 3 --name my_cluster
```
Wenn Sie sich nicht erinnern können, in welcher Zone das VLAN für die Option --zone liegt, können Sie überprüfen, ob das VLAN in einer bestimmten Zone liegt, indem Sie ibmcloud oc vlan ls --zone <zone> ausführen.
Überprüfen Sie, dass der Cluster erstellt wurde. Es kann bis zu 15 Minuten dauern, bis die Maschinen mit den Workerknoten angewiesen werden und der Cluster in Ihrem Konto eingerichtet und bereitgestellt wird.
```
ibmcloud oc cluster ls
```
Wenn Ihr Cluster vollständig bereitgestellt ist, ändert sich der Status in deployed (bereitgestellt).
```
NAME         ID                                   State      Created          Workers    Zone      Version     Resource Group Name   Provider
mycluster    aaf97a8843a29941b49a598f516da72101   deployed   20170201162433   3          dal10     1.32      Default             classic
```

Überprüfen Sie den Status der Workerknoten.

ibmcloud oc worker ls --cluster <cluster_name_or_ID>

Bevor Sie mit dem nächsten Schritt fortfahren, müssen die Workerknoten bereit sein. Der Status ändert sich in normal und der Status lautet Ready (Bereit).

ID                                                  Public IP        Private IP     Machine Type   State      Status   Zone     Version
prod-dal10-pa8dfcc5223804439c87489886dbbc9c07-w1    169.xx.xxx.xxx   10.xxx.xx.xxx  free           normal     Ready    dal10      1.32

Fügen Sie Ihrem Cluster das Teilnetz hinzu, indem Sie die Teilnetz-ID angeben. Wenn Sie ein Teilnetz für einen Cluster verfügbar machen, wird eine Kubernetes-Konfigurationszuordnung für Sie erstellt, die alle verfügbaren portierbaren öffentlichen IP-Adressen enthält, die Sie verwenden können. Wenn in der Zone, in der sich das VLAN des Teilnetzes befindet, keine Ingress-ALBs (Lastausgleichsfunktion für Anwendungen) vorhanden sind, wird automatisch eine portierbare öffentliche und eine portierbare private IP-Adresse verwendet, um die öffentlichen und privaten ALBs für diese Zone zu erstellen. Sie können alle anderen portierbaren öffentlichen und privaten IP-Adressen aus dem Teilnetz verwenden, um für Ihre Apps NLB-Services zu erstellen.
```
ibmcloud oc cluster subnet add --cluster <cluster_name_or_id> --subnet-id <subnet_ID>
```

Überprüfen Sie, ob das Teilnetz Ihrem Cluster hinzugefügt wurde.

ibmcloud oc cluster get --cluster <cluster_name> --show-resources

Wichtig: Um die Kommunikation zwischen Workern zu aktivieren, die sich in unterschiedlichen Teilnetzen im selben VLAN befinden, müssen Sie das Routing zwischen Teilnetzen im selben VLAN aktivieren.

Vorhandene portierbare IP-Adressen verwalten

Die 4 portierbaren öffentlichen und 4 portierbaren privaten IP-Adressen können verwendet werden, um einzelne Apps für das öffentliche oder private Netz verfügbar zu machen, indem Sie einen Netzausgleichsfunktions-Service (NLB-Service) erstellen. Um einen NLB- oder ALB-Service zu erstellen, muss mindestens eine portierbare IP-Adresse des richtigen Typs für Sie verfügbar sein. Sie können portierbare IP-Adressen anzeigen, die verfügbar sind, oder eine bereits verwendete portierbare IP-Adresse freigeben.

Verfügbare portierbare öffentliche IP-Adressen anzeigen

Um alle portierbaren IP-Adressen in Ihrem Cluster aufzulisten, sowohl verwendete als auch verfügbare, können Sie den folgenden Befehl ausführen.

oc get cm ibm-cloud-provider-vlan-ip-config -n kube-system -o yaml

Wenn Sie nur portierbare öffentliche IP-Adressen auflisten möchten, die zum Erstellen von öffentlichen NLBs oder weiteren öffentlichen ALBs zur Verfügung stehen, können Sie die folgenden Schritte ausführen:

Vorbereitende Schritte

Stellen Sie sicher, dass Sie über die IAM-Service-Zugriffsrolle Writer oder Manager IBM Cloud für den Namensraum default verfügen.
Rufen Sie Ihren Red Hat OpenShift-Cluster auf.

Zur Auflistung der verfügbaren portierbaren öffentlichen IP-Adressen,

Erstellen Sie eine Kubernetes Service-Konfigurationsdatei namens myservice.yaml und definieren Sie einen Service vom Typ LoadBalancer mit einer Dummy-IP-Adresse für die NLB. Im folgenden Beispiel wird die IP-Adresse '1.1.1.1' als NLB-IP-Adresse verwendet. Ersetzen Sie <zone> durch die Zone, in der Sie nach verfügbaren IPs suchen möchten.

apiVersion: v1
kind: Service
metadata:
  labels:
    run: myservice
  name: myservice
  namespace: default
  annotations:
    service.kubernetes.io/ibm-load-balancer-cloud-provider-zone: "<zone>"
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    run: myservice
  sessionAffinity: None
  type: LoadBalancer
  loadBalancerIP: 1.1.1.1

Erstellen Sie den Service in Ihrem Cluster.
```
oc apply -f myservice.yaml
```
Überprüfen Sie den Service.
```
oc describe service myservice
```
Die Erstellung dieses Service schlägt fehl, da der Kubernetes-Master die angegebene NLB-IP-Adresse in der Kubernetes-Konfigurationszuordnung nicht finden kann. Wenn Sie diesen Befehl ausführen, können Sie die Fehlernachricht und eine Liste der verfügbaren öffentlichen IP-Adressen für den Cluster anzeigen.
```
Error on cloud load balancer a8bfa26552e8511e7bee4324285f6a4a for service default/myservice with UID 8bfa2655-2e85-11e7-bee4-324285f6a4af: Requested cloud provider IP 1.1.1.1 is not available. The following cloud provider IP addresses are available: <list_of_IP_addresses>
```

Verwendete IP-Adressen freigeben

Sie können eine bereits verwendete portierbare IP-Adresse freigeben, indem Sie den Netzausgleichsfunktionsservice (NLB-Service) löschen oder die Ingress-Netzlastausgleichsfunktion (ALB) inaktivieren, der/die die portierbare IP-Adresse belegt.

Vorbereitende Schritte

Stellen Sie sicher, dass Sie über die IAM-Service-Zugriffsrolle Writer oder Manager IBM Cloud für den Namensraum default verfügen.
Rufen Sie Ihren Red Hat OpenShift-Cluster auf.

Um eine NLB zu löschen oder eine ALB zu inaktivieren,

Listen Sie verfügbare Services in Ihrem Cluster auf.
```
oc get services | grep LoadBalancer
```
Entfernen Sie den Lastausgleichsservice oder inaktivieren Sie die ALB, der/die eine öffentliche oder private IP-Adresse belegt.
- Löschen Sie eine NLB:
```
oc delete service <service_name>
```
- Inaktivieren Sie eine ALB:
```
ibmcloud oc ingress alb disable --alb <ALB_ID> -c <cluster_name_or_ID>
```

Portierbare IP-Adressen hinzufügen

Die 4 portierbaren öffentlichen und 4 portierbaren privaten IP-Adressen können verwendet werden, um einzelne Apps für das öffentliche oder private Netz verfügbar zu machen, indem Sie einen Netzausgleichsfunktions-Service (NLB-Service) erstellen. Wenn Sie mehr als vier öffentliche oder vier private NLBs erstellen möchten, können Sie weitere portierbare IP-Adressen erhalten, indem Sie dem Cluster Netz-Teilnetze hinzufügen.

Wenn Sie ein Teilnetz in einem Cluster verfügbar machen, werden IP-Adressen dieses Teilnetzes zum Zweck von Clusternetzen verwendet. Vermeiden Sie IP-Adresskonflikte, indem Sie ein Teilnetz mit nur einem Cluster verwenden. Verwenden Sie kein Teilnetz gleichzeitig für mehrere Cluster oder für andere Zwecke außerhalb von Red Hat OpenShift on IBM Cloud.

Portierbare IPs hinzufügen, indem Sie weitere Teilnetze bestellen

Sie können für NLB-Services weitere portierbare IPs erhalten, indem Sie in einem Konto der IBM Cloud-Infrastruktur ein neues Teilnetz erstellen und es für den angegebenen Cluster verfügbar machen.

Portierbare öffentliche IP-Adressen werden monatlich berechnet. Wenn Sie nach der Bereitstellung Ihres Teilnetzes portierbare öffentliche IP-Adressen entfernen, müssen Sie trotzdem die monatliche Gebühr bezahlen, auch wenn Sie sie nur für einen kurzen Zeitraum genutzt haben.

Vorbereitende Schritte

Stellen Sie sicher, dass Sie über die IAM-Plattform-Zugangsrolle Operator oder Administrator für den Cluster verfügen.
Rufen Sie Ihren Red Hat OpenShift-Cluster auf.

Um ein Teilnetz zu bestellen:

Stellen Sie ein neues Teilnetz bereit.

ibmcloud oc cluster subnet create --cluster <cluster_name_or_id> --size <subnet_size> --vlan <VLAN_ID>

Parameter für ein Teilnetz
Parameter	Beschreibung
`<cluster_name_or_id>`	Ersetzen Sie `<cluster_name_or_id>` durch den Namen oder die ID des Clusters.
`<subnet_size>`	Ersetzen Sie `<subnet_size>` durch die Anzahl der IP-Adressen, die Sie im portierbaren Teilnetz erstellen möchten. Gültige Werte sind 8, 16, 32 oder 64. Beachten Sie, dass beim Hinzufügen von portierbaren IP-Adressen für Ihr Teilnetz drei IP-Adressen verwendet werden, um ein clusterinternes Netz aufzubauen. Sie können diese drei IP-Adressen nicht für Ihre Ingress-Anwendungslastausgleichsfunktionen (ALBs) oder zum Erstellen von Services für Netzlastausgleichsfunktionen (NLBs) verwenden. Wenn Sie beispielsweise acht portierbare öffentliche IP-Adressen anfordern, können Sie fünf verwenden, um die Apps öffentlich verfügbar zu machen.
`<VLAN_ID>`	Ersetzen Sie `<VLAN_ID>` durch die ID des öffentlichen oder privaten VLANs, in dem Sie die portierbaren öffentlichen oder privaten IP-Adressen zuordnen möchten. Sie müssen ein öffentliches oder privates VLAN auswählen, mit dem ein vorhandener Workerknoten verbunden ist. Um die öffentlichen oder privaten VLANs zu überprüfen, mit denen Ihre Workerknoten verbunden sind, führen Sie `ibmcloud oc cluster get --cluster <cluster> --show-resources` aus und suchen Sie in der Ausgabe nach dem Abschnitt Teilnetz-VLANs. Das Teilnetz wird in derselben Zone bereitgestellt, in der sich das VLAN befindet.

Überprüfen Sie, ob das Teilnetz erfolgreich erstellt und zu Ihrem Cluster hinzugefügt wurde. Das Teilnetz-CIDR wird im Abschnitt für Teilnetz-VLANs aufgeführt.

ibmcloud oc cluster get --cluster <cluster_name_or_ID> --show-resources

In dieser Beispielausgabe wurde dem öffentlichen VLAN 2234945 ein zweites Teilnetz hinzugefügt.

Subnet VLANs
VLAN ID   Subnet CIDR          Public   User-managed
2234947   10.xxx.xx.xxx/29     false    false
2234945   169.xx.xxx.xxx/29    true     false
2234945   169.xx.xxx.xxx/29    true     false

Wichtig: Um die Kommunikation zwischen Workern zu aktivieren, die sich in unterschiedlichen Teilnetzen im selben VLAN befinden, müssen Sie das Routing zwischen Teilnetzen im selben VLAN aktivieren.

Portierbare IPs durch Hinzufügung vorhandener Teilnetze zu Ihrem Cluster hinzufügen

Sie können für NLB-Services weitere portierbare IPs erhalten, indem Sie in einem Konto der IBM Cloud-Infrastruktur ein vorhandenes Teilnetz für Ihren Cluster verfügbar machen.

Vorbereitende Schritte

Stellen Sie sicher, dass Sie über die IAM-Plattform-Zugangsrolle Operator oder Administrator für den Cluster verfügen.
Rufen Sie Ihren Red Hat OpenShift-Cluster auf.

Um ein Teilnetz für Ihren Cluster verfügbar zu machen,

Überprüfen Sie die IDs der öffentlichen oder privaten VLANs, in denen Sie die portierbaren öffentlichen oder privaten IP-Adressen zuordnen möchten. Sie müssen ein öffentliches oder privates VLAN auswählen, mit dem ein vorhandener Workerknoten verbunden ist.
```
ibmcloud oc cluster get --cluster <cluster_name_or_id> --show-resources
```
Suchen Sie in der Ausgabe nach Vorkommen von VLAN ID im Abschnitt Subnet VLANs.
```
Subnet VLANs
VLAN ID   Subnet CIDR          Public   User-managed
2234947   10.xxx.xx.xxx/29     false    false
2234945   169.xx.xxx.xxx/29    true     false
```
Rufen Sie die ID des zu verwendenden Teilnetzes ab. Stellen Sie sicher, dass sich das Teilnetz in einem VLAN mit einer der VLAN-IDs befindet, die Sie im vorherigen Schritt gefunden haben, und dass das Teilnetz nicht bereits einem anderen Cluster zugeordnet ist.
```
ibmcloud oc subnets --provider classic
```
In dieser Beispielausgabe ist die Subnetz-ID 1602829, die sich in der VLAN-ID 2234945 befindet.
```
GETting subnet list...
OK
ID        Network             Gateway          VLAN ID   Type      Bound Cluster
1550165   10.xxx.xx.xxx/26    10.xxx.xx.xxx    2234947   private
1602829   169.xx.xxx.xxx/28   169.xx.xxx.xxx   2234945   public
```

Stellen Sie das Teilnetz für Ihren Cluster zur Verfügung.

ibmcloud oc cluster subnet add --cluster <cluster_name_or_id> --subnet-id <subnet_ID>

Überprüfen Sie, ob das Teilnetz erfolgreich erstellt und zu Ihrem Cluster hinzugefügt wurde. Das Teilnetz-CIDR wird im Abschnitt für Teilnetz-VLANs aufgeführt.

ibmcloud oc cluster get --cluster <cluster_name> --show-resources

In dieser Beispielausgabe wurde dem öffentlichen VLAN 2234945 ein zweites Teilnetz hinzugefügt.

Subnet VLANs
VLAN ID   Subnet CIDR          Public   User-managed
2234947   10.xxx.xx.xxx/29     false    false
2234945   169.xx.xxx.xxx/29    true     false
2234945   169.xx.xxx.xxx/29    true     false

Wichtig: Um die Kommunikation zwischen Workern zu aktivieren, die sich in unterschiedlichen Teilnetzen im selben VLAN befinden, müssen Sie das Routing zwischen Teilnetzen im selben VLAN aktivieren.

Teilnetzrouting aktivieren

Wenn Sie in klassischen Clustern über mehrere VLANs für Ihren Cluster, mehrere Teilnetze in demselben VLAN oder einen Cluster mit mehreren Zonen verfügen, müssen Sie VRF (Virtual Router Function) für Ihr Konto der IBM Cloud-Infrastruktur aktivieren, damit die Workerknoten über das private Netz miteinander kommunizieren können. Informationen zum Aktivieren von VRF finden Sie im Abschnitt VRF aktivieren. Mit dem Befehl ibmcloud account show können Sie überprüfen, ob VRF bereits aktiviert ist. Wenn Sie VRF nicht aktivieren können oder möchten, aktivieren Sie VLAN-Spanning. Um diese Aktion auszuführen, benötigen Sie die Berechtigung Netzwerk > Netzwerk-VLAN-Spanning-Infrastruktur verwalten, oder Sie können den Kontobesitzer bitten, sie zu aktivieren. Um zu überprüfen, ob VLAN-Spanning bereits aktiviert ist, verwenden Sie den Befehl ibmcloud oc vlan spanning get --region <region>.

Sehen Sie sich folgende Szenarios an, in denen auch VLAN Spanning erforderlich ist.

Die Option für VLAN Spanning wird für Cluster inaktiviert, die in einem VRF-fähigen Konto erstellt werden. Wenn VRF aktiviert ist, können alle VLANs im Konto automatisch über das private Netz miteinander kommunizieren. Weitere Informationen finden Sie unter Konfiguration des Clusternetzes planen: Kommunikation zwischen Workern.

Routing zwischen primären Teilnetzen im selben VLAN aktivieren

Wenn Sie einen Cluster erstellen, werden ein primäres öffentliches und ein privates Teilnetz im öffentlichen und im privaten VLAN bereitgestellt. Das primäre öffentliche Teilnetz endet auf /28 und stellt 14 öffentliche IP-Adressen für Workerknoten bereit. Das primäre private Teilnetz endet auf /26 und stellt private IP-Adressen für bis zu 62 Workerknoten bereit.

Es ist möglich, dass Sie die zu Anfang verfügbare Anzahl von 14 öffentlichen und 62 privaten IP-Adressen für Workerknoten überschreiten, wenn Sie einen sehr großen Cluster oder mehrere kleinere Cluster am selben Standort im selben VLAN haben. Wenn ein öffentliches oder privates Teilnetz die Grenze für Workerknoten erreicht, wird ein weiteres primäres Teilnetz in demselben VLAN bestellt.

Um sicherzustellen, dass Worker im selben VLAN in diesen primären Teilnetzen kommunizieren können, müssen Sie VLAN Spanning aktivieren. Entsprechende Anweisungen finden Sie in VLAN Spanning aktivieren oder inaktivieren.

Verwenden Sie den ibmcloud oc vlan spanning get --region <region>-Befehl, um zu überprüfen, ob die übergreifende VLAN-Verarbeitung bereits aktiviert ist.

Teilnetzrouting für Gateway-Appliances verwalten

Wenn Sie einen Cluster erstellen, werden ein portierbares öffentliches und ein portierbares privates Teilnetz in den VLANs angefordert, mit denen das Cluster verbunden ist. Diese Teilnetze stellen IP-Adressen für die Ingress-Lastausgleichsfunktion für Anwendungen (ALB) und die Services für Netzlastausgleichsfunktionen (NLBs) bereit.

Wenn Sie jedoch über eine vorhandene Router-Appliance verfügen, wie z. B. eine Virtual Router Appliance (VRA), werden die neu hinzugefügten portierbaren Teilnetze aus diesen VLANs, mit denen der Cluster verbunden ist, nicht im Router konfiguriert. Wenn Sie NLBs oder Ingress-ALBs verwenden möchten, müssen Sie sicherstellen, dass Netzgeräte zwischen verschiedenen Teilnetzen auf demselben VLAN weitergeleitet werden können, indem Sie eine Virtual Router Function (VRF) für Ihr IBM Cloud-Infrastrukturkonto aktivieren. Informationen zum Aktivieren von VRF finden Sie im Abschnitt VRF aktivieren. Wenn Sie VRF nicht aktivieren können oder möchten, aktivieren Sie VLAN-Spanning.

Teilnetze aus einem Cluster entfernen

Wenn Sie keine Teilnetze mehr benötigen, können Sie sie aus Ihrem Cluster entfernen. Nachdem Sie das Teilnetz entfernt haben, ist es für den Cluster nicht mehr verfügbar, es ist jedoch immer noch in Ihrem Konto der IBM Cloud-Infrastruktur vorhanden.

Bevor Sie beginnen, überprüfen Sie die folgenden Hinweise.

Teilnetze können in einem Cluster nur freigegeben werden, wenn in Ihrem Cluster keine der IP-Adressen, die aus diesem Teilnetzbereich abgeleitet wurde, verwendet wird.
Portierbare öffentliche IP-Adressen werden monatlich berechnet. Wenn Sie das Teilnetz entfernen, müssen Sie trotzdem die monatliche Gebühr für die IP-Adressen bezahlen, auch wenn sie diese Adressen nur für einen kurzen Zeitraum genutzt haben.
Wenn Ihre Workerknoten zuvor das Teilnetz verwendet haben, das Sie abtrennen möchten, aber derzeit keine Worker an ein Teilnetz im VLAN dieses Teilnetzes angeschlossen sind, ist das Teilnetz für den Cluster nicht sichtbar. Stattdessen können Sie das Subnetz direkt in der IBM Cloud Classic Infrastructure-Konsole löschen.

Suchen Sie nach dem CIDR für das Teilnetz, das entfernt werden soll.

ibmcloud oc cluster get --cluster <cluster_name> --show-resources

In dieser Beispielausgabe lautet das CIDR des zu entfernenden Teilnetzes 169.1.1.1/29.

Subnet VLANs
VLAN ID   Subnet CIDR          Public   User-managed
2234947   10.xxx.xx.xxx/29     false    false
2234945   169.xx.xxx.xxx/29    true     false
2234945   169.1.1.1/29         true     false

Rufen Sie mit dem CIDR, das im vorherigen Schritt ermittelt wurde, die ID des zu entfernenden Teilnetzes ab.

ibmcloud oc subnets --provider classic

In dieser Beispielausgabe hat das Teilnetz mit dem CIDR 169.1.1.1/29 die ID 1602829.

ID        Network             Gateway          VLAN ID   Type      Bound Cluster
...
1602829   169.1.1.1/29        169.1.1.2        2234945   public    df253b6025d64944ab99ed63bb4567b6

Geben Sie das Teilnetz im Cluster frei. Das Teilnetz bleibt in Ihrem Konto in der IBM Cloud-Infrastruktur verfügbar.
```
ibmcloud oc cluster subnet detach --cluster <cluster_name_or_ID> --subnet-id <subnet_ID>
```

Überprüfen Sie, ob die Bindung des Teilnetzes zu Ihrem Cluster aufgehoben wurde.

ibmcloud oc cluster get --cluster <cluster_name> --show-resources

In dieser Beispielausgabe wird das Teilnetz mit dem CIDR 169.1.1.1/29 entfernt.

Subnet VLANs
VLAN ID   Subnet CIDR          Public   User-managed
2234947   10.xxx.xx.xxx/29     false    false
2234945   169.xx.xxx.xxx/29    true     false