| Both sides previous revision Previous revision Next revision | Previous revision |
| redhat:openshift-redhat:egress-openshift [2019/02/13 13:36] – [Static IPs for External Project Traffic (Erst ab OSE 3.10 HA möglich)] michael | redhat:openshift-redhat:egress-openshift [2019/02/21 13:38] (current) – michael |
|---|
| Es gibt grundsätzlich zwei Möglichkeiten, den Outgoing Traffic auf OpenShift zu managen | Es gibt grundsätzlich zwei Möglichkeiten, den Outgoing Traffic auf OpenShift zu managen |
| |
| ---- | |
| |
| ===== Egress Router ===== | ===== Egress Router ===== |
| |
| Damit ein Egress Router deployed werden kann, müssen die ''securitycontextconstraints.security.openshift.io'' angepasst werden. Dadurch wird ermöglicht, dass der Pod ipfailover machen kann und die IP auf dem entsprechenden Pod/Node anhängt wird. Das bedeutet aber auch, dass dieser Pod als Root Container läuft und direkt von den Projekt Admins gemanaged werden muss. Dies ist gemäss unserer Richtlinien (Keine Container unter Root für nicht Infrastruktur Komponenten) untersagt. | Damit ein Egress Router deployed werden kann, müssen die ''securitycontextconstraints.security.openshift.io'' angepasst werden. Dadurch wird ermöglicht, dass der Pod ipfailover machen kann und die IP auf dem entsprechenden Pod/Node anhängt wird. Das bedeutet aber auch, dass dieser Pod als Root Container läuft und direkt von den Projekt Admins gemanaged werden muss. Dies ist gemäss unserer Richtlinien (Keine Container unter Root für nicht Infrastruktur Komponenten) untersagt. |
| |
| |
| |
| |
| <code> | <code> |
| oc get netnamespace > egress_ips_namespace.txt | # oc get netnamespace > egress_ips_namespace.txt |
| oc get hostsubnet > egress_ips_hosts.txt</code> | # oc get hostsubnet > egress_ips_hosts.txt</code> |
| |
| |
| ''172.28.184.129-172.28.184.247 (IP_AUS_ZF_RANGE)'' | ''172.28.184.129-172.28.184.247 (IP_AUS_ZF_RANGE)'' |
| |
| | ---- |
| |
| ==== Schritt 2 - Nächste freie IP auswählen. ==== | ==== Schritt 2 - Nächste freie IP auswählen. ==== |
| |
| <sxh> | <sxh> |
| oc get hostsubnet | # oc get hostsubnet |
| NAME HOST HOST IP SUBNET EGRESS IPS | NAME HOST HOST IP SUBNET EGRESS IPS |
| vosie1.pnet.ch vosie1.pnet.ch 172.18.184.15 10.127.68.0/25 [172.18.184.129] | vosie1.pnet.ch vosie1.pnet.ch 172.18.184.15 10.127.68.0/25 [172.18.184.129] |
| vosnz4.pnet.ch vosnz4.pnet.ch 172.28.184.14 10.127.77.0/25 [] | vosnz4.pnet.ch vosnz4.pnet.ch 172.28.184.14 10.127.77.0/25 [] |
| </sxh> | </sxh> |
| | |
| | ---- |
| |
| ==== Schritt 3 - Egress IP einem Node hinzufügen. (Bestehende IPs nicht löschen!) ==== | ==== Schritt 3 - Egress IP einem Node hinzufügen. (Bestehende IPs nicht löschen!) ==== |
| |
| * Für IP von Engehalde <code>oc patch hostsubnet vosie1.pnet.ch -p '{"egressIPs": ["ALLE BISHER DEFINIERTEN IPs!!!!","IP_AUS_EH_RANGE"]}'</code> | * Für IP von Engehalde <code># oc patch hostsubnet vosie1.pnet.ch -p '{"egressIPs": ["ALLE BISHER DEFINIERTEN IPs!!!!","IP_AUS_EH_RANGE"]}'</code> |
| |
| * Für IP von Zofingen <code>oc patch hostsubnet vosiz1.pnet.ch -p '{"egressIPs": ["ALLE BISHER DEFINIERTEN IPs!!!!","IP_AUS_ZF_RANGE"]}'</code> | * Für IP von Zofingen <code># oc patch hostsubnet vosiz1.pnet.ch -p '{"egressIPs": ["ALLE BISHER DEFINIERTEN IPs!!!!","IP_AUS_ZF_RANGE"]}'</code> |
| | |
| | ---- |
| |
| ==== Schritt 4 - IP an Namespace anhängen ==== | ==== Schritt 4 - IP an Namespace anhängen ==== |
| |
| <code>oc patch netnamespace egress-test -p '{"egressIPs": ["RESERVIERTE_IP_EH","RESERVIERTE_IP_ZF"]}'</code> | <code># oc patch netnamespace egress-test -p '{"egressIPs": ["RESERVIERTE_IP_EH","RESERVIERTE_IP_ZF"]}'</code> |
| </WRAP> | </WRAP> |
| |