Openshift-F5集成(南北流量走F5)

前言

本文仅代表原作者PanMichael的个人观点。

在Openshift的技术交流中,我认识了陈沙克。作为Openshift的用户,陈总对Openshift的理解程度很深。本文为沙克公司的同事所写,已取得授权转载。

大魏注:

文章中所提的南北流量,实际上就是客户端对应用FQDN发起访问,通过Openshift的router解析的过程。在Openshift中,有router的概念。router的作用是对外暴露service的FQDN。

那么,router的本质是什么?

router本质上,一个router是以hostnetwork方式运行在一个node上的容器化hproxy,它的pod ip就是所在node的ip,对外暴露的端口就是:80、443、1936。

router就是一个以hostnetwork方式运行在node上的容器化haproxy,它占用了node的80、443、1936端口。所以,这也是为什么一个node上只能运行一个router的原因所在。

而F5与Openshift集成,实际上就是实现router的功能。

使用F5与Openshift集成目的

外部流量访问应用时,通过F5 BIG-IP硬件设备直接代理到集群中的Pod。 这样做的好处,很明显。

  • 使用硬件负载均衡器替换掉软件负载均衡器,提高性能。
  • F5有更灵活的配置,可以实现更复杂的流量控制

Openshift操作

Openshift通过BIG-IP Controller来控制BIG-IP设备。由于Openshift是基于Kubernetes的,所以它们使用同一个Controller(k8s-bigip-ctlr)。BIG-IP Controller为集群中的应用配置BIG-IP对象,提供南北流量的服务。

BIG-IP Controller有两种方式来使用F5 BIG-IP设备

  • 为Openshift中的Service提供代理流量
  • 为Openshift中的Route提供代理流量

为Openshift中的Service提供代理流量(不介绍具体部署操作)

这种方式,我们测试下来发现,需要为对外提供服务的Service绑定到F5的不同端口,同时外部访问应用时需要指定端口号。如: app1.openshift.example.com:8000, app2.openshift.example.com:8001app3.openshift.example.com:8002,其中端口号不能重复。

  • 这种方式在真正使用时不能满足业务需求,除非在F5的前面再加一层代理,这又增加了架构的复杂性。
  • 理想的状态是,所以的App应用的HTTP请求都访问F5的80端口,而HTTPS的请求访问F5的443端口,根据请求的域名路由到对应的Pool中(每个Pool是一个Service下的所有Pod的列表)。
  • 很高兴告诉大家,第二种方式能够满足上面的需求

为Openshift中的Route提供代理流量

使用BIG-IP作为Openshift的Router,能实现以下功能:

  • 为Services创建BIG-IP本地流量规则
  • 提供HTTP/HTTPS路由
  • 为Route资源添加BIG-IP健康检查

本文只介绍,如何使用F5提供HTTP/HTTPS路由。这也是最核心的部分。

部署环境版本: 2台F5:v13 192.168.200.82 192.168.200.83 Openshift集群: v3.9.1

创建新的HostSub Openshift

oc create -f hostsubnet.yml

创建一个VXLAN profile F5

在F5的TMOS终端,创建一个多点模式的vxlan

create /net tunnels vxlan openshift_vxlan flooding-type multipoint

Local Address使用vip: 192.168.200.84 Secondary Address使用F5的设备IP:node1 192.168.200.82, node2 192.168.200.83

在F5 Node1上的TMOS创建Tunnel

create /net tunnels tunnel <float_tun_name> key 0 profile openshift_vxlan local-address 192.168.200.84 secondary-address 192.168.200.82 traffic-group traffic-group-1

在F5 Node2上的TMOS创建Tunnel

create /net tunnels tunnel <float_tun_name> key 0 profile openshift_vxlan local-address 192.168.200.84 secondary-address 192.168.200.83 traffic-group traffic-group-1

在每个F5设备VXLAN中创建Self IP F5

IP为设备对应在Openshift的HostSubnet下的一个IP(只要在对应的HostSubnet下就OK) 在F5 Node1中创建Self IP

create /net self 10.129.6.82/14 allow-service none vlan openshift_vxlan

在F5 Node2中创建Self IP

create /net self 10.130.4.83/14 allow-service none vlan openshift_vxlan

在当前主F5设备的VXLAN下创建Floating IP F5

如:当前主F5设备为node1,那Floating IP为主设备所在的HostSubnet下。

create /net self 10.128.6.84/14 allow-service none traffic-group traffic-group-1 vlan openshift_vxlan

创建一个新的Partition F5

create auth partition OpenShift

创建访问F5 BIG-IP的私钥 Openshift

oc create secret generic bigip-login --from-literal=username=admin --from-literal=password=admin -n kube-system

创建RBAC认证 Openshift

oc create -f cluster-role.yml

部署BIG-IP Controller Openshift

  • 对应每台F5设备创建一个Deployment
  • Deployment中的 --bigip-url 为设备的IP
  • Deployment中的 --bigip-partition为之前F5下创建的Partition,Openshift
  • Deployment中的 --route-vserver-addr 为F5对外提供服务的IP
oc create -f deployment.yml

查看BIG-IP Controller的部署进度

当BIG-IP Controller POD启动后,在F5上会自动创建两个virtual servers

  • "ose-vserver" 为HTTP请求
  • "https-ose-vserver" 为HTTPS请求 这两个virtual servers是Openshift下所有的Route共用的。

创建新的应用F5-Test,并创建HTTP Route Openshift

  • 使用自己镜像仓库中的镜像:harbor.example.com/public/nginx:1.14
  • 该镜像的制作方法及说明参考:Openshfit上用ConfigMap来自定义Nginx配置

oc new-project f5-test oc new-app harbor.example.com/public/nginx:1.14 --name=f5-test --allow-missing-images oc expose dc/f5-test --port=8080

创建Route

本地绑定hosts

192.168.200.80 f5-test.example.com

浏览器访问http://f5-test.example.com,即能看到应用页面。

创建HTTPS Route(仍然使用上面的应用) Openshift

本地绑定hosts

192.168.200.80 f5-test-2.example.com

浏览器访问https://f5-test.example.com,即能看到应用页面。

说明

  • Openshit上创建Service后,F5会自动创建新的Pool,Pool里的资源即为Service下的Pod
  • 请求到达F5后,F5根据请求的域名,找到对应的Pool,请求直接到达Pod。不会请求集群里的Route。

魏新宇

  • "大魏分享"运营者、红帽资深解决方案架构师
  • 专注开源云计算、容器及自动化运维在金融行业的推广
  • 拥有MBA、ITIL V3、Cobit5、C-STAR、TOGAF9.1(鉴定级)等管理认证。
  • 拥有红帽RHCE/RHCA、VMware VCP-DCV、VCP-DT、VCP-Network、VCP-Cloud、AIX、HPUX等技术认证。

原文发布于微信公众号 - 大魏分享(david-share)

原文发表时间:2018-06-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏marsggbo

OpenShift的容器映像(第3部分):使你的映像可用

这是我在2017年欧洲、中东和非洲(EMEA)红帽技术交流会议上的一个会议记录,该会议集合了EMEA所有红帽解决方案架构师和顾问。它主要讨论在创建运行于Open...

22990
来自专栏IT笔记

Docker学习之搭建JavaWeb环境

自上次从北京参加阿里云社区开发者进阶大会回来,就萌发了学习Docker的种子,尽管公司现在的业务并没有什么需求,但学习先进的东西总没有坏处。

57770
来自专栏MoeLove

Docker 深入篇之 Build 原理

使用 Docker 时,最常用的命令无非是 docker container 和 docker image 相关的子命令,当然最初没有管理类命令(或者说分组)的...

22920
来自专栏北京马哥教育

写给新手的十一条 Docker 守则

18650

构建远程缓存系统

上个月,我们的工程团队发布了一个大的更新,关于在使用我们的Docker平台Jet时Docker镜像是如何被缓存和存储的。在本文中,我们将讨论更新的动机,特性的设...

26160
来自专栏云计算

容器技术概述

容器 (Container) 是一种在资源隔离状态下,允许我们运行应用程序及其依赖项,操作系统层面的轻量级、虚拟化技术。在容器中,应用程序运行所依赖的必要组件都...

24460
来自专栏阿杜的世界

Docker with Spring Boot

前段时间在我厂卷爷的指导下将Docker在我的实际项目中落地,最近几个小demo都尽量熟悉docker的使用,希望通过这篇文章分享我截止目前的使用经验(如有不准...

11640
来自专栏Debian社区

Docker 17.06 社区版发布

今天我们发布了Docker CE 17.06,它包含了诸多新特性、优化和bug修复。我们在四月份的DockeCon上公布了Moby项目,Docker CE 17...

15340
来自专栏云鼎实验室的专栏

ShadowBrokers 方程式工具包浅析

臭名昭著的方程式组织工具包再次被公开,TheShadowBrokers在steemit.com博客上提供了相关消息。本次被公开的工具包大小为117.9MB,包含...

2.4K00
来自专栏赵康的专栏

容器技术概述

容器是一种轻量级的、操作系统级别的虚拟化技术,它允许我们在资源隔离的进程中运行应用程序及其依赖项。运行应用程序所需的所有必要组件都可以打包为单个可以复用的映像。...

25060

扫码关注云+社区

领取腾讯云代金券