现在您已经在各自的一组基础节点上设置了每个入口控制器,您几乎已经完成了。有一件事你需要做。如果您为前端 Web 服务器等创建路由,则该路由将自身附加到每个入口控制器。您可能已经看到了 yaml 中旨在防止这种情况的部分:
通过使用“my/env=prod”创建路由,您可以确定该路由已被 prod 入口控制器接受。但是,默认入口控制器没有“routeSelector”,并且会接受任何路由!为了确保路由仅在您想要的入口控制器上公开,请修补默认入口控制器以忽略带有“my/env=dev”或“my/env=prod”标签的路由:
oc patch --type=merge -p '{"spec":{"routeSelector":{"matchExpressions":[{"key":"my/env","operator":"NotIn","values":["dev","prod"]}]}}}' ingresscontroller default -n openshift-ingress-operator复制
就是这样!现在,任何开箱即用的路由都会暴露在橙色的“ops”网络 喀麦隆 数字数据 中,并且任何带有 dev 或 prod 标签的路由都会暴露在适当的对应网络上。
在我的下一篇博文中,我将描述如何使用 nodeportservices在相同的 infranodes 上设置额外的入口控制器。目标是将流量引入多个 Openshift 集群。
要使用您自己的“hacluster”通配符证书修复机密,请使用
cat <hacluster 通配符证书> <中间证书> <根证书> > hacluster.crt
oc 删除 secret/router-certs-hacluster -n openshift-ingress
oc 创建秘密 tls router-certs-hacluster --cert=hacluster.crt --key=hacluster.key -n openshift-ingress复制
服务“router-nodeport-hacluster”由 NodePortService 策略生成,它是一个可以让我们发挥魔力的微型服务。它旨在将节点的随机端口暴露给新的入口控制器,从而允许您在此基础节点上放置尽可能多的*入口控制器,而不会发生端口冲突。如果你不喜欢随机端口,你可以通过设置来更改它
oc 补丁服务路由器节点端口-hacluster --type json -p'[{"op":"replace","path":"/spec/ports/1/nodePort","value":32443}]'-n openshift-ingress复制
或者使用 GUI 从 router-nodeport 服务内部更改随机端口映射:
就是这样!任何到端口 32443 的流量都将到达新的入口控制器,并且附加的路由将接收流量。请注意,入口控制器 yaml 有一个带有 my/loadbalancer: hacluster 的路由选择器。
这意味着只有具有此标签的路由才会附加到新创建的入口控制器。
另外,如果您有任何带状态运行的 https 端点,请确保您的“hacluster”负载均衡器使用粘性会话。