隔离网络和计算环境

部署专用工作程序节点以在 IBM® Cloud Private 集群内隔离网络和计算环境。{:shortdesc}

可为 IBM Cloud Private 集群配置多个名称空间。如果要限制名称空间之间的通信,或者如果要将 pod 限制为部署到特定节点组,可以向每个名称空间分配专用工作程序节点。每个名称空间都在不同子网上配置。

您还可向这些名称空间分配独立代理节点。代理节点可指定为特定名称空间服务的入口控制器。

先决条件

在部署 IBM Cloud Private 集群之间请规划网络和节点需求。

在 IBM Cloud Private 安装期间隔离名称空间和代理

完成以下步骤以准备集群:

  1. 对于要隔离的每个名称空间,请添加一个定制主机组。如果需要,请添加代理节点主机组。有关添加定制主机组的更多信息,请参阅定义定制主机组

  2. 将以下代码段添加到 config.yaml 文件中,此文件位于 <installation_directory>/cluster 文件夹中。

isolated_namespaces: [{namespace: <namespace_name>, hostgroup: <hostgroup_name>}, {namespace: <namespace_name>, hostgroup: <hostgroup_name>}]

isolated_proxies: [{namespace: <namespace_name>, hostgroup: <hostgroup_name>, lb_address: <load_balancer_IP_address>}, {namespace: <namespace_name>, hostgroup: <hostgroup_name>, lb_address: <load_balancer_IP_address>}]

注:

接下来,继续安装 IBM Cloud Private。

示例配置

请考虑使用以下配置的 IBM Cloud Private:

集群网络配置如下图所示:

网络环境

以下是集群准备步骤:

  1. 为每个名称空间添加定制主机组。并添加代理节点主机组。<installation_directory>/cluster/hosts 更新后如下所示:

注:每个主机组都位于独立 VLAN 上。

[master]
172.68.10.10

[worker]
172.68.10.20

[proxy]
172.68.10.10

[hostgroup-dev]
172.68.40.10
172.68.40.11

[hostgroup-prod]
172.68.50.10
172.68.50.11

[hostgroup-proxydev]
172.68.20.10
172.68.20.11

[hostgroup-proxyprod]
172.68.30.10
172.68.30.11
  1. 将以下代码段添加到 config.yaml 文件:
isolated_namespaces: [{namespace: devops, hostgroup: dev}, {namespace: production, hostgroup: prod}]

isolated_proxies: [{namespace: devops, hostgroup: proxydev, lb_address: 172.68.20.11}, {namespace: production, hostgroup: proxyprod}]

devopsproduction 名称空间是在集群安装期间创建的。

要在 IBM Cloud Private 安装之后启用环境隔离,请参阅记嚼舌名称空间和代理隔离