イングレス設定の呼び出し - Wickr エンタープライズ
考慮事項リファレンスアーキテクチャ

このガイドでは、Wickr Enterprise のドキュメントを提供します。AWS Wickr を使用している場合は、「AWS Wickr 管理ガイド」または「AWS Wickr ユーザーガイド」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

イングレス設定の呼び出し

Wickr は呼び出しイングレス設定をサポートしており、クライアントはクラスター内の呼び出しノードに接続し、正しい呼び出しサーバーへの呼び出しルートを持つことができます。Wickr は 4 つの呼び出しイングレスタイプをサポートしています。

  • LoadBalancer (デフォルト)

    • LoadBalancer はクラウドプロバイダーによってプロビジョニングされます (完全にオンプレミスのインストールには追加の設定が必要です)。LoadBalancer がプロビジョニングされたら、KOTS 設定を再度更新して、ロードバランサーのホスト名または IP アドレスを指定する必要があります。

  • NodePort

    • トラフィックを呼び出すエントリポイントとして機能する各呼び出しノードで NodePort サービスを公開します。1 つ以上のノードに解決されるホスト名、または 1 つ以上のノードの IP アドレスを指定する必要があります。UDP およびオプションで TCP トラフィックのポート範囲を 30000-32767 から選択できます。

  • 既存の NLB

    • 呼び出し元の Ingress サービスを既存の NLB にアタッチします。UDP のターゲットグループ ARN と、オプションで TCP トラフィックを指定する必要があります。

  • サービスなし

    • 進入トラフィックを許可するために追加の Kubernetes サービスが必要ない場合は、これを選択します。これは通常、ホストネットワーク設定で使用され、着信トラフィックを呼び出し元のノードに直接ルーティングします。

考慮事項

  • Ingress を呼び出さずに古いクライアントやフェデレーティッドネットワークとの下位互換性を確保するために、Ingress を呼び出すことが有効になっている場合、レガシー呼び出しモードは引き続き使用できます (呼び出し元サーバーへの直接接続)。デフォルトポートを変更する場合は、呼び出し元のノードにポートの衝突がないことを確認します。

  • UDP トラフィックを処理するデュアルスタック NLBsには、IPv6 バックエンドターゲットが必要です。詳細については、「Network Load Balancer ターゲットグループ」を参照してください。

  • STIG コンプライアンスが必要な場合は、 を呼び出すためのホストネットワークオプションを無効にする必要があります。ノードがデュアルスタックモードで設定されているが、クラスターがそうでない場合、IPv6 接続が失われる可能性があります (IPv4 クラスターを想定)。

  • Ingress を呼び出すには、定義済みのホスト名または IP アドレスが必要です。ノードのスケーリングやカスタムルーティングの提供には、設定の変更が必要になる場合があります。

  • デフォルトの呼び出しイングレスポートは、TCP の場合は 8443、UDP の場合は 16384 です。ファイアウォールとセキュリティグループがこれらのポートのトラフィックを許可し、デフォルトが上書きされている場合は代替ポートを許可していることを確認します。

リファレンスアーキテクチャ

ロードバランサーによるイングレス

このオプションは、単一のロードバランサーをすべての呼び出しトラフィックのエントリポイントとして公開します。

  1. 着信タイプの呼び出しで、Load Balancerまたは既存の NLB を選択します。既存の NLB の詳細については、GitHub の Wickr Enterprise CDK サンプルで NLB スタックを参照してください。

  2. 着信タイプに応じて、次のいずれかを実行します。

    • 既存の NLB の場合、UDP トラフィックと TCP トラフィックのターゲットグループ ARNs と NLB のホスト名を指定します。

    • Load Balancer の場合は、Kubernetes によってプロビジョニングされた後にホスト名を指定します。

    または、着信タイプの呼び出しで、ロードバランサーの IP アドレスまたはロードバランサーを指すカスタムホスト名を指定することもできます。

  3. (オプション) メッセージングと呼び出しトラフィックを単一の NLB で組み合わせるには、イングレスセクションで既存の NLB を選択し、HTTPS ターゲットグループを指定します。

NodePort を使用したイングレス

このオプションは、ホストネットワークが無効になっており、追加のロードバランサーを公開しない場合に便利です。

注記

ファイアウォールとセキュリティグループが NodePorts のトラフィックを許可していることを確認します。

  1. 着信タイプの呼び出しで、NodePort を選択します。

  2. 呼び出し元ノードのホスト名または IP アドレスを追加します。

  3. ホストネットワークの呼び出しを無効にします

HostNetwork を使用した直接進入

このオプションは、追加の Kubernetes サービスを公開せず、イングレストラフィックを呼び出して、呼び出し元のノードのホストネットワーク経由で直接接続できるようにします。IPv6 接続が必要な場合は、このアプローチが推奨されます。

  1. 着信タイプの呼び出しで、サービスなしを選択します。

  2. 呼び出し元ノードのホスト名または IP アドレスを追加します。

  3. ホストネットワークの呼び出しを有効にします。