Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 2. Configuration des connexions privées

2.1. Configuration des connexions privées pour AWS

2.1.1. Comprendre l’accès à l’infrastructure cloud AWS

Note

L’accès à l’infrastructure cloud AWS ne s’applique pas au type d’infrastructure d’abonnement cloud client (CCS) qui est choisi lors de la création d’un cluster car les clusters CCS sont déployés sur votre compte.

L’accès à l’infrastructure Amazon Web Services (AWS) permet aux administrateurs d’organisation du portail client et aux propriétaires de clusters de permettre aux utilisateurs d’AWS Identity and Access Management (IAM) d’avoir un accès fédéré à la console de gestion AWS pour leur cluster dédié OpenShift. L’accès AWS peut être accordé aux utilisateurs AWS clients, et l’accès au cluster privé peut être mis en œuvre pour répondre aux besoins de votre environnement dédié OpenShift.

  1. Commencez par configurer l’accès à l’infrastructure AWS pour votre cluster dédié OpenShift. En créant un utilisateur et un compte AWS et en fournissant à cet utilisateur un accès au compte AWS dédié OpenShift.

  2. Après avoir accès au compte AWS dédié OpenShift, utilisez une ou plusieurs des méthodes suivantes pour établir une connexion privée à votre cluster:

    • Configurer AWS VPC peering: Activer VPC peering pour acheminer le trafic réseau entre deux adresses IP privées.
    • Configurer AWS VPN : Créer un réseau privé virtuel pour connecter en toute sécurité votre réseau privé à votre Amazon Virtual Private Cloud.
    • Configuration d’AWS Direct Connect : Configurer AWS Direct Connect pour établir une connexion réseau dédiée entre votre réseau privé et un emplacement AWS Direct Connect.

Après avoir configuré l’accès à votre infrastructure cloud, apprenez-en davantage sur la configuration d’un cluster privé.

2.1.2. Configuration de l’accès à l’infrastructure AWS

L’accès à l’infrastructure Amazon Web Services (AWS) permet aux administrateurs d’organisation du portail client et aux propriétaires de clusters de permettre aux utilisateurs d’AWS Identity and Access Management (IAM) d’avoir un accès fédéré à la console de gestion AWS pour leur cluster dédié OpenShift. Les administrateurs peuvent choisir entre les options de gestion de réseau ou d’accès en lecture seule.

Conditions préalables

  • Compte AWS avec les autorisations IAM.

Procédure

  1. Connectez-vous à votre compte AWS. Au besoin, vous pouvez créer un nouveau compte AWS en suivant la documentation AWS.

  2. Créez un utilisateur IAM avec les autorisations STS:AllowAssumeRole dans le compte AWS.

    1. Ouvrez le tableau de bord IAM de la console de gestion AWS.
    2. Dans la section Politiques, cliquez sur Créer une stratégie.

    3. Choisissez l’onglet JSON et remplacez le texte existant par ce qui suit: 

      {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": "sts:AssumeRole",
          "Resource": "*"
      }
  ]
}
      Copy to Clipboard
    4. Cliquez sur Next:Tags.
    5. Facultatif: Ajouter des tags. Cliquez sur Suivant:Review
    6. Fournissez un nom et une description appropriés, puis cliquez sur Créer une stratégie.
    7. Dans la section Utilisateurs, cliquez sur Ajouter un utilisateur.
    8. Fournir un nom d’utilisateur approprié.
    9. Choisissez AWS Management Console comme type d’accès AWS.
    10. Ajustez les exigences de mot de passe si nécessaire pour votre organisation, puis cliquez sur Next:Permissions.

    11. Cliquez sur l’option attacher directement les politiques existantes. Cherchez et vérifiez la stratégie créée lors des étapes précédentes.

      Note

      Il n’est pas recommandé de définir une limite d’autorisations.

    12. Cliquez sur Suivant: Tags, puis cliquez sur Suivant: Review. Confirmez que la configuration est correcte.
    13. Cliquez sur Créer un utilisateur, une page de succès apparaît.
    14. Collectez le nom de ressource Amazon (ARN) de l’utilisateur IAM. L’ARN aura le format suivant: arn:aws:iam::000111222333:user/nom d’utilisateur. Cliquez sur Close.
  3. Ouvrez OpenShift Cluster Manager dans votre navigateur et sélectionnez le cluster que vous souhaitez autoriser l’accès à l’infrastructure AWS.
  4. Choisissez l’onglet Contrôle d’accès et faites défiler la section Accès à l’infrastructure AWS.
  5. Collez l’ARN AWS IAM et sélectionnez les autorisations de gestion de réseau ou de lecture seule, puis cliquez sur le rôle Subvention.
  6. Copiez l’URL de la console AWS OSD dans votre presse-papiers.
  7. Connectez-vous à votre compte AWS avec votre identifiant ou alias de compte, votre nom d’utilisateur IAM et votre mot de passe.
  8. Dans un nouvel onglet de navigateur, collez l’URL AWS OSD Console qui sera utilisée pour acheminer vers la page AWS Switch Role.
  9. Le numéro et le rôle de votre compte seront déjà remplis. Choisissez un nom d’affichage si nécessaire, puis cliquez sur Switch Role.

La vérification

  • Aujourd’hui, vous voyez VPC sous Services récemment visités.

2.1.3. Configuration du peering AWS VPC

La connexion de peering Virtual Private Cloud (VPC) est une connexion réseau entre deux VPC qui vous permet d’acheminer le trafic entre eux à l’aide d’adresses IPv4 privées ou d’adresses IPv6. Il est possible de configurer un VPC Amazon Web Services (AWS) contenant un cluster OpenShift dédié à un autre réseau AWS VPC.

Avertissement

Avant de tenter de désinstaller un cluster, vous devez supprimer toutes les connexions de peering VPC du cluster VPC. Le défaut de le faire pourrait entraîner un cluster ne pas terminer le processus de désinstallation.

AWS prend en charge l’interrégion VPC peering entre toutes les régions commerciales à l’exclusion de la Chine.

Conditions préalables

  • Collecter les informations suivantes sur le VPC du Client qui est nécessaire pour lancer la demande de peering:

    • Le numéro de compte AWS du client
    • ID de VPC client
    • Client VPC Région
    • Client VPC CIDR
  • Consultez le bloc CIDR utilisé par OpenShift Dedicated Cluster VPC. Lorsqu’il chevauche ou correspond au bloc CIDR pour le VPC Client, il n’est pas possible de regarder entre ces deux VPC; consultez la documentation des configurations de peering VPC d’Amazon VPC pour plus de détails. Lorsque les blocs CIDR ne se chevauchent pas, vous pouvez procéder à la procédure.

Procédure

  1. Initier la demande de peering VPC.
  2. Acceptez la demande de peering VPC.
  3. Actualisez vos tables Route pour la connexion de peering VPC.

2.1.4. Configuration d’un VPN AWS

Il est possible de configurer un cluster OpenShift dédié à Amazon Web Services (AWS) pour utiliser l’appareil du réseau privé virtuel (VPN) matériel d’un client. Les instances que vous lancez dans un cloud privé virtuel AWS (VPC) ne peuvent pas communiquer avec votre propre réseau (à distance). Il est possible d’activer l’accès à votre réseau distant à partir de votre PCV en créant une connexion VPN Site-à-Site AWS et en configurant le routage pour passer du trafic via la connexion.

Note

AWS VPN ne fournit actuellement pas d’option gérée pour appliquer NAT au trafic VPN. Consultez le centre de connaissances AWS pour plus de détails.

Le routage de tout le trafic, par exemple 0.0.0.0/0, via une connexion privée n’est pas pris en charge. Cela nécessite la suppression de la passerelle Internet, qui désactive le trafic de gestion SRE.

Conditions préalables

  • Le modèle et la version logicielle de périphérique de passerelle VPN matériel, par exemple Cisco ASA en cours d’exécution version 8.3. Consultez la documentation AWS pour confirmer si votre périphérique passerelle est pris en charge par AWS.
  • Adresse IP publique et statique pour le périphérique passerelle VPN.
  • BGP ou routage statique: si BGP, l’ASN est requis. En cas de routage statique, vous devez configurer au moins une route statique.
  • Facultatif: IP et port/protocole d’un service accessible pour tester la connexion VPN.

Procédure

  1. Créez une passerelle client pour configurer la connexion VPN.
  2. Lorsque vous n’avez pas déjà une passerelle privée virtuelle attachée au PCV prévu, créez et attachez une passerelle privée virtuelle.
  3. Configurez le routage et activez la propagation des routes VPN.
  4. Actualisez votre groupe de sécurité.

  5. Établir la connexion VPN Site à Site.

    Note

    À noter les informations de sous-réseau VPC, que vous devez ajouter à votre configuration en tant que réseau distant.

2.1.5. Configuration d’AWS Direct Connect

Amazon Web Services (AWS) Direct Connect nécessite une interface virtuelle hébergée (VIF) connectée à une passerelle Direct Connect (DXGateway), qui est à son tour associée à une passerelle virtuelle (VGW) ou à une passerelle de transit afin d’accéder à un cloud privé virtuel distant (VPC) dans le même compte ou un autre compte.

Dans le cas où vous n’avez pas de DXGateway existant, le processus typique consiste à créer le VIF hébergé, le DXGateway et le VGW étant créés dans votre compte AWS.

Lorsque vous avez un DXGateway existant connecté à un ou plusieurs VGW existants, le processus implique que votre compte AWS envoie une proposition d’association au propriétaire de DXGateway. Le propriétaire de DXGateway doit s’assurer que le CIDR proposé ne sera pas en conflit avec d’autres VGW qu’ils ont associés.

Conditions préalables

  • Confirmez que la gamme CIDR du PCV dédié OpenShift ne sera pas en conflit avec les autres VGW que vous avez associés.

  • Collectez les informations suivantes:

    • L’ID Direct Connect Gateway.
    • L’ID de compte AWS associé à l’interface virtuelle.
    • Le BGP ASN assigné pour le DXGateway. Facultatif : l’ASN par défaut Amazon peut également être utilisé.

Procédure

  1. Créez un VIF ou visualisez vos VIF existants pour déterminer le type de connexion directe que vous devez créer.

  2. Créez votre passerelle.

    1. Lorsque le type Direct Connect VIF est privé, créez une passerelle privée virtuelle.
    2. Lorsque le VIF Direct Connect est public, créez une passerelle Direct Connect.

  3. Lorsque vous avez une passerelle existante que vous souhaitez utiliser, créez une proposition d’association et envoyez la proposition au propriétaire de DXGateway pour approbation.

    Avertissement

    Lorsque vous vous connectez à un DXGateway existant, vous êtes responsable des coûts.

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat