Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

4.2. Ajout de groupes de sécurité AWS supplémentaires au point de terminaison AWS PrivateLink

Avec ROSA avec des clusters HCP, le point de terminaison AWS PrivateLink exposé dans le VPC du client dispose d’un groupe de sécurité qui limite l’accès aux demandes provenant de la gamme Machine CIDR du cluster. Afin d’accorder l’accès à l’API du cluster à toute entité en dehors du VPC, par le biais du peering VPC, des passerelles de transit ou d’une autre connectivité réseau, vous devez créer et joindre un autre groupe de sécurité au point de terminaison PrivateLink pour accorder l’accès nécessaire.

Important

L’ajout de groupes de sécurité AWS supplémentaires au point de terminaison AWS PrivateLink n’est pris en charge que sur ROSA avec la version 4.17.2 et ultérieure de HCP.

Conditions préalables

  • Le réseau d’entreprise ou autre VPC dispose d’une connectivité.
  • Il vous est permis de créer et d’attacher des groupes de sécurité au sein du VPC.

Procédure

  1. Définissez le nom de votre cluster comme variable environnementale en exécutant la commande suivante: 

    $ export CLUSTER_NAME=<cluster_name>
    Copy to Clipboard Toggle word wrap

    Il est possible de vérifier que la variable a été définie en exécutant la commande suivante: 

    $ echo $CLUSTER_NAME
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    hcp-private
    Copy to Clipboard Toggle word wrap

  2. Cherchez l’ID de point de terminaison VPC (VPCE) et l’ID VPC en exécutant la commande suivante: 

    $ read -r VPCE_ID VPC_ID <<< $(aws ec2 describe-vpc-endpoints --filters "Name=tag:api.openshift.com/id,Values=$(rosa describe cluster -c ${CLUSTER_NAME} -o yaml | grep '^id: ' | cut -d' ' -f2)" --query 'VpcEndpoints[].[VpcEndpointId,VpcId]' --output text)
    Copy to Clipboard Toggle word wrap
    Avertissement

    La modification ou la suppression du groupe de sécurité AWS PrivateLink par défaut n’est pas prise en charge et pourrait entraîner un comportement inattendu.

  3. Créez un groupe de sécurité supplémentaire en exécutant la commande suivante: 

    $ export SG_ID=$(aws ec2 create-security-group --description "Granting API access to ${CLUSTER_NAME} from outside of VPC" --group-name "${CLUSTER_NAME}-api-sg" --vpc-id $VPC_ID --output text)
    Copy to Clipboard Toggle word wrap

  4. Ajoutez une règle entrante (ingress) au groupe de sécurité en exécutant la commande suivante: 

    $ aws ec2 authorize-security-group-ingress --group-id $SG_ID --ip-permissions FromPort=443,ToPort=443,IpProtocol=tcp,IpRanges=[{CidrIp=<cidr-to-allow>}] <.>
    Copy to Clipboard Toggle word wrap

    &Lt;.&gt; spécifiez le bloc CIDR à partir duquel vous souhaitez autoriser l’accès.

  5. Ajoutez le nouveau groupe de sécurité au VPCE en exécutant la commande suivante: 

    $ aws ec2 modify-vpc-endpoint --vpc-endpoint-id $VPCE_ID --add-security-group-ids $SG_ID
    Copy to Clipboard Toggle word wrap

Désormais, vous pouvez accéder à l’API de votre ROSA avec le cluster privé HCP à partir du bloc CIDR spécifié.

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat