Red Hat SummitChapitre 11. Déploiement de ROSA sans AWS STS
11.1. AWS prérequis pour ROSA
Le Red Hat OpenShift Service sur AWS (ROSA) fournit un modèle qui permet à Red Hat de déployer des clusters dans le compte Amazon Web Service (AWS) existant d’un client.
Avant d’installer ROSA, vous devez vous assurer que les conditions préalables sont remplies. Ce document d’exigences ne s’applique pas à AWS Security Token Service (STS). Lorsque vous utilisez STS, consultez les exigences spécifiques au STS.
AWS Security Token Service (STS) est le mode d’identification recommandé pour l’installation et l’interaction avec les clusters sur Red Hat OpenShift Service sur AWS car il offre une sécurité accrue.
11.1.1. Exigences du client
Les clusters Red Hat OpenShift Service sur AWS (ROSA) doivent répondre à plusieurs prérequis avant de pouvoir être déployés.
Afin de créer le cluster, l’utilisateur doit être connecté en tant qu’utilisateur IAM et non pas un rôle assumé ou un utilisateur STS.
11.1.1.1. Compte
- Le client veille à ce que les limites AWS soient suffisantes pour prendre en charge le service Red Hat OpenShift sur AWS fourni dans le compte AWS du client.
Le compte AWS du client doit être dans les organisations AWS du client avec la politique de contrôle du service (SCP) applicable.
NoteIl n’est pas nécessaire que le compte du client soit dans les organisations AWS ou que le SCP soit appliqué, mais Red Hat doit être en mesure d’effectuer toutes les actions énumérées dans le SCP sans restriction.
- Le compte AWS du client ne devrait pas être transférable à Red Hat.
- Le client ne peut pas imposer de restrictions d’utilisation AWS aux activités Red Hat. Imposer des restrictions entravera gravement la capacité de Red Hat à réagir aux incidents.
Le client peut déployer des services AWS natifs au sein du même compte AWS.
NoteLes clients sont encouragés, mais non mandatés, à déployer des ressources dans un Cloud privé virtuel (VPC) distinct du VPC hébergeant Red Hat OpenShift Service sur AWS et d’autres services pris en charge par Red Hat.
11.1.1.2. Exigences d’accès
Afin de gérer correctement le service Red Hat OpenShift sur le service AWS, Red Hat doit faire appliquer la politique AdministratorAccess au rôle d’administrateur en tout temps. Cette exigence ne s’applique pas si vous utilisez AWS Security Token Service (STS).
NoteCette politique fournit uniquement à Red Hat des autorisations et des capacités pour modifier les ressources du compte AWS fourni par le client.
- Le Red Hat doit avoir accès à la console AWS au compte AWS fourni par le client. Cet accès est protégé et géré par Red Hat.
- Le client ne doit pas utiliser le compte AWS pour augmenter ses autorisations au sein du service Red Hat OpenShift sur le cluster AWS.
- Les actions disponibles dans le service OpenShift Red Hat sur AWS (ROSA) CLI, rosa ou OpenShift Cluster Manager ne doivent pas être effectuées directement sur le compte AWS du client.
11.1.1.3. Besoins de soutien
- Le Red Hat recommande que le client dispose au moins d’un support professionnel d’AWS.
- Le client a l’autorité de Red Hat pour demander un support AWS en son nom.
- Le Red Hat a le pouvoir du client de demander des augmentations de limite de ressources AWS sur le compte du client.
- Le Red Hat gère les restrictions, limitations, attentes et défaut pour tous les services OpenShift Red Hat sur les clusters AWS de la même manière, sauf indication contraire dans cette section d’exigences.
11.1.1.4. Exigences de sécurité
- Les instantanés de volume resteront dans le compte AWS du client et dans la région spécifiée par le client.
- Le Red Hat doit avoir accès aux hôtes EC2 et au serveur API à partir d’adresses IP autorisées.
- Le Red Hat doit avoir le droit d’envoyer le système et les journaux d’audit vers une pile de journalisation centrale gérée par Red Hat.
11.1.2. La procédure client requise
Complétez ces étapes avant de déployer Red Hat OpenShift Service sur AWS (ROSA).
Procédure
- En tant que client, si vous utilisez AWS Organizations, vous devez utiliser un compte AWS au sein de votre organisation ou en créer un nouveau.
- Afin de vous assurer que Red Hat peut effectuer les actions nécessaires, vous devez soit créer une stratégie de contrôle du service (SCP) soit s’assurer qu’aucune n’est appliquée au compte AWS.
- Attachez le SCP au compte AWS.
- Suivre les procédures ROSA pour la mise en place de l’environnement.
11.1.2.1. Ensemble minimum d’autorisations efficaces pour les politiques de contrôle du service (SCP)
Les stratégies de contrôle des services (SCP) sont un type de stratégie d’organisation qui gère les autorisations au sein de votre organisation. Les SCP s’assurent que les comptes au sein de votre organisation restent dans le respect de vos directives de contrôle d’accès définies. Ces politiques sont maintenues dans AWS Organizations et contrôlent les services disponibles dans les comptes AWS ci-joints. La gestion de SCP relève de la responsabilité du client.
L’exigence minimale de SCP ne s’applique pas lorsque vous utilisez AWS Security Token Service (STS). Consultez les prérequis AWS pour ROSA avec STS pour plus d’informations sur STS.
Assurez-vous que votre politique de contrôle de service (SCP) ne limite aucune de ces autorisations requises.
| Le service | Actions | Effet | |
|---|---|---|---|
| A) requis | Amazon EC2 | Le tout | Autoriser |
| Amazon EC2 Auto Scaling | Le tout | Autoriser | |
| Amazon S3 | Le tout | Autoriser | |
| Gestion de l’identité et de l’accès | Le tout | Autoriser | |
| Équilibrage de charge élastique | Le tout | Autoriser | |
| Équilibrage de charge élastique V2 | Le tout | Autoriser | |
| Amazon CloudWatch | Le tout | Autoriser | |
| Événements Amazon CloudWatch | Le tout | Autoriser | |
| Journaux Amazon CloudWatch | Le tout | Autoriser | |
| AWS EC2 Instance Connect | SendSerialConsoleSSHPublicKey | Autoriser | |
| Le support AWS | Le tout | Autoriser | |
| AWS Key Management Service | Le tout | Autoriser | |
| AWS Security Token Service | Le tout | Autoriser | |
| AWS Tiro | CréerQuery GetQueryAnswer GetQueryExplanation | Autoriser | |
| AWS Marketplace | Abonnez-vous Désabonnement Afficher les abonnements | Autoriser | |
| Étiquettes des ressources AWS | Le tout | Autoriser | |
| AWS Route53 DNS | Le tout | Autoriser | |
| Quotas de service AWS | Liste des services GetRequestedServiceQuotaChange GetServiceQuota DemandeServiceQuotaaugmentation ListeServiceQuotas | Autoriser | |
| Facultatif | Facturation AWS | AfficherAccount Affichage de la facturation AffichageUsage | Autoriser |
| AWS Rapport sur les coûts et l’utilisation | Le tout | Autoriser | |
| AWS Cost Explorer Services | Le tout | Autoriser |
11.1.3. Les références de Red Hat gérées par IAM pour AWS
Il est responsable de la création et de la gestion des ressources Amazon Web Services (AWS) suivantes : les politiques IAM, les utilisateurs de l’IAM et les rôles de l’IAM.
11.1.3.1. IAM Politiques
Les politiques IAM sont sujettes à modification à mesure que les capacités de Red Hat OpenShift Service sur AWS changent.
La politique AdministratorAccess est utilisée par le rôle d’administration. Cette politique fournit à Red Hat l’accès nécessaire pour administrer le cluster Red Hat OpenShift Service sur AWS (ROSA) dans le compte AWS du client.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
11.1.3.2. Les utilisateurs de l’IAM
L’utilisateur osdManagedAdmin est créé immédiatement après l’installation de ROSA dans le compte AWS du client.
11.1.4. Infrastructure AWS provisionnée
Il s’agit d’un aperçu des composants Amazon Web Services (AWS) fournis sur un cluster Red Hat OpenShift Service sur AWS (ROSA) déployé.
11.1.4.1. Instances EC2
Les instances AWS EC2 sont nécessaires pour déployer les fonctions de plan de contrôle et de plan de données pour Red Hat OpenShift Service sur AWS.
Les types d’instances peuvent varier pour les nœuds de plan de contrôle et d’infrastructure, en fonction du nombre de nœuds de travail.
Au minimum, les instances EC2 suivantes sont déployées:
- 3 m5.2x grands nœuds de plan de commande
- Deux nœuds d’infrastructure r5.xlarge
- Deux nœuds de travail m5.xlarge
Le type d’instance affiché pour les nœuds de travail est la valeur par défaut, mais vous pouvez personnaliser le type d’instance pour les nœuds de travail en fonction des besoins de votre charge de travail.
Afin d’obtenir de plus amples conseils sur le comptage des nœuds des travailleurs, consultez les informations sur les considérations de planification initiales dans le sujet « Limites et évolutivité » figurant dans la section « Ressources supplémentaires » de cette page.
11.1.4.2. Amazon Elastic Block Store stockage
Le stockage de blocs Amazon Elastic Block Store (Amazon EBS) est utilisé à la fois pour le stockage des nœuds locaux et le stockage en volume persistant. Les valeurs suivantes sont la taille par défaut du stockage éphémère local prévu pour chaque instance EC2.
Exigences en volume pour chaque instance EC2:
Contrôle du volume du plan
- Format: 350 Go
- Catégorie: gp3
- Entrée/sortie Opérations par seconde: 1000
Le volume de l’infrastructure
- Dimensions: 300 Go
- Catégorie: gp3
- Entrées/sorties par seconde : 900
Le volume des travailleurs
- Taille par défaut: 300 Go
- Format minimum: 128 Go
- Format minimum: 75 Go
- Catégorie: gp3
- Entrées/sorties par seconde : 900
Les clusters déployés avant la sortie d’OpenShift Container Platform 4.11 utilisent le stockage de type gp2 par défaut.
11.1.4.3. Équilibrage de charge élastique
Chaque cluster peut utiliser jusqu’à deux balanceurs de charge classiques pour le routeur d’application et jusqu’à deux balanceurs de charge réseau pour API.
Consultez la documentation ELB pour AWS.
11.1.4.4. Le stockage S3
Le registre des images est soutenu par le stockage AWS S3. La valorisation des ressources est effectuée régulièrement afin d’optimiser l’utilisation de S3 et la performance des clusters.
Deux seaux sont nécessaires avec une taille typique de 2 To chacun.
11.1.4.5. LE VPC
Configurez votre VPC selon les exigences suivantes:
Deux sous-réseaux pour un cluster avec une seule zone de disponibilité, ou six sous-réseaux pour un cluster avec plusieurs zones de disponibilité.
Le Red Hat recommande fortement d’utiliser des sous-réseaux uniques pour chaque cluster. Le partage de sous-réseaux entre plusieurs clusters n’est pas recommandé.
NoteLe sous-réseau public se connecte directement à Internet via une passerelle Internet. Le sous-réseau privé se connecte à Internet via une passerelle de traduction d’adresse réseau (NAT).
- Les tables d’itinéraire: une table de route par sous-réseau privé, et une table supplémentaire par cluster.
- Passerelles Internet: une passerelle Internet par cluster.
- Passerelles NAT: Une passerelle NAT par sous-réseau public.
Figure 11.1. Exemple d’architecture VPC
11.1.4.6. Groupes de sécurité
Les groupes de sécurité AWS assurent la sécurité au niveau du protocole et de l’accès au port; ils sont associés aux instances EC2 et aux balanceurs de charge Elastic Load Balancing (ELB). Chaque groupe de sécurité contient un ensemble de règles qui filtrent le trafic entrant et sortant d’une ou de plusieurs instances EC2.
Assurez-vous que les ports requis pour l’installation et le fonctionnement du cluster sont ouverts sur votre réseau et configurés pour permettre l’accès entre les hôtes. Les exigences pour les groupes de sécurité par défaut sont listées dans les ports requis pour les groupes de sécurité par défaut.
| Groupe de travail | Le type | Le protocole de propriété intellectuelle | Gamme de ports |
|---|---|---|---|
| Groupe MasterSecurity |
|
|
|
|
|
| ||
|
|
| ||
|
|
| ||
| Groupe WorkerSecurity |
|
|
|
|
|
| ||
| BootstrapSecurityGroup |
|
|
|
|
|
|
11.1.4.6.1. Groupes de sécurité personnalisés supplémentaires
Lorsque vous créez un cluster à l’aide d’un VPC existant non géré, vous pouvez ajouter des groupes de sécurité personnalisés supplémentaires lors de la création de clusters. Les groupes de sécurité personnalisés sont soumis aux limitations suivantes:
- Il faut créer les groupes de sécurité personnalisés dans AWS avant de créer le cluster. Consultez les groupes de sécurité Amazon EC2 pour les instances Linux.
- Il faut associer les groupes de sécurité personnalisés au VPC dans lequel le cluster sera installé. Les groupes de sécurité personnalisés ne peuvent pas être associés à un autre VPC.
- Il vous faudra peut-être demander un quota supplémentaire pour votre VPC si vous ajoutez des groupes de sécurité personnalisés supplémentaires. Afin d’obtenir des informations sur les exigences de quotas AWS pour ROSA, consultez les quotas de service AWS requis dans Préparez votre environnement. Afin d’obtenir des informations sur la demande d’augmentation du quota AWS, consultez Demander une augmentation de quota.
11.1.5. Conditions préalables à la mise en réseau
11.1.5.1. Bande passante minimale
Lors du déploiement de clusters, Red Hat OpenShift Service sur AWS nécessite une bande passante minimale de 120 Mbps entre les ressources de cluster et les ressources Internet publiques. Lorsque la connectivité réseau est plus lente que 120 Mbps (par exemple, lors de la connexion via un proxy), le processus d’installation du cluster est terminé et le déploiement échoue.
Après le déploiement, les besoins du réseau sont déterminés par votre charge de travail. Cependant, une bande passante minimale de 120 Mbps permet d’assurer des mises à niveau opportunes des clusters et des opérateurs.
11.1.5.2. Conditions préalables du pare-feu AWS
Lorsque vous utilisez un pare-feu pour contrôler le trafic sortant de Red Hat OpenShift Service sur AWS, vous devez configurer votre pare-feu pour permettre l’accès à certaines combinaisons de domaines et de ports ci-dessous. Le service Red Hat OpenShift sur AWS nécessite cet accès pour fournir un service OpenShift entièrement géré.
Les clusters ROSA déployés avec PrivateLink peuvent utiliser un pare-feu pour contrôler le trafic sortant.
Conditions préalables
- Dans votre AWS Virtual Private Cloud (VPC), vous avez configuré un point de terminaison Amazon S3 Gateway. Ce point de terminaison est nécessaire pour compléter les demandes du cluster vers le service Amazon S3.
Procédure
Autoriser les URL suivantes qui sont utilisées pour installer et télécharger des paquets et des outils:
Expand Domaine Le port Fonction Greffe.redhat.io443
Fournit des images de conteneur de base.
à propos de Quay.io443
Fournit des images de conteneur de base.
cdn01.quay.io443
Fournit des images de conteneur de base.
cdn02.quay.io443
Fournit des images de conteneur de base.
cdn03.quay.io443
Fournit des images de conteneur de base.
cdn04.quay.io443
Fournit des images de conteneur de base.
cdn05.quay.io443
Fournit des images de conteneur de base.
cdn06.quay.io443
Fournit des images de conteneur de base.
à propos de SSO.redhat.com443
C’est nécessaire. Le site https://console.redhat.com/openshift utilise l’authentification de sso.redhat.com pour télécharger le secret de traction et utiliser les solutions Red Hat SaaS pour faciliter la surveillance de vos abonnements, de l’inventaire des clusters, des rapports de rétrofacturation, etc.
bienvenue sur Quay-registry.s3.amazonaws.com443
Fournit des images de conteneur de base.
ajouter au panier Quayio-production-s3.s3.amazonaws.com443
Fournit des images de conteneur de base.
Registry.access.redhat.com443
Héberge toutes les images du conteneur qui sont stockées sur le catalogue Ecosytem Red Hat. De plus, le registre donne accès à l’outil odo CLI qui aide les développeurs à s’appuyer sur OpenShift et Kubernetes.
Access.redhat.com443
C’est nécessaire. Héberge un magasin de signature dont un client conteneur a besoin pour vérifier les images lors de leur retrait de register.access.redhat.com.
Registry.connect.redhat.com443
Requis pour toutes les images tierces et les opérateurs certifiés.
console.redhat.com443
C’est nécessaire. Autorise les interactions entre le cluster et OpenShift Console Manager pour activer les fonctionnalités, telles que la planification des mises à niveau.
à propos de SSO.redhat.com443
Le site https://console.redhat.com/openshift utilise l’authentification de sso.redhat.com.
le site pull.q1w2.quay.rhcloud.com443
Fournit des images de conteneur de base en tant que repli lorsque quay.io n’est pas disponible.
catalogue.redhat.com443
Les sites Registry.access.redhat.com et https://registry.redhat.io redirigent vers catalog.redhat.com.
le site OIDC.op1.openshiftapps.com443
Utilisé par ROSA pour l’implémentation STS avec la configuration OIDC gérée.
Autoriser les URL de télémétrie suivantes:
Expand Domaine Le port Fonction CERT-api.access.redhat.com443
Requis pour la télémétrie.
API.access.redhat.com443
Requis pour la télémétrie.
infogw.api.openshift.com443
Requis pour la télémétrie.
console.redhat.com443
Requis pour la télémétrie et Red Hat Insights.
le site Observatorium-mst.api.openshift.com443
Requis pour la télémétrie spécifique à OpenShift gérée.
bienvenue sur Observatorium.api.openshift.com443
Requis pour la télémétrie spécifique à OpenShift gérée.
Les clusters gérés nécessitent d’activer la télémétrie pour permettre à Red Hat de réagir plus rapidement aux problèmes, de mieux soutenir les clients et de mieux comprendre l’impact des mises à niveau des produits sur les clusters. De plus amples renseignements sur la façon dont les données de surveillance de la santé à distance sont utilisées par Red Hat, voir À propos de la surveillance de la santé à distance dans la section Ressources supplémentaires.
Autoriser les URls d’API Amazon Web Services (AWS) suivantes:
Expand Domaine Le port Fonction .amazonaws.com443
Besoin d’accéder aux services et aux ressources AWS.
Alternativement, si vous choisissez de ne pas utiliser de wildcard pour les API Amazon Web Services (AWS), vous devez autoriser la liste des URL suivantes:
Expand Domaine Le port Fonction ec2.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
événements.<aws_region>.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
IAM.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
itinéraire53.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
à propos de STS.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS, pour les clusters configurés pour utiliser le point de terminaison global d’AWS STS.
le site STS.<aws_region>.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS, pour les clusters configurés pour utiliser des points de terminaison régionalisés pour AWS STS. Consultez les points de terminaison régionalisés AWS STS pour plus d’informations.
étiquettes.us-east-1.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS. Ce point de terminaison est toujours nous-Est-1, quelle que soit la région dans laquelle le cluster est déployé.
ec2.<aws_region>.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
élastique d’équilibrage.<aws_region>.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
étiquettes.<aws_region>.amazonaws.com443
Autorise l’attribution de métadonnées sur les ressources AWS sous forme de balises.
Autoriser les URL OpenShift suivantes:
Expand Domaine Le port Fonction le site Mirror.openshift.com443
Il est utilisé pour accéder au contenu et aux images d’installation en miroir. Ce site est également une source de signatures d’images de libération.
API.openshift.com443
Il est utilisé pour vérifier si des mises à jour sont disponibles pour le cluster.
Autoriser l’ingénierie de la fiabilité du site (SRE) et les URL de gestion suivantes:
Expand Domaine Le port Fonction API.pagerduty.com443
Ce service d’alerte est utilisé par le gestionnaire d’alertes inclus pour envoyer des alertes notifiant Red Hat SRE d’un événement pour agir.
événements.pagerduty.com443
Ce service d’alerte est utilisé par le gestionnaire d’alertes inclus pour envoyer des alertes notifiant Red Hat SRE d’un événement pour agir.
API.deadmanssnitch.com443
Le service d’alerte utilisé par Red Hat OpenShift Service sur AWS pour envoyer des pings périodiques indiquant si le cluster est disponible et en cours d’exécution.
à propos de nosnch.in443
Le service d’alerte utilisé par Red Hat OpenShift Service sur AWS pour envoyer des pings périodiques indiquant si le cluster est disponible et en cours d’exécution.
HTTP-inputs-osdsecuritylogs.splunkcloud.com443
C’est nécessaire. Utilisé par le splunk-forwarder-operator comme point de terminaison de journalisation à utiliser par Red Hat SRE pour l’alerte log-based.
le site SFTP.access.redhat.com (recommandé)
22
Le serveur SFTP utilisé par l’opérateur must-collectther pour télécharger des journaux de diagnostic pour aider à résoudre les problèmes avec le cluster.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}