Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 6. Configuration d’un VPC partagé pour les clusters ROSA

Il est possible de créer Red Hat OpenShift Service sur des clusters AWS (ROSA) dans des clouds privés virtuels (VPC) gérés de manière centralisée.

Important

Le partage de VPC sur plusieurs comptes AWS n’est actuellement pris en charge que pour les clusters ROSA Classic utilisant STS pour l’authentification.

Note

Ce processus nécessite deux comptes AWS distincts qui appartiennent à la même organisation AWS. D’un compte fonctionne comme le compte AWS propriétaire de VPC (VPC Owner), tandis que l’autre compte crée le cluster dans le compte AWS créateur de cluster (Cluster Creator).

372 OpenShift sur AWS persona worflows 0923 tous

Conditions préalables pour le propriétaire de VPC

  • Il y a un compte AWS avec les autorisations appropriées pour créer des rôles et partager des ressources.
  • Le compte AWS du Cluster Creator est séparé du compte AWS du propriétaire VPC.
  • Les deux comptes AWS appartiennent à la même organisation AWS.
  • Le partage des ressources a été activé à partir du compte de gestion de votre organisation.
  • Accès à la console AWS.

Conditions préalables pour le Créateur du cluster

  • Installation de la ROSA CLI (rosa) 1.2.26 ou ultérieure.
  • Il a créé tous les rôles et politiques nécessaires à l’échelle du compte pour créer un cluster.
  • Le compte AWS du Cluster Creator est séparé du compte AWS du propriétaire VPC.
  • Les deux comptes AWS appartiennent à la même organisation AWS.
Note

L’installation d’un cluster dans un VPC partagé n’est prise en charge que pour OpenShift 4.12.34 et versions ultérieures, 4.13.10 et ultérieures, et tous les futurs flux 4.y.

Dans un VPC configuré, vous pouvez partager des sous-réseaux avec un autre compte d’utilisateur AWS si ce compte se trouve dans votre organisation AWS actuelle.

372 OpenShift sur AWS persona worflows 0923 1

Procédure

  1. Créez ou modifiez un VPC à vos spécifications dans la section VPC de la console AWS.

  2. Créez un fichier de stratégie personnalisé pour permettre les autorisations VPC partagées nécessaires qui utilisent le nom SharedVPCPolicy: 

    $ cat <<EOF > /tmp/shared-vpc-policy.json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:ChangeResourceRecordSets",
                "route53:ListHostedZones",
                "route53:ListHostedZonesByName",
                "route53:ListResourceRecordSets",
                "route53:ChangeTagsForResource",
                "route53:GetAccountLimit",
                "route53:GetChange",
                "route53:GetHostedZone",
                "route53:ListTagsForResource",
                "route53:UpdateHostedZoneComment",
                "tag:GetResources",
                "tag:UntagResources"
            ],
            "Resource": "*"
        }
    ]
}
EOF

  3. Créer la stratégie dans AWS: 

    $ aws iam create-policy \
    --policy-name SharedVPCPolicy \
    --policy-document file:///tmp/shared-vpc-policy.json

    Cette politique sera jointe à un rôle nécessaire pour les autorisations VPC partagées.

  4. Créer un fichier de politique de confiance personnalisé qui accorde la permission d’assumer des rôles: 

    $ cat <<EOF > /tmp/shared-vpc-role.json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<Account-ID>:root"
    1 
    
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
EOF
    1
    Le principal sera réduit après que le Cluster Creator aura créé les rôles de cluster nécessaires. Lors de la création, vous devez créer un espace d’utilisateur root en utilisant l’ID de compte AWS de Cluster Creator comme arn:aws:iam::{Account}:root.

  5. Créer le rôle de l’IAM: 

    $ aws iam create-role --role-name <role_name> \
    1 
    
    --assume-role-policy-document file:///tmp/shared-vpc-role.json
    1
    &lt;role_name&gt; par le nom du rôle que vous souhaitez créer.

  6. Joindre la politique de permissions SharedVPCPolicy personnalisée: 

    $ aws iam attach-role-policy --role-name <role_name> --policy-arn \
    1 
    
    arn:aws:iam::<AWS_account_ID>:policy/SharedVPCPolicy
    2
    1
    &lt;role_name&gt; par le nom du rôle que vous avez créé.
    2
    &lt;AWS_account_ID&gt; par l’ID du compte AWS du propriétaire de VPC.
  7. Fournissez l’ARN SharedVPCRole au Cluster Creator pour continuer la configuration.

Ressources supplémentaires

  • Consultez la documentation AWS pour partager vos ressources AWS.
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2026 Red HatRetour au début