Red Hat Summit5.2. Multicloud Object Gateway のセキュアなモードデプロイメントの有効化
Multicloud Object Gateway (MCG) ロードバランサーサービスに到達できるようにする必要のある IP アドレスの範囲を指定して、セキュアなモードデプロイメントを有効にすることができます。これは、MCG サービスにアクセスできる IP アドレスを制御するのに役立ちます。
コマンドラインインターフェイスを使用して OpenShift Data Foundation のデプロイ中に、storagecluster カスタムリソース定義 (CRD) に disableLoadBalancerService 変数を設定して MCG ロードバランサーの使用を無効にできます。これは、MCG がプライベートクラスター用のパブリックリソースを作成することを制限し、MCG サービス EXTERNAL-IP を無効にするのに役立ちます。詳細は、Red Hat ナレッジベースの記事 Install Red Hat OpenShift Data Foundation 4.X in internal mode using command line interface を参照してください。OpenShift Data Foundation のデプロイ後に MCG ロードバランサーサービスを無効にする方法については、OpenShift Data Foundation のデプロイ後の Multicloud Object Gateway 外部サービスの無効化 を参照してください。
前提条件
- 実行中の OpenShift Data Foundation クラスター。
-
ベアメタルのデプロイメントの場合、ロードバランサーコントローラーが Kubernetes サービスの
loadBalancerSourceRanges属性の設定をサポートすることを確認します。
手順
NooBaa カスタムリソース (CR) を編集して、OpenShift Data Foundation のデプロイ後に MCG サービスにアクセスできる IP アドレスの範囲を指定します。
$ oc edit noobaa -n openshift-storage noobaa
noobaa- NooBaa システムのデプロイメントを制御する NooBaa CR タイプ。
noobaaNooBaa CR の名前。
以下に例を示します。
... spec: ... loadBalancerSourceSubnets: s3: ["10.0.0.0/16", "192.168.10.0/32"] sts: - "10.0.0.0/16" - "192.168.10.0/32" ...loadBalancerSourceSubnetsNooBaa CR の
specの下に追加できる新しいフィールドです。NooBaa サービスにアクセスできる IP アドレスを指定します。この例では、サブネット 10.0.0.0/16 または 192.168.10.0/32 にあるすべての IP アドレスは、MCG S3 およびセキュリティートークンサービス (STS) にアクセスできますが、他の IP アドレスはアクセスできません。
検証手順
指定された IP アドレスが設定されているかどうかを確認するには、OpenShift Web コンソールで以下のコマンドを実行し、出力が MCG に提供される IP アドレスと一致するかどうかを確認します。
$ oc get svc -n openshift-storage <s3 | sts> -o=go-template='{{ .spec.loadBalancerSourceRanges }}'
