Red Hat Summit4.2. AWS PrivateLink エンドポイントに AWS セキュリティーグループをさらに追加する
ROSA with HCP クラスターでは、お客様の VPC で公開される AWS PrivateLink エンドポイントに、クラスターの Machine CIDR 範囲内から発信されるリクエストへのアクセスを制限するセキュリティーグループがあります。VPC ピアリング、トランジットゲートウェイ、またはその他のネットワーク接続を介して、VPC 外部のエンティティーにクラスターの API へのアクセスを許可するには、別のセキュリティーグループを作成して PrivateLink エンドポイントにアタッチし、必要なアクセスを許可する必要があります。
AWS PrivateLink エンドポイントへの追加の AWS セキュリティーグループの追加は、ROSA with HCP バージョン 4.17.2 以降でのみサポートされます。
前提条件
- 企業ネットワークまたは他の VPC に接続性がある。
- VPC 内でセキュリティーグループを作成して割り当てる権限を持っている。
手順
次のコマンドを実行して、クラスター名を環境変数として設定します。
$ export CLUSTER_NAME=<cluster_name>
次のコマンドを実行すると、変数が設定されたことを確認できます。
$ echo $CLUSTER_NAME
出力例
hcp-private
次のコマンドを実行して、VPC エンドポイント (VPCE) ID と VPC ID を見つけます。
$ read -r VPCE_ID VPC_ID <<< $(aws ec2 describe-vpc-endpoints --filters "Name=tag:api.openshift.com/id,Values=$(rosa describe cluster -c ${CLUSTER_NAME} -o yaml | grep '^id: ' | cut -d' ' -f2)" --query 'VpcEndpoints[].[VpcEndpointId,VpcId]' --output text)警告デフォルトの AWS PrivateLink エンドポイントセキュリティーグループの変更または削除はサポートされておらず、予期しない動作が発生する可能性があります。
次のコマンドを実行して、追加のセキュリティーグループを作成します。
$ export SG_ID=$(aws ec2 create-security-group --description "Granting API access to ${CLUSTER_NAME} from outside of VPC" --group-name "${CLUSTER_NAME}-api-sg" --vpc-id $VPC_ID --output text)次のコマンドを実行して、セキュリティーグループに受信 (Ingress) ルールを追加します。
$ aws ec2 authorize-security-group-ingress --group-id $SG_ID --ip-permissions FromPort=443,ToPort=443,IpProtocol=tcp,IpRanges=[{CidrIp=<cidr-to-allow>}] <.><.> アクセスを許可する CIDR ブロックを指定します。
次のコマンドを実行して、新しいセキュリティーグループを VPCE に追加します。
$ aws ec2 modify-vpc-endpoint --vpc-endpoint-id $VPCE_ID --add-security-group-ids $SG_ID
指定した CIDR ブロックから、ROSA with HCP プライベートクラスターの API にアクセスできるようになりました。
