ホーム
製品
Red Hat OpenShift Service on AWS
4
チュートリアル
第6章チュートリアル: AWS WAF と AWS ALB を使用した Red Hat OpenShift Service on AWS ワークロードの保護

第6章チュートリアル: AWS WAF と AWS ALB を使用した Red Hat OpenShift Service on AWS ワークロードの保護

AWS WAF は Web アプリケーションファイアウォールです。保護対象の Web アプリケーションリソースに転送される HTTP および HTTPS 要求を監視できます。

AWS Application Load Balancer (ALB) を使用して、Red Hat OpenShift Service on AWS ワークロードに Web Application Firewall (WAF) を追加できます。外部ソリューションを使用すると、WAF の処理によるサービス拒否から Red Hat OpenShift Service on AWS リソースを保護できます。

重要

ALB ベースのソリューションを絶対に使用する必要がある場合を除き、より柔軟な CloudFront メソッドを使用することを推奨します。

6.1. 前提条件
リンクのコピー

複数のアベイラビリティーゾーン (AZ) にまたがる Red Hat OpenShift Service on AWS クラスター。
注記
AWS ドキュメントによると、AWS ALB には複数の AZ にまたがる 2 つ以上の パブリック サブネットが必要です。このため、ALB を使用できるのは、複数の AZ にまたがる Red Hat OpenShift Service on AWS クラスターに限られます。
OpenShift CLI (oc) にアクセスできる。
AWS CLI (aws) にアクセスできる。

6.1.1. 環境設定
リンクのコピー

環境変数を準備します。

export AWS_PAGER=""
export CLUSTER=$(oc get infrastructure cluster -o=jsonpath="{.status.infrastructureName}")
export REGION=$(oc get infrastructure cluster -o=jsonpath="{.status.platformStatus.aws.region}")
export OIDC_ENDPOINT=$(oc get authentication.config.openshift.io cluster -o jsonpath='{.spec.serviceAccountIssuer}' | sed  's|^https://||')
export AWS_ACCOUNT_ID=$(aws sts get-caller-identity --query Account --output text)
export SCRATCH="/tmp/${CLUSTER}/alb-waf"
mkdir -p ${SCRATCH}
echo "Cluster: $(echo ${CLUSTER} | sed 's/-[a-z0-9]\{5\}$//'), Region: ${REGION}, OIDC Endpoint: ${OIDC_ENDPOINT}, AWS Account ID: ${AWS_ACCOUNT_ID}"

$ export AWS_PAGER=""
$ export CLUSTER=$(oc get infrastructure cluster -o=jsonpath="{.status.infrastructureName}")
$ export REGION=$(oc get infrastructure cluster -o=jsonpath="{.status.platformStatus.aws.region}")
$ export OIDC_ENDPOINT=$(oc get authentication.config.openshift.io cluster -o jsonpath='{.spec.serviceAccountIssuer}' | sed  's|^https://||')
$ export AWS_ACCOUNT_ID=$(aws sts get-caller-identity --query Account --output text)
$ export SCRATCH="/tmp/${CLUSTER}/alb-waf"
$ mkdir -p ${SCRATCH}
$ echo "Cluster: $(echo ${CLUSTER} | sed 's/-[a-z0-9]\{5\}$//'), Region: ${REGION}, OIDC Endpoint: ${OIDC_ENDPOINT}, AWS Account ID: ${AWS_ACCOUNT_ID}"

Copy to Clipboard

Toggle word wrap

6.1.2. AWS VPC とサブネット
リンクのコピー

注記

このセクションは、既存の VPC にデプロイされたクラスターにのみ適用されます。クラスターを既存の VPC にデプロイしなかった場合は、このセクションをスキップして、その後のインストールセクションに進んでください。

以下の変数を、実際の Red Hat OpenShift Service on AWS デプロイメントに合わせて適切な値に設定します。
```
export VPC_ID=<vpc-id>
export PUBLIC_SUBNET_IDS=(<space-separated-list-of-ids>)
export PRIVATE_SUBNET_IDS=(<space-separated-list-of-ids>)
```
```
$ export VPC_ID=<vpc-id> 
```
1
```
$ export PUBLIC_SUBNET_IDS=(<space-separated-list-of-ids>) 
```
2
```
$ export PRIVATE_SUBNET_IDS=(<space-separated-list-of-ids>) 
```
3
Copy to Clipboard Toggle word wrap
1
クラスターの VPC ID に置き換えます (例: export VPC_ID=vpc-04c429b7dbc4680ba)。
2
クラスターのプライベートサブネット ID のスペース区切りリストに置き換えます。() は必ず保持してください。例: export PUBLIC_SUBNET_IDS=(subnet-056fd6861ad332ba2 subnet-08ce3b4ec753fe74c subnet-071aa28228664972f)。
3
クラスターのプライベートサブネット ID のスペース区切りリストに置き換えます。() は必ず保持してください。たとえば、export PRIVATE_SUBNET_IDS=(subnet-0b933d72a8d72c36a subnet-0817eb72070f1d3c2 subnet-0806e64159b66665a) です。

クラスター識別子を使用して、クラスターの VPC にタグを追加します。

aws ec2 create-tags --resources ${VPC_ID} \
  --tags Key=kubernetes.io/cluster/${CLUSTER},Value=shared --region ${REGION}

$ aws ec2 create-tags --resources ${VPC_ID} \
  --tags Key=kubernetes.io/cluster/${CLUSTER},Value=shared --region ${REGION}

Copy to Clipboard

Toggle word wrap

パブリックサブネットにタグを追加します。

aws ec2 create-tags \
  --resources ${PUBLIC_SUBNET_IDS} \
  --tags Key=kubernetes.io/role/elb,Value='1' \
        Key=kubernetes.io/cluster/${CLUSTER},Value=shared \
  --region ${REGION}

$ aws ec2 create-tags \
  --resources ${PUBLIC_SUBNET_IDS} \
  --tags Key=kubernetes.io/role/elb,Value='1' \
        Key=kubernetes.io/cluster/${CLUSTER},Value=shared \
  --region ${REGION}

Copy to Clipboard

Toggle word wrap

プライベートサブネットにタグを追加します。

aws ec2 create-tags \
  --resources ${PRIVATE_SUBNET_IDS} \
  --tags Key=kubernetes.io/role/internal-elb,Value='1' \
        Key=kubernetes.io/cluster/${CLUSTER},Value=shared \
  --region ${REGION}

$ aws ec2 create-tags \
  --resources ${PRIVATE_SUBNET_IDS} \
  --tags Key=kubernetes.io/role/internal-elb,Value='1' \
        Key=kubernetes.io/cluster/${CLUSTER},Value=shared \
  --region ${REGION}

Copy to Clipboard

Toggle word wrap

トップに戻る

第6章チュートリアル: AWS WAF と AWS ALB を使用した Red Hat OpenShift Service on AWS ワークロードの保護

6.1. 前提条件
リンクのコピー

6.1.1. 環境設定
リンクのコピー

6.1.2. AWS VPC とサブネット
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第6章 チュートリアル: AWS WAF と AWS ALB を使用した Red Hat OpenShift Service on AWS ワークロードの保護

6.1. 前提条件リンクのコピーリンクがクリップボードにコピーされました!

6.1.1. 環境設定リンクのコピーリンクがクリップボードにコピーされました!

6.1.2. AWS VPC とサブネットリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第6章チュートリアル: AWS WAF と AWS ALB を使用した Red Hat OpenShift Service on AWS ワークロードの保護

6.1. 前提条件
リンクのコピー

6.1.1. 環境設定
リンクのコピー

6.1.2. AWS VPC とサブネット
リンクのコピー