Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

12.5. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.12에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

12.5.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 설치가 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC를 생성 및 관리하는 방법에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터가 사용할 네트워크 범위를 세분화합니다.
  • 서브넷의 경로 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC에서 네트워킹 구성 요소에 대한 자세한 내용은 VPC 네트워킹 구성VPC의 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned,Name, openshift.io/cluster 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 지정한 각 서브넷에 태그를 추가할 수 있는지 확인합니다. EC2 이름 필드와 겹치고 설치에 실패하므로 Name 태그를 사용할 수 없습니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupportenableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 개인 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

연결이 끊긴 환경에서 작업하는 경우 EC2, ELB 및 S3 끝점의 공용 IP 주소에 연결할 수 없습니다. 설치 중에 인터넷 트래픽을 제한하려는 수준에 따라 다음 구성 옵션을 사용할 수 있습니다.

옵션 1: VPC 엔드 포인트 생성

VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결합니다. 엔드포인트의 이름을 다음과 같이 지정합니다.

  • ec2.<aws_region>.amazonaws.com.cn
  • elasticloadbalancing.<aws_region>.amazonaws.com
  • s3.<aws_region>.amazonaws.com

이 옵션을 사용하면 VPC와 필요한 AWS 서비스 간에 네트워크 트래픽이 비공개로 유지됩니다.

옵션 2: VPC 엔드 포인트없이 프록시 생성

설치 프로세스의 일부로 HTTP 또는 HTTPS 프록시를 구성할 수 있습니다. 이 옵션을 사용하면 인터넷 트래픽이 프록시를 통과하여 필요한 AWS 서비스에 도달합니다.

옵션 3: VPC 끝점을 사용하여 프록시 생성

설치 프로세스의 일부로 VPC 끝점을 사용하여 HTTP 또는 HTTPS 프록시를 구성할 수 있습니다. VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결합니다. 엔드포인트의 이름을 다음과 같이 지정합니다.

  • ec2.<aws_region>.amazonaws.com.cn
  • elasticloadbalancing.<aws_region>.amazonaws.com
  • s3.<aws_region>.amazonaws.com

install-config.yaml 파일에서 프록시를 구성할 때 해당 끝점을 noProxy 필드에 추가합니다. 이 옵션을 사용하면 프록시에서 클러스터가 인터넷에 직접 액세스할 수 없습니다. 그러나 네트워크 트래픽은 VPC와 필요한 AWS 서비스 간에 프라이빗으로 유지됩니다.

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

12.5.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

12.5.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

12.5.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.