Red Hat Summit10.4. OpenShift Container Platform 클러스터에서 VNet의 재사용 정보
OpenShift Container Platform 4.12에서는 Microsoft Azure의 기존 Azure Virtual Network(VNet)에 클러스터를 배포할 수 있습니다. 이때 VNet 및 라우팅 규칙 내의 기존 서브넷도 사용해야 합니다.
기존 Azure VNet에 OpenShift Container Platform을 배포하면 새 계정의 서비스 한도 제한을 회피하거나 회사의 지침에 따른 운영 제한을 따르기 수월해집니다. 이 방법은 VNet을 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없을 때 사용하기 좋은 대안입니다.
10.4.1. VNet 사용 요구사항
기존 VNet을 사용하여 클러스터를 배포하는 경우 클러스터를 설치하기 전에 추가 네트워크 구성을 수행해야 합니다. 설치 관리자 프로비저닝 인프라 클러스터에서, 설치 관리자는 일반적으로 다음 구성 요소를 생성하지만 기존 VNet에 설치할 때는 생성하지 않습니다.
- 서브넷
- 라우팅 테이블
- VNet
- 네트워크 보안 그룹
설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 설치가 실패합니다.
사용자 지정 VNet을 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VNet과 해당 서브넷을 구성해야 합니다. 설치 프로그램에서 사용할 클러스터의 네트워크 범위를 세분하거나 서브넷에 대한 라우팅 테이블을 설정하거나 DHCP와 같은 VNet 옵션을 설정할 수 없으므로 클러스터를 설치하기 전에 직접 해당 작업을 수행해야 합니다.
클러스터는 기존 VNet과 서브넷이 포함된 리소스 그룹에 액세스할 수 있어야 합니다. 클러스터가 생성하는 모든 리소스는 생성된 별도의 리소스 그룹에 배치되지만 일부 네트워크 리소스는 별도의 그룹으로부터 사용됩니다. 일부 클러스터 Operator는 두 리소스 그룹 모두의 리소스에 액세스할 수 있어야 합니다. 예를 들어 Machine API 컨트롤러는 생성하는 가상 머신에 대한 NICS를 네트워킹 리소스 그룹의 서브넷에 연결합니다.
VNet은 다음 특성을 충족해야 합니다.
-
VNet의 CIDR 블록에는 클러스터 시스템의 IP 주소 풀인
Networking.MachineCIDR범위가 포함되어야 합니다. - VNet과 해당 서브넷은 동일한 리소스 그룹에 속해야 하며 서브넷은 고정 IP 주소 대신 Azure 할당 DHCP IP 주소를 사용하도록 구성해야 합니다.
VNet 내에 두 서브넷을 제공해야 합니다. 하나는 컨트롤 플레인 시스템용이고 다른 하나는 컴퓨팅 시스템용입니다. Azure는 지정한 리전 내의 다른 가용성 영역에 시스템을 배포하므로 클러스터는 기본적으로 고가용성을 갖습니다.
기본적으로 install-config.yaml 파일에서 가용성 영역을 지정하면 설치 프로그램에서 컨트롤 플레인 시스템과 컴퓨팅 시스템을 리전 내의 이러한 가용성 영역에 배포합니다. 클러스터의 고가용성을 보장하기 위해서는 가용성 영역이 세 개 이상인 리전을 선택하십시오. 각 리전에 가용성 영역이 세 개 미만인 경우에는 설치 프로그램이 사용 가능한 영역에 둘 이상의 컨트롤 플레인 시스템을 배치합니다.
제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.
- 지정된 모든 서브넷이 있습니다.
- 두 개의 프라이빗 서브넷, 하나는 컨트롤 플레인 시스템용이고 다른 하나는 컴퓨팅 시스템용입니다.
- 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다. 필요한 경우, 설치 프로그램은 컨트롤 플레인과 작업자 노드를 관리하는 공용 로드 밸런서를 만들고 Azure는 여기에 공용 IP 주소를 할당합니다.
기존 VNet을 사용하는 클러스터를 제거해도 VNet은 삭제되지 않습니다.
10.4.1.1. 네트워크 보안 그룹 요구사항
컴퓨팅과 컨트롤 플레인 시스템을 호스팅하는 서브넷에 대한 네트워크 보안 그룹은 클러스터 통신이 올바른지 확인하기 위해 특정 액세스 권한이 필요합니다. 필요한 클러스터 통신 포트에 대한 액세스를 허용하는 규칙을 만들어야 합니다.
클러스터를 설치하기 전에 네트워크 보안 그룹 규칙을 마련해야 합니다. 필요한 액세스 권한 없이 클러스터를 설치하려고 하면 설치 프로그램이 Azure API에 연결할 수 없으며 설치가 실패합니다.
| 포트 | 설명 | 컨트롤 플레인 | 컴퓨팅 |
|---|---|---|---|
|
| HTTP 트래픽 허용 | x | |
|
| HTTPS 트래픽 허용 | x | |
|
| 컨트롤 플레인 시스템과의 통신을 허용합니다. | x | |
|
| 머신 프로비저닝을 위해 머신 구성 서버와의 내부 통신 허용 | x |
현재 머신 구성 서버 끝점을 차단하거나 제한하는 방법이 지원되지 않습니다. 기존 구성 또는 상태가 없는 새로 프로비저닝된 머신이 구성을 가져올 수 있도록 머신 구성 서버를 네트워크에 노출해야 합니다. 이 모델에서 trust의 루트는 CSR(인증서 서명 요청) 끝점입니다. 여기서 kubelet은 클러스터에 참여하도록 승인에 대한 인증서 서명 요청을 보냅니다. 이로 인해 시크릿 및 인증서와 같은 중요한 정보를 배포하는 데 머신 구성을 사용해서는 안 됩니다.
머신 구성 서버 엔드포인트, 포트 22623 및 22624가 베어 메탈 시나리오에서 보호되도록 고객은 적절한 네트워크 정책을 구성해야 합니다.
클러스터 구성 요소는 Kubernetes 컨트롤러가 업데이트하는 사용자 제공 네트워크 보안 그룹을 수정하지 않으므로 나머지 환경에 영향을 주지 않고 Kubernetes 컨트롤러에 대한 의사 네트워크 보안 그룹이 생성됩니다.
추가 리소스
10.4.2. 권한 분할
OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이러한 변경은 회사에서 보유할 수 있는 권한 분할을 모방합니다. 즉, 몇몇 사람이 다른 사람들과 다른 리소스를 클라우드에 생성할 수 있습니다. 예를 들어 인스턴스, 스토리지, 로드 밸런서와 같은 애플리케이션 관련 항목을 생성할 수는 있지만 VNet, 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성할 수 없습니다.
클러스터를 생성할 때 사용하는 Azure 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VNet 내 핵심 네트워킹 구성 요소와 VNet을 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 로드 밸런서, 보안 그룹, 스토리지 계정 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.
10.4.3. 클러스터 간 격리
클러스터는 기존 서브넷의 네트워크 보안 그룹을 수정할 수 없기 때문에 VNet에서 클러스터를 서로 격리할 방법이 없습니다.
