Red Hat Summit6.2. 사용자 정의 VPC 사용
OpenShift Container Platform 4.13에서는 Alibaba Cloud Platform의 기존 VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 Alibaba VPC에 OpenShift Container Platform을 배포하면 새 계정의 제한 조건을 방지하고 조직의 운영 제약 조건을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다. vSwitch를 사용하여 네트워킹을 구성해야 합니다.
6.2.1. VPC 사용 요구사항
VPC CIDR 블록과 시스템 네트워크 CIDR의 결합은 비어 있지 않아야 합니다. vSwitch는 시스템 네트워크 내에 있어야 합니다.
설치 프로그램에서 다음 구성 요소를 생성하지 않습니다.
- VPC
- vSwitches
- 라우팅 테이블
- NAT 게이트웨이
설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 설치가 실패합니다.
6.2.2. VPC 검증
제공한 vSwitch가 적합한지 확인하기 위해 설치 프로그램에서 다음 데이터를 확인합니다.
- 지정한 모든 vSwitch가 있어야 합니다.
- 컨트롤 플레인 시스템 및 컴퓨팅 시스템에 대해 하나 이상의 vSwitch를 제공하고 있습니다.
- vSwitch의 CIDR은 사용자가 지정한 시스템 CIDR에 속합니다.
6.2.3. 권한 분할
일부 사용자는 클라우드에 다른 리소스와 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목을 생성할 수 있지만 VPC 또는 vSwitch와 같은 네트워킹 관련 구성 요소는 생성할 수 없습니다.
6.2.4. 클러스터 간 격리
OpenShift Container Platform을 기존 네트워크에 배포하면 다음과 같은 방식으로 클러스터 서비스 격리가 줄어듭니다.
- 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
- ICMP 인그레스가 전체 네트워크에 허용됩니다.
- TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
- 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
- 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.
