지원콘솔개발자평가판 시작연락처

9.2. 프라이빗 클러스터

외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 표시되지 않습니다.

기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.

중요

클러스터에 퍼블릭 서브넷이 있는 경우 관리자가 생성한 로드 밸런서 서비스에 공개적으로 액세스할 수 있습니다. 클러스터 보안을 위해 이러한 서비스에 개인용으로 명시적으로 주석이 추가되었는지 확인합니다.

프라이빗 클러스터를 배포하려면 다음을 수행해야 합니다.

  • 요구 사항을 충족하는 기존 네트워킹을 사용합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.

  • 다음에 액세스할 수 있는 머신에서 배포합니다.

    • 프로비저닝하는 클라우드용 API 서비스
    • 프로비저닝하는 네트워크의 호스트
    • 설치 미디어를 가져올 인터넷

이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 클라우드 네트워크의 배스천 호스트 또는 VPN을 통해 네트워크에 액세스할 수 있는 시스템 등을 예로 들 수 있습니다.

9.2.1. Azure의 프라이빗 클러스터

Microsoft Azure에서 개인 클러스터를 만들려면 클러스터를 호스팅할 기존 개인 VNet 및 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 내부 트래픽용 Ingress Operator 및 API 서버를 구성합니다.

네트워크가 개인 VNET에 연결하는 방법에 따라 클러스터의 프라이빗 DNS 레코드를 확인하기 위해 DNS 전달자를 사용해야 할 수도 있습니다. 클러스터의 시스템은 DNS 확인을 위해 내부적으로 168.63.129.16을 사용합니다. 자세한 내용은 Azure 문서의 Azure 프라이빗 DNS란 무엇인가IP 주소 168.63.129.16은 무엇인가?를 참조하십시오.

클러스터가 Azure API에 액세스하려면 여전히 인터넷 접속이 필요합니다.

다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.

  • BaseDomainResourceGroup(클러스터가 공개 레코드를 생성하지 않으므로)
  • 공용 IP 주소
  • 공용 DNS 레코드

  • 공용 끝점 

    The cluster is configured so that the Operators do not create public records for the cluster and all cluster machines are placed in the private subnets that you specify.

9.2.1.1. 제한

Azure의 프라이빗 클러스터에는 기존 VNet 사용과 관련된 제한 사항만 적용됩니다.

9.2.2. 사용자 정의 아웃 바운드 라우팅

OpenShift Container Platform에서 실행되는 클러스터의 아웃 바운드 라우팅을 선택하고 인터넷에 연결할 수 있습니다. 이를 통해 공용 IP 주소 및 공용 로드 밸런서의 생성을 생략할 수 있습니다.

클러스터를 설치하기 전에 install-config.yaml 파일에서 매개 변수를 수정하여 사용자 정의 라우팅을 구성할 수 있습니다. 클러스터를 설치할 때 아웃 바운드 라우팅을 사용하려면 기존 VNet이 필요합니다. 설치 프로그램은 이를 설정하지 않습니다.

사용자 정의 라우팅을 사용하도록 클러스터를 구성할 때 설치 프로그램은 다음 리소스를 생성하지 않습니다.

  • 인터넷 액세스를 위한 아웃 바운드 규칙
  • 공용 로드 밸런서의 공용 IP
  • 아웃 바운드 요청을 위해 공용로드 밸런서에 클러스터 머신을 추가하기위한 Kubernetes 서비스 객체

사용자 정의 라우팅을 설정하기 전에 다음 항목을 사용할 수 있는지 확인해야 합니다.

  • OpenShift 이미지 레지스트리 미러를 사용하지 않는 한 인터넷으로의 송신은 컨테이너 이미지를 가져올 수 있습니다.
  • 클러스터는 Azure API에 액세스할 수 있습니다.
  • 다양한 허용 목록 엔드 포인트가 설정됩니다. 방화벽 설정 섹션에서 이러한 엔드 포인트를 참조할 수 있습니다.

사용자 정의 라우팅을 사용하여 인터넷 액세스에 지원되는 기존의 몇 가지 네트워킹 설정이 있습니다.

네트워크 주소 변환을 사용하는 개인 클러스터

Azure VNET NAT (네트워크 주소 변환) 를 사용하여 클러스터의 서브넷에 대한 아웃 바운드 인터넷 액세스를 제공할 수 있습니다. 설정 지침은 Azure 설명서의 Create a NAT gateway using Azure CLI에서 참조하십시오.

Azure NAT 및 사용자 정의 라우팅이 구성된 VNet 설정을 사용하는 경우 공용 엔드포인트없이 개인 클러스터를 만들 수 있습니다.

Azure 방화벽이 있는 개인 클러스터

Azure 방화벽을 사용하여 클러스터를 설치하는 데 사용되는 VNet의 아웃 바운드 라우팅을 제공할 수 있습니다. Azure 설명서에서 Azure Firewall을 사용하여 사용자 정의 라우팅을 제공하는 방법에 대해 자세히 알아볼 수 있습니다.

Azure 방화벽 및 사용자 정의 라우팅이 구성된 VNet 설정을 사용하는 경우 공용 엔드포인트없이 개인 클러스터를 만들 수 있습니다.

프록시 설정이 있는 개인 클러스터

사용자 정의 라우팅과 함께 프록시를 사용하여 인터넷으로의 송신 (Egress)을 허용할 수 있습니다. 클러스터 Operator가 프록시를 사용하여 Azure API에 액세스하지 않도록해야합니다. Operator는 프록시 외부에서 Azure API에 액세스할 수 있어야 합니다.

0.0.0.0/0이 Azure에 의해 자동으로 설정된 상태에서 서브넷의 기본 라우팅 테이블을 사용하는 경우 IP 주소가 공용인 경우에도 모든 Azure API 요청이 Azure의 내부 네트워크를 통해 라우팅됩니다. 네트워크 보안 그룹 규칙이 Azure API 엔드포인트으로의 송신을 허용하는 한 사용자 정의 라우팅이 구성된 프록시를 사용하면 공용 엔드포인트없이 개인 클러스터를 만들 수 있습니다.

인터넷 액세스가 없는 개인 클러스터

Azure API를 제외한 인터넷에 대한 모든 액세스를 제한하는 프라이빗 네트워크를 설치할 수 있습니다. 이 작업은 릴리스 이미지 레지스트리를 로컬로 미러링하여 수행됩니다. 클러스터는 다음에 액세스할 수 있어야 합니다.

  • 컨테이너 이미지를 가져올 수 있는 OpenShift 이미지 레지스트리 미러
  • Azure API에 액세스

이러한 요구 사항을 사용할 수 있으면 사용자 정의 라우팅을 사용하여 공용 엔드 포인트가없는 개인 클러스터를 만들 수 있습니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.