Red Hat Summit9.3. 사용자 지정 VPC 사용 정보
OpenShift Container Platform 4.16에서는 GCP(Google Cloud Platform)의 기존 VPC에 클러스터를 배포할 수 있습니다. 이때 VPC 및 라우팅 규칙 내의 기존 서브넷도 사용해야 합니다.
기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한을 회피하거나 회사의 지침에 따른 운영 제한을 따르기 수월해집니다. 이 방법은 VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없을 때 사용하기 좋은 대안입니다.
9.3.1. VPC 사용 요구사항
설치 프로그램에서 다음 구성 요소를 더 이상 생성하지 않습니다:
- VPC
- 서브넷
- 클라우드 라우터
- 클라우드 NAT
- NAT IP 주소
사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. 설치 프로그램에서 사용할 클러스터의 네트워크 범위를 세분하거나 서브넷에 대한 라우팅 테이블을 설정하거나 DHCP와 같은 VPC 옵션을 설정할 수 없으므로 클러스터를 설치하기 전에 직접 해당 작업을 수행해야 합니다.
사용자 VPC와 서브넷이 다음과 같은 특성을 충족해야 합니다.
- OpenShift Container Platform 클러스터를 배포하는 것과 동일한 GCP 프로젝트에 VPC가 있어야 합니다.
- 컨트롤 플레인 및 컴퓨팅 시스템에서 인터넷에 액세스할 수 있도록 하려면 서브넷에서 클라우드 NAT를 구성하여 이그레스를 허용해야 합니다. 이러한 시스템에는 공용 주소가 없습니다. 인터넷에 액세스할 필요가 없는 경우에도 VPC 네트워크로 이그레스를 허용해야만 설치 프로그램과 이미지를 받을 수 있습니다. 공유 서브넷에 여러 Cloud NAT를 구성할 수 없기 때문에 설치 프로그램에서 구성할 수 없습니다.
제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.
- 사용자가 지정하는 모든 서브넷이 존재하며 지정한 VPC에 속합니다.
- 서브넷 CIDR이 시스템 CIDR에 속합니다.
- 클러스터 컨트롤 플레인 및 컴퓨팅 시스템을 배포할 서브넷을 제공해야 합니다. 두 시스템 유형 모두에 동일한 서브넷을 사용할 수 있습니다.
기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다.
9.3.2. 권한 분할
OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이러한 변경은 회사에서 보유할 수 있는 권한 분할을 모방합니다. 즉, 몇몇 사람이 다른 사람들과 다른 리소스를 클라우드에 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목을 생성할 수는 있지만 VPC, 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성할 수 없습니다.
클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 로드 밸런서, 보안 그룹, 스토리지 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.
9.3.3. 클러스터 간 격리
기존 네트워크에 OpenShift Container Platform을 배포하는 경우, 클러스터의 인프라 ID로 클러스터의 시스템을 참조하는 방화벽 규칙에 따라 클러스터 서비스의 격리가 유지됩니다. 클러스터 내 트래픽만이 허용됩니다.
동일한 VPC에 여러 클러스터를 배포하는 경우, 다음 구성 요소들이 클러스터 간에 액세스를 공유할 수 있습니다.
- 외부 게시 전략을 통해 전역에서 사용 가능한 또는 내부 게시 전략을 통해 네트워크 범위에서 사용 가능한 API
- SSH 및 ICMP 액세스를 위해 머신 CIDRr에 열려있는 VM 인스턴스의 포트와 같은 디버깅 도구
