5장. 클러스터 전체 프록시 구성

기존 VPC(Virtual Private Cloud)를 사용하는 경우 OpenShift Dedicated 클러스터 설치 중 또는 클러스터가 설치된 후 클러스터 전체 프록시를 구성할 수 있습니다. 프록시를 활성화하면 코어 클러스터 구성 요소가 인터넷에 대한 직접 액세스가 거부되지만 프록시는 사용자 워크로드에 영향을 미치지 않습니다.

참고

클라우드 공급자 API에 대한 호출을 포함하여 시스템 송신 트래픽만 프록시됩니다.

CCO(Customer Cloud Subscription) 모델을 사용하는 OpenShift Dedicated 클러스터에 대해서만 프록시를 활성화할 수 있습니다.

클러스터 전체 프록시를 사용하는 경우 클러스터에 대한 프록시의 가용성을 유지 관리해야 합니다. 프록시를 사용할 수 없게 되면 클러스터의 상태 및 지원 가능성에 영향을 미칠 수 있습니다.

5.1. 클러스터 전체 프록시 구성을 위한 사전 요구 사항

클러스터 전체 프록시를 구성하려면 다음 요구 사항을 충족해야 합니다. 이러한 요구 사항은 설치 중 또는 설치 후 프록시를 구성할 때 유효합니다.

일반 요구 사항

클러스터 소유자입니다.
계정에는 충분한 권한이 있습니다.
클러스터의 기존 VPC(Virtual Private Cloud)가 있습니다.
클러스터의 CCS(Customer Cloud Subscription) 모델을 사용하고 있습니다.
프록시는 클러스터의 VPC 및 VPC의 프라이빗 서브넷에 액세스할 수 있습니다. 이 프록시는 클러스터의 VPC 및 VPC의 프라이빗 서브넷에서도 액세스할 수 있습니다.
VPC 끝점에 다음 끝점을 추가했습니다.
- ec2.<aws_region>.amazonaws.com
- elasticloadbalancing.<aws_region>.amazonaws.com
- s3.<aws_region>.amazonaws.com
  이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하기 때문에 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.
  중요
  클러스터 전체 프록시를 사용하는 경우 게이트웨이 유형으로 s3.<aws_region>.amazonaws.com 끝점을 구성해야 합니다.

네트워크 요구 사항

프록시에서 송신 트래픽을 다시 암호화하는 경우 도메인 및 포트 조합에 대한 제외를 생성해야 합니다. 다음 표에서는 이러한 예외에 대한 지침을 제공합니다.

프록시는 다음 OpenShift URL을 다시 암호화하도록 제외해야 합니다.

address	프로토콜/포트	함수
`observatorium-mst.api.openshift.com`	https/443	필수 항목입니다. Managed OpenShift별 Telemetry에 사용됩니다.
`sso.redhat.com`	https/443	https://cloud.redhat.com/openshift 사이트에서는 sso.redhat.com의 인증을 사용하여 클러스터 풀 시크릿을 다운로드하고 Red Hat SaaS 솔루션을 사용하여 서브스크립션, 클러스터 인벤토리 및 관련 보고를 원활하게 모니터링할 수 있습니다.

프록시는 다음 사이트 안정성 엔지니어링(SRE) 및 관리 URL을 재암호화해야 합니다.

address 프로토콜/포트 함수

address	프로토콜/포트	함수
`*.osdsecuritylogs.splunkcloud.com` 또는 `inputs1.osdsecuritylogs.splunkcloud.cominputs2`.osdsecuritylogs.complunkcloud.com`inputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.com`input6`.osdsecuritylogs.splunkcloud.comcomputes.cloudoscomstoredcloud-complunks.com computesfcloudoscomcomputecomfcloudos의 입력`	tcp/9997	splunk-forwarder-operator에서 로그 기반 경고에 사용할 로그 전달 끝점으로 사용합니다.
`http-inputs-osdsecuritylogs.splunkcloud.com`	https/443	splunk-forwarder-operator에서 로그 기반 경고에 사용할 로그 전달 끝점으로 사용합니다.

*.osdsecuritylogs.splunkcloud.com

또는

inputs1.osdsecuritylogs.splunkcloud.cominputs2.osdsecuritylogs.complunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.cominput6.osdsecuritylogs.splunkcloud.comcomputes.cloudoscomstoredcloud-complunks.com computesfcloudoscomcomputecomfcloudos의 입력

tcp/9997

splunk-forwarder-operator에서 로그 기반 경고에 사용할 로그 전달 끝점으로 사용합니다.

http-inputs-osdsecuritylogs.splunkcloud.com

https/443

splunk-forwarder-operator에서 로그 기반 경고에 사용할 로그 전달 끝점으로 사용합니다.

추가 리소스

CCO(Customer Cloud Subscription) 모델을 사용하는 OpenShift Dedicated 클러스터의 설치 사전 요구 사항은 AWS의 Customer Cloud Subscription 또는 GCP의 Customer Cloud 서브스크립션을 참조하십시오.

5장. 클러스터 전체 프록시 구성

5.1. 클러스터 전체 프록시 구성을 위한 사전 요구 사항

일반 요구 사항

네트워크 요구 사항

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Red Hat legal and privacy links

Red Hat legal and privacy links