Red Hat Summit3.3. HCP를 사용한 ROSA의 구성 요소
- AWS 인프라 - Amazon EC2 인스턴스, Amazon EBS 스토리지 및 네트워킹 구성 요소를 포함한 클러스터에 필요한 인프라입니다. 클라우드 리소스 구성에 대한 자세한 내용은 컴퓨팅 노드 및 프로비저닝된 AWS 인프라에 대해 지원되는 인스턴스 유형을 보려면 AWS 컴퓨팅 유형을 참조하십시오. https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html-single/introduction_to_rosa/#rosa-sdpolicy-aws-compute-types_rosa-service-definition
- AWS STS - 사용자에게 AWS 계정 리소스와 일시적으로 상호 작용하는 데 필요한 권한을 제공하기 위해 단기적이고 동적 토큰을 부여하는 방법입니다.
- OpenID Connect(OIDC) - 클러스터 Operator가 AWS로 인증하고, 신뢰 정책을 통해 클러스터 역할을 가정하고, 필요한 API 호출을 수행하기 위해 AWS IAM STS에서 임시 인증 정보를 가져옵니다.
역할 및 정책 - ROSA에서 HCP와 함께 사용하는 역할과 정책은 계정 전체 역할 및 정책 및 Operator 역할 및 정책으로 나눌 수 있습니다.
정책에 따라 각 역할에 허용되는 작업이 결정됩니다. 개별 역할 및 정책에 대한 자세한 내용은 IAM 리소스 정보를 참조하십시오. 신뢰 정책에 대한 자세한 내용은 ROSA IAM 역할 리소스 를 참조하십시오.
계정 전체 역할은 다음과 같습니다.
-
<prefix>-HCP-ROSA-Worker-Role -
<prefix>-HCP-ROSA-Support-Role -
<prefix>-HCP-ROSA-Installer-Role
-
계정 전체 AWS 관리 정책은 다음과 같습니다.
- ROSAInstallerPolicy
- ROSAWorkerInstancePolicy
- ROSASRESupportPolicy
- ROSAIngressOperatorPolicy
- ROSAAmazonEBSCSIDriverOperatorPolicy
- ROSACloudNetworkConfigOperatorPolicy
- ROSAControlPlaneOperatorPolicy
- ROSAImageRegistryOperatorPolicy
- ROSAKMSProviderPolicy
- ROSAKubeControllerPolicy
- ROSAManageSubscription
- ROSANodePoolManagementPolicy
참고아래에 나열된 특정 정책은 클러스터 Operator 역할에서 사용합니다. Operator 역할은 기존 클러스터 이름에 따라 달라지며 계정 전체 역할과 동시에 생성할 수 없기 때문에 두 번째 단계에서 생성됩니다.
Operator 역할은 다음과 같습니다.
- <operator_role_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credentials
- <operator_role_prefix>-openshift-cloud-network-config-controller-cloud-credentials
- <operator_role_prefix>-openshift-machine-api-aws-cloud-credentials
- <operator_role_prefix>-openshift-cloud-credential-operator-cloud-credentials
- <operator_role_prefix>-openshift-image-registry-installer-cloud-credentials
- <operator_role_prefix>-openshift-ingress-operator-cloud-credentials
- 각 계정 전체 역할 및 각 Operator 역할에 대한 신뢰 정책이 생성됩니다.
