3.3. ROSA Classic 아키텍처
ROSA(Red Hat OpenShift Service on AWS) Classic에서는 컨트롤 플레인과 작업자 노드가 모두 VPC 서브넷에 배포됩니다.
3.3.1. 공용 및 사설 네트워크의 ROSA Classic 아키텍처
ROSA Classic을 사용하면 공용 또는 프라이빗 네트워크를 통해 액세스할 수 있는 클러스터를 생성할 수 있습니다.
다음과 같은 방법으로 API 서버 엔드 포인트 및 Red Hat SRE 관리에 대한 액세스 패턴을 사용자 지정할 수 있습니다.
- 공용 - API 서버 엔드포인트 및 애플리케이션 경로는 인터넷에 연결되어 있습니다.
- 프라이빗 - API 서버 끝점 및 애플리케이션 경로는 비공개입니다. 프라이빗 ROSA Classic 클러스터는 일부 퍼블릭 서브넷을 사용하지만 퍼블릭 서브넷에는 컨트롤 플레인 또는 작업자 노드가 배포되지 않습니다.
- 프라이빗 with AWS PrivateLink - API 서버 엔드 포인트 및 애플리케이션 경로는 프라이빗입니다. 송신의 VPC에는 퍼블릭 서브넷 또는 NAT 게이트웨이가 필요하지 않습니다. ROSA SRE 관리에서는 AWS PrivateLink를 사용합니다.
다음 이미지는 퍼블릭 및 프라이빗 네트워크 모두에 배포된 ROSA Classic 클러스터의 아키텍처를 보여줍니다.
그림 3.4. 공개 및 개인 네트워크에 배포된 ROSA Classic
ROSA Classic 클러스터에는 Ingress 컨트롤러, 이미지 레지스트리 및 모니터링과 같은 OpenShift 구성 요소가 배포되는 인프라 노드가 포함됩니다. 인프라 노드와 여기에 배포된 OpenShift 구성 요소는 ROSA 서비스 SRE에 의해 관리됩니다.
다음 유형의 클러스터는 ROSA Classic에서 사용할 수 있습니다.
- 단일 영역 클러스터 - 컨트롤 플레인 및 작업자 노드는 단일 가용성 영역에서 호스팅됩니다.
- 다중 영역 클러스터 - 컨트롤 플레인은 3개의 가용성 영역에서 호스팅되며, 하나 또는 세 개의 가용성 영역에서 작업자 노드를 실행할 수 있는 옵션이 있습니다.
3.3.2. AWS PrivateLink 아키텍처
AWS PrivateLink 클러스터를 생성하는 Red Hat 관리형 인프라는 프라이빗 서브넷에서 호스팅됩니다. Red Hat과 고객 제공 인프라 간의 연결은 AWS PrivateLink VPC 엔드포인트를 통해 생성됩니다.
AWS PrivateLink는 기존 VPC에서만 지원됩니다.
다음 다이어그램에서는 PrivateLink 클러스터의 네트워크 연결을 보여줍니다.
그림 3.5. 프라이빗 서브넷에 배포된 멀티 AZ AWS PrivateLink 클러스터
3.3.2.1. AWS 참조 아키텍처
AWS는 AWS PrivateLink를 사용하는 구성을 설정하는 방법을 계획할 때 고객에게 유용할 수 있는 여러 참조 아키텍처를 제공합니다. 다음은 세 가지 예입니다.
공용 서브넷 은 인터넷 게이트웨이를 통해 인터넷에 직접 연결됩니다. 프라이빗 서브넷 은 NAT(네트워크 주소 변환) 게이트웨이를 통해 인터넷에 연결됩니다.
프라이빗 서브넷 및 AWS 사이트 간 VPN 액세스 권한이 있는 VPC입니다.
이 구성을 사용하면 네트워크를 인터넷에 노출하지 않고도 네트워크를 클라우드로 확장할 수 있습니다.
IPsec(Internet Protocol Security) VPN 터널을 통해 네트워크와의 통신을 활성화하기 위해 이 구성에는 단일 프라이빗 서브넷 및 가상 프라이빗 게이트웨이가 있는 VPC(가상 프라이빗 클라우드)가 포함되어 있습니다. 인터넷을 통한 통신은 인터넷 게이트웨이를 사용하지 않습니다.
자세한 내용은 AWS 문서의 프라이빗 서브넷만 있는 VPC 및 AWS 사이트 간 VPN 액세스 권한이 있는 VPC를 참조하십시오.
퍼블릭 및 프라이빗 서브넷(NAT)이 있는 VPC
이 구성을 사용하면 공용 서브넷이 인터넷에서 연결할 수 있도록 네트워크를 격리할 수 있지만 프라이빗 서브넷은 그렇지 않습니다.
공용 서브넷만 인터넷으로 직접 아웃바운드 트래픽을 보낼 수 있습니다. 프라이빗 서브넷은 공용 서브넷에 있는 NAT(네트워크 주소 변환) 게이트웨이를 사용하여 인터넷에 액세스할 수 있습니다. 이렇게 하면 데이터베이스 서버가 NAT 게이트웨이를 사용하여 소프트웨어 업데이트를 위해 인터넷에 연결할 수 있지만 인터넷에서 데이터베이스 서버로 직접 연결할 수는 없습니다.
자세한 내용은 AWS 문서의 퍼블릭 및 프라이빗 서브넷(NAT)이 있는 VPC 를 참조하십시오.
퍼블릭 및 프라이빗 서브넷이 있는 VPC 및 AWS 사이트 간 VPN 액세스
이 구성을 사용하면 네트워크를 클라우드로 확장하고 VPC에서 인터넷에 직접 액세스할 수 있습니다.
공용 서브넷에 확장 가능한 웹 프런트 엔드를 사용하여 다중 계층 애플리케이션을 실행하고 IPsec AWS 사이트 간 VPN 연결을 통해 네트워크에 연결된 프라이빗 서브넷에 데이터를 저장할 수 있습니다.
자세한 내용은 AWS 문서의 퍼블릭 및 프라이빗 서브넷이 있는 VPC 및 AWS 사이트 간 VPN 액세스를 참조하십시오.
3.3.3. 로컬 영역을 사용하는 ROSA 아키텍처
ROSA는 고객이 VPC 내에 대기 시간에 민감한 애플리케이션 워크로드를 배치할 수 있는 대도시 분산 가용성 영역인 AWS 로컬 영역의 사용을 지원합니다. 로컬 영역은 AWS 리전의 확장이며 기본적으로 활성화되어 있지 않습니다. 로컬 영역을 활성화 및 구성하면 유연성이 향상되고 대기 시간이 단축되도록 트래픽이 로컬 영역으로 확장됩니다. 자세한 내용은 "로컬 영역에서 머신 풀 구성"을 참조하십시오.
다음 다이어그램은 로컬 영역으로 라우팅되는 트래픽이 없는 ROSA 클러스터를 표시합니다.
그림 3.6. 로컬 영역으로 라우팅되는 트래픽이 없는 ROSA 클러스터
다음 다이어그램은 로컬 영역으로 라우팅되는 트래픽이 있는 ROSA 클러스터를 표시합니다.
그림 3.7. 로컬 영역으로 라우팅되는 트래픽이 있는 ROSA 클러스터
추가 리소스