Red Hat Summit4.2. AWS PrivateLink 끝점에 추가 AWS 보안 그룹 추가
HCP 클러스터가 있는 ROSA를 사용하면 고객의 VPC에 노출된 AWS PrivateLink 엔드포인트에는 클러스터의 머신 CIDR 범위 내에서 시작되는 요청에 대한 액세스를 제한하는 보안 그룹이 있습니다. VPC 외부의 모든 엔티티, VPC 피어, 전송 게이트웨이 또는 기타 네트워크 연결을 통해 클러스터의 API에 대한 액세스 권한을 부여하려면 다른 보안 그룹을 PrivateLink 엔드포인트에 연결하여 필요한 액세스 권한을 부여해야 합니다.
AWS PrivateLink 엔드포인트에 AWS 보안 그룹 추가는 HCP 버전 4.17.2 이상 버전의 ROSA에서만 지원됩니다.
사전 요구 사항
- 회사 네트워크 또는 기타 VPC가 연결되어 있습니다.
- VPC 내에서 보안 그룹을 생성하고 연결할 수 있는 권한이 있습니다.
절차
다음 명령을 실행하여 클러스터 이름을 환경 변수로 설정합니다.
export CLUSTER_NAME=<cluster_name>
$ export CLUSTER_NAME=<cluster_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 변수가 설정되었는지 확인할 수 있습니다.
echo $CLUSTER_NAME
$ echo $CLUSTER_NAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
hcp-private
hcp-privateCopy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 VPC 끝점(VPCE) ID 및 VPC ID를 찾습니다.
read -r VPCE_ID VPC_ID <<< $(aws ec2 describe-vpc-endpoints --filters "Name=tag:api.openshift.com/id,Values=$(rosa describe cluster -c ${CLUSTER_NAME} -o yaml | grep '^id: ' | cut -d' ' -f2)" --query 'VpcEndpoints[].[VpcEndpointId,VpcId]' --output text)$ read -r VPCE_ID VPC_ID <<< $(aws ec2 describe-vpc-endpoints --filters "Name=tag:api.openshift.com/id,Values=$(rosa describe cluster -c ${CLUSTER_NAME} -o yaml | grep '^id: ' | cut -d' ' -f2)" --query 'VpcEndpoints[].[VpcEndpointId,VpcId]' --output text)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 주의기본 AWS PrivateLink 끝점 보안 그룹을 수정하거나 제거하는 것은 지원되지 않으며 예기치 않은 동작이 발생할 수 있습니다.
다음 명령을 실행하여 추가 보안 그룹을 생성합니다.
export SG_ID=$(aws ec2 create-security-group --description "Granting API access to ${CLUSTER_NAME} from outside of VPC" --group-name "${CLUSTER_NAME}-api-sg" --vpc-id $VPC_ID --output text)$ export SG_ID=$(aws ec2 create-security-group --description "Granting API access to ${CLUSTER_NAME} from outside of VPC" --group-name "${CLUSTER_NAME}-api-sg" --vpc-id $VPC_ID --output text)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음 명령을 실행하여 보안 그룹에 인바운드(ingress) 규칙을 추가합니다.
aws ec2 authorize-security-group-ingress --group-id $SG_ID --ip-permissions FromPort=443,ToPort=443,IpProtocol=tcp,IpRanges=[{CidrIp=<cidr-to-allow>}] \$ aws ec2 authorize-security-group-ingress --group-id $SG_ID --ip-permissions FromPort=443,ToPort=443,IpProtocol=tcp,IpRanges=[{CidrIp=<cidr-to-allow>}] \1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 액세스를 허용할 CIDR 블록을 지정합니다.
다음 명령을 실행하여 VPCE에 새 보안 그룹을 추가합니다.
aws ec2 modify-vpc-endpoint --vpc-endpoint-id $VPCE_ID --add-security-group-ids $SG_ID
$ aws ec2 modify-vpc-endpoint --vpc-endpoint-id $VPCE_ID --add-security-group-ids $SG_IDCopy to Clipboard Copied! Toggle word wrap Toggle overflow
이제 지정된 CIDR 블록에서 HCP 프라이빗 클러스터로 ROSA의 API에 액세스할 수 있습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}