3.3. Red Hat OpenShift Service on AWS 서비스 정의

AWS의 Red Hat OpenShift Service는 OpenShift 서비스용 로드 밸런서, 스토리지, EC2 인스턴스, 기타 구성 요소 및 Red Hat 서브스크립션과 같은 서비스에서 사용하는 AWS(Amazon Web Services)를 통해 청구됩니다.

추가 Red Hat 소프트웨어는 별도로 구매해야 합니다.

고객은 다음을 포함하여 클러스터를 셀프 서비스할 수 있습니다.

이러한 작업은 rosa CLI 유틸리티를 사용하여 셀프 서비스를 수행할 수 있습니다.

단일 가용성 영역 클러스터에는 최소 3개의 컨트롤 플레인 노드, 인프라 노드 2개, 단일 가용성 영역에 배포된 작업자 노드 2개가 필요합니다.

여러 가용성 영역 클러스터에는 최소 3개의 컨트롤 플레인 노드가 필요합니다. 인프라 노드 3개와 작업자 노드 3개 적절한 노드 배포를 유지하려면 3개의 여러 노드에서 추가 노드를 구입해야 합니다.

AWS 클러스터의 모든 Red Hat OpenShift Service는 최대 180개의 작업자 노드를 지원합니다.

컨트롤 플레인 및 인프라 노드는 Red Hat에서 배포 및 관리합니다. 클라우드 공급자 콘솔을 통해 기본 인프라를 종료하면 지원되지 않으며 데이터가 손실될 수 있습니다. etcd 및 API 관련 워크로드를 처리하는 컨트롤 플레인 노드가 3개 이상 있습니다. 메트릭, 라우팅, 웹 콘솔 및 기타 워크로드를 처리하는 인프라 노드가 두 개 이상 있습니다. 제어 및 인프라 노드에서 워크로드를 실행하지 않아야 합니다. 실행하려는 워크로드는 작업자 노드에 배포해야 합니다. 작업자 노드에 배포해야 하는 Red Hat 워크로드에 대한 자세한 내용은 아래 Red Hat Operator 지원 섹션을 참조하십시오.

AWS의 Red Hat OpenShift Service는 다음과 같은 작업자 노드 인스턴스 유형 및 크기를 제공합니다.

다음 AWS 리전은 Red Hat OpenShift 4에서 지원되며 AWS의 Red Hat OpenShift Service에서 지원됩니다. 참고: OpenShift 4에 대한 지원에 관계없이 중국 및 GovCloud (US) 리전은 지원되지 않습니다.

여러 가용성 영역 클러스터는 가용성 영역이 3개 이상인 지역에만 배포할 수 있습니다. 자세한 내용은 AWS 문서의 리전 및 가용 영역 섹션을 참조하십시오.

AWS의 새로운 Red Hat OpenShift Service는 단일 리전의 설치 관리자 생성 또는 기존 VPC(Virtual Private Cloud) 내에 설치됩니다. 이 옵션을 통해 단일 가용성 영역(Single-AZ) 또는 여러 가용성 영역(Multi-AZ)에 배포할 수 있습니다. 이를 통해 클러스터 수준 네트워크 및 리소스 분리를 제공하고 VPN 연결 및 VPC 피어링과 같은 클라우드 공급자 VPC 설정을 활성화합니다. PV(영구 볼륨)는 AWS EBS(Elastic Block Storage)에서 지원하며, 프로비저닝되는 가용성 영역에 따라 다릅니다. PVC(영구 볼륨 클레임)는 예약할 수 없는 Pod를 방지하기 위해 연결된 Pod 리소스가 특정 가용 영역에 할당될 때까지 볼륨에 바인딩되지 않습니다. 가용성 영역별 리소스는 동일한 가용성 영역의 리소스에서만 사용할 수 있습니다.

서비스 자체에 대한 SLA는 Red Hat Enterprise Agreement 부록 4 (Online Subscription Services)의 부록 4 에 정의되어 있습니다.

클러스터가 제한된 지원 상태로 전환되면 Red Hat은 더 이상 클러스터를 적극적으로 모니터링하지 않으며 SLA는 더 이상 적용되지 않으며 SLA에 대해 요청된 자립이 거부됩니다. 이는 더 이상 제품 지원이 없다는 의미는 아닙니다. 일부 경우 위반 요인을 수정하면 클러스터가 완전히 지원되는 상태로 돌아갈 수 있습니다. 그러나 다른 경우에는 클러스터를 삭제하고 다시 생성해야 할 수도 있습니다.

다음 시나리오를 포함하여 여러 가지 이유로 클러스터가 제한된 지원 상태로 이동할 수 있습니다.

클러스터가 제한된 지원 상태로 이동하거나 추가 지원이 필요한 특정 작업에 대한 질문이 있는 경우 지원 티켓을 엽니다.

AWS의 Red Hat OpenShift Service에는 Red Hat 고객 포털을 사용하여 액세스할 수 있는 Red Hat Premium 지원이 포함되어 있습니다.

지원 응답 시간은 Red Hat OpenShift Service on AWS SLA 를 참조하십시오.

AWS 지원은 AWS와 고객의 기존 지원 계약의 적용을 받습니다.

통합이 활성화된 경우 클러스터 감사 로그를 AWS3-4를 통해 사용할 수 있습니다. 통합이 활성화되지 않은 경우 지원 케이스를 열어 감사 로그를 요청할 수 있습니다.

STDOUT 으로 전송된 애플리케이션 로그는 Fluentd에 의해 수집되며 설치된 경우 클러스터 로깅 스택을 통해 AWS#177로 전달됩니다.

AWS 클러스터의 Red Hat OpenShift Service에는 CPU, 메모리, 네트워크 기반 메트릭을 포함한 클러스터 모니터링을 위해 통합된 Prometheus 스택이 제공됩니다. 웹 콘솔을 통해 액세스할 수 있습니다. 또한 이러한 메트릭을 사용하면 AWS 사용자의 Red Hat OpenShift Service에서 제공하는 CPU 또는 메모리 메트릭을 기반으로 수평 Pod 자동 스케일링을 수행할 수 있습니다.

Red Hat은 OpenShift Cluster Manager에서 사용 가능한 클러스터 대시보드의 조합과 원래 클러스터를 배포한 연락처의 이메일 주소 및 고객이 지정한 추가 연락처로 전송된 이메일 알림을 통해 AWS 클러스터에서 Red Hat OpenShift Service의 상태 및 상태를 전달합니다.

경로에 사용자 지정 호스트 이름을 사용하려면 CNAME(정규 이름) 레코드를 생성하여 DNS 공급자를 업데이트해야 합니다. CNAME 레코드는 OpenShift 표준 라우터 호스트 이름을 사용자 정의 도메인에 매핑해야 합니다. 경로를 생성한 후 OpenShift 정식 라우터 호스트 이름은 경로 세부 정보 페이지에 표시됩니다. 또는 와일드카드 CNAME 레코드를 한 번 생성하여 지정된 호스트 이름의 모든 하위 도메인을 클러스터의 라우터로 라우팅할 수 있습니다.

AWS의 Red Hat OpenShift Service에는 클러스터의 내부 및 외부 서비스에 필요한 TLS 보안 인증서가 포함되어 있습니다. 외부 경로의 경우 각 클러스터에 제공 및 설치된 두 개의 TLS 와일드카드 인증서가 있습니다. 하나는 웹 콘솔과 라우팅 기본 호스트 이름이며 다른 하나는 API 엔드포인트용입니다. Let's Encrypt는 인증서에 사용되는 인증 기관입니다. 내부 API 끝점 과 같은 클러스터 내의 경로는 클러스터의 내장 인증 기관에서 서명한 TLS 인증서를 사용하며, TLS 인증서를 신뢰하기 위해 모든 Pod에서 CA 번들을 사용할 수 있어야 합니다.

AWS의 Red Hat OpenShift Service에서는 이미지 레지스트리에서 이미지를 가져올 때 빌드에서 신뢰할 사용자 정의 인증 기관을 사용할 수 있습니다.

AWS의 Red Hat OpenShift Service는 최대 5개의 로드 밸런서를 사용합니다.

프로젝트 관리자는 IP 허용 목록을 통한 수신 제어를 포함하여 다양한 용도로 경로 주석을 추가할 수 있습니다.

ovs-networkpolicy 플러그인을 활용하는 NetworkPolicy 오브젝트를 사용하여 Ingress 정책을 변경할 수도 있습니다. 이를 통해 동일한 클러스터의 Pod와 동일한 네임스페이스에도 Pod 수준을 포함하여 수신 네트워크 정책을 완전히 제어할 수 있습니다.

모든 클러스터 인그레스 트래픽은 정의된 로드 밸런서를 통해 이동합니다. 클라우드 구성에 의해 모든 노드에 대한 직접 액세스가 차단됩니다.

EgressNetworkPolicy 오브젝트를 통한 Pod 송신 트래픽 제어를 사용하여 AWS의 Red Hat OpenShift Service에서 아웃바운드 트래픽을 방지하거나 제한할 수 있습니다.

컨트롤 플레인 및 인프라 노드의 공용 아웃바운드 트래픽이 필요하며 클러스터 이미지 보안 및 클러스터 모니터링을 유지 관리하는 데 필요합니다. 0.0.0.0/0 경로는 인터넷 게이트웨이에만 속해야 합니다. 이 범위를 프라이빗 연결을 통해 라우팅할 수 없습니다.

OpenShift 4 클러스터는 NAT 게이트웨이를 사용하여 클러스터를 나가는 공용 아웃바운드 트래픽에 대한 공용 고정 IP를 제공합니다. 클러스터가 배포된 각 가용성 영역은 별도의 NAT 게이트웨이를 수신하므로 클러스터 송신 트래픽에 대해 최대 3개의 고유한 고정 IP 주소가 존재할 수 있습니다. 클러스터 내부에 남아 있거나 공용 인터넷으로 전달하지 않는 트래픽은 NAT 게이트웨이를 통과하지 않으며 트래픽이 시작된 노드에 속하는 소스 IP 주소를 갖습니다. 노드 IP 주소는 동적이므로 고객은 개인 리소스에 액세스할 때 개별 IP 주소를 허용 목록에 사용하지 않아야 합니다.

고객은 클러스터에서 Pod를 실행한 다음 외부 서비스를 쿼리하여 공용 고정 IP 주소를 확인할 수 있습니다. 예를 들면 다음과 같습니다.

$ oc run ip-lookup --image=busybox -i -t --restart=Never --rm -- /bin/sh -c "/bin/nslookup -type=a myip.opendns.com resolver1.opendns.com | grep -E 'Address: [0-9.]+'"

Red Hat OpenShift Service on AWS를 사용하면 AWS 관리 기술을 통한 프라이빗 네트워크 연결을 설정할 수 있습니다.

프라이빗 클라우드 네트워크 구성이 있는 AWS 클러스터의 Red Hat OpenShift Service의 경우 고객은 해당 프라이빗 연결에서 사용 가능한 내부 DNS 서버를 지정할 수 있습니다. 이 서버는 명시적으로 제공된 도메인에 대해 쿼리해야 합니다.

컨트롤 플레인, 인프라 및 작업자 노드는 encrypted-at-rest AWS EBS(Elastic Block Store) 스토리지를 사용합니다.

PV에 사용되는 EBS 볼륨은 기본적으로 암호화-at-rest입니다.

PV(영구 볼륨)는 AWS EBS에서 지원합니다. 이는 Read-Write-Once입니다.

PV는 한 번에 단일 노드에만 연결할 수 있으며 프로비저닝된 가용성 영역과 관련이 있습니다. 그러나 가용성 영역의 모든 노드에 PV를 연결할 수 있습니다.

각 클라우드 공급자에는 단일 노드에 연결할 수 있는 PV 수에 대한 자체 제한이 있습니다. 자세한 내용은 AWS 인스턴스 유형 제한을 참조하십시오.

AWS CSI 드라이버는 AWS의 Red Hat OpenShift Service에 대한 RWX 지원을 제공하는 데 사용할 수 있습니다. 커뮤니티 Operator가 설정을 단순화하기 위해 제공됩니다. 자세한 내용은 AWS Dedicated 및 Red Hat OpenShift Service용 AWS EFS 설정을 참조하십시오.

애플리케이션 및 애플리케이션 데이터 백업은 AWS 서비스의 Red Hat OpenShift Service의 일부가 아닙니다. 다음 표에는 클러스터 백업 정책이 요약되어 있습니다.

AWS의 Red Hat OpenShift Service에서 노드 자동 스케일링을 사용할 수 있습니다. 클러스터의 머신 수를 자동으로 확장하도록 자동 스케일러 옵션을 구성할 수 있습니다.

고객은 AWS의 Red Hat OpenShift Service에서 daemonsets를 생성하고 실행할 수 있습니다. 데몬 세트를 작업자 노드에서만 실행되도록 제한하려면 다음 nodeSelector 를 사용합니다.

...
spec:
  nodeSelector:
    role: worker
...

여러 가용성 영역 클러스터에서 컨트롤 플레인 노드는 가용성 영역에 분산되어 있으며 각 가용성 영역에 하나 이상의 작업자 노드가 필요합니다.

사용자 정의 노드 레이블은 노드 생성 중에 Red Hat에서 생성하며 현재 AWS 클러스터의 Red Hat OpenShift Service에서 변경할 수 없습니다. 그러나 새 머신 풀을 생성할 때 사용자 정의 라벨이 지원됩니다.

AWS의 Red Hat OpenShift Service는 서비스로 실행되며 최신 OpenShift Container Platform 버전으로 최신 상태로 유지됩니다. 최신 버전으로 스케줄링을 사용할 수 있습니다.

Rosa CLI 유틸리티를 사용하거나 OpenShift Cluster Manager를 통해 업그레이드를 예약할 수 있습니다.

업그레이드 정책 및 절차에 대한 자세한 내용은 AWS 라이프 사이클의 Red Hat OpenShift Service 를 참조하십시오.

Windows Containers 용 Red Hat OpenShift 지원은 현재 AWS의 Red Hat OpenShift Service에서 사용할 수 없습니다.

AWS의 Red Hat OpenShift Service는 OpenShift 4에서 실행되며 CRI-O 를 사용 가능한 유일한 컨테이너 엔진으로 사용합니다.

AWS의 Red Hat OpenShift Service는 OpenShift 4에서 실행되며 Red Hat CoreOS를 모든 컨트롤 플레인 및 작업자 노드의 운영 체제로 사용합니다.

일반적으로 Red Hat 워크로드는 Operator Hub를 통해 제공되는 Red Hat 제공 Operator를 참조합니다. Red Hat 워크로드는 Red Hat SRE 팀에서 관리하지 않으며 작업자 노드에 배포해야 합니다. 이러한 Operator에는 추가 Red Hat 서브스크립션이 필요할 수 있으며 추가 클라우드 인프라 비용이 발생할 수 있습니다. Red Hat에서 제공하는 Operator의 예는 다음과 같습니다.

Operator Hub 마켓플레이스에 나열된 모든 Operator를 설치할 수 있어야 합니다. 이러한 운영자는 고객 워크로드로 간주되며 Red Hat SRE에서 모니터링하지 않습니다.

클러스터 인증은 OpenShift Cluster Manager Hybrid Cloud Console 또는 클러스터 생성 프로세스를 사용하거나 rosa CLI를 사용하여 구성할 수 있습니다. AWS의 Red Hat OpenShift Service는 ID 공급자가 아니며 클러스터에 대한 모든 액세스는 고객이 통합 솔루션의 일부로 관리해야 합니다. 동시에 프로비저닝된 여러 ID 공급자를 사용하는 것이 지원됩니다. 지원되는 ID 공급자는 다음과 같습니다.

cluster-admin 역할을 가진 사용자는 권한 있는 컨테이너를 사용할 수 있습니다. cluster-admin 으로 권한 있는 컨테이너의 사용은 Red Hat Enterprise Agreement 부록 4 (Online Subscription Services)의 책임 및 제외 노트의 적용을 받습니다.

일반 사용자 외에도 AWS의 Red Hat OpenShift Service는 AWS별 그룹인 dedicated-admin 그룹의 Red Hat OpenShift Service에 액세스할 수 있습니다. dedicated-admin 그룹의 멤버인 클러스터의 모든 사용자:

AWS의 Red Hat OpenShift Service 관리자는 조직의 클러스터의 cluster-admin 역할에 대한 기본 액세스 권한이 있습니다. cluster-admin 역할로 계정에 로그인되어 있는 동안 사용자에게 권한 있는 보안 컨텍스트를 실행할 수 있는 권한이 향상되었습니다.

기본적으로 모든 사용자는 프로젝트를 생성, 업데이트 및 삭제할 수 있습니다. dedicated-admin 그룹의 멤버가 인증된 사용자에서 self-provisioner 역할을 제거하는 경우 이를 제한할 수 있습니다.

$ oc adm policy remove-cluster-role-from-group self-provisioner system:authenticated:oauth

적용을 통해 제한 사항을 되돌릴 수 있습니다.

$ oc adm policy add-cluster-role-to-group self-provisioner system:authenticated:oauth

최신 규정 준수 정보는 ROSA의 프로세스 및 보안 이해를 참조하십시오.

AWS의 Red Hat OpenShift Service를 통해 AWS는 모든 로드 밸런서에 대해 AWS Shield라는 표준 CloudEvent 보호 기능을 제공합니다. 이는 AWS의 Red Hat OpenShift Service에 사용되는 모든 공용 로드 밸런서에 대한 가장 일반적으로 사용되는 로드 밸런서에 대한 가장 일반적으로 사용되는 레벨 3 및 4 공격에 대해 95%의 보호를 제공합니다. 응답을 수신하기 위해 haproxy 라우터로 들어오는 HTTP 요청에 대해 10초의 시간 초과가 추가되거나 추가 보호를 제공하기 위해 연결이 닫힙니다.

AWS의 Red Hat OpenShift Service에서 컨트롤 플레인 스토리지는 기본적으로 암호화되며 여기에는 etcd 볼륨의 암호화가 포함됩니다. 이 스토리지 수준 암호화는 클라우드 공급자의 스토리지 계층을 통해 제공됩니다.

etcd 암호화를 활성화하여 etcd의 키 값을 암호화하지만 키를 암호화할 수도 없습니다. etcd 암호화를 활성화하면 다음 Kubernetes API 서버 및 OpenShift API 서버 리소스가 암호화됩니다.

etcd 암호화 기능은 기본적으로 활성화되어 있지 않으며 클러스터 설치 시에만 활성화할 수 있습니다. etcd 암호화가 활성화된 상태에서도 etcd 키 값은 컨트롤 플레인 노드 또는 cluster-admin 권한에 액세스할 수 있는 모든 사용자가 액세스할 수 있습니다.