6장. 클러스터 전체 프록시 구성
기존 VPC(Virtual Private Cloud)를 사용하는 경우 Red Hat OpenShift Service on AWS(ROSA) 클러스터 설치 중 또는 클러스터가 설치된 후 클러스터 전체 프록시를 구성할 수 있습니다. 프록시를 활성화하면 코어 클러스터 구성 요소가 인터넷에 대한 직접 액세스가 거부되지만 프록시는 사용자 워크로드에 영향을 미치지 않습니다.
클라우드 공급자 API에 대한 호출을 포함하여 시스템 송신 트래픽만 프록시됩니다.
클러스터 전체 프록시를 사용하는 경우 클러스터에 대한 프록시의 가용성을 유지 관리해야 합니다. 프록시를 사용할 수 없게 되면 클러스터의 상태 및 지원 가능성에 영향을 미칠 수 있습니다.
6.1. 클러스터 전체 프록시 구성을 위한 사전 요구 사항
클러스터 전체 프록시를 구성하려면 다음 요구 사항을 충족해야 합니다. 이러한 요구 사항은 설치 중 또는 설치 후 프록시를 구성할 때 유효합니다.
일반 요구 사항
- 클러스터 소유자입니다.
- 계정에는 충분한 권한이 있습니다.
- 클러스터의 기존 VPC(Virtual Private Cloud)가 있습니다.
- 프록시는 클러스터의 VPC 및 VPC의 프라이빗 서브넷에 액세스할 수 있습니다. 이 프록시는 클러스터의 VPC 및 VPC의 프라이빗 서브넷에서도 액세스할 수 있습니다.
VPC 끝점에 다음 끝점을 추가했습니다.
-
ec2.<aws_region>.amazonaws.com
-
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com
이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하기 때문에 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.
중요클러스터 전체 프록시를 사용하는 경우
게이트웨이
유형으로s3.<aws_region>.amazonaws.com
끝점을 구성해야 합니다.
-
네트워크 요구 사항
프록시에서 송신 트래픽을 다시 암호화하는 경우 도메인 및 포트 조합에 대한 제외를 생성해야 합니다. 다음 표에서는 이러한 예외에 대한 지침을 제공합니다.
프록시는 다음 OpenShift URL을 다시 암호화하도록 제외해야 합니다.
address 프로토콜/포트 함수 observatorium-mst.api.openshift.com
https/443
필수 항목입니다. Managed OpenShift별 Telemetry에 사용됩니다.
sso.redhat.com
https/443
https://cloud.redhat.com/openshift 사이트에서는 sso.redhat.com의 인증을 사용하여 클러스터 풀 시크릿을 다운로드하고 Red Hat SaaS 솔루션을 사용하여 서브스크립션, 클러스터 인벤토리 및 관련 보고를 원활하게 모니터링할 수 있습니다.
프록시는 다음 사이트 안정성 엔지니어링(SRE) 및 관리 URL을 재암호화해야 합니다.
address 프로토콜/포트 함수 *.osdsecuritylogs.splunkcloud.com
또는
inputs1.osdsecuritylogs.
.osdsecuritylogs.complunkcloud.comsplunkcloud.com
inputs2inputs4.osdsecuritylogs.splunkcloud
.com
inputs5.
osdsecuritylogs
.splunkcloud.com
input6inputs6.osdsecuritylogs.
splunkcloud
.com.osdsecuritylogs.splunkcloud
.com
computes.cloudoscom
storedcloud-complunks.
com computesfcloudoscom
computecomfcloudos의 입력tcp/9997
splunk-forwarder-operator에서 로그 기반 경고에 사용할 로그 전달 끝점으로 사용합니다.
http-inputs-osdsecuritylogs.splunkcloud.com
https/443
splunk-forwarder-operator에서 로그 기반 경고에 사용할 로그 전달 끝점으로 사용합니다.
추가 리소스
- AWS STS(Security Token Service)를 사용하는 ROSA 클러스터의 설치 사전 요구 사항은 STS를 사용하는 ROSA에 대한 AWS 사전 요구 사항을 참조하십시오.
- STS를 사용하지 않는 ROSA 클러스터의 설치 사전 요구 사항은 ROSA에 대한 AWS 사전 요구 사항을 참조하십시오.