6.2. 在 AWS PrivateLink 端点中添加额外的 AWS 安全组

流程

1. 运行以下命令，将集群名称设置为环境变量：

   $ export CLUSTER_NAME=<cluster_name>

   运行以下命令验证变量是否存在：

   $ echo $CLUSTER_NAME

   输出示例

   hcp-private

2. 运行以下命令，查找 VPC 端点(VPCE) ID 和 VPC ID：

   $ read -r VPCE_ID VPC_ID <<< $(aws ec2 describe-vpc-endpoints --filters "Name=tag:api.openshift.com/id,Values=$(rosa describe cluster -c ${CLUSTER_NAME} -o yaml | grep '^id: ' | cut -d' ' -f2)" --query 'VpcEndpoints[].[VpcEndpointId,VpcId]' --output text)

   警告

   不支持修改或删除默认的 AWS PrivateLink 端点安全组，可能会导致意外行为。

3. 运行以下命令来创建额外的安全组：

   $ export SG_ID=$(aws ec2 create-security-group --description "Granting API access to ${CLUSTER_NAME} from outside of VPC" --group-name "${CLUSTER_NAME}-api-sg" --vpc-id $VPC_ID --output text)

4. 运行以下命令，在安全组中添加入站（入口）规则：

   $ aws ec2 authorize-security-group-ingress --group-id $SG_ID --ip-permissions FromPort=443,ToPort=443,IpProtocol=tcp,IpRanges=[{CidrIp=<cidr-to-allow>}] \ 

   1

   1

   指定要允许从中访问的 CIDR 块。

5. 运行以下命令，将新安全组添加到 VPCE 中：

   $ aws ec2 modify-vpc-endpoint --vpc-endpoint-id $VPCE_ID --add-security-group-ids $SG_ID