红帽全球峰会3.2. Red Hat OpenShift Service on AWS 经典架构
在 Red Hat OpenShift Service on AWS 经典架构中,control plane 和 worker 节点都部署在 VPC 子网中。
3.2.1. Red Hat OpenShift Service on AWS 经典架构在公共和私有网络上
通过 Red Hat OpenShift Service on AWS 经典架构,您可以创建可通过公共或私有网络访问的集群。
您可以使用以下方法自定义 API 服务器端点和 Red Hat SRE 管理的访问模式:
- public - API 服务器端点和应用程序路由面向互联网。
- private - API 服务器端点和应用程序路由是私有的。AWS 经典架构集群上的私有 Red Hat OpenShift Service 使用一些公共子网,但没有在公共子网中部署 control plane 或 worker 节点。
- 使用 AWS PrivateLink 的私有 - API 服务器端点和应用程序路由是私有的。VPC 中不需要用于出口的公共子网或 NAT 网关。Red Hat OpenShift Service on AWS 经典架构 SRE 管理使用 AWS PrivateLink。
下图显示了在公共和私有网络上部署的 Red Hat OpenShift Service on AWS 经典架构集群的架构。
图 3.1. 在公共和私有网络上部署的 Red Hat OpenShift Service on AWS 经典架构
Red Hat OpenShift Service on AWS 经典架构集群包括部署入口控制器、镜像 registry 和监控的基础架构节点。在其上部署的基础架构节点和 OpenShift 组件由 Red Hat OpenShift Service on AWS 经典架构 SREs 管理。
Red Hat OpenShift Service on AWS 经典架构提供了以下类型的集群:
- 单区集群 - control plane 和 worker 节点托管在单个可用区中。
- 多区集群 - control plane 在三个可用区上托管,它有一个选项在一个或多个可用区中运行 worker 节点。
3.2.2. AWS PrivateLink 架构
创建 AWS PrivateLink 集群的红帽受管基础架构托管在专用子网上。红帽与客户提供的基础架构之间的连接是通过 AWS PrivateLink VPC 端点创建的。
仅在现有的 VPC 上支持 AWS PrivateLink。
下图显示了 PrivateLink 集群的网络连接。
图 3.2. 在私有子网中部署的 Multi-AZ AWS PrivateLink 集群
3.2.2.1. AWS 参考架构
在计划如何使用 AWS PrivateLink 设置配置时,AWS 提供多个参考架构。下面是三个示例:
公共子网通过互联网网关直接连接到互联网。专用子网通过网络地址转换 (NAT) 网关连接到互联网。
带有专用子网和 AWS Site-to-Site VPN 访问的 VPC。
此配置允许您在不向互联网公开网络的情况下将网络扩展至云中。
要启用通过互联网协议安全性 (IPsec) VPN 隧道与网络通信,此配置包含一个专用子网和虚拟专用网关的虚拟私有云 (VPC)。通过互联网的通信不使用互联网网关。
如需更多信息,请参阅 AWS 文档中的私有子网的 VPC 和 AWS Site-to-Site VPN 访问。
带有公共和私有子网的 VPC (NAT)
此配置允许您隔离网络,以便可以从互联网访问公共子网,但专用子网并非如此。
只有公共子网可以直接向互联网发送出站流量。专用子网可以通过使用位于公共子网中的网络地址转换 (NAT) 网关访问互联网。这允许数据库服务器使用 NAT 网关连接到互联网以获取软件更新,但不允许连接直接从互联网到数据库服务器。
如需更多信息,请参阅 AWS 文档中的使用公共和私有子网(NAT)的 VPC。
带有公共和私有子网的 VPC 和 AWS Site-to-Site VPN 访问
此配置可让您将网络扩展至云中,并直接从 VPC 访问互联网。
您可以使用公共子网中的可扩展 Web 前端运行多层应用程序,并将数据存储在由 IPsec AWS Site-to-Site VPN 连接连接的专用子网中。
如需更多信息,请参阅 AWS 文档中的带有公共和私有子网的 VPC 和 AWS Site-to-Site VPN 访问。
3.2.3. 带有本地区域的 Red Hat OpenShift Service on AWS 经典架构
Red Hat OpenShift Service on AWS 经典架构支持使用 AWS Local Zones,这些区域是满足的,客户可以在 VPC 中放置对延迟敏感的应用程序工作负载。Local Zones 是 AWS 区域扩展,默认情况下不启用。当启用并配置 Local Zones 时,流量将扩展到 Local Zones,以获得更大的灵活性并降低延迟。如需更多信息,请参阅"在 Local Zones 中配置机器池"。
下图显示了没有流量路由到 Local Zone 的 Red Hat OpenShift Service on AWS 经典架构集群。
图 3.3. 没有流量路由到本地区域的 Red Hat OpenShift Service on AWS 经典架构集群
下图显示了带有路由到 Local Zone 流量的 Red Hat OpenShift Service on AWS 经典架构集群。
图 3.4. Red Hat OpenShift Service on AWS 经典架构集群,带有路由到 Local Zones 的流量
其他资源
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}