第 2 章 配置私有连接
2.1. 为 AWS 配置私有连接
2.1.1. 了解 AWS 云基础架构访问
AWS 云基础架构访问不适用于创建集群时选择的客户云订阅(CCS) 基础架构类型,因为 CCS 集群部署到您的帐户中。
Amazon Web Services (AWS) 基础架构访问权限允许 客户门户网站机构管理员 和集群所有者启用 AWS Identity and Access Management (IAM) 用户为其 OpenShift Dedicated 集群具有对 AWS 管理控制台的联邦访问权限。可以为客户 AWS 用户授予 AWS 访问权限,并且可以实施私有集群访问权限来满足 OpenShift Dedicated 环境的需求。
- 开始为 OpenShift Dedicated 集群配置 AWS 基础架构访问权限。通过创建 AWS 用户和帐户,并为该用户提供对 OpenShift Dedicated AWS 帐户的访问权限。
访问 OpenShift Dedicated AWS 帐户后,使用以下一个或多个方法建立到集群的私有连接:
- 配置 AWS VPC 对等 :启用 VPC 对等路由两个私有 IP 地址之间的网络流量。
- 配置 AWS VPN :建立虚拟专用网络,将私有网络安全地连接到您的 Amazon 虚拟私有云。
- 配置 AWS Direct Connect :配置 AWS Direct Connect 以在您的私有网络和 AWS Direct Connect 位置之间建立专用网络连接。
配置云基础架构访问后,了解更多有关配置私有集群的信息。
2.1.2. 配置 AWS 基础架构访问
Amazon Web Services (AWS) 基础架构访问权限允许 客户门户网站机构管理员 和集群所有者启用 AWS Identity and Access Management (IAM) 用户为其 OpenShift Dedicated 集群具有对 AWS 管理控制台的联邦访问权限。管理员可以选择 Network Management 或 Read-only 访问选项。
先决条件
- 具有 IAM 权限的 AWS 帐户。
流程
- 登录到 AWS 帐户。如果需要,您可以按照 AWS 文档创建新 AWS 帐户。
在 AWS 帐户中创建带有
STS:AllowAssumeRole权限的 IAM 用户。- 打开 AWS 管理控制台的 IAM 仪表板。
- 在 Policies 部分中,点 Create Policy。
选择 JSON 选项卡,并将现有文本替换为以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "*" } ] }- 点 Next:Tags。
- 可选:添加标签。点 Next:Review
- 提供适当的名称和描述,然后点 Create Policy。
- 在 Users 部分中,点 Add user。
- 提供适当的用户名。
- 选择 AWS Management Console access 作为 AWS 访问类型。
- 根据您的机构需要调整密码要求,然后点 Next:Permissions。
点 Attach existing policies directly 选项。搜索并检查在前面的步骤中创建的策略。
注意不建议设置权限边界。
- 点 Next: Tags,然后点 Next: Review。确认配置正确。
- 点 Create user,会出现一个成功页面。
-
收集 IAM 用户的 Amazon 资源名称 (ARN)。ARN 将具有以下格式:
arn:aws:iam::000111222333:user/username。单击 Close。
- 在浏览器中打开 OpenShift Cluster Manager,然后选择您要允许 AWS 基础架构访问的集群。
- 选择 Access control 选项卡,并滚动到 AWS Infrastructure Access 部分。
- 粘贴 AWS IAM ARN 并选择 Network Management 或 Read-only 权限,然后点 Grant role。
- 将 AWS OSD 控制台 URL 复制到您的剪贴板。
- 使用您的帐户 ID 或别名、IAM 用户名和密码登录到 AWS 帐户。
- 在新浏览器选项卡中,粘贴用于路由到 AWS Switch Role 页面的 AWS OSD 控制台 URL。
- 您的帐户号和角色已填写。如果需要,选择显示名称,然后点 Switch Role。
验证
- 现在,您会在 最近访问的服务中看到 VPC。
2.1.3. 配置 AWS VPC 对等
虚拟私有云(VPC)对等连接是两个 VPC 之间的网络连接,可让您使用私有 IPv4 地址或 IPv6 地址路由它们之间的流量。您可以将包含 OpenShift Dedicated 集群的 Amazon Web Services (AWS) VPC 配置为与其他 AWS VPC 网络对等。
在尝试卸载集群前,您必须从集群的 VPC 中删除任何 VPC 对等连接。如果不这样做,可能会导致集群无法完成卸载过程。
AWS 支持 除中国 以外的所有商业区域间的 inter-region VPC 对等点。
先决条件
收集启动对等请求所需的客户 VPC 的以下信息:
- 客户 AWS 帐号
- 客户 VPC ID
- 客户 VPC 区域
- 客户 VPC CIDR
- 检查 OpenShift Dedicated Cluster VPC 使用的 CIDR 块。如果与客户 VPC 的 CIDR 块重叠或匹配,则无法在这两个 VPC 之间对等。有关详细信息,请参阅 Amazon VPC 不支持的 VPC 仪表板配置文档。如果 CIDR 块没有重叠,您可以使用这个流程处理。
其他资源
- 如需更多信息和故障排除帮助,请参阅 AWS VPC 指南。
2.1.4. 配置 AWS VPN
您可以配置 Amazon Web Services (AWS) OpenShift Dedicated 集群,以使用客户的现场硬件虚拟专用网络 (VPN)设备。默认情况下,启动到 AWS Virtual Private Cloud (VPC) 的实例无法与您自己的(远程)网络通信。您可以通过创建 AWS Site-to-Site VPN 连接来启用从 VPC 访问远程网络,并配置路由以通过连接传递流量。
AWS VPN 目前不提供将 NAT 应用到 VPN 流量的受管选项。如需了解更多详细信息,请参阅 AWS 知识库。
不支持通过私有连接路由所有流量,如 0.0.0.0/0。这需要删除互联网网关,它将禁用 SRE 管理流量。
先决条件
- 硬件 VPN 网关设备模型和软件版本,例如 Cisco ASA 运行版本 8.3。请参阅 AWS 文档,以确认 AWS 是否支持您的网关设备。
- VPN 网关设备的公共、静态 IP 地址。
- BGP 或静态路由:如果需要 BGP,则需要 ASN。如果静态路由,必须至少配置一个静态路由。
- 可选:可访问服务的 IP 和端口/协议来测试 VPN 连接。
流程
- 创建客户网关来配置 VPN 连接。
- 如果您还没有附加到预期的 VPC 的虚拟私有网关,创建并附加虚拟专用网关。
- 配置路由并启用 VPN 路由传播。
- 更新您的安全组。
- 注意
请注意,VPC 子网信息,您必须作为远程网络添加到配置中。
其他资源
- 如需更多信息和故障排除帮助,请参阅 AWS VPN 指南。
2.1.5. 配置 AWS Direct Connect
Amazon Web Services (AWS) Direct Connect 需要一个托管的虚拟接口(VIF)连接到直接连接网关(DXGateway),后者与虚拟网关(VGW)或一个 Transit 网关相关联,以便访问同一或另一个帐户中的远程虚拟私有云(VPC)。
如果您没有现有的 DXGateway,则典型的进程涉及创建托管的 VIF,在 AWS 帐户中创建 DXGateway 和 VGW。
如果您有一个现有的 DXGateway 连接到一个或多个现有 VGW,该过程涉及 AWS 帐户将 Association Proposal 发送到 DXGateway 所有者。DXGateway 所有者必须确保所提议的 CIDR 不会与他们关联的任何其他 VGW 冲突。
先决条件
- 确认 OpenShift Dedicated VPC 的 CIDR 范围不会与您关联的任何其他 VGW 冲突。
收集以下信息:
- 直接连接网关 ID。
- 与虚拟接口关联的 AWS 帐户 ID。
- 为 DXGateway 分配的 BGP ASN。可选:也可以使用 Amazon 默认 ASN。
流程
- 创建 VIF 或 查看您现有的 VIFs,以确定您需要创建的直接连接类型。
创建网关。
- 如果直接连接 VIF 类型是 Private,创建一个虚拟专用网关。
- 如果直接连接 VIF 是公共的,创建一个直接连接网关。
如果您有一个要使用的现有网关,创建一个关联提议,并将提议发送到 DXGateway 所有者以进行批准。
警告当连接到现有的 DXGateway 时,您需要负责相关的成本。
其他资源
- 如需更多信息和故障排除帮助,请参阅 AWS Direct Connect 指南。
