5.2. 为多云对象网关启用安全模式部署
您可以指定允许连接到 Multicloud Object Gateway (MCG)负载均衡器服务启用安全模式部署的 IP 地址的范围。这有助于控制可以访问 MCG 服务的 IP 地址。
您可以在使用命令行界面部署 OpenShift Data Foundation 时,通过在 storagecluster 自定义资源定义(CRD)中设置 disableLoadBalancerService
变量来禁用 MCG 负载均衡器的使用。这有助于限制 MCG 为私有集群创建任何公共资源,并禁用 MCG 服务 EXTERNAL-IP
。如需更多信息,请参阅 Red Hat 知识库文章,使用命令行界面以内部模式安装 Red Hat OpenShift Data Foundation 4.X。有关在部署 OpenShift Data Foundation 后禁用 MCG 负载均衡器服务的详情,请参考 部署 OpenShift Data Foundation 后禁用多云对象网关外部服务。
先决条件
- 正在运行的 OpenShift Data Foundation 集群。
-
如果是裸机部署,请确保负载均衡器控制器支持在 Kubernetes 服务中设置
loadBalancerSourceRanges
属性。
流程
编辑 NooBaa 自定义资源 (CR),以指定在部署 OpenShift Data Foundation 后可以访问 MCG 服务的 IP 地址范围。
$ oc edit noobaa -n openshift-storage noobaa
noobaa
- 控制 NooBaa 系统部署的 NooBaa CR 类型。
noobaa
NooBaa CR 的名称。
例如:
... spec: ... loadBalancerSourceSubnets: s3: ["10.0.0.0/16", "192.168.10.0/32"] sts: - "10.0.0.0/16" - "192.168.10.0/32" ...
loadBalancerSourceSubnets
可以在 NooBaa CR 的
spec
下添加一个新的字段,以指定应该可以访问 NooBaa 服务的 IP 地址。在本例中,位于子网 10.0.0.0/16 或 192.168.10.0/32 中的所有 IP 地址都可以访问 MCG S3 和安全令牌服务(STS),而不允许其他 IP 地址访问。
验证步骤
要验证是否设置了指定的 IP 地址,在 OpenShift Web 控制台中运行以下命令,检查输出是否与 MCG 提供的 IP 地址匹配:
$ oc get svc -n openshift-storage <s3 | sts> -o=go-template='{{ .spec.loadBalancerSourceRanges }}'