6.18. オンプレミスのベアメタルノードを使用したクラスターの拡張

クラスターにベアメタルノードを追加することで、AWS にデプロイされた OpenShift Container Platform クラスターを拡張できます。デフォルトでは、OpenShift Container Platform 4.11 以前を使用して AWS にデプロイされたクラスターでは、Baremetal Operator (BMO) が無効になっています。OpenShift Container Platform 4.12 以降のリリースでは、BMO は、追加のオンプレミスのベアメタルワーカーノードを備えた AWS コントロールプレーンノードとワーカーノードで設定されるハイブリッドクラウドをサポートできるようになりました。

AWS にデプロイされた OpenShift Container Platform クラスターを拡張するには、仮想メディアを使用してインストールするための ノード要件ファームウェア要件 を満たすベアメタルノードで仮想メディアを使用する必要があります。provisioning ネットワークは必須ではありません。存在する場合は 無効に する必要があります。

6.18.1. VPC をオンプレミスネットワークに接続する

オンプレミスのベアメタルノードを使用して AWS にデプロイされた OpenShift Container Platform クラスターを拡張するには、それらの間のネットワーク接続を確立する必要があります。AWS VPC とオンプレミスネットワークの間に仮想プライベートネットワークまたは AWS Direct Connect を使用してネットワークを設定する必要があります。これにより、オンプレミスノードと AWS ノードの間でトラフィックが流れることが可能になります。

さらに、ベアメタルノードのベースボード管理コントローラー (BMC) への安全なアクセスを確保する必要があります。Baremetal Operator を使用してクラスターを拡張する場合、オンプレミスノードのハードウェアをリモートで管理および監視するために BMC へのアクセスが必要です。

BMC に安全にアクセスするには、別個の安全なネットワークセグメントを作成するか、BMC アクセス専用の専用 VPN 接続を使用します。このようにして、BMC トラフィックを他のネットワークトラフィックから分離し、不正アクセスや潜在的な脆弱性のリスクを軽減できます。

警告

AWS とオンプレミス環境の間のネットワーク接続の設定を誤ると、オンプレミスネットワークとベアメタルノードがインターネットに公開される可能性があります。これは重大なセキュリティーリスクであり、その結果、攻撃者が公開されたマシンに完全にアクセスし、それらのマシンを介してこれらの環境のプライベートネットワークにアクセスできる可能性があります。

関連情報

6.18.2. ポート 6183 のファイアウォールルールの作成

ポート 6183 は、コントロールプレーン上でデフォルトで開いています。ただし、そのポートでの受信および送信トラフィックを許可するには、VPC 接続とベアメタルノードのオンプレミスネットワーク用のファイアウォールルールを作成する必要があります。

手順

  1. AWS VPC セキュリティーグループを変更してポート 6183 を開きます。

    1. AWS マネジメントコンソールで Amazon VPC コンソールに移動します。
    2. 左側のナビゲーションペインで、セキュリティーグループ をクリックします。
    3. OpenShift Container Platform クラスターに関連付けられたセキュリティーグループを検索して選択します。
    4. Inbound rules タブで、Edit inbound rules をクリックします。
    5. Add rule をクリックし、ルールタイプとして Custom TCP Rule を選択します。
    6. Port range フィールドに 6183 と入力します。
    7. Source フィールドで、オンプレミスネットワークの CIDR ブロック、またはピアリングされた VPC (VPC ピアリングがある場合) のセキュリティーグループ ID を指定して、目的のソースからのトラフィックのみを許可します。
    8. Save rule をクリックします。

  2. AWS VPC ネットワークアクセスコントロールリストを変更して、ポート 6183 を開きます。

    1. Amazon VPC コンソールで、左側のナビゲーションペインにある Network ACLs をクリックします。
    2. OpenShift Container Platform クラスターの VPC に関連付けられたネットワーク ACL を検索して選択します。
    3. Inbound rules タブで、Edit inbound rules をクリックします。
    4. Add rule をクリックし、Rule # フィールドにルール番号を入力します。既存のルールに抵触しない番号を選択してください。
    5. プロトコルとして TCP を選択します。
    6. Port range フィールドに 6183 と入力します。
    7. Source フィールドで、オンプレミスネットワークの CIDR ブロックを指定して、目的のソースからのトラフィックのみを許可します。
    8. Save をクリックして新しいルールを保存します。
    9. Outbound rules タブに対して同じプロセスを繰り返して、ポート 6183 での送信トラフィックを許可します。

  3. オンプレミスネットワークを変更して、ポート 6183 でのトラフィックを許可します。

    1. 次のコマンドを実行して、変更するゾーンを特定します。 

      $ sudo firewall-cmd --list-all-zones

    2. 目的のゾーンで TCP トラフィック用にポート 6183 を開くには、以下のコマンドを実行します。 

      $ sudo firewall-cmd --zone=<zone> --add-port=6183/tcp --permanent

      <zone> を適切なゾーン名に置き換えます。

    3. firewalld をリロードして新しいルールを適用します。 

      $ sudo firewall-cmd --reload

ネットワーク設定が完了したら、クラスターの拡張 を続行できます。