2.2. アーキテクチャーモデル
ROSA には 2 つのインストールオファリングがあります。ROSA アーキテクチャーは、以下のネットワーク設定タイプをサポートします。
- パブリックネットワーク
- プライベートネットワーク
- AWS PrivateLink (ROSA Classic のみ)
2.2.1. パブリックおよびプライベートネットワークの ROSA アーキテクチャー
ROSA は、パブリックネットワークまたはプライベートネットワークのいずれかを使用してインストールできます。クラスター作成のプロセス中または作成後にプライベートクラスターおよびプライベートネットワーク接続を設定します。Red Hat は、パブリックネットワークを介したアクセスが限定されたクラスターを管理します。詳細は、ROSA サービス定義 を参照してください。
図2.1 パブリックおよびプライベートネットワークにデプロイされた ROSA Classic
ホストされたコントロールプレーン(HCP)で Red Hat OpenShift Service on AWS (ROSA)を使用している場合は、パブリックネットワークおよびプライベートネットワークでもクラスターを作成できます。以下の図は、パブリックネットワークとプライベートネットワークの両方のアーキテクチャーを示しています。
図2.2 パブリックネットワークにデプロイされた HCP を使用する ROSA
図2.3 プライベートネットワークにデプロイされた HCP を使用する ROSA
または、プライベートサブネットでのみホストされる AWS PrivateLink を使用して ROSA Classic クラスターをインストールできます。
2.2.2. AWS PrivateLink アーキテクチャー
AWS PrivateLink クラスターを作成する Red Hat 管理対象インフラストラクチャーは、プライベートサブネットでホストされています。Red Hat とお客様によって提供されるインフラストラクチャー間の接続は、AWS PrivateLink VPC エンドポイント経由で作成されます。
AWS PrivateLink は既存の VPC でのみサポートされます。
次の図は、PrivateLink クラスターのネットワーク接続を示しています。
図2.4 プライベートサブネットにデプロイされたマルチ AZ AWS PrivateLink クラスター
2.2.2.1. AWS リファレンスアーキテクチャー
AWS は、AWS PrivateLink を使用する設定の設定方法を計画する際に、お客様に役立つリファレンスアーキテクチャーを複数提供します。以下に 3 つの例を示します。
パブリックサブネット は、インターネットゲートウェイを介してインターネットに直接接続します。プライベートサブネット は、ネットワークアドレス変換 (NAT) ゲートウェイを介してインターネットに接続します。
プライベートサブネットおよび AWS Site-to-Site VPN アクセスを持つ VPC
この設定により、ネットワークをインターネットに公開することなく、ネットワークをクラウドに拡張できます。
Internet Protocol Security (IPsec) VPN トンネルを介してネットワークとの通信を有効にするために、この設定には、単一のプライベートサブネットと仮想プライベートゲートウェイを持つ仮想プライベートクラウド (VPC) が含まれます。インターネットを介した通信は、インターネットゲートウェイを使用しません。
詳細は、AWS ドキュメントの VPC with a private subnet only and AWS Site-to-Site VPN access を参照してください。
パブリックおよびプライベートサブネット (NAT) を持つ VPC
この設定により、ネットワークを分離して、インターネットからパブリックサブネットに到達できるようにし、かつプライベートサブネットには到達できないようにすることができます。
パブリックサブネットのみが送信トラフィックをインターネットに直接送信できます。プライベートサブネットは、パブリックサブネットにあるネットワークアドレス変換 (NAT) ゲートウェイを使用してインターネットにアクセスできます。これにより、データベースサーバーが NAT ゲートウェイを使用してソフトウェアの更新用にインターネットに接続できますが、インターネットからデータベースサーバーへ直接接続することはできません。
詳細は、AWS ドキュメントの VPC with public and private subnets (NAT) を参照してください。
パブリックサブネットとプライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC
この設定により、ネットワークをクラウドに拡張し、VPC からインターネットに直接アクセスすることができます。
スケーラブルな Web フロントエンドを備えた多層アプリケーションをパブリックサブネットで実行し、IPsec AWS Site-to-Site VPN 接続によってネットワークに接続されているプライベートサブネットにデータを格納できます。
詳細は、AWS ドキュメントの VPC with public and private subnets and AWS Site-to-Site VPN access を参照してください。