2.2. アーキテクチャーモデル
ROSA には 2 つのインストール製品があります。このアーキテクチャーは、次のネットワーク設定タイプをサポートします。
- パブリックネットワーク
- プライベートネットワーク
- AWS PrivateLink (ROSA Classic のみ)
2.2.1. パブリックおよびプライベートネットワークの ROSA アーキテクチャー
ROSA は、パブリックネットワークまたはプライベートネットワークのいずれかを使用してインストールできます。クラスター作成のプロセス中または作成後にプライベートクラスターおよびプライベートネットワーク接続を設定します。Red Hat は、パブリックネットワークを介したアクセスが限定されたクラスターを管理します。詳細は、ROSA サービス定義 を参照してください。
図2.1 パブリックおよびプライベートネットワークにデプロイされた ROSA Classic
Hosted Control Plane (HCP) を備えた Red Hat OpenShift Service on AWS (ROSA) を使用している場合は、パブリックネットワークおよびプライベートネットワーク上にもクラスターを作成できます。以下の図は、パブリックネットワークとプライベートネットワークの両方のアーキテクチャーを示しています。
図2.2 パブリックネットワーク上にデプロイされた HCP を備えた ROSA
図2.3 プライベートネットワーク上にデプロイされた HCP を備えた ROSA
または、プライベートサブネットでのみホストされる AWS PrivateLink を使用して ROSA Classic クラスターをインストールできます。
2.2.2. AWS PrivateLink アーキテクチャー
AWS PrivateLink クラスターを作成する Red Hat マネージドインフラストラクチャーは、プライベートサブネットでホストされています。Red Hat とお客様によって提供されるインフラストラクチャー間の接続は、AWS PrivateLink VPC エンドポイント経由で作成されます。
AWS PrivateLink は既存の VPC でのみサポートされます。
次の図は、PrivateLink クラスターのネットワーク接続を示しています。
図2.4 プライベートサブネットにデプロイされたマルチ AZ AWS PrivateLink クラスター
2.2.2.1. AWS リファレンスアーキテクチャー
AWS は、AWS PrivateLink を使用する設定の設定方法を計画する際に、お客様に役立つリファレンスアーキテクチャーを複数提供します。以下に 3 つの例を示します。
パブリックサブネット は、インターネットゲートウェイを介してインターネットに直接接続します。プライベートサブネット は、ネットワークアドレス変換 (NAT) ゲートウェイを介してインターネットに接続します。
プライベートサブネットおよび AWS Site-to-Site VPN アクセスを持つ VPC
この設定により、ネットワークをインターネットに公開することなく、ネットワークをクラウドに拡張できます。
Internet Protocol Security (IPsec) VPN トンネルを介してネットワークとの通信を有効にするために、この設定には、単一のプライベートサブネットと仮想プライベートゲートウェイを持つ仮想プライベートクラウド (VPC) が含まれます。インターネットを介した通信は、インターネットゲートウェイを使用しません。
詳細は、AWS ドキュメントの VPC with a private subnet only and AWS Site-to-Site VPN access を参照してください。
パブリックおよびプライベートサブネット (NAT) を持つ VPC
この設定により、ネットワークを分離して、インターネットからパブリックサブネットに到達できるようにし、かつプライベートサブネットには到達できないようにすることができます。
パブリックサブネットのみが送信トラフィックをインターネットに直接送信できます。プライベートサブネットは、パブリックサブネットにあるネットワークアドレス変換 (NAT) ゲートウェイを使用してインターネットにアクセスできます。これにより、データベースサーバーが NAT ゲートウェイを使用してソフトウェアの更新用にインターネットに接続できますが、インターネットからデータベースサーバーへ直接接続することはできません。
詳細は、AWS ドキュメントの VPC with public and private subnets (NAT) を参照してください。
パブリックサブネットとプライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC
この設定により、ネットワークをクラウドに拡張し、VPC からインターネットに直接アクセスすることができます。
スケーラブルな Web フロントエンドを備えた多層アプリケーションをパブリックサブネットで実行し、IPsec AWS Site-to-Site VPN 接続によってネットワークに接続されているプライベートサブネットにデータを格納できます。
詳細は、AWS ドキュメントの VPC with public and private subnets and AWS Site-to-Site VPN access を参照してください。
2.2.3. Local Zones を使用する ROSA アーキテクチャー
ROSA は、顧客がレイテンシーの影響を受けやすいアプリケーションのワークロードを VPC 内に配置できる大都市集中型のアベイラビリティーゾーンである AWS Local Zones の使用をサポートします。Local Zones は AWS リージョンを拡張したもので、デフォルトでは有効になっていません。Local Zones が有効になっており、設定されている場合、トラフィックは Local Zones に拡張され、高い柔軟性と低レイテンシーを得ることができます。詳細は、Local Zones でマシンプールを設定する を参照してください。
次の図は、トラフィックが Local Zones にルーティングされない ROSA クラスターを示しています。
図2.5 トラフィックが Local Zones にルーティングされない ROSA クラスター
次の図は、トラフィックが Local Zones にルーティングされる ROSA クラスターを示しています。
図2.6 トラフィックが Local Zones にルーティングされる ROSA クラスター