2.6.3. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.6에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

2.6.3.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 이로 인해 설치에 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC 생성 및 관리에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성 및 VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터에서 사용할 네트워크 범위를 세분합니다.
  • 서브넷의 라우팅 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC의 네트워킹 구성에 대한 자세한 내용은 VPC 네트워킹 구성 요소 및 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 사용자가 지정하는 각 서브넷에 태그를 추가할 수 있는지 확인합니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupport 및 enableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 프라이빗 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

  • 공용 액세스 권한이 있는 클러스터를 사용하는 경우 클러스터가 사용하는 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 만들어야 합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 1개 이상 포함될 수 있습니다.

연결이 끊긴 환경에서 작업 중인 경우에는 EC2 및 ELB 끝점의 공용 IP 주소에 도달할 수 없습니다. 이 문제를 해결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 올바른 끝점의 이름은 다음과 같습니다.

  • ec2.<region>.amazonaws.com
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.