2.8.2. 프라이빗 클러스터
외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 노출되지 않습니다.
기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.
프라이빗 클러스터를 배포하려면 요구사항을 충족하는 기존 네트워킹을 사용해야 합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.
또한 프로비저닝하는 클라우드에 대한 API 서비스, 프로비저닝하는 네트워크의 호스트, 설치 미디어를 받기 위해 필요한 인터넷 등에 액세스 권한이 있는 시스템에서 프라이빗 클러스터를 배포해야 합니다. 이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 클라우드 네트워크의 배스천 호스트 또는 VPN을 통해 네트워크에 액세스할 수 있는 시스템 등을 예로 들 수 있습니다.
2.8.2.1. AWS의 개인 클러스터
AWS(Amazon Web Services)에 개인 클러스터를 생성하려면 클러스터를 호스팅할 기존 프라이빗 VPC와 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 개인 네트워크에서만 액세스할 수 있도록 Ingress Operator 및 API 서버를 구성합니다.
클러스터가 AWS API에 액세스하려면 여전히 인터넷 접속이 필요합니다.
다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.
- 퍼블릭 서브넷
- 공용 인그레스를 지원하는 공용 로드 밸런서
-
클러스터의
baseDomain과 일치하는 공용 Route 53 영역
설치 프로그램은 사용자가 지정하는 baseDomain을 사용하여 프라이빗 Route 53 영역과 클러스터에 필요한 레코드를 생성합니다. Operator가 클러스터에 대한 공용 레코드를 생성하지 않고 사용자가 지정하는 프라이빗 서브넷에 모든 클러스터 시스템이 배치되도록 클러스터가 구성됩니다.
2.8.2.1.1. 제한
개인 클러스터에 공용 기능을 추가하는 기능은 제한됩니다.
- 설치 후에는 VPC에서 사용 중인 각 가용성 영역의 퍼블릭 서브넷 생성, 공용 로드 밸런서 생성, 6443(Kubernetes API 포트)의 인터넷 트래픽을 허용하도록 컨트롤 플레인 보안 그룹 구성 등 추가 조치 없이 Kubernetes API 엔드포인트를 공개할 수 없습니다.
-
공용 서비스 유형 로드 밸런서를 사용하는 경우 AWS가 공용 로드 밸런서를 생성하는 데 사용할 수 있도록 각 가용성 영역의 퍼블릭 서브넷에
kubernetes.io/cluster/<cluster-infra-id>: shared태그를 지정해야 합니다.
