1.2. 배포에 STS를 사용할 때 고객 요구 사항

AWS STS(Security Token Service)를 사용하는ROSA(Red Hat OpenShift Service on AWS) 클러스터를 배포하기 전에 다음 사전 요구 사항을 완료해야 합니다.

1.2.1. 계정

  • AWS 제한은 AWS 계정 내에서 프로비저닝된 AWS에서 Red Hat OpenShift Service를 지원하기에 충분한지 확인해야 합니다. CLI에서 rosa 확인 할당량 을 실행하면 클러스터를 실행하는 데 필요한 할당량이 있는지 확인합니다.

    참고

    할당량 확인에서는 AWS 할당량을 검사하지만 사용량을 AWS 할당량과 비교하지는 않습니다. 자세한 내용은 추가 리소스의 "Limits and scalability" 링크를 참조하십시오.

  • SCP 정책을 적용하고 시행하는 경우, 이러한 정책은 클러스터가 요구하는 역할과 정책보다 제한적이 아니어야 합니다.
  • AWS 계정을 Red Hat으로 이전해서는 안 됩니다.
  • Red Hat 활동에 대해 정의된 역할 및 정책 이외의 AWS 사용 제한을 추가로 적용하지 않아야 합니다. 제한 사항을 부과하면 Red Hat의 사고 대응 능력을 크게 방해할 수 있습니다.
  • 동일한 AWS 계정 내에 기본 AWS 서비스를 배포할 수 있습니다.

  • ELB(Elastic Load Balancing)를 구성하는 데 필요하므로 계정에 서비스 링크된 역할이 설정되어 있어야 합니다. 이전에 AWS 계정에 로드 밸런서를 생성하지 않은 경우 ELB에 대한 서비스 링크 역할을 생성하는 방법에 대한 정보는 추가 리소스의 "Elastic Load Balancing(ELB) 서비스 연결 역할 생성" 링크를 참조하십시오.

    참고

    AWS 및 기타 Red Hat 지원 서비스에 Red Hat OpenShift Service를 호스팅하는 VPC와 별도로 VPC(Virtual Private Cloud)에 리소스를 배포하는 것이 좋지만 필수 사항은 아닙니다.

추가 리소스

1.2.2. 액세스 요구 사항

  • Red Hat은 고객이 제공하는 AWS 계정에 대한 AWS 콘솔 액세스 권한이 있어야 합니다. Red Hat은 이 액세스를 보호하고 관리합니다.
  • AWS 클러스터의 Red Hat OpenShift Service 내에서 권한을 승격하려면 AWS 계정을 사용해서는 안 됩니다.
  • rosa CLI 유틸리티 또는 OpenShift Cluster Manager Hybrid Cloud Console 에서 제공되는 작업은 AWS 계정에서 직접 수행하지 않아야 합니다.
  • ROSA 클러스터를 배포하기 위해 사전 구성된 도메인이 필요하지 않습니다. 사용자 정의 도메인을 사용하려면 추가 리소스를 참조하십시오.

추가 리소스

1.2.3. 지원 요구사항

  • Red Hat은 고객이 최소한 AWS의 비즈니스 지원을 받을 것을 권장합니다.
  • Red Hat은 고객으로부터 AWS 지원을 요청할 수 있습니다.
  • Red Hat은 고객 계정의 AWS 리소스 제한 증가를 요청할 수 있는 권한을 고객으로부터 보유할 수 있습니다.
  • Red Hat은 이 요구 사항 섹션에 달리 지정하지 않는 한 AWS 클러스터의 모든 Red Hat OpenShift Service의 제한 사항, 제한 사항, 기대치 및 기본값을 동일한 방식으로 관리합니다.

1.2.4. 보안 요구사항

  • Red Hat은 허용된 IP 주소에서 EC2 호스트 및 API 서버에 대한 수신 액세스 권한이 있어야 합니다.
  • Red Hat은 문서화된 도메인에 허용되는 송신을 보유해야 합니다. 지정된 도메인의 "AWS 방화벽 사전 요구 사항" 섹션을 참조하십시오.

추가 리소스

1.2.5. OpenShift Cluster Manager 사용 요구사항

다음 섹션에서는 OpenShift Cluster Manager Hybrid Cloud Console 의 요구 사항에 대해 설명합니다. CLI 툴을 독점적으로 사용하는 경우 요구 사항을 무시할 수 있습니다.

OpenShift Cluster Manager를 사용하려면 AWS 계정을 연결해야 합니다. 이러한 연결 개념은 계정 연관이라고도 합니다.

1.2.5.1. AWS 계정 연결

ROSA(Red Hat OpenShift Service on AWS) 클러스터 프로비저닝 작업을 수행하려면ARN(Amazon Resource Name)을 사용하여 ocm -role 및 사용자 역할 OpenShift Cluster Manager IAM 역할을 AWS 계정에 연결해야 합니다.

ocm-role ARN은 Red Hat 조직에 레이블로 저장되고 사용자 역할 ARN은 Red Hat 사용자 계정 내부에 레이블로 저장됩니다. Red Hat은 이러한 ARN 라벨을 사용하여 사용자가 유효한 계정 소유자이고 올바른 권한을 사용하여 AWS 계정에서 필요한 작업을 수행할 수 있는지 확인합니다.

1.2.5.2. AWS 계정 연결

rosa CLI를 사용하여 AWS 계정을 기존 IAM 역할에 연결할 수 있습니다.

사전 요구 사항

  • AWS 계정이 있습니다.
  • OpenShift Cluster Manager Hybrid Cloud Console 을 사용하여 클러스터 생성
  • AWS 계정 전체 역할을 설치하는 데 필요한 권한이 있습니다. 자세한 내용은 이 섹션의 "해결 리소스"를 참조하십시오.
  • 설치 호스트에 최신 AWS(aws) 및 ROSA(rosa) CLI를 설치하고 구성했습니다.

  • ocm-roleuser-role IAM 역할을 생성했지만 아직 AWS 계정에 연결되지 않았습니다. 다음 명령을 실행하여 IAM 역할이 이미 연결되어 있는지 확인할 수 있습니다. 

    $ rosa list ocm-role
    $ rosa list user-role

    두 역할의 Linked 열에 Yes 가 표시되면 이미 역할을 AWS 계정에 연결한 것입니다.

절차

  1. CLI에서 ARM(Amazon Resource Name)을 사용하여 ocm-role 리소스를 Red Hat 조직에 연결합니다.

    참고

    rosa link 명령을 실행하려면 Red Hat 조직 관리자 권한이 있어야 합니다. ocm-role 리소스를 AWS 계정과 연결하면 조직의 모든 사용자에게 표시됩니다. 

    $ rosa link ocm-role --role-arn <arn>

    출력 예

    I: Linking OCM role
? Link the '<AWS ACCOUNT ID>` role with organization '<ORG ID>'? Yes
I: Successfully linked role-arn '<AWS ACCOUNT ID>' with organization account '<ORG ID>'

  2. CLI에서 ARM(Amazon Resource Name)을 사용하여 사용자 역할 리소스를 Red Hat 사용자 계정에 연결합니다. 

    $ rosa link user-role --role-arn <arn>

    출력 예

    I: Linking User role
? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-User-Role-125' role with organization '<AWS ID>'? Yes
I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-User-Role-125' with organization account '<AWS ID>'

추가 리소스

1.2.5.3. 여러 AWS 계정을 Red Hat 조직과 연결

여러 AWS 계정을 Red Hat 조직과 연결할 수 있습니다. 여러 계정을 연결하면 Red Hat 조직의 관련 AWS 계정에서 Red Hat OpenShift Service on AWS(ROSA) 클러스터를 생성할 수 있습니다.

이 기능을 사용하면 여러 AWS 프로필을 리전 바인딩 환경으로 사용하여 다양한 AWS 리전에서 클러스터를 생성할 수 있습니다.

사전 요구 사항

  • AWS 계정이 있습니다.
  • OpenShift Cluster Manager Hybrid Cloud Console 을 사용하여 클러스터 생성
  • AWS 계정 전체 역할을 설치하는 데 필요한 권한이 있습니다.
  • 설치 호스트에 최신 AWS(aws) 및 ROSA(rosa) CLI를 설치하고 구성했습니다.
  • ocm-role사용자 역할 IAM 역할을 생성했습니다.

절차

추가 AWS 계정을 연결하려면 먼저 로컬 AWS 구성에 프로필을 생성합니다. 그런 다음 추가 AWS 계정에 ocm-role, user, account 역할을 생성하여 계정을 Red Hat 조직과 연결합니다.

추가 리전에 역할을 생성하려면 rosa create 명령을 실행할 때 --profile <aws-profile > 매개변수를 지정하고 < aws_profile >을 추가 계정 프로필 이름으로 교체합니다.

  • OpenShift Cluster Manager 역할을 생성할 때 AWS 계정 프로필을 지정하려면 다음을 수행합니다. 

    $ rosa create --profile <aws_profile> ocm-role

  • 사용자 역할을 생성할 때 AWS 계정 프로필을 지정하려면 다음을 수행합니다. 

    $ rosa create --profile <aws_profile> user-role

  • 계정 역할을 생성할 때 AWS 계정 프로필을 지정하려면 다음을 수행합니다. 

    $ rosa create --profile <aws_profile> account-roles
참고

프로필을 지정하지 않으면 기본 AWS 프로필이 사용됩니다.