第 2 章 配置私有连接

2.1. 为 AWS 配置私有连接

2.1.1. 了解 AWS 云基础架构访问

注意

AWS 云基础架构访问权限不适用于创建集群时所选的客户 Cloud Subscription(CCS)基础架构类型,因为 CCS 集群已部署到您的帐户中。

Amazon Web Services(AWS)基础架构访问权限允许 客户门户网站 机构管理员和集群所有者启用 AWS Identity and Access Management(IAM)用户,以联合访问其 OpenShift Dedicated 集群的 AWS 管理控制台。可以为客户 AWS 用户授予 AWS 访问权限,并实施私有集群访问权限以适应 OpenShift Dedicated 环境的需求。

  1. 开始为 OpenShift Dedicated 集群配置 AWS 基础架构访问权限。通过创建 AWS 用户和组,并提供该用户对 OpenShift Dedicated AWS 帐户的访问权限。
  2. 访问 OpenShift Dedicated AWS 帐户后,请使用以下一个或多个方法建立集群的私有连接:

    • 配置 AWS VPC 对等点:启用 VPC 对等在两个专用 IP 地址间路由网络流量。
    • 配置 AWS VPN:建立虚拟专用网络,以安全地将您的私有网络连接到 Amazon Virtual Private Cloud。
    • 配置 AWS 直接连接:配置 AWS Direct Connect,以在您的专用网络和 AWS Direct Connect 位置之间建立专用网络连接。

配置云基础架构访问后,了解更多有关配置私有集群的信息。

2.1.2. 配置 AWS 基础架构访问权限

Amazon Web Services(AWS)基础架构访问权限允许 客户门户网站 机构管理员和集群所有者启用 AWS Identity and Access Management(IAM)用户,以联合访问其 OpenShift Dedicated 集群的 AWS 管理控制台。管理员可以在 Network Management只读访问 选项之间进行选择。

先决条件

  • 具有 IAM 权限的 AWS 帐户。

流程

  1. 登录到您的 AWS 帐户。如果需要,您可以按照 AWS 文档 的内容来创建新的 AWS 帐户。
  2. 在 AWS 帐户中使用 STS:AllowAssumeRole 权限创建一个 IAM 用户。

    1. 打开 AWS 管理控制台的 IAM 仪表板
    2. Policies 部分,点 Create Policy
    3. 选择 JSON 标签,将现有文本替换为以下内容:

      {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "sts:AssumeRole",
                "Resource": "*"
            }
        ]
      }
    4. 单击 Next:Tags
    5. 可选:添加标签。点 Next:Review
    6. 提供适当的名称和描述,然后点 Create Policy
    7. Users 部分,点 Add user
    8. 提供一个适当的用户名。
    9. 选择 AWS Management Console 访问 作为 AWS 访问类型。
    10. 根据您的机构需要调整密码要求,然后点 Next:Permissions
    11. 点击 附加现有策略直接 选项。搜索并检查在前面的步骤中创建的策略。

      注意

      不建议设置权限边界。

    12. Next: Tags,然后点 Next: Review。确认配置正确。
    13. 单击 Create user,会出现一个成功页面。
    14. 收集 IAM 用户的 Amazon 资源名称(ARN)。ARN 将的格式如下: arn:aws:iam::000111222333:user/username。单击 Close
  3. 在浏览器中打开 OpenShift Cluster Manager Hybrid Cloud Console,然后选择您要允许 AWS 基础架构访问的集群。
  4. 选择 Access control 选项卡,并滚动到 AWS Infrastructure Access 部分。
  5. 粘贴 AWS IAM ARN 并选择 Network ManagementRead-only 权限,然后点 Grant 角色
  6. AWS OSD 控制台 URL 复制到您的剪贴板。
  7. 使用您的帐户 ID 或别名、IAM 用户名和密码登录到 AWS 帐户。
  8. 在新的浏览器标签页中,粘贴 AWS OSD 控制台 URL,该 URL 用于路由到 AWS Switch Role 页面。
  9. 您的帐户编号和角色将被填写。如有必要,选择显示名称,然后单击 Switch Role

验证

  • 现在,您会看到位于 最近访问的服务下的 VPC

2.1.3. 配置 AWS VPC 对等点

Virtual Private Cloud(VPC)对等连接是两个 VPC 之间的网络连接,可让您使用私有 IPv4 地址或 IPv6 地址在它们间路由流量。您可以配置 Amazon Web Services(AWS) VPC,其中包含 OpenShift Dedicated 集群与另一个 AWS VPC 网络对等。

警告

如果 VPC 安装集群被 Red Hat OpenShift Cluster Manager 对等,则无法完全删除私有集群。

AWS 支持独立于 中国的所有商业区域间的区域 VPC 同行

先决条件

  • 收集发起对等请求所需的客户 VPC 的以下信息:

    • 客户 AWS 帐号
    • 客户 VPC ID
    • 客户 VPC 区域
    • 客户 VPC CIDR
  • 检查 OpenShift Dedicated Cluster VPC 使用的 CIDR 块。如果它重叠或与客户 VPC 的 CIDR 块重叠,则无法将这些两个 VPC 间的 peer 对话; 请参阅 Amazon VPC Unsupported VPC peering configuration 文档。如果 CIDR 块没有重叠,您可以继续进行操作。

其他资源

  • 如需更多信息,请参阅 AWS VPC 指南。

2.1.4. 配置 AWS VPN

您可以配置 Amazon Web Services(AWS)OpenShift Dedicated 集群,使用客户的上门硬件虚拟专用网络(VPN)设备。默认情况下,您启动到 AWS Virtual Private Cloud(VPC)的实例无法与您自己的(远程)网络通信。您可以通过创建 AWS 站点到Site VPN 连接并将路由配置为通过连接传输流量,启用从 VPC 访问远程网络。

注意

AWS VPN 目前不提供将 NAT 应用到 VPN 流量的受管选项。如需了解更多详细信息,请参阅 AWS 知识库

不支持通过私有连接路由所有流量,如 0.0.0.0/0。这要求删除互联网网关,这些网关禁用 SRE 管理流量。

先决条件

  • 硬件 VPN 网关设备模型和软件版本,如 Cisco ASA 运行 8.3。请参阅 AWS 文档,确认 AWS 是否支持您的网关设备。
  • VPN 网关设备的公共静态 IP 地址。
  • BGP 或静态路由:如果 BGP,则需要 ASN。如果静态路由,必须至少配置一个静态路由。
  • 可选:可访问服务的 IP 和端口/协议来测试 VPN 连接。

流程

  1. 创建客户网关 来配置 VPN 连接。
  2. 如果您还没有附加到预期的 VPC 的虚拟专用网关,请创建并附加 虚拟专用网关。
  3. 配置路由并启用 VPN 路由传播
  4. 更新您的安全组
  5. 建立站点到Site VPN 连接

    注意

    记录 VPC 子网信息,您必须作为远程网络添加到您的配置中。

其他资源

  • 有关详情和故障排除帮助,请参阅 AWS VPN 指南。

2.1.5. 配置 AWS 直接连接

Amazon Web Services(AWS)Direct Connect 需要连接到 Direct Connect Gateway(DXGateway)的托管虚拟接口(VIF),该网关与 Virtual Gateway(VGW)或 Transit Gateway 相关联,以便在同一个帐户或其他帐户中访问远程虚拟私有云(VPC)。

如果您没有现有的 DXGateway,典型的流程涉及创建托管 VIF(在 AWS 帐户中创建的 DXGateway 和 VGW)。

如果您有一个现有的 DXGateway 连接到一个或多个现有的 VGW,该过程涉及 AWS 帐户将 Association Proposal 发送到 DXGateway 所有者。DXGateway 所有者必须确保所提议的 CIDR 不会与他们关联的任何其他 VGW 冲突。

先决条件

  • 确认 OpenShift Dedicated VPC 的 CIDR 范围不会与您关联的任何其他 VGW 冲突。
  • 收集以下信息:

    • Direct Connect Gateway ID。
    • 与虚拟接口关联的 AWS 帐户 ID。
    • 为 DXGateway 分配 BGP ASN。可选:也可以使用 Amazon 默认 ASN。

流程

  1. 创建一个 VIF查看您现有的 VIFs,以确定您需要创建的直接连接类型。
  2. 创建网关。

    1. 如果 Direct Connect VIF 类型为 Private请创建一个虚拟专用网关
    2. 如果 Direct Connect VIF 是 Public请创建一个直接连接网关
  3. 如果您有一个要使用的现有网关,请创建一个关联提议, 并将建议发送到 DXGateway 所有者进行批准。

    警告

    当连接到现有的 DXGateway 时,您负责 成本

其他资源