2.2. 架构模型
ROSA 有两个安装产品。架构支持以下网络配置类型:
- 公共网络
- 专用网络
- AWS PrivateLink (仅限ROSA Classic)
2.2.1. 公共和专用网络上的 ROSA 架构
您可以使用公共或专用网络安装 ROSA。在集群创建过程中或之后配置私有集群和私有网络连接。红帽通过公共网络管理具有有限访问权限的集群。如需更多信息,请参阅 ROSA 服务定义。
图 2.1. 在公共和私有网络上部署的 ROSA Classic
如果您将 Red Hat OpenShift Service on AWS (ROSA)与托管 control plane (HCP)搭配使用,您可以在公共和私有网络上创建集群。以下镜像描述了公共和专用网络的架构。
图 2.2. 在公共网络上部署带有 HCP 的 ROSA

图 2.3. 在私有网络上部署带有 HCP 的 ROSA

另外,您可以使用 AWS PrivateLink 安装 ROSA Classic 集群,该集群只会托管在私有子网中。
2.2.2. AWS PrivateLink 架构
创建 AWS PrivateLink 集群的 Red Hat 受管基础架构托管在专用子网上。红帽与用户提供的基础架构之间的连接通过 AWS PrivateLink VPC 端点创建。
仅在现有的 VPC 上支持 AWS PrivateLink。
下图显示了 PrivateLink 集群的网络连接。
图 2.4. 在私有子网中部署的 Multi-AZ AWS PrivateLink 集群
2.2.2.1. AWS 参考架构
在计划如何使用 AWS PrivateLink 设置配置时,AWS 提供多个参考架构。下面是三个示例:
公共子网 通过互联网网关直接连接到互联网。专用子网 通过网络地址转换(NAT)网关连接到互联网。
带有专用子网和 AWS Site-to-Site VPN 访问的 VPC。
此配置允许您在不向互联网公开网络的情况下将网络扩展至云中。
要启用通过互联网协议安全性 (IPsec) VPN 隧道与网络通信,此配置包含一个专用子网和虚拟专用网关的虚拟私有云 (VPC)。通过互联网的通信不使用互联网网关。
如需更多信息,请参阅 AWS 文档中的私有子网的 VPC 和 AWS Site-to-Site VPN 访问。
带有公共和私有子网的 VPC (NAT)
此配置允许您隔离网络,以便可以从互联网访问公共子网,但专用子网并非如此。
只有公共子网可以直接向互联网发送出站流量。专用子网可以通过使用位于公共子网中的网络地址转换 (NAT) 网关访问互联网。这允许数据库服务器使用 NAT 网关连接到互联网以获取软件更新,但不允许连接直接从互联网到数据库服务器。
如需更多信息,请参阅 AWS 文档中的使用公共和私有子网(NAT)的 VPC。
带有公共和私有子网的 VPC 和 AWS Site-to-Site VPN 访问
此配置可让您将网络扩展至云中,并直接从 VPC 访问互联网。
您可以使用公共子网中的可扩展 Web 前端运行多层应用程序,并将数据存储在由 IPsec AWS Site-to-Site VPN 连接连接的专用子网中。
如需更多信息,请参阅 AWS 文档中的带有公共和私有子网的 VPC 和 AWS Site-to-Site VPN 访问。