{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*"
}
]
}
×
为 AWS 配置私有连接
了解 AWS 云基础设施访问
|
AWS 云基础设施访问不适用于创建集群时选择的客户云订阅 (CCS) 基础设施类型,因为 CCS 集群部署在您的帐户中。 |
Amazon Web Services (AWS) 基础设施访问允许客户门户组织管理员和集群所有者启用 AWS Identity and Access Management (IAM) 用户,使其能够访问其 OpenShift Dedicated 集群的 AWS 管理控制台。可以为客户 AWS 用户授予 AWS 访问权限,并且可以实施专用集群访问以满足 OpenShift Dedicated 环境的需求。
-
开始为您的 OpenShift Dedicated 集群配置 AWS 基础设施访问。方法是创建一个 AWS 用户和帐户,并向该用户提供对 OpenShift Dedicated AWS 帐户的访问权限。
-
访问 OpenShift Dedicated AWS 帐户后,可以使用以下一种或多种方法建立与集群的专用连接:
-
配置 AWS VPC 对等连接:启用 VPC 对等连接以路由两个专用 IP 地址之间的网络流量。
-
配置 AWS VPN:建立虚拟专用网络以安全地连接您的专用网络到您的 Amazon Virtual Private Cloud。
-
配置 AWS Direct Connect:配置 AWS Direct Connect 以在您的专用网络和 AWS Direct Connect 位置之间建立专用网络连接。
-
配置云基础设施访问后,了解有关配置专用集群的更多信息。
配置 AWS 基础设施访问
Amazon Web Services (AWS) 基础设施访问允许客户门户组织管理员和集群所有者启用 AWS Identity and Access Management (IAM) 用户,使其能够访问其 OpenShift Dedicated 集群的 AWS 管理控制台。管理员可以在`网络管理`或`只读`访问选项之间进行选择。
先决条件
-
具有 IAM 权限的 AWS 帐户。
步骤
-
登录您的 AWS 帐户。如有必要,您可以按照AWS 文档创建一个新的 AWS 帐户。
-
在 AWS 帐户中创建具有`STS:AllowAssumeRole`权限的 IAM 用户。
-
在浏览器中打开 AWS 管理控制台的IAM 仪表板。
-
在“策略”部分,单击“创建策略”。
-
选择“JSON”选项卡,并使用以下内容替换现有文本:
-
单击“下一步:标签”。
-
可选:添加标签。单击“下一步:查看”。
-
提供适当的名称和说明,然后单击“创建策略”。
-
在“用户”部分,单击“添加用户”。
-
提供适当的用户名。
-
选择“AWS 管理控制台访问”作为 AWS 访问类型。
-
根据组织的需要调整密码要求,然后单击“下一步:权限”。
-
单击“直接附加现有策略”选项。搜索并选中上一步中创建的策略。
不建议设置权限边界。
-
单击“下一步:标签”,然后单击“下一步:查看”。确认配置正确。
-
单击“创建用户”,将显示成功页面。
-
收集 IAM 用户的 Amazon 资源名称 (ARN)。ARN 将具有以下格式:`arn:aws:iam::000111222333:user/username`。单击“关闭”。
-
-
在浏览器中打开OpenShift 集群管理器,并选择要允许 AWS 基础设施访问的集群。
-
选择“访问控制”选项卡,然后滚动到“AWS 基础设施访问”部分。
-
粘贴**AWS IAM ARN** 并选择**网络管理**或**只读**权限,然后单击**授予角色**。
-
将**AWS OSD 控制台 URL**复制到剪贴板。
-
使用您的帐户 ID 或别名、IAM 用户名和密码登录您的 AWS 帐户。
-
在新浏览器标签页中,粘贴将用于路由到 AWS 切换角色页面的 AWS OSD 控制台 URL。
-
您的帐户编号和角色将已填写。如有必要,选择一个显示名称,然后单击“切换角色”。
验证
-
您现在在“最近访问的服务”下看到“VPC”。
配置 AWS VPC 对等连接
虚拟私有云 (VPC) 对等连接是在两个 VPC 之间建立的网络连接,使您可以使用私有 IPv4 地址或 IPv6 地址在它们之间路由流量。您可以将包含 OpenShift Dedicated 集群的 Amazon Web Services (AWS) VPC 与另一个 AWS VPC 网络对等。
|
在尝试卸载集群之前,必须从集群的 VPC 中删除所有 VPC 对等连接。否则可能会导致集群无法完成卸载过程。 AWS 支持所有商业区域之间的区域间 VPC 对等(中国区域除外)。 |
先决条件
-
收集启动对等请求所需的相关客户 VPC 信息
-
客户 AWS 账户编号
-
客户 VPC ID
-
客户 VPC 地区
-
客户 VPC CIDR
-
-
检查 OpenShift Dedicated 集群 VPC 使用的 CIDR 块。如果它与客户 VPC 的 CIDR 块重叠或匹配,则这两个 VPC 之间无法进行对等;详情请参阅 Amazon VPC 不受支持的 VPC 对等配置 文档。如果 CIDR 块不重叠,您可以继续执行此过程。
其他资源
-
有关更多信息和故障排除帮助,请参阅 AWS VPC 指南。
配置 AWS VPN
您可以将 Amazon Web Services (AWS) OpenShift Dedicated 集群配置为使用客户的现场硬件虚拟专用网络 (VPN) 设备。默认情况下,您启动到 AWS 虚拟私有云 (VPC) 中的实例无法与您自己的(远程)网络通信。您可以通过创建 AWS 站点到站点 VPN 连接并配置路由以通过连接传递流量来启用从您的 VPC 访问远程网络。
|
AWS VPN 目前不提供将 NAT 应用于 VPN 流量的托管选项。有关更多详细信息,请参阅 AWS 知识中心。 不支持通过专用连接路由所有流量,例如 |
先决条件
-
硬件 VPN 网关设备型号和软件版本,例如运行版本 8.3 的 Cisco ASA。请参阅 AWS 文档 以确认您的网关设备是否受 AWS 支持。
-
VPN 网关设备的公共静态 IP 地址。
-
BGP 或静态路由:如果为 BGP,则需要 ASN。如果是静态路由,则必须配置至少一条静态路由。
-
可选:用于测试 VPN 连接的可访问服务的 IP 和端口/协议。
其他资源
-
有关更多信息和故障排除帮助,请参阅 AWS VPN 指南。
配置 AWS Direct Connect
Amazon Web Services (AWS) Direct Connect 需要连接到 Direct Connect 网关 (DXGateway) 的托管虚拟接口 (VIF),该网关又关联到虚拟网关 (VGW) 或 Transit 网关,以便访问同一账户或其他账户中的远程虚拟私有云 (VPC)。
如果您没有现有的 DXGateway,典型流程包括创建托管 VIF,并在您的 AWS 账户中创建 DXGateway 和 VGW。
如果您有一个连接到一个或多个现有 VGW 的现有 DXGateway,此过程涉及您的 AWS 账户向 DXGateway 所有者发送关联提案。DXGateway 所有者必须确保建议的 CIDR 不会与他们关联的任何其他 VGW 冲突。
先决条件
-
确认 OpenShift Dedicated VPC 的 CIDR 范围不会与您关联的任何其他 VGW 冲突。
-
收集以下信息
-
Direct Connect 网关 ID。
-
与虚拟接口关联的 AWS 账户 ID。
-
为 DXGateway 分配的 BGP ASN。可选:也可以使用 Amazon 默认 ASN。
-
步骤
-
创建 VIF 或 查看您现有的 VIF 以确定您需要创建的直连类型。
-
创建您的网关。
-
如果 Direct Connect VIF 类型为私有,请创建虚拟专用网关。
-
如果 Direct Connect VIF 为公共,请创建 Direct Connect 网关。
-
-
如果您要使用现有的网关,请创建关联提案 并将提案发送给 DXGateway 所有者以供批准。
连接到现有 DXGateway 时,您负责费用。
其他资源
-
有关更多信息和故障排除帮助,请参阅 AWS Direct Connect 指南。