OpenShift 文档正在迁移,很快将仅在 docs.redhat.com(所有 Red Hat 产品文档的首页)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

私有服务连接概述

您可以使用 Google Cloud 的安全增强型网络功能私有服务连接 (PSC) 在 Google Cloud Platform (GCP) 上创建私有 OpenShift Dedicated 集群。

了解私有服务连接

私有服务连接 (PSC) 是 Google Cloud 网络的一项功能,它允许在 GCP 内不同项目或组织之间的服务之间进行私有通信。将 PSC 作为其网络连接一部分的用户可以在 Google Cloud Platform (GCP) 内的私有安全环境中部署 OpenShift Dedicated 集群,而无需任何面向公众的云资源。

有关 PSC 的更多信息,请参阅 私有服务连接

PSC 仅适用于 OpenShift Dedicated 4.17 及更高版本,并且仅受客户云订阅 (CCS) 基础设施类型支持。

先决条件

除了在 Google Cloud Platform (GCP) 上部署任何 OpenShift Dedicated 集群之前需要完成的先决条件外,您还必须完成以下先决条件才能使用私有服务连接 (PSC) 部署私有集群

  • 预先创建的虚拟私有云 (VPC),其中包含在将部署集群的同一 Google Cloud Platform (GCP) 区域中的以下子网

    • 控制平面子网

    • 工作节点子网

    • 用于 PSC 服务附件的子网,其用途设置为私有服务连接。

      PSC 服务附件的子网掩码必须为 /29 或更大,并且必须专用于单个 OpenShift Dedicated 集群。此外,子网必须包含在配置 OpenShift Dedicated 集群时使用的机器 CIDR 范围内。

      有关如何在 Google Cloud Platform (GCP) 上创建 VPC 的信息,请参阅 Google Cloud 文档中的 创建和管理 VPC 网络

  • 为“其他资源”部分中的“GCP 防火墙先决条件”中列出的域名和端口提供从 OpenShift Dedicated 集群到互联网的路径。

  • 在 Google Cloud Platform (GCP) 项目级别启用 云身份感知代理 API

除了上述要求外,使用**服务帐户身份验证类型**配置的集群必须将IAP-Secured Tunnel User角色授予osd-ccs-admin服务帐户。

有关在部署 Google Cloud Platform (GCP) 上的 OpenShift Dedicated 之前必须完成的先决条件的更多信息,请参阅“客户要求”。

PSC 仅支持客户云订阅 (CCS) 基础设施类型。要使用 PSC 创建 Google Cloud Platform (GCP) 上的 OpenShift Dedicated,请参阅“使用工作负载身份联合创建 GCP 上的集群”。

私有服务连接架构

PSC 架构包括生产者服务和消费者服务。使用 PSC,消费者可以从其 VPC 网络内部私有地访问生产者服务。类似地,它允许生产者在其自己的单独 VPC 网络中托管服务,并为其消费者提供私有连接。

下图描述了 Red Hat SRE 和其他内部资源如何访问和支持使用 PSC 创建的集群。

  • 为客户 GCP 项目中的每个 OSD 集群创建一个唯一的 PSC 服务附件。PSC 服务附件指向在客户 GCP 项目中创建的集群 API 服务器负载均衡器。

  • 与服务附件类似,为每个 OSD 集群在 Red Hat 管理 GCP 项目中创建一个唯一的 PSC 端点。

  • 在客户的GCP项目中的集群网络内创建了一个专用于GCP私有服务连接 (PSC) 的专用子网。这是一种特殊的子网类型,生产者服务通过PSC服务附件发布。此子网用于对传入集群API服务器的请求进行源NAT (SNAT)。此外,PSC子网必须位于机器CIDR范围内,并且不能用于多个服务附件。

  • Red Hat内部资源和SRE通过PSC端点和服务附件之间的连接访问私有OSD集群。即使流量跨越多个VPC网络,它也完全保留在Google Cloud内部。

  • 只能通过Red Hat管理项目访问PSC服务附件。

PSC architecture overview
图1. PSC架构概述

后续步骤