Red Hat OpenShift Service on AWS 배포

많은 기업이 모든 애플리케이션을 개발하고 실행하기 위한 공통 플랫폼으로 Red Hat OpenShift를 선택합니다. 많은 복잡성을 야기할 수 있는 이기종 환경을 피할 수 있기 때문입니다. Red Hat OpenShift에서는 새로운 클라우드 네이티브 애플리케이션을 구축하고 실행할 뿐만 아니라 기존 애플리케이션을 Red Hat OpenShift로 마이그레이션할 수도 있습니다.

OpenShift를 사용할 때의 주요 이점 중 하나는 개발자가 플랫폼의 기본 세부 정보를 추상화하는 동안 하나의 인터페이스만 학습하면 된다는 것입니다. 이를 통해 생산성이 크게 향상될 수 있습니다.

Red Hat OpenShift Service on AWS(ROSA)

OpenShift를 도입하기로 결정한 고객 중에는 추가 간소화 단계를 원하는 경우가 있습니다. 이들은 클러스터에 인프라를 제공하고 관리하는 일에 신경 쓰지 않기를 바랍니다. 팀이 처음부터 생산성을 높이고 애플리케이션 개발에만 집중하기를 원합니다. 이를 위한 옵션은 Red Hat OpenShift Service on AWS(ROSA)입니다.

ROSA는 Amazon Web Services(AWS) 퍼블릭 클라우드에서 완전히 호스팅됩니다. Red Hat과 AWS가 공동으로 유지 관리하므로 컨트롤 플레인과 컴퓨팅 노드는 Red Hat과 Amazon의 공동 지원을 받는 Red Hat 사이트 신뢰성 엔지니어(SRE) 팀이 완전히 관리합니다. 여기에는 모든 노드의 설치, 관리, 유지 관리, 업그레이드가 포함됩니다.

ROSA 배포 옵션

ROSA는 퍼블릭 클러스터와 프라이빗 링크 두 가지 방식으로 배포할 수 있습니다. 두 경우 모두 복원력과 고가용성을 위해 여러 가용 영역에 배포하는 것이 좋습니다. 

퍼블릭 클러스터는 엄격한 보안 요구 사항이 없는 워크로드에 주로 사용됩니다. 클러스터는 프라이빗 서브넷(애플리케이션이 실행되는 컨트롤 플레인 노드, 인프라 노드, 작업자 노드 포함) 내의 VPC(Virtual Private Cloud)에 배포됩니다. 그러나 인터넷에서는 계속 액세스할 수 있으므로 VPC 외에도 퍼블릭 서브넷이 필요합니다. 

이 퍼블릭 서브넷에 배포된 AWS 로드 밸런서(Elastic 및 Network Load Balancer)를 사용하면 SRE 팀과 애플리케이션에 액세스하는 사용자(즉, 클러스터로의 인그레스 트래픽)가 연결할 수 있습니다. 사용자의 경우 로드 밸런서는 인프라 노드에서 실행되는 라우터 서비스로 트래픽을 리디렉션하고, 여기에서 작업자 노드 중 하나에서 실행되는 원하는 애플리케이션으로 전달됩니다. SRE 팀은 전용 AWS 계정을 사용하여 다양한 로드 밸런서를 통해 제어 노드 및 인프라 노드에 연결합니다. 

그림 1. ROSA 퍼블릭 클러스터

보안 요구 사항이 더 엄격한 프로덕션 워크로드의 경우 PrivateLink 클러스터를 배포하는 것이 좋습니다. 이 경우 클러스터가 상주하는 VPC에는 프라이빗 서브넷만 있으므로 퍼블릭 인터넷에서는 전혀 액세스할 수 없습니다. 

SRE 팀은 AWS PrivateLink 엔드포인트를 통해 AWS Load Balancer에 연결하는 전용 AWS 계정을 사용합니다. 로드 밸런서는 필요에 따라 트래픽을 제어 노드 또는 인프라 노드로 리디렉션합니다. (AWS PrivateLink가 생성되면 고객은 SRE 팀의 AWS 계정에서 이루어지는 액세스를 승인해야 합니다.)사용자는 AWS Load Balancer에 연결하여 인프라 노드의 라우터 서비스로 리디렉션합니다. 이들은 여기에서 액세스하려는 애플리케이션이 실행 중인 작업자 노드로 전송됩니다.

PrivateLink 클러스터 구현에서는 고객이 일반적으로 클러스터의 이그레스 트래픽을 온프레미스 인프라 또는 AWS 클라우드의 다른 VPC로 리디렉션해야 합니다. 이를 위해 AWS Transit Gateway 또는 AWS Direct Connect를 사용하면 클러스터가 상주하는 VPC에 퍼블릭 서브넷을 배포할 필요가 없습니다. 이그레스 트래픽을 인터넷으로 보내야 하는 경우에도 AWS NAT Gateway 및 AWS Internet Gateway가 있는 퍼블릭 서브넷을 보유한 VPC에 (AWS Transit Gateway를 통해) 연결할 수 있습니다.

그림 2. PrivateLink가 포함된 ROSA 프라이빗 클러스터

퍼블릭 및 PrivateLink 구현 모두에서 클러스터는 AWS VPC 엔드포인트를 사용하여 다른 AWS 서비스와 상호 작용함으로써 원하는 서비스를 통해 클러스터가 있는 VPC와 통신할 수 있습니다.

클러스터에 연결

SRE 팀이 ROSA 클러스터에 로그온하여 관리 작업을 수행하는 데 권장되는 방법은 AWS Security Token Service(STS)를 사용하는 것입니다. 작업을 수행하는 데 꼭 필요한 역할만 할당되도록 최소 권한 개념을 적용해야 합니다. 토큰은 일시적인 일회용이므로 만료된 후 유사한 작업을 다시 수행해야 하는 경우 새 토큰을 요청해야 합니다.

STS의 사용은 EC2(예: 클러스터에 대해 새 서버를 가동해야 하는 경우) 또는 EBS(영구 스토리지가 필요한 경우)와 같은 다른 AWS 서비스에 대한 ROSA 클러스터의 연결로 확장됩니다.

요약

DevOps 방법론을 채택하고 OpenShift와 같은 엔터프라이즈급 쿠버네티스 플랫폼을 사용하여 애플리케이션을 배포하는 방식을 현대화하는 것은 모든 유형의 고객에게 적용됩니다. 온프레미스에서 호스팅하고 직접 관리할 수도 있지만, 그렇게 하고 싶지 않다면 ROSA를 선택하는 것도 한 방법입니다. ROSA 클러스터와 상호 작용할 수 있는 다수의 AWS 서비스를 활용할 수 있으므로 고객이 플랫폼을 최대한 활용할 수 있습니다.

자세히 알아보기

• Red Hat OpenShift Service on AWS 구현