Aspekty organizace prostředků pro Azure Red Hat OpenShift (volitelné)

Organizaci prostředků většinou spravuje základ platformy. Tady je několik způsobů, jak může základ platformy ovlivnit akcelerátor cílové zóny Azure Red Hat OpenShift.

Návrh předplatného a skupiny prostředků jsou klíčovými aspekty obecných doporučení cílových zón Azure. Hrají zásadní roli ve správě organizace prostředků Azure Red Hat OpenShift. Předplatná představují hranici správy pro zásady správného řízení a izolaci prostředků. Jak je popsáno v tématu Skupina pro správu a organizace předplatného, pomocí předplatných a skupin pro správu přiřaďte zásady k prostředkům v rámci hranic.

Pokud máte například veřejné a soukromé aplikace, rozdělte je do různých předplatných a umístěte je do příslušných skupin pro správu s názvy Corp a nebo Onlinedo jiných skupin pro správu pod cílovými zónami. Předplatná, která jsou v rámci Corp skupiny pro správu, mají zásady, které brání vytváření veřejných IP adres. Předplatná, která jsou pod Online skupinami pro správu, umožňují přímé připojení k internetu a veřejný přístup. Další informace o tom, které zásady se používají na různých úrovních návrhu cílové zóny Azure, včetně zásad specifických pro ARO, najdete v tématu Zásady zahrnuté v referenčních implementacích cílových zón Azure.

Na co dát pozor při navrhování

• Rozhodněte, kdo bude spravovat hostitele kontejnerů:

  • Pokud jsou hostitelé spravováni centrálně, můžete snížit počet instancí cílové zóny. Vyžadovat, aby vývojáři postupují podle definovaných procesů při nasazování hostitelů a používali sdílené řídicí panely a upozornění pro operace na úrovni úloh.

  • Pokud hostitele spravují týmy úloh, potřebujete k segmentování hostitelských prostředí více instancí cílových zón. Týmy úloh můžou řídit svá nasazení.

  • Jestli jsou hostitelé centrálně spravováni týmy úloh, rozšiřte tuto pozornost na sousední a související prostředky, jako jsou firewally webových aplikací, trezory klíčů, agenti sestavení kanálů a potenciálně jump boxy.

• Zvolte model tenanta pro clustery:

  • Jeden tenant provozovaný týmem úloh: Jeden hostitel clusteru, který podporuje jednu úlohu, pravděpodobně vyžaduje vyhrazenou cílovou zónu pro segmentaci a kontrolu týmu úloh.

  • Technologické platformy, hostitelé s více tenanty: Když jsou hostitelé centrálně spravováni, provozní efektivita pochází z konsolidace více hostitelů a více úloh v předplatných sdílených cílových zón. Konsolidace snižuje počet cílových zón a hostitelů, kteří jsou vyhrazeni pro podporu jednoho clusteru nebo úlohy.

    Předplatná cílových zón možná budete muset přidat v případě, že se k oddělení úloh vyžaduje segmentace na základě oblasti, obchodní jednotky, prostředí, důležitosti nebo jiných externích omezení.

    Tip

    Před vytvořením dalších skupin pro správu si projděte téma Přizpůsobení architektury cílové zóny Azure tak, aby splňovala požadavky .

  • Centrálně provozovaný, jeden tenant: U nepřátelských nebo regulovaných úloh, které jsou stále centrálně provozovány, je běžné mít pro úlohy vyhrazené hostitele. Konsolidací podpůrných cílových zón můžete stále docházet k provozní efektivitě.

• Zvolte hierarchii skupin pro správu na základě obecného měřítka a sladění prostředí a hostitelů, které jsou potřeba pro podporu celkových požadavků portfolia:

  • Použijte plochou strukturu pro podporu mnoha vyhrazených hostitelů ve vyhrazených prostředích pro decentralizované operace spouštěné jednotlivými týmy úloh.
  • Segmentovanou strukturu použijte k vytvoření skupiny pro správu pro centrálně spravované hostitele a samostatné skupiny pro správu pro decentralizované operace.
  • Pomocí hierarchické struktury můžete prostředí dále segmentovat, aby odrážela požadavky na fakturaci, zásady správného řízení nebo provoz.

• Rozhodněte, který registr kontejneru použít:

  • Použijte integrovaný registr Red Hat OpenShift Container Platform. Zvažte tyto faktory:
    • Musíte nakonfigurovat integrovaný registr kontejneru.
    • V případě registru kontejneru podnikové kvality použijte registr Red Hat Quay.
  • Použijte Azure Container Registry. Zvažte tyto faktory:
    • Implementace Azure Container Registry osvědčených postupů
    • Pomocí vzoru karantény se ujistěte, že registr obsahuje pouze image, u kterých byla zkontrolována chyba zabezpečení.
  • Použijte registr kontejneru třetí strany.

• Rozhodněte se, kterou topologii registru kontejneru použít pro distribuci artefaktů OCI (Open Container Initiative):

  • Jeden registr na úlohu.
  • Jeden registr na cluster s několika úlohami v registru.
  • Jeden registr pro všechny clustery v cílové zóně s několika úlohami a clustery ve stejném registru.
  • Jeden registr pro všechny clustery v několika cílových zónách s několika úlohami a clustery ve stejném registru.

• Určete rozsah zásad registru kontejnerů v Azure Policy:

  • Nastavte zásadu na úrovni předplatného, která vyžaduje, aby všichni hostitelé v cílové zóně používali definovaný registr.
  • Nastavte podrobnější zásady na úrovni skupiny prostředků.
  • Nastavte širší zásady na úrovni skupiny pro správu.

Doporučení k návrhu

• Definujte standard pojmenování a označování , který bude platit pro všechny prostředky kontejneru nasazené do Azure. Standard by měl obsahovat minimálně:
  • Názvy úloh: Úlohy nebo úlohy, které jednotlivé clustery podporují.
  • Prostředky clusteru: Zvýšení úrovně zarovnání prostředků clusteru z předchozích aspektů.
  • Operátor hostitele: Který tým zodpovídá za operace hostitele.
• Implementujte zásadu, která bude vyžadovat konkrétní registr artefaktů OCI, který je založený na topologii registru kontejnerů vaší organizace.

Další kroky

• Projděte si doporučení k zabezpečení pro Azure Red Hat OpenShift.