Definice služby Azure Red Hat OpenShift

Následující části obsahují definice služeb, které vám pomůžou spravovat účet Azure Red Hat OpenShift.

Fakturace

Clustery Azure Red Hat OpenShift se nasazují do předplatného Azure zákazníka. Zákazník platí Azure přímo za náklady vzniklé clusterem Azure Red Hat OpenShift.

Uzly Azure Red Hat OpenShift běží na virtuálních počítačích Azure. Účtují se podle cen virtuálních počítačů Azure s Linuxem. Výpočetní prostředky, sítě a úložiště spotřebované clusterem Azure Red Hat OpenShift se účtují podle využití.

Kromě nákladů na výpočetní prostředky a infrastrukturu mají uzly aplikací další náklady na komponentu licence Azure Red Hat OpenShift. Tyto náklady vycházejí z počtu uzlů aplikace a typu instance.

Platí všechny standardní možnosti nákupu Azure, včetně rezervací a zálohy na Azure. Standardní možnosti nákupu Azure je možné použít pro Azure Red Hat OpenShift. Standardní možnosti nákupu Azure je také možné použít pro virtuální počítače, sítě a prostředky úložiště využívané clusterem Azure Red Hat OpenShift.

Další informace o cenách najdete v tématu o cenách Azure Red Hat OpenShift.

Samoobslužná služba clusteru

Zákazníci můžou vytvářet a odstraňovat své clustery pomocí nástroje příkazového řádku Azure (CLI). Clustery Azure Red Hat OpenShift se nasazují s uživatelem kubeadmin, jehož přihlašovací údaje jsou k dispozici z Azure CLI po úspěšném nasazení clusteru.

Všechny ostatní akce clusteru Azure Red Hat OpenShift, jako je škálování uzlů, můžete provádět pomocí nástrojů, jako je webová konzola OpenShift nebo Rozhraní příkazového řádku OpenShift (oc).

Architektura prostředků Azure

Nasazení Azure Red Hat OpenShiftu vyžaduje dvě skupiny prostředků v rámci předplatného Azure. První skupinu prostředků vytvoří zákazník a obsahuje součásti virtuální sítě pro cluster. Oddělení síťových prvků umožňuje zákazníkovi nakonfigurovat Azure Red Hat OpenShift tak, aby splňoval požadavky a přidal všechny možnosti partnerského vztahu.

Druhou skupinu prostředků vytvoří poskytovatel prostředků Azure Red Hat OpenShift. Obsahuje komponenty clusteru Azure Red Hat OpenShift, včetně virtuálních počítačů, skupin zabezpečení sítě a nástrojů pro vyrovnávání zatížení. Komponenty clusteru Azure Red Hat OpenShift umístěné v této skupině prostředků zákazník neupravuje. Konfigurace clusteru se musí provádět prostřednictvím interakcí s rozhraním API OpenShift pomocí webové konzoly OpenShiftu nebo Rozhraní příkazového řádku OpenShift nebo podobných nástrojů.

Poznámka:

Instanční objekt poskytovatele prostředků ARO vyžaduje roli Přispěvatel sítě ve virtuální síti clusteru ARO. To se vyžaduje, aby poskytovatel prostředků ARO vytvořil prostředky, jako je služba ARO Private Link a nástroje pro vyrovnávání zatížení.

Operátory Red Hat

Doporučuje se, aby zákazník při vytváření clusteru Azure Red Hat OpenShift poskytoval tajný kód pro přijetí změn red hatu do clusteru Azure Red Hat OpenShift. Tajný kód pro vyžádání obsahu Red Hat umožňuje clusteru přistupovat k registrům kontejnerů Red Hat spolu s dalším obsahem z centra operátorů OpenShift.

Clustery Azure Red Hat OpenShift můžou dál obsluhovat aplikace bez poskytnutí tajného kódu pro vyžádání obsahu Red Hat, ale nebudou moct instalovat operátory z centra operátorů.

Tajný klíč pro přijetí změn z Red Hatu je také možné poskytnout clusteru po nasazení.

Compute

Clustery Azure Red Hat OpenShift se zřizují se třemi nebo více pracovními uzly.

• V oblastech skládajících se z několika zón dostupnosti se v každé zóně vytvoří sada počítačů pracovních uzlů. Pracovní uzel je také zřízený z každé sady počítačů.

• Pokud oblast Azure nepodporuje zóny dostupnosti, cluster Azure Red Hat OpenShift zřídí pracovní uzly z jedné sady počítačů. Zákazníci mají možnost zvýšit počet uzlů a oprávnění v každé oblasti.

Clustery Azure Red Hat OpenShift se zřizují se třemi uzly řídicí roviny. Tyto uzly zodpovídají za úložiště klíč-hodnota atd. a úlohy související s rozhraním API. Uzel řídicí roviny se nedá použít pro úlohy zákazníků. Nasazení uzlu řídicí roviny se řídí stejnými pravidly jako pracovní uzly.

• V oblastech, které se skládají z více zón dostupnosti, se v každé zóně vytvoří sada počítačů uzlu řídicí roviny. Uzel řídicí roviny se zřizuje z každé sady počítačů.
• Pokud oblast Azure nepodporuje zóny dostupnosti, cluster Azure Red Hat OpenShift zřídí uzly řídicí roviny z jedné sady počítačů.

Typy výpočetních prostředků Azure

Seznam podporovaných typů a velikostí řídicích uzlů a pracovních uzlů najdete v tématu Podporované velikosti virtuálních počítačů.

Oblasti Azure

Oblasti podporované službou Azure Red Hat OpenShift najdete v tématu Produkty dostupné v jednotlivých oblastech.

V Azure CLI zobrazte seznam dostupných oblastí spuštěním následujícího příkazu:

az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml

Po nasazení není možné cluster Azure Red Hat OpenShift přesunout do jiné oblasti. Podobně nemůžete přenášet clustery Azure Red Hat OpenShift mezi předplatnými.

Smlouva úrovně služeb

Podrobnosti o sla najdete v tématu SLA pro Azure Red Hat OpenShift.

Technická podpora

Žádosti o podporu pro Azure Red Hat OpenShift může odeslat;

• Žádost o podporu na webu Azure Portal
• Žádost o podporu prostřednictvím zákaznického portálu Red Hat

Žádosti budou triagedovány a vyřešeny pracovníky podpory Microsoftu a Red Hatu. Azure Red Hat OpenShift zahrnuje podporu Red Hat Premium. Podpora je přístupná prostřednictvím portálu Microsoft Azure Portal.

Pokud chcete otevřít lístky podpory přímo s Red Hatem, cluster bude muset mít tajný kód pro vyžádání změn. Můžete ho přidat během vytváření clusteru nebo ho přidat nebo aktualizovat v existujícím clusteru.

Protokolování

Následující části obsahují informace o zabezpečení Azure Red Hat OpenShift.

Operace clusteru a protokolování auditu

Azure Red Hat OpenShift se nasazuje se službami pro zachování stavu a výkonu clusteru a jeho součástí. Mezi tyto služby patří operace clusteru a protokoly auditu. Clusterové operace a protokoly auditu se automaticky předávají do agregačního systému Azure, aby bylo potřeba podporu a řešení potíží. Tato data jsou přístupná pouze autorizovaným pracovníkům podpory prostřednictvím schválených mechanismů.

Správci clusteru zákazníků můžou nasadit volitelný zásobník protokolování, který agreguje všechny protokoly ze svého clusteru Azure Red Hat OpenShift. Například protokoly auditu systému uzlu a protokoly infrastruktury je možné agregovat. Tyto protokoly však využívají jiné prostředky clusteru.

Protokolování aplikací

S povoleným přístupem k OperatorHub.io zahrnuje Azure Red Hat OpenShift volitelný zásobník protokolování založený na Elasticsearch, Fluentdu a Kibaně (EFK).

Zásobník protokolování, operátor protokolování, lze nakonfigurovat tak, aby splňoval požadavky zákazníků. Je ale určená pro krátkodobé uchovávání, aby pomohla řešení potíží s clustery a aplikacemi, ne pro dlouhodobou archivaci protokolů.

Pokud je zásobník protokolování clusteru nainstalovaný, shromažďuje fluentd protokoly aplikací odesílané do stDOUT. Protokoly aplikace jsou zpřístupněny prostřednictvím zásobníku protokolování clusteru. Uchovávání je nastavené na sedm dnů, ale nepřekročí 200 GiB protokolů na horizontální oddíl. V případě dlouhodobého uchovávání by zákazníci měli v nasazeních postupovat podle návrhu kontejneru sajdkáře. Zákazníci by měli protokoly předávat do služby agregace protokolů nebo analytické služby podle svého výběru.

Sledování

Následující část obsahuje informace o monitorování Azure Red Hat OpenShiftu.

Metriky clusteru

Azure Red Hat OpenShift se nasazuje se službami pro zachování stavu a výkonu clusteru a jeho součástí. Mezi tyto služby patří streamování důležitých metrik do systému agregace Azure pro účely podpory a řešení potíží. Tato data jsou přístupná pouze autorizovaným pracovníkům podpory prostřednictvím schválených mechanismů.

Clustery Azure Red Hat OpenShift mají integrovaný zásobník Prometheus/Grafana, který zákazníkům umožňuje zobrazit monitorování clusteru. Zásobník zahrnuje metriky procesoru, paměti a sítě.

Tyto metriky, které jsou přístupné prostřednictvím webové konzoly, se dají použít také k zobrazení stavu a kapacity nebo využití na úrovni clusteru prostřednictvím řídicího panelu Grafana. Tyto metriky také umožňují horizontální automatické škálování podů založené na metrikách procesoru nebo paměti poskytované zákazníkem Azure Red Hat OpenShift.

Síť

Následující části obsahují informace o síti Azure Red Hat OpenShift.

Certifikáty ověřené doménou

Azure Red Hat OpenShift ve výchozím nastavení zahrnuje certifikáty zabezpečení TLS potřebné pro interní i externí služby v clusteru. Pro externí trasy je v clusteru k dispozici a nainstalovaný certifikát se zástupným znakem TLS (Transport Layer Security). Pro koncový bod rozhraní API OpenShift se používá také certifikát TLS. DigiCert je certifikační autorita (CA) používaná pro tyto certifikáty.

Vlastní domény

Během nasazování umožňuje Azure Red Hat OpenShift zadat vlastní doménu pro váš cluster. Vlastní doména se používá pro clusterové služby i pro aplikace. Pro zadanou doménu musíte na serveru DNS vytvořit dva záznamy DNS A:

• api, které odkazuje na IP adresu serveru api
• *.apps, která odkazuje na IP adresu příchozího přenosu dat

Azure Red Hat OpenShift ve výchozím nastavení používá certifikáty podepsané svým držitelem pro všechny trasy vytvořené ve vlastních doménách. Pokud se rozhodnete používat vlastní domény, připojte se ke clusteru. Dále postupujte podle dokumentace k OpenShiftu a nakonfigurujte certifikační autoritu vlastní certifikační autority pro váš kontroler příchozího přenosu dat a vlastní certifikační autoritu pro váš server rozhraní API.

Vlastní certifikační autority pro sestavení

Azure Red Hat OpenShift podporuje použití certifikačních autorit, které jsou důvěryhodné sestaveními při načítání imagí z registru imagí.

Nástrojů pro vyrovnávání zatížení

Azure Red Hat OpenShift se nasazuje se dvěma nástroji pro vyrovnávání zatížení Azure. První se používá pro příchozí přenos dat do aplikací a pro rozhraní API OpenShift a Kubernetes. Druhá se používá pro interní komunikaci mezi komponentami clusteru.

Příchozí přenos dat clusteru

Správci projektů můžou přidávat poznámky ke směrování pro mnoho různých účelů, včetně řízení příchozího přenosu dat prostřednictvím seznamu povolených IP adres.

Zásady příchozího přenosu dat je možné změnit pomocí objektů NetworkPolicy, které používají modul plug-in ovs-networkpolicy. Použití objektů NetworkPolicy umožňuje úplnou kontrolu nad zásadami sítě příchozího přenosu dat na úrovni podu, včetně podů ve stejném clusteru a dokonce i ve stejném oboru názvů.

Veškerý provoz příchozího přenosu dat clusteru prochází definovaným nástrojem pro vyrovnávání zatížení.

Výchozí přenos dat clusteru

Řízení odchozího provozu podu prostřednictvím objektů EgressNetworkPolicy je možné použít k zabránění nebo omezení odchozího provozu v Azure Red Hat OpenShiftu. V současné době musí mít všechny virtuální počítače odchozí přístup k internetu.

Konfigurace cloudové sítě

Azure Red Hat OpenShift umožňuje konfiguraci privátních síťových připojení prostřednictvím několika technologií spravovaných poskytovatelem cloudu:

• Připojení virtuální sítě
• Partnerský vztah virtuálních sítí Azure
• Azure VNet Gateway
• Azure ExpressRoute

Red Hat SRE neposkytuje žádné monitorování těchto privátních síťových připojení. Monitorování těchto připojení je zodpovědností zákazníka.

DNS zadaný zákazníkem

Zákazníci Azure Red Hat OpenShiftu můžou zadat vlastní servery DNS. Další informace najdete v tématu Konfigurace vlastního DNS pro cluster Azure Red Hat OpenShift.

Síťové rozhraní kontejneru

Azure Red Hat OpenShift se dodává s OVN (Open Virtual Network) jako rozhraní CNI (Container Network Interface). Nahrazení CNI není podporovaná operace. Další informace najdete v tématu poskytovatel sítě OVN-Kubernetes pro clustery Azure Red Hat OpenShift.

Úložiště

Následující části obsahují informace o úložišti Azure Red Hat OpenShift.

Šifrování neaktivních uložených dat

Azure Storage používá šifrování na straně serveru (SSE) k automatickému šifrování dat, když se zachovají do cloudu. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných platformou Microsoftu.

Blokové úložiště (RWO)

Trvalé svazky jsou podporovány blokovým úložištěm disků Azure, což je rwo (Read-Write-Once). 1024-GiB disky se dynamicky vytvářejí a připojují ke každému uzlu roviny kontroleru Azure Red Hat OpenShift. Tyto disky jsou disky ssd úrovně Premium LRS spravované v Azure. Velikosti disků pro výchozí sady počítačů pracovních uzlů je možné nakonfigurovat během vytváření clusteru.

Zákazníci mají oprávnění k vytváření dalších sad počítačů, aby lépe vyhovovaly jejich požadavkům.

Trvalé svazky (VS), které je možné připojit pouze k jednomu uzlu najednou, jsou specifické pro zónu dostupnosti, ve které byly zřízeny. Můžou být připojené k libovolnému uzlu v zóně dostupnosti.

Azure omezuje počet počítačů s úložištěm bloků typů, které je možné připojit k jednomu uzlu. Limity Azure závisí na typu a velikosti virtuálního počítače, který zákazník vybere pro pracovní uzly. Pokud například chcete zobrazit maximální počet datových disků pro řadu Dasv4, přečtěte si téma Dasv4.

Sdílené úložiště (RWX)

Sdílené úložiště pro clustery Azure Red Hat OpenShift musí nakonfigurovat zákazník. Příklad konfigurace třídy úložiště pro soubory Azure najdete v tématu Vytvoření třídy Azure Files StorageClass v Azure Red Hat OpenShift 4.

Platforma

Následující části obsahují informace o platformě Azure Red Hat OpenShift.

Zásady zálohování clusteru

Důležité

Je důležité , abyste měli plán zálohování pro aplikace a data aplikací.

Zálohy dat aplikací a aplikací nejsou automatizovanou součástí služby Azure Red Hat OpenShift. Kurz, jak provést ruční zálohování aplikací, najdete v tématu Vytvoření zálohování aplikací clusteru Azure Red Hat OpenShift 4.

DaemonSets

Zákazníci můžou vytvářet a spouštět daemonSets v Azure Red Hat OpenShiftu. Pokud chcete daemonSets omezit jenom na spuštěné na pracovních uzlech, použijte následující nodeSelector:

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

Verze Azure Red Hat OpenShiftu

Azure Red Hat OpenShift se spouští jako služba. Umožňuje zákazníkům udržovat aktuální informace o nejnovější stabilní verzi OpenShift Container Platform. Informace o zásadách podpory a upgradu najdete v tématu Životní cyklus podpory pro Azure Red Hat OpenShift 4.

Životní cyklus podpory

Informace o životním cyklu podpory Azure Red Hat OpenShift najdete v tématu Životní cyklus podpory pro Azure Red Hat OpenShift 4.

Modul kontejneru

Azure Red Hat OpenShift běží na OpenShiftu 4 a používá implementaci CRI-O rozhraní modulu runtime kontejneru Kubernetes jako jediný dostupný modul kontejneru.

Operační systém

Azure Red Hat OpenShift běží na OpenShiftu 4 pomocí Red Hat Enterprise Linux CoreOS (RHCOS) jako operačního systému pro všechny řídicí roviny a pracovní uzly. Úlohy Windows se v Azure OpenShiftu nepodporují, protože platforma v současné době nepodporuje pracovní uzly Windows.

Podpora operátorů Kubernetes

Azure Red Hat OpenShift podporuje operátory vytvořené společností Red Hat a certifikovanými nezávislými dodavateli softwaru (ISV). Red Hat podporuje operátory poskytované společností Red Hat. IsV operátory jsou podporovány isV.

Pokud chcete použít OperatorHub, musí být váš cluster nakonfigurovaný s tajným kódem pro vyžádání změn Red Hat. Další informace o používání OperatorHubu najdete v tématu Principy OperátorHubu.

Zabezpečení

Následující části obsahují informace o zabezpečení Azure OpenShiftu.

Zprostředkovatel ověřování

Clustery Azure Red Hat OpenShift nejsou nakonfigurované s žádnými zprostředkovateli ověřování.

Zákazníci musí nakonfigurovat vlastní poskytovatele, například ID Microsoft Entra. Informace o konfiguraci poskytovatelů najdete v následujících článcích:

• Ověřování Microsoft Entra
• Zprostředkovatelé identity OpenShift

Dodržování legislativní předpisů

Podrobnosti o certifikacích dodržování právních předpisů v Azure Red Hat OpenShiftu najdete v tématu Nabídky dodržování předpisů Microsoft Azure.

Další kroky

Další informace najdete v dokumentaci k zásadám podpory.