Überlegungen zur Ressourcenorganisation für Azure Red Hat OpenShift (optional)

Die Ressourcenorganisation wird hauptsächlich über die Plattformumgebung verwaltet. Hier sind einige Möglichkeiten aufgeführt, wie sich die Plattformumgebung auf Ihren Azure Red Hat OpenShift-Zielzonenbeschleuniger auswirken kann.

Abonnement- und Ressourcengruppengestaltung sind wichtige Überlegungen in generischen Azure-Zielzonenempfehlungen. Sie spielen eine grundlegende Rolle bei der Verwaltung Ihrer Azure Red Hat OpenShift-Ressourcenorganisation. Abonnements stellen die Verwaltungsgrenze für Ressourcengovernance und -isolation dar. Verwenden Sie Abonnements und Verwaltungsgruppen, um den Ressourcen innerhalb der Grenzen Richtlinien zuzuweisen. Entsprechende Informationen finden Sie unter Organisation von Verwaltungsgruppen und Abonnements.

Wenn Sie beispielsweise über öffentliche und private Anwendungen verfügen, trennen Sie diese in verschiedene Abonnements, und platzieren Sie sie in den entsprechenden Verwaltungsgruppen namens Corp und Online oder in anderen Verwaltungsgruppen unter Zielzonen. Die Abonnements, die sich in der Verwaltungsgruppe Corp befinden, verfügen über Richtlinien, die die Erstellung öffentlicher IP-Adressen verhindern. Die Abonnements, die sich unterhalb der Verwaltungsgruppen Online befinden, lassen Internetkonnektivität und öffentlichen Zugriff direkt zu. Weitere Informationen dazu, welche Richtlinien auf den verschiedenen Ebenen eines Azure-Zielzonenentwurfs angewendet werden, einschließlich ARO-spezifischer Richtlinien, finden Sie unter In Referenzimplementierungen von Azure-Zielzonen enthaltene Richtlinien.

Überlegungen zum Entwurf

• Entscheiden Sie, wer für die Verwaltung der Containerhosts zuständig ist:

  • Wenn die Hosts zentral verwaltet werden, können Sie die Anzahl der Zielzoneninstanzen reduzieren. Weisen Sie Entwickler an, bei der Bereitstellung von Hosts definierte Prozesse zu verwenden sowie gemeinsame Dashboards und Warnungen für Vorgänge auf Workloadebene zu nutzen.

  • Wenn Workloadteams die Hosts verwalten, benötigen Sie mehr Zielzoneninstanzen für die Segmentierung der Hostumgebungen. Workloadteams können ihre Bereitstellungen steuern.

  • Weiten Sie diese Überlegung auf angrenzende und verwandte Ressourcen wie Web Application Firewall-Instanzen, Schlüsseltresore, Pipelineerstellungs-Agents und ggf. auch auf Jumpboxen aus, unabhängig davon, ob Hosts zentral von Workloadteams verwaltet werden.

• Wählen Sie ein Mandantenmodell für Cluster aus:

  • Vom Workloadteam betriebener, einzelner Mandant: Ein einzelner Clusterhost, der eine einzelne Workload unterstützt, benötigt wahrscheinlich eine dedizierte Zielzone für die Segmentierung und Steuerung durch Workloadteams.

  • Technologieplattformen, mehrinstanzenfähige Hosts: Wenn Hosts zentral verwaltet werden, ergibt sich ihre betriebliche Effizienz aus der Konsolidierung mehrerer Hosts und mehrerer Workloads in Abonnements mit geteilten Zielzonenumgebungen. Durch Konsolidierung wird die Anzahl von Zielzonen und Hosts reduziert, die für die Unterstützung eines einzelnen Clusters oder einer einzelnen Workload reserviert sind.

    Möglicherweise müssen Sie Zielzonenabonnements hinzufügen, wenn bei der Segmentierung eine Aufteilung von Workloads nach Region, Geschäftseinheit, Umgebung, Wichtigkeit oder anderen externen Einschränkungen erfolgen muss.

    Tipp

    Lesen Sie Anpassen der Azure-Zielzonenarchitektur zur Erfüllung der Anforderungen, bevor Sie zusätzliche Verwaltungsgruppen erstellen.

  • Zentral betriebener, einzelner Mandant: Es ist üblich, für schädliche oder regulierte Workloads, die weiterhin zentral betrieben werden, dedizierte Hosts zu verwenden. Möglicherweise können Sie die betriebliche Effizienz jedoch auch weiterhin erhalten, wenn Sie die unterstützenden Zielzonen konsolidieren.

• Wählen Sie auf Grundlage der allgemeinen Skalierung und Ausrichtung von Umgebungen und Hosts, die insgesamt zur Unterstützung der Portfolioanforderungen erforderlich sind, eine Verwaltungsgruppenhierarchie aus:

  • Verwenden Sie eine flache Struktur zur Unterstützung vieler dedizierter Hosts in dedizierten Umgebungen für dezentralisierte Vorgänge, die von jedem Workloadteam ausgeführt werden.
  • Verwenden Sie eine segmentierte Struktur zur Erstellung einer Verwaltungsgruppe für zentral verwaltete Hosts und einer separaten Verwaltungsgruppe für dezentralisierte Vorgänge.
  • Verwenden Sie eine hierarchische Struktur, durch die Umgebungen weiter segmentiert werden, um Abrechnungs-, Governance- oder Betriebsanforderungen besser widerzuspiegeln.

• Legen Sie fest, welche Containerregistrierung verwendet werden soll:

  • Verwenden Sie die integrierte Red Hat OpenShift Container Platform-Registrierung. Beachten Sie folgende Faktoren:
    • Sie müssen die integrierte Containerregistrierung konfigurieren.
    • Verwenden Sie für eine Containerregistrierung auf Unternehmensebene die Red Hat Quay-Registrierung.
  • Verwenden Sie Azure Container Registry. Beachten Sie folgende Faktoren:
    • Implementieren Sie bewährte Methoden von Azure Container Registry.
    • Verwenden Sie ein Quarantänemuster, um sicherzustellen, dass die Registrierung nur Images enthält, die auf Sicherheitsrisiken überprüft wurden.
  • Verwenden Sie die Containerregistrierung eines Drittanbieters.

• Entscheiden Sie, welche Topologie für Containerregistrierungen für die OCI-Artefaktverteilung (Open Container Initiative) verwendet werden soll:

  • Eine Registrierung pro Workload.
  • Eine Registrierung pro Cluster mit mehreren Workloads in der Registrierung
  • Eine Registrierung für alle Cluster in der Zielzone mit mehreren Workloads und Clustern in derselben Registrierung
  • Eine Registrierung für alle Cluster in mehreren Zielzonen mit mehreren Workloads und Clustern in derselben Registrierung

• Legen Sie den Bereich für Containerregistrierungsrichtlinien in Azure Policy fest:

  • Erstellen Sie eine Richtlinie auf Abonnementebene, die festlegt, dass alle Hosts in der Zielzone die definierte Registrierung verwenden müssen.
  • Erstellen Sie eine präzisere Richtlinie auf Ressourcengruppenebene.
  • Erstellen Sie eine umfassendere Richtlinie auf Verwaltungsgruppenebene.

Entwurfsempfehlungen

• Definieren Sie einen Benennungs- und Markierungsstandard, der auf alle in Azure bereitgestellten Containerressourcen angewendet werden soll. Der Standard sollte mindestens folgende Punkte umfassen:
  • Workloadnamen: Die von den einzelnen Clustern unterstützten Workloads
  • Clusterressourcen: Die Erweiterung der Clusterressourcenausrichtung anhand der vorherigen Überlegungen
  • Betreiber des Hosts: Angabe, welches Team für den Betrieb des Hosts verantwortlich ist
• Implementieren Sie eine Richtlinie, die eine bestimmte OCI-Artefaktregistrierung basierend auf der Topologie für Containerregistrierungen Ihrer Organisation erfordert.

Nächste Schritte

• Lesen Sie die Informationen zu Sicherheitsempfehlungen für Azure Red Hat OpenShift.