Definición del servicio Red Hat OpenShift en Azure
En las secciones siguientes, se proporcionan definiciones del servicio que le ayudarán a administrar la cuenta de Red Hat OpenShift en Azure.
Facturación
Los clústeres de Red Hat OpenShift en Azure se implementan en la suscripción de Azure de un cliente. El cliente paga directamente a Azure por los costos en los que incurre un clúster de Red Hat OpenShift en Azure.
Los nodos de Red Hat OpenShift en Azure se ejecutan en Azure Virtual Machines. Se facturan según los precios de las máquinas virtuales Linux de Azure. Los recursos de proceso, redes y almacenamiento consumidos por un clúster de Red Hat OpenShift en Azure se facturan según el uso.
Además de los costos de proceso e infraestructura, los nodos de aplicación tienen un costo adicional por el componente de licencias de Red Hat OpenShift en Azure. Este costo se basa en el número de nodos de aplicación y el tipo de instancia.
Se aplican todas las opciones de compra estándar de Azure, incluidas las reservas y el pago por adelantado de Azure. Las opciones de compra estándar de Azure se pueden usar para Red Hat OpenShift en Azure. Además, las opciones de compra estándar de Azure se pueden usar para las máquinas virtuales, las redes y los recursos de almacenamiento consumidos por el clúster de Red Hat OpenShift en Azure.
Para más información sobre los precios, consulte Precios de Red Hat OpenShift en Azure.
Autoservicio de clúster
Los clientes pueden crear y eliminar sus clústeres mediante la utilidad de la línea de comandos (CLI) de Azure. Los clústeres de Red Hat OpenShift en Azure se implementan con un usuario kubeadmin cuyas credenciales están disponibles en la CLI de Azure después de que un clúster se haya implementado correctamente.
Puede realizar todas las demás acciones de clúster de Red Hat OpenShift en Azure, como el escalado de nodos, mediante la interacción con la API de OpenShift con herramientas como la consola web de OpenShift o la CLI de OpenShift (oc).
Arquitectura de recursos de Azure
Una implementación de Red Hat OpenShift en Azure requiere dos grupos de recursos dentro de una suscripción de Azure. El cliente crea el primer grupo de recursos y contiene los componentes de red virtual del clúster. Mantener los elementos de redes separados permite al cliente configurar Red Hat OpenShift en Azure para cumplir los requisitos y agregar cualquier opción de emparejamiento.
El segundo grupo de recursos lo crea el proveedor de recursos de Red Hat OpenShift en Azure. Contiene los componentes del clúster de Red Hat OpenShift en Azure, incluidas máquinas virtuales, grupos de seguridad de red y equilibradores de carga. El cliente no puede modificar los componentes del clúster de Red Hat OpenShift en Azure ubicados en este grupo de recursos. La configuración del clúster se debe realizar mediante interacciones con la API de OpenShift con la consola web de OpenShift, la CLI de OpenShift o herramientas similares.
Nota:
La entidad de servicio del proveedor de recursos de ARO requiere el rol Colaborador de red en la red virtual del clúster de ARO. Esto es necesario para que el proveedor de recursos de ARO cree recursos como el servicio ARO Private Link y los equilibradores de carga.
Operadores de Red Hat
Se recomienda que el cliente proporciona un secreto de extracción de Red Hat al clúster de Red Hat OpenShift en Azure durante la creación del clúster. Los secretos de extracción de Red Hat permiten al clúster acceder a los registros de contenedor de Red Hat, junto con otro contenido del centro de operadores de OpenShift.
Los clústeres de Red Hat OpenShift en Azure pueden servir aplicaciones sin proporcionar el secreto de extracción de Red Hat, pero no podrán instalar operadores desde el centro de operadores.
El secreto de extracción de Red Hat también se puede proporcionar al clúster después de la implementación.
Proceso
Los clústeres de Red Hat OpenShift en Azure se aprovisionan con tres o más nodos de trabajo.
En las regiones que constan de varias zonas de disponibilidad, se crea un conjunto de máquinas de nodo de trabajo en cada zona. Además, se aprovisiona un nodo de trabajo de cada conjunto de máquinas.
Cuando una región de Azure no admite zonas de disponibilidad, el clúster de Red Hat OpenShift en Azure aprovisiona los nodos de trabajo desde un único conjunto de máquinas. Los clientes tienen la capacidad de aumentar el número de nodos y el permiso en cada región.
Los clústeres de Red Hat OpenShift en Azure se aprovisionan con tres nodos del plano de control. Estos nodos son responsables del almacén de clave-valor etcd y las cargas de trabajo relacionadas con la API. El nodo del plano de control no se puede usar para las cargas de trabajo del cliente. La implementación del nodo del plano de control sigue las mismas reglas que los nodos de trabajo.
- En las regiones que constan de varias zonas de disponibilidad, se crea un conjunto de máquinas de nodo de plano de control en cada zona. Se aprovisiona un nodo de plano de control de cada conjunto de máquinas.
- Cuando una región de Azure no admite zonas de disponibilidad, el clúster de Red Hat OpenShift en Azure aprovisiona los nodos de plano de control desde un único conjunto de máquinas.
Tipos de proceso de Azure
Para obtener una lista de los tamaños y tipos de nodo de trabajo y de plano de control admitidos, consulte Tamaños de máquinas virtuales que se admiten.
Regiones de Azure
Para ver las regiones admitidas por Red Hat OpenShift en Azure, consulte Productos disponibles por región.
En la CLI de Azure, ejecute el siguiente comando para ver una lista de las regiones disponibles:
az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml
Una vez implementado, el clúster de Red Hat OpenShift en Azure no se puede mover a otra región. Del mismo modo, no se pueden transferir clústeres de Red Hat OpenShift en Azure entre suscripciones.
Acuerdo de nivel de servicio
Para más información sobre el Acuerdo de Nivel de Servicio, consulte SLA para Red Hat OpenShift en Azure.
Soporte técnico
Puede enviar solicitudes de soporte técnico de Red Hat OpenShift en Azure mediante:
- Solicitud de soporte técnico en Azure Portal
- Solicitud de soporte técnico mediante el portal de clientes de Red Hat
Los ingenieros de soporte técnico de Microsoft y Red Hat evaluarán las prioridades y tratarán las solicitudes. Red Hat OpenShift en Azure incluye compatibilidad con Red Hat Premium. Se puede acceder al soporte técnico mediante Microsoft Azure Portal.
Para abrir incidencias de soporte técnico directamente con Red Hat, el clúster deberá tener un secreto de extracción. Puede agregarlo durante la creación del clúster, o bien agregarlo o actualizarlo en un clúster existente.
Registro
En las secciones siguientes, se proporciona información sobre la seguridad de Red Hat OpenShift en Azure.
Operaciones del clúster y registro de auditoría
Red Hat OpenShift en Azure se implementa con servicios para mantener el estado y el rendimiento del clúster y sus componentes. Estos servicios incluyen operaciones del clúster y registros de auditoría. Las operaciones del clúster y los registros de auditoría se reenvían automáticamente a un sistema de agregación de Azure para soporte técnico y solución de problemas. Estos datos solo son accesibles para el personal de soporte técnico autorizado mediante mecanismos aprobados.
Los administradores del clúster del cliente pueden implementar una pila de registro opcional para agregar todos los registros de su clúster de Red Hat OpenShift en Azure. Por ejemplo, se pueden agregar los registros de auditoría del sistema de los nodos y los registros de infraestructura. Sin embargo, estos registros consumen otros recursos del clúster.
Registro de aplicaciones
Con el acceso a OperatorHub.io habilitado, Red Hat OpenShift en Azure incluye una pila de registro opcional basada en Elasticsearch, Fluentd y Kibana (EFK).
La pila de registro, el operador de registro, se puede configurar para cumplir con los requisitos del cliente. Sin embargo, está diseñado para la retención a corto plazo con el fin de ayudar a solucionar problemas de aplicaciones y clústeres, no para el archivado de registros a largo plazo.
Si la pila de registro del clúster está instalada, Fluentd recopila los registros de aplicación enviados a STDOUT. Los registros de aplicación están disponibles mediante la pila de registro del clúster. La retención se establece en siete días, pero no superará los 200 GiB de registros por partición. Para la retención a largo plazo, los clientes deben seguir el diseño de contenedor sidecar en sus implementaciones. Los clientes deben reenviar los registros al servicio de agregación de registros o de análisis de su elección.
Supervisión
En la sección siguiente, se proporciona información sobre la supervisión de Red Hat OpenShift en Azure.
Métricas del clúster
Red Hat OpenShift en Azure se implementa con servicios para mantener el estado y el rendimiento del clúster y sus componentes. Estos servicios incluyen el streaming de métricas importantes a un sistema de agregación de Azure con fines de soporte técnico y solución de problemas. Estos datos solo son accesibles para el personal de soporte técnico autorizado mediante mecanismos aprobados.
Los clústeres de Red Hat OpenShift en Azure incluyen una pila integrada de Prometheus y Grafana para permitir que los clientes puedan ver la supervisión del clúster. La pila incluye métricas basadas en la CPU, la memoria y la red.
Estas métricas, a las que se puede acceder mediante la consola web, también se pueden usar para ver el estado de nivel de clúster y la capacidad y el uso mediante un panel de Grafana. Estas métricas también permiten el escalado automático horizontal de pods, que se basa en las métricas de CPU o memoria proporcionadas por un cliente de Red Hat OpenShift en Azure.
Red
En las secciones siguientes, se proporciona información sobre la red de Red Hat OpenShift en Azure.
Certificados validados por el dominio
De manera predeterminada, Red Hat OpenShift en Azure incluye los certificados de seguridad TLS necesarios para los servicios internos y externos del clúster. En el caso de las rutas externas, se proporciona e instala un certificado comodín de Seguridad de la capa de transporte (TLS) en el clúster. También se usa un certificado TLS para el punto de conexión de la API de OpenShift. DigiCert es la entidad de certificación (CA) que se usa para estos certificados.
Dominios personalizados
Durante la implementación, Red Hat OpenShift en Azure permite especificar un dominio personalizado para el clúster. El dominio personalizado se usa para los servicios del clúster y para las aplicaciones. Debe crear dos registros A de DNS en el servidor DNS para el dominio especificado:
- api, que apunta a la dirección IP del servidor de API
- *.apps, que apunta a la dirección IP de entrada
De manera predeterminada, Red Hat OpenShift en Azure usa certificados autofirmados para todas las rutas creadas en los dominios personalizados. Si decide usar dominios personalizados, conéctese al clúster. A continuación, siga la documentación de OpenShift para configurar una entidad de certificación (CA) personalizada para el controlador de entrada y una CA personalizada para el servidor de API.
CA personalizadas para compilaciones
Red Hat OpenShift en Azure admite el uso de entidades de certificación en las que van a confiar las compilaciones al extraer imágenes de un registro de imágenes.
Equilibradores de carga
Red Hat OpenShift en Azure se implementa con dos equilibradores de carga de Azure. El primero se usa para el tráfico de entrada a las aplicaciones y para las API de OpenShift y Kubernetes. El segundo se usa para las comunicaciones internas entre los componentes del clúster.
Entrada del clúster
Los administradores de proyectos pueden agregar anotaciones de ruta para muchos propósitos diferentes, incluido el control de entrada mediante una lista de permitidos de direcciones IP.
Las directivas de entrada se pueden cambiar mediante objetos NetworkPolicy, que usan el complemento ovs-networkpolicy. El uso de objetos NetworkPolicy permite un control total sobre la directiva de red de entrada hasta el nivel de pod, incluidos los pods del mismo clúster e incluso en el mismo espacio de nombres.
Todo el tráfico de entrada del clúster atraviesa el equilibrador de carga definido.
Salida del clúster
El control del tráfico de salida de pods mediante objetos EgressNetworkPolicy se puede usar para evitar o limitar el tráfico saliente en Red Hat OpenShift en Azure. Actualmente, todas las máquinas virtuales deben tener acceso de salida a Internet.
Configuración de red en la nube
Red Hat OpenShift en Azure permite la configuración de conexiones de red privadas mediante varias tecnologías administradas por el proveedor de nube:
- Conexiones de red virtual
- Emparejamiento de VNet de Azure
- Azure VNet Gateway
- Azure Express Route
Red Hat SRE no proporciona ninguna supervisión de estas conexiones de red privadas. La supervisión de estas conexiones es responsabilidad del cliente.
DNS especificado por el cliente
Los clientes de Red Hat OpenShift en Azure pueden especificar sus propios servidores DNS. Para más información, consulte Configuración de DNS personalizado para un clúster Red Hat OpenShift en Azure (ARO).
Interfaz de red del contenedor
Red Hat OpenShift en Azure incluye OVN (Open Virtual Network) como interfaz de red de contenedor (CNI). Reemplazar el CNI no es una operación admitida. Para más información, vea Proveedor de red OVN-Kubernetes para clústeres de Red Hat OpenShift de Azure.
Storage
En las secciones siguientes, se proporciona información sobre el almacenamiento de Red Hat OpenShift en Azure.
Cifrado en reposo
Azure Storage usa el cifrado del lado servidor (SSE) para cifrar automáticamente los datos cuando se guardan en la nube. De manera predeterminada, los datos se cifran con claves administradas por la plataforma.
Almacenamiento en bloque (RWO)
Los volúmenes persistentes están respaldados por el almacenamiento en bloques en disco de Azure, que es Read-Write-Once (RWO). Se crean dinámicamente discos de 1024 GiB y se adjuntan a cada nodo del plano de control de Red Hat OpenShift en Azure. Estos discos son discos SSD prémium con LRS administrados por Azure. Los tamaños de disco de los conjuntos de máquinas de nodo de trabajo predeterminados se pueden configurar durante la creación del clúster.
Los clientes tienen permisos para crear más conjuntos de máquinas para adaptarse mejor a sus requisitos.
Los volúmenes persistentes (PV), que solo se pueden adjuntar a un solo nodo a la vez, son específicos de la zona de disponibilidad en la que se aprovisionaron. Se pueden adjuntar a cualquier nodo de la zona de disponibilidad.
Azure limita el número de PV de tipo almacén de bloques que se pueden adjuntar a un único nodo. Los límites de Azure dependen del tipo y el tamaño de la máquina virtual que selecciona el cliente para los nodos de trabajo. Por ejemplo, para ver el número máximo de discos de datos de la serie Dasv4, consulte Dasv4.
Almacenamiento compartido (RWX)
El almacenamiento compartido de los clústeres de Red Hat OpenShift en Azure debe configurarlo el cliente. Para obtener un ejemplo de cómo configurar una clase de almacenamiento para Azure Files, consulte Creación de una clase StorageClass de Azure Files en Red Hat OpenShift en Azure 4.
Plataforma
En las secciones siguientes, se proporciona información sobre la plataforma de Red Hat OpenShift en Azure.
Directiva de copia de seguridad del clúster
Importante
Es fundamental que tenga un plan de copia de seguridad para las aplicaciones y los datos de las aplicaciones.
Las copias de seguridad de las aplicaciones y los datos de las aplicaciones no son una parte automatizada del servicio Red Hat OpenShift en Azure. Para obtener un tutorial sobre cómo realizar una copia de seguridad manual de las aplicaciones, consulte Creación de una copia de seguridad de aplicaciones del clúster de Red Hat OpenShift en Azure 4.
DaemonSets
Los clientes pueden crear y ejecutar DaemonSets en Red Hat OpenShift en Azure. Para restringir los DaemonSets para que solo se ejecuten en los nodos de trabajo, use el siguiente elemento nodeSelector:
spec:
nodeSelector:
node-role.kubernetes.io/worker: ""
Versión de Red Hat OpenShift en Azure
Red Hat OpenShift en Azure se ejecuta como un servicio. Permite a los clientes mantenerse al día con la versión estable más reciente de OpenShift Container Platform. Para la directiva de soporte técnico y actualización, consulte Ciclo de vida del soporte técnico de Red Hat OpenShift en Azure 4.
Ciclo de vida de soporte técnico
Para obtener información sobre el ciclo de vida de soporte técnico de Red Hat OpenShift en Azure, consulte Ciclo de vida del soporte técnico de Red Hat OpenShift en Azure 4.
Motor de contenedor
Red Hat OpenShift en Azure se ejecuta en OpenShift 4 y usa la implementación CRI-O de la interfaz del entorno de ejecución de contenedores de Kubernetes como el único motor de contenedores disponible.
Sistema operativo
Red Hat OpenShift en Azure se ejecuta en OpenShift 4 con Red Hat Enterprise Linux CoreOS (RHCOS) como sistema operativo para todos los nodos de trabajo y del plano de control. Las cargas de trabajo de Windows no se admiten en Azure OpenShift, ya que la plataforma no admite actualmente nodos de trabajo de Windows.
Compatibilidad con operadores de Kubernetes
Red Hat OpenShift en Azure admite operadores creados por Red Hat y proveedores de software independientes (ISV) certificados. Red Hat proporciona el soporte técnico de los operadores proporcionados por Red Hat. Los ISV proporcionan el soporte técnico de los operadores proporcionados por los ISV.
Para usar OperatorHub, el clúster se debe configurar con un secreto de extracción de Red Hat. Para más información sobre el uso de OperatorHub, consulte Descripción de OperatorHub.
Seguridad
En las secciones siguientes, se proporciona información sobre la seguridad de OpenShift en Azure.
Proveedor de autenticación
Los clústeres de Red Hat OpenShift en Azure no están configurados con ningún proveedor de autenticación.
Los clientes deben configurar sus propios proveedores, como Microsoft Entra ID. Para obtener información sobre la configuración de proveedores, consulte los artículos siguientes:
Cumplimiento de normativas
Para más información sobre las certificaciones de cumplimiento normativo de Red Hat OpenShift en Azure, consulte Ofertas de cumplimiento de Microsoft Azure.
Pasos siguientes
Para más información, consulte la documentación sobre la Directiva de soporte técnico de Red Hat OpenShift en Azure.