Definicja usługi Azure Red Hat OpenShift
W poniższych sekcjach przedstawiono definicje usług ułatwiające zarządzanie kontem usługi Azure Red Hat OpenShift.
Rozliczenia
Klastry usługi Azure Red Hat OpenShift są wdrażane w ramach subskrypcji platformy Azure klienta. Klient płaci platformę Azure bezpośrednio za koszty poniesione przez klaster usługi Azure Red Hat OpenShift.
Węzły usługi Azure Red Hat OpenShift działają na maszynach wirtualnych platformy Azure. Są one rozliczane zgodnie z cennikiem maszyn wirtualnych z systemem Linux platformy Azure. Zasoby obliczeniowe, sieciowe i magazynowe używane przez klaster usługi Azure Red Hat OpenShift są rozliczane zgodnie z użyciem.
Oprócz kosztów obliczeń i infrastruktury węzły aplikacji mają dodatkowy koszt składnika licencji Usługi Azure Red Hat OpenShift. Ten koszt zależy od liczby węzłów aplikacji i typu wystąpienia.
Wszystkie standardowe opcje zakupu platformy Azure, w tym rezerwacje i przedpłata za platformę Azure, mają zastosowanie. Standardowe opcje zakupu platformy Azure mogą być używane dla usługi Azure Red Hat OpenShift. Ponadto standardowe opcje zakupu platformy Azure mogą być używane dla maszyn wirtualnych, sieci i zasobów magazynu używanych przez klaster Usługi Azure Red Hat OpenShift.
Aby uzyskać więcej informacji na temat cen, zobacz Cennik usługi Azure Red Hat OpenShift.
Samoobsługa klastra
Klienci mogą tworzyć i usuwać swoje klastry przy użyciu narzędzia wiersza polecenia (CLI) platformy Azure. Klastry usługi Azure Red Hat OpenShift są wdrażane za pomocą użytkownika kubeadmin, którego poświadczenia są dostępne w interfejsie wiersza polecenia platformy Azure po pomyślnym wdrożeniu klastra.
Wszystkie inne akcje klastra usługi Azure Red Hat OpenShift, takie jak skalowanie węzłów, można wykonywać, korzystając z interfejsu API OpenShift przy użyciu narzędzi, takich jak konsola internetowa openShift lub interfejs wiersza polecenia openShift (oc).
Architektura zasobów platformy Azure
Wdrożenie usługi Azure Red Hat OpenShift wymaga dwóch grup zasobów w ramach subskrypcji platformy Azure. Pierwsza grupa zasobów jest tworzona przez klienta i zawiera składniki sieci wirtualnej dla klastra. Przechowywanie oddzielnych elementów sieciowych umożliwia klientowi skonfigurowanie usługi Azure Red Hat OpenShift pod kątem spełnienia wymagań i dodania wszelkich opcji komunikacji równorzędnej.
Druga grupa zasobów jest tworzona przez dostawcę zasobów usługi Azure Red Hat OpenShift. Zawiera składniki klastra Azure Red Hat OpenShift, w tym maszyny wirtualne, sieciowe grupy zabezpieczeń i moduły równoważenia obciążenia. Składniki klastra Usługi Azure Red Hat OpenShift znajdujące się w tej grupie zasobów nie są modyfikowalne przez klienta. Konfigurację klastra należy wykonać za pośrednictwem interakcji z interfejsem API platformy OpenShift przy użyciu konsoli internetowej openShift lub interfejsu wiersza polecenia platformy OpenShift lub podobnych narzędzi.
Uwaga
Jednostka usługi dla dostawcy zasobów usługi ARO wymaga roli Współautor sieci w sieci wirtualnej klastra ARO. Jest to wymagane dla dostawcy zasobów usługi ARO do tworzenia zasobów, takich jak usługa ARO Private Link i moduły równoważenia obciążenia.
Operatory Red Hat
Zaleca się, aby klient dostarczał wpis tajny ściągania oprogramowania Red Hat do klastra usługi Azure Red Hat OpenShift podczas tworzenia klastra. Wpis tajny ściągania oprogramowania Red Hat umożliwia klastrowi dostęp do rejestrów kontenerów Red Hat wraz z inną zawartością z centrum operatorów OpenShift.
Klastry usługi Azure Red Hat OpenShift mogą nadal obsługiwać aplikacje bez podawania wpisu tajnego ściągania oprogramowania Red Hat, ale nie będą mogły instalować operatorów z centrum operatorów.
Wpis tajny ściągania oprogramowania Red Hat można również przekazać do klastra po wdrożeniu.
Compute
Klastry usługi Azure Red Hat OpenShift są aprowidowane przy użyciu co najmniej trzech węzłów roboczych.
W regionach składających się z wielu stref dostępności zestaw maszyn węzłów roboczych jest tworzony w każdej strefie. Ponadto węzeł procesu roboczego jest aprowizowany z każdego zestawu maszyn.
Jeśli region platformy Azure nie obsługuje stref dostępności, klaster usługi Azure Red Hat OpenShift aprowizuje węzły procesu roboczego z jednego zestawu maszyn. Klienci mają możliwość zwiększenia liczby węzłów i uprawnień w każdym regionie.
Klastry usługi Azure Red Hat OpenShift są aprowizowane przy użyciu trzech węzłów płaszczyzny sterowania. Te węzły są odpowiedzialne za magazyn par klucz-wartość i obciążenia związane z interfejsem API. Nie można używać węzła płaszczyzny sterowania dla obciążeń klientów. Wdrożenie węzła płaszczyzny sterowania jest zgodne z tymi samymi regułami co węzły procesu roboczego.
- W regionach składających się z wielu stref dostępności zestaw maszyn płaszczyzny sterowania jest tworzony w każdej strefie. Węzeł płaszczyzny sterowania jest aprowizowany z każdego zestawu maszyn.
- Jeśli region platformy Azure nie obsługuje stref dostępności, klaster usługi Azure Red Hat OpenShift aprowizuje węzły płaszczyzny sterowania z jednego zestawu maszyn.
Typy obliczeń platformy Azure
Aby uzyskać listę obsługiwanych typów i rozmiarów węzłów sterowania oraz węzłów procesu roboczego, zobacz Obsługiwane rozmiary maszyn wirtualnych.
Regiony platformy Azure
Aby zapoznać się z regionami obsługiwanymi przez usługę Azure Red Hat OpenShift, zobacz Dostępność produktów według regionów.
W interfejsie wiersza polecenia platformy Azure wyświetl listę dostępnych regionów, uruchamiając następujące polecenie:
az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml
Po wdrożeniu nie można przenieść klastra usługi Azure Red Hat OpenShift do innego regionu. Podobnie nie można przenieść klastrów usługi Azure Red Hat OpenShift między subskrypcjami.
Umowa dotycząca poziomu usług
Aby uzyskać szczegółowe informacje na temat umowy SLA, zobacz Umowa SLA dla usługi Azure Red Hat OpenShift.
Pomoc techniczna
Żądania pomocy technicznej dotyczące usługi Azure Red Hat OpenShift można przesłać;
- Żądanie pomocy technicznej w witrynie Azure Portal
- Żądanie pomocy technicznej za pośrednictwem witryny Red Hat Customer Portal
Żądania zostaną sklasyfikowane i rozwiązane przez inżynierów pomocy technicznej firmy Microsoft i Red Hat. Usługa Azure Red Hat OpenShift obejmuje pomoc techniczną red hat Premium. Dostęp do pomocy technicznej można uzyskać za pośrednictwem witryny Microsoft Azure Portal.
Aby otworzyć bilety pomocy technicznej bezpośrednio w systemie Red Hat, klaster musi mieć wpis tajny ściągania. Można dodać go podczas tworzenia klastra lub dodać go lub zaktualizować w istniejącym klastrze.
Rejestrowanie
Poniższe sekcje zawierają informacje o zabezpieczeniach usługi Azure Red Hat OpenShift.
Operacje klastra i rejestrowanie inspekcji
Usługa Azure Red Hat OpenShift jest wdrażana z usługami na potrzeby utrzymania kondycji i wydajności klastra oraz jego składników. Te usługi obejmują operacje klastra i dzienniki inspekcji. Operacje klastra i dzienniki inspekcji są automatycznie przekazywane do systemu agregacji platformy Azure w celu uzyskania pomocy technicznej i rozwiązywania problemów. Te dane są dostępne tylko dla autoryzowanych pracowników pomocy technicznej za pośrednictwem zatwierdzonych mechanizmów.
Administratorzy klastrów klientów mogą wdrożyć opcjonalny stos rejestrowania w celu agregowania wszystkich dzienników z klastra usługi Azure Red Hat OpenShift. Na przykład dzienniki inspekcji systemu węzłów i dzienniki infrastruktury można agregować. Jednak te dzienniki zużywają inne zasoby klastra.
Rejestrowanie aplikacji
Dzięki dostępowi do OperatorHub.io włączonej usługa Azure Red Hat OpenShift zawiera opcjonalny stos rejestrowania oparty na rozwiązaniach Elasticsearch, Fluentd i Kibana (EFK).
Stos rejestrowania, Operator rejestrowania, można skonfigurować tak, aby spełniał wymagania klientów. Jest ona jednak przeznaczona do przechowywania krótkoterminowego w celu pomocy w rozwiązywaniu problemów z klastrem i aplikacjami, a nie na potrzeby długoterminowego archiwizowania dzienników.
Jeśli stos rejestrowania klastra jest zainstalowany, dzienniki aplikacji wysyłane do stDOUT są zbierane przez fluentd. Dzienniki aplikacji są udostępniane za pośrednictwem stosu rejestrowania klastra. Przechowywanie jest ustawione na siedem dni, ale nie przekroczy 200 GiB dzienników na fragment. W przypadku długoterminowego przechowywania klienci powinni postępować zgodnie z projektem kontenera przyczepki we wdrożeniach. Klienci powinni przekazywać dzienniki do wybranej przez siebie usługi agregacji dzienników lub analizy.
Monitorowanie
Poniższa sekcja zawiera informacje na temat monitorowania usługi Azure Red Hat OpenShift.
Metryki klastra
Usługa Azure Red Hat OpenShift jest wdrażana z usługami na potrzeby utrzymania kondycji i wydajności klastra oraz jego składników. Te usługi obejmują przesyłanie strumieniowe ważnych metryk do systemu agregacji platformy Azure na potrzeby pomocy technicznej i rozwiązywania problemów. Te dane są dostępne tylko dla autoryzowanych pracowników pomocy technicznej za pośrednictwem zatwierdzonych mechanizmów.
Klastry Usługi Azure Red Hat OpenShift są wyposażone w zintegrowany stos Prometheus/Grafana, aby umożliwić klientom wyświetlanie monitorowania klastra. Stos zawiera metryki procesora CPU, pamięci i sieci.
Te metryki, które są dostępne za pośrednictwem konsoli sieci Web, mogą również służyć do wyświetlania stanu i pojemności/użycia na poziomie klastra za pośrednictwem pulpitu nawigacyjnego narzędzia Grafana. Te metryki umożliwiają również skalowanie automatyczne zasobników w poziomie oparte na metrykach procesora CPU lub pamięci udostępnianych przez klienta usługi Azure Red Hat OpenShift.
Sieć
Poniższe sekcje zawierają informacje o sieci usługi Azure Red Hat OpenShift.
Certyfikaty zweryfikowane przez domenę
Domyślnie usługa Azure Red Hat OpenShift zawiera certyfikaty zabezpieczeń TLS wymagane zarówno dla usług wewnętrznych, jak i zewnętrznych w klastrze. W przypadku tras zewnętrznych jest udostępniany i instalowany w klastrze certyfikat wieloznaczny protokołu Transport Layer Security (TLS). Certyfikat TLS jest również używany dla punktu końcowego interfejsu API OpenShift. DigiCert jest urzędem certyfikacji używanym dla tych certyfikatów.
Niestandardowe domeny
Podczas wdrażania usługa Azure Red Hat OpenShift umożliwia określenie domeny niestandardowej dla klastra. Domena niestandardowa jest używana zarówno dla usług klastra, jak i dla aplikacji. Musisz utworzyć dwa rekordy DNS A na serwerze DNS dla określonej domeny:
- interfejs API, który wskazuje adres IP serwera interfejsu API
- *.apps, który wskazuje adres IP ruchu przychodzącego
Domyślnie usługa Azure Red Hat OpenShift używa certyfikatów z podpisem własnym dla wszystkich tras utworzonych w domenach niestandardowych. Jeśli zdecydujesz się używać domen niestandardowych, połącz się z klastrem. Następnie postępuj zgodnie z dokumentacją platformy OpenShift, aby skonfigurować niestandardowy urząd certyfikacji urzędu certyfikacji dla kontrolera ruchu przychodzącego i niestandardowy urząd certyfikacji dla serwera interfejsu API.
Niestandardowe urzędy certyfikacji dla kompilacji
Usługa Azure Red Hat OpenShift obsługuje używanie urzędów certyfikacji do zaufania przez kompilacje podczas ściągania obrazów z rejestru obrazów.
Moduły równoważenia obciążenia
Usługa Azure Red Hat OpenShift wdraża dwa moduły równoważenia obciążenia platformy Azure. Pierwszy jest używany do ruchu przychodzącego do aplikacji oraz interfejsów API OpenShift i Kubernetes. Drugi jest używany do komunikacji wewnętrznej między składnikami klastra.
Ruch przychodzący klastra
Administratorzy projektu mogą dodawać adnotacje tras do wielu różnych celów, w tym kontrolę ruchu przychodzącego za pośrednictwem listy dozwolonych adresów IP.
Zasady ruchu przychodzącego można zmienić za pomocą obiektów NetworkPolicy, które używają wtyczki ovs-networkpolicy. Użycie obiektów NetworkPolicy umożliwia pełną kontrolę nad zasadami sieci przychodzącymi do poziomu zasobnika, w tym między zasobnikami w tym samym klastrze, a nawet w tej samej przestrzeni nazw.
Cały ruch przychodzący klastra przechodzi przez zdefiniowany moduł równoważenia obciążenia.
Ruch wychodzący klastra
Kontrolka ruchu wychodzącego zasobnika za pośrednictwem obiektów EgressNetworkPolicy może służyć do zapobiegania lub ograniczania ruchu wychodzącego w usłudze Azure Red Hat OpenShift. Obecnie wszystkie maszyny wirtualne muszą mieć wychodzący dostęp do Internetu.
Konfiguracja sieci w chmurze
Usługa Azure Red Hat OpenShift umożliwia konfigurację połączeń sieci prywatnych za pośrednictwem kilku technologii zarządzanych przez dostawcę usług w chmurze:
- Połączenia sieci wirtualnej
- Komunikacja równorzędna sieci wirtualnych platformy Azure
- Brama sieci wirtualnej platformy Azure
- Azure Express Route
Monitorowanie tych prywatnych połączeń sieciowych nie jest zapewniane przez usługę Red Hat SRE. Monitorowanie tych połączeń jest obowiązkiem klienta.
Dns określony przez klienta
Klienci usługi Azure Red Hat OpenShift mogą określić własne serwery DNS. Aby uzyskać więcej informacji, zobacz Konfigurowanie niestandardowego systemu DNS dla klastra usługi Azure Red Hat OpenShift.
Interfejs sieciowy kontenera
Usługa Azure Red Hat OpenShift jest dostarczana z usługą OVN (Open Virtual Network) jako interfejs sieciowy kontenera (CNI). Zastępowanie sieci CNI nie jest obsługiwaną operacją. Aby uzyskać więcej informacji, zobacz OVN-Kubernetes network provider for Azure Red Hat OpenShift clusters (Dostawca sieci OVN-Kubernetes dla klastrów Usługi Azure Red Hat OpenShift).
Storage
W poniższych sekcjach przedstawiono informacje o magazynie usługi Azure Red Hat OpenShift.
Szyfrowanie magazynowane
Usługa Azure Storage używa szyfrowania po stronie serwera (SSE), aby automatycznie szyfrować dane, gdy są utrwalane w chmurze. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez platformę firmy Microsoft.
Magazyn blokowy (RWO)
Woluminy trwałe są wspierane przez magazyn blokowy usługi Azure-Disk, który jest odczytem i zapisem jednokrotnym (RWO). Dyski 1024 GiB są dynamicznie tworzone i dołączane do każdego węzła płaszczyzny kontrolera Usługi Azure Red Hat OpenShift. Te dyski są dyskami zarządzanymi ssd w warstwie Premium LRS na platformie Azure. Rozmiary dysków dla domyślnych zestawów maszyn węzłów procesu roboczego można skonfigurować podczas tworzenia klastra.
Klienci mają uprawnienia do tworzenia większej liczby zestawów maszyn, aby lepiej odpowiadać ich wymaganiom.
Woluminy trwałe ,które mogą być dołączane tylko do jednego węzła w danym momencie, są specyficzne dla strefy dostępności, w której zostały aprowidowane. Można je dołączyć do dowolnego węzła w strefie dostępności.
Platforma Azure ogranicza liczbę woluminów wirtualnych typu magazynu blokowego typu, które można dołączyć do jednego węzła. Limity platformy Azure zależą od typu i rozmiaru maszyny wirtualnej wybranej przez klienta dla węzłów roboczych. Aby na przykład wyświetlić maksymalne dyski danych dla serii Dasv4, zobacz Dasv4.
Magazyn udostępniony (RWX)
Magazyn udostępniony dla klastrów usługi Azure Red Hat OpenShift musi być skonfigurowany przez klienta. Przykład konfigurowania klasy magazynu dla usługi Azure Files można znaleźć w temacie Create an Azure Files StorageClass on Azure Red Hat OpenShift 4 (Tworzenie klasy magazynu usługi Azure FilesClass w usłudze Azure Red Hat OpenShift 4)
Platforma
Poniższe sekcje zawierają informacje o platformie Azure Red Hat OpenShift.
Zasady tworzenia kopii zapasowych klastra
Ważne
Ważne jest, aby mieć plan tworzenia kopii zapasowych dla aplikacji i danych aplikacji.
Kopie zapasowe danych aplikacji i aplikacji nie są zautomatyzowaną częścią usługi Azure Red Hat OpenShift. Aby zapoznać się z samouczkiem dotyczącym ręcznego tworzenia kopii zapasowej aplikacji, zobacz Tworzenie kopii zapasowej aplikacji klastra usługi Azure Red Hat OpenShift 4.
Zestawy demonów
Klienci mogą tworzyć i uruchamiać zestawy DaemonSet w usłudze Azure Red Hat OpenShift. Aby ograniczyć zestawy DaemonSet do uruchamiania tylko w węzłach roboczych, użyj następującego węzłaSelector:
spec:
nodeSelector:
node-role.kubernetes.io/worker: ""
Wersja usługi Azure Red Hat OpenShift
Usługa Azure Red Hat OpenShift jest uruchamiana jako usługa. Dzięki niej klienci mogą być na bieżąco z najnowszą stabilną wersją platformy kontenera OpenShift. Aby uzyskać informacje na temat zasad pomocy technicznej i uaktualniania, zobacz Cykl wsparcia dla usługi Azure Red Hat OpenShift 4.
Cykl życia pomocy technicznej
Aby uzyskać informacje na temat cyklu wsparcia technicznego usługi Azure Red Hat OpenShift, zobacz Cykl wsparcia technicznego dla usługi Azure Red Hat OpenShift 4.
Aparat kontenera
Usługa Azure Red Hat OpenShift działa w systemie OpenShift 4 i używa implementacji CRI-O interfejsu środowiska uruchomieniowego kontenera Kubernetes jako jedynego dostępnego aparatu kontenera.
System operacyjny
Usługa Azure Red Hat OpenShift działa w systemie OpenShift 4 przy użyciu systemu Red Hat Enterprise Linux CoreOS (RHCOS) jako systemu operacyjnego dla wszystkich węzłów płaszczyzny sterowania i procesu roboczego. Obciążenia systemu Windows nie są obsługiwane w usłudze Azure OpenShift, ponieważ platforma nie obsługuje obecnie węzłów roboczych systemu Windows.
Obsługa operatora Kubernetes
Usługa Azure Red Hat OpenShift obsługuje operatory utworzone przez firmę Red Hat i certyfikowanych niezależnych dostawców oprogramowania (ISV). Operatorzy zapewniani przez firmę Red Hat są obsługiwani przez firmę Red Hat. Operatory niezależnego dostawcy oprogramowania są obsługiwane przez niezależnego dostawcę oprogramowania.
Aby można było korzystać z usługi OperatorHub, klaster musi być skonfigurowany przy użyciu wpisu tajnego ściągania oprogramowania Red Hat. Aby uzyskać więcej informacji na temat korzystania z usługi OperatorHub, zobacz Understanding OperatorHub (Opis operatorahub)
Zabezpieczenia
Poniższe sekcje zawierają informacje o zabezpieczeniach usługi Azure OpenShift.
Dostawca uwierzytelniania
Klastry usługi Azure Red Hat OpenShift nie są konfigurowane z żadnymi dostawcami uwierzytelniania.
Klienci muszą skonfigurować własnych dostawców, takich jak Microsoft Entra ID. Aby uzyskać informacje na temat konfigurowania dostawców, zobacz następujące artykuły:
Zgodność z przepisami
Aby uzyskać szczegółowe informacje na temat certyfikatów zgodności z przepisami usługi Azure Red Hat OpenShift, zobacz Oferty zgodności platformy Microsoft Azure.
Następne kroki
Aby uzyskać więcej informacji, zobacz dokumentację zasad pomocy technicznej.