Serviço Azure Red Hat OpenShift

As seções a seguir fornecem definições de serviço para ajudá-lo a gerenciar sua conta do Azure Red Hat OpenShift.

Faturação

Os clusters do Azure Red Hat OpenShift são implantados na assinatura do Azure de um cliente. Um cliente paga diretamente ao Azure pelos custos incorridos por um cluster do Azure Red Hat OpenShift.

Os nós do Azure Red Hat OpenShift são executados em Máquinas Virtuais do Azure. Eles são cobrados de acordo com os preços da máquina virtual Linux do Azure. Os recursos de computação, rede e armazenamento consumidos por um cluster do Azure Red Hat OpenShift são cobrados de acordo com o uso.

Além dos custos de computação e infraestrutura, os nós de aplicativo têm um custo adicional para o componente de licença do Azure Red Hat OpenShift. Esse custo é baseado no número de nós de aplicativo e no tipo de instância.

Todas as opções de compra padrão do Azure, incluindo reservas e pré-pagamento do Azure, aplicam-se. As opções de compra padrão do Azure podem ser usadas para o Azure Red Hat OpenShift. Além disso, as opções de compra padrão do Azure podem ser usadas para máquinas virtuais, rede e recursos de armazenamento consumidos pelo cluster Red Hat OpenShift do Azure.

Para obter mais informações sobre preços, consulte Preços do Azure Red Hat OpenShift.

Autosserviço de cluster

Os clientes podem criar e excluir seus clusters usando o utilitário de linha de comando (CLI) do Azure. Os clusters do Azure Red Hat OpenShift são implantados com um usuário kubeadmin cujas credenciais estão disponíveis na CLI do Azure depois que um cluster é implantado com êxito.

Você pode executar todas as outras ações de cluster do Azure Red Hat OpenShift, como dimensionamento de nós, interagindo com a API do OpenShift usando ferramentas como o console da Web OpenShift ou a CLI do OpenShift (oc).

Arquitetura de recursos do Azure

Uma implantação do Red Hat OpenShift do Azure requer dois grupos de recursos em uma assinatura do Azure. O primeiro grupo de recursos é criado pelo cliente e contém os componentes de rede virtual para o cluster. Manter os elementos de rede separados permite que o cliente configure o Red Hat OpenShift do Azure para atender aos requisitos e adicionar quaisquer opções de emparelhamento.

O segundo grupo de recursos é criado pelo provedor de recursos do Azure Red Hat OpenShift. Ele contém componentes de cluster do Azure Red Hat OpenShift, incluindo máquinas virtuais, grupos de segurança de rede e balanceadores de carga. Os componentes de cluster do Azure Red Hat OpenShift localizados neste grupo de recursos não são modificáveis pelo cliente. A configuração do cluster deve ser realizada por meio de interações com a API do OpenShift usando o console da Web do OpenShift ou a CLI do OpenShift ou ferramentas semelhantes.

Nota

A entidade de serviço para o provedor de recursos ARO requer a função de Colaborador de Rede na VNet do cluster ARO. Isso é necessário para que o provedor de recursos ARO crie recursos como o serviço ARO Private Link e balanceadores de carga.

Operadores Red Hat

É recomendável que um cliente forneça um segredo de pull da Red Hat para o cluster do Azure Red Hat OpenShift durante a criação do cluster. O segredo de pull da Red Hat permite que seu cluster acesse os registros de contêineres da Red Hat, juntamente com outros conteúdos do OpenShift Operator Hub.

Os clusters do Azure Red Hat OpenShift ainda podem servir aplicativos sem fornecer o segredo de pull do Red Hat, mas eles não poderão instalar operadores do Operator Hub.

O segredo de pull da Red Hat também pode ser fornecido para o cluster após a implantação.

Computação

Os clusters do Azure Red Hat OpenShift são provisionados com três ou mais nós de trabalho.

• Em regiões que consistem em várias zonas de disponibilidade, um conjunto de máquinas de nó de trabalho é criado em cada zona. Além disso, um nó de trabalho é provisionado de cada conjunto de máquinas.

• Quando uma região do Azure não oferece suporte a zonas de disponibilidade, o cluster do Azure Red Hat OpenShift provisiona os nós de trabalho de um único conjunto de máquinas. Os clientes têm a capacidade de aumentar a contagem de nós e a permissão em cada região.

Os clusters do Azure Red Hat OpenShift são provisionados com três nós de plano de controle. Esses nós são responsáveis pelo armazenamento de chave-valor etcd e cargas de trabalho relacionadas à API. O nó do plano de controle não pode ser usado para cargas de trabalho do cliente. A implantação do nó do plano de controle segue as mesmas regras dos nós de trabalho.

• Em regiões que consistem em várias zonas de disponibilidade, um conjunto de máquinas de nó de plano de controle é criado em cada zona. Um nó do plano de controle é provisionado a partir de cada conjunto de máquinas.
• Onde uma região do Azure não oferece suporte a zonas de disponibilidade, o cluster do Azure Red Hat OpenShift provisiona os nós do plano de controle de um único conjunto de máquinas.

Tipos de computação do Azure

Para obter uma lista dos tipos e tamanhos suportados de plano de controle e nó de trabalho, consulte Tamanhos de máquina virtual suportados.

Regiões do Azure

Para regiões suportadas pelo Azure Red Hat OpenShift, consulte Produtos disponíveis por região.

Na CLI do Azure, exiba uma lista de regiões disponíveis executando o seguinte comando:

az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml

Uma vez implantado, um cluster do Azure Red Hat OpenShift não pode ser movido para uma região diferente. Da mesma forma, não é possível transferir clusters do Azure Red Hat OpenShift entre assinaturas.

Contrato de nível de serviço

Para obter detalhes de SLA, consulte SLA para Azure Red Hat OpenShift.

Suporte

As solicitações de suporte para o Azure Red Hat OpenShift podem ser enviadas por;

• Solicitar suporte no portal do Azure
• Solicitando suporte via Portal do Cliente Red Hat

As solicitações serão triadas e tratadas pelos engenheiros de suporte da Microsoft e da Red Hat. O Azure Red Hat OpenShift inclui o Red Hat Premium Support. O suporte pode ser acessado por meio do portal do Microsoft Azure.

Para abrir tíquetes de suporte diretamente com a Red Hat, seu cluster precisará ter um segredo de extração. Você pode adicioná-lo durante a criação do cluster ou adicioná-lo ou atualizá-lo em um cluster existente.

Registo

As seções a seguir fornecem informações sobre a segurança do Azure Red Hat OpenShift.

Operações de cluster e log de auditoria

O Azure Red Hat OpenShift implanta com serviços para manter a integridade e o desempenho do cluster e seus componentes. Esses serviços incluem operações de cluster e logs de auditoria. As operações de cluster e os logs de auditoria são encaminhados automaticamente para um sistema de agregação do Azure para suporte e solução de problemas. Estes dados só são acessíveis ao pessoal de suporte autorizado através de mecanismos aprovados.

Os administradores de cluster de clientes podem implantar uma pilha de log opcional para agregar todos os logs de seu cluster do Azure Red Hat OpenShift. Por exemplo, os logs de auditoria do sistema de nó e os logs de infraestrutura podem ser agregados. No entanto, esses logs consomem outros recursos de cluster.

Registo de aplicação

Com o acesso a OperatorHub.io habilitado, o Azure Red Hat OpenShift inclui uma pilha de registro em log opcional baseada em Elasticsearch, Fluentd e Kibana (EFK).

A pilha de registro, Operador de Log, pode ser configurada para atender aos requisitos do cliente. No entanto, ele foi projetado para retenção de curto prazo para ajudar na solução de problemas de clusters e aplicativos, não para arquivamento de logs de longo prazo.

Se a pilha de log do cluster estiver instalada, os logs de aplicativos enviados para STDOUT serão coletados pelo Fluentd. Os logs do aplicativo são disponibilizados por meio da pilha de logs do cluster. A retenção é definida para sete dias, mas não excederá 200 GiB de logs por fragmento. Para uma retenção de longo prazo, os clientes devem seguir o design do contêiner sidecar em suas implantações. Os clientes devem encaminhar logs para o serviço de agregação ou análise de logs de sua escolha.

Monitorização

A seção a seguir fornece informações sobre o monitoramento do Azure Red Hat OpenShift.

Métricas de cluster

O Azure Red Hat OpenShift implanta com serviços para manter a integridade e o desempenho do cluster e seus componentes. Esses serviços incluem o streaming de métricas importantes para um sistema de agregação do Azure para fins de suporte e solução de problemas. Estes dados só são acessíveis ao pessoal de suporte autorizado através de mecanismos aprovados.

Os clusters do Azure Red Hat OpenShift vêm com uma pilha Prometheus/Grafana integrada para permitir que os clientes visualizem o monitoramento de clusters. A pilha inclui CPU, memória e métricas baseadas em rede.

Essas métricas, que podem ser acessadas por meio do console da Web, também podem ser usadas para exibir o status e a capacidade/uso no nível do cluster por meio de um painel do Grafana. Essas métricas também permitem o dimensionamento automático de pods horizontais com base em métricas de CPU ou memória fornecidas por um cliente do Azure Red Hat OpenShift.

Rede

As seções a seguir fornecem informações sobre a rede Azure Red Hat OpenShift.

Certificados validados por domínio

Por padrão, o Azure Red Hat OpenShift inclui certificados de segurança TLS necessários para serviços internos e externos no cluster. Para rotas externas, um certificado curinga TLS (Transport Layer Security) é fornecido e instalado no cluster. Um certificado TLS também é usado para o ponto de extremidade da API OpenShift. DigiCert é a autoridade de certificação (CA) usada para esses certificados.

Domínios personalizados

Durante a implantação, o Azure Red Hat OpenShift permite especificar um domínio personalizado para seu cluster. O domínio personalizado é usado para serviços de cluster e para aplicativos. Você deve criar dois registros DNS A no servidor DNS para o domínio especificado:

• api, que aponta para o endereço IP do servidor api
• *.apps, que aponta para o endereço IP de entrada

Por padrão, o Azure Red Hat OpenShift usa certificados autoassinados para todas as rotas criadas em domínios personalizados. Se você optar por usar domínios personalizados, conecte-se ao cluster. Em seguida, siga a documentação do OpenShift para configurar uma autoridade de certificação personalizada para seu controlador de entrada e uma CA personalizada para seu servidor de API.

CAs personalizadas para compilações

O Azure Red Hat OpenShift dá suporte ao uso de CAs confiáveis por compilações ao extrair imagens de um registro de imagem.

Balanceadores de carga

O Azure Red Hat OpenShift implanta com dois balanceadores de carga do Azure. O primeiro é usado para o tráfego de entrada para aplicativos e para as APIs OpenShift e Kubernetes. O segundo é usado para comunicações internas entre componentes de cluster.

Entrada de cluster

Os administradores de projeto podem adicionar anotações de rota para muitas finalidades diferentes, incluindo controle de entrada por meio de uma lista de permissões de IP.

As políticas de ingresso podem ser alteradas usando objetos NetworkPolicy, que usam o plug-in ovs-networkpolicy. O uso de objetos NetworkPolicy permite controle total sobre a diretiva de rede de entrada até o nível do pod, inclusive entre pods no mesmo cluster e até mesmo no mesmo namespace.

Todo o tráfego de entrada do cluster atravessa o balanceador de carga definido.

Saída de cluster

O controle de tráfego de saída do pod por meio de objetos EgressNetworkPolicy pode ser usado para impedir ou limitar o tráfego de saída no Azure Red Hat OpenShift. Atualmente, todas as máquinas virtuais devem ter acesso de saída à Internet.

Configuração de rede na nuvem

O Azure Red Hat OpenShift permite a configuração de conexões de rede privada por meio de várias tecnologias gerenciadas pelo provedor de nuvem:

• Conexões VNet
• Azure VNet Peering
• Azure VNet Gateway
• Rota do Azure Express

Nenhum monitoramento dessas conexões de rede privada é fornecido pelo Red Hat SRE. A monitorização destas ligações é da responsabilidade do cliente.

DNS especificado pelo cliente

Os clientes do Azure Red Hat OpenShift podem especificar seus próprios servidores DNS. Para obter mais informações, consulte Configurar DNS personalizado para seu cluster do Azure Red Hat OpenShift.

Interface de rede de contêiner

O Azure Red Hat OpenShift vem com OVN (Open Virtual Network) como CNI (Container Network Interface). A substituição da CNI não é uma operação suportada. Para obter mais informações, consulte Provedor de rede OVN-Kubernetes para clusters do Azure Red Hat OpenShift.

Armazenamento

As seções a seguir fornecem informações sobre o armazenamento do Azure Red Hat OpenShift.

Encriptação em repouso

O Armazenamento do Azure usa a criptografia do lado do servidor (SSE) para criptografar automaticamente seus dados quando eles persistem na nuvem. Por padrão, os dados são criptografados com chaves gerenciadas pela plataforma Microsoft.

Armazenamento em bloco (RWO)

Os volumes persistentes são apoiados pelo armazenamento de blocos de disco do Azure, que é Read-Write-Once (RWO). Os discos de 1024 GiB são criados dinamicamente e anexados a cada nó do plano do controlador Red Hat OpenShift do Azure. Esses discos são discos gerenciados pelo Azure LRS SSD Premium. Os tamanhos de disco para os conjuntos de máquinas de nó de trabalho padrão podem ser configurados durante a criação do cluster.

Os clientes têm permissões para criar mais conjuntos de máquinas para melhor atender às suas necessidades.

Os volumes persistentes (PVs), que só podem ser anexados a um único nó de cada vez, são específicos da zona de disponibilidade na qual foram provisionados. Eles podem ser anexados a qualquer nó na zona de disponibilidade.

O Azure limita quantos PVs do tipo armazenamento de bloco podem ser anexados a um único nó. Os limites do Azure dependem do tipo e do tamanho da máquina virtual que o cliente seleciona para os nós de trabalho. Por exemplo, para ver o máximo de discos de dados para a série Dasv4, consulte Dasv4.

Armazenamento compartilhado (RWX)

O armazenamento compartilhado para clusters do Azure Red Hat OpenShift deve ser configurado pelo cliente. Para obter um exemplo de como configurar uma classe de armazenamento para arquivos do Azure, consulte Criar uma classe de armazenamento de arquivos do Azure no Red Hat OpenShift 4 do Azure

Plataforma

As seções a seguir fornecem informações sobre a plataforma Azure Red Hat OpenShift.

Política de backup de cluster

Importante

É fundamental que você tenha um plano de backup para seus aplicativos e dados de aplicativos.

Os backups de dados de aplicativos e aplicativos não são uma parte automatizada do serviço Azure Red Hat OpenShift. Para obter um tutorial sobre como executar o backup manual de aplicativos, consulte Criar um backup de aplicativo de cluster do Azure Red Hat OpenShift 4.

DaemonSets

Os clientes podem criar e executar DaemonSets no Azure Red Hat OpenShift. Para restringir DaemonSets a serem executados apenas em nós de trabalho, use o seguinte nodeSelector:

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

Versão do Azure Red Hat OpenShift

O Azure Red Hat OpenShift é executado como um serviço. Ele permite que os clientes se mantenham atualizados com a última versão estável do OpenShift Container Platform. Para obter a política de suporte e atualização, consulte Ciclo de vida do suporte para o Azure Red Hat OpenShift 4.

Ciclo de vida do suporte

Para obter informações sobre o ciclo de vida de suporte do Azure Red Hat OpenShift, consulte Ciclo de vida do suporte para o Azure Red Hat OpenShift 4.

Motor de contentores

O Azure Red Hat OpenShift é executado no OpenShift 4 e usa a implementação CRI-O da interface de tempo de execução do contêiner do Kubernetes como o único mecanismo de contêiner disponível.

Sistema operativo

O Azure Red Hat OpenShift é executado no OpenShift 4 usando o Red Hat Enterprise Linux CoreOS (RHCOS) como o sistema operacional para todos os nós de trabalho, plano de controle e de trabalho. As cargas de trabalho do Windows não são suportadas no Azure OpenShift, uma vez que a plataforma não suporta atualmente nós de trabalho do Windows.

Suporte ao operador Kubernetes

O Azure Red Hat OpenShift dá suporte a operadores criados pela Red Hat e ISVs (fornecedores independentes de software) certificados. Os operadores fornecidos pela Red Hat são suportados pela Red Hat. Os operadores de ISV são suportados pelo ISV.

Para usar o OperatorHub, seu cluster deve ser configurado com um segredo de pull da Red Hat. Para obter mais informações sobre como usar o OperatorHub, consulte Understanding OperatorHub

Segurança

As seções a seguir fornecem informações sobre a segurança do Azure OpenShift.

Fornecedor de autenticação

Os clusters do Azure Red Hat OpenShift não estão configurados com nenhum provedor de autenticação.

Os clientes precisam configurar seus próprios provedores, como o Microsoft Entra ID. Para obter informações sobre como configurar provedores, consulte os seguintes artigos:

• Autenticação do Microsoft Entra
• Provedores de identidade OpenShift

Conformidade regulamentar

Para obter detalhes sobre as certificações de conformidade regulatória do Azure Red Hat OpenShift, consulte Ofertas de conformidade do Microsoft Azure.

Passos Seguintes

Para obter mais informações, consulte a documentação de políticas de suporte.