你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Red Hat OpenShift (可选) 的资源组织注意事项
资源组织主要由平台基础管理。 下面是平台基础可能会影响 Azure Red Hat OpenShift 登陆区域加速器的一些方式。
订阅和资源组设计是常规 Azure 登陆区域建议中的关键注意事项。 它们在如何管理 Azure Red Hat OpenShift 资源组织方面发挥着基础作用。 订阅是资源治理和隔离的管理边界。 如 管理组和订阅组织中所述,使用订阅和管理组将策略分配给边界内的资源。
例如,如果有公共和专用应用程序,请将它们分成不同的订阅,并将它们放置在名为 Corp 和 Online的相应管理组或登陆区域下的其他管理组中。 位于管理组中的 Corp 订阅具有阻止创建公共 IP 地址的策略。 位于管理组下的 Online 订阅允许直接进行 Internet 连接和公共访问。 有关在 Azure 登陆区域设计的不同级别应用的策略(包括特定于 ARO 的策略)的详细信息,请参阅 Azure 登陆区域参考实现中包含的策略。
设计注意事项
确定谁将管理容器主机:
如果主机是集中管理的,则可以减少登陆区域实例的数量。 要求开发人员遵循定义的流程来部署主机,并使用共享仪表板和警报执行工作负载级操作。
如果工作负荷团队管理主机,则需要更多登陆区域实例来划分主机环境。 工作负载团队可以控制其部署。
主机是否由工作负载团队集中管理,请将此注意事项扩展到相邻和相关资源,例如 Web 应用程序防火墙、密钥保管库、管道生成代理,以及可能跳转盒。
为群集选择租户模型:
工作负荷团队操作的单租户: 支持单个工作负荷的单个群集主机可能需要专用的登陆区域,以便对工作负载团队进行分段和控制。
技术平台、多租户主机: 集中管理主机时,运营效率来自于在共享登陆区域订阅中合并多个主机和多个工作负载。 合并减少了专用于支持单个群集或工作负荷的登陆区域和主机的数量。
如果需要根据区域、业务部门、环境、关键性或其他外部约束来分隔工作负载,则可能需要添加登陆区域订阅。
提示
在创建任何其他管理组之前,请查看 定制 Azure 登陆区域体系结构以满足要求 。
集中运营的单租户: 对于仍集中运行的恶意或受管制工作负载,通常为工作负载使用专用主机。 通过合并支持登陆区域,你仍可能会遇到运营效率问题。
根据支持总体项目组合要求所需的环境和主机的一般规模和一致性,选择管理组层次结构:
- 使用平面结构支持专用环境中的许多专用主机,以便每个工作负载团队运行的分散式操作。
- 使用分段结构为集中管理的主机创建管理组,为分散式操作创建单独的管理组。
- 使用分层结构进一步细分环境,以反映计费、治理或运营要求。
确定要使用的容器注册表:
- 使用集成的 Red Hat OpenShift 容器平台注册表。 请考虑以下因素:
- 必须配置 内置容器注册表。
- 对于企业级容器注册表,请使用 Red Hat Quay 注册表。
- 使用 Azure 容器注册表。 请考虑以下因素:
- 实施Azure 容器注册表最佳做法。
- 使用 隔离模式 确保注册表仅包含已扫描漏洞的映像。
- 使用第三方容器注册表。
- 使用集成的 Red Hat OpenShift 容器平台注册表。 请考虑以下因素:
确定用于 Open Container Initiative (OCI) 项目分发的容器注册表拓扑:
- 每个工作负载一个注册表。
- 每个群集一个注册表,注册表中有多个工作负荷。
- 登陆区域中所有群集的一个注册表,同一注册表中有多个工作负载和群集。
- 跨多个登陆区域的所有群集的一个注册表,同一注册表中有多个工作负载和群集。
确定 Azure Policy 中容器注册表策略的范围:
- 在订阅级别设置策略,要求登陆区域中的所有主机都使用定义的注册表。
- 在资源组级别设置更精细的策略。
- 在管理组级别设置更广泛的策略。
设计建议
- 定义要应用于部署到 Azure 的所有容器资源的 命名和标记标准 。 该标准至少应包括:
- 工作负荷名称: 每个群集支持的工作负荷。
- 群集资源: 上述注意事项中群集资源对齐的提升。
- 主机运算符: 哪个团队负责主机操作。
- 实现一个策略,要求使用基于组织的容器注册表拓扑的特定 OCI 项目注册表。