Azure Red Hat OpenShift (選擇性) 的資源組織考慮

資源組織主要是由平臺基礎管理。 以下是平臺基礎可能會影響 Azure Red Hat OpenShift 登陸區域加速器的一些方式。

訂用帳戶和資源群組設計是一般 Azure 登陸區域建議的重要考慮。 他們扮演您管理 Azure Red Hat OpenShift 資源組織的基本角色。 訂用帳戶是資源治理和隔離的管理界限。 如 管理群組和訂用帳戶組織中所述，請使用訂用帳戶和管理群組，將原則指派給界限內的資源。

例如，如果您有公用和私人應用程式，請將它們分成不同的訂用帳戶，並將其放在名為 Corp 和 Online 的適當管理群組，或其他管理群組位於登陸區域下方。 管理群組內的 Corp 訂用帳戶具有防止建立公用 IP 位址的原則。 位於管理群組下方的 Online 訂用帳戶允許直接存取網際網路連線和公用存取。 如需 Azure 登陸區域設計不同層級套用哪些原則的詳細資訊，包括 ARO 特定原則，請參閱 Azure 登陸區域中包含的原則參考實作。

設計考量

• 決定要管理容器主機的人員：

  • 如果主機會集中管理，您可以減少登陸區域實例的數目。 要求開發人員遵循定義的程式來部署主機，並使用共用儀表板和警示進行工作負載層級作業。

  • 如果工作負載小組管理主機，您需要更多登陸區域實例來區隔主機環境。 工作負載小組可以控制其部署。

  • 主機是否由工作負載小組集中管理，請將此考慮延伸到相鄰和相關資源，例如 Web 應用程式防火牆、金鑰保存庫、管線組建代理程式，以及可能跳躍方塊。

• 選擇叢集的租用模型：

  • 工作負載小組操作的單一租使用者： 支援單一工作負載的單一叢集主機可能需要專用登陸區域來進行工作負載小組分割和控制。

  • 技術平臺、多租使用者主機： 當主機集中管理時，作業效率來自合併多個主機和共用登陸區域訂用帳戶中的多個工作負載。 合併可減少專用於支援單一叢集或工作負載的登陸區域和主機數目。

    如果需要分割，才能根據區域、業務單位、環境、重要性或其他外部條件約束來分隔工作負載，您可能需要新增登陸區域訂用帳戶。

    提示

    檢 閱量身打造 Azure 登陸區域架構，以符合需求 ，再建立任何其他管理群組。

  • 集中操作的單一租使用者： 對於仍在集中操作的惡意或受管制工作負載，通常具有工作負載的專用主機。 您仍可以藉由彙總支援的登陸區域，來體驗作業效率。

• 根據支援整體組合需求所需的環境和主機的一般規模和一致性，選擇管理群組階層：

  • 使用一般結構，針對每個工作負載小組執行的分散式作業，在專用環境中支援許多專用主機。
  • 使用分段結構來為集中管理的主機建立管理群組，並為分散式作業建立個別的管理群組。
  • 使用階層式結構進一步區隔環境，以反映計費、治理或作業需求。

• 決定要使用的容器登錄：

  • 使用整合式 Red Hat OpenShift 容器平臺登錄。 請考慮下列因素：
    • 您必須設定 內建容器登錄。
    • 針對企業級容器登錄，請使用 Red Hat Quay 登錄。
  • 使用Azure Container Registry。 請考慮下列因素：
    • 實作Azure Container Registry最佳做法。
    • 使用 隔離模式 來確保登錄只包含已掃描弱點的映射。
  • 使用協力廠商容器登錄。

• 決定要用於 Open Container Initiative (OCI) 成品散發的容器登錄拓撲：

  • 每個工作負載一個登錄。
  • 每個叢集有一個登錄，登錄中有多個工作負載。
  • 登陸區域中所有叢集的一個登錄，相同登錄中有多個工作負載和叢集。
  • 跨多個登陸區域的所有叢集都有一個登錄，在同一個登錄中有多個工作負載和叢集。

• 決定 Azure 原則中容器登錄原則的範圍：

  • 在訂用帳戶層級設定原則，以要求登陸區域中的所有主機都使用定義的登錄。
  • 在資源群組層級設定更細微的原則。
  • 在管理群組層級設定更廣泛的原則。

設計建議

• 定義 命名和標記標準 ，以套用至部署至 Azure 的所有容器資源。 標準至少應包括：
  • 工作負載名稱： 每個叢集支援的工作負載或工作負載。
  • 叢集資源： 從上述考慮提高叢集資源對齊度。
  • 主機運算子： 哪個小組負責主機作業。
• 實作原則，以要求以組織容器登錄拓撲為基礎的特定 OCI 成品登錄。

下一步

• 檢閱 Azure Red Hat OpenShift 的安全性建議。