Azure Red Hat OpenShift 服務定義

下列各節提供的服務定義，可協助您管理 Azure Red Hat OpenShift 帳戶。

計費

Azure Red Hat OpenShift 叢集會部署到客戶的 Azure 訂用帳戶。 客戶會直接支付 Azure Red Hat OpenShift 叢集所產生的成本。

Azure Red Hat OpenShift 節點執行於 Azure 虛擬機器上。 系統會根據 Azure Linux 虛擬機器價格計算這些節點的費用。 系統會根據使用量計算 Azure Red Hat OpenShift 叢集所耗用的計算、網路和儲存體資源費用。

除了計算和基礎結構成本之外，應用程式節點還有 Azure Red Hat OpenShift 授權元件的額外成本。 此成本是以應用程式節點數量和執行個體類型為基礎。

所有標準 Azure 購買選項 (包括保留和 Azure 預付款) 都適用。 標準 Azure 購買選項可用於 Azure Red Hat OpenShift。 此外，標準 Azure 購買選項也可用於 Azure Red Hat OpenShift 叢集所耗用的虛擬機器、網路和儲存體資源。

如需價格的詳細資訊，請參閱 Azure Red Hat OpenShift 價格。

叢集自助

客戶可以使用 Azure 命令列公用程式 (CLI) 來建立和刪除其叢集。 Azure Red Hat OpenShift 叢集部署時使用的是 kubeadmin 使用者，在部署成功之後，您可透過 Azure CLI 取得其認證。

您可以使用 OpenShift Web 主控台或 OpenShift CLI (oc) 等工具與 OpenShift API 互動，以執行所有其他 Azure Red Hat OpenShift 叢集動作，例如調整節點。

Azure 資源結構

Azure Red Hat OpenShift 部署需要 Azure 訂用帳戶內的兩個資源群組。 第一個資源群組是由客戶所建立，其中包含叢集的虛擬網路元件。 將網路元素分開，可讓客戶設定 Azure Red Hat OpenShift 以符合需求，並新增任何對等互連選項。

第二個資源群組是由 Azure Red Hat OpenShift 資源提供者所建立。 其中包含 Azure Red Hat OpenShift 叢集元件，包括虛擬機器、網路安全性群組和負載平衡器。 客戶無法修改位於此資源群組內的 Azure Red Hat OpenShift 叢集元件。 您必須透過使用 OpenShift Web 主控台或 OpenShift CLI 或類似工具與 OpenShift API 的互動來執行叢集設定。

注意

ARO 資源提供者的服務主體需要 ARO 叢集 VNet 上的網路參與者角色。 這是 ARO 資源提供者建立資源的必要項目，例如 ARO Private Link 服務和負載平衡器。

Red Hat 運算子

建議客戶在叢集建立期間，將 Red Hat 提取祕密提供給 Azure Red Hat OpenShift 叢集。 Red Hat 提取祕密可讓您的叢集存取 Red Hat 容器登錄，以及 OpenShift Operator Hub 的其他內容。

Azure Red Hat OpenShift 叢集仍然可以提供應用程式，而不需要提供 Red Hat 提取祕密，但無法從 Operator Hub 安裝運算子。

Red Hat 提取祕密也可以提供給叢集部署後。

計算

Azure Red Hat OpenShift 叢集是使用三個以上的背景工作角色節點佈建的。

• 在包含多個可用性區域的區域中，會在每個區域中建立背景工作角色節點機器集合。 此外，也會從每部機器集合佈建背景工作角色節點。

• 當 Azure 區域不支援可用性區域時，Azure Red Hat OpenShift 叢集會從單一機器集合佈建背景工作角色節點。 客戶能夠增加每個區域中的節點計數和權限。

Azure Red Hat OpenShift 叢集是使用三個控制平面節點佈建的。 這些節點負責 etcd 索引鍵/值存放區和 API 相關工作負載。 控制平面節點無法用於客戶工作負載。 控制平面節點部署遵循與背景工作角色節點相同的規則。

• 在包含多個可用性區域的區域中，會在每個區域中建立控制平面節點機器集合。 已從每部機器集合佈建控制平面節點。
• 當 Azure 區域不支援可用性區域時，Azure Red Hat OpenShift 叢集會從單一機器集合佈建控制平面節點。

Azure 計算類型

如需支援的控制平面和背景工作角色節點類型和大小清單，請參閱支援的虛擬機器大小。

Azure 區域

如需 Azure Red Hat OpenShift 的支援區域，請參閱依區域提供的產品。

從 Azure CLI 中，執行下列命令來檢視可用區域清單：

az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml

部署之後，就無法將 Azure Red Hat OpenShift 叢集移至不同的區域。 同樣地，您無法在訂用帳戶之間移轉 Azure Red Hat OpenShift 叢集。

服務等級協定

如需 SLA 詳細資料，請參閱 Azure Red Hat OpenShift 的 SLA。

支援

對 Azure Red Hat OpenShift 的支援要求可以透過以下方式提交；

• 在 Azure 入口網站中要求支援
• 透過 Red Hat 客戶入口網站要求支援

Microsoft 和 Red Hat 支援工程師會將要求分級並加以處理。 Azure Red Hat OpenShift 包含 Red Hat 進階支援。 您可以透過 Microsoft Azure 入口網站獲得支援。

若要直接使用 Red Hat 開立支援票證，叢集必須具有提取祕密。 您可以在叢集建立期間新增祕密，或在現有叢集上加以新增或更新。

記錄

下列各節提供 Azure Red Hat OpenShift 安全性的相關資訊。

叢集作業和稽核記錄

Azure Red Hat OpenShift 會與服務一起部署，以維護叢集及其元件的健康情況和效能。 這些服務包括叢集作業和稽核記錄。 叢集作業和稽核記錄會自動轉送到 Azure 彙總系統，以提供支援和進行疑難排解。 這項資料只供授權的支援人員透過核准的機制存取。

客戶叢集管理員可以部署選擇性記錄堆疊，以彙總其 Azure Red Hat OpenShift 叢集中的所有記錄。 例如，可以彙總節點系統稽核記錄和基礎結構記錄。 不過，這些記錄會耗用另一個叢集資源。

應用程式記錄

啟用 OperatorHub.io 存取權後，Azure Red Hat OpenShift 會包含以 Elasticsearch、Fluentd 和 Kibana (EFK) 為基礎的選擇性記錄堆疊。

可以將記錄堆疊 (記錄運算子) 設定為符合客戶需求。 不過，其是專為短期保留，以協助叢集和應用程式疑難排解，而不是為長期記錄封存而設計。

如果已安裝叢集記錄堆疊，Fluentd 會收集傳送至 STDOUT 的應用程式記錄。 您可透過叢集記錄堆疊取得應用程式記錄。 保留期設定為七天，但每個分區的記錄不會超過 200 GiB。 如需延長保留期，客戶應該遵循其部署中的側車容器設計。 客戶應將記錄轉送至其選擇的記錄彙總或分析服務。

監視

下列各節提供 Azure Red Hat OpenShift 監控的相關資訊。

叢集計量

Azure Red Hat OpenShift 會與服務一起部署，以維護叢集及其元件的健康情況和效能。 這些服務包括將重要計量串流至 Azure 彙總系統，以供支援和疑難排解之用。 這項資料只供授權的支援人員透過核准的機制存取。

Azure Red Hat OpenShift 叢集隨附整合的 Prometheus/Grafana 堆疊，讓客戶能夠檢視叢集監視。 堆疊包含 CPU、記憶體和網路型計量。

您可以透過 Web 主控台存取這些計量，您也可以透過 Grafana 儀表板，使用這些計量來檢視叢集層級狀態和容量/使用量。 這些計量也可讓您以 Azure Red Hat OpenShift 客戶所提供的 CPU 或記憶體計量為基礎進行水平 Pod 自動調整。

網路

下列各節提供 Azure Red Hat OpenShift 網路的相關資訊。

驗證網域的憑證

根據預設，Azure Red Hat OpenShift 包含叢集上內部和外部服務所需的 TLS 安全性憑證。 針對外部路由，會在叢集中提供並安裝傳輸層安全性 (TLS) 萬用字元憑證。 也會將 TLS 憑證用於 OpenShift API 端點。 DigiCert 是用於這些憑證的憑證授權單位 (CA)。

自訂網域

在部署期間，Azure Red Hat OpenShift 可讓您指定叢集的自訂網域。 自訂網域會同時用於叢集服務和應用程式。 您必須在 DNS 伺服器中為指定的網域建立兩個 DNS A 記錄：

• api，指向 api 伺服器 IP 位址
• *.apps，指向輸入 IP 位址

根據預設，Azure Red Hat OpenShift 會針對自訂網域上建立的所有路由使用自我簽署憑證。 如果您選擇使用自訂網域，請連線到叢集。 接下來，遵循 OpenShift 文件，為輸入控制器設定自訂憑證授權單位 CA，為 API 伺服器設定自訂 CA。

組建的自訂 CA

Azure Red Hat OpenShift 支援從映像登錄提取映像時，使用建置信任的 CA。

負載平衡器

Azure Red Hat OpenShift 會使用兩個 Azure 負載平衡器進行部署。 第一個用於將流量輸入至應用程式和 OpenShift 和 Kubernetes API。 第二個用於叢集元件之間的內部通訊。

叢集輸入

專案管理員可以針對許多不同的用途新增路由註釋，包括透過 IP 允許清單的輸入控制項。

可以透過使用 NetworkPolicy 物件來變更輸入原則，NetworkPolicy 物件使用的是 ovs-networkpolicy 外掛程式。 使用 NetworkPolicy 物件可讓您完全控制直到 Pod 層級的輸入網路原則，包括相同叢集上 Pod 之間，甚至是在相同的命名空間中。

所有叢集輸入流量都會在定義的負載平衡器周遊。

叢集輸出

透過 EgressNetworkPolicy 物件的 Pod 輸出流量控制可用來防止或限制在 Azure Red Hat OpenShift 中的輸出流量。 目前所有虛擬機器都必須具有輸出網際網路存取權。

雲端網路設定

Azure Red Hat OpenShift 可透過數種雲端提供者管理的技術來設定私人網路連線：

• VNet 連線
• Azure 對等互連
• Azure VNet 閘道
• Azure Express 路由

Red Hat SRE 不會提供這些私人網路連線的監視。 監視這些連線是客戶的責任。

客戶指定的 DNS

Azure Red Hat OpenShift 客戶可以指定自己的 DNS 伺服器。 如需詳細資訊，請參閱設定 Azure Red Hat OpenShift 叢集的自訂 DNS。

容器網路介面

Azure Red Hat OpenShift 隨附 OVN (開放式虛擬網路) 作為容器網路介面 (CNI)。 取代 CNI 不是支援的作業。 如需詳細資訊，請參閱適用於 Azure Red Hat OpenShift 叢集的 OVN-Kubernetes 網路提供者。

儲存體

下列各節提供 Azure Red Hat OpenShift 儲存體的相關資訊。

待用資料加密

Azure 儲存體會使用伺服器端加密 (SSE) 來自動加密要保存到雲端的資料。 根據預設，資料是以使用 Microsoft 平台管理的金鑰加密。

區塊儲存體 (RWO)

永續性磁碟區是由 Azure 磁碟區塊儲存體所支援，後者是 Read-Write-Once (RWO)。 1024-GiB 磁碟是動態建立並連結至每個 Azure Red Hat OpenShift 控制器平面節點。 這些磁碟是進階 SSD LRS Azure 受控磁碟。 您可以在叢集建立期間設定預設背景工作角色節點機器集合的磁碟大小。

客戶有權建立更多機器集合，以更符合其需求。

一次只能連結至單一節點的永續性磁碟區 (PV)，專屬於其佈建所在的可用性區域。 這些磁碟區可以連結至可用性區域中的任何節點。

Azure 會限制可以將多少個區塊存放區類型 PV 連結至單一節點。 Azure 限制取決於客戶針對背景工作角色節點選取的虛擬機器類型和大小。 例如，若要查看 Dasv4 系列的最大資料磁碟，請參閱 Dasv4。

共用儲存體 (RWX)

Azure Red Hat OpenShift 叢集的共用儲存體必須由客戶設定。 如需如何設定 Azure 檔案儲存體類別的範例，請參閱在 Azure Red Hat OpenShift 4 上建立 Azure 檔案儲存體 StorageClass

平台

下列各節提供 Azure Red Hat OpenShift 平台的相關資訊。

叢集備份原則

重要

對於應用程式和應用程式資料而言，請務必準備備份計畫。

應用程式和應用程式資料備份不是 Azure Red Hat OpenShift 服務的自動化部分。 如需如何執行手動應用程式備份的教學課程，請參閱建立 Azure Red Hat OpenShift 4 叢集應用程式備份。

DaemonSet

客戶可以在 Azure Red Hat OpenShift 上建立和執行 DaemonSets。 若要將 DaemonSets 限制為只在背景工作角色節點上執行，請使用下列 nodeSelector：

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

Azure Red Hat OpenShift 版

Azure Red Hat OpenShift 會以服務的形式執行。 其可讓客戶掌握最新的穩定 OpenShift 容器平台版本。 如需支援和升級原則，請參閱 Azure Red Hat OpenShift 4 的支援生命週期。

支援週期

如需 Azure Red Hat OpenShift 支援生命週期的相關資訊，請參閱 Azure Red Hat OpenShift 4 的支援生命週期。

容器引擎

Azure Red Hat OpenShift 會在 OpenShift 4 上執行，並使用 Kubernetes 容器執行階段介面的 CRI-O 實作作為唯一可用的容器引擎。

作業系統

Azure Red Hat OpenShift 會在 OpenShift 4 上使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作為所有控制平面和背景工作角色節點的作業系統來執行。 Azure OpenShift 不支援 Windows 工作負載，因為平台目前不支援 Windows 背景工作角色節點。

Kubernetes 運算子支援

Azure Red Hat OpenShift 支援 Red Hat 所建立的運算子，以及經認證的獨立軟體廠商 (ISV)。 Red Hat 所提供的運算子受到 Red Hat 支援。 ISV 支援 ISV 運算子。

若要使用 OperatorHub，必須使用 Red Hat 提取祕密對叢集進行設定。 如需使用 OperatorHub 的詳細資訊，請參閱瞭解 OperatorHub

安全性

下列各節提供 Azure OpenShift 安全性的相關資訊。

驗證提供者

未使用任何驗證提供者對 Azure Red Hat OpenShift 叢集進行任何設定。

客戶必須設定自己的提供者，例如 Microsoft Entra ID。 如需設定提供者的相關資訊，請參閱下列文章：

• Microsoft Entra 驗證
• OpenShift 識別提供者

法規合規性

如需 Azure Red Hat OpenShift 法規合規性認證的詳細資料，請參閱 Microsoft Azure 合規性供應項目。

後續步驟

如需詳細資訊，請參閱支援原則文件。