Definice služby Azure Red Hat OpenShift
Následující části obsahují definice služeb, které vám pomůžou spravovat účet Azure Red Hat OpenShift.
Fakturace
Clustery Azure Red Hat OpenShift se nasazují do předplatného Azure zákazníka. Zákazník platí Azure přímo za náklady vzniklé clusterem Azure Red Hat OpenShift.
Uzly Azure Red Hat OpenShift běží na virtuálních počítačích Azure. Účtují se podle cen virtuálních počítačů Azure s Linuxem. Výpočetní prostředky, sítě a úložiště spotřebované clusterem Azure Red Hat OpenShift se účtují podle využití.
Kromě nákladů na výpočetní prostředky a infrastrukturu mají uzly aplikací další náklady na komponentu licence Azure Red Hat OpenShift. Tyto náklady vycházejí z počtu uzlů aplikace a typu instance.
Platí všechny standardní možnosti nákupu Azure, včetně rezervací a zálohy na Azure. Standardní možnosti nákupu Azure je možné použít pro Azure Red Hat OpenShift. Standardní možnosti nákupu Azure je také možné použít pro virtuální počítače, sítě a prostředky úložiště využívané clusterem Azure Red Hat OpenShift.
Další informace o cenách najdete v tématu o cenách Azure Red Hat OpenShift.
Samoobslužná služba clusteru
Zákazníci můžou vytvářet a odstraňovat své clustery pomocí nástroje příkazového řádku Azure (CLI). Clustery Azure Red Hat OpenShift se nasazují s uživatelem kubeadmin, jehož přihlašovací údaje jsou k dispozici z Azure CLI po úspěšném nasazení clusteru.
Všechny ostatní akce clusteru Azure Red Hat OpenShift, jako je škálování uzlů, můžete provádět pomocí nástrojů, jako je webová konzola OpenShift nebo Rozhraní příkazového řádku OpenShift (oc).
Architektura prostředků Azure
Nasazení Azure Red Hat OpenShiftu vyžaduje dvě skupiny prostředků v rámci předplatného Azure. První skupinu prostředků vytvoří zákazník a obsahuje součásti virtuální sítě pro cluster. Oddělení síťových prvků umožňuje zákazníkovi nakonfigurovat Azure Red Hat OpenShift tak, aby splňoval požadavky a přidal všechny možnosti partnerského vztahu.
Druhou skupinu prostředků vytvoří poskytovatel prostředků Azure Red Hat OpenShift. Obsahuje komponenty clusteru Azure Red Hat OpenShift, včetně virtuálních počítačů, skupin zabezpečení sítě a nástrojů pro vyrovnávání zatížení. Komponenty clusteru Azure Red Hat OpenShift umístěné v této skupině prostředků zákazník neupravuje. Konfigurace clusteru se musí provádět prostřednictvím interakcí s rozhraním API OpenShift pomocí webové konzoly OpenShiftu nebo Rozhraní příkazového řádku OpenShift nebo podobných nástrojů.
Poznámka:
Instanční objekt poskytovatele prostředků ARO vyžaduje roli Přispěvatel sítě ve virtuální síti clusteru ARO. To se vyžaduje, aby poskytovatel prostředků ARO vytvořil prostředky, jako je služba ARO Private Link a nástroje pro vyrovnávání zatížení.
Operátory Red Hat
Doporučuje se, aby zákazník při vytváření clusteru Azure Red Hat OpenShift poskytoval tajný kód pro přijetí změn red hatu do clusteru Azure Red Hat OpenShift. Tajný kód pro vyžádání obsahu Red Hat umožňuje clusteru přistupovat k registrům kontejnerů Red Hat spolu s dalším obsahem z centra operátorů OpenShift.
Clustery Azure Red Hat OpenShift můžou dál obsluhovat aplikace bez poskytnutí tajného kódu pro vyžádání obsahu Red Hat, ale nebudou moct instalovat operátory z centra operátorů.
Tajný klíč pro přijetí změn z Red Hatu je také možné poskytnout clusteru po nasazení.
Compute
Clustery Azure Red Hat OpenShift se zřizují se třemi nebo více pracovními uzly.
V oblastech skládajících se z několika zón dostupnosti se v každé zóně vytvoří sada počítačů pracovních uzlů. Pracovní uzel je také zřízený z každé sady počítačů.
Pokud oblast Azure nepodporuje zóny dostupnosti, cluster Azure Red Hat OpenShift zřídí pracovní uzly z jedné sady počítačů. Zákazníci mají možnost zvýšit počet uzlů a oprávnění v každé oblasti.
Clustery Azure Red Hat OpenShift se zřizují se třemi uzly řídicí roviny. Tyto uzly zodpovídají za úložiště klíč-hodnota atd. a úlohy související s rozhraním API. Uzel řídicí roviny se nedá použít pro úlohy zákazníků. Nasazení uzlu řídicí roviny se řídí stejnými pravidly jako pracovní uzly.
- V oblastech, které se skládají z více zón dostupnosti, se v každé zóně vytvoří sada počítačů uzlu řídicí roviny. Uzel řídicí roviny se zřizuje z každé sady počítačů.
- Pokud oblast Azure nepodporuje zóny dostupnosti, cluster Azure Red Hat OpenShift zřídí uzly řídicí roviny z jedné sady počítačů.
Typy výpočetních prostředků Azure
Seznam podporovaných typů a velikostí řídicích uzlů a pracovních uzlů najdete v tématu Podporované velikosti virtuálních počítačů.
Oblasti Azure
Oblasti podporované službou Azure Red Hat OpenShift najdete v tématu Produkty dostupné v jednotlivých oblastech.
V Azure CLI zobrazte seznam dostupných oblastí spuštěním následujícího příkazu:
az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml
Po nasazení není možné cluster Azure Red Hat OpenShift přesunout do jiné oblasti. Podobně nemůžete přenášet clustery Azure Red Hat OpenShift mezi předplatnými.
Smlouva úrovně služeb
Podrobnosti o sla najdete v tématu SLA pro Azure Red Hat OpenShift.
Technická podpora
Žádosti o podporu pro Azure Red Hat OpenShift může odeslat;
- Žádost o podporu na webu Azure Portal
- Žádost o podporu prostřednictvím zákaznického portálu Red Hat
Žádosti budou triagedovány a vyřešeny pracovníky podpory Microsoftu a Red Hatu. Azure Red Hat OpenShift zahrnuje podporu Red Hat Premium. Podpora je přístupná prostřednictvím portálu Microsoft Azure Portal.
Pokud chcete otevřít lístky podpory přímo s Red Hatem, cluster bude muset mít tajný kód pro vyžádání změn. Můžete ho přidat během vytváření clusteru nebo ho přidat nebo aktualizovat v existujícím clusteru.
Protokolování
Následující části obsahují informace o zabezpečení Azure Red Hat OpenShift.
Operace clusteru a protokolování auditu
Azure Red Hat OpenShift se nasazuje se službami pro zachování stavu a výkonu clusteru a jeho součástí. Mezi tyto služby patří operace clusteru a protokoly auditu. Clusterové operace a protokoly auditu se automaticky předávají do agregačního systému Azure, aby bylo potřeba podporu a řešení potíží. Tato data jsou přístupná pouze autorizovaným pracovníkům podpory prostřednictvím schválených mechanismů.
Správci clusteru zákazníků můžou nasadit volitelný zásobník protokolování, který agreguje všechny protokoly ze svého clusteru Azure Red Hat OpenShift. Například protokoly auditu systému uzlu a protokoly infrastruktury je možné agregovat. Tyto protokoly však využívají jiné prostředky clusteru.
Protokolování aplikací
S povoleným přístupem k OperatorHub.io zahrnuje Azure Red Hat OpenShift volitelný zásobník protokolování založený na Elasticsearch, Fluentdu a Kibaně (EFK).
Zásobník protokolování, operátor protokolování, lze nakonfigurovat tak, aby splňoval požadavky zákazníků. Je ale určená pro krátkodobé uchovávání, aby pomohla řešení potíží s clustery a aplikacemi, ne pro dlouhodobou archivaci protokolů.
Pokud je zásobník protokolování clusteru nainstalovaný, shromažďuje fluentd protokoly aplikací odesílané do stDOUT. Protokoly aplikace jsou zpřístupněny prostřednictvím zásobníku protokolování clusteru. Uchovávání je nastavené na sedm dnů, ale nepřekročí 200 GiB protokolů na horizontální oddíl. V případě dlouhodobého uchovávání by zákazníci měli v nasazeních postupovat podle návrhu kontejneru sajdkáře. Zákazníci by měli protokoly předávat do služby agregace protokolů nebo analytické služby podle svého výběru.
Sledování
Následující část obsahuje informace o monitorování Azure Red Hat OpenShiftu.
Metriky clusteru
Azure Red Hat OpenShift se nasazuje se službami pro zachování stavu a výkonu clusteru a jeho součástí. Mezi tyto služby patří streamování důležitých metrik do systému agregace Azure pro účely podpory a řešení potíží. Tato data jsou přístupná pouze autorizovaným pracovníkům podpory prostřednictvím schválených mechanismů.
Clustery Azure Red Hat OpenShift mají integrovaný zásobník Prometheus/Grafana, který zákazníkům umožňuje zobrazit monitorování clusteru. Zásobník zahrnuje metriky procesoru, paměti a sítě.
Tyto metriky, které jsou přístupné prostřednictvím webové konzoly, se dají použít také k zobrazení stavu a kapacity nebo využití na úrovni clusteru prostřednictvím řídicího panelu Grafana. Tyto metriky také umožňují horizontální automatické škálování podů založené na metrikách procesoru nebo paměti poskytované zákazníkem Azure Red Hat OpenShift.
Síť
Následující části obsahují informace o síti Azure Red Hat OpenShift.
Certifikáty ověřené doménou
Azure Red Hat OpenShift ve výchozím nastavení zahrnuje certifikáty zabezpečení TLS potřebné pro interní i externí služby v clusteru. Pro externí trasy je v clusteru k dispozici a nainstalovaný certifikát se zástupným znakem TLS (Transport Layer Security). Pro koncový bod rozhraní API OpenShift se používá také certifikát TLS. DigiCert je certifikační autorita (CA) používaná pro tyto certifikáty.
Vlastní domény
Během nasazování umožňuje Azure Red Hat OpenShift zadat vlastní doménu pro váš cluster. Vlastní doména se používá pro clusterové služby i pro aplikace. Pro zadanou doménu musíte na serveru DNS vytvořit dva záznamy DNS A:
- api, které odkazuje na IP adresu serveru api
- *.apps, která odkazuje na IP adresu příchozího přenosu dat
Azure Red Hat OpenShift ve výchozím nastavení používá certifikáty podepsané svým držitelem pro všechny trasy vytvořené ve vlastních doménách. Pokud se rozhodnete používat vlastní domény, připojte se ke clusteru. Dále postupujte podle dokumentace k OpenShiftu a nakonfigurujte certifikační autoritu vlastní certifikační autority pro váš kontroler příchozího přenosu dat a vlastní certifikační autoritu pro váš server rozhraní API.
Vlastní certifikační autority pro sestavení
Azure Red Hat OpenShift podporuje použití certifikačních autorit, které jsou důvěryhodné sestaveními při načítání imagí z registru imagí.
Nástrojů pro vyrovnávání zatížení
Azure Red Hat OpenShift se nasazuje se dvěma nástroji pro vyrovnávání zatížení Azure. První se používá pro příchozí přenos dat do aplikací a pro rozhraní API OpenShift a Kubernetes. Druhá se používá pro interní komunikaci mezi komponentami clusteru.
Příchozí přenos dat clusteru
Správci projektů můžou přidávat poznámky ke směrování pro mnoho různých účelů, včetně řízení příchozího přenosu dat prostřednictvím seznamu povolených IP adres.
Zásady příchozího přenosu dat je možné změnit pomocí objektů NetworkPolicy, které používají modul plug-in ovs-networkpolicy. Použití objektů NetworkPolicy umožňuje úplnou kontrolu nad zásadami sítě příchozího přenosu dat na úrovni podu, včetně podů ve stejném clusteru a dokonce i ve stejném oboru názvů.
Veškerý provoz příchozího přenosu dat clusteru prochází definovaným nástrojem pro vyrovnávání zatížení.
Výchozí přenos dat clusteru
Řízení odchozího provozu podu prostřednictvím objektů EgressNetworkPolicy je možné použít k zabránění nebo omezení odchozího provozu v Azure Red Hat OpenShiftu. V současné době musí mít všechny virtuální počítače odchozí přístup k internetu.
Konfigurace cloudové sítě
Azure Red Hat OpenShift umožňuje konfiguraci privátních síťových připojení prostřednictvím několika technologií spravovaných poskytovatelem cloudu:
- Připojení virtuální sítě
- Partnerský vztah virtuálních sítí Azure
- Azure VNet Gateway
- Azure ExpressRoute
Red Hat SRE neposkytuje žádné monitorování těchto privátních síťových připojení. Monitorování těchto připojení je zodpovědností zákazníka.
DNS zadaný zákazníkem
Zákazníci Azure Red Hat OpenShiftu můžou zadat vlastní servery DNS. Další informace najdete v tématu Konfigurace vlastního DNS pro cluster Azure Red Hat OpenShift.
Síťové rozhraní kontejneru
Azure Red Hat OpenShift se dodává s OVN (Open Virtual Network) jako rozhraní CNI (Container Network Interface). Nahrazení CNI není podporovaná operace. Další informace najdete v tématu poskytovatel sítě OVN-Kubernetes pro clustery Azure Red Hat OpenShift.
Úložiště
Následující části obsahují informace o úložišti Azure Red Hat OpenShift.
Šifrování neaktivních uložených dat
Azure Storage používá šifrování na straně serveru (SSE) k automatickému šifrování dat, když se zachovají do cloudu. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných platformou Microsoftu.
Blokové úložiště (RWO)
Trvalé svazky jsou podporovány blokovým úložištěm disků Azure, což je rwo (Read-Write-Once). 1024-GiB disky se dynamicky vytvářejí a připojují ke každému uzlu roviny kontroleru Azure Red Hat OpenShift. Tyto disky jsou disky ssd úrovně Premium LRS spravované v Azure. Velikosti disků pro výchozí sady počítačů pracovních uzlů je možné nakonfigurovat během vytváření clusteru.
Zákazníci mají oprávnění k vytváření dalších sad počítačů, aby lépe vyhovovaly jejich požadavkům.
Trvalé svazky (VS), které je možné připojit pouze k jednomu uzlu najednou, jsou specifické pro zónu dostupnosti, ve které byly zřízeny. Můžou být připojené k libovolnému uzlu v zóně dostupnosti.
Azure omezuje počet počítačů s úložištěm bloků typů, které je možné připojit k jednomu uzlu. Limity Azure závisí na typu a velikosti virtuálního počítače, který zákazník vybere pro pracovní uzly. Pokud například chcete zobrazit maximální počet datových disků pro řadu Dasv4, přečtěte si téma Dasv4.
Sdílené úložiště (RWX)
Sdílené úložiště pro clustery Azure Red Hat OpenShift musí nakonfigurovat zákazník. Příklad konfigurace třídy úložiště pro soubory Azure najdete v tématu Vytvoření třídy Azure Files StorageClass v Azure Red Hat OpenShift 4.
Platforma
Následující části obsahují informace o platformě Azure Red Hat OpenShift.
Zásady zálohování clusteru
Důležité
Je důležité , abyste měli plán zálohování pro aplikace a data aplikací.
Zálohy dat aplikací a aplikací nejsou automatizovanou součástí služby Azure Red Hat OpenShift. Kurz, jak provést ruční zálohování aplikací, najdete v tématu Vytvoření zálohování aplikací clusteru Azure Red Hat OpenShift 4.
DaemonSets
Zákazníci můžou vytvářet a spouštět daemonSets v Azure Red Hat OpenShiftu. Pokud chcete daemonSets omezit jenom na spuštěné na pracovních uzlech, použijte následující nodeSelector:
spec:
nodeSelector:
node-role.kubernetes.io/worker: ""
Verze Azure Red Hat OpenShiftu
Azure Red Hat OpenShift se spouští jako služba. Umožňuje zákazníkům udržovat aktuální informace o nejnovější stabilní verzi OpenShift Container Platform. Informace o zásadách podpory a upgradu najdete v tématu Životní cyklus podpory pro Azure Red Hat OpenShift 4.
Životní cyklus podpory
Informace o životním cyklu podpory Azure Red Hat OpenShift najdete v tématu Životní cyklus podpory pro Azure Red Hat OpenShift 4.
Modul kontejneru
Azure Red Hat OpenShift běží na OpenShiftu 4 a používá implementaci CRI-O rozhraní modulu runtime kontejneru Kubernetes jako jediný dostupný modul kontejneru.
Operační systém
Azure Red Hat OpenShift běží na OpenShiftu 4 pomocí Red Hat Enterprise Linux CoreOS (RHCOS) jako operačního systému pro všechny řídicí roviny a pracovní uzly. Úlohy Windows se v Azure OpenShiftu nepodporují, protože platforma v současné době nepodporuje pracovní uzly Windows.
Podpora operátorů Kubernetes
Azure Red Hat OpenShift podporuje operátory vytvořené společností Red Hat a certifikovanými nezávislými dodavateli softwaru (ISV). Red Hat podporuje operátory poskytované společností Red Hat. IsV operátory jsou podporovány isV.
Pokud chcete použít OperatorHub, musí být váš cluster nakonfigurovaný s tajným kódem pro vyžádání změn Red Hat. Další informace o používání OperatorHubu najdete v tématu Principy OperátorHubu.
Zabezpečení
Následující části obsahují informace o zabezpečení Azure OpenShiftu.
Zprostředkovatel ověřování
Clustery Azure Red Hat OpenShift nejsou nakonfigurované s žádnými zprostředkovateli ověřování.
Zákazníci musí nakonfigurovat vlastní poskytovatele, například ID Microsoft Entra. Informace o konfiguraci poskytovatelů najdete v následujících článcích:
Dodržování legislativní předpisů
Podrobnosti o certifikacích dodržování právních předpisů v Azure Red Hat OpenShiftu najdete v tématu Nabídky dodržování předpisů Microsoft Azure.
Další kroky
Další informace najdete v dokumentaci k zásadám podpory.