Definisi layanan Azure Red Hat OpenShift
Bagian berikut ini menyediakan definisi layanan untuk membantu Anda mengelola akun Azure Red Hat OpenShift Anda.
Billing
Kluster Azure Red Hat OpenShift disebarkan ke langganan Azure pelanggan. Pelanggan membayar Azure secara langsung untuk biaya yang dikeluarkan oleh kluster Azure Red Hat OpenShift.
Simpul Azure Red Hat OpenShift berjalan di Azure Virtual Machines. Mereka ditagih sesuai dengan harga komputer virtual Azure Linux. Sumber daya komputasi, jaringan, dan penyimpanan yang digunakan oleh kluster Azure Red Hat OpenShift ditagih sesuai dengan penggunaan.
Selain biaya komputasi dan infrastruktur, simpul aplikasi memiliki biaya tambahan untuk komponen lisensi Azure Red Hat OpenShift. Biaya ini didasarkan pada jumlah simpul aplikasi dan jenis instans.
Semua opsi pembelian Azure standar, termasuk reservasi dan prabayar Azure berlaku. Opsi pembelian Azure standar dapat digunakan untuk Azure Red Hat OpenShift. Selain itu, opsi pembelian Azure standar dapat digunakan untuk komputer virtual, jaringan, dan sumber daya penyimpanan yang digunakan oleh kluster Azure Red Hat OpenShift.
Untuk informasi selengkapnya tentang harga, lihat Harga Azure Red Hat OpenShift.
Layanan mandiri kluster
Pelanggan dapat membuat dan menghapus kluster mereka menggunakan utilitas baris perintah (CLI) Azure. Kluster Azure Red Hat OpenShift disebarkan dengan pengguna kubeadmin yang kredensialnya tersedia dari Azure CLI setelah kluster berhasil disebarkan.
Anda dapat melakukan semua tindakan kluster Azure Red Hat OpenShift lainnya, seperti simpul penskalaan, dengan berinteraksi dengan OpenShift API menggunakan alat seperti konsol web OpenShift atau OpenShift CLI (oc).
Arsitektur sumber daya Azure
Penyebaran Azure Red Hat OpenShift memerlukan dua grup sumber daya dalam langganan Azure. Grup sumber daya pertama dibuat oleh pelanggan dan berisi komponen jaringan virtual untuk kluster. Memisahkan elemen jaringan memungkinkan pelanggan untuk mengonfigurasi Azure Red Hat OpenShift untuk memenuhi persyaratan dan menambahkan opsi peering apa pun.
Grup sumber daya kedua dibuat oleh penyedia sumber daya Azure Red Hat OpenShift. Ini berisi komponen kluster Azure Red Hat OpenShift, termasuk komputer virtual, grup keamanan jaringan, dan load balancer. Komponen kluster Azure Red Hat OpenShift yang terletak di dalam grup sumber daya ini tidak dapat dimodifikasi oleh pelanggan. Konfigurasi kluster harus dilakukan melalui interaksi dengan OpenShift API menggunakan konsol web OpenShift atau OpenShift CLI atau alat serupa.
Catatan
Perwakilan layanan untuk penyedia sumber daya ARO memerlukan peran Kontributor Jaringan pada VNet kluster ARO. Ini diperlukan bagi penyedia sumber daya ARO untuk membuat sumber daya seperti layanan ARO Private Link dan load balancer.
Operator Red Hat
Disarankan agar pelanggan memberikan rahasia penarikan Red Hat ke kluster Azure Red Hat OpenShift selama pembuatan kluster. Rahasia penarikan Red Hat memungkinkan kluster Anda mengakses registri kontainer Red Hat, bersama dengan konten lain dari Hub Operator OpenShift.
Kluster Azure Red Hat OpenShift masih dapat melayani aplikasi tanpa memberikan rahasia penarikan Red Hat, tetapi mereka tidak akan dapat menginstal operator dari Operator Hub.
Rahasia penarikan Red Hat juga dapat disediakan untuk penyebaran pos kluster.
Compute
Kluster Azure Red Hat OpenShift disediakan dengan tiga node pekerja atau lebih.
Di wilayah yang terdiri dari beberapa zona ketersediaan, set komputer simpul pekerja dibuat di setiap zona. Selain itu, simpul pekerja disediakan dari setiap set komputer.
Saat wilayah Azure tidak mendukung zona ketersediaan, kluster Azure Red Hat OpenShift menyediakan simpul pekerja dari satu set komputer. Pelanggan memiliki kemampuan untuk meningkatkan jumlah simpul dan izin di setiap wilayah.
Kluster Azure Red Hat OpenShift disediakan dengan tiga simpul sarana kontrol. Simpul ini bertanggung jawab atas penyimpanan kunci-nilai etcd dan beban kerja terkait API. Simpul sarana kontrol tidak dapat digunakan untuk beban kerja pelanggan. Penyebaran simpul sarana kontrol mengikuti aturan yang sama dengan simpul pekerja.
- Di wilayah yang terdiri dari beberapa zona ketersediaan, set komputer simpul sarana kontrol dibuat di setiap zona. Simpul sarana kontrol disediakan dari setiap set komputer.
- Jika wilayah Azure tidak mendukung zona ketersediaan, kluster Azure Red Hat OpenShift menyediakan simpul sarana kontrol dari satu set komputer.
Jenis komputasi Azure
Untuk daftar jenis dan ukuran sarana kontrol dan simpul pekerja yang didukung, lihat Ukuran komputer virtual yang didukung.
Wilayah Azure
Untuk wilayah yang didukung oleh Azure Red Hat OpenShift, lihat Produk yang tersedia menurut wilayah.
Dari Azure CLI, lihat daftar wilayah yang tersedia dengan menjalankan perintah berikut:
az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml
Setelah disebarkan, kluster Azure Red Hat OpenShift tidak dapat dipindahkan ke wilayah lain. Demikian pula, Anda tidak dapat mentransfer kluster Azure Red Hat OpenShift antar langganan.
Perjanjian tingkat layanan
Untuk detail SLA, lihat SLA untuk Azure Red Hat OpenShift.
Dukungan
Permintaan dukungan untuk Azure Red Hat OpenShift dapat dikirimkan oleh;
- Meminta dukungan di portal Azure
- Meminta dukungan melalui Portal Pelanggan Red Hat
Permintaan akan di-triase dan ditangani oleh teknisi dukungan Microsoft dan Red Hat. Azure Red Hat OpenShift menyertakan Dukungan Red Hat Premium. Dukungan dapat diakses melalui Microsoft portal Azure.
Untuk membuka tiket dukungan langsung dengan Red Hat, kluster Anda harus memiliki rahasia penarikan. Anda dapat menambahkannya selama pembuatan kluster, atau menambahkannya atau memperbaruinya pada kluster yang ada.
Pencatatan
Bagian berikut ini menyediakan informasi tentang keamanan Azure Red Hat OpenShift.
Operasi kluster dan pengelogan audit
Azure Red Hat OpenShift disebarkan dengan layanan untuk menjaga kesehatan dan performa kluster dan komponennya. Layanan ini mencakup operasi kluster dan log audit. Operasi kluster dan log audit diteruskan secara otomatis ke sistem agregasi Azure untuk dukungan dan pemecahan masalah. Data ini hanya dapat diakses oleh staf dukungan yang berwenang melalui mekanisme yang disetujui.
Administrator kluster pelanggan dapat menyebarkan tumpukan pengelogan opsional untuk menggabungkan semua log dari kluster Azure Red Hat OpenShift mereka. Misalnya, log audit sistem simpul dan log infrastruktur dapat diagregasi. Namun, log ini menggunakan sumber daya kluster lain.
Pengelogan aplikasi
Dengan akses ke OperatorHub.io diaktifkan, Azure Red Hat OpenShift menyertakan tumpukan pengelogan opsional berdasarkan Elasticsearch, Fluentd, dan Kibana (EFK).
Tumpukan pengelogan, Operator Pengelogan, dapat dikonfigurasi untuk memenuhi persyaratan pelanggan. Namun, ini dirancang untuk retensi jangka pendek untuk membantu kluster dan pemecahan masalah aplikasi, bukan untuk pengarsipan log jangka panjang.
Jika tumpukan pengelogan kluster diinstal, log aplikasi yang dikirim ke STDOUT dikumpulkan oleh Fluentd. Log aplikasi tersedia melalui tumpukan pengelogan kluster. Retensi diatur ke tujuh hari, tetapi tidak akan melebihi 200 GiB log per pecahan. Untuk retensi jangka panjang, pelanggan harus mengikuti desain kontainer sidecar dalam penyebaran mereka. Pelanggan harus meneruskan log ke layanan agregasi log atau analitik pilihan mereka.
Pemantauan
Bagian berikut ini menyediakan informasi tentang pemantauan Azure Red Hat OpenShift.
Metrik kluster
Azure Red Hat OpenShift disebarkan dengan layanan untuk menjaga kesehatan dan performa kluster dan komponennya. Layanan ini mencakup streaming metrik penting ke sistem agregasi Azure untuk tujuan dukungan dan pemecahan masalah. Data ini hanya dapat diakses oleh staf dukungan yang berwenang melalui mekanisme yang disetujui.
Kluster Azure Red Hat OpenShift dilengkapi dengan tumpukan Prometheus/Grafana terintegrasi untuk memungkinkan pelanggan melihat pemantauan kluster. Tumpukan ini mencakup metrik berbasis CPU, memori, dan jaringan.
Metrik ini, yang dapat diakses melalui konsol web, juga dapat digunakan untuk melihat status tingkat kluster dan kapasitas/penggunaan melalui dasbor Grafana. Metrik ini juga memungkinkan penskalaan otomatis pod horizontal yang didasarkan pada metrik CPU atau memori yang disediakan oleh pelanggan Azure Red Hat OpenShift.
Jaringan
Bagian berikut ini menyediakan informasi tentang jaringan Azure Red Hat OpenShift.
Sertifikat yang divalidasi domain
Secara default, Azure Red Hat OpenShift menyertakan sertifikat keamanan TLS yang diperlukan untuk layanan internal dan eksternal pada kluster. Untuk rute eksternal, sertifikat wildcard Transport Layer Security (TLS) disediakan dan diinstal di kluster. Sertifikat TLS juga digunakan untuk titik akhir OpenShift API. DigiCert adalah otoritas sertifikat (CA) yang digunakan untuk sertifikat ini.
Domain kustom
Selama penyebaran, Azure Red Hat OpenShift memungkinkan Anda menentukan domain kustom untuk kluster Anda. Domain kustom digunakan untuk layanan kluster dan untuk aplikasi. Anda harus membuat dua catatan DNS A di server DNS Anda untuk domain yang ditentukan:
- api, yang menunjuk ke alamat IP server api
- *.apps, yang menunjuk ke alamat IP ingress
Secara default, Azure Red Hat OpenShift menggunakan sertifikat yang ditandatangani sendiri untuk semua rute yang dibuat pada domain kustom. Jika Anda memilih untuk menggunakan domain kustom, sambungkan ke kluster. Selanjutnya, ikuti dokumentasi OpenShift untuk mengonfigurasi OS otoritas sertifikat kustom untuk pengontrol ingress Anda dan CA kustom untuk server API Anda.
CA kustom untuk build
Azure Red Hat OpenShift mendukung penggunaan CA untuk dipercaya oleh build saat menarik gambar dari registri gambar.
Penyeimbang muatan
Azure Red Hat OpenShift disebarkan dengan dua penyeimbang muatan Azure. Yang pertama digunakan untuk lalu lintas masuk ke aplikasi dan untuk API OpenShift dan Kubernetes. Yang kedua digunakan untuk komunikasi internal antar komponen kluster.
Ingress kluster
Administrator proyek dapat menambahkan anotasi rute untuk berbagai tujuan, termasuk kontrol masuk melalui daftar izin IP.
Kebijakan Ingress dapat diubah dengan menggunakan objek NetworkPolicy, yang menggunakan plugin ovs-networkpolicy. Menggunakan objek NetworkPolicy memungkinkan kontrol penuh atas kebijakan jaringan masuk ke tingkat pod, termasuk antara pod pada kluster yang sama dan bahkan di namespace yang sama.
Semua lalu lintas masuk kluster melintasi load balancer yang ditentukan.
Jalan keluar bagi kluster
Kontrol lalu lintas keluar Pod melalui objek EgressNetworkPolicy dapat digunakan untuk mencegah atau membatasi lalu lintas keluar di Azure Red Hat OpenShift. Saat ini semua komputer virtual harus memiliki akses internet keluar.
Konfigurasi jaringan cloud
Azure Red Hat OpenShift memungkinkan konfigurasi koneksi jaringan privat melalui beberapa teknologi yang dikelola penyedia cloud:
- Koneksi VNet
- Peering Azure VNet
- Azure VNet Gateway
- Rute Azure Express
Tidak ada pemantauan koneksi jaringan privat ini yang disediakan oleh Red Hat SRE. Memantau koneksi ini adalah tanggung jawab pelanggan.
DNS yang ditentukan pelanggan
Pelanggan Azure Red Hat OpenShift dapat menentukan server DNS mereka sendiri. Untuk informasi selengkapnya, lihat Mengonfigurasi DNS kustom untuk kluster Azure Red Hat OpenShift Anda.
Antarmuka Jaringan Kontainer
Azure Red Hat OpenShift hadir dengan OVN (Open Virtual Network) sebagai Antarmuka Jaringan Kontainer (CNI). Mengganti CNI bukanlah operasi yang didukung. Untuk informasi selengkapnya, lihat Penyedia jaringan OVN-Kubernetes untuk kluster Azure Red Hat OpenShift.
Penyimpanan
Bagian berikut ini menyediakan informasi tentang penyimpanan Azure Red Hat OpenShift.
Enkripsi saat tidak aktif
Azure Storage menggunakan enkripsi sisi server (SSE) untuk mengenkripsi data Anda secara otomatis saat disimpan ke cloud. Secara default, data dienkripsi dengan kunci yang dikelola platform Microsoft.
Penyimpanan blokir (RWO)
Volume persisten didukung oleh penyimpanan blok Azure-Disk, yaitu Read-Write-Once (RWO). Disk 1024-GiB dibuat dan dilampirkan secara dinamis ke setiap simpul sarana pengontrol Azure Red Hat OpenShift. Disk ini adalah disk yang dikelola Azure SSD Premium LRS. Ukuran disk untuk set komputer simpul pekerja default dapat dikonfigurasi selama pembuatan kluster.
Pelanggan memiliki izin untuk membuat lebih banyak set mesin agar lebih sesuai dengan kebutuhan mereka.
Volume persisten (PV), yang hanya dapat dilampirkan ke satu simpul pada satu waktu, khusus untuk zona ketersediaan tempat mereka disediakan. Mereka dapat dilampirkan ke node apa pun di zona ketersediaan.
Azure membatasi berapa banyak PV penyimpanan blok jenis yang dapat dilampirkan ke satu simpul. Batas Azure bergantung pada jenis dan ukuran komputer virtual yang dipilih pelanggan untuk simpul pekerja. Misalnya, untuk melihat disk data maks untuk seri Dasv4, lihat Dasv4.
Penyimpanan bersama (RWX)
Penyimpanan bersama untuk kluster Azure Red Hat OpenShift harus dikonfigurasi oleh pelanggan. Untuk contoh cara mengonfigurasi kelas penyimpanan untuk file Azure, lihat Membuat Azure Files StorageClass di Azure Red Hat OpenShift 4
Platform
Bagian berikut ini menyediakan informasi tentang platform Azure Red Hat OpenShift.
Kebijakan pencadangan kluster
Penting
Sangat penting bahwa Anda memiliki rencana pencadangan untuk aplikasi dan data aplikasi Anda.
Pencadangan data aplikasi dan aplikasi bukan bagian otomatis dari layanan Azure Red Hat OpenShift. Untuk tutorial tentang cara melakukan pencadangan aplikasi manual, lihat Membuat Cadangan Aplikasi kluster Azure Red Hat OpenShift 4.
DaemonSets
Pelanggan dapat membuat dan menjalankan DaemonSets di Azure Red Hat OpenShift. Untuk membatasi DaemonSets agar hanya berjalan pada simpul pekerja, gunakan nodeSelector berikut:
spec:
nodeSelector:
node-role.kubernetes.io/worker: ""
Versi Azure Red Hat OpenShift
Azure Red Hat OpenShift dijalankan sebagai layanan. Ini memungkinkan pelanggan untuk mengikuti perkembangan versi OpenShift Container Platform terbaru yang stabil. Untuk kebijakan dukungan dan peningkatan, lihat Siklus hidup dukungan untuk Azure Red Hat OpenShift 4.
Siklus hidup dukungan
Untuk informasi tentang siklus hidup dukungan Azure Red Hat OpenShift, lihat Siklus hidup dukungan untuk Azure Red Hat OpenShift 4.
Mesin kontainer
Azure Red Hat OpenShift berjalan di OpenShift 4 dan menggunakan implementasi CRI-O dari antarmuka runtime kontainer Kubernetes sebagai satu-satunya mesin kontainer yang tersedia.
Sistem operasi
Azure Red Hat OpenShift berjalan di OpenShift 4 menggunakan Red Hat Enterprise Linux CoreOS (RHCOS) sebagai sistem operasi untuk semua sarana kontrol dan simpul pekerja. Beban kerja Windows tidak didukung di Azure OpenShift karena platform saat ini tidak mendukung simpul pekerja Windows.
Dukungan operator Kubernetes
Azure Red Hat OpenShift mendukung operator yang dibuat oleh Red Hat dan vendor perangkat lunak independen bersertifikat (ISV). Operator yang disediakan oleh Red Hat didukung oleh Red Hat. Operator ISV didukung oleh ISV.
Untuk menggunakan OperatorHub, kluster Anda harus dikonfigurasi dengan rahasia penarikan Red Hat. Untuk informasi selengkapnya tentang menggunakan OperatorHub, lihat Memahami OperatorHub
Keamanan
Bagian berikut ini menyediakan informasi tentang keamanan Azure OpenShift.
Penyedia autentikasi
Kluster Azure Red Hat OpenShift tidak dikonfigurasi dengan penyedia autentikasi apa pun.
Pelanggan perlu mengonfigurasi penyedia mereka sendiri, seperti ID Microsoft Entra. Untuk informasi tentang mengonfigurasi penyedia, lihat artikel berikut ini:
Kepatuhan peraturan
Untuk detail tentang sertifikasi kepatuhan peraturan Azure Red Hat OpenShift, lihat Penawaran Kepatuhan Microsoft Azure.
Langkah berikutnya
Untuk informasi selengkapnya, lihat dokumentasi kebijakan dukungan.