Definizione del servizio Azure Red Hat OpenShift
Le sezioni seguenti forniscono definizioni di servizio che consentono di gestire l'account Azure Red Hat OpenShift.
Fatturazione
I cluster Azure Red Hat OpenShift vengono distribuiti nella sottoscrizione di Azure di un cliente. Un cliente paga Azure direttamente per i costi sostenuti da un cluster Azure Red Hat OpenShift.
I nodi Azure Red Hat OpenShift vengono eseguiti in macchine virtuali di Azure. Vengono fatturati in base ai prezzi delle macchine virtuali Linux di Azure. Le risorse di calcolo, rete e archiviazione utilizzate da un cluster Azure Red Hat OpenShift vengono fatturate in base all'utilizzo.
Oltre ai costi di calcolo e infrastruttura, i nodi dell'applicazione hanno un costo aggiuntivo per il componente licenze Azure Red Hat OpenShift. Questo costo si basa sul numero di nodi applicazione e sul tipo di istanza.
Si applicano tutte le opzioni di acquisto standard di Azure, incluse le prenotazioni e il pagamento anticipato di Azure. Le opzioni di acquisto standard di Azure possono essere usate per Azure Red Hat OpenShift. Inoltre, le opzioni di acquisto standard di Azure possono essere usate per le macchine virtuali, le reti e le risorse di archiviazione usate dal cluster Azure Red Hat OpenShift.
Per altre informazioni sui prezzi, vedere Prezzi di Azure Red Hat OpenShift.
Self-service del cluster
I clienti possono creare ed eliminare i cluster usando l'utilità della riga di comando di Azure. I cluster Azure Red Hat OpenShift vengono distribuiti con un utente kubeadmin le cui credenziali sono disponibili dall'interfaccia della riga di comando di Azure dopo che un cluster è stato distribuito correttamente.
È possibile eseguire tutte le altre azioni del cluster Azure Red Hat OpenShift, ad esempio il ridimensionamento dei nodi, interagendo con l'API OpenShift usando strumenti come la console Web OpenShift o l'interfaccia della riga di comando di OpenShift (oc).
Architettura delle risorse di Azure
Una distribuzione di Azure Red Hat OpenShift richiede due gruppi di risorse all'interno di una sottoscrizione di Azure. Il primo gruppo di risorse viene creato dal cliente e contiene i componenti di rete virtuale per il cluster. Mantenere separati gli elementi di rete consente al cliente di configurare Azure Red Hat OpenShift per soddisfare i requisiti e aggiungere eventuali opzioni di peering.
Il secondo gruppo di risorse viene creato dal provider di risorse Azure Red Hat OpenShift. Contiene componenti del cluster Azure Red Hat OpenShift, tra cui macchine virtuali, gruppi di sicurezza di rete e servizi di bilanciamento del carico. I componenti del cluster Azure Red Hat OpenShift che si trovano all'interno di questo gruppo di risorse non sono modificabili dal cliente. La configurazione del cluster deve essere eseguita tramite interazioni con l'API OpenShift usando la console Web OpenShift o l'interfaccia della riga di comando di OpenShift o strumenti simili.
Nota
L'entità servizio per il provider di risorse ARO richiede il ruolo Collaboratore rete nella rete virtuale del cluster ARO. Questa operazione è necessaria per il provider di risorse ARO per creare risorse come il servizio collegamento privato ARO e i servizi di bilanciamento del carico.
Operatori Red Hat
È consigliabile che un cliente fornisca un segreto di pull Red Hat al cluster Azure Red Hat OpenShift durante la creazione del cluster. Il segreto pull di Red Hat consente al cluster di accedere ai registri contenitori Red Hat, insieme ad altri contenuti dell'hub operatore OpenShift.
I cluster Azure Red Hat OpenShift possono comunque gestire le applicazioni senza fornire il segreto pull di Red Hat, ma non potranno installare gli operatori dall'hub operatore.
Il segreto pull di Red Hat può anche essere fornito al cluster dopo la distribuzione.
Calcolo
Viene effettuato il provisioning dei cluster Azure Red Hat OpenShift con tre o più nodi di lavoro.
Nelle aree costituite da più zone di disponibilità viene creato un set di computer del nodo di lavoro in ogni zona. Viene inoltre eseguito il provisioning di un nodo di lavoro da ogni set di computer.
Quando un'area di Azure non supporta le zone di disponibilità, il cluster Azure Red Hat OpenShift effettua il provisioning dei nodi di lavoro da un singolo set di computer. I clienti hanno la possibilità di aumentare il numero di nodi e l'autorizzazione in ogni area.
Viene effettuato il provisioning dei cluster Azure Red Hat OpenShift con tre nodi del piano di controllo. Questi nodi sono responsabili dell'archivio chiave-valore etcd e dei carichi di lavoro correlati all'API. Il nodo del piano di controllo non può essere usato per i carichi di lavoro dei clienti. La distribuzione del nodo del piano di controllo segue le stesse regole dei nodi di lavoro.
- Nelle aree costituite da più zone di disponibilità, viene creato un set di computer del nodo del piano di controllo in ogni zona. Viene effettuato il provisioning di un nodo del piano di controllo da ogni set di computer.
- Se un'area di Azure non supporta le zone di disponibilità, il cluster Azure Red Hat OpenShift effettua il provisioning dei nodi del piano di controllo da un singolo set di computer.
Tipi di calcolo di Azure
Per un elenco dei tipi e delle dimensioni dei piani di controllo e dei nodi di lavoro supportati, vedere Dimensioni supportate per le macchine virtuali.
Aree di Azure
Per le aree supportate da Azure Red Hat OpenShift, vedere Prodotti disponibili in base all'area.
Dall'interfaccia della riga di comando di Azure, visualizzare un elenco delle aree disponibili eseguendo il comando seguente:
az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml
Dopo la distribuzione, non è possibile spostare un cluster Azure Red Hat OpenShift in un'area diversa. Analogamente, non è possibile trasferire cluster Azure Red Hat OpenShift tra sottoscrizioni.
Contratto di servizio
Per informazioni dettagliate sul contratto di servizio, vedere Contratto di servizio per Azure Red Hat OpenShift.
Supporto tecnico
Le richieste di supporto per Azure Red Hat OpenShift possono essere inviate;
- Richiesta di supporto nel portale di Azure
- Richiesta di supporto tramite il portale cliente di Red Hat
Le richieste verranno valutate e gestite dai tecnici del supporto Microsoft e Red Hat. Azure Red Hat OpenShift include il supporto Red Hat Premium. È possibile accedere al supporto tramite il portale di Microsoft Azure.
Per aprire direttamente i ticket di supporto con Red Hat, il cluster dovrà avere un segreto pull. È possibile aggiungerlo durante la creazione del cluster oppure aggiungerlo o aggiornarlo in un cluster esistente.
Registrazione
Le sezioni seguenti forniscono informazioni sulla sicurezza di Azure Red Hat OpenShift.
Operazioni del cluster e registrazione di controllo
Azure Red Hat OpenShift viene distribuito con i servizi per mantenere l'integrità e le prestazioni del cluster e dei relativi componenti. Questi servizi includono le operazioni del cluster e i log di controllo. Le operazioni del cluster e i log di controllo vengono inoltrati automaticamente a un sistema di aggregazione di Azure per il supporto e la risoluzione dei problemi. Questi dati sono accessibili solo al personale di supporto autorizzato tramite meccanismi approvati.
Gli amministratori del cluster del cliente possono distribuire uno stack di registrazione facoltativo per aggregare tutti i log dal cluster Azure Red Hat OpenShift. Ad esempio, i log di controllo del sistema del nodo e i log dell'infrastruttura possono essere aggregati. Tuttavia, questi log usano un'altra risorsa cluster.
Registrazione di applicazioni
Con l'accesso a OperatorHub.io abilitato, Azure Red Hat OpenShift include uno stack di registrazione facoltativo basato su Elasticsearch, Fluentd e Kibana (EFK).
Lo stack di registrazione, Operatore di registrazione, può essere configurato per soddisfare i requisiti dei clienti. Tuttavia, è progettato per la conservazione a breve termine per facilitare la risoluzione dei problemi di cluster e applicazioni, non per l'archiviazione dei log a lungo termine.
Se lo stack di registrazione del cluster è installato, i log applicazioni inviati a STDOUT vengono raccolti da Fluentd. I log dell'applicazione vengono resi disponibili tramite lo stack di registrazione del cluster. La conservazione è impostata su sette giorni, ma non supererà 200 GiB di log per ogni partizione. Per la conservazione a lungo termine, i clienti devono seguire la progettazione del contenitore sidecar nelle distribuzioni. I clienti devono inoltrare i log al servizio di aggregazione o analisi dei log scelto.
Monitoraggio
La sezione seguente fornisce informazioni sul monitoraggio di Azure Red Hat OpenShift.
Metriche del cluster
Azure Red Hat OpenShift viene distribuito con i servizi per mantenere l'integrità e le prestazioni del cluster e dei relativi componenti. Questi servizi includono lo streaming di metriche importanti in un sistema di aggregazione di Azure a scopo di supporto e risoluzione dei problemi. Questi dati sono accessibili solo al personale di supporto autorizzato tramite meccanismi approvati.
I cluster Azure Red Hat OpenShift sono dotati di uno stack Prometheus/Grafana integrato per consentire ai clienti di visualizzare il monitoraggio del cluster. Lo stack include metriche basate su CPU, memoria e rete.
Queste metriche, accessibili tramite la console Web, possono essere usate anche per visualizzare lo stato e la capacità/utilizzo a livello di cluster tramite un dashboard di Grafana. Queste metriche consentono anche la scalabilità automatica orizzontale dei pod basata sulle metriche della CPU o della memoria fornite da un cliente di Azure Red Hat OpenShift.
Rete
Le sezioni seguenti forniscono informazioni sulla rete Azure Red Hat OpenShift.
Certificati convalidati dal dominio
Per impostazione predefinita, Azure Red Hat OpenShift include i certificati di sicurezza TLS necessari per i servizi interni ed esterni nel cluster. Per le route esterne, viene fornito e installato nel cluster un certificato con caratteri jolly Transport Layer Security (TLS). Viene usato anche un certificato TLS per l'endpoint dell'API OpenShift. DigiCert è l'autorità di certificazione (CA) usata per questi certificati.
Domini personalizzati
Durante la distribuzione, Azure Red Hat OpenShift consente di specificare un dominio personalizzato per il cluster. Il dominio personalizzato viene usato sia per i servizi cluster che per le applicazioni. È necessario creare due record DNS A nel server DNS per il dominio specificato:
- api, che punta all'indirizzo IP del server API
- *.apps, che punta all'indirizzo IP in ingresso
Per impostazione predefinita, Azure Red Hat OpenShift usa certificati autofirmati per tutte le route create in domini personalizzati. Se si sceglie di usare domini personalizzati, connettersi al cluster. Seguire quindi la documentazione di OpenShift per configurare una CA dell'autorità di certificazione personalizzata per il controller di ingresso e una CA personalizzata per il server API.
CA personalizzate per le compilazioni
Azure Red Hat OpenShift supporta l'uso di CA attendibili tramite compilazioni durante il pull di immagini da un registro immagini.
Servizi di bilanciamento del carico
Azure Red Hat OpenShift viene distribuito con due servizi di bilanciamento del carico di Azure. Il primo viene usato per il traffico in ingresso verso le applicazioni e per le API OpenShift e Kubernetes. Il secondo viene usato per le comunicazioni interne tra i componenti del cluster.
Ingresso del cluster
Gli amministratori del progetto possono aggiungere annotazioni di route per molti scopi diversi, incluso il controllo in ingresso tramite un elenco indirizzi IP consentiti.
I criteri di ingresso possono essere modificati usando gli oggetti NetworkPolicy, che usano il plug-in ovs-networkpolicy. L'uso degli oggetti NetworkPolicy consente il controllo completo sui criteri di rete in ingresso fino al livello di pod, incluso tra pod nello stesso cluster e anche nello stesso spazio dei nomi.
Tutto il traffico in ingresso del cluster attraversa il servizio di bilanciamento del carico definito.
Uscita del cluster
Il controllo del traffico in uscita dei pod tramite oggetti EgressNetworkPolicy può essere usato per impedire o limitare il traffico in uscita in Azure Red Hat OpenShift. Attualmente tutte le macchine virtuali devono avere accesso a Internet in uscita.
Configurazione di rete cloud
Azure Red Hat OpenShift abilita la configurazione delle connessioni di rete privata tramite diverse tecnologie gestite dal provider di servizi cloud:
- Connessioni di rete virtuale
- Peering di reti virtuali di Azure
- Gateway di rete virtuale di Azure
- Azure Express Route
Nessun monitoraggio di queste connessioni di rete privata viene fornito da Red Hat SRE. Il monitoraggio di queste connessioni è responsabilità del cliente.
DNS specificato dal cliente
I clienti di Azure Red Hat OpenShift possono specificare i propri server DNS. Per altre informazioni, vedere Configurare il DNS personalizzato per il cluster Azure Red Hat OpenShift.
Interfaccia di rete del contenitore
Azure Red Hat OpenShift viene fornito con OVN (Open Virtual Network) come interfaccia di rete del contenitore (CNI). La sostituzione dell'interfaccia CNI non è un'operazione supportata. Per altre informazioni, vedere Provider di rete OVN-Kubernetes per i cluster Azure Red Hat OpenShift.
Storage
Le sezioni seguenti forniscono informazioni sull'archiviazione di Azure Red Hat OpenShift.
Crittografia dei dati inattivi
Archiviazione di Azure usa la crittografia sul lato server per crittografare automaticamente i dati salvati in modo permanente nel cloud. Per impostazione predefinita, i dati vengono crittografati con chiavi gestite dalla piattaforma Microsoft.
Archiviazione a blocchi (RWO)
I volumi persistenti sono supportati dall'archiviazione a blocchi di Azure-Disk, che è RWO (Read-Write-Once). I dischi 1024-GiB vengono creati e collegati dinamicamente a ogni nodo del piano controller di Azure Red Hat OpenShift. Questi dischi sono dischi gestiti da Azure con archiviazione con ridondanza locale SSD Premium. Le dimensioni del disco per i set di computer del nodo di lavoro predefiniti possono essere configurate durante la creazione del cluster.
I clienti hanno le autorizzazioni per la creazione di più set di computer per soddisfare meglio i requisiti.
I volumi persistenti (PVS), che possono essere collegati solo a un singolo nodo alla volta, sono specifici della zona di disponibilità in cui è stato effettuato il provisioning. Possono essere collegati a qualsiasi nodo nella zona di disponibilità.
Azure limita il numero di PV dell'archivio blocchi di tipo che può essere collegato a un singolo nodo. I limiti di Azure dipendono dal tipo e dalle dimensioni della macchina virtuale selezionata dal cliente per i nodi di lavoro. Ad esempio, per visualizzare il numero massimo di dischi dati per la serie Dasv4, vedere Dasv4.
Archiviazione condivisa (RWX)
L'archiviazione condivisa per i cluster Azure Red Hat OpenShift deve essere configurata dal cliente. Per un esempio di come configurare una classe di archiviazione per i file di Azure, vedere Creare una classe di archiviazione di File di Azure in Azure Red Hat OpenShift 4
Piattaforma
Le sezioni seguenti forniscono informazioni sulla piattaforma Azure Red Hat OpenShift.
Criteri di backup del cluster
Importante
È fondamentale disporre di un piano di backup per le applicazioni e i dati dell'applicazione.
I backup dei dati dell'applicazione e dell'applicazione non sono una parte automatica del servizio Azure Red Hat OpenShift. Per un'esercitazione su come eseguire il backup manuale dell'applicazione, vedere Creare un backup delle applicazioni cluster di Azure Red Hat OpenShift 4.
Oggetti DaemonSet
I clienti possono creare ed eseguire DaemonSets in Azure Red Hat OpenShift. Per limitare l'esecuzione di DaemonSets solo nei nodi di lavoro, usare il nodeSelector seguente:
spec:
nodeSelector:
node-role.kubernetes.io/worker: ""
Versione di Azure Red Hat OpenShift
Azure Red Hat OpenShift viene eseguito come servizio. Consente ai clienti di rimanere aggiornati con la versione stabile più recente di OpenShift Container Platform. Per i criteri di supporto e aggiornamento, vedere Ciclo di vita del supporto per Azure Red Hat OpenShift 4.
Ciclo di vita del supporto
Per informazioni sul ciclo di vita del supporto di Azure Red Hat OpenShift, vedere Ciclo di vita del supporto per Azure Red Hat OpenShift 4.
Motore del contenitore
Azure Red Hat OpenShift viene eseguito in OpenShift 4 e usa l'implementazione CRI-O dell'interfaccia di runtime del contenitore Kubernetes come unico motore contenitore disponibile.
Sistema operativo
Azure Red Hat OpenShift viene eseguito in OpenShift 4 usando Red Hat Enterprise Linux CoreOS (RHCOS) come sistema operativo per tutti i nodi del piano di controllo e del ruolo di lavoro. I carichi di lavoro di Windows non sono supportati in Azure OpenShift perché la piattaforma attualmente non supporta i nodi di lavoro di Windows.
Supporto dell'operatore Kubernetes
Azure Red Hat OpenShift supporta gli operatori creati da Red Hat e dai fornitori di software indipendenti certificati (ISV). Gli operatori forniti da Red Hat sono supportati da Red Hat. Gli operatori ISV sono supportati da ISV.
Per usare OperatorHub, il cluster deve essere configurato con un segreto di pull di Red Hat. Per altre informazioni sull'uso di OperatorHub, vedere Informazioni su OperatorHub
Sicurezza
Le sezioni seguenti forniscono informazioni sulla sicurezza di Azure OpenShift.
Provider di autenticazione
I cluster Azure Red Hat OpenShift non sono configurati con provider di autenticazione.
I clienti devono configurare i propri provider, ad esempio Microsoft Entra ID. Per informazioni sulla configurazione dei provider, vedere gli articoli seguenti:
Conformità alle normative
Per informazioni dettagliate sulle certificazioni di conformità alle normative di Azure Red Hat OpenShift, vedere Offerte di conformità di Microsoft Azure.
Passaggi successivi
Per altre informazioni, vedere la documentazione relativa ai criteri di supporto.