Delen via

Azure Red Hat OpenShift-servicedefinitie

  • Artikel

De volgende secties bieden servicedefinities om u te helpen bij het beheren van uw Azure Red Hat OpenShift-account.

Billing

Azure Red Hat OpenShift-clusters worden geïmplementeerd in het Azure-abonnement van een klant. Een klant betaalt Azure rechtstreeks voor kosten die zijn gemaakt door een Azure Red Hat OpenShift-cluster.

Azure Red Hat OpenShift-knooppunten worden uitgevoerd op Azure Virtual Machines. Ze worden gefactureerd volgens prijzen voor virtuele Azure Linux-machines. Reken-, netwerk- en opslagresources die worden gebruikt door een Azure Red Hat OpenShift-cluster, worden gefactureerd volgens gebruik.

Naast de kosten voor berekening en infrastructuur hebben toepassingsknooppunten extra kosten voor het Azure Red Hat OpenShift-licentieonderdeel. Deze kosten zijn gebaseerd op het aantal toepassingsknooppunten en het exemplaartype.

Alle standaard azure-aankoopopties, inclusief reserveringen en Azure-vooruitbetaling, zijn van toepassing. Standaardaankoopopties voor Azure kunnen worden gebruikt voor Azure Red Hat OpenShift. Daarnaast kunnen standaardopties voor Azure-aankoop worden gebruikt voor virtuele machines, netwerken en opslagresources die worden gebruikt door het Azure Red Hat OpenShift-cluster.

Zie prijzen voor Azure Red Hat OpenShift voor meer informatie over prijzen.

Selfservice voor clusters

Klanten kunnen hun clusters maken en verwijderen met behulp van het Azure-opdrachtregelprogramma (CLI). Azure Red Hat OpenShift-clusters worden geïmplementeerd met een kubeadmin-gebruiker waarvan de referenties beschikbaar zijn via de Azure CLI nadat een cluster is geïmplementeerd.

U kunt alle andere Azure Red Hat OpenShift-clusteracties uitvoeren, zoals het schalen van knooppunten, door interactie te hebben met de OpenShift-API met behulp van hulpprogramma's zoals de OpenShift-webconsole of de OpenShift CLI (oc).

Azure-resourcearchitectuur

Voor een Azure Red Hat OpenShift-implementatie zijn twee resourcegroepen binnen een Azure-abonnement vereist. De eerste resourcegroep wordt gemaakt door de klant en bevat de virtuele netwerkonderdelen voor het cluster. Door de netwerkelementen gescheiden te houden, kan de klant Azure Red Hat OpenShift configureren om te voldoen aan de vereisten en eventuele peeringopties toe te voegen.

De tweede resourcegroep wordt gemaakt door de Azure Red Hat OpenShift-resourceprovider. Het bevat Azure Red Hat OpenShift-clusteronderdelen, waaronder virtuele machines, netwerkbeveiligingsgroepen en load balancers. Azure Red Hat OpenShift-clusteronderdelen in deze resourcegroep kunnen niet worden gewijzigd door de klant. Clusterconfiguratie moet worden uitgevoerd via interacties met de OpenShift-API met behulp van de OpenShift-webconsole of OpenShift CLI of vergelijkbare hulpprogramma's.

Notitie

De service-principal voor de ARO-resourceprovider vereist de rol Netwerkbijdrager op het VNet van het ARO-cluster. Dit is vereist voor de ARO-resourceprovider om resources te maken, zoals de ARO Private Link-service en load balancers.

Red Hat-operators

Het wordt aanbevolen dat een klant een Red Hat-pull-geheim levert aan het Azure Red Hat OpenShift-cluster tijdens het maken van het cluster. Met het Red Hat-pull-geheim kan uw cluster toegang krijgen tot Red Hat-containerregisters, samen met andere inhoud van de OpenShift Operator Hub.

Azure Red Hat OpenShift-clusters kunnen nog steeds toepassingen bedienen zonder het Red Hat-pull-geheim op te geven, maar ze kunnen geen operators installeren vanuit de Operator Hub.

Het Red Hat-pull-geheim kan ook worden verstrekt aan het cluster na de implementatie.

Compute

Azure Red Hat OpenShift-clusters worden ingericht met drie of meer werkknooppunten.

  • In regio's die bestaan uit meerdere beschikbaarheidszones, wordt in elke zone een machineset voor werkknooppunten gemaakt. Er wordt ook een werkknooppunt ingericht vanuit elke machineset.

  • Wanneer een Azure-regio geen ondersteuning biedt voor beschikbaarheidszones, richt het Azure Red Hat OpenShift-cluster de werkknooppunten in vanaf één computerset. Klanten kunnen het aantal knooppunten en de machtiging in elke regio verhogen.

Azure Red Hat OpenShift-clusters worden ingericht met drie besturingsvlakknooppunten. Deze knooppunten zijn verantwoordelijk voor sleutel-waardeopslag en API-gerelateerde workloads. Het besturingsvlakknooppunt kan niet worden gebruikt voor workloads van klanten. Implementatie van besturingsvlakknooppunten volgt dezelfde regels als werkknooppunten.

  • In regio's die bestaan uit meerdere beschikbaarheidszones, wordt in elke zone een machineset voor het besturingsvlakknooppunt gemaakt. Er wordt een besturingsvlakknooppunt ingericht vanuit elke machineset.
  • Wanneer een Azure-regio geen ondersteuning biedt voor beschikbaarheidszones, richt het Azure Red Hat OpenShift-cluster de besturingsvlakknooppunten in vanaf één machineset.

Azure-rekentypen

Zie Ondersteunde vm-grootten voor een lijst met ondersteunde typen en werkknooppunten voor besturingsvlak en werkknooppunten.

Azure-regio's

Zie Producten die beschikbaar zijn per regio voor regio's die worden ondersteund door Azure Red Hat OpenShift.

Bekijk vanuit de Azure CLI een lijst met beschikbare regio's door de volgende opdracht uit te voeren:

az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml

Na de implementatie kan een Azure Red Hat OpenShift-cluster niet worden verplaatst naar een andere regio. Op dezelfde manier kunt u Azure Red Hat OpenShift-clusters niet overdragen tussen abonnementen.

Servicelevelovereenkomst

Zie SLA voor Azure Red Hat OpenShift voor meer informatie over de SLA.

Ondersteuning

Ondersteuningsaanvragen voor Azure Red Hat OpenShift kunnen worden ingediend door;

  • Ondersteuning aanvragen in Azure Portal
  • Ondersteuning aanvragen via de Red Hat-klantportal

Aanvragen worden gesorteerd en geadresseerd door ondersteuningstechnici van Microsoft en Red Hat. Azure Red Hat OpenShift bevat Red Hat Premium-ondersteuning. Ondersteuning kan worden geopend via de Microsoft Azure-portal.

Als u ondersteuningstickets rechtstreeks met Red Hat wilt openen, moet uw cluster een pull-geheim hebben. U kunt het toevoegen tijdens het maken van het cluster of het toevoegen of bijwerken op een bestaand cluster.

Logboekregistratie

De volgende secties bevatten informatie over Azure Red Hat OpenShift-beveiliging.

Clusterbewerkingen en auditlogboekregistratie

Azure Red Hat OpenShift wordt geïmplementeerd met services voor het onderhouden van de status en prestaties van het cluster en de bijbehorende onderdelen. Deze services omvatten clusterbewerkingen en auditlogboeken. Clusterbewerkingen en auditlogboeken worden automatisch doorgestuurd naar een Azure-aggregatiesysteem voor ondersteuning en probleemoplossing. Deze gegevens zijn alleen toegankelijk voor geautoriseerd ondersteuningspersoneel via goedgekeurde mechanismen.

Beheerders van klantclusters kunnen een optionele logboekregistratiestack implementeren om alle logboeken van hun Azure Red Hat OpenShift-cluster te aggregeren. Auditlogboeken en infrastructuurlogboeken van knooppuntsystemen kunnen bijvoorbeeld worden samengevoegd. Deze logboeken verbruiken echter nog een clusterbronnen.

Toepassingslogboeken

Met toegang tot OperatorHub.io ingeschakeld, bevat Azure Red Hat OpenShift een optionele logboekregistratiestack op basis van Elasticsearch, Fluentd en Kibana (EFK).

De logboekregistratiestack, logboekregistratieoperator, kan worden geconfigureerd om te voldoen aan de vereisten van de klant. Het is echter ontworpen voor kortetermijnretentie om problemen met clusters en toepassingen op te lossen, niet voor logboekarchivering op lange termijn.

Als de clusterregistratiestack is geïnstalleerd, worden toepassingslogboeken die naar STDOUT worden verzonden, verzameld door Fluentd. De toepassingslogboeken worden beschikbaar gesteld via de clusterlogboekenstack. Retentie is ingesteld op zeven dagen, maar overschrijdt niet meer dan 200 GiB aan logboeken per shard. Voor langetermijnretentie moeten klanten het sidecarcontainerontwerp in hun implementaties volgen. Klanten moeten logboeken doorsturen naar de logboekaggregatie- of analyseservice van hun keuze.

Controleren

De volgende sectie bevat informatie over Azure Red Hat OpenShift-bewaking.

Metrische clustergegevens

Azure Red Hat OpenShift wordt geïmplementeerd met services voor het onderhouden van de status en prestaties van het cluster en de bijbehorende onderdelen. Deze services omvatten het streamen van belangrijke metrische gegevens naar een Azure-aggregatiesysteem voor ondersteuning en probleemoplossing. Deze gegevens zijn alleen toegankelijk voor geautoriseerd ondersteuningspersoneel via goedgekeurde mechanismen.

Azure Red Hat OpenShift-clusters worden geleverd met een geïntegreerde Prometheus-/Grafana-stack, zodat klanten clusterbewaking kunnen bekijken. De stack bevat metrische gegevens over CPU, geheugen en netwerk.

Deze metrische gegevens, die toegankelijk zijn via de webconsole, kunnen ook worden gebruikt om status en capaciteit/gebruik op clusterniveau weer te geven via een Grafana-dashboard. Deze metrische gegevens maken ook automatische schaalaanpassing van pods mogelijk op basis van metrische cpu- of geheugengegevens die worden geleverd door een Azure Red Hat OpenShift-klant.

Netwerk

De volgende secties bevatten informatie over het Azure Red Hat OpenShift-netwerk.

Door domein gevalideerde certificaten

Standaard bevat Azure Red Hat OpenShift TLS-beveiligingscertificaten die nodig zijn voor zowel interne als externe services in het cluster. Voor externe routes wordt een TLS-wildcardcertificaat (Transport Layer Security) opgegeven en geïnstalleerd in het cluster. Er wordt ook een TLS-certificaat gebruikt voor het OpenShift API-eindpunt. DigiCert is de certificeringsinstantie (CA) die voor deze certificaten wordt gebruikt.

Aangepaste domeinen

Tijdens de implementatie kunt u met Azure Red Hat OpenShift een aangepast domein opgeven voor uw cluster. Het aangepaste domein wordt gebruikt voor zowel clusterservices als voor toepassingen. U moet twee DNS A-records maken op uw DNS-server voor het opgegeven domein:

  • api, die verwijst naar het IP-adres van de API-server
  • *.apps, die naar het IP-adres voor inkomend verkeer verwijst

Azure Red Hat OpenShift maakt standaard gebruik van zelfondertekende certificaten voor alle routes die zijn gemaakt op aangepaste domeinen. Als u ervoor kiest om aangepaste domeinen te gebruiken, maakt u verbinding met het cluster. Volg vervolgens de OpenShift-documentatie om een aangepaste certificeringsinstantie-CA te configureren voor uw ingangscontroller en een aangepaste CA voor uw API-server.

Aangepaste CA's voor builds

Azure Red Hat OpenShift ondersteunt het gebruik van CA's die moeten worden vertrouwd door builds bij het ophalen van installatiekopieën uit een installatiekopieregister.

Load balancers

Azure Red Hat OpenShift wordt geïmplementeerd met twee Azure-load balancers. De eerste wordt gebruikt voor inkomend verkeer naar toepassingen en voor de OpenShift- en Kubernetes-API's. De tweede wordt gebruikt voor interne communicatie tussen clusteronderdelen.

Inkomend cluster

Projectbeheerders kunnen routeaantekeningen toevoegen voor veel verschillende doeleinden, waaronder toegangsbeheer via een IP-acceptatielijst.

Beleid voor inkomend verkeer kan worden gewijzigd met behulp van NetworkPolicy-objecten, die gebruikmaken van de ovs-networkpolicy-invoegtoepassing. Met behulp van NetworkPolicy-objecten kunt u volledig beheer hebben over het netwerkbeleid voor inkomend verkeer tot op podniveau, inclusief tussen pods in hetzelfde cluster en zelfs in dezelfde naamruimte.

Al het clusterverkeer voor inkomend verkeer doorkruist de gedefinieerde load balancer.

Uitgaand verkeer cluster

Het uitgaand verkeer van pods via EgressNetworkPolicy-objecten kan worden gebruikt om uitgaand verkeer in Azure Red Hat OpenShift te voorkomen of te beperken. Momenteel moeten alle virtuele machines uitgaande internettoegang hebben.

Cloudnetwerkconfiguratie

Azure Red Hat OpenShift maakt configuratie van privénetwerkverbindingen mogelijk via verschillende door de cloudprovider beheerde technologieën:

  • VNet-verbindingen
  • Azure VNet-peering
  • Azure VNet Gateway
  • Azure Express-route

Er wordt geen bewaking van deze privénetwerkverbindingen geboden door Red Hat SRE. Het bewaken van deze verbindingen is de verantwoordelijkheid van de klant.

Door de klant opgegeven DNS

Azure Red Hat OpenShift-klanten kunnen hun eigen DNS-servers opgeven. Zie Aangepaste DNS configureren voor uw Azure Red Hat OpenShift-cluster voor meer informatie.

Container Network Interface

Azure Red Hat OpenShift wordt geleverd met OVN (Open Virtual Network) als de Container Network Interface (CNI). Het vervangen van de CNI is geen ondersteunde bewerking. Zie OVN-Kubernetes-netwerkprovider voor Azure Red Hat OpenShift-clusters voor meer informatie.

Storage

De volgende secties bevatten informatie over Azure Red Hat OpenShift-opslag.

Versleuteling-at-rest

Azure Storage maakt gebruik van versleuteling aan de serverzijde (SSE) om uw gegevens automatisch te versleutelen wanneer deze worden bewaard in de cloud. Standaard worden gegevens versleuteld met door microsoft platform beheerde sleutels.

Blokopslag (RWO)

Permanente volumes worden ondersteund door Blokopslag van Azure-Disk, namelijk Read-Write-Once (RWO). 1024 GiB-schijven worden dynamisch gemaakt en gekoppeld aan elk knooppunt van de Azure Red Hat OpenShift-controller. Deze schijven zijn Premium SSD LRS Door Azure beheerde schijven. Schijfgrootten voor de standaardcomputersets voor werkknooppunten kunnen worden geconfigureerd tijdens het maken van het cluster.

Klanten hebben machtigingen voor het maken van meer machinesets om beter aan hun vereisten te voldoen.

Permanente volumes (V's), die alleen aan één knooppunt tegelijk kunnen worden gekoppeld, zijn specifiek voor de beschikbaarheidszone waarin ze zijn ingericht. Ze kunnen worden gekoppeld aan elk knooppunt in de beschikbaarheidszone.

Azure beperkt het aantal CSV's van het type blokarchief dat kan worden gekoppeld aan één knooppunt. Azure-limieten zijn afhankelijk van het type en de grootte van de virtuele machine die de klant selecteert voor werkknooppunten. Zie Dasv4 als u bijvoorbeeld de maximale gegevensschijven voor de Dasv4-serie wilt zien.

Gedeelde opslag (RWX)

Gedeelde opslag voor Azure Red Hat OpenShift-clusters moet worden geconfigureerd door de klant. Zie Een Azure Files StorageClass maken in Azure Red Hat OpenShift 4 voor een voorbeeld van het configureren van een opslagklasse voor Azure-bestanden

Platform

De volgende secties bevatten informatie over het Azure Red Hat OpenShift-platform.

Back-upbeleid voor clusters

Belangrijk

Het is essentieel dat u een back-upplan hebt voor uw toepassingen en toepassingsgegevens.

Back-ups van toepassings- en toepassingsgegevens zijn geen geautomatiseerd onderdeel van de Azure Red Hat OpenShift-service. Zie Een Azure Red Hat OpenShift 4-clustertoepassingsback-up maken voor een zelfstudie over het uitvoeren van handmatige toepassingsback-ups.

DaemonSets

Klanten kunnen DaemonSets maken en uitvoeren in Azure Red Hat OpenShift. Gebruik de volgende nodeSelector om DaemonSets te beperken tot alleen wordt uitgevoerd op werkknooppunten:

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

Versie van Azure Red Hat OpenShift

Azure Red Hat OpenShift wordt uitgevoerd als een service. Hiermee kunnen klanten up-to-date blijven met de nieuwste stabiele Versie van OpenShift Container Platform. Zie ondersteuningslevenscyclus voor Azure Red Hat OpenShift 4 voor het ondersteunings- en upgradebeleid.

Ondersteuningslevenscyclus

Zie ondersteuningslevenscyclus voor Azure Red Hat OpenShift 4 voor informatie over de levenscyclus van Azure Red Hat OpenShift.

Containerengine

Azure Red Hat OpenShift wordt uitgevoerd op OpenShift 4 en maakt gebruik van de CRI-O-implementatie van de Kubernetes-containerruntime-interface als de enige beschikbare containerengine.

Besturingssysteem

Azure Red Hat OpenShift wordt uitgevoerd op OpenShift 4 met Red Hat Enterprise Linux CoreOS (RHCOS) als besturingssysteem voor alle besturingsvlak- en werkknooppunten. Windows-workloads worden niet ondersteund in Azure OpenShift omdat het platform momenteel geen Ondersteuning biedt voor Windows-werkknooppunten.

Ondersteuning voor Kubernetes-operator

Azure Red Hat OpenShift ondersteunt operators die zijn gemaakt door Red Hat en gecertificeerde onafhankelijke softwareleveranciers (ISV's). Operators van Red Hat worden ondersteund door Red Hat. ISV-operators worden ondersteund door de ISV.

Als u OperatorHub wilt gebruiken, moet uw cluster worden geconfigureerd met een Red Hat-pull-geheim. Zie OperatorHub begrijpen voor meer informatie over het gebruik van OperatorHub

Beveiliging

De volgende secties bevatten informatie over Azure OpenShift-beveiliging.

Verificatieprovider

Azure Red Hat OpenShift-clusters zijn niet geconfigureerd met verificatieproviders.

Klanten moeten hun eigen providers configureren, zoals Microsoft Entra-id. Zie de volgende artikelen voor meer informatie over het configureren van providers:

Naleving van regelgeving

Zie Microsoft Azure Compliance-aanbiedingen voor meer informatie over de nalevingscertificeringen van Azure Red Hat OpenShift.

Volgende stappen

Zie de documentatie voor ondersteuningsbeleid voor meer informatie.