FAQ do Azure Red Hat OpenShift

Este artigo responde a perguntas mais frequentes (FAQs) sobre o Microsoft Azure Red Hat OpenShift.

Instalação e atualização

Que regiões do Azure são suportadas?

Para obter uma lista de regiões suportadas para o Azure Red Hat OpenShift 4.x, veja Regiões disponíveis.

Que tamanhos de máquina virtual posso utilizar?

Para obter uma lista dos tamanhos de máquinas virtuais suportados para o Azure Red Hat OpenShift 4, veja Recursos suportados para o Azure Red Hat OpenShift 4.

Qual é o número máximo de pods num cluster do Azure Red Hat OpenShift? Qual é o número máximo de pods por nó no Azure Red Hat OpenShift?

O número real de pods suportados depende dos requisitos de memória, CPU e armazenamento de uma aplicação.

O Azure Red Hat OpenShift 4.x tem um limite de 250 pods por nó e um limite de 60 nós de computação. Estes limites limitam o número máximo de pods suportados num cluster para 250×60 = 15 000.

Um cluster pode ter nós de computação em várias regiões do Azure?

N.º Todos os nós num cluster do Azure Red Hat OpenShift têm de ter origem na mesma região do Azure.

Um cluster pode ser implementado em várias zonas de disponibilidade?

Sim. Um cluster pode ser implementado automaticamente em várias zonas de disponibilidade se o cluster for implementado numa região do Azure que suporte zonas de disponibilidade. Para obter mais informações, veja Zonas de disponibilidade.

Os nós do plano de controlo são abstratos como estão com Azure Kubernetes Service (AKS)?

N.º Todos os recursos, incluindo os nós do plano de controlo do cluster, são executados na subscrição do cliente. Estes tipos de recursos são colocados num grupo de recursos só de leitura.

O cluster reside numa subscrição de cliente?

A Aplicação Gerida do Azure reside num Grupo de Recursos bloqueado com a subscrição do cliente. Os clientes podem ver objetos nesse grupo de recursos, mas não modificá-los.

Existe algum elemento no Azure Red Hat OpenShift partilhado com outros clientes? Ou é tudo independente?

Cada cluster do Azure Red Hat OpenShift é dedicado a um determinado cliente e está dentro da subscrição do cliente.

Os nós de infraestrutura estão disponíveis?

Nos clusters do Azure Red Hat OpenShift 4.x, os nós de infraestrutura não estão atualmente disponíveis.

Como devo proceder para processar atualizações do cluster?

Para obter informações sobre atualizações, manutenção e versões suportadas, veja o guia de ciclo de vida do suporte.

Como é que o sistema operativo anfitrião e o software OpenShift serão atualizados?

Os sistemas operativos anfitrião e o software OpenShift são atualizados à medida que o Azure Red Hat OpenShift consome versões e patches de versão secundárias da Plataforma de Contentores OpenShift a montante.

Qual é o processo para reiniciar o nó atualizado?

Os nós são reiniciados como parte de uma atualização.

Operações de cluster

Posso utilizar o Prometheus para monitorizar as minhas aplicações?

O Prometheus vem pré-instalado e configurado para clusters do Azure Red Hat OpenShift 4.x. Leia mais sobre a monitorização de clusters.

Posso utilizar o Prometheus para monitorizar métricas relacionadas com o estado de funcionamento e a capacidade do cluster?

No Azure Red Hat OpenShift 4.x: Sim.

Os registos das VMs subjacentes podem ser transmitidos em fluxo para um sistema de análise de registos de clientes?

Os registos de VMs subjacentes são processados pelo serviço gerido e não são expostos aos clientes.

Como pode um cliente obter acesso a métricas como CPU/memória ao nível do nó para tomar medidas para dimensionar, depurar problemas, etc.? Não consigo executar o kubectl top num cluster do Azure Red Hat OpenShift.

Para clusters do Azure Red Hat OpenShift 4.x, a consola Web OpenShift contém todas as métricas ao nível do nó. Para obter mais informações, veja a documentação do Red Hat sobre a visualização de informações do cluster.

Se aumentarmos verticalmente a implementação, como é que os domínios de falha do Azure são mapeados para a colocação de pods para garantir que todos os pods de um serviço não são eliminados por uma falha num único domínio de falha?

Por predefinição, existem cinco domínios de falha ao utilizar Conjuntos de Dimensionamento de Máquinas Virtuais no Azure. Cada instância de máquina virtual num conjunto de dimensionamento será colocada num destes domínios de falha. Isto garante que as aplicações implementadas nos nós de computação num cluster serão colocadas em domínios de falha separados.

Para obter mais informações, veja Escolher o número certo de domínios de falha para o Conjunto de Dimensionamento de Máquinas Virtuais.

Existe alguma forma de gerir a colocação de pods?

Os clientes têm a capacidade de obter nós e ver etiquetas como administrador do cliente. Esta ação proporcionará uma forma de direcionar qualquer VM no conjunto de dimensionamento.

Tem de ser utilizada atenção ao utilizar etiquetas específicas:

  • O nome do anfitrião não pode ser utilizado. O nome do anfitrião é frequentemente rodado com atualizações e atualizações e é garantido que muda.
  • Se o cliente tiver um pedido de etiquetas específicas ou uma estratégia de implementação, tal poderá ser realizado. No entanto, exigiria esforços de engenharia, e não é suportado hoje.

Para obter mais informações, veja Controling pod placement (Controlar a colocação de pods).

O registo de imagens está disponível externamente para poder utilizar ferramentas como o Jenkins?

Para clusters 4.x, tem de expor um registo seguro e configurar a autenticação. Para obter mais informações, veja a seguinte documentação do Red Hat:

Rede

Posso implementar um cluster numa rede virtual existente?

Em clusters 4.x, pode implementar um cluster numa VNet existente.

A rede entre espaços de nomes é suportada?

Os administradores de projetos individuais e do cliente podem personalizar redes entre espaços de nomes (incluindo negá-lo) numa base por projeto através NetworkPolicy de objetos.

Estou a tentar efetuar um peering numa rede virtual numa subscrição diferente, mas ocorreu uma falha ao obter o erro CIDR da VNet.

Na subscrição que tem a rede virtual, certifique-se de que regista Microsoft.ContainerService o fornecedor com o seguinte comando: az provider register -n Microsoft.ContainerService --wait

Podemos especificar intervalos de IP para implementação na VNet privada, evitando conflitos com outras VNets empresariais uma vez em modo de peering?

Em clusters 4.x, pode especificar os seus próprios intervalos de IP.

O módulo Rede Definida pelo Software é configurável?

A Rede Definida pelo Software é openshift-ovs-networkpolicy e não é configurável.

Que balanceador de carga do Azure é utilizado pelo Azure Red Hat OpenShift? É Standard ou Básico e é configurável?

O Azure Red Hat OpenShift utiliza Balanceador de Carga do Azure Standard e não é configurável.

Permissões

Um administrador pode gerir utilizadores e quotas?

Sim. Um administrador do Azure Red Hat OpenShift pode gerir utilizadores e quotas, além de aceder a todos os projetos criados pelo utilizador.

Posso restringir um cluster a apenas determinados utilizadores Azure AD?

Sim. Pode restringir que Azure AD utilizadores podem iniciar sessão num cluster ao configurar a Aplicação Azure AD. Para obter detalhes, consulte Como: Restringir a sua aplicação a um conjunto de utilizadores.

Posso restringir a criação de projetos por parte dos utilizadores?

Sim. Inicie sessão no cluster como administrador e execute este comando:

oc adm policy \
    remove-cluster-role-from-group self-provisioner \
    system:authenticated:oauth

Para obter mais informações, veja a documentação do OpenShift sobre como desativar o autoaprovisionamento para a versão do cluster:

Que direitos UNIX (em IaaS) estão disponíveis para Nós Masters/Infra/App?

O acesso ao nó está disponível através da função de administrador de cluster. Para obter mais informações, veja Descrição geral do RBAC do Kubernetes.

Que direitos OCP temos? Administrador de clusters? Administrador de projetos?

A função de administrador de cluster está disponível. Para obter mais informações, veja Descrição geral do RBAC do Kubernetes.

Que fornecedores de identidade estão disponíveis?

Configure o seu próprio fornecedor de identidade. Para obter mais informações, veja a documentação do Red Hat sobre a configuração de fornecedores de identidade.

Armazenamento

Os dados no meu cluster estão encriptados?

Por predefinição, os dados são encriptados inativos. A plataforma de Armazenamento do Azure encripta automaticamente os seus dados antes de os manter e desencripta os dados antes da obtenção. Para obter mais informações, veja Encriptação do Serviço de Armazenamento do Azure para obter dados inativos.

Como é que as minhas contas de armazenamento estão protegidas?

As contas de armazenamento estão definidas apenas para acesso privado.

As contas de armazenamento são encriptadas (apenas novos clusters). Os clusters existentes têm de ser recriados.

As contas de armazenamento são criadas com fins gerais v2 para novos clusters.

As contas de armazenamento para fins gerais v2 suportam as funcionalidades mais recentes do Armazenamento do Azure e incorporam todas as funcionalidades das contas de armazenamento de blobs e v1 para fins gerais.

O acesso a contas de armazenamento é limitado com regras de firewall através de grupos de segurança de rede do Azure (NSGs), que filtram o tráfego de rede de e para as suas contas de armazenamento. Para obter mais informações, veja Descrição geral dos grupos de segurança de rede do Azure.

A versão 1.2 do protocolo Transport Layer Security (TLS) fornece comunicações seguras, privacidade de dados e integridade de dados.

Os dados são armazenados no etc. encriptados no Azure Red Hat OpenShift?

Os dados não estão encriptados por predefinição, mas tem a opção de ativar a encriptação. Para obter mais informações, consulte o guia sobre encriptação, etc.

Podemos escolher uma solução de armazenamento persistente, como o OCS?

O Azure Disk (Premium_LRS) está configurado como a classe de armazenamento predefinida. Para obter fornecedores de armazenamento adicionais e para obter detalhes de configuração (incluindo o Ficheiro do Azure), veja a documentação do Red Hat sobre o armazenamento persistente.

A ARO armazena dados de clientes fora da região do cluster?

N.º Todos os dados criados num cluster ARO são mantidos na região do cluster.