Определение службы Azure Red Hat OpenShift
В следующих разделах приведены определения служб, которые помогут вам управлять учетной записью Azure Red Hat OpenShift.
Выставление счетов
Кластеры Azure Red Hat OpenShift развертываются в подписке Azure клиента. Клиент оплачивает Azure напрямую за расходы, связанные с кластером Azure Red Hat OpenShift.
Узлы Azure Red Hat OpenShift выполняются в Azure Виртуальные машины. Они выставляются в соответствии с ценами на виртуальные машины Azure Linux. Счета за вычислительные, сетевые ресурсы и ресурсы хранилища, используемые кластером Azure Red Hat OpenShift, выставляются в соответствии с использованием.
Помимо затрат на вычисления и инфраструктуру узлы приложений имеют дополнительную стоимость для компонента лицензии Azure Red Hat OpenShift. Эта стоимость зависит от количества узлов приложения и типа экземпляра.
Все стандартные варианты приобретения Azure, включая резервирования и предоплату Azure. Стандартные варианты приобретения Azure можно использовать для Azure Red Hat OpenShift. Кроме того, стандартные варианты приобретения Azure можно использовать для виртуальных машин, сетевых ресурсов и ресурсов хранилища, используемых кластером Azure Red Hat OpenShift.
Дополнительные сведения о ценах см. в ценах на Azure Red Hat OpenShift.
Самообслуживание кластера
Клиенты могут создавать и удалять кластеры с помощью служебной программы командной строки Azure (CLI). Кластеры Azure Red Hat OpenShift развертываются с помощью пользователя kubeadmin, учетные данные которого доступны из Azure CLI после успешного развертывания кластера.
Вы можете выполнять все другие действия кластера Azure Red Hat OpenShift, такие как масштабирование узлов, взаимодействуя с API OpenShift с помощью таких средств, как веб-консоль OpenShift или Интерфейс командной строки OpenShift (oc).
Архитектура ресурсов Azure
Для развертывания Azure Red Hat OpenShift требуется две группы ресурсов в подписке Azure. Первая группа ресурсов создается клиентом и содержит компоненты виртуальной сети для кластера. Сохранение отдельных сетевых элементов позволяет клиенту настроить Azure Red Hat OpenShift в соответствии с требованиями и добавить любые параметры пиринга.
Вторая группа ресурсов создается поставщиком ресурсов Azure Red Hat OpenShift. Он содержит компоненты кластера Azure Red Hat OpenShift, включая виртуальные машины, группы безопасности сети и подсистемы балансировки нагрузки. Компоненты кластера Azure Red Hat OpenShift, расположенные в этой группе ресурсов, не изменяются клиентом. Конфигурацию кластера необходимо выполнить с помощью взаимодействия с API OpenShift с помощью веб-консоли OpenShift или интерфейса командной строки OpenShift или аналогичных средств.
Примечание.
Субъект-служба для поставщика ресурсов ARO требует роль участника сети в виртуальной сети кластера ARO. Это необходимо для поставщика ресурсов ARO для создания ресурсов, таких как служба ARO Приватный канал и подсистемы балансировки нагрузки.
Операторы Red Hat
Рекомендуется предоставить клиенту секрет извлечения Red Hat в кластере Azure Red Hat OpenShift во время создания кластера. Секрет извлечения Red Hat позволяет кластеру получать доступ к реестрам контейнеров Red Hat, а также другим содержимым из Центра операторов OpenShift.
Кластеры Azure Red Hat OpenShift по-прежнему могут обслуживать приложения без предоставления секрета извлечения Red Hat, но они не смогут установить операторы из Центра операторов.
Секрет извлечения Red Hat также можно предоставить в кластере после развертывания.
Службы вычислений
Кластеры Azure Red Hat OpenShift подготавливаются с тремя или несколькими рабочими узлами.
В регионах, состоящих из нескольких зон доступности, в каждой зоне создается набор компьютеров рабочего узла. Кроме того, рабочий узел подготавливается из каждого набора компьютеров.
Если регион Azure не поддерживает зоны доступности, кластер Azure Red Hat OpenShift подготавливает рабочие узлы из одного набора компьютеров. Клиенты могут увеличить количество узлов и разрешение в каждом регионе.
Кластеры Azure Red Hat OpenShift подготовлены с тремя узлами уровня управления. Эти узлы отвечают за хранилище ключей и рабочие нагрузки, связанные с API. Узел плоскости управления не может использоваться для рабочих нагрузок клиентов. Развертывание узла уровня управления соответствует тем же правилам, что и рабочие узлы.
- В регионах, состоящих из нескольких зон доступности, в каждой зоне создается набор компьютеров уровня управления. Узел плоскости управления подготавливается из каждого набора компьютеров.
- Если регион Azure не поддерживает зоны доступности, кластер Azure Red Hat OpenShift подготавливает узлы плоскости управления из одного набора компьютеров.
Типы вычислений Azure
Список поддерживаемых типов и размеров рабочих узлов уровня управления см. в статье "Поддерживаемые размеры виртуальных машин".
Регионы Azure
Сведения о регионах, поддерживаемых Azure Red Hat OpenShift, см. в разделе "Продукты", доступные по регионам.
В Azure CLI просмотрите список доступных регионов, выполнив следующую команду:
az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml
После развертывания кластер Azure Red Hat OpenShift не может быть перемещен в другой регион. Аналогичным образом нельзя передавать кластеры Azure Red Hat OpenShift между подписками.
Соглашение об уровне обслуживания
Дополнительные сведения об уровне обслуживания см. в разделе об уровне обслуживания для Azure Red Hat OpenShift.
Поддержка
Запросы на поддержку Azure Red Hat OpenShift можно отправить;
- Запрос на поддержку в портал Azure
- Запрос поддержки с помощью портала клиента Red Hat
Запросы будут рассмотрены и устранены инженерами поддержки Microsoft и Red Hat. Azure Red Hat OpenShift включает поддержку Red Hat Premium. Доступ к поддержке можно получить через портал Azure Майкрософт.
Чтобы открыть запросы в службу поддержки непосредственно с помощью Red Hat, кластеру потребуется секрет извлечения. Его можно добавить во время создания кластера или добавить или обновить его в существующем кластере.
Ведение журнала
В следующих разделах содержатся сведения о безопасности Azure Red Hat OpenShift.
Операции кластера и ведение журнала аудита
Azure Red Hat OpenShift развертывается со службами для поддержания работоспособности и производительности кластера и его компонентов. К этим службам относятся операции кластера и журналы аудита. Операции кластера и журналы аудита перенаправляются автоматически в систему агрегирования Azure для поддержки и устранения неполадок. Эти данные доступны только авторизованным сотрудникам службы поддержки с помощью утвержденных механизмов.
Администраторы кластера клиентов могут развернуть необязательный стек ведения журнала для агрегирования всех журналов из кластера Azure Red Hat OpenShift. Например, журналы аудита системы узлов и журналы инфраструктуры можно агрегировать. Однако эти журналы используют другие ресурсы кластера.
Ведение журнала приложения
С включенным доступом к OperatorHub.io Azure Red Hat OpenShift включает необязательный стек ведения журнала на основе Elasticsearch, Fluentd и Kibana (EFK).
Стек ведения журнала, оператор ведения журнала, можно настроить для удовлетворения требований клиентов. Однако он предназначен для краткосрочного хранения для устранения неполадок кластера и приложений, а не для долгосрочного архивирования журналов.
Если установлен стек ведения журнала кластера, журналы приложений, отправленные в STDOUT, собираются Fluentd. Журналы приложений доступны через стек ведения журнала кластера. Срок хранения составляет семь дней, но не превышает 200 ГиБ журналов на сегмент. Для долгосрочного хранения клиенты должны следовать дизайну контейнера на стороне в своих развертываниях. Клиенты должны пересылать журналы в службу агрегирования журналов или службы аналитики по своему выбору.
Наблюдение
В следующем разделе содержатся сведения о мониторинге Azure Red Hat OpenShift.
Метрики кластера
Azure Red Hat OpenShift развертывается со службами для поддержания работоспособности и производительности кластера и его компонентов. Эти службы включают потоковую передачу важных метрик в систему агрегирования Azure для поддержки и устранения неполадок. Эти данные доступны только авторизованным сотрудникам службы поддержки с помощью утвержденных механизмов.
Кластеры Azure Red Hat OpenShift оснащены интегрированным стеком Prometheus/Grafana, чтобы клиенты могли просматривать мониторинг кластера. Стек включает метрики ЦП, памяти и сети.
Эти метрики, доступные через веб-консоль, также можно использовать для просмотра состояния и емкости и использования кластера с помощью панели мониторинга Grafana. Эти метрики также позволяют горизонтальное автоматическое масштабирование pod, основанное на метриках ЦП или памяти, предоставляемых клиентом Azure Red Hat OpenShift.
Network
В следующих разделах содержатся сведения о сети Azure Red Hat OpenShift.
Сертификаты, проверенные доменом
По умолчанию Azure Red Hat OpenShift включает сертификаты безопасности TLS, необходимые как для внутренних, так и для внешних служб в кластере. Для внешних маршрутов сертификат подстановочного знака TLS предоставляется и устанавливается в кластере. Сертификат TLS также используется для конечной точки API OpenShift. DigiCert — это центр сертификации (ЦС), используемый для этих сертификатов.
Личные домены
Во время развертывания Azure Red Hat OpenShift позволяет указать личный домен для кластера. Личный домен используется как для служб кластера, так и для приложений. Необходимо создать две записи DNS A на DNS-сервере для указанного домена:
- API, указывающий на IP-адрес сервера API
- *.apps, указывающий на IP-адрес входящего трафика
По умолчанию Azure Red Hat OpenShift использует самозаверяющий сертификат для всех маршрутов, созданных в пользовательских доменах. Если вы решили использовать личные домены, подключитесь к кластеру. Затем следуйте документации OpenShift, чтобы настроить настраиваемый ЦС центра сертификации для контроллера входящего трафика и пользовательского ЦС для сервера API.
Пользовательские ЦС для сборок
Azure Red Hat OpenShift поддерживает использование ЦС для доверия сборками при извлечении образов из реестра образов.
Подсистемы балансировки нагрузки
Azure Red Hat OpenShift развертывается с двумя подсистемами балансировки нагрузки Azure. Первый используется для входящего трафика в приложения и для API OpenShift и Kubernetes. Второй используется для внутреннего взаимодействия между компонентами кластера.
Входящий трафик кластера
Администраторы проектов могут добавлять заметки маршрутов для многих различных целей, включая управление входящего трафика с помощью списка разрешений IP-адресов.
Политики входящего трафика можно изменить с помощью объектов NetworkPolicy, использующих подключаемый модуль ovs-networkpolicy. Использование объектов NetworkPolicy обеспечивает полный контроль над политикой входящего трафика до уровня pod, в том числе между модулями pod в одном кластере и даже в одном пространстве имен.
Весь трафик входящего трафика кластера проходит по определенной подсистеме балансировки нагрузки.
Исходящий трафик кластера
Управление трафиком pod с помощью объектов EgressNetworkPolicy можно использовать для предотвращения или ограничения исходящего трафика в Azure Red Hat OpenShift. В настоящее время все виртуальные машины должны иметь исходящий доступ к Интернету.
Конфигурация облачной сети
Azure Red Hat OpenShift обеспечивает настройку частных сетевых подключений с помощью нескольких технологий, управляемых поставщиком облачных служб:
- Подключения виртуальной сети
- Управление пирингом виртуальных сетей
- Шлюз виртуальной сети Azure
- Azure Express Route
Мониторинг этих подключений к частной сети не предоставляется Red Hat SRE. Мониторинг этих подключений является ответственностью клиента.
Dns, указанный клиентом
Клиенты Azure Red Hat OpenShift могут указывать собственные DNS-серверы. Дополнительные сведения см. в разделе "Настройка настраиваемого DNS" для кластера Azure Red Hat OpenShift.
Сетевой интерфейс контейнера
Azure Red Hat OpenShift поставляется с OVN (Open виртуальная сеть) в качестве сетевого интерфейса контейнера (CNI). Замена CNI не поддерживается. Дополнительные сведения см. в разделе о поставщике OVN-Kubernetes для кластеров Azure Red Hat OpenShift.
Хранилище
В следующих разделах содержатся сведения о хранилище Azure Red Hat OpenShift.
Шифрование неактивных данных
служба хранилища Azure использует шифрование на стороне сервера (SSE) для автоматического шифрования данных при сохранении в облаке. По умолчанию данные шифруются с помощью ключей, управляемых платформой Майкрософт.
Блочное хранилище (RWO)
Постоянные тома поддерживаются хранилищем блочных дисков Azure, которое является записью и записью один раз (RWO). Диски 1024-GiB динамически создаются и подключаются к каждому узлу плоскости контроллера Red Hat OpenShift Azure. Эти диски являются дисками SSD уровня "Премиум" LRS Azure, управляемыми Azure. Размеры дисков для наборов компьютеров рабочих узлов по умолчанию можно настроить во время создания кластера.
Клиенты имеют разрешения на создание дополнительных наборов компьютеров, чтобы лучше соответствовать их требованиям.
Постоянные тома (PV), которые могут быть подключены только к одному узлу за раз, относятся к зоне доступности, в которой они были подготовлены. Их можно подключить к любому узлу в зоне доступности.
Azure ограничивает, сколько PV хранилища блоков типа можно подключить к одному узлу. Ограничения Azure зависят от типа и размера виртуальной машины, выбранной клиентом для рабочих узлов. Например, чтобы просмотреть максимальные диски данных для серии Dasv4, см. раздел Dasv4.
Общее хранилище (RWX)
Общее хранилище для кластеров Azure Red Hat OpenShift должно быть настроено клиентом. Пример настройки класса хранилища для файлов Azure см. в статье "Создание класса хранилища Файлы Azure в Azure Red Hat OpenShift 4"
Платформа
В следующих разделах содержатся сведения о платформе Azure Red Hat OpenShift.
Политика резервного копирования кластера
Внимание
Важно иметь план резервного копирования для приложений и данных приложения.
Резервные копии данных приложений и приложений не являются автоматизированной частью службы Azure Red Hat OpenShift. Руководство по выполнению резервного копирования вручную см. в статье "Создание резервного копирования приложений кластера Azure Red Hat OpenShift 4".
Наборы DaemonSet
Клиенты могут создавать и запускать DaemonSets в Azure Red Hat OpenShift. Чтобы ограничить запуск daemonSets только на рабочих узлах, используйте следующий узелSelector:
spec:
nodeSelector:
node-role.kubernetes.io/worker: ""
Версия Azure Red Hat OpenShift
Azure Red Hat OpenShift выполняется как услуга. Он позволяет клиентам поддерживать актуальность последней стабильной версии платформы контейнеров OpenShift. Сведения о политике поддержки и обновлении см. в разделе "Жизненный цикл поддержки" для Azure Red Hat OpenShift 4.
Жизненный цикл поддержки
Сведения о жизненном цикле поддержки Azure Red Hat OpenShift см. в статье "Жизненный цикл поддержки Azure Red Hat OpenShift 4".
Модуль контейнеров
Azure Red Hat OpenShift работает в OpenShift 4 и использует реализацию CRI-O интерфейса среды выполнения контейнеров Kubernetes в качестве единственного доступного обработчика контейнеров.
Операционная система
Azure Red Hat OpenShift работает в OpenShift 4 с помощью Red Hat Enterprise Linux CoreOS (RHCOS) в качестве операционной системы для всех рабочих узлов и плоскостей управления. Рабочие нагрузки Windows не поддерживаются в Azure OpenShift, так как платформа в настоящее время не поддерживает рабочие узлы Windows.
Поддержка оператора Kubernetes
Azure Red Hat OpenShift поддерживает операторы, созданные Red Hat и сертифицированные независимые поставщики программного обеспечения (ISV). Операторы, предоставляемые Red Hat, поддерживаются Red Hat. Операторы ISV поддерживаются isV.
Чтобы использовать OperatorHub, кластер должен быть настроен с помощью секрета извлечения Red Hat. Дополнительные сведения об использовании OperatorHub см. в разделе "Основные сведения о операторе"
Безопасность
В следующих разделах содержатся сведения о безопасности Azure OpenShift.
Поставщик проверки подлинности
Кластеры Azure Red Hat OpenShift не настроены с помощью каких-либо поставщиков проверки подлинности.
Клиентам необходимо настроить собственные поставщики, такие как идентификатор Microsoft Entra. Сведения о настройке поставщиков см. в следующих статьях:
Соблюдение нормативных требований
Дополнительные сведения о сертификатах соответствия нормативным требованиям Azure Red Hat OpenShift см . в предложениях по соответствию Требованиям Microsoft Azure.
Next Steps
Дополнительные сведения см. в документации по политикам поддержки.