Definition av Azure Red Hat OpenShift-tjänster

Följande avsnitt innehåller tjänstdefinitioner som hjälper dig att hantera ditt Azure Red Hat OpenShift-konto.

Fakturering

Azure Red Hat OpenShift-kluster distribueras till en kunds Azure-prenumeration. En kund betalar Azure direkt för kostnader som uppstår för ett Azure Red Hat OpenShift-kluster.

Azure Red Hat OpenShift-noder körs på virtuella Azure-datorer. De debiteras enligt prissättningen för virtuella Azure Linux-datorer. Beräknings-, nätverks- och lagringsresurser som används av ett Azure Red Hat OpenShift-kluster faktureras enligt användning.

Förutom beräknings- och infrastrukturkostnaderna har programnoder en extra kostnad för Azure Red Hat OpenShift-licenskomponenten. Den här kostnaden baseras på antalet programnoder och instanstypen.

Alla standardalternativ för Azure-inköp, inklusive reservationer och Azure-förskottsbetalningar, gäller. Standardinköpsalternativ för Azure kan användas för Azure Red Hat OpenShift. Köpalternativ för Azure som standard kan också användas för virtuella datorer, nätverk och lagringsresurser som förbrukas av Azure Red Hat OpenShift-klustret.

Mer information om priser finns i Priser för Azure Red Hat OpenShift.

Självbetjäning för kluster

Kunder kan skapa och ta bort sina kluster med hjälp av Azure-kommandoradsverktyget (CLI). Azure Red Hat OpenShift-kluster distribueras med en kubeadmin-användare vars autentiseringsuppgifter är tillgängliga från Azure CLI när ett kluster har distribuerats.

Du kan utföra alla andra Azure Red Hat OpenShift-klusteråtgärder, till exempel skalningsnoder, genom att interagera med OpenShift-API:et med hjälp av verktyg som OpenShift-webbkonsolen eller OpenShift CLI (oc).

Azure-resursarkitektur

En Azure Red Hat OpenShift-distribution kräver två resursgrupper i en Azure-prenumeration. Den första resursgruppen skapas av kunden och innehåller de virtuella nätverkskomponenterna för klustret. Genom att hålla nätverkselementen åtskilda kan kunden konfigurera Azure Red Hat OpenShift för att uppfylla kraven och lägga till eventuella peeringalternativ.

Den andra resursgruppen skapas av Azure Red Hat OpenShift-resursprovidern. Den innehåller Azure Red Hat OpenShift-klusterkomponenter, inklusive virtuella datorer, nätverkssäkerhetsgrupper och lastbalanserare. Azure Red Hat OpenShift-klusterkomponenter som finns i den här resursgruppen kan inte ändras av kunden. Klusterkonfigurationen måste utföras via interaktioner med OpenShift-API:et med hjälp av OpenShift-webbkonsolen eller OpenShift CLI eller liknande verktyg.

Kommentar

Tjänstens huvudnamn för ARO-resursprovidern kräver rollen Nätverksdeltagare i det virtuella nätverket för ARO-klustret. Detta krävs för att ARO-resursprovidern ska kunna skapa resurser som ARO Private Link-tjänsten och lastbalanserare.

Red Hat-operatorer

Vi rekommenderar att en kund tillhandahåller en Red Hat-pullhemlighet till Azure Red Hat OpenShift-klustret när klustret skapas. Red Hat-pullhemligheten gör att klustret kan komma åt Red Hat-containerregister, tillsammans med annat innehåll från OpenShift-operatörshubben.

Azure Red Hat OpenShift-kluster kan fortfarande hantera program utan att tillhandahålla Red Hat-pullhemligheten, men de kan inte installera operatorer från Operator Hub.

Red Hat-pullhemligheten kan också tillhandahållas till klustret efter distributionen.

Compute

Azure Red Hat OpenShift-kluster etableras med tre eller flera arbetsnoder.

• I regioner som består av flera tillgänglighetszoner skapas en maskinuppsättning för arbetsnoder i varje zon. Dessutom etableras en arbetsnod från varje datoruppsättning.

• När en Azure-region inte stöder tillgänglighetszoner etablerar Azure Red Hat OpenShift-klustret arbetsnoderna från en enda datoruppsättning. Kunder kan öka antalet noder och behörigheten i varje region.

Azure Red Hat OpenShift-kluster etableras med tre kontrollplansnoder. Dessa noder ansvarar för nyckel/värde-lagring och API-relaterade arbetsbelastningar. Kontrollplansnoden kan inte användas för kundarbetsbelastningar. Distribution av kontrollplansnoder följer samma regler som arbetsnoder.

• I regioner som består av flera tillgänglighetszoner skapas en datoruppsättning för kontrollplansnoder i varje zon. En kontrollplansnod etableras från varje datoruppsättning.
• Om en Azure-region inte stöder tillgänglighetszoner etablerar Azure Red Hat OpenShift-klustret kontrollplansnoderna från en enda datoruppsättning.

Azure-beräkningstyper

En lista över kontrollplans- och arbetsnodtyper och storlekar som stöds finns i Storlekar på virtuella datorer som stöds.

Azure-regioner

För regioner som stöds av Azure Red Hat OpenShift, se Produkter som är tillgängliga per region.

Från Azure CLI visar du en lista över tillgängliga regioner genom att köra följande kommando:

az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml

När ett Azure Red Hat OpenShift-kluster har distribuerats kan det inte flyttas till en annan region. På samma sätt kan du inte överföra Azure Red Hat OpenShift-kluster mellan prenumerationer.

Serviceavtal

Mer information om serviceavtal finns i SLA för Azure Red Hat OpenShift.

Support

Supportförfrågningar för Azure Red Hat OpenShift kan skickas av;

• Begära support i Azure-portalen
• Begära support via Red Hat-kundportalen

Begäranden kommer att sorteras och hanteras av Microsofts och Red Hats supporttekniker. Azure Red Hat OpenShift innehåller Red Hat Premium-support. Support kan nås via Microsoft Azure-portalen.

Om du vill öppna supportärenden direkt med Red Hat måste klustret ha en pull-hemlighet. Du kan lägga till det när klustret skapas eller lägga till det eller uppdatera det i ett befintligt kluster.

Loggning

Följande avsnitt innehåller information om Azure Red Hat OpenShift-säkerhet.

Klusteråtgärder och granskningsloggning

Azure Red Hat OpenShift distribueras med tjänster för att upprätthålla hälsotillståndet och prestandan för klustret och dess komponenter. Dessa tjänster omfattar klusteråtgärder och granskningsloggar. Klusteråtgärder och granskningsloggar vidarebefordras automatiskt till ett Azure-aggregeringssystem för support och felsökning. Dessa data är endast tillgängliga för auktoriserad supportpersonal via godkända mekanismer.

Kundklusteradministratörer kan distribuera en valfri loggningsstack för att aggregera alla loggar från sitt Azure Red Hat OpenShift-kluster. Till exempel kan nodsystemgranskningsloggar och infrastrukturloggar aggregeras. De här loggarna använder dock andra klusterresurser.

Programloggning

Med åtkomst till OperatorHub.io aktiverat innehåller Azure Red Hat OpenShift en valfri loggningsstack baserad på Elasticsearch, Fluentd och Kibana (EFK).

Loggningsstacken, loggningsoperatören, kan konfigureras för att uppfylla kundernas krav. Den är dock utformad för kortsiktig kvarhållning för att underlätta felsökning av kluster och program, inte för långsiktig loggarkivering.

Om klusterloggningsstacken är installerad samlas programloggar som skickas till STDOUT in av Fluentd. Programloggarna görs tillgängliga via klusterloggningsstacken. Kvarhållningen är inställd på sju dagar, men överskrider inte 200 GiB-loggar per shard. För långsiktig kvarhållning bör kunderna följa containerdesignen för sidovagn i sina distributioner. Kunder bör vidarebefordra loggar till valfri loggaggregerings- eller analystjänst.

Övervakning

Följande avsnitt innehåller information om Azure Red Hat OpenShift-övervakning.

Klustermått

Azure Red Hat OpenShift distribueras med tjänster för att upprätthålla hälsotillståndet och prestandan för klustret och dess komponenter. Dessa tjänster omfattar strömning av viktiga mått till ett Azure-aggregeringssystem för support- och felsökningsändamål. Dessa data är endast tillgängliga för auktoriserad supportpersonal via godkända mekanismer.

Azure Red Hat OpenShift-kluster levereras med en integrerad Prometheus/Grafana-stack som gör det möjligt för kunder att visa klusterövervakning. Stacken innehåller cpu-, minnes- och nätverksbaserade mått.

Dessa mått, som är tillgängliga via webbkonsolen, kan också användas för att visa status på klusternivå och kapacitet/användning via en Grafana-instrumentpanel. Dessa mått möjliggör också horisontell automatisk skalning av poddar som baseras på CPU- eller minnesmått som tillhandahålls av en Azure Red Hat OpenShift-kund.

Nätverk

Följande avsnitt innehåller information om Azure Red Hat OpenShift-nätverket.

Domänvaliderade certifikat

Som standard innehåller Azure Red Hat OpenShift TLS-säkerhetscertifikat som behövs för både interna och externa tjänster i klustret. För externa vägar tillhandahålls ett TLS-jokerteckencertifikat (Transport Layer Security) och installeras i klustret. Ett TLS-certifikat används också för OpenShift API-slutpunkten. DigiCert är certifikatutfärdare (CA) som används för dessa certifikat.

Anpassade domäner

Under distributionen gör Azure Red Hat OpenShift att du kan ange en anpassad domän för klustret. Den anpassade domänen används för både klustertjänster och för program. Du måste skapa två DNS A-poster i DNS-servern för den angivna domänen:

• api, som pekar på API-serverns IP-adress
• *.apps, som pekar på den inkommande IP-adressen

Som standard använder Azure Red Hat OpenShift självsignerade certifikat för alla vägar som skapats på anpassade domäner. Om du väljer att använda anpassade domäner ansluter du till klustret. Följ sedan OpenShift-dokumentationen för att konfigurera en certifikatutfärdare för din ingresskontrollant och en anpassad CA för DIN API-server.

Anpassade certifikatutfärdare för versioner

Azure Red Hat OpenShift stöder användning av certifikatutfärdare som ska vara betrodda av byggen när avbildningar hämtas från ett avbildningsregister.

lastbalanserare

Azure Red Hat OpenShift distribueras med två Azure-lastbalanserare. Den första används för inkommande trafik till program och för API:erna OpenShift och Kubernetes. Den andra används för intern kommunikation mellan klusterkomponenter.

Kluster-ingress

Projektadministratörer kan lägga till väganteckningar för många olika syften, inklusive ingresskontroll via en LISTA över TILLÅTNA IP-adresser.

Ingressprinciper kan ändras med hjälp av NetworkPolicy-objekt, som använder plugin-programmet ovs-networkpolicy. Med Hjälp av NetworkPolicy-objekt kan du få fullständig kontroll över ingressnätverksprincipen ned till poddnivån, inklusive mellan poddar i samma kluster och även i samma namnområde.

All inkommande klustertrafik passerar den definierade lastbalanseraren.

Utgående kluster

Poddutgående trafikkontroll via EgressNetworkPolicy-objekt kan användas för att förhindra eller begränsa utgående trafik i Azure Red Hat OpenShift. För närvarande måste alla virtuella datorer ha utgående Internetåtkomst.

Konfiguration av molnnätverk

Azure Red Hat OpenShift möjliggör konfiguration av privata nätverksanslutningar via flera molnleverantörshanterade tekniker:

• VNet-anslutningar
• Azure VNet-peering
• Azure VNet Gateway
• Azure Express-väg

Ingen övervakning av dessa privata nätverksanslutningar tillhandahålls av Red Hat SRE. Att övervaka dessa anslutningar är kundens ansvar.

Kundspecificerad DNS

Azure Red Hat OpenShift-kunder kan ange sina egna DNS-servrar. Mer information finns i Konfigurera anpassad DNS för ditt Azure Red Hat OpenShift-kluster.

Nätverksgränssnitt för container

Azure Red Hat OpenShift levereras med OVN (Open Virtual Network) som CNI (Container Network Interface). Att ersätta CNI är inte en åtgärd som stöds. Mer information finns i OVN-Kubernetes-nätverksprovider för Azure Red Hat OpenShift-kluster.

Storage

Följande avsnitt innehåller information om Azure Red Hat OpenShift-lagring.

Kryptering i vila

Azure Storage använder kryptering på serversidan (SSE) för att automatiskt kryptera dina data när de sparas i molnet. Som standard krypteras data med Microsofts plattformshanterade nycklar.

Blocklagring (RWO)

Beständiga volymer backas upp av Azure-Disk Block Storage, som är Read-Write-Once (RWO). 1024-GiB-diskar skapas dynamiskt och kopplas till varje Azure Red Hat OpenShift-styrenhetsplanets nod. Dessa diskar är Azure-hanterade Premium SSD LRS-diskar. Diskstorlekar för standarduppsättningarna för arbetsnodddatorn kan konfigureras när klustret skapas.

Kunder har behörighet att skapa fler datoruppsättningar för att bättre passa deras krav.

Beständiga volymer (PV:er), som bara kan kopplas till en enskild nod i taget, är specifika för den tillgänglighetszon där de etablerades. De kan kopplas till valfri nod i tillgänglighetszonen.

Azure begränsar hur många PV:er av typen blocklagring som kan kopplas till en enskild nod. Azure-gränserna beror på typen och storleken på den virtuella dator som kunden väljer för arbetsnoder. Om du till exempel vill se maximalt antal datadiskar för Dasv4-serien läser du Dasv4.

Delad lagring (RWX)

Delad lagring för Azure Red Hat OpenShift-kluster måste konfigureras av kunden. Ett exempel på hur du konfigurerar en lagringsklass för Azure-filer finns i Skapa en Azure Files StorageClass på Azure Red Hat OpenShift 4

Plattform

Följande avsnitt innehåller information om Azure Red Hat OpenShift-plattformen.

Säkerhetskopieringsprincip för kluster

Viktigt!

Det är viktigt att du har en säkerhetskopieringsplan för dina program och programdata.

Säkerhetskopiering av program- och programdata är inte en automatiserad del av Azure Red Hat OpenShift-tjänsten. En självstudiekurs om hur du utför manuell programsäkerhetskopiering finns i Skapa en Azure Red Hat OpenShift 4-klusterprogramsäkerhetskopia.

DaemonSets

Kunder kan skapa och köra DaemonSets på Azure Red Hat OpenShift. Om du vill begränsa DaemonSets till att endast köras på arbetsnoder använder du följande nodeSelector:

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

Azure Red Hat OpenShift-version

Azure Red Hat OpenShift körs som en tjänst. Det gör det möjligt för kunder att hålla sig uppdaterade med den senaste stabila OpenShift Container Platform-versionen. Support- och uppgraderingsprincipen finns i Supportlivscykel för Azure Red Hat OpenShift 4.

Supportlivscykel

Information om azure Red Hat OpenShift-supportlivscykeln finns i Supportlivscykel för Azure Red Hat OpenShift 4.

Containermotor

Azure Red Hat OpenShift körs på OpenShift 4 och använder CRI-O-implementeringen av Kubernetes-containerkörningsgränssnittet som den enda tillgängliga containermotorn.

Operativsystem

Azure Red Hat OpenShift körs på OpenShift 4 med Red Hat Enterprise Linux CoreOS (RHCOS) som operativsystem för alla kontrollplans- och arbetsnoder. Windows-arbetsbelastningar stöds inte på Azure OpenShift eftersom plattformen för närvarande inte stöder Windows-arbetsnoder.

Stöd för Kubernetes-operatör

Azure Red Hat OpenShift stöder operatörer som skapats av Red Hat och certifierade oberoende programvaruleverantörer (ISV). Operatörer som tillhandahålls av Red Hat stöds av Red Hat. ISV-operatorer stöds av ISV.

Om du vill använda OperatorHub måste klustret konfigureras med en Red Hat-pullhemlighet. Mer information om hur du använder OperatorHub finns i Förstå OperatorHub

Säkerhet

Följande avsnitt innehåller information om Azure OpenShift-säkerhet.

Autentiseringsprovider

Azure Red Hat OpenShift-kluster konfigureras inte med några autentiseringsprovidrar.

Kunder måste konfigurera sina egna leverantörer, till exempel Microsoft Entra-ID. Information om hur du konfigurerar leverantörer finns i följande artiklar:

• Microsoft Entra-autentisering
• OpenShift-identitetsprovidrar

Regelefterlevnad

Mer information om Azure Red Hat OpenShifts certifieringar för regelefterlevnad finns i Microsoft Azure Efterlevnadserbjudanden.

Nästa steg

Mer information finns i dokumentationen om supportprinciper .