本文解答了有关 Microsoft Azure Red Hat OpenShift 的常见问题 (FAQ)。
安装和升级
在哪里可以找到有关定价和服务级别协议的信息?
有关定价信息,请参阅 Azure Red Hat OpenShift 定价。
有关服务级别协议 (SLA) 信息,请参阅联机服务的服务级别协议。
支持哪些 Azure 区域?
有关 Azure Red Hat OpenShift 4.x 支持区域的列表,请参阅可用区域。
我可以使用哪些虚拟机大小?
有关 Azure Red Hat OpenShift 4 支持的虚拟机大小列表,请参阅 Azure Red Hat OpenShift 4 支持的资源。
Azure Red Hat OpenShift 群集中的 Pod 数量上限是多少? Azure Red Hat OpenShift 群集中的 Pod 数量上限是多少?
实际受支持的 Pod 的数量取决于应用程序的内存、CPU 和存储要求。
Azure Red Hat OpenShift 4.x 的上限是每个节点 250 个 Pod 以及 60 个计算节点。 这些限制决定了一个群集中支持的 Pod 最大数量为 250 × 60 = 15,000。 对于没有任何公共 IP 的专用群集(例如,使用用户定义的路由 (UDR) 创建并运行版本 4.11 或更高版本),限制为 120 个计算节点和 30,000 个 Pod。
一个群集中能否包含跨多个 Azure 区域的计算节点?
否。 Azure Red Hat OpenShift 群集中的所有节点都必须来源于同一 Azure 区域。
是否可以跨多个可用性区域部署群集?
是的。 如果将群集部署到支持可用性区域的 Azure 区域,则可以跨多个可用性区域自动部署群集。 有关详细信息,请参阅可用性区域。
控制平面节点是否像 Azure Kubernetes 服务 (AKS) 一样被抽象出来?
否。 所有资源(包括群集控制平面节点)都是在客户订阅中运行。 这些类型的资源位于只读资源组中。
群集是否驻留在客户订阅中?
Azure 托管应用程序与客户订阅一道位于锁定的资源组中。 客户可以查看该资源组中的对象,但不能对其进行修改。
Azure Red Hat OpenShift 中是否有任何与其他客户共享的元素? 或者一切都是独立的?
每个 Azure Red Hat OpenShift 群集都是专用于给定的客户,并且存在于该客户的订阅中。
基础结构节点是否可用?
是,ARO 允许使用基础结构计算机集创建仅托管基础结构组件的计算机,例如默认路由器、集成容器注册表以及用于群集指标和监视的组件。 请参阅在 ARO 群集中部署基础结构节点了解详细信息。
如何处理群集升级?
有关升级、维护和支持版本的信息,请参阅支持生命周期指南。
主机操作系统和 OpenShift 软件如何更新?
当 Azure Red Hat OpenShift 使用来自上游 OpenShift 容器平台的次要发布版本和补丁时,主机操作系统和 OpenShift 软件将进行更新。
节点更新后,将如何重新启动?
节点将在升级过程中重新启动。
群集操作
能否使用 Prometheus 监视我的应用程序?
Prometheus 经过预安装并配置,适用于 Azure Red Hat OpenShift 4.x 群集。 详细了解群集监视。
能否使用 Prometheus 监视与群集运行状况和容量相关的指标?
在 Azure Red Hat OpenShift 4.x 中:可以。
底层 VM 的日志是否会流出到客户日志分析系统中?
来自底层 VM 的日志由托管服务处理,不会向客户公开。
客户如何获取对 CPU/内存等节点级别指标的访问权限,以便采取措施来缩放、调试问题等? 我好像无法在 Azure Red Hat OpenShift 群集上运行 kubectl top。
对于 Azure Red Hat OpenShift 4.x 群集,OpenShift Web 控制台包含了节点级别的所有指标。 有关详细信息,请参阅关于查看群集信息的 Red Hat 文档。
如果纵向扩展部署,Azure 容错域将如何映射到 Pod 位置,以确保某个服务的所有 Pod 在单个容错域中出现故障时不会失效?
在使用 Azure 中的虚拟机规模集时,默认有五个容错域。 规模集中的每个虚拟机实例都将被放入这其中的任一容错域之中。 这样可以确保部署到群集中的计算节点上的应用程序将被置于单独的容错域中。
有关详细信息,请参阅为虚拟机规模集选择合适数量的容错域。
是否有方法能管理 Pod 放置?
客户能够以客户管理员身份获取节点和查看标签。这将提供一种方法定位规模集中的任何 VM。
在使用特定标签时,必须注意:
- 不得使用主机名。 主机名通常会在升级和更新后轮换,且一定会发生变化。
- 如果客户有针对特定标签或某个部署策略的请求,或许可能实现, 但是需要一定的工程工作,且目前暂不受支持。
有关详细信息,请参阅控制 Pod 放置。
映像注册表是否可在外部使用,以便使用 Jenkins 等工具?
我可以在 Azure 租户之间移动/迁移群集吗?
当前不支持在租户之间移动 ARO 群集。
是否可以将 ARO 群集从当前 Azure 订阅移动到另一个订阅?
不支持在订阅之间移动 ARO 群集及其关联的资源。
是否可以将我的 ARO 群集或 ARO 基础结构资源移到其他资源组,或将它们重命名?
不支持移动或重命名 ARO 群集及其关联的资源。
网络
能否将群集部署到现有的虚拟网络中?
在 4.x 群集中,可以将群集部署到现有 VNet 中。
是否支持跨命名空间的网络连接?
客户及各项目管理员可以使用 NetworkPolicy 对象,自定义每个项目的跨命名空间网络连接(包括拒绝网络连接)。
我正在尝试对另一个订阅中的虚拟网络进行对等互连,但未能成功,收到了 VNet CIDR 错误。
在具有虚拟网络的订阅中,请确保使用以下命令注册 Microsoft.ContainerService 提供程序:az provider register -n Microsoft.ContainerService --wait
是否可以指定专用 VNet 上部署的 IP 范围,以免对等互连后,与其他公司的 VNet 发生冲突?
在 4.x 群集中,可以指定自己的 IP 范围。
软件定义的网络模块是否可配置?
软件定义的网络是 openshift-ovs-networkpolicy,不可配置。
Azure Red Hat OpenShift 使用什么 Azure 负载均衡器? 标准版还是基本版,是否可配置?
Azure Red Hat OpenShift 使用标准版 Azure 负载均衡器,且不可配置。
权限
管理员是否可以管理用户和配额?
是的。 Azure Red Hat OpenShift 管理员不仅可以访问所有用户创建的项目,还可以管理用户和配额。
是否可以将群集限制为仅限特定的 Microsoft Entra 用户?
是的。 可以通过配置 Microsoft Entra 应用程序,限制哪些 Microsoft Entra 用户可以登录到群集。 有关详细信息,请参阅如何:将应用限制为供一组用户使用。
是否可以限制用户创建项目?
是的。 以管理员身份登录到群集,然后执行以下命令:
oc adm policy \
remove-cluster-role-from-group self-provisioner \
system:authenticated:oauth
有关详细信息,请参阅相关 OpenShift 文档,了解如何对群集版本禁用自我预配:
哪些 UNIX 权限(IaaS 中)可用于主节点/基础结构节点/应用节点?
可以通过群集管理角色访问节点。 有关详细信息,请参阅 Kubernetes RBAC 概述。
我们有哪些 OCP 权限? 群集管理员? 项目管理员?
群集管理员角色可用。 有关详细信息,请参阅 Kubernetes RBAC 概述。
有哪些标识提供者可用?
配置自己的标识提供者。 有关详细信息,请参阅关于配置标识提供者的 Red Hat 文档。
存储
我的群集上的数据是否已加密?
默认情况下,数据采用静态加密。 Azure 存储平台会在保存数据前先自动加密数据,然后在检索之前解密数据。 有关详细信息,请参阅静态数据的 Azure 存储服务加密。
如何保护我的存储帐户?
存储帐户设置为仅限专用访问。
存储帐户已加密(仅新群集)。 需要重新创建现有群集。
将使用常规用途 v2 为新群集创建存储帐户。
常规用途 v2 存储帐户支持最新的 Azure 存储功能,并整合了常规用途 v1 和 Blob 存储帐户的所有功能。
将使用防火墙规则,通过用于筛选进出存储帐户的网络流量的 Azure 网络安全组 (NSG) 来限制存储帐户访问。 有关详细信息,请参阅 Azure 网络安全组概述。
传输层安全性 (TLS) 协议版本 1.2 提供安全的通信、数据隐私和数据完整性。
etcd 中存储的数据在 Azure Red Hat OpenShift 上是否已加密?
默认不会对数据进行加密,但是提供了启用加密的选项。 有关详细信息,请参阅加密 etcd 上的指南。
能否选择任何持久性存储解决方案,例如 OCS?
Azure 磁盘 (Premium_LRS) 配置为默认存储类。 有关其他存储提供程序以及配置详细信息(包括 Azure 文件),请参阅关于永久性存储的 Red Hat 文档。
ARO 是否会将任何客户数据存储在群集区域之外?
否。 在 ARO 群集中创建的所有数据都将保留在群集区域内。