你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Red Hat OpenShift 服务定义

以下各部分提供可帮助你管理 Azure Red Hat OpenShift 帐户的服务定义。

计费

将 Azure Red Hat OpenShift 群集部署到客户的 Azure 订阅中。 客户直接向 Azure 支付 Azure Red Hat OpenShift 群集产生的成本。

Azure Red Hat OpenShift 节点在 Azure 虚拟机上运行。 这些节点按 Azure Linux 虚拟机定价计费。 Azure Red Hat OpenShift 群集使用的计算、网络和存储资源根据使用情况进行计费。

除计算和基础结构成本外，应用程序节点还会因使用 Azure Red Hat OpenShift 许可组件产生额外成本。 该项成本根据应用程序节点数和实例类型进行计费。

所有标准 Azure 购买选项（包括预留和 Azure 预付）都适用。 标准 Azure 购买选项可用于 Azure Red Hat OpenShift。 此外，标准 Azure 购买选项可用于 Azure Red Hat OpenShift 群集使用的虚拟机、网络和存储资源。

有关定价的详细信息，请参阅 Azure Red Hat OpenShift 定价。

群集自助服务

客户可以使用 Azure 命令行实用程序 (CLI) 创建和删除其群集。 Azure Red Hat OpenShift 群集使用 kubeadmin 用户进行部署，而该用户的凭据可在成功部署群集后从 Azure CLI 中获取。

可以通过使用 OpenShift Web 控制台或 OpenShift CLI (oc) 等工具与 OpenShift API 交互，来执行所有其他 Azure Red Hat OpenShift 群集操作（如缩放节点）。

Azure 资源体系结构

Azure Red Hat OpenShift 部署需要 Azure 订阅中的两个资源组。 第一个资源组由客户创建，包含群集的虚拟网络组件。 通过分隔网络元素，客户可以配置 Azure Red Hat OpenShift 以满足相关要求并添加任何对等互连选项。

第二个资源组由 Azure Red Hat OpenShift 资源提供程序创建。 其中包含 Azure Red Hat OpenShift 群集组件，包括虚拟机、网络安全组和负载均衡器。 客户不能修改位于此资源组中的 Azure Red Hat OpenShift 群集组件。 要执行群集配置，必须使用 OpenShift Web 控制台或 OpenShift CLI 或类似工具与 OpenShift API 进行交互。

注意

ARO 资源提供程序的服务主体需要 ARO 群集 VNet 上的网络参与者角色。 这是 ARO 资源提供程序创建 ARO 专用链接服务和负载均衡器等资源时所必需的。

Red Hat 运算符

建议客户在群集创建过程中，向 Azure Red Hat OpenShift 群集提供一个 Red Hat 拉取机密。 Red Hat 拉取机密使群集能够访问 Red Hat 容器注册表以及 OpenShift Operator Hub 中的其他内容。

Azure Red Hat OpenShift 群集仍可为应用程序提供服务，而无需提供 Red Hat 拉取机密，但这些群集无法从操作员中心安装操作员。

还可以向群集后期部署提供 Red Hat 拉取机密。

计算

Azure Red Hat OpenShift 群集预配三个或更多工作器节点。

• 在包含多个可用性区域的地域中，于每个区域创建一个工作器节点计算机集。 此外，还要从每一个计算机集预配一个工作器节点。

• 当 Azure 地域不支持可用性区域时，Azure Red Hat OpenShift 群集将从单个计算机集预配工作器节点。 客户能够增加每个地域中的节点计数并提升权限。

Azure Red Hat OpenShift 群集预配三个控制平面节点。 这些节点负责 etcd 键值存储和与 API 相关的工作负载。 控制平面节点不能用于客户工作负载。 控制平面节点部署遵循的规则与工作器节点相同。

• 在包含多个可用性区域的地域中，于每个区域中创建一个控制平面节点计算机集。 从每一个计算机集预配一个控制平面节点。
• 当 Azure 地域不支持可用性区域时，Azure Red Hat OpenShift 群集将从单个计算机集预配控制平面节点。

Azure 计算类型

有关支持的控制平面及工作器节点类型和大小的列表，请参阅支持的虚拟机大小。

Azure 区域

有关 Azure Red Hat OpenShift 支持的地域，请参阅各区域的产品可用性。

在 Azure CLI 中，通过运行以下命令查看可用地域的列表：

az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml

部署后，无法将 Azure Red Hat OpenShift 群集移动到其他地域。 同样，不能在订阅之间传输 Azure Red Hat OpenShift 群集。

服务级别协议

有关 SLA 的详细信息，请参阅 Azure Red Hat OpenShift 的 SLA。

支持

可以通过以下方式提交对 Azure Red Hat OpenShift 的支持请求：

• 在 Azure 门户中请求支持
• 通过 Red Hat 客户门户请求支持

Microsoft 和 Red Hat 支持工程师将对请求进行筛选和寻址处理。 Azure Red Hat OpenShift 包含 Red Hat 高级支持。 可以通过 Microsoft Azure 门户访问支持。

若要直接使用 Red Hat 打开支持票证，群集将需要具有一个拉取机密。 可以在创建群集的过程中添加拉取机密，或在现有群集上进行添加或更新。

日志记录

以下部分提供有关 Azure Red Hat OpenShift 安全性的信息。

群集操作和审核日志

Azure Red Hat OpenShift 将与服务一起部署，以便维护群集及其组件的运行状况和性能。 这些服务包括群集操作和审核日志。 群集操作和审核日志会自动转发到 Azure 聚合系统，以便提供支持和进行故障排除。 只有获授权的支持人员，才能通过经批准的机制访问此数据。

客户群集管理员可以部署可选的日志记录堆栈，以聚合来自其 Azure Red Hat OpenShift 群集的所有日志。 例如，可以聚合节点系统审核日志和基础结构日志。 但是，这些日志会消耗其他群集资源。

应用程序日志记录

如果启用对 OperatorHub.io 的访问，Azure Red Hat OpenShift 包含基于 Elasticsearch、Fluentd 和 Kibana (EFK) 的可选日志记录堆栈。

可以按照客户要求，配置日志记录堆栈（日志记录操作员）。 不过，其设计用于短期保留，以帮助对群集和应用程序进行故障排除，而不是用于长期日志存档。

如果安装了群集日志记录堆栈，系统将通过 Fluentd 收集发送到 STDOUT 的应用程序日志。 应用程序日志通过群集日志记录堆栈提供。 保留期设置为七天，但每个分片的日志不会超过 200 GiB。 若要长期保留，客户应采用其部署中的挎斗容器设计。 客户应将日志转发到其选择的日志聚合或分析服务。

监视

以下部分提供有关 Azure Red Hat OpenShift 监视服务的信息。

群集指标

Azure Red Hat OpenShift 将与服务一起部署，以便维护群集及其组件的运行状况和性能。 这些服务包括将重要指标流式传输到 Azure 聚合系统，以实现支持和故障排除目的。 只有获授权的支持人员，才能通过经批准的机制访问此数据。

Azure Red Hat OpenShift 群集附带一个集成式 Prometheus/Grafana 堆栈，使客户能够查看群集监视情况。 该堆栈包括 CPU、内存和基于网络的指标。

这些指标可通过 Web 控制台访问，还可用于通过 Grafana 仪表板查看群集级别的状态和容量/使用情况。 此外，这些指标还允许根据 Azure Red Hat OpenShift 客户提供的 CPU 或内存指标进行水平 pod 自动缩放。

网络

以下部分提供有关 Azure Red Hat OpenShift 网络的信息。

域验证证书

默认情况下，Azure Red Hat OpenShift 包括群集上内部和外部服务所需的 TLS 安全证书。 对于外部路由，将在群集中提供并安装传输层安全性 (TLS) 通配符证书。 TLS 证书还可用于 OpenShift API 终结点。 颁发这些证书的证书颁发机构 (CA) 为 DigiCert。

自定义域

在部署期间，Azure Red Hat OpenShift 允许为群集指定自定义域。 自定义域可用于群集服务和应用程序。 必须在 DNS 服务器中为指定域创建两份 DNS A 记录：

• api，指向 api 服务器 IP 地址
• *.apps，指向入口 IP 地址

默认情况下，Azure Red Hat OpenShift 对自定义域上创建的所有路由使用自签名证书。 如果选择使用自定义域，请连接到该群集。 接下来，遵循 OpenShift 文档为入口控制器配置自定义证书颁发机构 CA，并为 API 服务器配置自定义 CA。

适用于内部版本的自定义 CA

从映像注册表提取映像时，Azure Red Hat OpenShift 支持使用内部版本生成可信 CA。

负载均衡器

Azure Red Hat OpenShift 可以部署两个 Azure 负载均衡器。 第一个用于将入口流量传输到应用程序，以及用于 OpenShift 和 Kubernetes API。 第二个用于群集组件之间的内部通信。

群集入口

项目管理员可出于多种不同用途添加路由注释，包括通过 IP 允许列表控制入口。

可以通过 NetworkPolicy 对象（使用 ovs-es-NetworkPolicy 插件）更改入口策略。 通过使用 NetworkPolicy 对象，可以完全控制向下进入 pod 级别的入口网络策略，包括同一群集上（甚至同一命名空间中）的 pod。

所有群集入口流量都会遍历定义的负载均衡器。

群集出口

通过 EgressNetworkPolicy 对象控制 Pod 出口流量，可以阻止或限制 Azure Red Hat OpenShift 中的出站流量。 当前所有虚拟机都必须具有出站 Internet 访问权限。

云网络配置

借助 Azure Red Hat OpenShift，就可以通过多个经云提供商管理的技术来配置专用网络连接：

• VNet 连接
• Azure VNet 对等互连
• Azure VNet 网关
• Azure Express Route

Red Hat SRE 不会监视这些专用网络连接。 监视这些连接是客户的职责。

客户指定的 DNS

Azure Red Hat OpenShift 客户可以指定其自己的 DNS 服务器。 有关详细信息，请参阅为 Azure Red Hat OpenShift 群集配置自定义 DNS。

容器网络接口

Azure Red Hat OpenShift 附带 OVN（开放虚拟网络）作为容器网络接口 (CNI)。 不支持替换 CNI。 有关详细信息，请参阅 Azure Red Hat OpenShift 群集的 OVN-Kubernetes 网络提供程序。

存储

以下部分提供有关 Azure Red Hat OpenShift 存储的信息。

静态加密

在将数据保存到云时，Azure 存储会使用服务器端加密 (SSE) 自动对数据进行加密。 默认情况下，使用 Microsoft 平台管理的密钥对数据加密。

块存储 (RWO)

持久卷 (Read-Write-Once (RWO)) 由 Azure-Disk 块存储提供支持。 动态创建 1024 GiB 磁盘，并将其附加到每个 Azure Red Hat OpenShift 控制器平面节点。 这些磁盘为高级 SSD LRS Azure 托管磁盘。 可以在创建群集的过程中配置默认工作器节点计算机集的磁盘大小。

客户具有创建更多计算机集的权限，以便更好地满足其需求。

持久卷 (PV)（一次只能附加到一个节点）专用于预配这些卷的可用性区域。 它们可以附加到可用性区域中的任何节点。

Azure 限制可以附加到单个节点的类型块存储的 PV 数。 Azure 限制取决于客户为工作器节点选择的虚拟机的类型和大小。 例如，若要查看 Dasv4 系列的最大数据磁盘，请参阅 Dasv4。

共享存储 (RWX)

Azure Red Hat OpenShift 群集的共享存储必须由客户配置。 有关如何为 Azure 文件配置存储类的示例，请参阅在 Azure Red Hat OpenShift 4 上创建 Azure 文件存储类

平台

以下部分提供有关 Azure Red Hat OpenShift 平台的信息。

群集备份策略

重要

针对应用程序和应用程序数据制定相关备份计划，这一点非常重要。

应用程序和应用程序数据备份并不是 Azure Red Hat OpenShift 服务的自动化部分。 有关如何执行手动应用程序备份的教程，请参阅创建 Azure Red Hat OpenShift 4 群集应用程序备份。

DaemonSet

客户可在 Azure Red Hat OpenShift 上创建并运行 Daemonset。 若要将 Daemonset 限制为仅在工作器节点上运行，请使用以下 nodeSelector：

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

Azure Red Hat OpenShift 版本

Azure Red Hat OpenShift 作为服务运行。 它允许客户随时了解目前最稳定的 OpenShift 容器平台版本。 有关支持和升级策略，请参阅 Azure Red Hat OpenShift 4 的支持生命周期。

支持生命周期

有关 Azure Red Hat OpenShift 支持生命周期的信息，请参阅 Azure Red Hat OpenShift 4 的支持生命周期。

容器引擎

Azure Red Hat OpenShift 在 OpenShift 4 上运行，并将 Kubernetes 容器运行时接口的 CRI-O 实现用作唯一可用的容器引擎。

操作系统

Azure Red Hat OpenShift 在 OpenShift 4 上运行时，使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为所有控制平面和工作器节点的操作系统。 Azure OpenShift 上不支持 Windows 工作负载，因为该平台当前不支持 Windows 工作器节点。

Kubernetes 运算符支持

Azure Red Hat OpenShift 支持由 Red Hat 和经认证独立软件供应商 (ISV) 创建的操作员。 Red Hat 支持使用 Red Hat 提供的运算符。 ISV 支持 ISV 操作员。

要使用 OperatorHub，必须使用 Red Hat 拉取机密来配置群集。 有关使用 OperatorHub 的详细信息，请参阅了解 OperatorHub

安全性

以下部分提供有关 Azure OpenShift 安全性的信息。

验证提供程序

Azure Red Hat OpenShift 群集未配置任何身份验证提供程序。

客户需要配置自己的提供程序，例如 Microsoft Entra ID。 有关配置提供程序的信息，请参阅以下文章：

• Microsoft Entra 身份验证
• OpenShift 标识提供者

法规符合性

有关 Azure Red Hat OpenShift 的法规符合性认证的详细信息，请参阅 Microsoft Azure 符合性产品/服务。

后续步骤

有关详细信息，请参阅支持策略文档。