红帽全球峰会规划您的环境
第 1 章 限制和可扩展性
本文档详细介绍了为 OpenShift Dedicated 集群测试的集群最大值,以及用于测试最大测试环境和配置的信息。另外还提供了有关 control plane 和基础架构节点大小和扩展的信息。
1.1. 集群最大限制
在规划 OpenShift Dedicated 集群安装时,请考虑以下测试的对象最大值。表指定 OpenShift Dedicated 集群中每个测试类型的最大限值。
这些指南基于多个可用区配置中的 249 个计算(也称为 worker)节点的集群。对于较小的集群,最大值限制会较低。
| 最大类型 | 4.x 测试的最大值 |
|---|---|
| pod 数量 [1] | 25,000 |
| 每个节点的 pod 数量 | 250 |
| 每个内核的 pod 数量 | 没有默认值 |
| 命名空间数量 [2] | 5,000 |
| 每个命名空间的 pod 数量 [3] | 25,000 |
| 服务数 [4] | 10,000 |
| 每个命名空间的服务数 | 5,000 |
| 每个服务中的后端数 | 5,000 |
| 每个命名空间的部署数量 [3] | 2,000 |
- 这里的 pod 数量是 test pod 的数量。pod 的实际数量取决于应用程序的内存、CPU 和存储要求。
- 当有大量活跃的项目时,如果键空间增长过大并超过空间配额,etcd 的性能将会受到影响。强烈建议您定期维护 etcd 存储(包括整理碎片)来释放 etcd 存储。
- 系统中有一些控制循环必须迭代给定命名空间中的所有对象,作为对一些状态更改的响应。在单一命名空间中有大量给定类型的对象可使这些循环的运行成本变高,并降低对给定状态变化的处理速度。限制假设系统有足够的 CPU 、内存和磁盘来满足应用程序的要求。
-
每个服务端口和每个服务后端在
iptables中都有对应条目。给定服务的后端数量会影响端点对象的大小,这会影响到整个系统发送的数据大小。
1.2. OpenShift Container Platform 测试环境和配置
下表列出了为 AWS 云平台测试集群最大值的 OpenShift Container Platform 环境和配置。
| 节点 | 类型 | vCPU | RAM(GiB) | 磁盘类型 | 磁盘大小(GiB)/IOPS | 数量 | 区域 |
|---|---|---|---|---|---|---|---|
| control plane/etcd [1] | m5.4xlarge | 16 | 64 | gp3 | 350 / 1,000 | 3 | us-west-2 |
| 基础架构节点 [2] | r5.2xlarge | 8 | 64 | gp3 | 300 / 900 | 3 | us-west-2 |
| Workload [3] | m5.2xlarge | 8 | 32 | gp3 | 350 / 900 | 3 | us-west-2 |
| Compute 节点 | m5.2xlarge | 8 | 32 | gp3 | 350 / 900 | 102 | us-west-2 |
- io1 磁盘用于 4.10 之前版本中的 control plane/etcd 节点。
- 基础架构节点用于托管监控组件,因为 Prometheus 可以根据使用情况模式声明大量内存。
- 工作负载节点专用于运行性能和可扩展工作负载生成器。
更大的集群大小和更高的对象数量可能可以被访问。但是,基础架构节点的大小限制 Prometheus 可用的内存量。在创建、修改或删除对象时,Prometheus 会将指标存储在其内存中,时长大约 3 小时,然后再在磁盘上保留指标。如果创建、修改或删除对象的速率过高,Prometheus 可能会因为缺少内存资源而造成问题问题。
1.3. control plane 和基础架构节点大小和扩展
安装 OpenShift Dedicated 集群时,control plane 和基础架构节点的大小由计算节点计数自动决定。
如果您在安装后更改集群中的计算节点数量,Red Hat Site Reliability Engineering (SRE)团队会根据需要扩展 control plane 和基础架构节点,以保持集群稳定性。
1.3.1. 安装过程中的节点大小
在安装过程中,control plane 和基础架构节点的大小会被动态计算。大小计算基于集群中计算节点的数量。
下表列出了在安装过程中应用的 control plane 和基础架构节点大小。
AWS control plane 和基础架构节点大小:
| 计算节点数量 | control plane 大小 | 基础架构节点大小 |
|---|---|---|
| 1 到 25 | m5.2xlarge | r5.xlarge |
| 26 到 100 | m5.4xlarge | r5.2xlarge |
| 101 到 249 | m5.8xlarge | r5.4xlarge |
Google Cloud control plane 和基础架构节点大小:
| 计算节点数量 | control plane 大小 | 基础架构节点大小 |
|---|---|---|
| 1 到 25 | custom-8-32768 | custom-4-32768-ext |
| 26 到 100 | custom-16-65536 | custom-8-65536-ext |
| 101 到 249 | custom-32-131072 | custom-16-131072-ext |
Google Cloud control plane 和基础架构节点大小,适用于在 2024 年 6 月 21 日创建的集群:
| 计算节点数量 | control plane 大小 | 基础架构节点大小 |
|---|---|---|
| 1 到 25 | n2-standard-8 | n2-highmem-4 |
| 26 到 100 | n2-standard-16 | n2-highmem-8 |
| 101 到 249 | n2-standard-32 | n2-highmem-16 |
OpenShift Dedicated 集群版本 4.14.14 及之后的版本中的最大计算节点数量为 249。对于早期版本,限制是 180。
1.3.2. 安装后的节点扩展
如果您在安装后更改计算节点数量,则 control plane 和基础架构节点会根据需要由 Red Hat Site Reliability Engineering (SRE)团队扩展。节点已扩展以保持平台稳定性。
control plane 和基础架构节点安装后扩展要求会根据具体情况进行评估。考虑使用节点资源消耗和接收的警报。
control plane 节点重新定义警报大小的规则
在以下情况下,会为集群中的 control plane 节点触发重新定义大小警报:
control plane 节点会保持集群中平均 66% 的利用率。
注意OpenShift Dedicated 上的最大计算节点数量为 180。
基础架构节点大小警报的规则
当具有高 CPU 或内存使用率时,会为集群中的基础架构节点触发重新定义警报的大小。这个高影响的利用率状态为:
- 在一个带有两个基础架构节点、一个单一可用区的集群中,基础架构节点平均可以支持超过 50% 的利用率。
基础架构节点在具有 3 个基础架构节点的多个可用区的集群中平均保持 66% 的利用率。
注意OpenShift Dedicated 集群版本 4.14.14 及之后的版本中的最大计算节点数量是 249。对于早期版本,限制是 180。
调整大小的警报仅在达到高利用率时显示。短期使用量激增(如节点暂时关闭导致其他节点扩展)不会触发这些警报。
SRE 团队可能会因为其他原因扩展 control plane 和基础架构节点,例如管理节点上资源消耗的增加。
1.3.3. 大集群的大小注意事项
对于大集群,基础架构节点大小可能会严重影响可扩展性。很多因素会影响指定的阈值,包括 etcd 版本或者存储数据格式。
超过这些限制并不一定意味着集群将失败。在大多数情况下,超过这些限制会降低整体性能。
第 2 章 Google Cloud 上的客户云订阅
OpenShift Dedicated 提供了一个客户云订阅(CCS)模型,它允许红帽在客户的现有 Google Cloud 帐户中部署和管理集群。
2.1. 了解 Google Cloud 上的客户云订阅
Red Hat OpenShift Dedicated 提供了一个客户云订阅(CCS)模型,它允许红帽在客户的现有 Google Cloud 帐户中部署和管理 OpenShift Dedicated。为了提供此服务,红帽需要满足几个先决条件。
红帽建议使用由客户管理的 Google Cloud 项目来组织所有 Google Cloud 资源。项目由一组用户和 API 组成,以及这些 API 的计费、身份验证和监控设置。
建议 OpenShift Dedicated 集群使用 CCS 模型托管在 Google Cloud 机构中 Google Cloud 项目中。组织资源是 Google Cloud 资源层次结构的根节点,属于机构的所有资源都在机构节点下。客户可以选择在创建 Google Cloud 项目中访问 Google Cloud 项目所需的角色和凭证时使用服务帐户密钥或 Workload Identity Federation。
有关在 Google Cloud 中创建和管理机构资源的更多信息,请参阅创建和管理机构资源。
2.2. 客户要求
在 Google Cloud 上使用客户云订阅(CCS)模型的 OpenShift Dedicated 集群必须满足几个先决条件,然后才能进行部署。
2.2.1. 帐户
- 客户 可确保适用于 Compute Engine 的 Google Cloud 限制和 分配配额 足以支持在客户提供的 Google Cloud 帐户内置备的 OpenShift Dedicated。
- 客户提供的 Google Cloud 帐户应该位于客户的 Google Cloud 机构中。
- 客户提供的 Google Cloud 帐户不能转移到红帽。
- 客户可能不会对红帽活动施加 Google Cloud 使用限制。严重阻碍了红帽响应事件的能力。
- 红帽将监控部署到 Google Cloud 中,以便在高特权帐户(如 root 帐户)中警告红帽,登录到客户提供的 Google Cloud 帐户。
客户可以在相同的客户提供的 Google Cloud 帐户内部署原生 Google Cloud 服务。
注意我们鼓励客户在 Virtual Private Cloud (VPC)中部署与托管 OpenShift Dedicated 和其他红帽支持服务的 VPC 中部署资源。
2.2.2. 访问要求
要正确管理 OpenShift Dedicated 服务,红帽始终必须将
AdministratorAccess策略应用到管理员角色。注意这个策略只为红帽提供更改客户提供的 Google Cloud 帐户资源的权限和功能。
- 红帽必须具有对客户提供的 Google Cloud 帐户的 Google Cloud 控制台访问权限。此访问由红帽保护和管理。
- 客户不得使用 Google Cloud 帐户在 OpenShift Dedicated 集群中提升其权限。
- OpenShift Cluster Manager 中可用的操作不能直接在客户提供的 Google Cloud 帐户中执行。
2.2.3. 支持要求
- 红帽建议客户从 Google Cloud 中至少获得 增强的支持。
- 红帽有权代表客户请求 Google Cloud 支持。
- 红帽有权请求 Google Cloud 资源限制增加客户提供的帐户。
- 除非本要求部分中另有指定,否则红帽会以同样的方式管理所有 OpenShift Dedicated 集群的限制、限制、预期和默认值。
2.2.4. 安全要求
- 客户提供的 IAM 凭证对于客户提供的 Google Cloud 帐户必须是唯一的,且不得存储在客户提供的 Google Cloud 帐户中的任何位置。
- 卷快照将保留在客户提供的 Google Cloud 帐户和客户指定的区域。
要管理、监控和排除 OpenShift Dedicated 集群,红帽必须直接访问集群的 API 服务器。您不能限制或阻止红帽对 OpenShift Dedicated 集群的 API 服务器的访问。
注意SRE 使用各种方法来访问集群,具体取决于网络配置。对私有集群的访问仅限于红帽可信 IP 地址。这些访问限制由红帽自动管理。
- OpenShift Dedicated 需要通过互联网访问某些端点。只有使用私有 Service Connect 部署的集群才能使用防火墙来控制出口流量。如需更多信息,请参阅 Google Cloud 防火墙先决条件 部分。
2.3. 所需的客户流程
客户云订阅(CCS)模型使红帽能够部署和管理 OpenShift Dedicated 到客户的 Google Cloud 项目中。在提供这些服务前,红帽需要完成几个先决条件。
本主题中的以下要求适用于使用 Workload Identity Federation (WIF)和服务帐户身份验证类型创建的 Google Cloud 集群上的 OpenShift Dedicated。红帽建议使用 WIF 作为身份验证类型,以安装并与 Google Cloud 上部署的 OpenShift Dedicated 集群交互,因为 WIF 提供了增强的安全性。
有关使用 WIF 身份验证类型创建集群的详情,请参考 附加资源。
有关只应用到 WIF 身份验证类型的额外要求,请参阅 Workload Identity Federation 身份验证类型。有关只应用到服务帐户验证类型的额外要求,请参阅 服务帐户验证类型流程。
先决条件
在 Google Cloud 项目中使用 OpenShift Dedicated 之前,请确认在适用情况下正确配置了以下机构策略限制:
constraints/iam.allowedPolicyMemberDomains-
只有在红帽的目录客户 ID 的
C02k0l5e8和C04j7mbwl包含在 allowlist 中时,才支持此策略约束。
-
只有在红帽的目录客户 ID 的
constraints/compute.restrictLoadBalancerCreationForTypes只有在使用 Google Cloud Private Service Connect (PSC)创建私有集群时,才支持此策略约束。您必须确保
INTERNAL_TCP_UDP负载均衡器类型包含在 allowlist 中,或从 deny 列表中排除。重要虽然在使用 Google Cloud Private Service Connect (PSC)创建私有集群时不需要
EXTERNAL_NETWORK_TCP_UDP负载均衡器类型,但不允许通过这个约束来创建外部可访问的负载均衡器。
constraints/compute.requireShieldedVm- 只有在创建带有在初始集群创建过程中选择的 Shielded 虚拟机的 Enable Secure Boot 支持 时,才支持此策略约束。
constraints/compute.vmExternalIpAccess- 只有在使用 Google Cloud Private Service Connect (PSC)创建私有集群时,才支持此策略约束。对于所有其他集群类型,只有集群创建后才支持此策略约束。
constraints/compute.trustedImageProjects-
只有在项目
redhat-marketplace-public、rhel-cloud和rhcos-cloud项目包含在 allowlist 中时,才支持此策略约束。如果启用了此策略约束,且这些项目没有包括在允许列表中,集群创建将失败。
-
只有在项目
有关配置 Google Cloud 机构策略限制的更多信息,请参阅 机构策略限制。
流程
- 创建 Google Cloud 项目来托管 OpenShift Dedicated 集群。
在托管 OpenShift Dedicated 集群的项目中启用以下所需的 API:
Expand 表 2.1. 所需的 API 服务 API 服务 控制台服务名称 用途 deploymentmanager.googleapis.com用于自动部署和管理基础架构资源。
compute.googleapis.com用于创建和管理虚拟机、防火墙、网络、持久磁盘卷和负载平衡器。
cloudapis.googleapis.com用于管理 Google Cloud 服务和资源。
cloudresourcemanager.googleapis.com用于获取项目、获取或为项目设置 IAM 策略,验证所需的权限和标记。
dns.googleapis.com用于创建 DNS 区域并管理集群域的 DNS 记录。
networksecurity.googleapis.com用于为 Google Cloud 中的应用程序和资源创建、管理和强制实施网络安全策略。
iamcredentials.googleapis.com用于创建用于模拟 IAM 服务帐户的简短凭证。
iam.googleapis.com用于管理集群的 IAM 配置。
servicemanagement.googleapis.com间接用于获取 Google Cloud 资源的配额信息。
serviceusage.googleapis.com用于确定客户的 Google Cloud 帐户中可用哪些服务。
storage-api.googleapis.com用于访问镜像 registry、I ignition 和集群备份的云存储(如果适用)。
storage-component.googleapis.com用于管理镜像 registry、I ignition 和集群备份的云存储(如果适用)。
orgpolicy.googleapis.com用于识别应用到客户的 Google Cloud 的监管规则,它们可能会影响集群创建或管理。
iap.googleapis.com在紧急情况下对集群节点进行故障排除(使用其他方式无法访问)。
使用私有 Service Connect 部署的集群需要此 API。
2.3.1. 工作负载身份联邦身份验证类型过程
除了所需客户流程中列出的 所需客户 外,在使用 Workload Identity Federation (WIF)作为身份验证类型在 Google Cloud 上创建 OpenShift Dedicated 集群时,您必须采取其他特定操作。
流程
为实现 WIF 身份验证类型的用户 的服务帐户 分配以下角色:
重要只有在创建、更新或删除 WIF 配置时,才需要以下角色:
Expand 表 2.2. 所需角色 角色和描述 控制台角色名称 权限 角色管理员
Google Cloud 客户端在 OCM CLI 中需要用于创建自定义角色。
roles/iam.roleAdmin- iam.roles.create
- iam.roles.delete
- iam.roles.get
- iam.roles.list
- iam.roles.undelete
- iam.roles.update
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
Service Account Admin
预创建由部署器、支持和 Operator 使用的服务帐户是必需的。
roles/iam.serviceAccountAdmin- iam.serviceAccountApiKeyBindings.create
- iam.serviceAccountApiKeyBindings.delete
- iam.serviceAccountApiKeyBindings.undelete
- iam.serviceAccounts.create
- iam.serviceAccounts.createTagBinding
- iam.serviceAccounts.delete
- iam.serviceAccounts.deleteTagBinding
- iam.serviceAccounts.disable
- iam.serviceAccounts.enable
- iam.serviceAccounts.get
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- iam.serviceAccounts.listEffectiveTags
- iam.serviceAccounts.listTagBindings
- iam.serviceAccounts.setIamPolicy
- iam.serviceAccounts.undelete
- iam.serviceAccounts.update
- resourcemanager.projects.get
- resourcemanager.projects.list
工作负载身份池管理员
创建和配置工作负载身份池是必需的。
roles/iam.workloadIdentityPoolAdmin- iam.googleapis.com/workloadIdentityPoolProviderKeys.create
- iam.googleapis.com/workloadIdentityPoolProviderKeys.delete
- iam.googleapis.com/workloadIdentityPoolProviderKeys.get
- iam.googleapis.com/workloadIdentityPoolProviderKeys.list
- iam.googleapis.com/workloadIdentityPoolProviderKeys.undelete
- iam.googleapis.com/workloadIdentityPoolProviders.create
- iam.googleapis.com/workloadIdentityPoolProviders.delete
- iam.googleapis.com/workloadIdentityPoolProviders.get
- iam.googleapis.com/workloadIdentityPoolProviders.list
- iam.googleapis.com/workloadIdentityPoolProviders.undelete
- iam.googleapis.com/workloadIdentityPoolProviders.update
- iam.googleapis.com/workloadIdentityPools.create
- iam.googleapis.com/workloadIdentityPools.delete
- iam.googleapis.com/workloadIdentityPools.get
- iam.googleapis.com/workloadIdentityPools.list
- iam.googleapis.com/workloadIdentityPools.undelete
- iam.googleapis.com/workloadIdentityPools.update
- iam.workloadIdentityPools.createPolicyBinding
- iam.workloadIdentityPools.deletePolicyBinding
- iam.workloadIdentityPools.searchPolicyBindings
- iam.workloadIdentityPools.updatePolicyBinding
- resourcemanager.projects.get
- resourcemanager.projects.list
项目 IAM Admin
为服务帐户分配角色并授予那些对云资源执行操作所需的角色的权限。
roles/resourcemanager.projectIamAdmin- iam.policybindings.get
- iam.policybindings.list
- resourcemanager.projects.createPolicyBinding
- resourcemanager.projects.deletePolicyBinding
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.searchPolicyBindings
- resourcemanager.projects.setIamPolicy
- resourcemanager.projects.updatePolicyBinding
安装 OpenShift Cluster Manager API 命令行界面(
ocm)。重要OpenShift Cluster Manager API 命令行界面(
ocm)只是一个技术预览功能。有关红帽开发人员预览功能的支持范围的更多信息,请参阅 开发人员预览支持范围。要针对 Red Hat OpenShift Cluster Manager 帐户进行身份验证,请运行以下命令之一。
如果您的系统支持基于 Web 的浏览器,请运行 Red Hat Single sign-on (SSO)授权代码命令来保护身份验证:
语法
ocm login --use-auth-code
$ ocm login --use-auth-codeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行此命令会将您重定向到 Red Hat SSO 登录。使用您的 Red Hat 登录或电子邮件登录。
如果您在没有 Web 浏览器的情况下使用容器、远程主机和其他环境,请运行 Red Hat Single sign-on (SSO) device code 命令进行安全身份验证:
语法
ocm login --use-device-code
$ ocm login --use-device-codeCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行此命令会将您重定向到红帽 SSO 登录,并提供登录代码。
要切换帐户,请从 https://sso.redhat.com 注销,并在尝试再次登录前在终端中运行
ocm logout命令。
- 安装 gcloud CLI。
- 使用应用程序 默认凭证(ADC) 验证 gcloud CLI。
2.3.2. 服务帐户验证类型流程
除了在所需客户流程中列出的 所需客户 外,使用服务帐户作为身份验证类型在 Google Cloud 上创建 OpenShift Dedicated 集群时,您必须采取其他特定的操作。
流程
为确保红帽可以执行必要的操作,您必须在 Google Cloud 项目中创建
osd-ccs-adminIAM 服务帐户 用户。以下角色必须授予服务帐户 :
Expand 表 2.3. 所需角色 角色 控制台角色名称 Compute Admin
roles/compute.adminDNS Administrator
roles/dns.admin机构策略查看器
roles/orgpolicy.policyViewer服务管理管理员
roles/servicemanagement.adminService Usage Admin
roles/serviceusage.serviceUsageAdminStorage Admin
roles/storage.adminCompute Load Balancer Admin
roles/compute.loadBalancerAdmin角色查看器
roles/viewerRole Administrator
roles/iam.roleAdminSecurity Admin
roles/iam.securityAdminService Account Key Admin
roles/iam.serviceAccountKeyAdminService Account Admin
roles/iam.serviceAccountAdminService Account User
roles/iam.serviceAccountUser-
为
osd-ccs-adminIAM 服务帐户创建服务帐户密钥。将密钥导出到名为osServiceAccount.json的文件;创建集群时,此 JSON 文件将在 Red Hat OpenShift Cluster Manager 中上传。
2.4. Red Hat 管理的 Google Cloud 资源
红帽负责创建和管理以下 IAM Google Cloud 资源。
IAM 服务帐户和角色 和 IAM 组 以及角色主题仅适用于使用服务帐户身份验证类型创建的集群。
2.4.1. IAM 服务帐户和角色
在控制客户提供的 Google Cloud 帐户后,将立即创建 osd-managed-admin IAM 服务帐户。这是将执行 OpenShift Dedicated 集群安装的用户。
以下角色附加到服务帐户:
| 角色 | 控制台角色名称 | 描述 |
|---|---|---|
| Compute Admin |
| 提供对所有 Compute Engine 资源的完整控制。 |
| DNS Administrator |
| 提供对所有云 DNS 资源的读写访问。 |
| Security Admin |
| 安全管理员角色,具有获取和设置任何 IAM 策略的权限。 |
| Storage Admin |
| 赋予对象和存储桶的完全控制。 当应用到单个存储桶时,控制仅适用于存储桶中指定的存储桶和对象。 |
| Service Account Admin |
| 创建和管理服务帐户。 |
| Service Account Key Admin |
| 创建和管理(及轮转)服务帐户密钥。 |
| Service Account User |
| 以服务帐户身份运行操作。 |
| Role Administrator |
| 提供对项目中的所有自定义角色的访问权限。 |
2.4.2. IAM 组和角色
sd-sre-platform-gcp-access Google 组被授予对 Google Cloud 项目的访问权限,以允许 Red Hat Site Reliability Engineering (SRE)访问控制台以进行紧急故障排除。
-
有关使用 Workload Identity Federation (WIF)验证类型时创建的集群,请参阅
sd-sre-platform-gcp-access组中的角色的信息,请参阅 managed-cluster-config。 - 有关使用 Workload Identity Federation 身份验证类型创建集群的详情,请参考 附加资源。
以下角色附加到组中:
| 角色 | 控制台角色名称 | 描述 |
|---|---|---|
| Compute Admin |
| 提供对所有 Compute Engine 资源的完整控制。 |
| Editor |
| 提供所有查看权限,以及修改状态的操作的权限。 |
| 机构策略查看器 |
| 提供查看资源的机构策略的访问权限。 |
| 项目 IAM Admin |
| 提供管理项目的 IAM 策略的权限。 |
| 配额管理员 |
| 提供管理服务配额的访问权限。 |
| Role Administrator |
| 提供对项目中的所有自定义角色的访问权限。 |
| Service Account Admin |
| 创建和管理服务帐户。 |
| Service Usage Admin |
| 能够为消费者项目启用、禁用和检查服务状态、检查操作以及消耗配额和计费。 |
| 技术支持编辑器 |
| 提供对技术支持问题单的完整读写访问。 |
2.5. 置备的 Google Cloud Infrastructure
这是在部署的 OpenShift Dedicated 集群中置备的 Google Cloud 组件概述。有关所有置备的 Google Cloud 组件的详细列表,请参阅 OpenShift Container Platform 文档。
2.5.1. 计算实例
Google Cloud 计算实例需要在 Google Cloud 中部署 OpenShift Dedicated 的 control plane 和数据平面功能。根据 worker 节点数,实例类型可能会因 control plane 和基础架构节点而异。
单个可用区
- 2 infra nodes (n2-highmem-4 机器类型:4 vCPU 和 32 GB RAM)
- 3 control plane 节点(n2-standard-8 机器类型:8 vCPU 和 32 GB RAM)
- 2 个 worker 节点(默认 n2-standard-4 机器类型:4 个 vCPU 和 16 GB RAM)
多个可用区
- 3 infra 节点(n2-highmem-4 机器类型:4 个 vCPU 和 32 GB RAM)
- 3 control plane 节点(n2-standard-8 机器类型:8 vCPU 和 32 GB RAM)
- 3 个 worker 节点(默认为 n2-standard-4 机器类型:4 vCPU 和 16 GB RAM)
2.5.2. 存储
基础架构卷:
- 300 GB SSD 持久磁盘(在实例删除时删除)
- 110 GB 标准持久磁盘(实例删除偏移)
Worker 卷:
- 300 GB SSD 持久磁盘(在实例删除时删除)
control plane 卷:
- 350 GB SSD 持久磁盘(在实例删除时删除)
2.5.3. VPC
不支持将新的 OpenShift Dedicated 集群安装到 VPC 中,它由安装程序为不同的集群自动创建。
- 子网: 一个用于 control plane 工作负载的 master 子网,以及所有其他 worker 子网。当使用 PSC 部署私有集群时,Google Private Service Connect (PSC)需要一个额外的子网。
- 路由器表:每个 VPC 一个全局路由表。
- 互联网网关:每个集群一个互联网网关。
- NAT 网关:每个集群一个 master NAT 网关和一个 worker NAT 网关。
2.5.4. 服务
有关在 Google Cloud CCS 集群上必须启用的服务列表,请参阅 所需的 API 服务 表。
2.6. Google Cloud 帐户限值
OpenShift Dedicated 集群使用很多 Google Cloud 组件,但 默认配额 不会影响您安装 OpenShift Dedicated 集群的能力。
标准 OpenShift Dedicated 集群使用以下资源。请注意,有些资源只在 bootstrap 过程中需要,并在集群部署后删除。
使用私有服务连接(PSC)部署私有集群需要 3 个子网。这些子网是 control plane 子网、worker 子网以及用于 PSC 服务附加的子网,目的设置为 Private Service Connect。
默认 multi-AZ OpenShift Dedicated 集群的 48 个 vCPU 包括 3 个计算节点(每个计算节点 4 个 vCPU,每个可用区一个)、3 infra 节点(4 vCPU)和 3 个 control plane 节点(8 个 vCPU)。
默认单一 OpenShift Dedicated 集群的 40 个 vCPU 包括 2 个计算节点(每个计算节点 4 个 vCPU)、2 个 infra 节点(每个 vCPU)和 3 个 control plane 节点(8 vCPU)。
| service | 组件 | 位置 | 所需的资源总数 | bootstrap 后删除的资源 |
|---|---|---|---|---|
| 服务帐户 | IAM | 全局 | 10 | 0 |
| 防火墙规则 | Compute | 全局 | 11 | 1 |
| 转发规则 | Compute | 全局 | 2 | 0 |
| 使用的全局 IP 地址 | Compute | 全局 | 4 | 1 |
| 健康检查 | Compute | 全局 | 3 | 0 |
| 镜像 | Compute | 全局 | 1 | 0 |
| 网络 | Compute | 全局 | 2 | 0 |
| 静态 IP 地址 | Compute | 区域 | 4 | 1 |
| 路由器 | Compute | 全局 | 1 | 0 |
| Routes | Compute | 全局 | 2 | 0 |
| 子网 | Compute | 全局 | 3 | 0 |
| 目标池 | Compute | 全局 | 3 | 0 |
| CPU | Compute | 区域 | 48 | 4 |
| 持久性磁盘 SSD (GB) | Compute | 区域 | 1060 | 128 |
如果在安装过程中任何配额不足,安装程序会显示一个错误信息,包括超过哪个配额,以及显示区域。
请考虑您的集群的实际大小、预定的集群增长以及来自与您的帐户关联的其它集群的使用情况。CPU 、静态 IP 地址和持久性磁盘 SSD (Storage) 配额是最可能不足的。
如果您计划在以下区域之一部署集群,您将超过最大存储配额,并可能会超过 CPU 配额限制:
- asia-east2
- asia-northeast2
- asia-south1
- domain-southeast1
- europe-north1
- europe-west2
- europe-west3
- europe-west6
- northamerica-northeast1
- southamerica-east1
- us-west2
您可以从 Google Cloud 控制台 增加资源配额,但可能需要提交一个支持问题单。务必提前规划集群大小,以便在安装 OpenShift Dedicated 集群前有足够的时间解决支持问题单。
2.7. Google Cloud 防火墙先决条件
如果您使用防火墙来控制 Google Cloud 上 OpenShift Dedicated 的出口流量,您必须配置防火墙,以授予对下表中列出的某些域和端口组合的访问权限。OpenShift Dedicated 需要此访问权限来提供完全托管的 OpenShift 服务。
只有使用 Private Service Connect 部署的 Google Cloud 集群上的 OpenShift Dedicated 可以使用防火墙来控制出口流量。
流程
将以下 URL 添加到 allowlist 中,用于安装和下载软件包和工具:
Expand 域 端口 功能 registry.redhat.io443
提供核心容器镜像。
quay.io443
提供核心容器镜像。
cdn01.quay.iocdn02.quay.iocdn03.quay.iocdn04.quay.iocdn05.quay.iocdn06.quay.io443
提供核心容器镜像。
sso.redhat.com443
必需。https://console.redhat.com/openshift 站点使用 sso.redhat.com 中的身份验证下载 pull secret,并使用 Red Hat SaaS 解决方案来帮助监控您的订阅、集群清单、计费报告等。
quayio-production-s3.s3.amazonaws.com443
提供核心容器镜像。
pull.q1w2.quay.rhcloud.com443
提供核心容器镜像。
registry.access.redhat.com443
托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外,registry 提供了对
odoCLI 工具的访问,可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。registry.connect.redhat.com443
所有第三方镜像和认证 Operator 都需要。
console.redhat.com443
必需。允许集群和 Red Hat OpenShift Cluster Manager 之间的交互启用功能,如调度升级。
sso.redhat.com443
https://console.redhat.com/openshift站点使用来自sso.redhat.com的身份验证catalog.redhat.com443
registry.access.redhat.com和https://registry.redhat.io站点通过catalog.redhat.com重定向。将以下遥测 URL 添加到允许列表中:
Expand 域 端口 功能 cert-api.access.redhat.com443
遥测是必需的。
api.access.redhat.com443
遥测是必需的。
infogw.api.openshift.com443
遥测是必需的。
console.redhat.com443
遥测和 {red-hat-lightspeed} 是必需的。
observatorium-mst.api.openshift.com443
受管 OpenShift 遥测的需要。
observatorium.api.openshift.com443
受管 OpenShift 遥测的需要。
注意受管集群需要启用遥测功能,以便红帽可以更快地对问题做出反应,更好地支持客户,并更好地了解产品升级对集群的影响。有关红帽如何使用远程健康监控数据的更多信息,请参阅附加资源部分中的关于远程健康监控的信息。
将以下 OpenShift Dedicated URL 添加到 allowlist 中:
Expand 域 端口 功能 mirror.openshift.com443
用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源。
api.openshift.com443
用于检查集群是否有可用的更新。
在允许列表中添加以下站点可靠性工程(SRE)和管理 URL:
Expand 域 端口 功能 api.pagerduty.com443
此警报服务供 in-cluster alertmanager 发送警报通知 Red Hat SRE 的事件来执行操作。
events.pagerduty.com443
此警报服务供 in-cluster alertmanager 发送警报通知 Red Hat SRE 的事件来执行操作。
api.deadmanssnitch.com443
OpenShift Dedicated 用来发送定期 ping 的警报服务,以指示集群是否可用并在运行。
nosnch.in443
OpenShift Dedicated 用来发送定期 ping 的警报服务,以指示集群是否可用并在运行。
http-inputs-osdsecuritylogs.splunkcloud.com443
splunk-forwarder-operator使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。sftp.access.redhat.com(推荐)22
must-gather-operator使用的 SFTP 服务器上传诊断日志,以帮助排除集群中的问题。在允许列表中添加以下 Google Cloud API 端点的 URL:
Expand 域 端口 功能 accounts.google.com443
用于访问 Google Cloud 帐户。
*.googleapis.com或者
storage.googleapis.comiam.googleapis.comserviceusage.googleapis.comcloudresourcemanager.googleapis.comcompute.googleapis.comoauth2.googleapis.comdns.googleapis.comiamcredentials.googleapis.com443
用于访问 Google Cloud 服务和资源。请参阅 Google Cloud 文档中的 Cloud Endpoints,以确定您的 API 所允许的端点。
注意必需的 Google API 可使用 私有 Google Access restricted 虚拟 IP (VIP) 公开,但 Service Usage API (serviceusage.googleapis.com)除外。要绕过这一点,您必须使用 Private Google Access 私有 VIP 公开 Service Usage API。
2.8. 其他资源
- 关于远程健康监控
- 有关使用 Workload Identity Federation (WIF)身份验证类型创建 OpenShift Dedicated 集群的更多信息,请参阅使用 Workload Identity Federation 身份验证在 Google Cloud 上创建集群。
- 有关使用 Workload Identity Federation (WIF)身份验证类型时创建的特定角色和权限的更多信息,请参阅 managed-cluster-config。
第 3 章 AWS 上的客户云订阅
OpenShift Dedicated 提供了一个客户云订阅 (CCS) 模型,允许红帽将集群部署和管理到客户的现有 Amazon Web Service (AWS) 帐户中。
3.1. 了解 AWS 上的客户云订阅
要使用客户云订阅 (CCS) 模型将 OpenShift Dedicated 部署到现有 Amazon Web Services (AWS) 帐户中,红帽需要满足几个先决条件。
红帽建议使用 AWS 机构来管理多个 AWS 帐户。由客户管理的 AWS 机构托管多个 AWS 帐户。机构中有一个 root 帐户,所有帐户都将在帐户层次结构中引用。
建议在 AWS 机构单元的 AWS 帐户中使用 CCS 模型托管 OpenShift Dedicated 集群。创建服务控制策略 (SCP) 并应用到 AWS 机构单元,后者管理 AWS 子帐户可访问的服务。SCP 仅适用于单个 AWS 帐户内对机构单元中的所有 AWS 子帐户的可用权限。也可以将 SCP 应用到单个 AWS 帐户。客户 AWS 组织中的所有其他帐户以客户要求的任何方式进行管理。红帽站点可靠性工程师 (SRE) 对 AWS 机构中的 SCP 没有任何控制。
3.2. 客户要求
在 Amazon Web Services (AWS) 上使用客户云订阅 (CCS) 模型的 OpenShift Dedicated 集群必须满足几个先决条件,然后才能进行部署。
3.2.1. 帐户
- 客户可确保 AWS 限制 足以支持在客户提供的 AWS 帐户中置备的 OpenShift Dedicated。
客户提供的 AWS 帐户应该位于客户的 AWS 机构中,并应用了适用服务控制策略 (SCP)。
注意不要求客户的帐户位于 AWS 机构内或要应用的 SCP,但红帽必须能够在不限制任何限制的情况下执行 SCP 中列出的所有操作。
- 客户提供的 AWS 帐户不能转移到红帽。
- 客户可能没有对红帽的活动实施 AWS 使用限制。实施限制会严重破坏红帽响应事件的能力。
- 红帽会在 AWS 中部署监控,以便在有高特权的帐户(如 root 帐户)登录到客户提供的 AWS 帐户时提醒红帽。
客户可以在同一客户提供的 AWS 帐户内部署原生 AWS 服务。
注意我们鼓励客户在虚拟私有云 (VPC) 中部署资源,并与托管 OpenShift Dedicated 和其他红帽支持服务的 VPC 部署资源。
3.2.2. 访问要求
要在 AWS 服务上正确管理 OpenShift Dedicated 服务,红帽始终必须将
AdministratorAccess策略应用到管理员角色。注意此政策只为红帽提供了更改客户提供的 AWS 帐户资源的权限和功能。
- 红帽必须具有对客户提供的 AWS 帐户的 AWS 控制台访问权限。此访问权限由红帽保护和管理。
- 客户不得使用 AWS 帐户在 OpenShift Dedicated 集群中提升其权限。
- OpenShift Cluster Manager 中可用的操作不能直接在客户提供的 AWS 帐户中执行。
3.2.3. 支持要求
- 红帽建议客户至少有 AWS 的商业支持(Business Support)。
- 红帽由客户的授权,可以代表他们请求 AWS 支持。
- 红帽的客户授权可以请求对客户账户增加 AWS 资源限制。
- 除非本要求部分中另有指定,否则红帽以相同的方式管理所有 OpenShift Dedicated 集群上的限制、预期和默认值。
3.2.4. 安全要求
- 客户提供的 IAM 凭证对于客户提供的 AWS 帐户来说必须是唯一的,且不得存储在客户提供的 AWS 帐户中的任何位置。
- 卷快照将保留在客户提供的 AWS 帐户和客户指定的区域。
- 红帽必须通过白名单的红帽机器对 EC2 主机和 API 服务器进行入口访问。
- 红帽需要有一个出口,可以将系统和审计日志转发到红帽管理的中央日志记录环境中。
3.3. 所需的客户流程
客户云订阅 (CCS) 模型允许红帽在客户的 Amazon Web Services (AWS) 帐户中部署和管理 OpenShift Dedicated。为了提供这些服务,红帽需要满足几个先决条件。
流程
- 如果客户使用 AWS 机构,则必须在您的机构中使用 AWS 帐户或创建一个新帐户。
- 为确保红帽可以执行必要的操作,您必须创建一个服务控制策略 (SCP),或确保 none 应用到 AWS 帐户。
- 将 SCP 附加到 AWS 帐户中。
在 AWS 帐户中,您必须创建一个具有以下要求的
osdCcsAdminIAM 用户:- 此用户需要最少启用 Programmatic access。
-
此用户必须附加了
AdministratorAccess策略。
向红帽提供 IAM 用户凭证。
- 您必须在 OpenShift Cluster Manager 中提供 访问密钥 ID 和 secret 访问密钥。
3.4. 最低需要的服务控制策略 (SCP)
服务控制策略 (SCP) 管理由客户自己负责。这些策略在 AWS 机构中维护,并控制附加的 AWS 帐户中可用服务。
| 必需/可选 | 服务 | Actions | 效果 |
|---|---|---|---|
| 必需 | Amazon EC2 | All | Allow |
| Amazon EC2 自动扩展 | All | Allow | |
| Amazon S3 | All | Allow | |
| 身份和访问管理 | All | Allow | |
| Elastic Load Balancing | All | Allow | |
| Elastic Load Balancing V2 | All | Allow | |
| Amazon CloudWatch | All | Allow | |
| Amazon CloudWatch Events | All | Allow | |
| Amazon CloudWatch Logs | All | Allow | |
| AWS Support | All | Allow | |
| AWS 密钥管理服务 | All | Allow | |
| AWS 安全令牌服务 | All | Allow | |
| AWS Resource Tagging | All | Allow | |
| AWS Route53 DNS | All | Allow | |
| AWS Service Quotas | ListServices GetRequestedServiceQuotaChange GetServiceQuota RequestServiceQuotaIncrease ListServiceQuotas | Allow | |
| 选填 | AWS Billing | ViewAccount Viewbilling ViewUsage | Allow |
| AWS 成本和使用量报告 | All | Allow | |
| AWS Cost Explorer Services | All | Allow |
3.5. Red Hat Managed IAM 参考
红帽负责创建和管理以下 Amazon Web Services (AWS)资源:IAM 策略、IAM 用户和 IAM 角色。
3.5.1. IAM 策略
IAM 策略会随着 OpenShift Dedicated 更改的功能而进行修改。
AdministratorAccess策略由管理角色使用。此政策提供了在客户提供的 AWS 帐户中管理 OpenShift Dedicated 集群所需的访问权限。Copy to Clipboard Copied! Toggle word wrap Toggle overflow CustomerAdministratorAccess角色为客户提供管理 AWS 帐户中的服务子集的访问权限。目前,允许以下内容:- VPC Peering
- VPN 设置
直接连接(仅在通过服务控制策略授予时才可用)
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
如果启用,
BillingReadOnlyAccess角色会提供只读访问权限,以查看帐户的计费和使用信息。只有 AWS 机构中的 root 帐户启用了它时,才会授予计费和使用访问权限。这是客户必须执行的可选步骤,才能启用只读账单和使用访问,不会影响创建此配置集及其使用的角色。如果没有启用此角色,用户将不会看到计费和使用信息。请参阅本教程,了解如何启用对计费数据的访问。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
3.5.2. IAM 用户
在控制客户提供的 AWS 帐户后,将立即创建 osdManagedAdmin 用户。这是将执行 OpenShift Dedicated 集群安装的用户。
3.5.3. IAM 角色
network-mgmt角色通过单独的 AWS 帐户提供对 AWS 帐户的管理访问权限。它还具有与只读角色相同的访问权限。network-mgmt角色只适用于非自定义云订阅 (CCS) 集群。以下策略附加到角色中:- AmazonEC2ReadOnlyAccess
- CustomerAdministratorAccess
只读角色通过单独的 AWS 帐户提供对 AWS 帐户的只读访问权限。以下策略附加到角色中:- AWSAccountUsageReportAccess
- AmazonEC2ReadOnlyAccess
- AmazonS3ReadOnlyAccess
- IAMReadOnlyAccess
- BillingReadOnlyAccess
3.6. 置备的 AWS 基础架构
这是在部署的 OpenShift Dedicated 中置备的 Amazon Web Services (AWS) 组件的概述。有关所有置备的 AWS 组件的详细列表,请参阅 OpenShift Container Platform 文档。
3.6.1. AWS Elastic Computing (EC2) 实例
在 AWS 公有云中部署 OpenShift Dedicated 的 control plane 和 data plane 功能需要 AWS EC2 实例。根据 worker 节点数,实例类型可能会因 control plane 和基础架构节点而异。
单个可用区
- 3 m5.2xlarge minimum (control plane 节点)
- 2 r5.xlarge minimum (基础架构节点)
- 2 m5.xlarge minimum 但会有很大不同 (worker 节点)
多个可用区
- 3 m5.2xlarge minimum (control plane 节点)
- 3 r5.xlarge minimum (基础架构节点)
- 3 m5.xlarge minimum 但会有很大不同 (worker 节点)
3.6.2. AWS Elastic Block Store (EBS) 存储
Amazon EBS 块存储用于本地节点存储和持久性卷存储。
每个 EC2 实例的卷要求:
control plane 卷
- 大小:350 GB
- 类型: io1
- 每秒输入/输出操作:1000
基础架构卷
- 大小:300 GB
- 类型: gp2
- 每秒输入/输出操作:900
Worker 卷
- 大小:300 GB
- 类型: gp2
- 每秒输入/输出操作:900
3.6.3. Elastic Load Balancing (ELB)负载均衡器
最多两个用于 API 的 Network Load Balancers,最多两个用于应用程序路由器的 Classic Load Balancers。如需更多信息,请参阅 AWS 的 ELB 文档。
3.6.4. S3 存储
镜像 registry 和 Elastic Block Store (EBS) 卷快照由 AWS S3 存储支持。定期修剪资源以优化 S3 使用量和集群性能。
需要两个存储桶,每个存储桶典型的大小为 2 TB。
3.6.5. VPC
客户应该希望看到每个集群一个 VPC。另外,VPC 需要以下配置:
不支持将新的 OpenShift Dedicated 集群安装到 VPC 中,它由安装程序为不同的集群自动创建。
子网 :一个具有单一可用区的集群的两个子网,或具有多个可用区的集群 6 个子网。
注意公共子网通过互联网网关直接连接到互联网。专用子网通过网络地址转换 (NAT) 网关连接到互联网。
- 路由器表 :每个专用子网一个路由器表,每个集群一个额外表。
- Internet 网关 :每个集群一个互联网网关。
- NAT 网关 :每个公共子网一个 NAT 网关。
3.6.5.1. VPC 架构示例
3.6.6. 安全组
AWS 安全组在协议和端口访问级别提供安全;它们与 EC2 实例和 Elastic Load Balancing 关联。每个安全组包含一组规则,这些规则过滤进出 EC2 实例的流量。您必须确保 OpenShift Container Platform 安装在网络上打开所需的端口,并配置为允许主机间的访问。
3.6.6.1. 其他自定义安全组
当使用非管理的 VPC 创建集群时,您可以在集群安装过程中添加自定义安全组。自定义安全组受以下限制:
- 在创建集群时,您必须在 AWS 中创建自定义安全组。如需更多信息,请参阅适用于 Linux 实例的 Amazon EC2 安全组。
- 您必须将自定义安全组与集群要安装的 VPC 关联。您的自定义安全组不能与另一个 VPC 关联。
- 如果要添加额外的自定义安全组,您可能需要为 VPC 请求额外的配额。有关请求 AWS 配额增加的详情,请参阅请求配额增加。
3.7. 网络先决条件
3.7.1. 网络先决条件
以下小节详细介绍了创建集群的要求。
3.7.1.1. 最小带宽
在集群部署期间,OpenShift Dedicated 需要集群基础架构和公共互联网或专用网络位置之间的 120 Mbps 带宽,以提供部署工件和资源。当网络连接比 120 Mbps 慢时(例如,当通过代理进行连接时)集群安装过程会超时,部署会失败。
集群部署后,网络要求由您的工作负载决定。但是,最小带宽 120 Mbps 有助于确保及时地升级集群和操作程序。
3.7.2. firewall AllowList 要求
如果使用防火墙来控制 OpenShift Dedicated 的出口流量,您必须配置防火墙,以授予以下特定域和端口组合的访问权限。OpenShift Dedicated 需要此访问权限来提供完全托管的 OpenShift 服务。
3.7.2.1. 安装软件包和工具的域
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 |
必需。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 |
托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外,registry 提供了对 |
|
| 443 |
必需。在从 |
|
| 443 | 所有第三方镜像和认证 Operator 都需要。 |
|
| 443 | 必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能,如调度升级。 |
|
| 443 |
|
|
| 443 | 当 quay.io 不可用时,提供核心容器镜像作为回退。 |
|
| 443 |
|
|
| 443 | OpenShift Dedicated 用于带有受管 OIDC 配置的 STS 实现。 |
3.7.2.2. 遥测的域
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 遥测是必需的。 |
|
| 443 | 遥测是必需的。 |
|
| 443 | 遥测是必需的。 |
|
| 443 | 遥测和 {red-hat-lightspeed} 是必需的。 |
|
| 443 | 受管 OpenShift 遥测的需要。 |
|
| 443 | 受管 OpenShift 遥测的需要。 |
受管集群需要启用遥测功能,以便红帽可以更快地对问题做出反应,更好地支持客户,并更好地了解产品升级对集群的影响。有关如何使用红帽远程健康监控数据的更多信息,请参阅附加资源部分中的 关于远程健康监控 功能。
3.7.2.3. Amazon Web Services (AWS) API 的域
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 需要此项以访问 AWS 服务和资源。 |
或者,如果您选择不为 Amazon Web Services (AWS) API 使用通配符,则必须允许列出以下 URL:
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 用于在 AWS 环境中安装和管理集群。 |
|
| 443 | 用于在 AWS 环境中安装和管理集群。 |
|
| 443 | 用于在 AWS 环境中安装和管理集群。 |
|
| 443 | 用于在 AWS 环境中安装和管理集群。 |
|
| 443 | 用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的全局端点。 |
|
| 443 | 用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的区域端点的集群。如需更多信息,请参阅 AWS STS 区域端点。 |
|
| 443 | 用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1,无论集群要部署到的区域。 |
|
| 443 | 用于在 AWS 环境中安装和管理集群。 |
|
| 443 | 用于在 AWS 环境中安装和管理集群。 |
|
| 443 | 允许以标签的形式分配 AWS 资源的元数据。 |
3.7.2.4. OpenShift 的域
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源。 |
|
| 443 | 用于检查集群是否有可用的更新。 |
3.7.2.5. 站点可靠性工程(SRE)和管理的域
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 此警报服务供 in-cluster alertmanager 发送警报通知 Red Hat SRE 的事件来执行操作。 |
|
| 443 | 此警报服务供 in-cluster alertmanager 发送警报通知 Red Hat SRE 的事件来执行操作。 |
|
| 443 | OpenShift Dedicated 用来发送定期 ping 的警报服务,以指示集群是否可用并在运行。 |
|
| 443 | OpenShift Dedicated 用来发送定期 ping 的警报服务,以指示集群是否可用并在运行。 |
|
| 443 |
必需。 |
|
| 22 |
|
3.8. AWS 帐户限值
OpenShift Dedicated 集群使用诸多 Amazon Web Services (AWS) 组件,默认的服务限值会影响您安装 OpenShift Dedicated 集群的能力。如果您使用特定的集群配置,在某些 AWS 区域部署集群,或者从您的帐户运行多个集群,您可能需要为 AWS 帐户请求其他资源。
下表总结了 AWS 组件,它们的限值可能会影响您安装和运行 OpenShift Dedicated 集群的能力。
| 组件 | 默认可用的集群数 | 默认 AWS 限值 | 描述 |
|---|---|---|---|
| 实例限值 | 可变 | 可变 | 每个集群至少会创建以下实例:
这些实例类型数量在新帐户的默认限值之内。要部署更多 worker 节点、部署大型工作负载或使用不同的实例类型,请查看您的帐户限制,以确保集群可以部署您需要的机器。
在大多数区域中,bootstrap 和 worker 机器使用 |
| 弹性 IP (EIP) | 0 到 1 | 每个帐户 5 个 EIP | 要在高可用性配置中置备集群,安装程序将为区域中的每个可用区创建一个公共和专用子网。每个专用子网都需要 NAT 网关,每个 NAT 网关需要单独的弹性 IP。查看 AWS 区域图来确定每个区域有多少个可用区。要利用默认高可用性,请在至少含有三个可用区的区域安装集群。要在有超过五个可用区的区域安装集群,您必须提高 EIP 限值。 重要
要使用 |
| 虚拟私有云 (VPC) | 5 | 每个区域 5 个 VPC | 每个集群创建自己的 VPC。 |
| Elastic Load Balancing (ELB) | 3 | 每个区域 20 个 | 默认情况下,每个集群为主 API 服务器创建内部和外部网络负载均衡器,并为路由器创建一个 Classic Load Balancer。部署更多 Kubernetes LoadBalancer Service 对象将生成额外的负载均衡器。 |
| NAT 网关 | 5 | 每个可用区 5 个 | 集群在每个可用区中部署一个 NAT 网关。 |
| 弹性网络接口 (ENI) | 至少 12 个 | 每个区域 350 个 |
默认安装创建 21 个 ENI,并为区域中的每个可用区创建一个 ENI。例如, 为使用和部署的工作负载创建的额外机器和负载均衡器创建额外的 ENI。 |
| VPC 网关 | 20 | 每个帐户 20 个 | 每个集群创建一个 VPC 网关来访问 S3。 |
| S3 存储桶 | 99 | 每个帐户有 100 个存储桶 | 因为安装过程会创建一个临时存储桶,并且每个集群中的 registry 组件会创建一个存储桶,所以您只能为每个 AWS 帐户创建 99 个 OpenShift Dedicated 集群。 |
| 安全组 | 250 | 每个帐户 2,500 个 | 每个集群创建 10 个不同的安全组。 |
Legal Notice
Copyright © 2025 Red Hat
OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).
Modified versions must remove all Red Hat trademarks.
Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.
Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}