Chapitre 2. Définition des politiques et des services
2.1. Définition de service dédié à OpenShift Copier lienLien copié sur presse-papiers!
2.1.1. Gestion des comptes Copier lienLien copié sur presse-papiers!
2.1.1.1. Les options de facturation Copier lienLien copié sur presse-papiers!
Les clients ont la possibilité d’acheter des abonnements annuels d’OpenShift Dedicated (OSD) ou de consommer à la demande via des places de marché en nuage. Les clients peuvent décider d’apporter leur propre compte d’infrastructure cloud, appelé Customer Cloud Subscription (CCS), ou de déployer dans des comptes de fournisseurs de cloud appartenant à Red Hat. Le tableau ci-dessous fournit des informations supplémentaires sur la facturation, ainsi que les options de déploiement prises en charge correspondantes.
Abonnement OSD-type | Compte d’infrastructure cloud | Facturé à travers |
---|---|---|
Abonnements annuels à capacité fixe via Red Hat | Compte cloud Red Hat | Chapeau rouge pour la consommation des abonnements OSD et de l’infrastructure cloud |
Compte cloud du client | Chapeau rouge pour la consommation des abonnements OSD Fournisseur de cloud pour la consommation d’infrastructures cloud | |
Consommation basée sur l’utilisation à la demande via Google Cloud Marketplace | Compte Google Cloud du client | Google Cloud pour l’infrastructure cloud et les abonnements Red Hat OSD |
Consommation basée sur l’utilisation à la demande via Red Hat Marketplace | Compte cloud du client | Chapeau rouge pour la consommation des abonnements OSD Fournisseur de cloud pour la consommation d’infrastructures cloud |
Les clients qui utilisent leur propre compte d’infrastructure cloud, appelé Customer Cloud Subscription (CSS), sont responsables de pré-achat ou de fournir des instances de calcul d’instance réservée (RI) afin d’assurer la réduction des coûts d’infrastructure cloud.
Des ressources supplémentaires peuvent être achetées pour un cluster OpenShift dédié, y compris:
- Les nœuds supplémentaires (peuvent être différents types et tailles grâce à l’utilisation de pools de machines)
- Middleware (JBoss EAP, JBoss Fuse, etc.) - prix supplémentaire basé sur un composant de middleware spécifique
- Stockage supplémentaire par incréments de 500 Go (non-CCS seulement; 100 Go inclus)
- 12 autres E/S réseau TiB (non-CCS seulement; 12 To inclus)
- Les balanceurs de charge pour les services sont disponibles en paquets de 4; permet le trafic non-HTTP/SNI ou des ports non standard (non-CCS seulement)
2.1.1.2. Cluster en libre-service Copier lienLien copié sur presse-papiers!
Les clients peuvent créer, adapter et supprimer leurs clusters à partir d’OpenShift Cluster Manager, à condition qu’ils aient déjà acheté les abonnements nécessaires.
Les actions disponibles dans Red Hat OpenShift Cluster Manager ne doivent pas être exécutées directement à partir du cluster car cela pourrait causer des effets indésirables, y compris le retour automatique de toutes les actions.
2.1.1.3. Fournisseurs de cloud Copier lienLien copié sur presse-papiers!
L’OpenShift Dedicated propose des clusters OpenShift Container Platform en tant que service géré sur les fournisseurs de cloud suivants:
- Amazon Web Services (AWS)
- Google Cloud Platform (GCP)
2.1.1.4. Les types d’instances Copier lienLien copié sur presse-papiers!
Les clusters de zone de disponibilité unique nécessitent un minimum de 2 nœuds de travail pour les clusters d’abonnement au cloud client (CCS) déployés dans une seule zone de disponibilité. Au moins 4 nœuds de travail sont requis pour les clusters non-CCS. Ces 4 nœuds ouvriers sont inclus dans l’abonnement de base.
Les clusters de zones de disponibilité multiples nécessitent un minimum de 3 nœuds de travail pour les clusters d’abonnement au cloud client (CCS), 1 déployé dans chacune des 3 zones de disponibilité. Au moins 9 nœuds de travailleurs sont requis pour les clusters non-CCS. Ces 9 nœuds de travail sont inclus dans l’abonnement de base, et des nœuds supplémentaires doivent être achetés en multiples de 3 pour maintenir une bonne distribution des nœuds.
Les nœuds d’ouvrier dans un seul pool de machines dédié OpenShift doivent être du même type et de la même taille. Cependant, les nœuds de travail à travers plusieurs pools de machines au sein d’un cluster dédié OpenShift peuvent être de différents types et tailles.
Les nœuds d’avion de contrôle et d’infrastructure sont déployés et gérés par Red Hat. Il y a au moins 3 nœuds de plan de contrôle qui gèrent les charges de travail etcd et API. Il y a au moins 2 nœuds d’infrastructure qui gèrent les métriques, le routage, la console Web et d’autres charges de travail. Il ne faut pas exécuter de charge de travail sur le plan de contrôle et les nœuds d’infrastructure. Les charges de travail que vous avez l’intention d’exécuter doivent être déployées sur les nœuds des travailleurs.
La fermeture de l’infrastructure sous-jacente via la console fournisseur de cloud n’est pas prise en charge et peut entraîner une perte de données.
Consultez la section support de Red Hat ci-dessous pour plus d’informations sur les charges de travail de Red Hat qui doivent être déployées sur les nœuds des travailleurs.
Environ 1 noyau vCPU et 1 GiB de mémoire sont réservés sur chaque nœud de travail et retirés des ressources allocatables. Ceci est nécessaire pour exécuter les processus requis par la plate-forme sous-jacente. Cela inclut les démons système tels que udev, kubelet, le temps d’exécution du conteneur, etc., ainsi que les comptes pour les réservations du noyau. Les systèmes de base OpenShift Container Platform tels que l’agrégation des journaux d’audit, la collecte des métriques, le DNS, le registre d’images, le SDN, etc., pourraient consommer des ressources allocatables supplémentaires pour maintenir la stabilité et la maintenabilité du cluster. Les ressources supplémentaires consommées peuvent varier en fonction de l’utilisation.
À partir de OpenShift Dedicated 4.11, la limite PID par défaut par-pod est 4096. Lorsque vous souhaitez activer cette limite de PID, vous devez mettre à niveau vos clusters OpenShift Dedicated vers cette version ou ultérieure. Les clusters dédiés qui exécutent des versions antérieures à 4.11 utilisent une limite PID par défaut de 1024.
Il est impossible de configurer la limite PID par pod sur un cluster dédié OpenShift.
Ressources supplémentaires
2.1.1.5. Les types d’instance AWS pour les clusters d’abonnement au cloud client Copier lienLien copié sur presse-papiers!
Le logiciel OpenShift Dedicated offre les types et tailles d’instances de nœuds de travail suivants sur AWS:
Exemple 2.1. But général
- ajouter au panier M5.metal (96† vCPU, 384 GiB)
- format M5.xlarge (4 vCPU, 16 GiB)
- format M5.2xlarge (8 vCPU, 32 GiB)
- format M5.4xlarge (16 vCPU, 64 GiB)
- format M5.8xlarge (32 vCPU, 128 GiB)
- format M5.12xlarge (48 vCPU, 192 GiB)
- format M5.16xlarge (64 vCPU, 256 GiB)
- format M5.24xlarge (96 vCPU, 384 GiB)
- ajouter au panier M5a.xlarge (4 vCPU, 16 GiB)
- format M5a.2xlarge (8 vCPU, 32 GiB)
- format M5a.4xlarge (16 vCPU, 64 GiB)
- format M5a.8xlarge (32 vCPU, 128 GiB)
- format M5a.12xlarge (48 vCPU, 192 GiB)
- format M5a.16xlarge (64 vCPU, 256 GiB)
- format M5a.24xlarge (96 vCPU, 384 GiB)
- ajouter au panier M5ad.xlarge (4 vCPU, 16 GiB)
- ajouter au panier M5ad.2xlarge (8 vCPU, 32 GiB)
- ajouter au panier M5ad.4xlarge (16 vCPU, 64 GiB)
- format M5ad.8xlarge (32 vCPU, 128 GiB)
- ajouter au panier M5ad.12xlarge (48 vCPU, 192 GiB)
- format M5ad.16xlarge (64 vCPU, 256 GiB)
- ajouter au panier M5ad.24xlarge (96 vCPU, 384 GiB)
- ajouter au panier M5d.metal (96† vCPU, 384 GiB)
- ajouter au panier M5d.xlarge (4 vCPU, 16 GiB)
- format M5d.2xlarge (8 vCPU, 32 GiB)
- format M5d.4xlarge (16 vCPU, 64 GiB)
- format M5d.8xlarge (32 vCPU, 128 GiB)
- format M5d.12xlarge (48 vCPU, 192 GiB)
- format M5d.16xlarge (64 vCPU, 256 GiB)
- format M5d.24xlarge (96 vCPU, 384 GiB)
- ajouter au panier M5n.metal (96 vCPU, 384 GiB)
- ajouter au panier M5n.xlarge (4 vCPU, 16 GiB)
- format M5n.2xlarge (8 vCPU, 32 GiB)
- format M5n.4xlarge (16 vCPU, 64 GiB)
- format M5n.8xlarge (32 vCPU, 128 GiB)
- format M5n.12xlarge (48 vCPU, 192 GiB)
- format M5n.16xlarge (64 vCPU, 256 GiB)
- format M5n.24xlarge (96 vCPU, 384 GiB)
- ajouter au panier M5dn.metal (96 vCPU, 384 GiB)
- ajouter au panier M5dn.xlarge (4 vCPU, 16 GiB)
- ajouter au panier M5dn.2xlarge (8 vCPU, 32 GiB)
- format M5dn.4xlarge (16 vCPU, 64 GiB)
- format M5dn.8xlarge (32 vCPU, 128 GiB)
- format M5dn.12xlarge (48 vCPU, 192 GiB)
- format M5dn.16xlarge (64 vCPU, 256 GiB)
- format M5dn.24xlarge (96 vCPU, 384 GiB)
- ajouter au panier M5zn.metal (48 vCPU, 192 GiB)
- ajouter au panier M5zn.xlarge (4 vCPU, 16 GiB)
- ajouter au panier M5zn.2xlarge (8 vCPU, 32 GiB)
- format M5zn.3xlarge (12 vCPU, 48 GiB)
- format M5zn.6xlarge (24 vCPU, 96 GiB)
- format M5zn.12xlarge (48 vCPU, 192 GiB)
- ajouter au panier M6a.xlarge (4 vCPU, 16 GiB)
- format M6a.2xlarge (8 vCPU, 32 GiB)
- format M6a.4xlarge (16 vCPU, 64 GiB)
- format M6a.8xlarge (32 vCPU, 128 GiB)
- format M6a.12xlarge (48 vCPU, 192 GiB)
- format M6a.16xlarge (64 vCPU, 256 GiB)
- format M6a.24xlarge (96 vCPU, 384 GiB)
- format M6a.32xlarge (128 vCPU, 512 GiB)
- format M6a.48xlarge (192 vCPU, 768 GiB)
- ajouter au panier M6i.metal (128 vCPU, 512 GiB)
- ajouter au panier M6i.xlarge (4 vCPU, 16 GiB)
- ajouter au panier M6i.2xlarge (8 vCPU, 32 GiB)
- format M6i.4xlarge (16 vCPU, 64 GiB)
- format M6i.8xlarge (32 vCPU, 128 GiB)
- format M6i.12xlarge (48 vCPU, 192 GiB)
- format M6i.16xlarge (64 vCPU, 256 GiB)
- format M6i.24xlarge (96 vCPU, 384 GiB)
- format M6i.32xlarge (128 vCPU, 512 GiB)
- ajouter au panier M6id.xlarge (4 vCPU, 16 GiB)
- ajouter au panier M6id.2xlarge (8 vCPU, 32 GiB)
- format M6id.4xlarge (16 vCPU, 64 GiB)
- format M6id.8xlarge (32 vCPU, 128 GiB)
- format M6id.12xlarge (48 vCPU, 192 GiB)
- format M6id.16xlarge (64 vCPU, 256 GiB)
- format M6id.24xlarge (96 vCPU, 384 GiB)
- format M6id.32xlarge (128 vCPU, 512 GiB)
- ajouter au panier M7i.xlarge (4 vCPU, 16 GiB)
- format M7i.2xlarge (8 vCPU, 32 GiB)
- format M7i.4xlarge (16 vCPU, 64 GiB)
- format M7i.8xlarge (32 vCPU, 128 GiB)
- format M7i.12xlarge (48 vCPU, 192 GiB)
- format M7i.16xlarge (64 vCPU, 256 GiB)
- format M7i.24xlarge (96 vCPU, 384 GiB)
- format M7i.48xlarge (192 vCPU, 768 GiB)
- ajouter au panier M7i.metal-24xl (96 vCPU, 384 GiB)
- ajouter au panier M7i.metal-48xl (192 vCPU, 768 GiB)
- ajouter au panier M7i-flex.xlarge (4 vCPU, 16 GiB)
- ajouter au panier M7i-flex.2xlarge (8 vCPU, 32 GiB)
- format M7i-flex.4xlarge (16 vCPU, 64 GiB)
- format M7i-flex.8xlarge (32 vCPU, 128 GiB)
- ajouter au panier M7a.xlarge (4 vCPU, 16 GiB)
- format M7a.2xlarge (8 vCPU, 32 GiB)
- format M7a.4xlarge (16 vCPU, 64 GiB)
- format M7a.8xlarge (32 vCPU, 128 GiB)
- format M7a.12xlarge (48 vCPU, 192 GiB)
- format M7a.16xlarge (64 vCPU, 256 GiB)
- format M7a.24xlarge (96 vCPU, 384 GiB)
- format M7a.32xlarge (128 vCPU, 512 GiB)
- format M7a.48xlarge (192 vCPU, 768 GiB)
- ajouter au panier M7a.metal-48xl (192 vCPU, 768 GiB)
† Ces types d’instances fournissent 96 processeurs logiques sur 48 cœurs physiques. Ils fonctionnent sur des serveurs uniques avec deux sockets Intel physiques.
Exemple 2.2. Rafale à usage général
- ajouter au panier T3.xlarge (4 vCPU, 16 GiB)
- format T3.2xlarge (8 vCPU, 32 GiB)
- ajouter au panier T3a.xlarge (4 vCPU, 16 GiB)
- ajouter au panier T3a.2xlarge (8 vCPU, 32 GiB)
Exemple 2.3. Intensité de mémoire
- format x1.16xlarge (64 vCPU, 976 GiB)
- format x1.32xlarge (128 vCPU, 1952 GiB)
- ajouter au panier x1e.xlarge (4 vCPU, 122 GiB)
- ajouter au panier x1e.2xlarge (8 vCPU, 244 GiB)
- ajouter au panier x1e.4xlarge (16 vCPU, 488 GiB)
- format x1e.8xlarge (32 vCPU, 976 GiB)
- format x1e.16xlarge (64 vCPU, 1,952 GiB)
- format x1e.32xlarge (128 vCPU, 3 904 GiB)
- ajouter au panier x2idn.16xlarge (64 vCPU, 1024 GiB)
- ajouter au panier x2idn.24xlarge (96 vCPU, 1536 GiB)
- format x2idn.32xlarge (128 vCPU, 2048 GiB)
- ajouter au panier x2iedn.xlarge (4 vCPU, 128 GiB)
- ajouter au panier x2iedn.2xlarge (8 vCPU, 256 GiB)
- ajouter au panier x2iedn.4xlarge (16 vCPU, 512 GiB)
- format x2iedn.8xlarge (32 vCPU, 1024 GiB)
- ajouter au panier x2iedn.16xlarge (64 vCPU, 2048 GiB)
- ajouter au panier x2iedn.24xlarge (96 vCPU, 3072 GiB)
- format x2iedn.32xlarge (128 vCPU, 4096 GiB)
- ajouter au panier x2iezn.2xlarge (8 vCPU, 256 GiB)
- ajouter au panier x2iezn.4xlarge (16vCPU, 512 GiB)
- ajouter au panier x2iezn.6xlarge (24vCPU, 768 GiB)
- ajouter au panier x2iezn.8xlarge (32vCPU, 1 024 GiB)
- ajouter au panier x2iezn.12xlarge (48vCPU, 1.536 GiB)
- ajouter au panier x2idn.metal (128vCPU, 2,048 GiB)
- ajouter au panier x2iedn.metal (128vCPU, 4,096 GiB)
- ajouter au panier x2iezn.metal (48 vCPU, 1 536 GiB)
Exemple 2.4. La mémoire optimisée
- ajouter au panier R4.xlarge (4 vCPU, 30.5 GiB)
- ajouter au panier R4.2xlarge (8 vCPU, 61 GiB)
- ajouter au panier R4.4xlarge (16 vCPU, 122 GiB)
- largeur de r4.8xlarge (32 vCPU, 244 GiB)
- largeur (64 vCPU, 488 GiB)
- (96† vCPU, 768 GiB)
- ajouter au panier R5.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R5.2xlarge (8 vCPU, 64 GiB)
- longueur d’écran (16 vCPU, 128 GiB)
- largeur de r5.8xlarge (32 vCPU, 256 GiB)
- largeur de r5.12xlarge (48 vCPU, 384 GiB)
- largeur de r5.16xlarge (64 vCPU, 512 GiB)
- 5,54xlarge (96 vCPU, 768 GiB)
- ajouter au panier R5a.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R5a.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R5a.4xlarge (16 vCPU, 128 GiB)
- largeur (32 vCPU, 256 GiB)
- ajouter au panier R5a.12xlarge (48 vCPU, 384 GiB)
- 5a.16xlarge (64 vCPU, 512 GiB)
- largeur de r5a.24xlarge (96 vCPU, 768 GiB)
- ajouter au panier R5ad.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R5ad.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R5ad.4xlarge (16 vCPU, 128 GiB)
- ajouter au panier R5ad.8xlarge (32 vCPU, 256 GiB)
- ajouter au panier R5ad.12xlarge (48 vCPU, 384 GiB)
- ajouter au panier R5ad.16xlarge (64 vCPU, 512 GiB)
- ajouter au panier R5ad.24xlarge (96 vCPU, 768 GiB)
- le r5d.metal (96† vCPU, 768 GiB)
- ajouter au panier R5d.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R5d.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R5d.4xlarge (16 vCPU, 128 GiB)
- largeur de r5d.8xlarge (32 vCPU, 256 GiB)
- largeur de r5d.12xlarge (48 vCPU, 384 GiB)
- 5d.16xlarge (64 vCPU, 512 GiB)
- largeur de r5d.24xlarge (96 vCPU, 768 GiB)
- C5n.metal (96 vCPU, 768 GiB)
- ajouter au panier R5n.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R5n.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R5n.4xlarge (16 vCPU, 128 GiB)
- largeur (32 vCPU, 256 GiB)
- ajouter au panier R5n.12xlarge (48 vCPU, 384 GiB)
- 5n.16xlarge (64 vCPU, 512 GiB)
- largeur de r5n.24xlarge (96 vCPU, 768 GiB)
- a) R5dn.metal (96 vCPU, 768 GiB)
- ajouter au panier R5dn.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R5dn.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R5dn.4xlarge (16 vCPU, 128 GiB)
- largeur de r5dn.8xlarge (32 vCPU, 256 GiB)
- ajouter au panier R5dn.12xlarge (48 vCPU, 384 GiB)
- 5dn.16xlarge (64 vCPU, 512 GiB)
- largeur de r5dn.24xlarge (96 vCPU, 768 GiB)
- ajouter au panier R6a.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R6a.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R6a.4xlarge (16 vCPU, 128 GiB)
- largeur (32 vCPU, 256 GiB)
- ajouter au panier R6a.12xlarge (48 vCPU, 384 GiB)
- 6a.16xlarge (64 vCPU, 512 GiB)
- 6a.24xlarge (96 vCPU, 768 GiB)
- largeur de r6a.32xlarge (128 vCPU, 1 024 GiB)
- ajouter au panier R6a.48xlarge (192 vCPU, 1 536 GiB)
- (128 vCPU, 1 024 GiB)
- ajouter au panier R6i.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R6i.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R6i.4xlarge (16 vCPU, 128 GiB)
- largeur (32 vCPU, 256 GiB)
- ajouter au panier R6i.12xlarge (48 vCPU, 384 GiB)
- 6i.16xlarge (64 vCPU, 512 GiB)
- 6i.24xlarge (96 vCPU, 768 GiB)
- largeur de r6i.32xlarge (128 vCPU, 1 024 GiB)
- ajouter au panier R6id.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R6id.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R6id.4xlarge (16 vCPU, 128 GiB)
- largeur (32 vCPU, 256 GiB)
- ajouter au panier R6id.12xlarge (48 vCPU, 384 GiB)
- 6id.16xlarge (64 vCPU, 512 GiB)
- largeur de r6id.24xlarge (96 vCPU, 768 GiB)
- largeur de r6id.32xlarge (128 vCPU, 1 024 GiB)
- ajouter au panier z1d.metal (48^ vCPU, 384 GiB)
- ajouter au panier z1d.xlarge (4 vCPU, 32 GiB)
- ajouter au panier z1d.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier z1d.3xlarge (12 vCPU, 96 GiB)
- ajouter au panier z1d.6xlarge (24 vCPU, 192 GiB)
- format z1d.12xlarge (48 vCPU, 384 GiB)
- ajouter au panier R7a.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R7a.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R7a.4xlarge (16 vCPU, 128 GiB)
- largeur de r7a.8xlarge (32 vCPU, 256 GiB)
- ajouter au panier R7a.12xlarge (48 vCPU, 384 GiB)
- largeur de r7a.16xlarge (64 vCPU, 512 GiB)
- largeur de r7a.24xlarge (96 vCPU, 768 GiB)
- largeur de r7a.32xlarge (128 vCPU, 1024 GiB)
- ajouter au panier R7a.48xlarge (192 vCPU, 1536 GiB)
- ajouter au panier R7a.metal-48xl (192 vCPU, 1536 GiB)
- ajouter au panier R7i.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R7i.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R7i.4xlarge (16 vCPU, 128 GiB)
- largeur de r7i.8xlarge (32 vCPU, 256 GiB)
- ajouter au panier R7i.12xlarge (48 vCPU, 384 GiB)
- largeur de r7i.16xlarge (64 vCPU, 512 GiB)
- largeur de r7i.24xlarge (96 vCPU, 768 GiB)
- a) R7i.metal-24xl (96 vCPU, 768 GiB)
- ajouter au panier R7iz.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R7iz.2xlarge (8 vCPU, 64 GiB)
- ajouter au panier R7iz.4xlarge (16 vCPU, 128 GiB)
- largeur de r7iz.8xlarge (32 vCPU, 256 GiB)
- ajouter au panier R7iz.12xlarge (48 vCPU, 384 GiB)
- largeur de r7iz.16xlarge (64 vCPU, 512 GiB)
- largeur de r7iz.32xlarge (128 vCPU, 1024 GiB)
- ajouter au panier R7iz.metal-16xl (64 vCPU, 512 GiB)
- le R7iz.metal-32xl (128 vCPU, 1024 GiB)
† Ces types d’instances fournissent 96 processeurs logiques sur 48 cœurs physiques. Ils fonctionnent sur des serveurs uniques avec deux sockets Intel physiques.
Ce type d’instance fournit 48 processeurs logiques sur 24 cœurs physiques.
Exemple 2.5. Calcul accéléré
- ajouter au panier P3.2xlarge (8 vCPU, 61 GiB)
- largeur de p3.8xlarge (32 vCPU, 244 GiB)
- largeur de p3.16xlarge (64 vCPU, 488 GiB)
- format p3dn.24xlarge (96 vCPU, 768 GiB)
- format p4d.24xlarge (96 vCPU, 152 GiB)
- ajouter au panier P4de.24xlarge (96 vCPU, 152 GiB)
- format P5.48xlarge (192 vCPU, 2,048 GiB)
- g4ad.xlarge (4 vCPU, 16 GiB)
- g4ad.2xlarge (8 vCPU, 32 GiB)
- g4ad.4xlarge (16 vCPU, 64 GiB)
- g4ad.8xlarge (32 vCPU, 128 GiB)
- g4ad.16xlarge (64 vCPU, 256 GiB)
- g4dn.xlarge (4 vCPU, 16 GiB)
- g4dn.2xlarge (8 vCPU, 32 GiB)
- g4dn.4xlarge (16 vCPU, 64 GiB)
- g4dn.8xlarge (32 vCPU, 128 GiB)
- g4dn.12xlarge (48 vCPU, 192 GiB)
- g4dn.16xlarge (64 vCPU, 256 GiB)
- g4dn.metal (96 vCPU, 384 GiB)
- g5.xlarge (4 vCPU, 16 GiB)
- G5.2xlarge (8 vCPU, 32 GiB)
- g5.4xlarge (16 vCPU, 64 GiB)
- G5.8xlarge (32 vCPU, 128 GiB)
- G5.16xlarge (64 vCPU, 256 GiB)
- g5.12xlarge (48 vCPU, 192 GiB)
- G5.24xlarge (96 vCPU, 384 GiB)
- g5.48xlarge (192 vCPU, 768 GiB)
- dl1.24xlarge (96 vCPU, 768 GiB)†
- g6.xlarge (4 vCPU, 16 GiB)
- G6.2xlarge (8 vCPU, 32 GiB)
- g6.4xlarge (16 vCPU, 64 GiB)
- G6.8xlarge (32 vCPU, 128 GiB)
- g6.12xlarge (48 vCPU, 192 GiB)
- G6.16xlarge (64 vCPU, 256 GiB)
- G6.24xlarge (96 vCPU, 384 GiB)
- g6.48xlarge (192 vCPU, 768 GiB)
- g6e.xlarge (4 vCPU, 32 GiB)
- g6e.2xlarge (8 vCPU, 64 GiB)
- g6e.4xlarge (16 vCPU, 128 GiB)
- g6e.8xlarge (32 vCPU, 256 GiB)
- g6e.12xlarge (48 vCPU, 384 GiB)
- g6e.16xlarge (64 vCPU, 512 GiB)
- g6e.24xlarge (96 vCPU, 768 GiB)
- g6e.48xlarge (192 vCPU, 1 536 GiB)
- gr6.4xlarge (16 vCPU, 128 GiB)
- gr6.8xlarge (32 vCPU, 256 GiB)
† Intel spécifique; non couvert par Nvidia
La prise en charge de la pile logicielle de type d’instance GPU est fournie par AWS. Assurez-vous que vos quotas de service AWS peuvent accueillir les types d’instances GPU souhaités.
Exemple 2.6. Calcul optimisé
- c5.métal (96 vCPU, 192 GiB)
- c5.xlarge (4 vCPU, 8 GiB)
- c5.2xlarge (8 vCPU, 16 GiB)
- c5.4xlarge (16 vCPU, 32 GiB)
- c5.9xlarge (36 vCPU, 72 GiB)
- c5.12xlarge (48 vCPU, 96 GiB)
- c5.18xlarge (72 vCPU, 144 GiB)
- c5.24xlarge (96 vCPU, 192 GiB)
- c5d.metal (96 vCPU, 192 GiB)
- c5d.xlarge (4 vCPU, 8 GiB)
- c5d.2xlarge (8 vCPU, 16 GiB)
- c5d.4xlarge (16 vCPU, 32 GiB)
- c5d.9xlarge (36 vCPU, 72 GiB)
- c5d.12xlarge (48 vCPU, 96 GiB)
- c5d.18xlarge (72 vCPU, 144 GiB)
- c5d.24xlarge (96 vCPU, 192 GiB)
- c5a.xlarge (4 vCPU, 8 GiB)
- c5a.2xlarge (8 vCPU, 16 GiB)
- c5a.4xlarge (16 vCPU, 32 GiB)
- c5a.8xlarge (32 vCPU, 64 GiB)
- c5a.12xlarge (48 vCPU, 96 GiB)
- c5a.16xlarge (64 vCPU, 128 GiB)
- c5a.24xlarge (96 vCPU, 192 GiB)
- c5ad.xlarge (4 vCPU, 8 GiB)
- c5ad.2xlarge (8 vCPU, 16 GiB)
- c5ad.4xlarge (16 vCPU, 32 GiB)
- c5ad.8xlarge (32 vCPU, 64 GiB)
- c5ad.12xlarge (48 vCPU, 96 GiB)
- c5ad.16xlarge (64 vCPU, 128 GiB)
- c5ad.24xlarge (96 vCPU, 192 GiB)
- c5n.metal (72 vCPU, 192 GiB)
- c5n.xlarge (4 vCPU, 10.5 GiB)
- c5n.2xlarge (8 vCPU, 21 GiB)
- c5n.4xlarge (16 vCPU, 42 GiB)
- c5n.9xlarge (36 vCPU, 96 GiB)
- c5n.18xlarge (72 vCPU, 192 GiB)
- c6a.xlarge (4 vCPU, 8 GiB)
- c6a.2xlarge (8 vCPU, 16 GiB)
- c6a.4xlarge (16 vCPU, 32 GiB)
- c6a.8xlarge (32 vCPU, 64 GiB)
- c6a.12xlarge (48 vCPU, 96 GiB)
- c6a.16xlarge (64 vCPU, 128 GiB)
- c6a.24xlarge (96 vCPU, 192 GiB)
- c6a.32xlarge (128 vCPU, 256 GiB)
- c6a.48xlarge (192 vCPU, 384 GiB)
- c6i.metal (128 vCPU, 256 GiB)
- c6i.xlarge (4 vCPU, 8 GiB)
- c6i.2xlarge (8 vCPU, 16 GiB)
- c6i.4xlarge (16 vCPU, 32 GiB)
- c6i.8xlarge (32 vCPU, 64 GiB)
- c6i.12xlarge (48 vCPU, 96 GiB)
- c6i.16xlarge (64 vCPU, 128 GiB)
- c6i.24xlarge (96 vCPU, 192 GiB)
- c6i.32xlarge (128 vCPU, 256 GiB)
- c6id.xlarge (4 vCPU, 8 GiB)
- c6id.2xlarge (8 vCPU, 16 GiB)
- c6id.4xlarge (16 vCPU, 32 GiB)
- c6id.8xlarge (32 vCPU, 64 GiB)
- c6id.12xlarge (48 vCPU, 96 GiB)
- c6id.16xlarge (64 vCPU, 128 GiB)
- c6id.24xlarge (96 vCPU, 192 GiB)
- c6id.32xlarge (128 vCPU, 256 GiB)
- c7a.xlarge (4 vCPU, 8 GiB)
- c7a.2xlarge (8 vCPU, 16 GiB)
- c7a.4xlarge (16 vCPU, 32 GiB)
- c7a.8xlarge (32 vCPU, 64 GiB)
- c7a.12xlarge (48 vCPU, 96 GiB)
- c7a.16xlarge (64 vCPU, 128 GiB)
- c7a.24xlarge (96 vCPU, 192 GiB)
- c7a.32xlarge (128 vCPU, 256 GiB)
- c7a.48xlarge (192 vCPU, 384 GiB)
- c7a.metal-48xl (192 vCPU, 384 GiB)
- c7i.xlarge (4 vCPU, 8 GiB)
- c7i.2xlarge (8 vCPU, 16 GiB)
- c7i.4xlarge (16 vCPU, 32 GiB)
- c7i.8xlarge (32 vCPU, 64 GiB)
- c7i.12xlarge (48 vCPU, 96 GiB)
- c7i.16xlarge (64 vCPU, 128 GiB)
- c7i.24xlarge (96 vCPU, 192 GiB)
- c7i.48xlarge (192 vCPU, 384 GiB)
- c7i.metal-24xl (96 vCPU, 192 GiB)
- c7i.metal-48xl (192 vCPU, 384 GiB)
- hpc6a.48xlarge (96 vCPU, 384 GiB)
- hpc6id.32xlarge (64 vCPU, 1024 GiB)
- hpc7a.12xlarge (24 vCPU, 768 GiB)
- hpc7a.24xlarge (48 vCPU, 768 GiB)
- hpc7a.48xlarge (96 vCPU, 768 GiB)
- hpc7a.96xlarge (192 vCPU, 768 GiB)
Exemple 2.7. Le stockage optimisé
- i3.metal (72† vCPU, 512 GiB)
- i3.xlarge (4 vCPU, 30.5 GiB)
- i3.2xlarge (8 vCPU, 61 GiB)
- i3.4xlarge (16 vCPU, 122 GiB)
- i3.8xlarge (32 vCPU, 244 GiB)
- i3.16xlarge (64 vCPU, 488 GiB)
- i3en.metal (96 vCPU, 768 GiB)
- i3en.xlarge (4 vCPU, 32 GiB)
- i3en.2xlarge (8 vCPU, 64 GiB)
- i3en.3xlarge (12 vCPU, 96 GiB)
- i3en.6xlarge (24 vCPU, 192 GiB)
- i3en.12xlarge (48 vCPU, 384 GiB)
- i3en.24xlarge (96 vCPU, 768 GiB)
- i4i.xlarge (4 vCPU, 32 GiB)
- i4i.2xlarge (8 vCPU, 64 GiB)
- i4i.4xlarge (16 vCPU, 128 GiB)
- i4i.8xlarge (32 vCPU, 256 GiB)
- i4i.12xlarge (48 vCPU, 384 GiB)
- i4i.16xlarge (64 vCPU, 512 GiB)
- i4i.24xlarge (96 vCPU, 768 GiB)
- i4i.32xlarge (128 vCPU, 1024 GiB)
- i4i.metal (128 vCPU, 1024 GiB)
† Ce type d’instance fournit 72 processeurs logiques sur 36 cœurs physiques.
Les types d’instances virtuelles initialisent plus rapidement que les types d’instances ".metal".
Exemple 2.8. Haute mémoire
- agrandir U-3tb1.56xlarge (224 vCPU, 3 072 GiB)
- format U-6tb1.56xlarge (224 vCPU, 6,144 GiB)
- ajouter au panier U-6tb1.112xlarge (448 vCPU, 6,144 GiB)
- ajouter au panier U-6tb1.metal (448 vCPU, 6,144 GiB)
- ajouter au panier U-9tb1.112xlarge (448 vCPU, 9,216 GiB)
- ajouter au panier U-9tb1.metal (448 vCPU, 9,216 GiB)
- ajouter au panier U-12tb1.112xlarge (448 vCPU, 12,288 GiB)
- ajouter au panier U-12tb1.metal (448 vCPU, 12 288 GiB)
- ajouter au panier U-18tb1.metal (448 vCPU, 18,432 GiB)
- ajouter au panier U-24tb1.metal (448 vCPU, 24 576 GiB)
2.1.1.6. Les types d’instance AWS pour les clusters non-CCS Copier lienLien copié sur presse-papiers!
La société OpenShift Dedicated offre les types et tailles de nœuds de travail suivants sur AWS:
Exemple 2.9. But général
- format M5.xlarge (4 vCPU, 16 GiB)
- format M5.2xlarge (8 vCPU, 32 GiB)
- format M5.4xlarge (16 vCPU, 64 GiB)
Exemple 2.10. La mémoire optimisée
- ajouter au panier R5.xlarge (4 vCPU, 32 GiB)
- ajouter au panier R5.2xlarge (8 vCPU, 64 GiB)
- longueur d’écran (16 vCPU, 128 GiB)
Exemple 2.11. Calcul optimisé
- c5.2xlarge (8 vCPU, 16 GiB)
- c5.4xlarge (16 vCPU, 32 GiB)
2.1.1.7. Les types d’instances Google Cloud Copier lienLien copié sur presse-papiers!
L’OpenShift Dedicated propose les types et tailles de nœuds de travail suivants sur Google Cloud qui sont choisis pour avoir un CPU et une capacité de mémoire communs qui sont les mêmes que les autres types d’instances cloud:
les types d’instances e2, a2 et a3 sont disponibles uniquement pour le CSC.
Exemple 2.12. But général
- Custom-4-16384 (4 vCPU, 16 GiB)
- Custom-8-32768 (8 vCPU, 32 GiB)
- Custom-16-65536 (16 vCPU, 64 GiB)
- Custom-32-131072 (32 vCPU, 128 GiB)
- Custom-48-199608 (48 vCPU, 192 GiB)
- Custom-64-262144 (64 vCPU, 256 GiB)
- Custom-96-393216 (96 vCPU, 384 GiB)
- e2-standard-4 (4 vCPU, 16 GiB)
- format N2-standard-4 (4 vCPU, 16 GiB)
- e2-standard-8 (8 vCPU, 32 GiB)
- le N2-standard-8 (8 vCPU, 32 GiB)
- e2-standard-16 (16 vCPU, 64 GiB)
- format N2-standard-16 (16 vCPU, 64 GiB)
- e2-standard-32 (32 vCPU, 128 GiB)
- le n2-standard-32 (32 vCPU, 128 GiB)
- en savoir plus N2-standard-48 (48 vCPU, 192 GiB)
- le n2-standard-64 (64 vCPU, 256 GiB)
- la N2-standard-80 (80 vCPU, 320 GiB)
- le n2-standard-96 (96 vCPU, 384 GiB)
- 2-standard-128 (128 vCPU, 512 GiB)
Exemple 2.13. La mémoire optimisée
- Custom-4-32768-ext (4 vCPU, 32 GiB)
- Custom-8-65536-ext (8 vCPU, 64 GiB)
- Custom-16-131072-ext (16 vCPU, 128 GiB)
- e2-highmem-4 (4 vCPU, 32 GiB)
- e2-highmem-8 (8 vCPU, 64 GiB)
- e2-highmem-16 (16 vCPU, 128 GiB)
- haut-mem-4 (4 vCPU, 32 GiB)
- le N2-highmem-8 (8 vCPU, 64 GiB)
- ajouter au panier N2-highmem-16 (16 vCPU, 128 GiB)
- le n2-highmem-32 (32 vCPU, 256 GiB)
- le n2-highmem-48 (48 vCPU, 384 GiB)
- le n2-highmem-64 (64 vCPU, 512 GiB)
- le n2-highmem-80 (80 vCPU, 640 GiB)
- le n2-highmem-96 (96 vCPU, 768 GiB)
- le n2-highmem-128 (128 vCPU, 864 GiB)
Exemple 2.14. Calcul optimisé
- Custom-8-16384 (8 vCPU, 16 GiB)
- Custom-16-32768 (16 vCPU, 32 GiB)
- Custom-36-73728 (36 vCPU, 72 GiB)
- Custom-48-98304 (48 vCPU, 96 GiB)
- Custom-72-147456 (72 vCPU, 144 GiB)
- Custom-96-196608 (96 vCPU, 192 GiB)
- c2-standard-4 (4 vCPU, 16 GiB)
- c2-standard-8 (8 vCPU, 32 GiB)
- c2-standard-16 (16 vCPU, 64 GiB)
- c2-standard-30 (30 vCPU, 120 GiB)
- c2-standard-60 (60 vCPU, 240 GiB)
- e2-highcpu-8 (8 vCPU, 8 GiB)
- e2-highcpu-16 (16 vCPU, 16 GiB)
- e2-highcpu-32 (32 vCPU, 32 GiB)
- ajouter au panier N2-highcpu-8 (8 vCPU, 8 GiB)
- ajouter au panier N2-highcpu-16 (16 vCPU, 16 GiB)
- le n2-highcpu-32 (32 vCPU, 32 GiB)
- 48-highcpu-48 (48 vCPU, 48 GiB)
- le n2-highcpu-64 (64 vCPU, 64 GiB)
- 80-highcpu-80 (80 vCPU, 80 GiB)
- le n2-highcpu-96 (96 vCPU, 96 GiB)
Exemple 2.15. Calcul accéléré
- a2-highgpu-1g (12 vCPU, 85 GiB)
- a2-highgpu-2g (24 vCPU, 170 GiB)
- a2-highgpu-4g (48 vCPU, 340 GiB)
- a2-highgpu-8g (96 vCPU, 680 GiB)
- a2-megagpu-16g (96 vCPU, 1.33 TiB)
- a2-ultragpu-1g (12 vCPU, 170 GiB)
- a2-ultragpu-2g (24 vCPU, 340 GiB)
- a2-ultragpu-4g (48 vCPU, 680 GiB)
- a2-ultragpu-8g (96 vCPU, 1360 GiB)
- a3-highgpu-1g (26 vCPU, 234 GiB)
- a3-highgpu-2g (52 vCPU, 468 GiB)
- a3-highgpu-4g (104 vCPU, 936 GiB)
- a3-highgpu-8g (208 vCPU, 1872 GiB)
- a3-megagpu-8g (208 vCPU, 1872 GiB)
- a3-edgegpu-8g (208 vCPU, 1872 GiB)
2.1.1.8. Les régions et les zones de disponibilité Copier lienLien copié sur presse-papiers!
Les régions suivantes sont prises en charge par OpenShift Container Platform 4 et sont prises en charge pour OpenShift Dedicated.
2.1.1.8.1. Les régions AWS et les zones de disponibilité Copier lienLien copié sur presse-papiers!
Les régions AWS suivantes sont prises en charge par OpenShift Container Platform 4 et sont prises en charge pour OpenShift Dedicated:
- AF-south-1 (Cape Town, AWS opt-in requis)
- AP-east-1 (Hong Kong, AWS opt-in requis)
- AP-northeast-1 (Tokyo)
- AP-northeast-2 (Seoul)
- AP-northeast-3 (Osaka)
- AP-sud-1 (Mumbai)
- AP-south-2 (Hyderabad, AWS opt-in requis)
- AP-sud-est-1 (Singapour)
- AP-sud-est-2 (Sydney)
- AP-sud-est-3 (Jakarta, AWS opt-in requis)
- AP-sud-est-4 (Melbourne, AWS opt-in requis)
- ca-central-1 (Centre du Canada)
- EU-central-1 (Francfort)
- EU-central-2 (Zurich, AWS opt-in requis)
- EU-north-1 (Stockholm)
- EU-Sud-1 (Milan, AWS opt-in requis)
- EU-Sudth-2 (Espagne, AWS opt-in requis)
- UE-Ouest-1 (Irlande)
- EU-west-2 (Londres)
- EU-west-3 (Paris)
- le me-central-1 (UAE, AWS opt-in requis)
- le me-sud-1 (Bahrain, AWS opt-in requis)
- hôtels proches de la SA-east-1 (São Paulo)
- États-Unis-Est-1 (N. Virginie)
- C’est nous-Est-2 (Ohio)
- États-Unis-Ouest-1 (N.-Californie)
- l’ouest-2 (Oregon)
2.1.1.8.2. Google Cloud régions et zones de disponibilité Copier lienLien copié sur presse-papiers!
Les régions Google Cloud suivantes sont actuellement prises en charge:
- Asie-Est1, comté de Changhua, Taïwan
- Asie-Est2, Hong Kong
- Asie-nord-est1, Tokyo, Japon
- Asie-nord-est2, Osaka, Japon
- Asie-sud1, Mumbai, Inde
- Asie-sud2, Delhi, Inde
- Asie-sud-Est1, Jurong Ouest, Singapour
- Australie-sud-est1, Sydney, Australie
- Australie-sud-est2, Melbourne, Australie
- Europe-Nord1, Hamina, Finlande
- Europe-Ouest1, St. Ghislain, Belgique
- Europe-Ouest2, Londres, Angleterre, Royaume-Uni
- Europe-Ouest3, Francfort, Allemagne
- Europe-Ouest4, Eemshaven, Pays-Bas
- Europe-Ouest6, Zurich, Suisse
- Europe-Ouest8, Milan, Italie
- Europe-Ouest12, Turin, Italie
- Europe-sud-Ouest1, Madrid, Espagne
- Amérique du Nord-nord-est1, Montréal, Québec, Canada
- Amérique du Sud-Est1, Osasco (São Paulo), Brésil
- Amérique du Sud-Ouest1, Santiago, Chili
- central1, Conseil Bluffs, Iowa, États-Unis
- US-east1, Moncks Corner, Caroline du Sud, États-Unis
- Ashburn, Virginie du Nord, États-Unis
- les Dalles, Oregon, États-Unis
- États-Unis d’Amérique, Los Angeles, Californie, États-Unis
- centre 1, Doha, Qatar
- central2, Dammam, Arabie saoudite
Les clusters multi-AZ ne peuvent être déployés que dans les régions avec au moins 3 zones de disponibilité (voir AWS et Google Cloud).
Chaque nouveau cluster dédié OpenShift Dedicated est installé dans un Cloud privé virtuel (VPC) dédié dans une seule région, avec la possibilité de se déployer dans une zone de disponibilité unique (Single-AZ) ou sur plusieurs zones de disponibilité (Multi-AZ). Cela permet d’isoler le réseau et les ressources au niveau du cluster, et permet les paramètres VPC fournisseurs de cloud, tels que les connexions VPN et VPC Peering. Les volumes persistants sont soutenus par le stockage de blocs cloud et sont spécifiques à la zone de disponibilité dans laquelle ils sont approvisionnés. Les volumes persistants ne se lient pas à un volume tant que la ressource de pod associée n’est pas affectée dans une zone de disponibilité spécifique afin d’éviter les pods imprévus. Les ressources spécifiques à la zone de disponibilité ne sont utilisables que par des ressources dans la même zone de disponibilité.
La région et le choix d’une zone de disponibilité unique ou multiple ne peuvent pas être modifiés une fois qu’un cluster a été déployé.
2.1.1.9. Accord de niveau de service (SLA) Copier lienLien copié sur presse-papiers!
Les SLA du service lui-même sont définies à l’annexe 4 de l’Annexe 4 de l’Accord d’entreprise Red Hat (Services d’abonnement en ligne).
2.1.1.10. Le statut de soutien limité Copier lienLien copié sur presse-papiers!
Lorsqu’un cluster passe à un statut de support limité, Red Hat ne surveille plus de manière proactive le cluster, le SLA n’est plus applicable et les crédits demandés contre l’ALS sont refusés. Cela ne signifie pas que vous n’avez plus de support produit. Dans certains cas, le cluster peut revenir à un statut entièrement pris en charge si vous corrigez les facteurs de violation. Cependant, dans d’autres cas, vous devrez peut-être supprimer et recréer le cluster.
Il est possible qu’un cluster passe à un statut de support limité pour de nombreuses raisons, y compris les scénarios suivants:
- Lorsque vous ne mettez pas à niveau un cluster vers une version prise en charge avant la date de fin de vie
Le Red Hat ne fait aucune garantie d’exécution ou de SLA pour les versions après leur date de fin de vie. Afin de recevoir un soutien continu, mettre à niveau le cluster vers une version prise en charge avant la date de fin de vie. Lorsque vous ne mettez pas à niveau le cluster avant la date de fin de vie, le cluster passe à un statut de support limité jusqu’à ce qu’il soit mis à niveau vers une version prise en charge.
Le Red Hat fournit un support commercialement raisonnable pour passer d’une version non prise en charge à une version prise en charge. Cependant, si un chemin de mise à niveau pris en charge n’est plus disponible, vous devrez peut-être créer un nouveau cluster et migrer vos charges de travail.
- Dans le cas où vous supprimez ou remplacez des composants natifs OpenShift dédiés ou tout autre composant installé et géré par Red Hat
- En cas d’utilisation des autorisations d’administrateur de clusters, Red Hat n’est pas responsable des actions de vos utilisateurs autorisés ou de vos utilisateurs autorisés, y compris celles qui affectent les services d’infrastructure, la disponibilité des services ou la perte de données. Dans le cas où Red Hat détecte de telles actions, le cluster pourrait passer à un statut de support limité. Le Red Hat vous informe du changement d’état et vous devriez soit inverser l’action, soit créer un cas de support pour explorer les étapes d’assainissement qui pourraient vous obliger à supprimer et à recréer le cluster.
Lorsque vous avez des questions sur une action spécifique qui pourrait faire passer un cluster à un statut de support limité ou avoir besoin d’une assistance supplémentaire, ouvrez un ticket de support.
2.1.1.11. Le soutien Copier lienLien copié sur presse-papiers!
Le service OpenShift Dedicated inclut le support Red Hat Premium, auquel vous pouvez accéder en utilisant le portail client Red Hat.
Consultez la page Portée de couverture pour plus de détails sur ce qui est couvert avec le support inclus pour OpenShift Dedicated.
Consultez les SLA dédiés OpenShift pour les temps de réponse de support.
2.1.2. L’exploitation forestière Copier lienLien copié sur presse-papiers!
En option, OpenShift Dedicated fournit un transfert de journal intégré vers Amazon CloudWatch (sur AWS) ou Google Cloud Logging (sur GCP).
Consultez À propos de la collecte et de la transmission des journaux pour plus d’informations.
2.1.2.1. Enregistrement de l’audit en grappes Copier lienLien copié sur presse-papiers!
Les journaux d’audit en cluster sont disponibles via Amazon CloudWatch (sur AWS) ou Google Cloud Logging (sur GCP), si l’intégration est activée. Lorsque l’intégration n’est pas activée, vous pouvez demander les journaux d’audit en ouvrant un dossier d’assistance. Les demandes de journaux d’audit doivent préciser une date et une période ne dépassant pas 21 jours. Lorsque vous demandez des journaux d’audit, les clients doivent savoir que les journaux d’audit sont de nombreux GB par jour en taille.
2.1.2.2. Enregistrement des applications Copier lienLien copié sur presse-papiers!
Les journaux d’application envoyés à STDOUT sont transmis à Amazon CloudWatch (sur AWS) ou Google Cloud Logging (sur GCP) via la pile de journalisation des clusters, s’il est installé.
2.1.3. Le suivi Copier lienLien copié sur presse-papiers!
2.1.3.1. Les métriques des clusters Copier lienLien copié sur presse-papiers!
Les clusters dédiés OpenShift sont livrés avec une pile Prometheus/Grafana intégrée pour la surveillance des clusters, y compris les métriques CPU, mémoire et réseau. Ceci est accessible via la console Web et peut également être utilisé pour afficher l’état et la capacité / utilisation au niveau du cluster via un tableau de bord Grafana. Ces métriques permettent également un autoscaling de pod horizontal basé sur des métriques CPU ou mémoire fournies par un utilisateur dédié OpenShift.
2.1.3.2. Les notifications de cluster Copier lienLien copié sur presse-papiers!
Les notifications de cluster sont des messages sur l’état, la santé ou les performances de votre cluster.
Les notifications de cluster sont la principale façon dont Red Hat Site Reliability Engineering (SRE) communique avec vous sur la santé de votre cluster géré. Le SRE peut également utiliser des notifications de cluster pour vous inviter à effectuer une action afin de résoudre ou d’empêcher un problème avec votre cluster.
Les propriétaires de clusters et les administrateurs doivent régulièrement examiner et agir les notifications de clusters pour s’assurer que les clusters restent en bonne santé et pris en charge.
Dans l’onglet Historique des clusters de votre cluster, vous pouvez afficher les notifications de cluster dans la console de cloud hybride Red Hat. Par défaut, seul le propriétaire du cluster reçoit des notifications de cluster sous forme d’e-mails. Lorsque d’autres utilisateurs doivent recevoir des e-mails de notification en cluster, ajoutez chaque utilisateur comme contact de notification pour votre cluster.
2.1.4. Le réseautage Copier lienLien copié sur presse-papiers!
2.1.4.1. Domaines personnalisés pour les applications Copier lienLien copié sur presse-papiers!
En commençant par OpenShift Dedicated 4.14, l’opérateur de domaine personnalisé est obsolète. Afin de gérer Ingress dans OpenShift Dedicated 4.14 ou ultérieur, utilisez l’opérateur Ingress. La fonctionnalité est inchangée pour OpenShift Dedicated 4.13 et versions antérieures.
Afin d’utiliser un nom d’hôte personnalisé pour un itinéraire, vous devez mettre à jour votre fournisseur DNS en créant un enregistrement de nom canonique (CNAME). L’enregistrement CNAME doit cartographier le nom d’hôte du routeur canonique OpenShift à votre domaine personnalisé. Le nom d’hôte du routeur canonique OpenShift est affiché sur la page Détails de l’itinéraire après la création d’une Route. Alternativement, un enregistrement générique CNAME peut être créé une fois pour acheminer tous les sous-domaines d’un nom d’hôte donné vers le routeur du cluster.
2.1.4.2. Domaines personnalisés pour les services de cluster Copier lienLien copié sur presse-papiers!
Les domaines et sous-domaines personnalisés ne sont pas disponibles pour les routes de service de la plate-forme, par exemple, les routes API ou console Web, ou pour les routes d’application par défaut.
2.1.4.3. Certificats validés par domaine Copier lienLien copié sur presse-papiers!
Le programme OpenShift Dedicated inclut les certificats de sécurité TLS nécessaires à la fois pour les services internes et externes sur le cluster. Dans le cas des routes externes, il y a deux certificats de wildcard TLS distincts qui sont fournis et installés sur chaque cluster, un pour la console Web et les noms d’hôte par défaut d’itinéraire et le second pour le point de terminaison API. Let's Encrypt est l’autorité de certification utilisée pour les certificats. Les itinéraires au sein du cluster, par exemple, le point de terminaison interne de l’API, utilisent les certificats TLS signés par l’autorité de certification intégrée du cluster et exigent le paquet CA disponible dans chaque pod pour faire confiance au certificat TLS.
2.1.4.4. Autorités de certification personnalisées pour les constructions Copier lienLien copié sur presse-papiers!
Le logiciel OpenShift Dedicated prend en charge l’utilisation d’autorités de certification personnalisées à utiliser par les builds lors de l’extraction d’images à partir d’un registre d’images.
2.1.4.5. Balanceurs de charge Copier lienLien copié sur presse-papiers!
L’OpenShift Dedicated utilise jusqu’à 5 balanceurs de charge différents:
- Balanceur de charge de plan de contrôle interne qui est interne au cluster et utilisé pour équilibrer le trafic pour les communications internes de cluster.
- Balanceur de charge de plan de contrôle externe utilisé pour accéder aux API OpenShift Container Platform et Kubernetes. Cet équilibreur de charge peut être désactivé dans Red Hat OpenShift Cluster Manager. Lorsque cet équilibreur de charge est désactivé, Red Hat reconfigure le DNS API pour pointer vers l’équilibreur de charge de contrôle interne.
- Balanceur de charge de plan de contrôle externe pour Red Hat qui est réservé à la gestion des clusters par Red Hat. L’accès est strictement contrôlé, et la communication n’est possible que par les hôtes de bastion autorisés.
- Balanceur de charge routeur / ingère par défaut qui est l’équilibreur de charge par défaut de l’application, indiqué par les applications dans l’URL. L’équilibreur de charge par défaut peut être configuré dans OpenShift Cluster Manager pour être soit accessible au public sur Internet, soit uniquement accessible en privé via une connexion privée préexistante. L’ensemble des itinéraires d’application du cluster sont exposés sur cet équilibreur de charge de routeur par défaut, y compris les services de cluster tels que l’interface utilisateur de journalisation, l’API métrique et le registre.
- Facultatif: l’équilibreur de charge secondaire de routeur / ingère qui est un équilibreur de charge d’application secondaire, indiqué par les applications2 dans l’URL. L’équilibreur de charge secondaire peut être configuré dans OpenShift Cluster Manager pour être soit accessible au public sur Internet, soit uniquement accessible en privé via une connexion privée préexistante. En cas de configuration d’un 'Label Match' pour cet équilibreur de charge de routeur, seuls les itinéraires d’application correspondant à cette étiquette seront exposés sur cet équilibreur de charge du routeur, sinon tous les itinéraires d’application sont également exposés sur cet équilibreur de charge du routeur.
- Facultatif: Les équilibreurs de charge pour les services qui peuvent être mappés à un service fonctionnant sur OpenShift Dedicated pour activer des fonctionnalités avancées d’entrée, telles que le trafic non-HTTP/SNI ou l’utilisation de ports non standard. Ceux-ci peuvent être achetés en groupes de 4 pour les clusters non-CCS, ou ils peuvent être fournis via la console fournisseur de cloud dans les clusters d’abonnement au cloud client (CCS); cependant, chaque compte AWS dispose d’un quota qui limite le nombre d’équilibreurs de charge classiques pouvant être utilisés dans chaque cluster.
2.1.4.6. L’utilisation du réseau Copier lienLien copié sur presse-papiers!
Dans le cas des clusters dédiés à OpenShift non-CCS, l’utilisation du réseau est mesurée en fonction du transfert de données entre le trafic entrant, VPC peering, VPN et AZ. Dans un cluster de base non-CCS OpenShift dédié, 12 To d’E/S réseau sont fournis. Des E/S supplémentaires de réseau peuvent être achetées par incréments de 12 To. Dans le cas des clusters dédiés à CCS OpenShift, l’utilisation du réseau n’est pas surveillée et est facturée directement par le fournisseur de cloud.
2.1.4.7. Entrée de cluster Copier lienLien copié sur presse-papiers!
Les administrateurs de projet peuvent ajouter des annotations d’itinéraire à de nombreuses fins différentes, y compris le contrôle d’entrée grâce à la liste d’autorisations IP.
Les stratégies d’entrée peuvent également être modifiées en utilisant les objets NetworkPolicy, qui exploitent le plugin ovs-networkpolicy. Cela permet un contrôle total de la stratégie réseau d’entrée jusqu’au niveau pod, y compris entre les pods sur le même cluster et même dans le même espace de noms.
L’ensemble du trafic d’entrée de cluster passe par les équilibreurs de charge définis. L’accès direct à tous les nœuds est bloqué par la configuration du cloud.
2.1.4.8. Egress de cluster Copier lienLien copié sur presse-papiers!
Le contrôle du trafic par le biais d’objets EgressNetworkPolicy peut être utilisé pour prévenir ou limiter le trafic sortant dans OpenShift Dedicated.
Le trafic public sortant du plan de contrôle et des nœuds d’infrastructure est nécessaire pour maintenir la sécurité de l’image de cluster et la surveillance des clusters. Cela nécessite que l’itinéraire 0.0.0.0/0 appartienne uniquement à la passerelle Internet; il n’est pas possible d’acheminer cette gamme sur des connexions privées.
Les clusters dédiés à OpenShift utilisent les passerelles NAT pour présenter une IP publique statique pour tout trafic public sortant du cluster. Chaque sous-réseau dans lequel un cluster est déployé reçoit une passerelle NAT distincte. Dans le cas des clusters déployés sur AWS avec plusieurs zones de disponibilité, jusqu’à 3 adresses IP statiques uniques peuvent exister pour le trafic de sortie de cluster. Dans le cas des clusters déployés sur Google Cloud, quelle que soit la topologie de la zone de disponibilité, il y aura 1 adresse IP statique pour le trafic de nœuds de travail. Le trafic qui reste à l’intérieur du cluster ou qui ne sort pas vers l’Internet public ne passera pas par la passerelle NAT et aura une adresse IP source appartenant au nœud d’origine du trafic. Les adresses IP des nœuds sont dynamiques et, par conséquent, un client ne devrait pas compter sur l’autorisation d’une adresse IP individuelle lors de l’accès aux ressources privées.
Les clients peuvent déterminer leurs adresses IP statiques publiques en exécutant un pod sur le cluster, puis en interrogeant un service externe. À titre d’exemple:
oc run ip-lookup --image=busybox -i -t --restart=Never --rm -- /bin/sh -c "/bin/nslookup -type=a myip.opendns.com resolver1.opendns.com | grep -E 'Address: [0-9.]+'"
$ oc run ip-lookup --image=busybox -i -t --restart=Never --rm -- /bin/sh -c "/bin/nslookup -type=a myip.opendns.com resolver1.opendns.com | grep -E 'Address: [0-9.]+'"
2.1.4.9. Configuration du réseau cloud Copier lienLien copié sur presse-papiers!
L’OpenShift Dedicated permet la configuration d’une connexion réseau privée via plusieurs technologies gérées par des fournisseurs de cloud:
- Connexions VPN
- AWS VPC peering
- AWS Transit Gateway
- AWS Direct Connect
- Google Cloud VPC Network peering
- Google Cloud Classic VPN
- Google Cloud HA VPN
Les SRE Red Hat ne surveillent pas les connexions réseau privées. La surveillance de ces connexions relève de la responsabilité du client.
2.1.4.10. Envoi DNS Copier lienLien copié sur presse-papiers!
Dans le cas des clusters dédiés à OpenShift qui ont une configuration de réseau cloud privé, un client peut spécifier des serveurs DNS internes disponibles sur cette connexion privée qui devraient être interrogés pour les domaines explicitement fournis.
2.1.4.11. La vérification du réseau Copier lienLien copié sur presse-papiers!
Les vérifications réseau s’exécutent automatiquement lorsque vous déployez un cluster dédié OpenShift dans un cloud privé virtuel (VPC) existant ou créez un pool de machines supplémentaire avec un sous-réseau qui est nouveau à votre cluster. Les vérifications valident votre configuration réseau et mettent en évidence les erreurs, vous permettant de résoudre les problèmes de configuration avant le déploiement.
Il est également possible d’exécuter manuellement les vérifications réseau pour valider la configuration d’un cluster existant.
2.1.5. Le stockage Copier lienLien copié sur presse-papiers!
2.1.5.1. Stockage crypté du système d’exploitation/node Copier lienLien copié sur presse-papiers!
Les nœuds de plan de contrôle utilisent le stockage crypté au repos-EBS.
2.1.5.2. Crypté au repos PV Copier lienLien copié sur presse-papiers!
Les volumes EBS utilisés pour les volumes persistants (PV) sont cryptés au repos par défaut.
2.1.5.3. Bloc de stockage (RWO) Copier lienLien copié sur presse-papiers!
Les volumes persistants (PV) sont soutenus par AWS EBS et Google Cloud, qui utilise le mode d’accès ReadWriteOnce (RWO). Dans un cluster de base non-CCS OpenShift dédié, 100 Go de stockage par bloc sont fournis pour les PV, qui sont fournis dynamiquement et recyclés en fonction des demandes d’application. Le stockage persistant supplémentaire peut être acheté par incréments de 500 Go.
Les PVS ne peuvent être attachés qu’à un seul nœud à la fois et sont spécifiques à la zone de disponibilité dans laquelle ils ont été fournis, mais ils peuvent être attachés à n’importe quel nœud dans la zone de disponibilité.
Chaque fournisseur de cloud a ses propres limites pour combien de PV peuvent être attachés à un seul nœud. Consultez les limites de type d’instance AWS ou les types de machines personnalisées de Google Cloud Platform pour plus de détails.
2.1.6. La plate-forme Copier lienLien copié sur presse-papiers!
2.1.6.1. La stratégie de sauvegarde des clusters Copier lienLien copié sur presse-papiers!
Il est essentiel que les clients disposent d’un plan de sauvegarde pour leurs applications et leurs données d’application.
Les sauvegardes de données d’application et d’application ne font pas partie du service dédié OpenShift. Dans chaque cluster dédié OpenShift, tous les objets Kubernetes sont sauvegardés pour faciliter une récupération rapide dans le cas peu probable qu’un cluster devienne irréparable.
Les sauvegardes sont stockées dans un seau de stockage d’objets sécurisé (Multi-AZ) dans le même compte que le cluster. Les volumes racine des nœuds ne sont pas sauvegardés parce que Red Hat Enterprise Linux CoreOS est entièrement géré par le cluster OpenShift Container Platform et qu’aucune donnée étatique ne doit être stockée sur le volume racine d’un nœud.
Le tableau suivant montre la fréquence des sauvegardes:
Composante | Fréquence de capture d’écran | La rétention | Les notes |
---|---|---|---|
Sauvegarde complète du magasin d’objets | Chaque jour à 0100 UTC | 7 jours | Il s’agit d’une sauvegarde complète de tous les objets Kubernetes. Aucun volume persistant (PV) n’est sauvegardé dans ce calendrier de sauvegarde. |
Sauvegarde complète du magasin d’objets | Hebdomadaire le lundi à 0200 UTC | 30 jours | Il s’agit d’une sauvegarde complète de tous les objets Kubernetes. Aucun PV n’est sauvegardé dans ce calendrier de sauvegarde. |
Sauvegarde complète du magasin d’objets | Heure à 17 minutes après l’heure | 24 heures | Il s’agit d’une sauvegarde complète de tous les objets Kubernetes. Aucun PV n’est sauvegardé dans ce calendrier de sauvegarde. |
2.1.6.2. Autoscaling Copier lienLien copié sur presse-papiers!
La mise à l’échelle automatique des nœuds est disponible sur OpenShift Dedicated. Consultez À propos des nœuds autoscaling sur un cluster pour plus d’informations sur les nœuds autoscaling sur un cluster.
2.1.6.3. Ensembles de démons Copier lienLien copié sur presse-papiers!
Les clients peuvent créer et exécuter DaemonSets sur OpenShift Dedicated. Afin de limiter DaemonSets à fonctionner uniquement sur les nœuds de travail, utilisez le nodeSelector suivant:
... spec: nodeSelector: role: worker ...
...
spec:
nodeSelector:
role: worker
...
2.1.6.4. La zone de disponibilité multiple Copier lienLien copié sur presse-papiers!
Dans un cluster de zones de disponibilité multiple, les nœuds de contrôle sont répartis entre les zones de disponibilité et au moins trois nœuds de travail sont requis dans chaque zone de disponibilité.
2.1.6.5. Étiquettes des nœuds Copier lienLien copié sur presse-papiers!
Les étiquettes de nœuds personnalisés sont créées par Red Hat lors de la création de nœuds et ne peuvent pas être modifiées sur les clusters dédiés OpenShift pour le moment.
2.1.6.6. La version OpenShift Copier lienLien copié sur presse-papiers!
Le service OpenShift Dedicated est mis à jour avec la dernière version OpenShift Container Platform.
2.1.6.7. Des mises à niveau Copier lienLien copié sur presse-papiers!
Consultez le cycle de vie dédié OpenShift pour plus d’informations sur la politique et les procédures de mise à niveau.
2.1.6.8. Conteneurs Windows Copier lienLien copié sur presse-papiers!
Les conteneurs Windows ne sont pas disponibles sur OpenShift Dedicated pour le moment.
2.1.6.9. Conteneur moteur Copier lienLien copié sur presse-papiers!
L’OpenShift Dedicated fonctionne sur OpenShift 4 et utilise CRI-O comme seul moteur de conteneur disponible.
2.1.6.10. Le système d’exploitation Copier lienLien copié sur presse-papiers!
Le système OpenShift Dedicated fonctionne sur OpenShift 4 et utilise Red Hat Enterprise Linux CoreOS comme système d’exploitation pour tous les nœuds de plan de contrôle et de travail.
2.1.6.11. Assistance de Red Hat Operator Copier lienLien copié sur presse-papiers!
Les charges de travail Red Hat se réfèrent généralement aux opérateurs fournis par Red Hat mis à disposition par l’intermédiaire de l’opérateur Hub. Les charges de travail Red Hat ne sont pas gérées par l’équipe Red Hat SRE et doivent être déployées sur les nœuds des travailleurs. Ces opérateurs peuvent nécessiter des abonnements supplémentaires à Red Hat et peuvent entraîner des coûts d’infrastructure cloud supplémentaires. Des exemples de ces opérateurs fournis par Red Hat sont:
- Chapeau rouge Quay
- Gestion avancée des clusters Red Hat
- Ajouter au panier Red Hat Advanced Cluster Security
- Chapeau rouge OpenShift Service Mesh
- Informations sur OpenShift Serverless
- Coupe rouge OpenShift Logging
- Chapeau rouge OpenShift Pipelines
2.1.6.12. Assistance de l’opérateur Kubernetes Copier lienLien copié sur presse-papiers!
Les opérateurs inscrits sur le marché OperatorHub devraient être disponibles pour l’installation. Les opérateurs installés à partir de OperatorHub, y compris Red Hat Operators, ne sont pas gérés SRE dans le cadre du service dédié OpenShift. Consultez le portail client Red Hat pour plus d’informations sur la compatibilité d’un opérateur donné.
2.1.7. La sécurité Copier lienLien copié sur presse-papiers!
Cette section fournit des informations sur la définition du service pour la sécurité dédiée à OpenShift.
2.1.7.1. Fournisseur d’authentification Copier lienLien copié sur presse-papiers!
L’authentification pour le cluster est configurée dans le cadre du processus de création de clusters Red Hat OpenShift Cluster Manager. « OpenShift n’est pas un fournisseur d’identité, et tout accès au cluster doit être géré par le client dans le cadre de sa solution intégrée. Le provisionnement de plusieurs fournisseurs d’identité fournis en même temps est pris en charge. Les fournisseurs d’identité suivants sont pris en charge:
- GitHub ou GitHub Enterprise OAuth
- GitLab OAuth
- Google OAuth
- LDAP
- Connexion OpenID
2.1.7.2. Conteneurs privilégiés Copier lienLien copié sur presse-papiers!
Les conteneurs privilégiés ne sont pas disponibles par défaut sur OpenShift Dedicated. Les contraintes de contexte de sécurité anyuid et non racine sont disponibles pour les membres du groupe admins dédiés, et devraient traiter de nombreux cas d’utilisation. Les conteneurs privilégiés ne sont disponibles que pour les utilisateurs de cluster-admin.
2.1.7.3. Administrateur client utilisateur Copier lienLien copié sur presse-papiers!
En plus des utilisateurs normaux, OpenShift Dedicated fournit l’accès à un groupe dédié OpenShift spécifique appelé dédié-admin. Les utilisateurs du cluster qui sont membres du groupe admin dédié:
- Avoir un accès administrateur à tous les projets créés par le client sur le cluster.
- Gérer les quotas de ressources et les limites du cluster.
- Il peut ajouter et gérer des objets NetworkPolicy.
- Ils sont capables d’afficher des informations sur des nœuds spécifiques et des PV dans le cluster, y compris les informations sur les planificateurs.
- Accéder au projet admin réservé sur le cluster, ce qui permet la création de comptes de service avec des privilèges élevés et permet également de mettre à jour les limites et les quotas par défaut pour les projets sur le cluster.
- Il peut installer des Opérateurs à partir de OperatorHub (* verbes dans tous les groupes d’API *.operators.coreos.com).
2.1.7.4. Le rôle de l’administration des clusters Copier lienLien copié sur presse-papiers!
En tant qu’administrateur d’OpenShift Dedicated with Customer Cloud Subscriptions (CCS), vous avez accès au rôle cluster-admin. Alors qu’ils sont connectés à un compte avec le rôle de cluster-admin, les utilisateurs ont pour la plupart un accès illimité au contrôle et à la configuration du cluster. Il y a certaines configurations qui sont bloquées avec des webhooks pour empêcher le désétablissement du cluster, ou parce qu’elles sont gérées dans OpenShift Cluster Manager et tout changement dans l’inclusion serait écrasé.
2.1.7.5. Libre-service de projet Copier lienLien copié sur presse-papiers!
L’ensemble des utilisateurs, par défaut, ont la possibilité de créer, mettre à jour et supprimer leurs projets. Cela peut être restreint si un membre du groupe admin dédié supprime le rôle d’auto-fournisseur des utilisateurs authentifiés:
oc adm policy remove-cluster-role-from-group self-provisioner system:authenticated:oauth
$ oc adm policy remove-cluster-role-from-group self-provisioner system:authenticated:oauth
Les restrictions peuvent être annulées en appliquant:
oc adm policy add-cluster-role-to-group self-provisioner system:authenticated:oauth
$ oc adm policy add-cluster-role-to-group self-provisioner system:authenticated:oauth
2.1.7.6. Conformité réglementaire Copier lienLien copié sur presse-papiers!
La société OpenShift Dedicated suit les meilleures pratiques courantes de l’industrie en matière de sécurité et de contrôle. Les certifications sont décrites dans le tableau suivant.
Conformité | Dédié à OpenShift sur AWS | Dédié à OpenShift sur GCP |
---|---|---|
HIPAA Qualifié | (abonnements uniquement au cloud client) | (abonnements uniquement au cloud client) |
ISO 27001 | ♪ oui ♪ | ♪ oui ♪ |
DSS PCI | ♪ oui ♪ | ♪ oui ♪ |
Le SOC 2 de type 2 | ♪ oui ♪ | ♪ oui ♪ |
2.1.7.7. La sécurité du réseau Copier lienLien copié sur presse-papiers!
Chaque cluster dédié OpenShift est protégé par une configuration réseau sécurisée au niveau de l’infrastructure cloud en utilisant les règles de pare-feu (AWS Security Groups ou Google Cloud Compute Engine). Les clients dédiés sur AWS sont également protégés contre les attaques DDoS avec AWS Shield Standard. De même, tous les équilibreurs de charge GCP et les adresses IP publiques utilisées par OpenShift Dedicated on GCP sont protégés contre les attaques DDoS avec Google Cloud Armor Standard.
2.1.7.8. chiffrement etcd Copier lienLien copié sur presse-papiers!
Dans OpenShift Dedicated, le stockage du plan de contrôle est crypté au repos par défaut et cela inclut le cryptage des volumes etcd. Ce chiffrement de niveau de stockage est fourni via la couche de stockage du fournisseur de cloud.
Il est également possible d’activer le chiffrement etcd, qui chiffre les valeurs clés dans etcd, mais pas les clés. Lorsque vous activez le cryptage etcd, les ressources suivantes du serveur API Kubernetes et OpenShift API sont cryptées:
- Les secrets
- Configuration des cartes
- Itinéraires
- Jetons d’accès OAuth
- Autoriser les jetons OAuth
La fonction de chiffrement etcd n’est pas activée par défaut et ne peut être activée qu’au moment de l’installation du cluster. Bien que le chiffrement etcd soit activé, les valeurs clés etcd sont accessibles à toute personne ayant accès aux nœuds de plan de contrôle ou aux privilèges cluster-admin.
En activant le chiffrement etcd pour les valeurs clés dans etcd, vous subirez un surcharge de performance d’environ 20%. Les frais généraux sont le résultat de l’introduction de cette deuxième couche de chiffrement, en plus du chiffrement de stockage de plan de contrôle par défaut qui crypte les volumes etcd. Le Red Hat vous recommande d’activer le chiffrement etc. uniquement si vous en avez spécifiquement besoin pour votre cas d’utilisation.