Red Hat SummitChapitre 17. Débuter avec ROSA
17.1. Tutoriel: Qu’est-ce que ROSA
Le service OpenShift Red Hat sur AWS (ROSA) est une plateforme d’applications clé en main entièrement gérée qui vous permet de vous concentrer sur ce qui compte le plus, en fournissant de la valeur à vos clients en créant et en déployant des applications. Les experts de Red Hat et AWS SRE gèrent la plate-forme sous-jacente afin que vous n’ayez pas à vous soucier de la gestion de l’infrastructure. La ROSA fournit une intégration transparente avec une large gamme de services de calcul AWS, de bases de données, d’analyse, d’apprentissage automatique, de réseautage, de mobile et d’autres services afin d’accélérer la création et la fourniture d’expériences différenciées à vos clients.
Le ROSA utilise AWS Security Token Service (STS) pour obtenir des informations d’identification pour gérer l’infrastructure de votre compte AWS. AWS STS est un service Web mondial qui crée des informations d’identification temporaires pour les utilisateurs IAM ou les utilisateurs fédérés. La ROSA s’en sert pour attribuer des informations d’identification de sécurité à court terme et à privilèges limités. Ces informations d’identification sont associées aux rôles IAM qui sont spécifiques à chaque composant qui effectue des appels API AWS. Cette méthode s’harmonise avec les principes du moindre privilège et des pratiques sécurisées dans la gestion des ressources de service cloud. L’outil d’interface de ligne de commande ROSA (CLI) gère les informations d’identification STS qui sont assignées pour des tâches uniques et agit sur les ressources AWS dans le cadre de la fonctionnalité OpenShift.
17.1.1. Caractéristiques clés de ROSA
- Accès et utilisation de Red Hat OpenShift à la demande grâce à une expérience d’intégration en libre-service via la console de gestion AWS.
- Des prix flexibles et basés sur la consommation : Évoluez en fonction des besoins de votre entreprise et payez au fur et à mesure de la flexibilité des prix et d’un modèle de facturation horaire ou annuel à la demande.
- Facture unique pour l’utilisation de Red Hat OpenShift et AWS : les clients recevront une seule facture d’AWS pour la consommation de Red Hat OpenShift et AWS.
- Expérience de support entièrement intégrée : l’installation, la gestion, la maintenance et les mises à niveau sont effectuées par des ingénieurs de fiabilité du site de Red Hat (SRE) avec le support conjoint Red Hat et Amazon et un accord de niveau de service (SLA) de 99,95 %.
- Intégration de services AWS: AWS dispose d’un portefeuille robuste de services cloud, tels que le calcul, le stockage, la mise en réseau, la base de données, l’analyse et l’apprentissage automatique. L’ensemble de ces services est directement accessible via ROSA. Cela facilite la construction, l’exploitation et l’échelle mondiale et à la demande grâce à une interface de gestion familière.
- Disponibilité maximale : Déployez des clusters sur plusieurs zones de disponibilité dans les régions prises en charge pour maximiser la disponibilité et maintenir une disponibilité élevée pour vos applications et données critiques.
- Cluster node scaling: Ajoutez ou supprimez facilement des nœuds de calcul pour correspondre à la demande de ressources.
- Clusters optimisés: Choisissez parmi les types d’instance EC2 optimisés, optimisés par calcul ou à usage général avec des clusters dimensionnés pour répondre à vos besoins.
- Disponibilité mondiale : Se reporter à la page de disponibilité régionale du produit pour voir où ROSA est disponible à l’échelle mondiale.
17.1.2. La ROSA et les Kubernetes
Dans ROSA, tout ce dont vous avez besoin pour déployer et gérer des conteneurs est groupé, y compris la gestion des conteneurs, les opérateurs, le réseau, l’équilibrage de charge, le maillage de service, le CI/CD, le pare-feu, la surveillance, le registre, l’authentification et les capacités d’autorisation. Ces composants sont testés ensemble pour des opérations unifiées en tant que plate-forme complète. Les opérations de cluster automatisées, y compris les mises à niveau de plate-forme en direct, améliorent encore votre expérience Kubernetes.
17.1.3. Les responsabilités de base
En général, le déploiement et l’entretien des clusters relèvent de la responsabilité de Red Hat ou d’AWS, tandis que les applications, les utilisateurs et les données relèvent de la responsabilité du client. Afin d’obtenir une ventilation plus détaillée des responsabilités, voir la matrice des responsabilités.
17.1.4. Feuille de route et demandes de fonctionnalités
Consultez la feuille de route ROSA pour rester au courant de l’état des fonctionnalités en cours de développement. Lancez un nouveau problème si vous avez des suggestions pour l’équipe produit.
17.1.5. Disponibilité de la région AWS
Consultez la page de disponibilité régionale du produit pour obtenir une vue à jour de l’endroit où le ROSA est disponible.
17.1.6. Certifications de conformité
Actuellement, ROSA est conforme aux normes SOC-2 type 2, SOC 3, ISO-27001, ISO 27017, ISO 27018, HIPAA, GDPR et PCI-DSS. En outre, nous travaillons actuellement vers FedRAMP High.
17.1.7. Les nœuds
17.1.7.1. Nœuds de travail dans plusieurs régions AWS
Les nœuds d’un cluster ROSA doivent être situés dans la même région AWS. Dans le cas des clusters configurés pour plusieurs zones de disponibilité, les nœuds de plan de contrôle et les nœuds ouvriers seront répartis entre les zones de disponibilité.
17.1.7.2. Le nombre minimum de nœuds de travailleurs
Dans le cas d’un cluster ROSA, le minimum est de 2 nœuds ouvriers pour la zone de disponibilité unique et de 3 nœuds ouvriers pour plusieurs zones de disponibilité.
17.1.7.3. Le système d’exploitation des nœuds sous-jacents
Comme pour toutes les offres OpenShift v4.x, le plan de contrôle, l’infra et les nœuds de travail exécutent Red Hat Enterprise Linux CoreOS (RHCOS).
17.1.7.4. Hibernation ou arrêt des nœuds
À l’heure actuelle, ROSA n’a pas de fonction d’hibernation ou d’arrêt pour les nœuds. La fonction d’arrêt et d’hibernation est une fonctionnalité de plate-forme OpenShift qui n’est pas encore assez mature pour une utilisation généralisée des services cloud.
17.1.7.5. Instances prises en charge pour les nœuds ouvriers
Dans la liste complète des instances prises en charge pour les nœuds de travail, voir les types d’instances AWS. Les instances ponctuelles sont également prises en charge.
17.1.7.6. Autoscaling des nœuds
La mise à l’échelle automatique vous permet d’ajuster automatiquement la taille du cluster en fonction de la charge de travail actuelle. Consultez À propos des nœuds autoscaling sur un cluster pour plus de détails.
17.1.7.7. Le nombre maximal de nœuds de travailleurs
Le nombre maximal de nœuds de travail dans les versions 4.14.14 et ultérieures des clusters ROSA est de 249. Dans les versions précédentes, la limite est de 180 nœuds.
La documentation de l’ACR fournit une liste des rôles à l’échelle du compte et par groupe.
17.1.8. Administrateurs
L’administrateur d’un client ROSA peut gérer les utilisateurs et les quotas en plus d’accéder à tous les projets créés par l’utilisateur.
17.1.9. Les versions et mises à jour OpenShift
Le ROSA est un service géré basé sur OpenShift Container Platform. La version actuelle et les dates du cycle de vie sont affichées dans la documentation ROSA.
Les clients peuvent passer à la dernière version d’OpenShift et utiliser les fonctionnalités de cette version d’OpenShift. Consultez les dates du cycle de vie pour plus d’informations. Les fonctionnalités OpenShift ne sont pas toutes disponibles sur ROSA. Examinez la définition du service pour plus d’informations.
17.1.10. Le soutien
Il est possible d’ouvrir un billet directement à partir de l’OpenShift Cluster Manager. Consultez la documentation de support ROSA pour plus de détails sur l’obtention du soutien.
En outre, vous pouvez visiter le portail client Red Hat pour rechercher ou parcourir la base de connaissances Red Hat sur les articles et solutions relatifs aux produits Red Hat ou soumettre un dossier d’assistance à Red Hat Support.
17.1.10.1. Le soutien limité
Lorsqu’un cluster ROSA n’est pas mis à niveau avant la date de fin de vie, le cluster continue de fonctionner dans un statut de support limité. Le SLA pour ce cluster ne sera plus applicable, mais vous pouvez toujours obtenir un support pour ce cluster. Consultez la documentation d’état du support limité pour plus de détails.
Autres ressources d ' appui
- Appui au chapeau rouge
Les clients d’assistance AWS doivent avoir un contrat de support AWS valide
17.1.11. Accord de niveau de service (SLA)
Consultez la page ROSA SLA pour plus de détails.
17.1.12. Les notifications et la communication
Le Red Hat fournira des notifications concernant les nouvelles fonctionnalités Red Hat et AWS, les mises à jour et la maintenance programmée par e-mail et le journal de service Hybrid Cloud Console.
17.1.13. Courtier Open Service pour AWS (OBSA)
Il est possible d’utiliser OSBA avec ROSA. Cependant, la méthode préférée est la plus récente AWS Controller pour Kubernetes. Consultez Open Service Broker pour AWS pour plus d’informations sur OSBA.
17.1.14. Hors-bord
Les clients peuvent cesser d’utiliser ROSA à tout moment et déplacer leurs applications sur site, dans un cloud privé ou dans d’autres fournisseurs de cloud. La politique standard des instances réservées (RI) s’applique aux RI inutilisés.
17.1.15. Authentification
La ROSA prend en charge les mécanismes d’authentification suivants : OpenID Connect (un profil d’OAuth2), Google OAuth, GitHub OAuth, GitLab et LDAP.
17.1.16. Accès au cluster SRE
L’accès au cluster SRE est sécurisé par MFA. Consultez SRE accès pour plus de détails.
17.1.17. Chiffrement
17.1.17.1. Clés de chiffrement
La ROSA utilise une clé stockée dans KMS pour chiffrer les volumes EBS. Les clients ont également la possibilité de fournir leurs propres clés KMS lors de la création de clusters.
17.1.17.2. Clés KMS
Lorsque vous spécifiez une clé KMS, le plan de contrôle, l’infrastructure et les volumes racine des nœuds de travail et les volumes persistants sont chiffrés avec la clé.
17.1.17.3. Chiffrement des données
Il y a par défaut un cryptage au repos. La plate-forme AWS Storage crypte automatiquement vos données avant de les persister et décrypte les données avant leur récupération. Consultez AWS EBS Encryption pour plus de détails.
Il est également possible de chiffrer etcd dans le cluster, en le combinant avec le chiffrement de stockage AWS. Cela se traduit par le double du chiffrement qui ajoute jusqu’à 20% de performance. Consultez la documentation de cryptage etcd pour plus de détails.
17.1.17.4. chiffrement etcd
le chiffrement etcd ne peut être activé que lors de la création de clusters.
le chiffrement etcd entraîne des frais généraux supplémentaires avec une réduction négligeable des risques de sécurité.
17.1.17.5. configuration de chiffrement etcd
le chiffrement etcd est configuré comme dans OpenShift Container Platform. Le cypher aescbc est utilisé et le réglage est corrigé lors du déploiement du cluster. Consultez la documentation Kubernetes pour plus de détails.
17.1.17.6. Clés KMS multi-régions pour le cryptage EBS
Actuellement, le ROSA CLI n’accepte pas les clés KMS multi-régions pour le cryptage EBS. Cette fonctionnalité est dans notre backlog pour les mises à jour des produits. Le ROSA CLI accepte les clés KMS d’une seule région pour le chiffrement EBS s’il est défini lors de la création de clusters.
17.1.18. L’infrastructure
La ROSA utilise plusieurs services cloud différents tels que les machines virtuelles, le stockage et les équilibreurs de charge. Dans les prérequis AWS, vous pouvez voir une liste définie.
17.1.19. Les méthodes d’identification
Il existe deux méthodes d’identification pour accorder à Red Hat les autorisations nécessaires pour effectuer les actions requises dans votre compte AWS: AWS avec STS ou un utilisateur IAM avec des autorisations d’administration. AWS avec STS est la méthode préférée, et la méthode utilisateur IAM sera éventuellement dépréciée. AWS et STS s’alignent mieux avec les principes du moindre privilège et des pratiques sécurisées dans la gestion des ressources de service cloud.
17.1.20. Erreurs d’autorisation ou d’échec préalables
Consultez une nouvelle version de la ROSA CLI. Chaque version de la ROSA CLI est située dans deux endroits: Github et le Red Hat signé des versions binaires.
17.1.21. Le stockage
Consultez la section de stockage de la définition du service.
Le pilote OpenShift inclut le pilote CSI pour AWS EFS. Cliquez ici pour plus d’informations sur la configuration d’AWS EFS pour Red Hat OpenShift Service sur AWS.
17.1.22. À l’aide d’un VPC
Lors de l’installation, vous pouvez choisir de vous déployer sur un VPC existant ou d’apporter votre propre VPC. Ensuite, vous pouvez sélectionner les sous-réseaux requis et fournir une plage CIDR valide qui englobe les sous-réseaux du programme d’installation lors de l’utilisation de ces sous-réseaux.
La ROSA permet à plusieurs clusters de partager le même VPC. Le nombre de clusters sur un VPC est limité par le quota de ressources AWS restant et les plages CIDR qui ne peuvent pas se chevaucher. Consultez Définitions de gamme CIDR pour plus d’informations.
17.1.23. Plugin réseau
La ROSA utilise le fournisseur de réseau CNI OpenShift OVN-Kubernetes par défaut.
17.1.24. La mise en réseau cross-namespace
Les administrateurs de clusters peuvent personnaliser, et nier, cross-namespace sur une base de projet à l’aide d’objets NetworkPolicy. Consultez la section Configurer l’isolement multilocataire avec la politique de réseau pour plus d’informations.
17.1.25. En utilisant Prometheus et Grafana
Il est possible d’utiliser Prometheus et Grafana pour surveiller les conteneurs et gérer la capacité grâce à OpenShift User Workload Monitoring. Il s’agit d’une option de case à cocher dans OpenShift Cluster Manager.
17.1.26. Enregistre les résultats de l’audit à partir du plan de contrôle du cluster
Lorsque le module d’extension de l’opérateur de journalisation du cluster a été ajouté au cluster, les journaux d’audit sont disponibles via CloudWatch. Dans le cas contraire, une demande d’assistance vous permettrait de demander certains journaux d’audit. De petits journaux ciblés et encadrés dans le temps peuvent être demandés pour l’exportation et envoyés à un client. La sélection des journaux d’audit disponibles est à la discrétion de SRE dans la catégorie de la sécurité et de la conformité de la plate-forme. Les demandes d’exportation de l’ensemble des grumes d’un groupe seront rejetées.
17.1.27. Limites des autorisations AWS
Il est possible d’utiliser une limite d’autorisation AWS autour des stratégies de votre cluster.
17.1.28. AMI
Les nœuds de travail ROSA utilisent un AMI différent de OSD et OpenShift Container Platform. Les AMI de Control Plane et Infra sont communs à tous les produits dans la même version.
17.1.29. Les sauvegardes de clusters
Les clusters ROSA STS n’ont pas de sauvegardes. Les utilisateurs doivent avoir leurs propres stratégies de sauvegarde pour les applications et les données. Consultez notre politique de sauvegarde pour plus d’informations.
17.1.30. Domaine personnalisé
Il est possible de définir un domaine personnalisé pour vos applications. Consultez Configuration des domaines personnalisés pour les applications pour plus d’informations.
17.1.31. Certificats de domaine ROSA
L’infrastructure Red Hat (Hive) gère la rotation des certificats pour l’entrée d’application par défaut.
17.1.32. Environnements déconnectés
Le ROSA ne prend pas en charge un environnement déconnecté de l’air. Le cluster ROSA doit avoir accès à Internet pour accéder à notre registre, S3, et envoyer des métriques. Le service nécessite un certain nombre de points de terminaison de sortie. L’entrée peut être limitée à un PrivateLink pour Red Hat SREs et à un VPN pour l’accès des clients.
Ressources supplémentaires
Les pages de produits ROSA:
Les ressources spécifiques de ROSA
- En savoir plus sur OpenShift
- Gestionnaire de cluster OpenShift
- Appui au chapeau rouge
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}