第17章 ROSA のスタートガイド

ROSA には、コンテナー管理、Operator、ネットワーキング、負荷分散、サービスメッシュ、CI/CD、ファイアウォール、モニタリング、レジストリー、認証、および認可機能など、コンテナーのデプロイと管理に必要なすべての機能がバンドルされています。これらのコンポーネントは、完全なプラットフォームとして統合された操作を行うために一緒にテストされます。無線によるプラットフォームアップグレードを含む自動化されたクラスター操作により、Kubernetes エクスペリエンスがさらに強化されています。

一般的に、クラスターのデプロイメントと維持は Red Hat または AWS がその責任を果たし、アプリケーション、ユーザー、データについてはお客様が責任を果たします。責任の詳細な内訳については、責任マトリクス を参照してください。

現在開発中の機能の最新ステータスは、ROSA ロードマップ で確認してください。製品チームに提案がある場合は、新規 Issue を作成してください。

最新の ROSA 可用性については、リージョン別の製品可用性 ページを参照してください。

ROSA は現在、SOC-2 タイプ 2、SOC 3、ISO-27001、ISO 27017、ISO 27018、HIPAA、GDPR、および PCI-DSS に準拠しています。現在、FedRAMP High に向けて取り組んでいます。

お客様側の ROSA 管理者は、ユーザーが作成したすべてのプロジェクトにアクセスできる他に、ユーザーとクォータを管理できます。

ROSA は、OpenShift Container Platform をベースとするマネージドサービスです。現行バージョンとライフサイクルの日付は、ROSA のドキュメント で確認できます。

お客様は、OpenShift の最新バージョンにアップグレードして、そのバージョンの OpenShift 機能を使用できます。詳細は、ライフサイクルの日付 を参照してください。ROSA では、一部の OpenShift 機能を使用できません。詳細は、サービス定義 を参照してください。

OpenShift Cluster Manager から直接チケットを作成できます。サポートを受ける方法の詳細は、ROSA サポートドキュメント を参照してください。

Red Hat カスタマーポータル にアクセスして、Red Hat ナレッジベースで Red Hat 製品に関連する記事やソリューションを検索または参照したり、Red Hat サポートに対してサポートケースを作成したりすることもできます。

詳細は、ROSA SLA のページを参照してください。

Red Hat は、Red Hat および AWS の新機能、更新、定期メンテナンスに関する通知を、メールおよび Hybrid Cloud Console サービスログを通じて提供します。

ROSA では OSBA を使用できます。ただし、より新しい AWS Controller for Kubernetes の使用が推奨されます。OSBA の詳細は、Open Service Broker for AWS を参照してください。

お客様はいつでも ROSA の使用を停止し、アプリケーションをオンプレミス、プライベートクラウド、または他のクラウドプロバイダーに移行できます。標準予約インスタンス (RI) ポリシーは、未使用の RI に適用されます。

ROSA がサポートする認証メカニズムは、OpenID Connect (OAuth2 のプロファイル)、Google OAuth、GitHub OAuth、GitLab、および LDAP です。

すべての SRE クラスターへのアクセスは、MFA で保護されます。詳細は、SRE アクセス を参照してください。

ROSA は、仮想マシン、ストレージ、ロードバランサーなど、複数のクラウドサービスを使用します。定義済みのリストは、AWS の前提条件 で確認できます。

AWS アカウントで必要な操作を行うために必要な権限を付与する認証情報メソッドには、AWS with STS を使用する方法と、管理者権限を持つ IAM ユーザーを使用する方法の 2 つがあります。推奨されるのは AWS with STS で、IAM ユーザーを使用する方法はいずれ非推奨になる予定です。AWS with STS は、クラウドサービスのリソース管理における最小権限と安全なプラクティスの原則に沿うものです。

ROSA CLI の新しいバージョンを確認してください。ROSA CLI の各リリースは、Github と Red Hat 署名付きバイナリーリリース の 2 カ所にあります。

サービス定義の ストレージ セクションを参照してください。

OpenShift には、AWS EFS 用の CSI ドライバーが含まれています。詳細は、Red Hat OpenShift Service on AWS 用の AWS EFS のセットアップ を参照してください。

インストール時に、既存の VPC にデプロイするか、独自の VPC を使用するかを選択できます。次に、必要なサブネットを選択し、それらのサブネットを使用する際にインストールプログラムのサブネットを含む有効な CIDR 範囲を指定できます。

ROSA を使用すると、複数のクラスターが同じ VPC を共有できます。1 つの VPC 上のクラスター数は、残りの AWS リソースクォータと重複不可の CIDR 範囲で制限されます。詳細は、CIDR 範囲の定義 を参照してください。

ROSA は、OpenShift OVN-Kubernetes のデフォルトの CNI ネットワークプロバイダーを使用します。

クラスター管理者は、NetworkPolicy オブジェクトを使用して、プロジェクトごとに cross-namespace をカスタマイズまたは拒否できます。詳細は ネットワークポリシーを使用してマルチテナント分離を設定する を参照してください。

Prometheus と Grafana を使用してコンテナーを監視し、OpenShift User Workload Monitoring を使用してキャパシティを管理できます。これは、OpenShift Cluster Manager のチェックボックスオプションです。

Cluster Logging Operator アドオンがクラスターに追加されている場合は、CloudWatch を通じて監査ログを利用できます。そうでない場合は、サポートリクエストで監査ログをリクエストできます。対象を絞り、タイムボックス化された小規模なログのエクスポートをリクエストして、お客様に送信できます。利用可能な監査ログは、プラットフォームのセキュリティーとコンプライアンスのカテゴリーにおける SRE の裁量によって選ばれます。クラスターのログ全体のエクスポートリクエストは拒否されます。

クラスターのポリシーの周囲に AWS アクセス許可の境界を使用できます。

ROSA ワーカーノードは、OSD や OpenShift Container Platform とは異なる AMI を使用します。コントロールプレーンとインフラノード AMI は、同じバージョンの製品間で共通しています。

ROSA STS クラスターにはバックアップがありません。ユーザーは、アプリケーションとデータに対する独自のバックアップポリシーを持つ必要があります。詳細は、バックアップポリシー を参照してください。

アプリケーションのカスタムドメインを定義できます。詳細は、アプリケーションのカスタムドメインの設定 を参照してください。

Red Hat インフラストラクチャー (Hive) は、デフォルトのアプリケーション ingress に使用する証明書ローテーションを管理します。

ROSA は、エアギャップのある非接続環境をサポートしません。ROSA クラスターには、レジストリー、S3 にアクセスしてメトリクスを送信するために、インターネットへの egress が必要です。サービスには多数の egress エンドポイントが必要です。Ingress は、Red Hat SRE 用の PrivateLink とお客様のアクセス用の VPN に制限できます。