3.2. 客户要求
在 Google Cloud Platform (GCP)上使用客户云订阅 (CCS) 模型的 OpenShift Dedicated 集群必须满足几个先决条件,然后才能进行部署。
3.2.1. 帐户
- 客户确保 Google Cloud 限制足以支持在客户提供的 GCP 帐户中置备的 OpenShift Dedicated。
- 客户提供的 GCP 帐户应该位于客户的 Google Cloud 机构中。
- 客户提供的 GCP 帐户不能转移到红帽。
- 客户可能没有对红帽的活动实施 GCP 使用限制。实施限制会严重破坏红帽响应事件的能力。
- 红帽会在 GCP 中部署监控,以便在有高特权的帐户(如 root 帐户)登录到客户提供的 GCP 帐户时提醒红帽。
客户可以在同一客户提供的 GCP 帐户内部署原生 GCP 服务。
注意我们鼓励客户在虚拟私有云 (VPC) 中部署资源,并与托管 OpenShift Dedicated 和其他红帽支持服务的 VPC 部署资源。
3.2.2. 访问要求
要在 AWS 服务上正确管理 OpenShift Dedicated 服务,红帽始终必须将
AdministratorAccess策略应用到管理员角色。注意此政策只为红帽提供了更改客户提供的 GCP 帐户资源的权限和功能。
- 红帽必须具有对客户提供的 GCP 帐户的 GCP 控制台访问权限。此访问权限由红帽保护和管理。
- 客户不得使用 GCP 帐户在 OpenShift Dedicated 集群中提升其权限。
- OpenShift Cluster Manager 中可用的操作不能直接在客户提供的 GCP 帐户中执行。
3.2.3. 支持要求
- 红帽建议客户至少具有 GCP 的增强支持。
- 红帽的客户授权可以代表它们请求 GCP 支持。
- 红帽的客户授权可以请求 GCP 资源限制来增加客户提供的帐户。
- 除非本要求部分中另有指定,否则红帽以相同的方式管理所有 OpenShift Dedicated 集群上的限制、预期和默认值。
3.2.4. 安全要求
- 客户提供的 IAM 凭证对于客户提供的 GCP 帐户来说必须是唯一的,且不得存储在客户提供的 GCP 帐户中的任何位置。
- 卷快照将保留在客户提供的 GCP 帐户和客户指定的区域。
要管理、监控和排除 OpenShift Dedicated 集群,红帽必须直接访问集群的 API 服务器。您不能限制或阻止红帽对 OpenShift Dedicated 集群的 API 服务器的访问。
注意SRE 使用各种方法来访问集群,具体取决于网络配置。对私有集群的访问仅限于红帽可信 IP 地址。这些访问限制由红帽自动管理。
- OpenShift Dedicated 需要通过互联网访问某些端点。只有使用私有 Service Connect 部署的集群才能使用防火墙来控制出口流量。如需更多信息,请参阅 GCP 防火墙先决条件 部分。
