2.6. 带有托管 control plane (HCP)服务定义的 Red Hat OpenShift Service on AWS (ROSA)


本文档概述了带有托管 control plane (HCP)托管服务的 Red Hat OpenShift Service on AWS (ROSA)的服务定义。

2.6.1. 帐户管理

本节提供有关 AWS 帐户管理上 Red Hat OpenShift Service 的服务定义的信息。

2.6.1.1. 账单和定价

Red Hat OpenShift Service on AWS 会直接指向 Amazon Web Services (AWS)帐户。ROSA 定价基于使用,每年承诺或 3 年的承诺以便获得更大的折现。ROSA 的总成本由两个部分组成:

  • ROSA 服务费用
  • AWS 基础架构费用

如需更多详细信息,请访问 AWS 网站上的 Red Hat OpenShift Service on AWS 定价 页面。

2.6.1.2. 集群自助服务

客户可以自助服务集群,包括但不限于:

  • 创建集群
  • 删除集群
  • 添加或删除身份提供程序
  • 从提升的组中添加或删除用户
  • 配置集群隐私
  • 添加或删除机器池并配置自动扩展
  • 定义升级策略

您可以使用 Red Hat OpenShift Service on AWS (ROSA) CLI 执行这些自助服务任务 rosa

2.6.1.3. 实例类型

所有带有 HCP 集群的 ROSA 都至少需要 2 个 worker 节点。不支持通过云供应商控制台关闭底层基础架构,可能会导致数据丢失。

注意

每个 worker 节点上都会保留一个 vCPU 内核和 1 GiB 内存,并从可分配的资源中删除。运行底层平台所需的进程需要保留资源。这些进程包括系统守护进程,如 udev、kubelet 和容器运行时。保留的资源也考虑内核保留。

OpenShift Container Platform 核心系统(如审计日志聚合、指标集合、DNS、镜像 registry、SDN 等)可能会消耗额外的可分配资源来保持集群的稳定性和可维护性。所消耗的额外资源可能会因使用情况而异。

如需更多信息,请参阅 Kubernetes 文档

其他资源

有关支持的实例类型的详细列表,请参阅使用 HCP 实例类型的 ROSA

2.6.1.4. 地区和可用性区域

以下 AWS 区域目前可用于带有 HCP 的 ROSA。

注意

中国的区域不受支持,无论它们对 OpenShift 4 的支持是什么。

注意

对于 GovCloud (US)区域,您必须在 AWS (ROSA) FedRAMP 上提交 Red Hat OpenShift Service 的访问请求

GovCloud (US)区域只在 ROSA Classic 集群中被支持。

例 2.11. AWS 区域

  • us-east-1(北弗吉尼亚)
  • us-east-2(俄亥俄)
  • us-west-2(俄勒冈)
  • af-south-1 (Cape Town, AWS opt-in required)
  • ap-east-1 (Hong Kong, AWS opt-in required)
  • ap-south-2 (Hyderabad, 需要 AWS opt-in)
  • ap-southeast-3(Jakarta, AWS opt-in required)
  • ap-southeast-4 (Melbourne, AWS opt-in required)
  • ap-south-1(孟买)
  • ap-northeast-3 (Osaka)
  • ap-northeast-2 (首尔)
  • ap-southeast-1(新加坡)
  • ap-southeast-2(悉尼)
  • ap-northeast-1(东京)
  • ca-central-1 (Central Canada)
  • eu-central-1(法拉克福)
  • eu-north-1(斯德哥尔摩)
  • eu-west-1(爱尔兰)
  • eu-west-2(伦敦)
  • eu-south-1 (Milan、AWS opt-in required)
  • eu-west-3(巴黎)
  • eu-south-2 (Spain)
  • eu-central-2 (Zurich, AWS opt-in required)
  • me-south-1 (Bahrain, AWS opt-in required)
  • me-central-1 (UAE, AWS opt-in required)
  • sa-east-1 (圣保罗)

多个可用区集群只能部署到至少 3 个可用区的区域。如需更多信息,请参阅 AWS 文档中的 Regions 和 Availability Zones 部分。

每个带有 HCP 集群的新 ROSA 安装在单个区域内已存在的 Virtual Private Cloud (VPC)中,并可以选择部署到给定区域的可用区总数。这提供了集群级别的网络和资源隔离,并启用 cloud-provider VPC 设置,如 VPN 连接和 VPC Peering。持久性卷(PV)由 Amazon Elastic Block Storage (Amazon EBS)支持,并特定于置备的可用区。在将关联的 pod 资源分配给特定的可用区前,持久性卷声明(PVC)不会绑定到卷,以防止不可调度的 pod。特定于可用区的资源只可供同一可用区中的资源使用。

警告

部署集群后无法更改区域。

2.6.1.5. 本地区域

带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)不支持使用 AWS Local Zones。

2.6.1.6. 服务等级协议 (SLA)

任何服务的 SLA 在 Red Hat Enterprise Agreement 附录 4 (在线订阅服务)的附录 4 中定义。

2.6.1.7. 有限支持状态

当集群过渡到 有限支持状态 时,红帽不再主动监控集群,SLA 将不再适用,并且拒绝对 SLA 请求的分数。这并不意味着您不再有产品支持。在某些情况下,如果您修复了违反因素,集群可以返回完全支持的状态。但是,在其他情况下,您可能需要删除并重新创建集群。

集群可能会因为许多原因移至有限支持状态,包括以下情况:

如果您在 AWS 组件或任何由红帽安装和管理的其他组件上删除或替换任何原生 Red Hat OpenShift Service
如果使用了集群管理员权限,红帽不负责您的任何或授权用户的操作,包括影响基础架构服务、服务可用性或数据丢失的操作。如果红帽检测到此类操作,集群可能会过渡到有限支持状态。红帽通知您状态变化,您应该恢复操作或创建支持问题单来探索可能需要删除和重新创建集群的补救步骤。

如果您对可能造成集群移至有限支持状态或需要进一步帮助的特定操作有疑问,请打开支持票据。

2.6.1.8. 支持

Red Hat OpenShift Service on AWS 包括红帽高级支持,可以使用 红帽客户门户网站 访问。

如需 支持响应时间,请参阅红帽产品支持条款 服务。

AWS 支持取决于客户对 AWS 的现有支持合同。

2.6.2. 日志记录

Red Hat OpenShift Service on AW 为 Amazon (AWS) CloudWatch 提供可选集成日志转发。

2.6.2.1. 集群日志记录

如果启用了集成,可以通过 AWS CloudWatch 集群审计日志。如果没有启用集成,您可以通过打开支持问题单来请求审计日志。

2.6.2.2. 应用程序日志记录

发送到 STDOUT 的应用程序日志由 Fluentd 收集,并通过集群日志记录堆栈转发到 AWS CloudWatch (如果已安装)。

2.6.3. 监控

本节提供有关 Red Hat OpenShift Service on AWS 监控的服务定义信息。

2.6.3.1. 集群指标

Red Hat OpenShift Service on AWS 集群上带有集成 Prometheus 堆栈,用于集群监控,包括 CPU、内存和基于网络的指标。这可以通过 Web 控制台访问。这些指标还允许由 Red Hat OpenShift Service on AWS 用户提供的 CPU 或内存指标进行 pod 横向自动扩展。

2.6.3.2. 集群通知

集群通知是有关集群状态、健康或性能的信息。

集群通知是 Red Hat Site Reliability Engineering (SRE)与您有关受管集群健康状况的主要方法。SRE 也可能使用集群通知来提示您执行操作,以解决或防止集群出现问题。

集群所有者和管理员必须定期检查和操作集群通知,以确保集群保持健康且受支持。

您可以在集群的 Cluster history 选项卡中查看 Red Hat Hybrid Cloud Console 中的集群通知。默认情况下,只有集群所有者接收集群通知作为电子邮件。如果其他用户需要接收集群通知电子邮件,请将每个用户添加为集群的通知联系人。

2.6.4. 网络

本节提供有关 Red Hat OpenShift Service on AWS 网络服务定义信息。

2.6.4.1. 应用程序自定义域

警告

从 Red Hat OpenShift Service on AWS 4.14 开始,Custom Domain Operator 已被弃用。要在 Red Hat OpenShift Service on AWS 4.14 或更高版本中管理 Ingress,请使用 Ingress Operator。Red Hat OpenShift Service on AWS 4.13 及更早版本的功能不会改变。

要将自定义主机名用于路由,您必须通过创建规范名称 (CNAME) 记录来更新 DNS 供应商。您的 CNAME 记录应当将 OpenShift 规范路由器主机名映射到您的自定义域。OpenShift 规范路由器主机名在创建路由后在 Route Details 页面中显示。或者,也可以创建通配符 CNAME 记录,以将给定主机名的所有子域路由到集群的路由器。

2.6.4.2. 域验证证书

Red Hat OpenShift Service on AWS 包括集群中内部和外部服务所需的 TLS 安全证书。对于外部路由,每个集群中都提供并安装了两个不同的 TLS 通配符证书:一个用于 Web 控制台和路由默认主机名,另一个用于 API 端点。我们来加密是证书使用的证书颁发机构。集群内路由(如内部 API 端点)使用集群内置证书颁发机构签名的 TLS 证书,并需要每个 pod 中的 CA 捆绑包信任 TLS 证书。

2.6.4.3. 构建的自定义证书颁发机构

Red Hat OpenShift Service on AWS 支持在从镜像 registry 中拉取镜像时,使用自定义证书颁发机构来被构建信任。

2.6.4.4. 负载均衡器

带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)只从默认入口控制器部署负载均衡器。所有其他负载均衡器都可以由客户为二级入口控制器或服务负载均衡器部署。

2.6.4.5. 集群入口

项目管理员可以为许多不同的用途添加路由注解,包括通过 IP 允许列表进行入口控制。

也可以使用 NetworkPolicy 对象来更改 Ingress 策略,这利用了 ovs-networkpolicy 插件。这允许对入口网络策略进行完全控制到 pod 级别,包括在同一集群中的 pod 间,甚至在同一命名空间中。

所有集群入口流量都将通过定义的负载均衡器。云配置阻止对所有节点的直接访问。

2.6.4.6. 集群出口

通过 EgressNetworkPolicy 对象进行 Pod 出口流量控制可用于防止或限制带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)中的出站流量。

2.6.4.7. 云网络配置

Red Hat OpenShift Service on AWS 允许通过 AWS 管理的技术配置私有网络连接,例如:

  • VPN 连接
  • VPC 对等
  • 传输网关
  • 直接连接
重要

红帽站点可靠性工程师(SRE)不监控私有网络连接。监控这些连接是客户的职责。

2.6.4.8. DNS 转发

对于具有私有云网络配置的 Red Hat OpenShift Service on AWS 集群的客户可以指定该专用连接上可用的内部 DNS 服务器,该服务器应查询用于明确提供的域。

2.6.4.9. 网络验证

当您将 Red Hat OpenShift Service on AWS 集群部署到现有的 Virtual Private Cloud (VPC)或创建带有集群新子网的额外机器池时,网络验证检查会自动运行。检查会验证您的网络配置并突出显示错误,允许您在部署前解决配置问题。

您还可以手动运行网络验证检查以验证现有集群的配置。:!rosa-with-hcp:

其他资源

  • 有关网络验证检查的更多信息,请参阅 网络验证

2.6.5. Storage

本节提供有关带有托管 control plane (HCP)存储的 Red Hat OpenShift Service on AWS (ROSA)的服务定义信息。

2.6.5.1. Encrypted-at-rest OS 和节点存储

Worker 节点使用 encrypted-at-rest Amazon Elastic Block Store (Amazon EBS)存储。

2.6.5.2. encrypted-at-rest PV

默认情况下,用于 PV 的 EBS 卷是 encrypted-at-rest。

2.6.5.3. 块存储 (RWO)

持久性卷(PV)由 Amazon Elastic Block Store (Amazon EBS)支持,这是 Read-Write-Once。

PV 每次只能附加到一个节点,并特定于置备的可用区。但是,PV 可以附加到可用区中的任何节点。

每个云供应商都有自己的限制,用于把 PV 附加到单一节点。详情请参阅 AWS 实例类型限值

2.6.5.4. 共享存储 (RWX)

AWS CSI Driver 可用于为带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)提供 RWX 支持。提供了一个 community Operator,以简化设置。详情请参阅 OpenShift Dedicated 和 Red Hat OpenShift Service on AWS 的 Amazon Elastic File Storage 设置

2.6.6. 平台

本节提供有关带有托管 control plane (HCP)平台的 Red Hat OpenShift Service on AWS (ROSA)的服务定义信息。

2.6.6.1. 自动缩放

节点自动扩展在带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)上提供。您可以配置自动扩展选项,以自动扩展集群中的机器数量。

2.6.6.2. Daemonset

客户可以在带有托管的 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)上创建并运行 daemonset。

2.6.6.3. 多个可用区

control plane 组件始终在多个可用区中部署,无论客户的 worker 节点配置是什么。

2.6.6.4. 节点标签

红帽会在节点创建过程中创建自定义节点标签,目前无法在带有托管 control plane (HCP)集群的 Red Hat OpenShift Service on AWS (ROSA)上更改。但是,创建新机器池时支持自定义标签。

2.6.6.5. 集群备份策略

重要

红帽不为使用 STS 的 ROSA 集群提供备份方法。客户对应用程序和应用程序数据进行备份计划至关重要。

应用程序和应用程序数据备份不是带有托管 control plane (HCP)服务的 Red Hat OpenShift Service on AWS (ROSA)的一部分。

2.6.6.6. OpenShift version

带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)作为服务运行,并与最新的 OpenShift Container Platform 版本保持最新状态。将计划升级到最新版本。

2.6.6.7. 升级

可以使用 ROSA CLI、rosa 或通过 OpenShift Cluster Manager 调度升级。

有关升级策略和步骤的更多信息,请参阅 AWS 生命周期的 Red Hat OpenShift Service

2.6.6.8. Windows 容器

目前,Red Hat OpenShift support for Windows Containers 在 Red Hat OpenShift Service on AWS 上不可用。

2.6.6.9. 容器引擎

带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)在 OpenShift 4 上运行,并使用 CRI-O 作为唯一可用的容器引擎。

2.6.6.10. 操作系统

带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)在 OpenShift 4 上运行,并使用 Red Hat CoreOS 作为所有 control plane 和 worker 节点的操作系统。

2.6.6.11. Red Hat Operator 支持

红帽工作负载通常是指通过 Operator Hub 提供的红帽提供的 Operator。红帽工作负载不由红帽 SRE 团队管理,且必须部署到 worker 节点上。这些 Operator 可能需要额外的红帽订阅,并可能产生额外的云基础架构成本。这些红帽提供的 Operator 示例包括:

  • Red Hat Quay
  • Red Hat Advanced Cluster Management
  • Red Hat Advanced Cluster Security
  • Red Hat OpenShift Service Mesh
  • OpenShift Serverless
  • Red Hat OpenShift Logging
  • Red Hat OpenShift Pipelines

2.6.6.12. Kubernetes Operator 支持

OperatorHub 市场中列出的所有 Operator 都应该可用于安装。这些 Operator 被视为客户工作负载,不由红帽 SRE 监控。

2.6.7. 安全性

本节提供有关具有托管 control plane (HCP)安全性的 Red Hat OpenShift Service on AWS (ROSA)的服务定义信息。

2.6.7.1. 身份验证供应商

可以使用 OpenShift Cluster Manager 或集群创建过程或使用 ROSA CLI rosa 来配置集群的身份验证。ROSA 不是一个身份提供程序,对集群的所有访问都必须由客户管理,作为其集成解决方案的一部分。支持同时使用同时调配的多个身份提供程序。支持以下身份提供程序:

  • Github 或 GitHub Enterprise
  • GitLab
  • Google
  • LDAP
  • OpenID Connect
  • htpasswd

2.6.7.2. 特权容器

特权容器可供具有 cluster-admin 角色的用户使用。将特权容器用作 cluster-admin 取决于 Red Hat Enterprise Agreement 附录 4 (在线订阅服务)中的职责和排除备注。

2.6.7.3. 客户管理员用户

除了普通用户外,带有托管的 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)提供了对使用 HCP 特定组( dedicated-admin )的访问。属于 dedicated-admin 组成员的任何用户:

  • 具有集群中所有客户创建项目的管理员访问权限。
  • 可以管理集群的资源配额和限值。
  • 可以添加和管理 NetworkPolicy 对象。
  • 可以查看集群中特定节点和 PV 的信息,包括调度程序信息。
  • 可以访问集群上保留的 dedicated-admin 项目,它允许使用提升的特权创建服务帐户,同时还能够为集群上的项目更新默认限值和配额。
  • 可从 OperatorHub 安装 Operator,并在 all 5.2. operators.coreos.com API 组中执行所有操作。

2.6.7.4. 集群管理角色

带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)管理员对您的机构集群的 cluster-admin 角色默认访问权限。使用 cluster-admin 角色登录到帐户时,用户可以增加运行特权安全上下文的权限。

2.6.7.5. 项目自助服务

默认情况下,所有用户都可以创建、更新和删除他们的项目。如果 dedicated-admin 组的成员从经过身份验证的用户移除 self-provisioner 角色,则可以受限制:

$ oc adm policy remove-cluster-role-from-group self-provisioner system:authenticated:oauth

通过应用可以恢复限制:

$ oc adm policy add-cluster-role-to-group self-provisioner system:authenticated:oauth

2.6.7.6. 法规合规性

有关最新合规性信息,请参阅了解 ROSA 的进程和安全性 中的 Compliance 表。

2.6.7.7. 网络安全性

使用 Red Hat OpenShift Service on AWS 时,AWS 对所有负载均衡器(即 AWS Shield)提供标准的 DDoS 保护。这对 Red Hat OpenShift Service on AWS 使用的所有面向公共的负载均衡器的用户级别为 3 和 4 的攻击提供了 95% 的保护。为来自 haproxy 路由器的 HTTP 请求添加 10 秒超时,以接收响应或连接关闭,以提供额外的保护。

2.6.7.8. etcd 加密

在带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)中,control plane 存储默认加密,其中包括 etcd 卷的加密。这种存储级别加密通过云供应商的存储层提供。

etcd 数据库总是默认加密。客户可以选择提供自己的自定义 AWS KMS 密钥来加密 etcd 数据库。

etcd 加密将加密以下 Kubernetes API 服务器和 OpenShift API 服务器资源:

  • Secrets
  • 配置映射
  • Routes
  • OAuth 访问令牌
  • OAuth 授权令牌

2.6.8. 其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.