2.3. Red Hat OpenShift Service on AWS 服务定义

Red Hat OpenShift Service on AWS 会直接指向 Amazon Web Services (AWS)帐户。ROSA 定价基于使用，每年承诺或 3 年的承诺以便获得更大的折现。ROSA 的总成本由两个部分组成：

如需更多详细信息，请访问 AWS 网站上的 Red Hat OpenShift Service on AWS 定价 页面。

客户可以自助服务集群，包括但不限于：

您可以使用 Red Hat OpenShift Service on AWS (ROSA) CLI 执行这些自助服务任务 rosa。

单个可用区集群至少需要 3 个 control plane 节点、2 个基础架构节点和 2 个 worker 节点部署到一个可用区。

多个可用区集群至少需要 3 个 control plane 节点、3 个基础架构节点和 3 个 worker 节点。额外的节点必须购买到 3 的倍数才能保持适当的节点分布。

control plane 和基础架构节点由红帽部署和管理。不支持通过云供应商控制台关闭底层基础架构，可能会导致数据丢失。至少 3 个 control plane 节点可以处理 etcd 和 API 相关的工作负载。至少 2 个基础架构节点来处理指标、路由、Web 控制台和其他工作负载。您不能在控制和基础架构节点上运行任何工作负载。任何您要运行的工作负载都必须部署到 worker 节点上。有关必须在 worker 节点上部署的红帽工作负载的更多信息，请参阅下面的 Red Hat Operator 支持部分。

有关支持的实例类型的详细列表，请参阅

以下 AWS 区域目前可用于 Red Hat OpenShift 4，并受 Red Hat OpenShift Service on AWS 的支持。

多个可用区集群只能部署到至少 3 个可用区的区域。如需更多信息，请参阅 AWS 文档中的 Regions 和 Availability Zones 部分。

AWS 集群上的每个新的 Red Hat OpenShift Service 都会在一个区域创建或已存在的虚拟私有云 (VPC) 内安装，可以选择部署到单一可用区( Single-AZ) 或多可用区 (Multi-AZ)。这提供了集群级别的网络和资源隔离，并启用 cloud-provider VPC 设置，如 VPN 连接和 VPC Peering。持久性卷(PV)由 Amazon Elastic Block Storage (Amazon EBS)支持，并特定于置备的可用区。在将关联的 pod 资源分配给特定的可用区前，持久性卷声明(PVC)不会绑定到卷，以防止不可调度的 pod。特定于可用区的资源只可供同一可用区中的资源使用。

Red Hat OpenShift Service on AWS 支持使用 AWS Local Zones，这些区域是满足的，用户可以在其中放置对延迟敏感的应用程序工作负载。本地区是拥有自己的互联网连接的 AWS 区域扩展。有关 AWS 本地区域的更多信息，请参阅 AWS 文档 Local Zones 如何工作。

任何服务的 SLA 在 Red Hat Enterprise Agreement 附录 4 （在线订阅服务）的附录 4 中定义。

当集群过渡到 有限支持状态 时，红帽不再主动监控集群，SLA 将不再适用，并且拒绝对 SLA 请求的分数。这并不意味着您不再有产品支持。在某些情况下，如果您修复了违反因素，集群可以返回完全支持的状态。但是，在其他情况下，您可能需要删除并重新创建集群。

集群可能会因为许多原因移至有限支持状态，包括以下情况：

如果您对可能造成集群移至有限支持状态或需要进一步帮助的特定操作有疑问，请打开支持票据。

Red Hat OpenShift Service on AWS 包括红帽高级支持，可以使用 红帽客户门户网站 访问。

如需 支持响应时间，请参阅红帽产品支持条款 服务。

AWS 支持取决于客户对 AWS 的现有支持合同。

如果启用了集成，可以通过 AWS CloudWatch 集群审计日志。如果没有启用集成，您可以通过打开支持问题单来请求审计日志。

发送到 STDOUT 的应用程序日志由 Fluentd 收集，并通过集群日志记录堆栈转发到 AWS CloudWatch （如果已安装）。

Red Hat OpenShift Service on AWS 集群上带有集成 Prometheus 堆栈，用于集群监控，包括 CPU、内存和基于网络的指标。这可以通过 Web 控制台访问。这些指标还允许由 Red Hat OpenShift Service on AWS 用户提供的 CPU 或内存指标进行 pod 横向自动扩展。

集群通知是有关集群状态、健康或性能的信息。

集群通知是 Red Hat Site Reliability Engineering (SRE)与您有关受管集群健康状况的主要方法。SRE 也可能使用集群通知来提示您执行操作，以解决或防止集群出现问题。

集群所有者和管理员必须定期检查和操作集群通知，以确保集群保持健康且受支持。

您可以在集群的 Cluster history 选项卡中查看 Red Hat Hybrid Cloud Console 中的集群通知。默认情况下，只有集群所有者接收集群通知作为电子邮件。如果其他用户需要接收集群通知电子邮件，请将每个用户添加为集群的通知联系人。

要将自定义主机名用于路由，您必须通过创建规范名称 (CNAME) 记录来更新 DNS 供应商。您的 CNAME 记录应当将 OpenShift 规范路由器主机名映射到您的自定义域。OpenShift 规范路由器主机名在创建路由后在 Route Details 页面中显示。或者，也可以创建通配符 CNAME 记录，以将给定主机名的所有子域路由到集群的路由器。

Red Hat OpenShift Service on AWS 包括集群中内部和外部服务所需的 TLS 安全证书。对于外部路由，每个集群中都提供并安装了两个不同的 TLS 通配符证书：一个用于 Web 控制台和路由默认主机名，另一个用于 API 端点。我们来加密是证书使用的证书颁发机构。集群内路由（如内部 API 端点）使用集群内置证书颁发机构签名的 TLS 证书，并需要每个 pod 中的 CA 捆绑包信任 TLS 证书。

Red Hat OpenShift Service on AWS 支持在从镜像 registry 中拉取镜像时，使用自定义证书颁发机构来被构建信任。

Red Hat OpenShift Service on AWS 使用最多五个不同的负载均衡器：

项目管理员可以为许多不同的用途添加路由注解，包括通过 IP 允许列表进行入口控制。

也可以使用 NetworkPolicy 对象来更改 Ingress 策略，这利用了 ovs-networkpolicy 插件。这允许对入口网络策略进行完全控制到 pod 级别，包括在同一集群中的 pod 间，甚至在同一命名空间中。

所有集群入口流量都将通过定义的负载均衡器。云配置阻止对所有节点的直接访问。

通过 EgressNetworkPolicy 对象进行 Pod 出口流量控制可用于防止或限制 Red Hat OpenShift Service on AWS 中的出站流量。

需要来自 control plane 和基础架构节点的公共出站流量，并需要维护集群镜像安全性和集群监控。这要求 0.0.0.0/0 路由仅属于互联网网关；无法通过专用连接路由此范围。

OpenShift 4 集群使用 NAT 网关为离开集群的任何公共出站流量提供一个公共静态 IP。每个可用区都部署到接收不同的 NAT 网关，因此集群出口流量最多可存在 3 个唯一的静态 IP 地址。在集群中或未离开公共互联网的任何流量都不会通过 NAT 网关，并且具有属于源自于流量的来源 IP 地址的源 IP 地址。节点 IP 地址是动态的；因此，在访问私有资源时，客户不得依赖白名单各个 IP 地址。

客户可以通过在群集上运行 pod 并查询外部服务来确定其公共静态 IP 地址。例如：

$ oc run ip-lookup --image=busybox -i -t --restart=Never --rm -- /bin/sh -c "/bin/nslookup -type=a myip.opendns.com resolver1.opendns.com | grep -E 'Address: [0-9.]+'"

Red Hat OpenShift Service on AWS 允许通过 AWS 管理的技术配置私有网络连接，例如：

对于具有私有云网络配置的 Red Hat OpenShift Service on AWS 集群的客户可以指定该专用连接上可用的内部 DNS 服务器，该服务器应查询用于明确提供的域。

当您将 Red Hat OpenShift Service on AWS 集群部署到现有的 Virtual Private Cloud (VPC)或创建带有集群新子网的额外机器池时，网络验证检查会自动运行。检查会验证您的网络配置并突出显示错误，允许您在部署前解决配置问题。

您还可以手动运行网络验证检查以验证现有集群的配置。

control plane、基础架构和 worker 节点使用 encrypted-at-rest Amazon Elastic Block Store (Amazon EBS)存储。

默认情况下，用于 PV 的 EBS 卷是 encrypted-at-rest。

持久性卷(PV)由 Amazon Elastic Block Store (Amazon EBS)支持，这是 Read-Write-Once。

PV 每次只能附加到一个节点，并特定于置备的可用区。但是，PV 可以附加到可用区中的任何节点。

每个云供应商都有自己的限制，用于把 PV 附加到单一节点。详情请参阅 AWS 实例类型限值。

AWS CSI Driver 可用于为 Red Hat OpenShift Service on AWS 提供 RWX 支持。提供了一个 community Operator，以简化设置。详情请参阅 OpenShift Dedicated 和 Red Hat OpenShift Service on AWS 的 Amazon Elastic File Storage 设置。

Red Hat OpenShift Service on AWS 提供了节点自动扩展功能。您可以配置自动扩展选项，以自动扩展集群中的机器数量。

客户可以在 Red Hat OpenShift Service on AWS 上创建并运行 daemonset。要将 daemonset 限制为仅在 worker 节点上运行，请使用以下 nodeSelector ：

...
spec:
  nodeSelector:
    role: worker
...

在多个可用区集群中，control plane 节点在可用区间分布，每个可用区需要至少一个 worker 节点。

红帽会在节点创建过程中创建自定义节点标签，目前无法在 Red Hat OpenShift Service on AWS 集群上更改。但是，创建新机器池时支持自定义标签。

应用程序和应用程序数据备份不是 Red Hat OpenShift Service 的一部分。

Red Hat OpenShift Service on AWS 作为服务运行，并与最新的 OpenShift Container Platform 版本保持最新状态。将计划升级到最新版本。

可以使用 ROSA CLI、rosa 或通过 OpenShift Cluster Manager 调度升级。

有关升级策略和步骤的更多信息，请参阅 AWS 生命周期的 Red Hat OpenShift Service。

目前，Red Hat OpenShift support for Windows Containers 在 Red Hat OpenShift Service on AWS 上不可用。

Red Hat OpenShift Service on AWS 在 OpenShift 4 上运行，并使用 CRI-O 作为唯一可用的容器引擎。

Red Hat OpenShift Service on AWS 在 OpenShift 4 上运行，并使用 Red Hat CoreOS 作为所有 control plane 和 worker 节点的操作系统。

红帽工作负载通常是指通过 Operator Hub 提供的红帽提供的 Operator。红帽工作负载不由红帽 SRE 团队管理，且必须部署到 worker 节点上。这些 Operator 可能需要额外的红帽订阅，并可能产生额外的云基础架构成本。这些红帽提供的 Operator 示例包括：

OperatorHub 市场中列出的所有 Operator 都应该可用于安装。这些 Operator 被视为客户工作负载，不由红帽 SRE 监控。

可以使用 OpenShift Cluster Manager 或集群创建过程或使用 ROSA CLI rosa 来配置集群的身份验证。ROSA 不是一个身份提供程序，对集群的所有访问都必须由客户管理，作为其集成解决方案的一部分。支持同时使用同时调配的多个身份提供程序。支持以下身份提供程序：

特权容器可供具有 cluster-admin 角色的用户使用。将特权容器用作 cluster-admin 取决于 Red Hat Enterprise Agreement 附录 4 （在线订阅服务）中的职责和排除备注。

除了普通用户外，Red Hat OpenShift Service on AWS 还提供对名为 dedicated-admin 的 ROSA 特定组的访问。属于 dedicated-admin 组成员的任何用户：

Red Hat OpenShift Service on AWS 管理员可对您的机构的集群具有 cluster-admin 角色的默认访问权限。使用 cluster-admin 角色登录到帐户时，用户可以增加运行特权安全上下文的权限。

默认情况下，所有用户都可以创建、更新和删除他们的项目。如果 dedicated-admin 组的成员从经过身份验证的用户移除 self-provisioner 角色，则可以受限制：

$ oc adm policy remove-cluster-role-from-group self-provisioner system:authenticated:oauth

通过应用可以恢复限制：

$ oc adm policy add-cluster-role-to-group self-provisioner system:authenticated:oauth

有关最新合规性信息，请参阅了解 ROSA 的进程和安全性 中的 Compliance 表。

使用 Red Hat OpenShift Service on AWS 时，AWS 对所有负载均衡器（即 AWS Shield）提供标准的 DDoS 保护。这对 Red Hat OpenShift Service on AWS 使用的所有面向公共的负载均衡器的用户级别为 3 和 4 的攻击提供了 95% 的保护。为来自 haproxy 路由器的 HTTP 请求添加 10 秒超时，以接收响应或连接关闭，以提供额外的保护。

Red Hat OpenShift Service on AWS 中，control plane 存储会默认加密，这包括 etcd 卷的加密。这种存储级别加密通过云供应商的存储层提供。

您还可以启用 etcd 加密，加密 etcd 中的密钥值，而不是密钥。如果启用 etcd 加密，则会加密以下 Kubernetes API 服务器和 OpenShift API 服务器资源：

默认情况下不启用 etcd 加密功能，它只能在集群安装过程中启用。即使启用了 etcd 加密，则有权访问 control plane 节点或 cluster-admin 权限的任何人都可以访问 etcd 密钥值。