第 17 章 ROSA 入门


17.1. 教程:什么是 ROSA

Red Hat OpenShift Service on AWS (ROSA)是一个完全管理的 turnkey 应用平台,它允许您专注于最重要的内容,通过构建和部署应用程序来为您的客户提供价值。红帽和 AWS SRE 专家管理底层平台,因此您不必担心基础架构管理。ROSA 提供与各种 AWS 计算、数据库、分析、机器学习、联网、移动和其他服务进行无缝整合,进一步加快向客户构建和交付不同体验。

ROSA 使用 AWS 安全令牌服务(STS)获取凭证来管理 AWS 帐户中的基础架构。AWS STS 是一个全局 Web 服务,它为 IAM 用户或联邦用户创建临时凭证。ROSA 使用它来分配短期、有限特权的安全凭证。这些凭证与特定于发布 AWS API 调用的每个组件的 IAM 角色关联。此方法与云服务资源管理中最低特权和安全实践的主体一致。ROSA 命令行界面(CLI)工具管理为唯一任务分配的 STS 凭证,并在 OpenShift 功能中对 AWS 资源执行操作。

17.1.1. ROSA 的主要功能

  • 原生 AWS 服务: 通过 AWS 管理控制台访问和使用 Red Hat OpenShift on-service join 体验。
  • 灵活的、基于消费的定价: 按业务需求扩展,并随着您提供灵活的定价和按需提供的每小时或年度计费模式支付费用。
  • Red Hat OpenShift 和 AWS 的单个 bill:客户会从 AWS 收到单个 bill,以供 Red Hat OpenShift 和 AWS 使用
  • 完全集成的支持体验: 红帽站点可靠性工程师(SRE)通过联合红帽和 Amazon 支持以及 99.95% 服务级别协议(SLA)执行安装、管理、维护和升级。
  • AWS 服务集成: AWS 具有强大的云服务组合,如计算、存储、网络、数据库、分析和机器学习。所有这些服务均可通过 ROSA 直接访问。这样,通过熟悉的管理界面,可以更轻松地在全局范围内构建、操作和扩展。
  • 最大可用性: 在支持的区域的多个可用区中部署集群,以最大化并保持您要求最苛刻的任务关键型应用程序和数据的高可用性。
  • 集群节点扩展: 轻松添加或删除计算节点,以匹配资源需求。
  • 优化的集群 : 从内存优化、计算优化或通用 EC2 实例类型中选择,集群大小以满足您的需求。
  • 全局可用性: 请参阅 产品区域可用性 页面,以查看 ROSA 在全局范围内可用。

17.1.2. ROSA 和 Kubernetes

在 ROSA 中,您可以捆绑部署和管理容器所需的所有内容,包括容器管理、Operator、网络、负载均衡、服务网格、CI/CD、防火墙、监控、registry、身份验证和授权功能。这些组件共同测试,以统一操作作为完整的平台。自动化集群操作,包括无线平台升级,进一步增强了 Kubernetes 体验。

17.1.3. 基本职责

通常,集群部署和 upkeep 是红帽的职责,而应用程序、用户和数据是客户的职责。有关职责的详细分类,请参阅 责任列表

17.1.4. 路线图和功能请求

访问 ROSA 路线图 以保持最新状态,以及当前开发中的功能状态。如果您对产品团队有任何建议,请创建一个新问题。

17.1.5. AWS 区域可用性

有关 ROSA 可用的最新视图,请参阅 产品区域可用性 页面。

17.1.6. 合规认证

ROSA 目前符合 SOC-2 类型 2、SOC 3、ISO-27001、ISO 27017、ISO 27018、HIPAA、GDPR 和 PCI-DSS。我们目前还致力于 FedRAMP High。

17.1.7. 节点

17.1.7.1. 跨多个 AWS 区域的 worker 节点

ROSA 集群中的所有节点都必须位于同一 AWS 区域。对于为多个可用区配置的集群,control plane 节点和 worker 节点将在可用区间分布。

17.1.7.2. 最小 worker 节点数量

对于 ROSA 集群,最小是 2 个 worker 节点用于单个可用区,3 个 worker 节点用于多个可用区。

17.1.7.3. 底层节点操作系统

与所有 OpenShift v4.x 产品一样,control plane、infra 和 worker 节点都运行 Red Hat Enterprise Linux CoreOS (RHCOS)。

17.1.7.4. 节点休眠或关闭

目前,ROSA 没有节点的休眠功能或关闭功能。shutdown 和 hibernation 功能是一个 OpenShift 平台的功能,它尚未足够成熟,用于广泛的云服务。

17.1.7.5. worker 节点支持的实例

有关 worker 节点支持的实例的完整列表,请参阅 AWS 实例类型。还支持 Spot 实例。

17.1.7.6. 节点自动扩展

通过自动扩展,您可以根据当前工作负载自动调整集群的大小。如需了解更多详细信息 ,请参阅关于 集群中的自动扩展节点。

17.1.7.7. worker 节点的最大数量

每个 ROSA 集群的最大 worker 节点数量为 180 worker 节点。有关节点数的详情,请参阅 限制和可扩展性

ROSA 文档中提供了帐户范围和每个集群角色的列表。

17.1.8. 管理员

除了访问所有用户创建项目外,ROSA 客户管理员可以管理用户和配额。

17.1.9. OpenShift 版本和升级

ROSA 是一个基于 OpenShift Container Platform 的受管服务。您可以在 ROSA 文档中 查看当前版本和生命周期日期。

客户可以升级到 OpenShift 的最新版本,并使用来自该 OpenShift 版本的功能。如需更多信息,请参阅 生命周期日期。并非所有 OpenShift 功能都可用于 ROSA。如需更多信息,请参阅 服务定义

17.1.10. 支持

您可以直接从 OpenShift Cluster Manager 打开 ticket。有关获取支持的详情,请参阅 ROSA 支持文档

您还可以访问 红帽客户门户网站来搜索 或浏览与红帽产品相关的文章和解决方案,或向红帽支持提交支持问题单。

17.1.10.1. 有限支持

如果在"生命周期结束"前没有升级 ROSA 集群,集群将继续以有限的支持状态运行。该集群的 SLA 将不再适用,但您仍可以获得对该集群的支持。如需了解更多详细信息,请参阅 有限的支持状态 文档。

其他支持资源

17.1.11. 服务级别协议(SLA)

详情请查看 ROSA SLA 页面。

17.1.12. 通知和通信

红帽将通过电子邮件和混合云控制台服务日志提供有关新红帽和 AWS 功能、更新和计划的维护通知。

17.1.13. AWS (OBSA)的 Open Service Broker

您可以将 OSBA 与 ROSA 搭配使用。但是,首选方法是 Kubernetes 的最新 AWS Controller。如需有关 OSBA 的更多信息,请参阅 AWS 的 Open Service Broker

17.1.14. Offboarding

客户可以随时停止使用 ROSA,并将其应用程序迁移到内部、私有云或其他云供应商。标准保留实例(RI)策略适用于未使用的 RI。

17.1.15. 身份验证

ROSA 支持以下身份验证机制:OpenID Connect (OAuth2 的配置集)、Google OAuth、GitHub OAuth、GitLab 和 LDAP。

17.1.16. SRE 集群访问

所有 SRE 集群访问都由 MFA 保护。如需了解更多详细信息,请参阅 SRE 访问

17.1.17. Encryption

17.1.17.1. 加密密钥

ROSA 使用存储在 KMS 中的密钥来加密 EBS 卷。客户也可以选择在集群创建时提供自己的 KMS 密钥。

17.1.17.2. KMS 密钥

如果您指定了 KMS 密钥,control plane、基础架构和 worker 节点根卷,并使用密钥加密持久性卷。

17.1.17.3. 数据加密

默认情况下,还有加密。AWS Storage 平台会在保留数据前自动加密数据,并在检索前解密数据。如需了解更多详细信息,请参阅 AWS EBS 加密

您还可以在集群中加密 etcd,将其与 AWS 存储加密合并。这会加倍的加密,这会增加 20% 的性能命中。如需了解更多详细信息,请参阅 etcd 加密 文档。

17.1.17.4. etcd 加密

etcd 加密只能在集群创建时启用。

注意

etcd 加密会导致额外的开销,但存在不计的安全风险缓解方案。

17.1.17.5. etcd 加密配置

etcd 加密的配置与 OpenShift Container Platform 中的相同。使用 aescbc cypher,设置在集群部署期间被修补。如需了解更多详细信息,请参阅 Kubernetes 文档

17.1.17.6. EBS 加密的多区域 KMS 密钥

目前,ROSA CLI 不接受用于 EBS 加密的多区域 KMS 密钥。此功能是我们进行产品更新的积压。如果在集群创建时定义,ROSA CLI 接受 EBS 加密的单一区域 KMS 密钥。

17.1.18. 基础架构

ROSA 使用几个不同的云服务,如虚拟机、存储和负载均衡器。您可以在 AWS 先决条件 中看到定义的列表。

17.1.19. 凭证方法

有两种凭证方法可以授予红帽在 AWS 帐户中执行所需操作所需的权限:带有 STS 的 AWS 或具有 admin 权限的 IAM 用户。使用 STS 的 AWS 是首选的方法,IAM 用户方法最终会被弃用。AWS 与 STS 更好地与云服务资源管理中最低特权和安全实践的原则保持一致。

17.1.20. 先决条件权限或失败错误

检查 ROSA CLI 的更新版本。ROSA CLI 的每个发行版本都位于两个位置:Github 和红帽签名的二进制版本https://github.com/openshift/rosa/releases

17.1.21. Storage

请参阅服务定义的 storage 部分。

OpenShift 包含 AWS EFS 的 CSI 驱动程序。如需更多信息,请参阅 在 AWS 上为 Red Hat OpenShift Service 设置 AWS EFS

17.1.22. 使用 VPC

安装时,您可以选择部署到现有的 VPC 或拥有您自己的 VPC。然后,您可以选择所需的子网,并提供有效的 CIDR 范围,该范围包括安装程序在使用这些子网时的子网。

ROSA 允许多个集群共享相同的 VPC。一个 VPC 上的集群数量受剩余的 AWS 资源配额和 CIDR 范围的限制。如需更多信息,请参阅 CIDR 范围定义

17.1.23. 网络插件

ROSA 使用 OpenShift OVN-Kubernetes 默认 CNI 网络供应商。

17.1.24. 跨命名空间网络

集群管理员可以使用 NetworkPolicy 对象根据项目自定义和拒绝跨命名空间。如需更多信息,请参阅 使用网络策略配置多租户隔离

17.1.25. 使用 Prometheus 和 Grafana

您可以使用 Prometheus 和 Grafana 监控容器,并使用 OpenShift User Workload Monitoring 管理容量。这是 OpenShift Cluster Manager 中的复选框选项。

17.1.26. 审计日志来自集群 control-plane 的输出

如果 Cluster Logging Operator Add-on 已添加到集群中,则审计日志可通过 CloudWatch 获得。如果没有,则支持请求将允许您请求一些审计日志。对于导出并发送到客户,可以请求较小的目标日志和有时间的日志。可用的审计日志的选择由平台安全和合规性类别中的 SRE 决定。集群整个日志的导出的请求将被拒绝。

17.1.27. AWS 权限绑定

您可以在集群的策略中使用 AWS 权限 Boundary。

17.1.28. AMI

ROSA worker 节点使用与 OSD 和 OpenShift Container Platform 不同的 AMI。Control Plane 和 Infra node AMI 在同一个版本中的产品之间很常见。

17.1.29. 集群备份

ROSA STS 集群没有备份。用户必须为应用程序和数据拥有自己的备份策略。如需更多信息,请参阅我们的 备份策略

17.1.30. 自定义域

您可以为应用程序定义自定义域。如需更多信息,请参阅为应用程序配置自定义域

17.1.31. ROSA 域证书

红帽基础架构(Hive)管理默认应用程序入口的证书轮转。

17.1.32. 断开连接的环境

ROSA 不支持 air-gapped 断开连接的环境。ROSA 集群必须具有到互联网的出口,才能访问我们的 registry、S3 并发送指标。该服务需要多个出口端点。Ingress 可以限制为 Red Hat SREs 和 VPN 用于客户访问。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.