다음을 통해 공유

Azure Red Hat OpenShift 서비스 정의

  • 아티클

다음 섹션에서는 Azure Red Hat OpenShift 계정을 관리할 수 있도록 하는 서비스 정의를 제공합니다.

결제

Azure Red Hat OpenShift 클러스터는 고객의 Azure 구독에 배포됩니다. 고객은 Azure Red Hat OpenShift 클러스터에서 발생한 비용을 Azure에 직접 지불합니다.

Azure Red Hat OpenShift 노드는 Azure Virtual Machines에서 실행됩니다. Azure Linux 가상 머신 가격 책정에 따라 요금이 청구됩니다. Azure Red Hat OpenShift 클러스터에서 사용하는 컴퓨팅, 네트워킹 및 스토리지 리소스는 사용량에 따라 요금이 청구됩니다.

컴퓨팅 및 인프라 비용 외에도 애플리케이션 노드에는 Azure Red Hat OpenShift 라이선스 구성 요소에 대한 추가 비용이 있습니다. 이 비용은 애플리케이션 노드 수와 인스턴스 형식을 기반으로 합니다.

예약 및 Azure 선불을 포함한 모든 표준 Azure 구매 옵션이 적용됩니다. 표준 Azure 구매 옵션은 Azure Red Hat OpenShift에 사용할 수 있습니다. 또한 Azure Red Hat OpenShift 클러스터에서 사용하는 가상 머신, 네트워킹 및 스토리지 리소스에 표준 Azure 구매 옵션을 사용할 수 있습니다.

가격 책정에 대한 자세한 내용은 Azure Red Hat OpenShift 가격 책정을 참조하세요.

클러스터 셀프 서비스

고객은 Azure CLI(명령줄 유틸리티)를 사용하여 클러스터를 만들고 삭제할 수 있습니다. 클러스터가 성공적으로 배포된 후 Azure Red Hat OpenShift 클러스터가 Azure CLI에서 자격 증명을 사용할 수 있는 kubeadmin 사용자와 함께 배포됩니다.

OpenShift 웹 콘솔 또는 OC(OpenShift CLI)와 같은 도구를 사용하여 OpenShift API와 상호 작용하여 노드 크기 조정과 같은 다른 모든 Azure Red Hat OpenShift 클러스터 작업을 수행할 수 있습니다.

Azure 리소스 아키텍처

Azure Red Hat OpenShift 배포에는 Azure 구독 내에 두 개의 리소스 그룹이 필요합니다. 첫 번째 리소스 그룹은 고객이 만들고 클러스터에 대한 가상 네트워킹 구성 요소를 포함합니다. 네트워킹 요소를 별도로 유지하면 고객이 Azure Red Hat OpenShift를 구성하여 요구 사항을 충족하고 피어링 옵션을 추가할 수 있습니다.

두 번째 리소스 그룹은 Azure Red Hat OpenShift 리소스 공급자가 만듭니다. 여기에는 가상 머신, 네트워크 보안 그룹 및 부하 분산 장치를 비롯한 Azure Red Hat OpenShift 클러스터 구성 요소가 포함됩니다. 이 리소스 그룹 내에 있는 Azure Red Hat OpenShift 클러스터 구성 요소는 고객이 수정할 수 없습니다. OpenShift 웹 콘솔이나 OpenShift CLI 또는 유사한 도구를 사용하여 OpenShift API와의 상호 작용을 통해 클러스터 구성을 수행해야 합니다.

참고 항목

ARO 리소스 공급자의 서비스 주체에는 ARO 클러스터의 VNet에 대한 네트워크 기여자 역할이 필요합니다. 이는 ARO 리소스 공급자가 ARO Private Link 서비스 및 부하 분산 장치와 같은 리소스를 만드는 데 필요합니다.

Red Hat 운영자

고객이 클러스터를 만드는 동안 Azure Red Hat OpenShift 클러스터에 Red Hat 풀 비밀을 제공하는 것이 좋습니다. Red Hat 풀 비밀을 사용하면 클러스터가 OpenShift Operator Hub의 다른 콘텐츠와 함께 Red Hat 컨테이너 레지스트리에 액세스할 수 있습니다.

Azure Red Hat OpenShift 클러스터는 Red Hat 풀 비밀을 제공하지 않고 애플리케이션을 계속 지원할 수 있지만 Operator Hub에서 Operator를 설치할 수는 없습니다.

Red Hat 풀 비밀은 배포 후 클러스터에 제공될 수도 있습니다.

컴퓨팅

Azure Red Hat OpenShift 클러스터는 3개 이상의 작업자 노드로 프로비전됩니다.

  • 여러 가용성 구역으로 구성된 지역에서는 각 구역에 작업자 노드 컴퓨터 집합이 작성됩니다. 또한 작업자 노드는 각 컴퓨터 집합에서 프로비전됩니다.

  • Azure 지역이 가용성 영역을 지원하지 않는 경우 Azure Red Hat OpenShift 클러스터는 단일 컴퓨터 집합에서 작업자 노드를 프로비전합니다. 고객은 각 지역에서 노드 수와 권한을 늘릴 수 있습니다.

Azure Red Hat OpenShift 클러스터는 3개의 컨트롤 플레인 노드로 프로비전됩니다. 이러한 노드는 etcd 키-값 저장소 및 API 관련 워크로드를 담당합니다. 컨트롤 플레인 노드는 고객 워크로드에 사용할 수 없습니다. 컨트롤 플레인 노드 배포는 작업자 노드와 동일한 규칙을 따릅니다.

  • 여러 가용성 영역으로 구성된 지역에서는 각 영역에 컨트롤 플레인 노드 컴퓨터 집합이 만들어집니다. 컨트롤 플레인 노드는 각 컴퓨터 집합에서 프로비전됩니다.
  • Azure 지역이 가용성 영역을 지원하지 않는 경우 Azure Red Hat OpenShift 클러스터는 단일 컴퓨터 집합에서 컨트롤 플레인 노드를 프로비전합니다.

Azure 컴퓨팅 형식

지원되는 컨트롤 플레인 및 작업자 노드 형식과 크기 목록은 지원되는 가상 머신 크기를 참조하세요.

Azure 지역

Azure Red Hat OpenShift에서 지원하는 지역은 지역별 사용 가능한 제품을 참조하세요.

Azure CLI에서 다음 명령을 실행하여 사용 가능한 지역 목록을 확인합니다.

az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml

일단 배포되면 Azure Red Hat OpenShift 클러스터를 다른 지역으로 이동할 수 없습니다. 마찬가지로 구독 간에 Azure Red Hat OpenShift 클러스터를 전송할 수 없습니다.

서비스 수준 계약

SLA에 대한 자세한 내용은 Azure Red Hat OpenShift에 대한 SLA를 참조하세요.

지원

Azure Red Hat OpenShift에 대한 지원 요청은 다음에서 제출할 수 있습니다.

  • Azure Portal에서 지원 요청
  • Red Hat 고객 포털을 통한 지원 요청

요청은 Microsoft 및 Red Hat 지원 엔지니어가 심사하고 해결합니다. Azure Red Hat OpenShift에는 Red Hat 프리미엄 지원이 포함됩니다. 지원은 Microsoft Azure Portal을 통해 액세스할 수 있습니다.

Red Hat에서 직접 지원 티켓을 열려면 클러스터에 풀 비밀이 있어야 합니다. 클러스터 만들기 중에 추가하거나 기존 클러스터에서 추가하거나 업데이트할 수 있습니다.

로깅

다음 섹션에서는 Azure Red Hat OpenShift 보안에 대한 정보를 제공합니다.

클러스터 작업 및 감사 로깅

Azure Red Hat OpenShift는 클러스터 및 해당 구성 요소의 상태와 성능을 유지하기 위한 서비스와 함께 배포됩니다. 이러한 서비스에는 클러스터 작업 및 감사 로그가 포함됩니다. 클러스터 작업 및 감사 로그는 지원 및 문제 해결을 위해 Azure 집계 시스템에 자동으로 전달됩니다. 이 데이터는 승인된 메커니즘을 통해 승인된 지원 담당자만 액세스할 수 있습니다.

고객 클러스터 관리자는 선택적 로깅 스택을 배포하여 Azure Red Hat OpenShift 클러스터의 모든 로그를 집계할 수 있습니다. 예를 들어, 노드 시스템 감사 로그와 인프라 로그를 집계할 수 있습니다. 그러나 이러한 로그는 다른 클러스터 리소스를 사용합니다.

애플리케이션 로깅

OperatorHub.io에 대한 액세스가 사용하도록 설정된 Azure Red Hat OpenShift에는 EFK(Elasticsearch, Fluentd 및 Kibana) 기반의 선택적 로깅 스택이 포함되어 있습니다.

로깅 스택인 로깅 운영자는 고객 요구 사항을 충족하도록 구성할 수 있습니다. 그러나 장기 로그 보관용이 아니라 클러스터 및 애플리케이션 문제 해결을 돕기 위한 단기 보존용으로 설계되었습니다.

클러스터 로깅 스택이 설치된 경우 STDOUT으로 전송된 애플리케이션 로그는 Fluentd에서 수집됩니다. 애플리케이션 로그는 클러스터 로깅 스택을 통해 사용할 수 있습니다. 보존 기간은 7일로 설정되지만 분할당 로그의 200GiB를 초과하지 않습니다. 장기 보존을 위해 고객은 배포 시 사이드카 컨테이너 디자인을 따라야 합니다. 고객은 선택한 로그 집계 또는 분석 서비스로 로그를 전달해야 합니다.

모니터링

다음 섹션에서는 Azure Red Hat OpenShift 모니터링에 대한 정보를 제공합니다.

클러스터 메트릭

Azure Red Hat OpenShift는 클러스터 및 해당 구성 요소의 상태와 성능을 유지하기 위한 서비스와 함께 배포됩니다. 이러한 서비스에는 지원 및 문제 해결을 위해 중요한 메트릭을 Azure 집계 시스템으로 스트리밍하는 것이 포함됩니다. 이 데이터는 승인된 메커니즘을 통해 승인된 지원 담당자만 액세스할 수 있습니다.

Azure Red Hat OpenShift 클러스터는 고객이 클러스터 모니터링을 볼 수 있도록 통합 Prometheus/Grafana 스택과 함께 제공됩니다. 스택에는 CPU, 메모리 및 네트워크 기반 메트릭이 포함됩니다.

웹 콘솔을 통해 액세스할 수 있는 이러한 메트릭은 Grafana 대시보드를 통해 클러스터 수준 상태 및 용량/사용량을 보는 데에도 사용할 수 있습니다. 이러한 메트릭은 또한 Azure Red Hat OpenShift 고객이 제공하는 CPU 또는 메모리 메트릭을 기반으로 하는 수평적 Pod 자동 크기 조정을 허용합니다.

네트워크

다음 섹션에서는 Azure Red Hat OpenShift 네트워크에 대한 정보를 제공합니다.

도메인 유효성 검사 인증서

기본적으로 Azure Red Hat OpenShift에는 클러스터의 내부 및 외부 서비스 모두에 필요한 TLS 보안 인증서가 포함되어 있습니다. 외부 경로의 경우 TLS(전송 계층 보안) 와일드카드 인증서가 제공되어 클러스터에 설치됩니다. TLS 인증서는 OpenShift API 엔드포인트에도 사용됩니다. DigiCert는 이러한 인증서에 사용되는 CA(인증 기관)입니다.

사용자 지정 도메인

배포 중에 Azure Red Hat OpenShift를 사용하면 클러스터에 대한 사용자 지정 도메인을 지정할 수 있습니다. 사용자 지정 도메인은 클러스터 서비스와 애플리케이션 모두에 사용됩니다. 지정된 도메인에 대해 DNS 서버에 두 개의 DNS A 레코드를 만들어야 합니다.

  • api, api 서버 IP 주소를 가리킴
  • *.apps, 수신 IP 주소를 가리킴

기본적으로 Azure Red Hat OpenShift는 사용자 지정 도메인에서 만들어진 모든 경로에 대해 자체 서명된 인증서를 사용합니다. 사용자 지정 도메인을 사용하도록 선택한 경우 클러스터에 연결합니다. 그런 다음 OpenShift 설명서에 따라 수신 컨트롤러에 대한 사용자 지정 인증 기관 CA와 API 서버에 대한 사용자 지정 CA를 구성합니다.

빌드에 대한 사용자 지정 CA

Azure Red Hat OpenShift는 이미지 레지스트리에서 이미지를 가져올 때 빌드에서 신뢰할 수 있는 CA 사용을 지원합니다.

부하 분산 장치

Azure Red Hat OpenShift는 두 개의 Azure Load Balancer와 함께 배포됩니다. 첫 번째는 애플리케이션에 대한 수신 트래픽과 OpenShift 및 Kubernetes API에 사용됩니다. 두 번째는 클러스터 구성 요소 간의 내부 통신에 사용됩니다.

클러스터 수신

프로젝트 관리자는 IP 허용 목록을 통한 수신 제어를 포함하여 다양한 목적을 위해 경로 주석을 추가할 수 있습니다.

수신 정책은 ovs-networkpolicy 플러그 인을 사용하는 NetworkPolicy 개체를 사용하여 변경할 수 있습니다. NetworkPolicy 개체를 사용하면 동일한 클러스터의 Pod 및 동일한 네임스페이스의 Pod를 포함하여 Pod 수준까지 수신 네트워크 정책을 완전히 제어할 수 있습니다.

모든 클러스터 수신 트래픽은 정의된 부하 분산 장치를 통과합니다.

클러스터 송신

EgressNetworkPolicy 개체를 통한 Pod 송신 트래픽 제어를 사용하여 Azure Red Hat OpenShift에서 아웃바운드 트래픽을 방지하거나 제한할 수 있습니다. 현재 모든 가상 머신에는 아웃바운드 인터넷 액세스가 있어야 합니다.

클라우드 네트워크 구성

Azure Red Hat OpenShift를 사용하면 여러 클라우드 공급자 관리 기술을 통해 개인 네트워크 연결을 구성할 수 있습니다.

  • VNet 연결
  • Azure VNet 피어링
  • Azure VNet Gateway
  • Azure Express 경로

이러한 개인 네트워크 연결에 대한 모니터링은 Red Hat SRE에서 제공하지 않습니다. 이러한 연결을 모니터링하는 것은 고객의 책임입니다.

고객 지정 DNS

Azure Red Hat OpenShift 고객은 자체 DNS 서버를 지정할 수 있습니다. 자세한 내용은 Azure Red Hat OpenShift 클러스터용 사용자 지정 DNS 구성을 참조하세요.

컨테이너 네트워크 인터페이스

Azure Red Hat OpenShift에는 OVN(Open Virtual Network)이 CNI(Container Network Interface)와 함께 제공됩니다. CNI 교체는 지원되는 작업이 아닙니다. 자세한 내용은 Azure Red Hat OpenShift 클러스터용 OVN-Kubernetes 네트워크 공급자를 참조하세요.

스토리지

다음 섹션에서는 Azure Red Hat OpenShift 스토리지에 대한 정보를 제공합니다.

미사용 시 암호화

Azure Storage는 SSE(서버 측 암호화)를 사용하여 데이터가 클라우드에 유지될 때 데이터를 자동으로 암호화합니다. 기본적으로 데이터는 Microsoft 플랫폼 관리형 키로 암호화됩니다.

블록 스토리지(RWO)

영구 볼륨은 RWO(한 번 읽기/쓰기)인 Azure-Disk 블록 스토리지에서 지원됩니다. 1024GiB 디스크는 동적으로 만들어져 각 Azure Red Hat OpenShift 컨트롤러 평면 노드에 연결됩니다. 이러한 디스크는 프리미엄 SSD LRS Azure 관리 디스크입니다. 클러스터 만들기 중에 기본 작업자 노드 컴퓨터 집합의 디스크 크기를 구성할 수 있습니다.

고객은 자신의 요구 사항에 더 잘 맞도록 더 많은 컴퓨터 집합을 만들 수 있는 권한이 있습니다.

한 번에 하나의 노드에만 연결할 수 있는 PV(영구 볼륨)는 프로비전된 가용성 영역에 따라 다릅니다. 가용성 영역의 모든 노드에 연결할 수 있습니다.

Azure는 단일 노드에 연결할 수 있는 블록 저장소 형식의 PV 수를 제한합니다. Azure 제한은 고객이 작업자 노드에 대해 선택한 가상 머신의 형식과 크기에 따라 다릅니다. 예를 들어, Dasv4 시리즈의 최대 데이터 디스크를 보려면 Dasv4를 참조하세요.

공유 스토리지(RWX)

Azure Red Hat OpenShift 클러스터용 공유 스토리지는 고객이 구성해야 합니다. Azure 파일용 스토리지 클래스를 구성하는 방법에 대한 예는 Azure Red Hat OpenShift 4에서 Azure Files StorageClass 만들기를 참조하세요.

플랫폼

다음 섹션에서는 Azure Red Hat OpenShift 플랫폼에 대한 정보를 제공합니다.

클러스터 백업 정책

Important

애플리케이션 및 애플리케이션 데이터에 대한 백업 계획이 있는 것이 중요합니다.

애플리케이션 및 애플리케이션 데이터 백업은 Azure Red Hat OpenShift 서비스의 자동화된 부분이 아닙니다. 수동 애플리케이션 백업을 수행하는 방법에 대한 자습서는 Azure Red Hat OpenShift 4 클러스터 애플리케이션 백업 만들기를 참조하세요.

DaemonSets

고객은 Azure Red Hat OpenShift에서 DaemonSets를 만들고 실행할 수 있습니다. DaemonSets가 작업자 노드에서만 실행되도록 제한하려면 다음 nodeSelector를 사용합니다.

spec:
  nodeSelector:
    node-role.kubernetes.io/worker: ""

Azure Red Hat OpenShift 버전

Azure Red Hat OpenShift는 서비스로 실행됩니다. 이를 통해 고객은 안정적인 최신 OpenShift Container Platform 버전을 최신 상태로 유지할 수 있습니다. 지원 및 업그레이드 정책은 Azure Red Hat OpenShift 4에 대한 지원 수명 주기를 참조하세요.

제품 지원 기간

Azure Red Hat OpenShift 지원 수명 주기에 대한 자세한 내용은 Azure Red Hat OpenShift 4 지원 수명 주기를 참조하세요.

컨테이너 엔진

Azure Red Hat OpenShift는 OpenShift 4에서 실행되며 Kubernetes 컨테이너 런타임 인터페이스의 CRI-O 구현을 사용 가능한 유일한 컨테이너 엔진으로 사용합니다.

운영 체제

Azure Red Hat OpenShift는 RHCOS(Red Hat Enterprise Linux CoreOS)를 모든 컨트롤 플레인 및 작업자 노드의 운영 체제로 사용하여 OpenShift 4에서 실행됩니다. 플랫폼이 현재 Windows 작업자 노드를 지원하지 않으므로 Azure OpenShift에서는 Windows 워크로드가 지원되지 않습니다.

Kubernetes 운영자 지원

Azure Red Hat OpenShift는 Red Hat 및 인증된 ISV(독립 소프트웨어 공급업체)에서 만든 연산자를 지원합니다. Red Hat에서 제공하는 연산자는 Red Hat에서 지원합니다. ISV 운영자는 ISV에서 지원합니다.

OperatorHub를 사용하려면 Red Hat 풀 비밀로 클러스터를 구성해야 합니다. OperatorHub 사용에 대한 자세한 내용은 OperatorHub 이해를 참조하세요.

보안

다음 섹션에서는 Azure OpenShift 보안에 대한 정보를 제공합니다.

인증 공급자

Azure Red Hat OpenShift 클러스터는 인증 공급자로 구성되지 않습니다.

고객은 Microsoft Entra ID와 같은 자체 공급자를 구성해야 합니다. 공급자 구성에 대한 자세한 내용은 다음 문서를 참조하세요.

규정 준수

Azure Red Hat OpenShift의 규정 준수 인증에 대한 자세한 내용은 Microsoft Azure 규정 준수 제품을 참조하세요.

다음 단계

자세한 내용은 지원 정책 설명서를 참조하세요.