Definição do serviço Red Hat OpenShift no Azure
As seções a seguir oferecem definições de serviço para ajudar você a gerenciar a conta do Red Hat OpenShift no Azure.
Cobrança
Os clusters do Red Hat OpenShift no Azure são implantados na assinatura do Azure de um cliente. Um cliente paga o Azure diretamente pelos custos incorridos por um cluster do Red Hat OpenShift no Azure.
Os nós do Red Hat OpenShift no Azure são executados em Máquinas Virtuais do Azure. Eles são cobrados de acordo com os preços da máquina virtual Linux do Azure. Os recursos de computação, de rede e de armazenamento consumidos por um cluster do Red Hat OpenShift no Azure são cobrados de acordo com o uso.
Além dos custos de computação e infraestrutura, os nós de aplicativos têm um custo adicional para o componente de licença do Red Hat OpenShift no Azure. Esse custo é baseado no número de nós de aplicativo e no tipo de instância.
Todas as opções de compra padrão do Azure, incluindo reservas e pagamentos antecipados do Azure, se aplicam. As opções de compra padrão do Azure podem ser usadas para o Red Hat OpenShift no Azure. Além disso, as opções de compra padrão do Azure podem ser usadas para máquinas virtuais, para rede e para recursos de armazenamento consumidos pelo cluster do Red Hat OpenShift no Azure.
Para obter mais informações sobre preços, consulte preços do Red Hat OpenShift no Azure.
Autoatendimento de cluster
Os clientes podem criar e excluir os respectivos clusters usando o utilitário da linha de comando do Azure (CLI). Os clusters do Red Hat OpenShift no Azure são implantados com um usuário kubeadmin cujas credenciais estão disponíveis na CLI do Azure depois que um cluster é implantado com êxito.
Você pode executar todas as outras ações de cluster do Red Hat OpenShift no Azure, como dimensionar nós, interagindo com a API do OpenShift usando ferramentas como o console Web do OpenShift ou a CLI do OpenShift (oc).
Arquitetura de recursos do Azure
Uma implantação do Red Hat OpenShift no Azure requer dois grupos de recursos em uma assinatura do Azure. O primeiro grupo de recursos é criado pelo cliente e contém os componentes de rede virtual para o cluster. Manter os elementos de rede separados permite que o cliente configure o Red Hat OpenShift no Azure para atender aos requisitos e adicionar quaisquer opções de emparelhamento.
O segundo grupo de recursos é criado pelo provedor de recursos do Red Hat OpenShift no Azure. Ele contém componentes de cluster do Red Hat OpenShift no Azure, incluindo máquinas virtuais, grupos de segurança de rede e balanceadores de carga. Os componentes do cluster do Red Hat OpenShift no Azure localizados nesse grupo de recursos não podem ser modificados pelo cliente. A configuração do cluster deve ser executada por meio de interações com a API do OpenShift usando o console Web do OpenShift ou a CLI do OpenShift ou ferramentas semelhantes.
Observação
A entidade de serviço do provedor de recursos ARO requer a função Colaborador de Rede na VNet do cluster ARO. Isso é necessário para que o provedor de recursos do ARO crie recursos como o serviço de Link Privado do ARO e balanceadores de carga.
Operadores do Red Hat
É recomendável que um cliente forneça um segredo de pull do cluster do Red Hat OpenShift no Azure durante a criação do cluster. O segredo de pull do Red Hat permite que o cluster acesse registros de contêiner do Red Hat com outros conteúdos do Hub Operador do OpenShift.
Os clusters do Red Hat OpenShift no Azure ainda podem atender a aplicativos sem fornecer o segredo de pull do Red Hat, mas não poderão instalar operadores do Hub Operador.
O segredo de pull do Red Hat também pode ser fornecido para o cluster após a implantação.
Computação
Os clusters do Red Hat OpenShift no Azure são provisionados com três ou mais nós de trabalho.
Em regiões que consistem em várias zonas de disponibilidade, um conjunto de computadores de nó de trabalho é criado em cada zona. Além disso, um nó de trabalho é provisionado de cada conjunto de computadores.
Quando uma região do Azure não dá suporte a zonas de disponibilidade, o cluster do Red Hat OpenShift no Azure provisiona os nós de trabalho de um conjunto único de computadores. Os clientes têm a capacidade de aumentar a contagem de nós e a permissão em cada região.
Os clusters do Red Hat OpenShift no Azure são provisionados com três ou mais nós do painel de controle. Esses nós são responsáveis pelo armazenamento de chave-valor etcd e pelas cargas de trabalho relacionadas à API. O nó do painel de controle não pode ser usado para as cargas de trabalho do cliente. A implantação de nó do painel de controle segue as mesmas regras que os nós de trabalho.
- Em regiões que consistem em várias zonas de disponibilidade, um conjunto de computadores do nó do painel de controle é criado em cada zona. Um nó do painel de controle é provisionado usando cada conjunto de computadores.
- Quando uma região do Azure não dá suporte a zonas de disponibilidade, o cluster do Red Hat OpenShift no Azure provisiona os nós do painel de controle de um conjunto único de computadores.
Tipos de computação do Azure
Para obter uma lista de tamanhos e tipos de nó de trabalho e de painel de controle compatível, confirma Tamanhos de máquina virtual compatíveis.
Regiões do Azure
Para regiões com suporte do Red Hat OpenShift no Azure, confira Produtos disponíveis por região.
Na CLI do Azure, exiba uma lista de regiões disponíveis executando o seguinte comando:
az provider show -n Microsoft.RedHatOpenShift --query "resourceTypes[?resourceType == 'OpenShiftClusters']".locations -o yaml
Depois de implantado, um cluster do Red Hat OpenShift no Azure não pode ser movido para uma região diferente. Da mesma forma, não é possível transferir clusters do Red Hat OpenShift no Azure entre assinaturas.
Contrato de Nível de Serviço
Para obter detalhes do SLA, confira SLA para Red Hat OpenShift no Azure.
Suporte
As solicitações de suporte para o Red Hat OpenShift no Azure podem ser enviadas por;
- Solicitando suporte no portal do Azure
- Solicitando suporte via Portal do Cliente Red Hat
As solicitações serão desatualizadas e endereçadas pelos engenheiros de suporte da Microsoft e do Red Hat. O Red Hat OpenShift no Azure inclui Suporte Premium do Red Hat. O suporte pode ser acessado por meio do portal do Microsoft Azure.
Para abrir tíquetes de suporte diretamente com o Red Hat, o cluster precisará ter um segredo de pull. Você pode adicioná-lo durante a criação do cluster ou adicioná-lo ou atualizá-lo em um cluster existente.
Logging
As seções a seguir fornecem informações sobre a segurança do Red Hat OpenShift no Azure.
Operações de cluster e log de auditoria
O Red Hat OpenShift no Azure faz implantações com serviços para manter a integridade e o desempenho do cluster e dos respectivos componentes. Esses serviços incluem operações de cluster e logs de auditoria. As operações de cluster e os logs de auditoria são encaminhados automaticamente para um sistema de agregação do Azure para suporte e solução de problemas. Esses dados só podem ser acessados pela equipe de suporte autorizado por meio de mecanismos aprovados.
Os administradores de cluster do cliente podem implantar uma pilha de registro em log opcional para agregar todos os logs de seu cluster do Red Hat OpenShift no Azure. Por exemplo, os logs de auditoria do sistema de nó e os logs de infraestrutura podem ser agregados. No entanto, esses logs consomem outros recursos de cluster.
Registro em log do aplicativo
Com o acesso ao OperatorHub.Io habilitado, o Red Hat OpenShift no Azure inclui uma pilha de registro em log opcional com base em Elasticsearch, Fluentd e Kibana (EFK).
A pilha de registro em log, o Operador de Registro em Log, pode ser configurada para atender aos requisitos do cliente. No entanto, ela foi criada para retenção de curto prazo com o objetivo de auxiliar a solução de problemas de cluster e do aplicativo, não para arquivamento de log de longo prazo.
Se a pilha de log de cluster estiver instalada, os logs do aplicativo enviados para STDOUT serão coletados pelo Fluentd. Os logs do aplicativo são disponibilizados por meio da pilha de registro em log do cluster. A retenção está definida para sete dias, mas não excederá 200 GiB de logs por fragmento. Para retenção de longo prazo, os clientes devem seguir o design de contêiner sidecar nas respectivas implantações. Os clientes devem encaminhar logs para a agregação de log ou o serviço de análise de sua escolha.
Monitoramento
As seções a seguir fornecem informações sobre o monitoramento do Red Hat OpenShift no Azure.
Métricas de cluster
O Red Hat OpenShift no Azure faz implantações com serviços para manter a integridade e o desempenho do cluster e dos respectivos componentes. Esses serviços incluem o streaming de métricas importantes para um sistema de agregação do Azure para fins de suporte e de solução de problemas. Esses dados só podem ser acessados pela equipe de suporte autorizado por meio de mecanismos aprovados.
Os clusters do Red Hat OpenShift no Azure vêm com uma pilha Prometheus/Grafana integrada para permitir que os clientes exibam o monitoramento de cluster. A pilha inclui a CPU, memória e métricas baseadas em rede.
Essas métricas, que são acessíveis por meio do console Web, também podem ser usadas para exibir o status de nível de cluster e a capacidade/uso por meio de um painel do Grafana. Essas métricas também permitem o dimensionamento automático de pod horizontal com base em métricas de CPU ou de memória fornecidas por um cliente do Red Hat OpenShift no Azure.
Rede
As seções a seguir fornecem informações sobre a rede do Red Hat OpenShift no Azure.
Certificados validados por domínio
Por padrão, o Red Hat OpenShift no Azure inclui certificados de segurança TLS necessários para serviços internos e externos no cluster. Para rotas externas, um certificado de curinga de TLS (protocolo TLS) é fornecido e instalado no cluster. Um certificado de TLS também é usado para o ponto de extremidade da API do OpenShift. DigiCert é a AC (autoridade de certificação) usada para esses certificados.
Domínios personalizados
Durante a implantação, o Red Hat OpenShift no Azure permite que você especifique um domínio personalizado para o cluster. O domínio personalizado é usado tanto para os serviços de cluster quanto para os aplicativos. Você deve criar dois registros DNS A no servidor DNS para o domínio especificado:
- api, que aponta para o endereço IP do servidor da api
- *.apps, que aponta para o endereço IP de entrada
Por padrão, o Red Hat OpenShift no Azure usa certificados autoassinados para todas as rotas criadas em domínios personalizados. Se você optar por usar domínios personalizados, conecte-se ao cluster. Em seguida, siga a documentação do OpenShift para configurar uma AC de autoridade de certificação personalizada para seu controlador de entrada e uma autoridade de certificação personalizada para o servidor de API.
CAs personalizadas para compilações
O Red Hat OpenShift no Azure dá suporte ao uso de AC s para serem confiáveis por compilações ao extrair imagens de um registro de imagem.
Balanceadores de carga
O Red Hat OpenShift no Azure faz a implantação com dois balanceadores de carga do Azure. O primeiro é usado para o tráfego de entrada para aplicativos e para as APIs OpenShift e Kubernetes. O segundo é usado para comunicações internas entre componentes de cluster.
Entrada de cluster
Os administradores do projeto podem adicionar anotações de rota para muitas finalidades diferentes, incluindo o controle de entrada por meio de uma lista de IPs permitidos.
As políticas de entrada podem ser alteradas usando objetos NetworkPolicy, que usam o plug-in OVS-NetworkPolicy. O uso de objetos NetworkPolicy permite o controle total da política de rede de entrada até o nível do pod, inclusive entre pods no mesmo cluster e até mesmo no mesmo namespace.
Todo o tráfego de entrada do cluster atravessa o balanceador de carga definido.
Saída do cluster
O controle de tráfego de egresso de pod por meio de objetos EgressNetworkPolicy pode ser usado para impedir ou limitar o tráfego de saída no Red Hat OpenShift no Azure. Atualmente, todas as máquinas virtuais devem ter acesso de saída à Internet.
Configuração de rede de nuvem
O Red Hat OpenShift no Azure permite a configuração de conexões de rede privada por meio de várias tecnologias gerenciadas por provedor de nuvem:
- Conexões VNet
- Emparelhamento VNET do Azure
- Gateway de VNet do Azure
- Azure Express Route
Nenhum monitoramento dessas conexões de rede privada é fornecido pela Red Hat SRE. O monitoramento dessas conexões é de responsabilidade do cliente.
DNS especificado pelo cliente
Os clientes do Red Hat OpenShift no Azure podem especificar os próprios servidores DNS. Para obter mais informações, consulte Configurar o DNS personalizado para o cluster do Red Hat OpenShift no Azure.
Interface de Rede de Contêiner
O Red Hat OpenShift no Azure vem com Open Virtual Network (OVN) como a Interface de Rede de Contêiner (CNI). Alterar a CNI não é uma operação com suporte. Para obter mais informações, consulte Provedor de rede OVN-Kubernetes para clusters do Red Hat OpenShift no Azure.
Armazenamento
As seções a seguir fornecem informações sobre o armazenamento do Red Hat OpenShift no Azure.
Criptografia em repouso
O Armazenamento do Microsoft Azure usa a SSE (criptografia no servidor) para criptografar automaticamente os dados quando eles são enviados para a nuvem. Por padrão, os dados são criptografados com chaves de criptografia gerenciadas pela plataforma da Microsoft.
Armazenamento em bloco (RWO)
Os volumes persistentes são garantidos pelo armazenamento de bloco em disco do Azure, que é de RWO (Leitura/Gravação Única). Discos de 1024 GiB são criados e anexados de modo dinâmico a cada nó do plano do controlador do Red Hat OpenShift no Azure. Esses discos são discos gerenciados pelo Azure LRS SSD Premium. Os tamanhos de disco para os conjuntos de computadores do nó de trabalho padrão podem ser configurados durante a criação do cluster.
Os clientes têm permissões para criar mais conjuntos de computadores para atender melhor às suas necessidades.
Os PVs (volumes persistentes), que podem ser anexados apenas a um único nó por vez, são específicos à zona de disponibilidade em que foram provisionados. Eles podem ser anexados a qualquer nó na zona de disponibilidade.
O Azure limita o número de PVs do armazenamento de bloco de tipo que podem ser anexados a um único nó. Os limites do Azure dependem do tipo e do tamanho da máquina virtual que o cliente seleciona para os nós de trabalho. Por exemplo, para ver os discos de dados máximos para a série Dasv4, confira Dasv4.
Armazenamento compartilhado (RWX)
O armazenamento compartilhado para clusters do Red Hat OpenShift no Azure deve ser configurado pelo cliente. Para obter um exemplo de como configurar uma classe de armazenamento para arquivos do Azure, confira Criar um StorageClass dos Arquivos do Azure no Red Hat OpenShift no Azure 4
Plataforma
As seções a seguir fornecem informações sobre a plataforma do Red Hat OpenShift no Azure.
Política de backup de cluster
Importante
É fundamental que você tenha um plano de backup para aplicativos e dados de aplicativos.
Os backups para aplicativos e dados de aplicativos não são uma parte automatizada do serviço do Red Hat OpenShift no Azure. Para obter um tutorial sobre como executar o backup de aplicativo manual, confira Criar um backup de aplicativo de cluster do Red Hat OpenShift no Azure 4.
DaemonSets
Os clientes podem criar e executar DaemonSets no Red Hat OpenShift no Azure. Para restringir os DaemonSets a serem executados somente em nós de trabalho, use o seguinte nodeSelector:
spec:
nodeSelector:
node-role.kubernetes.io/worker: ""
Versão do Red Hat OpenShift no Azure
O Red Hat OpenShift no Azure é executado como um serviço. Ele permite aos clientes manter-se atualizado com a versão mais recente da Plataforma de Contêiner OpenShift estável. Para obter a política de suporte e atualização, confira Ciclo de vida de suporte para o Red Hat OpenShift no Azure 4.
Ciclo de vida de suporte
Para obter informações sobre o ciclo de vida do suporte do Red Hat OpenShift no Azure, confira Ciclo de vida do suporte para o Red Hat OpenShift no Azure 4.
Mecanismo de contêiner
O Red Hat OpenShift no Azure é executado no OpenShift 4 e usa a implementação do CRI-O da interface de tempo de execução do contêiner do Kubernetes como o único mecanismo de contêiner disponível.
Sistema operacional
O Red Hat OpenShift no Azure é executado no OpenShift 4 usando RHCOS (Red Hat Enterprise Linux CoreOS) como o sistema operacional para todos os nós de trabalho e do painel de controle. Não há suporte para as cargas de trabalho do Windows no OpenShift no Azure, pois, atualmente, a plataforma não dá suporte aos nós de trabalho do Windows.
Suporte ao operador do Kubernetes
O Red Hat OpenShift no Azure dá suporte a operadores criados por Red Hat e ISVs (fornecedores de software independentes) certificados. Os operadores fornecidos pelo Red Hat têm o suporte oferecido por eles. Os operadores ISV têm suporte do ISV.
Para usar o OperatorHub, o cluster deve ser configurado com um segredo de pull do Red Hat. Para obter mais informações sobre como usar o OperatorHub, confira Noções básicas do OperatorHub
Segurança
As seções a seguir fornecem informações sobre a segurança do OpenShift no Azure.
Provedor de autenticação
Os clusters do Red Hat OpenShift no Azure não estão configurados com nenhum provedor de autenticação.
Os clientes precisam configurar seus próprios provedores, como o Microsoft Entra ID. Para obter informações sobre como configurar provedores, confira os seguintes artigos:
Conformidade normativa
Para obter detalhes sobre as certificações de conformidade regulatória do Red Hat OpenShift no Azure, confira Ofertas de Conformidade do Microsoft Azure.
Próximas etapas
Para obter mais informações, confira a documentação de políticas de suporte.