В этой статье содержатся ответы на часто задаваемые вопросы о Microsoft Azure Red Hat OpenShift.
Установка и обновление
Где можно найти сведения о ценах и соглашениях об уровне обслуживания?
Сведения о ценах см. в разделе о ценах на Azure Red Hat OpenShift.
Сведения о соглашении об уровне обслуживания см. в соглашениях об уровне обслуживания для веб-службы.
Какие регионы Azure поддерживаются?
Список поддерживаемых регионов для Azure Red Hat OpenShift 4. x см. на странице "Доступность продуктов по регионам".
Какие размеры виртуальных машин можно использовать?
Список поддерживаемых размеров виртуальных машин для Azure Red Hat OpenShift 4 см. в разделе "Поддерживаемые размеры виртуальных машин" статьи "Политика поддержки Azure Red Hat OpenShift".
Каково максимальное число объектов pod в кластере Azure Red Hat OpenShift? Каково максимальное число объектов pod на один узел кластера Azure Red Hat OpenShift?
Фактическое число поддерживаемых объектов pod зависит от требований приложения к памяти, ЦП и хранилищу.
В Azure Red Hat OpenShift 4.x установлено ограничение в 250 объектов pod на узел и максимум 60 вычислительных узлов. Эти ограничения ограничивают максимальное количество модулей pod, поддерживаемых в кластере, до 250×60 = 15 000. Для частного кластера без общедоступных IP-адресов (например, созданных с помощью определяемой пользователем маршрутизации (UDR) и запускаемой версии 4.11 или более поздней), ограничения — 120 вычислительных узлов и 30 000 модулей pod.
Можно ли расположить вычислительные узлы кластера в нескольких регионах Azure?
№ Все узлы кластера Azure Red Hat OpenShift должны происходить из одного региона Azure.
Можно ли развернуть кластер в нескольких зонах доступности?
Да. Кластер можно развернуть в нескольких зонах доступности автоматически, если кластер развернут в регионе Azure, поддерживающем зоны доступности. Дополнительные сведения см. в статье Регионы и зоны доступности в Azure.
Абстрагированы ли узлы плоскости управления, как в Службе Azure Kubernetes (AKS)?
№ Все ресурсы, включая узлы плоскости управления кластером, выполняются в подписке клиента. Ресурсов этих типов помещаются в группу ресурсов только для чтения.
Располагается ли кластер в клиентской подписке?
Управляемое приложение Azure располагается в заблокированной группе ресурсов, относящейся к клиентской подписке. Клиенты могут просматривать объекты в этой группе ресурсов, но не изменять их.
Есть ли в Azure Red Hat OpenShift какой-то элемент, который используется совместно с другими клиентами — или все разделено?
Каждый кластер Azure Red Hat OpenShift выделен в единоличное пользование конкретного клиента и располагается в его подписке.
Доступны ли инфраструктурные узлы?
Да, ARO позволяет использовать наборы компьютеров инфраструктуры для создания компьютеров, которые размещают только компоненты инфраструктуры, такие как маршрутизатор по умолчанию, интегрированный реестр контейнеров и компоненты для метрик кластера и мониторинга. Дополнительные сведения см. в статье "Развертывание узлов инфраструктуры в кластере ARO".
Как проводить обновления кластера?
Сведения об обновлениях, обслуживании и поддерживаемых версиях см. в статье о жизненном цикле поддержки.
Как будут обновляться операционная система сервера виртуальных машин и программное обеспечение OpenShift?
Операционная система сервера виртуальных машин и программное обеспечение OpenShift обновляются по мере внедрения в Azure Red Hat OpenShift промежуточных версий и исправлений вышестоящей платформы контейнеров OpenShift.
Как перезагружать обновленный узел?
Узлы перезагружаются в процессе обновления.
Операции с кластером
Можно ли для мониторинга приложений использовать Prometheus?
Prometheus предварительно установлен и настроен для работы с кластерами Azure Red Hat OpenShift 4.x. Дополнительные сведения см. в разделе документации, посвященном мониторингу кластеров.
Можно ли использовать Prometheus для мониторинга метрик, относящихся к работоспособности и емкости кластера?
В Azure Red Hat OpenShift 4.x: да.
Можно ли организовать потоковую передачу журналов базовых виртуальных машин в клиентскую систему анализа журналов?
Журналы из базовых виртуальных машин обрабатываются управляемой службой и не предоставляются клиентам.
Как клиенту получить доступ к метрикам ЦП и памяти на уровне узла для принятия мер по масштабированию, отладке и т. д.? Кажется, я не могу запустить kubectl сверху в кластере Azure Red Hat OpenShift.
Для кластеров Azure Red Hat OpenShift 4.x веб-консоль OpenShift содержит все метрики на уровне узла. Дополнительные сведения см. в документации Red Hat по просмотру сведений о кластере.
Если масштабировать развертывание, как домены сбоя Azure сопоставляются с размещением pod, чтобы убедиться, что все модули pod для службы не будут выбиты сбоем в одном домене сбоя?
Существует по умолчанию пять доменов сбоя при использовании Масштабируемые наборы виртуальных машин в Azure. Каждый экземпляр виртуальной машины в масштабируемом наборе будет помещен в один из этих доменов сбоя. Это гарантирует, что приложения, развернутые на вычислительных узлах в кластере, будут размещены в раздельных доменах сбоя.
Дополнительные сведения см. в разделе "Выбор нужного количества доменов сбоя" для масштабируемого набора виртуальных машин.
Есть ли способ управлять размещением объектов pod?
Клиенты могут получать узлы и просматривать метки в роли customer-admin. Это позволяет выбрать любую виртуальную машину в масштабируемом наборе.
При использовании конкретных меток необходимо соблюдать осторожность:
- Не следует использовать имя узла. Имя узла часто ротируется при обновлениях; оно гарантированно будет меняться.
- Если у клиента есть запрос на определенные метки или стратегию развертывания, это можно сделать. Тем не менее, это потребует инженерных усилий, и она не поддерживается сегодня.
Дополнительные сведения см. в разделе "Управление расположением объектов pod с помощью планировщика" документации по OpenShift.
Доступен ли реестр образов извне, и можно ли в связи с этим использовать такие средства, как Jenkins?
Для кластеров версии 4.x необходимо предоставить безопасный доступ к реестру и настроить проверку подлинности. Дополнительные сведения см. в следующих разделах документации RedHat:
Можно ли переносить кластер между клиентами Azure?
Перемещение кластера ARO между клиентами в настоящее время не поддерживается.
Можно ли переместить кластеры ARO из текущей подписки Azure в другую?
Перемещение кластера ARO и связанных ресурсов между подписками не поддерживается.
Можно ли переместить кластеры ARO или ресурсы инфраструктуры ARO в другие группы ресурсов или переименовать их?
Перемещение или переименование кластера ARO и связанных с ним ресурсов не поддерживается.
Сеть
Можно ли развернуть кластер в существующей виртуальной сети?
Кластеры версии 4.x можно разворачивать в существующей виртуальной сети.
Поддерживаются ли работа в сети с несколькими пространствами имен?
Администраторы клиентов и индивидуальных проектов могут настраивать работу в сети с несколькими пространствами имен (в том числе запрещать ее) для каждого проекта с помощью объектов NetworkPolicy.
Я пытаюсь войти в виртуальную сеть в другой подписке, но получить ошибку CIDR виртуальной сети.
В подписке, где располагается виртуальная сеть, обязательно зарегистрируйте поставщика Microsoft.ContainerService, используя следующую команду: az provider register -n Microsoft.ContainerService --wait.
Можно ли указать диапазоны IP-адресов для развертывания в частной виртуальной сети, чтобы избежать конфликта с другими корпоративными виртуальными сетями при пиринге?
В кластерах версии 4.x можно указывать собственные диапазоны IP-адресов.
Можно ли настраивать модуль программно определяемых сетей?
Программно определяемая сеть openshift-ovs-networkpolicy не настраивается.
Какой вариант Azure Load Balancer используется в Azure Red Hat OpenShift — "Стандартный" или "Базовый"? Настраивается ли он?
Azure Red Hat OpenShift использует Azure Load Balancer уровня "Стандартный" и не настраивается.
Разрешения
Может ли администратор управлять пользователями и квотами?
Да. Администратор Azure Red Hat OpenShift может управлять пользователями и квотами, помимо доступа ко всем созданным пользователями проектам.
Можно ли ограничить кластер только определенными пользователями Microsoft Entra?
Да. Вы можете ограничить вход пользователей Microsoft Entra в кластер, настроив приложение Microsoft Entra. Дополнительные сведения см. в статье "Как ограничить круг пользователей клиента Azure AD, имеющих доступ к приложению".
Можно ли запретить пользователям создавать проекты?
Да. Войдите в кластер с правами администратора и выполните следующую команду:
oc adm policy \
remove-cluster-role-from-group self-provisioner \
system:authenticated:oauth
Дополнительные сведения см. в документации OpenShift по отключению самостоятельной подготовки для вашей версии кластера:
Какие права UNIX (в рамках IaaS) доступны для главных узлов, инфраструктурных узлов, узлов приложений?
Доступ к узлу доступен с помощью роли администратора кластера. Дополнительные сведения см. в разделе "Обзор RBAC в Kubernetes" документации по OpenShift.
Какие права OCP у нас есть: cluster-admin, project-admin?
Доступна роль администратора кластера. Дополнительные сведения см. в разделе "Обзор RBAC в Kubernetes" документации по OpenShift.
Какие доступны поставщики удостоверений?
Вы настраиваете собственный поставщик удостоверений. Дополнительные сведения см. в документации Red Hat по настройке поставщиков удостоверений.
Хранилище
Шифруются ли данные в кластере?
По умолчанию неактивные данные шифруются. Платформа службы хранилища Azure автоматически шифрует данные перед их сохранением на постоянной основе и расшифровывает перед извлечением. Дополнительные сведения см. в статье "Шифрование службы хранилища Azure для неактивных данных".
Как защищены учетные записи хранения?
служба хранилища учетные записи имеют только частный доступ.
служба хранилища учетные записи шифруются (только новые кластеры). Существующие кластеры необходимо повторно создать.
служба хранилища учетные записи создаются с общим назначением версии 2 для новых кластеров.
Учетные записи хранения общего назначения версии 2 поддерживают последние функции служба хранилища Azure и включают все функции учетных записей хранения общего назначения версии 1 и BLOB-объектов.
служба хранилища доступ к учетным записям ограничен правилами брандмауэра с помощью групп безопасности сети Azure (NSG), которые фильтруют сетевой трафик и из учетных записей хранения. Дополнительные сведения см. в разделе "Общие сведения о группах безопасности сети Azure".
Протокол TLS версии 1.2 обеспечивает безопасную связь, конфиденциальность данных и целостность данных.
Шифруются ли в Azure Red Hat OpenShift данные, хранящиеся в etcd?
Данные по умолчанию не шифруются, но у вас есть возможность включить шифрование. Дополнительные сведения см. в инструкции по шифрованию etcd.
Можно ли выбрать какое-нибудь решение для постоянного хранения, например OCS?
Диск Azure (Premium_LRS) настроен как класс хранилища по умолчанию. Сведения о других поставщиках хранилищ, а также подробные сведения о конфигурации (включая Файлы Azure) см. в документации Red Hat по постоянному хранению данных.
Сохраняет ли Azure Red Hat OpenShift данные клиентов за пределами региона кластера?
№ Все данные, созданные в кластере Azure Red Hat OpenShift, сохраняются в регионе кластера.