В этой статье содержатся ответы на часто задаваемые вопросы о Microsoft Azure Red Hat OpenShift.
Установка и обновление
Где можно найти сведения о ценах и соглашениях об уровне обслуживания?
Сведения о ценах см. в разделе о ценах на Azure Red Hat OpenShift.
Сведения о соглашении об уровне обслуживания см. в соглашениях об уровне обслуживания для веб-службы.
Какие регионы Azure поддерживаются?
For a list of supported regions for Azure Red Hat OpenShift 4.x, see Available regions.
Можно ли перенести существующий кластер, использующий субъект-службу для использования управляемого удостоверения?
An existing cluster that uses a service principal can't be migrated to use a managed identity. Необходимо создать новый кластер, использующий управляемое удостоверение в кластере Azure Red Hat OpenShift. Дополнительные сведения см. в статье "Создание кластера Azure Red Hat OpenShift с управляемыми удостоверениями (предварительная версия)".
Какие размеры виртуальных машин можно использовать?
Список поддерживаемых размеров виртуальных машин для Azure Red Hat OpenShift 4 см. в политике поддержки Azure Red Hat OpenShift 4.0.
Каково максимальное число объектов pod в кластере Azure Red Hat OpenShift? Каково максимальное число объектов pod на один узел кластера Azure Red Hat OpenShift?
Фактическое количество поддерживаемых модулей pod зависит от требований к памяти, ЦП и хранилищу приложения.
Azure Red Hat OpenShift 4.x имеет ограничение на 250 pod на узел и 250 вычислительных узлов. Эти ограничения ограничивают максимальное количество модулей pod, поддерживаемых в кластере, до 250×250 = 62500. Эти ограничения одинаковы для кластеров, созданных с помощью определяемой пользователем маршрутизации (UDR) и запускаемой версии 4.11 или более поздней.
Можно ли расположить вычислительные узлы кластера в нескольких регионах Azure?
No. Все узлы кластера Azure Red Hat OpenShift должны происходить из одного региона Azure.
Можно ли развернуть кластер в нескольких зонах доступности?
Yes. Кластер можно развернуть в нескольких зонах доступности автоматически, если кластер развернут в регионе Azure, поддерживающем зоны доступности. For more information, see Availability zones.
Абстрагированы ли узлы плоскости управления, как в Службе Azure Kubernetes (AKS)?
No. Все ресурсы, включая узлы плоскости управления кластером, выполняются в подписке клиента. Ресурсов этих типов помещаются в группу ресурсов только для чтения.
Располагается ли кластер в клиентской подписке?
Управляемое приложение Azure располагается в заблокированной группе ресурсов, относящейся к клиентской подписке. Клиенты могут просматривать объекты в этой группе ресурсов, но не изменять их.
Есть ли в Azure Red Hat OpenShift какой-то элемент, который используется совместно с другими клиентами — или все разделено?
Каждый кластер Azure Red Hat OpenShift выделен в единоличное пользование конкретного клиента и располагается в его подписке.
Доступны ли инфраструктурные узлы?
Да, Azure Red Hat OpenShift позволяет использовать наборы компьютеров инфраструктуры для создания компьютеров, которые размещают только компоненты инфраструктуры, такие как маршрутизатор по умолчанию, интегрированный реестр контейнеров и компоненты для метрик кластера и мониторинга. Дополнительные сведения см. в разделе "Развертывание узлов инфраструктуры" в кластере Azure Red Hat OpenShift.
Как проводить обновления кластера?
Сведения об обновлениях, обслуживании и поддерживаемых версиях см. в статье о жизненном цикле поддержки.
Как обновляется операционная система узла и программное обеспечение OpenShift?
Операционная система сервера виртуальных машин и программное обеспечение OpenShift обновляются по мере внедрения в Azure Red Hat OpenShift промежуточных версий и исправлений вышестоящей платформы контейнеров OpenShift.
Что такое процесс перезагрузки обновленного узла?
Узлы перезагружаются в процессе обновления.
Cluster operations
Можно ли для мониторинга приложений использовать Prometheus?
Prometheus предварительно установлен и настроен для кластеров Azure Red Hat OpenShift 4.x. Read more about cluster monitoring.
Можно ли использовать Prometheus для мониторинга метрик, относящихся к работоспособности и емкости кластера?
Да, вы можете использовать Prometheus в Azure Red Hat OpenShift 4.x.
Можно ли передавать журналы базовых виртуальных машин в систему анализа журналов клиентов?
Журналы из базовых виртуальных машин обрабатываются управляемой службой и не предоставляются клиентам.
Как клиенту получить доступ к метрикам ЦП и памяти на уровне узла для принятия мер по масштабированию, отладке и т. д.? Кажется, я не могу запустить kubectl сверху в кластере Azure Red Hat OpenShift.
Для кластеров Azure Red Hat OpenShift 4.x веб-консоль OpenShift содержит все метрики на уровне узла. Дополнительные сведения см. в документации Red Hat по просмотру сведений о кластере.
Если масштабировать развертывание, как домены сбоя Azure сопоставляются с размещением pod, чтобы убедиться, что все модули pod для службы не будут выбиты сбоем в одном домене сбоя?
Существует по умолчанию пять доменов сбоя при использовании Масштабируемые наборы виртуальных машин в Azure. Каждый экземпляр виртуальной машины в масштабируемом наборе помещается в один из этих доменов сбоя. Этот процесс гарантирует, что приложения, развернутые на вычислительных узлах кластера, размещаются в отдельных доменах сбоя.
Дополнительные сведения см. в разделе "Выбор нужного количества доменов сбоя" для масштабируемого набора виртуальных машин.
Есть ли способ управлять размещением объектов pod?
Клиенты могут получать узлы и просматривать метки в качестве администратора клиента. Эта возможность позволяет использовать любую виртуальную машину в масштабируемом наборе.
При использовании конкретных меток необходимо соблюдать осторожность:
- Не следует использовать имя узла. Имя узла часто ротируется при обновлениях; оно гарантированно будет меняться.
- Если у клиента есть запрос на определенные метки или стратегию развертывания, это можно сделать. Тем не менее, это потребует инженерных усилий, и она не поддерживается сегодня.
Дополнительные сведения см. в разделе "Управление расположением объектов pod с помощью планировщика" документации по OpenShift.
Доступен ли реестр образов извне, и можно ли в связи с этим использовать такие средства, как Jenkins?
Для кластеров версии 4.x необходимо предоставить безопасный доступ к реестру и настроить проверку подлинности. Дополнительные сведения см. в следующих разделах документации RedHat:
Можно ли переносить кластер между клиентами Azure?
Перемещение кластера между клиентами в настоящее время не поддерживается.
Можно ли переместить кластеры Azure Red Hat OpenShift из текущей подписки Azure в другую?
Перемещение кластера и связанных с ним ресурсов между подписками не поддерживается.
Можно ли переместить кластеры Azure Red Hat OpenShift или ресурсы инфраструктуры в другие группы ресурсов или переименовать их?
Перемещение или переименование кластера и связанных с ним ресурсов не поддерживается.
Networking
Можно ли развернуть кластер в существующей виртуальной сети?
В кластерах 4.x можно развернуть кластер в существующей виртуальной сети.
Поддерживаются ли работа в сети с несколькими пространствами имен?
Администраторы клиентов и индивидуальных проектов могут настраивать работу в сети с несколькими пространствами имен (в том числе запрещать ее) для каждого проекта с помощью объектов NetworkPolicy.
Я пытаюсь войти в виртуальную сеть в другой подписке, но получить ошибку CIDR виртуальной сети.
В подписке, где располагается виртуальная сеть, обязательно зарегистрируйте поставщика Microsoft.ContainerService, используя следующую команду: az provider register -n Microsoft.ContainerService --wait.
Можно ли указать диапазоны IP-адресов для развертывания в частной виртуальной сети, избегая столкновений с другими корпоративными виртуальными сетями после пиринга?
В кластерах версии 4.x можно указывать собственные диапазоны IP-адресов.
Можно ли настраивать модуль программно определяемых сетей?
Программно определяемая сеть openshift-ovs-networkpolicy не настраивается.
Какой вариант Azure Load Balancer используется в Azure Red Hat OpenShift — "Стандартный" или "Базовый"? Настраивается ли он?
Azure Red Hat OpenShift использует Azure Load Balancer уровня "Стандартный" и не настраивается.
Permissions
Может ли администратор управлять пользователями и квотами?
Yes. Администратор Azure Red Hat OpenShift может управлять пользователями и квотами, помимо доступа ко всем созданным пользователями проектам.
Можно ли ограничить кластер только определенными пользователями Microsoft Entra?
Yes. Вы можете ограничить вход пользователей Microsoft Entra в кластер, настроив приложение Microsoft Entra. Дополнительные сведения см. в разделе "Ограничить приложение Microsoft Entra набором пользователей".
Можно ли запретить пользователям создавать проекты?
Yes. Войдите в кластер с правами администратора и выполните следующую команду:
oc adm policy \
remove-cluster-role-from-group self-provisioner \
system:authenticated:oauth
Дополнительные сведения см. в документации OpenShift по отключению самостоятельной подготовки для версии кластера: отключение самостоятельной подготовки в кластерах 4.6
Какие права UNIX (в IaaS) доступны для главных узлов, инфраструктуры и приложений?
Доступ к узлу доступен с помощью роли администратора кластера. Дополнительные сведения см. в разделе "Обзор RBAC в Kubernetes" документации по OpenShift.
Какие права OCP у нас есть: Cluster-admin? Project-admin?
Доступна роль администратора кластера. Дополнительные сведения см. в разделе "Обзор RBAC в Kubernetes" документации по OpenShift.
Какие доступны поставщики удостоверений?
Вы настраиваете собственный поставщик удостоверений. Дополнительные сведения см. в документации Red Hat по настройке поставщиков удостоверений.
Storage
Шифруются ли данные в кластере?
По умолчанию неактивные данные шифруются. Платформа службы хранилища Azure автоматически шифрует данные перед их сохранением на постоянной основе и расшифровывает перед извлечением. Дополнительные сведения см. в статье "Шифрование службы хранилища Azure для неактивных данных".
Как защищены учетные записи хранения?
Учетные записи хранения имеют только частный доступ.
Учетные записи хранения шифруются (только новые кластеры). Существующие кластеры необходимо повторно создать.
Учетные записи хранения создаются с общим назначением версии 2 для новых кластеров.
Учетные записи хранения общего назначения версии 2 поддерживают последние функции служба хранилища Azure и включают все функции учетных записей хранения общего назначения версии 1 и BLOB-объектов.
Доступ к учетным записям хранения ограничен правилами брандмауэра через группы безопасности сети Azure (NSG), которые фильтруют сетевой трафик в учетные записи хранения и из них. Дополнительные сведения см. в разделе "Общие сведения о группах безопасности сети Azure".
Протокол TLS версии 1.2 обеспечивает безопасную связь, конфиденциальность данных и целостность данных.
Шифруются ли в Azure Red Hat OpenShift данные, хранящиеся в etcd?
Данные по умолчанию не шифруются, но можно включить шифрование. For more information, see the guide on encrypting etcd.
Можно ли выбрать какое-нибудь решение для постоянного хранения, например OCS?
Диск Azure (Premium_LRS) настроен как класс хранилища по умолчанию. For other storage providers, and for configuration details (including Azure File), see the Red Hat documentation on persistent storage.
Хранит ли Azure Red Hat OpenShift какие-либо данные клиента за пределами региона кластера?
No. Все данные, созданные в кластере, хранятся в регионе кластера.