架构概述
OpenShift Dedicated 是一个基于云的 Kubernetes 容器平台。OpenShift Dedicated 的基础是 Kubernetes,因此共享相同的技术。要了解有关 OpenShift Dedicated 和 Kubernetes 的更多信息,请参阅产品架构。
OpenShift Dedicated 架构常用术语表
此术语表定义了架构内容中使用的常用术语。
- 访问策略
-
一组角色,规定用户、应用程序和集群中的实体如何相互交互。访问策略增强了集群安全性。
- 准入插件
-
准入插件强制执行安全策略、资源限制或配置要求。
- 身份验证
-
要控制对 OpenShift Dedicated 集群的访问,具有 `dedicated-admin` 角色的管理员可以配置用户身份验证,以确保只有经过批准的用户才能访问集群。要与 OpenShift Dedicated 集群交互,您必须使用 OpenShift Dedicated API 进行身份验证。您可以通过在对 OpenShift Dedicated API 的请求中提供 OAuth 访问令牌或 X.509 客户端证书来进行身份验证。
- 引导
-
运行最小 Kubernetes 并部署 OpenShift Dedicated 控制平面的临时机器。
- 证书签名请求 (CSR)
-
资源请求指定的签名者签署证书。此请求可能会被批准或拒绝。
- 集群版本操作符 (CVO)
-
一个操作符,它会检查 OpenShift Dedicated 更新服务以查看基于当前组件版本和图形中信息的有效更新和更新路径。
- 计算节点
-
负责为集群用户执行工作负载的节点。计算节点也称为工作节点。
- 配置漂移
-
节点上的配置与机器配置指定的配置不匹配的情况。
- 容器
-
由软件及其所有依赖项组成的轻量级可执行映像。由于容器虚拟化了操作系统,因此您可以在任何地方运行容器,例如数据中心、公有云或私有云以及本地主机。
- 容器编排引擎
-
自动化容器的部署、管理、缩放和网络的软件。
- 容器工作负载
-
打包并部署在容器中的应用程序。
- 控制组 (cgroups)
-
将进程集划分为组以管理和限制进程消耗的资源。
- 控制平面
-
一个容器编排层,它公开 API 和接口以定义、部署和管理容器的生命周期。控制平面也称为控制平面机器。
- CRI-O
-
一个 Kubernetes 原生容器运行时实现,它与操作系统集成以提供高效的 Kubernetes 体验。
- 部署
-
一个 Kubernetes 资源对象,它维护应用程序的生命周期。
- Dockerfile
-
一个文本文件,其中包含要在终端上执行的用户命令以组装映像。
- 混合云部署
-
在裸机、虚拟、私有和公有云环境中提供一致平台的部署。这提供了速度、敏捷性和可移植性。
- Ignition
-
RHCOS 使用的一个实用程序,用于在初始配置期间操作磁盘。它完成常见的磁盘任务,包括磁盘分区、分区格式化、写入文件和配置用户。
- 安装程序预配的基础设施
-
安装程序部署和配置集群运行的基础设施。
- kubelet
-
在集群中的每个节点上运行的主要节点代理,以确保容器在 Pod 中运行。
- Kubernetes 清单
-
以 JSON 或 YAML 格式指定的 Kubernetes API 对象。配置文件可以包含部署、配置映射、密钥和守护程序集。
- 机器配置守护程序 (MCD)
-
定期检查节点配置漂移的守护程序。
- 机器配置操作符 (MCO)
-
将新配置应用于集群机器的操作符。
- 机器配置池 (MCP)
-
一组机器,例如控制平面组件或用户工作负载,它们基于其处理的资源。
- 元数据
-
有关集群部署工件的附加信息。
- 微服务
-
一种编写软件的方法。应用程序可以通过使用微服务将其分离成最小的组件,彼此独立。
- 镜像注册表
-
保存 OpenShift Dedicated 镜像镜像的注册表。
- 单体应用程序
-
自包含的应用程序,作为一个整体构建和打包。
- 命名空间
-
命名空间隔离对所有进程可见的特定系统资源。在一个命名空间内,只有属于该命名空间的进程才能看到这些资源。
- 网络
-
OpenShift Dedicated 集群的网络信息。
- 节点
-
OpenShift Dedicated 集群中的工作机器。节点可以是虚拟机 (VM) 或物理机。
- OpenShift CLI (
oc) -
一个命令行工具,用于在终端上运行 OpenShift Dedicated 命令。
- OpenShift 更新服务 (OSUS)
-
对于具有互联网访问权限的集群,Red Hat Enterprise Linux (RHEL) 使用 OpenShift 更新服务(作为位于公共 API 后面的托管服务)提供无线更新。
- OpenShift 镜像注册表
-
OpenShift Dedicated 提供的用于管理镜像的注册表。
- 操作符
-
在 OpenShift Dedicated 集群中打包、部署和管理 Kubernetes 应用程序的首选方法。操作符采用人工操作知识,并将其编码到打包并与客户共享的软件中。
- OperatorHub
-
一个平台,其中包含各种可安装的 OpenShift Dedicated 操作符。
- 操作符生命周期管理器 (OLM)
-
OLM 帮助您安装、更新和管理 Kubernetes 原生应用程序的生命周期。OLM 是一个开源工具包,旨在以有效、自动化和可扩展的方式管理操作符。
- OSTree
-
用于基于 Linux 的操作系统的升级系统,执行对完整文件系统树的原子升级。OSTree 使用可寻址对象存储跟踪对文件系统树的有意义的更改,旨在补充现有的包管理系统。
- 无线 (OTA) 更新
-
OpenShift Dedicated 更新服务 (OSUS) 提供对 OpenShift Dedicated(包括 Red Hat Enterprise Linux CoreOS (RHCOS))的无线更新。
- Pod
-
一个或多个具有共享资源(例如卷和 IP 地址)的容器,在您的 OpenShift Dedicated 集群中运行。Pod 是定义、部署和管理的最小计算单元。
- 私有注册表
-
OpenShift Dedicated 可以使用任何实现容器镜像注册表 API 的服务器作为镜像的来源,允许开发人员推送和拉取他们的私有容器镜像。
- 公共注册表
-
OpenShift Dedicated 可以使用任何实现容器镜像注册表 API 的服务器作为镜像的来源,允许开发人员推送和拉取他们的公共容器镜像。
- RHEL OpenShift Dedicated 集群管理器
-
一个托管服务,您可以在其中安装、修改、操作和升级您的 OpenShift Dedicated 集群。
- RHEL Quay 容器注册表
-
一个 Quay.io 容器注册表,它为大多数容器镜像和操作符提供服务到 OpenShift Dedicated 集群。
- 复制控制器
-
一个资产,指示一次需要运行多少个 Pod 副本。
- 基于角色的访问控制 (RBAC)
-
一个关键的安全控制,以确保集群用户和工作负载只有访问执行其角色所需资源的权限。
- 路由
-
路由公开服务,允许外部用户和应用程序访问 OpenShift Dedicated 实例中的 Pod。
- 扩展
-
增加或减少资源容量。
- 服务
-
服务在一组 Pod 上公开正在运行的应用程序。
- 源到镜像 (S2I) 镜像
-
基于 OpenShift Dedicated 中应用程序源代码的编程语言创建的镜像,用于部署应用程序。
- 存储
-
OpenShift Dedicated 支持许多云提供商的存储类型。您可以在 OpenShift Dedicated 集群中管理持久性和非持久性数据的容器存储。
- 遥测
-
一个收集 OpenShift Dedicated 的大小、健康状况和状态等信息的组件。
- 模板
-
模板描述一组可以参数化和处理的对象,以生成 OpenShift Dedicated 创建的对象列表。
- Web 控制台
-
用于管理 OpenShift Dedicated 的用户界面 (UI)。
- 工作节点
-
负责为集群用户执行工作负载的节点。工作节点也称为计算节点。
-
有关存储的更多信息,请参见 OpenShift Dedicated 存储。
-
有关身份验证的更多信息,请参见 OpenShift Dedicated 身份验证。
-
有关操作符生命周期管理器 (OLM) 的更多信息,请参见 OLM。
了解 OpenShift Dedicated 与 OpenShift Container Platform 的区别
OpenShift Dedicated 使用与 OpenShift Container Platform 相同的代码库,但以一种有见地的安装方式进行安装,以优化性能、可扩展性和安全性。OpenShift Dedicated 是一种完全托管的服务;因此,您在 OpenShift Container Platform 中手动设置的许多 OpenShift Dedicated 组件和设置默认情况下都会为您设置。
查看 OpenShift Dedicated 与在您自己的基础设施上标准安装 OpenShift Container Platform 之间的以下区别
| OpenShift Container Platform | OpenShift Dedicated |
|---|---|
客户安装和配置 OpenShift Container Platform。 |
OpenShift Dedicated 通过 Red Hat OpenShift 集群管理器以标准化方式安装,并针对性能、可扩展性和安全性进行了优化。 |
客户可以选择其计算资源。 |
OpenShift Dedicated 托管在公共云(Amazon Web Services 或 Google Cloud Platform)中,该云由 Red Hat 拥有或由客户提供。 |
客户拥有对基础设施的顶级管理访问权限。 |
客户拥有内置的管理员组 ( |
客户可以使用 OpenShift Container Platform 中提供的所有受支持的功能和配置设置。 |
某些 OpenShift Container Platform 功能和配置设置可能在 OpenShift Dedicated 中不可用或不可更改。 |
您在具有 |
Red Hat为您设置控制平面并管理控制平面组件。控制平面具有高可用性。 |
您负责更新控制平面和工作节点的基础架构。您可以使用OpenShift Web控制台更新OpenShift Container Platform版本。 |
当有更新可用时,Red Hat会自动通知客户。您可以在OpenShift Cluster Manager中手动或自动安排更新。 |
支持根据您的Red Hat订阅或云提供商的条款提供。 |
由Red Hat设计、运营和支持,具有99.95%的正常运行时间SLA和全天候覆盖。详情请参见Red Hat企业协议附录4(在线订阅服务)。 |
关于控制平面
控制平面管理集群中的工作节点和Pod。您可以使用机器配置池(MCP)配置节点。MCP是基于其处理的资源的机器组,例如控制平面组件或用户工作负载。OpenShift Dedicated为主机分配不同的角色。这些角色定义了机器在集群中的功能。集群包含标准控制平面和工作程序角色类型的定义。
您可以使用Operators打包、部署和管理控制平面上的服务。Operators是OpenShift Dedicated中的重要组件,因为它提供以下服务:
-
执行健康检查
-
提供监视应用程序的方法
-
管理无线更新
-
确保应用程序保持在指定状态
关于开发人员的容器化应用程序
作为开发人员,您可以根据您的独特需求使用不同的工具、方法和格式来开发您的容器化应用程序,例如:
-
使用各种构建工具、基础镜像和注册表选项来构建简单的容器应用程序。
-
使用OperatorHub和模板等支持组件来开发您的应用程序。
-
将您的应用程序打包并作为Operator部署。
您还可以创建一个Kubernetes清单并将其存储在Git存储库中。Kubernetes基于称为Pod的基本单元工作。Pod是集群中正在运行的进程的单个实例。Pod可以包含一个或多个容器。您可以通过对一组Pod及其访问策略进行分组来创建服务。当Pod创建和销毁时,服务为其他应用程序提供永久的内部IP地址和主机名。
关于准入插件
您可以使用准入插件来规范OpenShift Dedicated的功能。在资源请求经过身份验证和授权后,准入插件会拦截对主API的资源请求,以验证资源请求并确保遵守缩放策略。准入插件用于实施安全策略、资源限制、配置要求和其他设置。