OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

Google Cloud Platform (GCP) 上的 OpenShift Dedicated 架构模型

使用 Google Cloud Platform (GCP) 上的 OpenShift Dedicated,您可以创建可通过公共或私有网络访问的集群。

在公共和私有网络上使用 Google Cloud Platform (GCP) 的私有 OpenShift Dedicated 架构

您可以通过选择以下网络配置类型之一来自定义 API 服务器端点和 Red Hat SRE 管理的访问模式

  • 具有私有服务连接 (PSC) 的私有集群。

  • 无 PSC 的私有集群

  • 公共集群

在 Google Cloud Platform (GCP) 上部署私有 OpenShift Dedicated 集群时,Red Hat 建议使用 PSC。PSC 可确保 Red Hat 基础设施、站点可靠性工程 (SRE) 和私有 OpenShift 集群之间存在安全的私有连接。

了解私有服务连接

私有服务连接 (PSC) 是 Google Cloud 网络的一项功能,它使 GCP 内不同项目或组织之间的服务能够进行私有通信。将 PSC 作为其网络连接一部分的用户可以在 Google Cloud Platform (GCP) 中的私有安全环境中部署 OpenShift Dedicated 集群,而无需任何面向公众的云资源。

有关 PSC 的更多信息,请参阅 私有服务连接

PSC 仅在 OpenShift Dedicated 4.17 及更高版本中可用,并且仅受客户云订阅 (CCS) 基础设施类型支持。

私有服务连接架构

PSC 架构包括生产者服务和消费者服务。使用 PSC,消费者可以从其 VPC 网络内部私有访问生产者服务。同样,它允许生产者在其自己的独立 VPC 网络中托管服务,并为其消费者提供私有连接。

下图显示了 Red Hat SRE 和其他内部资源如何访问和支持使用 PSC 创建的集群。

  • 为客户 GCP 项目中的每个 OSD 集群创建一个唯一的 PSC 服务附件。PSC 服务附件指向在客户 GCP 项目中创建的集群 API 服务器负载均衡器。

  • 与服务附件类似,为每个 OSD 集群在 Red Hat 管理 GCP 项目中创建一个唯一的 PSC 端点。

  • 在客户 GCP 项目中的集群网络中创建用于 GCP 私有服务连接的专用子网。这是一种特殊的子网类型,其中生产者服务通过 PSC 服务附件发布。此子网用于将传入请求的源 NAT (SNAT) 到集群 API 服务器。此外,PSC 子网必须位于机器 CIDR 范围内,并且不能在多个服务附件中使用。

  • Red Hat内部资源和SRE通过PSC端点和服务附件之间的连接访问私有OSD集群。即使流量经过多个VPC网络,它也完全位于Google Cloud内部。

  • 只有通过Red Hat管理项目才能访问PSC服务附件。

PSC architecture overview
图1. PSC架构概述

具有私有服务连接架构模型的Google Cloud Platform (GCP)上的私有OpenShift Dedicated

使用私有GCP私有服务连接(PSC)网络配置,您的集群API服务器端点和应用程序路由是私有的。您的VPC中不需要公共子网或NAT网关进行出站访问。Red Hat SRE管理通过GCP PSC启用的私有连接访问集群。默认的入口控制器是私有的。其他的入口控制器可以是公有的或私有的。下图显示了具有PSC的私有集群的网络连接。

Private with PSC architecture model
图2. 部署在具有PSC的私有网络上的Google Cloud Platform (GCP)上的OpenShift Dedicated

不使用私有服务连接(PSC)的Google Cloud Platform (GCP)上的私有OpenShift Dedicated架构模型

使用私有网络配置,您的集群API服务器端点和应用程序路由是私有的。在GCP上的私有OpenShift Dedicated集群使用一些公共子网,但是没有控制平面或工作节点部署在公共子网上。

Red Hat建议在Google Cloud Platform (GCP)上部署私有OpenShift Dedicated集群时使用私有服务连接(PSC)。PSC确保Red Hat基础设施、站点可靠性工程(SRE)和私有OpenShift集群之间存在安全的私有连接。

Red Hat SRE管理通过受限于Red Hat IP的公共负载均衡器端点访问集群。API服务器端点是私有的。一个单独的Red Hat API服务器端点是公共的(但仅限于Red Hat可信IP地址)。默认的入口控制器可以是公共的或私有的。下图显示了不使用私有服务连接(PSC)的私有集群的网络连接。

Private without PSC architecture model
图3. 部署在不带PSC的私有网络上的Google Cloud Platform (GCP)上的OpenShift Dedicated

Google Cloud Platform (GCP)上的公共OpenShift Dedicated架构模型

使用公共网络配置,您的集群API服务器端点和应用程序路由是面向互联网的。默认的入口控制器可以是公共的或私有的。下图显示了公共集群的网络连接。

Public architecture model
图4. 部署在公共网络上的Google Cloud Platform (GCP)上的OpenShift Dedicated

其他资源