通过 Red Hat 进行年度固定容量订阅
×
OpenShift Dedicated 服务定义
账户管理
计费选项
客户可以选择购买 OpenShift Dedicated (OSD) 的年度订阅,或者通过云市场按需使用。客户可以选择自带云基础设施账户(称为客户云订阅 (CCS)),或者在 Red Hat 拥有的云提供商账户中部署。下表提供了有关计费以及相应的支持部署选项的更多信息。
| OSD 订阅类型 | 云基础设施账户 | 通过…计费 |
|---|---|---|
Red Hat 云账户 |
Red Hat 负责 OSD 订阅和云基础设施的消耗 |
|
客户自己的云账户 |
Red Hat 负责 OSD 订阅的消耗 云提供商负责云基础设施的消耗 |
|
通过 Google Cloud Marketplace 进行按需使用型消耗 |
客户自己的 Google Cloud 账户 |
Google Cloud 负责云基础设施和 Red Hat OSD 订阅 |
通过 Red Hat Marketplace 进行按需使用型消耗 |
客户自己的云账户 |
Red Hat 负责 OSD 订阅的消耗 云提供商负责云基础设施的消耗 |
|
使用自己云基础设施帐户(称为客户云订阅 (CSS))的客户有责任预购或提供预留实例 (RI) 计算实例,以确保降低云基础设施成本。 |
可以为 OpenShift Dedicated 集群购买其他资源,包括:
-
附加节点(可以通过使用机器池使用不同类型和大小的节点)
-
中间件(JBoss EAP、JBoss Fuse 等) - 根据特定中间件组件的额外定价
-
额外存储空间,每次增加 500 GB(仅限标准版;包含 100 GB)
-
额外 12 TiB 网络 I/O(仅限标准版;包含 12 TB)
-
服务负载均衡器,以 4 个为一组提供;支持非 HTTP/SNI 流量或非标准端口(仅限标准版)
集群自助服务
客户可以创建、扩展和删除其集群,方法是通过 OpenShift 集群管理器,前提是他们已购买必要的订阅。
不得在集群内部直接执行 Red Hat OpenShift 集群管理器中可用的操作,因为这可能会导致不良影响,包括所有操作自动回滚。
云提供商
OpenShift Dedicated 在以下云提供商上提供 OpenShift Container Platform 集群作为托管服务
-
Amazon Web Services (AWS)
-
Google Cloud Platform (GCP)
实例类型
单可用区集群要求部署到单一可用区的客户云订阅 (CCS) 集群至少拥有 2 个工作节点。标准集群至少需要 4 个工作节点。这 4 个工作节点包含在基本订阅中。
多可用区集群要求客户云订阅 (CCS) 集群至少拥有 3 个工作节点,每个可用区部署 1 个。标准集群至少需要 9 个工作节点。这 9 个工作节点包含在基本订阅中,为了保持正确的节点分配,必须以 3 的倍数购买额外节点。
|
单个 OpenShift Dedicated 机器池中的所有工作节点必须类型和大小相同。但是,OpenShift Dedicated 集群中多个机器池中的工作节点可以具有不同的类型和大小。 |
控制平面和基础设施节点也由 Red Hat 提供。至少有 3 个控制平面节点处理 etcd 和与 API 相关的负载。至少有 2 个基础设施节点处理指标、路由、Web 控制台和其他负载。您不得在控制平面和基础设施节点上运行任何工作负载。您打算运行的任何工作负载都必须部署在工作节点上。有关必须部署在工作节点上的 Red Hat 工作负载的更多信息,请参见下面的 Red Hat 运算符支持部分。
|
每个工作节点上大约保留 1 个 vCPU 内核和 1 GiB 的内存,并从可分配资源中移除。这是运行 底层平台所需的过程 所必需的。这包括 udev、kubelet、容器运行时等系统守护进程,也考虑了内核预留。OpenShift Container Platform 核心系统(例如审计日志聚合、指标收集、DNS、镜像注册表、SDN 等)可能会消耗额外的可分配资源以维持集群的稳定性和可维护性。消耗的额外资源可能会根据使用情况而有所不同。 |
|
从 OpenShift Dedicated 4.11 开始,默认的每个 Pod PID 限制为 您无法配置任何 OpenShift Dedicated 集群上的每个 Pod PID 限制。 |
其他资源
客户云订阅集群的 AWS 实例类型
OpenShift Dedicated 在 AWS 上提供以下工作节点实例类型和大小
通用型
-
m5.metal (96† vCPU,384 GiB)
-
m5.xlarge (4 vCPU,16 GiB)
-
m5.2xlarge (8 vCPU,32 GiB)
-
m5.4xlarge (16 vCPU,64 GiB)
-
m5.8xlarge (32 vCPU,128 GiB)
-
m5.12xlarge (48 vCPU,192 GiB)
-
m5.16xlarge (64 vCPU,256 GiB)
-
m5.24xlarge (96 vCPU,384 GiB)
-
m5a.xlarge (4 vCPU,16 GiB)
-
m5a.2xlarge (8 vCPU,32 GiB)
-
m5a.4xlarge (16 vCPU,64 GiB)
-
m5a.8xlarge (32 vCPU,128 GiB)
-
m5a.12xlarge (48 vCPU,192 GiB)
-
m5a.16xlarge (64 vCPU,256 GiB)
-
m5a.24xlarge (96 vCPU,384 GiB)
-
m5ad.xlarge (4 vCPU,16 GiB)
-
m5ad.2xlarge (8 vCPU,32 GiB)
-
m5ad.4xlarge (16 vCPU,64 GiB)
-
m5ad.8xlarge (32 vCPU,128 GiB)
-
m5ad.12xlarge (48 vCPU,192 GiB)
-
m5ad.16xlarge (64 vCPU,256 GiB)
-
m5ad.24xlarge (96 vCPU,384 GiB)
-
m5d.metal (96† vCPU,384 GiB)
-
m5d.xlarge (4 vCPU,16 GiB)
-
m5d.2xlarge (8 vCPU,32 GiB)
-
m5d.4xlarge (16 vCPU,64 GiB)
-
m5d.8xlarge (32 vCPU,128 GiB)
-
m5d.12xlarge (48 vCPU,192 GiB)
-
m5d.16xlarge (64 vCPU,256 GiB)
-
m5d.24xlarge (96 vCPU,384 GiB)
-
m5n.metal (96 vCPU,384 GiB)
-
m5n.xlarge (4 vCPU,16 GiB)
-
m5n.2xlarge (8 vCPU,32 GiB)
-
m5n.4xlarge (16 vCPU,64 GiB)
-
m5n.8xlarge (32 vCPU,128 GiB)
-
m5n.12xlarge (48 vCPU,192 GiB)
-
m5n.16xlarge (64 vCPU,256 GiB)
-
m5n.24xlarge (96 vCPU,384 GiB)
-
m5dn.metal (96 vCPU,384 GiB)
-
m5dn.xlarge (4 vCPU,16 GiB)
-
m5dn.2xlarge (8 vCPU,32 GiB)
-
m5dn.4xlarge (16 vCPU,64 GiB)
-
m5dn.8xlarge (32 vCPU,128 GiB)
-
m5dn.12xlarge (48 vCPU,192 GiB)
-
m5dn.16xlarge (64 vCPU,256 GiB)
-
m5dn.24xlarge (96 vCPU,384 GiB)
-
m5zn.metal (48 vCPU,192 GiB)
-
m5zn.xlarge (4 vCPU,16 GiB)
-
m5zn.2xlarge (8 vCPU,32 GiB)
-
m5zn.3xlarge (12 vCPU,48 GiB)
-
m5zn.6xlarge (24 vCPU,96 GiB)
-
m5zn.12xlarge (48 vCPU,192 GiB)
-
m6a.xlarge (4 vCPU,16 GiB)
-
m6a.2xlarge (8 vCPU,32 GiB)
-
m6a.4xlarge (16 vCPU,64 GiB)
-
m6a.8xlarge (32 vCPU,128 GiB)
-
m6a.12xlarge (48 vCPU,192 GiB)
-
m6a.16xlarge (64 vCPU,256 GiB)
-
m6a.24xlarge (96 vCPU,384 GiB)
-
m6a.32xlarge (128 vCPU,512 GiB)
-
m6a.48xlarge (192 vCPU,768 GiB)
-
m6i.metal (128 vCPU,512 GiB)
-
m6i.xlarge (4 vCPU,16 GiB)
-
m6i.2xlarge (8 vCPU,32 GiB)
-
m6i.4xlarge (16 vCPU,64 GiB)
-
m6i.8xlarge (32 vCPU,128 GiB)
-
m6i.12xlarge (48 vCPU,192 GiB)
-
m6i.16xlarge (64 vCPU,256 GiB)
-
m6i.24xlarge (96 vCPU,384 GiB)
-
m6i.32xlarge (128 vCPU,512 GiB)
-
m6id.xlarge (4 vCPU,16 GiB)
-
m6id.2xlarge (8 vCPU,32 GiB)
-
m6id.4xlarge (16 vCPU,64 GiB)
-
m6id.8xlarge (32 vCPU,128 GiB)
-
m6id.12xlarge (48 vCPU,192 GiB)
-
m6id.16xlarge (64 vCPU,256 GiB)
-
m6id.24xlarge (96 vCPU,384 GiB)
-
m6id.32xlarge (128 vCPU,512 GiB)
-
m7i.xlarge (4 vCPU,16 GiB)
-
m7i.2xlarge (8 vCPU,32 GiB)
-
m7i.4xlarge (16 vCPU,64 GiB)
-
m7i.8xlarge (32 vCPU,128 GiB)
-
m7i.12xlarge (48 vCPU,192 GiB)
-
m7i.16xlarge (64 vCPU,256 GiB)
-
m7i.24xlarge (96 vCPU,384 GiB)
-
m7i.48xlarge (192 vCPU,768 GiB)
-
m7i.metal-24xl (96 vCPU,384 GiB)
-
m7i.metal-48xl (192 vCPU,768 GiB)
-
m7i-flex.xlarge (4 vCPU,16 GiB)
-
m7i-flex.2xlarge (8 vCPU,32 GiB)
-
m7i-flex.4xlarge (16 vCPU,64 GiB)
-
m7i-flex.8xlarge (32 vCPU,128 GiB)
-
m7a.xlarge (4 vCPU,16 GiB)
-
m7a.2xlarge (8 vCPU,32 GiB)
-
m7a.4xlarge (16 vCPU,64 GiB)
-
m7a.8xlarge (32 vCPU,128 GiB)
-
m7a.12xlarge (48 vCPU,192 GiB)
-
m7a.16xlarge (64 vCPU,256 GiB)
-
m7a.24xlarge (96 vCPU,384 GiB)
-
m7a.32xlarge (128 vCPU,512 GiB)
-
m7a.48xlarge (192 vCPU,768 GiB)
-
m7a.metal-48xl (192 vCPU,768 GiB)
† 这些实例类型在 48 个物理核心上提供 96 个逻辑处理器。它们运行在具有两个英特尔物理插槽的单服务器上。
突发型通用型
-
t3.xlarge (4 vCPU,16 GiB)
-
t3.2xlarge (8 vCPU,32 GiB)
-
t3a.xlarge (4 vCPU,16 GiB)
-
t3a.2xlarge (8 vCPU,32 GiB)
内存密集型
-
x1.16xlarge (64 vCPU,976 GiB)
-
x1.32xlarge (128 vCPU,1952 GiB)
-
x1e.xlarge (4 vCPU,122 GiB)
-
x1e.2xlarge (8 vCPU,244 GiB)
-
x1e.4xlarge (16 vCPU,488 GiB)
-
x1e.8xlarge (32 vCPU,976 GiB)
-
x1e.16xlarge (64 vCPU,1,952 GiB)
-
x1e.32xlarge (128 vCPU,3,904 GiB)
-
x2idn.16xlarge (64 vCPU,1024 GiB)
-
x2idn.24xlarge (96 vCPU,1536 GiB)
-
x2idn.32xlarge (128 vCPU,2048 GiB)
-
x2iedn.xlarge (4 vCPU,128 GiB)
-
x2iedn.2xlarge (8 vCPU,256 GiB)
-
x2iedn.4xlarge (16 vCPU,512 GiB)
-
x2iedn.8xlarge (32 vCPU,1024 GiB)
-
x2iedn.16xlarge (64 vCPU,2048 GiB)
-
x2iedn.24xlarge (96 vCPU,3072 GiB)
-
x2iedn.32xlarge (128 vCPU,4096 GiB)
-
x2iezn.2xlarge (8 vCPU,256 GiB)
-
x2iezn.4xlarge (16 vCPU,512 GiB)
-
x2iezn.6xlarge (24 vCPU,768 GiB)
-
x2iezn.8xlarge (32 vCPU,1,024 GiB)
-
x2iezn.12xlarge (48 vCPU,1,536 GiB)
-
x2idn.metal (128 vCPU,2,048 GiB)
-
x2iedn.metal (128 vCPU,4,096 GiB)
-
x2iezn.metal (48 vCPU,1,536 GiB)
内存优化型
-
r4.xlarge (4 vCPU,30.5 GiB)
-
r4.2xlarge (8 vCPU,61 GiB)
-
r4.4xlarge (16 vCPU,122 GiB)
-
r4.8xlarge (32 vCPU,244 GiB)
-
r4.16xlarge (64 vCPU,488 GiB)
-
r5.metal (96† vCPU,768 GiB)
-
r5.xlarge (4 vCPU,32 GiB)
-
r5.2xlarge (8 vCPU,64 GiB)
-
r5.4xlarge (16 vCPU,128 GiB)
-
r5.8xlarge (32 vCPU,256 GiB)
-
r5.12xlarge (48 vCPU,384 GiB)
-
r5.16xlarge (64 vCPU,512 GiB)
-
r5.24xlarge (96 vCPU,768 GiB)
-
r5a.xlarge (4 vCPU,32 GiB)
-
r5a.2xlarge (8 vCPU,64 GiB)
-
r5a.4xlarge (16 vCPU,128 GiB)
-
r5a.8xlarge (32 vCPU,256 GiB)
-
r5a.12xlarge (48 vCPU,384 GiB)
-
r5a.16xlarge (64 vCPU,512 GiB)
-
r5a.24xlarge (96 vCPU,768 GiB)
-
r5ad.xlarge (4 vCPU,32 GiB)
-
r5ad.2xlarge (8 vCPU,64 GiB)
-
r5ad.4xlarge (16 vCPU,128 GiB)
-
r5ad.8xlarge (32 vCPU,256 GiB)
-
r5ad.12xlarge (48 vCPU,384 GiB)
-
r5ad.16xlarge (64 vCPU,512 GiB)
-
r5ad.24xlarge (96 vCPU,768 GiB)
-
r5d.metal (96† vCPU,768 GiB)
-
r5d.xlarge (4 vCPU,32 GiB)
-
r5d.2xlarge (8 vCPU,64 GiB)
-
r5d.4xlarge (16 vCPU,128 GiB)
-
r5d.8xlarge (32 vCPU,256 GiB)
-
r5d.12xlarge (48 vCPU,384 GiB)
-
r5d.16xlarge (64 vCPU,512 GiB)
-
r5d.24xlarge (96 vCPU,768 GiB)
-
r5n.metal (96 vCPU,768 GiB)
-
r5n.xlarge (4 vCPU,32 GiB)
-
r5n.2xlarge (8 vCPU,64 GiB)
-
r5n.4xlarge (16 vCPU,128 GiB)
-
r5n.8xlarge (32 vCPU,256 GiB)
-
r5n.12xlarge (48 vCPU,384 GiB)
-
r5n.16xlarge (64 vCPU,512 GiB)
-
r5n.24xlarge (96 vCPU,768 GiB)
-
r5dn.metal (96 vCPU,768 GiB)
-
r5dn.xlarge (4 vCPU,32 GiB)
-
r5dn.2xlarge (8 vCPU,64 GiB)
-
r5dn.4xlarge (16 vCPU,128 GiB)
-
r5dn.8xlarge (32 vCPU,256 GiB)
-
r5dn.12xlarge (48 vCPU,384 GiB)
-
r5dn.16xlarge (64 vCPU,512 GiB)
-
r5dn.24xlarge (96 vCPU,768 GiB)
-
r6a.xlarge (4 vCPU,32 GiB)
-
r6a.2xlarge (8 vCPU,64 GiB)
-
r6a.4xlarge (16 vCPU,128 GiB)
-
r6a.8xlarge (32 vCPU,256 GiB)
-
r6a.12xlarge (48 vCPU,384 GiB)
-
r6a.16xlarge (64 vCPU,512 GiB)
-
r6a.24xlarge (96 vCPU,768 GiB)
-
r6a.32xlarge (128 vCPU,1,024 GiB)
-
r6a.48xlarge (192 vCPU,1,536 GiB)
-
r6i.metal (128 vCPU,1,024 GiB)
-
r6i.xlarge (4 vCPU,32 GiB)
-
r6i.2xlarge (8 vCPU,64 GiB)
-
r6i.4xlarge (16 vCPU,128 GiB)
-
r6i.8xlarge (32 vCPU,256 GiB)
-
r6i.12xlarge (48 vCPU,384 GiB)
-
r6i.16xlarge (64 vCPU,512 GiB)
-
r6i.24xlarge (96 vCPU,768 GiB)
-
r6i.32xlarge (128 vCPU,1,024 GiB)
-
r6id.xlarge (4 vCPU,32 GiB)
-
r6id.2xlarge (8 vCPU,64 GiB)
-
r6id.4xlarge (16 vCPU,128 GiB)
-
r6id.8xlarge (32 vCPU,256 GiB)
-
r6id.12xlarge (48 vCPU,384 GiB)
-
r6id.16xlarge (64 vCPU,512 GiB)
-
r6id.24xlarge (96 vCPU,768 GiB)
-
r6id.32xlarge (128 vCPU,1,024 GiB)
-
z1d.metal (48‡ vCPU,384 GiB)
-
z1d.xlarge (4 vCPU,32 GiB)
-
z1d.2xlarge (8 vCPU,64 GiB)
-
z1d.3xlarge (12 vCPU,96 GiB)
-
z1d.6xlarge (24 vCPU,192 GiB)
-
z1d.12xlarge (48 vCPU,384 GiB)
-
r7a.xlarge (4 vCPU,32 GiB)
-
r7a.2xlarge (8 vCPU,64 GiB)
-
r7a.4xlarge (16 vCPU,128 GiB)
-
r7a.8xlarge (32 vCPU,256 GiB)
-
r7a.12xlarge (48 vCPU,384 GiB)
-
r7a.16xlarge (64 vCPU,512 GiB)
-
r7a.24xlarge (96 vCPU,768 GiB)
-
r7a.32xlarge (128 vCPU,1024 GiB)
-
r7a.48xlarge (192 vCPU,1536 GiB)
-
r7a.metal-48xl (192 vCPU,1536 GiB)
-
r7i.xlarge (4 vCPU,32 GiB)
-
r7i.2xlarge (8 vCPU,64 GiB)
-
r7i.4xlarge (16 vCPU,128 GiB)
-
r7i.8xlarge (32 vCPU,256 GiB)
-
r7i.12xlarge (48 vCPU,384 GiB)
-
r7i.16xlarge (64 vCPU,512 GiB)
-
r7i.24xlarge (96 vCPU,768 GiB)
-
r7i.metal-24xl (96 vCPU,768 GiB)
-
r7iz.xlarge (4 vCPU,32 GiB)
-
r7iz.2xlarge (8 vCPU,64 GiB)
-
r7iz.4xlarge (16 vCPU,128 GiB)
-
r7iz.8xlarge (32 vCPU,256 GiB)
-
r7iz.12xlarge (48 vCPU,384 GiB)
-
r7iz.16xlarge (64 vCPU,512 GiB)
-
r7iz.32xlarge (128 vCPU,1024 GiB)
-
r7iz.metal-16xl (64 vCPU,512 GiB)
-
r7iz.metal-32xl (128 vCPU,1024 GiB)
† 这些实例类型在 48 个物理核心上提供 96 个逻辑处理器。它们运行在具有两个英特尔物理插槽的单服务器上。
‡ 此实例类型在24个物理核心上提供48个逻辑处理器。
加速计算
-
p3.2xlarge (8 vCPU,61 GiB)
-
p3.8xlarge (32 vCPU,244 GiB)
-
p3.16xlarge (64 vCPU,488 GiB)
-
p3dn.24xlarge (96 vCPU,768 GiB)
-
p4d.24xlarge (96 vCPU,1,152 GiB)
-
p4de.24xlarge (96 vCPU,1,152 GiB)
-
p5.48xlarge (192 vCPU,2,048 GiB)
-
g4ad.xlarge (4 vCPU,16 GiB)
-
g4ad.2xlarge (8 vCPU,32 GiB)
-
g4ad.4xlarge (16 vCPU,64 GiB)
-
g4ad.8xlarge (32 vCPU,128 GiB)
-
g4ad.16xlarge (64 vCPU,256 GiB)
-
g4dn.xlarge (4 vCPU,16 GiB)
-
g4dn.2xlarge (8 vCPU,32 GiB)
-
g4dn.4xlarge (16 vCPU,64 GiB)
-
g4dn.8xlarge (32 vCPU,128 GiB)
-
g4dn.12xlarge (48 vCPU,192 GiB)
-
g4dn.16xlarge (64 vCPU,256 GiB)
-
g4dn.metal (96 vCPU,384 GiB)
-
g5.xlarge (4 vCPU,16 GiB)
-
g5.2xlarge (8 vCPU,32 GiB)
-
g5.4xlarge (16 vCPU,64 GiB)
-
g5.8xlarge (32 vCPU,128 GiB)
-
g5.16xlarge (64 vCPU,256 GiB)
-
g5.12xlarge (48 vCPU,192 GiB)
-
g5.24xlarge (96 vCPU,384 GiB)
-
g5.48xlarge (192 vCPU,768 GiB)
-
dl1.24xlarge (96 vCPU,768 GiB)†
† 英特尔专用;Nvidia 不涵盖。
GPU 实例类型软件栈的支持由 AWS 提供。请确保您的 AWS 服务配额可以容纳所需的 GPU 实例类型。
计算优化型
-
c5.metal (96 vCPU,192 GiB)
-
c5.xlarge (4 vCPU,8 GiB)
-
c5.2xlarge (8 vCPU,16 GiB)
-
c5.4xlarge (16 vCPU,32 GiB)
-
c5.9xlarge (36 vCPU,72 GiB)
-
c5.12xlarge (48 vCPU,96 GiB)
-
c5.18xlarge (72 vCPU,144 GiB)
-
c5.24xlarge (96 vCPU,192 GiB)
-
c5d.metal (96 vCPU,192 GiB)
-
c5d.xlarge (4 vCPU,8 GiB)
-
c5d.2xlarge (8 vCPU,16 GiB)
-
c5d.4xlarge (16 vCPU,32 GiB)
-
c5d.9xlarge (36 vCPU,72 GiB)
-
c5d.12xlarge (48 vCPU,96 GiB)
-
c5d.18xlarge (72 vCPU,144 GiB)
-
c5d.24xlarge (96 vCPU,192 GiB)
-
c5a.xlarge (4 vCPU,8 GiB)
-
c5a.2xlarge (8 vCPU,16 GiB)
-
c5a.4xlarge (16 vCPU,32 GiB)
-
c5a.8xlarge (32 vCPU,64 GiB)
-
c5a.12xlarge (48 vCPU,96 GiB)
-
c5a.16xlarge (64 vCPU,128 GiB)
-
c5a.24xlarge (96 vCPU,192 GiB)
-
c5ad.xlarge (4 vCPU,8 GiB)
-
c5ad.2xlarge (8 vCPU,16 GiB)
-
c5ad.4xlarge (16 vCPU,32 GiB)
-
c5ad.8xlarge (32 vCPU,64 GiB)
-
c5ad.12xlarge (48 vCPU,96 GiB)
-
c5ad.16xlarge (64 vCPU,128 GiB)
-
c5ad.24xlarge (96 vCPU,192 GiB)
-
c5n.metal (72 vCPU,192 GiB)
-
c5n.xlarge (4 vCPU,10.5 GiB)
-
c5n.2xlarge (8 vCPU,21 GiB)
-
c5n.4xlarge (16 vCPU,42 GiB)
-
c5n.9xlarge (36 vCPU,94 GiB)
-
c5n.18xlarge (72 vCPU,192 GiB)
-
c6a.xlarge (4 vCPU,8 GiB)
-
c6a.2xlarge (8 个 vCPU,16 GiB)
-
c6a.4xlarge (16 个 vCPU,32 GiB)
-
c6a.8xlarge (32 个 vCPU,64 GiB)
-
c6a.12xlarge (48 个 vCPU,96 GiB)
-
c6a.16xlarge (64 个 vCPU,128 GiB)
-
c6a.24xlarge (96 个 vCPU,192 GiB)
-
c6a.32xlarge (128 个 vCPU,256 GiB)
-
c6a.48xlarge (192 个 vCPU,384 GiB)
-
c6i.metal (128 个 vCPU,256 GiB)
-
c6i.xlarge (4 个 vCPU,8 GiB)
-
c6i.2xlarge (8 个 vCPU,16 GiB)
-
c6i.4xlarge (16 个 vCPU,32 GiB)
-
c6i.8xlarge (32 个 vCPU,64 GiB)
-
c6i.12xlarge (48 个 vCPU,96 GiB)
-
c6i.16xlarge (64 个 vCPU,128 GiB)
-
c6i.24xlarge (96 个 vCPU,192 GiB)
-
c6i.32xlarge (128 个 vCPU,256 GiB)
-
c6id.xlarge (4 个 vCPU,8 GiB)
-
c6id.2xlarge (8 个 vCPU,16 GiB)
-
c6id.4xlarge (16 个 vCPU,32 GiB)
-
c6id.8xlarge (32 个 vCPU,64 GiB)
-
c6id.12xlarge (48 个 vCPU,96 GiB)
-
c6id.16xlarge (64 个 vCPU,128 GiB)
-
c6id.24xlarge (96 个 vCPU,192 GiB)
-
c6id.32xlarge (128 个 vCPU,256 GiB)
-
c7a.xlarge (4 个 vCPU,8 GiB)
-
c7a.2xlarge (8 个 vCPU,16 GiB)
-
c7a.4xlarge (16 个 vCPU,32 GiB)
-
c7a.8xlarge (32 个 vCPU,64 GiB)
-
c7a.12xlarge (48 个 vCPU,96 GiB)
-
c7a.16xlarge (64 个 vCPU,128 GiB)
-
c7a.24xlarge (96 个 vCPU,192 GiB)
-
c7a.32xlarge (128 个 vCPU,256 GiB)
-
c7a.48xlarge (192 个 vCPU,384 GiB)
-
c7a.metal-48xl (192 个 vCPU,384 GiB)
-
c7i.xlarge (4 个 vCPU,8 GiB)
-
c7i.2xlarge (8 个 vCPU,16 GiB)
-
c7i.4xlarge (16 个 vCPU,32 GiB)
-
c7i.8xlarge (32 个 vCPU,64 GiB)
-
c7i.12xlarge (48 个 vCPU,96 GiB)
-
c7i.16xlarge (64 个 vCPU,128 GiB)
-
c7i.24xlarge (96 个 vCPU,192 GiB)
-
c7i.48xlarge (192 个 vCPU,384 GiB)
-
c7i.metal-24xl (96 个 vCPU,192 GiB)
-
c7i.metal-48xl (192 个 vCPU,384 GiB)
-
hpc6a.48xlarge (96 个 vCPU,384 GiB)
-
hpc6id.32xlarge (64 个 vCPU,1024 GiB)
-
hpc7a.12xlarge (24 个 vCPU,768 GiB)
-
hpc7a.24xlarge (48 个 vCPU,768 GiB)
-
hpc7a.48xlarge (96 个 vCPU,768 GiB)
-
hpc7a.96xlarge (192 个 vCPU,768 GiB)
存储优化型
-
i3.metal (72† 个 vCPU,512 GiB)
-
i3.xlarge (4 个 vCPU,30.5 GiB)
-
i3.2xlarge (8 个 vCPU,61 GiB)
-
i3.4xlarge (16 个 vCPU,122 GiB)
-
i3.8xlarge (32 个 vCPU,244 GiB)
-
i3.16xlarge (64 个 vCPU,488 GiB)
-
i3en.metal (96 个 vCPU,768 GiB)
-
i3en.xlarge (4 个 vCPU,32 GiB)
-
i3en.2xlarge (8 个 vCPU,64 GiB)
-
i3en.3xlarge (12 个 vCPU,96 GiB)
-
i3en.6xlarge (24 个 vCPU,192 GiB)
-
i3en.12xlarge (48 个 vCPU,384 GiB)
-
i3en.24xlarge (96 个 vCPU,768 GiB)
-
i4i.xlarge (4 个 vCPU,32 GiB)
-
i4i.2xlarge (8 个 vCPU,64 GiB)
-
i4i.4xlarge (16 个 vCPU,128 GiB)
-
i4i.8xlarge (32 个 vCPU,256 GiB)
-
i4i.12xlarge (48 个 vCPU,384 GiB)
-
i4i.16xlarge (64 个 vCPU,512 GiB)
-
i4i.24xlarge (96 个 vCPU,768 GiB)
-
i4i.32xlarge (128 个 vCPU,1024 GiB)
-
i4i.metal (128 个 vCPU,1024 GiB)
† 此实例类型在 36 个物理核心上提供 72 个逻辑处理器。
|
虚拟实例类型的初始化速度比“.metal”实例类型快。 |
高内存型
-
u-3tb1.56xlarge (224 个 vCPU,3,072 GiB)
-
u-6tb1.56xlarge (224 个 vCPU,6,144 GiB)
-
u-6tb1.112xlarge (448 个 vCPU,6,144 GiB)
-
u-6tb1.metal (448 个 vCPU,6,144 GiB)
-
u-9tb1.112xlarge (448 个 vCPU,9,216 GiB)
-
u-9tb1.metal (448 个 vCPU,9,216 GiB)
-
u-12tb1.112xlarge (448 个 vCPU,12,288 GiB)
-
u-12tb1.metal (448 个 vCPU,12,288 GiB)
-
u-18tb1.metal (448 个 vCPU,18,432 GiB)
-
u-24tb1.metal (448 个 vCPU,24,576 GiB)
其他资源
标准集群的 AWS 实例类型
OpenShift Dedicated 在 AWS 上提供以下工作节点类型和大小
通用型
-
m5.xlarge (4 vCPU,16 GiB)
-
m5.2xlarge (8 vCPU,32 GiB)
-
m5.4xlarge (16 vCPU,64 GiB)
内存优化型
-
r5.xlarge (4 vCPU,32 GiB)
-
r5.2xlarge (8 vCPU,64 GiB)
-
r5.4xlarge (16 vCPU,128 GiB)
计算优化型
-
c5.2xlarge (8 vCPU,16 GiB)
-
c5.4xlarge (16 vCPU,32 GiB)
Google Cloud 计算类型
OpenShift Dedicated 在 Google Cloud 上提供以下工作节点类型和大小,这些类型和大小的 CPU 和内存容量与其他云实例类型相同
|
|
通用型
-
custom-4-16384 (4 个 vCPU,16 GiB)
-
custom-8-32768 (8 个 vCPU,32 GiB)
-
custom-16-65536 (16 个 vCPU,64 GiB)
-
custom-32-131072 (32 个 vCPU,128 GiB)
-
custom-48-199608 (48 个 vCPU,192 GiB)
-
custom-64-262144 (64 个 vCPU,256 GiB)
-
custom-96-393216 (96 个 vCPU,384 GiB)
-
e2-standard-4 (4 个 vCPU,16 GiB)
-
n2-standard-4 (4 个 vCPU,16 GiB)
-
e2-standard-8 (8 个 vCPU,32 GiB)
-
n2-standard-8 (8 个 vCPU,32 GiB)
-
e2-standard-16 (16 个 vCPU,64 GiB)
-
n2-standard-16 (16 个 vCPU,64 GiB)
-
e2-standard-32 (32 个 vCPU,128 GiB)
-
n2-standard-32 (32 个 vCPU,128 GiB)
-
n2-standard-48 (48 个 vCPU,192 GiB)
-
n2-standard-64 (64 个 vCPU,256 GiB)
-
n2-standard-80 (80 个 vCPU,320 GiB)
-
n2-standard-96 (96 个 vCPU,384 GiB)
-
n2-standard-128 (128 个 vCPU,512 GiB)
内存优化型
-
custom-4-32768-ext (4 个 vCPU,32 GiB)
-
custom-8-65536-ext (8 个 vCPU,64 GiB)
-
custom-16-131072-ext (16 个 vCPU,128 GiB)
-
e2-highmem-4 (4 个 vCPU,32 GiB)
-
e2-highmem-8 (8 个 vCPU,64 GiB)
-
e2-highmem-16 (16 个 vCPU,128 GiB)
-
n2-highmem-4 (4 个 vCPU,32 GiB)
-
n2-highmem-8 (8 个 vCPU,64 GiB)
-
n2-highmem-16 (16 个 vCPU,128 GiB)
-
n2-highmem-32 (32 个 vCPU,256 GiB)
-
n2-highmem-48 (48 个 vCPU,384 GiB)
-
n2-highmem-64 (64 个 vCPU,512 GiB)
-
n2-highmem-80 (80 个 vCPU,640 GiB)
-
n2-highmem-96 (96 个 vCPU,768 GiB)
-
n2-highmem-128 (128 个 vCPU,864 GiB)
计算优化型
-
custom-8-16384 (8 个 vCPU,16 GiB)
-
custom-16-32768 (16 个 vCPU,32 GiB)
-
custom-36-73728 (36 个 vCPU,72 GiB)
-
custom-48-98304 (48 个 vCPU,96 GiB)
-
custom-72-147456 (72 个 vCPU,144 GiB)
-
custom-96-196608 (96 个 vCPU,192 GiB)
-
c2-standard-4 (4 个 vCPU,16 GiB)
-
c2-standard-8 (8 个 vCPU,32 GiB)
-
c2-standard-16 (16 个 vCPU,64 GiB)
-
c2-standard-30 (30 个 vCPU,120 GiB)
-
c2-standard-60 (60 个 vCPU,240 GiB)
-
e2-highcpu-8 (8 个 vCPU,8 GiB)
-
e2-highcpu-16 (16 个 vCPU,16 GiB)
-
e2-highcpu-32 (32 个 vCPU,32 GiB)
-
n2-highcpu-8 (8 个 vCPU,8 GiB)
-
n2-highcpu-16 (16 个 vCPU,16 GiB)
-
n2-highcpu-32 (32 个 vCPU,32 GiB)
-
n2-highcpu-48 (48 个 vCPU,48 GiB)
-
n2-highcpu-64 (64 个 vCPU,64 GiB)
-
n2-highcpu-80 (80 个 vCPU,80 GiB)
-
n2-highcpu-96 (96 个 vCPU,96 GiB)
加速计算
-
a2-highgpu-1g (12 个 vCPU,85 GiB)
-
a2-highgpu-2g (24 个 vCPU,170 GiB)
-
a2-highgpu-4g (48 个 vCPU,340 GiB)
-
a2-highgpu-8g (96 个 vCPU,680 GiB)
-
a2-megagpu-16g (96 个 vCPU,1.33 TiB)
-
a2-ultragpu-1g (12 个 vCPU,170 GiB)
-
a2-ultragpu-2g (24 个 vCPU,340 GiB)
-
a2-ultragpu-4g (48 个 vCPU,680 GiB)
-
a2-ultragpu-8g (96 个 vCPU,1360 GiB)
-
a3-highgpu-1g (26 个 vCPU,234 GiB)
-
a3-highgpu-2g (52 个 vCPU,468 GiB)
-
a3-highgpu-4g (104 个 vCPU,936 GiB)
-
a3-highgpu-8g (208 个 vCPU,1872 GiB)
-
a3-megagpu-8g (208 个 vCPU,1872 GiB)
-
a3-edgegpu-8g (208 个 vCPU,1872 GiB)
区域和可用区
OpenShift Container Platform 4 和 OpenShift Dedicated 支持以下区域。
AWS 区域和可用区
OpenShift Container Platform 4 和 OpenShift Dedicated 支持以下 AWS 区域。
-
af-south-1 (开普敦,需要 AWS 选择加入)
-
ap-east-1 (香港,需要 AWS 选择加入)
-
ap-northeast-1 (东京)
-
ap-northeast-2 (首尔)
-
ap-northeast-3 (大阪)
-
ap-south-1 (孟买)
-
ap-south-2 (海德拉巴,需要 AWS 选择加入)
-
ap-southeast-1 (新加坡)
-
ap-southeast-2 (悉尼)
-
ap-southeast-3 (雅加达,需要 AWS 选择加入)
-
ap-southeast-4 (墨尔本,需要 AWS 选择加入)
-
ca-central-1 (加拿大中部)
-
eu-central-1 (法兰克福)
-
eu-central-2 (苏黎世,需要 AWS 选择加入)
-
eu-north-1 (斯德哥尔摩)
-
eu-south-1 (米兰,需要 AWS 选择加入)
-
eu-south-2 (西班牙,需要 AWS 选择加入)
-
eu-west-1 (爱尔兰)
-
eu-west-2 (伦敦)
-
eu-west-3 (巴黎)
-
me-central-1 (阿联酋,需要 AWS 选择加入)
-
me-south-1 (巴林,需要 AWS 选择加入)
-
sa-east-1 (圣保罗)
-
us-east-1 (弗吉尼亚北部)
-
us-east-2 (俄亥俄州)
-
us-west-1 (加利福尼亚北部)
-
us-west-2 (俄勒冈州)
Google Cloud 区域和可用区
目前支持以下 Google Cloud 区域:
-
asia-east1,台湾彰化县
-
asia-east2,香港
-
asia-northeast1,日本东京
-
asia-northeast2,日本大阪
-
asia-south1,印度孟买
-
asia-south2,印度德里
-
asia-southeast1,新加坡裕廊西
-
australia-southeast1,澳大利亚悉尼
-
australia-southeast2,澳大利亚墨尔本
-
europe-north1,芬兰哈米纳
-
europe-west1,比利时圣吉斯兰
-
europe-west2,英国伦敦
-
europe-west3,德国法兰克福
-
europe-west4,荷兰艾姆沙芬
-
europe-west6,瑞士苏黎世
-
europe-west8,意大利米兰
-
europe-west12,意大利都灵
-
europe-southwest1,西班牙马德里
-
northamerica-northeast1,加拿大魁北克省蒙特利尔
-
southamerica-east1,巴西奥萨斯科(圣保罗州)
-
southamerica-west1,智利圣地亚哥
-
us-central1,美国爱荷华州卡унсил布拉夫斯
-
us-east1,美国南卡罗来纳州蒙克斯角
-
us-east4,美国弗吉尼亚州北部阿什本
-
us-west1,美国俄勒冈州达尔斯
-
us-west2,美国加利福尼亚州洛杉矶
-
me-central1,卡塔尔多哈
-
me-central2,沙特阿拉伯达曼
多可用区集群只能部署在至少有 3 个可用区的区域(请参阅 AWS 和 Google Cloud)。
每个新的 OpenShift Dedicated 集群都安装在一个专用虚拟私有云 (VPC) 中的单个区域内,可以选择部署到单个可用区 (Single-AZ) 或多个可用区 (Multi-AZ)。这提供了集群级别的网络和资源隔离,并支持云提供商 VPC 设置,例如 VPN 连接和 VPC 对等互连。持久卷由云块存储支持,并且特定于其在其中预配的可用区。在关联的 Pod 资源分配到特定可用区之前,持久卷不会绑定到卷,以防止 Pod 不可调度。特定于可用区的资源只能被同一可用区的资源使用。
|
集群部署后,区域和单一或多可用区的选择将无法更改。 |
服务等级协议 (SLA)
服务本身的任何 SLA 都定义在 Red Hat 企业协议附录 4(在线订阅服务) 的附录 4 中。
有限支持状态
当集群过渡到有限支持状态时,Red Hat 将不再主动监控集群,SLA 将不再适用,并且针对 SLA 申请的信用额度将被拒绝。但这并不意味着您不再拥有产品支持。在某些情况下,如果您可以纠正违规因素,集群可以恢复到完全支持的状态。但是,在其他情况下,您可能需要删除并重新创建集群。
集群可能由于多种原因而过渡到有限支持状态,包括以下情况:
- 如果您在生命周期结束日期之前没有将集群升级到受支持的版本。
-
Red Hat 对于生命周期结束日期后的版本不提供任何运行时或 SLA 保证。要获得持续支持,请在生命周期结束日期之前将集群升级到受支持的版本。如果您在生命周期结束日期之前没有升级集群,则集群将过渡到有限支持状态,直到将其升级到受支持的版本。
Red Hat 提供商业上合理的支持,以将不受支持的版本升级到受支持的版本。但是,如果受支持的升级路径不再可用,您可能需要创建一个新的集群并迁移您的工作负载。
- 如果您删除或替换任何原生 OpenShift Dedicated 组件或任何其他由 Red Hat 安装和管理的组件。
-
如果使用了集群管理员权限,Red Hat 对您或您的授权用户的任何操作(包括影响基础设施服务、服务可用性或数据丢失的操作)概不负责。如果 Red Hat 检测到任何此类操作,集群可能会过渡到有限支持状态。Red Hat 会通知您状态更改,您应该撤消该操作或创建一个支持案例来探索可能需要您删除并重新创建集群的补救步骤。
如果您对可能导致集群过渡到有限支持状态的特定操作有疑问,或者需要进一步帮助,请打开支持工单。
日志记录
OpenShift Dedicated 提供可选的集成日志转发功能,可以转发到 Amazon CloudWatch(在 AWS 上)或 Google Cloud Logging(在 GCP 上)。
有关更多信息,请参阅 关于日志收集和转发。
监控
网络
应用程序自定义域名
|
从 OpenShift Dedicated 4.14 开始,自定义域名操作符已弃用。要在 OpenShift Dedicated 4.14 或更高版本中管理 Ingress,请使用 Ingress 操作符。OpenShift Dedicated 4.13 和早期版本的功能保持不变。 |
要为路由使用自定义主机名,您必须通过创建规范名称 (CNAME) 记录来更新您的 DNS 提供商。您的 CNAME 记录应将 OpenShift 规范路由器主机名映射到您的自定义域名。创建路由后,可以在“路由详细信息”页面上看到 OpenShift 规范路由器主机名。或者,可以一次创建通配符 CNAME 记录,将给定主机名的所有子域名路由到集群的路由器。
域名验证证书
OpenShift Dedicated 包含集群内部和外部服务所需的 TLS 安全证书。对于外部路由,提供并安装在每个集群上的两个独立的 TLS 通配符证书,一个用于 Web 控制台和路由默认主机名,另一个用于 API 端点。Let’s Encrypt 是用于证书的证书颁发机构。集群内的路由(例如,内部API 端点)使用集群内置证书颁发机构签名的 TLS 证书,并且需要每个 Pod 中可用的 CA 捆绑包才能信任 TLS 证书。
负载均衡器
OpenShift Dedicated 使用多达 5 个不同的负载均衡器。
-
内部控制平面负载均衡器,位于集群内部,用于平衡内部集群通信的流量。
-
外部控制平面负载均衡器,用于访问 OpenShift Container Platform 和 Kubernetes API。此负载均衡器可以在 Red Hat OpenShift 集群管理器中禁用。如果禁用此负载均衡器,Red Hat 将重新配置 API DNS 以指向内部控制负载均衡器。
-
Red Hat 的外部控制平面负载均衡器,由 Red Hat 保留用于集群管理。访问受到严格控制,并且只能从允许列出的堡垒主机进行通信。
-
默认路由器/入口负载均衡器,是默认的应用程序负载均衡器,在 URL 中表示为
apps。可以在 OpenShift 集群管理器中将默认负载均衡器配置为通过互联网公开访问,或仅通过预先存在的专用连接私有访问。集群上的所有应用程序路由都暴露在此默认路由器负载均衡器上,包括集群服务,例如日志记录 UI、指标 API 和注册表。 -
可选:辅助路由器/入口负载均衡器,是辅助应用程序负载均衡器,在 URL 中表示为
apps2。可以在 OpenShift 集群管理器中将辅助负载均衡器配置为通过互联网公开访问,或仅通过预先存在的专用连接私有访问。如果为此路由器负载均衡器配置了“标签匹配”,则只有与该标签匹配的应用程序路由才会暴露在此路由器负载均衡器上,否则所有应用程序路由也会暴露在此路由器负载均衡器上。 -
可选:可以映射到 OpenShift Dedicated 上运行的服务的负载均衡器,以启用高级入口功能,例如非 HTTP/SNI 流量或非标准端口的使用。这些可以在标准集群中以 4 个为一组购买,或者可以在客户云订阅 (CCS) 集群中免费预配;但是,每个 AWS 帐户都有一个配额限制每个集群中可以使用多少个经典负载均衡器。
网络使用情况
对于标准 OpenShift Dedicated 集群,网络使用情况是根据入站、VPC 对等互连、VPN 和 AZ 流量之间的數據传输来衡量的。在标准 OpenShift Dedicated 基础集群上,提供 12 TB 的网络 I/O。可以以 12 TB 的增量购买额外的网络 I/O。对于 CCS OpenShift Dedicated 集群,不监控网络使用情况,并由云提供商直接计费。
集群入口
项目管理员可以出于多种目的添加路由注释,包括通过 IP 允许列表进行入口控制。
也可以使用NetworkPolicy对象更改入口策略,这些对象利用ovs-networkpolicy插件。这允许完全控制入口网络策略,直到 Pod级别,包括同一集群甚至同一命名空间中的 Pod 之间。
所有集群入口流量都通过已定义的负载均衡器。云配置阻止对所有节点的直接访问。
集群出口
可以通过EgressNetworkPolicy对象控制 Pod 出口流量,以防止或限制 OpenShift Dedicated 中的出站流量。
控制平面和基础设施节点的公共出站流量是必需的,用于维护集群镜像安全和集群监控。这要求0.0.0.0/0路由仅属于互联网网关;不可能通过专用连接路由此范围。
OpenShift Dedicated集群使用NAT网关为离开集群的任何公共出站流量提供一个公共静态IP。集群部署到的每个子网都会收到一个独立的NAT网关。对于在AWS上部署并跨多个可用区部署的集群,最多可以存在3个唯一的静态IP地址用于集群出口流量。对于在Google Cloud上部署的集群,无论可用区拓扑如何,工作节点出口流量都将只有一个静态IP地址。任何停留在集群内部或不访问公共互联网的流量都不会通过NAT网关,其源IP地址将属于流量发起的节点。节点IP地址是动态的,因此客户不应依赖于允许列出单个IP地址来访问私有资源。
客户可以通过在集群上运行Pod然后查询外部服务来确定其公共静态IP地址。例如
$ oc run ip-lookup --image=busybox -i -t --restart=Never --rm -- /bin/sh -c "/bin/nslookup -type=a myip.opendns.com resolver1.opendns.com | grep -E 'Address: [0-9.]+'"云网络配置
OpenShift Dedicated允许通过几种云提供商管理的技术配置私有网络连接
-
VPN连接
-
AWS VPC对等连接
-
AWS Transit Gateway
-
AWS Direct Connect
-
Google Cloud VPC网络对等连接
-
Google Cloud经典VPN
-
Google Cloud HA VPN
|
Red Hat SRE团队不监控私有网络连接。监控这些连接是客户的责任。 |
网络验证
当您将OpenShift Dedicated集群部署到现有的虚拟私有云 (VPC) 中或使用对集群而言是新的子网创建附加机器池时,网络验证检查会自动运行。这些检查会验证您的网络配置并突出显示错误,使您能够在部署之前解决配置问题。
您也可以手动运行网络验证检查以验证现有集群的配置。
其他资源
-
有关网络验证检查的更多信息,请参阅网络验证。
存储
块存储 (RWO)
持久卷 (PV) 由AWS EBS和Google Cloud持久性磁盘块存储支持,后者使用读写一次 (RWO) 访问模式。在标准的OpenShift Dedicated基础集群上,为PV提供100 GB的块存储,该存储会根据应用程序请求动态配置和回收。可以以500 GB的增量购买额外的持久性存储。
PV一次只能附加到单个节点,并且特定于其在其中配置的可用区,但可以附加到可用区中的任何节点。
每个云提供商对可以附加到单个节点的PV数量都有其自身的限制。有关详细信息,请参阅AWS实例类型限制或Google Cloud Platform自定义机器类型。
共享存储 (RWX)
AWS CSI驱动程序可用于为AWS上的OpenShift Dedicated提供RWX支持。提供了一个社区运营商来简化设置。有关详细信息,请参阅AWS EFS为OpenShift Dedicated和Red Hat OpenShift Service on AWS设置。
平台
集群备份策略
|
客户必须为其应用程序和应用程序数据制定备份计划至关重要。 |
应用程序和应用程序数据备份不是OpenShift Dedicated服务的一部分。为了在集群出现无法修复的故障的极不可能的情况下促进快速恢复,每个OpenShift Dedicated集群中的所有Kubernetes对象都将备份。
备份存储在与集群位于同一帐户中的安全对象存储(多AZ)存储桶中。节点根卷不会备份,因为Red Hat Enterprise Linux CoreOS完全由OpenShift Container Platform集群管理,并且不应在节点的根卷上存储有状态数据。
下表显示了备份频率
| 组件 | 快照频率 | 保留时间 | 备注 |
|---|---|---|---|
完整对象存储备份 |
每天UTC 01:00 |
7天 |
这是所有Kubernetes对象的完整备份。此备份计划中没有备份持久卷 (PV)。 |
完整对象存储备份 |
每周一UTC 02:00 |
30天 |
这是所有Kubernetes对象的完整备份。此备份计划中没有备份PV。 |
完整对象存储备份 |
每小时在17分钟 |
24小时 |
这是所有Kubernetes对象的完整备份。此备份计划中没有备份PV。 |
自动伸缩
OpenShift Dedicated提供节点自动伸缩功能。有关集群上节点自动伸缩的更多信息,请参阅关于集群上节点自动伸缩。
守护进程集
客户可以在OpenShift Dedicated上创建和运行DaemonSet。为了将DaemonSet限制为仅在工作节点上运行,请使用以下nodeSelector
...
spec:
nodeSelector:
role: worker
...升级
有关升级策略和程序的更多信息,请参阅OpenShift Dedicated生命周期。
容器引擎
OpenShift Dedicated运行在OpenShift 4上,并使用CRI-O作为唯一可用的容器引擎。
Red Hat Operator支持
Red Hat工作负载通常指通过Operator Hub提供的Red Hat提供的Operator。Red Hat工作负载不由Red Hat SRE团队管理,必须部署在工作节点上。这些Operator可能需要额外的Red Hat订阅,并且可能会产生额外的云基础设施成本。这些Red Hat提供的Operator的示例包括:
-
Red Hat Quay
-
Red Hat Advanced Cluster Management
-
Red Hat Advanced Cluster Security
-
Red Hat OpenShift Service Mesh
-
OpenShift Serverless
-
Red Hat OpenShift Logging
-
Red Hat OpenShift Pipelines
Kubernetes 运营商支持
OperatorHub 市场中列出的所有运营商都应该可用以安装。从 OperatorHub 安装的运营商,包括 Red Hat 运营商,不属于 OpenShift Dedicated 服务的 SRE 管理范围。有关特定运营商的可支持性信息,请参考 Red Hat 客户门户。
安全性
本节提供有关 OpenShift Dedicated 安全性的服务定义信息。
身份验证提供程序
集群的身份验证配置是 Red Hat OpenShift 集群管理器集群创建过程的一部分。OpenShift 不是身份提供程序,所有对集群的访问都必须由客户作为其集成解决方案的一部分进行管理。同时配置多个身份提供程序受支持。支持以下身份提供程序:
-
GitHub 或 GitHub Enterprise OAuth
-
GitLab OAuth
-
Google OAuth
-
LDAP
-
OpenID Connect
特权容器
OpenShift Dedicated 默认情况下不提供特权容器。`anyuid` 和 `nonroot` 安全上下文约束可用于 `dedicated-admins` 组的成员,并且应该可以解决许多用例。特权容器仅适用于 `cluster-admin` 用户。
客户管理员用户
除了普通用户之外,OpenShift Dedicated 还提供对名为 `dedicated-admin` 的 OpenShift Dedicated 特定组的访问权限。集群中属于 `dedicated-admin` 组的任何用户:
-
对集群上所有客户创建的项目具有管理员访问权限。
-
可以管理集群上的资源配额和限制。
-
可以添加和管理 `NetworkPolicy` 对象。
-
能够查看有关集群中特定节点和 PV 的信息,包括调度程序信息。
-
可以访问集群上保留的 `dedicated-admin` 项目,这允许创建具有提升权限的服务帐户,并且还可以更新集群上项目的默认限制和配额。
-
可以从 OperatorHub 安装运营商(所有 `*.operators.coreos.com` API 组中的 `*` 动词)。
集群管理员角色
作为拥有客户云订阅 (CCS) 的 OpenShift Dedicated 管理员,您可以访问 `cluster-admin` 角色。当登录到具有 `cluster-admin` 角色的帐户时,用户几乎可以不受限制地访问控制和配置集群。某些配置使用 Webhook 被阻止,以防止集群不稳定,或者因为它们在 OpenShift 集群管理器中进行管理,并且任何集群内更改都将被覆盖。
项目自助服务
默认情况下,所有用户都可以创建、更新和删除其项目。如果 `dedicated-admin` 组的成员从已认证用户中删除自助服务角色,则可以限制此功能。
$ oc adm policy remove-cluster-role-from-group self-provisioner system:authenticated:oauth可以通过应用以下方法撤销限制:
$ oc adm policy add-cluster-role-to-group self-provisioner system:authenticated:oauth法规遵从性
OpenShift Dedicated 遵循安全和控制方面的常见行业最佳实践。认证概述如下表所示。
| 合规性 | AWS 上的 OpenShift Dedicated | GCP 上的 OpenShift Dedicated |
|---|---|---|
HIPAA 合格 |
是(仅限客户云订阅) |
是(仅限客户云订阅) |
ISO 27001 |
是 |
是 |
PCI DSS |
是 |
是 |
SOC 2 Type 2 |
是 |
是 |
网络安全
每个 OpenShift Dedicated 集群都受到云基础架构级别安全网络配置的保护,使用防火墙规则(AWS 安全组或 Google Cloud Compute Engine 防火墙规则)。AWS 上的 OpenShift Dedicated 客户还使用 AWS Shield Standard 防止 DDoS 攻击。类似地,GCP 上的 OpenShift Dedicated 使用的 Google Cloud Load Balancing 和公共 IP 地址都使用 Google Cloud Armor Standard 防止 DDoS 攻击。
etcd 加密
在 OpenShift Dedicated 中,控制平面存储默认情况下在静止状态下加密,这包括 etcd 卷的加密。此存储级别加密由云提供商的存储层提供。
您还可以启用 etcd 加密,这会加密 etcd 中的关键值,但不加密密钥。如果启用 etcd 加密,则会加密以下 Kubernetes API 服务器和 OpenShift API 服务器资源:
-
密钥
-
配置映射
-
路由
-
OAuth 访问令牌
-
OAuth 授权令牌
etcd 加密功能默认情况下未启用,只能在集群安装时启用。即使启用了 etcd 加密,任何具有对控制平面节点或 `cluster-admin` 权限访问权限的人员都可以访问 etcd 密钥值。
|
通过为 etcd 中的关键值启用 etcd 加密,您将产生大约 20% 的性能开销。开销是由于除了默认的控制平面存储加密(加密 etcd 卷)之外,还引入了这一第二层加密。Red Hat 建议您仅在特定用例需要时才启用 etcd 加密。 |