OpenShift 文档正在迁移,很快将仅在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

AWS 上的客户云订阅

OpenShift Dedicated 提供客户云订阅 (CCS) 模型,允许 Red Hat 将集群部署和管理到客户现有的 Amazon Web Service (AWS) 账户中。

了解 AWS 上的客户云订阅

要使用客户云订阅 (CCS) 模型将 OpenShift Dedicated 部署到您现有的 Amazon Web Services (AWS) 账户,Red Hat 需要满足几个前提条件。

Red Hat 建议使用 AWS Organizations 来管理多个 AWS 账户。由客户管理的 AWS Organizations 托管多个 AWS 账户。组织中有一个根账户,所有账户都将在账户层次结构中引用该账户。

建议使用 CCS 模型的 OpenShift Dedicated 集群托管在 AWS Organizations 中的组织单元内的 AWS 账户中。创建一个服务控制策略 (SCP) 并将其应用于管理 AWS 子账户可以访问哪些服务的 AWS 组织单元。SCP 只适用于单个 AWS 账户内针对组织单元内所有 AWS 子账户的可用权限。也可以将 SCP 应用于单个 AWS 账户。客户的 AWS Organizations 中的所有其他账户都将以客户所需的方式进行管理。Red Hat 站点可靠性工程师 (SRE) 将无法控制 AWS Organizations 中的 SCP。

客户需求

在 Amazon Web Services (AWS) 上使用客户云订阅 (CCS) 模型的 OpenShift Dedicated 集群在部署之前必须满足几个前提条件。

账户

  • 客户确保AWS 限制 足以支持在客户提供的 AWS 账户中预配的 OpenShift Dedicated。

  • 客户提供的 AWS 账户应位于客户的 AWS Organizations 中,并应用适用的服务控制策略 (SCP)。

    客户提供的账户无需位于 AWS Organizations 中,也不需要应用 SCP,但是 Red Hat 必须能够在没有限制的情况下执行 SCP 中列出的所有操作。

  • 客户提供的 AWS 账户不得转移到 Red Hat。

  • 客户不得对 Red Hat 活动施加 AWS 使用限制。施加限制会严重妨碍 Red Hat 响应事件的能力。

  • Red Hat 将监控部署到 AWS,以便在根账户等特权账户登录到客户提供的 AWS 账户时向 Red Hat 发出警报。

  • 客户可以在同一个客户提供的 AWS 账户中部署原生 AWS 服务。

    鼓励客户,但并非强制要求,在与托管 OpenShift Dedicated 和其他 Red Hat 支持服务的 VPC 分开的虚拟私有云 (VPC) 中部署资源。

访问要求

  • 为了适当地管理 OpenShift Dedicated 服务,Red Hat 必须始终将AdministratorAccess策略应用于管理员角色。

    此策略仅为 Red Hat 提供在客户提供的 AWS 帐户中更改资源的权限和功能。

  • Red Hat 必须访问客户提供的 AWS 帐户的 AWS 控制台。此访问权限受 Red Hat 保护和管理。

  • 客户不得使用 AWS 帐户来提升他们在 OpenShift Dedicated 集群中的权限。

  • OpenShift 集群管理器中可用的操作不得直接在客户提供的 AWS 帐户中执行。

支持要求

  • Red Hat 建议客户至少拥有来自 AWS 的企业支持

  • Red Hat 拥有客户的授权,可以代表他们请求 AWS 支持。

  • Red Hat 拥有客户的授权,可以请求增加客户提供的帐户的 AWS 资源限制。

  • Red Hat 以相同的方式管理所有 OpenShift Dedicated 集群的限制、局限性、预期和默认值,除非本要求部分另有说明。

安全要求

  • 客户提供的 IAM 凭据必须对客户提供的 AWS 帐户唯一,并且不得存储在客户提供的 AWS 帐户中的任何位置。

  • 卷快照将保留在客户提供的 AWS 帐户和客户指定的区域中。

  • Red Hat 必须通过白名单列出的 Red Hat 机器访问 EC2 主机和 API 服务器。

  • Red Hat 必须允许出站访问,以便将系统和审计日志转发到 Red Hat 管理的中央日志记录堆栈。

客户所需流程

客户云订阅 (CCS) 模型允许 Red Hat 将 OpenShift Dedicated 部署和管理到客户的 Amazon Web Services (AWS) 帐户中。为了提供这些服务,Red Hat 需要一些前提条件。

流程

  1. 如果客户正在使用 AWS Organizations,则必须使用组织内的 AWS 帐户或创建一个新的帐户

  2. 为了确保 Red Hat 可以执行必要的操作,必须创建一个服务控制策略 (SCP) 或确保没有策略应用于 AWS 帐户。

  3. 附加 SCP 到 AWS 帐户。

  4. 在 AWS 帐户中,必须创建一个具有以下要求的osdCcsAdmin IAM 用户

    • 此用户至少需要启用编程访问

    • 此用户必须附加AdministratorAccess策略。

  5. 向 Red Hat 提供 IAM 用户凭据。

最低所需的服务控制策略 (SCP)

服务控制策略 (SCP) 的管理是客户的责任。这些策略在 AWS Organization 中维护,并控制附加的 AWS 帐户中可用的服务。

必需/可选 服务 操作 效果

必需

Amazon EC2

全部

允许

Amazon EC2 自动扩展

全部

允许

Amazon S3

全部

允许

身份和访问管理

全部

允许

弹性负载均衡

全部

允许

弹性负载均衡 V2

全部

允许

Amazon CloudWatch

全部

允许

Amazon CloudWatch Events

全部

允许

Amazon CloudWatch Logs

全部

允许

AWS 支持

全部

允许

AWS 密钥管理服务

全部

允许

AWS 安全令牌服务

全部

允许

AWS 资源标签

全部

允许

AWS Route53 DNS

全部

允许

AWS 服务配额

ListServices

GetRequestedServiceQuotaChange

GetServiceQuota

RequestServiceQuotaIncrease

ListServiceQuotas

允许

可选

AWS 账单

ViewAccount

Viewbilling

ViewUsage

允许

AWS 成本和使用情况报告

全部

允许

AWS 成本探索服务

全部

允许

 
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "support:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "route53:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:ListServices",
                "servicequotas:GetRequestedServiceQuotaChange",
                "servicequotas:GetServiceQuota",
                "servicequotas:RequestServiceQuotaIncrease",
                "servicequotas:ListServiceQuotas"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Red Hat 管理的 AWS IAM 参考

Red Hat 负责创建和管理以下 Amazon Web Services (AWS) 资源:IAM 策略、IAM 用户和 IAM 角色。

IAM 策略

随着 OpenShift Dedicated 功能的变化,IAM 策略也会发生变化。

  • AdministratorAccess策略由管理角色使用。此策略为 Red Hat 提供在客户提供的 AWS 帐户中管理 OpenShift Dedicated 集群所需的访问权限。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

  • CustomerAdministratorAccess角色为客户提供管理 AWS 帐户中一部分服务的权限。目前,允许以下操作:

    • VPC 对等连接

    • VPN 设置

    • Direct Connect(仅在通过服务控制策略授予的情况下可用)

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachVpnGateway",
                "ec2:DescribeVpnConnections",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DeleteVpcPeeringConnection",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:CreateVpnConnectionRoute",
                "ec2:RejectVpcPeeringConnection",
                "ec2:DetachVpnGateway",
                "ec2:DeleteVpnConnectionRoute",
                "ec2:DeleteVpnGateway",
                "ec2:DescribeVpcs",
                "ec2:CreateVpnGateway",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DeleteVpnConnection",
                "ec2:CreateVpcPeeringConnection",
                "ec2:DescribeVpnGateways",
                "ec2:CreateVpnConnection",
                "ec2:DescribeRouteTables",
                "ec2:CreateTags",
                "ec2:CreateRoute",
          "directconnect:*"
            ],
            "Resource": "*"
        }
    ]
}

  • 如果启用,BillingReadOnlyAccess角色提供只读访问权限,以便查看帐户的账单和使用情况信息。

    只有当 AWS Organization 中的根帐户启用账单和使用情况访问权限时,才会授予账单和使用情况访问权限。这是客户必须执行的可选步骤,以启用只读账单和使用情况访问权限,并且不会影响此配置文件和使用它的角色的创建。如果未启用此角色,用户将看不到账单和使用情况信息。请参阅有关如何启用对账单数据的访问的教程。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewAccount",
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        }
    ]
}

IAM 用户

在接管客户提供的 AWS 帐户后,立即创建osdManagedAdmin用户。这是将执行 OpenShift Dedicated 集群安装的用户。

IAM 角色

  • network-mgmt角色通过单独的 AWS 帐户为客户联合提供对 AWS 帐户的管理访问权限。它还具有与只读角色相同的访问权限。network-mgmt角色仅适用于非客户云订阅 (CCS) 集群。以下策略附加到该角色:

    • AmazonEC2ReadOnlyAccess

    • CustomerAdministratorAccess

  • read-only角色通过单独的 AWS 帐户为客户联合提供对 AWS 帐户的只读访问权限。以下策略附加到该角色:

    • AWSAccountUsageReportAccess

    • AmazonEC2ReadOnlyAccess

    • AmazonS3ReadOnlyAccess

    • IAMReadOnlyAccess

    • BillingReadOnlyAccess

已配置的 AWS 基础设施

这是已部署 OpenShift Dedicated 集群上已配置的 Amazon Web Services (AWS) 组件的概述。有关所有已配置 AWS 组件的更详细列表,请参阅OpenShift Container Platform 文档

AWS 弹性计算 (EC2) 实例

AWS EC2 实例需要在 AWS 公有云中部署 OpenShift Dedicated 的控制平面和数据平面功能。根据工作节点的数量,控制平面和基础设施节点的实例类型可能会有所不同。

  • 单个可用区

    • 至少 3 个 m5.2xlarge(控制平面节点)

    • 至少 2 个 r5.xlarge(基础设施节点)

    • 至少 2 个 m5.xlarge,但高度可变(工作节点)

  • 多个可用区

    • 至少 3 个 m5.2xlarge(控制平面节点)

    • 至少 3 个 r5.xlarge(基础设施节点)

    • 至少 3 个 m5.xlarge,但高度可变(工作节点)

AWS 弹性块存储 (EBS) 存储

Amazon EBS 块存储用于本地节点存储和持久卷存储。

每个 EC2 实例的卷要求

  • 控制平面卷

    • 大小:350 GB

    • 类型:io1

    • 每秒输入/输出操作:1000

  • 基础设施卷

    • 大小:300 GB

    • 类型:gp2

    • 每秒输入/输出操作:900

  • 工作节点卷

    • 大小:300 GB

    • 类型:gp2

    • 每秒输入/输出操作:900

弹性负载均衡 (ELB) 负载均衡器

最多两个用于 API 的网络负载均衡器和最多两个用于应用程序路由器的经典负载均衡器。更多信息,请参阅AWS 的 ELB 文档

S3 存储

镜像注册表和弹性块存储 (EBS) 卷快照由 AWS S3 存储支持。定期执行资源修剪以优化 S3 使用率和集群性能。

需要两个存储桶,每个存储桶的典型大小为 2 TB。

VPC

客户应该预期每个集群一个 VPC。此外,VPC 需要以下配置:

  • 子网:对于单可用区集群,需要两个子网;对于多可用区集群,需要六个子网。

    公共子网通过互联网网关直接连接到互联网。私有子网通过网络地址转换 (NAT) 网关连接到互联网。

  • 路由表:每个私有子网一个路由表,每个集群额外一个表。

  • 互联网网关:每个集群一个互联网网关。

  • NAT 网关:每个公共子网一个 NAT 网关。

VPC 架构示例

VPC Reference Architecture

安全组

AWS 安全组在协议和端口访问级别提供安全性;它们与 EC2 实例和弹性负载均衡相关联。每个安全组都包含一组规则,用于过滤进出 EC2 实例的流量。您必须确保OpenShift Container Platform 安装所需的端口在您的网络上打开,并配置为允许主机之间访问。

其他自定义安全组

使用非托管 VPC 创建集群时,可以在集群创建期间添加自定义安全组。自定义安全组受以下限制:

  • 您必须在创建集群之前在 AWS 中创建自定义安全组。更多信息,请参阅适用于 Linux 实例的 Amazon EC2 安全组

  • 您必须将自定义安全组与将安装集群的 VPC 关联。您的自定义安全组不能与其他 VPC 关联。

  • 如果您添加其他自定义安全组,可能需要为您的 VPC 请求额外的配额。有关请求 AWS 配额增加的信息,请参阅请求配额增加

如果您使用防火墙来控制 OpenShift Dedicated 的出站流量,则必须将防火墙配置为授予对以下某些域名和端口组合的访问权限。OpenShift Dedicated 需要此访问权限才能提供完全托管的 OpenShift 服务。

前提条件

  • 您已在 AWS 虚拟私有云 (VPC) 中配置了 Amazon S3 网关端点。此端点是完成集群到 Amazon S3 服务的请求所必需的。

流程

  1. 允许访问以下用于安装和下载包和工具的 URL:

    域名 端口 功能

    registry.redhat.io

    443

    提供核心容器镜像。

    quay.io

    443

    提供核心容器镜像。

    cdn01.quay.io

    443

    提供核心容器镜像。

    cdn02.quay.io

    443

    提供核心容器镜像。

    cdn03.quay.io

    443

    提供核心容器镜像。

    sso.redhat.com

    443

    必需。https://console.redhat.com/openshift 网站使用来自 sso.redhat.com 的身份验证来下载拉取密钥并使用 Red Hat SaaS 解决方案来促进对您的订阅、集群清单、收费报告等的监控。

    quay-registry.s3.amazonaws.com

    443

    提供核心容器镜像。

    quayio-production-s3.s3.amazonaws.com

    443

    提供核心容器镜像。

    openshift.org

    443

    提供 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像。

    registry.access.redhat.com

    443

    托管存储在 Red Hat 生态系统目录中的所有容器镜像。此外,该注册表还提供对odo CLI 工具的访问,该工具可帮助开发人员在 OpenShift 和 Kubernetes 上构建。

    access.redhat.com

    443

    必需。托管签名存储,容器客户端在从registry.access.redhat.com拉取镜像时需要此存储来验证镜像。

    registry.connect.redhat.com

    443

    所有第三方镜像和认证的 Operators 都需要。

    console.redhat.com

    443

    必需。允许集群和 OpenShift 控制台管理器之间的交互,以启用功能,例如调度升级。

    sso.redhat.com

    443

    https://console.redhat.com/openshift 网站使用来自 sso.redhat.com 的身份验证。

    pull.q1w2.quay.rhcloud.com

    443

    在 quay.io 不可用时提供核心容器镜像作为后备。

    .q1w2.quay.rhcloud.com

    443

    在 quay.io 不可用时提供核心容器镜像作为后备。

    www.okd.io

    443

    openshift.org 网站通过 www.okd.io 重定向。

    www.redhat.com

    443

    sso.redhat.com 网站通过 www.redhat.com 重定向。

    aws.amazon.com

    443

    iam.amazonaws.comsts.amazonaws.com 网站通过 aws.amazon.com 重定向。

    catalog.redhat.com

    443

    registry.access.redhat.comhttps://registry.redhat.io 网站通过 catalog.redhat.com 重定向。

    dvbwgdztaeq9o.cloudfront.net [1]

    443

    ROSA 使用它进行具有托管 OIDC 配置的 STS 实现。

    1. 如果发生主要的 cloudfront 故障需要重定向资源,则 cloudfront.net 之前的字母数字字符串可能会更改。

  2. 允许访问以下遥测 URL:

    域名 端口 功能

    cert-api.access.redhat.com

    443

    遥测所需。

    api.access.redhat.com

    443

    遥测所需。

    infogw.api.openshift.com

    443

    遥测所需。

    console.redhat.com

    443

    遥测和 Red Hat Insights 所需。

    cloud.redhat.com/api/ingress

    443

    遥测和 Red Hat Insights 所需。

    observatorium-mst.api.openshift.com

    443

    托管 OpenShift 特定的遥测所需。

    observatorium.api.openshift.com

    443

    托管 OpenShift 特定的遥测所需。

    托管集群需要启用遥测,以允许 Red Hat 更快地响应问题,更好地支持客户,并更好地了解产品升级如何影响集群。有关 Red Hat 如何使用远程运行状况监控数据,请参阅“附加资源”部分中的《关于远程运行状况监控》。

  3. 允许访问以下 Amazon Web Services (AWS) API URL:

    域名 端口 功能

    .amazonaws.com

    443

    访问 AWS 服务和资源所需。

    或者,如果您选择不使用 Amazon Web Services (AWS) API 的通配符,则必须允许访问以下 URL:

    域名 端口 功能

    ec2.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    events.<aws_region>.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    iam.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    route53.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    sts.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群,适用于配置为使用 AWS STS 全局端点的集群。

    sts.<aws_region>.amazonaws.com

    443

    用于在AWS环境中安装和管理集群,适用于配置为使用区域化AWS STS端点的集群。更多信息,请参见AWS STS区域化端点

    tagging.us-east-1.amazonaws.com

    443

    用于在AWS环境中安装和管理集群。此端点始终为us-east-1,无论集群部署在哪个区域。

    ec2.<aws_region>.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    elasticloadbalancing.<aws_region>.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    tagging.<aws_region>.amazonaws.com

    443

    允许以标签的形式分配有关AWS资源的元数据。

  4. 允许访问以下OpenShift URL

    域名 端口 功能

    mirror.openshift.com

    443

    用于访问镜像安装内容和镜像。此站点也是发布镜像签名的来源,尽管集群版本操作符(CVO)只需要一个可用的来源。

    storage.googleapis.com/openshift-release (推荐)

    443

    mirror.openshift.com的替代站点。用于下载平台发布签名,集群使用这些签名来确定要从quay.io拉取哪些镜像。

    api.openshift.com

    443

    用于检查集群是否有可用的更新。

  5. 允许访问以下站点可靠性工程(SRE)和管理URL

    域名 端口 功能

    api.pagerduty.com

    443

    此警报服务由集群内alertmanager使用,用于发送警报,通知Red Hat SRE需要采取行动的事件。

    events.pagerduty.com

    443

    此警报服务由集群内alertmanager使用,用于发送警报,通知Red Hat SRE需要采取行动的事件。

    api.deadmanssnitch.com

    443

    OpenShift Dedicated使用的警报服务,用于发送周期性探测,指示集群是否可用并正在运行。

    nosnch.in

    443

    OpenShift Dedicated使用的警报服务,用于发送周期性探测,指示集群是否可用并正在运行。

    .osdsecuritylogs.splunkcloud.cominputs1.osdsecuritylogs.splunkcloud.com inputs2.osdsecuritylogs.splunkcloud.com inputs4.osdsecuritylogs.splunkcloud.com inputs5.osdsecuritylogs.splunkcloud.com inputs6.osdsecuritylogs.splunkcloud.com inputs7.osdsecuritylogs.splunkcloud.com inputs8.osdsecuritylogs.splunkcloud.com inputs9.osdsecuritylogs.splunkcloud.com inputs10.osdsecuritylogs.splunkcloud.com inputs11.osdsecuritylogs.splunkcloud.com inputs12.osdsecuritylogs.splunkcloud.com inputs13.osdsecuritylogs.splunkcloud.com inputs14.osdsecuritylogs.splunkcloud.com inputs15.osdsecuritylogs.splunkcloud.com

    9997

    splunk-forwarder-operator 使用此作为日志转发端点,供 Red Hat SRE 用于基于日志的警报。

    http-inputs-osdsecuritylogs.splunkcloud.com

    443

    必需。splunk-forwarder-operator 使用此作为日志转发端点,供 Red Hat SRE 用于基于日志的警报。

    sftp.access.redhat.com (推荐)

    22

    must-gather-operator 使用的 SFTP 服务器,用于上传诊断日志以帮助解决集群问题。

  6. 允许访问以下用于可选第三方内容的URL

    域名 端口 功能

    registry.connect.redhat.com

    443

    所有第三方镜像和认证操作符都需要。

    rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com

    443

    提供对托管在registry.connect.redhat.com上的容器镜像的访问。

    oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com

    443

    Sonatype Nexus、F5 Big IP 操作符需要。

  7. 允许访问构建所需的任何语言或框架提供的任何站点。

  8. 允许任何依赖于OpenShift中使用的语言和框架的出站URL。有关建议在防火墙或代理上允许的URL列表,请参见OpenShift允许的出站URL

其他资源

AWS账户限制

OpenShift Dedicated集群使用许多Amazon Web Services (AWS)组件,并且默认的服务限制会影响您安装OpenShift Dedicated集群的能力。如果您使用某些集群配置,在某些AWS区域部署集群,或从您的账户运行多个集群,您可能需要为您的AWS账户请求更多资源。

下表总结了其限制可能影响您安装和运行OpenShift Dedicated集群能力的AWS组件。

组件 默认情况下可用的集群数量 默认AWS限制 描述

实例限制

变化

变化

至少,每个集群都会创建以下实例:

  • 一台引导机器,安装后会删除。

  • 三个控制平面节点。

  • 单个可用区两个基础设施节点;多个可用区三个基础设施节点。

  • 单个可用区两个工作节点;多个可用区三个工作节点。

这些实例类型的数量在新的账户的默认限制内。要部署更多工作节点、部署大型工作负载或使用不同的实例类型,请查看您的账户限制,以确保您的集群能够部署您需要的机器。

在大多数区域中,引导程序和工作机器使用m4.large机器,控制平面机器使用m4.xlarge实例。在某些区域(包括所有不支持这些实例类型的区域)中,将改为使用m5.largem5.xlarge实例。

弹性IP (EIP)

0到1

每个账户5个EIP

要在高可用性配置中配置集群,安装程序会为每个区域内的可用区创建一个公共和私有子网。每个私有子网都需要一个NAT网关,每个NAT网关都需要一个单独的弹性IP。查看AWS区域地图以确定每个区域有多少个可用区。要利用默认的高可用性,请在至少有三个可用区的区域中安装集群。要在超过五个可用区的区域中安装集群,您必须增加EIP限制。

要使用us-east-1区域,您必须增加账户的EIP限制。

虚拟私有云 (VPC)

5

每个区域5个VPC

每个集群都会创建自己的VPC。

弹性负载均衡 (ELB)

3

每个区域20个

默认情况下,每个集群都会为主要API服务器创建内部和外部网络负载均衡器,以及为路由器创建单个经典负载均衡器。部署更多Kubernetes LoadBalancer服务对象将创建额外的负载均衡器

NAT网关

5

每个可用区5个

集群在每个可用区部署一个NAT网关。

弹性网络接口 (ENI)

至少12个

每个区域350个

默认安装会创建21个ENI以及区域中每个可用区的一个ENI。例如,us-east-1区域包含六个可用区,因此在该区域中部署的集群将使用27个ENI。查看AWS区域地图以确定每个区域有多少个可用区。

集群使用和部署的工作负载会创建额外的机器和负载均衡器,从而创建额外的ENI。

VPC网关

20

每个账户20个

每个集群都会为访问S3创建一个VPC网关。

S3存储桶

99

每个账户100个存储桶

由于安装过程会创建一个临时存储桶,并且每个集群中的注册表组件都会创建一个存储桶,因此每个AWS账户最多只能创建99个OpenShift Dedicated集群。

安全组

250

每个账户2500个

每个集群会创建10个不同的安全组。