控制平面托管
- 文档
- Red Hat OpenShift Service on AWS
- 架构
- 架构模型 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将仅在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验。
- 关于
- 新增功能
- ROSA 简介
- 架构
- 教程
- 教程概述
- ROSA 与 HCP 激活和帐户链接
- ROSA 与 HCP 私有报价接受和共享
- 验证 ROSA STS 部署的权限
- 使用自定义 DNS 解析器部署 ROSA
- 使用 AWS WAF 和 Amazon CloudFront 保护 ROSA 工作负载
- 使用 AWS WAF 和 AWS ALBs 保护 ROSA 工作负载
- 在 ROSA 集群上部署用于数据保护的 OpenShift API
- ROSA 上的 AWS Load Balancer Operator
- 配置 Microsoft Entra ID(以前称为 Azure Active Directory)作为身份提供程序
- 在使用 STS 的 ROSA 上使用 AWS Secrets Manager CSI
- 在 ROSA 上使用 AWS Controllers for Kubernetes
- 在 ROSA 上部署 External DNS Operator
- 使用 ROSA 上的 cert-manager Operator 动态颁发证书
- 为外部流量分配一致的出口 IP
- 使用自定义域名和 TLS 证书更新组件路由
- ROSA 入门
- 部署应用程序
- 入门
- 准备您的环境
- 安装 ROSA 与 HCP 集群
- 安装 ROSA Classic 集群
- 支持
- Web 控制台
- CLI 工具
- Red Hat OpenShift 集群管理器
- 集群管理
- 安全和合规性
- 身份验证和授权
- 升级
- CI/CD
- 镜像
- 附加服务
- 存储
- 注册表
- 操作符
- 网络
- 构建应用程序
- 备份和恢复
- 节点
- 可观测性
- 服务网格
- 无服务器
- 虚拟化
×
架构模型
Red Hat OpenShift Service on AWS (ROSA)具有以下集群拓扑结构
-
托管控制平面 (HCP) - 控制平面托管在Red Hat账户中,工作节点部署在客户的AWS账户中。
-
Classic - 控制平面和工作节点都部署在客户的AWS账户中。
比较ROSA与HCP和ROSA Classic
| |
托管控制平面 (HCP) | Classic |
|---|---|---|
控制平面组件(例如API服务器etcd数据库)托管在Red Hat拥有的AWS账户中。 |
控制平面组件(例如API服务器etcd数据库)托管在客户拥有的AWS账户中。 |
|
虚拟私有云 (VPC) |
工作节点通过AWS PrivateLink与控制平面通信。 |
工作节点和控制平面节点部署在客户的VPC中。 |
多区域部署 |
控制平面始终跨多个可用区 (AZ) 部署。 |
控制平面可以部署在单个AZ或多个AZ中。 |
机器池 |
每个机器池都部署在单个AZ(私有子网)中。 |
机器池可以部署在单个AZ或多个AZ中。 |
基础设施节点 |
不使用任何专用节点来托管平台组件,例如入口和镜像注册表。 |
使用2个(单AZ)或3个(多AZ)专用节点来托管平台组件。 |
OpenShift功能 |
平台监控、镜像注册表和入口控制器部署在托管在您的VPC上的工作节点上。 |
平台监控、镜像注册表和入口控制器部署在专用基础设施节点上。 |
集群升级 |
控制平面和每个机器池可以分别升级。 |
必须同时升级整个集群。 |
最小EC2占用空间 |
需要2个EC2实例才能创建集群。 |
需要7个(单AZ)或9个(多AZ)EC2实例才能创建集群。 |
ROSA与HCP架构
在具有托管控制平面 (HCP) 的Red Hat OpenShift Service on AWS (ROSA) 中,ROSA服务托管一个高可用性的单租户OpenShift控制平面。托管控制平面跨3个可用区部署,具有2个API服务器实例和3个etcd实例。
您可以创建具有或不具有面向互联网的API服务器的ROSA与HCP集群。私有API服务器只能从您的VPC子网访问。您可以通过AWS PrivateLink端点访问托管控制平面。
工作节点部署在您的AWS账户中,并在您的VPC私有子网上运行。您可以从一个或多个可用区添加额外的私有子网以确保高可用性。工作节点由OpenShift组件和应用程序共享。OpenShift组件(如入口控制器、镜像注册表和监控)部署在托管在您的VPC上的工作节点上。
图1. ROSA与HCP架构
ROSA Classic架构
在Red Hat OpenShift Service on AWS (ROSA) Classic中,控制平面和工作节点都部署在您的VPC子网中。
ROSA Classic架构在公有和私有网络上
使用ROSA Classic,您可以创建可通过公有或私有网络访问的集群。
您可以通过以下方式自定义API服务器端点和Red Hat SRE管理的访问模式
-
公有 - API服务器端点和应用程序路由面向互联网。
-
私有 - API服务器端点和应用程序路由是私有的。私有ROSA Classic集群使用一些公有子网,但控制平面或工作节点不会部署在公有子网上。
-
具有AWS PrivateLink的私有 - API服务器端点和应用程序路由是私有的。您的VPC中不需要公有子网或NAT网关进行出站连接。ROSA SRE管理使用AWS PrivateLink。
下图显示了在公有和私有网络上部署的ROSA Classic集群的架构。
图4. 在公有和私有网络上部署的ROSA Classic
ROSA Classic集群包括基础设施节点,其中部署了OpenShift组件,例如入口控制器、镜像注册表和监控。部署在其上的基础设施节点和OpenShift组件由ROSA服务SRE管理。
ROSA Classic提供以下类型的集群:
-
单区域集群 - 控制平面和工作节点托管在单个可用区。
-
多区域集群 - 控制平面托管在三个可用区,可以选择在一个或三个可用区运行工作节点。
AWS PrivateLink架构
创建AWS PrivateLink集群的Red Hat托管基础设施托管在私有子网上。Red Hat和客户提供的基础设施之间的连接是通过AWS PrivateLink VPC端点创建的。
|
AWS PrivateLink仅支持现有VPC。 |
下图显示了PrivateLink集群的网络连接。
图5. 在私有子网上部署的多AZ AWS PrivateLink集群
AWS参考架构
AWS 提供多种参考架构,可帮助客户规划如何设置使用 AWS PrivateLink 的配置。以下提供三个示例。
|
**公有子网**通过互联网网关直接连接到互联网。**私有子网**通过网络地址转换 (NAT) 网关连接到互联网。 |
-
具有私有子网和 AWS 站点到站点 VPN 访问权限的 VPC。
此配置使您可以将网络扩展到云中,而无需将网络暴露于互联网。
为了通过互联网协议安全 (IPsec) VPN 隧道启用与您的网络的通信,此配置包含一个具有单个私有子网和虚拟专用网关的虚拟专用云 (VPC)。通过互联网的通信不使用互联网网关。
更多信息,请参阅 AWS 文档中的仅具有私有子网和 AWS 站点到站点 VPN 访问权限的 VPC。
-
具有公有和私有子网 (NAT) 的 VPC
此配置使您可以隔离您的网络,以便可以从互联网访问公有子网,但不能访问私有子网。
只有公有子网可以直接向互联网发送出站流量。私有子网可以使用位于公有子网中的网络地址转换 (NAT) 网关访问互联网。这允许数据库服务器使用 NAT 网关连接到互联网以进行软件更新,但不允许直接从互联网建立到数据库服务器的连接。
更多信息,请参阅 AWS 文档中的具有公有和私有子网 (NAT) 的 VPC。
-
具有公有和私有子网以及 AWS 站点到站点 VPN 访问权限的 VPC
此配置使您可以将网络扩展到云中,并可以直接从您的 VPC 访问互联网。
您可以运行一个多层应用程序,该应用程序在公有子网中具有可扩展的 Web 前端,并将您的数据存储在通过 IPsec AWS 站点到站点 VPN 连接连接到您的网络的私有子网中。
更多信息,请参阅 AWS 文档中的具有公有和私有子网以及 AWS 站点到站点 VPN 访问权限的 VPC。
