教程:什么是ROSA
Red Hat OpenShift Service on AWS (ROSA) 是一个完全托管的交钥匙应用程序平台,它允许您专注于最重要的事情,通过构建和部署应用程序为客户提供价值。Red Hat和AWS SRE专家管理底层平台,因此您无需担心基础设施管理。ROSA与各种AWS计算、数据库、分析、机器学习、网络、移动和其他服务无缝集成,进一步加快了为客户构建和交付差异化体验的速度。
ROSA使用AWS安全令牌服务(STS)获取在您的AWS账户中管理基础设施的凭证。AWS STS是一个全球性的网络服务,它为IAM用户或联合用户创建临时凭证。ROSA使用它来分配短期、特权有限的安全凭证。这些凭证与IAM角色相关联,这些角色特定于进行AWS API调用的每个组件。此方法符合最小权限原则和云服务资源管理中的安全实践。ROSA命令行界面(CLI)工具管理为唯一任务分配的STS凭证,并在作为OpenShift功能的一部分时对AWS资源采取行动。
ROSA的关键特性
-
原生AWS服务:通过AWS管理控制台,获得按需访问和使用Red Hat OpenShift的自助式入职体验。
-
灵活的按需付费定价:根据您的业务需求进行扩展,并通过灵活的定价和按需每小时或年度计费模式付费。
-
Red Hat OpenShift和AWS用量的单一账单:客户将收到AWS的单一账单,其中包括Red Hat OpenShift和AWS的消费。
-
完全集成的支持体验:安装、管理、维护和升级由Red Hat站点可靠性工程师(SRE)与Red Hat和Amazon联合支持以及99.95%的服务等级协议(SLA)一起执行。
-
AWS服务集成:AWS拥有强大的云服务组合,例如计算、存储、网络、数据库、分析和机器学习。所有这些服务都可以通过ROSA直接访问。这使得通过熟悉的管理界面更容易在全球范围内按需构建、操作和扩展。
-
最大可用性:在受支持区域的多个可用区中部署集群,以最大限度地提高可用性,并为最苛刻的关键任务应用程序和数据保持高可用性。
-
集群节点扩展:轻松添加或删除计算节点以匹配资源需求。
-
优化的集群:从内存优化、计算优化或通用EC2实例类型中选择,集群大小可满足您的需求。
-
全球可用性:请参阅产品区域可用性页面,了解ROSA在全球的可用位置。
ROSA和Kubernetes
在ROSA中,部署和管理容器所需的一切都已打包,包括容器管理、Operators、网络、负载均衡、服务网格、CI/CD、防火墙、监控、注册表、身份验证和授权功能。这些组件经过一起测试,作为完整的平台实现统一操作。自动化集群操作(包括空中平台升级)进一步增强了您的Kubernetes体验。
基本职责
通常,集群部署和维护是Red Hat或AWS的责任,而应用程序、用户和数据是客户的责任。有关职责的更详细细分,请参阅责任矩阵。
路线图和功能请求
访问ROSA路线图,了解当前正在开发的功能的状态。如果您对产品团队有任何建议,请打开一个新的问题。
AWS区域可用性
请参阅产品区域可用性页面,了解ROSA的最新可用位置。
合规认证
ROSA目前符合SOC-2 2型、SOC 3、ISO-27001、ISO 27017、ISO 27018、HIPAA、GDPR和PCI-DSS。我们目前还在努力争取FedRAMP High认证。
节点
支持的工作节点实例
有关支持的工作节点实例的完整列表,请参见 AWS 实例类型。也支持竞价型实例。
节点自动伸缩
自动伸缩允许您根据当前工作负载自动调整集群的大小。请参见 关于集群上节点自动伸缩,了解更多详情。
支持
您可以直接从 OpenShift 集群管理器 打开工单。请参见 ROSA 支持文档,了解有关获取支持的更多详情。
您还可以访问 Red Hat 客户门户 搜索或浏览 Red Hat 知识库中与 Red Hat 产品相关的文章和解决方案,或向 Red Hat 支持提交支持案例。
有限支持
如果 ROSA 集群在“生命周期结束”日期之前未升级,则集群将继续处于有限支持状态。该集群的服务级别协议 (SLA) 将不再适用,但您仍然可以获得该集群的支持。请参见 有限支持状态 文档,了解更多详情。
-
AWS 支持客户必须拥有有效的 AWS 支持合同
服务级别协议 (SLA)
请参阅 ROSA SLA 页面了解更多详情。
AWS 的开放服务代理 (OBSA)
您可以将 OSBA 与 ROSA 一起使用。但是,首选方法是更新的 AWS Kubernetes 控制器。请参见 AWS 的开放服务代理,了解有关 OSBA 的更多信息。
SRE 集群访问
所有 SRE 集群访问均通过 MFA 保护。请参见 SRE 访问,了解更多详情。
加密
数据加密
默认情况下,存在静态加密。AWS 存储平台会在持久化数据之前自动加密数据,并在检索数据之前解密数据。请参见 AWS EBS 加密,了解更多详情。
您还可以加密集群中的 etcd,并将其与 AWS 存储加密相结合。这将导致双重加密,从而导致性能下降 20%。有关更多详情,请参见 etcd 加密 文档。
etcd 加密配置
etcd 加密的配置与 OpenShift Container Platform 中相同。使用 aescbc 密码,并在集群部署期间修补设置。有关更多详情,请参见 Kubernetes 文档。
基础设施
ROSA 使用多种不同的云服务,例如虚拟机、存储和负载均衡器。您可以在 AWS 先决条件 中看到定义的列表。
凭证方法
有两种凭证方法可以授予 Red Hat 在您的 AWS 帐户中执行所需操作所需的权限:使用 STS 的 AWS 或具有管理员权限的 IAM 用户。使用 STS 的 AWS 是首选方法,而 IAM 用户方法最终将被弃用。使用 STS 的 AWS 更符合最小权限原则和云服务资源管理中的安全实践。
先决条件权限或失败错误
检查 ROSA CLI 的更新版本。每个版本的 ROSA CLI 都位于两个地方:Github 和 Red Hat 签名二进制发行版。
存储
请参考服务定义中的存储部分。
OpenShift 包含用于 AWS EFS 的 CSI 驱动程序。更多信息,请参阅 在 AWS 上为 Red Hat OpenShift 服务设置 AWS EFS。
使用 VPC
在安装过程中,您可以选择部署到现有 VPC 或自建 VPC。然后,在使用这些子网时,您可以选择所需的子网并提供包含子网的有效 CIDR 范围。
ROSA 允许多个集群共享同一个 VPC。单个 VPC 上的集群数量受剩余的 AWS 资源配额和不能重叠的 CIDR 范围限制。更多信息,请参阅 CIDR 范围定义。
跨命名空间网络
集群管理员可以使用 NetworkPolicy 对象在项目的基础上自定义和拒绝跨命名空间访问。更多信息,请参阅 使用网络策略配置多租户隔离。
使用 Prometheus 和 Grafana
您可以使用 Prometheus 和 Grafana 通过 OpenShift 用户工作负载监控来监控容器和管理容量。这是 OpenShift 集群管理器 中的一个复选框选项。
集群控制平面输出的审计日志
如果集群已添加集群日志记录操作符附加组件,则审计日志可通过 CloudWatch 获取。如果没有,则支持请求将允许您请求一些审计日志。可以请求导出少量有针对性和时间限制的日志并发送给客户。可用的审计日志的选择由平台安全和合规性类别的 SRE 决定。将拒绝导出集群全部日志的请求。
集群备份
ROSA STS 集群没有备份。用户必须拥有自己的应用程序和数据备份策略。更多信息,请参阅我们的 备份策略。
自定义域名
您可以为应用程序定义自定义域名。更多信息,请参阅 为应用程序配置自定义域名。