在 AWS 上运行的 Red Hat OpenShift Service (ROSA) 与托管控制平面 (HCP) 服务定义

在 AWS 上运行的 Red Hat OpenShift Service 的费用将直接计入您的 Amazon Web Services (AWS) 帐户。ROSA 定价基于使用量，并提供年度承诺或三年承诺以获得更大的折扣。ROSA 的总成本包括两个组成部分

访问 AWS 网站上的在 AWS 上运行的 Red Hat OpenShift Service 定价页面以了解更多详细信息。

客户可以自助服务他们的集群，包括但不限于

您可以使用在 AWS 上运行的 Red Hat OpenShift Service (ROSA) CLI，即 `rosa` 来执行这些自助服务任务。

所有带有 HCP 的 ROSA 集群至少需要 2 个工作节点。通过云提供商控制台关闭底层基础设施不受支持，并可能导致数据丢失。

目前，以下 AWS 区域可用于带有 HCP 的 ROSA。

多个可用区集群只能部署在至少有 3 个可用区的区域中。有关更多信息，请参见 AWS 文档中的区域和可用区部分。

每个新的带有 HCP 的 ROSA 集群都安装在一个预先存在的单个区域的虚拟专用云 (VPC) 中，可以选择部署到给定区域的可用区总数。这提供了集群级网络和资源隔离，并支持云提供商 VPC 设置，例如 VPN 连接和 VPC 对等连接。持久卷 (PV) 由 Amazon Elastic Block Storage (Amazon EBS) 支持，并且特定于它们在其中配置的可用区。持久卷声明 (PVC) 不会绑定到卷，直到关联的 pod 资源分配到特定可用区以防止 pod 不可调度。特定于可用区的资源只能由同一可用区中的资源使用。

带有托管控制平面 (HCP) 的 AWS 上的 Red Hat OpenShift Service (ROSA) 不支持使用 AWS 本地区域。

服务本身的任何 SLA 都定义在 Red Hat 企业协议附录 4（在线订阅服务） 的附录 4 中。

当集群过渡到有限支持状态时，Red Hat 将不再主动监控集群，SLA 将不再适用，并且将拒绝针对 SLA 提交的积分请求。但这并不意味着您不再拥有产品支持。在某些情况下，如果您修复违规因素，集群可以恢复到完全受支持的状态。但是，在其他情况下，您可能需要删除并重新创建集群。

集群可能由于多种原因而转为有限支持状态，包括以下情况：

如果您对可能导致集群转为有限支持状态的特定操作有任何疑问，或者需要进一步帮助，请打开支持工单。

AWS 上的 Red Hat OpenShift Service 包括 Red Hat 高级支持，您可以使用 Red Hat 客户门户 访问。

有关支持响应时间，请参阅 Red Hat 的 生产支持服务条款。

AWS 支持取决于客户与 AWS 现有的支持合同。

如果启用了集成，则可以通过 AWS CloudWatch 获取集群审计日志。如果未启用集成，您可以通过打开支持案例来请求审计日志。

如果安装了集群日志记录堆栈，则发送到STDOUT的应用程序日志将由 Fluentd 收集并通过集群日志记录堆栈转发到 AWS CloudWatch。

AWS 上的 Red Hat OpenShift Service 集群配备了集成的 Prometheus 堆栈，用于集群监控，包括基于 CPU、内存和网络的指标。这可以通过 Web 控制台访问。这些指标还允许根据 AWS 上 Red Hat OpenShift Service 用户提供的 CPU 或内存指标进行水平 Pod 自动缩放。

集群通知是关于集群状态、运行状况或性能的消息。

集群通知是 Red Hat 站点可靠性工程 (SRE) 与您沟通托管集群运行状况的主要方式。SRE 还可以使用集群通知提示您执行操作，以解决或防止集群问题。

集群所有者和管理员必须定期查看和处理集群通知，以确保集群保持健康和受支持。

您可以在 Red Hat 混合云控制台中，在集群的集群历史记录选项卡中查看集群通知。默认情况下，只有集群所有者会以电子邮件的形式收到集群通知。如果其他用户需要接收集群通知电子邮件，请将每个用户添加为集群的通知联系人。

要对路由使用自定义主机名，您必须通过创建规范名称 (CNAME) 记录来更新您的 DNS 提供商。您的 CNAME 记录应将 OpenShift 规范路由器主机名映射到您的自定义域名。创建路由后，会在路由详细信息页面上显示 OpenShift 规范路由器主机名。或者，可以一次创建通配符 CNAME 记录，以将给定主机名的所有子域名路由到集群的路由器。

AWS 上的 Red Hat OpenShift Service 包括集群上内部和外部服务所需的 TLS 安全证书。对于外部路由，将提供并安装在每个集群上两个单独的 TLS 通配符证书：一个用于 Web 控制台和路由默认主机名，另一个用于 API 端点。Let's Encrypt 是用于证书的证书颁发机构。集群内的路由（例如内部 API 端点）使用由集群内置证书颁发机构签名的 TLS 证书，并需要每个 Pod 中可用的 CA 捆绑包来信任 TLS 证书。

AWS 上的 Red Hat OpenShift Service 支持使用自定义证书颁发机构，以便在从镜像注册表提取镜像时被构建信任。

带有托管控制平面 (HCP) 的 AWS 上的 Red Hat OpenShift Service (ROSA) 只部署来自默认 Ingress 控制器 的负载均衡器。客户可以选择部署其他负载均衡器，用于辅助 Ingress 控制器或服务负载均衡器。

项目管理员可以出于许多不同目的添加路由注释，包括通过 IP 允许列表进行入口控制。

还可以使用NetworkPolicy对象更改入口策略，这些对象利用ovs-networkpolicy插件。这允许完全控制入口网络策略，直至 Pod级别，包括同一集群甚至同一命名空间中的 Pod 之间。

所有集群入口流量都将通过定义的负载均衡器。对所有节点的直接访问都由云配置阻止。

可以使用EgressNetworkPolicy对象来阻止或限制带有托管控制平面 (HCP) 的 AWS 上的 Red Hat OpenShift Service (ROSA) 中的出站流量。

在 AWS 上的 Red Hat OpenShift 服务允许通过 AWS 托管技术配置私有网络连接，例如

对于在 AWS 上具有私有云网络配置的 Red Hat OpenShift 服务集群，客户可以指定在该私有连接上可用的内部 DNS 服务器，这些服务器应查询明确提供的域名。

当您将 AWS 上的 Red Hat OpenShift 服务集群部署到现有的虚拟私有云 (VPC) 或使用对集群来说新的子网创建额外的机器池时，网络验证检查会自动运行。这些检查会验证您的网络配置并突出显示错误，使您能够在部署之前解决配置问题。

您也可以手动运行网络验证检查以验证现有集群的配置。:!rosa-with-hcp

工作节点使用静态加密的 Amazon Elastic Block Store (Amazon EBS) 存储。

默认情况下，用于 PV 的 EBS 卷采用静态加密。

持久卷 (PV) 由 Amazon Elastic Block Store (Amazon EBS) 支持，它是读写一次 (Read-Write-Once) 的。

PV 每次只能附加到单个节点，并且特定于其在其中预配的可用区。但是，PV 可以附加到可用区中的任何节点。

每个云提供商对可以附加到单个节点的 PV 数量都有其自身的限制。有关详细信息，请参阅 AWS 实例类型限制。

AWS CSI 驱动程序可用于为使用托管控制平面 (HCP) 的 AWS 上 Red Hat OpenShift 服务 (ROSA) 提供 RWX 支持。提供了一个社区运营商来简化设置。有关详细信息，请参阅 OpenShift Dedicated 和 AWS 上 Red Hat OpenShift 服务的 Amazon Elastic File Storage 设置。

在使用托管控制平面 (HCP) 的 AWS 上 Red Hat OpenShift 服务 (ROSA) 中提供节点自动缩放功能。您可以配置自动缩放程序选项来自动缩放集群中机器的数量。

客户可以在使用托管控制平面 (HCP) 的 AWS 上 Red Hat OpenShift 服务 (ROSA) 中创建和运行 Daemonsets。

控制平面组件始终部署在多个可用区中，而不管客户的工作节点配置如何。

Red Hat 在节点创建期间创建自定义节点标签，目前无法在使用托管控制平面 (HCP) 集群的 AWS 上 Red Hat OpenShift 服务 (ROSA) 中更改。但是，在创建新的机器池时支持自定义标签。

应用程序和应用程序数据备份不属于使用托管控制平面 (HCP) 的 AWS 上 Red Hat OpenShift 服务 (ROSA) 服务的一部分。

使用托管控制平面 (HCP) 的 AWS 上 Red Hat OpenShift 服务 (ROSA) 作为服务运行，并使用最新的 OpenShift Container Platform 版本保持最新。可安排升级到最新版本。

可以使用 ROSA CLI（`rosa`）或通过 OpenShift 集群管理器安排升级。

有关升级策略和程序的更多信息，请参阅 AWS 上 Red Hat OpenShift 服务生命周期。

目前，AWS 上的 Red Hat OpenShift 服务尚不支持 Windows 容器。

使用托管控制平面 (HCP) 的 AWS 上 Red Hat OpenShift 服务 (ROSA) 在 OpenShift 4 上运行，并使用 CRI-O 作为唯一可用的容器引擎。

使用托管控制平面 (HCP) 的 AWS 上 Red Hat OpenShift 服务 (ROSA) 在 OpenShift 4 上运行，并对所有控制平面和工作节点使用 Red Hat CoreOS 作为操作系统。

Red Hat 工作负载通常指通过 Operator Hub 提供的 Red Hat 提供的运营商。Red Hat 工作负载不由 Red Hat SRE 团队管理，必须部署在工作节点上。这些运营商可能需要额外的 Red Hat 订阅，并可能产生额外的云基础设施成本。这些 Red Hat 提供的运营商的示例包括

OperatorHub 市场中列出的所有运营商都应该可以安装。这些运营商被视为客户工作负载，Red Hat SRE 不会对其进行监控。

可以使用 OpenShift 集群管理器 或集群创建流程，或使用 ROSA CLI（rosa）配置集群的身份验证。ROSA 不是身份提供程序，所有对集群的访问都必须由客户作为其集成解决方案的一部分进行管理。同时配置多个身份提供程序是受支持的。支持以下身份提供程序：

拥有 cluster-admin 角色的用户可以使用特权容器。作为 cluster-admin 使用特权容器受 Red Hat 企业协议附录 4（在线订阅服务）中的责任和排除说明的约束。

除了普通用户外，在 AWS 上使用托管控制平面 (HCP) 的 Red Hat OpenShift 服务 (ROSA) 还提供对名为 dedicated-admin 的 ROSA HCP 特定组的访问权限。集群中属于 dedicated-admin 组的任何用户：

在 AWS 上使用托管控制平面 (HCP) 的 Red Hat OpenShift 服务 (ROSA) 的管理员对组织集群的 cluster-admin 角色具有默认访问权限。登录到具有 cluster-admin 角色的帐户时，用户可以增加权限以运行特权安全上下文。

默认情况下，所有用户都可以创建、更新和删除其项目。如果 dedicated-admin 组的成员从经过身份验证的用户中删除 self-provisioner 角色，则可以限制此功能。

可以通过应用以下方法恢复限制：

请参阅《了解 ROSA 的流程和安全性》中的“合规性”表，了解最新的合规性信息。

对于 Red Hat OpenShift Service on AWS，AWS 为所有负载均衡器提供标准 DDoS 保护，称为 AWS Shield。这为 Red Hat OpenShift Service on AWS 使用的所有面向公众的负载均衡器提供了针对最常用的 3 级和 4 级攻击的 95% 保护。为来自 haproxy 路由器的 HTTP 请求添加了 10 秒的超时，以接收响应，否则连接将关闭以提供额外的保护。

在使用托管控制平面 (HCP) 的 Red Hat OpenShift Service on AWS (ROSA) 中，控制平面存储默认情况下处于加密状态，这包括 etcd 卷的加密。此存储级加密由云提供商的存储层提供。

etcd 数据库始终默认加密。客户可以选择为加密 etcd 数据库的目的提供他们自己的自定义 AWS KMS 密钥。

Etcd 加密将加密以下 Kubernetes API 服务器和 OpenShift API 服务器资源：