第 3 章 了解 Windows 容器工作负载
Red Hat OpenShift for Windows Containers 为在 OpenShift Container Platform 上运行 Microsoft Windows Server 容器提供了内置的支持。对于使用 Linux 和 Windows 工作负载管理异构环境的管理员,OpenShift Container Platform 允许您部署在 Windows Server 容器上运行的 Windows 工作负载,同时也提供托管在 Red Hat Enterprise Linux CoreOS(RHCOS)或 Red Hat Enterprise Linux(RHEL)上的传统 Linux 工作负载。
不支持具有 Windows 节点的集群的多租户。当多个工作负载在共享基础架构和资源上运行时,集群被视为多租户。如果基础架构上运行的一个或多个工作负载无法信任,则多租户环境被视为 恶意。
恶意多租户集群在所有 Kubernetes 环境中都引入安全问题。额外的安全功能,如 Pod 安全策略,或节点的更精细的访问控制(RBAC),使利用安全漏洞进行工具更困难。但是,如果您选择运行托管多租户工作负载,则管理程序是唯一应使用的安全选项。Kubernetes 的安全域包括整个集群,而不是只限于单个节点。对于可能会有恶意的多租户工作负载,应该使用物理隔离的集群。
Windows 服务器容器使用共享内核提供资源隔离,但它并不适用于托管可能会有恶意的多租户工作负载。涉及主机多租户的情况应该使用 Hyper-V 隔离容器来严格隔离租户。
3.1. Windows Machine Config Operator 的先决条件
以下信息详细介绍了 Windows Machine Config Operator 支持的平台版本、Windows Server 版本和网络配置。有关仅与该平台相关的任何信息请参阅 vSphere 文档。
3.1.1. WMCO 7.2.x 支持的平台和 Windows 服务器版本
下表根据适用的平台列出了 WMCO 7.2.0 和 7.2.1 支持的 Windows Server 版本。不支持未列出的 Windows Server 版本,使用它们将可能会导致错误。
平台 | 支持的 Windows Server 版本 |
---|---|
Amazon Web Services (AWS) |
|
Microsoft Azure |
|
VMware vSphere |
|
Google Cloud Platform (GCP) |
|
裸机或供应商无关 |
|
3.1.2. WMCO 7.0 和 7.1 支持的平台和 Windows 服务器版本
下表根据适用的平台列出了 WMCO 7.0.0, 7.0.1 和 7.1.0 支持的 Windows Server 版本。不支持未列出的 Windows Server 版本,使用它们将可能会导致错误。
平台 | 支持的 Windows Server 版本 |
---|---|
Amazon Web Services (AWS) |
|
Microsoft Azure |
|
VMware vSphere |
|
Google Cloud Platform (GCP) |
|
裸机或供应商无关 |
|
3.1.3. 支持的网络
与 OVN-Kubernetes 的混合网络是唯一支持的网络配置。有关此功能的更多信息,请参见下面的其他资源。下表概述了根据您的平台使用的网络配置和 Windows Server 版本类型。安装集群时必须指定网络配置。
WMCO 不支持没有混合网络或 OpenShift SDN 的 OVN-Kubernetes。
表 3.1. 平台网络支持
平台 | 支持的网络 |
---|---|
Amazon Web Services (AWS) | 使用 OVN-Kubernetes 的混合网络 |
Microsoft Azure | 使用 OVN-Kubernetes 的混合网络 |
VMware vSphere | 带有自定义 VXLAN 端口的 OVN-Kubernetes 的混合网络 |
Google Cloud Platform (GCP) | 使用 OVN-Kubernetes 的混合网络 |
裸机或供应商无关 | 使用 OVN-Kubernetes 的混合网络 |
表 3.2. 混合 OVN-Kubernetes Windows Server 支持
其他资源