2.2. 架构模型
Red Hat OpenShift Service on AWS (ROSA)具有以下集群拓扑:
- 托管 control plane (HCP)- control plane 托管在红帽帐户中,worker 节点部署到客户的 AWS 帐户中。
- Classic - control plane 和 worker 节点部署在客户的 AWS 帐户中。
2.2.1. 将 ROSA 与 HCP 和 ROSA Classic 进行比较
表 2.1. ROSA 架构比较表
| | 托管 Control Plane (HCP) | 经典 |
|---|---|---|
| control plane 托管 | control plane 组件(如 API 服务器 etcd 数据库)托管在红帽拥有的 AWS 帐户中。 | control plane 组件(如 API 服务器 etcd 数据库)托管在客户拥有的 AWS 帐户中。 |
| 虚拟私有云(VPC) | Worker 节点通过 AWS PrivateLink 与 control plane 通信。 | Worker 节点和 control plane 节点部署在客户的 VPC 中。 |
| 多区部署 | control plane 始终在多个可用区(AZ)之间部署。 | control plane 可以部署到单个 AZ 或多个 AZ 中。 |
| 机器池 | 每个机器池都部署在单一 AZ (专用子网)中。 | 机器池可以在单一 AZ 或多个 AZ 中部署。 |
| 基础架构节点 | 不使用任何专用节点来托管平台组件,如入口和镜像 registry。 | 使用 2 (single-AZ)或 3 (multi-AZ)专用节点来托管平台组件。 |
| OpenShift 功能 | 平台监控、镜像 registry 和入口控制器部署在 worker 节点上。 | 平台监控、镜像 registry 和入口控制器部署在专用基础架构节点中。 |
| 集群升级 | control plane 和每个机器池都可以单独升级。 | 整个集群必须同时升级。 |
| 最小 EC2 占用空间 | 需要 2 个 EC2 实例来创建集群。 | 需要 7 (single-AZ)或 9 (multi-AZ) EC2 实例来创建集群。 |
其他资源
- 有关 AWS 区域可用性,请参阅使用 HCP 区域和可用区的 ROSA。
- 有关合规性状态,请参阅 安全和合规性 文档。
2.2.2. 使用 HCP 架构的 ROSA
在带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)中,ROSA 服务托管高可用性、单租户 OpenShift control plane。托管 control plane 部署在 3 个可用区,有 2 个 API 服务器实例和 3 个 etcd 实例。
您可以使用 HCP 集群或没有面向互联网的 API 服务器创建 ROSA。私有 API 服务器只能从 VPC 子网访问。您可以通过 AWS PrivateLink 端点访问托管的 control plane。
worker 节点部署在 AWS 帐户中,并在 VPC 专用子网中运行。您可以从一个或多个可用区添加额外的专用子网,以确保高可用性。Worker 节点由 OpenShift 组件和应用程序共享。OpenShift 组件(如入口控制器、镜像 registry 和监控)部署在 VPC 上托管的 worker 节点上。
2.2.2.1. 在公共和私有网络上使用 HCP 架构的 ROSA
使用 HCP 的 ROSA,您可以在公共或私有网络上创建集群。以下镜像描述了公共和专用网络的架构。
图 2.1. 在公共网络上部署带有 HCP 的 ROSA
图 2.2. 在私有网络上部署带有 HCP 的 ROSA
2.2.3. ROSA Classic 架构
在 Red Hat OpenShift Service on AWS (ROSA) Classic 中,control plane 和 worker 节点都部署在 VPC 子网中。
2.2.3.1. 公共和专用网络上的 ROSA 经典架构
使用 ROSA Classic,您可以创建可通过公共或私有网络访问的集群。
您可以使用以下方法自定义 API 服务器端点和 Red Hat SRE 管理的访问模式:
- Public - API 服务器端点和应用程序路由是面向互联网的。
- private - API 服务器端点和应用程序路由是私有的。私有 ROSA Classic 集群使用一些公共子网,但没有在公共子网中部署 control plane 或 worker 节点。
- 使用 AWS PrivateLink - API 服务器端点和应用程序路由是私有的。对于出口,您的 VPC 不需要公共子网或 NAT 网关。ROSA SRE 管理使用 AWS PrivateLink。
下图描述了在公共和私有网络上部署的 ROSA Classic 集群架构。
图 2.3. 在公共和私有网络上部署的 ROSA Classic
ROSA Classic 集群包括部署 OpenShift 组件的基础架构节点,如入口控制器、镜像 registry 和监控。基础架构节点及其上部署的 OpenShift 组件由 ROSA Service SREs 管理。
ROSA Classic 提供了以下类型的集群:
- 单区集群 - control plane 和 worker 节点托管在单个可用区中。
- 多区集群 - control plane 托管在三个可用区上,可以选择在一个或多个可用区上运行 worker 节点。
2.2.3.2. AWS PrivateLink 架构
创建 AWS PrivateLink 集群的 Red Hat 受管基础架构托管在专用子网上。红帽与用户提供的基础架构之间的连接通过 AWS PrivateLink VPC 端点创建。
仅在现有的 VPC 上支持 AWS PrivateLink。
下图显示了 PrivateLink 集群的网络连接。
图 2.4. 在私有子网中部署的 Multi-AZ AWS PrivateLink 集群
2.2.3.2.1. AWS 参考架构
在计划如何使用 AWS PrivateLink 设置配置时,AWS 提供多个参考架构。下面是三个示例:
公共子网 通过互联网网关直接连接到互联网。专用子网 通过网络地址转换(NAT)网关连接到互联网。
带有专用子网和 AWS Site-to-Site VPN 访问的 VPC。
此配置允许您在不向互联网公开网络的情况下将网络扩展至云中。
要启用通过互联网协议安全性 (IPsec) VPN 隧道与网络通信,此配置包含一个专用子网和虚拟专用网关的虚拟私有云 (VPC)。通过互联网的通信不使用互联网网关。
如需更多信息,请参阅 AWS 文档中的私有子网的 VPC 和 AWS Site-to-Site VPN 访问。
带有公共和私有子网的 VPC (NAT)
此配置允许您隔离网络,以便可以从互联网访问公共子网,但专用子网并非如此。
只有公共子网可以直接向互联网发送出站流量。专用子网可以通过使用位于公共子网中的网络地址转换 (NAT) 网关访问互联网。这允许数据库服务器使用 NAT 网关连接到互联网以获取软件更新,但不允许连接直接从互联网到数据库服务器。
如需更多信息,请参阅 AWS 文档中的使用公共和私有子网(NAT)的 VPC。
带有公共和私有子网的 VPC 和 AWS Site-to-Site VPN 访问
此配置可让您将网络扩展至云中,并直接从 VPC 访问互联网。
您可以使用公共子网中的可扩展 Web 前端运行多层应用程序,并将数据存储在由 IPsec AWS Site-to-Site VPN 连接连接的专用子网中。
如需更多信息,请参阅 AWS 文档中的带有公共和私有子网的 VPC 和 AWS Site-to-Site VPN 访问。
2.2.3.3. 使用本地区域的 ROSA 架构
ROSA 支持使用 AWS Local Zones,这些区域可以满足ropolis-centralized availability 区域,客户可在 VPC 中放置对延迟敏感的应用程序工作负载。本地区是 AWS 区域的扩展,默认情况下不启用。启用并配置 Local Zones 时,流量将扩展到 Local Zones,以获得更大的灵活性和较低延迟。如需更多信息,请参阅在 本地区中配置机器池。
下图显示了没有路由到 Local Zone 的 ROSA 集群。
图 2.5. 没有流量路由到本地区域的 ROSA 集群
下图显示了将流量路由到 Local Zone 的 ROSA 集群。
图 2.6. 将流量路由到本地区域的 ROSA 集群
