3.3. Red Hat OpenShift Service on AWS 服务定义
本文档介绍了 概述了 Red Hat OpenShift Service on AWS (ROSA) 管理的服务的服务定义。
3.3.1. 帐户管理
本节提供有关 AWS 帐户管理上 Red Hat OpenShift Service 的服务定义的信息。
3.3.1.1. 账单
Red Hat OpenShift Service on AWS 由 Amazon Web Services (AWS)根据服务使用的 AWS 组件(如负载均衡器、存储、EC2 实例、其他组件和红帽订阅)进行计费。
其他额外的红帽软件需要单独购买。
3.3.1.2. 集群自助服务
客户可以自助服务集群,包括但不限于:
- 创建集群
- 删除集群
- 添加或删除身份提供程序
- 从提升的组中添加或删除用户
- 配置集群隐私
- 添加或删除机器池并配置自动扩展
- 定义升级策略
您可以使用 Red Hat OpenShift Service on AWS (ROSA) CLI rosa 执行这些自助服务任务。
3.3.1.3. 实例类型
单个可用区集群至少需要 3 个 control plane 节点、2 个基础架构节点和 2 个 worker 节点部署到一个可用区。
多个可用区集群至少需要 3 个 control plane 节点、3 个基础架构节点和 3 个 worker 节点。额外的节点必须购买到 3 的倍数才能保持适当的节点分布。
AWS 集群上的所有 Red Hat OpenShift Service 都支持最多 180 个 worker 节点。
Control plane 和基础架构节点由红帽部署和管理。不支持通过云供应商控制台关闭底层基础架构,可能会导致数据丢失。至少 3 个 control plane 节点可以处理 etcd 和 API 相关的工作负载。至少 2 个基础架构节点来处理指标、路由、Web 控制台和其他工作负载。您不能在控制和基础架构节点上运行任何工作负载。任何您要运行的工作负载都必须部署到 worker 节点上。有关要在 worker 节点上部署的 Red Hat 工作负载的更多信息,请参阅下面的 Red Hat Operator 支持部分。
每个 worker 节点上都会保留一个 vCPU 内核和 1 GiB 内存,并从可分配的资源中删除。运行底层平台所需的进程需要保留资源。这些进程包括系统守护进程,如 udev、kubelet 和容器运行时。保留的资源也考虑内核保留。
OpenShift Container Platform 核心系统(如审计日志聚合、指标集合、DNS、镜像 registry、SDN 等)可能会消耗额外的可分配资源来保持集群的稳定性和可维护性。所消耗的额外资源可能会因使用情况而异。
如需更多信息,请参阅 Kubernetes 文档。
从 Red Hat OpenShift Service on AWS 4.11 开始,默认的每个 pod PID 限制为 4096。如果要启用此 PID 限制,您必须将 Red Hat OpenShift Service on AWS 集群升级到这个版本或更新版本。在早期版本上运行的 Red Hat OpenShift Service on AWS 集群使用默认的 PID 限制 1024。
您可以使用 ROSA CLI 在 AWS 集群上配置每个 pod PID 限制。如需更多信息,请参阅"配置 PID 限制"。
3.3.1.4. AWS 实例类型
Red Hat OpenShift Service on AWS 提供了以下 worker 节点实例类型和大小:
例 3.1. 常规目的
- m5.metal (96† vCPU, 384 GiB)
- m5.xlarge (4 vCPU, 16 GiB)
- m5.2xlarge (8 vCPU, 32 GiB)
- m5.4xlarge (16 vCPU, 64 GiB)
- m5.8xlarge (32 vCPU, 128 GiB)
- m5.12xlarge (48 vCPU, 192 GiB)
- m5.16xlarge (64 vCPU, 256 GiB)
- m5.24xlarge (96 vCPU, 384 GiB)
- m5a.xlarge (4 vCPU, 16 GiB)
- m5a.2xlarge (8 vCPU, 32 GiB)
- m5a.4xlarge (16 vCPU, 64 GiB)
- m5a.8xlarge (32 vCPU, 128 GiB)
- m5a.12xlarge (48 vCPU, 192 GiB)
- m5a.16xlarge (64 vCPU, 256 GiB)
- m5a.24xlarge (96 vCPU, 384 GiB)
- m5dn.metal (96 vCPU, 384 GiB)
- m5zn.metal (48 vCPU, 192 GiB)
- m5d.metal (96† vCPU, 384 GiB)
- m5n.metal (96 vCPU, 384 GiB)
- m6a.metal (192 vCPU, 768 GiB)
- m6a.xlarge (4 vCPU, 16 GiB)
- m6a.2xlarge (8 vCPU, 32 GiB)
- m6a.4xlarge (16 vCPU, 64 GiB)
- m6a.8xlarge (32 vCPU, 128 GiB)
- m6a.12xlarge (48 vCPU, 192 GiB)
- m6a.16xlarge (64 vCPU, 256 GiB)
- m6a.24xlarge (96 vCPU, 384 GiB)
- m6a.32xlarge (128 vCPU, 512 GiB)
- m6a.48xlarge (192 vCPU, 768 GiB)
- m6i.metal (128 vCPU, 512 GiB)
- m6i.xlarge (4 vCPU, 16 GiB)
- m6i.2xlarge (8 vCPU, 32 GiB)
- m6i.4xlarge (16 vCPU, 64 GiB)
- m6i.8xlarge (32 vCPU, 128 GiB)
- m6i.12xlarge (48 vCPU, 192 GiB)
- m6i.16xlarge (64 vCPU, 256 GiB)
- m6i.24xlarge (96 vCPU,384 GiB)
- m6i.32xlarge (128 vCPU, 512 GiB)
- m6id.xlarge (4 vCPU, 16 GiB)
- m6id.2xlarge (8 vCPU, 32 GiB)
- m6id.4xlarge (16 vCPU, 64 GiB)
- m6id.8xlarge (32 vCPU, 128 GiB)
- m6id.12xlarge (48 vCPU, 192 GiB)
- m6id.16xlarge (64 vCPU, 256 GiB)
- m6id.24xlarge (96 vCPU, 384 GiB)
- m6id.32xlarge (128 vCPU, 512 GiB)
- m6id.metal (128 vCPU, 512 GiB)
- m6idn.xlarge (4 vCPU, 16 GiB)
- m6idn.2xlarge (8 vCPU, 32 GiB)
- m6idn.4xlarge (16 vCPU, 64 GiB)
- m6idn.8xlarge (32 vCPU, 128 GiB)
- m6idn.12xlarge (48 vCPU, 192 GiB)
- m6idn.16xlarge (64 vCPU, 256 GiB)
- m6idn.24xlarge (96 vCPU, 384 GiB)
- m6idn.32xlarge (128 vCPU, 512 GiB)
- m6in.xlarge (4 vCPU, 16 GiB)
- m6in.2xlarge (8 vCPU, 32 GiB)
- m6in.4xlarge (16 vCPU, 64 GiB)
- m6in.8xlarge (32 vCPU, 128 GiB)
- m6in.12xlarge (48 vCPU, 192 GiB)
- m6in.16xlarge (64 vCPU, 256 GiB)
- m6in.24xlarge (96 vCPU, 384 GiB)
- m6in.32xlarge (128 vCPU, 512 GiB)
- m7a.xlarge (4 vCPU, 16 GiB)
- m7a.2xlarge (8 vCPU, 32 GiB)
- m7a.4xlarge (16 vCPU, 64 GiB)
- m7a.8xlarge (32 vCPU, 128 GiB)
- m7a.12xlarge (48 vCPU, 192 GiB)
- m7a.16xlarge (64 vCPU, 256 GiB)
- m7a.24xlarge (96 vCPU, 384 GiB)
- m7a.32xlarge (128 vCPU, 512 GiB)
- m7a.48xlarge (192 vCPU, 768 GiB)
- m7a.metal-48xl (192 vCPU, 768 GiB)
- m7i-flex.2xlarge (8 vCPU, 32 GiB)
- m7i-flex.4xlarge (16 vCPU, 64 GiB)
- m7i-flex.8xlarge (32 vCPU, 128 GiB)
- m7i-flex.xlarge (4 vCPU, 16 GiB)
- m7i.xlarge (4 vCPU, 16 GiB)
- m7i.2xlarge (8 vCPU, 32 GiB)
- m7i.4xlarge (16 vCPU, 64 GiB)
- m7i.8xlarge (32 vCPU, 128 GiB)
- m7i.12xlarge (48 vCPU, 192 GiB)
- m7i.16xlarge (64 vCPU, 256 GiB)
- m7i.24xlarge (96 vCPU, 384 GiB)
- m7i.48xlarge (192 vCPU, 768 GiB)
- m7i.metal-24xl (96 vCPU, 384 GiB)
- m7i.metal-48xl (192 vCPU, 768 GiB)
这些实例类型在 48 个物理内核中提供 96 个逻辑处理器。它们在两个物理 Intel 插槽的单台服务器上运行。
例 3.2. Burstable 常规目的
- t3.xlarge (4 vCPU, 16 GiB)
- t3.2xlarge (8 vCPU, 32 GiB)
- t3a.xlarge (4 vCPU, 16 GiB)
- t3a.2xlarge (8 vCPU, 32 GiB)
例 3.3. 内存密集型
- x1.16xlarge (64 vCPU, 976 GiB)
- x1.32xlarge (128 vCPU, 1,952 GiB)
- x1e.xlarge (4 vCPU, 122 GiB)
- x1e.2xlarge (8 vCPU, 244 GiB)
- x1e.4xlarge (16 vCPU, 488 GiB)
- x1e.8xlarge (32 vCPU, 976 GiB)
- x1e.16xlarge (64 vCPU, 1,952 GiB)
- x1e.32xlarge (128 vCPU, 3,904 GiB)
- x2idn.16xlarge (64 vCPU, 1,024 GiB)
- x2idn.24xlarge (96 vCPU, 1,536 GiB)
- x2idn.32xlarge (128 vCPU, 2,048 GiB)
- x2iedn.xlarge (4 vCPU, 128 GiB)
- x2iedn.2xlarge (8 vCPU, 256 GiB)
- x2iedn.4xlarge (16 vCPU, 512 GiB)
- x2iedn.8xlarge (32 vCPU, 1,024 GiB)
- x2iedn.16xlarge (64 vCPU, 2,048 GiB)
- x2iedn.24xlarge (96 vCPU, 3,072 GiB)
- x2iedn.32xlarge (128 vCPU, 4,096 GiB)
- x2iezn.metal (48 vCPU, 1,536 GiB)
- x2iezn.2xlarge (8 vCPU, 256 GiB)
- x2iezn.4xlarge (16vCPU, 512 GiB)
- x2iezn.6xlarge (24vCPU, 768 GiB)
- x2iezn.8xlarge (32vCPU, 1,024 GiB)
- x2iezn.12xlarge (48vCPU, 1,536 GiB)
- x2idn.metal (128vCPU, 2,048 GiB)
- x2iedn.metal (128vCPU, 4,096 GiB)
例 3.4. 内存优化
- r4.xlarge (4 vCPU, 30.5 GiB)
- r4.2xlarge (8 vCPU, 61 GiB)
- r4.4xlarge (16 vCPU, 122 GiB)
- r4.8xlarge (32 vCPU, 244 GiB)
- r4.16xlarge (64 vCPU, 488 GiB)
- r5.metal (96† vCPU, 768 GiB)
- r5.xlarge (4 vCPU, 32 GiB)
- r5.2xlarge (8 vCPU, 64 GiB)
- r5.4xlarge (16 vCPU, 128 GiB)
- r5.8xlarge (32 vCPU, 256 GiB)
- r5.12xlarge (48 vCPU, 384 GiB)
- r5.16xlarge (64 vCPU, 512 GiB)
- r5.24xlarge (96 vCPU, 768 GiB)
- r5a.xlarge (4 vCPU, 32 GiB)
- r5a.2xlarge (8 vCPU, 64 GiB)
- r5a.4xlarge (16 vCPU, 128 GiB)
- r5a.8xlarge (32 vCPU, 256 GiB)
- r5a.12xlarge (48 vCPU, 384 GiB)
- r5a.16xlarge (64 vCPU, 512 GiB)
- r5a.24xlarge (96 vCPU, 768 GiB)
- r5ad.xlarge (4 vCPU, 32 GiB)
- r5ad.2xlarge (8 vCPU, 64 GiB)
- r5ad.4xlarge (16 vCPU, 128 GiB)
- r5ad.8xlarge (32 vCPU, 256 GiB)
- r5ad.12xlarge (48 vCPU, 384 GiB)
- r5ad.16xlarge (64 vCPU, 512 GiB)
- r5ad.24xlarge (96 vCPU, 768 GiB)
- r5b.metal (96 768 GiB)
- r5b.xlarge (4 vCPU, 32 GiB)
- r5b.2xlarge (8 vCPU, 364 GiB)
- r5b.4xlarge (16 vCPU, 3,128 GiB)
- r5b.8xlarge (32 vCPU, 3,256 GiB)
- r5b.12xlarge (48 vCPU, 3,384 GiB)
- r5b.16xlarge (64 vCPU, 3,512 GiB)
- r5b.24xlarge (96 vCPU, 3,768 GiB)
- r5d.metal (96† vCPU, 768 GiB)
- r5d.xlarge (4 vCPU, 32 GiB)
- r5d.2xlarge (8 vCPU, 64 GiB)
- r5d.4xlarge (16 vCPU, 128 GiB)
- r5d.8xlarge (32 vCPU, 256 GiB)
- r5d.12xlarge (48 vCPU, 384 GiB)
- r5d.16xlarge (64 vCPU, 512 GiB)
- r5d.24xlarge (96 vCPU, 768 GiB)
- r5n.metal (96 vCPU, 768 GiB)
- r5n.xlarge (4 vCPU, 32 GiB)
- r5n.2xlarge (8 vCPU, 64 GiB)
- r5n.4xlarge (16 vCPU, 128 GiB)
- r5n.8xlarge (32 vCPU, 256 GiB)
- r5n.12xlarge (48 vCPU, 384 GiB)
- r5n.16xlarge (64 vCPU, 512 GiB)
- r5n.24xlarge (96 vCPU, 768 GiB)
- r5dn.metal (96 vCPU, 768 GiB)
- r5dn.xlarge (4 vCPU, 32 GiB)
- r5dn.2xlarge (8 vCPU, 64 GiB)
- r5dn.4xlarge (16 vCPU, 128 GiB)
- r5dn.8xlarge (32 vCPU, 256 GiB)
- r5dn.12xlarge (48 vCPU, 384 GiB)
- r5dn.16xlarge (64 vCPU, 512 GiB)
- r5dn.24xlarge (96 vCPU, 768 GiB)
- r6a.xlarge (4 vCPU, 32 GiB)
- r6a.2xlarge (8 vCPU, 64 GiB)
- r6a.4xlarge (16 vCPU, 128 GiB)
- r6a.8xlarge (32 vCPU, 256 GiB)
- r6a.12xlarge (48 vCPU, 384 GiB)
- r6a.16xlarge (64 vCPU, 512 GiB)
- r6a.24xlarge (96 vCPU, 768 GiB)
- r6a.32xlarge (128 vCPU, 1,024 GiB)
- r6a.48xlarge (192 vCPU, 1,536 GiB)
- r6i.metal (128 vCPU, 1,024 GiB)
- r6i.xlarge (4 vCPU, 32 GiB)
- r6i.2xlarge (8 vCPU, 64 GiB)
- r6i.4xlarge (16 vCPU, 128 GiB)
- r6i.8xlarge (32 vCPU,256 GiB)
- r6i.12xlarge (48 vCPU, 384 GiB)
- r6i.16xlarge (64 vCPU, 512 GiB)
- r6i.24xlarge (96 vCPU, 768 GiB)
- r6i.32xlarge (128 vCPU,1,024 GiB)
- r6id.metal (128 vCPU, 1,024 GiB)
- r6id.xlarge (4 vCPU, 32 GiB)
- r6id.2xlarge (8 vCPU, 64 GiB)
- r6id.4xlarge (16 vCPU, 128 GiB)
- r6id.8xlarge (32 vCPU, 256 GiB)
- r6id.12xlarge (48 vCPU, 384 GiB)
- r6id.16xlarge (64 vCPU, 512 GiB)
- r6id.24xlarge (96 vCPU, 768 GiB)
- r6id.32xlarge (128 vCPU, 1,024 GiB)
- r6idn.12xlarge (48 vCPU, 384 GiB)
- r6idn.16xlarge (64 vCPU, 512 GiB)
- r6idn.24xlarge (96 vCPU, 768 GiB)
- r6idn.2xlarge (8 vCPU, 64 GiB)
- r6idn.32xlarge (128 vCPU, 1,024 GiB)
- r6idn.4xlarge (16 vCPU, 128 GiB)
- r6idn.8xlarge (32 vCPU, 256 GiB)
- r6idn.xlarge (4 vCPU, 32 GiB)
- r6in.12xlarge (48 vCPU, 384 GiB)
- r6in.16xlarge (64 vCPU, 512 GiB)
- r6in.24xlarge (96 vCPU, 768 GiB)
- r6in.2xlarge (8 vCPU, 64 GiB)
- r6in.32xlarge (128 vCPU, 1,024 GiB)
- r6in.4xlarge (16 vCPU, 128 GiB)
- r6in.8xlarge (32 vCPU, 256 GiB)
- r6in.xlarge (4 vCPU, 32 GiB)
- r7iz.xlarge (4 vCPU, 32 GiB)
- r7iz.2xlarge (8 vCPU, 64 GiB)
- r7iz.4xlarge (16 vCPU, 128 GiB)
- r7iz.8xlarge (32 vCPU, 256 GiB)
- r7iz.12xlarge (48 vCPU, 384 GiB)
- r7iz.16xlarge (64 vCPU, 512 GiB)
- r7iz.32xlarge (128 vCPU, 1024 GiB)
- r7iz.metal-16xl (64 vCPU, 512 GiB)
- r7iz.metal-32xl (128 vCPU, 1,024 GiB)
- z1d.metal (48 vCPU, 384 GiB)
- z1d.xlarge (4 vCPU, 32 GiB)
- z1d.2xlarge (8 vCPU, 64 GiB)
- z1d.3xlarge (12 vCPU, 96 GiB)
- z1d.6xlarge (24 vCPU, 192 GiB)
- z1d.12xlarge (48 vCPU, 384 GiB)
这些实例类型在 48 个物理内核中提供 96 个逻辑处理器。它们在两个物理 Intel 插槽的单台服务器上运行。
这个实例类型在 24 个物理内核中提供 48 个逻辑处理器。
例 3.5. 加速计算
- p3.2xlarge (8 vCPU, 61 GiB)
- p3.8xlarge (32 vCPU, 244 GiB)
- p3.16xlarge (64 vCPU, 488 GiB)
- p3dn.24xlarge (96 vCPU, 768 GiB)
- p4d.24xlarge (96 vCPU, 1,152 GiB)
- p4de.24xlarge (96 vCPU, 1,152 GiB)
- p5.48xlarge (192 vCPU, 2,048 GiB)
- g4dn.xlarge (4 vCPU, 16 GiB)
- g4dn.2xlarge (8 vCPU, 32 GiB)
- g4dn.4xlarge (16 vCPU, 64 GiB)
- g4dn.8xlarge (32 vCPU, 128 GiB)
- g4dn.12xlarge (48 vCPU, 192 GiB)
- g4dn.16xlarge (64 vCPU, 256 GiB)
- g4dn.metal (96 vCPU, 384 GiB)
- g5.xlarge (4 vCPU, 16 GiB)
- g5.2xlarge (8 vCPU, 32 GiB)
- g5.4xlarge (16 vCPU, 64 GiB)
- g5.8xlarge (32 vCPU, 128 GiB)
- g5.16xlarge (64 vCPU, 256 GiB)
- g5.12xlarge (48 vCPU, 192 GiB)
- g5.24xlarge (96 vCPU, 384 GiB)
- g5.48xlarge (192 vCPU, 768 GiB)
- dl1.24xlarge (96 vCPU, 768 GiB)
† 特定于 Intel;不被 Nvidia 支持
对 GPU 实例类型软件堆栈的支持由 AWS 提供。确保您的 AWS 服务配额可以容纳所需的 GPU 实例类型。
例 3.6. 计算优化
- c5.metal (96 vCPU, 192 GiB)
- c5.xlarge (4 vCPU, 8 GiB)
- c5.2xlarge (8 vCPU, 16 GiB)
- c5.4xlarge (16 vCPU, 32 GiB)
- c5.9xlarge (36 vCPU, 72 GiB)
- c5.12xlarge (48 vCPU, 96 GiB)
- c5.18xlarge (72 vCPU, 144 GiB)
- c5.24xlarge (96 vCPU, 192 GiB)
- c5d.metal (96 vCPU, 192 GiB)
- c5d.xlarge (4 vCPU, 8 GiB)
- c5d.2xlarge (8 vCPU, 16 GiB)
- c5d.4xlarge (16 vCPU, 32 GiB)
- c5d.9xlarge (36 vCPU, 72 GiB)
- c5d.12xlarge (48 vCPU, 96 GiB)
- c5d.18xlarge (72 vCPU, 144 GiB)
- c5d.24xlarge (96 vCPU, 192 GiB)
- c5a.xlarge (4 vCPU, 8 GiB)
- c5a.2xlarge (8 vCPU, 16 GiB)
- c5a.4xlarge (16 vCPU, 32 GiB)
- c5a.8xlarge (32 vCPU, 64 GiB)
- c5a.12xlarge (48 vCPU, 96 GiB)
- c5a.16xlarge (64 vCPU, 128 GiB)
- c5a.24xlarge (96 vCPU, 192 GiB)
- c5ad.xlarge (4 vCPU, 8 GiB)
- c5ad.2xlarge (8 vCPU, 16 GiB)
- c5ad.4xlarge (16 vCPU, 32 GiB)
- c5ad.8xlarge (32 vCPU, 64 GiB)
- c5ad.12xlarge (48 vCPU, 96 GiB)
- c5ad.16xlarge (64 vCPU, 128 GiB)
- c5ad.24xlarge (96 vCPU, 192 GiB)
- c5n.metal (72 vCPU, 192 GiB)
- c5n.xlarge (4 vCPU, 10.5 GiB)
- c5n.2xlarge (8 vCPU, 21 GiB)
- c5n.4xlarge (16 vCPU, 42 GiB)
- c5n.9xlarge (36 vCPU, 96 GiB)
- c5n.18xlarge (72 vCPU, 192 GiB)
- c6a.xlarge (4 vCPU, 8 GiB)
- c6a.2xlarge (8 vCPU, 16 GiB)
- c6a.4xlarge (16 vCPU, 32 GiB)
- c6a.8xlarge (32 vCPU, 64 GiB)
- c6a.12xlarge (48 vCPU, 96 GiB)
- c6a.16xlarge (64 vCPU, 128 GiB)
- c6a.24xlarge (96 vCPU, 192 GiB)
- c6a.32xlarge (128 vCPU, 256 GiB)
- c6a.48xlarge (192 vCPU, 384 GiB)
- c6i.metal (128 vCPU, 256 GiB)
- c6i.xlarge (4 vCPU, 8 GiB)
- c6i.2xlarge (8 vCPU, 16 GiB)
- c6i.4xlarge (16 vCPU, 32 GiB)
- c6i.8xlarge (32 vCPU, 64 GiB)
- c6i.12xlarge (48 vCPU,96 GiB)
- c6i.16xlarge (64 vCPU, 128 GiB)
- c6i.24xlarge (96 vCPU, 192 GiB)
- c6i.32xlarge (128 vCPU, 256 GiB)
- c6id.metal (128 vCPU, 256 GiB)
- c6id.xlarge (4 vCPU, 8 GiB)
- c6id.2xlarge (8 vCPU, 16 GiB)
- c6id.4xlarge (16 vCPU, 32 GiB)
- c6id.8xlarge (32 vCPU, 64 GiB)
- c6id.12xlarge (48 vCPU, 96 GiB)
- c6id.16xlarge (64 vCPU, 128 GiB)
- c6id.24xlarge (96 vCPU, 192 GiB)
- c6id.32xlarge (128 vCPU, 256 GiB)
- c6in.12xlarge (48 vCPU, 96 GiB)
- c6in.16xlarge (64 vCPU, 128 GiB)
- c6in.24xlarge (96 vCPU, 192 GiB)
- c6in.2xlarge (8 vCPU, 16 GiB)
- c6in.32xlarge (128 vCPU, 256 GiB)
- c6in.4xlarge (16 vCPU, 32 GiB)
- c6in.8xlarge (32 vCPU, 64 GiB)
- c6in.xlarge (4 vCPU, 8 GiB)
- m5zn.12xlarge (48 vCPU, 192 GiB)
- m5zn.2xlarge (8 vCPU, 32 GiB)
- m5zn.3xlarge (16 vCPU, 48 GiB)
- m5zn.6xlarge (32 vCPU, 96 GiB)
- m5zn.xlarge (4 vCPU, 16 GiB)
例 3.7. 存储优化
- c5ad.12xlarge (48 vCPU, 96 GiB)
- c5ad.16xlarge (64 vCPU, 128 GiB)
- c5ad.24xlarge (96 vCPU, 192 GiB)
- c5ad.2xlarge (8 vCPU, 16 GiB)
- c5ad.4xlarge (16 vCPU, 32 GiB)
- c5ad.8xlarge (32 vCPU, 64 GiB)
- c5ad.xlarge (4 vCPU, 8 GiB)
- i3.metal (72† vCPU, 512 GiB)
- i3.xlarge (4 vCPU, 30.5 GiB)
- i3.2xlarge (8 vCPU, 61 GiB)
- i3.4xlarge (16 vCPU, 122 GiB)
- i3.8xlarge (32 vCPU, 244 GiB)
- i3.16xlarge (64 vCPU, 488 GiB)
- i3en.metal (96 vCPU, 768 GiB)
- i3en.xlarge (4 vCPU, 32 GiB)
- i3en.2xlarge (8 vCPU, 64 GiB)
- i3en.3xlarge (12 vCPU, 96 GiB)
- i3en.6xlarge (24 vCPU, 192 GiB)
- i3en.12xlarge (48 vCPU, 384 GiB)
- i3en.24xlarge (96 vCPU, 768 GiB)
- i4i.xlarge (4 vCPU, 32 GiB)
- i4i.2xlarge (8 vCPU, 64 GiB)
- i4i.4xlarge (16 vCPU, 128 GiB)
- i4i.8xlarge (32 vCPU, 256 GiB)
- i4i.12xlarge (48 vCPU, 384 GiB)
- i4i.16xlarge (64 vCPU, 512 GiB)
- i4i.24xlarge (96 vCPU, 768 GiB)
- i4i.32xlarge (128 vCPU, 1,024 GiB)
- i4i.metal (128 vCPU, 1,024 GiB)
- m5ad.xlarge (4 vCPU, 16 GiB)
- m5ad.2xlarge (8 vCPU, 32 GiB)
- m5ad.4xlarge (16 vCPU, 64 GiB)
- m5ad.8xlarge (32 vCPU, 128 GiB)
- m5ad.12xlarge (48 vCPU, 192 GiB)
- m5ad.16xlarge (64 vCPU, 256 GiB)
- m5ad.24xlarge (96 vCPU, 384 GiB)
- m5d.xlarge (4 vCPU, 16 GiB)
- m5d.2xlarge (8 vCPU, 32 GiB)
- m5d.4xlarge (16 vCPU, 64 GiB)
- m5d.8xlarge (32 vCPU, 28 GiB)
- m5d.12xlarge (48 vCPU, 192 GiB)
- m5d.16xlarge (64 vCPU, 256 GiB)
- m5d.24xlarge (96 vCPU, 384 GiB)
这个实例类型在 36 个物理内核中提供 72 个逻辑处理器。
虚拟实例类型初始化速度快于 ".metal" 实例类型。
例 3.8. 高内存
- U-3tb1.56xlarge (224 vCPU, 3,072 GiB)
- U-6tb1.56xlarge (224 vCPU, 6,144 GiB)
- U-6tb1.112xlarge (448 vCPU, 6,144 GiB)
- u-6tb1.metal (448 vCPU, 6,144 GiB)
- U-9tb1.112xlarge (448 vCPU, 9,216 GiB)
- U-9tb1.metal (448 vCPU, 9,216 GiB)
- U-12tb1.112xlarge (448 vCPU, 12,288 GiB)
- U-12tb1.metal (448 vCPU, 12,288 GiB)
- u-18tb1.metal (448 vCPU, 18,432 GiB)
- U-24tb1.metal (448 vCPU, 24,576 GiB)
- U-24tb1.112xlarge (448 vCPU, 24,576 GiB)
例 3.9. 网络优化
- c5n.xlarge (4 vCPU, 10.5 GiB)
- c5n.2xlarge (8 vCPU, 21 GiB)
- c5n.4xlarge (16 vCPU, 42 GiB)
- c5n.9xlarge (36 vCPU, 96 GiB)
- c5n.18xlarge (72 vCPU, 192 GiB)
- m5dn.xlarge (4 vCPU, 16 GiB)
- m5dn.2xlarge (8 vCPU, 32 GiB)
- m5dn.4xlarge (16 vCPU, 64 GiB)
- m5dn.8xlarge (32 vCPU, 128 GiB)
- m5dn.12xlarge (48 vCPU, 192 GiB)
- m5dn.16xlarge (64 vCPU, 256 GiB)
- m5dn.24xlarge (96 vCPU, 384 GiB)
- m5n.12xlarge (48 vCPU, 192 GiB)
- m5n.16xlarge (64 vCPU, 256 GiB)
- m5n.24xlarge (96 vCPU, 384 GiB)
- m5n.xlarge (4 vCPU, 16 GiB)
- m5n.2xlarge (8 vCPU, 32 GiB)
- m5n.4xlarge (16 vCPU, 64 GiB)
- m5n.8xlarge (32 vCPU, 128 GiB)
其它资源
3.3.1.5. 地区和可用性区域
以下 AWS 区域目前可用于 Red Hat OpenShift 4,并受 Red Hat OpenShift Service on AWS 的支持。
中国的区域不受支持,无论它们对 OpenShift 4 的支持是什么。
对于 GovCloud (US)区域,您必须提交 Red Hat OpenShift Service on AWS (ROSA) FedRAMP 的访问请求。
GovCloud (US)区域只在 ROSA Classic 集群中被支持。
例 3.10. AWS 区域
- us-east-1(北弗吉尼亚)
- us-east-2(俄亥俄)
- us-west-1(北加利福尼亚)
- us-west-2(俄勒冈)
- af-south-1 (Cape Town, AWS opt-in required)
- ap-east-1 (Hong Kong, AWS opt-in required)
- ap-south-2 (Hyderabad, AWS opt-in required)
- ap-southeast-3(Jakarta, AWS opt-in required)
- ap-southeast-4 (Melbourne, AWS opt-in required)
- ap-south-1(孟买)
- ap-northeast-3 (Osaka)
- ap-northeast-2 (首尔)
- ap-southeast-1(新加坡)
- ap-southeast-2(悉尼)
- ap-northeast-1(东京)
- ca-central-1 (Central Canada)
- eu-central-1(法拉克福)
- eu-west-1(爱尔兰)
- eu-west-2(伦敦)
- eu-south-1 (Milan、AWS opt-in required)
- eu-west-3(巴黎)
- me-south-1 (Bahrain, AWS opt-in required)
- me-central-1 (UAE, AWS opt-in required)
- sa-east-1 (圣保罗)
- us-gov-east-1 (AWS GovCloud - US-East)
- us-gov-west-1 (AWS GovCloud - US-West)
多个可用区集群只能部署到至少 3 个可用区的区域。如需更多信息,请参阅 AWS 文档中的 Regions 和 Availability Zones 部分。
AWS 集群上的每个新的 Red Hat OpenShift Service 都会在一个区域创建或已存在的虚拟私有云 (VPC) 内安装,可以选择部署到单一可用区( Single-AZ) 或多可用区 (Multi-AZ)。这提供了集群级别的网络和资源隔离,并启用 cloud-provider VPC 设置,如 VPN 连接和 VPC Peering。持久性卷(PV)由 Amazon Elastic Block Storage (Amazon EBS)支持,并特定于置备的可用区。在将关联的 pod 资源分配给特定的可用区前,持久性卷声明(PVC)不会绑定到卷,以防止不可调度的 pod。特定于可用区的资源只可供同一可用区中的资源使用。
部署集群后,无法更改一个或多个可用区的区域和选择。
3.3.1.6. 本地区域
Red Hat OpenShift Service on AWS 支持使用 AWS Local Zones,这些区域会满足集中式可用区,客户可以放置对延迟敏感的应用程序工作负载。本地区域是有其自身互联网连接的 AWS 区域扩展。有关 AWS 区域的更多信息,请参阅 AWS 文档 Local Zones 的工作原理。
有关启用 AWS 本地区域并将 Local Zone 添加到机器池的步骤,请参阅 为机器池配置区域。
3.3.1.7. 服务等级协议 (SLA)
服务本身的任何 SLA 在 Red Hat Enterprise Agreement 附录 4 (在线订阅服务)的附录 4 中定义。
3.3.1.8. 有限支持状态
当集群过渡到 有限支持 状态时,红帽不再主动监控集群,SLA 将不再适用,并拒绝对 SLA 的请求。这并不意味着您不再有产品支持。在某些情况下,如果您修复了违反因素,集群可以返回完全支持的状态。但是,在其他情况下,您可能需要删除并重新创建集群。
集群可能会因为许多原因移至有限支持状态,包括以下情况:
- 如果您没有在生命周期结束前将集群升级到支持的版本
红帽不会在其结束日期后为版本提供任何运行时或 SLA 保证。要继续获得支持,请在生命周期结束前将集群升级到受支持的版本。如果您没有在生命周期结束前升级集群,集群会过渡到有限支持状态,直到升级到一个支持版本。
红帽提供了合理的商业支持,从不受支持的版本升级到受支持的版本。但是,如果支持的升级路径不再可用,您可能需要创建新集群并迁移您的工作负载。
- 如果您在 AWS 组件或替换任何由红帽安装和管理的其他组件上删除或替换任何原生 Red Hat OpenShift Service。
- 如果使用了集群管理员权限,红帽不负责您的任何或授权用户的操作,包括影响基础架构服务、服务可用性或数据丢失的人。如果红帽检测到此类操作,集群可能会过渡到有限支持状态。红帽通知您的状态变化,您应该恢复操作或创建支持问题单来探索可能需要删除和重新创建集群的补救步骤。
如果您对可能造成集群移至有限支持状态或需要进一步帮助的特定操作有疑问,请打开支持票据。
3.3.1.9. 支持
AWS 上的 Red Hat OpenShift Service 包括红帽高级支持,可以使用红帽客户门户网站访问它。
如需支持响应时间,请参阅 AWS SLA 上的 Red Hat OpenShift Service。
AWS 支持取决于客户对 AWS 的现有支持合同。
3.3.2. 日志记录
Red Hat OpenShift Service on AW 为 Amazon (AWS) CloudWatch 提供可选集成日志转发。
3.3.2.1. 集群日志记录
如果启用了集成,可以通过 AWS CloudWatch 集群审计日志。如果没有启用集成,您可以通过打开支持问题单来请求审计日志。
3.3.2.2. 应用程序日志记录
发送到 STDOUT 的应用程序日志由 Fluentd 收集,并通过集群日志记录堆栈转发到 AWS CloudWatch (如果已安装)。
3.3.3. 监控
本节提供有关 Red Hat OpenShift Service on AWS 监控的服务定义信息。
3.3.3.1. 集群指标
Red Hat OpenShift Service on AWS 集群上带有集成 Prometheus 堆栈,用于集群监控,包括 CPU、内存和基于网络的指标。这可以通过 Web 控制台访问。这些指标还允许由 Red Hat OpenShift Service on AWS 用户提供的 CPU 或内存指标进行 pod 横向自动扩展。
3.3.3.2. 集群状态通知
红帽通过 OpenShift Cluster Manager 中的集群仪表板(OpenShift Cluster Manager)和电子邮件通知(发送到最初部署集群的联系人)以及任何由客户指定的任何附加联系人来传达 Red Hat OpenShift Service 的健康和状态。
3.3.4. 网络
本节提供有关 Red Hat OpenShift Service on AWS 网络服务定义信息。
3.3.4.1. 应用程序自定义域
要将自定义主机名用于路由,您必须通过创建规范名称 (CNAME) 记录来更新 DNS 供应商。您的 CNAME 记录应当将 OpenShift 规范路由器主机名映射到您的自定义域。OpenShift 规范路由器主机名在创建路由后在 Route Details 页面中显示。或者,也可以创建通配符 CNAME 记录,以将给定主机名的所有子域路由到集群的路由器。
从 Red Hat OpenShift Service on AWS 4.14 开始,自定义域 Operator 已被弃用。要在 AWS 4.14 或更高版本的 Red Hat OpenShift Service 中管理 Ingress,请使用 Ingress Operator。对于 Red Hat OpenShift Service on AWS 4.13 及更早的版本,这个功能不会改变。
3.3.4.2. 域验证证书
Red Hat OpenShift Service on AWS 包括集群中内部和外部服务所需的 TLS 安全证书。对于外部路由,每个集群中都提供并安装了两个不同的 TLS 通配符证书:一个用于 Web 控制台和路由默认主机名,另一个用于 API 端点。我们来加密是证书使用的证书颁发机构。集群内路由(如内部 API 端点)使用集群内置证书颁发机构签名的 TLS 证书,并需要每个 pod 中的 CA 捆绑包信任 TLS 证书。
3.3.4.3. 构建的自定义证书颁发机构
Red Hat OpenShift Service on AWS 支持在从镜像 registry 中拉取镜像时,使用自定义证书颁发机构来被构建信任。
3.3.4.4. 负载均衡器
Red Hat OpenShift Service on AWS 使用最多五个不同的负载均衡器:
- 集群内部的 control plane 负载均衡器,用于平衡内部集群通信的流量。
- 用于访问 OpenShift 和 Kubernetes API 的外部 control plane 负载均衡器。此负载均衡器可以在 OpenShift Cluster Manager 中被禁用。如果禁用了这个负载均衡器,红帽会重新配置 API DNS 以指向内部 control plane 负载均衡器。
- 为红帽保留由红帽保留的外部 control plane 负载均衡器。访问是严格控制的,只有来自白名单的堡垒主机的通信才可以进行。
-
默认外部路由器/入口负载均衡器,它是默认应用程序负载均衡器,由 URL 中的
apps表示。默认负载均衡器可以在 OpenShift Cluster Manager 中配置,以便可以通过互联网公开访问,或者只有通过已存在的私有连接来私有访问。集群上的所有应用程序路由都会在这个默认路由器负载均衡器上公开,包括日志记录 UI、指标 API 和 registry 等集群服务。 -
可选:一个作为二级应用程序负载均衡器的二级路由器/入口负载均衡器,由 URL 中的
apps2表示。辅助负载均衡器可以在 OpenShift Cluster Manager 中配置,以便可以通过互联网公开访问,或者只有通过已存在的私有连接来私有访问。如果为这个路由器负载均衡器配置了标签匹配,则只有与此标签匹配的应用程序路由在此路由器负载均衡器上公开;否则,所有应用程序路由也会在此路由器负载均衡器上公开。 - 可选:服务的负载均衡器。为服务启用非 HTTP/SNI 流量和非标准端口。这些负载均衡器可以映射到在 AWS 上运行的服务,以启用高级入口功能,如非 HTTP/SNI 流量或使用非标准端口。每个 AWS 帐户都有一个配额,用于限制每个集群中可以使用的 Classic Load Balancer 数量。
3.3.4.5. 集群入口
项目管理员可以为许多不同的用途添加路由注解,包括通过 IP 允许列表进行入口控制。
也可以使用 NetworkPolicy 对象来更改 Ingress 策略,这利用了 ovs-networkpolicy 插件。这允许对入口网络策略进行完全控制到 pod 级别,包括在同一集群中的 pod 间,甚至在同一命名空间中。
所有集群入口流量都将通过定义的负载均衡器。云配置阻止对所有节点的直接访问。
3.3.4.6. 集群出口
通过 EgressNetworkPolicy 对象进行 Pod 出口流量控制可用于防止或限制 Red Hat OpenShift Service on AWS 中的出站流量。
需要来自 control plane 和基础架构节点的公共出站流量,并需要维护集群镜像安全性和集群监控。这要求 0.0.0.0/0 路由仅属于互联网网关;无法通过专用连接路由此范围。
OpenShift 4 集群使用 NAT 网关为离开集群的任何公共出站流量提供一个公共静态 IP。每个可用区都部署到接收不同的 NAT 网关,因此集群出口流量最多可存在 3 个唯一的静态 IP 地址。在集群中或未离开公共互联网的任何流量都不会通过 NAT 网关,并且具有属于源自于流量的来源 IP 地址的源 IP 地址。节点 IP 地址是动态的;因此,在访问私有资源时,客户不得依赖白名单各个 IP 地址。
客户可以通过在群集上运行 pod 并查询外部服务来确定其公共静态 IP 地址。例如:
$ oc run ip-lookup --image=busybox -i -t --restart=Never --rm -- /bin/sh -c "/bin/nslookup -type=a myip.opendns.com resolver1.opendns.com | grep -E 'Address: [0-9.]+'"
3.3.4.7. 云网络配置
Red Hat OpenShift Service on AWS 允许通过 AWS 管理的技术配置私有网络连接,例如:
- VPN 连接
- VPC 对等
- 传输网关
- 直接连接
红帽站点可靠性工程师(SRE)不监控私有网络连接。监控这些连接是客户的职责。
3.3.4.8. DNS 转发
对于具有私有云网络配置的 Red Hat OpenShift Service on AWS 集群的客户可以指定该专用连接上可用的内部 DNS 服务器,该服务器应查询用于明确提供的域。
3.3.4.9. 网络验证
当您将 Red Hat OpenShift Service on AWS 集群部署到现有的 Virtual Private Cloud (VPC)中,或使用对集群的新子网创建额外的机器池时,网络验证检查会自动运行。检查会验证您的网络配置并突出显示错误,允许您在部署前解决配置问题。
您还可以手动运行网络验证检查以验证现有集群的配置。
其他资源
- 有关网络验证检查的更多信息,请参阅 网络验证。
3.3.5. 存储
本节提供有关 Red Hat OpenShift Service on AWS 存储服务定义信息。
3.3.5.1. Encrypted-at-rest OS 和节点存储
control plane、基础架构和 worker 节点使用 encrypted-at-rest Amazon Elastic Block Store (Amazon EBS)存储。
3.3.5.2. encrypted-at-rest PV
默认情况下,用于 PV 的 EBS 卷是 encrypted-at-rest。
3.3.5.3. 块存储 (RWO)
持久性卷(PV)由 Amazon Elastic Block Store (Amazon EBS)支持,它们是 Read-Write-Once。
PV 每次只能附加到一个节点,并特定于置备的可用区。但是,PV 可以附加到可用区中的任何节点。
每个云供应商都有自己的限制,用于把 PV 附加到单一节点。详情请参阅 AWS 实例类型限值。
3.3.5.4. 共享存储 (RWX)
AWS CSI Driver 可用于为 Red Hat OpenShift Service on AWS 提供 RWX 支持。提供了一个 community Operator,以简化设置。详情请参阅 OpenShift Dedicated 和 Red Hat OpenShift Service on AWS 的 Amazon Elastic File Storage 设置。
3.3.6. 平台
本节提供有关 Red Hat OpenShift Service on AWS (ROSA)平台的定义信息。
3.3.6.1. 集群备份策略
红帽不提供带有 STS 的 ROSA 集群的备份方法,这是默认设置。客户对应用程序和应用程序数据进行备份计划至关重要。下表只适用于使用 IAM 用户凭证创建的集群。
应用程序和应用程序数据备份不是 Red Hat OpenShift Service 的一部分。下表概述集群备份策略。
| 组件 | 快照频率 | 保留 | 备注 |
|---|---|---|---|
| 完整对象存储备份 | 每日 | 7 天 | 这是所有 Kubernetes 对象(如 etcd)的完整备份。在这个备份调度中没有备份持久性卷 (PV)。 |
| 每周 | 30 天 | ||
| 完整对象存储备份 | 每小时 | 24 小时 | 这是所有 Kubernetes 对象(如 etcd)的完整备份。这个备份调度中没有备份 PV。 |
| 节点根卷 | Never | N/A | 节点被视为是短期的。节点的 root 卷应当不重要。 |
3.3.6.2. 自动缩放
Red Hat OpenShift Service on AWS 提供了节点自动扩展功能。您可以配置自动扩展选项,以自动扩展集群中的机器数量。
其他资源
3.3.6.3. Daemonset
客户可以在 Red Hat OpenShift Service on AWS 上创建并运行 daemonset。要将 daemonset 限制为仅在 worker 节点上运行,请使用以下 nodeSelector :
...
spec:
nodeSelector:
role: worker
...3.3.6.4. 多个可用区
在多个可用区集群中,control plane 节点在可用区间分布,每个可用区需要至少一个 worker 节点。
3.3.6.5. 节点标签
红帽会在创建节点时创建自定义节点标签,目前无法在 Red Hat OpenShift Service on AWS 集群上更改。但是,创建新机器池时支持自定义标签。
3.3.6.6. OpenShift version
Red Hat OpenShift Service on AWS 作为服务运行,并与最新的 OpenShift Container Platform 版本保持最新状态。将计划升级到最新版本。
3.3.6.7. 升级
可以使用 ROSA CLI、rosa 或 OpenShift Cluster Manager 调度升级。
有关升级策略和步骤的更多信息,请参阅 AWS 生命周期的 Red Hat OpenShift Service。
3.3.6.8. Windows 容器
目前,Red Hat OpenShift support for Windows Containers 在 Red Hat OpenShift Service on AWS 上不可用。
3.3.6.9. 容器引擎
Red Hat OpenShift Service on AWS 在 OpenShift 4 上运行,并使用 CRI-O 作为唯一可用的容器引擎。
3.3.6.10. 操作系统
Red Hat OpenShift Service on AWS 在 OpenShift 4 上运行,并使用 Red Hat CoreOS 作为所有 control plane 和 worker 节点的操作系统。
3.3.6.11. Red Hat Operator 支持
红帽工作负载通常是指通过 Operator Hub 提供的红帽提供的 Operator。红帽工作负载不由红帽 SRE 团队管理,且必须在 worker 节点上部署。这些 Operator 可能需要额外的红帽订阅,并可能产生额外的云基础架构成本。这些红帽提供的 Operator 示例包括:
- Red Hat Quay
- Red Hat Advanced Cluster Management
- Red Hat Advanced Cluster Security
- Red Hat OpenShift Service Mesh
- OpenShift Serverless
- Red Hat OpenShift Logging
- Red Hat OpenShift Pipelines
3.3.6.12. Kubernetes Operator 支持
OperatorHub 市场中列出的所有 Operator 都应该可用于安装。这些 Operator 被视为客户工作负载,不受 Red Hat SRE 监控。
3.3.7. 安全性
本节提供有关 Red Hat OpenShift Service on AWS 安全服务定义信息。
3.3.7.1. 身份验证供应商
可以使用 OpenShift Cluster Manager 或集群创建过程或使用 ROSA CLI rosa 配置集群的身份验证。ROSA 不是一个身份提供程序,对集群的所有访问都必须由客户管理,作为其集成解决方案的一部分。支持同时使用同时调配的多个身份提供程序。支持以下身份提供程序:
- Github 或 GitHub Enterprise
- GitLab
- LDAP
- OpenID Connect
- htpasswd
3.3.7.2. 特权容器
特权容器可供具有 cluster-admin 角色的用户使用。使用特权容器作为 cluster-admin 取决于 Red Hat Enterprise Agreement 附录 4 (在线订阅服务) 中关于职责和例外的内容。
3.3.7.3. 客户管理员用户
除了普通用户外,Red Hat OpenShift Service on AWS 还提供对名为 dedicated-admin 的 ROSA 特定组的访问权限。属于 dedicated-admin 组成员的任何用户:
- 具有集群中所有客户创建项目的管理员访问权限。
- 可以管理集群的资源配额和限值。
-
可以添加和管理
NetworkPolicy对象。 - 可以查看集群中特定节点和 PV 的信息,包括调度程序信息。
-
可以访问集群上保留的
dedicated-admin项目,它允许使用提升的特权创建服务帐户,同时还能够为集群上的项目更新默认限值和配额。 -
可以从 OperatorHub 安装 Operator,并执行所有 If
operators.coreos.comAPI 组中的所有操作动词。
3.3.7.4. 集群管理角色
Red Hat OpenShift Service on AWS 管理员可对您的机构的集群具有 cluster-admin 角色的默认访问权限。使用 cluster-admin 角色登录到帐户时,用户可以增加运行特权安全上下文的权限。
3.3.7.5. 项目自助服务
默认情况下,所有用户都可以创建、更新和删除他们的项目。如果 dedicated-admin 组的成员从经过身份验证的用户移除 self-provisioner 角色,则可以受限制:
$ oc adm policy remove-cluster-role-from-group self-provisioner system:authenticated:oauth
通过应用可以恢复限制:
$ oc adm policy add-cluster-role-to-group self-provisioner system:authenticated:oauth
3.3.7.6. 法规合规性
有关最新合规性信息,请参阅了解 ROSA 的进程和安全性。
3.3.7.7. 网络安全性
使用 Red Hat OpenShift Service on AWS 时,AWS 对所有负载均衡器(即 AWS Shield)提供标准的 DDoS 保护。这对 Red Hat OpenShift Service on AWS 使用的所有面向公共的负载均衡器的用户级别为 3 和 4 的攻击提供了 95% 的保护。为来自 haproxy 路由器的 HTTP 请求添加 10 秒超时,以接收响应或连接关闭,以提供额外的保护。
3.3.7.8. etcd 加密
Red Hat OpenShift Service on AWS 中,control plane 存储会默认加密,这包括 etcd 卷的加密。这种存储级别加密通过云供应商的存储层提供。
您还可以启用 etcd 加密,加密 etcd 中的密钥值,而不是密钥。如果启用 etcd 加密,则会加密以下 Kubernetes API 服务器和 OpenShift API 服务器资源:
- Secrets
- 配置映射
- Routes
- OAuth 访问令牌
- OAuth 授权令牌
默认情况下不启用 etcd 加密功能,它只能在集群安装过程中启用。即使启用了 etcd 加密,则有权访问 control plane 节点或 cluster-admin 权限的任何人都可以访问 etcd 密钥值。
通过在 etcd 中为密钥值启用 etcd 加密,则会出现大约 20% 的性能开销。除了加密 etcd 卷的默认 control plane 存储加密外,还会引入第二层加密的开销。红帽建议仅在特别需要时才启用 etcd 加密。
3.3.8. 其他资源
- 有关最新合规性信息 ,请参阅了解 ROSA 的进程和安全性。
- 请参阅 ROSA 生命周期
