红帽全球峰会关于 AWS 上的红帽 OpenShift 服务的常见问题
获取有关 AWS 上的红帽® OpenShift® 服务(ROSA)的常见问题解答。了解如何在 AWS 云中最全面的行业应用平台上快速构建、部署和管理 Kubernetes 应用。
一般问题
AWS 上的红帽 OpenShift 服务包括哪些内容?
每个 AWS 上的红帽 OpenShift 服务集群都附带一个完全托管的控制平面(主节点)和应用节点。安装、管理、维护和升级都由红帽站点可靠性工程师(SRE)监控,并由红帽和 Amazon 提供联合支持。集群服务(如日志记录、指标、监控)同样可使用。
AWS 上的红帽 OpenShift 服务与红帽 OpenShift 容器平台有什么不同?
AWS 上的红帽 OpenShift 服务可提供统包式应用平台,并针对性能、可扩展性和安全性进行了优化。AWS 上的红帽 OpenShift 服务在 Amazon Web Services 公有云上托管,由红帽和 AWS 共同管理。某些选项和管理功能可能会受到限制或不可用。红帽 OpenShift 容器平台订阅授权您托管并管理自己所选基础架构中的软件。
AWS 上的红帽 OpenShift 服务与红帽 OpenShift 专业版有什么不同?
AWS 上的红帽 OpenShift 服务是在 AWS 上部署和运维、且完全托管实施的 OpenShift 容器平台,由红帽和 AWS 共同管理并提供支持。这个选项是直接通过 AWS 控制台购买的,提供即付即用服务和单一供应商开票。最适合那些希望获得 AWS 服务紧密集成、联合支持服务和单一账单的企业/机构。
红帽 OpenShift 专业版是完全由红帽托管并管理的服务,该服务在 AWS 或 Google 云平台上的虚拟私有云中提供集群。完全由红帽负责管理和支持,并且附带更有保障的 SLA。如果企业/机构已经部署了红帽产品,并对 AWS 上的红帽全托管服务感兴趣,这或许是最适合的选择。
AWS 上的红帽 OpenShift 服务和 Kubernetes 有何区别?
部署和管理容器所需的一切都与 ROSA 捆绑在一起,包括容器管理、自动化(操作器)、网络、负载平衡、服务网格、CI/CD、防火墙、监控、注册表、身份验证和授权功能。这些组件一起经过测试,可作为一个完整的平台统一运行。自动化集群运维(包括无线平台升级)可进一步提升您的 Kubernetes 体验。
AWS 上的红帽 OpenShift 服务是否能与其他 AWS 服务集成?
可以。AWS 上的红帽 OpenShift 服务将与一系列 AWS 计算、数据库、分析、机器学习、网络、移动和各种应用服务集成,同时在全球范围内按需扩展,帮助客户从强大的 AWS 服务产品组合中受益。这些 AWS 原生服务可直接访问,以便通过相同的管理界面快速部署和扩展服务。
ROSA 如何工作?
AWS 上的红帽 OpenShift 服务(ROSA)拥有基础架构组件(虚拟机、存储磁盘等)和软件组件(OpenShift)。当您置备 ROSA 集群时,您将按即用即付小时费率支付基础架构和 OpenShift 费用。如需了解更多信息,请参阅 AWS 上的红帽 OpenShift 服务定价页面。您还可购买 1 年或 3 年的服务,这样可以享有更大折扣。
如何获取针对 ROSA 的技术支持?
ROSA 由 AWS 和红帽联合提供支持,您可以选择联系任一公司的支持人员,要求进行故障排除。如果在故障排除过程中需要进一步的呈报问题,AWS 和红帽将协调为您提供最佳的团队来解决问题。
在哪里可以了解有关使用 ROSA 的更多信息?
AWS 上的红帽 OpenShift 服务(ROSA)学习中心提供帮助您使用 AWS 上的红帽® OpenShift® 服务的相关材料和工具,并按您需要完成的任务进行整理。
要获取更多信息,请访问 AWS 上的红帽 OpenShift 服务(ROSA)文档。
什么是带有托管控制平面的 ROSA?它将于何时推出?
带有托管控制平面的 ROSA 是 ROSA 的一种新部署模式,其中高度可用的控制平面托管在红帽负责的 AWS 帐户中,而不是客户的 AWS 帐户中,从而提高效率和可靠性,同时降低成本和置备时间。带有托管控制平面的 ROSA 从 2023 年 5 月开始提供预览版,公开发行版预计将于今年晚些时候发布。
在哪里可以查看服务路线图或提出服务功能请求?
您可以访问我们的 ROSA 路线图,了解当前功能开发的最新状态。如果您对产品团队有任何建议,请随时提出新问题。
点击查看 ROSA 安装过程的演示
购买
AWS 上的红帽 OpenShift 服务的总费用是如何计算的?
AWS 上的红帽 OpenShift 服务的总费用由两部分组成:ROSA 服务费以及 AWS 基础架构费。查看详细的 ROSA 定价信息、定价示例和 AWS 定价计算器。
AWS 上的红帽 OpenShift 服务是否可在所有国家/地区购买?
AWS 上的红帽 OpenShift 服务可在支持 AWS 商用的所有国家/地区购买。
如何购买 AWS 上的红帽 OpenShift 服务?
客户可直接自行从 AWS 控制台获取服务。与其他 AWS 服务(例如 EC2)一样,客户只需启动 OpenShift 集群,并根据其使用情况计费。要获取更多定价信息,客户可以联系其红帽或 AWS 代表或在此处查看 ROSA 定价详情。
我会收到来自红帽或 AWS 的发票吗?
您将收到一张来自 AWS 的单独发票。
AWS 上的红帽 OpenShift 服务是否有资格参与 AWS EDP 计划?
是的,AWS 上的红帽 OpenShift 服务完全有资格享受 AWS 企业折扣计划 100% 的支出。
在为我的 EC2 实例定价时,是否需要使用 RHEL 作为操作系统?
不,由于 ROSA 包含红帽企业 Linux CoreOS(RHCOS)操作系统,因此您只需选择 Linux 即可。为了清楚起见,ROSA 集群创建承担所有 RHCOS 节点的设置。
是否可以使用 Spot/抢占式虚拟机?
是的,可以使用 Spot 实例配置其 MachinePool。使用 Amazon EC2 Spot 实例,您可以利用未使用的容量来节省大量成本。要获取更多信息,请参阅文档中的创建计算机池章节。
是否要预先支付款项?
无需预先支付款项。ROSA 集群可以按需置备,并按即用即付计费,用于支付 AWS 和 OpenShift 的费用。在这种情况下,无需预先支付款项。我们还提供一年和三年的 RI 定价,可享受定价折扣。
如何开始使用 AWS 上的红帽 OpenShift 服务?
您可直接从 AWS 控制台获取服务。与其他 AWS 服务(如 EC2)一样,您只需启动 OpenShift 集群,并根据其使用情况计费。您也可以联系自己的红帽或 AWS 代表进行购买。这个短视频演示了部署 ROSA 集群的过程。
我是否需要与红帽签署/签订合同?
不。您无需与红帽签订合同即可使用 ROSA。您需要一个红帽帐户才能使用 console.redhat.com,并需要接受其中的企业协议和在线服务条款。
我能将自己的许可证用于该服务(例如红帽云接入)吗?
不可以。计费将直接通过 AWS 进行,避免了将 OpenShift 容器平台或 OpenShift 专业版订阅与 AWS 上的红帽 OpenShift 服务一起使用。
我是否可以将现有的 OpenShift 订阅迁移到 AWS?
- OpenShift(OCP、OSD、OKE)订阅不能与 ROSA 一起使用。
- 无法将红帽 OpenShift 订阅中未使用的部分转移到 ROSA。
- 购买 IBM CloudPak 中包含的订阅不能与 ROSA 一起使用。
- ROSA 订阅只能直接从 AWS 和 AWS 经销商处购买。
SRE 可以在哪些地区驻留运维?
请参阅红帽子处理器列表。
自定义
可支持哪些 Amazon 区域?
关于 AWS 上的红帽 OpenShift 服务可支持的全球区域列表,请参阅支持的资源。
可以使用什么规格的虚拟机?
请参阅 AWS 上的红帽 OpenShift 服务中的虚拟机规格,了解使用 AWS 的红帽 OpenShift 服务集群时可使用的虚拟机规格列表。
我们拥有红帽 OpenShift 容器平台的哪种权限?集群管理员还是项目管理员?
针对您所创建的集群,您将获得集群管理员权限。
是否可以将 RHEL 工作节点添加到我的集群?
不可以。为了保持向您的集群提供无缝更新的功能,AWS 上的红帽 OpenShift 服务仅支持红帽企业 Linux CoreOS(RHCOS)工作节点。
运维
哪些服务由红帽和 AWS 运维部门执行?
红帽 SRE 负责置备、管理和升级红帽 OpenShift 平台,同时监控核心集群基础架构的可用性。红帽和 AWS 运维部门不负责管理平台上所运行应用的生命周期。
如何访问 ROSA 集群?
您可以通过多种方式与集群互动。您可以通过命令行界面(CLI)或 Web 控制台连接到它。遵循学习路径立即试用 AWS 上的红帽 OpenShift 服务(ROSA)了解具体操作方法。
访问 AWS 上的红帽 OpenShift 服务(ROSA)CLI 文档,了解有关如何使用 ROSA CLI 启动、管理对象和检查日志的更多详细信息。
如何对集群配置进行变更?
管理用户可以添加/删除用户和项目、管理项目配额、查看集群使用情况统计数据以及更改默认项目模板。管理员还可以纵向扩展或缩减集群,甚至删除现有集群。
ROSA 集群是否部署在客户帐户中?
可以。ROSA 集群部署在您的帐户中,且支持现有 VPC。我们建议您在考虑放置时,遵循应用隔离和最低权限的安全防护最佳实践。
我的 ROSA 集群基础架构是否要与任何其他客户共享?
每个 AWS 上的红帽 OpenShift 服务集群都仅供指定客户使用,并通过客户订阅生效。
如何进行升级管理?
客户可以在 OpenShift 集群管理器中定义升级策略,并为其集群做规划。可以对集群进行配置,在客户定义的维护期内自动升级到最新版本,例如“星期六 02:00 UTC”,或者可以在客户指定的日期和时间将集群升级到特定版本。遵循最佳实践有助于确保最短停机时间或没有停机时间。有关详细信息,请访问 OpenShift 集群管理器文档。
所有升级均由红帽的 SRE 服务监控和管理。
紧急维护期与计划维护期相比情况如何?
我们不对这两种类型的维护进行区分。我们的团队提供 24/7/365 的全天候服务,并且不使用传统的“非工作时间”计划维护期间。
如何更新主机操作系统和 OpenShift 软件?
主机操作系统和 OpenShift 软件通过常规升级过程进行更新。
底层虚拟机的日志可以导出到客户日志分析系统吗?
客户可以选择要转发的应用、基础架构和审核日志流。
哪些 UNIX 权限(在 IaaS 中)可用于主节点/工作节点?
不适用于此产品。节点访问未启用。工作节点完全由 SRE 团队进行管理。
服务
ROSA 目前拥有哪些合规认证?
AWS 上的红帽 OpenShift 服务目前获得了多项认证,包括 FedRAMP High Agency ATO、SOC-2 type 2、SOC 3、ISO-27001、ISO 27017、ISO 27018、HIPAA 和 PCI-DSS 标准。此外,我们目前还致力于达到 FedRAMP High 标准。
一个集群是否可以拥有跨多个 AWS 区域的工作节点?
不,AWS 上的红帽 OpenShift 服务集群中的所有节点都必须位于同一 AWS 区域;这遵循与 OCP 相同的模型。对于为多个可用性区域配置的集群,控制平面节点和工作节点将分布在可用性区域中。
ROSA 集群最少可以拥有多少个工作节点?
对于 ROSA 集群,单个可用性区域最少有 2 个工作节点,多个可用性区域最少有 3 个工作节点。
详细了解管理工作节点。
在哪里可以找到 ROSA 的产品文档?
ROSA 文档可以在此处找到。
管理员是否可以管理用户和配额?
是的,AWS 上的红帽 OpenShift 服务客户除了可以访问所有用户创建的项目,还可以管理用户和配额。请参阅每个项目的资源配额示例。
什么时候可以通过 OpenShift 4 在 ROSA 中支持最新版本的 Kubernetes 功能?
客户如何获得服务支持?
ROSA 由 AWS 和红帽联合提供支持,您可以选择联系任一公司的支持人员,要求进行故障排除。如果在故障排除过程中需要进一步的呈报问题,AWS 和红帽将协调为您提供最佳的团队来解决问题。
您也可以访问红帽客户门户,搜索或浏览红帽知识库中与红帽产品相关的文章和解决方案,或向红帽支持提供支持案例。或者,您也可以直接从 OpenShift 集群管理器(OCM)打开工单。有关获取支持的更多详细信息,请参阅 ROSA 文档。
如果在“生命周期结束”日期之前未升级集群,会发生什么情况?
现有 ROSA 集群不会发生任何变化。您的 ROSA 集群将继续运行,尽管它将处于“有限支持”状态。简而言之,这意味着该集群的 SLA 将不再适用,但您仍然可以获得对该集群的支持。有关更多详细信息,请参阅有限支持状态。
什么是 SLA?
有关详细信息,请参阅 AWS 上的红帽 OpenShift 服务 SLA 页面。
当新功能/更新可用时,如何通知客户?
更新将通过常规通信渠道进行通知,包括 AWS 更新和电子邮件。
运行哪个版本的 OpenShift?
AWS 上的红帽 OpenShift 服务是一项基于 OpenShift 容器平台的托管服务。您可以在 ROSA 文档中查看当前版本和生命周期日期。
是否支持适用于 AWS 的开放服务代理(OBSA)?
是的,您可以将 AWS 上的红帽 OpenShift 服务与 OSBA 配合使用。要获取更多信息,请参阅适用于 AWS 的开放服务代理。但最近的开发是适用于 Kubernetes 的 AWS 控制器。这确实是首选方法。
使用的底层节点操作系统是什么?
与所有 OpenShift v4.x 产品一样,控制平面、基础架构和工作节点运行红帽企业 Linux CoreOS(RHCOS)。
对于希望在 ROSA 中“卸载”部署的客户,流程是什么?或是否有相应流程?
客户可以随时停止使用该服务,并将其应用迁移到本地、私有云或其他云提供商。标准预留实例(RI)策略适用于未使用的 RI。
ROSA 支持哪些身份验证机制?
OpenID Connect(OAuth2 的配置文件)、Google OAuth、GitHub OAuth、GitLab 和 LDAP。
如何沟通产品更新和定期维护等事件?
红帽将通过电子邮件和红帽控制台服务日志提供更新。
ROSA 是否能对集群中的所有节点使用休眠或关闭功能,从而节省基础架构成本或长期保留已配置的集群?
不,暂时不能。关闭/休眠功能是 OpenShift 平台的一个功能,尚未成熟,不足以广泛用于云服务。
技术问题
SRE 访问集群是否受 MFA 保护?
是的,所有 SRE 访问都受 MFA 保护。有关更多详细信息,请参阅文档中的 SRE 访问。
新的 ROSA 集群中使用什么加密密钥(如果有)?
我们使用存储在 KMS 中的密钥对用于 ROSA 的 EBS 卷进行加密。客户还可以选择在创建集群时提供自己的 KMS 密钥。
如果指定要使用的 KMS 密钥,那该密钥究竟会加密什么内容?
控制平面、基础架构和工作节点根卷,以及持久卷。
我集群上的数据是否已加密?
默认情况下,采用静态加密。AWS 存储平台会在保留数据之前自动加密数据,并在检索数据之前解密数据。请参阅 AWS EBS 加密详细信息。此外,还可以在集群中加密 etcd,这将与 AWS 存储加密相结合,导致加密加倍(冗余),这会增加 20% 的性能损失。有关更多详细信息,请参阅 etcd 加密。
什么时候可以对 ROSA 集群进行 etcd 加密?
只有在创建集群时,才能启用 etcd 加密。请注意,这会产生额外开销,并且几乎无法减轻安全风险。请参阅前面关于 EBS 加密的问题。
如何在 ROSA 集群中配置 etcd 加密?
与 OCP 中的相同。在集群部署期间,将使用 aescbc 密码并对该设置进行修补。Kubernetes 相关文档。有关更多详细信息,请参阅 etcd 加密。
作为新 ROSA 集群的一部分置备了哪些基础架构?
ROSA 使用许多不同的云服务,例如虚拟机、存储、负载平衡器等。您可以在 AWS 前提条件中看到定义列表。
我看到有两种“类型”的 ROSA 集群。一种使用具有管理员权限的 IAM 用户,另一种使用 AWS STS。应该选择哪一种类型?
AWS STS。这些不是“类型”,而是凭据方法。基本上是指,“您如何向红帽授予必要的权利,从而在您的 AWS 帐户中执行必要操作”?当前路线图侧重于 STS,IAM 用户方法最终将被弃用。这更符合最小权限原则,并且能更好地与云服务资源管理中的安全实践保持一致。有关详细说明,请参阅“使用 STS 的 ROSA 说明”章节。
访问文档了解更多详细信息,包括使用 STS 部署 ROSA 的要求和使用 STS 的 ROSA 集群的 IAM 资源。
我看到有许多与前提条件任务或集群创建相关的权限或失败错误,这可能是什么问题?
请检查是否有更新版本的 ROSA CLI。每个版本的 ROSA CLI 都位于两个位置:Github 和红帽签署的二进制版本。
ROSA 集群还必须满足多个先决条件才能部署。访问文档了解相关要求。
有哪些可用的存储选项?
请参考服务定义的存储部分。
可通过哪些选项在容器中使用共享存储?
AWS EFS(OpenShift 4.10 使用 AWS EFS CSI 驱动程序,其包含开箱即用的 CSI 驱动程序)。请参阅为 AWS 上的红帽 OpenShift 服务设置 AWS EFS。
可以部署到已有的 VPC 并选择特定的子网吗?
可以。安装时,您可以选择是否要部署到现有 VPC,然后选择该 VPC。然后,您将能够选择所需的子网,同时还提供安装程序使用这些子网要处理的有效 CIDR 范围(包括子网)。有关更多详细信息,请参阅文档中的 VPC 章节。
AWS 上的红帽 OpenShift 服务使用了哪个网络插件?
AWS 上的红帽 OpenShift 服务使用配置为网络策略模式的默认 OpenShift SDN 网络提供商。我们的路线图中包含 OVN-Kubernetes。
是否支持跨命名空间网络?
ROSA 中的集群管理员可以根据每个项目,使用网络策略对象自定义跨命名空间网络(包括拒绝访问该网络)。有关如何配置,请参阅使用网络策略配置多租户隔离。
是否可以在一个 VPC 中设置多个 ROSA 集群?
可以,ROSA 允许多个集群共享同一个 VPC。从本质上来讲,集群的数量会受到剩余 AWS 资源配额,以及任何不得重叠的所选 CIDR 范围限制。获取更多信息,请参阅 CIDR 范围定义。
我可以使用 Prometheus/Grafana 来监控容器并管理容量吗?
是的,您可以使用 OpenShift 用户工作负载监控。这是 OpenShift 集群管理器中的一个复选框选项(console.redhat.com/openshift)。
有关详细信息,请访问 OpenShift 集群管理器文档。
是否可以查看集群控制平面输出的审计日志?
如果已将集群 Logging Operator 附加组件添加到集群,则可通过 CloudWatch 获取审计日志。如果尚未添加,则可通过支持请求帮助您申请一些审计日志。可以请求导出小型目标日志和时间可控日志,并将其发送至客户。可选择的审计日志由 SRE 根据平台安全性和合规性类别自行决定。请求导出集群的全部日志会被拒绝。
是否可以根据策略,对集群设置 AWS 权限边界?
是的,支持使用 AWS 权限边界。
ROSA 工作节点是否与其他 OpenShift 产品共享相同的 AMI?
ROSA 工作节点使用与 OSD 和 OCP 不同的 AMI。控制平面和基础架构节点 AMI 在同一版本的产品中很常见。
是否需要为集群备份?
目前只有非 STS 集群有 SRE 托管备份功能,这意味着 ROSA STS 集群没有备份。您还可以查看我们的备份策略。用户必须有自己的应用和数据备份策略。
ROSA 是否符合 GDPR?
是的:了解更多详情。
ROSA CLI 是否能接受用于 EBS 加密的多区域 KMS 密钥?
暂时不能。这仍是一项待开发功能。但我们能接受用于 EBS 加密的单区域 KMS 密钥,前提是该密钥需在创建集群时定义。
是否可以为应用定义自定义域和证书?
可以。要获取更多信息,请参阅为应用配置自定义域。
如何管理 ROSA 域证书?
红帽基础架构(Hive)负责管理默认应用入口的证书轮换(apps.*.openshiftapps.com)
ROSA 即将推出哪些功能?
请查看当前的 ROSA 路线图:https://red.ht/rosa-roadmap
工作节点支持哪些类型的实例?
获取最新的受支持实例类型列表,请参阅服务定义中的 AWS 计算类型。此外,还支持 spot 实例。
ROSA 是否支持隔离且互不相连的环境(在该环境中 ROSA 集群无法访问互联网)?
不支持,ROSA 集群必须有连接至互联网的出口才能访问我们的注册表、S3、发送指标等。该服务需要多个出口端点。入口可以限制为 PrivateLink(用于红帽 SRE)和 VPN 或类似的客户端访问。
节点自动扩展是否可用?
可以。自动扩展允许您根据当前工作负载自动调整集群的规格。更多详细信息,请参阅文档中的关于集群上的自动扩展节点。
集群最多可以支持多少个工作节点?
