Aprenda a usar o Red Hat OpenShift Service on AWS (ROSA)

O que está incluído no Red Hat OpenShift Service on AWS?

Cada cluster do Red Hat OpenShift Service on AWS inclui um control plane (nós mestres) e nós de aplicação totalmente gerenciados. Os processos de instalação, gerenciamento, manutenção e upgrade são monitorados pela equipe de engenharia de confiabilidade de sites (SRE) da Red Hat. A Red Hat e a Amazon são responsáveis pelo suporte.Além disso, há outros serviços disponíveis para o acompanhamento do cluster, como geração de logs, métricas e monitoramento.

Qual a diferença entre o Red Hat OpenShift Service on AWS e o Red Hat OpenShift Container Platform?

O Red Hat OpenShift Service on AWS oferece uma plataforma de aplicações pronta para uso que é otimizada para aumentar o desempenho, escalabilidade e segurança. Esse é um serviço hospedado na nuvem pública da Amazon Web Services e gerenciado em conjunto pela Red Hat e a AWS. Algumas opções e funções administrativas podem estar restritas ou não disponíveis. Quem adquire a subscrição do Red Hat OpenShift Container Platform pode hospedar e gerenciar o software em qualquer infraestrutura.

Qual a diferença entre o Red Hat OpenShift Service on AWS e o Red Hat OpenShift Dedicated?

O Red Hat OpenShift Service on AWS é uma implementação totalmente gerenciada do OpenShift Container Platform implantada e operada na AWS. A Red Hat e a Amazon Web Services são corresponsáveis por gerenciar e dar suporte ao serviço.

O Red Hat OpenShift Dedicated é um serviço hospedado e totalmente gerenciado pela Red Hat que oferece clusters em uma nuvem privada virtual na AWS ou no Google Cloud Platform.

Quais são as diferenças entre o Red Hat OpenShift Service on AWS e o Kubernetes?

O ROSA inclui tudo que você precisa para implantar e gerenciar containers, como recursos de gerenciamento, automação (operadores), rede, balanceamento de carga, service mesh, CI/CD, firewall, monitoramento, registro, autenticação e autorização. Esses componentes são testados juntos para oferecer operações unificadas em uma plataforma completa. A experiência do Kubernetes fica ainda melhor com as operações automatizadas de cluster, incluindo as atualizações over-the-air (OTA) da plataforma.

O Red Hat OpenShift Service on AWS será integrado com outros serviços da AWS?

Sim. O Red Hat OpenShift Service on AWS será integrado a vários serviços de computação, banco de dados, análise, machine learning, rede, mobile e aplicação. Desse modo, os clientes poderão aproveitar as vantagens oferecidas pelo robusto portfólio de serviços da AWS com ajuste de escala sob demanda globalmente. Os serviços nativos da AWS podem ser acessados diretamente, podendo ser implantados e escalados na mesma interface de gerenciamento com mais rapidez.

Como o ROSA funciona?

O Red Hat OpenShift Service on AWS (ROSA) é formado por componentes de infraestrutura (máquinas virtuais, discos de armazenamento etc.) e um software (OpenShift). O provisionamento dos clusters do ROSA gera cobranças relacionadas à infraestrutura e ao OpenShift, com base na taxa por hora do modelo de pagamento por consumo. Consulte a página de preços do Red Hat OpenShift Service on AWS para ver mais informações. Também é possível adquirir contratos de 1 ou 3 anos para ter descontos ainda maiores.

Como solicito o suporte para o ROSA?

O suporte para o ROSA é realizado pela AWS e a Red Hat. Para solucionar problemas, basta entrar em contato com qualquer uma dessas duas empresas. Caso seja necessário escalonar um problema, a AWS e a Red Hat se comunicam com a equipe mais adequada para resolver a situação.

Onde posso aprender mais sobre o ROSA?

O hub de aprendizagem do Red Hat OpenShift Service on AWS (ROSA) tem materiais e ferramentas projetados para ajudar você a usar Red Hat® OpenShift® Service on AWS, tudo organizado conforme os tipos de tarefas que você precisa realizar.

Onde posso encontrar um roadmap ou sugerir novas funcionalidades para o serviço?

Visite a página do roadmap do ROSA para acompanhar o status das funcionalidades que estão sendo desenvolvidas. Fique à vontade para entrar em contato caso tenha sugestões para a equipe da solução.

É possível adquirir o Red Hat OpenShift Service on AWS em todos os países?

O Red Hat OpenShift Service on AWS pode ser adquirido em todos os países em que a AWS é comercializada.

Como adquirir o Red Hat OpenShift Service on AWS?

Você pode adquirir o serviço diretamente no console da AWS. Assim como outros serviços da AWS (por exemplo, o EC2), basta iniciar os clusters do OpenShift, e a cobrança será feita com base no consumo. Se preferir, entre em contato com um representante da Red Hat ou da AWS para saber informações mais detalhadas sobre os preços.

Receberei uma fatura de cobrança da Red Hat ou da AWS?

Você receberá apenas uma fatura da AWS.

O Red Hat OpenShift Service on AWS qualifica para o AWS Enterprise Discount Program (EDP)?

Sim. O Red Hat OpenShift Service on AWS está qualificado para 100% da despesa no AWS Enterprise Discount Program.

Como os preços do Red Hat OpenShift Service on AWS são calculados?

Confira as informações sobre os preços: Preços do ROSA

Devo usar o RHEL como sistema operacional na hora de determinar os preços das minhas instâncias do EC2?

Não, como o Red Hat Enterprise Linux CoreOS (RHCOS) é o sistema operacional do ROSA, você só precisa selecionar o Linux. Para esclarecer melhor, a configuração de todos os nós do RHCOS é executada durante a criação dos clusters do ROSA.

Posso usar VMs spot/preemptivas?

Sim, é possível configurar pools de máquina extras com instâncias spot. Com as instâncias spot do Amazon EC2, você utiliza a capacidade ociosa a um custo muito baixo. Consulte a seção Como criar pools de máquina na documentação para ver mais informações.

Há necessidade de investimento inicial?

Não. É possível provisionar os clusters do ROSA sob demanda, tanto para AWS como para OpenShift, com base no modelo de pagamento por consumo. Neste caso, não há investimento inicial. Também estão disponíveis contratos de 1 ou 3 anos que incluem descontos nos preços das instâncias reservadas (RIs).

Como faço para começar a usar o Red Hat OpenShift Service on AWS?

Adquira o serviço diretamente no console da AWS. Assim como outros serviços da AWS (por exemplo, o EC2), basta iniciar os clusters do OpenShift, e a cobrança será feita com base no consumo. Se preferir, entre em contato com um representante da Red Hat ou da AWS. Assista a este vídeo rápido de demonstração sobre como implantar um cluster do ROSA.

Preciso assinar algum acordo com a Red Hat?

Não é necessário assinar um acordo com a Red Hat para usar o ROSA. Você precisa ter uma conta da Red Hat para usar no console (console.redhat.com), além de aceitar os termos dos serviços online e o Contrato Empresarial.

Posso trazer minhas próprias licenças para o serviço (por exemplo, Red Hat Cloud Access)?

Não, como a cobrança é feita diretamente por meio da AWS, isso impede que as subscrições do OpenShift Container Platform ou OpenShift Dedicated sejam usadas com o Red Hat OpenShift Service on AWS.

Posso migrar minhas subscrições do OpenShift para a AWS?

  • As subscrições do OpenShift (OCP, OSD e OKE) não podem ser usadas com o ROSA.
  • Não é possível transferir uma parte não utilizada da subscrição do Red Hat OpenShift para o ROSA.
  • As subscrições que incluem a compra de uma IBM CloudPak não podem ser usadas com o ROSA.
  • Só é possível comprar as subscrições do ROSA diretamente da AWS e de seus revendedores.

Posso comprar subscrições de middleware sob demanda para meus clusters do ROSA?

As subscrições de middleware (por exemplo, Integration e Runtimes) são vendidas pela Red Hat no modelo anual por meio do processo padrão. No momento, não é possível comprá-las sob demanda para os clusters do ROSA.

Em quais regiões as equipes de SRE têm permissão para atuar?

Quais regiões da Amazon estão incluídas?

Consulte a página dos recursos com suporte para ver a lista de regiões onde o Red Hat OpenShift Service on AWS está disponível.

Quais tamanhos de máquina virtual são aceitos?

Consulte a lista de tamanhos de máquina virtual do Red Hat OpenShift Service on AWS que são aceitos no cluster.

Quais tipos de direito de acesso ao Red Hat OpenShift Container Platform são concedidos (por exemplo, administrador do cluster ou administrador de projetos)?

Você receberá direitos de administrador do cluster que criar.

É permitido adicionar trabalhos do RHEL ao cluster?

Não. Para que seja possível fazer atualizações ininterruptas nos clusters, somente trabalhos do Red Hat Enterprise Linux CoreOS (RHCOS) são aceitos no Red Hat OpenShift Service on AWS.

Quais serviços são realizados pelas equipes de operações da Red Hat e da AWS?

A equipe de SRE da Red Hat é responsável por provisionar, gerenciar e atualizar a plataforma do Red Hat OpenShift. Ela também monitora a disponibilidade da infraestrutura principal dos clusters. A equipe não é responsável por gerenciar o ciclo de vida das aplicações executadas na plataforma.

Como posso alterar as configurações do cluster?

Os usuários administrativos podem adicionar/remover usuários e projetos, gerenciar cotas, visualizar as estatísticas de uso e alterar o template padrão dos projetos. Os administradores também podem aumentar ou reduzir a escala do cluster e até mesmo excluir clusters existentes.

Os clusters do ROSA são implantados na conta do cliente?

Sim. Os clusters do ROSA são implantados na sua conta com o suporte de nuvens privadas virtuais (VPCs) existentes. Sugerimos que você siga as práticas recomendadas de segurança para isolar as aplicações e conceder privilégios mínimos quando fizer a acomodação.

Minha infraestrutura de cluster do ROSA será compartilhada com outros clientes?

Cada cluster do Red Hat OpenShift Service on AWS é exclusivo por cliente e somente uma subscrição pode acessá-lo.

Como os upgrades são gerenciados?

Os clientes podem definir a política e a data de upgrade dos clusters no OpenShift Cluster Manager. É possível configurar os clusters para que o upgrade para a versão mais recente seja realizado de forma automática em uma janela de manutenção (por exemplo, "sábado às 2h UTC"). Os clientes também têm a opção de especificar uma data e um horário para fazer o upgrade para uma versão específica. Siga sempre as práticas recomendadas para que o downtime seja mínimo ou zero.

Todos os upgrades são monitorados e gerenciados pelo serviço de SRE da Red Hat.

E quanto à distinção entre as janelas de emergência e de manutenção planejada?

Não fazemos distinção entre esses dois tipos de manutenção. Nossas equipes estão disponíveis 24 horas e não têm o costume de definir janelas de manutenção "fora do horário comercial".

Como os sistemas operacionais host e o software do OpenShift são atualizados?

Eles são atualizados durante o processo de upgrade geral.

Os logs de VMs subjacentes podem ser enviados para o sistema de análise do cliente?

Os clientes podem selecionar a transmissão de logs de aplicação, infraestrutura e auditoria.

Que direitos de acesso do UNIX (em IaaS) estão disponíveis para os nós mestres/de trabalho?

Não aplicável a esta oferta. Não é concedido acesso aos nós. Os nós de trabalho são totalmente gerenciados pela equipe de SRE.

Quais certificações de conformidade o ROSA tem atualmente?

No momento, o Red Hat OpenShift Service on AWS está em conformidade com SOC-1, SOC-2 tipos 1 e 2, ISO-27001 e PCI-DSS. Também estamos trabalhando para atender às normas FedRAMP High, HIPAA, ISO 27017 e ISO 27018.

Um cluster pode ter nós de trabalho em várias regiões da AWS?

Não, todos os nós dos clusters do Red Hat OpenShift Service on AWS precisam estar na mesma região da AWS, seguindo o mesmo modelo do OCP. No caso dos clusters configurados em diversas zonas de disponibilidade, os nós de trabalho e de control plane são distribuídos por essas zonas.

Qual é o número mínimo de nós de trabalho que um cluster do ROSA pode ter?

O número mínimo é de 2 nós de trabalho em uma zona de disponibilidade e de 3 em várias zonas.

Onde posso encontrar a documentação do ROSA?

A documentação do ROSA está disponível aqui.

Os administradores podem gerenciar usuários e cotas?

Sim, os administradores do Red Hat OpenShift Service on AWS podem gerenciar usuários e cotas, além de acessar todos os projetos criados pelos usuários. Consulte as cotas de recurso por projeto para ver exemplos.

Quando as funcionalidades da versão mais recente do Kubernetes serão compatíveis com o ROSA via OpenShift 4?

Os clientes podem fazer a atualização do OpenShift para a versão mais recente e herdar as funcionalidades dela (consulte as datas do ciclo de vida). Observação: como o ROSA é uma instalação fixa do OpenShift Container Platform, nem todas as funcionalidades podem estar disponíveis na solução. Consulte a Definição do serviço.

Como os clientes recebem o suporte do serviço?

O suporte para o ROSA é realizado pela AWS e a Red Hat. Para solucionar problemas, basta entrar em contato com qualquer uma dessas duas empresas. Caso seja necessário escalonar um problema, a AWS e a Red Hat se comunicam com a equipe mais adequada para resolver a situação.

Visite também o Red Hat Customer Portal para navegar pelos artigos e soluções relacionados aos produtos Red Hat no Red Hat Knowledgebase ou enviar um caso de suporte ao Red Hat Support. Se preferir, registre um incidente diretamente no OpenShift Cluster Manager (OCM). Consulte a documentação do ROSA para ver mais detalhes sobre como receber suporte.

O que acontece quando deixo de atualizar o cluster antes do fim da vida útil?

Os clusters existentes do ROSA não são afetados. Eles continuam em operação, mas com o status de "suporte limitado". Isso significa que o SLA desses clusters não é mais aplicável. No entanto, você ainda poderá receber suporte. Consulte o Status de suporte limitado para ver mais detalhes.

O que é o SLA?

Consulte a página SLA do Red Hat OpenShift Service on AWS para ver mais detalhes.

Como os clientes serão notificados quando novas funcionalidades/atualizações estiverem disponíveis?

Acompanhe os canais de comunicação habituais para conferir as novidades, incluindo emails e atualizações da AWS.

Qual versão do OpenShift é executada?

O Red Hat OpenShift Service on AWS é um serviço gerenciado e baseado no OpenShift Container Platform. Consulte a documentação do ROSA para conferir a versão atual e as datas do ciclo de vida.

Há suporte para o Open Service Broker for AWS (OSBA)?

Sim, é possível usar o OSBA com o Red Hat OpenShift Service on AWS. Consulte a página do Open Service Broker for AWS para ver mais informações. É importante notar que há uma versão mais recente, chamada de AWS Controller for Kubernetes. Esta é a opção recomendada.

Qual é o sistema operacional usado nos nós subjacentes?

Assim como em todas as soluções OpenShift v4.x, os nós de trabalho, infraestrutura e control plane executam o Red Hat Enterprise Linux CoreOS (RHCOS).

Os clientes que queiram fazer o “offboarding” da implantação no ROSA devem executar qual processo?

Os clientes podem deixar de usar o serviço a qualquer momento e migrar as aplicações para ambientes on-premise, nuvens privadas ou outros provedores de nuvem. É aplicada uma política padrão às instâncias reservadas não usadas.

Quais são os mecanismos de autenticação compatíveis com o ROSA?

OpenID Connect (perfil do OAuth2), Google OAuth, GitHub OAuth, GitLab e LDAP.

De que maneira eventos como atualizações da solução e manutenções programadas serão comunicados?

A Red Hat envia notificações por email e pelo log de serviço no console.

O ROSA oferece uma funcionalidade de desligamento ou hibernação dos nós no cluster para diminuir os custos da infraestrutura ou preservar a longo prazo um cluster configurado?

No momento, não. O desligamento/hibernação são funcionalidades da plataforma OpenShift que ainda não são avançadas o suficiente para uso geral nos serviços de nuvem.

O acesso das equipes de SRE aos clusters é protegido pela MFA?

Sim. Consulte Acesso da equipe de SRE na documentação para ver mais detalhes.

Quais chaves de criptografia são usadas em um novo cluster do ROSA?

Criptografamos os volumes do EBS usados no ROSA com uma chave que é armazenada no KMS. Os clientes também podem inserir as próprias chaves do KMS durante a criação do cluster.

Se eu especificar uma chave do KMS, o que exatamente será criptografado?

Volumes raiz do nó de trabalho, infraestrutura e control plane, além de volumes persistentes.

Os dados do meu cluster são criptografados?

Por padrão, é aplicada a criptografia em repouso. A plataforma de armazenamento da AWS criptografa os dados automaticamente antes de torná-los persistentes. Além disso, os dados são descriptografados antes da recuperação. Consulte os detalhes em Criptografia do Amazon EBS. Também é possível criptografar o etcd no cluster, além da criptografia do armazenamento da AWS. Isso gera o dobro de criptografia (redundância), o que aumenta em 20% a sobrecarga no desempenho. Consulte Criptografia do etcd para ver mais detalhes.

Quando posso criptografar o etcd com um cluster do ROSA?

Só é possível ativar a criptografia do etcd durante a criação do cluster. Observe que isso gera mais sobrecarga e reduz de maneira insignificante os riscos à segurança. Veja a pergunta anterior sobre a criptografia do EBS.

Como a criptografia do etcd é configurada em um cluster do ROSA?

Da mesma maneira que isso é feito no OCP. Usamos a cifra aescbc, e os patches são aplicados à configuração durante a implantação do cluster. Veja esta documentação do Kubernetes. Consulte Criptografia do etcd para ver mais detalhes.

Qual infraestrutura é provisionada como parte de um novo cluster do ROSA?

No ROSA, são usados vários serviços de nuvem diferentes, como máquinas virtuais, armazenamento, balanceadores de carga etc. Veja uma lista detalhada nos Pré-requisitos da AWS.

Entendo que há dois “tipos” de clusters do ROSA. Um deles utiliza um usuário do IAM com permissões de administrador, e o outro, o AWS STS. Qual devo escolher?

O cluster com o AWS STS. Na verdade, isso não representa "tipos" diferentes, mas sim métodos de credencial distintos. Mas como conceder à Red Hat as permissões necessárias para executar as ações exigidas na conta da AWS? O roadmap adotado daqui em diante é voltado ao STS. Em breve, o método com o usuário do IAM será descontinuado. O objetivo é alinhar melhor a solução aos princípios de privilégio mínimo e às práticas de segurança no gerenciamento de recursos do serviço de nuvem. Consulte a seção Uso do STS no ROSA para ver uma explicação mais detalhada.

Estou recebendo vários erros de permissão ou falhas com relação à criação do cluster ou tarefas de pré-requisito. Qual pode ser o problema?

Verifique se há uma versão mais recente da CLI do ROSA. Todas as versões estão sempre disponíveis em dois locais: no Github e na página de lançamentos binários com sinal da Red Hat.

Quais são as opções de armazenamento disponíveis?

Consulte a seção sobre armazenamento na definição do serviço.

Quais são as opções disponíveis para usar o armazenamento compartilhado nos containers?

O AWS EFS. O OpenShift inclui o driver padrão da CSI do AWS EFS na versão 4.10. Consulte Como configurar o AWS EFS no Red Hat OpenShift Service on AWS.

Posso fazer implantações em uma VPC existente e escolher as sub-redes específicas?

Sim. Durante a instalação, é possível escolher se a implantação será feita em uma VPC existente, além de selecionar essa VPC. Depois, você poderá escolher as sub-redes e definir um intervalo CIDR válido (contendo as sub-redes) que será manipulado pelo instalador por meio dessas sub-redes. Consulte a seção sobre VPC na documentação para ver mais detalhes.

Qual plugin de rede é usado no Red Hat OpenShift Service on AWS?

O Red Hat OpenShift Service on AWS utiliza o provedor padrão de SDN do OpenShift configurado no modo NetworkPolicy. O OVN-Kubernetes está incluído no roadmap.

Há suporte para rede entre diferentes namespaces?

Por meio de objetos NetworkPolicy, os administradores de clusters no ROSA podem personalizar a rede entre diferentes namespaces (ou negá-la) com base em cada projeto. Consulte Como configurar o isolamento multilocatário com política de rede para descobrir como fazer a configuração.

Posso configurar mais de um cluster do ROSA em uma VPC?

Sim, vários clusters do ROSA podem ter a mesma VPC. Na verdade, o número de clusters é limitado pela cota restante de recursos da AWS, além dos intervalos CIDR escolhidos que não podem se sobrepor. Consulte as Definições de intervalo CIDR para ver mais informações.

Posso usar o Prometheus/Grafana para monitorar os containers e gerenciar a capacidade?

Sim, por meio do Monitoramento de cargas de trabalho do usuário do OpenShift. Esta é uma caixa de seleção do OpenShift Cluster Manager (console.redhat.com/openshift).

Posso ver os resultados dos logs de auditoria no control plane do cluster?

Se o complemento Cluster Logging Operator tiver sido instalado no cluster, os logs de auditoria estarão disponíveis por meio do CloudWatch. Caso contrário, basta solicitar ao suporte determinados logs de auditoria. Logs pequenos, específicos e de período determinado podem ser solicitados para exportação e enviados aos clientes. A escolha dos logs de auditoria disponíveis fica a critério da equipe de SRE voltada à conformidade e segurança da plataforma. Não é permitido solicitar a exportação de todos os logs de um cluster.

Posso aplicar os limites de permissão da AWS às políticas do meu cluster?

Sim, o uso de limites de permissão da AWS é aceito.

Os nós de trabalho do ROSA usam a mesma AMI que as outras soluções OpenShift?

Os nós de trabalho do ROSA usam uma AMI diferente do OSD e do OCP. As AMIs dos nós de infraestrutura e control plane são iguais nas soluções com a mesma versão.

Há backup nos clusters?

No momento, apenas os clusters não STS incluem backups gerenciados pela equipe de SRE. Consulte também nossa política de backup. É essencial que os usuários tenham as próprias políticas de backup de aplicações e dados.

O ROSA está em conformidade com a GDPR?

Sim, saiba mais.

A CLI do ROSA é compatível com chaves multirregião do KMS na criptografia do EBS?

No momento, não. Essa funcionalidade está no backlog. São aceitas chaves do KMS de uma só região na criptografia do EBS, desde que sejam definidas durante a criação do cluster.

Posso definir um certificado e domínio personalizado nas minhas aplicações?

Sim. Consulte Como configurar domínios personalizados nas aplicações para ver mais informações.

Como os certificados de domínio do ROSA são gerenciados?

A infraestrutura da Red Hat (Hive) gerencia a alternância de certificados na entrada de aplicações padrão (apps.*.openshiftapps.com).

Quais funcionalidades serão disponibilizadas em breve no ROSA?

Você encontra o roadmap atual do ROSA aqui: https://red.ht/rosa-roadmap

Quais tipos de instâncias são compatíveis com os nós de trabalho?

Consulte os Tipos de computação da AWS na definição do serviço para ver uma lista atualizada das instâncias compatíveis. Além disso, as instâncias spot são aceitas.

O ROSA oferece suporte a ambientes desconectados e com isolamento físico, em que o cluster não tem acesso à Internet?

Não, o cluster do ROSA exige saída de rede para acessar nosso registro, S3, enviar métricas etc. O serviço requer vários endpoints de saída. A entrada de rede pode estar limitada ao PrivateLink e à VPN para o uso da equipe de SRE da Red Hat e o acesso dos clientes.

A escala automática de nós está disponível?

Sim. Com a escala automática, é possível ajustar automaticamente o tamanho do cluster com base na carga de trabalho atual. Consulte Sobre os nós de escala automática em um cluster na documentação para ver mais detalhes.

Qual é o número máximo de nós de trabalho que um cluster pode ter?

O número máximo é de 180 nós de trabalho por cluster do ROSA. Confira neste link as informações sobre limites e escalabilidade, além de mais detalhes da contagem de nós.

Onde posso aprender mais sobre o ROSA?

O hub de aprendizagem do Red Hat OpenShift Service on AWS (ROSA) tem materiais e ferramentas projetados para ajudar você a usar Red Hat® OpenShift® Service on AWS, tudo organizado de acordo com os tipos de tarefas que você precisa realizar.