什么是托管控制平面?
托管控制平面是用来描述解耦式管理平面的术语,该平面可实现对核心控制平面组件的综合控制和管理。在本文中,我们将探讨托管控制平面的概念,并详细介绍红帽® OpenShift® 容器平台和带有托管控制平面的 AWS 上的红帽 OpenShift 服务的优势。
托管控制平面的优势
适用于 OpenShift 容器平台的托管控制平面有助于实现真正的混合云,并带来其他一系列优势。
首先,托管控制平面支持在较小的节点上运行控制平面。因此,集群更加经济实惠。
此外,控制平面由在 OpenShift 容器平台上启动的容器集组成,这意味着控制平面可以快速启动。同样的规则也适用于控制平面和工作负载,如监控、日志记录和自动扩展。
从基础架构的角度来看,HAProxy、集群监控、存储节点和其他基础架构组件可以推送到单独的云提供商帐户,以便独立于控制平面进行使用。
这样可以更加集中地操作一组集群的管理,有助于减少可能影响集群状态的外部因素。站点可靠性工程师(SRE)可以在一个集中位置调试问题并导航到数据平面,从而缩短解决时间(TTR)并提高工作效率。
托管控制平面的另一个优势是提高了隔离性。由于控制平面处于解耦状态,管理工作与工作负载之间的安全边界更加牢固。这有助于降低凭据泄露和意外删除控制平面基础架构的几率。
红帽资源
红帽 OpenShift 中的托管控制平面
独立控制平面由一组专用的物理或虚拟节点托管,保证了有足够的最低数量,以便达到仲裁(Quorum)要求的最低值。此外,网络堆栈可共享。在管理员访问权限下,将显示集群控制平面、机器管理 API 和其他组件,方便管理员全面掌握集群的状态。
在某些情况下,独立模式是可取的,但在其他情况下,需要将控制平面与数据平面解耦。
在此场景中,数据平面位于一个单独的网络域中,有着专用的物理托管环境。控制平面使用高级原语进行托管,例如使用 Kubernetes 提供的原生部署机制来进行部署。
除此之外,红帽 OpenShift 的托管控制平面可实现以下功能:
- 将控制平面与数据平面(工作节点)解耦。
- 分离网络域。
- 为管理员和 SRE 提供一个集中式接口。
换句话说,控制平面的执行方式与任何工作负载类似。您可以使用相同的堆栈来监控、保护和运维应用以及管理控制平面。
带有托管控制平面的 AWS 上的红帽 OpenShift 服务(ROSA)
带有托管控制平面的 AWS 上的红帽 OpenShift 服务(ROSA)是 ROSA 的一种新部署模式,其中控制平面托管在 ROSA 服务 AWS 帐户中,而不是客户的个人 AWS 帐户中。
在 ROSA 服务 AWS 帐户中托管和管理控制平面可以最有效、最高效地利用客户资源,从而为 ROSA 客户节省大量成本、缩短置备时间、改善安全状况以及提高可靠性。这将为用户带来诸多优势,例如:
- 轻松快速地启动集群并在不使用时将其拆卸,以提高效率和节省成本。
- 提高年度计费的灵活性和可移植性,支持客户在不同节点类型之间轻松切换。
- 缩小整体占用空间。
- 新集群的 API 仅需约15 分钟就可以使用,让您可以更快地启动、构建和部署应用。
- 无缝自动扩展控制平面。
- 控制平面在多个可用区内始终保持高可用性。
- 可选择性地分别升级控制平面和工作节点,增强客户的控制力和灵活性。
- 通过转移控制平面基础架构管理,降低出错或删除资源的几率,从而提高弹性和可靠性。
带有托管控制平面的 AWS 上的红帽 OpenShift 服务如何协助开展工作
在 ROSA 服务 AWS 帐户中托管和管理控制平面(而不是采用客户的个人帐户),这将带来诸多优势并为您的工作提供帮助。
置备过程得以简化,进而缩短了开始部署应用所需的时间。此外,工作负载调度仅依赖于工作节点,因此简化了构建和部署。通过带有托管控制平面的 ROSA,团队也不再需要手动扩展控制平面,因为这将在 ROSA 服务 AWS 帐户中自动管理。
最终用户不再需要管理控制平面基础架构,因而也不再有意外删除云资源的可能。这是因为 AWS 管理员将仅与工作负载进行交互,而不涉及控制平面的相关操作。用户可以选择性地分别升级控制平面和工作节点,从而提高了控制力和灵活性。
ROSA 的最新版本专为托管服务而构建,简化了企业大规模部署和管理 ROSA 集群的方式。这种优化的架构不仅能带来上述的诸多业务优势,还能带来许多技术优势。
与 ROSA Classic(单机版)相比,集群管理员使用这种方法升级控制平面的效率会更高。托管控制平面与架构解耦,使管理员无需升级整个集群即可维护控制平面。各种资源均转移到集群之外,现在通过 ROSA 命令行界面(CLI)或 OpenShift 集群管理器(OCM)Web 控制台获得可靠的单一事实来源。所有机器 API 都通过 ROSA CLI 或 OCM 作为 MachinePool 对象进行外部管理。节点 API 资源仍然在集群内可用,包括对现有节点进行标记和污点处理的能力。OAuth 组件也不再在集群内部公开。
AWS 策略权限集利用 AWS 批准和发布的托管策略,从而降低了配置和准备阶段的复杂性,并通过启用基于标签的权限执行提高了安全性。此外,控制平面与工作节点升级之间的分离有助于实现一致、安全至上的控制平面升级节奏,而不会对工作节点造成影响。
开发人员可以将更多时间用于开发和测试应用程序,而不用苦等集群或基础架构准备就绪。他们可以将应用部署到单个可用区(AZ),两个可用区或一个区域内的所有可用区,而不必担心控制平面的可用性。它始终分布在多个可用区。此外,开发人员还可以为每个集群快速置备专用和隔离的控制平面,并可选择通过 AWS VPC 中的专用 AWS PrivateLink 端点公开提供或私下披露。
在大规模环境下,托管控制平面可以提供更大的优势。有了这些控制平面,便不再需要在每个集群旁托管控制平面组件。对于节点较少的小型集群,这种红帽 OpenShift 架构的优势还不能凸显,但通过减少每个集群的基础架构中专用控制平面节点的数量,可以大大节省云成本。
托管控制平面的关键优势
托管控制平面可在管理工作负载方面实现更高的成本效益、更快的置备速度以及更强的安全优化。因此,它们非常适合许多用例,例如:
- 托管具有特定特征的集群。
- 工作负载分层。
- 灵活升级(控制平面可以独立于工作节点进行升级)。
后续步骤
学习如何使用带有托管控制平面的 ROSA 创建集群,掌握更多有关托管控制平面的进阶知识。
红帽官方博客
获取有关我们的客户、合作伙伴和社区生态系统的最新信息。