容器化应用的着陆区,OpenShift- 标准(可配置服务的集成设置)
OpenShift 的容器化应用程序着陆区为在 IBM Cloud 上部署容器化应用程序提供了可扩展、安全和生产就绪的基础。 它默认集成了多个 IBM Cloud 服务,以增强安全性、可观察性和合规性。 数据加密通过 Key Protect 和密钥管理服务 (KMS) 实现,而 Cloud Object Storage (COS) 支持持久存储并充当内部映像注册中心。 Secrets Manager 用于安全管理敏感凭证和证书,确保对访问和身份验证进行更严格的控制。 可观察性通过 Cloud Monitoring、云日志和 Activity Tracker 提供,而监管合规性则通过 Security and Compliance Center 和工作负载保护提供支持。 这些综合能力共同为 OpenShift 环境提供弹性和良好的管理。
该解决方案在 IBM Cloud VPC 中提供一个 Red Hat OpenShift 集群,使用默认的三区配置实现高可用性。 它在所有区域部署单一工作池,默认情况下每个区域有两个工作节点,并可通过可配置变量轻松扩展。 集群和启动卷加密会强制执行,并且需要一个专用对象存储桶来托管内部映像注册表。 这种设置从一开始就确保了强大的数据保护和基础设施的可靠性。
虽然该架构旨在独立运行,但也可作为更高级用例的灵活基础。 它支持与 Red Hat OpenShift AI 的云自动化无缝集成,使企业能够部署人工智能驱动的工作负载并加速创新。 凭借其安全、可扩展的设计和托管云服务,该解决方案可帮助企业降低运营复杂性,并在受管理的 Red Hat OpenShift 生态系统内更快地交付关键应用程序。
体系结构图
![OpenShift](deployable-architecture-ocp-cluster.svg " "标准 "的架构图--可配置服务的集成设置,用于容器化应用的着陆区的变体,带有 可部署架构 "标准 "的架构图--可配置服务的集成设置,用于容器化应用的着陆区的变体,带有 可部署架构 OpenShift")
设计理念
要求
下表列出了本架构所涉及的要求。
| 方面 | 要求 |
|---|---|
| 计算 | Openshift 集群具有最小的机器尺寸和节点,适用于低成本演示和开发 |
| 存储器 | Openshift 群集注册表备份(必填) |
| 网络 | 多个 VPC 实现网络隔离。 VPC 允许的所有公共入站和出站流量。 允许通过公共端点和网络控制台管理群集。 群集工作负载服务的负载平衡器。 从群集向外接入互联网。 VPC 之间的专用网络连接。 |
| 安全性 |
对所有传输中和静止的应用数据进行加密,以防止未经授权的数据泄露。
|
| 服务管理 | 利用 IBM Cloud 目录自动部署基础设施 |
组件
OpenShift Container Platform (OCP) 架构的决定
| 要求 | 组件 | 选择的理由 | 备选方案 |
|---|---|---|---|
|
Red Hat OpenShift Container Platform | 用于容器执行和协调 | 使用非托管 Kubernetes (IKS 或自托管) |
|
IBM Cloud Object Storage | 用于注册表备份 Red Hat OpenShift | 根据工作量要求,使用 File Storage 或 Block Storage |
| * 支持应用连接和路由选择 * 提供互联网访问 * 实现跨 VPC 的专用连接 |
VPC 负载平衡器,Public Gateway、Transit Gateway | 群集工作负载的应用负载平衡(由 Red Hat OpenShift 服务为多区群集自动创建) 群集访问互联网 * 管理和工作负载 VPC 之间的专用网络连接 |
使用传统的负载平衡器或基于 VPN 的连接 |
|
IBM Cloud IAM、Key Protect | IBM Cloud Identity and Access Management 管理 Red Hat 使用的加密密钥 OpenShift Container Platform |
使用 Secrets Manager 或操作系统级访问控制 |
集群架构决策
| 要求 | 组件 | 选择的理由 | 备选方案 |
|---|---|---|---|
| 跨区高可用性 工作负载容错 |
多区 Red Hat OpenShift 集群 | 通过将工作节点分布在三个区域,提供内置弹性 | 部署可用性较低的单区集群 |
| 可扩展的工人基础设施 成本优化 |
可配置节点数的工作池 | 灵活地横向和纵向扩展节点 | 没有缩放选项的固定大小集群 |
|
Cloud Object Storage | 高度耐用、加密且经济高效的存储设备 | 成本较高的文件或块存储解决方案 |
网络架构决策
| 要求 | 组件 | 选择的理由 | 备选方案 |
|---|---|---|---|
| 启用应用流量分配 支持外部工作负载 |
VPC 负载均衡器 | 提供受管理的入口和负载平衡 | 第三方入口控制器 |
|
公共网关 | 允许群集节点向外连接 | 仅限私人使用的集群,不能上网 |
| 多 VPC 通信 中心辐射模型 |
Transit Gateway | 提供跨 VPC 的安全专用连接 | 使用 VPN 网关或 Direct Link |
安全与合规架构决策
| 要求 | 组件 | 选择的理由 | 备选方案 |
|---|---|---|---|
| 静态数据加密 密钥生命周期管理 |
Key Protect | 集中管理加密密钥 | 自带钥匙 (BYOK) 解决方案 |
|
Secrets Manager | 集中存储和轮换敏感凭证 | 直接在 OpenShift 中存储秘密 etcd |
|
IAM | 跨用户和服务的精细访问控制 | 仅限本地 OpenShift RBAC |
灵活定制的架构决策
| 要求 | 组件 | 选择的理由 | 备选方案 |
|---|---|---|---|
| 支持扩展工作负载 支持混合部署 |
可配置的工人池 | 扩展工作节点,以满足工作负载需求 | 静态群组大小 |
| 满足不同的合规要求 实现可观测性集成 |
Cloud Monitoring 云日志、Activity Tracker | 提供企业级可视性和合规性报告 | 第三方监测工具 |
|
与云自动化集成,实现 Red Hat OpenShift AI | 为 AI/ML 用例奠定基础 | 人工智能服务的手动设置 |
主要功能
标准--集成设置与可配置服务的容器化应用着陆区变体,OpenShift,提供跨领域的综合功能:
Red Hat OpenShift Cluster
- 集群创建和配置:在 IBM Cloud 上创建 Red Hat OpenShift 集群,以大规模管理容器化应用。
- 企业级功能:集成的安全性、可扩展性、自动化和合规性功能。
- 多区部署:默认情况下,部署在三个区域,以实现高可用性。
工作程序池
- 可定制的工作者池:分组和管理具有相似计算配置的工作者节点。
- 可扩展性:支持工人池的横向扩展和机器配置文件的调整。
- 高可用性:工作节点可分布在多个区域,以提高弹性。
访问端点
- 公共和私人连接:提供私人和公共服务终端。
- 增强安全性:可启用专用端点,限制对受信任网络的访问。
- 管理灵活:通过 CLI、API 或网络控制台对集群进行安全管理。
Ingress 控制器
- 流量管理:部署入口控制器,将外部流量路由到正确的工作负载。
- TLS 终止:支持在入口处安全终止 HTTPS 流量。
- 可扩展性:可配置自定义入口域和证书。
Object Storage
- 群集注册表存储:为 OpenShift’s 内部映像注册表配置 IBM Cloud Object Storage 存储桶。
- 灵活配置:使用现有的 COS 实例或自动创建新的 COS 实例。
- 复原力:支持具有区域弹性的持久存储。
KMS 加密
- 启动卷和群集加密:可选择与 Key Protect 或 Hyper Protect Crypto Services 集成。
- 灵活的密钥选项:支持创建新的加密密钥或使用现有密钥。
- 合规支持:确保静态数据受到符合监管标准的保护。
Secrets Manager
- 集中凭证管理:可选择与 IBM Cloud Secrets Manager 集成。
- 证书生命周期管理:存储和管理入口子域 TLS 证书。
- 强化管理:对秘密使用进行细粒度访问控制。
可观察性
- 集成日志和监控功能:可选择设置 Cloud Monitoring、云日志和 Activity Tracker。
- 事件路由:集中管理集群和工作负载事件,以确保合规性和运行。
- 可扩展的遥测技术:可与企业可观测堆栈集成。
Kube 审计
- API 活动监控:捕获 Kubernetes API 服务器事件,如用户操作和配置更改。
- 合规保证:提供符合 FedRAMP 和企业安全要求的审计跟踪。
- 集中可视性:事件路由到可观察性和 SIEM 平台进行调查。