IBM Cloud Docs
FAQ pour Red Hat® OpenShift® on IBM Cloud®

FAQ pour Red Hat® OpenShift® on IBM Cloud®

Consultez les questions fréquemment posées questions fréquemment posées sur l'utilisation de Red Hat® OpenShift® on IBM Cloud®.

Qu'est-ce que Kubernetes ?

Kubernetes est une plateforme open source utilisée pour gérer des charges de travail et des services conteneurisés sur plusieurs hôtes et offrir des outils de gestion pour déployer, automatiser, surveiller et mettre à l'échelle de applications conteneurisées avec une intervention manuelle minimale voire nulle. Tous les conteneurs constituant votre microservice sont regroupés dans des pods. Les pods sont des unités logiques facilitant les opérations de gestion et de reconnaissance. Ces pods s'exécutent sur des hôtes de calcul gérés dans un cluster Kubernetes portable, extensible et à réparation spontanée en cas de défaillance.

Pour plus d'informations sur Kubernetes, voir la documentationKubernetes.

Comment créer un cluster Red Hat OpenShift on IBM Cloud ?

Pour créer un cluster Red Hat OpenShift on IBM Cloud, vous devez d'abord décider si vous souhaitez suivre un tutoriel pour une configuration de cluster de base ou concevoir votre propre environnement de cluster.

Je veux suivre un tutoriel
Commencez par consulter la documentation Initiation, puis choisissez l'un des tutoriels disponibles.
Je souhaite concevoir mon propre environnement de cluster
Commencez par consulter la documentation Initiation, puis créez votre stratégie d'environnement de cluster.

Comment Red Hat OpenShift on IBM Cloud fonctionne-t-il ?

Avec Red Hat OpenShift on IBM Cloud, vous pouvez créer votre propre cluster Red Hat OpenShift pour déployer et gérer des applications conteneurisées sur IBM Cloud. Vos applications conteneurisées sont hébergées sur des hôtes de calcul de l'infrastructure IBM Cloud nommés noeuds worker. Vous pouvez choisir de provisionner vos hôtes de calcul en tant que machines virtuelles avec des ressources partagées ou dédiées, ou en tant que machines " bare metal " qui peuvent être optimisées pour l'utilisation du GPU et du stockage défini par logiciel (SDS). Vos noeuds worker sont contrôlés par un maître Red Hat OpenShift à haute disponibilité configuré, surveillé et géré par IBM. Vous pouvez utiliser l'API ou l'Interface de ligne de commande IBM Cloud Kubernetes Service pour travailler avec les ressources d'infrastructure de votre cluster et utiliser l'API ou l'interface de ligne de commande de Kubernetes pour gérer vos services et vos déploiements.

Pour plus d'informations sur la configuration des ressources de votre cluster, voir Architecture de service. Pour obtenir une liste des fonctionnalités et des avantages, voir Avantages et offres de service.

Pourquoi dois-je utiliser Red Hat OpenShift on IBM Cloud ?

Red Hat OpenShift on IBM Cloud est une offre Red Hat OpenShift gérée qui fournit des outils puissants, une expérience utilisateur intuitive et une sécurité intégrée pour distribuer rapidement des applications que vous pouvez associer à des services de cloud liés à IBM Watson®, l'intelligence artificielle, IoT, DevOps, ainsi qu'à la sécurité et à l'analyse des données. En tant que fournisseur Kubernetes agréé, Red Hat OpenShift on IBM Cloud fournit une planification intelligente, des fonctions de réparation spontanée, la mise à l'échelle horizontale, la reconnaissance de service et l'équilibrage de charge, des déploiements et rétromigrations automatiques, ainsi que la gestion des configurations et des secrets. Le service dispose également de fonctions avancées pour simplifier la gestion d'un cluster, la sécurité des conteneurs et les règles d'isolement, la possibilité de concevoir votre propre cluster et des outils opérationnels intégrés pour garantir une certaine cohérence dans les déploiements.

Pour obtenir une présentation détaillée des fonctionnalités et des avantages, voir Avantages liés à l'utilisation du service.

Quelles sont les plateformes de conteneur disponibles pour mon cluster ?

IBM Cloud, vous permet de créer des clusters pour vos charges de travail conteneurisées à partir de deux plateformes de gestion de conteneurs distinctes : la version IBM de communauté Kubernetes et Red Hat OpenShift on IBM Cloud. La plateforme de conteneur que vous sélectionnez est installée sur le maître et les noeuds worker de votre cluster. Par la suite, vous pouvez Mettre à jour la version, mais vous ne pouvez pas revenir à une version précédente ou passer à une autre plateforme de conteneur. Si vous souhaitez utiliser plusieurs plateformes de conteneur, créez un cluster distinct pour chacune d'elles.

Pour plus d'informations, reportez-vous à la comparaison entre les clusters Red Hat OpenShift et les clusters de communauté Kubernetes.

Kubernetes
Kubernetes est une plateforme d'orchestration de conteneurs open source de niveau production que vous pouvez utiliser pour automatiser, mettre à l'échelle et gérer vos applications conteneurisées qui s'exécutent sur un système d'exploitation Ubuntu. Grâce à la version IBM Cloud Kubernetes Service, vous avez accès aux fonctions d'API de communauté Kubernetes qui sont considérées comme des fonctions bêta ou de niveau supérieur par la communauté. Par défaut, les fonctions alpha Kubernetes, qui sont susceptibles d'être modifiées, ne sont généralement pas activées. Grâce à Kubernetes, vous pouvez combiner différentes ressources, telles que des secrets, des déploiements et des services afin de créer et gérer en toute sécurité des applications conteneurisées hautement disponibles.
Red Hat OpenShift
Red Hat OpenShift on IBM Cloud est une plateforme basée sur Kubernetes, spécialement conçue pour accélérer vos processus de livraison d'applications conteneurisées fonctionnant sur un système d'exploitation Red Hat Enterprise Linux. Vous pouvez orchestrer et mettre à l'échelle vos charges de travail Red Hat OpenShift existantes sur des clouds sur site et hors site pour une solution hybride portable qui fonctionne de la même manière dans des scénarios multicloud. Pour commencer, suivez le tutoriel Red Hat OpenShift on IBM Cloud.

Le service est-il fourni avec un maître et des noeuds Red Hat OpenShift gérés ?

Dans Red Hat OpenShift on IBM Cloud, tous les clusters sont contrôlés par un maître Red Hat OpenShift dédié qui est géré par IBM dans un compte d'infrastructure IBM Cloud appartenant à IBM. Le maître Red Hat OpenShift, y compris tous les composants du maître, les opérations de calcul, les réseaux et les ressources de stockage, sont surveillés en permanence par des ingénieurs IBM SRE (Site Reliability Engineers). Ces ingénieurs appliquent les dernières normes en matière de sécurité, détectent et éliminent les activités malveillantes et travaillent pour assurer la fiabilité et la disponibilité de Red Hat OpenShift on IBM Cloud.

Régulièrement, Red Hat OpenShift publie des mises à jour principales, secondaires ou de correctif. Ces mises à jour peuvent affecter la version du serveur d'API Red Hat OpenShift ou d'autres composants dans le maître Red Hat OpenShift. IBM met à jour automatiquement la version de correctif, mais vous devez mettre à jour les versions principales et secondaires. Pour plus d'informations, voir Mise à jour du maître.

Les noeuds worker dans les clusters standard sont provisionnés dans votre compte d'infrastructure IBM Cloud. Les noeuds worker sont dédiés à votre compte et il vous incombe de demander des mises à jour de ces noeuds worker fréquemment pour vous assurer que le système d'exploitation des noeuds worker et les composants Red Hat OpenShift on IBM Cloud appliquent les mises à jour et les correctifs de sécurité les plus récents. Des mises à jour de sécurité et des correctifs sont mis à disposition par les ingénieurs IBM SRE (Site Reliability Engineers) qui surveillent en permanence l'image Linux installée sur vos noeuds worker pour détecter les vulnérabilités et les problèmes de conformité en matière de sécurité. Pour plus d'informations, voir Mise à jour des noeuds worker.

Pourquoi mes nœuds de travail ont-ils le rôle master ?

Lorsque vous exécutez oc get nodes ou oc describe node <worker_node>, vous pouvez voir que les nœuds worker ont des rôles master,worker. Dans les clusters OpenShift Container Platform, les opérateurs utilisent le rôle maître comme nodeSelector pour que OCP puisse déployer des composants par défaut contrôlés par des opérateurs, tels que le registre interne, dans votre cluster. Aucun processus de noeud maître, tel que le serveur d'API ou le planificateur de Kubernetes scheduler, ne s'exécute sur vos noeuds worker. Pour plus d'informations sur les composants de noeud maître et worker, voir Architecture Red Hat OpenShift.

Quels types de charges de travail puis-je déplacer vers Red Hat OpenShift on IBM Cloud?

Le tableau ci-après fournit quelques exemples de types de charge de travail généralement déplacés par les utilisateurs vers les divers types de cloud. Vous pouvez également choisir une approche hybride où des clusters sont exécutés dans les deux environnements.

Les implémentations deIBM Cloud prennent en charge vos charges de travail
Charge de travail Kubernetes Service hors site sur site
Outils d'activation DevOps Oui
Développement et test d'applications Oui
Des déplacements majeurs sont demandés pour les applications et elles doivent rapidement faire l'objet d'une mise à l'échelle Oui
Applications métier, telles que CRM, HCM, ERP et E-commerce Oui
Outils de collaboration et de réseau social, tels que la messagerie électronique Oui
Charges de travail RHEL Oui
bare metal Oui Oui
Ressources de calcul GPU Oui Oui
Charges de travail compatibles PCI et HIPAA Oui Oui
Applications existantes avec des contraintes et des dépendances de plateforme et d'infrastructure Oui
Applications de propriété avec des conceptions strictes, des règles d'octroi de licence ou des réglementations sévères Oui
Prêt à exécuter des charges de travail hors site sur Red Hat OpenShift on IBM Cloud?
Parfait ! Vous êtes déjà dans la documentation du nuage public. Poursuivez votre lecture afin de découvrir d'autres idées de stratégies ou prenez une longueur d'avance en créant un cluster dès maintenant.
Vous souhaitez exécuter des charges de travail à la fois sur site et hors site?
Explorez IBM Cloud Satellite pour étendre la flexibilité et l'évolutivité d'IBM Cloud dans vos environnements de fournisseur sur site, de périphérie ou de cloud.

Puis-je automatiser mes déploiements d'infrastructure ?

Si vous souhaitez exécuter votre application dans plusieurs clusters, plusieurs environnements privés et publics, ou même dans plusieurs fournisseurs de cloud, vous vous demandez peut-être comment faire pour que votre stratégie de déploiement fonctionnent dans tous ces environnements.

Vous pouvez utiliser l'outil Terraform open source pour automatiser la mise à disposition de l'infrastructure IBM Cloud, y compris les clusters Kubernetes. Suivez ce tutoriel pour créer des clusters Kubernetes et OpenShift à zone unique et à zones multiples. Après avoir créé un cluster, vous pouvez également configurer le programme de mise à l'échelle automatique de cluster Red Hat OpenShift on IBM Cloud de sorte que votre pool de noeuds worker puisse augmenter et réduire le nombre de noeuds worker en fonction des demandes de ressources de votre charge de travail.

Quel type d'application puis-je exécuter ? Puis-je déplacer des applications existantes ou dois-je développer de nouvelles applications ?

Votre application conteneurisée doit pouvoir s'exécuter sur l'un des systèmes d'exploitation pris en charge pour votre version de cluster. Vous souhaitez également prendre en compte le caractère avec état de votre application. Pour plus d'informations sur les types d'application qui peuvent s'exécuter dans Red Hat OpenShift on IBM Cloud, voir Planification des déploiements d'application.

Si vous possédez déjà une application, vous pouvez la faire migrer vers Red Hat OpenShift on IBM Cloud. Si vous souhaitez développer une nouvelle application, consultez le fichier Instructions pour le développement d'applications sans état, cloud-natives.

Qu'en est-il des applications sans serveur?

Vous pouvez exécuter des applications et des travaux sans serveur via le service IBM Cloud Code Engine. Code Engine peut également générer vos images pour vous.

Quelles compétences devrais-je avoir avant de déplacer mes applications vers un cluster?

Red Hat OpenShift est conçu pour fournir des fonctions à deux personnes, l'administrateur de cluster et le développeur d'applications. Chaque personne utilise différentes compétences techniques pour exécuter et développer des applications sur un cluster.

Quelles sont les principales tâches et connaissances techniques d'un administrateur de cluster?
En tant qu'administrateur de cluster, vous êtes chargé de configurer, faire fonctionner, sécuriser et gérer l'infrastructure IBM Cloud de votre cluster. En général, les tâches sont les suivantes :
  • Dimensionner le cluster afin de fournir suffisamment de capacité pour vos charges de travail.
  • Concevoir un cluster afin d'atteindre les normes de haute disponibilité, de reprise après incident et de conformité de votre entreprise.
  • Sécuriser le cluster en configurant des droits utilisateur et en limitant les actions au sein du cluster afin de protéger vos ressources de calcul, votre réseau et vos données.
  • Planifier et gérer la communication réseau entre les composants d'infrastructure afin de garantir la sécurité, la segmentation et la conformité du réseau.
  • Planifier des options de stockage permanent afin de répondre aux exigences en matière d'hébergement de données et de protection des données.

La personne chargée de l'administration de cluster doit avoir des connaissances approfondies en matière de réseau, de stockage, de sécurité et de conformité. En général, dans une entreprise, ces connaissances sont réparties entre plusieurs spécialistes, tels que les ingénieurs système, les administrateurs système, les ingénieurs réseau, les architectes réseau, les responsables informatiques ou les spécialistes sécurité et conformité. Pensez à affecter le rôle d'administration de cluster à plusieurs personnes de votre entreprise de sorte que celle-ci possède les connaissances requises pour faire fonctionner correctement le cluster.

Quelles sont les principales tâches et compétences techniques d'un développeur d'applications?
En tant que développeur, vous concevez, créez, sécurisez, déployez, testez, exécutez et surveillez des applications conteneurisées natives pour le cloud dans un cluster Red Hat OpenShift. Pour créer et exécuter ces applications, vous devez connaître le concept de microservices, les directives d'application en 12 facteurs, les principes Docker et de conteneurisation, ainsi que les options de déploiement Red Hat OpenShift disponibles.

Red Hat OpenShift et Red Hat OpenShift on IBM Cloud fournissent plusieurs options pour exposer une application et maintenir une application privée, ajouter du stockage persistant, intégrer d'autres services et sécuriser vos charges de travail et protéger des données sensibles. Avant de déplacer votre application vers un cluster sur Red Hat OpenShift on IBM Cloud, vérifiez que vous pouvez exécuter votre application en tant qu'application conteneurisée sur le système d'exploitation pris en charge et que Red Hat OpenShift et Red Hat OpenShift on IBM Cloud fournissent les capacités dont votre charge de travail a besoin.

Les administrateurs et les développeurs de clusters interagissent-ils les uns avec les autres?
Oui. Les administrateurs de cluster et les développeurs doivent interagir fréquemment afin que les administrateurs de cluster puissent comprendre les besoins en charge de travail et fournir cette capacité dans le cluster et pour que les développeurs puissent prendre connaissance des limitations, intégrations et principes de sécurité disponibles dont ils doivent tenir compte dans leur processus de développement d'application.

Quelles sont les options à ma disposition pour sécuriser mon cluster ?

Vous pouvez utiliser des fonctions de sécurité intégrées dans Red Hat OpenShift on IBM Cloud pour protéger les composants dans votre cluster, vos données et les déploiements d'application afin d'assurer la conformité en matière de sécurité et l'intégrité des données. Utilisez ces fonctions pour sécuriser votre serveur d'API Red Hat OpenShift, le magasin de données etcd, les noeuds worker, les réseaux, le stockage, les images et les déploiements contre les attaques malveillantes. Vous pouvez également tirer parti des outils de journalisation et de surveillance pour détecter les attaques malveillantes et les signes d'utilisation suspecte.

Pour obtenir plus d'informations sur les composants de votre cluster et savoir comment se conformer aux normes de sécurité pour chacun d'eux, voir Sécurité de Red Hat OpenShift on IBM Cloud.

Quelles politiques d'accès dois-je fournir à mes utilisateurs de cluster ?

Red Hat OpenShift on IBM Cloud utilise Cloud Identity and Access Management (IAM) pour octroyer un accès aux ressources de cluster via des rôles d'accès à la plateforme IAM et des politiques de contrôle d'accès à base de rôles (RBAC) Kubernetes via des rôles d'accès au service IAM. Pour plus d'informations sur les types de politiques d'accès, voir Choisir la bonne politique d'accès et le bon rôle pour vos utilisateurs.

De quelles autorisations l'utilisateur qui définit la clé API a-t-il besoin? Comment donner ces autorisations à l'utilisateur?

Au minimum, les rôles Administrateurs ou Gestion de la conformité sont autorisés à créer un cluster. Toutefois, vous pouvez avoir besoin de droits supplémentaires pour d'autres services et intégrations que vous utilisez dans votre cluster. Pour plus d'informations, voir Droits de création d'un cluster.

Pour vérifier les autorisations d'un utilisateur, examinez les politiques d'accès et les groupes d'accès de l'utilisateur dans la console IBM Cloud, ou utilisez la commande ibmcloud iam user-policies <user>.

Si la clé API est basée sur un utilisateur, comment les autres utilisateurs du cluster dans la région et le groupe de ressources sont-ils affectés?

Les autres utilisateurs de la région et du groupe de ressources du compte se partagent la clé d'API pour accéder à l'infrastructure et à d'autres services avec des clusters Red Hat OpenShift on IBM Cloud. Lorsque les utilisateurs se connectent au compte IBM Cloud, un jeton IBM Cloud IAM basé sur la clé d'API est généré pour la session de l'interface de ligne de commande (CLI) et permet aux commandes liées à l'infrastructure de s'exécuter dans un cluster.

Que se passe-t-il si l'utilisateur qui a configuré la clé API pour une région et un groupe de ressources quitte l'entreprise?

Si l'utilisateur quitte votre organisation, le propriétaire du compte IBM Cloud peut retirer les droits de cet utilisateur. Cependant, avant de retirer les droits d'accès spécifiques à un utilisateur ou de retirer un utilisateur de votre compte, vous devez réinitialiser la clé d'API avec les données d'identification d'un autre utilisateur. Autrement, les autres utilisateurs du compte pourraient perdre leur accès au portail de l'infrastructure IBM Cloud et les commandes liées à l'infrastructure pourraient échouer. Pour plus d'informations, voir Retrait de droits utilisateur.

Comment puis-je verrouiller mon cluster si ma clé API est compromise?

Si une clé d'API définie pour une région et un groupe de ressources dans votre cluster est compromise, supprimez-la pour qu'il n'y ait plus aucun appel effectué en utilisant cette clé d'API pour l'authentification. Pour plus d'informations sur la sécurisation des accès au serveur d'API Kubernetes, voir la rubrique Sécurité du serveur d'API Kubernetes et d'etcd.

Comment faire pivoter la clé API du cluster en cas de fuite?

Pour savoir comment renouveler votre clé API, voir Comment renouveler la clé API du cluster en cas de fuite?

Où trouver une liste des bulletins de sécurité concernant mon cluster ?

Si des vulnérabilités se trouvent dans Red Hat OpenShift, Red Hat OpenShift publie des CVE dans les bulletins de sécurité afin d'informer les utilisateurs et de décrire les actions que les utilisateurs doivent prendre pour remédier à la vulnérabilité. Les bulletins de sécurité Red Hat OpenShift qui affectent les utilisateurs Red Hat OpenShift on IBM Cloud ou la plateforme IBM Cloud sont publiés dans Bulletin de sécurité IBM Cloud.

Certaines vulnérabilités (CVE) nécessitent une mise à jour de correctif de dernier niveau pour une version que vous pouvez installer dans le cadre d'un processus de mise à jour de cluster normal dans Red Hat OpenShift on IBM Cloud. Veillez à appliquer les correctifs de sécurité à temps pour protéger votre cluster contre les attaques malveillantes. Pour plus d'informations sur le contenu d'un correctif de sécurité, consultez le journal des changements de version.

Est-ce que le service propose la prise en charge des processeurs graphiques (GPU) et de la technologie bare metal ?

Certaines versions de noeud worker VPC offrent la prise en charge de GPU. Pour plus d'informations, voir VPC flavors.

Oui, vous pouvez mettre à disposition votre noeud worker sous forme de serveur bare metal physique à service exclusif. Les serveurs bare metal offrent des avantages en termes de hautes performances pour les charges de travail, telles que les données, les processeurs graphiques (GPU) et l'intelligence artificielle. De plus, toutes les ressources matérielles sont dédiées à vos charges de travail, vous n'avez donc pas à vous soucier des "voisins bruyants".

Pour plus d'informations sur les variantes de bare metal disponibles et sur la différence entre bare metal et machines virtuelles, voir le guide de planification.

Quelle est la taille minimale d'un cluster ?

Notez que l'exécution du plus petit cluster possible ne respecte pas l'accord sur les niveaux de service (SLA) pour recevoir le support. Gardez également à l'esprit que certains services, tels qu'Ingress, nécessitent des configurations de noeud worker à haute disponibilité. Il se peut que vous ne puissiez pas exécuter ces services ou vos applications dans des clusters avec seulement deux noeuds dans un pool de noeuds worker. Pour plus d'informations, voir Planification de votre cluster pour la haute disponibilité.

Clusters classiques ou VPC
Les clusters doivent toujours comporter au moins 2 noeuds worker. Notez que vous ne pouvez pas avoir un cluster avec 0 nœud ouvrier, et que vous ne pouvez pas éteindre ou suspendre la facturation pour vos nœuds ouvriers.
Clusters Satellite
Les clusters peuvent être créés à l'aide de la topologie de réplique unique, ce qui signifie qu'un seul noeud worker. Notez que si vous créez un cluster Satellite à l'aide d'une topologie à réplique unique, vous ne pouvez pas ajouter de noeuds worker ultérieurement.

Quelles sont les versions prises en charge par le service?

Red Hat OpenShift on IBM Cloud prend en charge simultanément plusieurs versions de Red Hat OpenShift. Lorsqu'une nouvelle version (n) est publiée, les versions jusqu'à 2 derrière ( n-2 ) sont prises en charge. Les versions au-delà de deux versions avant la version la plus récente (n-3) sont d'abord obsolètes, puis finissent par ne plus être prises en charge.

Pour plus d'informations sur les versions prises en charge et les actions de mise à jour que vous devez entreprendre pour passer d'une version à l'autre, consultez les informations sur les versions à l'adresse Red Hat OpenShift on IBM Cloud.

Quels sont les systèmes d'exploitation de noeud worker pris en charge par le service?

Pour la liste des systèmes gérés par noeud worker pris en charge par version de cluster, voir les informations de version deRed Hat OpenShift on IBM Cloud.

Où est disponible ce service ?

Red Hat OpenShift on IBM Cloud est disponible dans le monde entier. Vous pouvez créer des clusters dans toutes les régions prises en charge par Red Hat OpenShift on IBM Cloud.

Pour plus d'informations sur les régions prises en charge, voir Emplacements.

Le service est-il à haute disponibilité ?

Oui. Par défaut, Red Hat OpenShift on IBM Cloud configure de nombreux composants, tels que le maître cluster avec des répliques, l'anti-affinité, et d'autres options pour augmenter la haute disponibilité du service. Vous pouvez accroître la redondance et la tolérance aux pannes de vos noeuds worker de cluster, de votre stockage, de vos réseaux et de vos charges de travail en les configurant dans une architecture à haute disponibilité. Pour une vue d'ensemble de la configuration par défaut et des options permettant d'accroître l'accessibilité, voir Création d'une stratégie de cluster hautement disponible.

Pour connaître les dernières dispositions de l'accord sur les niveaux de service à haute disponibilité, voir Conditions d'utilisation d'IBM Cloud. En général, les dispositions des accords sur les niveaux de service nécessitent que, lorsque vous les configurez dans une architecture à haute disponibilité, vous répartissiez vos ressources d'infrastructure uniformément sur trois zones de disponibilité différentes. Par exemple, pour recevoir une couverture haute disponibilité selon les termes du contrat de service, vous devez configurer un cluster multizone avec un total d'au moins 6 nœuds de travail, deux nœuds de travail par zone qui sont répartis également sur trois zones.

Comment fonctionnent les groupements multizones ?

Comment mon maître Red Hat OpenShift on IBM Cloud est-il configuré?

Lorsque vous créez un cluster dans un emplacement multizone, un maître à haute disponibilité est automatiquement déployé et trois répliques sont réparties entre les zones de la métropole. Par exemple, si le cluster se trouve dans les zones dal10, dal12 ou dal13, les répliques du maître sont réparties dans chaque zone de la métropole multizone Dallas.

Dois-je faire quelque chose pour que le maître puisse communiquer avec les travailleurs à travers les zones?

Si vous avez créé un cluster de VPC multizone, les sous-réseaux de chaque zone sont automatiquement configurés avec des listes de contrôle d'accès (ACL) qui permettent la communication entre le maître et les noeuds worker entre les zones. Dans des clusters classiques, si vous disposez de plusieurs VLAN pour votre cluster, de plusieurs sous-réseaux sur le même VLAN ou d'un cluster classique multizone, vous devez activer une fonction VRF (Virtual Router Function) pour votre compte d'infrastructure IBM Cloud de sorte que vos noeuds worker puissent communiquer entre eux sur le réseau privé. Pour activer la fonction VRF, voir Activation de VRF. Pour vérifier si la fonction VRF est déjà activée, utilisez la commande ibmcloud account show. Si vous ne pouvez pas ou ne souhaitez pas activer VRF, activez Réseau local virtuel. Pour effectuer cette action, vous devez disposer de l'autorisation « Réseau > Gérer l'infrastructure de couverture VLAN réseau », ou vous pouvez demander au propriétaire du compte de l'activer. Pour vérifier si l'extension de VLAN est déjà activée, utilisez la commande ibmcloud oc vlan spanning get --region <region>.

Puis-je convertir mon cluster à zone unique en cluster multizone?

Pour convertir un cluster à zone unique en cluster multizone, votre cluster doit être configuré dans un endroit qui possède plus d'une zone de disponibilité.

  • Les clusters VPC ne peuvent être mis en place que dans des régions multizones et, en tant que tels, peuvent toujours être convertis d'un cluster à zone unique en un cluster multizone. Pour plus d'informations, voir Adding worker nodes to VPC clusters.
  • Les clusters classiques installés dans des centres de données ne comportant qu'une seule zone ne peuvent pas être convertis en cluster multizone. Pour plus d'informations, voir Ajouter des nœuds de travail aux clusters Classic.

Que se passe-t-il si je souhaite mettre en place plusieurs clusters dans différentes régions?

Vous pouvez configurer plusieurs clusters dans différentes régions d'une géolocalisation (par exemple Sud des Etats-Unis et Est des Etats-Unis) ou entre plusieurs géolocalisations (par exemple Sud des Etats-Unis et Europe centrale). Ces deux types de configuration offrent le même niveau de disponibilité pour votre application, mais ajoutent également une certaine complexité quand il s'agit de partage et de réplication de données. Dans la plupart des cas, rester dans la même géolocalisation est largement suffisant. Mais si vous avez des utilisateurs à travers le monde, il peut être préférable de configurer un cluster où se trouvent vos utilisateurs afin que vos utilisateurs ne connaissent pas de temps d'attente lorsqu'ils envoient une demande à votre application.

Quelles sont les options dont je dispose pour équilibrer les charges de travail entre plusieurs clusters?

Pour équilibrer vos charges de travail sur plusieurs clusters, vous devez rendre vos applications disponibles sur le réseau public en utilisant Ingress, des routeurs ou des équilibreurs de charge de réseau (NLB). Les services de routeur et les équilibreurs de charge de réseau se voient affecter une adresse IP publique que vous pouvez utiliser pour accéder à vos applications.

Pour équilibrer les charges de travail entre vos applications, ajoutez les adresses IP publiques de vos services de routeur et de vos équilibreurs de charge de réseau à un équilibreur de charge global CIS ou à votre propre équilibreur de charge global.

Que faire si je veux équilibrer les charges de travail sur le réseau privé?

IBM Cloud n'offre pas de service d'équilibrage de charge global sur le réseau privé. Toutefois, vous pouvez connecter votre cluster à un équilibreur de charge privé que vous hébergez dans votre réseau sur site à l'aide de l'une des options VPN prises en charge. Prenez soin d'exposer vos applications sur le réseau privé en utilisant Ingress, des routeurs ou des équilibreurs de charge de réseau (NLB) et d'utiliser l'adresse IP privée dans vos paramètres VPN pour connecter votre application à votre réseau sur site.

Le maître et les noeuds worker sont-ils à haute disponibilité ?

L'architecture et l'infrastructure de Red Hat OpenShift on IBM Cloud est conçue pour assurer la fiabilité, réduire les temps d'attente de traitement et favoriser la disponibilité maximale du service. Par défaut, tous les clusters dans Red Hat OpenShift on IBM Cloud sont configurés avec plusieurs instances du maître Red Hat OpenShift pour assurer la disponibilité et l'accessibilité de vos ressources de cluster, même si une ou plusieurs instances de votre maître Red Hat OpenShift sont indisponibles.

Vous pouvez accentuer la haute disponibilité de votre cluster et protéger votre application des interruptions en répartissant vos charges de travail sur plusieurs noeuds worker dans plusieurs zones d'une région. Cette configuration est appelée cluster multizone et garantit que votre application est accessible, même si un nœud de travail ou une zone entière n'est pas disponible.

Pour se prémunir contre la défaillance d'une région entière, créez plusieurs clusters et répartissez-les sur les régions IBM Cloud. En configurant un équilibreur de charge de réseau (NLB) pour vos clusters, vous pouvez obtenir un équilibrage de charge interrégional et une mise en réseau interrégionale de vos clusters.

Si vous avez des données qui doivent être disponibles, même en cas de panne, veillez à stocker vos données dans un stockage persistant.

Pour plus d'informations sur les moyens d'obtenir la haute disponibilité pour votre cluster, voir Haute disponibilité pour Red Hat OpenShift on IBM Cloud.

Mes applications se répartissent-elles automatiquement entre les zones?

Cela dépend de la manière dont vous avez configuré l'application. Voir Planification de déploiements à haute disponibilité et Planification de stockage persistant à haute disponibilité.

Les nœuds de travail sont-ils cryptés?

Le disque secondaire du noeud worker est chiffré. Pour plus d'informations, voir Présentation du chiffrement de cluster. Après avoir créé un pool de noeuds worker, vous constaterez peut-être que le nom de la version de noeud worker contient .encrypted, par exemple, b3c.4x16.encrypted.

Quelles sont les normes de conformité auxquelles le service est conforme ?

IBM Cloud repose sur de nombreuses normes en matières de données, de finance, de santé, d'assurance, de confidentialité, de sécurité, de technologie et de conformité internationale. Pour plus d'informations, voir Conformité IBM Cloud.

Pour connaître les exigences détaillées du système, vous pouvez lancer un rapport de compatibilité du produit logiciel pour Red Hat OpenShift on IBM Cloud. Notez que la conformité dépend du fournisseur d'infrastructure sous-jacent pour les noeuds worker, les réseaux et les ressources de cluster.

Infrastructure classique: Red Hat OpenShift on IBM Cloud met en œuvre des contrôles correspondant aux normes de sécurité suivantes :

  • Cadre Privacy Shield Suisse/Etats-Unis et Privacy Shield UE-EU
  • Health Insurance Portability and Accountability Act (HIPAA)
  • Normes Service Organization Control (SOC 1 Type 2, SOC 2 Type 2)
  • International Standard on Assurance Engagements 3402 (ISAE 3402), rapports d'assurance quant à la fiabilité des contrôles au niveau de l'organisation des services
  • International Organization for Standardization (ISO 27001, ISO 27017, ISO 27018)
  • Payment Card Industry Data Security Standard (PCI DSS)

Infrastructure VPC: Red Hat OpenShift on IBM Cloud met en œuvre des contrôles correspondant aux normes de sécurité suivantes :

  • Cadre Privacy Shield Suisse/Etats-Unis et Privacy Shield UE-EU
  • Health Insurance Portability and Accountability Act (HIPAA)
  • International Standard on Assurance Engagements 3402 (ISAE 3402), rapports d'assurance quant à la fiabilité des contrôles au niveau de l'organisation des services

Satellite: consultez la documentation IBM Cloud Satellite.

Puis-je utiliser d'autres services IBM Cloud avec mon cluster?

Vous pouvez ajouter des services d'infrastructure et de plateforme IBM Cloud, ainsi que des services de fournisseurs tiers à votre cluster Red Hat OpenShift on IBM Cloud pour activer l'automatisation, renforcer la sécurité ou améliorer vos fonctions de surveillance et de journalisation dans le cluster.

Pour obtenir la liste des services pris en charge, voir Intégration de services.

Comment installer un site Cloud Pak dans mon cluster?

Les packages Cloud Pak sont intégrés dans le catalogue IBM Cloud pour que vous puissiez installer et configurer rapidement tous les composants Cloud Pak dans un cluster Red Hat OpenShift, nouveau ou existant. Lorsque vous installez le site Cloud Pak, le site Cloud Pak est provisionné avec le site Schematics et un espace de travail Schematics est créé pour vous. Vous pouvez utiliser cet espace de travail par la suite pour accéder aux informations d'installation de votre package Cloud Pak. L'accès à vos services Cloud Pak s'effectue à partir de l'URL du package Cloud Pak. Pour plus d'informations, consultez la documentation deCloud Pak

Puis-je utiliser l'autorisation d'utilisation d'Red Hat OpenShift fournie avec mon package Cloud Pak pour mon cluster ?

Oui, si votre package Cloud Pak comprend une autorisation d'utilisation permettant d'exécuter certaines versions de noeud worker installées avec OpenShift Container Platform. Pour consulter vos droits, enregistrez-vous IBM Passport Advantage. Notez que votre ID IBM Cloud doit correspondre à votre ID IBM Passport Advantage.

Vous pouvez créer le cluster ou le worker pool au sein d'un cluster existant avec l'habilitation Cloud Pak dans la console ou en utilisant l'option --entitlement ocp_entitled dans la commande ibmcloud oc cluster create classic ou ibmcloud oc worker-pool create classic Dans les commandes CLI. Veillez à spécifier le nombre et la version appropriés des noeuds worker que vous êtes autorisé à utiliser.

Ne dépassez pas les autorisations d'utilisation dont vous disposez. Gardez à l'esprit que les autorisations d'utilisation dont vous disposez pour OpenShift Container Platform peuvent être utilisées avec d'autres fournisseurs de cloud ou dans d'autres environnements. Pour éviter tout problème de facturation, prenez soin d'utiliser uniquement ce que vous êtes autorisé à utiliser. Par exemple, vous pouvez disposer d'une autorisation d'utilisation relative aux licences OCP pour deux noeuds worker de 4 UC et 16 Go de mémoire, et vous créez ce pool de noeuds worker avec deux noeuds worker de 4 UC et 16 Go de mémoire. Vous avez utilisé toute votre autorisation, et vous ne pouvez pas utiliser la même autorisation pour d'autres pools d'agents, fournisseurs de cloud ou environnements.

Puis-je installer plusieurs Cloud Paks dans le même cluster Red Hat OpenShift on IBM Cloud ?

Oui, mais vous devrez peut-être ajouter des noeuds worker supplémentaires pour que chaque Cloud Pak dispose de suffisamment de ressources de calcul pour s'exécuter. En outre, vous pouvez installer une seule instance du même Cloud Pak par cluster, par exemple Cloud Pak for Data; ou plusieurs instances dans différents projets du même cluster, par exemple Cloud Pak for Automation. Pour plus d'informations sur le dimensionnement, consultez la documentationCloud Pak.

Que contient un package Cloud Pak ?

Les packages Cloud Pak sont des logiciels intégrés sous licence et conteneurisés qui sont optimisés pour fonctionner ensemble dans les cas d'utilisation d'entreprise, en assurant la cohérence en termes de déploiement, contrôle d'accès et facturation. Vous pouvez utiliser de manière flexible des parties du Cloud Paks lorsque vous en avez besoin en choisissant la bonne combinaison de cœurs de processeurs virtuels du logiciel en fonction de vos charges de travail. Vous pouvez également modifier la combinaison de coeurs de processeurs virtuels avec l'évolution de vos charges de travail.

En fonction du package Cloud Pak, vous obtenez des logiciels IBM sous licence et des logiciels open source regroupés pour une expérience de gestion unifiée comprenant des fonctions de journalisation, de surveillance, de sécurité et d'accès.

  • IBM produits: Les Cloud Paks étendent les logiciels sous licence IBM et les intergiciels de IBM Marketplace, et intègrent ces produits à votre cluster pour moderniser, optimiser et exécuter des charges de travail en nuage hybride.
  • Logiciels open source : les packages Cloud Pak peuvent également inclure des composants open source pour les solutions natives de cloud et les solutions de cloud hybride portables. En principe, les logiciels open source ne sont pas gérés et vous êtes chargé de conserver vos composants à jour et sécurisés. Cependant, les packages Cloud Pak vous aident à gérer de manière cohérente l'intégralité du cycle de vie des composants Cloud Pak et des charges de travail que vous effectuez avec eux. Comme le logiciel libre est fourni avec le site Cloud Pak, vous bénéficiez de l'assistance de IBM et de l'intégration de certaines fonctions de IBM Cloud telles que le contrôle d'accès et la facturation.

Pour connaître les composants de chaque Cloud Pak, consultez la documentation de Cloud Pak.

Que dois-je savoir de plus pour utiliser des packages Cloud Pak ?

Lorsque vous configurez votre package Cloud Pak, il peut être nécessaire de gérer des ressources spécifiques à Red Hat OpenShift, telles que des contraintes de contexte de sécurité. Prenez soin d'utiliser l'interface de ligne de commande oc ou l'interface de ligne de commande kubectl version 1.12 pour interagir avec ces ressources, par exemple, oc get scc. La version de l'interface de ligne de commande kubectl 1.11 comporte un bogue qui génère une erreur lorsque vous exécutez des commandes sur des ressources propres à Red Hat OpenShift, telles que kubectl get scc.

Les outils tiers et open source que j'utilise avec mon cluster sont-ils pris en charge par IBM ?

Voir la politique de IBM en matière de sources ouvertes et de tiers.

Comment suis-je facturé ? Puis-je estimer et contrôler les coûts dans mon cluster ?

Voir Gestion des coûts de vos clusters.

Puis-je rétromigrer mon cluster vers une version précédente?

Non, vous ne pouvez pas rétromigrer votre cluster vers une version précédente.

Puis-je déplacer mon cluster actuel vers un autre compte?

Non, vous ne pouvez pas déplacer le cluster vers un autre compte que celui dans lequel il a été créé.

Comment puis-je maintenir mon cluster dans un état pris en charge ?

  • Assurez-vous que votre cluster exécute toujours une version Red Hat OpenShift prise en charge.
  • Lorsqu'une nouvelle version mineure d'Red Hat OpenShift est publiée, une version plus ancienne est rapidement obsolète et n'est plus prise en charge.

Pour plus d'informations, voir Mise à jour du maître et des noeuds worker.

Quelles opérations sont bloquées si mon cluster exécute un système d'exploitation non pris en charge?

Les opérations suivantes sont bloquées lorsqu'un système d'exploitation n'est pas pris en charge:

  • rechargement de l'agent
  • remplacement d'agent sans mise à jour
  • remplacement d'agent par mise à jour
  • mise à jour de
  • création de pool de noeuds worker (avec un système d'exploitation non pris en charge)
  • rééquilibrage du pool de noeuds worker
  • redimensionnement du pool de noeuds worker (mise à l'échelle)
  • ajout de zone de pool de noeuds worker
  • redimensionner le groupe d'instances (correctif)
  • autoscaler remove worker ( v2/autoscalerRemoveWorker )

Combien coûtent les conteneurs confidentiels?

IBM ne facture pas de frais supplémentaires pour les conteneurs confidentiels. Le coût reste le même pour les frais de service et les frais standard de l'ISV pour chaque module confidentiel qui commence en tant qu'ISV aux taux standard de IBM Cloud.

Puis-je construire mon propre CVM (podvm) pour les conteneurs confidentiels?

Oui. Le site ConfigMap peut être configuré pour pointer vers une machine virtuelle confidentielle (CVM) que vous avez configurée. IBM ne fournit pas d'aide pour construire son propre système. La création d'une image par vous-même peut entraîner des problèmes que le service d'assistance IBM ne peut pas résoudre.

Que dois-je utiliser comme fiduciaire dans les conteneurs confidentiels?

Pour le développement, l'exécution d'un simple trustee dans Docker / Podman sur une VM est suffisante. Ces conteneurs peuvent également être configurés directement sur OpenShift. Étant donné que l'administrateur est le garant de la sécurité de l'environnement, n'utilisez pas d'administrateur au sein du cluster OpenShift, qui est censé ne pas être fiable.

Pour la production, utilisez l'autorité de confiance Intel et configurez INITDATA pour qu'il utilise l'autorité de confiance Intel. Vous devez permettre à votre cluster de communiquer avec Intel, comme les groupes de sécurité, les permissions sécurisées par défaut OpenShift, etc.

Où puis-je obtenir de l'aide pour les contenants confidentiels?

OpenShift L'opérateur Sandboxed Containers sur Red Hat OpenShift on IBM Cloud est pris en charge par Red Hat et IBM. Utiliser les canaux d'assistance standard pour les deux services. Si votre OpenShift est licencié par l'intermédiaire de IBM Cloud, contactez IBM. Si vous apportez vos propres licences OpenShift à partir de Red Hat, vous pouvez contacter Red Hat.

Les conteneurs confidentiels peuvent-ils répondre à des normes de sécurité spécifiques, telles que NIST 800-53 R5?

Contactez votre équipe IBM pour discuter de vos intérêts spécifiques en matière de sécurité.