IBM Cloud Docs
服务限制

服务限制

Red Hat® OpenShift® on IBM Cloud® Red Hat OpenShift 开源项目默认配备服务设置与限制,以确保安全性、便捷性及基础功能。 某些限制条件在标注处可能可以更改。

若您预计将达到以下任何 Red Hat OpenShift on IBM Cloud 限制,请联系 IBM 支持团队,并在支持工单中提供集群ID、新的配额限制以及所在区域。

服务与配额限制

Red Hat OpenShift on IBM Cloud 所有集群均适用以下服务限制和配额,无论您计划使用何种基础设施提供商。 请注意,经典型VPC 集群的限制同样适用。

要查看您 IBM Cloud 账户中集群相关资源的配额限制,请使用 ibmcloud oc quota ls 命令。

Red Hat OpenShift on IBM Cloud 限制
类别 描述
API 速率限制 每个唯一源IP地址每10秒向 Red Hat OpenShift on IBM Cloud API发送200个请求。
应用程序部署 您部署的应用程序以及与集群集成的服务必须能够在工作节点的操作系统上运行。
Calico 网络插件 不支持更改插件、组件或 Calico 默认设置 Calico。 例如,不要部署 Calico 新插件版本,或修改组件 Calico、默认 IPPool 资源 Calico 或节点的守护进程集或部署。 相反,您可以参照文档 创建 CalicoNetworkPolicyGlobalNetworkPolicy更改 MTU Calico,或 禁用 CNI Calico 的端口映射插件
集群配额 每个区域和每个 基础设施提供商 最多可创建100个集群。 然而,自2024年1月1日起,配额将逐步增加直至达到100。 如需更多资源,请联系 IBM 支持团队。 在支持案例中,请包含您所需区域和基础设施提供商的新配额限制。 要列出配额,请运行 ibmcloud quota ls.
Kubernetes 请务必查看 项目 Kubernetes 限制
KMS 提供商 不支持自定义允许连接到您 IBM® Key Protect for IBM Cloud® 实例的IP地址。
Red Hat OpenShift 请务必查看您所用版本的 限制 OpenShift Container Platform 条件。
Kubernetes pod 日志 要检查单个应用程序 Pod 的日志,您可以使用命令行运行 oc logs <pod name>. 不要使用 Kubernetes 仪表板来流式传输 pod 的日志,这可能会导致对 Kubernetes 仪表板的访问中断。
监视
  • 由于 IBM 管理您的集群主节点,因此主节点的事件警报功能已被禁用。 IBM 监控集群主节点,并在检测到问题时进行修复。 因此,在管理员视图中 Red Hat OpenShift ,您可能会看到控制平面状态的提示信息 Not available
  • 内置 Prometheus 警报管理器包含两条规则,它们在 FIRING 处于活动状态时会显示为活跃警报: KubeControllerManagerDownKubeSchedulerDown。 这些组件属于 IBM 管理的集群主节点,因此您可以忽略这些警报。
操作系统 工作节点必须运行受支持的操作系统之一。 您无法创建包含运行不同类型操作系统的 worker 节点的集群。 有关更多信息,请参阅 版本信息 Red Hat OpenShift on IBM Cloud
OperatorHub 目录 要在私有集群中使用目录 OperatorHub,请参阅 禁用目录源 OperatorHub 映像并将其镜像到 icr.io
Pod实例 每个工作程序节点可以运行 110 个 pod。 若工作节点配备11个或更多CPU核心,则每个核心可支持10个Pod,每个工作节点最多可支持250个Pod。 pod 数包括在工作程序节点上运行的 kube-systemibm-system pod。 为提升性能,建议限制每个计算核心运行的Pod数量,避免过度使用工作节点。 例如,在使用 b3c.4x16 类型模板的工作程序节点上,可每个核心运行 10 个 pod,这些 pod 使用的容量占工作程序节点总容量的比例不超过 75%。
已弃用的 基于时间的一次性密码(TOTP) 要使用 TOTP,请确保为您的整个 IBM Cloud 账户 启用多因素身份验证(MFA)。 如果仅对部分用户启用了多因素认证(MFA),而未在账户级别启用,则可能发生身份验证错误。
工作节点配额 对于在2024年1月1日前创建的任何账户,最多可拥有500个工作节点。 对于在该日期或之后创建的账户,在经历较低配额期后,最高配额为200。 配额适用于每个集群 基础设施提供商。 如需更多资源,请联系 IBM 支持团队。 在支持案例中,请包含您所需区域和基础设施提供商的新配额限制。 要列出已运行的配额,请运行. ibmcloud ks quota ls
工人池规模 集群中必须始终至少包含2个节点。 由于工作节点配额的限制,您在每个集群中可创建的工作池数量以及每个工作池中可配置的工作节点数量均受到限制。 例如,在默认每个区域配额为500个工作节点的设置下,若某区域仅存在1个集群,则该区域最多可拥有500个工作节点池,每个工作节点池包含1个工作节点。 或者,您可能在一个区域内拥有1个工作节点池,该池最多包含500个工作节点,且该区域仅存在1个集群。
CoreOSRed Hat Enterprise Linux 工作节点 集群中最多可添加12个区域。 例如,3个RHCOS工作池(每个工作池包含3个区域)将占用该集群配额的9/12。
工作程序节点数量 集群最多可包含500个工作节点。
集群命名 为确保Ingress子域和证书正确注册,集群名称的前24个字符必须各不相同。 若您在7天内创建并删除名称相同或前24个字符相同的集群达5次或以上(例如出于自动化或测试目的),则可能触发 Let's Encrypt重复证书 的速率限制。
资源组 只能在一个资源组中创建集群,并且在此之后无法更改资源组。 如果在错误的资源组中创建了集群,那么必须删除该集群,然后在正确的资源组中重新创建该集群。 此外,若需使用 命令ibmcloud oc cluster service bind 与 IBM Cloud 服务集成,该服务必须与集群位于同一资源组中。 不使用资源组的服务(如 IBM Cloud Container Registry )或无需服务绑定(如 IBM Cloud Logs )的服务,即使集群位于不同的资源组中,仍可正常运行。

Red Hat OpenShift on IBM Cloud 集群限制

审查集群 Red Hat OpenShift 特有的限制条件。 请注意,服务经典集群VPC集群 的限制同样适用。

OpenShift Container Platform 集群限制
类别 描述
集群自动缩放 管理 > 集群Red Hat OpenShift 设置控制台中的集群 Red Hat OpenShift 自动缩放器或 autoscaling.openshift.io/v1 API中的 ClusterAutoscaler 对象不被支持。 相反,请使用 ibm-iks-cluster-autoscalerHelm 插件
集群更新 您必须通过 Red Hat OpenShift on IBM Cloud API、CLI 或控制台工具 更新集群。 您无法通过 Web OpenShift Container PlatformRed Hat OpenShift 控制台等工具更新集群版本。
容器日志 若使用容器日志记录操作符( Fluentd 如)将日志发送到日志 ElasticSearch 堆栈,则必须 更新集群日志记录部署以使用存储 ibmc-block-gold
专用集群

根据基础设施提供商的不同,您可选用的私有集群方案较为有限。

  • VPC :当您在 IBM Cloud 控制台中创建VPC集群时,该集群将同时具备公共云服务端点和私有云服务端点。 若您仅需私有云服务端点,则必须 通过命令行界面 创建集群,并包含 选项 --disable-public-service-endpoint。 若包含此选项,默认情况下集群将创建路由器和Ingress控制器,仅在私有网络上暴露您的应用。 若后续需要将应用暴露至公共网络,必须手动创建公共路由器和Ingress控制器。
  • 经典模式 :可同时启用公共云服务端点和私有云服务端点,或仅启用公共云服务端点,但不可单独启用私有云服务端点。 创建集群后,您无法再更改服务端点。
日志记录 要设置 Elasticsearch ElasticsearchOpenShift Container Platform、Fluentd Kubernetes 和 Kibana 组成的堆栈 参阅安装集群 EFK 日志记录操作员。
服务目录 服务目录不支持。 改 用运算符。 请勿使用 OperatorHub 来安装服务目录。
服务网 Istio托管附加组件不受支持。 相反,请使用 服务 Red Hat 网格操作员注意:路由器的默认 IBM Cloud 配置启用主机联网,这与服务网格网络策略不兼容。 要使服务网格入口正常工作,必须 应用网络策略

经典集群限制

Red Hat OpenShift on IBM Cloud 中的经典基础架构集群发布后存在以下限制。

计算

请记住,服务 限制同样适用。

经典集群计算限制
类别 描述
预留实例 不支持 预留容量和预留实例
工作节点类型 工作节点可在特定规格的计算资源中使用。
工作程序节点主机访问 出于安全考虑,您无法通过SSH连接到工作节点计算主机。

网络

请记住,服务 限制同样适用。

经典集群网络的局限性
类别 描述
入口 ALB
  • Ingress 应用程序负载均衡器 (ALB) 每秒可处理 32,768 个连接。 若您的Ingress流量超过此数值 ,请扩展集群中的ALB副本数量以处理增加的工作负载。
  • 仅运行 Red Hat OpenShift on IBM Cloud 自定义Ingress镜像的ALB:不支持 HTTP/2。
  • 仅运行 [Red Hat OpenShift on IBM Cloud 自定义Ingress镜像] (/docs/containers?topic=containers-managed-ingress-about)的ALB:暴露应用 ClusterIP 的服务名称必须在集群所有命名空间中保持唯一。
网络负载平衡器(NLB)
  • 您不能创建版本为 2.0 的网络负载平衡器(NLB 2.0 )来公开您的应用程序。
  • 不能为私有 NLB 创建子域。
  • 您最多可以注册 128 个子域。 可以通过打开支持案例来解除对请求的这一限制。
Red Hat OpenShift Web 控制台 在既有公共端点又有私人端点的群集上,网络控制台不能暴露在私人网络上。 如果要在专用网络上公开网络控制台,群集就不能启用公共端点。
仅限专用 VLAN 私有网络负载均衡器(NLB)无法注册到域名服务器(DNS),因此仅使用私有网络接口无法创建群集。 工作节点必须同时连接到公共 VLAN 和专用 VLAN。 您仍然可以创建专用服务,以仅在专用网络上公开应用程序。
服务端点 创建群集时,可以启用公共云和私有云服务端点,也可以只启用公共云服务端点,但不能只启用私有云服务端点。 创建集群后,您无法再更改服务端点。
每个VLAN的子网数量 每个VLAN最多可包含40个子网。

存储器

请记住,服务 限制同样适用。

经典集群存储的局限性
类别 描述
卷实例 每个帐户的 IBM Cloud 基础架构文件存储卷和块存储卷的总数可为 250 个。 若挂载的卷超过此数量,在配置持久卷时可能会看到一条 out of capacity 提示信息。 有关更多常问问题,请参阅 文件 存储文档。 如需挂载更多卷,请联系 IBM 支持团队。 在您的支持工单中,请包含您的账户ID以及您希望申请的新文件或块存储卷配额。
Portworx 审查 限制 Portworx 条件。
文件存储器 受 IBM Cloud NFS 文件存储器配置 Linux 用户许可权的方式的影响,在使用文件存储器时可能会遇到错误。 如果确实如此,您可能需要配置 Red Hat OpenShift 安全上下文约束或使用其他存储类型。

经典用户访问

请记住,服务 限制同样适用。

经典集群用户访问限制
类别 描述
IP 地址访问 通过启用IP地址访问来限制特定用户的访问权限不受支持 Red Hat OpenShift on IBM Cloud。 若需限制用户访问权限或限制用户可访问的服务及VPC范围,请考虑采用 基于上下文的限制策略

VPC 集群限制

位于 的 VPC Red Hat OpenShift on IBM Cloud 集群在发布时存在以下限制。 此外,所有 基础 的VPC配额、VPC限制、VPC服务限制常规服务限制 均适用。

计算

请记住,服务 限制同样适用。

VPC 集群计算限制
类别 描述
每个VPC的集群数 每个虚拟私有云最多可包含25个集群。
加密 您的工作节点中的辅助磁盘 默认由底层 VPC 基础设施提供商 进行静态加密。 然而,您无法 在底层虚拟服务器实例上使用自定义加密方案
地区 VPC 集群仅在 特定的多区域区域中 可用。
虚拟私有云 参见 限制配额
工作节点类型 只有某些类型模板可用于工作程序节点虚拟机。 不支持裸机机器。
工作程序节点主机访问 出于安全考虑,您无法通过SSH连接到工作节点计算主机。
工作节点更新 您无法更新或重新加载VPC工作节点。 相反,您可以删除该工作节点,并使用命令 ibmcloud oc worker replace 重新平衡工作节点池。 若同时替换多个工作节点,它们将被并行删除并替换,而非逐个处理。 在替换工作节点之前,请确保集群中拥有足够的容量来重新调度工作负载。

网络

请记住,服务 限制同样适用。

VPC 集群网络限制
类别 描述
应用程序 URL 长度 DNS解析由集群的 虚拟私有端点(VPE) 管理,该端点可解析长度不超过130个字符的URL。 若您通过 URL(例如 Ingress 子域名或 Red Hat OpenShift 路由)在集群中暴露应用,请确保这些 URL 的长度不超过 130 个字符。
网络速度 VPC配置文件网络速度 指的是工作节点接口的速度。 VPC实例可用的带宽在存储和网络流量之间共享。 默认情况下,存储分配占最大带宽的25%。 如下表所示,网络速度是指在扣除默认25%存储带宽分配后,单网络接口的工件可用的网络带宽。
NodePort 您只能通过连接到私有VPC网络(例如通过VPN连接)时,才能通过 NodePort 访问应用程序。 要从互联网访问应用程序,必须改用 VPC 负载均衡器或 Ingress 服务。
Pod 网络 虚拟私有云访问控制列表(ACL)在子网层面对集群的入站和出站流量进行过滤,而安全组则在工作节点层面对集群的入站和出站流量进行过滤。 要在集群内部控制 pod 到 pod 级别的流量,您不能使用 VPC 安全组或访问控制列表 (ACL)。 相反,应使用 CalicoKubernetes 网络策略,这些策略能够控制采用IP-in-IP封装的Pod级网络流量。
公共网关 如果启用了公共服务端点,则必须将公共网关附加到每个VPC子网,以便工作节点能够在公共网络上进行通信。 默认 Red Hat OpenShift 组件(如Web控制台) OperatorHub, 需要公共网络访问权限。
服务端点 当您在控制 IBM Cloud 台中创建 VPC 集群时,该集群将同时拥有公共云服务端点和私有云服务端点。 若您仅需私有云服务端点,则必须 通过命令行界面 创建集群,并包含 选项 --disable-public-service-endpoint。 若包含此选项,默认情况下集群将创建路由器和Ingress控制器,仅在私有网络上暴露您的应用。 若后续需要将应用暴露至公共网络,则必须手动创建公共路由器和Ingress控制器。
子网
  • 参见 VPC 网络限制
  • 请勿删除在集群创建过程中或向区域添加工作节点时附加到集群的子网。 若删除集群使用的 VPC 子网,任何使用该子网 IP 地址的负载均衡器都可能出现问题,且您可能无法创建新的负载均衡器。
VPC 负载均衡器 参见 VPC 负载均衡器的限制

存储器

请记住,服务 限制同样适用。

VPC 集群存储限制
类别 描述
配置文件大小的存储类 有关更多信息,请参阅 可用的卷配置文件
支持的类型 您只能设置 IBM Cloud Object Storage Cloud Databases 和。
卷连接 见卷附件限制
Portworx 审查 限制 Portworx 条件。
Block Storage for VPC VPC 集群中的默认存储类不可更改。 不过,你可以 创建自己的存储类

VPC用户访问

请记住,服务 限制同样适用。

VPC 集群用户访问限制
类别 描述
IP 地址访问 通过启用IP地址访问来限制特定用户的访问权限不受支持 Red Hat OpenShift on IBM Cloud。 若需限制用户访问权限或限制用户可访问的服务及VPC范围,请考虑采用 基于上下文的限制策略

Satellite 集群限制

请查看 在某个 Satellite 位置创建的集群 Red Hat OpenShift on IBM Cloud 所受的以下限制。 请注意,服务 限制同样适用。

Satellite 集群限制
类别 描述
集群附加组件 检查某个 Satellite 位置中 集群 Red Hat OpenShift 的未受支持托管附加 组件。 例如,集群自动缩放器和Istio不被支持。
网络
  • 默认情况下,Satellite 集群中不会部署负载均衡控制器,因此 Kubernetes 和 LoadBalancer 服务不会被默认配置。 您可以将自有的负载均衡解决方案集成到集群中,例如 MetalLB
  • 运行集群工作节点的宿主机必须满足宿主机网络及供应商特定要求,例如适用于 AWSAzure GCP、以及 IBM Cloud (仅限测试和演示用途)。
  • 由于不同工作节点上的Pod之间通信需要VXLAN封装,因此跨工作节点Pod的数据传输速度可能低于宿主机的网络能力。
工作节点主机的存储 参见 主机存储和附加设备
应用存储 默认情况下,您的 Satellite 集群中未安装任何存储提供程序。 因此,默认情况下,您的集群中不会预先配置 Kubernetes 存储类,用于将应用程序数据存储在由存储设备支持的持久 Kubernetes 卷中。 有关设置存储提供程序的选项,请参阅 《 Satellite 了解存储模板》
工作程序节点 工作节点运行在您自有基础设施环境中的主机上。 主机必须满足 主机 和提供商的特定要求,例如适用于 AWSAzureGCP 以及 IBM Cloud (仅限测试和演示用途)。 您 负责管理主机的基础设施生命周期,包括添加和 更新工作节点。 因此,不支持 worker 节点操作,例如 ibmcloud oc worker add, update, replace, reload 命令。
工作程序池 要使用诸如 resize 的操作,您的工作进程池需使用 主机标签,这些标签必须与 位置 Satellite 中可用(未分配)的主机相匹配。
单节点集群 任何拥有少于三个工作节点的集群都缺乏高可用性。 通过配置单节点集群,您需知晓工作负载更可能出现停机和中断,且定期的工作节点升级将导致工作负载离线。 此外,若集群以单节点集群形式进行配置,则无法在后续将其转换为标准的高可用集群。 您可以添加更多节点,但标准部署不会增加副本数量,集群也不会实现高可用性。 单节点集群必须在 启用了 Red Hat Enterprise Linux 操作系统 (RHCOS Red HatCoreOS ) 的 Satellite 位置上运行。 您所在位置的控制平面主机以及分配给单节点集群的主机必须运行 RHEL 8 或 RHCOS 操作系统。 仅支持运行版本 4.11 或更高版本的 Satellite 集群。 OpenShift Data Foundation 不支持在单节点集群上运行。 Portworx 在单节点集群上不支持。

在以下环境中不支持的功能和运算符:Red Hat OpenShift on IBM Cloud

以下功能和运算符在 Red Hat OpenShift on IBM Cloud. 中不被支持。

与其通过 MachineConfig 文件调整工作节点性能,不如使用 文件修改主机 daemonset 配置 Red Hat OpenShift。 有关更多信息,请参阅《 更改 CalicoMT U CoreOSRed Hat 或调整工作节点的性能》。

  • AMQ Broker
  • AMQ 代理 LTS
  • AMQ互连
  • AMQ在线
  • AMQ 流
  • Ansible 自动化平台资源操作员
  • API Designer
  • 业务自动化操作员
  • 骆驼K
  • 成本管理操作员
  • 数据网格操作员
  • 设备管理器
  • 文件完整性操作符
  • 熔断器控制台
  • 熔断在线
  • 守门人操作员
  • JBoss EAP
  • JBoss Web服务器
  • 逻辑卷管理器存储(LVM)
  • MachineConfigs
  • 计量与成本管理 SaaS 服务
  • OpenShift 云管理器(OCM) SaaS 服务
  • OpenShift 集群范围代理
  • OpenShift 数据基础架构:通过经典型和VPC集群的 集群附加组件 支持,或通过集群 Satellite模板Satellite 支持。
  • OVS 和 OVN SDN
  • 性能增强运算符
  • PTP 操作员
  • 码头操作员
  • OpenStackRed Hat 平台 Kuryr 集成
  • Red Hat 集成算子
  • 服务注册表操作员
  • 智能网关操作员
  • SR-IOV 网络操作员:仅在 Satellite 集群中支持。
  • 远程测量仪与洞察力互联体验
  • Windows 机器配置:不支持运行 Windows 操作系统的 worker 节点。
  • ImageContentSourcePolicy, ImageDigestMirrorSet,和 ImageTagMirrorSet 不被支持。