服务限制
Red Hat® OpenShift® on IBM Cloud® 和 开源项目的默认服务设置和限制,以确保安全性、便利性和基本功能。Red Hat OpenShift 您可能可以更改某些限制。
如果预期达到以下任何 Red Hat OpenShift on IBM Cloud 限制,请 联系 IBM 支持人员,并提供集群标识,新的配额限制以及支持凭单中的区域。
服务和配额限制
Red Hat OpenShift on IBM Cloud 与您计划使用的基础架构提供商无关,以下服务限制和配额适用于所有群集。 请记住,经典 和 VPC 集群限制也适用。
要查看 IBM Cloud 帐户中与集群相关的资源的配额限制,请使用 ibmcloud oc quota ls 命令。
| 类别 | 描述 |
|---|---|
| API 速率限制 | 每个唯一源 IP 地址每 10 秒向 Red Hat OpenShift on IBM Cloud API 发送 200 次请求。 |
| 应用程序部署 | 您部署到的应用程序以及与集群集成的服务必须能够在工作程序节点的操作系统上运行。 |
| Calico 网络插件 | 不支持更改 Calico 插件,组件或缺省 Calico 设置。 例如,不要部署新的 Calico 插件版本,或者修改 Calico 组件,缺省 IPPool 资源或 Calico 节点的守护程序集或部署。 而是可以遵循文档来 创建 Calico NetworkPolicy 或 GlobalNetworkPolicy,
更改 Calico MTU 或 禁用 Calico CNI 的端口映射插件。 |
| 集群配额 | 每个区域和每个 基础架构提供程序 不能超过 100 个集群。 然而,截至 2024 年 1 月 1 日,配额在达到 100 个之前逐步增加。 如果需要更多资源,请 联系 IBM 支持。 在支持案例中,包含您想要的区域和基础架构提供者的新配额限制。
要列出配额,请运行 ibmcloud quota ls。 |
| Kubernetes | 确保查看 Kubernetes 项目限制。 |
| KMS 提供者 | 不支持定制允许连接到 IBM® Key Protect for IBM Cloud® 实例的 IP 地址。 |
| Red Hat OpenShift | 确保查看您的版本的 OpenShift Container Platform 限制。 |
| Kubernetes pod 日志 | 要检查单个应用程序 pod 的日志,可以使用命令行运行 oc logs <pod name>。 不要使用 Kubernetes 仪表板来流式传输 pod 的日志,这可能会导致对 Kubernetes 仪表板的访问中断。 |
| Monitoring | -由于 IBM 管理集群主节点,因此已禁用针对主节点的事件警报。 IBM 监视集群主节点并在检测到问题时对其进行修订。 因此,在 Red Hat OpenShift的 "管理员" 透视图中,您可能会看到控制平面状态的 Not available 消息。-内置 Prometheus 警报管理器包含两个规则,这些规则显示为处于 FIRING 状态的活动警报: KubeControllerManagerDown 和 KubeSchedulerDown。 这些组件属于 IBM 管理的集群主节点,因此您可以忽略这些警报。 |
| 操作系统 | 工作程序节点必须运行其中一个受支持的操作系统。 无法创建具有运行不同类型操作系统的工作程序节点的集群。 有关更多信息,请参阅 Red Hat OpenShift on IBM Cloud 版本信息。 |
| OperatorHub 目录 | 要在专用集群中使用 OperatorHub 目录,请参阅 禁用 OperatorHub 并将目录源映像镜像到 icr.io。 |
| Pod 实例 | 每个工作程序节点可以运行 110 个 pod。 如果工作程序节点具有 11 个或更多 CPU 核心,那么可以支持每个核心 10 个 pod,每个工作程序节点最多支持 250 个 pod。 pod 数包括在工作程序节点上运行的 kube-system 和 ibm-system pod。 为了提高性能,可以考虑限制每个计算核心运行 pod 的数量,这样就不会过度使用工作节点。 例如,在使用 b3c.4x16 类型模板的工作程序节点上,可每个核心运行 10 个 pod,这些 pod 使用的容量占工作程序节点总容量的比例不超过 75%。 |
| 不推荐 基于时间的一次性密码 (TOTP) | 要使用 TOTP,请确保对整个 IBM Cloud 帐户 启用多因子认证(MFA)。 如果仅对某些用户启用了 MFA,但未在帐户级别启用 MFA,那么可能会发生认证错误。 |
| 工作程序节点配额 | 2024 年 1 月 1 日之前创建的账户最多可拥有 500 个工作节点。 对于在该日期或之后创建的账户,在配额降低一段时间后,最大配额为 200。 配额适用于每个集群 基础架构提供者。 如果需要更多资源,请 联系 IBM 支持。
在支持案例中,包含您想要的区域和基础架构提供者的新配额限制。 要列出运行的配额,ibmcloud ks quota ls。 |
| 工作程序池大小 | 集群中必须始终至少有 2 个节点。 由于工作程序节点配额,因此每个集群的工作程序池数和每个工作程序池的工作程序节点数都受到限制。 例如,如果每个区域的默认工作者节点配额为 500 个,那么在只有 1 个群集的区域中,您可能拥有多达 500 个工作者池,每个池有 1 个工作者节点。 或者,您可能在仅具有 1 集群的区域中具有最多 500 个工作程序节点的 1 工作程序池。 |
| Red Hat Enterprise Linux CoreOS 工作程序节点 | 添加到集群的最大区域数为 15。 例如,具有 3 个专区的 4 RHCOS 工作程序池将占该集群的配额的 12/15。 |
| 工作程序节点数量 | 集群最多可有 500 个工作节点。 |
| Red Hat Enterprise Linux CoreOS 工作程序节点 | 添加到集群的最大区域数为 15。 例如,具有 3 个专区的 4 RHCOS 工作程序池将占该集群的配额的 12/15。 |
| 集群命名 | 要确保正确注册 Ingress 子域和证书,集群名称的前 24 个字符必须不同。 如果在 7 天内创建和删除具有相同名称的集群,这些集群的前 24 个字符 5 次或更多次 (例如,出于自动化或测试目的),那么您可能会达到 Let 's Encrypt 复制证书速率限制。 |
| 资源组 | 只能在一个资源组中创建集群,并且在此之后无法更改资源组。 如果在错误的资源组中创建了集群,那么必须删除该集群,然后在正确的资源组中重新创建该集群。 此外,如果需要使用 ibmcloud oc cluster service bind 命令 与 IBM Cloud 服务集成,则该服务必须与群集位于同一资源组中。
不使用资源组(如 IBM Cloud Container Registry )或不需要服务绑定(如 IBM Cloud Logs )的服务,即使群集位于不同的资源组中,也能正常工作。 |
Red Hat OpenShift on IBM Cloud 集群限制
查看特定于 Red Hat OpenShift 集群的限制。 请记住,服务 和 经典集群 或 VPC 集群 限制也适用。
| 类别 | 描述 |
|---|---|
| 集群自动缩放 | 不支持来自 Red Hat OpenShift 管理> 集群设置 控制台或来自 autoscaling.openshift.io/v1 API 的 ClusterAutoscaler 对象的 Red Hat OpenShift 集群自动缩放器。 请改为使用 ibm-iks-cluster-autoscaler Helm 插件。 |
| 集群更新 | 必须使用 Red Hat OpenShift on IBM Cloud API,CLI 或控制台工具 更新集群。 无法从 OpenShift Container Platform 工具 (例如,Red Hat OpenShift Web 控制台) 更新集群版本。 |
| 容器日志 | 如果使用容器日志记录操作程序 (例如 Fluentd ) 将日志发送到 ElasticSearch 堆栈,那么必须 更新集群日志记录部署以使用 ibmc-block-gold 存储类。 |
| 专用集群 |
根据基础结构提供程序,专用集群的选项是有限的。
|
| 日志记录 | 要设置 OpenShift Container Platform Elasticsearch,Fluentd和 Kibana(EFK)堆栈,请参阅 安装集群日志记录操作程序。 |
| 服务目录 | 服务目录不受支持。 请改为使用 操作程序。 请勿使用 OperatorHub 来安装服务目录。 |
| 服务网 | 不支持 Istio 受管附加组件。 请改为使用 Red Hat 服务网格操作程序。 注: 路由器的缺省 IBM Cloud 配置会启用主机联网,这与服务网格网络策略不兼容。 要使服务网格入口工作,请 应用网络策略。 |
经典集群限制
Red Hat OpenShift on IBM Cloud 中的经典基础架构集群发布后存在以下限制。
计算
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 预留实例 | 保留容量和保留实例 不受支持。 |
| 工作程序节点类型模板 | 工作节点可提供精选的计算资源。 |
| 工作程序节点主机访问 | 为了安全起见,不能通过 SSH 登录工作节点计算主机。 |
网络
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 入口 ALB |
|
| 网络负载均衡器 (NLB) | -无法创建 V 2.0 网络负载均衡器 (NLB 2.0) 来公开应用程序。 -无法为专用 NLB 创建子域。 -最多可以注册 128 个子域。 可以通过打开支持案例来解除对请求的这一限制。 |
| Red Hat OpenShift Web 控制台 | 无法在同时具有公共端点和专用端点的集群上的专用网络上公开 Web 控制台。 如果要在专用网络上公开 Web 控制台,那么集群无法启用公共端点。 |
| 仅专用 VLAN | 专用网络负载平衡器(NLB)无法在域名服务器(DNS)上注册,因此无法仅使用专用网络接口创建群集。 工作程序节点必须同时连接到公用和专用 VLAN。 您仍然可以创建专用服务,以仅在专用网络上公开应用程序。 |
| 服务端点 | 创建集群时,可以仅启用公共和私有云服务端点或公共云服务端点,但不能仅启用私有云服务端点。 创建集群后,以后无法更改服务端点。 |
| strongSwan VPN 服务 | 请参阅 strongSwan VPN 服务注意事项。 |
| 服务 IP 地址 | 每个群集可以有 65,000 个 172.21.0.0/16 范围内的 IP 地址,可以分配给群集中的 Kubernetes 服务。 |
| 每个 VLAN 的子网 | 每个 VLAN 都有 40 个子网的限制。 |
存储器
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 卷实例 | 每个帐户的 IBM Cloud 基础架构文件存储卷和块存储卷的总数可为 250 个。 如果安装的数量超过此数量,那么在供应持久卷时可能会看到 out of capacity 消息。 更多常见问题解答,请参阅 文件 和 块 存储文档。 如果要安装更多卷,请 联系 IBM 支持。 在支持凭单中,包含您的帐户标识以及所需的新文件或块存储卷配额。 |
| Portworx | 查看 Portworx 限制。 |
| 文件存储器 | 受 IBM Cloud NFS 文件存储器配置 Linux 用户许可权的方式的影响,在使用文件存储器时可能会遇到错误。 如果是这样,您可能需要配置 Red Hat OpenShift 安全上下文限制或使用不同的存储类型。 |
用户访问权
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| IP 地址访问 | Red Hat OpenShift on IBM Cloud 不支持通过启用IP地址访问来限制特定用户的访问。 如果您想限制用户访问权限或限制用户可以访问的服务和 VPC,请考虑 基于上下文的限制。 |
VPC 集群限制
将发布 Red Hat OpenShift on IBM Cloud 中的 VPC 集群,但存在以下限制。 此外,所有底层 VPC 配额,VPC 限制,VPC 服务限制 和 常规服务限制 都适用。
计算
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 加密 | 缺省情况下,底层 VPC 基础架构提供程序 会对工作程序节点的辅助磁盘进行静态加密。 但是,您无法 将自己的加密引入底层虚拟服务器实例。 |
| 地区 | VPC 群集仅在 选择多区区域 中可用。 |
| 虚拟私有云 | 请参阅 限制 和 配额。 |
| 工作程序节点类型模板 | 只有某些类型模板可用于工作程序节点虚拟机。 不支持裸机机器。 |
| 工作程序节点主机访问 | 为了安全起见,不能通过 SSH 登录工作节点计算主机。 |
| 工作程序节点更新 | 无法更新或重新加载 VPC 工作节点。 相反,您可以删除 Worker 节点,并使用 ibmcloud oc worker replace 命令重新平衡 Worker 池。 如果同时替换多个工作程序节点,那么将同时删除并替换这些节点,而不是逐个进行替换。 在更换工作程序节点之前,请确保集群中有足够的容量来重新调度工作负载。 |
网络
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 应用程序 URL 长度 | DNS 解析由集群的 虚拟专用端点(VPE) 管理,可解析最多 130 个字符的 URL。 如果使用 URL (例如 Ingress 子域或 Red Hat OpenShift 路径) 在集群中公开应用程序,请确保 URL 长度不超过 130 个字符。 |
| 网络速度 | VPC 概要文件网络速度 指的是工作程序节点接口的速度。 可供工作程序节点使用的最大速度为 25Gbps。 由于不同子网上的 pod 之间的流量需要 IP 封装中的 IP,因此不同子网上的 pod 之间的数据传输速度可能较慢,大约是计算概要文件网络速度的一半。 部署到集群的应用程序的总体网络速度取决于工作程序节点大小和应用程序的体系结构。 |
| NodePort | 只有通过 VPN 连接等方式连接到专用 VPC 网络后,才能通过 NodePort 访问应用程序。 要从互联网访问应用程序,必须使用 VPC 负载均衡器或 Ingress 服务。 |
| Pod 网络 | VPC 访问控制表 (ACL) 在子网级别过滤集群的入局和出局流量,安全组在工作程序节点级别过滤集群的入局和出局流量。 要在 pod 到 pod 级别控制集群中的流量,不能使用 VPC 安全组或 ACL。 请改为使用 Calico 和 Kubernetes 网络策略,这可以控制在 IP 封装中使用 IP 的 pod 级别网络流量。 |
| 公共网关 | 如果启用了公共服务端点,那么必须将公共网关连接到每个 VPC 子网,以便工作程序节点可以在公用网络上进行通信。 默认Red Hat OpenShift组件,如网络控制台和OperatorHub,需要公共网络访问。 |
| 服务端点 | 在 IBM Cloud 控制台中创建 VPC 集群时,集群具有公共和私有云服务端点。 如果只需要私有云服务端点,那么必须改为创建集群 在 CLI 中,并包含 --disable-public-service-endpoint 选项。 如果包含此选项,那么将使用路由器和 Ingress
控制器创建集群,这些路由器和 Ingress 控制器仅在缺省情况下在专用网络上公开应用程序。 如果您以后想要向公用网络公开应用程序,那么必须手动创建公用路由器和 Ingress 控制器。 |
| strongSwan VPN 服务 | 不支持 strongSwan 服务。 要将集群连接到本地网络或其他 VPC 中的资源,请参阅 将 VPN 与 VPC 配合使用。 |
| 子网 | -请参阅 VPC 联网限制。 -请勿在集群创建期间或在专区中添加工作程序节点时删除附加到集群的子网。 如果删除集群使用的 VPC 子网,那么使用子网中的 IP 地址的任何负载均衡器都可能迂到问题,并且您可能无法创建新的负载均衡器。 |
| VPC 负载均衡器 | 请参阅 VPC 负载均衡器限制。 |
存储器
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 概要文件大小的存储类 | 有关更多信息,请参阅 可用卷概要文件。 |
| 支持的类型 | 只能设置 IBM Cloud Object Storage 和 Cloud Databases。 |
| 卷连接 | 请参阅 卷连接限制。 |
| Portworx | 查看 Portworx 限制。 |
| Block Storage for VPC | VPC集群中的默认存储类别无法更改。 但是,您可以 创建自己的存储类。 |
用户访问权
请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| IP 地址访问 | Red Hat OpenShift on IBM Cloud 不支持通过启用IP地址访问来限制特定用户的访问。 如果您想限制用户访问权限或限制用户可以访问的服务和 VPC,请考虑 基于上下文的限制。 |
Satellite 集群限制
查看 您在 Satellite 位置中创建的 Red Hat OpenShift on IBM Cloud 集群 的以下限制。 请记住,服务 限制也适用。
| 类别 | 描述 |
|---|---|
| 集群附加组件 | 查看 Satellite 位置中的 Red Hat OpenShift 集群的不受支持的受管附加组件。 例如,不支持集群自动缩放器和 Istio。 |
| 网络 | -缺省情况下,没有使用 Satellite 集群部署负载均衡器控制器,因此缺省情况下不会供应 Kubernetes LoadBalancer 服务。 您可以将自己的负载均衡器解决方案集成到集群中,例如
MetalLB。 -为集群运行工作程序节点的主机必须满足 主机联网 和特定于提供者的需求,例如,针对 AWS, Azure, GCP和 IBM Cloud (仅用于测试和演示目的)。 -由于不同工作程序节点上的 pod 之间的流量需要 VXLAN 封装,因此不同工作程序节点上的 pod 之间的数据传输速度可能比主机的网络能力慢。 |
| 工作程序节点主机的存储器 | 请参阅 主机存储器和连接的设备。 |
| 应用程序的存储器 | 缺省情况下,Satellite 集群中未安装任何存储器提供者。 因此,缺省情况下,不会在集群中设置预先配置的 Kubernetes 存储类,以将应用程序数据存储在存储设备支持的 Kubernetes 持久卷中。 有关设置存储提供程序的选项,请参阅 了解 Satellite 存储模板。 |
| 工作程序节点 | 工作程序节点在您自己的基础架构环境中的主机上运行。 这些主机必须满足 主机 和特定于提供者的需求,例如 AWS,Azure,GCP 和 IBM Cloud (仅用于测试和演示目的)。 您负责 管理主机的基础架构生命周期,包括添加和 更新工作程序节点。
因此,不支持 ibmcloud oc worker add, update, replace, reload 命令之类的工作程序节点操作。 |
| 工作程序池 | 要使用操作 (例如 resize),工作程序池使用 主机标签,这些标签必须与 Satellite 位置中的可用 (未分配) 主机匹配。 |
| 单节点集群 | 任何具有少于三个工作程序节点的集群都缺少高可用性。 通过供应单节点集群,您可以接受您更有可能在工作负载中经历宕机和中断,并且定期工作程序节点升级会导致工作负载脱机。 此外,如果将集群作为单节点集群供应,那么以后无法将其转换为标准的高可用性集群。 您可以添加更多节点,但标准部署不会增加副本大小,并且集群不会变为高可用性。 单节点集群必须在启用了 Red Hat CoreOS(RHCOS) 的 Satellite 位置上运行。 位置上的控制平面主机和分配给单节点集群的主机必须运行 RHEL 8 或 RHCOS 操作系统。 仅支持运行 V 4.11 或更高版本的 Satellite 集群。 OpenShift Data Foundation 在单节点集群上不受支持。 Portworx 在单节点集群上不受支持。 |
Red Hat OpenShift on IBM Cloud 中不受支持的功能和操作程序
Red Hat OpenShift on IBM Cloud中不支持以下功能和操作程序。
您可以使用 daemonset 文件来修改主机,而不是使用 Red Hat OpenShift中的 MachineConfig 文件来调整工作程序节点性能。 有关更多信息,请参阅 更改 Calico MTU 或 调整 Red Hat CoreOS 工作程序节点的性能。
- AMQ Broker
- AMQ 代理 LTS
- AMQ 互连
- AMQ 联机
- AMQ 流
- Ansible Automation Platform Resource Operator
- API Designer
- Business Automation 操作程序
- 骆驼 K
- 成本管理操作员
- 数据网格运算符
- 设备管理器
- 文件完整性运算符
- 保险丝控制台
- 保险丝在线
- Gatekeeper 操作程序
- JBoss EAP
- JBoss Web 服务器
- 逻辑卷管理器存储器 (LVM)
- MachineConfigs
- 测量和成本管理 SaaS 服务
- OpenShift Cloud Manager (OCM) SaaS 服务
- OpenShift 集群代理
- OpenShift Data Foundation: 通过经典和 VPC 集群的 集群附加组件 或通过 Satellite 集群的 Satellite 模板 支持。
- OpenShift 虚拟化操作员
- OVS 和 OVN SDN
- 性能附加组件操作员
- PTP 操作程序
- Quay 运算符
- Red Hat OpenStack Platform
Kuryr集成 - Red Hat 集成操作程序
- 服务注册表操作员
- 智能网关操作员
- SR-IOV 网络操作员: 仅在 Satellite 集群中受支持。
- Telemeter 和 Insights 互联体验
- Windows Machine Config: 不支持具有 Windows 操作系统的工作程序节点。
ImageContentSourcePolicy,ImageDigestMirrorSet,和ImageTagMirrorSet不支持。