带有托管控制平面的 AWS 上的红帽 OpenShift 服务现已推出

我们基于 AWS 上的红帽 OpenShift 服务（ROSA），开发了一个统包式应用平台，可以更快地构建和部署应用，并充分利用 AWS 的规模，使用户能够专注于创新，而不是管理基础架构。今天，我们很欣喜地宣布 ROSA 的下一个演进版本即将发布，预计于 12 月 4 日推出；其中，托管控制平面将作为新版 ROSA 服务的一部分全面提供。

带有托管控制平面的 ROSA 基于HyperShift 项目，提供高度可用的控制平面，控制平面在 ROSA 服务 AWS 账户内隔离。通过将控制平面所有权从客户手中转移，用户可以在现有 ROSA 体验的基础上获得额外的运维效率，并节省大量成本。

在 ROSA 服务 AWS 账户（而非客户的个人账户）中托管和管理控制平面，可以更有效、更高效地利用资源，并带来以下优势：

优化总拥有成本

根据红帽开展的一项研究，与在自己的云账户中托管控制平面相比，部署带有托管控制平面的 ROSA 的用户平均可以降低 5 倍的成本。客户还可以在不使用集群时更快速、更轻松地启动和销毁集群，从而进一步节省成本。

托管控制平面还提供了更大的灵活性和可移植性，方便进行集中计费和按年计费，使客户能够更轻松地更改节点类型。总体占用空间也更小，最少只需要两个节点，而不是七个。

提高运维效率

借助托管控制平面，可以简化置备流程并提高效率，缩短开始部署应用所需的时间。此外，工作负载的调度只需等待工作节点，因而简化并加快了构建和部署过程。通过带有托管控制平面的 ROSA，团队也不再需要自寻方法来自动扩展控制平面，因为这将在 ROSA 服务 AWS 账户中自动管理，从而消除了成本和时间方面的影响。

提高可靠性和弹性

最终用户不再需要管理控制平面基础架构，因而也不再有意外删除云资源的可能，因为 AWS 管理员将仅与工作负载交互，而不与控制平面工件交互。由此简化了管理平面和工作负载之间的所有权模式和依赖关系。用户可以选择性地分别升级控制平面和工作节点，从而提高了控制力和灵活性。

架构改进

ROSA 的最新版本专为托管服务而构建，从根本上转变了企业或机构大规模部署和管理 ROSA 集群的方式。这种优化的架构不仅能带来上述的诸多业务优势，还能带来许多技术优势。

带有托管控制平面的 ROSA 使企业或机构和开发人员能够：

• 将应用部署到单个可用区（AZ）、两个可用区或一个区域内的所有可用区，而不必担心控制平面的可用性，因为控制平面将始终分布在多个可用区中。
• 为每个集群快速置备专用和隔离的控制平面，并可选择通过 AWS VPC 中的专用 AWS PrivateLink 端点公开提供或私下披露。

集群和云管理员还可以从带有托管控制平面架构的 ROSA 中获得多个优势，包括：

• 各种资源均转移到集群之外，现在通过 ROSA 命令行界面（CLI）或 OpenShift 集群管理器（OCM）置备，获得可靠的单一事实来源。
  • 所有机器 API 都通过 ROSA CLI 或 OCM 作为 MachinePool 对象进行外部管理。
  • 节点 API 资源仍然在集群内可用，包括对现有节点进行标记和污点处理的能力。
  • OAuth 组件也不再在集群内部公开。
• 通过将控制平面与工作负载分离来加强安全边界。
• AWS 策略权限集利用 AWS 批准和发布的托管策略，从而降低了配置和准备阶段的复杂性，并通过启用基于标签的权限执行，提高了默认安全性。
• 通过使控制平面和工作节点分开进行升级，实现了一致且注重安全的控制平面升级节奏，而不影响工作节点，从而为应用开发人员提供额外的时间和灵活性来决定何时升级节点。

通过控制平面和工作节点的分离，AWS PrivateLink 端点提供了从 AWS 账户到内部网络负载平衡器的单向通信。每个工作节点的 kubelet 会直接与前置了负载平衡器的 Kube API 服务器建立通信。

ROSA 集群上的所有管理和维护都在 ROSA 服务账户中进行，无需访问您的 AWS 基础架构。我们的 AWS 托管支持策略会对您的 AWS 基础架构授予必要级别的基于标签的访问权限，以便在紧急情况下进行故障排查。

应用网络流量保留在您的 AWS 账户中，由单独的负载平衡器进行前端处理。带有托管控制平面的 ROSA 默认为在应用路由器前面设置网络负载平衡器，但仍可以选择使用经典的负载平衡器。

可用性

带有托管控制平面的 AWS 上的红帽 OpenShift 服务 预计将于 12 月 4 日公开发布。带有托管控制平面的 ROSA 旨在简化 Kubernetes，使用户能够专注于最重要的事情，快速交付和高效地管理应用。如需进一步了解带有托管控制平面的 ROSA 和如何立即开始使用，请访问此处。