本頁面的部分或所有資訊可能不適用於 S3NS 的 Cloud de Confiance。詳情請參閱「與 Google Cloud 的差異」。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

規劃在 Cloud de Confiance 上使用 OpenShift

本文提供相關資訊，協助您規劃在 Cloud de Confiance上部署 Red Hat OpenShift 叢集。

本文的目標讀者是雲端架構師、平台管理員和開發人員，他們希望在 Cloud de Confiance上執行的 OpenShift 叢集上，開發及部署企業級應用程式。

選擇部署模式

您可以在 Cloud de Confiance 自助管理或代管解決方案的基礎上，部署 OpenShift 控制層。

下表列出選擇部署模式時需要考量的主要面向：

重要層面	自行管理的 OpenShift	代管 OpenShift
管理員：	使用者本人	Red Hat
適用於	當您想將 OpenShift 叢集遷移至 Cloud de Confiance 具有大量自訂和設定記錄的叢集時。您希望在 OpenShift 和其他環境 (例如地端部署環境) 之間，維持應用程式架構的一致性。	您需要在 OpenShift 上快速部署應用程式，但不想費心管理基礎架構。
部署方法	如要在 Cloud de Confiance上部署自管 OpenShift 叢集，請使用 Red Hat OpenShift Container Platform。如要進一步瞭解這個平台，請參閱 Red Hat OpenShift Container Platform。如要瞭解 OpenShift Container Platform 的部署架構，請參閱「OpenShift Container Platform 架構」。	如要在 Cloud de Confiance 代管解決方案上部署 OpenShift 叢集，請使用 Red Hat OpenShift Dedicated，這是 Red Hat 提供的代管雲端服務。如要進一步瞭解這項服務，請參閱 Red Hat OpenShift Dedicated 服務。如要瞭解 OpenShift Dedicated 的部署架構，請參閱「OpenShift Dedicated 架構」。
優點	自行管理選項可讓您更靈活地控管 OpenShift 叢集。您可以使用 OpenShift 適用的叢集服務，簡化自行管理的 OpenShift 叢集使用 Google 服務的流程。這項服務提供 Google 服務的內建 OpenShift 整合功能。 OpenShift 叢集服務是由 Cloud de Confiance 和 Red Hat 共同開發及支援，如要進一步瞭解 OpenShift 的叢集服務，請參閱「OpenShift 的叢集服務」。	OpenShift Dedicated 可協助您加快應用程式部署速度，並簡化 OpenShift 平台上的作業。 OpenShift Dedicated 由 Red Hat 網站可靠性工程師提供支援，並包含服務等級協議。詳情請參閱 OpenShift Online 線上版服務條款。這項代管支援服務可讓您專注於業務，不必費心管理基礎架構和服務。
責任指派	自行管理的 OpenShift 叢集 Cloud de Confiance 採用共同責任模式：您負責管理 OpenShift 叢集、OS 和應用程式。 Cloud de Confiance 管理實體基礎架構及其安全性。您負責管理 OS 強化作業，以及叢集和應用程式層級的安全防護。	在 Cloud de Confiance 上代管的 OpenShift 叢集採用共同責任模式： Red Hat 會管理 OpenShift Dedicated 服務，您則須共同負責部署作業的某些層面。 Cloud de Confiance 管理實體基礎架構和安全性。詳情請參閱 Red Hat 文件「責任指派矩陣」。

選擇安裝方法

您可以使用圖形使用者介面 (GUI)、指令列介面 (CLI)、應用程式開發介面 (API) 或基礎架構即程式碼 (IaC) 工具，在 Cloud de Confiance 上安裝 OpenShift 控制層。

這些安裝方法是否適用，取決於您選擇的部署模型，詳情請參閱下表：

安裝方法	自管 OpenShift 的適用情形	代管 OpenShift 的可用性	說明
圖形使用者介面 (GUI)	否	是	Cloud de Confiance 控制台提供專屬 GUI，引導您在 Cloud de Confiance上部署自管和代管 OpenShift。點選下列按鈕即可存取這個 GUI：前往 Red Hat OpenShift on Cloud de Confiance
指令列介面 (CLI)	是	是	如要在 Cloud de Confiance上安裝自管 OpenShift，請使用 OpenShift Container Platform 安裝程式。詳情請參閱「在 Cloud de Confiance安裝 OpenShift Container Platform」。如要在 Cloud de Confiance上安裝受管理 OpenShift，請使用 `ocm-cli` 工具。詳情請參閱「使用 `ocm-cli` 在 OpenShift Cluster Manager 中管理叢集」(需要 Red Hat 帳戶)。
應用程式設計介面 (API)	否	是	如要在 Cloud de Confiance上安裝代管的 OpenShift，請使用 OpenShift 叢集管理員 API。
基礎架構即程式碼 (IaC) 工具	是	否	如要在 Cloud de Confiance上安裝自管 OpenShift，請按照這篇文章的指示，使用 Terraform 等 IaC 工具，在使用者佈建的基礎架構上安裝 OpenShift 叢集。

瞭解繳款資訊

在 Cloud de Confiance 上執行 OpenShift 叢集時，會產生以下兩類費用：

基礎架構費用：如要在 Cloud de Confiance上執行 OpenShift 叢集，您需要使用 Compute Engine、永久磁碟、Hyperdisk 和 Cloud Load Balancing 等服務。系統會根據這些服務各自的計費模式收費。
軟體相關費用：執行 OpenShift 叢集也會產生軟體相關費用，例如 OpenShift 授權或 Red Hat OpenShift 訂閱費用。這些費用與基礎架構費用不同。

取得 OpenShift 訂閱項目

如要在 Cloud de Confiance上執行企業級 OpenShift 叢集，您必須訂閱 Red Hat OpenShift。這項訂閱方案提供全方位的企業 Kubernetes 平台，包括容器平台、管理工具、安全防護服務和技術支援。

您可以透過下列方式取得 OpenShift 訂閱方案：

Google Cloud Marketplace：您可以前往 Cloud Marketplace 訂閱自行管理和代管 OpenShift 控制平面。

如要在 Cloud de Confiance上執行自行管理的 OpenShift，可以從 Cloud Marketplace 取得下列訂閱項目：
- Red Hat OpenShift Container Platform：這項全面性產品包含 OpenShift Container Platform，以及用於進階叢集安全防護、管理和全球容器登錄檔的其他工具。這項訂閱方案適合需要完整功能套件的企業，可跨多個叢集和混合雲部署使用。
- Red Hat OpenShift Platform Plus：這是核心企業 Kubernetes 平台。這個環境可提供強大且可擴充的環境，用於建構、部署及執行容器化應用程式。這是大多數自行管理部署作業的標準選擇。
- Red Hat OpenShift Kubernetes Engine：這項產品提供必要的 Kubernetes Engine 元件，可在 OpenShift 上執行應用程式。這項訂閱方案適合需要核心 OpenShift 執行階段，但不需要更廣泛平台管理功能的使用者。
如要在 Cloud de Confiance上執行受管理 OpenShift，可以訂閱 Red Hat OpenShift Dedicated。

如要進一步瞭解 OpenShift 訂閱方案，請參閱 Red Hat 文件「Red Hat OpenShift 訂閱方案版本」。
自備訂閱 (BYOS) 模式：BYOS 模式可讓您自備任何現有的 OpenShift 授權或 Red Hat OpenShift 訂閱項目。Cloud de Confiance

舉例來說，如果您要將 OpenShift 叢集從地端部署環境遷移至 Cloud de Confiance，則可重複使用您擁有的 Red Hat OpenShift 訂閱方案，在地端部署執行該 OpenShift 叢集。

將 OpenShift 叢集遷移至 Cloud de Confiance

如果您考慮將 OpenShift 叢集遷移至 Cloud de Confiance，請與 Cloud de Confiance 聯絡，要求進行遷移評估。

如果您已使用 Cloud de Confiance，請與您的客戶技術顧問 (TAM) 聯絡。如果您是 Cloud de Confiance新手，可以聯絡Cloud de Confiance 銷售團隊。

遷移評估程序的第一步，是檢視您的遷移目標和現有 OpenShift 環境的架構。接著， Cloud de Confiance 專家會與您合作設計遷移策略，協助您最佳化 OpenShift 環境的效能、成本和可擴充性。

在 Cloud de Confiance上執行 OpenShift 的最佳做法

在 Cloud de Confiance上執行 OpenShift 叢集時，建議採用下列最佳做法。

安全性最佳做法

如要讓 OpenShift 叢集透過 Cloud de Confiance API 進行驗證，建議您使用 Workload Identity 聯盟，而非將服務帳戶金鑰儲存在主機上。

Workload Identity 聯盟可讓您執行下列操作：
- 使用 Kubernetes 服務帳戶，為 OpenShift 平台的個別元件設定權限。
- 使用受管理的短期驗證權杖。
- 避免在主機上儲存驗證金鑰。
詳情請參閱 Red Hat 文件「Configuring a Cloud de Confiance cluster to use short-term credentials」。
為協助保護 Cloud de Confiance中的靜態資料，建議您使用客戶自行管理的加密金鑰 (CMEK) 儲存資料。建議您為 OpenShift 部署作業的下列元件採用這項設定：
- 永久磁碟區或永久磁碟區要求 (PV/PVC)，可管理在 OpenShift 叢集上執行的應用程式和工作負載的永久儲存空間。
- 您用來代管 Openshift 叢集的 Compute Engine 執行個體開機磁碟。
如要瞭解 CMEK，請參閱「客戶自行管理的加密金鑰 (CMEK)」。

高可用性最佳做法

為確保在 Cloud de Confiance上執行的 OpenShift 叢集應用程式具有高可用性，建議您在多個區域中部署控制層和工作站節點。

詳情請參閱「OpenShift 高可用性最佳做法」。

災難復原最佳做法

如要確保在 Cloud de Confiance上 OpenShift 叢集執行的應用程式具備復原能力，請按照下列文件所述的最佳做法進行實作：

後續步驟

瞭解 OpenShift 叢集服務。