Azure Red Hat OpenShift 按需提供高度可用、完全托管的 OpenShift 群集。 这些群集由 Microsoft 和 Red Hat 联合监视和运营。

Azure 虚拟网络 是 Azure 中专用网络的基本构建块。 虚拟网络用于节点之间的通信、Azure 服务和混合连接需求。

Azure 文件存储 提供完全托管于云的文件共享，可通过 SMB 和 NFS 协议进行访问。 在此解决方案中，Azure 文件存储托管群集内数据库和系统的有状态数据。

Azure Bastion 是一项完全托管服务，可针对 VM 提供安全无缝的 RDP 和 SSH 访问，且完全无需通过公共 IP 地址公开。 在此解决方案中，Azure Bastion 是可选的。 可以使用 Azure Bastion 和子网来安全访问任何工作器节点或可选的跳转盒计算机。

Azure Database for PostgreSQL 是基于 PostgreSQL 数据库引擎的完全托管的关系数据库服务。 Azure Database for PostgreSQL 提供可预测的性能和动态可伸缩性，适用于业务关键型工作负载。 其 灵活服务器部署模型 可对数据库管理功能和配置设置提供精细的控制和灵活性。

Azure 虚拟机 是一项基础结构即服务 (IaaS) 产品/服务。 可以使用虚拟机来部署可按需缩放的计算资源。 此解决方案使用 Azure 中的 Linux VM 提供一个跳转盒，用于管理基于 OMS Azure 的资源和服务。

如果 Azure 环境具有网络连接，则可以从现有计算机执行安装，而不是使用 Azure Linux VM。

通常不需要以下服务，但它们是有效的替代方案：

• 在同一个 OpenShift 群集中？
• 在不同平台或 VM 上的群集外部？
• 是否有现有的容器注册表？是否打算继续使用它？
• 你的工作器节点需要多少数量和大小的 VM？
• 你有哪些与加密相关的安全要求？
• 你有哪些访问要求？有哪些标识提供者 (IdP) 集成注意事项？
• 你有哪些连接需求？ 你需要哪些防火墙规则来连接到内部和外部（出口）服务？
• 你的高可用性和灾难恢复策略是什么？

Sterling OMS

Sterling OMS 版本 10.0.2209.0 已在 Azure 上进行测试。 建议使用最新版本的 Sterling OMS。 撰写本文时，版本为 10.0.2209.0。

部署 Azure 资源以支持 Sterling OMS 环境之前，请先熟悉以下要求：

• 有关 Sterling OMS 系统要求，请参阅 系统要求 。
• Sterling OMS 依赖于关系数据库系统进行状态和数据管理。 服务到服务的通信和订单工作流也需要支持 JMS 的消息代理系统。 Sterling OMS 支持多个可在环境中部署的数据库和消息代理选项。 有关详细信息，请参阅以下资源：
  • 数据库层： 在 UNIX 或 Linux 上安装和配置数据库层软件
  • JMS 消息代理： 与 JMS 系统集成

  Azure Red Hat OpenShift

  Sterling OMS 已在 Azure Red Hat OpenShift 版本 4.10.15 中进行测试。 部署 Azure Red Hat OpenShift 之前：

  • 确定域。 部署 Azure Red Hat OpenShift 时，指定一个域名，该域名将追加到群集中部署的所有服务。
  • 确定 API 和入口可见性。 确定希望 OpenShift 群集 API（用于管理）和入口（用于部署的应用程序和服务）如何面向 Internet。 如果使用专用连接来隐藏 API 或入口，则只能从可以访问部署服务的网络的计算机访问这些终结点。
  • 计算主 VM 和辅助角色 VM 的大小和计数。 在 Azure Red Hat OpenShift 中，主计数是固定数字，具有最小建议大小。 运行应用程序工作负载（如 Sterling OMS）的工作器节点的大小是单独确定的。 部署实例时，请考虑群集中所需的工作器节点数，以及每个节点的适当大小。 可能需要执行一些测试和验证以确定正确的数量和大小。 这些值取决于部署中的代理数以及运行的每种代理类型的 Pod 数。 部署后，可以在需要缩放时调整这些值。

  有关详细信息，请参阅 使用 Azure Red Hat OpenShift 的准备工作 。

  调整环境大小

  建议使用最新的 Ds 系列 VM 作为工作器节点。 例如 Dsv3 、 Dasv4 、 Dsv4 、 Dasv5 和 Dsv5 系列。 这些 VM 的最新版本可提供最佳性能。 部署更多节点时，请仅使用具有 高级存储 的 VM。

  数据库细节

  因为 Sterling OMS 具有多种后端数据库选项，因此请务必首先决定在哪个平台上托管数据库。 然后，可以决定该平台的大小。 在此过程中，请记住以下一般准则：

  • Azure Database for PostgreSQL 灵活服务器部署模型 ：由于其规模和冗余选项的性质，Azure Database for PostgreSQL 灵活服务器模型是在 Azure 中托管 Sterling OMS 工作负载的首选方法。 部署实例时：
    • 选择与使用模式相匹配的计算层。 建议从常规用途层开始，选择适当数量的核心。 另请注意，CPU、内存和 IOP 与计算大小选择有关。
    • 添加适当的存储。 另请记住，增加存储会增加成本，并且无法缩减已预配的存储。 因此，请务必了解初始数据大小和预测增长。
    • 调整影响代理保持与数据库连接的能力的服务器参数，例如 max_connections 。
    • VM 上的 Db2 ：在 Azure VM 上运行 Db2 时，需要解决几个复杂的因素，例如性能和可用性。 有关 Azure 上高性能 Db2 部署的详细文章，请参阅 Red Hat Enterprise Linux Server 上 Azure VM 中的 IBM Db2 LUW 的高可用性 。 本文逐步介绍调整大小和性能方面的注意事项。 还演示了如何部署使用 Pacemaker 的高可用性 Db2 群集。
    • Oracle ：如果目前使用 Oracle 数据库，或者如果计划迁移到 Oracle，请熟悉以下资源，以在 Azure 上运行 Oracle 工作负载：
      • 在 Azure 中设计和实现 Oracle 数据库
      • 适用于 Azure 的 Oracle 互连

      消息队列具体信息

      Sterling OMS 需要基于 JMS 的消息代理。 最常见的是使用 IBM MQ。 在 Azure 中运行高可用性 IBM MQ 实例的最佳方式是使用 适用于 Kubernetes 部署的 IBM MQ Helm 图表 。 可以将这些图表部署到现有的 Azure Red Hat OpenShift 群集中，然后将其部署到单独的辅助角色上，以隔离工作负载。 如果需要，还可以手动将 IBM MQ 部署和安装到 VM 上。

      作为标准部署的一部分，可以在部署时定义队列，从而减少启动实例所需的配置时间。 标准部署会创建队列管理器的一个主动实例和两个被动实例。 部署完成后，可以使用 SSH 连接到当前先导 Pod 并定 JMS 绑定文件。 然后，可以使用该文件为 Sterling OMS 部署创建配置映射。

      IBM 还支持其他基于 JMS 的消息队列系统，例如 Apache ActiveMQ。 有关详细信息，请参阅 Sterling Order Management Software 中的消息队列 。 部署选项因解决方案而异。

      这些注意事项实施 Azure 架构良好的框架的支柱原则，即一套可用于改进工作负载质量的指导原则。 有关详细信息，请参阅 Microsoft Azure 架构良好的框架 。

      安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息，请参阅 安全性支柱概述 。

      保持对资产维护生命周期的访问权限和可见性可能是组织高效运行和维护运行时间的最大机会之一。 为了帮助改进环境的安全状况，请务必使用安全身份验证并使解决方案保持最新。 使用加密帮助保护所有进出体系结构的数据。

      Azure 使用 IaaS 和平台即服务 (PaaS) 模型提供 Sterling OMS。 Microsoft 在以下级别将安全保护构建到服务中：

      • 物理数据中心
      • Hypervisor

      仔细评估你为虚拟机监控程序上方的区域选择的服务和技术，例如主要发布的 Azure Red Hat OpenShift 最新补丁版本。 请务必为体系结构提供适当的安全控制。 由你负责修补和维护 IaaS 系统的安全性。 Microsoft 会为 Azure Red Hat OpenShift 等 PaaS 服务扮演该角色。 尽管可以启动 Azure Red Hat OpenShift 升级，但该过程完全由 Microsoft 和 Red Hat 管理。 有关修补和升级 Azure Red Hat OpenShift 的详细信息，请参阅 升级 Azure Red Hat OpenShift 群集 。

      使用 网络安全组 来筛选进出 虚拟网络 中资源的网络流量。 借助这些组，便可以定义可授予或拒绝对 Sterling OMS 服务的访问权限的规则。 示例包括：

      • 阻止访问已部署基础结构的所有其他部分，例如消息代理或后端数据库使用的特定端口和服务。
      • 控制哪些位置有权访问 Sterling OMS 和 OpenShift 群集。

      需要打开的端口号和范围取决于许多因素。 一些可考虑的选项包括：

      • 端口 443，用于服务到服务的通信。
      • 特定于数据库的端口，例如用于 Azure Database for PostgreSQL 灵活服务器选项的端口 5432。
      • 消息队列端口，例如用于 IBM MQ 的端口 1414。

      另请考虑以下几点：

      • Azure Red Hat OpenShift 群集节点必须具有出站 Internet 访问权限。 如果无法提供此访问权限，这些节点至少需要有权访问 Azure 资源管理器和服务日志记录终结点。
      • IBM 提供有关实现多个 Sterling OMS 应用程序的指导，这些应用程序共享后端数据库等常见服务。 此类部署还需要考虑应用程序内的防火墙。 有关详细信息，请参阅 为应用内通信打开防火墙端口 。

      如果需要访问其他非 Azure Red Hat OpenShift 节点，可以选择使用 Azure Bastion 来访问 VM。 出于安全原因，请勿在未配置 网络安全组 以控制对其的访问的情况下将虚拟机公开给网络或 Internet。

      Azure 磁盘存储的服务器端加密 (SSE) 可帮助保护数据。 SSE 还有助于满足组织安全性和合规性承诺。 对于 Azure 托管磁盘，SSE 会在将数据保存到云时加密静态数据。 此行为默认适用于 OS 和数据磁盘。 OpenShift 默认使用 SSE。 Azure Red Hat OpenShift 还支持群集中 OS 磁盘的客户管理的加密密钥 (CMEK)。

      应为 Azure Red Hat OpenShift 配置 OAuth。 有关详细信息，请参阅 Azure Red Hat OpenShift 文档中的 身份验证和授权概述 。

      保护基础结构

      控制对已部署的 Azure 资源的访问。 每个 Azure 订阅都与 Azure Active Directory (Azure AD) 租户存在 信任关系 。 可使用 Azure 基于角色的访问控制 向组织内的用户授予对 Azure 资源的正确权限。 通过向特定范围内的用户或组分配 Azure 角色，授予访问权限。 该范围可以是订阅、资源组或单个资源。 请务必审核对基础结构进行的所有更改。 有关审核的详细信息，请参阅 Azure Monitor 活动日志 。

      成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息，请参阅 成本优化支柱概述 。

      Sterling OMS 的标准部署包含以下组件。 可以调整其中许多基于计算的资源以满足需求。 例如，可以纵向扩展 IBM MQ 代理节点，以允许更大的吞吐量。

      Azure Red Hat OpenShift（适用于 OMS）

      • 三个控制 VM (Standard_D8s_v5)
      • 三个辅助角色 VM (Standard_D8s_v5)
      • 一个虚拟网络 (/16)，其中考虑了以下子网：
        • Azure Red Hat OpenShift 控制节点子网 (/24)
        • Azure Red Hat OpenShift 工作器节点子网 (/24)
        • 数据子网（如果需要）(/27)
        • 其他 VM 子网（如果需要）(/27)
        • 管理子网（如果需要）(/30)
        • 一个具有灵活服务器选项的 Azure Database for PostgreSQL 实例
        • 一个 Azure 容器注册表实例
        • 两个 Azure 存储帐户
        • 三个 DNS 区域
        • 两个负载均衡器
        • 一个跳转盒 VM
        • Azure Bastion

        如果在 Azure VM 上运行 Db2，或者如果将 IBM MQ 部署到 Azure Red Hat OpenShift 环境中，则各个部署可能会有所不同。 若要查看估算示例，请使用 成本计算器 。 配置各不相同，因此请在最终确定部署之前与 IBM 大小调整团队验证配置。

        可靠性可确保应用程序符合你对客户的承诺。 有关详细信息，请参阅 可靠性支柱概述 。

        Azure Red Hat OpenShift 具有自我修复、扩展和复原的内置功能，可确保 Azure Red Hat OpenShift 和 Sterling OMS 成功运行。 Azure Red Hat OpenShift 和 Sterling OMS 专为故障和恢复部件而设计。 自我修复的关键要求是有足够的工作器节点。 若要从 Azure 区域中的区域故障中恢复，可用性区域之间的控制节点和工作器节点必须实现均衡。

        Sterling OMS 和 Azure Red Hat OpenShift 使用数据库存储在 Kubernetes 群集之外保留状态。 日志和其他应用程序资源将保存到存储帐户中。 为确保存储依赖项在故障期间继续工作，请尽可能使用 区域冗余存储 。 当某一区域发生故障时，这种类型的存储仍然可用。 数据库部署还应考虑多区域配置。

        由于人为错误很常见，因此请尽可能使用自动化来部署 Sterling OMS。 有关设置完整的端到端自动化的一些示例脚本，请参阅 GitHub 上的 快速入门指南：Azure 上的 Sterling Order Management 。

        部署此方案

        在开始之前，请查看 系统要求 中的 Sterling OMS 要求。 还要确保具有以下可用资源：

        • 以“读取者”权限访问 Azure 订阅的权限。
        • 对订阅具有“参与者”和“用户访问管理员”权限的应用程序注册或服务主体名称。
        • Azure DNS 区域的域或委托子域。
        • IBM Sterling OMS 权利密钥。
        • IBM 推荐的群集大小调整。
        • 现有虚拟网络或新虚拟网络，具体取决于需求。 有关创建具有两个空子网的新虚拟网络的示例，请参阅 教程：创建 Azure Red Hat OpenShift 4 群集 。
        • 特定部署的高可用性和灾难恢复要求。
        • OMEnviroment 配置文件 omenvironment.yaml，在通过 OpenShift Operator Catalog 部署 Sterling OMS 时使用。

        有关在 Azure 上安装 Azure Red Hat OpenShift 和 Sterling OMS 的分步指南，包括如何满足先决条件，请参阅 快速入门指南：Azure 上的 Sterling Order Management 。

        部署注意事项

        当前的最佳做法是使用基础结构即代码 (IaC) 来部署工作负载，而不是手动部署工作负载，因为手动部署可能导致配置错误。 基于容器的工作负载可能对错误配置很敏感，这会降低工作效率。

        在构建环境之前，请查看 快速入门指南：Azure 上的 Sterling Order Management 以加深对设计参数的了解。 快速入门指南不适用于生产就绪部署，但可以使用指南的资产来获取用于部署的生产级机制。

        IBM 提供专用服务，有助于进行安装。 请联系 IBM 团队获取支持。

        本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

        主要作者：

        • David Baumgarten | 首席云解决方案架构师
        • Drew Furgiuele | 高级云解决方案架构师
        • Roeland Nieuwenhuis | 首席云解决方案架构师

        其他参与者：

        • Aneesh AR | 高级云服务黑带
        • Vijaya Bashyam | 高级技术人员
        • James Read | EMEA 首席解决方案架构师
        • Andy Repton | 托管 OpenShift 黑带

        若要查看非公开的 LinkedIn 个人资料，请登录到 LinkedIn。

        • 使用 Sterling Order Management Software Operator 部署经过认证的容器的先决条件
        • Sterling Order Management - 最佳做法指南
        • IBM Passport Advantage
        • 快速入门：部署 Azure Red Hat OpenShift 群集
        • 快速入门：创建 Azure Database for PostgreSQL - 灵活服务器
        • 使用 Azure Front Door 保护对 Azure Red Hat OpenShift 的访问
        • 在 Azure Red Hat OpenShift 上使用适用于机密存储 CSI 驱动程序的 Azure 密钥保管库提供程序
        • 容器中的 IBM MQ
        • Azure Red Hat OpenShift
        • 什么是 Azure Database for PostgreSQL？
        • Azure 上的 Red Hat 简介
        • 使用 Azure Database for PostgreSQL
        • 在 Azure 上部署 IBM Maximo Application Suite
        • 使用 Azure 上的 Red Hat 进行 JBoss 部署
        • 可缩放订单处理
        • 在 Azure 上运行 Oracle 数据库