Übersicht über die Zuständigkeiten für Azure Red Hat OpenShift
Artikel
In diesem Dokument werden die Zuständigkeiten von Microsoft, Red Hat und Kunden für Azure Red Hat OpenShift beschrieben. Weitere Informationen zu Azure Red Hat OpenShift und den Komponenten finden Sie in der Azure Red Hat OpenShift Service Definition.
Während Microsoft und Red Hat den Azure Red Hat OpenShift verwalten, teilt sich der Kunde die Verantwortung für die Funktionalität des Clusters. Während Azure Red Hat OpenShift Cluster in Azure-Kundenabonnements auf Azure-Ressourcen gehostet werden, wird aus der Ferne auf sie zugegriffen. Die zugrundeliegende Plattform und Datensicherheit befindet sich im Besitz von Microsoft und Red Hat.
Aufgaben für gemeinsame Zuständigkeiten nach Bereich
Incident- und Betriebsverwaltung
Der Kunde Microsoft und Red Hat sind gemeinsam für die Überwachung und Wartung eines Azure Red Hat OpenShift verantwortlich. Der Kunde ist für die Verwaltung von Incidents und Vorgängen der Anwendungsdaten von Kunden und für alle benutzerdefinierten Netzwerke verantwortlich, die der Kunde möglicherweise konfiguriert hat.
Ressource
Zuständigkeiten von Microsoft und Red Hat
Kunden-Zuständigkeiten
Anwendungsnetzwerke
Überwachen von (mehreren) Cloudlastenausgleichen und nativen OpenShift-Routerdiensten und Reaktion auf Warnungen.
Überwachen sie die Integrität von Dienst-Endpunkten für den Lastenausgleich.
Überwachen Sie die Integrität von Anwendungsrouten und deren Endpunkten.
Melden von Ausfällen an Microsoft und Red Hat.
Virtuelle Netzwerke
Überwachen Sie cloudbasierte Lastenausgleichskomponenten, Subnetze und Azure-Cloudkomponenten, die für standardbasierte Plattformnetzwerke erforderlich sind, und reagieren Sie auf Warnungen.
Überwachen Sie den Netzwerkdatenverkehr, der optional über eine VNet-zu-VNet-Verbindung, eine VPN-Verbindung oder Private Link-Verbindung konfiguriert ist, um potenzielle Probleme oder Sicherheitsbedrohungen zu erkennen.
Tabelle 2: Gemeinsame Zuständigkeiten für die Verwaltung von Vorfällen und Vorgängen
Change Management
Microsoft und Red Hat sind dafür verantwortlich, Änderungen an der Clusterinfrastruktur und den Diensten zu ermöglichen, die der Kunde steuert, sowie für die Verwaltung der Versionen, die für die Masterknoten, Infrastrukturdienste und Workerknoten verfügbar sind. Der Kunde ist für die Initiierung von Infrastrukturänderungen sowie die Installation und Wartung optionaler Dienste und Netzwerkkonfigurationen im Cluster sowie für alle Änderungen an Kundendaten und Kundenanwendungen verantwortlich.
Ressource
Zuständigkeiten von Microsoft und Red Hat
Kunden-Zuständigkeiten
Protokollierung
Zentrales Aggregieren und Überwachen von Plattform-Überwachungsprotokollen.
Bereitstellen der Dokumentation für den Kunden, um die Anwendungsprotokollierung mit Log Analytics über Azure Monitor für Container zu aktivieren.
Stellen Sie Überwachungsprotokolle auf Kundenanforderung bereit.
Installieren Sie den optionalen Standardoperator für die Anwendungsprotokollierung im Cluster.
Installieren, konfigurieren und verwalten Sie alle optionalen App-Protokollierungslösungen, z. B. die Protokollierung von Sidecar-Containern oder Protokollierungsanwendungen von Drittanbietern.
Optimieren Sie die Größe und Häufigkeit von Anwendungsprotokollen, die von Kundenanwendungen erstellt werden, wenn sie sich auf die Stabilität des Clusters auswirken.
Fordern Sie Plattformüberwachungsprotokolle über einen Supportfall an, um bestimmte Vorfälle zu untersuchen.
Anwendungsnetzwerke
Einrichten des Lastenausgleichs für öffentliche Clouds
Richten Sie den OpenShift Ingress-Clusteroperator und den Standard-IngressController ein. Bieten Sie die Möglichkeit, zusätzliche kundenseitig verwaltete IngressControllers hinzuzufügen und den Standard-IngressController als privat festzulegen.
Installieren, konfigurieren und verwalten Sie das OVN-Kubernetes-Netzwerk-Plug-In und zugehörige Komponenten für den standardmäßigen internen Poddatenverkehr.
Konfigurieren Sie nicht standardmäßige Podnetzwerkberechtigungen für Projekt- und Podnetzwerke, Podeingang und Podausgang mithilfe von NetworkPolicy-Objekten.
Fordern Sie zusätzliche Dienstlastenausgleiche für bestimmte Dienste an, und konfigurieren Sie sie.
Clusternetzwerke
Richten Sie Clusterverwaltungskomponenten wie öffentliche oder private Dienst-Endpunkte und die erforderliche Integration in virtuelle Netzwerkkomponenten ein.
Richten Sie interne Netzwerkkomponenten ein, die für die interne Clusterkommunikation zwischen Worker- und Masterknoten erforderlich sind.
Geben Sie optionale, nicht standardmäßige IP-Adressbereiche für Computer-CIDR, Dienst-CIDR und Pod-CIDR an, falls dies bei der Bereitstellung des Clusters über den OpenShift-Cluster-Manager erforderlich ist.
Fordern Sie an, dass der API-Dienstendpunkt bei der Clustererstellung oder nach der Clustererstellung über die Azure CLI veröffentlicht wird.
Virtuelle Netzwerke
Richten Sie virtuelle Netzwerkkomponenten ein, die für die Bereitstellung des Clusters erforderlich sind, einschließlich virtueller privater Clouds, Subnetze, Lastenausgleichselemente, Internetgateways, NAT-Gateways usw.
Bieten Sie dem Kunden die Möglichkeit, VPN-Konnektivität mit lokalen Ressourcen, VNet-zu-VNet-Konnektivität und Private Link über den OpenShift-Cluster-Manager zu verwalten.
Ermöglichen Sie Kunden das Erstellen und Bereitstellen von Lastenausgleichs-basierten öffentlichen Clouds für die Verwendung mit Dienstlastenausgleichen.
Richten Sie optionale Netzwerkkomponenten der öffentlichen Cloud ein, z. B. VNet-zu-VNet-Verbindung, VPN-Verbindung oder Private Link-Verbindung, und warten Sie sie.
Fordern Sie zusätzliche Dienstlastenausgleiche für bestimmte Dienste an, und konfigurieren Sie sie.
Clusterversion
Kommunizieren von Zeitplan und Status von Upgrades für Neben- und Wartungsversionen
Veröffentlichen von Änderungs- und Versionshinweisen für kleinere Upgrades und Wartungsupgrades
Initiieren des Upgrades des Clusters
Testen von Kundenanwendungen auf Neben- und Wartungsversionen, um die Kompatibilität sicherzustellen
Capacity Management
Überwachen Sie die Nutzung von Steuerungsebenenressourcen (Masterknoten), einschließlich Netzwerk-, Speicher- und Computekapazität
Proaktives Skalieren und/oder Ändern der Größe von Steuerungsebenen-Knoten zur Aufrechterhaltung der Dienstqualität
Fügen Sie bei Bedarf weitere Arbeitsknoten hinzu oder entfernen Sie sie.
Reagieren auf Microsoft- und Red Hat-Benachrichtigungen zu Clusterressourcenanforderungen.
Stellen Sie sicher, dass ausreichend Kontingent für VMs mit größeren Kontrollebenen verfügbar ist, wenn der Skalierungsvorgang ausgeführt wird
Tabelle 3. Gemeinsame Zuständigkeiten für Change Management
Identitäts- und Zugriffsverwaltung
Die Identitäts- und Zugriffsverwaltung umfasst alle Zuständigkeiten, um sicherzustellen, dass nur authorisierte Personen Zugriff auf Cluster-, Anwendungs- und Infrastrukturressourcen haben. Dies schließt Aufgaben wie die Bereitstellung von Zugriffssteuerungsmechanismen, die Authentifizierung, Autorisierung und die Verwaltung des Zugriffs auf Ressourcen ein.
Ressource
Zuständigkeiten von Microsoft und Red Hat
Kunden-Zuständigkeiten
Protokollierung
Halten Sie sich an einen auf Branchenstandards basierenden mehrstufigen internen Zugriffsprozess für Plattform-Überwachungsprotokolle.
Stellen Sie native OpenShift-RBAC-Funktionen bereit.
Konfigurieren Sie OpenShift RBAC, um den Zugriff auf Projekte und die Anwendungsprotokolle eines Projekts zu steuern.
Bei Protokollierungslösungen von Drittanbietern oder benutzerdefinierten Anwendungen ist der Kunde für die Zugriffsverwaltung verantwortlich.
Anwendungsnetzwerke
Stellen Sie native OpenShift-RBAC-Funktionen bereit.
Konfigurieren Sie OpenShift RBAC, um den Zugriff auf die Routenkonfiguration nach Bedarf zu steuern.
Clusternetzwerke
Stellen Sie native OpenShift-RBAC-Funktionen bereit.
Verwalten der Red Hat-Organisationsmitgliedschaft von Red Hat-Konten.
Verwalten Sie Organisationsadministratoren für Red Hat-Organisationen, um Zugriff auf OpenShift Cluster Manager zu gewähren.
Konfigurieren Sie OpenShift RBAC, um den Zugriff auf die Routenkonfiguration nach Bedarf zu steuern.
Virtuelle Netzwerke
Bereitstellen von Kundenzugriffssteuerungen über OpenShift Cluster Manager.
Verwalten Sie den optionalen Benutzerzugriff auf öffentliche Cloudkomponenten über den OpenShift-Cluster-Manager.
Tabelle 4. Einige weitere Möglichkeiten zur Identitäts- und Zugriffsverwaltung
Sicherheit und Compliance
Die Einhaltung von Sicherheits- und Regulierungsanforderungen umfassen alle Zuständigkeiten und Kontrollen, die die Einhaltung relevanter Gesetze, Richtlinien und Vorschriften sicherstellen.
Ressource
Zuständigkeiten von Microsoft und Red Hat
Kunden-Zuständigkeiten
Protokollierung
Senden sie Clusterüberwachungsprotokolle an Microsoft und Red Hat SIEM, um Sicherheitsereignisse zu analysieren. Behalten Sie Überwachungsprotokolle für einen definierten Zeitraum bei, um forensische Analysen zu unterstützen.
Analysieren sie Anwendungsprotokolle auf Sicherheitsereignisse. Senden Sie Anwendungsprotokolle an einen externen Endpunkt, indem Sie Sidecar-Container oder Protokollierungsanwendungen von Drittanbietern protokollieren, wenn eine längere Aufbewahrung erforderlich ist, als vom Standardprotokollstapel angeboten wird.
Virtuelle Netzwerke
Überwachen Sie virtuelle Netzwerkkomponenten auf potenzielle Probleme und Sicherheitsbedrohungen.
Verwenden Sie weitere öffentliche Microsoft- und Red Hat Azure-Tools für zusätzliche Überwachung und Schutz.
Überwachen Sie optional konfigurierte virtuelle Netzwerkkomponenten auf potenzielle Probleme und Sicherheitsbedrohungen.
Konfigurieren Sie alle erforderlichen Firewallregeln oder Rechenzentrumsschutz nach Bedarf.
Tabelle 5. Gemeinsame Verantwortung für die Einhaltung von Sicherheits- und Regulierungsanforderungen
Kundenaufgaben bei der Verwendung Azure Red Hat OpenShift
Kundendaten und -anwendungen
Der Kunde ist für die Anwendungen, Workloads und Daten verantwortlich, die er für die Azure Red Hat OpenShift bereitstellt. Microsoft und Red Hat stellen jedoch verschiedene Tools zur Verfügung, mit denen der Kunde Daten und Anwendungen auf der Plattform verwalten kann.
Ressource
Hilfe von Microsoft und Red Hat
Kunden-Zuständigkeiten
Kundendaten
Halten Sie Standards für die Datenverschlüsselung auf Plattformebene gemäß den Branchensicherheits- und Konformitätsstandards ein.
Stellen Sie OpenShift-Komponenten zum Verwalten von Anwendungsdaten wie Geheimnissen zur Verfügung.
Aktivieren Sie die Integration in Datendienste von Drittanbietern (z. B. Azure SQL), um Daten außerhalb des Clusters und/oder Microsoft und Red Hat Azure zu speichern und zu verwalten.
Übernehmen Sie die Verantwortung für alle auf der Plattform gespeicherten Kundendaten und darüber, wie Kundenanwendungen diese Daten nutzen und verfügbar machen.
Etcd-Verschlüsselung
Kundenanwendungen
Stellen Sie Cluster mit installierten OpenShift-Komponenten bereit, damit Kunden auf die OpenShift- und Kubernetes-APIs zugreifen können, um Containeranwendungen bereitzustellen und zu verwalten.
Bieten Sie Zugriff auf OpenShift-APIs, mit denen ein Kunde Operatoren einrichten kann, um dem Cluster Community-, Drittanbieter-, Microsoft- und Red Hat- und Red Hat-Dienste hinzuzufügen.
Stellen Sie Speicherklassen und Plug-Ins bereit, um persistente Volumes für die Verwendung mit Kundenanwendungen zu unterstützen.
Übernehmen Sie die Verantwortung für Kunden- und Drittanbieteranwendungen, Daten und den gesamten Lebenszyklus.
Wenn ein Kunde Red Hat-, Community-, Drittanbieter-, eigene oder andere Dienste mithilfe von Operatoren oder externen Images zum Cluster hinzufügt, ist der Kunde für diese Dienste und für die Zusammenarbeit mit dem entsprechenden Anbieter (einschließlich Red Hat) zur Behandlung von Problemen verantwortlich.
Behalten Sie die Verantwortung für die Überwachung der Anwendungen, die auf Azure Red Hat OpenShift ausgeführt werden. einschließlich der Installation und des Betriebs von Software, um Metriken zu erfassen und Warnungen zu erstellen.
Tabelle 6. Kundenaufgaben für Kundendaten, Kundenanwendungen und Dienste