Omówienie obowiązków związanych z usługą Azure Red Hat OpenShift
Artykuł
W tym dokumencie opisano obowiązki klientów firmy Microsoft, Red Hat i klastrów usługi Azure Red Hat OpenShift. Aby uzyskać więcej informacji na temat usługi Azure Red Hat OpenShift i jej składników, zobacz Definicję usługi Azure Red Hat OpenShift.
Podczas gdy firma Microsoft i Red Hat zarządzają usługą Azure Red Hat OpenShift, klient ponosi odpowiedzialność za funkcjonalność klastra. Podczas gdy klastry usługi Azure Red Hat OpenShift są hostowane w zasobach platformy Azure w subskrypcjach platformy Azure klienta, są one uzyskiwane zdalnie. Podstawowa platforma i zabezpieczenia danych należą do firmy Microsoft i firmy Red Hat.
Zadania związane ze współdzieloną odpowiedzialnością według obszaru
Zarządzanie zdarzeniami i operacjami
Klient, firma Microsoft i Firma Red Hat ponoszą odpowiedzialność za monitorowanie i konserwację klastra Usługi Azure Red Hat OpenShift. Klient jest odpowiedzialny za zdarzenia i operacje zarządzania danymi aplikacji klienta i dowolną niestandardową siecią skonfigurowaną przez klienta.
Zasób
Obowiązki firmy Microsoft i Red Hat
Obowiązki klienta
Sieć aplikacji
Monitorowanie modułów równoważenia obciążenia w chmurze i natywnej usługi routera OpenShift oraz reagowanie na alerty.
Monitorowanie kondycji punktów końcowych modułu równoważenia obciążenia usługi.
Monitorowanie kondycji tras aplikacji i punktów końcowych za nimi.
Zgłaszanie awarii do firmy Microsoft i Red Hat.
Sieć wirtualna
Monitorowanie modułów równoważenia obciążenia w chmurze, podsieci i składników chmury platformy Azure niezbędnych do domyślnej sieci platformy i reagowanie na alerty.
Monitoruj ruch sieciowy, który jest opcjonalnie skonfigurowany za pośrednictwem sieci wirtualnej do połączenia sieci wirtualnej, połączenia sieci VPN lub połączenia usługi Private Link pod kątem potencjalnych problemów lub zagrożeń bezpieczeństwa.
Tabela 2. Wspólne obowiązki związane z zarządzaniem zdarzeniami i operacjami
Zarządzanie zmianami
Firmy Microsoft i Red Hat są odpowiedzialne za umożliwienie zmian w infrastrukturze i usługach klastra, które kontroluje klient, a także obsługę wersji dostępnych dla węzłów głównych, usług infrastruktury i węzłów roboczych. Klient jest odpowiedzialny za inicjowanie zmian infrastruktury oraz instalowanie i konserwowanie opcjonalnych usług i konfiguracji sieci w klastrze, a także wszystkich zmian w danych klientów i aplikacjach klientów.
Zasób
Obowiązki firmy Microsoft i Red Hat
Obowiązki klienta
Wyrąb
Centralne agregowanie i monitorowanie dzienników inspekcji platformy.
Podaj dokumentację dla klienta, aby umożliwić rejestrowanie aplikacji przy użyciu usługi Log Analytics za pośrednictwem usługi Azure Monitor dla kontenerów.
Podaj dzienniki inspekcji na żądanie klienta.
Zainstaluj opcjonalny domyślny operator rejestrowania aplikacji w klastrze.
Instalowanie, konfigurowanie i obsługa dowolnych opcjonalnych rozwiązań rejestrowania aplikacji, takich jak kontenery przyczepki rejestrowania lub aplikacje do rejestrowania innych firm.
Dostosuj rozmiar i częstotliwość dzienników aplikacji tworzonych przez aplikacje klienta, jeśli mają one wpływ na stabilność klastra.
Zażądaj dzienników inspekcji platformy za pomocą zgłoszenia do pomocy technicznej w celu zbadania określonych zdarzeń.
Skonfiguruj operator klastra Ruchu przychodzącego OpenShift i domyślny kontroler ruchu przychodzącego. Zapewnij możliwość dodawania dodatkowych kontrolerów ruchu przychodzącego zarządzanego przez klienta i ustawiania domyślnego elementu IngressController jako prywatnego.
Instalowanie, konfigurowanie i obsługa wtyczki sieciowej OVN-Kubernetes oraz powiązanych składników dla domyślnego wewnętrznego ruchu zasobnika.
Skonfiguruj nie domyślne uprawnienia sieci zasobnika dla sieci projektów i zasobników, ruchu przychodzącego zasobnika i ruchu wychodzącego zasobnika przy użyciu obiektów NetworkPolicy.
Zażądaj i skonfiguruj wszelkie dodatkowe moduły równoważenia obciążenia usługi dla określonych usług.
Sieć klastra
Skonfiguruj składniki zarządzania klastrem, takie jak publiczne lub prywatne punkty końcowe usługi i niezbędną integrację ze składnikami sieci wirtualnej.
Skonfiguruj składniki sieci wewnętrznej wymagane do wewnętrznej komunikacji klastra między procesem roboczym i węzłami głównymi.
Podaj opcjonalne, inne niż domyślne zakresy adresów IP dla maszyny CIDR, ciDR usługi i ciDR zasobnika, jeśli jest to konieczne za pośrednictwem Menedżera klastra OpenShift podczas aprowizowania klastra.
Zażądaj, aby punkt końcowy usługi interfejsu API był publiczny lub prywatny podczas tworzenia klastra lub po utworzeniu klastra za pośrednictwem interfejsu wiersza polecenia platformy Azure.
Sieć wirtualna
Konfigurowanie i konfigurowanie składników sieci wirtualnej wymaganych do aprowizacji klastra, w tym wirtualnej chmury prywatnej, podsieci, modułów równoważenia obciążenia, bram internetowych, bram translatora adresów sieciowych itp.
Umożliwia klientowi zarządzanie łącznością sieci VPN z zasobami lokalnymi, połączeniem sieci wirtualnej z siecią wirtualną i łącznością usługi Private Link zgodnie z wymaganiami za pośrednictwem Menedżera klastra OpenShift.
Umożliwia klientom tworzenie i wdrażanie modułów równoważenia obciążenia w chmurze publicznej do użycia z modułami równoważenia obciążenia usługi.
Konfigurowanie i obsługa opcjonalnych składników sieci w chmurze publicznej, takich jak połączenie sieci wirtualnej z siecią wirtualną, połączenie sieci VPN lub połączenie usługi Private Link.
Zażądaj i skonfiguruj wszelkie dodatkowe moduły równoważenia obciążenia usługi dla określonych usług.
Wersja klastra
Przekazywanie harmonogramu i stanu uaktualnień dla wersji pomocniczych i konserwacyjnych
Publikowanie dzienników zmian i informacji o wersji na potrzeby drobnych uaktualnień i konserwacji
Inicjowanie uaktualniania klastra
Testowanie aplikacji klientów w wersjach pomocniczych i konserwacyjnych w celu zapewnienia zgodności
Zarządzanie pojemnością
Monitorowanie wykorzystania zasobów płaszczyzny sterowania (węzłów głównych), w tym sieci, magazynu i pojemności obliczeniowej
Proaktywne skalowanie i/lub zmienianie rozmiaru węzłów płaszczyzny sterowania w celu utrzymania jakości usług
Dodaj lub usuń dodatkowe węzły robocze zgodnie z potrzebami.
Odpowiadanie na powiadomienia firmy Microsoft i Red Hat dotyczące wymagań dotyczących zasobów klastra.
Upewnij się, że jest dostępny duży limit przydziału dla większych maszyn wirtualnych płaszczyzny sterowania w przypadku operacji skalowania
Tabela 3. Wspólne obowiązki związane z zarządzaniem zmianami
Zarządzanie tożsamościami i dostępem
Zarządzanie tożsamościami i dostępem obejmuje wszystkie obowiązki w zakresie zapewnienia, że tylko odpowiednie osoby mają dostęp do zasobów klastra, aplikacji i infrastruktury. Obejmuje to zadania, takie jak zapewnianie mechanizmów kontroli dostępu, uwierzytelnianie, autoryzacja i zarządzanie dostępem do zasobów.
Zasób
Obowiązki firmy Microsoft i Red Hat
Obowiązki klienta
Wyrąb
Stosuj się do opartego na standardach branżowych wewnętrznego procesu dostępu opartego na standardach dla dzienników inspekcji platformy.
Udostępniaj natywne funkcje kontroli dostępu opartej na rolach platformy OpenShift.
Skonfiguruj kontrolę dostępu opartej na rolach platformy OpenShift w celu kontrolowania dostępu do projektów i przez rozszerzenie dzienników aplikacji projektu.
W przypadku rozwiązań rejestrowania aplikacji innych firm lub niestandardowych klient jest odpowiedzialny za zarządzanie dostępem.
Sieć aplikacji
Udostępniaj natywne funkcje kontroli dostępu opartej na rolach platformy OpenShift.
Skonfiguruj kontrolę dostępu na podstawie ról platformy OpenShift w celu kontrolowania dostępu do konfiguracji trasy zgodnie z potrzebami.
Sieć klastra
Udostępniaj natywne funkcje kontroli dostępu opartej na rolach platformy OpenShift.
Zarządzanie członkostwem w organizacji red hat kont.
Zarządzanie administratorami organizacji dla organizacji Red Hat w celu udzielenia dostępu do Menedżera klastra OpenShift.
Skonfiguruj kontrolę dostępu na podstawie ról platformy OpenShift w celu kontrolowania dostępu do konfiguracji trasy zgodnie z potrzebami.
Sieć wirtualna
Zapewnianie kontroli dostępu klienta za pośrednictwem Menedżera klastra OpenShift.
Zarządzanie opcjonalnym dostępem użytkowników do składników chmury publicznej za pomocą Menedżera klastra OpenShift.
Tabela 4. Wspólne obowiązki związane z zarządzaniem tożsamościami i dostępem
Zabezpieczenia i zgodność
Zabezpieczenia i zgodność obejmują wszelkie obowiązki i mechanizmy kontroli, które zapewniają zgodność z odpowiednimi przepisami, zasadami i przepisami.
Zasób
Obowiązki firmy Microsoft i Red Hat
Obowiązki klienta
Wyrąb
Wysyłanie dzienników inspekcji klastra do firmy Microsoft i rozwiązania Red Hat SIEM w celu przeanalizowania pod kątem zdarzeń zabezpieczeń. Zachowaj dzienniki inspekcji przez określony okres, aby obsługiwać analizę kryminalistyczną.
Analizowanie dzienników aplikacji pod kątem zdarzeń zabezpieczeń. Wysyłanie dzienników aplikacji do zewnętrznego punktu końcowego za pośrednictwem kontenerów przyczepki rejestrowania lub aplikacji do rejestrowania innych firm, jeśli wymagane jest dłuższe przechowywanie niż jest oferowane przez domyślny stos rejestrowania.
Sieć wirtualna
Monitorowanie składników sieci wirtualnej pod kątem potencjalnych problemów i zagrożeń bezpieczeństwa.
Dodatkowe publiczne narzędzia firmy Microsoft i red hat platformy Azure umożliwiają dodatkowe monitorowanie i ochronę.
Monitorowanie opcjonalnych składników sieci wirtualnej pod kątem potencjalnych problemów i zagrożeń bezpieczeństwa.
Skonfiguruj wszelkie niezbędne reguły zapory lub ochronę centrum danych zgodnie z potrzebami.
Tabela 5. Wspólne obowiązki dotyczące zgodności z zabezpieczeniami i regulacjami
Obowiązki klienta podczas korzystania z usługi Azure Red Hat OpenShift
Dane i aplikacje klienta
Klient jest odpowiedzialny za aplikacje, obciążenia i dane wdrażane w usłudze Azure Red Hat OpenShift. Firmy Microsoft i Red Hat udostępniają jednak różne narzędzia ułatwiające klientowi zarządzanie danymi i aplikacjami na platformie.
Zasób
Jak pomaga firma Microsoft i Red Hat
Obowiązki klienta
Dane klienta
Zachowaj standardy na poziomie platformy dotyczące szyfrowania danych zgodnie z definicją w branżowych standardach zabezpieczeń i zgodności.
Udostępnianie składników openShift ułatwia zarządzanie danymi aplikacji, takimi jak wpisy tajne.
Włącz integrację z usługami danych innych firm (takimi jak Azure SQL), aby przechowywać dane poza klastrem i/lub firmą Microsoft i platformą Red Hat Azure oraz zarządzać nimi.
Zachowaj odpowiedzialność za wszystkie dane klientów przechowywane na platformie oraz sposób, w jaki aplikacje klienta używają i uwidaczniają te dane.
Szyfrowanie etcd
Aplikacje klienta
Aprowizowanie klastrów przy użyciu zainstalowanych składników OpenShift, aby klienci mogli uzyskiwać dostęp do interfejsów API OpenShift i Kubernetes w celu wdrażania konteneryzowanych aplikacji i zarządzania nimi.
Zapewnij dostęp do interfejsów API openShift, których klient może użyć do skonfigurowania operatorów w celu dodania do klastra usług społeczności, firm innych firm, firmy Microsoft i Red Hat oraz usług Red Hat.
Udostępniaj klasy magazynu i wtyczki do obsługi woluminów trwałych do użycia z aplikacjami klienta.
Zachowaj odpowiedzialność za aplikacje, dane i cały cykl życia aplikacji i innych firm.
Jeśli klient dodaje oprogramowanie Red Hat, społeczność, inne firmy, własne lub inne usługi do klastra przy użyciu operatorów lub obrazów zewnętrznych, klient jest odpowiedzialny za te usługi i do pracy z odpowiednim dostawcą (w tym Red Hat), aby rozwiązać wszelkie problemy.
Zachowaj odpowiedzialność za monitorowanie aplikacji uruchamianych w usłudze Azure Red Hat OpenShift; w tym instalowanie i oprogramowanie operacyjne w celu zbierania metryk i tworzenia alertów.
Tabela 6. Obowiązki klienta dotyczące danych klientów, aplikacji klientów i usług