Visão geral das responsabilidades do Red Hat OpenShift no Azure
Artigo
Este documento descreve as responsabilidades da Microsoft, da Red Hat e de clientes para clusters do Red Hat OpenShift no Azure. Para obter mais informações sobre o Red Hat OpenShift no Azure e seus componentes, confira Definição do Serviço do Red Hat OpenShift no Azure.
Embora a Microsoft e o Red Hat gerenciem o serviço do Red Hat OpenShift no Azure, o cliente compartilha a responsabilidade pela funcionalidade de seu cluster. Embora os clusters do Red Hat OpenShift no Azure sejam hospedados em recursos do Azure nas assinaturas do Azure do cliente, eles são acessados remotamente. A plataforma subjacente e a segurança de dados são de propriedade da Microsoft e do Red Hat.
Tarefas para responsabilidades compartilhadas por área
Gerenciamento de incidentes e operações
O cliente, a Microsoft e a Red Hat compartilham a responsabilidade pelo monitoramento e manutenção de um cluster do Red Hat OpenShift no Azure. O cliente é responsável pelo gerenciamento de incidentes e operações dos dados de aplicativos do cliente e qualquer rede personalizada que o cliente possa ter configurado.
Recurso
Responsabilidades da Microsoft e Red Hat
Responsabilidades do cliente
Rede de aplicativo
Monitora os balanceadores de carga de nuvem e o serviço de roteador OpenShift nativo e responda aos alertas.
Monitora a integridade dos pontos de extremidade do balanceador de carga de serviço.
Monitora a integridade das rotas de aplicativos e os pontos de extremidade por trás delas.
Relata interrupções à Microsoft e Red Hat.
Rede Virtual
Monitora os balanceadores de carga de nuvem, sub-redes e componentes de nuvem do Azure necessários para a rede de plataforma padrão e responde aos alertas.
Monitora o tráfego de rede configurado opcionalmente, por meio de conexão VNet para VNet, conexão VPN ou conexão de Link Privado em relação aos possíveis problemas ou ameaças de segurança.
Tabela 2. Responsabilidades compartilhadas para gerenciamento de incidentes e operações
Gerenciamento de mudanças
A Microsoft e a Red Hat são responsáveis por habilitar as alterações na infraestrutura e nos serviços de cluster que o cliente controla, além de manter as versões disponíveis para os nós mestre, os serviços de infraestrutura e os nós de trabalho. O cliente é responsável por iniciar alterações de infraestrutura e instalar e manter serviços opcionais e configurações de rede no cluster, bem como todas as alterações nos dados do cliente e nos aplicativos do cliente.
Recurso
Responsabilidades da Microsoft e Red Hat
Responsabilidades do cliente
Registro em log
Agrega centralmente e monitorar os logs de auditoria da plataforma.
Fornece documentação para que o cliente habilite o log de aplicativo usando Log Analytics por meio de Azure Monitor para contêineres.
Fornece logs de auditoria após a solicitação do cliente.
Instala o operador de log de aplicativo padrão opcional no cluster.
Instala, configura e mantém qualquer solução de registro em log de aplicativo opcional, como registrar em log contêineres de sidecar ou aplicativos de log de terceiros.
Ajusta o tamanho e a frequência dos logs de aplicativos produzidos pelos aplicativos do cliente se eles estiverem afetando a estabilidade do cluster.
Solicita logs de auditoria de plataforma por meio de um caso de suporte para pesquisar incidentes específicos.
Rede de aplicativo
Configura balanceadores de carga de nuvem pública
Configure o operador do cluster de Entrada do OpenShift e o IngressController padrão. Fornecer a capacidade de adicionar IngressControllers gerenciados pelo cliente e definir o IngressController padrão como privado.
Instalar, configurar e manter o plug-in de rede OVN-Kubernetes e os componentes relacionados para o tráfego de pod interno padrão.
Configura permissões de rede de pod não padrão para redes de projeto e pod, entrada de pod e saída de pod usando objetos NetworkPolicy.
Solicita e configura quaisquer balanceadores de carga de serviço adicionais para serviços específicos.
Rede de cluster
Configura os componentes de gerenciamento de cluster, como pontos de extremidade de serviço público ou privado e a integração necessária com os componentes de rede virtual.
Configura os componentes de rede internos necessários para a comunicação interna do cluster entre os nós de trabalho e mestre.
Fornece intervalos de endereços IP não padrão opcionais para CIDR, CIDR de serviço e CIDR do computador, se necessário, por meio do Gerenciador de cluster do OpenShift quando o cluster for provisionado.
Solicita que o ponto de extremidade do serviço de API se torne público ou privado na criação do cluster ou após a criação do cluster por meio de CLI do Azure.
Rede Virtual
Instala e configura os componentes de rede virtual necessários para provisionar o cluster, incluindo nuvem privada virtual, sub-redes, balanceadores de carga, gateways de Internet, gateways NAT etc.
Fornece a capacidade para o cliente gerenciar a conectividade VPN com recursos locais, conectividade VNet com VNet e conectividade de Link Privado, conforme exigido por meio do Gerenciador de Cluster OpenShift.
Permite que os clientes criem e implantem balanceadores de carga de nuvem pública para uso com balanceadores de carga de serviço.
Configura e mantém componentes opcionais de rede de nuvem pública, como conexão VNet a VNet, conexão VPN ou conexão de Link Privado.
Solicita e configura quaisquer balanceadores de carga de serviço adicionais para serviços específicos.
Versão do cluster
Comunica agenda e status de atualizações para versões secundárias e de manutenção
Publica logs de mudanças e notas de versão para atualizações secundárias e de manutenção
Inicia a atualização do cluster
Testa aplicativos de clientes em versões secundárias e de manutenção para garantir a compatibilidade
Gerenciamento de Capacidade
Monitorar a utilização de recursos do painel de controle (nós mestre), incluindo capacidade de rede, armazenamento e computação
Escala e/ou redimensiona proativamente os nós do painel de controle para manter a qualidade do serviço
Adicione ou remova nós de trabalho adicionais conforme necessário.
Responde às notificações da Microsoft e da Red Hat relacionadas aos requisitos de recursos do cluster.
Verifica se uma ampla cota está disponível para VMs do painel de controle no caso de uma operação de escala
Tabela 3. Responsabilidades compartilhadas para o gerenciamento de alterações
Gerenciamento de identidade e acesso
O gerenciamento de identidades e acesso inclui todas as responsabilidades para garantir que apenas pessoas adequadas tenham acesso a recursos de cluster, aplicativo e infraestrutura. Isso inclui tarefas como fornecer mecanismos de controle de acesso, autenticação, autorização e gerenciamento de acesso a recursos.
Recurso
Responsabilidades da Microsoft e Red Hat
Responsabilidades do cliente
Registro em log
Aderir a um processo de acesso interno em camadas baseado em padrões do setor para os logs de auditoria da plataforma.
Fornecer recursos nativos do RBAC OpenShift.
Configurar o RBAC OpenShift para controlar o acesso a projetos e por extensão os logs de aplicativo de um projeto.
Para soluções de log de aplicativo personalizadas ou de terceiros, o cliente é responsável pelo gerenciamento de acesso.
Rede de aplicativo
Fornecer recursos nativos do RBAC OpenShift.
Configurar o RBAC OpenShift para controlar o acesso à configuração de rota, conforme necessário.
Rede de cluster
Fornecer recursos nativos do RBAC OpenShift.
Gerenciar a associação da organização Red Hat de contas da Red Hat.
Gerenciar os Administradores da Org para a organização Red Hat visando conceder acesso ao Gerenciador de Cluster do OpenShift.
Configurar o RBAC OpenShift para controlar o acesso à configuração de rota, conforme necessário.
Rede Virtual
Fornecer controles de acesso do cliente por meio do Gerenciador de Cluster do OpenShift.
Gerenciar o acesso de usuário opcional a componentes de nuvem pública por meio do Gerenciador de Cluster do OpenShift.
Tabela 4. Responsabilidades compartilhadas para gerenciamento de identidade e acesso
Segurança e conformidade
A segurança e a conformidade incluem quaisquer responsabilidades e controles que garantam a conformidade com leis, políticas e regulamentos relevantes.
Recurso
Responsabilidades da Microsoft e Red Hat
Responsabilidades do cliente
Registro em log
Enviar logs de auditoria de cluster para um SIEM da Microsoft e do Red Hat para analisar eventos de segurança. Manter os logs de auditoria por um período de tempo definido para dar suporte à análise forense.
Analisar os logs de aplicativo para eventos de segurança. Enviar logs de aplicativo para um ponto de extremidade externo por meio do log de contêineres sidecar ou de aplicativos de log de terceiros, se a retenção mais longa for necessária do que a oferecida pela pilha de registro em log padrão.
Rede Virtual
Monitorar os componentes de rede virtual para obter possíveis problemas e ameaças à segurança.
Usar ferramentas públicas adicionais da Microsoft e do Red Hat Azure para monitoramento e proteção adicionais.
Monitorar os componentes de rede virtual para obter possíveis problemas e ameaças à segurança.
Configurar as regras de firewall necessárias ou as proteções de data centers conforme necessário.
Tabela 5. Responsabilidades compartilhadas para conformidade com segurança e regulamentação
Responsabilidades do cliente ao usar o Red Hat OpenShift no Azure
Aplicativos e dados do cliente
O cliente é responsável pelos aplicativos, cargas de trabalho e dados que implantar no Red Hat OpenShift no Azure. No entanto, a Microsoft e a Red Hat fornecem várias ferramentas para ajudar o cliente a gerenciar dados e aplicativos na plataforma.
Recurso
Como a Microsoft e o Red Hat podem ajudar
Responsabilidades do cliente
Dados do Cliente
Manter os padrões de nível de plataforma para a criptografia de dados, conforme definido pelos padrões de conformidade e segurança do setor.
Fornecer componentes do OpenShift para ajudar a gerenciar dados de aplicativos, como segredos.
Habilitar a integração com serviços de dados de terceiros (como SQL do Azure) para armazenar e gerenciar dados fora do cluster e/ou Microsoft e Red Hat Azure.
Manter a responsabilidade de todos os dados armazenados do cliente na plataforma e como os aplicativos cliente consomem e expõem esses dados.
Criptografia etcd
Aplicativos do cliente
Provisionar clusters com componentes OpenShift instalados para que os clientes possam acessar as APIs OpenShift e Kubernetes para implantar e gerenciar aplicativos em contêineres.
Fornecer acesso a APIs do OpenShift que um cliente pode usar para configurar operadores para adicionar serviços de comunidade, de terceiros, da Microsoft e da Red Hat ao cluster.
Fornecer classes de armazenamento e plug-ins para dar suporte a volumes persistentes para uso com aplicativos do cliente.
Manter a responsabilidade por clientes e aplicativos de terceiros, dados e ciclo de vida completo.
Se um cliente adicionar a Red Hat, a comunidade, terceiros, os serviços ao cluster próprios ou outros serviços usando operadores ou imagens externas, o cliente será responsável por esses serviços e trabalhará com o provedor apropriado (incluindo a Red Hat) para solucionar quaisquer problemas.
Manter a responsabilidade pelo monitoramento dos aplicativos executados no Red Hat OpenShift no Azure; incluindo instalação e operação de software para coletar métricas e criar alertas.
Tabela 6. Responsabilidades do cliente para dados do cliente, aplicativos para clientes e serviços