Visão geral das responsabilidades do Azure Red Hat OpenShift
Artigo
Este documento descreve as responsabilidades da Microsoft, da Red Hat e dos clientes para os clusters do Azure Red Hat OpenShift. Para obter mais informações sobre o Azure Red Hat OpenShift e seus componentes, consulte a Definição de serviço do Azure Red Hat OpenShift.
Enquanto a Microsoft e a Red Hat gerenciam o serviço Azure Red Hat OpenShift, o cliente compartilha a responsabilidade pela funcionalidade de seu cluster. Enquanto os clusters do Azure Red Hat OpenShift são hospedados em recursos do Azure em assinaturas do Azure do cliente, eles são acessados remotamente. A segurança subjacente da plataforma e dos dados pertence à Microsoft e à Red Hat.
Tarefas para responsabilidades partilhadas por área
Gestão de incidentes e operações
O cliente, a Microsoft e a Red Hat compartilham a responsabilidade pelo monitoramento e manutenção de um cluster Red Hat OpenShift do Azure. O cliente é responsável pelo gerenciamento de incidentes e operações dos dados do aplicativo do cliente e qualquer rede personalizada que o cliente possa ter configurado.
Recurso
Responsabilidades da Microsoft e da Red Hat
Responsabilidades do cliente
Rede de aplicativos
Monitore o(s) balanceador(es) de carga na nuvem e o serviço nativo do roteador OpenShift e responda a alertas.
Monitore a integridade dos pontos de extremidade do balanceador de carga de serviço.
Monitore a integridade das rotas de aplicativos e os pontos de extremidade por trás delas.
Denuncie interrupções à Microsoft e à Red Hat.
Rede virtual
Monitore balanceadores de carga de nuvem, sub-redes e componentes de nuvem do Azure necessários para a rede de plataforma padrão e responda a alertas.
Monitore o tráfego de rede que é configurado opcionalmente via conexão VNet para VNet, conexão VPN ou conexão Private Link para possíveis problemas ou ameaças à segurança.
Tabela 2. Responsabilidades partilhadas pela gestão de incidentes e operações
Gestão de Mudança
A Microsoft e a Red Hat são responsáveis por permitir alterações na infraestrutura de cluster e nos serviços controlados pelo cliente, bem como manter as versões disponíveis para os nós mestres, serviços de infraestrutura e nós de trabalho. O cliente é responsável por iniciar alterações na infraestrutura e instalar e manter serviços opcionais e configurações de rede no cluster, bem como todas as alterações nos dados e aplicativos do cliente.
Recurso
Responsabilidades da Microsoft e da Red Hat
Responsabilidades do cliente
Registo
Agregar e monitorar centralmente os logs de auditoria da plataforma.
Forneça documentação para o cliente habilitar o log de aplicativos usando o Log Analytics por meio do Azure Monitor para contêineres.
Forneça logs de auditoria mediante solicitação do cliente.
Instale o operador de log de aplicativo padrão opcional no cluster.
Instale, configure e mantenha quaisquer soluções opcionais de registo de aplicações, tais como o registo de contentores sidecar ou aplicações de registo de terceiros.
Ajuste o tamanho e a frequência dos logs de aplicativos que estão sendo produzidos pelos aplicativos do cliente se eles estiverem afetando a estabilidade do cluster.
Solicite logs de auditoria da plataforma por meio de um caso de suporte para pesquisar incidentes específicos.
Rede de aplicativos
Configurar balanceadores de carga de nuvem pública
Configure o operador de cluster OpenShift Ingress e o IngressController padrão. Forneça a capacidade de adicionar outros IngressControllers gerenciados pelo cliente e definir o IngressController padrão como privado.
Instale, configure e mantenha o plug-in de rede OVN-Kubernetes e componentes relacionados para o tráfego de pod interno padrão.
Configure permissões de rede pod não padrão para redes de projeto e pod, entrada de pod e saída de pod usando objetos NetworkPolicy.
Solicite e configure quaisquer balanceadores de carga de serviço adicionais para serviços específicos.
Rede de clusters
Configure componentes de gerenciamento de cluster, como pontos de extremidade de serviço públicos ou privados e a integração necessária com componentes de rede virtual.
Configure os componentes de rede internos necessários para a comunicação interna do cluster entre os nós de trabalho e mestre.
Forneça intervalos de endereços IP não padrão opcionais para CIDR de máquina, CIDR de serviço e CIDR pod, se necessário, por meio do OpenShift Cluster Manager quando o cluster for provisionado.
Solicite que o ponto de extremidade do serviço de API seja tornado público ou privado na criação do cluster ou após a criação do cluster por meio da CLI do Azure.
Rede virtual
Configure os componentes de rede virtual necessários para provisionar o cluster, incluindo nuvem privada virtual, sub-redes, balanceadores de carga, gateways de internet, gateways NAT, etc.
Forneça ao cliente a capacidade de gerenciar a conectividade VPN com recursos locais, conectividade VNet para VNet e conectividade Private Link, conforme necessário, por meio do OpenShift Cluster Manager.
Permita que os clientes criem e implantem balanceadores de carga de nuvem pública para uso com balanceadores de carga de serviço.
Configure e mantenha componentes opcionais de rede de nuvem pública, como conexão VNet para VNet, conexão VPN ou conexão Private Link.
Solicite e configure quaisquer balanceadores de carga de serviço adicionais para serviços específicos.
Versão do cluster
Comunicar o cronograma e o status das atualizações para versões secundárias e de manutenção
Publique registros de alterações e notas de versão para atualizações secundárias e de manutenção
Iniciar a atualização do cluster
Teste os aplicativos do cliente em versões secundárias e de manutenção para garantir a compatibilidade
Gerenciamento de capacidade
Monitorar a utilização de recursos do plano de controle (nós mestres), incluindo capacidade de rede, armazenamento e computação
Dimensionar e/ou redimensionar proativamente os nós do plano de controle para manter a qualidade do serviço
Adicione ou remova nós de trabalho adicionais conforme necessário.
Responda às notificações da Microsoft e da Red Hat sobre os requisitos de recursos de cluster.
Garantir que uma ampla cota esteja disponível para VMs de plano de controle maiores em caso de operação de dimensionamento
Tabela 3. Responsabilidades partilhadas pela gestão da mudança
Gestão de Acesso e Identidades
O gerenciamento de identidade e acesso inclui todas as responsabilidades para garantir que apenas indivíduos adequados tenham acesso aos recursos de cluster, aplicativo e infraestrutura. Isso inclui tarefas como fornecer mecanismos de controle de acesso, autenticação, autorização e gerenciamento de acesso a recursos.
Recurso
Responsabilidades da Microsoft e da Red Hat
Responsabilidades do cliente
Registo
Aderir a um processo de acesso interno hierárquico baseado em padrões do setor para logs de auditoria de plataforma.
Forneça recursos nativos do OpenShift RBAC.
Configure o OpenShift RBAC para controlar o acesso a projetos e, por extensão, aos logs de aplicativos de um projeto.
Para soluções de log de aplicativos personalizadas ou de terceiros, o cliente é responsável pelo gerenciamento de acesso.
Rede de aplicativos
Forneça recursos nativos do OpenShift RBAC.
Configure o OpenShift RBAC para controlar o acesso à configuração de rotas, conforme necessário.
Rede de clusters
Forneça recursos nativos do OpenShift RBAC.
Gerencie a associação de contas Red Hat à organização Red Hat.
Gerencie administradores de organização para a organização Red Hat para conceder acesso ao OpenShift Cluster Manager.
Configure o OpenShift RBAC para controlar o acesso à configuração de rotas, conforme necessário.
Rede virtual
Forneça controles de acesso do cliente por meio do OpenShift Cluster Manager.
Gerencie o acesso opcional do usuário aos componentes da nuvem pública por meio do OpenShift Cluster Manager.
Tabela 4. Responsabilidades compartilhadas pelo gerenciamento de identidade e acesso
Segurança e conformidade
Segurança e conformidade incluem quaisquer responsabilidades e controles que garantam a conformidade com leis, políticas e regulamentos relevantes.
Recurso
Responsabilidades da Microsoft e da Red Hat
Responsabilidades do cliente
Registo
Envie logs de auditoria de cluster para um Microsoft e Red Hat SIEM para analisar eventos de segurança. Retenha os logs de auditoria por um período de tempo definido para dar suporte à análise forense.
Analise os logs do aplicativo em busca de eventos de segurança. Envie logs de aplicativos para um ponto de extremidade externo por meio de contêineres de sidecar de registro ou aplicativos de log de terceiros se for necessária uma retenção mais longa do que a oferecida pela pilha de log padrão.
Rede virtual
Monitore os componentes de rede virtual em busca de possíveis problemas e ameaças à segurança.
Use ferramentas públicas adicionais da Microsoft e do Red Hat Azure para monitoramento e proteção adicionais.
Monitore componentes de rede virtual configurados opcionalmente para possíveis problemas e ameaças à segurança.
Configure todas as regras de firewall ou proteções de data center necessárias, conforme necessário.
Tabela 5. Responsabilidades partilhadas em matéria de segurança e conformidade com a regulamentação
Responsabilidades do cliente ao usar o Azure Red Hat OpenShift
Dados e aplicações do cliente
O cliente é responsável pelos aplicativos, cargas de trabalho e dados que eles implantam no Azure Red Hat OpenShift. No entanto, a Microsoft e a Red Hat fornecem várias ferramentas para ajudar o cliente a gerenciar dados e aplicativos na plataforma.
Recurso
Como a Microsoft e a Red Hat ajudam
Responsabilidades do cliente
Dados do Cliente
Mantenha padrões de nível de plataforma para criptografia de dados, conforme definido pelos padrões de segurança e conformidade do setor.
Forneça componentes do OpenShift para ajudar a gerenciar dados de aplicativos, como segredos.
Habilite a integração com serviços de dados de terceiros (como o Azure SQL) para armazenar e gerenciar dados fora do cluster e/ou da Microsoft e do Red Hat Azure.
Manter a responsabilidade por todos os dados do cliente armazenados na plataforma e como os aplicativos do cliente consomem e expõem esses dados.
Encriptação Etcd
Aplicações para clientes
Provisione clusters com componentes OpenShift instalados para que os clientes possam acessar as APIs OpenShift e Kubernetes para implantar e gerenciar aplicativos em contêineres.
Forneça acesso às APIs do OpenShift que um cliente pode usar para configurar Operadores para adicionar serviços da comunidade, de terceiros, da Microsoft, Red Hat e Red Hat ao cluster.
Forneça classes de armazenamento e plug-ins para dar suporte a volumes persistentes para uso com aplicativos do cliente.
Mantenha a responsabilidade por aplicativos, dados e seu ciclo de vida completo de clientes e terceiros.
Se um cliente adicionar Red Hat, comunidade, terceiros, seus próprios ou outros serviços ao cluster usando Operadores ou imagens externas, o cliente será responsável por esses serviços e por trabalhar com o provedor apropriado (incluindo a Red Hat) para solucionar quaisquer problemas.
Manter a responsabilidade pelo monitoramento dos aplicativos executados no Azure Red Hat OpenShift; incluindo a instalação e operação de software para reunir métricas e criar alertas.
Tabela 6. Responsabilidades do cliente pelos dados do cliente, aplicativos e serviços do cliente