Tento dokument popisuje povinnosti Microsoftu, Red Hatu a zákazníků pro clustery Azure Red Hat OpenShift. Další informace o Službě Azure Red Hat OpenShift a jejích komponentách najdete v definici služby Azure Red Hat OpenShift.
Zatímco Microsoft a Red Hat spravují službu Azure Red Hat OpenShift, zákazník sdílí odpovědnost za funkčnost svého clusteru. Zatímco clustery Azure Red Hat OpenShift jsou hostované na prostředcích Azure v zákaznických předplatných Azure, přistupuje se k nim vzdáleně. Základní platformu a zabezpečení dat vlastní Microsoft a Red Hat.
Zákazník, Microsoft a Red Hat sdílejí odpovědnost za monitorování a údržbu clusteru Azure Red Hat OpenShift. Zákazník zodpovídá za správu incidentů a provozu dat zákaznických aplikací a za veškeré vlastní sítě, které zákazník nakonfiguroval.
Prostředek
Odpovědnosti Microsoftu a Red Hatu
Odpovědnost zákazníka
Sítě aplikací
Monitorujte cloudové nástroje pro vyrovnávání zatížení a nativní službu směrovače OpenShift a reagujte na výstrahy.
Monitorování stavu koncových bodů nástroje pro vyrovnávání zatížení služby
Monitorujte stav tras aplikací a koncové body za nimi.
Nahlášení výpadků microsoftu a Red Hatu
Virtuální sítě
Monitorujte nástroje pro vyrovnávání zatížení cloudu, podsítě a cloudové komponenty Azure nezbytné pro výchozí sítě platformy a reagujte na výstrahy.
Monitorujte síťový provoz, který je volitelně nakonfigurovaný prostřednictvím připojení virtuální sítě k virtuální síti, připojení VPN nebo připojení Private Link pro potenciální problémy nebo bezpečnostní hrozby.
Tabulka 2. Sdílené odpovědnosti za řízení incidentů a provozu
Řízení změn
Microsoft a Red Hat zodpovídají za povolení změn infrastruktury clusteru a služeb, které řídí zákazník, a také za údržbu verzí dostupných pro hlavní uzly, služby infrastruktury a pracovní uzly. Zákazník zodpovídá za inicializování změn infrastruktury a instalaci a údržbu volitelných služeb a síťových konfigurací v clusteru a za všechny změny zákaznických dat a zákaznických aplikací.
Prostředek
Odpovědnosti Microsoftu a Red Hatu
Odpovědnost zákazníka
Protokolování
Centrálně agregujte a monitorujte protokoly auditu platformy.
Poskytněte zákazníkovi dokumentaci k povolení protokolování aplikací pomocí Log Analytics prostřednictvím služby Azure Monitor pro kontejnery.
Na žádost zákazníka zadejte protokoly auditu.
Nainstalujte do clusteru volitelný výchozí operátor protokolování aplikace.
Nainstalujte, nakonfigurujte a udržujte všechna volitelná řešení protokolování aplikací, jako jsou například kontejnery sajdkáře nebo aplikace protokolování třetích stran.
Vylaďte velikost a frekvenci protokolů aplikací vytvářených zákaznickými aplikacemi, pokud ovlivňují stabilitu clusteru.
Požádejte protokoly auditu platformy prostřednictvím případu podpory pro zkoumání konkrétních incidentů.
Sítě aplikací
Nastavení nástrojů pro vyrovnávání zatížení veřejného cloudu
Nastavte nativní službu směrovače OpenShift. Poskytněte možnost nastavit směrovač jako soukromý a přidat do jednoho dalšího horizontálního oddílu směrovače.
Nainstalujte, nakonfigurujte a udržujte komponenty OpenShift SDN pro výchozí interní provoz podů.
Nakonfigurujte ne výchozí síťová oprávnění pro sítě projektů a podů, příchozí přenos dat podů a výchozí přenos dat podů pomocí objektů NetworkPolicy.
Požádejte a nakonfigurujte všechny další nástroje pro vyrovnávání zatížení služby pro konkrétní služby.
Sítě clusterů
Nastavte komponenty pro správu clusteru, jako jsou veřejné nebo privátní koncové body služby a potřebnou integraci s komponentami virtuálních sítí.
Nastavte interní síťové komponenty potřebné pro interní komunikaci clusteru mezi pracovními a hlavními uzly.
V případě potřeby zadejte volitelné jiné než výchozí rozsahy IP adres pro CIDR počítače, CIDR služby a CIDR podu prostřednictvím Správce clusteru OpenShift při zřizování clusteru.
Požádejte, aby byl koncový bod služby API veřejný nebo privátní při vytváření clusteru nebo po vytvoření clusteru prostřednictvím Azure CLI.
Virtuální sítě
Nastavte a nakonfigurujte součásti virtuální sítě potřebné ke zřízení clusteru, včetně virtuálního privátního cloudu, podsítí, nástrojů pro vyrovnávání zatížení, internetových bran, bran NAT atd.
Poskytněte zákazníkovi možnost spravovat připojení VPN s místními prostředky, připojením virtuální sítě k virtuální síti a připojením k privátnímu propojení podle potřeby prostřednictvím Správce clusteru OpenShift.
Umožňuje zákazníkům vytvářet a nasazovat nástroje pro vyrovnávání zatížení veřejného cloudu pro použití s nástroji pro vyrovnávání zatížení služeb.
Nastavte a udržujte volitelné síťové komponenty veřejného cloudu, jako je připojení virtuální sítě k virtuální síti, připojení VPN nebo připojení Private Link.
Požádejte a nakonfigurujte všechny další nástroje pro vyrovnávání zatížení služby pro konkrétní služby.
Verze clusteru
Komunikace s plánem a stavem upgradů pro podverze a verze údržby
Publikování protokolu změn a poznámek k verzi pro dílčí upgrady a upgrady údržby
Zahájit upgrade clusteru
Testování zákaznických aplikací na verzích podverze a údržby za účelem zajištění kompatibility
Správa kapacity
Monitorování využití prostředků řídicí roviny (hlavních uzlů) včetně síťové, úložné a výpočetní kapacity
Proaktivní škálování a/nebo změna velikosti uzlů řídicí roviny za účelem zachování kvality služby
Podle potřeby přidejte nebo odeberte další pracovní uzly.
Reagujte na oznámení Microsoftu a Red Hatu týkající se požadavků na prostředky clusteru.
V případě operace škálování se ujistěte, že je dostupná větší kvóta pro větší virtuální počítače řídicí roviny.
Tabulka 3. Sdílené odpovědnosti za správu změn
Správa identit a přístupu
Správa identit a přístupu zahrnuje všechny zodpovědnosti za zajištění, že přístup ke clusterům, aplikacím a prostředkům infrastruktury mají jenom odpovídající jednotlivci. Patří sem úlohy, jako je poskytování mechanismů řízení přístupu, ověřování, autorizace a správa přístupu k prostředkům.
Prostředek
Odpovědnosti Microsoftu a Red Hatu
Odpovědnost zákazníka
Protokolování
Dodržování oborových standardů založených na procesu interního přístupu pro protokoly auditu platformy
Poskytuje nativní možnosti RBAC OpenShiftu.
Nakonfigurujte OpenShift RBAC pro řízení přístupu k projektům a rozšířením aplikačních protokolů projektu.
Pro řešení protokolování aplikací třetích stran zodpovídá zákazník za správu přístupu.
Sítě aplikací
Poskytuje nativní možnosti RBAC OpenShiftu.
Nakonfigurujte OpenShift RBAC pro řízení přístupu ke konfiguraci trasy podle potřeby.
Sítě clusterů
Poskytuje nativní možnosti RBAC OpenShiftu.
Správa členství v organizaci Red Hat v účtech Red Hat
Spravujte správce organizací pro organizaci Red Hat a udělte přístup ke Správci clusteru OpenShift.
Nakonfigurujte OpenShift RBAC pro řízení přístupu ke konfiguraci trasy podle potřeby.
Virtuální sítě
Poskytněte řízení přístupu zákazníků prostřednictvím Správce clusteru OpenShift.
Správa volitelného přístupu uživatelů k komponentám veřejného cloudu prostřednictvím Správce clusteru OpenShift
Tabulka 4. Sdílené odpovědnosti za správu identit a přístupu
Zabezpečení a dodržování předpisů
Zabezpečení a dodržování předpisů zahrnuje veškeré odpovědnosti a kontroly, které zajišťují dodržování příslušných zákonů, zásad a předpisů.
Prostředek
Odpovědnosti Microsoftu a Red Hatu
Odpovědnost zákazníka
Protokolování
Odeslání protokolů auditu clusteru do Microsoftu a Systému Red Hat SIEM za účelem analýzy událostí zabezpečení Zachovejte protokoly auditu po definovanou dobu pro podporu forenzní analýzy.
Analyzujte protokoly aplikací pro události zabezpečení. Odesílání protokolů aplikace do externího koncového bodu prostřednictvím protokolů kontejnerů sajdkár nebo aplikací protokolování třetích stran, pokud je vyžadováno delší uchovávání, než je nabízeno ve výchozím zásobníku protokolování.
Virtuální sítě
Monitorování komponent virtuálních sítí pro potenciální problémy a bezpečnostní hrozby
Další veřejné nástroje Microsoft a Red Hat Azure použijte k dalšímu monitorování a ochraně.
Volitelně můžete monitorovat nakonfigurované součásti virtuálních sítí pro potenciální problémy a bezpečnostní hrozby.
Podle potřeby nakonfigurujte všechna potřebná pravidla brány firewall nebo ochranu datacentra.
Tabulka 5. Sdílené odpovědnosti za dodržování předpisů a zabezpečení
Odpovědnost zákazníků při používání Azure Red Hat OpenShiftu
Zákaznická data a aplikace
Zákazník zodpovídá za aplikace, úlohy a data, která nasadí do Azure Red Hat OpenShiftu. Microsoft a Red Hat ale poskytují různé nástroje, které zákazníkům pomůžou spravovat data a aplikace na platformě.
Prostředek
Jak Microsoft a Red Hat pomáhají
Odpovědnost zákazníka
Zákaznická data
Udržujte standardy na úrovni platformy pro šifrování dat definované oborovými standardy zabezpečení a dodržování předpisů.
Poskytněte komponenty OpenShift, které pomáhají spravovat data aplikací, jako jsou tajné kódy.
Povolte integraci s datovými službami třetích stran (například Azure SQL) pro ukládání a správu dat mimo cluster nebo Microsoft a Red Hat Azure.
Udržujte odpovědnost za všechna zákaznická data uložená na platformě a způsob, jakým zákaznické aplikace využívají a zveřejňují tato data.
Šifrování etcd
Zákaznické aplikace
Zřiďte clustery s nainstalovanými komponentami OpenShift, aby zákazníci mohli přistupovat k rozhraním OpenShift a Kubernetes API za účelem nasazení a správy kontejnerizovaných aplikací.
Poskytněte přístup k rozhraním OPENShift API, která zákazník může použít k nastavení operátorů pro přidání služeb komunity, třetích stran, Microsoftu a Red Hatu a Red Hatu do clusteru.
Poskytněte třídy úložiště a moduly plug-in pro podporu trvalých svazků pro použití s aplikacemi zákazníka.
Udržujte odpovědnost za aplikace, data a kompletní životní cyklus zákazníků a třetích stran.
Pokud zákazník přidá do clusteru Red Hat, komunitu, třetí stranu, vlastní nebo jiné služby pomocí operátorů nebo externích imagí, zodpovídá zákazník za tyto služby a za spolupráci s příslušným poskytovatelem (včetně Red Hatu) při řešení jakýchkoli problémů.
Udržování odpovědnosti za monitorování aplikací spuštěných v Azure Red Hat OpenShiftu; včetně instalace a operačního softwaru pro shromažďování metrik a vytváření výstrah.
Tabulka 6: Odpovědnost zákazníků za zákaznická data, zákaznické aplikace a služby