En este documento se describen las responsabilidades de Microsoft, Red Hat y los clientes para los clústeres de Red Hat OpenShift en Azure. Para más información sobre Red Hat OpenShift en Azure y sus componentes, consulte la Definición del servicio Red Hat OpenShift de Azure.
Mientras Microsoft y Red Hat administran el servicio Red Hat OpenShift en Azure, el cliente comparte la responsabilidad de la funcionalidad de su clúster. Aunque los clústeres de Red Hat OpenShift en Azure se hospedan en recursos de Azure de las suscripciones a Azure del cliente, se accede a ellos de manera remota. Microsoft y Red Hat son los propietarios de la plataforma subyacente y la seguridad de datos.
Información general
|
Recurso
|
Administración de incidentes y operaciones
|
Administración de cambios
|
Administración de identidades y acceso
|
Seguridad y cumplimiento normativo
|
|
Datos de clientes
|
Cliente |
Cliente |
Cliente |
Cliente |
|
Aplicaciones de cliente
|
Cliente |
Cliente |
Cliente |
Cliente |
|
Servicios de desarrollador
|
Cliente |
Cliente |
Cliente |
Cliente |
| Supervisión de la plataforma |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
| Registro |
Microsoft y Red Hat |
Compartido |
Compartido |
Compartido |
| Redes de aplicación |
Compartido |
Compartido |
Compartido |
Microsoft y Red Hat |
| Redes de clúster |
Microsoft y Red Hat |
Compartido |
Compartido |
Microsoft y Red Hat |
| Redes virtuales |
Compartido |
Compartido |
Compartido |
Compartido |
| Nodos del plano de control |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
| Nodos de trabajo |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
| Versión del clúster |
Microsoft y Red Hat |
Compartido |
Microsoft y Red Hat |
Microsoft y Red Hat |
| Administración de la capacidad |
Microsoft y Red Hat |
Compartido |
Microsoft y Red Hat |
Microsoft y Red Hat |
| Almacenamiento virtual |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
| Seguridad e infraestructura físicas |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
Microsoft y Red Hat |
Tabla 1. Responsabilidades por recurso
Tareas de las responsabilidades compartidas por área
Administración de incidentes y operaciones
El cliente, Microsoft y Red Hat comparten la responsabilidad de la supervisión y el mantenimiento de un clúster de Red Hat OpenShift en Azure. El cliente tiene la responsabilidad de llevar a cabo la administración de incidentes y operaciones de los datos de la aplicación del cliente y de todas las redes personalizadas que el cliente pueda haber configurado.
|
Recurso
|
Responsabilidades de Microsoft y Red Hat
|
Responsabilidades del cliente
|
| Redes de aplicación |
- Supervisar los equilibradores de carga en la nube y el servicio de enrutador nativo de OpenShift y responder a las alertas.
|
- Supervisar el mantenimiento de los puntos de conexión del equilibrador de carga del servicio.
- Supervisar el mantenimiento de las rutas de aplicación y los puntos de conexión subyacentes.
- Notificar interrupciones a Microsoft y Red Hat.
|
| Redes virtuales |
- Supervisar los equilibradores de carga en la nube, las subredes y los componentes de nube de Azure necesarios para las redes predeterminadas de plataforma y responder a las alertas.
|
- Supervisar el tráfico de red que se configura de manera opcional a través de la conexión de red virtual a red virtual, la conexión VPN o la conexión Private Link para detectar posibles problemas o amenazas de seguridad.
|
Tabla 2. Responsabilidades compartidas para la administración de incidentes y operaciones
Administración de cambios
Microsoft y Red Hat son responsables de habilitar los cambios en la infraestructura y los servicios del clúster que controla el cliente, así como mantener las versiones disponibles para los nodos maestros, los servicios de infraestructura y los nodos de trabajo. El cliente tiene la responsabilidad de iniciar los cambios de infraestructura, así como de instalar y mantener servicios opcionales y configuraciones de red en el clúster, además de todos los cambios en los datos y las aplicaciones del cliente.
|
Recurso
|
Responsabilidades de Microsoft y Red Hat
|
Responsabilidades del cliente
|
| Registro |
- Agregar y supervisar de manera centralizada los registros de auditoría de la plataforma.
- Proporcionar documentación para que el cliente habilite el registro de aplicaciones con Log Analytics a través Azure Monitor para contenedores.
- Proporcionar registros de auditoría cuando el cliente los solicite.
|
- Instalar el operador de registro de aplicaciones predeterminado opcional en el clúster.
- Instalar, configurar y mantener cualquier solución de registro de aplicaciones opcional, como el registro de contenedores sidecar o las aplicaciones de registro de terceros.
- Ajustar el tamaño y la frecuencia de los registros de aplicaciones que generan las aplicaciones cliente si afectan a la estabilidad del clúster.
- Solicitar registros de auditoría de plataforma a través de un caso de soporte técnico para investigar incidentes específicos.
|
| Redes de aplicación |
- Configurar equilibradores de carga en la nube pública.
- Configure el operador de clúster OpenShift Ingress y el IngressController predeterminado. Proporcione la capacidad de agregar IngressControllers administrados por el cliente adicionales y establezca el IngressController predeterminado como privado.
- Instale, configure y mantenga el complemento de red OVN-Kubernetes y los componentes relacionados para el tráfico interno de pod predeterminado.
|
- Configurar los permisos no predeterminados de redes de pods para las redes de proyecto y pod, la entrada de pods y la salida de pods mediante objetos NetworkPolicy.
- Solicitar y configurar los equilibradores de carga de servicio adicionales para servicios específicos.
|
| Redes de clúster |
- Configurar los componentes de administración de clústeres, como los puntos de conexión de servicio públicos o privados, y la integración necesaria con los componentes de la red virtual.
- Configurar los componentes de red internos necesarios para la comunicación interna del clúster entre los nodos maestro y de trabajo.
|
- Proporcionar intervalos de direcciones IP opcionales que no son predeterminados para CIDR de máquinas, CIDR de servicios y CIDR de pods, si es necesario, a través del administrador de clústeres de OpenShift cuando se aprovisiona el clúster.
- Solicitar que el punto de conexión de servicio de la API se pueda hacer público o privado durante o después de la creación del clúster mediante la CLI de Azure.
|
| Redes virtuales |
- Instalar y configurar los componentes de red virtual necesarios para aprovisionar el clúster, incluidas la nube privada virtual, las subredes, los equilibradores de carga, las puertas de enlace de Internet, las puertas de enlace NAT, etc.
- Proporcionar al cliente la capacidad de administrar la conectividad VPN con recursos locales, la conectividad de red virtual a red virtual y la conectividad Private Link según sea necesario a través del administrador de clústeres de OpenShift.
- Permitir a los clientes la creación e implementación de equilibradores de carga en la nube pública para su uso con equilibradores de carga de servicio.
|
- Configurar y mantener componentes de red de nube pública opcionales, como la conexión de red virtual a red virtual, la conexión VPN o la conexión Private Link.
- Solicitar y configurar los equilibradores de carga de servicio adicionales para servicios específicos.
|
| Versión del clúster |
- Comunicar la programación y el estado de las actualizaciones para las versiones secundarias y de mantenimiento.
- Publicar los registros de cambios y las notas de la versión para las actualizaciones secundarias y de mantenimiento.
|
- Iniciar la actualización del clúster.
- Probar las aplicaciones de cliente en las versiones secundarias y de mantenimiento para garantizar la compatibilidad.
|
| Administración de la capacidad |
- Supervisión del uso de recursos del plano de control (nodos maestros), incluida la capacidad de red, almacenamiento y proceso
- Escalar o cambiar el tamaño de los nodos del plano de control de forma proactiva para mantener la calidad del servicio
|
- Agregar o quitar nodos de trabajo adicionales según sea necesario.
- Responder a las notificaciones de Microsoft y Red Hat relativas a los requisitos de recursos del clúster.
- Asegúrese de que haya suficiente cuota disponible para máquinas virtuales de plano de control más grandes en caso de operación de escalado
|
Tabla 3. Responsabilidades compartidas de la administración de cambios
Administración de identidades y acceso
La administración de identidades y acceso incluye todas las responsabilidades para garantizar que solo las personas adecuadas accedan a los recursos de clústeres, aplicaciones e infraestructura. Esto incluye tareas como proporcionar mecanismos de control de acceso, autenticación, autorización y administración del acceso a los recursos.
|
Recurso
|
Responsabilidades de Microsoft y Red Hat
|
Responsabilidades del cliente
|
| Registro |
- Seguir un proceso de acceso interno en capas basado en estándares del sector para los registros de auditoría de la plataforma.
- Proporcionar funcionalidades nativas de OpenShift RBAC.
|
- Configurar OpenShift RBAC para controlar el acceso a los proyectos y, por extensión, a los registros de aplicación de un proyecto.
- En el caso de las soluciones de registro de aplicaciones personalizadas o de terceros, el cliente se encarga de la administración del acceso.
|
| Redes de aplicación |
- Proporcionar funcionalidades nativas de OpenShift RBAC.
|
- Configurar OpenShift RBAC para controlar el acceso a la configuración de enrutamiento según sea necesario.
|
| Redes de clúster |
- Proporcionar funcionalidades nativas de OpenShift RBAC.
|
- Administrar la pertenencia a la organización de Red Hat de las cuentas de Red Hat.
- Administrar a los administradores de la organización para la organización de Red Hat a fin de conceder acceso al administrador de clústeres de OpenShift.
- Configurar OpenShift RBAC para controlar el acceso a la configuración de enrutamiento según sea necesario.
|
| Redes virtuales |
- Proporcionar controles de acceso al cliente a través del administrador de clústeres de OpenShift.
|
- Administrar el acceso de usuario opcional a los componentes de la nube pública mediante el administrador de clústeres de OpenShift.
|
Tabla 4. Responsabilidades compartidas para la administración de identidades y acceso
Seguridad y cumplimiento
La seguridad y el cumplimiento incluyen todas las responsabilidades y controles que garantizan el cumplimiento de las legislaciones, directivas y regulaciones pertinentes.
|
Recurso
|
Responsabilidades de Microsoft y Red Hat
|
Responsabilidades del cliente
|
| Registro |
- Enviar registros de auditoría de clúster a una instancia de SIEM de Microsoft y Red Hat para analizar los eventos de seguridad. Conservar los registros de auditoría durante un período de tiempo definido para ayudar a los análisis forenses.
|
- Analizar los registros de aplicaciones en busca de eventos de seguridad. Enviar registros de aplicación a un punto de conexión externo a través de contenedores sidecar de registro o aplicaciones de registro de terceros si se requiere una conservación más prolongada que la que ofrece la pila de registro predeterminada.
|
| Redes virtuales |
- Supervise los componentes de red virtual en busca de posibles problemas y amenazas de seguridad.
- Usar herramientas públicas de Azure de Microsoft y Red Hat adicionales para una supervisión y protección adicionales.
|
- Supervisar los componentes de red virtual configurados de manera opcional en busca de posibles problemas y amenazas de seguridad.
- Configurar las reglas de firewall necesarias o las protecciones del centro de datos según sea necesario.
|
Tabla 5. Responsabilidades compartidas de seguridad y cumplimiento normativo
Responsabilidades del cliente al usar Red Hat OpenShift en Azure
Aplicaciones y datos de clientes
El cliente es responsable de las aplicaciones, las cargas de trabajo y los datos que implementan en Red Hat OpenShift en Azure. Sin embargo, Microsoft y Red Hat proporcionan diversas herramientas para ayudar al cliente a administrar los datos y aplicaciones en la plataforma.
|
Recurso
|
Cómo ayudan Microsoft y Red Hat
|
Responsabilidades del cliente
|
| Datos del cliente |
- Mantenga los estándares de nivel de plataforma para el cifrado de datos tal y como se definen en los estándares de seguridad y cumplimiento del sector.
- Proporcionar componentes de OpenShift para ayudar a administrar los datos de la aplicación, como los secretos.
- Habilitar la integración con servicios de datos de terceros (como Azure SQL) para almacenar y administrar datos fuera del clúster o de Microsoft y Red Hat Azure.
|
- Conservar la responsabilidad de todos los datos de cliente almacenados en la plataforma y de cómo las aplicaciones de cliente consumen y exponen estos datos.
- Cifrado etcd
|
| Aplicaciones de cliente |
- Aprovisionar clústeres que tienen componentes de OpenShift instalados para que los clientes puedan acceder a las API de OpenShift y Kubernetes a fin de implementar y administrar aplicaciones contenedorizadas.
- Proporcionar acceso a las API de OpenShift que un cliente puede usar para configurar operadores a fin de agregar servicios de Red Hat, de comunidades, de terceros y de Microsoft y Red Hat al clúster.
- Proporcionar clases de almacenamiento y complementos para admitir volúmenes persistentes para usarlos con aplicaciones de cliente.
|
|
Tabla 6. Responsabilidades del cliente con los datos de los clientes, las aplicaciones de cliente y los servicios