Vue d’ensemble des responsabilités pour Azure Red Hat OpenShift

Ce document présente les responsabilités de Microsoft, de Red Hat et des clients pour les clusters Azure Red Hat OpenShift. Pour plus d’informations sur Azure Red Hat OpenShift et ses composants, consultez Définition du service Azure Red Hat OpenShift.

Alors que Microsoft et Red Hat gèrent le service Azure Red Hat OpenShift, le client partage la responsabilité des fonctionnalités de son cluster. Alors que les clusters Azure Red Hat OpenShift sont hébergés sur des ressources Azure dans les abonnements Azure des clients, ils sont accessibles à distance. La sécurité des données et de la plateforme sous-jacente est détenue par Microsoft et Red Hat.

Vue d’ensemble

Ressource	Gestion des incidents et des opérations	Gestion des changements	Gestion des identités et des accès	Sécurité et conformité aux réglementations
Données client	Customer	Customer	Customer	Customer
Applications de client	Customer	Customer	Customer	Customer
Services de développement	Customer	Customer	Customer	Customer
Supervision de la plateforme	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat
Journalisation	Microsoft et Red Hat	Partagé	Partagé	Partagé
Réseau d’applications	Partagé	Partagé	Partagé	Microsoft et Red Hat
Réseau de clusters	Microsoft et Red Hat	Partagé	Partagé	Microsoft et Red Hat
Réseau virtuel	Partagé	Partagé	Partagé	Partagé
Nœuds de plan de contrôle	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat
Nœuds de travail	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat
Version de cluster	Microsoft et Red Hat	Partagé	Microsoft et Red Hat	Microsoft et Red Hat
Gestion de la capacité	Microsoft et Red Hat	Partagé	Microsoft et Red Hat	Microsoft et Red Hat
Stockage virtuel	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat
Sécurité et infrastructure physique	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat	Microsoft et Red Hat

Tableau 1. Responsabilités par ressource

Tâches correspondant aux responsabilités partagées par zone

Gestion des incidents et des opérations

Le client partage avec Microsoft et Red Hat la responsabilité de la supervision et de la maintenance d’un cluster Azure Red Hat OpenShift. Le client est responsable de la gestion des incidents et des opérations des données d’application de client et de tout réseau personnalisé que le client peut avoir configuré.

Ressource	Responsabilités de Microsoft et de Red Hat	Responsabilités des clients
Réseau d’applications	Superviser le ou les équilibreurs de charge cloud et le service de routeur OpenShift natif, et répondre aux alertes.	Superviser l’intégrité des points de terminaison d’équilibreur de charge de service. Superviser l’intégrité des routes d’application et les points de terminaison se trouvant derrière elles. Signaler les pannes à Microsoft et Red Hat.
Réseau virtuel	Superviser les équilibreurs de charge, les sous-réseaux et les composants cloud Azure nécessaires au réseau par défaut des plateformes, et répondre aux alertes.	Superviser le trafic réseau qui est éventuellement configuré via une connexion de réseau virtuel à réseau virtuel, une connexion VPN ou une connexion de liaison privée à la recherche d’éventuels problèmes ou menaces de sécurité.

Tableau 2. Responsabilités partagées pour la gestion des incidents et des opérations

Gestion du changement

Microsoft et Red Hat sont responsables de l’activation des changements apportés à l’infrastructure et aux services de cluster que le client contrôle, ainsi que de la gestion des versions disponibles pour les nœuds maître, les services d’infrastructure et les nœuds worker. Le client est responsable du lancement des changements d’infrastructure, de l’installation et de la maintenance des services et des configurations réseau facultatifs sur le cluster, ainsi que de tous les changements apportés aux données et applications des clients.

Ressource	Responsabilités de Microsoft et de Red Hat	Responsabilités des clients
Journalisation	Agréger et superviser de manière centralisée les journaux d’audit de plateforme. Fournir une documentation permettant au client d’activer la journalisation des applications à l’aide de Log Analytics par le biais d’Azure Monitor pour conteneurs. Fournir des journaux d’audit à la demande des clients.	Installer l’opérateur de journalisation des applications par défaut facultatif sur le cluster. Installer, configurer et gérer toutes les solutions de journalisation des applications facultatives, comme la journalisation de conteneurs sidecar ou d’applications de journalisation tierces. Ajuster la taille et la fréquence des journaux d’application produits par les applications de client si elles affectent la stabilité du cluster. Demander des journaux d’audit de plateforme par le biais d’un cas de support pour la recherche d’incidents spécifiques.
Réseau d’applications	Configurer des équilibreurs de charge cloud publics Configurer le service de routeur OpenShift natif. Donner la possibilité de définir le routeur comme privé et d’ajouter au maximum une autre partition de routeur. Installer, configurer et gérer des composants SDN OpenShift pour le trafic de pods interne par défaut.	Configurer des autorisations de réseau de pods autres que celles par défaut pour les réseaux de projets et de pods, les entrées de pods et les sorties de pods à l’aide d’objets NetworkPolicy. Demander et configurer des équilibreurs de charge de service supplémentaires pour des services spécifiques.
Réseau de clusters	Configurer des composants de gestion de cluster, comme des points de terminaison de service publics ou privés et l’intégration nécessaire à des composants réseau virtuel. Configurer les composants réseau internes nécessaires pour la communication de cluster interne entre des nœuds worker et des nœuds maître.	Fournir des plages d’adresses IP facultatives autres que celles par défaut pour le CIDR de machine, le CIDR de service et le CIDR de pod, si nécessaire, par le biais du Gestionnaire de cluster OpenShift lors du provisionnement du cluster. Demander que le point de terminaison du service d’API soit rendu public ou privé lors de la création du cluster ou après sa création par le biais d’Azure CLI.
Réseau virtuel	Installer et configurer les composants réseau virtuel nécessaires pour provisionner le cluster, notamment un cloud privé virtuel, des sous-réseaux, des équilibreurs de charge, des passerelles Internet, des passerelles NAT, etc. Donner au client la possibilité de gérer la connectivité VPN avec les ressources locales, la connectivité de réseau virtuel à réseau virtuel et la connectivité de liaison privée, en fonction des besoins, par le biais du Gestionnaire de cluster OpenShift. Permettre aux clients de créer et de déployer des équilibreurs de charge cloud publics pour une utilisation avec des équilibreurs de charge de service.	Configurer et gérer des composants réseau cloud public facultatifs, comme une connexion de réseau virtuel à réseau virtuel, une connexion VPN ou une connexion de liaison privée. Demander et configurer des équilibreurs de charge de service supplémentaires pour des services spécifiques.
Version de cluster	Communiquer la planification et l’état des mises à niveau pour les versions mineures et de maintenance Publier des journaux des modifications et des notes de publication pour les mises à niveau mineures et de maintenance	Lancer la mise à niveau d’un cluster Tester des applications de client sur des versions mineures et de maintenance pour garantir leur compatibilité
Gestion de la capacité	Superviser l’utilisation des ressources (nœuds maîtres) du plan de contrôle, notamment le réseau, le stockage et la capacité de calcul Mettre à l’échelle et/ou redimensionner les nœuds de plan de contrôle pour maintenir la qualité de service	Ajoutez ou supprimez des nœuds Worker supplémentaires si nécessaire. Répondre aux notifications Microsoft et Red Hat concernant les besoins en ressources de cluster.

Tableau 3. Responsabilités partagées pour la gestion des changements

Gestion de l’identité et de l’accès

La gestion des identités et des accès comprend toutes les responsabilités permettant de garantir que seules les personnes appropriées ont accès aux ressources de cluster, d’application et d’infrastructure. Cela comprend des tâches comme la fourniture de mécanismes de contrôle d’accès, l’authentification, l’autorisation et la gestion de l’accès aux ressources.

Ressource	Responsabilités de Microsoft et de Red Hat	Responsabilités des clients
Journalisation	Adhérer à un processus d’accès interne à plusieurs niveaux basé sur les normes du secteur pour les journaux d’audit de plateforme. Fournir des fonctionnalités OpenShift RBAC natives.	Configurer OpenShift RBAC pour contrôler l’accès aux projets et, par extension, aux journaux d’application d’un projet. Pour les solutions de journalisation des applications tierces ou personnalisées, le client est chargé de la gestion des accès.
Réseau d’applications	Fournir des fonctionnalités OpenShift RBAC natives.	Configurer OpenShift RBAC pour contrôler l’accès à la configuration des routes en fonction des besoins.
Réseau de clusters	Fournir des fonctionnalités OpenShift RBAC natives.	Gérer l’appartenance de comptes Red Hat à l’organisation Red Hat. Gérer les administrateurs de l’organisation Red Hat afin d’accorder l’accès au Gestionnaire de cluster OpenShift. Configurer OpenShift RBAC pour contrôler l’accès à la configuration des routes en fonction des besoins.
Réseau virtuel	Fournir des contrôles d’accès client par le biais du Gestionnaire de cluster OpenShift.	Gérer l’accès utilisateur facultatif aux composants cloud publics par le biais du Gestionnaire de cluster OpenShift.

Table 4. Responsabilités partagées pour la gestion des identités et des accès

Sécurité et conformité

La sécurité et la conformité incluent toutes les responsabilités et tous les contrôles qui garantissent la conformité aux lois, politiques et réglementations pertinentes.

Ressource	Responsabilités de Microsoft et de Red Hat	Responsabilités des clients
Journalisation	Envoyer à un système SIEM Microsoft et Red Hat des journaux d’audit de cluster à analyser pour détecter les événements de sécurité. Conserver les journaux d’audit pendant un laps de temps défini pour prendre en charge l’analyse d’investigation.	Analyser les journaux d’application pour détecter les événements de sécurité. Envoyer des journaux d’application à un point de terminaison externe par le biais de la journalisation de conteneurs sidecar ou d’applications de journalisation tierces si une conservation plus longue que celle offerte par la pile de journalisation par défaut est nécessaire.
Réseau virtuel	Superviser les composants réseau virtuel à la recherche d’éventuels problèmes ou menaces de sécurité. Utiliser des outils Microsoft et Red Hat Azure publics supplémentaires pour une supervision et une protection complémentaires.	Superviser les composants réseau virtuel configurés facultatifs à la recherche d’éventuels problèmes ou menaces de sécurité. Configurer toutes les règles de pare-feu ou protections de centre de données nécessaires, en fonction des besoins.

Tableau 5. Responsabilités partagées concernant la sécurité et la conformité aux réglementations

Responsabilités du client en cas l’utilisation d’Azure Red Hat OpenShift

Applications et données client

Le client est responsable des applications, des charges de travail et des données qu’il déploie sur Azure Red Hat OpenShift. Toutefois, Microsoft et Red Hat proposent différents outils permettant au client de gérer les données et les applications sur la plateforme.

Ressource	Aide apportée par Microsoft et Red Hat	Responsabilités des clients
Données client	Tenir à jour les normes de niveau plateforme pour le chiffrement des données tel que défini par les normes de conformité et de sécurité du secteur. Fournir des composants OpenShift pour faciliter la gestion des données d’application, comme les secrets. Activer l’intégration à des services de données tiers (comme Azure SQL) pour stocker et gérer des données en dehors du cluster et/ou de Microsoft et Red Hat Azure.	Tenir à jour la responsabilité de toutes les données client stockées sur la plateforme et de la façon dont les applications de client consomment et exposent ces données. Chiffrement etcd
Applications de client	Provisionner des clusters avec des composants OpenShift installés afin que les clients puissent accéder aux API OpenShift et Kubernetes pour déployer et gérer des applications conteneurisé. Fournir un accès aux API OpenShift qu’un client peut utiliser pour configurer des opérateurs afin d’ajouter des services de communauté, tiers, Microsoft et Red Hat, et Red Hat au cluster. Fournir des classes et des plug-ins de stockage pour prendre en charge des volumes persistants en vue de leur utilisation avec les applications de client.	Tenir à jour la responsabilité des applications de clients et tierces, des données et de leur cycle de vie complet. Si un client ajoute des services Red Hat, des services communauté, des services tiers, ses propres services ou d’autres services au cluster à l’aide d’opérateurs ou d’images externes, le client est responsable de ces services et de la collaboration avec le fournisseur approprié (notamment Red Hat) pour résoudre tous les problèmes. Utiliser les outils et fonctionnalités fournis pour configurer et déployer ; rester à jour ; configurer des demandes et des limites de ressources ; dimensionner le cluster afin qu’il dispose de suffisamment de ressources pour exécuter des applications ; configurer des autorisations ; effectuer une intégration à d’autres services ; gérer des flux d’images ou des modèles d’image déployés par le client ; traiter en externe ; enregistrer, sauvegarder et restaurer des données ; et sinon gérer leurs charges de travail hautement disponibles et résilientes. Tenir à jour la responsabilité de la supervision des applications exécutées sur Azure Red Hat OpenShift, notamment l’installation et le fonctionnement des logiciels pour collecter des métriques et créer des alertes.

Tableau 6. Responsabilités du client pour les données client, les applications de client et les services