Questo documento descrive le responsabilità di Microsoft, Red Hat e dei clienti per i cluster Azure Red Hat OpenShift. Per altre informazioni su Azure Red Hat OpenShift e sui relativi componenti, vedere Definizione del servizio Azure Red Hat OpenShift.
Mentre Microsoft e Red Hat gestiscono il servizio Azure Red Hat OpenShift, il cliente condivide la responsabilità delle funzionalità del cluster. Anche se i cluster Azure Red Hat OpenShift sono ospitati nelle risorse di Azure nelle sottoscrizioni di Azure dei clienti, sono accessibili in remoto. La piattaforma e la sicurezza dei dati sottostanti sono di proprietà di Microsoft e Red Hat.
Informazioni generali
|
risorsa
|
Gestione degli eventi imprevisti e delle operazioni
|
Gestione del cambiamento
|
Gestione delle identità e dell'accesso
|
Conformità alla sicurezza e alla normativa
|
|
Dati cliente
|
Cliente |
Cliente |
Cliente |
Cliente |
|
Applicazioni del cliente
|
Cliente |
Cliente |
Cliente |
Cliente |
|
Servizi per gli sviluppatori
|
Cliente |
Cliente |
Cliente |
Cliente |
| Monitoraggio della piattaforma |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
| Registrazione |
Microsoft e Red Hat |
Condiviso |
Condiviso |
Condiviso |
| Distribuzione in rete delle applicazioni |
Condiviso |
Condiviso |
Condiviso |
Microsoft e Red Hat |
| Distribuzione in rete dei cluster |
Microsoft e Red Hat |
Condiviso |
Condiviso |
Microsoft e Red Hat |
| Reti virtuali |
Condiviso |
Condiviso |
Condiviso |
Condiviso |
| Nodi del piano di controllo |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
| Nodi di lavoro |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
| Versione cluster |
Microsoft e Red Hat |
Condiviso |
Microsoft e Red Hat |
Microsoft e Red Hat |
| Gestione della capacità |
Microsoft e Red Hat |
Condiviso |
Microsoft e Red Hat |
Microsoft e Red Hat |
| Archiviazione virtuale |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
| Infrastruttura fisica e sicurezza |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
Microsoft e Red Hat |
Tabella 1. Responsabilità per risorsa
Attività per responsabilità condivise in base all'area
Gestione degli eventi imprevisti e delle operazioni
Il cliente, Microsoft e Red Hat condividono la responsabilità del monitoraggio e della manutenzione di un cluster Azure Red Hat OpenShift. Il cliente è responsabile della gestione degli eventi imprevisti e delle operazioni sui dati delle applicazioni dei clienti, nonché di qualsiasi rete personalizzata che il cliente abbia configurato.
|
risorsa
|
Responsabilità di Microsoft e Red Hat
|
Responsabilità del cliente
|
| Distribuzione in rete delle applicazioni |
- Monitorare i servizi di bilanciamento del carico cloud e il servizio router OpenShift nativo e rispondere agli avvisi.
|
- Monitorare l'integrità degli endpoint del servizio di bilanciamento del carico.
- Monitorare l'integrità delle route dell'applicazione e gli endpoint sottostanti.
- Segnalare interruzioni a Microsoft e Red Hat.
|
| Reti virtuali |
- Monitorare i servizi di bilanciamento del carico cloud, le subnet e i componenti cloud di Azure necessari per la rete della piattaforma predefinita e rispondere agli avvisi.
|
- Monitorare il traffico di rete configurato facoltativamente tramite connessione da rete virtuale a rete virtuale, connessione VPN o connessione tramite collegamento privato per individuare potenziali problemi o minacce alla sicurezza.
|
Tabella 2. Responsabilità condivise per la gestione degli eventi imprevisti e delle operazioni
Gestione delle modifiche
Microsoft e Red Hat sono responsabili dell'abilitazione delle modifiche apportate all'infrastruttura e ai servizi del cluster che il cliente controlla, oltre a mantenere le versioni disponibili per i nodi master, i servizi di infrastruttura e i nodi di lavoro. Il cliente è responsabile dell'avvio delle modifiche dell'infrastruttura e dell'installazione e della gestione di servizi e configurazioni di rete facoltative nel cluster, nonché di tutte le modifiche apportate ai dati e alle applicazioni dei clienti.
|
risorsa
|
Responsabilità di Microsoft e Red Hat
|
Responsabilità del cliente
|
| Registrazione |
- Aggregare e monitorare centralmente i log di controllo della piattaforma.
- Fornire la documentazione per consentire al cliente di abilitare la registrazione delle applicazioni tramite Log Analytics con Monitoraggio di Azure per i contenitori.
- Specificare i log di controllo su richiesta del cliente.
|
- Installare l'operatore facoltativo predefinito di registrazione delle applicazioni nel cluster.
- Installare, configurare e gestire eventuali soluzioni di registrazione delle app facoltative, ad esempio la registrazione di contenitori sidecar o applicazioni di registrazione di terze parti.
- Ottimizzare le dimensioni e la frequenza dei log applicazioni prodotti dalle applicazioni dei clienti se influiscono sulla stabilità del cluster.
- Richiedere log di controllo della piattaforma tramite un caso di supporto per la ricerca di eventi imprevisti specifici.
|
| Distribuzione in rete delle applicazioni |
- Configurare i servizi di bilanciamento del carico del cloud pubblico
- Configurare l'operatore cluster Ingress OpenShift e il valore predefinito IngressController. Fornire la possibilità di aggiungere altri ingressController gestiti dal cliente e impostare IngressController predefinito come privato.
- Installare, configurare e gestire il plug-in di rete OVN-Kubernetes e i componenti correlati per il traffico predefinito dei pod interni.
|
- Configurare le autorizzazioni di rete pod non predefinite per le reti di progetto e pod, l'ingresso dei pod e l'uscita dei pod tramite oggetti NetworkPolicy.
- Richiedere e configurare eventuali servizi di bilanciamento del carico aggiuntivi per servizi specifici.
|
| Distribuzione in rete dei cluster |
- Configurare componenti di gestione del cluster, ad esempio endpoint di servizio pubblici o privati e l'integrazione necessaria con i componenti di rete virtuale.
- Configurare i componenti di rete interni necessari per la comunicazione interna del cluster tra nodi di lavoro e master.
|
- Specificare gli intervalli di indirizzi IP facoltativi non predefiniti per il CIDR del computer, il CIDR del servizio e il CIDR del pod, se necessario tramite Gestione cluster OpenShift quando viene effettuato il provisioning del cluster.
- Richiedere che l'endpoint del servizio API venga reso pubblico o privato durante la creazione del cluster o dopo la creazione del cluster tramite l'interfaccia della riga di comando di Azure.
|
| Reti virtuali |
- Configurare i componenti di rete virtuale necessari per effettuare il provisioning del cluster, tra cui cloud privato virtuale, subnet, servizi di bilanciamento del carico, gateway Internet, gateway NAT e così via.
- Offrire al cliente la possibilità di gestire la connettività VPN con le risorse locali, la connettività da rete virtuale a rete virtuale e la connettività tramite collegamento privato in base alle esigenze tramite OpenShift Cluster Manager.
- Consentire ai clienti di creare e distribuire servizi di bilanciamento del carico del cloud pubblico da usare con servizi di bilanciamento del carico.
|
- Configurare e gestire componenti facoltativi di collegamento alla rete del cloud pubblico, ad esempio una connessione da rete virtuale a rete virtuale, una connessione VPN o una connessione tramite collegamento privato.
- Richiedere e configurare eventuali servizi di bilanciamento del carico aggiuntivi per servizi specifici.
|
| Versione cluster |
- Comunicare la pianificazione e lo stato degli aggiornamenti per le versioni secondarie e di manutenzione
- Pubblicare log delle modifiche e note sulla versione per gli aggiornamenti secondari e di manutenzione
|
- Avviare l'aggiornamento del cluster
- Testare le applicazioni dei clienti in versioni secondarie e di manutenzione per garantire la compatibilità
|
| Gestione della capacità |
- Monitorare l'utilizzo delle risorse del piano di controllo (nodi master), tra cui rete, archiviazione e capacità di calcolo
- Ridimensionare in modo proattivo i nodi del piano di controllo per mantenere la qualità del servizio
|
- Aggiungere o rimuovere nodi di lavoro aggiuntivi in base alle esigenze.
- Rispondere alle notifiche di Microsoft e Red Hat relative ai requisiti delle risorse cluster.
- Assicurarsi che sia disponibile un'ampia quota per le macchine virtuali del piano di controllo di dimensioni maggiori in caso di operazione di ridimensionamento
|
Tabella 3. Responsabilità condivise per la gestione delle modifiche
Gestione delle identità e degli accessi
La gestione delle identità e degli accessi include tutte le responsabilità per garantire che solo gli utenti appropriati abbiano accesso alle risorse cluster, dell'applicazione e dell'infrastruttura. Sono incluse attività quali la fornitura di meccanismi di controllo di accesso, l'autenticazione, l'autorizzazione e la gestione dell'accesso alle risorse.
|
risorsa
|
Responsabilità di Microsoft e Red Hat
|
Responsabilità del cliente
|
| Registrazione |
- Rispettare un processo di accesso interno a livelli basato su standard di settore per i log di controllo della piattaforma.
- Fornire funzionalità native di Controllo degli accessi in base al ruolo di OpenShift.
|
- Configurare il controllo degli accessi in base al ruolo di OpenShift per controllare l'accesso ai progetti e, per estensione, i log dell'applicazione di un progetto.
- Per soluzioni di registrazione di applicazioni personalizzate o di terze parti, il cliente è responsabile della gestione degli accessi.
|
| Distribuzione in rete delle applicazioni |
- Fornire funzionalità native di Controllo degli accessi in base al ruolo di OpenShift.
|
- Configurare il controllo degli accessi in base al ruolo di OpenShift per controllare l'accesso alla configurazione di route in base alle esigenze.
|
| Distribuzione in rete dei cluster |
- Fornire funzionalità native di Controllo degli accessi in base al ruolo di OpenShift.
|
- Gestire l'appartenenza dell'organizzazione Red Hat agli account Red Hat.
- Gestire gli amministratori dell'organizzazione per Red Hat per concedere l'accesso a OpenShift Cluster Manager.
- Configurare il controllo degli accessi in base al ruolo di OpenShift per controllare l'accesso alla configurazione di route in base alle esigenze.
|
| Reti virtuali |
- Fornire i controlli di accesso dei clienti tramite OpenShift Cluster Manager.
|
- Gestire l'accesso utente facoltativo ai componenti del cloud pubblico tramite OpenShift Cluster Manager.
|
Tabella 4. Responsabilità condivise per la gestione delle identità e degli accessi
Sicurezza e conformità
La sicurezza e la conformità includono eventuali responsabilità e controlli che garantiscono la conformità alle leggi, ai criteri e alle normative pertinenti.
|
risorsa
|
Responsabilità di Microsoft e Red Hat
|
Responsabilità del cliente
|
| Registrazione |
- Inviare log di controllo del cluster a un SIEM Microsoft e Red Hat per analizzare gli eventi di sicurezza. Conservare i log di controllo per un periodo di tempo definito per supportare l'analisi forense.
|
- Analizzare i log applicazioni per individuare gli eventi di sicurezza. Inviare log dell'applicazione a un endpoint esterno tramite la registrazione di contenitori sidecar o applicazioni di registrazione di terze parti se è necessaria una conservazione più lunga rispetto a quella offerta dallo stack di registrazione predefinito.
|
| Reti virtuali |
- Monitorare i componenti di rete virtuale per individuare potenziali problemi e minacce alla sicurezza.
- Usare altri strumenti pubblici di Microsoft e Red Hat Azure per il monitoraggio e la protezione aggiuntivi.
|
- Monitorare facoltativamente i componenti di rete virtuale configurati per individuare potenziali problemi e minacce alla sicurezza.
- Configurare le regole del firewall o le protezioni del data center necessarie in base alle esigenze.
|
Tabella 5. Responsabilità condivise per la sicurezza e la conformità alle normative
Responsabilità dei clienti quando si usa Azure Red Hat OpenShift
Dati e applicazioni dei clienti
Il cliente è responsabile delle applicazioni, dei carichi di lavoro e dei dati distribuiti in Azure Red Hat OpenShift. Tuttavia, Microsoft e Red Hat forniscono vari strumenti per aiutare il cliente a gestire i dati e le applicazioni sulla piattaforma.
|
risorsa
|
Vantaggi di Microsoft e Red Hat
|
Responsabilità del cliente
|
| Dati dei clienti |
- Mantenere gli standard a livello di piattaforma per la crittografia dei dati, come definito dagli standard di sicurezza e conformità del settore.
- Fornire componenti OpenShift per gestire i dati dell'applicazione, ad esempio i segreti.
- Abilitare l'integrazione con servizi dati di terze parti (ad esempio Azure SQL) per archiviare e gestire i dati all'esterno del cluster e/o Microsoft e Red Hat Azure.
|
- Mantenere la responsabilità di tutti i dati dei clienti archiviati nella piattaforma e del modo in cui le applicazioni dei clienti usano ed espongono questi dati.
- Crittografia etcd
|
| Applicazioni del cliente |
- Eseguire il provisioning di cluster con componenti OpenShift installati in modo che i clienti possano accedere alle API OpenShift e Kubernetes per distribuire e gestire applicazioni in contenitori.
- Fornire l'accesso alle API OpenShift che un cliente può usare per configurare Operatori per aggiungere servizi community, di terze parti, Microsoft e Red Hat e servizi Red Hat al cluster.
- Fornire classi di archiviazione e plug-in per supportare volumi persistenti da usare con le applicazioni dei clienti.
|
|
Tabella 6. Responsabilità dei clienti per i dati dei clienti, le applicazioni dei clienti e i servizi