このドキュメントでは、Azure Red Hat OpenShift クラスターに関する Microsoft、Red Hat、お客様の責任について説明します。 Azure Red Hat OpenShift とそのコンポーネントの詳細については、「Azure Red Hat OpenShift サービス定義」を参照してください。
Microsoft と Red Hat は Azure Red Hat OpenShift サービスを管理していますが、お客様はクラスターの機能について責任を共有します。 Azure Red Hat OpenShift クラスターは、お客様の Azure サブスクリプションの Azure リソースでホストされ、リモートでアクセスされます。 基になるプラットフォームとデータ セキュリティは、Microsoft と Red Hat が所有しています。
概要
|
資源
|
インシデント管理と運用管理
|
変更の管理
|
ID とアクセスの管理
|
セキュリティと規制への準拠
|
|
顧客データ
|
顧客 |
顧客 |
顧客 |
顧客 |
|
お客様のアプリケーション
|
顧客 |
顧客 |
顧客 |
顧客 |
|
開発者サービス
|
顧客 |
顧客 |
顧客 |
顧客 |
| プラットフォームの監視 |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
| ログ記録 |
Microsoft と Red Hat |
共有 |
共有 |
共有 |
| アプリケーション ネットワーク |
共有 |
共有 |
共有 |
Microsoft と Red Hat |
| クラスター ネットワーク |
Microsoft と Red Hat |
共有 |
共有 |
Microsoft と Red Hat |
| 仮想ネットワーク |
共有 |
共有 |
共有 |
共有 |
| コントロール プレーン ノード |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
| ワーカー ノード |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
| クラスターのバージョン |
Microsoft と Red Hat |
共有 |
Microsoft と Red Hat |
Microsoft と Red Hat |
| 容量管理 |
Microsoft と Red Hat |
共有 |
Microsoft と Red Hat |
Microsoft と Red Hat |
| 仮想ストレージ |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
| 物理インフラストラクチャとセキュリティ |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
Microsoft と Red Hat |
表 1. リソース別の責任
分野別の共同責任に関するタスク
インシデント管理と運用管理
お客様と Microsoft と Red Hat は、Azure Red Hat OpenShift クラスターの監視とメンテナンスについて責任を共有します。 お客様は、お客様のアプリケーション データおよびお客様が構成したカスタム ネットワークのインシデント管理と運用管理について責任を持ちます。
|
資源
|
Microsoft と Red Hat の責任
|
お客様の責任
|
| アプリケーション ネットワーク |
- クラウド ロード バランサーとネイティブ OpenShift ルーター サービスを監視し、アラートに応答する。
|
- サービス ロード バランサー エンドポイントの正常性を監視する。
- アプリケーション ルートと、それらの背後にあるエンドポイントの正常性を監視する。
- Microsoft と Red Hat に障害を報告する。
|
| 仮想ネットワーク |
- 既定のプラットフォーム ネットワークに必要なクラウド ロード バランサー、サブネット、Azure クラウド コンポーネントを監視し、アラートに応答する。
|
- VNet 間接続、VPN 接続、またはプライベート リンク接続を使用して任意で構成したネットワークのトラフィックに潜在的な問題やセキュリティ上の脅威がないか監視する。
|
表 2. インシデント管理と運用管理に関する共同責任
変更管理
Microsoft と Red Hat は、お客様が制御するクラスターのインフラストラクチャとサービスを変更可能にすること、およびマスター ノード、インフラストラクチャ サービス、ワーカー ノード用に使用できるバージョンを維持することについて責任を持ちます。 お客様は、インフラストラクチャの変更を開始すること、オプションのサービスとネットワーク構成をクラスターにインストールして保守すること、およびお客様のデータとお客様のアプリケーションに対するすべての変更について責任を持ちます。
|
資源
|
Microsoft と Red Hat の責任
|
お客様の責任
|
| ログ記録 |
- プラットフォーム監査ログを一元的に集約して監視する。
- Azure Monitor for containers を通じて Log Analytics を使用し、アプリケーションのロギングを有効にするためのドキュメントをお客様に提供する。
- お客様の要求に応じて監査ログを提供する。
|
- オプションの既定のアプリケーション ロギング オペレーターをクラスターにインストールする。
- ロギング サイドカー コンテナーやサードパーティ製のロギング アプリケーションなど、オプションのアプリ ロギング ソリューションをインストール、構成、保守する。
- お客様のアプリケーションによって生成されるアプリケーション ログがクラスターの安定性に影響する場合、そのサイズと頻度を調整する。
- 特定のインシデントを調査するためのサポート ケースを通じて、プラットフォーム監査ログを要求する。
|
| アプリケーション ネットワーク |
- パブリック クラウドのロード バランサーを設定する。
- OpenShift Ingress クラスター オペレーターと既定の IngressController を設定します。 カスタマーマネージド IngressController を追加し、既定の IngressController をプライベートとして設定する機能を提供します。
- OVN-Kubernetes ネットワーク プラグインと、既定の内部ポッド トラフィック用の関連コンポーネントのインストール、構成、保守を行います。
|
- NetworkPolicy オブジェクトを使用して、プロジェクトとポッド ネットワーク、ポッド受信、ポッド送信に関する既定以外のポッド ネットワーク アクセス許可を構成する。
- 特定のサービス用に追加のサービス ロード バランサーを要求して構成する。
|
| クラスター ネットワーク |
- パブリック サービス エンドポイントやプライベート サービス エンドポイントなどのクラスター管理コンポーネント、および仮想ネットワーク コンポーネントとの必要な統合を設定する。
- ワーカー ノードとマスター ノードの間の内部クラスター通信に必要な内部ネットワーク コンポーネントを設定する。
|
- クラスターがプロビジョニングされたとき、OpenShift クラスター マネージャーを使用して、必要に応じてマシン CIDR、サービス CIDR、ポッド CIDR の既定以外の IP アドレス範囲を指定する。
- Azure CLI を使用してクラスターを作成するとき、またはクラスターを作成した後、API サービス エンドポイントがパブリックまたはプライベートになるように要求する。
|
| 仮想ネットワーク |
- 仮想プライベート クラウド、サブネット、ロード バランサー、インターネット ゲートウェイ、NAT ゲートウェイなど、クラスターをプロビジョニングするために必要な仮想ネットワーク コンポーネントを設定および構成する。
- お客様が OpenShift クラスター マネージャーを使用して、必要に応じて、オンプレミス リソースを使用した VPN 接続、VNet 間接続、プライベート リンク接続を管理できるようにする。
- お客様が、サービス ロード バランサーで使用するパブリック クラウド ロード バランサーを作成してデプロイできるようにする。
|
- VNet 間接続、VPN 接続、プライベート リンク接続など、オプションのパブリック クラウド ネットワーク コンポーネントを設定および保守する。
- 特定のサービス用に追加のサービス ロード バランサーを要求して構成する。
|
| クラスターのバージョン |
- マイナー バージョンとメンテナンス バージョンのアップグレードのスケジュールと状態を伝達する。
- マイナー アップグレードとメンテナンス アップグレードに関する変更ログとリリース ノートを発行する。
|
- クラスターのアップグレードを開始する。
- マイナー バージョンとメンテナンス バージョンでお客様のアプリケーションをテストして互換性を確認する。
|
| 容量管理 |
- ネットワーク、ストレージ、コンピューティング容量を含むコントロール プレーン (マスター ノード) リソースの使用率を監視する
- サービス品質を維持するためにコントロール プレーン ノードのスケーリングやサイズ変更を積極的に行う。
|
- 必要に応じて、ワーカー ノードを追加または削除します。
- クラスター リソースの要件に関する Microsoft と Red Hat の通知に応答する。
- スケーリング操作の場合に、より大きなコントロール プレーン VM に十分なクォータを使用できることを確認する
|
表 3. 変更管理に関する共同責任
ID およびアクセス管理
ID 管理とアクセス管理には、適切なユーザーのみがクラスター、アプリケーション、インフラストラクチャ リソースにアクセスできるようにするためのすべての責任が含まれます。 これには、アクセス制御メカニズムの提供、認証、承認、リソースへのアクセスの管理などのタスクが含まれます。
|
資源
|
Microsoft と Red Hat の責任
|
お客様の責任
|
| ログ記録 |
- プラットフォーム監査ログについて、業界標準に基づく階層化内部アクセス プロセスに準拠する。
- ネイティブの OpenShift RBAC 機能を提供する。
|
- プロジェクトへのアクセスおよび拡張機能によるプロジェクトのアプリケーション ログへのアクセスを制御するために、OpenShift RBAC を構成する。
- サードパーティまたはカスタムのアプリケーション ロギング ソリューションについては、お客様がアクセス管理の責任を持つ。
|
| アプリケーション ネットワーク |
- ネイティブの OpenShift RBAC 機能を提供する。
|
- 必要に応じて、ルート構成へのアクセスを制御するために OpenShift RBAC を構成する。
|
| クラスター ネットワーク |
- ネイティブの OpenShift RBAC 機能を提供する。
|
- Red Hat アカウントの Red Hat 組織メンバーシップを管理する。
- OpenShift クラスター マネージャーにアクセス権を付与するために、Red Hat 組織の組織管理者を管理する。
- 必要に応じて、ルート構成へのアクセスを制御するために OpenShift RBAC を構成する。
|
| 仮想ネットワーク |
- OpenShift クラスター マネージャーを通じて、お客様にアクセス制御を提供する。
|
- OpenShift クラスター マネージャーを通じて、パブリック クラウド コンポーネントへのオプションのユーザー アクセスを管理する。
|
表 4. ID 管理とアクセス管理に関する共同責任
セキュリティとコンプライアンス
セキュリティとコンプライアンスには、関連する法律、ポリシー、規制への準拠を確実に行うための責任と管理が含まれます。
|
資源
|
Microsoft と Red Hat の責任
|
お客様の責任
|
| ログ記録 |
- セキュリティ イベントの分析のために、Microsoft および Red Hat SIEM にクラスター監査ログを送信する。 フォレンジック分析をサポートするために、監査ログを定義された期間保持する。
|
- セキュリティ イベントについてアプリケーション ログを分析する。 既定のロギング スタックで提供されるよりも長いリテンション期間が必要な場合に、ロギング サイドカー コンテナーまたはサードパーティ製のロギング アプリケーションを使用して、アプリケーション ログを外部エンドポイントに送信する。
|
| 仮想ネットワーク |
- 仮想ネットワーク コンポーネントに潜在的な問題とセキュリティ上の脅威がないか監視する。
- 追加の監視と保護のために、Microsoft と Red Hat Azure の追加パブリック ツールを使用する。
|
- 任意で構成した仮想ネットワーク コンポーネントに潜在的な問題とセキュリティ上の脅威がないか監視する。
- 必要に応じて、必要なファイアウォール規則やデータセンターの保護を構成する。
|
表 5 セキュリティと規制への準拠に関する共同責任
Azure Red Hat OpenShift を使用する場合のお客様の責任
お客様のデータとアプリケーション
お客様は、ご自分で Azure Red Hat OpenShift にデプロイしたアプリケーション、ワークロード、データについて責任を持ちます。 ただし、Microsoft と Red Hat は、お客様がプラットフォーム上のデータとアプリケーションを管理するのに役立つさまざまなツールを提供しています。
|
資源
|
Microsoft と Red Hat による支援の方法
|
お客様の責任
|
| 顧客データ |
- 業界のセキュリティとコンプライアンスの標準による定義に従って、データ暗号化のプラットフォーム レベルでの標準を維持する。
- シークレットなどのアプリケーション データの管理を支援する OpenShift コンポーネントを提供する。
- クラスターの外部や、Microsoft および Red Hat Azure の外部にデータを保存して管理するために、サードパーティのデータ サービス (Azure SQL など) と統合できるようにする。
|
- プラットフォームに保存されているお客様のすべてのデータと、お客様のアプリケーションがそのデータを使用および公開する方法について責任を持つ。
- etcd 暗号化
|
| お客様のアプリケーション |
- OpenShift コンポーネントがインストールされたクラスターをプロビジョニングする。これにより、お客様は、OpenShift と Kubernetes の API にアクセスして、コンテナー化されたアプリケーションをデプロイおよび管理できます。
- OpenShift API へのアクセスを提供する。お客様は、これを使用して、コミュニティ、サードパーティ、Microsoft と Red Hat、Red Hat のサービスをクラスターに追加するためのオペレーターを設定できます。
- お客様のアプリケーションで使用する永続ボリュームをサポートするために、ストレージ クラスとプラグインを提供する。
|
|
表 6 お客様のデータ、お客様のアプリケーション、サービスに関するお客様の責任