In dit document worden de verantwoordelijkheden van Microsoft, Red Hat en klanten voor Azure Red Hat OpenShift-clusters beschreven. Zie de Definitie van de Azure Red Hat OpenShift-service voor meer informatie over Azure Red Hat OpenShift OpenShift en de bijbehorende onderdelen.
Hoewel Microsoft en Red Hat de Azure Red Hat OpenShift-service beheren, deelt de klant de verantwoordelijkheid voor de functionaliteit van hun cluster. Hoewel Azure Red Hat OpenShift-clusters worden gehost op Azure-resources in Azure-abonnementen van klanten, worden ze extern geopend. Onderliggende platform- en gegevensbeveiliging is eigendom van Microsoft en Red Hat.
Overzicht
|
Hulpbron
|
Incident- en operationsbeheer
|
Wijzigingsbeheer
|
Identiteits- en toegangsbeheer
|
Naleving van beveiliging en regelgeving
|
|
Klantgegevens
|
Klant |
Klant |
Klant |
Klant |
|
Klanttoepassingen
|
Klant |
Klant |
Klant |
Klant |
|
Ontwikkelaarsservices
|
Klant |
Klant |
Klant |
Klant |
| Platformbewaking |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
| Logboekregistratie |
Microsoft en Red Hat |
Gedeeld |
Gedeeld |
Gedeeld |
| Toepassingsnetwerken |
Gedeeld |
Gedeeld |
Gedeeld |
Microsoft en Red Hat |
| Clusternetwerken |
Microsoft en Red Hat |
Gedeeld |
Gedeeld |
Microsoft en Red Hat |
| Virtuele netwerken |
Gedeeld |
Gedeeld |
Gedeeld |
Gedeeld |
| Besturingsvlakknooppunten |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
| Werkknooppunten |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
| Clusterversie |
Microsoft en Red Hat |
Gedeeld |
Microsoft en Red Hat |
Microsoft en Red Hat |
| Capaciteitsbeheer |
Microsoft en Red Hat |
Gedeeld |
Microsoft en Red Hat |
Microsoft en Red Hat |
| Virtuele opslag |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
| Fysieke infrastructuur en beveiliging |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
Microsoft en Red Hat |
Tabel 1. Verantwoordelijkheden per resource
Taken voor gedeelde verantwoordelijkheden per gebied
Incident- en bewerkingsbeheer
De klant, Microsoft en Red Hat delen de verantwoordelijkheid voor de bewaking en het onderhoud van een Azure Red Hat OpenShift-cluster. De klant is verantwoordelijk voor incident- en operationsbeheer van klanttoepassingsgegevens en aangepaste netwerken die de klant mogelijk heeft geconfigureerd.
|
Hulpbron
|
Verantwoordelijkheden van Microsoft en Red Hat
|
Verantwoordelijkheden van de klant
|
| Toepassingsnetwerken |
- Bewaak cloud load balancer(s) en systeemeigen OpenShift-routerservice en reageer op waarschuwingen.
|
- Controleer de status van service load balancer-eindpunten.
- Controleer de status van toepassingsroutes en de eindpunten erachter.
- Storingen rapporteren aan Microsoft en Red Hat.
|
| Virtuele netwerken |
- Bewaak cloudtaakverdelingen, subnetten en Azure-cloudonderdelen die nodig zijn voor standaardplatformnetwerken en reageer op waarschuwingen.
|
- Controleer netwerkverkeer dat optioneel is geconfigureerd via VNet naar VNet-verbinding, VPN-verbinding of Private Link-verbinding voor mogelijke problemen of beveiligingsrisico's.
|
Tabel 2. Gedeelde verantwoordelijkheden voor incident- en operationsbeheer
Wijzigingsbeheer
Microsoft en Red Hat zijn verantwoordelijk voor het inschakelen van wijzigingen in de clusterinfrastructuur en -services die de klant beheert, evenals het onderhouden van versies die beschikbaar zijn voor de hoofdknooppunten, infrastructuurservices en werkknooppunten. De klant is verantwoordelijk voor het initiëren van infrastructuurwijzigingen en het installeren en onderhouden van optionele services en netwerkconfiguraties op het cluster, evenals alle wijzigingen in klantgegevens en klanttoepassingen.
|
Hulpbron
|
Verantwoordelijkheden van Microsoft en Red Hat
|
Verantwoordelijkheden van de klant
|
| Logboekregistratie |
- Auditlogboeken van platformen centraal aggregeren en bewaken.
- Geef de klant documentatie voor het inschakelen van toepassingslogboekregistratie met behulp van Log Analytics via Azure Monitor voor containers.
- Geef auditlogboeken op aanvraag van de klant op.
|
- Installeer de optionele standaardoperator voor toepassingslogboekregistratie op het cluster.
- Installeer, configureer en onderhoud eventuele optionele oplossingen voor app-logboekregistratie, zoals sidecarcontainers of toepassingen voor logboekregistratie van derden.
- Stem de grootte en frequentie van toepassingslogboeken af die worden geproduceerd door klanttoepassingen als deze van invloed zijn op de stabiliteit van het cluster.
- Aanvraag platformcontrolelogboeken via een ondersteuningsaanvraag voor het onderzoeken van specifieke incidenten.
|
| Toepassingsnetwerken |
- Load balancers voor openbare cloud instellen
- Stel de OpenShift Ingress-clusteroperator en de standaardingressController in. Geef de mogelijkheid om extra door de klant beheerde toegangscontrollers toe te voegen en de standaardingressController in te stellen als privé.
- Installeer, configureer en onderhoud de OVN-Kubernetes-netwerkinvoegtoepassing en gerelateerde onderdelen voor standaard intern podverkeer.
|
- Configureer niet-standaardmachtigingen voor pod-netwerkmachtigingen voor project- en podnetwerken, inkomend verkeer van pods en pods met behulp van NetworkPolicy-objecten.
- Vraag en configureer eventuele extra service load balancers voor specifieke services.
|
| Clusternetwerken |
- Stel clusterbeheeronderdelen in, zoals openbare of privéservice-eindpunten en de benodigde integratie met virtuele netwerkonderdelen.
- Interne netwerkonderdelen instellen die vereist zijn voor interne clustercommunicatie tussen werkrol- en hoofdknooppunten.
|
- Geef optionele niet-standaard IP-adresbereiken op voor machine CIDR, service CIDR en pod CIDR, indien nodig via OpenShift Cluster Manager wanneer het cluster is ingericht.
- Vraag of het API-service-eindpunt openbaar of privé wordt gemaakt bij het maken van een cluster of na het maken van het cluster via Azure CLI.
|
| Virtuele netwerken |
- Virtuele netwerkonderdelen instellen en configureren die vereist zijn voor het inrichten van het cluster, waaronder virtuele privécloud, subnetten, load balancers, internetgateways, NAT-gateways, enzovoort.
- Bied de klant de mogelijkheid om VPN-connectiviteit te beheren met on-premises resources, VNet-naar-VNet-connectiviteit en Private Link-connectiviteit zoals vereist via OpenShift-clusterbeheer.
- Klanten in staat stellen om load balancers in de openbare cloud te maken en te implementeren voor gebruik met service load balancers.
|
- Optionele onderdelen voor openbare cloudnetwerken, zoals VNet naar VNet-verbinding, VPN-verbinding of Private Link-verbinding, instellen en onderhouden.
- Vraag en configureer eventuele extra service load balancers voor specifieke services.
|
| Clusterversie |
- Planning en status van upgrades voor secundaire versies en onderhoudsversies communiceren
- Wijzigingenlogboeken en releaseopmerkingen publiceren voor kleine en onderhoudsupgrades
|
- Upgrade van cluster initiëren
- Test klanttoepassingen op secundaire versies en onderhoudsversies om compatibiliteit te garanderen
|
| Capaciteitsbeheer |
- Het gebruik van beheervlakresources (hoofdknooppunten) bewaken, waaronder netwerk-, opslag- en rekencapaciteit
- Knooppunten van besturingsvlak proactief schalen en/of het formaat ervan wijzigen om de kwaliteit van de service te behouden
|
- Voeg indien nodig extra werkknooppunten toe of verwijder deze.
- Reageren op Meldingen van Microsoft en Red Hat met betrekking tot de vereisten voor clusterresources.
- Zorg ervoor dat er voldoende quotum beschikbaar is voor grotere VM's in het besturingsvlak in het geval van een schaalbewerking
|
Tabel 3. Gedeelde verantwoordelijkheden voor wijzigingsbeheer
Identiteits- en toegangsbeheer
Identiteits- en toegangsbeheer omvat alle verantwoordelijkheden om ervoor te zorgen dat alleen de juiste personen toegang hebben tot cluster-, toepassings- en infrastructuurbronnen. Dit omvat taken zoals het bieden van mechanismen voor toegangsbeheer, verificatie, autorisatie en het beheren van toegang tot resources.
|
Hulpbron
|
Verantwoordelijkheden van Microsoft en Red Hat
|
Verantwoordelijkheden van de klant
|
| Logboekregistratie |
- Voldoen aan een op industriestandaarden gebaseerd gelaagd intern toegangsproces voor platformcontrolelogboeken.
- Systeemeigen OpenShift RBAC-mogelijkheden bieden.
|
- Configureer OpenShift RBAC om de toegang tot projecten te beheren en door de toepassingslogboeken van een project uit te extensie.
- Voor oplossingen voor logboekregistratie van derden of aangepaste toepassingen is de klant verantwoordelijk voor toegangsbeheer.
|
| Toepassingsnetwerken |
- Systeemeigen OpenShift RBAC-mogelijkheden bieden.
|
- Configureer OpenShift RBAC om de toegang tot routeconfiguratie te beheren, indien nodig.
|
| Clusternetwerken |
- Systeemeigen OpenShift RBAC-mogelijkheden bieden.
|
- Red Hat-organisatielidmaatschap van Red Hat-accounts beheren.
- Beheer organisatiebeheerders voor Red Hat-organisatie om toegang te verlenen tot OpenShift Cluster Manager.
- Configureer OpenShift RBAC om de toegang tot routeconfiguratie te beheren, indien nodig.
|
| Virtuele netwerken |
- Beheer van klanttoegang bieden via OpenShift-clusterbeheer.
|
- Optionele gebruikerstoegang tot onderdelen van de openbare cloud beheren via OpenShift Cluster Manager.
|
Tabel 4. Gedeelde verantwoordelijkheden voor identiteits- en toegangsbeheer
Beveiliging en naleving
Beveiliging en naleving omvat alle verantwoordelijkheden en controles die ervoor zorgen dat er wordt voldaan aan relevante wetten, beleidsregels en voorschriften.
|
Hulpbron
|
Verantwoordelijkheden van Microsoft en Red Hat
|
Verantwoordelijkheden van de klant
|
| Logboekregistratie |
- Clustercontrolelogboeken verzenden naar een Microsoft en Red Hat SIEM om te analyseren op beveiligingsgebeurtenissen. Bewaar auditlogboeken gedurende een gedefinieerde periode om forensische analyse te ondersteunen.
|
- Analyseer toepassingslogboeken voor beveiligingsevenementen. Toepassingslogboeken naar een extern eindpunt verzenden via sidecarcontainers of toepassingen van derden als langere retentie is vereist dan wordt aangeboden door de standaardstack voor logboekregistratie.
|
| Virtuele netwerken |
- Bewaak virtuele netwerkonderdelen op mogelijke problemen en beveiligingsrisico's.
- Gebruik aanvullende openbare Microsoft- en Red Hat Azure-hulpprogramma's voor aanvullende bewaking en beveiliging.
|
- Bewaak eventueel geconfigureerde virtuele netwerkonderdelen voor mogelijke problemen en beveiligingsrisico's.
- Configureer indien nodig de benodigde firewallregels of datacentrumbeveiligingen.
|
Tabel 5. Gedeelde verantwoordelijkheden voor naleving van beveiliging en regelgeving
Verantwoordelijkheden van klanten bij het gebruik van Azure Red Hat OpenShift
Klantgegevens en -toepassingen
De klant is verantwoordelijk voor de toepassingen, workloads en gegevens die ze implementeren in Azure Red Hat OpenShift. Microsoft en Red Hat bieden echter verschillende hulpprogramma's waarmee de klant gegevens en toepassingen op het platform kan beheren.
|
Hulpbron
|
Hoe Microsoft en Red Hat u helpen
|
Verantwoordelijkheden van de klant
|
| Klantgegevens |
- Houd standaarden op platformniveau voor gegevensversleuteling zoals gedefinieerd door beveiligings- en nalevingsstandaarden voor de branche.
- Bied OpenShift-onderdelen om toepassingsgegevens, zoals geheimen, te beheren.
- Integratie met gegevensservices van derden (zoals Azure SQL) inschakelen om gegevens buiten het cluster en/of Microsoft en Red Hat Azure op te slaan en te beheren.
|
- Houd de verantwoordelijkheid voor alle klantgegevens die zijn opgeslagen op het platform en hoe klanttoepassingen deze gegevens gebruiken en beschikbaar maken.
- Etcd-versleuteling
|
| Klanttoepassingen |
- Clusters inrichten waarop OpenShift-onderdelen zijn geïnstalleerd, zodat klanten toegang hebben tot de OpenShift- en Kubernetes-API's voor het implementeren en beheren van toepassingen in containers.
- Geef toegang tot OpenShift-API's die een klant kan gebruiken om Operators in te stellen om community-, microsoft- en Red Hat-services toe te voegen aan het cluster.
- Bied opslagklassen en invoegtoepassingen ter ondersteuning van permanente volumes voor gebruik met klanttoepassingen.
|
|
Tabel 6. Klantverantwoordelijkheden voor klantgegevens, klanttoepassingen en services