W tym dokumencie opisano obowiązki klientów firmy Microsoft, Red Hat i klastrów usługi Azure Red Hat OpenShift. Aby uzyskać więcej informacji na temat usługi Azure Red Hat OpenShift i jej składników, zobacz Definicję usługi Azure Red Hat OpenShift.
Podczas gdy firma Microsoft i Red Hat zarządzają usługą Azure Red Hat OpenShift, klient ponosi odpowiedzialność za funkcjonalność klastra. Podczas gdy klastry usługi Azure Red Hat OpenShift są hostowane w zasobach platformy Azure w subskrypcjach platformy Azure klienta, są one uzyskiwane zdalnie. Podstawowa platforma i zabezpieczenia danych należą do firmy Microsoft i firmy Red Hat.
Przegląd
|
Zasób
|
Zarządzanie zdarzeniami i operacjami
|
Zarządzanie zmianami
|
Zarządzanie tożsamościami i dostępem
|
Zgodność z zabezpieczeniami i regulacjami
|
|
Dane klientów
|
Klient |
Klient |
Klient |
Klient |
|
Aplikacje klienta
|
Klient |
Klient |
Klient |
Klient |
|
Usługi dla deweloperów
|
Klient |
Klient |
Klient |
Klient |
| Monitorowanie platformy |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
| Wyrąb |
Microsoft i Red Hat |
Udostępnione |
Udostępnione |
Udostępnione |
| Sieć aplikacji |
Udostępnione |
Udostępnione |
Udostępnione |
Microsoft i Red Hat |
| Sieć klastra |
Microsoft i Red Hat |
Udostępnione |
Udostępnione |
Microsoft i Red Hat |
| Sieć wirtualna |
Udostępnione |
Udostępnione |
Udostępnione |
Udostępnione |
| Węzły płaszczyzny sterowania |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
| Węzły robocze |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
| Wersja klastra |
Microsoft i Red Hat |
Udostępnione |
Microsoft i Red Hat |
Microsoft i Red Hat |
| Zarządzanie pojemnością |
Microsoft i Red Hat |
Udostępnione |
Microsoft i Red Hat |
Microsoft i Red Hat |
| Magazyn wirtualny |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
| Infrastruktura fizyczna i zabezpieczenia |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
Microsoft i Red Hat |
Tabela 1. Obowiązki według zasobu
Zadania związane ze współdzieloną odpowiedzialnością według obszaru
Zarządzanie zdarzeniami i operacjami
Klient, firma Microsoft i Firma Red Hat ponoszą odpowiedzialność za monitorowanie i konserwację klastra Usługi Azure Red Hat OpenShift. Klient jest odpowiedzialny za zdarzenia i operacje zarządzania danymi aplikacji klienta i dowolną niestandardową siecią skonfigurowaną przez klienta.
|
Zasób
|
Obowiązki firmy Microsoft i Red Hat
|
Obowiązki klienta
|
| Sieć aplikacji |
- Monitorowanie modułów równoważenia obciążenia w chmurze i natywnej usługi routera OpenShift oraz reagowanie na alerty.
|
- Monitorowanie kondycji punktów końcowych modułu równoważenia obciążenia usługi.
- Monitorowanie kondycji tras aplikacji i punktów końcowych za nimi.
- Zgłaszanie awarii do firmy Microsoft i Red Hat.
|
| Sieć wirtualna |
- Monitorowanie modułów równoważenia obciążenia w chmurze, podsieci i składników chmury platformy Azure niezbędnych do domyślnej sieci platformy i reagowanie na alerty.
|
- Monitoruj ruch sieciowy, który jest opcjonalnie skonfigurowany za pośrednictwem sieci wirtualnej do połączenia sieci wirtualnej, połączenia sieci VPN lub połączenia usługi Private Link pod kątem potencjalnych problemów lub zagrożeń bezpieczeństwa.
|
Tabela 2. Wspólne obowiązki związane z zarządzaniem zdarzeniami i operacjami
Zarządzanie zmianami
Firmy Microsoft i Red Hat są odpowiedzialne za umożliwienie zmian w infrastrukturze i usługach klastra, które kontroluje klient, a także obsługę wersji dostępnych dla węzłów głównych, usług infrastruktury i węzłów roboczych. Klient jest odpowiedzialny za inicjowanie zmian infrastruktury oraz instalowanie i konserwowanie opcjonalnych usług i konfiguracji sieci w klastrze, a także wszystkich zmian w danych klientów i aplikacjach klientów.
|
Zasób
|
Obowiązki firmy Microsoft i Red Hat
|
Obowiązki klienta
|
| Wyrąb |
- Centralne agregowanie i monitorowanie dzienników inspekcji platformy.
- Podaj dokumentację dla klienta, aby umożliwić rejestrowanie aplikacji przy użyciu usługi Log Analytics za pośrednictwem usługi Azure Monitor dla kontenerów.
- Podaj dzienniki inspekcji na żądanie klienta.
|
- Zainstaluj opcjonalny domyślny operator rejestrowania aplikacji w klastrze.
- Instalowanie, konfigurowanie i obsługa dowolnych opcjonalnych rozwiązań rejestrowania aplikacji, takich jak kontenery przyczepki rejestrowania lub aplikacje do rejestrowania innych firm.
- Dostosuj rozmiar i częstotliwość dzienników aplikacji tworzonych przez aplikacje klienta, jeśli mają one wpływ na stabilność klastra.
- Zażądaj dzienników inspekcji platformy za pomocą zgłoszenia do pomocy technicznej w celu zbadania określonych zdarzeń.
|
| Sieć aplikacji |
- Konfigurowanie modułów równoważenia obciążenia chmury publicznej
- Skonfiguruj operator klastra Ruchu przychodzącego OpenShift i domyślny kontroler ruchu przychodzącego. Zapewnij możliwość dodawania dodatkowych kontrolerów ruchu przychodzącego zarządzanego przez klienta i ustawiania domyślnego elementu IngressController jako prywatnego.
- Instalowanie, konfigurowanie i obsługa wtyczki sieciowej OVN-Kubernetes oraz powiązanych składników dla domyślnego wewnętrznego ruchu zasobnika.
|
- Skonfiguruj nie domyślne uprawnienia sieci zasobnika dla sieci projektów i zasobników, ruchu przychodzącego zasobnika i ruchu wychodzącego zasobnika przy użyciu obiektów NetworkPolicy.
- Zażądaj i skonfiguruj wszelkie dodatkowe moduły równoważenia obciążenia usługi dla określonych usług.
|
| Sieć klastra |
- Skonfiguruj składniki zarządzania klastrem, takie jak publiczne lub prywatne punkty końcowe usługi i niezbędną integrację ze składnikami sieci wirtualnej.
- Skonfiguruj składniki sieci wewnętrznej wymagane do wewnętrznej komunikacji klastra między procesem roboczym i węzłami głównymi.
|
- Podaj opcjonalne, inne niż domyślne zakresy adresów IP dla maszyny CIDR, ciDR usługi i ciDR zasobnika, jeśli jest to konieczne za pośrednictwem Menedżera klastra OpenShift podczas aprowizowania klastra.
- Zażądaj, aby punkt końcowy usługi interfejsu API był publiczny lub prywatny podczas tworzenia klastra lub po utworzeniu klastra za pośrednictwem interfejsu wiersza polecenia platformy Azure.
|
| Sieć wirtualna |
- Konfigurowanie i konfigurowanie składników sieci wirtualnej wymaganych do aprowizacji klastra, w tym wirtualnej chmury prywatnej, podsieci, modułów równoważenia obciążenia, bram internetowych, bram translatora adresów sieciowych itp.
- Umożliwia klientowi zarządzanie łącznością sieci VPN z zasobami lokalnymi, połączeniem sieci wirtualnej z siecią wirtualną i łącznością usługi Private Link zgodnie z wymaganiami za pośrednictwem Menedżera klastra OpenShift.
- Umożliwia klientom tworzenie i wdrażanie modułów równoważenia obciążenia w chmurze publicznej do użycia z modułami równoważenia obciążenia usługi.
|
- Konfigurowanie i obsługa opcjonalnych składników sieci w chmurze publicznej, takich jak połączenie sieci wirtualnej z siecią wirtualną, połączenie sieci VPN lub połączenie usługi Private Link.
- Zażądaj i skonfiguruj wszelkie dodatkowe moduły równoważenia obciążenia usługi dla określonych usług.
|
| Wersja klastra |
- Przekazywanie harmonogramu i stanu uaktualnień dla wersji pomocniczych i konserwacyjnych
- Publikowanie dzienników zmian i informacji o wersji na potrzeby drobnych uaktualnień i konserwacji
|
- Inicjowanie uaktualniania klastra
- Testowanie aplikacji klientów w wersjach pomocniczych i konserwacyjnych w celu zapewnienia zgodności
|
| Zarządzanie pojemnością |
- Monitorowanie wykorzystania zasobów płaszczyzny sterowania (węzłów głównych), w tym sieci, magazynu i pojemności obliczeniowej
- Proaktywne skalowanie i/lub zmienianie rozmiaru węzłów płaszczyzny sterowania w celu utrzymania jakości usług
|
- Dodaj lub usuń dodatkowe węzły robocze zgodnie z potrzebami.
- Odpowiadanie na powiadomienia firmy Microsoft i Red Hat dotyczące wymagań dotyczących zasobów klastra.
- Upewnij się, że jest dostępny duży limit przydziału dla większych maszyn wirtualnych płaszczyzny sterowania w przypadku operacji skalowania
|
Tabela 3. Wspólne obowiązki związane z zarządzaniem zmianami
Zarządzanie tożsamościami i dostępem
Zarządzanie tożsamościami i dostępem obejmuje wszystkie obowiązki w zakresie zapewnienia, że tylko odpowiednie osoby mają dostęp do zasobów klastra, aplikacji i infrastruktury. Obejmuje to zadania, takie jak zapewnianie mechanizmów kontroli dostępu, uwierzytelnianie, autoryzacja i zarządzanie dostępem do zasobów.
|
Zasób
|
Obowiązki firmy Microsoft i Red Hat
|
Obowiązki klienta
|
| Wyrąb |
- Stosuj się do opartego na standardach branżowych wewnętrznego procesu dostępu opartego na standardach dla dzienników inspekcji platformy.
- Udostępniaj natywne funkcje kontroli dostępu opartej na rolach platformy OpenShift.
|
- Skonfiguruj kontrolę dostępu opartej na rolach platformy OpenShift w celu kontrolowania dostępu do projektów i przez rozszerzenie dzienników aplikacji projektu.
- W przypadku rozwiązań rejestrowania aplikacji innych firm lub niestandardowych klient jest odpowiedzialny za zarządzanie dostępem.
|
| Sieć aplikacji |
- Udostępniaj natywne funkcje kontroli dostępu opartej na rolach platformy OpenShift.
|
- Skonfiguruj kontrolę dostępu na podstawie ról platformy OpenShift w celu kontrolowania dostępu do konfiguracji trasy zgodnie z potrzebami.
|
| Sieć klastra |
- Udostępniaj natywne funkcje kontroli dostępu opartej na rolach platformy OpenShift.
|
- Zarządzanie członkostwem w organizacji red hat kont.
- Zarządzanie administratorami organizacji dla organizacji Red Hat w celu udzielenia dostępu do Menedżera klastra OpenShift.
- Skonfiguruj kontrolę dostępu na podstawie ról platformy OpenShift w celu kontrolowania dostępu do konfiguracji trasy zgodnie z potrzebami.
|
| Sieć wirtualna |
- Zapewnianie kontroli dostępu klienta za pośrednictwem Menedżera klastra OpenShift.
|
- Zarządzanie opcjonalnym dostępem użytkowników do składników chmury publicznej za pomocą Menedżera klastra OpenShift.
|
Tabela 4. Wspólne obowiązki związane z zarządzaniem tożsamościami i dostępem
Zabezpieczenia i zgodność
Zabezpieczenia i zgodność obejmują wszelkie obowiązki i mechanizmy kontroli, które zapewniają zgodność z odpowiednimi przepisami, zasadami i przepisami.
|
Zasób
|
Obowiązki firmy Microsoft i Red Hat
|
Obowiązki klienta
|
| Wyrąb |
- Wysyłanie dzienników inspekcji klastra do firmy Microsoft i rozwiązania Red Hat SIEM w celu przeanalizowania pod kątem zdarzeń zabezpieczeń. Zachowaj dzienniki inspekcji przez określony okres, aby obsługiwać analizę kryminalistyczną.
|
- Analizowanie dzienników aplikacji pod kątem zdarzeń zabezpieczeń. Wysyłanie dzienników aplikacji do zewnętrznego punktu końcowego za pośrednictwem kontenerów przyczepki rejestrowania lub aplikacji do rejestrowania innych firm, jeśli wymagane jest dłuższe przechowywanie niż jest oferowane przez domyślny stos rejestrowania.
|
| Sieć wirtualna |
- Monitorowanie składników sieci wirtualnej pod kątem potencjalnych problemów i zagrożeń bezpieczeństwa.
- Dodatkowe publiczne narzędzia firmy Microsoft i red hat platformy Azure umożliwiają dodatkowe monitorowanie i ochronę.
|
- Monitorowanie opcjonalnych składników sieci wirtualnej pod kątem potencjalnych problemów i zagrożeń bezpieczeństwa.
- Skonfiguruj wszelkie niezbędne reguły zapory lub ochronę centrum danych zgodnie z potrzebami.
|
Tabela 5. Wspólne obowiązki dotyczące zgodności z zabezpieczeniami i regulacjami
Obowiązki klienta podczas korzystania z usługi Azure Red Hat OpenShift
Dane i aplikacje klienta
Klient jest odpowiedzialny za aplikacje, obciążenia i dane wdrażane w usłudze Azure Red Hat OpenShift. Firmy Microsoft i Red Hat udostępniają jednak różne narzędzia ułatwiające klientowi zarządzanie danymi i aplikacjami na platformie.
|
Zasób
|
Jak pomaga firma Microsoft i Red Hat
|
Obowiązki klienta
|
| Dane klienta |
- Zachowaj standardy na poziomie platformy dotyczące szyfrowania danych zgodnie z definicją w branżowych standardach zabezpieczeń i zgodności.
- Udostępnianie składników openShift ułatwia zarządzanie danymi aplikacji, takimi jak wpisy tajne.
- Włącz integrację z usługami danych innych firm (takimi jak Azure SQL), aby przechowywać dane poza klastrem i/lub firmą Microsoft i platformą Red Hat Azure oraz zarządzać nimi.
|
- Zachowaj odpowiedzialność za wszystkie dane klientów przechowywane na platformie oraz sposób, w jaki aplikacje klienta używają i uwidaczniają te dane.
- Szyfrowanie etcd
|
| Aplikacje klienta |
- Aprowizowanie klastrów przy użyciu zainstalowanych składników OpenShift, aby klienci mogli uzyskiwać dostęp do interfejsów API OpenShift i Kubernetes w celu wdrażania konteneryzowanych aplikacji i zarządzania nimi.
- Zapewnij dostęp do interfejsów API openShift, których klient może użyć do skonfigurowania operatorów w celu dodania do klastra usług społeczności, firm innych firm, firmy Microsoft i Red Hat oraz usług Red Hat.
- Udostępniaj klasy magazynu i wtyczki do obsługi woluminów trwałych do użycia z aplikacjami klienta.
|
|
Tabela 6. Obowiązki klienta dotyczące danych klientów, aplikacji klientów i usług