Översikt över ansvarsområden för Azure Red Hat OpenShift
Artikel
I det här dokumentet beskrivs ansvarsområden för Microsoft, Red Hat och kunder för Azure Red Hat OpenShift-kluster. Mer information om Azure Red Hat OpenShift och dess komponenter finns i Azure Red Hat OpenShift Service Definition.
Medan Microsoft och Red Hat hanterar Azure Red Hat OpenShift-tjänsten delar kunden ansvaret för funktionaliteten i klustret. Azure Red Hat OpenShift-kluster finns på Azure-resurser i azure-kundprenumerationer, men de nås via fjärranslutning. Underliggande plattforms- och datasäkerhet ägs av Microsoft och Red Hat.
Kunden, Microsoft och Red Hat delar ansvaret för övervakning och underhåll av ett Azure Red Hat OpenShift-kluster. Kunden ansvarar för incident- och drifthantering av kundprogramdata och eventuella anpassade nätverk som kunden kan ha konfigurerat.
Resurs
Microsofts och Red Hats ansvarsområden
Kundansvar
Programnätverk
Övervaka molnlastbalanserare och inbyggd OpenShift-routertjänst och svara på aviseringar.
Övervaka hälsotillståndet för tjänstlastbalanserarens slutpunkter.
Övervaka hälsotillståndet för programvägar och slutpunkterna bakom dem.
Rapportera avbrott till Microsoft och Red Hat.
Virtuella nätverk
Övervaka molnlastbalanserare, undernät och Azure-molnkomponenter som krävs för standardplattformsnätverk och svara på aviseringar.
Övervaka nätverkstrafik som kan konfigureras via VNet till VNet-anslutning, VPN-anslutning eller Private Link-anslutning för potentiella problem eller säkerhetshot.
Tabell 2. Delat ansvar för incident- och driftshantering
Ändringshantering
Microsoft och Red Hat ansvarar för att aktivera ändringar i klusterinfrastrukturen och tjänsterna som kunden styr, samt underhålla versioner som är tillgängliga för huvudnoder, infrastrukturtjänster och arbetsnoder. Kunden ansvarar för att initiera infrastrukturändringar och installera och underhålla valfria tjänster och nätverkskonfigurationer i klustret, samt alla ändringar i kunddata och kundprogram.
Resurs
Microsofts och Red Hats ansvarsområden
Kundansvar
Skogsavverkning
Aggregera och övervaka plattformsgranskningsloggar centralt.
Ange dokumentation för kunden för att aktivera programloggning med Log Analytics via Azure Monitor för containrar.
Ange granskningsloggar på kundens begäran.
Installera den valfria standardoperatorn för programloggning i klustret.
Installera, konfigurera och underhålla valfria apploggningslösningar, till exempel loggning av sidovagnscontainrar eller loggningsprogram från tredje part.
Justera storlek och frekvens för programloggar som skapas av kundprogram om de påverkar klustrets stabilitet.
Begära plattformsgranskningsloggar via ett supportärende för att undersöka specifika incidenter.
Programnätverk
Konfigurera offentliga molnlastbalanserare
Konfigurera OpenShift Ingress-klusteroperatorn och standardoperatorn IngressController. Ge möjlighet att lägga till ytterligare kundhanterade IngressControllers och ange Standard IngressController som privat.
Installera, konfigurera och underhålla OVN-Kubernetes-nätverkets plugin-program och relaterade komponenter för standard intern poddtrafik.
Konfigurera icke-standardbehörigheter för poddnätverk för projekt- och poddnätverk, podd-ingress och poddutgång med hjälp av NetworkPolicy-objekt.
Begär och konfigurera eventuella ytterligare tjänstlastbalanserare för specifika tjänster.
Klusternätverk
Konfigurera klusterhanteringskomponenter, till exempel offentliga eller privata tjänstslutpunkter och nödvändig integrering med virtuella nätverkskomponenter.
Konfigurera interna nätverkskomponenter som krävs för intern klusterkommunikation mellan arbets- och huvudnoder.
Ange valfria IP-adressintervall som inte är standard för CIDR, tjänst-CIDR och podd-CIDR om det behövs via OpenShift Cluster Manager när klustret etableras.
Begär att API-tjänstslutpunkten ska göras offentlig eller privat när klustret skapas eller när klustret har skapats via Azure CLI.
Virtuella nätverk
Konfigurera de virtuella nätverkskomponenter som krävs för att etablera klustret, inklusive virtuellt privat moln, undernät, lastbalanserare, internetgatewayer, NAT-gatewayer osv.
Ge kunden möjlighet att hantera VPN-anslutning med lokala resurser, VNet-till-VNet-anslutning och Private Link-anslutning efter behov via OpenShift Cluster Manager.
Gör det möjligt för kunder att skapa och distribuera offentliga molnlastbalanserare för användning med tjänstlastbalanserare.
Konfigurera och underhålla valfria offentliga molnnätverkskomponenter, till exempel VNet-till VNet-anslutning, VPN-anslutning eller Private Link-anslutning.
Begär och konfigurera eventuella ytterligare tjänstlastbalanserare för specifika tjänster.
Klusterversion
Kommunicera schema och status för uppgraderingar för mindre versioner och underhållsversioner
Publicera ändringsloggar och viktig information för mindre uppgraderingar och underhållsuppgraderingar
Initiera uppgradering av kluster
Testa kundprogram på mindre versioner och underhållsversioner för att säkerställa kompatibilitet
Kapacitetshantering
Övervaka användningen av kontrollplansresurser (huvudnoder), inklusive nätverks-, lagrings- och beräkningskapacitet
Skala och/eller ändra storlek på kontrollplansnoder proaktivt för att upprätthålla tjänstens kvalitet
Lägg till eller ta bort ytterligare arbetsnoder efter behov.
Svara på Microsoft- och Red Hat-meddelanden om klusterresurskrav.
Se till att det finns gott om kvoter för större virtuella kontrollplansdatorer vid skalning
Tabell 3. Delat ansvar för ändringshantering
Identitets- och åtkomsthantering
Identitets- och åtkomsthantering omfattar alla ansvarsområden för att säkerställa att endast rätt personer har åtkomst till kluster-, program- och infrastrukturresurser. Detta omfattar uppgifter som att tillhandahålla mekanismer för åtkomstkontroll, autentisering, auktorisering och hantering av åtkomst till resurser.
Resurs
Microsofts och Red Hats ansvarsområden
Kundansvar
Skogsavverkning
Följ en branschstandardbaserad nivåindelad intern åtkomstprocess för plattformsgranskningsloggar.
Hantera Red Hat-organisationsmedlemskap för Red Hat-konton.
Hantera organisationsadministratörer för Red Hat-organisationen för att bevilja åtkomst till OpenShift Cluster Manager.
Konfigurera OpenShift RBAC för att styra åtkomsten till routningskonfigurationen efter behov.
Virtuella nätverk
Tillhandahålla kundåtkomstkontroller via OpenShift Cluster Manager.
Hantera valfri användaråtkomst till offentliga molnkomponenter via OpenShift Cluster Manager.
Tabell 4. Delat ansvar för identitets- och åtkomsthantering
Säkerhet och regelefterlevnad
Säkerhet och efterlevnad omfattar alla ansvarsområden och kontroller som säkerställer efterlevnad av relevanta lagar, principer och förordningar.
Resurs
Microsofts och Red Hats ansvarsområden
Kundansvar
Skogsavverkning
Skicka klustergranskningsloggar till en Microsoft- och Red Hat SIEM för att analysera säkerhetshändelser. Behåll granskningsloggar under en definierad tidsperiod för att stödja kriminalteknisk analys.
Analysera programloggar för säkerhetshändelser. Skicka programloggar till en extern slutpunkt via loggning av sidovagnscontainrar eller loggningsprogram från tredje part om det krävs längre kvarhållning än vad som erbjuds av standardloggningsstacken.
Virtuella nätverk
Övervaka virtuella nätverkskomponenter för potentiella problem och säkerhetshot.
Använd ytterligare offentliga Microsoft- och Red Hat Azure-verktyg för ytterligare övervakning och skydd.
Övervaka eventuellt konfigurerade komponenter för virtuella nätverk för potentiella problem och säkerhetshot.
Konfigurera nödvändiga brandväggsregler eller datacenterskydd efter behov.
Tabell 5. Delat ansvar för säkerhet och regelefterlevnad
Kundens ansvar när du använder Azure Red Hat OpenShift
Kunddata och program
Kunden ansvarar för de program, arbetsbelastningar och data som de distribuerar till Azure Red Hat OpenShift. Microsoft och Red Hat tillhandahåller dock olika verktyg som hjälper kunden att hantera data och program på plattformen.
Resurs
Så här hjälper Microsoft och Red Hat
Kundansvar
Kunddata
Upprätthålla standarder på plattformsnivå för datakryptering enligt definitionen i branschens säkerhets- och efterlevnadsstandarder.
Ange OpenShift-komponenter för att hantera programdata, till exempel hemligheter.
Aktivera integrering med datatjänster från tredje part (till exempel Azure SQL) för att lagra och hantera data utanför klustret och/eller Microsoft och Red Hat Azure.
Behåll ansvaret för alla kunddata som lagras på plattformen och hur kundprogram använder och exponerar dessa data.
Etcd-kryptering
Kundprogram
Etablera kluster med OpenShift-komponenter installerade så att kunderna kan komma åt API:erna OpenShift och Kubernetes för att distribuera och hantera containerbaserade program.
Ge åtkomst till OpenShift-API:er som en kund kan använda för att konfigurera operatorer för att lägga till community-, tredjeparts-, Microsoft- och Red Hat- och Red Hat-tjänster i klustret.
Tillhandahålla lagringsklasser och plugin-program för att stödja beständiga volymer för användning med kundprogram.
Behåll ansvaret för kund- och tredjepartsprogram, data och hela livscykeln.
Om en kund lägger till Red Hat, community, tredje part, sina egna eller andra tjänster i klustret med hjälp av operatorer eller externa bilder, ansvarar kunden för dessa tjänster och för att arbeta med lämplig leverantör (inklusive Red Hat) för att felsöka eventuella problem.
Behåll ansvaret för övervakning av program som körs på Azure Red Hat OpenShift; inklusive installation och drift av programvara för att samla in mått och skapa aviseringar.
Tabell 6. Kundansvar för kunddata, kundprogram och tjänster