3.2. Red Hat OpenShift Service on AWS におけるロールの概要

以下では、Red Hat OpenShift Service on AWS (ROSA) マネージドサービスにおける Red Hat、Amazon Web Services (AWS)、およびお客様のそれぞれの責任を説明します。

3.2.1. Red Hat OpenShift Service on AWS に対する責任の共有

Red Hat と Amazon Web Services (AWS) が Red Hat OpenShift Service on AWS のサービスを管理している間、お客様には一定の責任があります。Red Hat OpenShift Service on AWS サービスは、リモートでアクセスされ、パブリッククラウドリソースでホストされ、お客様が所有する AWS アカウントで作成され、Red Hat が所有する基礎となるプラットフォームおよびデータセキュリティーを持ちます。

重要

cluster-admin ロールがユーザーに追加される場合は、Red Hat Enterprise Agreement Appendix 4 (Online Subscription Services) の責任および除外事項を参照してください。

リソースインシデントおよびオペレーション管理変更管理アクセスとアイデンティティーの承認セキュリティーおよび規制コンプライアンス障害復旧

お客様データ

お客様

お客様

お客様

お客様

お客様

お客様のアプリケーション

お客様

お客様

お客様

お客様

お客様

開発者サービス

お客様

お客様

お客様

お客様

お客様

プラットフォームモニタリング

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

ロギング

Red Hat

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

Red Hat

アプリケーションのネットワーク

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

Red Hat

Red Hat

クラスターネットワーク

Red Hat

Red Hat とお客様

Red Hat とお客様

Red Hat

Red Hat

仮想ネットワーク管理

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

仮想コンピューティング管理 (コントロールプレーン、インフラストラクチャー、およびワーカーノード)

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

クラスターのバージョン

Red Hat

Red Hat とお客様

Red Hat

Red Hat

Red Hat

容量の管理

Red Hat

Red Hat とお客様

Red Hat

Red Hat

Red Hat

仮想ストレージ管理

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

AWS ソフトウェア (パブリック AWS サービス)

AWS

AWS

AWS

AWS

AWS

ハードウェア/AWS グローバルインフラストラクチャー

AWS

AWS

AWS

AWS

AWS

3.2.2. 領域ごとの分担責任のタスク

Red Hat、AWS、および顧客はすべて、Red Hat OpenShift Service on AWS (ROSA) クラスターの監視、メンテナンス、および全体的な健全性に対して責任を共有します。このドキュメントでは、以下の表に示すように、リストされた各リソースの責任の概要を説明します。

3.2.2.1. インシデントおよびオペレーション管理

Red Hat は、デフォルトのプラットフォームネットワーキングに必要なサービスコンポーネントを監督する責任があります。AWS は、AWS クラウドで提供されるすべてのサービスを実行するハードウェアインフラストラクチャーを保護する責任があります。お客様は、お客様のアプリケーションデータ、およびお客様がクラスターネットワークまたは仮想ネットワークに設定した可能性のあるカスタムネットワークに関するインシデントおよびオペレーション管理を行います。

リソースサービスの責任お客様の責任

アプリケーションのネットワーク

Red Hat

  • ネイティブ OpenShift ルーターサービスを監視し、アラートに応答します。
  • アプリケーションルート、およびその背後のエンドポイントの正常性を監視します。
  • 停止を Red Hat と AWS に報告します。

仮想ネットワーク管理

Red Hat

  • AWS ロードバランサー、Amazon VPC サブネット、デフォルトのプラットフォームネットワーキングに必要な AWS サービスコンポーネントを監視します。アラートに応答します。
  • AWS ロードバランサーエンドポイントの健全性を監視します。
  • Amazon VPC 間接続、AWS VPN 接続、または AWS Direct Connect を通じてオプションで設定されたネットワークトラフィックを監視し、潜在的な問題やセキュリティー上の脅威がないか確認します。

仮想ストレージ管理

Red Hat

  • クラスターノードに使用される Amazon Elastic Block Store (Amazon EBS)ボリュームと、ROSA サービスの組み込みコンテナーイメージレジストリーに使用される Amazon S3 バケットを監視します。アラートに応答します。
  • アプリケーションデータの健全性を監視します。
  • 顧客管理の AWS KMS キーを使用する場合は、Amazon EBS 暗号化のキーのライフサイクルとキーのポリシーを作成して制御します。

AWS ソフトウェア (パブリック AWS サービス)

AWS

  • 顧客アカウントの AWS リソースの健全性を監視します。
  • IAM ツールを使用して、顧客アカウントの AWS リソースに適切なアクセス許可を適用します。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • 顧客のアプリケーションとデータを設定、管理、監視して、アプリケーションとデータのセキュリティー制御が適切に実施されていることを確認します。

3.2.2.2. 変更管理

Red Hat は、お客様が制御するクラスターインフラストラクチャーおよびサービスへの変更を有効にし、コントロールプレーンノード、インフラストラクチャーノードおよびサービス、ならびにワーカーノードのバージョンを維持します。AWS は、AWS クラウドで提供されるすべてのサービスを実行するハードウェアインフラストラクチャーを保護する責任があります。お客様は、インフラストラクチャーの変更要求を開始し、クラスターでの任意のサービスおよびネットワーク設定のインストールおよび維持、ならびにお客様データおよびお客様のアプリケーションに対するすべての変更を行います。

リソースサービスの責任お客様の責任

ロギング

Red Hat

  • プラットフォーム監査ログを一元的に集計し、監視します。
  • ロギング Operator を提供し、これを維持して、お客様がデフォルトのアプリケーションロギングのロギングスタックをデプロイできるようにします。
  • お客様のリクエストに対応して監査ログを提供します。
  • オプションのデフォルトアプリケーションロギング Operator をクラスターにインストールします。
  • ロギングサイドカーコンテナーやサードパーティーロギングアプリケーションなどのオプションのアプリケーションロギングソリューションをインストール、設定し、維持します。
  • ロギングスタックまたはクラスターの安定性に影響がある場合に、お客様のアプリケーションによって生成されるアプリケーションログのサイズおよび頻度を調整します。
  • 特定のインシデントを調査するためにサポートケースを使用してプラットフォーム監査ログを要求します。

アプリケーションのネットワーク

Red Hat

  • パブリックロードバランサーを設定します。プライベートロードバランサーを設定し、必要に応じて追加のロードバランサーを 1 つまで設定する機能を提供します。
  • ネイティブ OpenShift ルーターサービスを設定します。ルーターをプライベートとして設定し、1 つのルーターシャードを追加する機能を提供します。
  • デフォルトの内部 Pod トラフィック用に OpenShift SDN コンポーネントをインストールし、設定し、維持します。
  • お客様が NetworkPolicy および EgressNetworkPolicy (ファイアウォール) オブジェクトを管理できる機能を提供します。
  • NetworkPolicy オブジェクトを使用して、プロジェクトおよび Pod ネットワーク、Pod ingress、および Pod egress のデフォルト以外の Pod ネットワークのパーミッションを設定します。
  • OpenShift Cluster Manager を使用して、デフォルトのアプリケーションルートのプライベートロードバランサーを要求します。
  • OpenShift Cluster Manager を使用して、追加の 1 つのパブリックまたはプライベートルーターシャードおよび対応するロードバランサーを設定します。
  • 特定サービスの追加のサービ出力ドバランサーを要求し、設定します。
  • 必要な DNS 転送ルールを設定します。

クラスターネットワーク

Red Hat

  • パブリックまたはプライベートサービスのエンドポイントや Amazon VPC コンポーネントとの必要な統合などのクラスター管理コンポーネントを設定します。
  • ワーカー、インフラストラクチャー、およびコントロールプレーンノード間の内部クラスター通信に必要な内部ネットワークコンポーネントを設定します。
  • クラスターのプロビジョニング時に OpenShift Cluster Manager で必要な場合は、マシン CIDR、サービス CIDR、および Pod CIDR の任意のデフォルト以外の IP アドレス範囲を指定します。
  • クラスターの作成時または OpenShift Cluster Manager でクラスターの作成後に、API サービスエンドポイントをパブリックまたはプライベートにするように要求します。

仮想ネットワーク管理

Red Hat

  • サブネット、ロードバランサー、インターネットゲートウェイ、NAT ゲートウェイなど、クラスターのプロビジョニングに必要な Amazon VPC コンポーネントをセットアップおよび設定します。
  • オンプレミスリソースとの AWS VPN 接続、Amazon VPC 間の接続、および必要に応じて OpenShift Cluster Manager を介して AWS Direct Connect を管理できる機能を顧客が提供します。
  • 顧客がサービスロードバランサーで使用する AWS ロードバランサーを作成およびデプロイできるようにします。
  • Amazon VPC 間接続、AWS VPN 接続、AWS Direct Connect などのオプションの Amazon VPC コンポーネントをセットアップおよび維持します。
  • 特定サービスの追加のサービ出力ドバランサーを要求し、設定します。

仮想コンピューティング管理

Red Hat

  • クラスターのコンピューティングに Amazon EC2 インスタンスを使用するように ROSA コントロールプレーンとデータプレーンをセットアップおよび設定します。
  • クラスター上の Amazon EC2 コントロールプレーンとインフラストラクチャーノードのデプロイメントを監視および管理します。
  • OpenShift Cluster Manager または ROSA CLI (rosa) を使用してマシンプールを作成し、Amazon EC2 ワーカーノードを監視および管理します。
  • 顧客が導入したアプリケーションとアプリケーションデータへの変更を管理します。

クラスターのバージョン

Red Hat

  • アップグレードのスケジューリングプロセスを有効にします。
  • アップグレードの進捗を監視し、発生した問題をすべて修正します。
  • マイナーアップグレードおよびメンテナンスアップグレードに関する変更ログおよびリリースノートを公開します。
  • メンテナンスバージョンのアップグレードを即時、後日、または自動で行うようにスケジュールします。
  • マイナーバージョンのアップグレードを確認し、スケジュールします。
  • クラスターのバージョンがサポート範囲のマイナーバージョンであることを確認します。
  • 互換性を確保するために、マイナーバージョンおよびメンテナンスバージョンでお客様のアプリケーションをテストします。

容量の管理

Red Hat

  • コントロールプレーンの使用を監視します。コントロールプレーンには、コントロールプレーンノードとインフラストラクチャーノードが含まれます。
  • QoS (Quality of Service) を維持するために、コントロールプレーンノードをスケーリングし、サイズ変更します。
  • ワーカーノードの使用率を監視し、必要に応じて自動スケーリング機能を有効にします。
  • クラスターのスケーリングストラテジーを決定します。マシンプールの詳細は、関連情報を参照してください。
  • 提供される OpenShift Cluster Manager コントロールを使用して、必要に応じて追加のワーカーノードを追加または削除します。
  • クラスターリソース要件に関する Red Hat の通知に対応します。

仮想ストレージ管理

Red Hat

  • Amazon EBS をセットアップして設定し、クラスターのローカルノードストレージと永続ボリュームストレージをプロビジョニングします。
  • Amazon S3 バケットストレージを使用するように組み込みイメージレジストリーをセットアップおよび設定します。
  • Amazon S3 のイメージレジストリーリソースを定期的にプルーニングして、Amazon S3 の使用率とクラスターのパフォーマンスを最適化します。

AWS ソフトウェア (パブリック AWS サービス)

AWS

Compute: ROSA コントロールプレーン、インフラストラクチャー、ワーカーノードに使用される Amazon EC2 サービスを提供します。

Storage: Amazon EBS を提供して、ROSA サービスがクラスターのローカルノードストレージと永続ボリュームストレージをプロビジョニングできるようにします。

Storage: ROSA サービスの組み込みイメージレジストリーに Amazon S3 を提供します。

Networking: ROSA 仮想ネットワーキングインフラストラクチャーのニーズを満たすために、次の AWS Cloud サービスを提供します。

  • Amazon VPC
  • Elastic Load Balancing
  • AWS IAM

Networking: ROSA に次のオプションの AWS サービス統合を提供します。

  • AWS VPN
  • AWS Direct Connect
  • AWS PrivateLink
  • AWS Transit Gateway
  • IAM プリンシパルまたは STS 一時セキュリティー認証情報に関連付けられたアクセスキー ID とシークレットアクセスキーを使用して、リクエストに署名します。
  • クラスターの作成時に使用するクラスターの VPC サブネットを指定します。
  • 必要に応じて、ROSA クラスターで使用するために顧客管理の VPC を設定します。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • AWS データセンターの管理コントロールの詳細は、AWS クラウドセキュリティーページの Our Controls を参照してください。
  • 変更管理のベストプラクティスは、AWS ソリューションライブラリーの AWS での変更管理のガイダンス を参照してください。
  • AWS Cloud でホストされている顧客のアプリケーションとデータに対して変更管理のベストプラクティスを実装します。

3.2.2.3. アクセスとアイデンティティーの承認

アクセスとアイデンティティーの認可表には、クラスター、アプリケーション、およびインフラストラクチャーリソースへの承認済みアクセスを管理する責任が含まれます。これには、アクセス制御メカニズム、認証、および認可を提供し、リソースへのアクセスを管理するタスクが含まれます。

リソースサービスの責任お客様の責任

ロギング

Red Hat

  • プラットフォーム監査ログについて、業界標準に基づく段階的な内部アクセスプロセスを順守します。
  • ネイティブな OpenShift RBAC 機能を提供します。
  • プロジェクトへのアクセス、およびプロジェクトのアプリケーションログへのアクセスを制御するように OpenShift RBAC を設定します。
  • サードパーティーまたはカスタムのアプリケーションロギングソリューションは、お客様がアクセス管理を行います。

アプリケーションのネットワーク

Red Hat

  • ネイティブ OpenShift RBAC および dedicated-admin 機能を提供します。
  • OpenShift dedicated-admin および RBAC を、必要に応じてルート設定へのアクセスを制御するように設定します。
  • Red Hat が OpenShift Cluster Manager へのアクセス権限を付与する組織管理者を管理します。クラスターマネージャーは、ルーターのオプションを設定し、サービ出力ドバランサーのクォータを提供するために使用されます。

クラスターネットワーク

Red Hat

  • OpenShift Cluster Manager を使用してお客様のアクセス制御を提供します。
  • ネイティブ OpenShift RBAC および dedicated-admin 機能を提供します。
  • Red Hat アカウントの Red Hat 組織のメンバーシップを管理します。
  • Red Hat が OpenShift Cluster Manager へのアクセス権限を付与する組織管理者を管理します。
  • OpenShift dedicated-admin および RBAC を、必要に応じてルート設定へのアクセスを制御するように設定します。

仮想ネットワーク管理

Red Hat

  • OpenShift Cluster Manager を使用してお客様のアクセス制御を提供します。
  • OpenShift Cluster Manager を介して、AWS コンポーネントへのオプションのユーザーアクセスを管理します。

仮想ストレージ管理

Red Hat

  • OpenShift Cluster Manager を使用してお客様のアクセス制御を提供します。
  • OpenShift Cluster Manager を介して、AWS コンポーネントへのオプションのユーザーアクセスを管理します。
  • ROSA サービスへのアクセスを有効にするために必要な AWS IAM ロールとアタッチされたポリシーを作成します。

仮想コンピューティング管理

Red Hat

  • OpenShift Cluster Manager を使用してお客様のアクセス制御を提供します。
  • OpenShift Cluster Manager を介して、AWS コンポーネントへのオプションのユーザーアクセスを管理します。
  • ROSA サービスへのアクセスを有効にするために必要な AWS IAM ロールとアタッチされたポリシーを作成します。

AWS ソフトウェア (パブリック AWS サービス)

AWS

Compute: ROSA コントロールプレーン、インフラストラクチャー、ワーカーノードに使用される Amazon EC2 サービスを提供します。

Storage: ROSA がクラスターにローカルノードストレージと永続ボリュームストレージをプロビジョニングできるようにするために使用される Amazon EBS を提供します。

Storage: サービスの組み込みイメージレジストリーに使用される Amazon S3 を提供します。

Networking: 顧客アカウントで実行されている ROSA リソースへのアクセスを制御するために顧客が使用する AWS Identity and Access Management (IAM) を提供します。

  • ROSA サービスへのアクセスを有効にするために必要な AWS IAM ロールとアタッチされたポリシーを作成します。
  • IAM ツールを使用して、顧客アカウントの AWS リソースに適切なアクセス許可を適用します。
  • AWS 組織全体で ROSA を有効にするには、お客様が AWS Organizations 管理者を管理する責任があります。
  • AWS 組織全体で ROSA を有効にするには、お客様が AWS License Manager を使用して ROSA エンタイトルメント付与を配布する責任があります。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • AWS データセンターの物理的なアクセス制御に関する詳細は、AWS クラウドセキュリティーページの Our Controls を参照してください。
  • お客様は AWS グローバルインフラストラクチャーに対して責任を負いません。

3.2.2.4. セキュリティーおよび規制コンプライアンス

次の表は、セキュリティーと規制遵守に関する責任の概要を示しています。

リソースサービスの責任お客様の責任

ロギング

Red Hat

  • セキュリティーイベントについて分析するために、クラスターの監査ログを Red Hat SIEM に送信します。フォレンジック分析をサポートするために、定義された期間の監査ログを保持します。
  • セキュリティーイベントのアプリケーションログを分析します。
  • デフォルトのロギングスタックで指定されるよりも長い保持期間が必要な場合に、ロギングサイドカーコンテナーまたはサードパーティーのロギングアプリケーション経由でアプリケーションログを外部エンドポイントに送信します。

仮想ネットワーク管理

Red Hat

  • 潜在的な問題やセキュリティーの脅威について、仮想ネットワークのコンポーネントを監視します。
  • 追加の監視と保護には、パブリック AWS ツールを使用します。
  • 潜在的な問題やセキュリティーの脅威について、オプションで設定される仮想ネットワークのコンポーネントを監視します。
  • 必要に応じて、必要なファイアウォールルールまたはデータセンターの保護を設定します。

仮想ストレージ管理

Red Hat

  • 潜在的な問題やセキュリティー上の脅威がないか、仮想ストレージコンポーネントを監視します。
  • 追加の監視と保護には、パブリック AWS ツールを使用します。
  • Amazon EBS が提供する AWS 管理の Key Management Service (KMS) キーを使用して、デフォルトでコントロールプレーン、インフラストラクチャー、およびワーカーノードのボリュームデータを暗号化するように ROSA サービスを設定します。
  • Amazon EBS が提供する AWS 管理の KMS キーを使用して、デフォルトのストレージクラスを使用する顧客の永続ボリュームを暗号化するように ROSA サービスを設定します。
  • 顧客管理の AWS KMS キーを使用して永続ボリュームを暗号化できる機能を顧客が提供します。
  • Amazon S3 管理キー (SSE-3) によるサーバー側の暗号化を使用して、定時時のイメージレジストリーデータを暗号化するようにコンテナーイメージレジストリーを設定します。
  • 顧客がパブリックまたはプライベートの Amazon S3 イメージレジストリーを作成して、コンテナーイメージを不正なユーザーアクセスから保護できる機能を提供します。
  • Amazon EBS ボリュームをプロビジョニングします。
  • Amazon EBS ボリュームストレージを管理して、ROSA にボリュームとしてマウントできる十分なストレージを確保します。
  • Persistent Volume Claim を作成し、OpenShift Cluster Manager を通じて永続ボリュームを生成します。

仮想コンピューティング管理

Red Hat

  • 仮想コンピューティングコンポーネントを監視して、潜在的な問題やセキュリティー上の脅威がないか確認します。
  • 追加の監視と保護には、パブリック AWS ツールを使用します。
  • 潜在的な問題やセキュリティーの脅威について、オプションで設定される仮想ネットワークのコンポーネントを監視します。
  • 必要に応じて、必要なファイアウォールルールまたはデータセンターの保護を設定します。

AWS ソフトウェア (パブリック AWS サービス)

AWS

Compute: ROSA コントロールプレーン、インフラストラクチャー、ワーカーノードに使用される安全な Amazon EC2。詳細は、Amazon EC2 ユーザーガイドの Amazon EC2 のインフラストラクチャーセキュリティー を参照してください。

ストレージ: ROSA コントロールプレーン、インフラストラクチャー、およびワーカーノードボリューム、および Kubernetes 永続ボリュームに使用されるセキュアな Amazon EBS。詳細は、Amazon EC2 ユーザーガイドの Amazon EC2 でのデータ保護 を参照してください。

Storage: ROSA がコントロールプレーン、インフラストラクチャー、ワーカーノードのボリューム、および永続ボリュームを暗号化するために使用する AWS KMS を提供します。詳細は、Amazon EC2 ユーザーガイドの Amazon EBS 暗号化 を参照してください。

Storage: セキュアな Amazon S3。ROSA サービスの組み込みコンテナーイメージレジストリーに使用されます。詳細は、S3 ユーザーガイドの Amazon S3 セキュリティー を参照してください。

Networking: Amazon VPC に組み込まれたネットワークファイアウォール、プライベートまたは専用ネットワーク接続、AWS の安全な施設間の AWS グローバルおよび地域ネットワーク上のすべてのトラフィックの自動暗号化など、プライバシーを強化し、AWS グローバルインフラストラクチャー上のネットワークアクセスを制御するためのセキュリティー機能とサービスを提供します。詳細は、AWS セキュリティーの概要ホワイトペーパーの AWS Shared Responsibility ModelInfrastructure security を参照してください。

  • Amazon EC2 インスタンス上のデータを保護するために、セキュリティーのベストプラクティスと最小権限の原則に従っていることを確認します。詳細は、Infrastructure security in Amazon EC2 および Data protection in Amazon EC2 を参照してください。
  • 潜在的な問題やセキュリティーの脅威について、オプションで設定される仮想ネットワークのコンポーネントを監視します。
  • 必要に応じて、必要なファイアウォールルールまたはデータセンターの保護を設定します。
  • オプションの顧客管理の KMS キーを作成し、KMS キーを使用して Amazon EBS 永続ボリュームを暗号化します。
  • 仮想ストレージ内の顧客データを監視して、潜在的な問題やセキュリティー上の脅威がないか確認します。詳細は、shared responsibility model を参照してください。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • ROSA がサービス機能を提供するために使用する AWS グローバルインフラストラクチャーを提供します。AWS のセキュリティー管理の詳細は、AWS ホワイトペーパーの AWS インフラストラクチャーのセキュリティー を参照してください。
  • 顧客がコンプライアンスのニーズを管理し、AWS Artifact や AWS Security Hub などのツールを使用して AWS のセキュリティー状態を確認するためのドキュメントを提供します。詳細は、ROSA ユーザーガイドの ROSA のコンプライアンス検証 を参照してください。
  • 顧客のアプリケーションとデータを設定、管理、監視して、アプリケーションとデータのセキュリティー制御が適切に実施されていることを確認します。
  • IAM ツールを使用して、顧客アカウントの AWS リソースに適切なアクセス許可を適用します。

3.2.2.5. 障害復旧

障害復旧には、データおよび設定のバックアップ、障害復旧環境へのデータおよび設定の複製、および障害イベント発生時のフェイルオーバーが含まれます。

リソースサービスの責任お客様の責任

仮想ネットワーク管理

Red Hat

  • プラットフォームが機能するために必要な、影響を受けた仮想ネットワークコンポーネントを復元するか、再作成します。
  • パブリッククラウドプロバイダーが推奨されるように、障害に対する保護のために、可能な場合は複数のトンネルで仮想ネットワーク接続を設定します。
  • 複数のクラスターでグローバルロードバランサーを使用する場合は、フェイルオーバー DNS および負荷分散を維持します。

仮想ストレージ管理

Red Hat

  • IAM ユーザー認証情報を使用して作成された ROSA クラスターの場合は、時間ごと、日ごと、週ごとのボリュームスナップショットを通じて、クラスター上のすべての Kubernetes オブジェクトをバックアップします。
  • IAM ユーザー認証情報を使用して作成された ROSA クラスターの場合は、毎日および毎週のボリュームスナップショットを通じてクラスター上の永続ボリュームをバックアップします。
  • 顧客のアプリケーションとアプリケーションデータのバックアップを作成します。

仮想コンピューティング管理

Red Hat

  • クラスターを監視し、障害が発生した Amazon EC2 コントロールプレーンまたはインフラストラクチャーノードを交換します。
  • 障害が発生したワーカーノードを手動または自動で交換できる機能を顧客に提供します。
  • OpenShift Cluster Manager または ROSA CLI を通じてマシンプール設定を編集して、障害が発生した Amazon EC2 ワーカーノードを置き換えます。

AWS ソフトウェア (パブリック AWS サービス)

AWS

Compute: Amazon EBS スナップショットや Amazon EC2 Auto Scaling などのデータ復元力をサポートする Amazon EC2 機能を提供します。詳細は、EC2 ユーザーガイドの Amazon EC2 の復元力 を参照してください。

Storage: ROSA サービスと顧客が、Amazon EBS ボリュームのスナップショットを通じてクラスター上の Amazon EBS ボリュームをバックアップできる機能を提供します。

Storage: データの復元力をサポートする Amazon S3 の機能は、Resilience in Amazon S3 を参照してください。

Networking: データ復元力をサポートする Amazon VPC 機能の詳細は、Amazon VPC ユーザーガイドの Resilience in Amazon Virtual Private Cloud を参照してください。

  • ROSA マルチ AZ クラスターを設定して、フォールトトレランスとクラスターの可用性を向上させます。
  • Amazon EBS CSI ドライバーを使用して永続ボリュームをプロビジョニングし、ボリュームスナップショットを有効にします。
  • AWS EBS 永続ボリュームの CSI ボリュームスナップショットを作成します。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • ROSA がアベイラビリティーゾーン全体でコントロールプレーン、インフラストラクチャー、ワーカーノードを拡張できるようにする AWS グローバルインフラストラクチャーを提供します。この機能により、ROSA は中断することなくゾーン間の自動フェイルオーバーを調整できるようになります。
  • 災害復旧のベストプラクティスの詳細は、AWS Well-Architected フレームワークの Disaster recovery options in the cloud を参照してください。
  • ROSA マルチ AZ クラスターを設定して、フォールトトレランスとクラスターの可用性を向上させます。

関連情報

3.2.3. データおよびアプリケーションに関するお客様の責任

お客様は、Red Hat OpenShift Service on AWS にデプロイするアプリケーション、ワークロード、およびデータに責任を負います。ただし、Red Hat と AWS は、お客様がプラットフォーム上のデータとアプリケーションを管理できるようにするさまざまなツールを提供しています。

リソースRed Hat と AWSお客様の責任

お客様データ

Red Hat

  • 業界のセキュリティーおよびコンプライアンス標準で定義されているデータ暗号化のプラットフォームレベルの標準を維持します。
  • シークレットなどのアプリケーションデータの管理に役立つ OpenShift コンポーネントを提供します。
  • Amazon RDS などのデータサービスとの統合を有効にして、クラスターや AWS の外部にデータを保存および管理します。

AWS

  • Amazon RDS を提供すると、顧客はクラスターや AWS の外部でデータを保存および管理できるようになります。
  • プラットフォームに保存されるすべてのお客様データと、お客様のアプリケーションがこのデータを使用し、公開する方法に関する責任を持ちます。

お客様のアプリケーション

Red Hat

  • お客様が OpenShift および Kubernetes API にアクセスし、コンテナー化されたアプリケーションをデプロイし、管理できるように、OpenShift コンポーネントと共にクラスターをプロビジョニングします。
  • イメージプルシークレットでクラスターを作成し、お客様のデプロイメントで Red Hat Container Catalog レジストリーからイメージをプルできるようにします。
  • お客様が Operator を設定してコミュニティー、サードパーティー、および Red Hat サービスをクラスターに追加するために使用できる OpenShift API へのアクセスを提供します。
  • ストレージクラスとプラグインを提供し、お客様のアプリケーションで使用できるように永続ボリュームをサポートします。
  • お客様がクラスター上にアプリケーションコンテナーイメージを安全に保存し、アプリケーションをデプロイおよび管理できるようにコンテナーイメージレジストリーを提供します。

AWS

  • 顧客のアプリケーションで使用する永続ボリュームをサポートする Amazon EBS を提供します。
  • コンテナーイメージレジストリーの Red Hat プロビジョニングをサポートするために Amazon S3 を提供します。
  • お客様およびサードパーティーのアプリケーション、データ、およびそれらの完全なライフサイクルに関する責任を持ちます。
  • Operator または外部イメージを使用して Red Hat、コミュニティー、サードパーティー、独自のサービス、またはその他のサービスをクラスターに追加する際、お客様はこれらのサービスについて、単独、および Red Hat を含む適切なプロバイダーと連携して問題をトラブルシューティングする責任を負います。
  • 提供されるツールおよび機能を使用して設定およびデプロイを行い、最新の状態を保ち、リソースの要求および制限を設定し、アプリケーションを実行するのに十分なリソースを持つようにクラスターのサイズを設定し、パーミッションを設定し、他のサービスと統合し、お客様がデプロイするイメージストリームまたはテンプレートを管理し、外部に提供し、保存し、バックアップし、データを復元し、さらに可用性と回復性が高いワークロードを管理します。
  • Red Hat OpenShift Service on AWS で実行するアプリケーションを監視する責任を持ちます。これには、メトリックの収集、アラートの作成、アプリケーション内のシークレットの保護のためのソフトウェアのインストールと操作が含まれます。