3.2. 책임 할당 매트릭스

이 문서에서는 ROSA(Red Hat OpenShift Service on AWS) 관리 서비스에 대한 Red Hat, 클라우드 공급자 및 고객 업무를 간략하게 설명합니다.

3.2.1. AWS의 Red Hat OpenShift Service 책임 개요

Red Hat과 Amazon Web Services(AWS)는 AWS 서비스에서 Red Hat OpenShift Service를 관리하는 반면 고객은 특정 책임을 공유합니다. AWS 서비스상의 Red Hat OpenShift Service는 원격으로 액세스되며 퍼블릭 클라우드 리소스에서 호스팅되고, 고객 소유의 AWS 계정에서 생성되며, Red Hat이 소유한 기본 플랫폼 및 데이터 보안을 보유하고 있습니다.

중요

cluster-admin 역할이 사용자에게 추가되면 Red Hat Enterprise Agreement 부록 4 (Online Subscription Services) 의 책임 및 제외 노트를 참조하십시오.

리소스사고 및 운영 관리변경 관리액세스 및 ID 권한 부여보안 및 규정 준수재해 복구

고객 데이터

고객

고객

고객

고객

고객

고객 애플리케이션

고객

고객

고객

고객

고객

개발자 서비스

고객

고객

고객

고객

고객

플랫폼 모니터링

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

로깅

Red Hat

Red Hat 및 고객

Red Hat 및 고객

Red Hat 및 고객

Red Hat

애플리케이션 네트워킹

Red Hat 및 고객

Red Hat 및 고객

Red Hat 및 고객

Red Hat

Red Hat

클러스터 네트워킹

Red Hat

Red Hat 및 고객

Red Hat 및 고객

Red Hat

Red Hat

가상 네트워킹

Red Hat 및 고객

Red Hat 및 고객

Red Hat 및 고객

Red Hat 및 고객

Red Hat 및 고객

컨트롤 플레인 및 인프라 노드

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

작업자 노드

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

클러스터 버전

Red Hat

Red Hat 및 고객

Red Hat

Red Hat

Red Hat

용량 관리

Red Hat

Red Hat 및 고객

Red Hat

Red Hat

Red Hat

가상 스토리지

Red Hat과 AWS

Red Hat과 AWS

Red Hat과 AWS

Red Hat과 AWS

Red Hat과 AWS

물리적 인프라 및 보안

AWS

AWS

AWS

AWS

AWS

3.2.2. 공유 책임 매트릭스

고객, Red Hat 및 AWS(Amazon Web Services)는 AWS 클러스터에서 Red Hat OpenShift Service의 모니터링 및 유지 관리에 대한 책임이 있습니다. 이 문서는 영역과 작업 단위를 설명합니다.

3.2.2.1. 사고 및 운영 관리

고객은 고객 애플리케이션 데이터의 사고 및 운영 관리를 담당하며 고객이 클러스터 네트워크 또는 가상 네트워크에 대해 구성한 사용자 지정 네트워킹을 담당합니다.

리소스Red Hat과 AWS의 책임고객 책임

애플리케이션 네트워킹

클라우드 로드 밸런서 및 기본 OpenShift 라우터 서비스를 모니터링하고 경고에 응답합니다.

  • 서비스 로드 밸런서 끝점의 상태를 모니터링합니다.
  • 애플리케이션 경로 및 그 뒤에 있는 엔드 포인트의 상태를 모니터링합니다.
  • Red Hat에 시스템 중단 보고.

가상 네트워킹

기본 플랫폼 네트워킹에 필요한 클라우드 로드 밸런서, 서브넷 및 퍼블릭 클라우드 구성 요소를 모니터링하고 경고에 응답합니다.

잠재적인 문제 또는 보안 위협에 대한 VPC에서 VPC 연결, VPN 연결 또는 직접 연결을 통해 선택적으로 구성된 네트워크 트래픽을 모니터링합니다.

3.2.2.2. 변경 관리

Red Hat은 고객이 제어할 클러스터 인프라 및 서비스를 변경하고 컨트롤 플레인 노드, 인프라 노드 및 서비스, 작업자 노드의 버전을 유지 관리하는 역할을 담당합니다. 고객은 인프라 변경 요청을 시작하고 클러스터에서 선택적 서비스 및 네트워킹 구성을 설치 및 유지 관리하고 고객 데이터 및 고객 애플리케이션에 대한 모든 변경을 담당합니다.

리소스Red Hat 책임고객 책임

로깅

  • 플랫폼 감사 로그를 중앙에서 집계하고 모니터링합니다.
  • 고객이 기본 애플리케이션 로깅을 위해 로깅 스택을 배포할 수 있도록 로깅 Operator를 제공하고 유지 관리합니다.
  • 고객 요청에 따라 감사 로그를 제공합니다.
  • 클러스터에 선택적 기본 애플리케이션 로깅 Operator를 설치합니다.
  • 사이드카 컨테이너 또는 타사 로깅 애플리케이션과 같은 선택적 앱 로깅 솔루션을 설치, 구성 및 유지 관리합니다.
  • 로깅 스택 또는 클러스터의 안정성에 영향을 미치는 경우 고객 애플리케이션에서 생성되는 애플리케이션 로그의 크기와 빈도를 조정합니다.
  • 특정 문제 조사를 위해 지원 케이스를 통해 플랫폼 감사 로그를 요청합니다.

애플리케이션 네트워킹

  • 퍼블릭 클라우드 로드 밸런서를 설정합니다. 필요한 경우 프라이빗 로드 밸런서와 최대 1개의 추가 로드 밸런서를 설정하는 기능을 제공합니다.
  • 기본 OpenShift 라우터 서비스를 설정합니다. 라우터를 프라이빗으로 설정하고 하나의 추가 라우터 shard를 추가하는 기능을 제공합니다.
  • 기본 내부 pod 트래픽에 대한 OpenShift SDN 구성 요소를 설치, 구성 및 유지 관리합니다.
  • 고객이 NetworkPolicyEgressNetworkPolicy (firewall) 오브젝트를 관리할 수 있는 기능을 제공합니다.
  • NetworkPolicy 오브젝트를 사용하여 프로젝트 및 Pod 네트워크, Pod 수신 및 Pod 송신에 대한 기본 Pod 네트워크 권한을 구성합니다.
  • OpenShift Cluster Manager를 사용하여 기본 애플리케이션 경로에 대한 프라이빗 로드 밸런서를 요청합니다.
  • OpenShift Cluster Manager를 사용하여 최대 하나의 추가 퍼블릭 또는 프라이빗 라우터 shard 및 해당 로드 밸런서를 구성합니다.
  • 특정 서비스에 대한 추가 서비스 로드 밸런서를 요청하고 구성합니다.
  • 필요한 모든 DNS 전달 규칙을 구성합니다.

클러스터 네트워킹

  • 퍼블릭 또는 프라이빗 서비스 엔드포인트와 같은 클러스터 관리 구성 요소와 가상 네트워킹 구성 요소와의 통합이 필요합니다.
  • 작업자, 인프라 및 컨트롤 플레인 노드 간의 내부 클러스터 통신에 필요한 내부 네트워킹 구성 요소를 설정합니다.
  • 클러스터를 프로비저닝할 때 OpenShift Cluster Manager를 통해 필요한 경우 시스템 CIDR, 서비스 CIDR 및 Pod CIDR에 대한 기본이 아닌 IP 주소 범위 옵션을 제공합니다.
  • 클러스터 생성 시 또는 OpenShift Cluster Manager를 통해 클러스터 생성 후 API 서비스 엔드포인트를 공개 또는 비공개로 요청합니다.

가상 네트워킹

  • 가상 프라이빗 클라우드, 서브넷, 로드 밸런서, 인터넷 게이트웨이, NAT 게이트웨이를 포함하여 클러스터를 프로비저닝하는 데 필요한 가상 네트워킹 구성 요소를 설정하고 구성합니다.
  • 고객이 온프레미스 리소스와 VPC 연결, OpenShift Cluster Manager를 통해 필요에 따라 직접 연결을 관리할 수 있는 기능을 제공합니다.
  • 고객이 서비스 로드 밸런서와 함께 사용할 퍼블릭 클라우드 로드 밸런서를 생성하고 배포할 수 있습니다.
  • VPC에서 VPC 연결, VPN 연결 또는 직접 연결과 같은 선택적 퍼블릭 클라우드 네트워킹 구성 요소를 설정하고 유지 관리합니다.
  • 특정 서비스에 대한 추가 서비스 로드 밸런서를 요청하고 구성합니다.

클러스터 버전

  • 업그레이드 스케줄링 프로세스를 활성화합니다.
  • 업그레이드 진행 상황을 모니터링하고 발생한 모든 문제를 해결합니다.
  • 마이너 및 유지 관리 업그레이드를 위해 변경 로그 및 릴리스 정보를 게시합니다.
  • 유지 관리 버전 업그레이드를 즉시 예약하거나 향후 자동 업그레이드가 가능합니다.
  • 마이너 버전 업그레이드를 승인하고 예약합니다.
  • 클러스터 버전이 지원되는 마이너 버전을 사용하고 있는지 확인합니다.
  • 마이너 및 유지 관리 버전에서 고객 애플리케이션을 테스트하여 호환성을 보장합니다.

용량 관리

  • 컨트롤 플레인 사용을 모니터링합니다. 컨트롤 플레인에는 컨트롤 플레인 노드와 인프라 노드가 포함됩니다.
  • 컨트롤 플레인 노드의 확장 및 크기를 조정하여 서비스 품질을 유지합니다.
  • 작업자 노드 사용률을 모니터링하고 적절한 경우 자동 확장 기능을 활성화합니다.
  • 클러스터의 스케일링 전략을 결정합니다. 머신 풀에 대한 자세한 내용은 추가 리소스를 참조하십시오.
  • 제공된 OpenShift Cluster Manager 제어를 사용하여 필요에 따라 추가 작업자 노드를 추가하거나 제거합니다.
  • 클러스터 리소스 요구 사항에 대한 Red Hat 알림에 응답합니다.

3.2.2.3. 액세스 및 ID 권한 부여

액세스 및 ID 권한 부여 매트릭스에는 클러스터, 애플리케이션 및 인프라 리소스에 대한 권한 있는 액세스를 관리하는 책임이 포함됩니다. 여기에는 액세스 제어 메커니즘, 인증, 권한 부여 및 리소스에 대한 액세스 관리와 같은 작업이 포함됩니다.

리소스Red Hat 책임고객 책임

로깅

  • 플랫폼 감사 로그를 위해 업계 표준 기반 계층화된 내부 액세스 프로세스를 준수합니다.
  • 기본 OpenShift RBAC 기능을 제공합니다.
  • 프로젝트에 대한 액세스 권한을 제어하고 프로젝트의 애플리케이션 로그를 확장함으로써 OpenShift RBAC를 구성합니다.
  • 타사 또는 사용자 지정 애플리케이션 로깅 솔루션의 경우 고객은 액세스 관리를 담당합니다.

애플리케이션 네트워킹

네이티브 OpenShift RBAC 및 dedicated-admin 기능을 제공합니다.

  • 필요에 따라 경로 구성에 대한 액세스를 제어하도록 OpenShift dedicated-admin 및 RBAC를 구성합니다.
  • OpenShift Cluster Manager에 대한 액세스 권한을 부여하도록 Red Hat의 조직 관리자를 관리합니다. 클러스터 관리자는 라우터 옵션을 구성하고 서비스 로드 밸런서 할당량을 제공하는 데 사용됩니다.

클러스터 네트워킹

  • OpenShift Cluster Manager를 통해 고객 액세스 제어 제공.
  • 네이티브 OpenShift RBAC 및 dedicated-admin 기능을 제공합니다.
  • Red Hat 계정의 Red Hat 조직 멤버십을 관리합니다.
  • OpenShift Cluster Manager에 대한 액세스 권한을 부여하도록 Red Hat의 조직 관리자를 관리합니다.
  • 필요에 따라 경로 구성에 대한 액세스를 제어하도록 OpenShift dedicated-admin 및 RBAC를 구성합니다.

가상 네트워킹

OpenShift Cluster Manager를 통해 고객 액세스 제어 제공.

OpenShift Cluster Manager를 통해 퍼블릭 클라우드 구성 요소에 대한 선택적 사용자 액세스를 관리합니다.

3.2.2.4. 보안 및 규정 준수

다음은 규정 준수와 관련된 책임 및 제어입니다.

리소스Red Hat 책임고객 책임

로깅

클러스터 감사 로그를 Red Hat SIEM에 전송하여 보안 이벤트를 분석합니다. 법의학 분석을 지원하기 위해 정의된 기간 동안 감사 로그를 유지합니다.

보안 이벤트에 대한 애플리케이션 로그를 분석합니다. 기본 로깅 스택에서 제공하는 것보다 오래 보존해야 하는 경우 로깅 사이드카 컨테이너 또는 타사 로깅 애플리케이션을 통해 애플리케이션 로그를 외부 엔드포인트에 보냅니다.

가상 네트워킹

  • 잠재적인 문제 및 보안 위협에 대해 가상 네트워킹 구성 요소를 모니터링합니다.
  • 추가 모니터링 및 보호를 위해 추가 퍼블릭 클라우드 공급자 툴을 활용합니다.
  • 잠재적인 문제 및 보안 위협에 대해 구성된 선택적 가상 네트워킹 구성 요소를 모니터링합니다.
  • 필요에 따라 필요한 방화벽 규칙 또는 데이터 센터 보호를 구성합니다.

3.2.2.5. 재해 복구

재해 복구에는 데이터 및 구성 백업, 재해 복구 환경에 데이터 및 구성 복제, 재해 이벤트에 대한 장애 조치(failover)가 포함됩니다.

리소스Red Hat 책임고객 책임

가상 네트워킹

플랫폼이 작동하는 데 필요한 영향을 받는 가상 네트워크 구성 요소를 복원하거나 다시 생성합니다.

  • 퍼블릭 클라우드 공급자가 권장하는 대로 중단을 방지할 수 있는 터널을 두 개 이상 사용하여 가상 네트워킹 연결을 구성합니다.
  • 여러 클러스터와 함께 글로벌 로드 밸런서를 사용하는 경우 페일오버 DNS 및 로드 밸런싱을 유지합니다.

추가 리소스

3.2.3. 데이터 및 애플리케이션에 대한 고객 책임

고객은 AWS의 Red Hat OpenShift Service에 배포하는 애플리케이션, 워크로드 및 데이터를 담당합니다. 그러나 Red Hat은 고객이 플랫폼에서 데이터 및 애플리케이션을 관리할 수 있도록 다양한 도구를 제공합니다.

리소스Red Hat 책임고객 책임

고객 데이터

  • 데이터 암호화를 위한 플랫폼 수준 표준을 유지 관리합니다.
  • 시크릿과 같은 애플리케이션 데이터를 관리하는 데 도움이 되도록 OpenShift 구성 요소를 제공합니다.
  • 타사 데이터 서비스인 AWS RDS와의 통합을 활성화하여 클러스터 및 클라우드 공급자 외부의 데이터를 저장 및 관리할 수 있습니다.

플랫폼에 저장된 모든 고객 데이터 및 고객 애플리케이션이 이러한 데이터를 소비하고 노출하는 방법에 대한 책임을 유지합니다.

고객 애플리케이션

  • 고객이 컨테이너화된 애플리케이션을 배포 및 관리하기 위해 OpenShift 및 Kubernetes API에 액세스할 수 있도록 OpenShift 구성 요소가 설치된 클러스터를 프로비저닝합니다.
  • 고객 배포가 Red Hat Container Catalog 레지스트리에서 이미지를 가져올 수 있도록 이미지 가져오기 보안이 포함된 클러스터를 생성합니다.
  • 고객이 커뮤니티, 타사 및 Red Hat 서비스를 클러스터에 추가하기 위해 Operator를 설정하는 데 사용할 수 있는 OpenShift API를 제공합니다.
  • 고객 애플리케이션과 함께 사용할 영구 볼륨을 지원하는 스토리지 클래스 및 플러그인을 제공합니다.
  • 고객이 애플리케이션을 배포 및 관리하기 위해 클러스터에 애플리케이션 컨테이너 이미지를 안전하게 저장할 수 있도록 컨테이너 이미지 레지스트리를 제공합니다.
  • 고객 및 타사 애플리케이션, 데이터 및 전체 라이프사이클에 대한 책임을 유지합니다.
  • 고객이 Operator 또는 외부 이미지를 사용하여 Red Hat, 커뮤니티, 타사, 자체 또는 기타 서비스를 클러스터에 추가하는 경우 고객은 이러한 서비스 및 Red Hat을 포함한 적절한 공급자와 협력하여 문제를 해결합니다.
  • 제공된 툴과 기능을 사용하여 구성 및 배포, 리소스 요청 및 제한 유지, 애플리케이션 실행을 위한 충분한 리소스를 확보할 클러스터 크기, 권한을 설정하고, 다른 서비스와 통합하며, 외부적으로 제공하는 이미지 스트림 또는 템플릿을 관리하고, 데이터를 저장, 백업 및 복원하며, 고가용성 및 복원 워크로드를 관리하는 것입니다.
  • 메트릭을 수집하고 경고를 생성하기 위한 설치 및 운영 소프트웨어 등 AWS의 Red Hat OpenShift Service에서 실행되는 애플리케이션 모니터링에 대한 책임을 유지합니다.