2.2. 责任分配列表

了解 OpenShift Dedicated 托管服务的红帽、云供应商和客户职责。

2.2.1. OpenShift Dedicated 职责概述

虽然红帽会管理 OpenShift Dedicated 服务,但在某些方面客户需要共享责任。OpenShift Dedicated 服务被远程访问,托管在公有云资源上,由红帽或客户拥有的云服务供应商帐户中创建,并具有由红帽拥有的底层平台和数据安全。

重要

如果集群中启用了 cluster-admin 角色,请参阅 Red Hat Enterprise Agreement 附录 4 (在线订阅服务) 中的职责和排除备注。

资源事件和操作管理变更管理身份和访问管理安全和合规性灾难恢复

客户数据

客户

客户

客户

客户

客户

客户应用程序

客户

客户

客户

客户

客户

开发人员服务

客户

客户

客户

客户

客户

平台监控

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

日志记录

Red Hat

共享

共享

共享

Red Hat

应用程序网络

共享

共享

共享

Red Hat

Red Hat

集群网络

Red Hat

共享

共享

Red Hat

Red Hat

虚拟网络

共享

共享

共享

共享

共享

control plane 和基础架构节点

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

Worker 节点

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

集群版本

Red Hat

共享

Red Hat

Red Hat

Red Hat

容量管理

Red Hat

共享

Red Hat

Red Hat

Red Hat

虚拟存储

红帽和云供应商

红帽和云供应商

红帽和云供应商

红帽和云供应商

红帽和云供应商

物理基础结构和安全

云供应商

云供应商

云供应商

云供应商

云供应商

2.2.2. 共享责任列表

客户和红帽共享负责 OpenShift Dedicated 集群的监控和维护。本文档演示了按区域和任务划分职责。

2.2.2.1. 事件和操作管理

客户负责客户应用程序数据的事件和操作管理,以及客户可能为集群网络或虚拟网络配置的任何自定义网络。

资源红帽职责客户职责

应用程序网络

监控云负载平衡器和原生 OpenShift 路由器服务,并响应警报。

  • 监控服务负载均衡器端点的健康状况
  • 监控应用程序路由的健康状况,以及其后面的端点。
  • 向红帽报告出现的问题。

虚拟网络

监控默认平台网络所需的云负载均衡器、子网和公有云组件,并响应警报。

监控(可选)通过 VPC 配置为 VPC 连接、VPN 连接或直接连接,以了解潜在问题或安全威胁的网络流量。

2.2.2.2. 变更管理

红帽负责启用客户控制的集群基础架构和服务,以及维护控制平面节点、基础架构节点和服务以及 worker 节点的版本。客户负责启动基础架构更改请求,并在集群中安装和维护可选服务和网络配置,以及客户数据和客户应用程序的所有更改。

资源红帽职责客户职责

日志记录

  • 集中聚合和监控平台审计日志。
  • 提供和维护日志记录操作器,以便客户能够为默认应用程序日志部署日志堆栈。
  • 根据客户请求提供审计日志。
  • 在集群上安装可选的默认应用程序日志记录 Operator。
  • 安装、配置和维护任何可选的应用程序日志记录解决方案,如日志记录 sidecar 容器或第三方日志记录应用程序。
  • 如果客户应用程序正在影响日志记录堆栈或集群的稳定性,调整应用程序日志的大小和频率。
  • 通过支持问题单中研究特定事件请求平台审计日志。

应用程序网络

  • 设置公有云负载均衡器。提供在需要时设置私有负载均衡器以及一个额外的负载均衡器的功能。
  • 设置原生 OpenShift 路由器服务。提供将路由器设置为私有的功能,并添加到额外的路由器分片。
  • 安装、配置和维护 OpenShift SDN 组件,以实现默认内部 pod 流量。
  • 提供客户管理 NetworkPolicyEgressNetworkPolicy (防火墙)对象的功能。
  • 使用 NetworkPolicy 对象为项目和 pod 网络、pod 入口和 pod 出口配置非默认 pod 网络权限。
  • 使用 Red Hat OpenShift Cluster Manager 为默认应用程序路由请求私有负载均衡器。
  • 使用 OpenShift Cluster Manager 将最多配置额外的公共或私有路由器分片和对应的负载均衡器。
  • 针对特定服务请求并配置任何其他服务负载均衡器。
  • 配置任何必要的 DNS 转发规则。

集群网络

  • 设置集群管理组件,如公共或私有服务端点,以及与虚拟网络组件集成的必要。
  • 设置 worker、基础架构和 control plane 节点之间内部集群通信所需的内部网络组件。
  • 在置备集群时通过 OpenShift Cluster Manager 为机器 CIDR、服务 CIDR 和 pod CIDR 提供可选非默认 IP 地址范围。
  • 请求在创建集群时或通过 OpenShift Cluster Manager 创建集群或之后的 API 服务端点公开或私有。

虚拟网络

  • 设置并配置置备集群所需的虚拟网络组件,包括虚拟私有云、子网、负载均衡器、互联网网关、NAT 网关等。
  • 为客户提供与内部资源、VPC 到 VPC 连接以及 OpenShift Cluster Manager 所需的直接连接管理 VPN 连接的功能。
  • 使客户能够创建和部署公有云负载均衡器以用于服务负载均衡器。
  • 设置和维护可选公有云网络组件,如 VPC 到 VPC 连接、VPN 连接或直接连接。
  • 针对特定服务请求并配置任何其他服务负载均衡器。

集群版本

  • 启用升级调度过程。
  • 监控升级进度并更正遇到的问题。
  • 为次版本和维护升级发布更改日志和发行注记。
  • 可立即计划维护版本升级、未来升级或进行自动升级。
  • 确认并计划次要版本升级。
  • 确保集群版本保持在受支持的次版本中。
  • 在次版本和维护版本中测试客户应用程序以确保兼容性。

容量管理

  • 监控 control plane 的利用率 (control plane 节点和基础架构节点)。
  • 扩展或重新定义 control plane 节点的大小,以维护服务质量。
  • 监控客户资源的利用率,包括网络、存储和计算容量。如果无法启用自动扩展功能,客户就需要集群资源(例如,扩展新的计算节点、额外存储等)更改。
  • 根据需要,使用提供的 OpenShift Cluster Manager 控制添加或删除额外的 worker 节点。
  • 根据集群资源要求,响应红帽通知。

2.2.2.3. 访问和身份授权

访问和身份授权列表包括管理对集群、应用程序和基础架构资源的授权访问权限的职责。这包括提供访问控制机制、身份验证、授权和管理对资源的访问等任务。

资源红帽职责客户职责

日志记录

  • 遵循行业标准内平台审计日志的内部访问过程。
  • 提供原生 OpenShift RBAC 功能。
  • 配置 OpenShift RBAC 以控制对项目的访问,并扩展项目的应用程序日志。
  • 对于第三方或自定义应用程序日志记录解决方案,客户负责访问管理。

应用程序网络

提供原生 OpenShift RBAC 和 dedicated-admin 功能。

  • 配置 OpenShift dedicated-admins 和 RBAC,以控制对路由配置的访问。
  • 管理红帽机构的机构管理员,以授予 OpenShift Cluster Manager 的访问权限。OpenShift Cluster Manager 用于配置路由器选项并提供服务负载均衡器配额。

集群网络

  • 通过 OpenShift Cluster Manager 提供客户访问控制。
  • 提供原生 OpenShift RBAC 和 dedicated-admin 功能。
  • 管理红帽帐户的机构成员资格。
  • 管理红帽机构的机构管理员,以授予 OpenShift Cluster Manager 的访问权限。
  • 配置 OpenShift dedicated-admins 和 RBAC,以控制对路由配置的访问。

虚拟网络

通过 OpenShift Cluster Manager 提供客户访问控制。

通过 OpenShift Cluster Manager 管理对公有云组件的可选用户访问。

2.2.2.4. 安全和合规性

以下是与合规相关的职责和控制相关:

资源红帽职责客户职责

日志记录

将集群审计日志发送到红帽 SIEM,以分析安全事件。为定义的时间段内保留审计日志,以便支持诊断分析。

分析安全事件的应用程序日志。如果默认日志记录堆栈提供的时间较长,则通过日志记录 sidecar 容器或第三方日志记录应用程序将应用程序日志发送到外部端点。

虚拟网络

  • 监控虚拟网络组件以了解潜在的问题和安全隐患。
  • 利用其他公有云提供商工具进行额外的监控和保护。
  • 监控可选配置的虚拟网络组件,以了解潜在的问题和安全威胁。
  • 根据需要配置任何必要的防火墙规则或数据中心保护。

2.2.2.5. 灾难恢复

灾难恢复包括数据和配置备份、将数据和配置复制到灾难恢复环境中,并在灾难恢复环境中进行故障转移。

资源红帽职责客户职责

虚拟网络

恢复或重新创建平台正常工作所需的受影响的虚拟网络组件。

  • 使用多个隧道配置虚拟网络连接,以防防公有云提供商建议中断。
  • 如果使用多个集群的全局负载均衡器,请维护故障切换 DNS 和负载平衡。

2.2.3. 客户对数据和应用程序的职责

客户负责他们部署到 OpenShift Dedicated 中的应用程序、工作负载和数据。但是,红帽提供各种工具来帮助客户管理平台上的数据和应用程序。

资源红帽职责客户职责

客户数据

  • 维护平台级数据加密标准。
  • 提供 OpenShift 组件以帮助管理应用数据,如机密。
  • 启用与第三方数据库服务(如 AWS RDS 或 Google Cloud SQL)集成,以存储和管理集群和/或云供应商之外的数据。

维护存储在平台上的所有客户数据的职责,以及客户应用程序如何使用和公开此数据。

客户应用程序

  • 调配安装了 OpenShift 组件的集群,以便客户可以访问 OpenShift 和 Kubernetes API 来部署和管理容器化应用。
  • 使用镜像 pull secret 创建集群,以便客户部署可从 Red Hat Container Catalog registry 中拉取镜像。
  • 提供对 OpenShift API 的访问,供客户用来设置 Operator 以将社区、第三方和红帽服务添加到集群中。
  • 提供存储类和插件以支持用于客户应用程序的持久性卷。
  • 提供容器镜像 registry,以便客户可以在集群上安全地存储应用程序容器镜像,以部署和管理应用程序。
  • 为客户和第三方应用程序、数据及其完整生命周期维护责任。
  • 如果客户使用 Operator 或外部镜像在集群中添加红帽、社区、第三方或其他服务,则客户负责这些服务并处理适当的提供程序(包括红帽)来排查任何问题。
  • 使用提供的工具和功能来配置和部署;保持最新;设置资源请求和限值;设置集群以有足够的资源来运行应用程序;设置权限;与其他服务集成;管理客户部署的任何镜像流或模板;保存、备份和恢复数据;或者,管理其高可用性和弹性工作负载。
  • 维护监控 OpenShift Dedicated 上运行的应用程序的职责;包括安装和操作软件来收集指标并创建警报。