Language:
Format:

3.2. AWS 上的 Red Hat OpenShift Service 职责概述

本文档概述 Red Hat、Amazon Web Services (AWS)以及 Red Hat OpenShift Service on AWS (ROSA)托管服务的客户职责。

3.2.1. AWS 上的 Red Hat OpenShift Service 共享职责

虽然红帽和 Amazon Web Services (AWS)管理 Red Hat OpenShift Service on AWS 服务，但客户共享某些职责。AWS 服务上的 Red Hat OpenShift Service 可远程访问，托管在公有云资源上，在客户拥有的 AWS 帐户中创建，并且具有红帽拥有的底层平台和数据安全性。

重要

如果将 cluster-admin 角色添加到用户，请参阅 Red Hat Enterprise Agreement 附录 4 （在线订阅服务）中的责任和排除备注。

资源	事件和操作管理	变更管理	访问和身份授权	安全和合规性	灾难恢复
客户数据	客户	客户	客户	客户	客户
客户应用程序	客户	客户	客户	客户	客户
开发人员服务	客户	客户	客户	客户	客户
平台监控	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
日志记录	Red Hat	红帽和客户	红帽和客户	红帽和客户	Red Hat
应用程序网络	红帽和客户	红帽和客户	红帽和客户	Red Hat	Red Hat
集群网络	Red Hat	红帽和客户	红帽和客户	Red Hat	Red Hat
虚拟网络管理	红帽和客户	红帽和客户	红帽和客户	红帽和客户	红帽和客户
虚拟计算管理(control plane、基础架构和 worker 节点)	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
集群版本	Red Hat	红帽和客户	Red Hat	Red Hat	Red Hat
容量管理	Red Hat	红帽和客户	Red Hat	Red Hat	Red Hat
虚拟存储管理	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
AWS 软件（公共 AWS 服务）	AWS	AWS	AWS	AWS	AWS
硬件/AWS 全局基础架构	AWS	AWS	AWS	AWS	AWS

3.2.2. 按区域共享职责的任务

Red Hat、AWS 和客户都对 Red Hat OpenShift Service on AWS (ROSA)集群的监控、维护和总体健康状况共享责任。本文档演示了每个列出资源的职责，如下表所示。

3.2.2.1. 事件和操作管理

红帽负责查看默认平台网络所需的服务组件。AWS 负责保护运行 AWS 云中提供的所有服务的硬件基础架构。客户负责客户应用程序数据的事件和操作管理，以及客户可能为集群网络或虚拟网络配置的任何自定义网络。

资源	服务职责	客户职责
应用程序网络	Red Hat 监控原生 OpenShift 路由器服务，并响应警报。	监控应用程序路由的健康状况，以及其后面的端点。向红帽和 AWS 报告停机。
虚拟网络管理	Red Hat 监控默认平台网络所需的 AWS 负载均衡器、Amazon VPC 子网和 AWS 服务组件。响应警报。	监控 AWS 负载均衡器端点的健康状况。监控可选通过 Amazon VPC-to-VPC 连接、AWS VPN 连接或 AWS Direct Connect 配置的网络流量，以了解潜在的问题或安全威胁。
虚拟存储管理	Red Hat 监控用于集群节点的 Amazon Elastic Block Store (Amazon EBS)卷，以及用于 ROSA 服务的内置容器镜像 registry 的 Amazon S3 存储桶。响应警报。	监控应用数据的健康状况。如果使用客户管理的 AWS KMS 密钥，请为 Amazon EBS 加密创建和控制密钥生命周期和密钥策略。
AWS 软件（公共 AWS 服务）	AWS 有关 AWS 事件和操作管理的信息，请参阅 AWS 中的如何保持操作弹性和服务的连续性。	监控客户帐户中 AWS 资源的运行状况。使用 IAM 工具将适当的权限应用到客户账户中的 AWS 资源。
硬件/AWS 全局基础架构	AWS 有关 AWS 事件和操作管理的信息，请参阅 AWS 中的如何保持操作弹性和服务的连续性。	配置、管理和监控客户应用程序和数据，以确保正确强制实施应用程序和数据安全控制。

3.2.2.2. 变更管理

红帽负责启用客户控制的集群基础架构和服务，以及维护控制平面节点、基础架构节点和服务以及 worker 节点的版本。AWS 负责保护运行 AWS 云中提供的所有服务的硬件基础架构。客户负责启动基础架构更改请求，并在集群中安装和维护可选服务和网络配置，以及客户数据和客户应用程序的所有更改。

资源	服务职责	客户职责
日志记录	Red Hat 集中聚合和监控平台审计日志。提供和维护日志记录 Operator，使客户能够为默认应用程序日志部署日志记录堆栈。根据客户请求提供审计日志。	在集群上安装可选的默认应用程序日志 Operator。安装、配置和维护任何可选的应用程序日志记录解决方案，如日志记录 sidecar 容器或第三方日志记录应用程序。如果客户应用程序正在影响日志记录堆栈或集群的稳定性，调整应用程序日志的大小和频率。通过支持问题单中研究特定事件请求平台审计日志。
应用程序网络	Red Hat 设置公共负载均衡器。提供在需要时设置私有负载均衡器以及一个额外的负载均衡器的功能。设置原生 OpenShift 路由器服务。提供将路由器设置为私有的功能，并添加到额外的路由器分片。安装、配置和维护 OpenShift SDN 组件，以实现默认内部 pod 流量。提供客户管理 `NetworkPolicy` 和 `EgressNetworkPolicy` （防火墙）对象的功能。	使用 `NetworkPolicy` 对象为项目和 pod 网络、pod 入口和 pod 出口配置非默认 pod 网络权限。使用 OpenShift Cluster Manager 为默认应用程序路由请求专用负载均衡器。使用 OpenShift Cluster Manager 将最多配置额外的公共或私有路由器分片和对应的负载均衡器。针对特定服务请求并配置任何其他服务负载均衡器。配置任何必要的 DNS 转发规则。
集群网络	Red Hat 设置集群管理组件，如公共或私有服务端点，以及与 Amazon VPC 组件集成的必要。设置 worker、基础架构和 control plane 节点之间内部集群通信所需的内部网络组件。	在置备集群时通过 OpenShift Cluster Manager 为机器 CIDR、服务 CIDR 和 pod CIDR 提供可选非默认 IP 地址范围。请求在创建集群时或通过 OpenShift Cluster Manager 创建集群或之后的 API 服务端点公开或私有。
虚拟网络管理	Red Hat 设置并配置置备集群所需的 Amazon VPC 组件，如子网、负载均衡器、互联网网关和 NAT 网关。为客户提供通过 OpenShift Cluster Manager 所需的与内部资源、Amazon VPC-to-VPC 连接和 AWS Direct Connect 的 AWS VPN 连接的功能。使客户能够创建和部署 AWS 负载均衡器以用于服务负载均衡器。	设置和维护可选的 Amazon VPC 组件，如 Amazon VPC-to-VPC 连接、AWS VPN 连接或 AWS Direct Connect。针对特定服务请求并配置任何其他服务负载均衡器。
虚拟计算管理	Red Hat 设置并配置 ROSA control plane 和 data plane，以将 Amazon EC2 实例用于集群计算。监控和管理集群中 Amazon EC2 control plane 和基础架构节点的部署。	使用 OpenShift Cluster Manager 或 ROSA CLI (`rosa`)创建机器池来监控和管理 Amazon EC2 worker 节点。管理对客户部署的应用程序和应用程序数据的更改。
集群版本	Red Hat 启用升级调度过程。监控升级进度并更正遇到的问题。为次版本和维护升级发布更改日志和发行注记。	可立即计划维护版本升级、未来升级或进行自动升级。确认并计划次要版本升级。确保集群版本保持在受支持的次版本中。在次版本和维护版本中测试客户应用程序以确保兼容性。
容量管理	Red Hat 监控 control plane 的使用。control plane 包括 control plane 节点和基础架构节点。扩展和重新定义 control plane 节点的大小，以维护服务质量。	监控 worker 节点使用率，并在适当情况下启用自动扩展功能。确定集群的扩展策略。有关机器池的更多信息，请参阅其他资源。根据需要，使用提供的 OpenShift Cluster Manager 控制添加或删除额外的 worker 节点。根据集群资源要求，响应红帽通知。
虚拟存储管理	Red Hat 设置并配置 Amazon EBS，为集群置备本地节点存储和持久性卷存储。设置并配置内置镜像 registry，以使用 Amazon S3 存储桶存储。定期修剪 Amazon S3 中的镜像 registry 资源，以优化 Amazon S3 使用和集群性能。	（可选）配置 AWS EBS CSI 驱动程序或 AWS EFS CSI 驱动程序，以在集群中置备持久性卷。
AWS 软件（公共 AWS 服务）	AWS Compute：提供 Amazon EC2 服务，用于 ROSA control plane、基础架构和 worker 节点。 Storage ：提供 Amazon EBS 以允许 ROSA 服务为集群置备本地节点存储和持久性卷存储。 Storage：为 ROSA 服务的内置镜像 registry 提供 Amazon S3。网络：提供以下 AWS 云服务来满足 ROSA 虚拟网络基础架构需求： Amazon VPC Elastic Load Balancing AWS IAM 网络：为 ROSA 提供以下可选 AWS 服务集成： AWS VPN AWS Direct Connect AWS PrivateLink AWS Transit Gateway	使用与 IAM 主体或 STS 临时安全凭证关联的访问密钥 ID 和 secret 访问密钥签名请求。指定集群创建过程中使用的 VPC 子网。（可选）配置客户管理的 VPC 以用于 ROSA 集群。
硬件/AWS 全局基础架构	AWS 有关 AWS 数据中心管理控制的详情，请参考 AWS Cloud Security 页面中的 Our Controls。有关更改管理最佳实践的详情，请参考 AWS 解决方案库中更改管理有关 AWS 的指南。	为 AWS 云上托管的客户应用程序和数据实施变更管理最佳实践。

3.2.2.3. 访问和身份授权

访问和身份授权表包括管理对集群、应用程序和基础架构资源的授权访问权限的职责。这包括提供访问控制机制、身份验证、授权和管理对资源的访问等任务。

资源	服务职责	客户职责
日志记录	Red Hat 遵循行业标准内平台审计日志的内部访问过程。提供原生 OpenShift RBAC 功能。	配置 OpenShift RBAC 以控制对项目的访问，并扩展项目的应用程序日志。对于第三方或自定义应用程序日志记录解决方案，客户负责访问管理。
应用程序网络	Red Hat 提供原生 OpenShift RBAC 和 `dedicated-admin` 功能。	配置 OpenShift `dedicated-admin` 和 RBAC，以控制对路由配置的访问。管理红帽机构管理员以授予 OpenShift Cluster Manager 访问权限。集群管理器用于配置路由器选项，并提供服务负载均衡器配额。
集群网络	Red Hat 通过 OpenShift Cluster Manager 提供客户访问控制。提供原生 OpenShift RBAC 和 `dedicated-admin` 功能。	管理红帽帐户的机构成员资格。管理红帽机构管理员以授予 OpenShift Cluster Manager 访问权限。配置 OpenShift `dedicated-admin` 和 RBAC，以控制对路由配置的访问。
虚拟网络管理	Red Hat 通过 OpenShift Cluster Manager 提供客户访问控制。	通过 OpenShift Cluster Manager 管理对 AWS 组件的可选用户访问。
虚拟存储管理	Red Hat 通过 OpenShift Cluster Manager 提供客户访问控制。	通过 OpenShift Cluster Manager 管理对 AWS 组件的可选用户访问。创建启用 ROSA 服务访问所需的 AWS IAM 角色和附加策略。
虚拟计算管理	Red Hat 通过 OpenShift Cluster Manager 提供客户访问控制。	通过 OpenShift Cluster Manager 管理对 AWS 组件的可选用户访问。创建启用 ROSA 服务访问所需的 AWS IAM 角色和附加策略。
AWS 软件（公共 AWS 服务）	AWS Compute：提供 Amazon EC2 服务，用于 ROSA control plane、基础架构和 worker 节点。 Storage ：提供 Amazon EBS，允许 ROSA 为集群置备本地节点存储和持久性卷存储。 Storage：提供 Amazon S3，用于服务的内置镜像 registry。网络：提供 AWS Identity and Access Management (IAM)，供客户用来控制对客户账户上运行的 ROSA 资源的访问。	创建启用 ROSA 服务访问所需的 AWS IAM 角色和附加策略。使用 IAM 工具将适当的权限应用到客户账户中的 AWS 资源。要在 AWS 机构中启用 ROSA，客户负责管理 AWS 机构管理员。要在 AWS 机构中启用 ROSA，客户负责使用 AWS 许可证管理器分发 ROSA 授权。
硬件/AWS 全局基础架构	AWS 有关 AWS 数据中心的物理访问控制的详情，请参考 AWS Cloud Security 页面中的 Our Controls。	客户不负责 AWS 全局基础架构。

3.2.2.4. 安全和合规性

下表概述了与安全性和监管合规性相关的职责：

资源	服务职责	客户职责
日志记录	Red Hat 将集群审计日志发送到红帽 SIEM，以分析安全事件。为定义的时间段内保留审计日志，以便支持诊断分析。	分析安全事件的应用程序日志。如果默认日志记录堆栈提供的时间较长，则通过日志记录 sidecar 容器或第三方日志记录应用程序将应用程序日志发送到外部端点。
虚拟网络管理	Red Hat 监控虚拟网络组件以了解潜在的问题和安全隐患。使用公共 AWS 工具进行额外的监控和保护。	监控可选配置的虚拟网络组件，以了解潜在的问题和安全隐患。根据需要配置任何必要的防火墙规则或客户数据中心保护。
虚拟存储管理	Red Hat 监控虚拟存储组件以了解潜在的问题和安全威胁。使用公共 AWS 工具进行额外的监控和保护。使用 Amazon EBS 提供的 AWS 管理的密钥管理服务(KMS)密钥，将 ROSA 服务配置为加密 control plane、基础架构和 worker 节点卷数据。配置 ROSA 服务，以使用默认存储类和 Amazon EBS 提供的 AWS 管理的 KMS 密钥的客户持久性卷。为客户提供使用客户管理的 AWS KMS 密钥加密持久性卷的功能。配置容器镜像 registry，以使用 Amazon S3 管理的密钥(SSE-3)的服务器端加密来加密镜像 registry 数据。为客户提供创建公共或私有 Amazon S3 镜像 registry 的功能，以保护其容器镜像不受未授权用户访问。	置备 Amazon EBS 卷。管理 Amazon EBS 卷存储，以确保有足够的存储可以作为卷在 ROSA 中挂载。创建持久性卷声明，并通过 OpenShift Cluster Manager 生成持久性卷。
虚拟计算管理	Red Hat 监控虚拟计算组件以了解潜在的问题和安全威胁。使用公共 AWS 工具进行额外的监控和保护。	监控可选配置的虚拟网络组件，以了解潜在的问题和安全隐患。根据需要配置任何必要的防火墙规则或客户数据中心保护。
AWS 软件（公共 AWS 服务）	AWS compute：安全 Amazon EC2，用于 ROSA control plane、基础架构和 worker 节点。如需更多信息，请参阅 Amazon EC2 用户指南中的 Amazon EC2 中的基础架构安全性。存储：安全 Amazon EBS，用于 ROSA control plane、基础架构和 worker 节点卷，以及 Kubernetes 持久性卷。如需更多信息，请参阅 Amazon EC2 用户指南中的 Amazon EC2 中的数据保护。 Storage ：提供 AWS KMS，ROSA 用于加密 control plane、基础架构和 worker 节点卷和持久性卷。如需更多信息，请参阅 Amazon EC2 用户指南中的 Amazon EBS 加密。存储：安全 Amazon S3，用于 ROSA 服务的内置容器镜像 registry。如需更多信息，请参阅 S3 用户指南中的 Amazon S3 安全性。网络：提供安全功能和服务，以提高 AWS 全局基础架构上的隐私和控制网络访问，包括建立在 Amazon VPC 中的网络防火墙、私有或专用网络连接，以及 AWS 安全设施之间所有流量自动加密。如需更多信息，请参阅 AWS 安全介绍中的 AWS 共享责任模型和基础架构安全性。	确保遵循安全最佳实践和最小特权原则来保护 Amazon EC2 实例中的数据。如需更多信息，请参阅 Amazon EC2 中的基础架构安全性和 Amazon EC2 中的数据保护。监控可选配置的虚拟网络组件，以了解潜在的问题和安全隐患。根据需要配置任何必要的防火墙规则或客户数据中心保护。创建一个可选客户管理的 KMS 密钥，并使用 KMS 密钥加密 Amazon EBS 持久性卷。监控虚拟存储中的客户数据，以了解潜在的问题和安全威胁。如需更多信息，请参阅共享责任模型。
硬件/AWS 全局基础架构	AWS 提供 ROSA 用来提供服务功能的 AWS 全局基础架构。如需有关 AWS 安全控制的更多信息，请参阅 AWS 中的 AWS 基础架构安全性。为客户提供管理合规需求的文档，并使用 AWS Artifact 和 AWS 安全 Hub 等工具在 AWS 中检查其安全状态。如需更多信息，请参阅 ROSA 用户指南中的 ROSA 验证。	配置、管理和监控客户应用程序和数据，以确保正确强制实施应用程序和数据安全控制。使用 IAM 工具将适当的权限应用到客户账户中的 AWS 资源。

3.2.2.5. 灾难恢复

灾难恢复包括数据和配置备份、将数据和配置复制到灾难恢复环境中，并在灾难恢复环境中进行故障转移。

资源	服务职责	客户职责
虚拟网络管理	Red Hat 恢复或重新创建平台正常工作所需的受影响的虚拟网络组件。	使用多个隧道配置虚拟网络连接，以防防公有云提供商建议中断。如果使用多个集群的全局负载均衡器，请维护故障切换 DNS 和负载平衡。
虚拟存储管理	Red Hat 对于使用 IAM 用户凭证创建的 ROSA 集群，请通过每小时、每天和每周卷快照备份集群中的所有 Kubernetes 对象。对于使用 IAM 用户凭证创建的 ROSA 集群，通过每日和每周卷快照备份集群中的持久性卷。	备份客户应用程序和应用程序数据。
虚拟计算管理	Red Hat 监控集群并替换失败的 Amazon EC2 control plane 或基础架构节点。为客户提供手动或自动替换失败的 worker 节点的功能。	通过 OpenShift Cluster Manager 或 ROSA CLI 编辑机器池配置，替换失败的 Amazon EC2 worker 节点。
AWS 软件（公共 AWS 服务）	AWS compute：提供支持数据弹性（如 Amazon EBS 快照和 Amazon EC2 自动扩展）的 Amazon EC2 功能。如需更多信息，请参阅 EC2 用户指南中的 Amazon EC2 中的弹性。 Storage ：提供 ROSA 服务和客户通过 Amazon EBS 卷快照备份集群中的 Amazon EBS 卷的功能。存储：有关支持数据弹性的 Amazon S3 功能的信息，请参阅 Amazon S3 中的弹性。网络：有关支持数据弹性的 Amazon VPC 功能的信息，请参阅 Amazon VPC 用户指南中的 Amazon Virtual Private Cloud 中的 Resilience。	配置 ROSA 多AZ 集群，以提高容错和集群可用性。使用 AWS EBS CSI 驱动程序置备持久性卷以启用卷快照。创建 AWS EBS 持久性卷的 CSI 卷快照。
硬件/AWS 全局基础架构	AWS 提供 AWS 全局基础架构，允许 ROSA 在可用区间扩展 control plane、基础架构和 worker 节点。这个功能可让 ROSA 在区域间编配自动故障转移，而不中断。有关灾难恢复最佳实践的更多信息，请参阅 AWS Well-Architected Framework 的云中的灾难恢复选项。	配置 ROSA 多AZ 集群，以提高容错和集群可用性。

其他资源

关于机器池

3.2.3. 客户对数据和应用程序的职责

客户负责他们部署到 Red Hat OpenShift Service on AWS 上的应用程序、工作负载和数据。但是，红帽和 AWS 提供了各种工具来帮助客户管理平台上的数据和应用程序。

资源	Red Hat and AWS	客户职责
客户数据	Red Hat 保持平台级数据加密标准，如行业标准和合规标准所定义。提供 OpenShift 组件以帮助管理应用数据，如机密。启用与 Amazon RDS 等数据服务集成，以存储和管理集群和/或 AWS 之外的数据。 AWS 提供 Amazon RDS，以便客户可以存储和管理集群和/或 AWS 之外的数据。	维护存储在平台上的所有客户数据的职责，以及客户应用程序如何使用和公开此数据。
客户应用程序	Red Hat 调配安装了 OpenShift 组件的集群，以便客户可以访问 OpenShift 和 Kubernetes API 来部署和管理容器化应用。使用镜像 pull secret 创建集群，以便客户部署可从 Red Hat Container Catalog registry 中拉取镜像。提供对 OpenShift API 的访问，供客户用来设置 Operator 以将社区、第三方和红帽服务添加到集群中。提供存储类和插件以支持用于客户应用程序的持久性卷。提供容器镜像 registry，以便客户可以在集群上安全地存储应用程序容器镜像，以部署和管理应用程序。 AWS 提供 Amazon EBS 以支持用于客户应用程序的持久性卷。提供 Amazon S3 以支持红帽置备容器镜像 registry。	为客户和第三方应用程序、数据及其完整生命周期维护责任。如果客户使用 Operator 或外部镜像在集群中添加红帽、社区、第三方或其他服务，则客户负责这些服务并处理适当的提供程序（包括红帽）来排查任何问题。使用提供的工具和功能来配置和部署；保持最新；设置资源请求和限值；设置集群以有足够的资源来运行应用程序；设置权限；与其他服务集成；管理客户部署的任何镜像流或模板；保存、备份和恢复数据；或者，管理其高可用性和弹性工作负载。维护监控 Red Hat OpenShift Service on AWS 上运行的应用程序的职责，包括安装和操作软件来收集指标、创建警报以及保护应用程序中的 secret。

资源

Red Hat and AWS

客户职责

客户数据

Red Hat

保持平台级数据加密标准，如行业标准和合规标准所定义。
提供 OpenShift 组件以帮助管理应用数据，如机密。
启用与 Amazon RDS 等数据服务集成，以存储和管理集群和/或 AWS 之外的数据。

AWS

提供 Amazon RDS，以便客户可以存储和管理集群和/或 AWS 之外的数据。

维护存储在平台上的所有客户数据的职责，以及客户应用程序如何使用和公开此数据。

客户应用程序

Red Hat

调配安装了 OpenShift 组件的集群，以便客户可以访问 OpenShift 和 Kubernetes API 来部署和管理容器化应用。
使用镜像 pull secret 创建集群，以便客户部署可从 Red Hat Container Catalog registry 中拉取镜像。
提供对 OpenShift API 的访问，供客户用来设置 Operator 以将社区、第三方和红帽服务添加到集群中。
提供存储类和插件以支持用于客户应用程序的持久性卷。
提供容器镜像 registry，以便客户可以在集群上安全地存储应用程序容器镜像，以部署和管理应用程序。

AWS

提供 Amazon EBS 以支持用于客户应用程序的持久性卷。
提供 Amazon S3 以支持红帽置备容器镜像 registry。

为客户和第三方应用程序、数据及其完整生命周期维护责任。
如果客户使用 Operator 或外部镜像在集群中添加红帽、社区、第三方或其他服务，则客户负责这些服务并处理适当的提供程序（包括红帽）来排查任何问题。
使用提供的工具和功能来配置和部署；保持最新；设置资源请求和限值；设置集群以有足够的资源来运行应用程序；设置权限；与其他服务集成；管理客户部署的任何镜像流或模板；保存、备份和恢复数据；或者，管理其高可用性和弹性工作负载。
维护监控 Red Hat OpenShift Service on AWS 上运行的应用程序的职责，包括安装和操作软件来收集指标、创建警报以及保护应用程序中的 secret。

资源	服务职责	客户职责
日志记录	Red Hat 集中聚合和监控平台审计日志。提供和维护日志记录 Operator，使客户能够为默认应用程序日志部署日志记录堆栈。根据客户请求提供审计日志。	在集群上安装可选的默认应用程序日志 Operator。安装、配置和维护任何可选的应用程序日志记录解决方案，如日志记录 sidecar 容器或第三方日志记录应用程序。如果客户应用程序正在影响日志记录堆栈或集群的稳定性，调整应用程序日志的大小和频率。通过支持问题单中研究特定事件请求平台审计日志。
应用程序网络	Red Hat 设置公共负载均衡器。提供在需要时设置私有负载均衡器以及一个额外的负载均衡器的功能。设置原生 OpenShift 路由器服务。提供将路由器设置为私有的功能，并添加到额外的路由器分片。安装、配置和维护 OpenShift SDN 组件，以实现默认内部 pod 流量。提供客户管理 `NetworkPolicy` 和 `EgressNetworkPolicy` （防火墙）对象的功能。	使用 `NetworkPolicy` 对象为项目和 pod 网络、pod 入口和 pod 出口配置非默认 pod 网络权限。使用 OpenShift Cluster Manager 为默认应用程序路由请求专用负载均衡器。使用 OpenShift Cluster Manager 将最多配置额外的公共或私有路由器分片和对应的负载均衡器。针对特定服务请求并配置任何其他服务负载均衡器。配置任何必要的 DNS 转发规则。
集群网络	Red Hat 设置集群管理组件，如公共或私有服务端点，以及与 Amazon VPC 组件集成的必要。设置 worker、基础架构和 control plane 节点之间内部集群通信所需的内部网络组件。	在置备集群时通过 OpenShift Cluster Manager 为机器 CIDR、服务 CIDR 和 pod CIDR 提供可选非默认 IP 地址范围。请求在创建集群时或通过 OpenShift Cluster Manager 创建集群或之后的 API 服务端点公开或私有。
虚拟网络管理	Red Hat 设置并配置置备集群所需的 Amazon VPC 组件，如子网、负载均衡器、互联网网关和 NAT 网关。为客户提供通过 OpenShift Cluster Manager 所需的与内部资源、Amazon VPC-to-VPC 连接和 AWS Direct Connect 的 AWS VPN 连接的功能。使客户能够创建和部署 AWS 负载均衡器以用于服务负载均衡器。	设置和维护可选的 Amazon VPC 组件，如 Amazon VPC-to-VPC 连接、AWS VPN 连接或 AWS Direct Connect。针对特定服务请求并配置任何其他服务负载均衡器。
虚拟计算管理	Red Hat 设置并配置 ROSA control plane 和 data plane，以将 Amazon EC2 实例用于集群计算。监控和管理集群中 Amazon EC2 control plane 和基础架构节点的部署。	使用 OpenShift Cluster Manager 或 ROSA CLI (`rosa`)创建机器池来监控和管理 Amazon EC2 worker 节点。管理对客户部署的应用程序和应用程序数据的更改。
集群版本	Red Hat 启用升级调度过程。监控升级进度并更正遇到的问题。为次版本和维护升级发布更改日志和发行注记。	可立即计划维护版本升级、未来升级或进行自动升级。确认并计划次要版本升级。确保集群版本保持在受支持的次版本中。在次版本和维护版本中测试客户应用程序以确保兼容性。
容量管理	Red Hat 监控 control plane 的使用。control plane 包括 control plane 节点和基础架构节点。扩展和重新定义 control plane 节点的大小，以维护服务质量。	监控 worker 节点使用率，并在适当情况下启用自动扩展功能。确定集群的扩展策略。有关机器池的更多信息，请参阅其他资源。根据需要，使用提供的 OpenShift Cluster Manager 控制添加或删除额外的 worker 节点。根据集群资源要求，响应红帽通知。
虚拟存储管理	Red Hat 设置并配置 Amazon EBS，为集群置备本地节点存储和持久性卷存储。设置并配置内置镜像 registry，以使用 Amazon S3 存储桶存储。定期修剪 Amazon S3 中的镜像 registry 资源，以优化 Amazon S3 使用和集群性能。	（可选）配置 AWS EBS CSI 驱动程序或 AWS EFS CSI 驱动程序，以在集群中置备持久性卷。
AWS 软件（公共 AWS 服务）	AWS Compute：提供 Amazon EC2 服务，用于 ROSA control plane、基础架构和 worker 节点。 Storage ：提供 Amazon EBS 以允许 ROSA 服务为集群置备本地节点存储和持久性卷存储。 Storage：为 ROSA 服务的内置镜像 registry 提供 Amazon S3。网络：提供以下 AWS 云服务来满足 ROSA 虚拟网络基础架构需求： Amazon VPC Elastic Load Balancing AWS IAM 网络：为 ROSA 提供以下可选 AWS 服务集成： AWS VPN AWS Direct Connect AWS PrivateLink AWS Transit Gateway	使用与 IAM 主体或 STS 临时安全凭证关联的访问密钥 ID 和 secret 访问密钥签名请求。指定集群创建过程中使用的 VPC 子网。（可选）配置客户管理的 VPC 以用于 ROSA 集群。
硬件/AWS 全局基础架构	AWS 有关 AWS 数据中心管理控制的详情，请参考 AWS Cloud Security 页面中的 Our Controls。有关更改管理最佳实践的详情，请参考 AWS 解决方案库中更改管理有关 AWS 的指南。	为 AWS 云上托管的客户应用程序和数据实施变更管理最佳实践。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

3.2. AWS 上的 Red Hat OpenShift Service 职责概述

3.2.1. AWS 上的 Red Hat OpenShift Service 共享职责

3.2.2. 按区域共享职责的任务

3.2.2.1. 事件和操作管理

3.2.2.2. 变更管理

3.2.2.3. 访问和身份授权

3.2.2.4. 安全和合规性

3.2.2.5. 灾难恢复

3.2.3. 客户对数据和应用程序的职责

Language and Page Formatting Options

3.2. AWS 上的 Red Hat OpenShift Service 职责概述

3.2.1. AWS 上的 Red Hat OpenShift Service 共享职责

3.2.2. 按区域共享职责的任务

3.2.2.1. 事件和操作管理

3.2.2.2. 变更管理

3.2.2.3. 访问和身份授权

3.2.2.4. 安全和合规性

3.2.2.5. 灾难恢复

3.2.3. 客户对数据和应用程序的职责