3.2. AWS 上的 Red Hat OpenShift Service 职责概述
本文档概述 Red Hat、Amazon Web Services (AWS)以及 Red Hat OpenShift Service on AWS (ROSA)托管服务的客户职责。
3.2.1. AWS 上的 Red Hat OpenShift Service 共享职责
虽然红帽和 Amazon Web Services (AWS)管理 Red Hat OpenShift Service on AWS 服务,但客户共享某些职责。AWS 服务上的 Red Hat OpenShift Service 可远程访问,托管在公有云资源上,在客户拥有的 AWS 帐户中创建,并且具有红帽拥有的底层平台和数据安全性。
如果将 cluster-admin 角色添加到用户,请参阅 Red Hat Enterprise Agreement 附录 4 (在线订阅服务) 中的责任和排除备注。
| 资源 | 事件和操作管理 | 变更管理 | 访问和身份授权 | 安全和合规性 | 灾难恢复 |
|---|---|---|---|---|---|
| 客户数据 | 客户 | 客户 | 客户 | 客户 | 客户 |
| 客户应用程序 | 客户 | 客户 | 客户 | 客户 | 客户 |
| 开发人员服务 | 客户 | 客户 | 客户 | 客户 | 客户 |
| 平台监控 | Red Hat | Red Hat | Red Hat | Red Hat | Red Hat |
| 日志记录 | Red Hat | 红帽和客户 | 红帽和客户 | 红帽和客户 | Red Hat |
| 应用程序网络 | 红帽和客户 | 红帽和客户 | 红帽和客户 | Red Hat | Red Hat |
| 集群网络 | Red Hat | 红帽和客户 | 红帽和客户 | Red Hat | Red Hat |
| 虚拟网络管理 | 红帽和客户 | 红帽和客户 | 红帽和客户 | 红帽和客户 | 红帽和客户 |
| 虚拟计算管理(control plane、基础架构和 worker 节点) | Red Hat | Red Hat | Red Hat | Red Hat | Red Hat |
| 集群版本 | Red Hat | 红帽和客户 | Red Hat | Red Hat | Red Hat |
| 容量管理 | Red Hat | 红帽和客户 | Red Hat | Red Hat | Red Hat |
| 虚拟存储管理 | Red Hat | Red Hat | Red Hat | Red Hat | Red Hat |
| AWS 软件(公共 AWS 服务) | AWS | AWS | AWS | AWS | AWS |
| 硬件/AWS 全局基础架构 | AWS | AWS | AWS | AWS | AWS |
3.2.2. 按区域共享职责的任务
Red Hat、AWS 和客户都对 Red Hat OpenShift Service on AWS (ROSA)集群的监控、维护和总体健康状况共享责任。本文档演示了每个列出资源的职责,如下表所示。
3.2.2.1. 事件和操作管理
红帽负责查看默认平台网络所需的服务组件。AWS 负责保护运行 AWS 云中提供的所有服务的硬件基础架构。客户负责客户应用程序数据的事件和操作管理,以及客户可能为集群网络或虚拟网络配置的任何自定义网络。
| 资源 | 服务职责 | 客户职责 |
|---|---|---|
| 应用程序网络 | Red Hat
|
|
| 虚拟网络管理 | Red Hat
|
|
| 虚拟存储管理 | Red Hat
|
|
| AWS 软件(公共 AWS 服务) | AWS
|
|
| 硬件/AWS 全局基础架构 | AWS
|
|
3.2.2.2. 变更管理
红帽负责启用客户控制的集群基础架构和服务,以及维护控制平面节点、基础架构节点和服务以及 worker 节点的版本。AWS 负责保护运行 AWS 云中提供的所有服务的硬件基础架构。客户负责启动基础架构更改请求,并在集群中安装和维护可选服务和网络配置,以及客户数据和客户应用程序的所有更改。
| 资源 | 服务职责 | 客户职责 |
|---|---|---|
| 日志记录 | Red Hat
|
|
| 应用程序网络 | Red Hat
|
|
| 集群网络 | Red Hat
|
|
| 虚拟网络管理 | Red Hat
|
|
| 虚拟计算管理 | Red Hat
|
|
| 集群版本 | Red Hat
|
|
| 容量管理 | Red Hat
|
|
| 虚拟存储管理 | Red Hat
|
|
| AWS 软件(公共 AWS 服务) | AWS Compute: 提供 Amazon EC2 服务,用于 ROSA control plane、基础架构和 worker 节点。 Storage : 提供 Amazon EBS 以允许 ROSA 服务为集群置备本地节点存储和持久性卷存储。 Storage: 为 ROSA 服务的内置镜像 registry 提供 Amazon S3。 网络: 提供以下 AWS 云服务来满足 ROSA 虚拟网络基础架构需求:
网络: 为 ROSA 提供以下可选 AWS 服务集成:
|
|
| 硬件/AWS 全局基础架构 | AWS
|
|
3.2.2.3. 访问和身份授权
访问和身份授权表包括管理对集群、应用程序和基础架构资源的授权访问权限的职责。这包括提供访问控制机制、身份验证、授权和管理对资源的访问等任务。
| 资源 | 服务职责 | 客户职责 |
|---|---|---|
| 日志记录 | Red Hat
|
|
| 应用程序网络 | Red Hat
|
|
| 集群网络 | Red Hat
|
|
| 虚拟网络管理 | Red Hat
|
|
| 虚拟存储管理 | Red Hat
|
|
| 虚拟计算管理 | Red Hat
|
|
| AWS 软件(公共 AWS 服务) | AWS Compute: 提供 Amazon EC2 服务,用于 ROSA control plane、基础架构和 worker 节点。 Storage : 提供 Amazon EBS,允许 ROSA 为集群置备本地节点存储和持久性卷存储。 Storage: 提供 Amazon S3,用于服务的内置镜像 registry。 网络 : 提供 AWS Identity and Access Management (IAM),供客户用来控制对客户账户上运行的 ROSA 资源的访问。 |
|
| 硬件/AWS 全局基础架构 | AWS
|
|
3.2.2.4. 安全和合规性
下表概述了与安全性和监管合规性相关的职责:
| 资源 | 服务职责 | 客户职责 |
|---|---|---|
| 日志记录 | Red Hat
|
|
| 虚拟网络管理 | Red Hat
|
|
| 虚拟存储管理 | Red Hat
|
|
| 虚拟计算管理 | Red Hat
|
|
| AWS 软件(公共 AWS 服务) | AWS compute: 安全 Amazon EC2,用于 ROSA control plane、基础架构和 worker 节点。如需更多信息,请参阅 Amazon EC2 用户指南中的 Amazon EC2 中的基础架构安全性。 存储: 安全 Amazon EBS,用于 ROSA control plane、基础架构和 worker 节点卷,以及 Kubernetes 持久性卷。如需更多信息,请参阅 Amazon EC2 用户指南中的 Amazon EC2 中的数据保护。 Storage : 提供 AWS KMS,ROSA 用于加密 control plane、基础架构和 worker 节点卷和持久性卷。如需更多信息,请参阅 Amazon EC2 用户指南中的 Amazon EBS 加密。 存储: 安全 Amazon S3,用于 ROSA 服务的内置容器镜像 registry。如需更多信息,请参阅 S3 用户指南中的 Amazon S3 安全性。 网络: 提供安全功能和服务,以提高 AWS 全局基础架构上的隐私和控制网络访问,包括建立在 Amazon VPC 中的网络防火墙、私有或专用网络连接,以及 AWS 安全设施之间所有流量自动加密。如需更多信息,请参阅 AWS 安全介绍中的 AWS 共享责任模型 和基础架构安全性。 |
|
| 硬件/AWS 全局基础架构 | AWS
|
|
3.2.2.5. 灾难恢复
灾难恢复包括数据和配置备份、将数据和配置复制到灾难恢复环境中,并在灾难恢复环境中进行故障转移。
| 资源 | 服务职责 | 客户职责 |
|---|---|---|
| 虚拟网络管理 | Red Hat
|
|
| 虚拟存储管理 | Red Hat
|
|
| 虚拟计算管理 | Red Hat
|
|
| AWS 软件(公共 AWS 服务) | AWS compute: 提供支持数据弹性(如 Amazon EBS 快照和 Amazon EC2 自动扩展)的 Amazon EC2 功能。如需更多信息,请参阅 EC2 用户指南中的 Amazon EC2 中的弹性。 Storage : 提供 ROSA 服务和客户通过 Amazon EBS 卷快照备份集群中的 Amazon EBS 卷的功能。 存储: 有关支持数据弹性的 Amazon S3 功能的信息,请参阅 Amazon S3 中的弹性。 网络: 有关支持数据弹性的 Amazon VPC 功能的信息,请参阅 Amazon VPC 用户指南中的 Amazon Virtual Private Cloud 中的 Resilience。 |
|
| 硬件/AWS 全局基础架构 | AWS
|
|
其他资源
3.2.3. 客户对数据和应用程序的职责
客户负责他们部署到 Red Hat OpenShift Service on AWS 上的应用程序、工作负载和数据。但是,红帽和 AWS 提供了各种工具来帮助客户管理平台上的数据和应用程序。
| 资源 | Red Hat and AWS | 客户职责 |
|---|---|---|
| 客户数据 | Red Hat
AWS
|
|
| 客户应用程序 | Red Hat
AWS
|
|