Red Hat Advanced Cluster Security for Kubernetes サポートマトリックス
目次
はじめに
Red Hat Advanced Cluster Security for Kubernetes サポートポリシー は、RHACS リリースの一般的なサポート条件とライフサイクルポリシーを定義したものです。RHACS はさまざまな内部および外部の依存関係を持つ分散システムです。そのため、このドキュメントでは、RHACS と他のソフトウェアのサポート要件とサポート対象の組み合わせについて詳しく説明します。
概要
Red Hat Advanced Cluster Security for Kubernetes (RHACS または ACS) は、Kubernetes 上のクラウドネイティブ開発アプローチのセキュリティーニーズに対応するためのツールと機能を提供します。RHACS ソリューションは、監査、ネットワークセグメンテーションの認識と設定、セキュリティーリスクプロファイリング、セキュリティー関連の設定管理、脅威の検出、インシデント対応を通じて、クラスターのセキュリティー、脆弱性管理、セキュリティーコンプライアンスを可視化します。さらに、ACS は、CLI と API を通じてアプリケーションコード開発プロセスにセキュリティーポリシーを適用する機能を提供します。これらのセキュリティー機能は、複数のデータセンター、プライベートクラウド、パブリッククラウドなど、さまざまな Kubernetes 環境を扱う開発者や管理者が担当する主な作業に相当するものです。
RHACS アーキテクチャーの概要
RHACS は、Central サービスとセキュアクラスターサービスという 2 つサービスの論理的なグループで構成されます。Central は、ポリシーと違反の管理インターフェイス、データの永続性、イメージスキャンを提供します。セキュアクラスターは、クラスターとワークロードのアクティビティーを監視してセキュリティーポリシーを適用するためのコンポーネントを提供します。通常、Central は、複数のセキュアクラスターの接続先である 1 つのクラスターにインストールします。詳細は、RHACS ドキュメントの 製品アーキテクチャー ページを参照してください。
RHACS Cloud Service (RHACS CS または Cloud Service) は、Red Hat が管理するインフラストラクチャーに Central をデプロイする Red Hat 製品です。これは、Red Hat の Software Engineering チームと Site Reliability Engineering (SRE) チームによってアップグレード、監視、管理されます。詳細は、RHACS ドキュメントの RHACS CS サービスの説明 ページを参照してください。
RHACS のセキュアクラスターサービスは、セルフマネージドの RHACS Central または RHACS CS のインスタンスのどちらかで動作します。どちらの場合も、セキュアクラスターは、お客様がデプロイ、アップグレード、管理する同じコンポーネントセットです。
RHACS のセキュアクラスターとセルフマネージド Central の新しいバージョンとパッチは、同時にリリースされます。現在サポートされている RHACS バージョンのリストは、RHACS サポートポリシー ドキュメントで参照できます。
RHACS Central とセキュアクラスターの互換性
セキュアクラスターのハードウェアアーキテクチャーは、Central のハードウェアアーキテクチャーと同じである必要はありません。共通の Central インスタンスから、同じまたは異なるハードウェアアーキテクチャーを持つ複数のセキュアクラスターに接続できます。
セキュアクラスターのバージョンとセルフマネージド Central
セルフマネージド Central に接続されていて、現在 Red Hat によってサポートされているバージョンのセキュアクラスターを使用している場合、そのセキュアクラスターはサポート対象となります。ただし、セキュアクラスターと Central のバージョンが一致していない場合、新しい製品機能が動作しない可能性があります。つまり、動作が保証されるのは、Central と接続されたセキュアクラスターのバージョンのうち、最も古い製品バージョンに存在する機能だけです。したがって、Red Hat では、最適な互換性を確保するために、セキュアクラスターコンポーネントを、接続先のセルフマネージド Central と同じバージョンに維持することを推奨しています。
Red Hat では、Central より先にセキュアクラスターをアップグレードすることは推奨していません。
セキュアクラスターのバージョンと RHACS CS
RHACS CS のインスタンスに接続されていて、現在 Red Hat によってサポートされているバージョンのセキュアクラスターを使用している場合、そのセキュアクラスターはサポート対象となります。ただし、最新バージョンのセキュアクラスターを使用する場合にのみ、すべての機能の動作が保証されます。Red Hat では、RHACS CS に接続されたセキュアクラスターの自動アップグレードを有効にすることを推奨しています。
さまざまな Kubernetes プラットフォームと RHACS との互換性
| Kubernetes プラットフォーム [2] | セルフマネージド Central に対応 | セキュアクラスターに対応 |
|---|---|---|
| Red Hat OpenShift Container Platform (OCP) 4.x | 〇[3] | 〇[3] |
| Red Hat OpenShift Kubernetes Engine (OKE) 4.x | ✕ | ◯ |
| Red Hat OpenShift Dedicated (OSD) | 〇[4] | 〇[4] |
| Azure Red Hat OpenShift (ARO) | 〇[4] | 〇[4] |
| Red Hat OpenShift Service on AWS (ROSA) | 〇[4] | 〇[4] |
| Amazon Elastic Kubernetes Service (Amazon EKS) | 限定的[5] | ◯ |
| Google Kubernetes Engine (Google GKE) | 限定的[5] | ◯ |
| Microsoft Azure Kubernetes Service (Microsoft AKS) | 限定的[5] | ◯ |
アップグレード
RHACS セルフマネージド Central と RHACS セキュアクラスターは、次の制約のもとで、中間バージョンをスキップしてアップグレードできます (例: 4.0 -> 4.2)。
- バージョン 3.x から 4.x への Central のアップグレードを実行する場合、まず 3.x を 3.74 にアップグレードし、次に 3.74 から 4.0 にアップグレードして、最後に 4.0 から目的のバージョンにアップグレードする必要があります。
- マニフェストベースのインストールをアップグレードする場合は、手動の手順 を実行する必要があります。
サポート対象のブラウザー
RHACS の ブラウザーサポート は、Red Hat のポリシーに準拠しています。ポリシーでは、次のブラウザーの最新バージョンをサポートすることが規定されています。
- Google Chrome
- Mozilla Firefox
- Apple Safari
- Microsoft Edge
アーキテクチャー別のサポート
OpenShift Container Platform の RHACS サポート [1] - x86_64
| Central でサポートされる OpenShift バージョン | セキュアクラスターでサポートされる OpenShift バージョン | |
|---|---|---|
| ACS v3.74 | 4.9 - 4.13 | 4.9 - 4.13 |
| ACS v4.0 | 4.10 - 4.13 | 4.10 - 4.13 |
| ACS v4.1 | 4.10 - 4.14 | 4.10 - 4.14 |
| ACS v4.2 | 4.11 - 4.14 | 4.11 - 4.14 |
| ACS v4.3 | 4.11 - 4.15 | 4.11 - 4.15 |
| ACS v4.4 | 4.12 - 4.15 | 4.12 - 4.15 |
OpenShift Container Platform の RHACS サポート [1] - ppc64le (IBM Power)
| Central でサポートされる OpenShift バージョン | セキュアクラスターでサポートされる OpenShift バージョン | |
|---|---|---|
| ACS v3.74 | ✕ | 4.12 - 4.13 |
| ACS v4.0 | ✕ | 4.12 - 4.13 |
| ACS v4.1 | ✕ | 4.12 - 4.14 |
| ACS v4.2 | ✕ | 4.12 - 4.14 |
| ACS v4.3 | 4.12 - 4.15 | 4.12 - 4.15 |
| ACS v4.4 | 4.12 - 4.15 | 4.12 - 4.15 |
OpenShift Container Platform [1] の RHACS サポート - s390x (IBM Z および IBM® LinuxONE)
| Central でサポートされる OpenShift バージョン | セキュアクラスターでサポートされる OpenShift バージョン | |
|---|---|---|
| ACS v3.74 | ✕ | 4.12 - 4.13 |
| ACS v4.0 | ✕ | 4.12 - 4.13 |
| ACS v4.1 | ✕ | 4.12 - 4.14 |
| ACS v4.2 | ✕ | 4.12 - 4.14 |
| ACS v4.3 | 4.12 - 4.15 | 4.12 - 4.15 |
| ACS v4.4 | 4.12 - 4.15 | 4.12 - 4.15 |
データベースの対象範囲
RHACS 4.4 以降、RHACS は次の 2 種類の専用データベースを使用してインストールできます。
- RHACS によってインストールされるデータベース
- お客様提供のデータベース (4.4 の新機能)
RHACS によってインストールされるデータベース
このデータベースは、RHACS のインストール方法によってインストールされる Red Hat PostgreSQL のインスタンスで構成されます。このインスタンスは、RHACS Central サービスと同じクラスター上の Pod として実行され、公式の RHACS PostgreSQL データベースイメージを使用します。これはデフォルトのインストール方法です。
お客様提供のデータベース
これは、お客様が提供する外部の PostgreSQL 互換データベースです。このデータベースは、クラスター内またはクラスター外で、ベアメタルや仮想マシンに、またはクラウドホストサービスとしてデプロイできます。最適なパフォーマンスを得るために、RHACS Central サービスの近くでデータベースを実行することを推奨します。RHACS Central サービスをインストールするときに、データベース接続文字列と認証情報を指定する必要があります。
お客様が提供するデータベースは、インストールされている RHACS のバージョンに適したバージョンの PostgreSQL 互換データベースである必要があります。要件については、RHACS 外部 DB のドキュメント を参照してください。RHACS をインストールする前に、外部データベースをデプロイする必要があります。
上記の選択肢には、次のサポート範囲が適用されます。
| RHACS 提供 [6] | お客様提供 | |
|---|---|---|
| データベースに接続された RHACS の設定と操作 | ◯ | ◯ |
| バックアップおよび復元 | ◯ | サードパーティーのサポート [5] |
| パフォーマンス診断と可能なチューニング | ◯ | サードパーティーのサポート [5] |
| ソフトウェアとバージョンのアップグレード | ◯ | サードパーティーのサポート [5] |
| HA/DR 操作 | ✕ | サードパーティーのサポート [5] |
脚注
1. 現在サポートされているバージョン の Red Hat Advanced Cluster Security が、現在サポートされているすべてのバージョンの Red Hat OpenShift Container Platform でサポートされます。たとえば、Red Hat Advanced Cluster Security 4.2 が Red Hat OpenShift Container Platform 4.10 にデプロイされている場合、Red Hat OpenShift Container Platform 4.10 がライフサイクル終了であれば、Red Hat Advanced Cluster Security 4.2 がまだサポートされていても、Red Hat はこの組み合わせをテストせず、この組み合わせに関連する修正を提供することもありません。
2. プラットフォームのサポートが利用できるかどうかは、全体的なプラットフォームのライフサイクルとライフサイクル終了日によって左右される場合があります。
3. Red Hat OpenShift Container Platform バージョンおよび Red Hat Advanced Cluster Security for Kubernetes の詳細なサポートマトリックスについては、「アーキテクチャー別のサポート」セクションを参照してください。
4. Advanced Cluster Security for Kubernetes (ACS) は、ACS のインストールとサイズの前提条件に合わせて、マネージド OpenShift サービス用のマネージド (ACS CS) アドオンまたはセルフマネージドアドオンとして購入できます。セルフマネージドアドオンの場合、ACS の Central サービスとセキュアクラスターサービスのデプロイと管理は、マネージドサービスのサービス内容の範囲外となります。そのため、ACS は SRE サービスに含まれません。
5. Advanced Cluster Security for Kubernetes (ACS) Central は、Red Hat OpenShift 4 でのみテストされ、認定され、完全にサポートされています。OpenShift 4 以外の環境で Central をデプロイして使用することは可能です。サポートは、基盤となるインフラストラクチャープロバイダーではなく、ACS 製品ソフトウェアに限定されます。問題の診断と切り分けの一環として、顧客は OpenShift 4 環境で問題を再現する必要がある場合があります。OpenShift 4 以外のプロバイダーおよびクラスターに固有の問題が発生した場合、Red Hat は、問題を切り分けるために、商業的に妥当な範囲でのサポートを提供します。お客様は、それぞれのプロバイダーにケースを開くことが期待される場合があります。Red Hat サードパーティーサポートポリシー を参照してください。
6. 完全なプラットフォームアップグレードの範囲を超えたデータベースの手動アップグレードやカスタマイズを行うと、データベースがお客様提供のものになるため、サポートが制限されます。
Comments