Partager via

Vue d’ensemble des responsabilités pour Azure Red Hat OpenShift

  • Article

Ce document présente les responsabilités de Microsoft, de Red Hat et des clients pour les clusters Azure Red Hat OpenShift. Pour plus d’informations sur Azure Red Hat OpenShift et ses composants, consultez Définition du service Azure Red Hat OpenShift.

Alors que Microsoft et Red Hat gèrent le service Azure Red Hat OpenShift, le client partage la responsabilité des fonctionnalités de son cluster. Alors que les clusters Azure Red Hat OpenShift sont hébergés sur des ressources Azure dans les abonnements Azure des clients, ils sont accessibles à distance. La sécurité des données et de la plateforme sous-jacente est détenue par Microsoft et Red Hat.

Vue d’ensemble

Ressource Gestion des incidents et des opérations Gestion des changements Gestion des identités et des accès Sécurité et conformité aux réglementations
Données client Customer Customer Customer Customer
Applications de client Customer Customer Customer Customer
Services de développement Customer Customer Customer Customer
Supervision de la plateforme Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat
Journalisation Microsoft et Red Hat Partagé Partagé Partagé
Réseau d’applications Partagé Partagé Partagé Microsoft et Red Hat
Réseau de clusters Microsoft et Red Hat Partagé Partagé Microsoft et Red Hat
Réseau virtuel Partagé Partagé Partagé Partagé
Nœuds de plan de contrôle Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat
Nœuds de travail Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat
Version de cluster Microsoft et Red Hat Partagé Microsoft et Red Hat Microsoft et Red Hat
Gestion de la capacité Microsoft et Red Hat Partagé Microsoft et Red Hat Microsoft et Red Hat
Stockage virtuel Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat
Sécurité et infrastructure physique Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat Microsoft et Red Hat

Tableau 1. Responsabilités par ressource

Tâches correspondant aux responsabilités partagées par zone

Gestion des incidents et des opérations

Le client partage avec Microsoft et Red Hat la responsabilité de la supervision et de la maintenance d’un cluster Azure Red Hat OpenShift. Le client est responsable de la gestion des incidents et des opérations des données d’application de client et de tout réseau personnalisé que le client peut avoir configuré.

Ressource Responsabilités de Microsoft et de Red Hat Responsabilités des clients
Réseau d’applications
  • Superviser le ou les équilibreurs de charge cloud et le service de routeur OpenShift natif, et répondre aux alertes.
  • Superviser l’intégrité des points de terminaison d’équilibreur de charge de service.
  • Superviser l’intégrité des routes d’application et les points de terminaison se trouvant derrière elles.
  • Signaler les pannes à Microsoft et Red Hat.
Réseau virtuel
  • Superviser les équilibreurs de charge, les sous-réseaux et les composants cloud Azure nécessaires au réseau par défaut des plateformes, et répondre aux alertes.
  • Superviser le trafic réseau qui est éventuellement configuré via une connexion de réseau virtuel à réseau virtuel, une connexion VPN ou une connexion de liaison privée à la recherche d’éventuels problèmes ou menaces de sécurité.

Tableau 2. Responsabilités partagées pour la gestion des incidents et des opérations

Gestion du changement

Microsoft et Red Hat sont responsables de l’activation des changements apportés à l’infrastructure et aux services de cluster que le client contrôle, ainsi que de la gestion des versions disponibles pour les nœuds maître, les services d’infrastructure et les nœuds worker. Le client est responsable du lancement des changements d’infrastructure, de l’installation et de la maintenance des services et des configurations réseau facultatifs sur le cluster, ainsi que de tous les changements apportés aux données et applications des clients.

Ressource Responsabilités de Microsoft et de Red Hat Responsabilités des clients
Journalisation
  • Agréger et superviser de manière centralisée les journaux d’audit de plateforme.
  • Fournir une documentation permettant au client d’activer la journalisation des applications à l’aide de Log Analytics par le biais d’Azure Monitor pour conteneurs.
  • Fournir des journaux d’audit à la demande des clients.
  • Installer l’opérateur de journalisation des applications par défaut facultatif sur le cluster.
  • Installer, configurer et gérer toutes les solutions de journalisation des applications facultatives, comme la journalisation de conteneurs sidecar ou d’applications de journalisation tierces.
  • Ajuster la taille et la fréquence des journaux d’application produits par les applications de client si elles affectent la stabilité du cluster.
  • Demander des journaux d’audit de plateforme par le biais d’un cas de support pour la recherche d’incidents spécifiques.
Réseau d’applications
  • Configurer des équilibreurs de charge cloud publics
  • Configurez l’opérateur de cluster d’entrée OpenShift et l’opérateur de cluster d’entrée par défaut IngressController. Fournissez la possibilité d’ajouter d’autres ingressControllers gérés par le client et de définir l’ingressController par défaut en privé.
  • Installez, configurez et gérez le plug-in réseau OVN-Kubernetes et les composants associés pour le trafic de pod interne par défaut.
  • Configurer des autorisations de réseau de pods autres que celles par défaut pour les réseaux de projets et de pods, les entrées de pods et les sorties de pods à l’aide d’objets NetworkPolicy.
  • Demander et configurer des équilibreurs de charge de service supplémentaires pour des services spécifiques.
Réseau de clusters
  • Configurer des composants de gestion de cluster, comme des points de terminaison de service publics ou privés et l’intégration nécessaire à des composants réseau virtuel.
  • Configurer les composants réseau internes nécessaires pour la communication de cluster interne entre des nœuds worker et des nœuds maître.
  • Fournir des plages d’adresses IP facultatives autres que celles par défaut pour le CIDR de machine, le CIDR de service et le CIDR de pod, si nécessaire, par le biais du Gestionnaire de cluster OpenShift lors du provisionnement du cluster.
  • Demander que le point de terminaison du service d’API soit rendu public ou privé lors de la création du cluster ou après sa création par le biais d’Azure CLI.
Réseau virtuel
  • Installer et configurer les composants réseau virtuel nécessaires pour provisionner le cluster, notamment un cloud privé virtuel, des sous-réseaux, des équilibreurs de charge, des passerelles Internet, des passerelles NAT, etc.
  • Donner au client la possibilité de gérer la connectivité VPN avec les ressources locales, la connectivité de réseau virtuel à réseau virtuel et la connectivité de liaison privée, en fonction des besoins, par le biais du Gestionnaire de cluster OpenShift.
  • Permettre aux clients de créer et de déployer des équilibreurs de charge cloud publics pour une utilisation avec des équilibreurs de charge de service.
  • Configurer et gérer des composants réseau cloud public facultatifs, comme une connexion de réseau virtuel à réseau virtuel, une connexion VPN ou une connexion de liaison privée.
  • Demander et configurer des équilibreurs de charge de service supplémentaires pour des services spécifiques.
Version de cluster
  • Communiquer la planification et l’état des mises à niveau pour les versions mineures et de maintenance
  • Publier des journaux des modifications et des notes de publication pour les mises à niveau mineures et de maintenance
  • Lancer la mise à niveau d’un cluster
  • Tester des applications de client sur des versions mineures et de maintenance pour garantir leur compatibilité
Gestion de la capacité
  • Superviser l’utilisation des ressources (nœuds maîtres) du plan de contrôle, notamment le réseau, le stockage et la capacité de calcul
  • Mettre à l’échelle et/ou redimensionner de manière proactive les nœuds de plan de contrôle pour maintenir la qualité de service
  • Ajoutez ou supprimez des nœuds Worker supplémentaires si nécessaire.
  • Répondre aux notifications Microsoft et Red Hat concernant les besoins en ressources de cluster.
  • S'assurer qu'un quota suffisant est disponible pour les plus grandes machines virtuelles du plan de contrôle en cas d'opération de mise à l'échelle

Tableau 3. Responsabilités partagées pour la gestion des changements

Gestion de l’identité et de l’accès

La gestion des identités et des accès comprend toutes les responsabilités permettant de garantir que seules les personnes appropriées ont accès aux ressources de cluster, d’application et d’infrastructure. Cela comprend des tâches comme la fourniture de mécanismes de contrôle d’accès, l’authentification, l’autorisation et la gestion de l’accès aux ressources.

Ressource Responsabilités de Microsoft et de Red Hat Responsabilités des clients
Journalisation
  • Adhérer à un processus d’accès interne à plusieurs niveaux basé sur les normes du secteur pour les journaux d’audit de plateforme.
  • Fournir des fonctionnalités OpenShift RBAC natives.
  • Configurer OpenShift RBAC pour contrôler l’accès aux projets et, par extension, aux journaux d’application d’un projet.
  • Pour les solutions de journalisation des applications tierces ou personnalisées, le client est chargé de la gestion des accès.
Réseau d’applications
  • Fournir des fonctionnalités OpenShift RBAC natives.
  • Configurer OpenShift RBAC pour contrôler l’accès à la configuration des routes en fonction des besoins.
Réseau de clusters
  • Fournir des fonctionnalités OpenShift RBAC natives.
  • Gérer l’appartenance de comptes Red Hat à l’organisation Red Hat.
  • Gérer les administrateurs de l’organisation Red Hat afin d’accorder l’accès au Gestionnaire de cluster OpenShift.
  • Configurer OpenShift RBAC pour contrôler l’accès à la configuration des routes en fonction des besoins.
Réseau virtuel
  • Fournir des contrôles d’accès client par le biais du Gestionnaire de cluster OpenShift.
  • Gérer l’accès utilisateur facultatif aux composants cloud publics par le biais du Gestionnaire de cluster OpenShift.

Table 4. Responsabilités partagées pour la gestion des identités et des accès

Sécurité et conformité

La sécurité et la conformité incluent toutes les responsabilités et tous les contrôles qui garantissent la conformité aux lois, politiques et réglementations pertinentes.

Ressource Responsabilités de Microsoft et de Red Hat Responsabilités des clients
Journalisation
  • Envoyer à un système SIEM Microsoft et Red Hat des journaux d’audit de cluster à analyser pour détecter les événements de sécurité. Conserver les journaux d’audit pendant un laps de temps défini pour prendre en charge l’analyse d’investigation.
  • Analyser les journaux d’application pour détecter les événements de sécurité. Envoyer des journaux d’application à un point de terminaison externe par le biais de la journalisation de conteneurs sidecar ou d’applications de journalisation tierces si une conservation plus longue que celle offerte par la pile de journalisation par défaut est nécessaire.
Réseau virtuel
  • Superviser les composants réseau virtuel à la recherche d’éventuels problèmes ou menaces de sécurité.
  • Utiliser des outils Microsoft et Red Hat Azure publics supplémentaires pour une supervision et une protection complémentaires.
  • Superviser les composants réseau virtuel configurés facultatifs à la recherche d’éventuels problèmes ou menaces de sécurité.
  • Configurer toutes les règles de pare-feu ou protections de centre de données nécessaires, en fonction des besoins.

Tableau 5. Responsabilités partagées concernant la sécurité et la conformité aux réglementations

Responsabilités du client en cas l’utilisation d’Azure Red Hat OpenShift

Applications et données client

Le client est responsable des applications, des charges de travail et des données qu’il déploie sur Azure Red Hat OpenShift. Toutefois, Microsoft et Red Hat proposent différents outils permettant au client de gérer les données et les applications sur la plateforme.

Ressource Aide apportée par Microsoft et Red Hat Responsabilités des clients
Données client
  • Tenir à jour les normes de niveau plateforme pour le chiffrement des données tel que défini par les normes de conformité et de sécurité du secteur.
  • Fournir des composants OpenShift pour faciliter la gestion des données d’application, comme les secrets.
  • Activer l’intégration à des services de données tiers (comme Azure SQL) pour stocker et gérer des données en dehors du cluster et/ou de Microsoft et Red Hat Azure.
  • Tenir à jour la responsabilité de toutes les données client stockées sur la plateforme et de la façon dont les applications de client consomment et exposent ces données.
  • Chiffrement etcd
Applications de client
  • Provisionner des clusters avec des composants OpenShift installés afin que les clients puissent accéder aux API OpenShift et Kubernetes pour déployer et gérer des applications conteneurisé.
  • Fournir un accès aux API OpenShift qu’un client peut utiliser pour configurer des opérateurs afin d’ajouter des services de communauté, tiers, Microsoft et Red Hat, et Red Hat au cluster.
  • Fournir des classes et des plug-ins de stockage pour prendre en charge des volumes persistants en vue de leur utilisation avec les applications de client.

Tableau 6. Responsabilités du client pour les données client, les applications de client et les services