Condividi tramite

Panoramica delle responsabilità per Azure Red Hat OpenShift

  • Articolo

Questo documento descrive le responsabilità di Microsoft, Red Hat e dei clienti per i cluster Azure Red Hat OpenShift. Per altre informazioni su Azure Red Hat OpenShift e sui relativi componenti, vedere Definizione del servizio Azure Red Hat OpenShift.

Mentre Microsoft e Red Hat gestiscono il servizio Azure Red Hat OpenShift, il cliente condivide la responsabilità delle funzionalità del cluster. Anche se i cluster Azure Red Hat OpenShift sono ospitati nelle risorse di Azure nelle sottoscrizioni di Azure dei clienti, sono accessibili in remoto. La piattaforma e la sicurezza dei dati sottostanti sono di proprietà di Microsoft e Red Hat.

Panoramica

Conto risorse Gestione degli eventi imprevisti e delle operazioni Gestione del cambiamento Gestione delle identità e dell'accesso Conformità alla sicurezza e alla normativa
Dati cliente Customer Customer Customer Customer
Applicazioni del cliente Customer Customer Customer Customer
Servizi per gli sviluppatori Customer Customer Customer Customer
Monitoraggio della piattaforma Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat
Registrazione Microsoft e Red Hat Condiviso Condiviso Condiviso
Distribuzione in rete delle applicazioni Condiviso Condiviso Condiviso Microsoft e Red Hat
Distribuzione in rete dei cluster Microsoft e Red Hat Condiviso Condiviso Microsoft e Red Hat
Reti virtuali Condiviso Condiviso Condiviso Condiviso
Nodi del piano di controllo Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat
Nodi di lavoro Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat
Versione cluster Microsoft e Red Hat Condiviso Microsoft e Red Hat Microsoft e Red Hat
Capacity Management Microsoft e Red Hat Condiviso Microsoft e Red Hat Microsoft e Red Hat
Archiviazione virtuale Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat
Infrastruttura fisica e sicurezza Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat Microsoft e Red Hat

Tabella 1. Responsabilità per risorsa

Attività per responsabilità condivise in base all'area

Gestione degli eventi imprevisti e delle operazioni

Il cliente, Microsoft e Red Hat condividono la responsabilità del monitoraggio e della manutenzione di un cluster Azure Red Hat OpenShift. Il cliente è responsabile della gestione degli eventi imprevisti e delle operazioni sui dati delle applicazioni dei clienti, nonché di qualsiasi rete personalizzata che il cliente abbia configurato.

Conto risorse Responsabilità di Microsoft e Red Hat Responsabilità del cliente
Distribuzione in rete delle applicazioni
  • Monitorare i servizi di bilanciamento del carico cloud e il servizio router OpenShift nativo e rispondere agli avvisi.
  • Monitorare l'integrità degli endpoint del servizio di bilanciamento del carico.
  • Monitorare l'integrità delle route dell'applicazione e gli endpoint sottostanti.
  • Segnalare interruzioni a Microsoft e Red Hat.
Reti virtuali
  • Monitorare i servizi di bilanciamento del carico cloud, le subnet e i componenti cloud di Azure necessari per la rete della piattaforma predefinita e rispondere agli avvisi.
  • Monitorare il traffico di rete configurato facoltativamente tramite connessione da rete virtuale a rete virtuale, connessione VPN o connessione tramite collegamento privato per individuare potenziali problemi o minacce alla sicurezza.

Tabella 2. Responsabilità condivise per la gestione degli eventi imprevisti e delle operazioni

Gestione delle modifiche

Microsoft e Red Hat sono responsabili dell'abilitazione delle modifiche apportate all'infrastruttura e ai servizi del cluster che il cliente controlla, oltre a mantenere le versioni disponibili per i nodi master, i servizi di infrastruttura e i nodi di lavoro. Il cliente è responsabile dell'avvio delle modifiche dell'infrastruttura e dell'installazione e della gestione di servizi e configurazioni di rete facoltative nel cluster, nonché di tutte le modifiche apportate ai dati e alle applicazioni dei clienti.

Conto risorse Responsabilità di Microsoft e Red Hat Responsabilità del cliente
Registrazione
  • Aggregare e monitorare centralmente i log di controllo della piattaforma.
  • Fornire la documentazione per consentire al cliente di abilitare la registrazione delle applicazioni tramite Log Analytics con Monitoraggio di Azure per i contenitori.
  • Specificare i log di controllo su richiesta del cliente.
  • Installare l'operatore facoltativo predefinito di registrazione delle applicazioni nel cluster.
  • Installare, configurare e gestire eventuali soluzioni di registrazione delle app facoltative, ad esempio la registrazione di contenitori sidecar o applicazioni di registrazione di terze parti.
  • Ottimizzare le dimensioni e la frequenza dei log applicazioni prodotti dalle applicazioni dei clienti se influiscono sulla stabilità del cluster.
  • Richiedere log di controllo della piattaforma tramite un caso di supporto per la ricerca di eventi imprevisti specifici.
Distribuzione in rete delle applicazioni
  • Configurare i servizi di bilanciamento del carico del cloud pubblico
  • Configurare l'operatore cluster Ingress OpenShift e il valore predefinito IngressController. Fornire la possibilità di aggiungere altri ingressController gestiti dal cliente e impostare IngressController predefinito come privato.
  • Installare, configurare e gestire il plug-in di rete OVN-Kubernetes e i componenti correlati per il traffico predefinito dei pod interni.
  • Configurare le autorizzazioni di rete pod non predefinite per le reti di progetto e pod, l'ingresso dei pod e l'uscita dei pod tramite oggetti NetworkPolicy.
  • Richiedere e configurare eventuali servizi di bilanciamento del carico aggiuntivi per servizi specifici.
Distribuzione in rete dei cluster
  • Configurare componenti di gestione del cluster, ad esempio endpoint di servizio pubblici o privati e l'integrazione necessaria con i componenti di rete virtuale.
  • Configurare i componenti di rete interni necessari per la comunicazione interna del cluster tra nodi di lavoro e master.
  • Specificare gli intervalli di indirizzi IP facoltativi non predefiniti per il CIDR del computer, il CIDR del servizio e il CIDR del pod, se necessario tramite Gestione cluster OpenShift quando viene effettuato il provisioning del cluster.
  • Richiedere che l'endpoint del servizio API venga reso pubblico o privato durante la creazione del cluster o dopo la creazione del cluster tramite l'interfaccia della riga di comando di Azure.
Reti virtuali
  • Configurare i componenti di rete virtuale necessari per effettuare il provisioning del cluster, tra cui cloud privato virtuale, subnet, servizi di bilanciamento del carico, gateway Internet, gateway NAT e così via.
  • Offrire al cliente la possibilità di gestire la connettività VPN con le risorse locali, la connettività da rete virtuale a rete virtuale e la connettività tramite collegamento privato in base alle esigenze tramite OpenShift Cluster Manager.
  • Consentire ai clienti di creare e distribuire servizi di bilanciamento del carico del cloud pubblico da usare con servizi di bilanciamento del carico.
  • Configurare e gestire componenti facoltativi di collegamento alla rete del cloud pubblico, ad esempio una connessione da rete virtuale a rete virtuale, una connessione VPN o una connessione tramite collegamento privato.
  • Richiedere e configurare eventuali servizi di bilanciamento del carico aggiuntivi per servizi specifici.
Versione cluster
  • Comunicare la pianificazione e lo stato degli aggiornamenti per le versioni secondarie e di manutenzione
  • Pubblicare log delle modifiche e note sulla versione per gli aggiornamenti secondari e di manutenzione
  • Avviare l'aggiornamento del cluster
  • Testare le applicazioni dei clienti in versioni secondarie e di manutenzione per garantire la compatibilità
Capacity Management
  • Monitorare l'utilizzo delle risorse del piano di controllo (nodi master), tra cui rete, archiviazione e capacità di calcolo
  • Ridimensionare in modo proattivo i nodi del piano di controllo per mantenere la qualità del servizio
  • Aggiungere o rimuovere nodi di lavoro aggiuntivi in base alle esigenze.
  • Rispondere alle notifiche di Microsoft e Red Hat relative ai requisiti delle risorse cluster.
  • Assicurarsi che sia disponibile un'ampia quota per le macchine virtuali del piano di controllo di dimensioni maggiori in caso di operazione di ridimensionamento

Tabella 3. Responsabilità condivise per la gestione delle modifiche

Gestione delle identità e degli accessi

La gestione delle identità e degli accessi include tutte le responsabilità per garantire che solo gli utenti appropriati abbiano accesso alle risorse cluster, dell'applicazione e dell'infrastruttura. Sono incluse attività quali la fornitura di meccanismi di controllo di accesso, l'autenticazione, l'autorizzazione e la gestione dell'accesso alle risorse.

Conto risorse Responsabilità di Microsoft e Red Hat Responsabilità del cliente
Registrazione
  • Rispettare un processo di accesso interno a livelli basato su standard di settore per i log di controllo della piattaforma.
  • Fornire funzionalità native di Controllo degli accessi in base al ruolo di OpenShift.
  • Configurare il controllo degli accessi in base al ruolo di OpenShift per controllare l'accesso ai progetti e, per estensione, i log dell'applicazione di un progetto.
  • Per soluzioni di registrazione di applicazioni personalizzate o di terze parti, il cliente è responsabile della gestione degli accessi.
Distribuzione in rete delle applicazioni
  • Fornire funzionalità native di Controllo degli accessi in base al ruolo di OpenShift.
  • Configurare il controllo degli accessi in base al ruolo di OpenShift per controllare l'accesso alla configurazione di route in base alle esigenze.
Distribuzione in rete dei cluster
  • Fornire funzionalità native di Controllo degli accessi in base al ruolo di OpenShift.
  • Gestire l'appartenenza dell'organizzazione Red Hat agli account Red Hat.
  • Gestire gli amministratori dell'organizzazione per Red Hat per concedere l'accesso a OpenShift Cluster Manager.
  • Configurare il controllo degli accessi in base al ruolo di OpenShift per controllare l'accesso alla configurazione di route in base alle esigenze.
Reti virtuali
  • Fornire i controlli di accesso dei clienti tramite OpenShift Cluster Manager.
  • Gestire l'accesso utente facoltativo ai componenti del cloud pubblico tramite OpenShift Cluster Manager.

Tabella 4. Responsabilità condivise per la gestione delle identità e degli accessi

Sicurezza e conformità

La sicurezza e la conformità includono eventuali responsabilità e controlli che garantiscono la conformità alle leggi, ai criteri e alle normative pertinenti.

Conto risorse Responsabilità di Microsoft e Red Hat Responsabilità del cliente
Registrazione
  • Inviare log di controllo del cluster a un SIEM Microsoft e Red Hat per analizzare gli eventi di sicurezza. Conservare i log di controllo per un periodo di tempo definito per supportare l'analisi forense.
  • Analizzare i log applicazioni per individuare gli eventi di sicurezza. Inviare log dell'applicazione a un endpoint esterno tramite la registrazione di contenitori sidecar o applicazioni di registrazione di terze parti se è necessaria una conservazione più lunga rispetto a quella offerta dallo stack di registrazione predefinito.
Reti virtuali
  • Monitorare i componenti di rete virtuale per individuare potenziali problemi e minacce alla sicurezza.
  • Usare altri strumenti pubblici di Microsoft e Red Hat Azure per il monitoraggio e la protezione aggiuntivi.
  • Monitorare facoltativamente i componenti di rete virtuale configurati per individuare potenziali problemi e minacce alla sicurezza.
  • Configurare le regole del firewall o le protezioni del data center necessarie in base alle esigenze.

Tabella 5. Responsabilità condivise per la sicurezza e la conformità alle normative

Responsabilità dei clienti quando si usa Azure Red Hat OpenShift

Dati e applicazioni dei clienti

Il cliente è responsabile delle applicazioni, dei carichi di lavoro e dei dati distribuiti in Azure Red Hat OpenShift. Tuttavia, Microsoft e Red Hat forniscono vari strumenti per aiutare il cliente a gestire i dati e le applicazioni sulla piattaforma.

Conto risorse Vantaggi di Microsoft e Red Hat Responsabilità del cliente
Dati dei clienti
  • Mantenere gli standard a livello di piattaforma per la crittografia dei dati, come definito dagli standard di sicurezza e conformità del settore.
  • Fornire componenti OpenShift per gestire i dati dell'applicazione, ad esempio i segreti.
  • Abilitare l'integrazione con servizi dati di terze parti (ad esempio Azure SQL) per archiviare e gestire i dati all'esterno del cluster e/o Microsoft e Red Hat Azure.
  • Mantenere la responsabilità di tutti i dati dei clienti archiviati nella piattaforma e del modo in cui le applicazioni dei clienti usano ed espongono questi dati.
  • Crittografia etcd
Applicazioni del cliente
  • Eseguire il provisioning di cluster con componenti OpenShift installati in modo che i clienti possano accedere alle API OpenShift e Kubernetes per distribuire e gestire applicazioni in contenitori.
  • Fornire l'accesso alle API OpenShift che un cliente può usare per configurare Operatori per aggiungere servizi community, di terze parti, Microsoft e Red Hat e servizi Red Hat al cluster.
  • Fornire classi di archiviazione e plug-in per supportare volumi persistenti da usare con le applicazioni dei clienti.

Tabella 6. Responsabilità dei clienti per i dati dei clienti, le applicazioni dei clienti e i servizi