Azure Red Hat OpenShift 的責任概觀

發行項
07/26/2024

本文件將概述 Azure Red Hat OpenShift 叢集的 Microsoft、Red Hat 和客戶責任。如需有關 Azure Red Hat OpenShift 及其元件的詳細資訊，請參閱 Azure Red Hat OpenShift 服務定義。

雖然 Microsoft 和 Red Hat 負責管理 Azure Red Hat OpenShift 服務，但客戶須負責其叢集的功能性。雖然 Azure Red Hat OpenShift 叢集裝載於客戶 Azure 訂用帳戶中的 Azure 資源上，但可從遠端存取。基礎平台和資料安全性由 Microsoft 和 Red Hat 所負責。

概觀

資源	事件和作業管理	變更管理	身分識別和存取管理	安全性和法規合規性
客戶資料	客戶	客戶	客戶	客戶
客戶應用程式	客戶	客戶	客戶	客戶
開發人員服務	客戶	客戶	客戶	客戶
平台監視	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat
記錄	Microsoft 和 Red Hat	共用	共用	共用
應用程式網路功能	共用	共用	共用	Microsoft 和 Red Hat
叢集網路功能	Microsoft 和 Red Hat	共用	共用	Microsoft 和 Red Hat
虛擬網路	共用	共用	共用	共用
控制平面節點	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat
背景工作節點	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat
叢集版本	Microsoft 和 Red Hat	共用	Microsoft 和 Red Hat	Microsoft 和 Red Hat
產能管理	Microsoft 和 Red Hat	共用	Microsoft 和 Red Hat	Microsoft 和 Red Hat
虛擬儲存體	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat
實體基礎結構和安全性	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat	Microsoft 和 Red Hat

資料表 1。依資源分類的責任

依區域分類的共同責任工作

事件和作業管理

客戶 Microsoft 與 Red Hat 會負責監視和維護 Azure Red Hat OpenShift 叢集。客戶負責客戶應用程式資料的事件和作業管理，以及客戶可能已設定的任何自訂網路。

資源	Microsoft 和 Red Hat 責任	客戶責任
應用程式網路功能	監視雲端負載平衡器和原生 OpenShift 路由器服務，並回應警示。	監視服務負載平衡器端點的健康情況。監視應用程式路由的健康情況，以及其後方的端點。向 Microsoft 和 Red Hat 回報中斷情況。
虛擬網路	監視預設平台網路所需的雲端負載平衡器、子網路和 Azure 雲端元件，並回應警示。	監視透過 VNet 對 VNet 連線、VPN 連線或 Private Link 連線的網路流量，以了解潛在問題或安全性威脅。

表 2. 事件和作業管理的共同責任

變更管理

Microsoft 和 Red Hat 負責啟用客戶將控制的叢集基礎結構和服務變更，以及維護主要節點、基礎結構服務和背景工作節點的可用版本。客戶負責起始基礎結構變更，以及在叢集上安裝和維護選擇性服務和網路設定，以及客戶資料和客戶應用程式的所有變更。

資源	Microsoft 和 Red Hat 責任	客戶責任
記錄	集中彙總和監視平台稽核記錄。提供文件，讓客戶能夠透過適用於容器的 Azure 監視器，使用 Log Analytics 來啟用應用程式記錄功能。在客戶要求時提供稽核記錄。	在叢集上安裝選擇性的預設應用程式記錄操作程式。安裝、設定及維護任何選擇性應用程式記錄解決方案，例如記錄 Sidecar 容器或協力廠商記錄應用程式。調整客戶應用程式所產生的應用程式記錄大小和頻率 (如果這些項目會影響叢集的穩定性)。透過支援案例要求平台稽核記錄，以研究特定事件。
應用程式網路功能	設定公用雲端負載平衡器設定 OpenShift Ingress 叢集運算子和預設 IngressController。提供新增其他客戶自控 IngressController，並將預設 IngressController 設定為私人的功能。安裝、設定及維護 OVN-Kubernetes 網路外掛程式和相關元件，以供預設內部 Pod 流量使用。	使用 NetworkPolicy 物件，為專案和 Pod 網路、Pod 輸入及 Pod 輸出設定非預設 Pod 網路權限。要求並設定特定服務的任何其他服務負載平衡器。
叢集網路功能	設定叢集管理元件，例如公用或私人服務端點，以及與虛擬網路元件的必要整合。設定背景工作節點與主要節點之間內部叢集通訊所需的內部網路元件。	在佈建叢集時，視需要透過 OpenShift 叢集管理員，為機器 CIDR、服務 CIDR 和 Pod CIDR 提供選擇性的非預設 IP 位址範圍。在透過 Azure CLI 建立叢集時或建立叢集之後，要求 API 服務端點設定為公開或私人。
虛擬網路	設定佈建叢集所需的虛擬網路元件，包括虛擬私人雲端、子網路、負載平衡器、網際網路閘道、NAT 閘道等。讓客戶能夠透過 OpenShift 叢集管理員，視需要管理內部部署資源的 VPN 連線、VNet 對 VNet 連線以及 Private Link 連線。讓客戶能夠建立和部署公用雲端負載平衡器，以搭配服務負載平衡器使用。	設定和維護選擇性的公用雲端網路元件，例如 VNet 對 VNet 連線、VPN 連線或 Private Link 連線。要求並設定特定服務的任何其他服務負載平衡器。
叢集版本	傳達次要和維護版本的升級排程和狀態發佈次要和維護升級的變更記錄和版本資訊	起始叢集升級在次要和維護版本上測試客戶應用程式，以確保相容性
產能管理	監視控制平面 (主節點) 資源的使用率，包括網路、儲存體和計算容量主動縮放和/或調整控制平面節點的大小，以維護服務品質	視需要新增或移除其他背景工作節點。回應有關叢集資源需求的 Microsoft 和 Red Hat 通知。確保在縮放作業的情况下，為較大的控制平面 VM 提供足够的配額

表 3. 變更管理的共用責任

身分識別與存取管理

身分識別與存取管理包含確保只有適當的人員可以存取叢集、應用程式和基礎結構資源的所有責任。這包括提供存取控制機制、驗證、授權和管理資源存取等工作。

資源	Microsoft 和 Red Hat 責任	客戶責任
記錄	遵守平台稽核記錄的業界標準分層內部存取程序。提供原生 OpenShift RBAC 功能。	設定 OpenShift RBAC 來控制專案的存取及專案應用程式記錄的存取。針對協力廠商或自訂應用程式記錄解決方案，客戶須負責存取管理。
應用程式網路功能	提供原生 OpenShift RBAC 功能。	設定 OpenShift RBAC 以視需要控制路由設定的存取。
叢集網路功能	提供原生 OpenShift RBAC 功能。	管理 Red Hat 帳戶的 Red Hat 組織成員資格。管理 Red Hat 組織的組織管理員，以授與 OpenShift 叢集管理員的存取權。設定 OpenShift RBAC 以視需要控制路由設定的存取。
虛擬網路	透過 OpenShift 叢集管理員提供客戶存取控制。	透過 OpenShift 叢集管理員，管理公用雲端元件的選擇性使用者存取權。

表 4. 身分識別與存取管理的共用責任

安全性與合規性

安全性與合規性包括為確保符合相關法律、政策和法規的任何責任和控制。

資源	Microsoft 和 Red Hat 責任	客戶責任
記錄	將叢集稽核記錄傳送至 Microsoft 和 Red Hat SIEM，以分析安全性事件。保留稽核記錄達一段定義的時間，以支援鑒識分析。	分析應用程式記錄是否有安全性事件。如果需要的保留時間大於預設記錄堆疊所提供的時間，請透過記錄 Sidecar 容器或協力廠商記錄應用程式，將應用程式記錄傳送至外部端點。
虛擬網路	監視虛擬網路元件，以了解是否有潛在的問題和安全性威脅。使用其他公用 Microsoft 和 Red Hat Azure 工具來進行額外的監視和保護。	監視選擇性設定的虛擬網路元件，以了解是否有潛在的問題和安全性威脅。視需要設定任何必要的防火牆規則或資料中心保護。

表 5. 安全性與法規合規性的共同責任

使用 Azure Red Hat OpenShift 時的客戶責任

客戶資料和應用程式

客戶須負責部署至 Azure Red Hat OpenShift 的應用程式、工作負載和資料。不過，Microsoft 和 Red Hat 提供各種工具來協助客戶管理平台上的資料和應用程式。

資源	Microsoft 和 Red Hat 的協助方式	客戶責任
客戶資料	維護業界安全性和合規性標準所定義的資料加密平台層級標準。提供 OpenShift 元件來協助管理應用程式資料，例如祕密。啟用與協力廠商資料服務 (例如Azure SQL) 的整合，以儲存和管理叢集和/或 Microsoft 和 Red Hat Azure 以外的資料。	負責儲存在平台上的所有客戶資料，以及客戶應用程式取用和公開此資料的方式。 Etcd 加密
客戶應用程式	佈建已安裝 OpenShift 元件的叢集，讓客戶可以存取 OpenShift 和 Kubernetes API 來部署和管理容器化應用程式。提供 OpenShift API 的存取權，讓客戶可用來設定操作程式，將社群、協力廠商、Microsoft 和 Red Hat 和 Red Hat 服務新增至叢集。提供儲存體類別和外掛程式來支援永續性磁碟區，以便與客戶應用程式搭配使用。	維護客戶和協力廠商應用程式、資料及其完整生命週期的責任。如果客戶使用操作程式或外部映像，將 Red Hat、社群、協力廠商、自己的服務或其他服務新增至叢集，客戶須負責這些服務，以及與適當的提供者 (包括 Red Hat) 一起針對任何問題進行疑難排解。使用提供的工具和功能來設定和部署；保持最新狀態；設定資源要求和限制；將叢集大小調整為有足夠的資源可執行應用程式；設定權限；與其他服務整合；管理客戶部署的任何映像資料流或範本；外部服務；儲存、備份和還原資料；否則，請管理其高可用性和高復原性工作負載。負責監視在 Azure Red Hat OpenShift 上執行的應用程式，包括安裝和操作軟體，以收集計量並建立警示。

表 6. 客戶資料、客戶應用程式和服務的客戶責任

資源	Microsoft 和 Red Hat 責任	客戶責任
記錄	集中彙總和監視平台稽核記錄。提供文件，讓客戶能夠透過適用於容器的 Azure 監視器，使用 Log Analytics 來啟用應用程式記錄功能。在客戶要求時提供稽核記錄。	在叢集上安裝選擇性的預設應用程式記錄操作程式。安裝、設定及維護任何選擇性應用程式記錄解決方案，例如記錄 Sidecar 容器或協力廠商記錄應用程式。調整客戶應用程式所產生的應用程式記錄大小和頻率 (如果這些項目會影響叢集的穩定性)。透過支援案例要求平台稽核記錄，以研究特定事件。
應用程式網路功能	設定公用雲端負載平衡器設定 OpenShift Ingress 叢集運算子和預設 IngressController。提供新增其他客戶自控 IngressController，並將預設 IngressController 設定為私人的功能。安裝、設定及維護 OVN-Kubernetes 網路外掛程式和相關元件，以供預設內部 Pod 流量使用。	使用 NetworkPolicy 物件，為專案和 Pod 網路、Pod 輸入及 Pod 輸出設定非預設 Pod 網路權限。要求並設定特定服務的任何其他服務負載平衡器。
叢集網路功能	設定叢集管理元件，例如公用或私人服務端點，以及與虛擬網路元件的必要整合。設定背景工作節點與主要節點之間內部叢集通訊所需的內部網路元件。	在佈建叢集時，視需要透過 OpenShift 叢集管理員，為機器 CIDR、服務 CIDR 和 Pod CIDR 提供選擇性的非預設 IP 位址範圍。在透過 Azure CLI 建立叢集時或建立叢集之後，要求 API 服務端點設定為公開或私人。
虛擬網路	設定佈建叢集所需的虛擬網路元件，包括虛擬私人雲端、子網路、負載平衡器、網際網路閘道、NAT 閘道等。讓客戶能夠透過 OpenShift 叢集管理員，視需要管理內部部署資源的 VPN 連線、VNet 對 VNet 連線以及 Private Link 連線。讓客戶能夠建立和部署公用雲端負載平衡器，以搭配服務負載平衡器使用。	設定和維護選擇性的公用雲端網路元件，例如 VNet 對 VNet 連線、VPN 連線或 Private Link 連線。要求並設定特定服務的任何其他服務負載平衡器。
叢集版本	傳達次要和維護版本的升級排程和狀態發佈次要和維護升級的變更記錄和版本資訊	起始叢集升級在次要和維護版本上測試客戶應用程式，以確保相容性
產能管理	監視控制平面 (主節點) 資源的使用率，包括網路、儲存體和計算容量主動縮放和/或調整控制平面節點的大小，以維護服務品質	視需要新增或移除其他背景工作節點。回應有關叢集資源需求的 Microsoft 和 Red Hat 通知。確保在縮放作業的情况下，為較大的控制平面 VM 提供足够的配額

共用方式為