In diesem Dokument werden die Zuständigkeiten von Microsoft, Red Hat und Kunden für Azure Red Hat OpenShift beschrieben. Weitere Informationen zu Azure Red Hat OpenShift und den Komponenten finden Sie in der Azure Red Hat OpenShift Service Definition.
Während Microsoft und Red Hat den Azure Red Hat OpenShift verwalten, teilt sich der Kunde die Verantwortung für die Funktionalität des Clusters. Während Azure Red Hat OpenShift Cluster in Azure-Kundenabonnements auf Azure-Ressourcen gehostet werden, wird aus der Ferne auf sie zugegriffen. Die zugrundeliegende Plattform und Datensicherheit befindet sich im Besitz von Microsoft und Red Hat.
Überblick
| Ressource
|
Incident- und Betriebsverwaltung
|
Veränderungsmanagement
|
Identitäts- und Zugriffsverwaltung
|
Einhaltung von Sicherheits- und Regulierungsanforderungen
|
| Kundendaten
|
Kunde |
Kunde |
Kunde |
Kunde |
| Kundenanwendungen
|
Kunde |
Kunde |
Kunde |
Kunde |
| Entwicklerdienste
|
Kunde |
Kunde |
Kunde |
Kunde |
| Plattformüberwachung |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
| Protokollierung |
Microsoft und Red Hat |
Shared |
Shared |
Shared |
| Anwendungsnetzwerke |
Shared |
Shared |
Shared |
Microsoft und Red Hat |
| Clusternetzwerke |
Microsoft und Red Hat |
Shared |
Shared |
Microsoft und Red Hat |
| Virtuelle Netzwerke |
Shared |
Shared |
Shared |
Shared |
| Knoten der Steuerungsebene |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
| Workerknoten |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
| Clusterversion |
Microsoft und Red Hat |
Shared |
Microsoft und Red Hat |
Microsoft und Red Hat |
| Kapazitätsmanagement |
Microsoft und Red Hat |
Shared |
Microsoft und Red Hat |
Microsoft und Red Hat |
| Virtueller Speicher |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
| Physische Infrastruktur und Sicherheit |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
Microsoft und Red Hat |
Tabelle 1. Zuständigkeiten nach Ressource
Aufgaben für gemeinsame Zuständigkeiten nach Bereich
Incident- und Betriebsverwaltung
Der Kunde Microsoft und Red Hat sind gemeinsam für die Überwachung und Wartung eines Azure Red Hat OpenShift verantwortlich. Der Kunde ist für die Verwaltung von Incidents und Vorgängen der Anwendungsdaten von Kunden und für alle benutzerdefinierten Netzwerke verantwortlich, die der Kunde möglicherweise konfiguriert hat.
| Ressource
|
Zuständigkeiten von Microsoft und Red Hat
|
Kunden-Zuständigkeiten
|
| Anwendungsnetzwerke |
- Überwachen von (mehreren) Cloudlastenausgleichen und nativen OpenShift-Routerdiensten und Reaktion auf Warnungen.
|
- Überwachen sie die Integrität von Dienst-Endpunkten für den Lastenausgleich.
- Überwachen Sie die Integrität von Anwendungsrouten und deren Endpunkten.
- Melden von Ausfällen an Microsoft und Red Hat.
|
| Virtuelle Netzwerke |
- Überwachen Sie cloudbasierte Lastenausgleichskomponenten, Subnetze und Azure-Cloudkomponenten, die für standardbasierte Plattformnetzwerke erforderlich sind, und reagieren Sie auf Warnungen.
|
- Überwachen Sie den Netzwerkdatenverkehr, der optional über eine VNet-zu-VNet-Verbindung, eine VPN-Verbindung oder Private Link-Verbindung konfiguriert ist, um potenzielle Probleme oder Sicherheitsbedrohungen zu erkennen.
|
Tabelle 2. Gemeinsame Zuständigkeiten für die Verwaltung von Vorfällen und Vorgängen
Veränderungsmanagement
Microsoft und Red Hat sind dafür verantwortlich, Änderungen an der Clusterinfrastruktur und den Diensten zu ermöglichen, die der Kunde steuert, sowie für die Verwaltung der Versionen, die für die Masterknoten, Infrastrukturdienste und Workerknoten verfügbar sind. Der Kunde ist für die Initiierung von Infrastrukturänderungen sowie die Installation und Wartung optionaler Dienste und Netzwerkkonfigurationen im Cluster sowie für alle Änderungen an Kundendaten und Kundenanwendungen verantwortlich.
| Ressource
|
Zuständigkeiten von Microsoft und Red Hat
|
Kunden-Zuständigkeiten
|
| Protokollierung |
- Zentrales Aggregieren und Überwachen von Plattform-Überwachungsprotokollen.
- Bereitstellen der Dokumentation für den Kunden, um die Anwendungsprotokollierung mit Log Analytics über Azure Monitor für Container zu aktivieren.
- Stellen Sie Überwachungsprotokolle auf Kundenanforderung bereit.
|
- Installieren Sie den optionalen Standardoperator für die Anwendungsprotokollierung im Cluster.
- Installieren, konfigurieren und verwalten Sie alle optionalen App-Protokollierungslösungen, z. B. die Protokollierung von Sidecar-Containern oder Protokollierungsanwendungen von Drittanbietern.
- Optimieren Sie die Größe und Häufigkeit von Anwendungsprotokollen, die von Kundenanwendungen erstellt werden, wenn sie sich auf die Stabilität des Clusters auswirken.
- Fordern Sie Plattformüberwachungsprotokolle über einen Supportfall an, um bestimmte Vorfälle zu untersuchen.
|
| Anwendungsnetzwerke |
- Einrichten des Lastenausgleichs für öffentliche Clouds
- Richten Sie den OpenShift Ingress Cluster-Operator und den Standard-IngressController ein. Bieten Sie die Möglichkeit, weitere von Kunden verwaltete IngressController hinzuzufügen und legen Sie den Standard-IngressController als privat fest.
- Installieren, konfigurieren und pflegen Sie das OVN-Kubernetes Netzwerk-Plugin und die zugehörigen Komponenten für den standardmäßigen internen Pod-Datenverkehr.
|
- Konfigurieren Sie nicht standardmäßige Podnetzwerkberechtigungen für Projekt- und Podnetzwerke, Podeingang und Podausgang mithilfe von NetworkPolicy-Objekten.
- Fordern Sie zusätzliche Dienstlastenausgleiche für bestimmte Dienste an, und konfigurieren Sie sie.
|
| Clusternetzwerke |
- Richten Sie Clusterverwaltungskomponenten wie öffentliche oder private Dienst-Endpunkte und die erforderliche Integration in virtuelle Netzwerkkomponenten ein.
- Richten Sie interne Netzwerkkomponenten ein, die für die interne Clusterkommunikation zwischen Worker- und Masterknoten erforderlich sind.
|
- Geben Sie optionale, nicht standardmäßige IP-Adressbereiche für Computer-CIDR, Dienst-CIDR und Pod-CIDR an, falls dies bei der Bereitstellung des Clusters über den OpenShift-Cluster-Manager erforderlich ist.
- Fordern Sie an, dass der API-Dienstendpunkt bei der Clustererstellung oder nach der Clustererstellung über die Azure CLI veröffentlicht wird.
|
| Virtuelle Netzwerke |
- Richten Sie virtuelle Netzwerkkomponenten ein, die für die Bereitstellung des Clusters erforderlich sind, einschließlich virtueller privater Clouds, Subnetze, Lastenausgleichselemente, Internetgateways, NAT-Gateways usw.
- Bieten Sie dem Kunden die Möglichkeit, VPN-Konnektivität mit lokalen Ressourcen, VNet-zu-VNet-Konnektivität und Private Link über den OpenShift-Cluster-Manager zu verwalten.
- Ermöglichen Sie Kunden das Erstellen und Bereitstellen von Lastenausgleichs-basierten öffentlichen Clouds für die Verwendung mit Dienstlastenausgleichen.
|
- Richten Sie optionale Netzwerkkomponenten der öffentlichen Cloud ein, z. B. VNet-zu-VNet-Verbindung, VPN-Verbindung oder Private Link-Verbindung, und warten Sie sie.
- Fordern Sie zusätzliche Dienstlastenausgleiche für bestimmte Dienste an, und konfigurieren Sie sie.
|
| Clusterversion |
- Kommunizieren von Zeitplan und Status von Upgrades für Neben- und Wartungsversionen
- Veröffentlichen von Änderungs- und Versionshinweisen für kleinere Upgrades und Wartungsupgrades
|
- Initiieren des Upgrades des Clusters
- Testen von Kundenanwendungen auf Neben- und Wartungsversionen, um die Kompatibilität sicherzustellen
|
| Kapazitätsmanagement |
- Überwachen Sie die Nutzung von Steuerungsebenenressourcen (Masterknoten), einschließlich Netzwerk-, Speicher- und Computekapazität
- Proaktives Skalieren und/oder Ändern der Größe von Steuerungsebenen-Knoten zur Aufrechterhaltung der Dienstqualität
|
- Fügen Sie bei Bedarf weitere Arbeitsknoten hinzu oder entfernen Sie sie.
- Reagieren auf Microsoft- und Red Hat-Benachrichtigungen zu Clusterressourcenanforderungen.
- Stellen Sie sicher, dass ein ausreichendes Kontingent für größere VMs auf der Steuerungsebene im Falle eines Skalierungsvorgangs verfügbar ist
|
Tabelle 3. Gemeinsame Zuständigkeiten für Change Management
Identitäts- und Zugriffsverwaltung
Die Identitäts- und Zugriffsverwaltung umfasst alle Zuständigkeiten, um sicherzustellen, dass nur authorisierte Personen Zugriff auf Cluster-, Anwendungs- und Infrastrukturressourcen haben. Dies schließt Aufgaben wie die Bereitstellung von Zugriffssteuerungsmechanismen, die Authentifizierung, Autorisierung und die Verwaltung des Zugriffs auf Ressourcen ein.
| Ressource
|
Zuständigkeiten von Microsoft und Red Hat
|
Kunden-Zuständigkeiten
|
| Protokollierung |
- Halten Sie sich an einen auf Branchenstandards basierenden mehrstufigen internen Zugriffsprozess für Plattform-Überwachungsprotokolle.
- Stellen Sie native OpenShift-RBAC-Funktionen bereit.
|
- Konfigurieren Sie OpenShift RBAC, um den Zugriff auf Projekte und die Anwendungsprotokolle eines Projekts zu steuern.
- Bei Protokollierungslösungen von Drittanbietern oder benutzerdefinierten Anwendungen ist der Kunde für die Zugriffsverwaltung verantwortlich.
|
| Anwendungsnetzwerke |
- Stellen Sie native OpenShift-RBAC-Funktionen bereit.
|
- Konfigurieren Sie OpenShift RBAC, um den Zugriff auf die Routenkonfiguration nach Bedarf zu steuern.
|
| Clusternetzwerke |
- Stellen Sie native OpenShift-RBAC-Funktionen bereit.
|
- Verwalten der Red Hat-Organisationsmitgliedschaft von Red Hat-Konten.
- Verwalten Sie Organisationsadministratoren für Red Hat-Organisationen, um Zugriff auf OpenShift Cluster Manager zu gewähren.
- Konfigurieren Sie OpenShift RBAC, um den Zugriff auf die Routenkonfiguration nach Bedarf zu steuern.
|
| Virtuelle Netzwerke |
- Bereitstellen von Kundenzugriffssteuerungen über OpenShift Cluster Manager.
|
- Verwalten Sie den optionalen Benutzerzugriff auf öffentliche Cloudkomponenten über den OpenShift-Cluster-Manager.
|
Tabelle 4. Einige weitere Möglichkeiten zur Identitäts- und Zugriffsverwaltung
Sicherheit und Konformität
Die Einhaltung von Sicherheits- und Regulierungsanforderungen umfassen alle Zuständigkeiten und Kontrollen, die die Einhaltung relevanter Gesetze, Richtlinien und Vorschriften sicherstellen.
| Ressource
|
Zuständigkeiten von Microsoft und Red Hat
|
Kunden-Zuständigkeiten
|
| Protokollierung |
- Senden sie Clusterüberwachungsprotokolle an Microsoft und Red Hat SIEM, um Sicherheitsereignisse zu analysieren. Behalten Sie Überwachungsprotokolle für einen definierten Zeitraum bei, um forensische Analysen zu unterstützen.
|
- Analysieren sie Anwendungsprotokolle auf Sicherheitsereignisse. Senden Sie Anwendungsprotokolle an einen externen Endpunkt, indem Sie Sidecar-Container oder Protokollierungsanwendungen von Drittanbietern protokollieren, wenn eine längere Aufbewahrung erforderlich ist, als vom Standardprotokollstapel angeboten wird.
|
| Virtuelle Netzwerke |
- Überwachen Sie virtuelle Netzwerkkomponenten auf potenzielle Probleme und Sicherheitsbedrohungen.
- Verwenden Sie weitere öffentliche Microsoft- und Red Hat Azure-Tools für zusätzliche Überwachung und Schutz.
|
- Überwachen Sie optional konfigurierte virtuelle Netzwerkkomponenten auf potenzielle Probleme und Sicherheitsbedrohungen.
- Konfigurieren Sie alle erforderlichen Firewallregeln oder Rechenzentrumsschutz nach Bedarf.
|
Tabelle 5. Gemeinsame Verantwortung für die Einhaltung von Sicherheits- und Regulierungsanforderungen
Kundenaufgaben bei der Verwendung Azure Red Hat OpenShift
Kundendaten und -anwendungen
Der Kunde ist für die Anwendungen, Workloads und Daten verantwortlich, die er für die Azure Red Hat OpenShift bereitstellt. Microsoft und Red Hat stellen jedoch verschiedene Tools zur Verfügung, mit denen der Kunde Daten und Anwendungen auf der Plattform verwalten kann.
| Ressource
|
Hilfe von Microsoft und Red Hat
|
Kunden-Zuständigkeiten
|
| Kundendaten |
- Halten Sie Standards für die Datenverschlüsselung auf Plattformebene gemäß den Branchensicherheits- und Konformitätsstandards ein.
- Stellen Sie OpenShift-Komponenten zum Verwalten von Anwendungsdaten wie Geheimnissen zur Verfügung.
- Aktivieren Sie die Integration in Datendienste von Drittanbietern (z. B. Azure SQL), um Daten außerhalb des Clusters und/oder Microsoft und Red Hat Azure zu speichern und zu verwalten.
|
- Übernehmen Sie die Verantwortung für alle auf der Plattform gespeicherten Kundendaten und darüber, wie Kundenanwendungen diese Daten nutzen und verfügbar machen.
- Etcd-Verschlüsselung
|
| Kundenanwendungen |
- Stellen Sie Cluster mit installierten OpenShift-Komponenten bereit, damit Kunden auf die OpenShift- und Kubernetes-APIs zugreifen können, um Containeranwendungen bereitzustellen und zu verwalten.
- Bieten Sie Zugriff auf OpenShift-APIs, mit denen ein Kunde Operatoren einrichten kann, um dem Cluster Community-, Drittanbieter-, Microsoft- und Red Hat- und Red Hat-Dienste hinzuzufügen.
- Stellen Sie Speicherklassen und Plug-Ins bereit, um persistente Volumes für die Verwendung mit Kundenanwendungen zu unterstützen.
|
- Übernehmen Sie die Verantwortung für Kunden- und Drittanbieteranwendungen, Daten und den gesamten Lebenszyklus.
- Wenn ein Kunde Red Hat-, Community-, Drittanbieter-, eigene oder andere Dienste mithilfe von Operatoren oder externen Images zum Cluster hinzufügt, ist der Kunde für diese Dienste und für die Zusammenarbeit mit dem entsprechenden Anbieter (einschließlich Red Hat) zur Behandlung von Problemen verantwortlich.
- Verwenden Sie die bereitgestellten Tools und Features für Folgendes: Konfigurieren und bereitstellen; auf dem neuesten Stand halten; Ressourcenanforderungen und -grenzwerte einrichten; Größe des Clusters so einrichten, dass genügend Ressourcen zum Ausführen von Apps vorhanden sind; Berechtigungen einrichten; Integration in andere Dienste; alle Imagestreams oder Vorlagen verwalten, die der Kunde bereitstellt; extern bedienen; Daten speichern, sichern und wiederherstellen und andernfalls ihre hoch verfügbaren und resilienten Workloads verwalten.
- Behalten Sie die Verantwortung für die Überwachung der Anwendungen, die auf Azure Red Hat OpenShift ausgeführt werden. einschließlich der Installation und des Betriebs von Software, um Metriken zu erfassen und Warnungen zu erstellen.
|
Tabelle 6. Kundenaufgaben für Kundendaten, Kundenanwendungen und Dienste