使用 IBM Cloud Kubernetes Service 的责任
了解使用 IBM Cloud® Kubernetes Service 时您的集群管理责任。 有关总体使用条款,请参阅云服务条款。
共同责任概述
IBM Cloud Kubernetes Service 是 IBM Cloud 共享责任模型 中的受管服务。 查看下表,了解使用 IBM Cloud Kubernetes Service时负责特定云资源的人员。 然后,您可以在 按区域划分的共享职责任务 中查看更详细的共享职责任务。
如果使用其他 IBM Cloud 产品 (例如 Object Storage),那么下表中标记为您的职责 (例如,数据灾难恢复) 可能是 IBM的职责或共享的职责。 请查阅这些产品的文档以了解您的职责。
资源 | 事件和操作管理 | 变更管理 | 身份和访问管理 | 安全性和法规合规性 | 灾难恢复 |
---|---|---|---|---|---|
数据 | 您 | 您 | 您 | 您 | 您 |
应用程序 | 您 | 您 | 您 | 您 | 您 |
可观察性 | 共享 | IBM | 共享 | IBM | IBM |
应用程序联网 | 共享 | IBM | IBM | IBM | IBM |
集群联网 | 共享 | IBM | IBM | IBM | IBM |
集群版本 | IBM | 共享 | IBM | IBM | IBM |
工作程序节点 | 共享 | 共享 | IBM | 共享 | IBM |
主 | IBM | IBM | IBM | IBM | IBM |
服务 | IBM | IBM | IBM | IBM | IBM |
虚拟存储器 | IBM | IBM | IBM | IBM | IBM |
虚拟网络 | IBM | IBM | IBM | IBM | IBM |
系统管理程序 | IBM | IBM | IBM | IBM | IBM |
物理服务器和内存 | IBM | IBM | IBM | IBM | IBM |
物理存储器 | IBM | IBM | IBM | IBM | IBM |
物理网络和设备 | IBM | IBM | IBM | IBM | IBM |
设施和数据中心 | IBM | IBM | IBM | IBM | IBM |
按区域划分的共享职责的任务
查看 概述 后,查看您和 IBM 在使用 IBM Cloud Kubernetes Service时对每个区域和资源分担责任的任务。
事件和操作管理
您与 IBM 共同负责为应用程序工作负载设置和维护 IBM Cloud Kubernetes Service 集群环境。 您负责应用程序数据的事件和操作管理。
资源 | IBM 职责 | 您的责任 |
---|---|---|
工作程序节点 | -在每个集群的受保护的 IBM拥有的基础架构帐户中部署完全受管的高可用性专用主节点。 -在 IBM Cloud 基础架构帐户中供应工作程序节点。 -确保在正确设置用户帐户和许可权时成功供应工作程序节点,并且存在足够的配额。 -满足对更多基础架构的请求,例如添加,重新装入,更新和除去工作程序节点。 -提供工具 (例如 集群自动缩放器) 以扩展集群基础结构。 -集成有序基础结构资源以自动使用集群体系结构,并可用于已部署的应用程序和工作负载。 -实现自动化请求以帮助恢复工作程序节点。 |
-使用提供的 API , CLI 或控制台工具来调整计算和存储容量以满足工作负载的需求。 -使用提供的 API , CLI 或控制台工具来请求重新引导,重新装入或替换工作程序节点,并对诸如工作程序节点处于 不正常状态时之类的问题进行故障诊断。 |
集群联网 | -设置集群管理组件,例如公共或私有云服务端点, VLAN 和负载均衡器。 -实现对更多基础结构的请求,例如在调整工作程序池大小时将工作程序节点连接到现有 VLAN 或子网。 -创建具有保留用于在外部公开应用程序的子网 IP 地址的集群。 -在创建集群时,在主节点与工作程序节点之间设置康奈性连接。 -提供使用内部部署资源 (例如,通过 strongSwan IPSec VPN 服务或 IBM Cloud VPC VPN) 设置 VPN 连接的能力。 -提供使用边缘节点隔离网络流量的能力。 |
-使用提供的 API,CLI 或控制台工具来调整 集群联网配置 以满足工作负载的需求,例如配置服务端点,添加 VLAN 以提供更多工作程序节点的 IP 地址,设置 VPN 连接或边缘节点工作程序池。 |
应用程序联网 | -设置多专区 (如果适用) 的公共应用程序负载均衡器 (ALB)。 提供设置专用 ALB 以及公用或专用网络负载均衡器 (NLB) 的功能。 -支持本机 Kubernetes 公用和专用负载均衡器以及用于在外部公开服务的 Ingress 路由。 -将 Calico 安装为容器联网接口,并设置缺省 Calico 网络策略以控制基本集群流量。 |
-设置所需的任何其他应用程序联网功能,例如专用 ALB,公共或专用 NLB 或其他 Calico 网络策略。 |
可观察性 |
|
|
变更管理
您和 IBM 共同承担将集群保留在最新容器平台和操作系统版本的责任,以及恢复可能需要更改的基础架构资源。 您负责应用程序数据的变更管理。
资源 | IBM 职责 | 您的责任 |
---|---|---|
工作程序节点 | -提供工作程序节点补丁操作系统 (OS) ,版本和安全性更新。 -实现自动化请求以更新和恢复工作程序节点。 |
-使用 API,CLI 或控制台工具 应用 提供的包含操作系统补丁的工作程序节点更新; 或者请求重新引导,重新装入或替换工作程序节点。 |
集群版本 | -提供用于自动化集群管理的工具套件,例如 IBM Cloud Kubernetes Service API, CLI 插件和
控制台。 -自动应用 Kubernetes 主节点补丁操作系统,版本和安全性更新。 -使主节点的主节点和次节点更新可供您应用。 -提供工作程序节点主节点,次节点和补丁操作系统,版本和安全性更新。 -实现自动化请求以更新集群主节点和工作程序节点。 |
|
身份和访问权管理
您与 IBM 共同负责控制对 IBM Cloud Kubernetes Service 实例的访问。 对于 IBM Cloud® Identity and Access Management 职责,请参阅该产品的文档。 您负责对应用程序数据进行身份和访问管理。
资源 | IBM 职责 | 您的责任 |
---|---|---|
可观察性 |
|
|
安全性和法规合规性
IBM 负责 IBM Cloud Kubernetes Service的安全性和合规性。 根据用于集群的基础架构提供者 (例如,经典或 VPC),行业标准的合规性有所不同。 您负责集群中运行的任何工作负载以及应用程序数据的安全性和合规性。 有关更多信息,请参阅 服务符合哪些标准?。
资源 | IBM 职责 | 您的责任 |
---|---|---|
常规 |
|
-设置并维护应用和数据的安全和法规合规性。 例如,选择如何设置 经典集群联网 或 VPC 集群联网,保护敏感信息 (例如,使用 IBM Key Protect 加密),并配置进一步的 安全设置 以满足工作负载的安全性和合规性需求。 如果适用,请配置防火墙。 |
工作程序节点 |
|
|
灾难恢复
IBM 负责在发生灾难时恢复 IBM Cloud Kubernetes Service 组件。 您负责恢复运行集群和应用程序数据的工作负载。 如果与其他 IBM Cloud 服务 (例如文件,块,对象,云数据库,日志记录或审计事件服务) 集成,请参阅这些服务的灾难恢复信息。
资源 | IBM 职责 | 您的责任 |
---|---|---|
常规 | -在 全球位置 之间维护服务可用性,以便客户可以跨专区和区域部署集群以实现更高的 DR 容错。 -供应具有三个主组件副本的集群以实现高可用性。 -在多专区区域中,自动跨专区分布主副本。 -持续监视以确保站点可靠性工程师提供服务环境的可靠性和可用性。 -在集群中更新和恢复可操作的 IBM Cloud Kubernetes Service 和 Kubernetes 组件,例如 Ingress 应用程序负载均衡器和文件存储插件。 -在 etcd中备份和恢复数据,例如 Kubernetes 工作负载配置文件 -提供可选的 工作程序节点自动恢复。 -提供与其他 IBM Cloud 服务 (例如,存储提供程序) 集成的能力,以便可以备份和复原数据。 |
-设置并维护应用程序和数据的灾难恢复功能。 例如,要为 HA/DR 方案准备集群,请遵循 High availability for IBM Cloud Kubernetes Service 中的指导。 请注意,缺省情况下未设置数据 (例如,应用程序日志和集群度量) 的持久存储。 |
应用程序和数据
您完全负责部署到 IBM Cloud的应用程序,工作负载和数据。 但是,IBM 提供了各种工具来帮助您设置,管理,保护,集成和优化应用程序,如下表中所述。
资源 | IBM 如何提供帮助 | 可以执行的操作 |
---|---|---|
应用程序 |
-供应已安装 Kubernetes 组件的集群,以便您可以访问 Kubernetes API 以部署和管理容器化应用程序。
|
|
数据 | -维护 平台级别标准 ,以便可以使用与领先的国际安全合规标准相称的控件来存储数据。 -供应已安装 Kubernetes 组件的集群,以便您可以访问 Kubernetes API 以帮助管理应用程序数据,例如使用私钥和 ConfigMap。 -与可用于存储和管理数据的 IBM Cloud 服务集成,例如 IBM Cloud 数据库或 Object Storage。 -与 IBM Watson 服务集成,您可以使用这些服务通过最新的人工智能技术来最大限度提高数据的洞察和使用。 |
-维护对数据的责任以及应用程序使用数据的方式。 |