• 完全に管理された高可用性の専用マスターを、クラスターごとに保護された IBM 所有のインフラストラクチャー・アカウントでデプロイします。
• IBM Cloud インフラストラクチャー・アカウントでワーカー・ノードをプロビジョンします。
• ユーザーのアカウントと許可が正しくセットアップされていて十分な割り当て量が存在する場合にワーカー・ノードが正常にプロビジョンされることを確認します。
• ワーカー・ノードの追加、再ロード、更新、削除など、より多くのインフラストラクチャーを求める要求を満たします。
• クラスター・インフラストラクチャーを拡張するためのツール (クラスター自動スケーラーなど) を提供します。
• 注文したインフラストラクチャー・リソースを統合して、クラスター・アーキテクチャーと自動的に連携するようにし、デプロイされたアプリとワークロードから使用できるようします。.
• ワーカーノードのリカバリーに役立つ自動化要求を満たします。

• 提供される API、CLI、またはコンソールツールを使用して、ワークロードのニーズに合わせてコンピュートとストレージの容量を調整します。
• 提供される API、CLI、またはコンソールツールを使用して、ワーカーノードの再起動、再ロード、または交換を要求し、ワーカーノードが 不健康な状態に ある場合などの問題をトラブルシューティングします。

• パブリックまたはプライベートクラウドサービスのエンドポイント、VLAN、ロードバランサーなどのクラスタ管理コンポーネントを設定する。
• ワーカープールのサイズ変更時に、既存の VLAN やサブネットにワーカーノードをアタッチするなど、インフラストラクチャの追加要求を満たす。
• アプリを外部に公開するために使用するサブネットIPアドレスを予約したクラスタを作成します。
• クラスタ作成時にマスターノードとワーカーノード間の Konnectivity 接続を設定する。
• strongSwan IPSec VPN サービスや IBM Cloud VPC VPN など、オンプレミスのリソースとの VPN 接続を設定する機能を提供する。
• エッジノードでネットワークトラフィックを分離する機能を提供する。

• 提供されている API、CLI、またはコンソールのツールを使用して、ワークロードのニーズ (サービス・エンドポイントの構成、より多くのワーカー・ノードに IP アドレスを提供するために VLAN を追加、VPN 接続のセットアップ、エッジ・ノード・ワーカー・プールなど) を満たすためにクラスター・ネットワーキング構成を調整します。

• マルチゾーンであるパブリック・アプリケーション・ロード・バランサー (ALB) をセットアップします (該当する場合)。 プライベート ALB とパブリック/プライベート・ネットワーク・ロード・バランサー (NLB) をセットアップする機能を提供します。
• サービスを外部に公開するためにネイティブ Kubernetes パブリック/プライベート・ロード・バランサーと Ingress 経路をサポートします。
• コンテナー・ネットワーキング・インターフェースとして Calico をインストールし、デフォルト Calico ネットワーク・ポリシーをセットアップして、基本クラスター・トラフィックを制御します。

• 必要となる追加アプリ・ネットワーキング機能 (プライベート ALB、パブリック/プライベート NLB、追加 Calico ネットワーク・ポリシーなど) をすべてセットアップします。

• IBM Cloud Logs と Monitoring をマネージド・アドオンとして提供し、クラスタとコンテナ環境の観測可能性を実現します。 IBM が管理対象アドオンのインストールとアップデートを提供するため、メンテナンスが簡素化されます。
• IBM Cloud Logs とのクラスタ統合を提供し、監査可能性のために Red Hat OpenShift on IBM Cloud API イベントを送信します。

• セットアップとヘルス状態の監視 コンテナログとクラスタメトリックの。
• セットアップし、必要に応じて kube-audit のログを設定する を IBM Cloud Logs に送信する。

• ワーカー・ノード・パッチのオペレーティング・システム (OS)、バージョン、およびセキュリティーの更新を提供します。
• ワーカー・ノードを更新およびリカバリーする自動化要求を満たします。

• API、CLI、またはコンソールのツールを使用して、提供されたワーカー・ノードの更新 (オペレーティング・システム・パッチを含む) を適用したり、ワーカー・ノードのリブート、再ロード、または置換を要求したりします。

• Red Hat OpenShift on IBM Cloud API、 CLIプラグイン、 コンソールなど、クラスタ管理を自動化するツール群を提供する。
• Red Hat OpenShift マスターパッチの OS、バージョン、およびセキュリティアップデートを自動的に適用します。
• マスターノードのメジャーアップデートとマイナーアップデートを適用できるようにします。
• ワーカーノードのメジャー、マイナー、およびパッチ OS、バージョン、セキュリティアップデートを提供します。
• クラスタのマスターノードとワーカーノードをアップデートするための自動化リクエストに対応します。

• API、CLI、またはコンソール・ツールを使用して、提供されたメジャーおよびマイナーの Red Hat OpenShift マスター更新と、ワーカー・ノードのメジャー、マイナー、およびパッチ更新を適用します。

• IBM Cloud Logs をクラスタと統合し、クラスタでユーザが行ったアクションを監査する機能を提供する。

• IBM Cloud Logs、またはクラスタ内のユーザーのアクティビティを追跡するその他の機能を設定します。

• PCI DSS など、さまざまな業界コンプライアンス標準に対応した制御を維持します。 業界標準への準拠は、クラスターのインフラストラクチャー・プロバイダー (クラシックや VPC など) によって異なります。
  -クラスター・マスターをモニター、分離、およびリカバリーします。
• Kubernetes マスター API サーバー、 etcd、スケジューラー、およびコントローラー・マネージャー・コンポーネントの可用性の高いレプリカを提供し、マスター障害から保護します。
  -クラスター・ネットワーク接続のオプションを提供します。
  -専用仮想マシンやベアメタルなどのコンピュート分離のオプションを提供します。
• Kubernetes の役割ベースのアクセス制御 (RBAC) を IBM Cloud Identity and Access Management (IAM) と統合します。

• アプリとデータに対してセキュリティーおよび法規制コンプライアンスをセットアップして保守します。 例えば、 クラシック・クラスター・ネットワーキング または VPC クラスター・ネットワーキング、 機密情報の保護 ( IBM Key Protect 暗号化など) をセットアップする方法を選択し、ワークロードのセキュリティーとコンプライアンスのニーズに合わせて追加の セキュリティー設定 を構成します。 適用可能であれば、 ファイアウォールを構成します。

• さまざまなインターフェースのマスター ノードとワーカー ノードの状態を監視および報告します。
• マスター セキュリティ パッチ更新を自動的に適用し、ワーカー ノード セキュリティ パッチ更新を提供します。
• ワーカーノード上の暗号化ディスクなどの特定のセキュリティ設定を有効にする
• ユーザーがホストに SSH 接続することを許可しないなど、ワーカー ノードの特定の安全でないアクションを無効にします。
• マスターノードとワーカーノード間の通信を TLS で暗号化します。
• 提供するCIS-準拠Linuxワーカーノードのオペレーティング システムのイメージ。
• マスターノードとワーカーノードのイメージを継続的に監視し、脆弱性とセキュリティコンプライアンスの問題を検出します。
• プロバイダー管理の暗号化は、すべてのボリュームでデフォルトで有効になっています。

ワーカー ノードのインシデントおよび運用管理責任の一環として、提供されているセキュリティ パッチ更新を適用します。

• オプションで、ワーカー ノード ボリュームに独自のキーによる暗号化を構成します。

-お客様が複数のゾーンおよびリージョンをまたがってクラスターをデプロイして DR の許容度を向上させられるように、世界中の場所でサービスの可用性を維持します。
-高可用性のためにマスター・コンポーネントの 3 つのレプリカを使用してクラスターをプロビジョンします。
-マルチゾーン・リージョンでは、マスター・レプリカを複数ゾーンに自動的に分散させます。
-サービス環境の信頼性と可用性を確保するため、サイトの信頼性エンジニアが継続的にモニターします。

• Ingress アプリケーション・ロード・バランサーやファイル・ストレージ・プラグインなど、クラスター内の Red Hat OpenShift on IBM Cloud および Kubernetes コンポーネントを更新およびリカバリーします。
• Kubernetes ワークロード構成ファイルなど、etcd にあるデータをバックアップおよびリカバリーします。
  -データのバックアップおよびリストアを行えるように、ストレージ・プロバイダーなどの他の IBM Cloud サービスと統合する機能を提供します。

• アプリとデータの災害復旧機能をセットアップして保守します。 例えば、HA/DR シナリオのためにクラスターを準備するには、Red Hat OpenShift on IBM Cloud の高可用性のガイダンスに従ってください。 アプリケーションのログやクラスターのメトリックなどのデータの永続ストレージは、デフォルトではセットアップされないことに注意してください。

• Red Hat OpenShift コンポーネントがインストールされたクラスターをプロビジョンして、コンテナー化されたアプリをデプロイおよび管理するための Red Hat OpenShift API にアクセスできるようにします。
  -Diagnostics and Debug Tool など、アプリの機能を拡張するためのいくつかのマネージド・アドオンを提供します。 IBM が管理対象アドオンのインストールとアップデートを提供するため、メンテナンスが簡素化されます。
• IBM Cloud Logs、 Monitoring、 Portworx などの厳選されたサードパーティパートナーシップテクノロジーとのクラスタ統合を提供します。
• 他の IBM Cloud サービスへのサービスバインディングを可能にする自動化を提供します。
• default Kubernetes ネームスペース内のデプロイメントが IBM Cloud Container Registry からイメージをプルできるように、イメージプルシークレットを持つクラスタを作成します。
• コミュニティ、サードパーティ、および独自のサービスをクラスタに追加するための Operator を設定するために使用できる Red Hat OpenShift API へのアクセスを提供します。 オペレーターは、クラスター・セキュリティー・ポリシーの変更など、手動で調整しないと機能しない可能性があることに注意してください。
• アプリで使用する永続ボリュームをサポートするストレージ・クラスとストレージ・プラグインを提供します。
• 非セキュアなアクセスを防止するようにセキュリティー設定を自動的に構成します (ワーカー・ノード・コンピュート・ホストへの SSH 接続を無効にするなどします)。
• クラスターにおいて IBM Cloud IAM サービス・アクセス役割を Kubernetes RBAC 役割と自動的に統合します。
• リソース・グループとリージョンごとにインフラストラクチャー許可へのアクセスに使用される API キーを生成します。

• アプリ、データ、およびそれらの完全なライフサイクルに対する責任を維持します。
• Operatorsを使用するなどしてコミュニティ、サードパーティ、独自のサービス、またはその他のサービスをクラスタに追加する場合は、これらのサービスに対する責任と、適切なプロバイダと協力して問題のトラブルシューティングを行う責任を負います。
• 提供されるツールや機能を使用して、設定とデプロイ、最新状態の維持、リソース要求と制限の設定、アプリを実行するのに十分なリソースを確保するための ワーカープールのサイズ設定、権限の設定、他のサービスとの統合、 デプロイしたOperatorやテンプレートの管理、外部へのサービス提供、データの保存、バックアップ、リストア、および 可用性 と回復力の高いワークロードの管理などを行います。
• 一部のマネージド・アドオン・オペレータでは、アップデートの適用方法を制御できます。 アップデートを手動で適用することを選択した場合、アップデートが利用可能になると通知を受け取り、速やかに手動アップデートを完了する必要があります。 アップデートを自動的に適用するように選択した場合、通知を受け取りますが、アップデートは自動的に適用されます。 ロールバック機能はないので、アップデート戦略は慎重に選ぶこと。

• プラットフォーム・レベルの標準 を維持し、お客様のデータを国際的なセキュリティ・コンプライアンス規格と同等の管理下で保存することができます。
• Red Hat OpenShift コンポーネントがインストールされたクラスターをプロビジョニングして、シークレットや構成マップなど、アプリのデータ管理に役立つ Red Hat OpenShift API を利用できるようにします。
• データの保存や管理に利用できる IBM Cloud のサービスを統合します。例えば、IBM Cloud データベースや Object Storage などがあります。
• 最新の人工知能テクノロジーによって最大限に洞察を得てデータを活用できる IBM Watson サービスを統合します。

• データに関する責任と、アプリがデータを使用する仕組みを保守します。