IBM Cloud Docs
使用 Red Hat OpenShift on IBM Cloud 的责任

使用 Red Hat OpenShift on IBM Cloud 的责任

了解使用 Red Hat® OpenShift® on IBM Cloud® 时您的集群管理责任。 有关总体使用条款,请参阅云服务条款

共同责任概述

Red Hat OpenShift on IBM Cloud 是 IBM Cloud 共享责任模型 中的受管服务。 查看使用 Red Hat OpenShift on IBM Cloud时负责特定云资源的人员的下表。 然后,您可以在 按区域划分的共享职责任务 中查看更详细的共享职责任务。

如果使用其他 IBM Cloud 产品 (例如 Object Storage),那么下表中标记为您的职责 (例如,数据灾难恢复) 可能是 IBM的职责或共享的职责。 请查阅这些产品的文档以了解您的职责。

按资源划分的责任。
资源 事件和操作管理 变更管理 身份和访问管理 安全性和法规合规性 灾难恢复
数据
应用程序
可观察性 共享 IBM 共享 IBM IBM
应用程序联网 共享 IBM IBM IBM IBM
集群联网 共享 IBM IBM IBM IBM
集群版本 IBM 共享 IBM IBM IBM
工作程序节点 共享 共享 IBM 共享 IBM
IBM IBM IBM IBM IBM
服务 IBM IBM IBM IBM IBM
虚拟存储器 IBM IBM IBM IBM IBM
虚拟网络 IBM IBM IBM IBM IBM
系统管理程序 IBM IBM IBM IBM IBM
物理服务器和内存 IBM IBM IBM IBM IBM
物理存储器 IBM IBM IBM IBM IBM
物理网络和设备 IBM IBM IBM IBM IBM
设施和数据中心 IBM IBM IBM IBM IBM

按区域划分的共享职责的任务

查看 概述 后,查看您和 IBM 在使用 Red Hat OpenShift on IBM Cloud时对每个区域和资源分担责任的任务。

事件和操作管理

您与 IBM 共同负责针对应用程序工作负载设置和维护 Red Hat OpenShift on IBM Cloud 集群环境。 您负责应用程序数据的事件和操作管理。

事故和业务管理职责
资源 IBM 职责 您的责任
工作程序节点 -在每个集群的受保护的 IBM拥有的基础架构帐户中部署完全受管的高可用性专用主节点。
-在 IBM Cloud 基础架构帐户中供应工作程序节点。
-确保在正确设置用户帐户和许可权时成功供应工作程序节点,并且存在足够的配额。
-满足对更多基础架构的请求,例如添加,重新装入,更新和除去工作程序节点。
-提供工具 (例如 集群自动缩放器) 以扩展集群基础结构。
-集成有序基础结构资源以自动使用集群体系结构,并可用于已部署的应用程序和工作负载。
-实现自动化请求以帮助恢复工作程序节点。
-使用提供的 API , CLI 或控制台工具来调整计算和存储容量以满足工作负载的需求。
-使用提供的 API , CLI 或控制台工具来请求重新引导,重新装入或替换工作程序节点,并对诸如工作程序节点处于 不正常状态时之类的问题进行故障诊断。
集群联网 -设置集群管理组件,例如公共或私有云服务端点, VLAN 和负载均衡器。
-实现对更多基础结构的请求,例如在调整工作程序池大小时将工作程序节点连接到现有 VLAN 或子网。
-创建具有保留用于在外部公开应用程序的子网 IP 地址的集群。
-在创建集群时,在主节点与工作程序节点之间设置康奈性连接。
-提供使用内部部署资源 (例如,通过 strongSwan IPSec VPN 服务或 IBM Cloud VPC VPN) 设置 VPN 连接的能力。
-提供使用边缘节点隔离网络流量的能力。
-使用提供的 API,CLI 或控制台工具来调整 集群联网配置 以满足工作负载的需求,例如配置服务端点,添加 VLAN 以提供更多工作程序节点的 IP 地址,设置 VPN 连接或边缘节点工作程序池。
应用程序联网 -设置多专区 (如果适用) 的公共应用程序负载均衡器 (ALB)。 提供设置专用 ALB 以及公用或专用网络负载均衡器 (NLB) 的功能。
-支持本机 Kubernetes 公用和专用负载均衡器以及用于在外部公开服务的 Ingress 路由。
-将 Calico 安装为容器联网接口,并设置缺省 Calico 网络策略以控制基本集群流量。
-设置所需的任何其他应用程序联网功能,例如专用 ALB,公共或专用 NLB 或其他 Calico 网络策略。
可观察性
  • 提供 IBM Cloud Logs 和 Monitoring 作为托管附加组件,以便观察集群和容器环境。 IBM 负责管理插件的安装和更新,因此维护工作对您来说非常简单。
  • 提供与 IBM Cloud Logs 的集群集成,并发送 Red Hat OpenShift on IBM Cloud API事件以供审计。

变更管理

您和 IBM 共同承担将集群保留在最新容器平台和操作系统版本的责任,以及恢复可能需要更改的基础架构资源。 您负责应用程序数据的变更管理。

变革管理的责任
资源 IBM 职责 您的责任
工作程序节点 -提供工作程序节点补丁操作系统 (OS) ,版本和安全性更新。
-实现自动化请求以更新和恢复工作程序节点。
-使用 API,CLI 或控制台工具 应用 提供的包含操作系统补丁的工作程序节点更新; 或者请求重新引导,重新装入或替换工作程序节点。
集群版本 -提供用于自动执行集群管理的工具套件,例如 Red Hat OpenShift on IBM Cloud APICLI 插件控制台
-自动应用 Red Hat OpenShift 主补丁操作系统,版本和安全性更新。
-使主节点的主要和次要更新可供您应用。
-提供工作程序节点主要,次要和补丁操作系统,版本,
-实现自动化请求以更新集群主节点和工作程序节点。
  • 使用 API、CLI 或控制台工具 应用 提供的主要和次要 Red Hat OpenShift 主更新以及主要、次要和补丁工作节点更新。

身份和访问权管理

您与 IBM 共同负责控制对 Red Hat OpenShift on IBM Cloud 实例的访问。 对于 IBM Cloud® Identity and Access Management 职责,请参阅该产品的文档。 您负责对应用程序数据进行身份和访问管理。

身份和访问管理的责任
资源 IBM 职责 您的责任
可观察性
  • 提供将 IBM Cloud Logs 与您的集群集成的功能,以审核用户在集群中执行的操作。
  • 设置 IBM Cloud Logs 或其他功能,以跟踪集群中的用户活动。

安全性和法规合规性

IBM 负责 Red Hat OpenShift on IBM Cloud的安全性和合规性。 根据用于集群的基础架构提供者 (例如,经典或 VPC),行业标准的合规性有所不同。 您负责集群中运行的任何工作负载以及应用程序数据的安全性和合规性。 有关更多信息,请参阅 服务符合哪些标准?

安全和法规合规责任
资源 IBM 职责 您的责任
常规
  • 保持与 各种行业合规标准 (如 PCI DSS)相适应的控制措施。 根据集群的基础架构提供者 (例如,经典或 VPC) ,行业标准合规性会有所不同。
    -监视,隔离和恢复集群主节点。
    -提供 Kubernetes 主节点 API 服务器, etcd,调度程序和控制器管理器组件的高可用性副本,以防止主节点中断。
    -提供用于集群网络连接的选项,例如公共和私有云服务端点。
    -提供计算隔离选项,例如专用虚拟机或裸机。
    -将 Kubernetes 基于角色的访问控制 (RBAC) 与 IBM Cloud Identity and Access Management (IAM) 集成。
-设置并维护应用和数据的安全和法规合规性。 例如,选择如何设置 经典集群联网VPC 集群联网保护敏感信息 (例如,使用 IBM Key Protect 加密),并配置进一步的 安全设置 以满足工作负载的安全性和合规性需求。 如果适用,请配置防火墙
工作程序节点
  • 自动应用主节点安全补丁更新,并提供工作节点安全补丁更新。
  • 启用某些安全设置,如工作节点上的加密磁盘
  • 禁用工作节点的某些不安全操作,如不允许用户以 SSH 方式进入主机。
  • 使用 TLS 加密主节点和工作节点之间的通信
  • 为工作节点操作系统提供符合 CIS 标准的 Linux 映像
  • 持续监控主节点和工作节点映像,以检测漏洞和安全合规性问题
  • 默认在所有卷上启用提供商管理加密。
  • 可选为工作节点卷配置自带密钥加密。

灾难恢复

IBM 负责在发生灾难时恢复 Red Hat OpenShift on IBM Cloud 组件。 您负责恢复运行集群和应用程序数据的工作负载。 如果与其他 IBM Cloud 服务 (例如文件,块,对象,云数据库,日志记录或审计事件服务) 集成,请参阅这些服务的灾难恢复信息。

灾难恢复的责任
资源 IBM 职责 您的责任
常规 -在 全球位置 之间维护服务可用性,以便客户可以跨专区和区域部署集群以实现更高的 DR 容错。
-供应具有三个主组件副本的集群以实现高可用性。
-在多专区区域中,自动跨专区分布主副本。
-持续监视以确保站点可靠性工程师提供服务环境的可靠性和可用性。
-在集群中更新和恢复可操作的 Red Hat OpenShift on IBM Cloud 和 Kubernetes 组件,例如 Ingress 应用程序负载均衡器和文件存储器插件。
-在 etcd中备份和恢复数据。 例如, Kubernetes 工作负载配置文件
-提供与其他 IBM Cloud 服务 (例如,存储提供程序) 集成的能力,以便可以备份和复原数据。
-设置并维护应用程序和数据的灾难恢复功能。 例如,要为 HA/DR 方案准备集群,请遵循 High availability for Red Hat OpenShift on IBM Cloud 中的指导。 请注意,缺省情况下未设置数据 (例如,应用程序日志和集群度量) 的持久存储。

应用程序和数据

您完全负责部署到 IBM Cloud的应用程序,工作负载和数据。 但是,IBM 提供了各种工具来帮助您设置,管理,保护,集成和优化应用程序,如下表中所述。

应用和数据
资源 IBM 如何提供帮助 可以执行的操作
应用程序

-供应已安装 Red Hat OpenShift 组件的集群,以便您可以访问 Red Hat OpenShift API 以部署和管理容器化应用程序。
-提供多个受管附加组件以扩展应用程序的功能,例如诊断和调试工具。 IBM 为您简化了维护工作,因为它负责管理插件的安装和更新。
——提供与精选第三方合作技术的集群集成,例如 IBM Cloud Logs、 Monitoring 和 Portworx。
——提供自动化功能,使服务能够绑定到其他 IBM Cloud 服务。

  • 创建具有镜像提取密钥的集群,以便您在 default Kubernetes 命名空间中的部署可以从 IBM Cloud Container Registry 提取镜像。
  • 提供对 Red Hat OpenShift API 的访问权限,您可以使用这些 API 设置操作员,以便将社区、第三方和您自己的服务添加到您的集群中。 请注意,没有手动调整 (例如,集群安全策略中的更改) ,操作程序可能无法工作。
    -提供存储类和插件以支持持久卷用于应用程序。
    -自动配置安全设置以防止不安全的访问,例如,禁用对工作程序节点计算主机的 SSH。
    -自动将 IBM Cloud IAM 服务访问角色与集群中的 Kubernetes RBAC 角色集成。
    -生成用于访问每个资源组和区域的基础架构许可权的 API 密钥。
数据 -维护 平台级别标准 ,以便可以使用与领先的国际安全合规性标准相称的控件来存储数据。
-供应已安装 Red Hat OpenShift 组件的集群,以便您可以访问 Red Hat OpenShift API 以帮助管理应用程序数据,例如使用私钥和 ConfigMap。
-与可用于存储和管理数据的 IBM Cloud 服务集成,例如 IBM Cloud 数据库或 Object Storage。
-与 IBM Watson 服务集成,您可以使用这些服务通过最新的人工智能技术来最大限度提高数据的洞察和使用。
-维护对数据的责任以及应用程序使用数据的方式。