IBM Cloud Docs
您在 Satellite 上使用 Red Hat OpenShift 的职责

您在 Satellite 上使用 Red Hat OpenShift 的职责

了解在 Satellite 集群上使用 Red Hat OpenShift 时所承担的集群管理职责。 有关总体使用条款,请参阅云服务条款

共同责任概述

Red Hat OpenShift on IBM Cloud 是 IBM Cloud 共享责任模型 中的受管服务。 查看下表,了解在使用 Red Hat OpenShift on IBM Cloud时负责特定云资源的人员。 然后,您可以在 按区域划分的共享职责任务 中查看更细粒度的共享职责任务。

如果您使用其他 IBM Cloud 产品 (例如 Object Storage),那么下表中标记为您的职责 (例如,数据灾难恢复) 可能是 IBM的职责或共享的职责。 请查阅这些产品的文档以了解您的职责。

按资源划分的责任。
资源 事件和操作管理 变更管理 身份和访问管理 安全性和法规合规性 灾难恢复
数据
应用程序
可观察性 共享 IBM 共享 IBM IBM
应用程序联网 共享 IBM IBM IBM IBM
集群联网 共享 IBM IBM IBM IBM
集群版本 IBM 共享 IBM IBM IBM
工作程序节点 共享 共享 IBM IBM IBM
IBM IBM IBM IBM IBM
服务 IBM IBM IBM IBM IBM
虚拟存储器
虚拟网络
系统管理程序
物理服务器和内存
物理存储器
物理网络和设备
设施和数据中心

按区域划分的共享职责的任务

查看 概述 后,查看您和 IBM 在使用 Red Hat OpenShift on IBM Cloud时对每个区域和资源分担责任的任务。

事件和操作管理

您与 IBM 共同负责针对应用程序工作负载设置和维护 Red Hat OpenShift on IBM Cloud 集群环境。 您负责应用程序数据的事件和操作管理。

事故和业务管理职责
资源 IBM 职责 您的责任
工作程序节点 -在受保护的 IBM拥有的基础架构帐户中部署完全受管的高可用性专用管理平面。
-确保在正确设置用户帐户和许可权时成功供应工作程序节点,并且存在足够的配额。
-满足更多基础架构 (例如,添加,重新装入,更新和除去工作程序节点) 的请求。
-提供工具,例如, 集群自动缩放器 扩展集群基础结构。
-实现自动化请求以帮助恢复工作程序节点。
-使用所提供的 API , CLI 或控制台工具来调整计算和 存储 容量以满足工作负载的需要。
-使用所提供的 API , CLI 或控制台工具来请求重新引导,重新装入或替换工作程序节点,并对诸如工作程序节点处于 运行状况不佳状态之类的问题进行故障诊断。
集群联网 -设置集群管理组件,例如公共或私有云服务端点, VLAN 和负载均衡器。
-实现对更多基础结构的请求,例如在调整工作程序池大小时将工作程序节点连接到现有子网。
-创建具有子网 IP 地址的集群,保留用于在外部公开应用程序。
-在创建集群时,在主节点与工作程序节点之间设置连接。
-提供使用内部部署资源 (例如,通过 strongSwan IPSec VPN 服务或 IBM Cloud VPC VPN) 设置 VPN 连接的能力。
-提供使用边缘节点隔离网络流量的能力。
  • 使用提供的 API、CLI 或控制台工具调整群集网络配置,以满足工作负载的需要,例如配置服务端点、添加 VLAN 以为更多工作节点提供 IP 地址、设置 VPN 连接或边缘节点工作池。
应用程序联网 -设置多专区 (如果适用) 的公共应用程序负载均衡器 (ALB)。 提供设置专用 ALB 和公用或专用网络负载均衡器 (NLB) 的能力。
-支持本机 Kubernetes 公用和专用负载均衡器和 Ingress 路由以在外部公开服务。
-将 Calico 安装为容器联网接口,并设置缺省 Calico 网络策略以控制基本集群流量。
-设置所需的任何其他应用程序联网功能,例如专用 ALB,公共或专用 NLB 或其他 Calico 网络策略。
可观察性
  • 提供 IBM Cloud Logs 和 Monitoring 作为托管附加组件,以便观察集群和容器环境。 IBM 负责管理插件的安装和更新,因此维护工作对您来说非常简单。
  • 提供与 IBM Cloud Logs 的集群集成,并发送 Red Hat OpenShift on IBM Cloud API事件以供审计。

变更管理

您与 IBM 共同负责将集群保留在最新的容器平台和操作系统版本,以及恢复可能需要更改的基础架构资源。 您负责应用程序数据的变更管理。

变革管理的责任
资源 IBM 职责 您的责任
工作程序节点 -提供工作程序节点补丁操作系统 (OS) ,版本和安全性更新。
-实现自动化请求以更新和恢复工作程序节点。
-使用 API,CLI 或控制台工具来 应用 提供的包含操作系统补丁的工作程序节点更新; 或者请求重新引导,重新装入或替换工作程序节点。
集群版本 -提供用于自动执行集群管理的工具套件,例如 Red Hat OpenShift on IBM Cloud APICLI 插件控制台
-自动应用 Red Hat OpenShift 主补丁操作系统,版本和安全性更新。
-使主节点的主要和次要更新可供您应用。
-提供工作程序节点主要,次要和补丁操作系统,版本,
-实现自动化请求以更新集群主节点和工作程序节点。
  • 使用 API、CLI 或控制台工具 应用 提供的主要和次要 Red Hat OpenShift 主更新以及主要、次要和补丁工作节点更新。

身份和访问权管理

您和 IBM 共同负责控制对 Red Hat OpenShift on IBM Cloud 实例的访问。 对于 IBM Cloud® Identity and Access Management 职责,请参阅该产品的文档。 您负责对应用程序数据进行身份和访问管理。

身份和访问管理的责任
资源 IBM 职责 您的责任
可观察性 提供将 IBM Cloud Logs 与您的集群集成的功能,以审核用户在集群中执行的操作。 设置 IBM Cloud Logs 或其他功能,以跟踪集群中的用户活动。

安全性和法规合规性

IBM 负责 Red Hat OpenShift on IBM Cloud的安全性和合规性。 根据用于集群的基础架构提供者 (例如,经典或 VPC),行业标准的合规性有所不同。 您负责集群中运行的任何工作负载以及应用程序数据的安全性和合规性。 有关更多信息,请参阅 服务符合哪些标准?

安全和法规合规责任
资源 IBM 职责 您的责任
常规
  • 保持与 各种行业合规标准 (如 PCI DSS)相适应的控制措施。 根据集群的基础架构提供程序 (例如,经典或 VPC) ,行业标准合规性会有所不同。
    -监视,隔离和恢复集群主节点。
    -提供 Kubernetes 主 API 服务器, etcd,调度程序和控制器管理器组件的高可用性副本,以防止主节点中断。
    -监视并报告各种接口中主节点和工作程序节点的运行状况。
    -自动应用主安全补丁更新,并提供工作程序节点安全补丁更新。
    -启用某些安全设置,例如工作程序节点上的加密磁盘。
    -对工作程序节点禁用某些不安全操作,例如不允许用户通过 SSH 登录到主机。
    -使用 TLS 加密主节点与工作程序节点之间的通信。
    -为工作程序节点操作系统提供符合 CIS的 Linux 映像。
    -持续监视主节点和工作程序节点映像以检测漏洞和安全合规性问题。
    -为工作程序节点提供两个本地 SSD , AES 256 位加密数据分区。
    -提供用于集群网络连接的选项,例如公共和私有云服务端点。
    -提供用于计算隔离的选项, 例如,专用虚拟机或裸机。
    -将 Kubernetes 基于角色的访问控制 (RBAC) 与 IBM Cloud Identity and Access Management (IAM) 集成。
-设置并维护应用和数据的安全和法规合规性。 例如,选择如何设置集群网络,保护敏感信息 (例如使用 IBM Key Protect 加密),以及配置进一步的安全设置以满足工作负载的安全性和合规性需求。 如果适用,请配置防火墙。
-作为工作程序节点的事件和操作管理职责的一部分,应用所提供的安全补丁更新。

灾难恢复

IBM 负责在发生灾难时恢复 Red Hat OpenShift on IBM Cloud 组件。 您负责恢复运行集群和应用程序数据的工作负载。 如果与其他 IBM Cloud 服务 (例如文件,块,对象,云数据库,日志记录或审计事件服务) 集成,请参阅这些服务的灾难恢复信息。

灾难恢复的责任
资源 IBM 职责 您的责任
常规 -跨 全球位置 维护服务可用性,以便客户可以跨专区和区域部署集群,以实现更高的 DR 容差。
-供应具有三个主组件副本的集群以实现高可用性。
-在多专区区域中,自动跨专区分布主副本。
-持续监视以确保站点可靠性工程师提供服务环境的可靠性和可用性。
-在集群中更新和恢复可操作的 Red Hat OpenShift on IBM Cloud 和 Kubernetes 组件,例如 Ingress 应用程序负载均衡器和文件存储器插件。
-在 etcd中备份和恢复数据。 例如, Kubernetes 工作负载配置文件
-提供与其他 IBM Cloud 服务 (例如,存储提供程序) 集成的能力,以便可以备份和复原数据。
-设置并维护应用和数据的灾难恢复功能。 例如,要为 HA/DR 情景准备群集,请遵循 创建高度可用的群集策略 中针对 Red Hat OpenShift on IBM Cloud 的指导。 请注意,缺省情况下未设置数据 (例如,应用程序日志和集群度量) 的持久存储。

应用程序和数据

您完全负责部署到 IBM Cloud的应用程序,工作负载和数据。 但是,IBM 提供了各种工具来帮助您设置,管理,保护,集成和优化应用程序,如下表中所述。

应用和数据
资源 IBM 如何提供帮助 可以执行的操作
应用程序

-供应已安装 Red Hat OpenShift 组件的集群,以便您可以访问 Red Hat OpenShift API 以部署和管理容器化应用程序。
-提供多个受管附加组件以扩展应用程序的功能,例如诊断和调试工具。 IBM 为您简化了维护工作,因为它负责管理插件的安装和更新。
——提供与精选第三方合作技术的集群集成,例如 IBM Cloud Logs、 Monitoring 和 Portworx。
——提供自动化功能,使服务能够绑定到其他 IBM Cloud 服务。

  • 创建具有镜像提取密钥的集群,以便您在 default Kubernetes 命名空间中的部署可以从 IBM Cloud Container Registry 提取镜像。
  • 提供对 Red Hat OpenShift API 的访问权限,您可以使用这些 API 设置操作员,以便将社区、第三方和您自己的服务添加到您的集群中。 请注意,没有手动调整 (例如,集群安全策略中的更改) ,操作程序可能无法工作。
    -提供存储类和插件以支持持久卷用于应用程序。
    -自动配置安全设置以防止不安全的访问,例如,禁用对工作程序节点计算主机的 SSH。
    -自动将 IBM Cloud IAM 服务访问角色与集群中的 Kubernetes RBAC 角色集成。
    -生成用于访问每个资源组和区域的基础架构许可权的 API 密钥。
-维护对应用程序,数据及其完整生命周期的责任。
-如果向集群添加社区,第三方,您自己的服务或其他服务 (例如,通过使用操作程序) ,那么您将负责这些服务,并负责与相应的提供程序一起对任何问题进行故障诊断。
-使用提供的工具和功能来配置和部署; 跟上日期; 设置资源请求和限制; 调整工作程序池的大小以具有足够的资源来运行应用程序; 设置许可权; 与其他服务集成; 管理您部署的任何操作程序或模板; 外部服务; 保存,备份和复原数据; 以及以其他方式管理高可用性和弹性工作负载。
数据 -维护 平台级别标准 ,以便可以使用与领先的国际安全合规性标准相称的控件来存储数据。
-供应已安装 Red Hat OpenShift 组件的集群,以便您可以访问 Red Hat OpenShift API 以帮助管理应用程序数据,例如使用私钥和 ConfigMap。
-与可用于存储和管理数据的 IBM Cloud 服务集成,例如, IBM Cloud 数据库或 Object Storage。
-与 IBM Watson 服务集成,您可以使用这些服务通过最新的人工智能技术最大限度提高数据的洞察力和使用效率。
-维护对数据的责任以及应用程序使用数据的方式。