IBM Cloud Docs
お客様の責任

お客様の責任

IBM Cloud Satellite® を使用する際の管理責任とご利用条件について説明します。 IBM Cloud のサービス・タイプの概要、および各タイプのお客様と IBM の責任の内訳については、IBM Cloud オファリングの責任の共有を参照してください。

IBM をご利用いただく場合のお客様と IBM Cloud Satellite の具体的な責任については、以下のセクションをご確認ください。 全体的な使用条件については、IBM Cloud の用語と特記事項を参照してください。 IBM Cloud で使用するその他の Satellite サービスに対するお客様の責任については、それらのサービスの資料 (Red Hat OpenShift on IBM Cloud の責任など) を参照してください。

責任分担についての概要

IBM Cloud Satellite は、IBM Cloud の責任分担モデルのマネージド・サービスです。 以下の表で、IBM Cloud Satellite を使用する場合の各クラウド・リソースの責任者が誰か確認してください。

共有責任の概要
リソース インシデントと操作の管理 変更管理 ID とアクセスの管理 セキュリティーおよび法規制コンプライアンス 災害復旧
データ ユーザー ユーザー ユーザー ユーザー ユーザー
アプリケーション ユーザー ユーザー ユーザー ユーザー ユーザー
Satellite ロケーション 共有 共有 共有 共有 共有
Satellite ホスト 共有 共有 共有 共有 共有
Satellite 構成 共有 共有 共有 共有 共有
Satellite Link 共有 共有 共有 共有 ユーザー
Satellite コネクター 共有 共有 共有 共有 共有
Satellite コネクター・エージェント・コンテナー・プラットフォーム You You You You You
Satellite コネクター・エージェント・イメージ 共有 あなた 共有 共有 あなた
Satellite コネクター・エージェントの Windows プラットフォーム You You You You You
Satellite Windows サービス用コネクタ エージェント 共有 あなた 共有 共有 あなた
Satellite Storage Shared Shared You Shared Shared
Satellite対応サービス 共有 共有 共有 共有 共有
オペレーティング・システム あなた 共有 あなた 共有 あなた
仮想サーバーとベア・メタル・サーバー ユーザー ユーザー ユーザー ユーザー ユーザー
仮想ストレージ ユーザー ユーザー ユーザー ユーザー ユーザー
仮想ネットワーク ユーザー ユーザー ユーザー ユーザー ユーザー
ハイパーバイザー ユーザー ユーザー ユーザー ユーザー ユーザー
物理サーバーとメモリー ユーザー ユーザー ユーザー ユーザー ユーザー
物理ストレージ ユーザー ユーザー ユーザー ユーザー ユーザー
物理ネットワークとデバイス ユーザー ユーザー ユーザー ユーザー ユーザー
施設およびデータ・センター ユーザー ユーザー ユーザー ユーザー ユーザー

領域別の責任分担の作業

概要を確認したら、IBM を使用する場合にお客様と IBM Cloud Satellite が責任を分担する作業について、領域別、リソース別に確認してください。

インシデントおよび運用管理

インシデントと運用の管理には、モニター、イベント管理、高可用性、問題判別、復旧、完全な状態のバックアップとリカバリーなどのタスクが含まれます。

事故および業務に関する責任
タスク IBM の責任 お客様の責任
一般
  • Satellite ロケーションに対して 24x7 のお客様サポートを提供します。
  • 発生する可能性のある問題の解決に役立てるため、お客様サポート計画を提供します。
  • Satellite で IBM Cloud をお客様の環境に拡張するために使用するコンピュート、ネットワーク、およびストレージの基盤インフラストラクチャーをお客様の環境に用意します。
Satellite ロケーション
  • ロケーションの作成や削除など、運用を開始するためのインターフェイスを提供。
  • IBM Cloud マルチゾーン・メトロで完全に管理される、可用性の高いロケーション・コントロール・プレーンを設定します。
  • ロケーションの健全性を監視し、可能な場合は自動的に問題を解決し、手動介入が必要な場合は IBM サイト信頼性エンジニアに警告します。
  • ロケーションイベントを IBM Cloud Logs インスタンスに自動的に転送します。
Satellite ホスト
  • ロケーションへのホストのアタッチやリムーブなどの運用を開始するためのインターフェイスを提供します。
  • 高可用性のために3つのレプリカを持つ、ユーザが提供するホスト上で実行されるロケーション固有のコントロールプレーンを設定します。
  • ユーザーが選択したホスト上で実行できるスクリプトを生成し、 Satellite ロケーションにアタッチします。
  • 指定した Red Hat OpenShift クラスタにワーカーノードとしてホストを割り当てます。
  • ロケーションにアタッチされたホストの健全性を監視し、可能な場合は自動的に問題を解決し、手動介入が必要な場合は IBM サイト信頼性エンジニアに警告します。
  • ホストのイベントを IBM Cloud Logs インスタンスに自動的に転送します。
  • アプリケーション・ワークロードをサポートするために、必要に応じて、ホストおよびプロバイダー固有の要件を満たすホストを Satellite ロケーションに追加または 割り当てます。
  • ロケーション・コントロール・プレーンのサポートに十分な計算リソースをホストに割り当てます。 さらに容量が必要な場合は、ゾーン全体で均等にコントロール・プレーンの数を増やします。増やす場合は、6、9、12 ホストのように、3 の倍数で増やしていきます。
  • ホストが Satellite ロケーションに接続できるように、ネットワークの初期構成を行います。例えば、ファイアウォールまたは仮想プライベート・ネットワーク (VPN) 経由の接続を許可します。
  • オンプレミスまたはユーザー提供の環境で、ホストを高可用性アーキテクチャーでセットアップします。例えば、3 つの異なるゾーンに設定します。
  • 提供されているツールを使用して、ホストの管理とホストで発生する可能性のある問題のデバッグを実行します。
Satellite Config
  • ロケーションに登録されているクラスタ全体の Kubernetes リソースのデプロイメントを管理するために使用できる、可用性の高い構成管理サービスを提供します。
  • 構成の作成や削除などの運用アクティビティを開始するためのインタフェースを提供する。
  • Satellite Config にクラスタを登録するために、ユーザーが Red Hat OpenShift クラスタで実行できる kubectl コマンドを提供します。
  • Kubernetes リソースコンフィギュレーションの作成、新バージョンのアップロード、および以前のバージョンを含むバージョンへのクラスタのサブセットのサブスクライブ機能を提供します。
  • アプリの設定ファイルを可用性の高いバックエンドのデータストア(etcd )に保存します。
  • 設定イベントを IBM Cloud Logs インスタンスに自動的に転送します。
  • 提供されているツールを使用して、クラスターをセットアップし、Kubernetes 構成ファイルの内容をその構成のバージョンとしてアップロードし、その構成に対してクラスターをサブスクライブします。 クラスターで実行されるアプリについてはお客様の責任であることに注意してください。ただし、Satellite 構成を使用して、一貫してアプリをデプロイおよび更新できます。
Satellite Link
  • Satellite の場所に Satellite Link トンネルクライアントをセットアップし、コントロールプレーンノードを管理プレーンに接続する。
  • Satellite ロケーションと IBM Cloud または一般にアクセス可能なエンドポイント間の接続を許可するインターフェイスを提供する。
  • ロケーションとエンドポイント間の接続を有効化および無効化する機能を提供する。
  • エンドポイントの送受信ネットワーク・トラフィックを自動的に収集する。
  • エンドポイントのメトリクスを確認するためのダッシュボードを提供し、エンドポイントのログを IBM Cloud Logs インスタンスに自動的に送信します。
  • リンク・イベントを IBM Cloud Logs インスタンスに自動的に転送します。
  • 提供されているツールを使用して、 Satellite ロケーションエンドポイントを 作成および管理 します。
  • Satellite コントロールプレーンの Satellite Link トンネルクライアントが 有効になって いることを確認し、ロケーションとロケーション外のエンドポイント間のネットワークトラフィックを許可します。
  • ロケーションでアプリを正常に実行するために必要な接続を有効にし、エンドポイントの接続に関する問題をデバッグします。
Satellite ストレージ
  • ストレージ構成の作成や、ロケーションに接続されているクラスターへの構成の割り当てなどの操作を開始するためのインターフェースを提供します。
  • 接続されているクラスターにストレージ・ドライバー・コンポーネントを自動的にインストールし、アプリ・ストレージを管理するためのストレージ・クラスを提供する一連のストレージ・テンプレートを提供します。
  • データ・タイプ、データ・アクセス頻度、パフォーマンス、耐久性、回復力、可用性、拡張性、暗号化など、アプリケーションの要件に最適なストレージ・タイプを選択します。
  • インストールされているストレージドライバを使用して自動的にプロビジョニングできない物理または仮想ストレージインスタンスを、オンプレミスのデータセンターまたはパブリッククラウドプロバイダーで調達します。
  • 提供されているツールを使用して、ストレージ構成を作成し、接続されているクラスタに構成を割り当てます。
  • Red Hat OpenShift CLI を使用して永続ボリュームと永続ボリュームクレームをプロビジョニングし、アプリのストレージ要件を満たします。
  • アプリにストレージを使用する際に発生する問題をデバッグします。
Satellite 対応 IBM Cloud サービス
  • 特定のグループの IBM Cloud サービス (Red Hat OpenShift クラスター など) を Satellite ロケーションにデプロイする機能を提供します。
    -各サービスの資料を参照して、IBM が維持する追加の責任について確認します。
  • 必要に応じて、提供されているツールを使用して追加のサービスをセットアップします。
  • サービスの資料に従って、計算能力として使用するサービスに十分なホストを提供します。
    -これらのサービスを使用する際に履行すべき追加の責任について、各サービスの資料を確認します。
Satellite コネクター -コネクターの作成や削除などの操作アクティビティーを開始するためのインターフェースを提供します。
-コネクター・イベントを IBM Cloud Activity Tracker インスタンスに自動的に転送します。
提供されているツールを使用して、コネクターを作成します。
Satellite コネクター・エージェント・イメージ
  • IBM Cloud Container Registry内の Satellite コネクター・エージェント・イメージの更新をテストして公開します。
    -CVE のコンテナー・イメージ内のソフトウェアをモニターして更新します。
Satellite コネクター・エージェント・イメージを、 IBM Cloud Container Registryに公開されている新規バージョンに更新する必要があります。
Satellite コネクター・エージェント (Windows サービス用)
  • IBM Cloud内の .zip ファイルとして Satellite Connector Agent for Windows Service に対する更新をテストして公開します。
  • .zip ファイル内のソフトウェアをモニターして更新します。
CLI を使用して取得した IBM Cloudに公開されている新規バージョンへの Satellite Connector Agent for Windows Service の更新は、お客様の責任で行ってください。 詳しくは、 Windows でのエージェントの実行 を参照してください。

変更管理

変更管理には、デプロイメント、構成、オペレーティング・システムのアップグレード、セキュリティー・パッチの適用、構成の変更、削除、バージョン更新などのタスクが含まれます。

変更管理の責任
タスク IBM の責任 お客様の責任
Satellite ロケーション
  • 変更管理アクティビティー (ロケーションの削除など) を開始するためのインターフェースを提供します。
  • ロケーション・コントロール・プレーンに割り当てられているホストを更新し、実行に十分な計算リソースがコントロール・プレーンにあることを確認します。
  • ロケーションを削除する前に、関連付けられているすべてのホストとクラスターを削除します。 ロケーションを削除する前に、そのロケーションについて保持する必要があるバックアップ情報をすべて保存します。
Satellite ホスト
  • 変更管理活動を開始するためのインターフェースを提供する。
  • ホストの健全性を監視し、ホストのオペレーティング・システムのリロードなど、 完了しなければならないアクションとともにステータスを報告する。
  • ホストをある場所にアタッチした後、ホストにSSHでログインする機能を無効にしてセキュリティを強化する。
  • コンテナプラットフォームのメジャー、マイナー、およびフィックスパックのバージョン更新を適用できるようにします。
  • オペレーティング・システム・ソフトウェアのマイナー・バージョンとフィックス・パック・バージョンのアップデートを適用できるようにする。
  • ホストの状況を確認し、オペレーティング・システムの再ロードや更新など、ホスト・インフラストラクチャーの問題を解決するために必要なアクションを実行します。
  • ホストを更新または削除する前に、実行する必要のあるコンポーネントを引き続き実行しするために、クラスターまたはロケーション・コントロール・プレーンに十分な数の追加ホストがあることを確認します。 更新または削除する前に、ホストについて保持したいバックアップ情報を保存します。
  • クラスターから削除したホストを再利用するには、そのホストをロケーションから削除する必要があります。 次に、インフラストラクチャー・プロバイダーで完全なオペレーティング・システムの再ロードを実行して、ホストを自分のロケーションに再接続し、ホストをクラスターに再割り当てします。
  • 使用可能な更新をワーカー・ノードまたはコントロール・プレーン・ホストに適用します。 バージョンの更新が失敗した場合は、更新が適用されるまで、ホストを削除して、そのホストに関するあらゆる問題を再ロードしてトラブルシューティングし、ホストを再接続する必要があります。
Satellite Config
  • 構成やサブスクリプションの更新など、変更管理アクティビティーを開始するためのインターフェースを提供します。
    -サブスクライブしたクラスターに対する構成の変更のロールアウトを自動的に開始します。
  • 構成を削除するときに、サブスクライブしたクラスターで実行される Kubernetes リソースを自動的に削除します。
  • 提供されている Satellite Config および Red Hat OpenShift ツールを使用して、アプリへのすべての変更を管理します。 更新ロールアウト戦略によっては、アプリ・バージョンの更新時に発生する可能性のあるあらゆるダウン時間を含め、アプリのライフサイクルについてはすべてお客様の責任です。
Satellite Link
  • Satellite リンク・トンネル・クライアントのバージョンを保守します。
Satellite ストレージ
  • ストレージ構成の削除やストレージ構成からのクラスターの削除など、変更管理操作を開始するためのインターフェースを提供します。
  • IBM 提供のストレージ・テンプレートのバージョンの更新を提供します。
  • ツールを使用して、ストレージ構成およびクラスターの割り当てを削除します。 これらの構成を削除すると、割り当てられたクラスターでストレージ・ドライバーがアンインストールされることに注意してください。 PVC、PV、およびデータは削除されません。 ただし、ストレージ・ドライバーが再インストールされ、ストレージ構成がクラスターにリストアされるまで、データにアクセスできない場合があります。
  • IBM 提供のストレージ・テンプレート・バージョンの更新を適用して、インストールされているストレージ・ドライバーのコンプライアンスとサポートを維持します。
Satellite 対応サービス
  • 各サービスの資料を参照し、IBM が担うその他の責任について確認してください。 例えば、Red Hat OpenShift on IBM Cloud クラスターについては、IBM は、マスターに対するパッチ・バージョン更新 (自動的に適用されます) と、ワーカー・ノードに対するパッチ・バージョン更新 (お客様が適用します) を提供します。
  • 各サービスの資料を参照し、そのサービスを使用する際にお客様が担うその他の責任について確認してください。
Satellite コネクター コネクタの削除など、変更管理活動を開始するためのインターフェイスを提供する。 コネクターを削除する前に、コネクター用に作成したすべてのエンドポイントを保存してバックアップします。
Satellite コネクター・エージェント (Windows サービス用) IBM IAM 資格情報を利用して Satellite Connector に接続するための Satellite Connector Agent for Windows Service 用のインターフェースを提供します。 エージェント・イメージが必要とする IAM 資格情報を保守してローテーションします。

ID およびアクセスの管理

ID およびアクセス管理には、認証、許可、アクセス制御ポリシー、アクセス権限の承認/付与/取り消しなどのタスクが含まれます。 詳しくは、Satellite のアクセス管理を参照してください。

ID およびアクセス管理の責任
タスク IBM の責任 お客様の責任
Satellite ロケーション
  • IAM を介して各ロケーションにアクセス制御を割り当てるためのインターフェースを提供します。
Satellite ホスト
  • セキュリティーを強化するために、お客様がホストをロケーション・コントロール・プレーンまたはクラスターに割り当てた後は、そのホストに SSH で接続する機能を無効にします。
  • クラスタにホストを追加して割り当てます。 ホストの割り当て後、SSH アクセスは無効になり、ホストへのアクセスは IBM Cloud IAM アクセスによって制御されます。
Satellite Config
  • IAM を介して構成にアクセス制御を割り当てるためのインターフェースを提供します。
  • 提供されているツールを使用して、認証、許可、アクセス制御ポリシーを管理し、Satellite の構成とサブスクリプションを使用して、Kubernetes リソースを作成、更新、および削除します。 IAM での Satellite Config へのアクセス権限では、クラスターへのアクセス権限をユーザーに付与しません。また、クラスターから Kubernetes リソースにログインして管理する権限も付与しません。 クラスターへのアクセス権限を持つユーザーは、ログインして、Kubernetes リソースを手動で変更できます。
Satellite Link
  • IAM を介してエンドポイントにアクセス制御を割り当てるためのインターフェースを提供します。
Satellite ストレージ 該当なし
  • 永続ボリュームおよび永続ボリューム請求を使用して、ストレージに対するアプリの読み取り/書き込みアクセス権限を決定して構成します。
Satellite 対応サービス
  • 各サービスの資料を参照し、IBM が担うその他の責任について確認してください。
  • 各サービスの資料を参照し、そのサービスを使用する際にお客様が担うその他の責任について確認してください。
Satellite コネクター IAMを通じてコネクタにアクセス制御を割り当てるためのインタフェースを提供する。 提供されているツールを使用して、認証、承認、アクセス制御ポリシーを管理する。
Satellite コネクター・エージェント・イメージ IBM の IAM 資格情報を利用して Satellite コネクターに接続するための Satellite コネクター・エージェント・イメージのインターフェースを提供します。 エージェント・イメージが必要とする IAM 資格情報を保守してローテーションします。

セキュリティーおよび法規制コンプライアンス

セキュリティーおよび規制コンプライアンスには、セキュリティー管理の実装やコンプライアンス認定などのタスクが含まれます。

セキュリティーおよび規制コンプライアンスの責任
タスク IBM の責任 お客様の責任
一般
  • 特定の標準に対するプラットフォーム・レベルのコンプライアンスを提供します。 詳しくは、IBM Cloud のコンプライアンスを参照してください。
  • 課金、使用量、および ID とアクセス制御 (IAM) を管理するためのツールを提供します。
  • Satellite コンポーネントのデフォルトのセキュリティー設定を設定します。 これらの設定はセキュリティーを保証するものではなく、ユーザーによって変更可能です。
  • 環境に必要な政府、業界、および企業の標準を特定します。
  • データ・センターを保護するセキュリティー管理の基礎となるインフラストラクチャーをホストする物理的な場所を検討します。
Satellite ロケーション
  • IBM Cloud- マネージド・ロケーション・コントロール・プレーンのセキュリティとレギュレーション・コンプライアンスを維持する。
  • 管理対象のマスターコンポーネントを更新する。
  • ロケーションワーカーノードで実行されるコントロールプレーンコンポーネントのパッチアップデートを提供する。
  • IBM Cloud IAMを通じてロケーションへのアクセスを制御する機能を提供する。
  • ホスト・インフラストラクチャーのセキュリティーとコンプライアンスを維持すること (ロケーション・コントロール・プレーンを実行するホストにワーカー・ノードのパッチ更新を適用するなど) はお客様の責任です。
Satellite ホスト
  • Satellite クラスター内のワーカー・ノードとして実行されるホストのパッチ更新を提供します。
  • セキュリティーを強化するために、ロケーション・コントロール・プレーンまたはクラスターにホストを割り当てた後に、ホストに SSH で接続する機能を無効にします。
  • ワーカー・ノードのパッチ更新の適用など、ホスト・インフラストラクチャーの安全性とコンプライアンスを維持するのはお客様の責任になります。
    -データの安全性を維持し、規制要件を満たすために、ホストに追加するブート・ディスクと追加ディスクを暗号化するのはお客様の責任となります。
Satellite Config
  • アプリケーションをクラスタやロケーション間で一貫してデプロイする。
  • IBM Cloud IAMを通じて設定へのアクセスを制御する機能を提供する。
  • セキュリティー・コンテキスト制約などを使用し、準拠すべきセキュリティー標準に従って Kubernetes 構成ファイルを作成します。 アプリのセキュリティーとコンプライアンスについては、お客様の責任です。
Satellite Link
  • Satellite Link トンネルクライアントを使用して、 IBM Cloud と Satellite の拠点間で安全な接続を確立する。
  • IBM Cloud IAMを通じてエンドポイントへのアクセスを制御する機能を提供する。
  • 拠点と拠点外のエンドポイント間のネットワーク・トラフィックを監視する機能を提供する。
Satellite ストレージ
  • IBM 提供のストレージ・テンプレートのためのセキュリティー更新およびパッチを提供します。
  • IBM 提供のストレージ・テンプレートに対して提供されたセキュリティーおよびバージョンの更新を適用し、インストール済みのストレージ・ドライバーのコンプライアンスとサポートを維持します。
  • データ保存要件を満たすため、データのバックアップ・メカニズムを実装します。
  • データに対する責任と、アプリによるデータの取り込み方法を維持します。
  • スナップショット、データの複製、データの同期、またはその他の高可用性メカニズムを使用して、データを保管します。
Satellite 対応サービス
  • 各サービスの資料を参照し、IBM が担うその他の責任について確認してください。
  • 各サービスの資料を参照し、そのサービスを使用する際にお客様が担うその他の責任について確認してください。
Satellite コネクター

-管理対象マスター・コンポーネントを更新します。

  • IBM IAM を介してコネクターへのアクセスを制御する機能を提供します。
コンテナー・プラットフォーム・インフラストラクチャーの安全性と準拠性を維持する責任はお客様にあります。
Satellite コネクター・エージェント・イメージ
  • IBM Container Registry内の Satellite コネクター・エージェント・イメージの更新をテストして公開します。
    -CVE のコンテナー・イメージ内のソフトウェアをモニターして更新します。
Satellite コネクター・エージェント・イメージを、 IBM Container Registryに公開されている新規バージョンに更新する必要があります。
Satellite コネクター・エージェント (Windows サービス用)
  • IBM内の .zip ファイルとして Satellite Connector Agent for Windows Service への更新をテストして公開します。
  • .zip ファイル内のソフトウェアをモニターして更新します。
CLI を使用して取得した IBM Cloudに公開されている新規バージョンへの Satellite Connector Agent for Windows Service の更新は、お客様の責任で行ってください。 詳しくは、 Windows でのエージェントの実行 を参照してください。

ディザスター・リカバリー

災害復旧には、災害復旧サイトへの依存関係の提供、災害復旧環境のプロビジョン、データと構成のバックアップ、災害復旧環境へのデータと構成の複製、災害時イベントでのフェイルオーバーなどのタスクが含まれます。

災害復旧の責任
タスク IBM の責任 お客様の責任
Satellite ロケーション
  • Satellite ロケーション・コントロール・プレーン・コンポーネントを IBM Cloud Object Storage インスタンス内の IBM マネージド・バケットにリカバリーするために、ロケーション情報をバックアップします。
  • ロケーションの正常性をモニターし、可能な場合は自動的に問題を解決します。手操作による介入が必要な場合は、IBM サイト信頼性エンジニアにアラートを送信します。
  • 環境の災害時リカバリー要件を定義します。
  • ロケーションをリカバリーする必要がある場合は、IBM Cloud Object Storage インスタンスでバックアップへのアクセスを提供します。
Satellite ホスト
  • ロケーション・コントロール・プレーンに割り当てられているホストの情報を IBM マネージド IBM Cloud Object Storage インスタンスにバックアップします。
  • Satellite クラスターに割り当てられているホストの情報をアカウントの IBM Cloud Object Storage インスタンスにバックアップします。
  • 必要に応じて、ハードウェアを保守、修理、または交換します。
Satellite Config
  • etcd に保存された Satellite 構成に関する情報をバックアップします。
  • サービスがリカバリーされると、使用可能なクラスターに構成ファイルが自動的にデプロイされます。
Satellite Link 該当なし
Satellite ストレージ
  • ストレージ構成および割り当てられたクラスターに関する情報をバックアップします。
  • スナップショット、データ複製、データ同期、またはその他の高可用性メカニズムを使用して、高可用性を維持した状態でデータが保管されるようにします。
  • データ保存のコンプライアンス要件および規制要件を満たすようにデータをバックアップします。
  • ストレージ・プロバイダーまたはオンプレミス・データ・センターから提供されたツールを使用して、物理ストレージ・インスタンスをモニターし、必要に応じて障害のあるインスタンスを置き換えます。
Satellite 対応サービス
  • 各サービスの資料を参照し、IBM が担うその他の責任について確認してください。
  • 各サービスの資料を参照し、そのサービスを使用する際にお客様が担うその他の責任について確認してください。