您的责任
了解使用 IBM Cloud Satellite® 时您应承担的管理责任以及应遵循的条款和条件。 有关 IBM Cloud 中服务类型的高级视图以及作为客户的您和 IBM 之间对每种类型的责任划分,请参阅 IBM Cloud 产品的共同责任。
使用 IBM 时,请查看以下各部分,以了解您和 IBM Cloud Satellite 的具体责任。 有关总体使用条款,请参阅 IBM Cloud 条款和声明。 有关用于 Satellite的其他 IBM Cloud 服务的责任,请参阅这些服务的文档,例如 Red Hat OpenShift on IBM Cloud 责任。
共同责任概述
IBM Cloud Satellite 是 IBM Cloud 共享责任模型 中的受管服务。 查看下表,了解在使用 IBM Cloud Satellite时负责特定云资源的人员。
| 资源 | 事件和操作管理 | 变更管理 | 身份和访问管理 | 安全性和法规合规性 | 灾难恢复 |
|---|---|---|---|---|---|
| 数据 | 您 | 您 | 您 | 您 | 您 |
| 应用程序 | 您 | 您 | 您 | 您 | 您 |
| Satellite 位置 | 共享 | 共享 | 共享 | 共享 | 共享 |
| Satellite 主机 | 共享 | 共享 | 共享 | 共享 | 共享 |
| Satellite 配置 | 共享 | 共享 | 共享 | 共享 | 共享 |
| Satellite 链接 | 共享 | 共享 | 共享 | 共享 | 您 |
| Satellite 连接器 | 共享 | 共享 | 共享 | 共享 | 共享 |
| Satellite 连接器代理容器平台 | 您 | 您 | 您 | 您 | 您 |
| Satellite 连接器代理程序映像 | 共享 | 您 | 共享 | 共享 | 您 |
| Satellite 连接器代理程序 Windows 平台 | 您 | 您 | 您 | 您 | 您 |
| Satellite 用于 Windows 服务的连接器代理程序 | 共享 | 您 | 共享 | 共享 | 您 |
| Satellite 存储 | 共享 | 共享 | 您 | 共享 | 共享 |
| Satellite支持的服务 | 共享 | 共享 | 共享 | 共享 | 共享 |
| 操作系统 | 您 | 共享 | 您 | 共享 | 您 |
| 虚拟和裸机服务器 | 您 | 您 | 您 | 您 | 您 |
| 虚拟存储 | 您 | 您 | 您 | 您 | 您 |
| 虚拟网络 | 您 | 您 | 您 | 您 | 您 |
| 系统管理程序 | 您 | 您 | 您 | 您 | 您 |
| 物理服务器和内存 | 您 | 您 | 您 | 您 | 您 |
| 物理存储器 | 您 | 您 | 您 | 您 | 您 |
| 物理网络和设备 | 您 | 您 | 您 | 您 | 您 |
| 设施和数据中心 | 您 | 您 | 您 | 您 | 您 |
按区域划分的共享职责的任务
查看 概述 后,查看您和 IBM 在使用 IBM Cloud Satellite时对每个区域和资源分担责任的任务。
事件和操作管理
事件和运行管理包括监控、事件管理、高可用性、问题确定、恢复以及完整状态备份和恢复等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| 常规 | -为 Satellite 位置提供 24x7 客户支持。 -提供 客户支持计划 以帮助解决您可能迂到的问题。 |
-在您自己的环境中采购底层计算,网络和存储基础结构,Satellite 使用这些基础结构将 IBM Cloud 扩展至这些环境。 |
| Satellite 位置 |
|
-使用提供的工具来 创建位置,添加主机 到该位置,分配主机 具有足够的计算资源以用于控制平面工作程序组件,并 调试 该位置中可能发生的任何问题。 |
| Satellite 主机 |
|
-满足 主机 和 特定于提供者 需求的 添加 和 分配 主机到 Satellite 位置 (根据需要) 以支持应用程序工作负载。 -使用 足够的计算资源来支持位置控制平面分配主机。 当您需要更多容量时,必须在区域之间均匀增加控制平面,并使其为 3 的倍数,例如 6 , 9 或 12 个主机。 -建立初始网络配置,以便主机可以连接到 Satellite 位置,例如允许通过防火墙或虚拟专用网 (VPN) 进行连接。 -在内部部署环境或其他用户提供的环境中,在 高可用性体系结构中设置主机。 例如,在三个单独的区域中。 -使用提供的工具来管理主机,并 调试 主机中可能发生的任何问题。 |
| Satellite 配置 |
|
-使用提供的工具 设置集群,将 Kubernetes 配置文件内容上载为配置中的版本,并将集群预订为 配置。 请记住,您对集群中运行的应用程序负责,但可以使用 Satellite Config 来帮助您持续部署和更新应用程序。 |
| Satellite 链接 |
|
-使用提供的工具来 创建和管理 Satellite 位置端点。 -确保 Satellite 控制平面中的 Satellite 链接隧道客户机 已启用 ,以允许位置端点与位置外部的网络流量。 -启用成功运行位置中的应用程序所需的任何连接,并调试端点的任何连接问题。 |
| Satellite 存储器 | -提供接口以启动操作活动,例如创建存储配置并将配置分配给连接到某个位置的集群。 -提供一组存储模板以在连接的集群中自动安装存储驱动程序组件,并提供存储类以管理应用程序存储。 |
-针对数据类型,数据访问频率,性能,耐久性,弹性,可用性,可扩展性和加密选择最符合应用程序需求的存储类型。 -在本地数据中心或公共云提供者中采购无法使用已安装的存储驱动程序自动供应的任何物理或虚拟存储实例。 -使用提供的工具来创建存储配置并将配置分配给连接的集群。 -使用 Red Hat OpenShift CLI 来供应持久卷和持久卷声明,以满足应用程序的存储需求。 -调试对应用程序使用存储器时发生的任何问题。 |
| Satellite-已启用 IBM Cloud 服务 | -提供将 IBM Cloud 服务 (例如 Red Hat OpenShift 集群 ) 的选择组部署到 Satellite 位置的能力。 -查看每个服务的文档以了解 IBM 维护的其他职责。 |
-根据需要使用提供的工具来设置其他服务。 -根据服务文档,为服务提供足够的主机以用作计算容量。 -查看每个服务的文档以了解您在使用这些服务时所履行的其他职责。 |
| Satellite 连接器 | -提供接口以启动操作活动,例如创建和删除连接器。 -自动将连接器事件转发到 IBM Cloud Activity Tracker 实例。 |
使用提供的工具来创建连接器。 |
| Satellite 连接器代理程序映像 | -在 IBM Cloud Container Registry. 中测试并发布对 Satellite 连接器代理程序映像的更新-监视并更新 CVE 的容器映像中的软件。 |
您负责将 Satellite 连接器代理程序映像更新为发布到 IBM Cloud Container Registry的新版本。 |
| Satellite Connector Agent for Windows 服务 | -以 .zip 文件形式在 IBM Cloud中测试并发布对 Satellite Connector Agent for Windows 服务的更新。-监视并更新 .zip 文件中的软件。 |
您负责将 Satellite Connector Agent for Windows 服务更新为使用 CLI 检索到的发布到 IBM Cloud的新版本。 有关更多信息,请参阅 在 Windows 上运行代理程序。 |
变更管理
变更管理包括部署,配置,操作系统升级,安全性修补,配置更改,删除和版本更新等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| Satellite 位置 | -提供接口以启动变更管理活动,例如删除位置。 | -更新分配给位置控制平面的主机,并确保控制平面具有 足够的计算资源来运行。 -在 删除任何位置之前,请除去所有关联的主机和集群。 在删除位置之前,请保存要保留的有关该位置的任何备份信息。 |
| Satellite 主机 | -提供用于启动变更管理活动的接口。 -监视主机的运行状况,并使用必须完成的操作 (例如,重新装入主机操作系统) 返回状态。 -在将主机连接到某个位置后,禁用 SSH 到主机的功能,以增强安全性。 -使容器平台的主要版本,次要版本和修订包版本更新可供您应用。 -使次要版本, 以及可供您应用的操作系统软件的修订包版本更新。 |
|
| Satellite 配置 | -提供用于启动变更管理活动 (例如,更新配置或预订) 的接口。 -自动启动对已预订集群的配置的更改的转出。 -在删除配置时自动删除在已预订集群中运行的 Kubernetes 资源。 |
-使用提供的 Satellite 配置 和 Red Hat OpenShift 工具 来管理对应用程序的所有更改。 您完全负责应用程序生命周期,包括更新应用程序版本时可能发生的任何停机时间,具体取决于您的更新推广策略。 |
| Satellite 链接 | -维护 Satellite 链路隧道客户机版本。 |
-使用提供的工具来 创建,更新或删除所需的端点 。
|
| Satellite 存储器 | -提供用于启动变更管理操作的接口,例如,删除存储配置或从存储配置中除去集群。 -提供 IBM提供的存储模板的版本更新。 |
-使用这些工具来删除存储配置和集群分配。 请注意,如果除去这些配置,那么将在分配的集群中卸载存储驱动程序。 不会删除 PVC,PV 和数据。 但是,在重新安装存储驱动程序并在集群中复原存储配置之前,您可能无法访问数据。 -应用 IBM提供的存储模板版本更新以确保合规性并支持已安装的存储驱动程序。 |
| Satellite支持的服务 | -查看每个服务的文档以了解 IBM 维护的其他职责。 例如,对于 Red Hat OpenShift on IBM Cloud 集群,IBM 会自动为主节点和您启动的工作程序节点提供补丁版本更新。 | -查看每个服务的文档,以了解您在使用这些服务时所履行的其他职责。 |
| Satellite 连接器 | 提供用于启动变更管理活动 (例如,删除连接器) 的接口。 | 在删除任何连接器之前,请保存并备份您为连接器创建的所有端点。 |
| Satellite Connector Agent for Windows 服务 | 通过利用 IBM IAM 凭证,为 Satellite Connector Agent for Windows 服务提供接口以连接到 Satellite 连接器。 | 维护并轮换代理程序映像所需的 IAM 凭证。 |
身份和访问权管理
身份和访问管理包括身份验证、授权、访问控制策略以及批准、授予和撤销访问权限等任务。 有关更多信息,请参阅 管理 Satellite。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| Satellite 位置 | -提供接口以通过 IAM 将访问控制分配给位置。 | -使用提供的工具来 管理认证,授权和访问控制策略。 |
| Satellite 主机 | -在将主机分配到位置控制平面或集群后,禁用 SSH 到主机的功能,以增强安全性。 |
|
| Satellite 配置 | -提供接口以通过 IAM 将访问控制分配给配置。 | -使用提供的工具来 管理认证,授权和访问控制策略,以使用 Satellite 配置和预订来创建,更新和删除 Kubernetes 资源。 请注意,IAM 中对 Satellite Config 的访问权不会授予用户对集群的访问权,也不会授予用户从集群登录和管理 Kubernetes 资源的能力。 有权访问集群的用户可以登录并手动更改 Kubernetes 资源。 |
| Satellite 链接 | -提供接口以通过 IAM 将访问控制分配给端点。 | -使用提供的工具来 管理认证,授权和访问控制策略。 |
| Satellite 存储器 | 不适用 | -通过使用持久卷和持久卷声明,决定并配置对应用程序存储器的读写访问权。 |
| Satellite支持的服务 | -查看每个服务的文档以了解 IBM 维护的其他职责。 | -查看每个服务的文档,以了解您在使用这些服务时所履行的其他职责。 |
| Satellite 连接器 | 提供接口以通过 IAM 将访问控制分配给连接器。 | 使用提供的工具来管理认证,授权和访问控制策略。 |
| Satellite 连接器代理程序映像 | 通过利用 IBM IAM 凭证,为 Satellite 连接器代理程序映像提供接口以连接到 Satellite 连接器。 | 维护并轮换代理程序映像所需的 IAM 凭证。 |
安全性和法规合规性
安全和法规合规包括实施安全控制和合规认证等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| 常规 | -提供特定标准的平台级合规性。 有关更多信息,请参阅 IBM Cloud 合规性。 -提供用于管理计费,使用情况以及身份和访问控制 (IAM) 的工具。 -设置 Satellite 组件的缺省安全设置。 这些设置不保证安全性,并且可能由用户修改。 |
-确定环境所需的政府,行业和专有企业标准。 -查看托管安全控制底层基础架构的物理场所,以保护数据中心。 |
| Satellite 位置 | -维护 IBM Cloud受管位置控制平面的安全性和法规合规性。 -更新受管主组件。 -为位置工作程序节点中运行的控制平面组件提供补丁更新。 -提供通过 IBM Cloud IAM 控制对位置的访问的能力。 |
-您负责确保主机基础结构安全且合规,包括将工作程序节点补丁更新应用于运行位置控制平面的主机。 |
| Satellite 主机 | -为在 Satellite 集群中作为工作程序节点运行的主机提供补丁更新。 -在将主机分配到一个或多个位置控制平面后,禁用 SSH 到主机的功能,以增强安全性。 |
-您负责确保主机基础结构安全且合规,包括应用工作程序节点补丁更新。 -您负责加密引导磁盘以及添加到主机的任何其他磁盘,以确保数据安全并满足法规要求。 |
| Satellite 配置 | -在集群和位置之间一致地部署应用程序。 -提供通过 IBM Cloud IAM 控制对配置的访问权的能力。 |
-通过遵循要遵守的安全标准 (例如,使用安全上下文约束) 来创建 Kubernetes 配置文件。 您负责应用程序的安全性和合规性。 |
| Satellite 链接 | -通过使用 Satellite 链接隧道客户机,在 IBM Cloud 和 Satellite 位置之间建立安全连接。 -提供通过 IBM Cloud IAM 控制对端点的访问的能力。 -提供监视位置与位置外部端点之间的网络流量的能力。 |
-跨位置设置和审计 链接端点。 |
| Satellite 存储器 | -提供 IBM提供的存储模板的安全性更新和补丁。 | -为 IBM提供的存储模板应用提供的安全性和版本更新,以保持已安装的存储驱动程序合规且受支持。 -实施用于备份数据以满足数据保留需求的机制。 -维护对数据的责任以及应用程序使用数据的方式。 -确保通过使用快照,数据复制,数据同步来存储高度可用的数据。 或其他高可用性机制。 |
| Satellite支持的服务 | -查看每个服务的文档以了解 IBM 维护的其他职责。 | -查看每个服务的文档,以了解您在使用这些服务时所履行的其他职责。 |
| Satellite 连接器 | -更新受管主组件。 -提供通过 IBM IAM 控制对连接器的访问的能力。 |
您负责确保容器平台基础结构安全且合规。 |
| Satellite 连接器代理程序映像 | -测试并发布对 IBM Container Registry中的 Satellite 连接器代理程序映像的更新。 -监视并更新 CVE 的容器映像中的软件。 |
您负责将 Satellite 连接器代理程序映像更新为发布到 IBM Container Registry的新版本。 |
| Satellite Connector Agent for Windows 服务 | -以 .zip 文件形式在 IBM中测试并发布对 Satellite Connector Agent for Windows 服务的更新。-监视并更新 .zip 文件中的软件。 |
您负责将 Satellite Connector Agent for Windows 服务更新为使用 CLI 检索到的发布到 IBM Cloud的新版本。 有关更多信息,请参阅 在 Windows 上运行代理程序。 |
灾难恢复
灾难恢复包括提供灾难恢复站点的依赖性、提供灾难恢复环境、数据和配置备份、将数据和配置复制到灾难恢复环境以及灾难事件的故障转移等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| Satellite 位置 | -将位置信息备份到 IBM Cloud Object Storage 实例中的 IBM管理的存储区,以恢复 Satellite 位置控制平面组件。 -监视位置的运行状况,尽可能自动解决问题,并在需要手动干预时向 IBM 站点可靠性工程师发出警报。 |
-定义环境的灾难恢复需求。 -如果需要恢复位置,请提供对 IBM Cloud Object Storage 实例 中的备份的访问权。 |
| Satellite 主机 | -将分配给位置控制平面的主机的信息备份到 IBM-managed IBM Cloud Object Storage 实例。 -将分配给 Satellite 集群的主机的信息备份到帐户中的 IBM Cloud Object Storage 实例。 |
-根据需要维护,维修或更换硬件。 |
| Satellite 配置 | -在 etcd中备份有关已保存的 Satellite 配置的信息。 -恢复服务时,自动将配置文件部署到可用集群。 |
-为 高可用性应用程序 设计,实施和测试灾难恢复计划。 |
| Satellite 链接 | 不适用 | -从灾难恢复后,将任何必需的 端点 恢复到您的资源。 |
| Satellite 存储器 | -备份有关存储配置和已分配集群的信息。 | -确保通过使用快照,数据复制,数据同步或其他高可用性机制来存储高度可用的数据。 -备份数据以满足数据保留的合规性和法规要求。 -使用来自存储器提供者或本地数据中心的所提供工具来监视物理存储器实例,并根据需要替换有缺陷的实例。 |
| Satellite支持的服务 | -查看每个服务的文档以了解 IBM 维护的其他职责。 | -查看每个服务的文档,以了解您在使用这些服务时所履行的其他职责。 |