的責任概觀 ROSA

監控原生 OpenShift 路由器服務，並回應提醒。

監控應用程式路由的運作狀態，以及其背後的端點。

向 AWS 和 Red Hat 報告中斷。

監控預設平台聯網所需的 AWS 負載平衡器、 Amazon VPC 子網路和 AWS 服務 元件。回應提醒。

監控 AWS 負載平衡器端點的運作狀態。

監控可選擇透過 Amazon VPC至 VPC 連線、 AWS VPN 連線或 AWS Direct Connect 潛在問題或安全威脅設定的網路流量。

監控用於叢集節點的 Amazon EBS 磁碟區，以及用於 ROSA 服務內建容器映像登錄檔的 Amazon S3 儲存貯體。回應提醒。

監控應用程式資料的運作狀態。

如果 AWS KMS keys 使用客戶受管，請建立和控制金鑰生命週期和金鑰政策以進行 Amazon EBS 加密。

如需有關 AWS 事件和操作管理的資訊，請參閱 AWS 白皮書中的如何 AWS 維持操作彈性和服務持續性。

監控客戶帳戶中 AWS 資源的運作狀態。

使用 IAM 工具將適當的許可套用至客戶帳戶中 AWS 的資源。

如需 AWS 事件和操作管理的相關資訊，請參閱 AWS 白皮書中的如何 AWS 維護操作彈性和服務持續性。

設定、管理和監控客戶應用程式和資料，以確保應用程式和資料安全控制得到適當的強制執行。

集中彙總和監控平台稽核日誌。

提供和維護記錄運算子，讓客戶能夠部署記錄堆疊以進行預設應用程式記錄。

應客戶要求提供稽核日誌。

在叢集上安裝選用的預設應用程式記錄運算子。

安裝、設定和維護任何選用的應用程式記錄解決方案，例如記錄附屬容器或第三方記錄應用程式。

如果應用程式影響記錄堆疊或叢集的穩定性，請調校客戶應用程式產生之應用程式日誌的大小和頻率。

透過支援案例請求平台稽核日誌，以研究特定事件。

設定公有負載平衡器。提供設定私有負載平衡器和最多一個額外負載平衡器的能力。

設定原生 OpenShift 路由器服務。提供將路由器設定為私有，並新增最多一個額外的路由器碎片的功能。

為預設的內部 Pod 流量安裝、設定和維護 OpenShift SDN 元件。

讓客戶能夠管理和 NetworkPolicyEgressNetworkPolicy（防火牆） 物件。

使用 NetworkPolicy 物件設定專案和 Pod 網路、Pod 輸入和 Pod 輸出的非預設 Pod 網路許可。

使用 OpenShift Cluster Manager 請求預設應用程式路由的私有負載平衡器。

使用 OpenShift Cluster Manager 設定最多一個額外的公有或私有路由器碎片和對應的負載平衡器。

請求和設定特定 服務的任何其他服務負載平衡器。

設定任何必要的 DNS 轉送規則。

設定叢集管理元件，例如公有或私有服務端點，以及與 Amazon VPC元件的必要整合。

設定工作者、基礎設施和控制平面節點之間內部叢集通訊所需的內部網路元件。

佈建叢集時，視需要透過 OpenShift Cluster Manager 提供機器 CIDR、服務 CIDR 和 Pod CIDR 的選用非預設 IP 地址範圍。

請求 API 服務端點在叢集建立時或透過 OpenShift Cluster Manager 建立叢集之後成為公有或私有。

設定佈建叢集所需的 Amazon VPC 元件，例如子網路、負載平衡器、網際網路閘道和 NAT 閘道。

讓客戶能夠透過 OpenShift Cluster Manager 管理與內部部署資源、 Amazon VPC對 VPC AWS VPN 連線的連線能力，以及 AWS Direct Connect 視需要進行管理。

讓客戶能夠建立和部署 AWS 負載平衡器，以便與服務負載平衡器搭配使用。

設定和維護選用 Amazon VPC 元件，例如 Amazon VPC至 VPC 的連線、 AWS VPN 連線或 AWS Direct Connect。

請求和設定特定 服務的任何其他負載平衡器。

設定控制 ROSA 平面和資料平面，以使用 Amazon EC2 執行個體進行叢集運算。

監控和管理叢集上 Amazon EC2 控制平面和基礎設施節點的部署。

使用 OpenShift Cluster Manager ROSA 或 CLI 建立機器集區來監控和管理 Amazon EC2 工作者節點。

管理客戶部署的應用程式和應用程式資料的變更。

啟用升級排程程序。

監控升級進度，並修正遇到的任何問題。

發佈次要和維護升級的變更日誌和版本備註。

排程維護版本立即升級，以供未來使用，或進行自動升級。

確認並排程次要版本升級。

確保叢集版本保持在支援的次要版本上。

在次要和維護版本上測試客戶應用程式，以確保相容性。

監控控制平面的使用。控制平面包括控制平面節點和基礎設施節點。

擴展和調整控制平面節點的大小，以維持服務品質。

監控工作者節點使用率，並在適當時啟用自動擴展功能。

判斷叢集的擴展策略。

使用提供的 OpenShift Cluster Manager 控制項，視需要新增或移除其他工作者節點。

回應有關叢集資源需求的 Red Hat 通知。

設定和設定 Amazon EBS 來佈建叢集的本機節點儲存體和持久性磁碟區儲存體。

設定並設定內建映像登錄檔以使用儲存 Amazon S3 貯體儲存。

在 中定期刪除映像登錄資源 Amazon S3 ，以最佳化 Amazon S3 用量和叢集效能。

選擇性地設定 Amazon EBS CSI 驅動程式或 Amazon EFS CSI 驅動程式，以在叢集上佈建持久性磁碟區。

提供服務 Amazon EC2 ，用於 ROSA 控制平面、基礎設施和工作者節點。

Amazon EBS 提供 以允許 ROSA 服務為叢集佈建本機節點儲存體和持久性磁碟區儲存體。

提供下列 AWS 雲端 服務以滿足 ROSA 虛擬聯網基礎設施需求：

為 提供下列選用 AWS 服務 整合 ROSA：

使用與 IAM 委託人或 AWS STS 臨時安全登入資料相關聯的存取金鑰 ID 和私密存取金鑰來簽署請求。

為叢集指定要在叢集建立期間使用的 VPC 子網路。

選擇性地設定客戶管理的 VPC 以搭配 ROSA 叢集使用。

如需 AWS 資料中心管理控制的相關資訊，請參閱 AWS 雲端 安全頁面上的我們的控制。

如需有關變更管理最佳實務的資訊，請參閱 AWS 解決方案程式庫中的變更管理指南 AWS。

針對託管在 上的客戶應用程式和資料實作變更管理最佳實務 AWS 雲端。

遵守適用於平台稽核日誌的產業標準型分層內部存取程序。

提供原生 OpenShift RBAC 功能。

設定 OpenShift RBAC 來控制對專案的存取，以及延伸專案的應用程式日誌。

對於第三方或自訂應用程式記錄解決方案，客戶負責存取管理。

提供原生 OpenShift RBAC 和dedicated-admin功能。

設定 OpenShift dedicated-admin和 RBAC 以控制視需要路由組態的存取。

管理 Red Hat 的 Red Hat 組織管理員，以授予 OpenShift Cluster Manager 的存取權。叢集管理員用於設定路由器選項，並提供服務負載平衡器配額。

透過 OpenShift Cluster Manager 提供客戶存取控制。提供原生 OpenShift RBAC 和dedicated-admin功能。

設定 OpenShift dedicated-admin和 RBAC 以控制視需要路由組態的存取。

管理 Red Hat 帳戶的 Red Hat 組織成員資格。

管理 Red Hat 的組織管理員，以授予 OpenShift Cluster Manager 的存取權。

透過 OpenShift Cluster Manager 提供客戶存取控制。

透過 OpenShift Cluster Manager 管理選用使用者對 AWS 元件的存取。

透過 OpenShift Cluster Manager 提供客戶存取控制。

透過 OpenShift Cluster Manager 管理選用使用者對 AWS 元件的存取。

建立啟用 ROSA 服務存取所需的 IAM 角色和連接政策。

透過 OpenShift Cluster Manager 提供客戶存取控制。

透過 OpenShift Cluster Manager 管理選用使用者對 AWS 元件的存取。

建立啟用 ROSA 服務存取所需的 IAM 角色和連接政策。

提供服務 Amazon EC2 ，用於 ROSA 控制平面、基礎設施和工作者節點。

提供 Amazon EBS，用於允許 為叢集 ROSA 佈建本機節點儲存體和持久性磁碟區儲存體。

提供 Amazon S3，用於服務的內建映像登錄檔。

Provide AWS Identity and Access Management (IAM)，供客戶用來控制對客戶帳戶上執行 ROSA 之資源的存取。

建立啟用 ROSA 服務存取所需的 IAM 角色和連接政策。

使用 IAM 工具將適當的許可套用至客戶帳戶中 AWS 的資源。

若要 ROSA 在整個 AWS 組織中啟用 ，客戶需負責管理 AWS Organizations 管理員。

若要 ROSA 在您的 AWS 組織中啟用 ，客戶需負責使用 來分配 ROSA 授予權利 AWS License Manager。

如需 AWS 資料中心實體存取控制的相關資訊，請參閱 AWS 雲端 安全頁面上的「我們的控制項」。

客戶不負責 AWS 全球基礎設施。

將叢集稽核日誌傳送至 Red Hat SIEM 以分析安全事件。將稽核日誌保留一段時間，以支援鑑識分析。

分析安全事件的應用程式日誌。

如果需要比預設記錄堆疊提供的保留時間更長，請透過記錄附屬容器或第三方記錄應用程式，將應用程式日誌傳送至外部端點。

監控虛擬網路元件是否有潛在問題和安全威脅。

使用公有 AWS 工具進行額外的監控和保護。

監控選用設定的虛擬網路元件是否有潛在問題和安全威脅。

視需要設定任何必要的防火牆規則或客戶資料中心保護。

監控虛擬運算元件是否有潛在問題和安全威脅。

使用公有 AWS 工具進行額外的監控和保護。

監控選用設定的虛擬網路元件是否有潛在問題和安全威脅。

視需要設定任何必要的防火牆規則或客戶資料中心保護。

監控虛擬儲存元件是否有潛在問題和安全威脅。

使用公有 AWS 工具進行額外的監控和保護。

根據預設，使用 Amazon EBS 提供的 AWS 受管 KMS 金鑰，設定 ROSA 服務來加密控制平面、基礎設施和工作者節點磁碟區資料。

設定 ROSA 服務，以加密使用預設儲存體方案的客戶持久性磁碟區，以及 Amazon EBS 提供的 AWS 受管 KMS 金鑰。

讓客戶能夠使用受管客戶 KMS key 來加密持久性磁碟區。

設定容器映像登錄檔，使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-3) 加密靜態映像登錄檔資料。

讓客戶能夠建立公有或私有 Amazon S3 映像登錄檔，以保護其容器映像免於未經授權的使用者存取。

佈建磁碟 Amazon EBS 區。

管理 Amazon EBS 磁碟區儲存，以確保有足夠的儲存體可供掛載為磁碟區 ROSA。

建立持久性磁碟區宣告，並透過 OpenShift Cluster Manager 產生持久性磁碟區。

提供 Amazon EC2、用於 ROSA 控制平面、基礎設施和工作者節點。如需詳細資訊，請參閱 Amazon EC2 《 使用者指南》中的基礎設施安全 Amazon EC2。

提供 Amazon EBS、用於 ROSA 控制平面、基礎設施和工作者節點磁碟區，以及 Kubernetes 持久性磁碟區。如需詳細資訊，請參閱 Amazon EC2 《 使用者指南》中的資料保護 Amazon EC2。

提供 AWS KMS，其 ROSA 使用 來加密控制平面、基礎設施和工作者節點磁碟區和持久性磁碟區。如需詳細資訊，請參閱 Amazon EC2 《 使用者指南》中的Amazon EBS 加密。

提供 Amazon S3，用於 ROSA 服務的內建容器映像登錄檔。如需詳細資訊，請參閱 Amazon S3 《 使用者指南》中的Amazon S3 安全性。

提供安全功能和服務，以提高 AWS 全球基礎設施的隱私權和控制網路存取，包括內建的網路防火牆 Amazon VPC、私有或專用網路連線，以及 AWS 安全設施之間 AWS 全球和區域網路上所有流量的自動加密。如需詳細資訊，請參閱安全簡介白皮書中的AWS 共同責任模型和基礎設施 AWS 安全。

確保遵循安全最佳實務和最低權限原則，以保護 Amazon EC2 執行個體上的資料。如需詳細資訊，請參閱 中的基礎設施安全性 Amazon EC2和 中的資料保護 Amazon EC2。

監控選用設定的虛擬網路元件是否有潛在問題和安全威脅。

視需要設定任何必要的防火牆規則或客戶資料中心保護。

建立選用的客戶受管 KMS 金鑰，並使用 KMS 金鑰加密 Amazon EBS 持久性磁碟區。

監控虛擬儲存體中的客戶資料是否有潛在問題和安全威脅。如需詳細資訊，請參閱 AWS 共同責任模型。

提供 ROSA 用於交付服務功能的 AWS 全域基礎設施。如需 AWS 安全控制的詳細資訊，請參閱 AWS 白皮書中的AWS 基礎設施安全。

提供文件給客戶，以 AWS 使用 AWS Artifact 和 AWS Security Hub 等工具來管理合規需求並檢查其在 中的安全狀態。

設定、管理和監控客戶應用程式和資料，以確保應用程式和資料安全控制得到適當的強制執行。

使用 IAM 工具將適當的許可套用至客戶帳戶中 AWS 的資源。

還原或重新建立平台運作所需的受影響虛擬網路元件。

盡可能使用多個通道設定虛擬網路連線，以防止中斷。

如果使用具有多個叢集的全域負載平衡器，請維護容錯移轉 DNS 和負載平衡。

監控叢集並取代失敗的 Amazon EC2 控制平面或基礎設施節點。

讓客戶能夠手動或自動取代失敗的工作者節點。

透過 OpenShift Cluster Manager 或 ROSA CLI 編輯機器集區組態來取代失敗的 Amazon EC2 工作者節點。

對於使用 AWS IAM 使用者登入資料建立的 ROSA 叢集，請透過每小時、每日和每週磁碟區快照來備份叢集上的所有 Kubernetes 物件。

備份客戶應用程式和應用程式資料。

提供支援資料彈性 Amazon EC2 的功能，例如 Amazon EBS 快照和 Amazon EC2 Auto Scaling。如需詳細資訊，請參閱 Amazon EC2 《 使用者指南》中的復原功能 Amazon EC2。

提供 ROSA 服務和客戶透過 Amazon EBS 磁碟區快照備份叢集上的 Amazon EBS 磁碟區的能力。

如需支援資料彈性 Amazon S3 的功能相關資訊，請參閱 中的彈性 Amazon S3。

如需支援資料復原 Amazon VPC 功能的詳細資訊，請參閱 Amazon VPC 《 使用者指南》中的復原功能 Amazon Virtual Private Cloud。

設定 ROSA 多可用區域叢集以改善容錯能力和叢集可用性。

使用 Amazon EBS CSI 驅動程式佈建持久性磁碟區以啟用磁碟區快照。

建立 Amazon EBS 持久性磁碟區的 CSI 磁碟區快照。

提供 AWS 全域基礎設施，允許 ROSA 跨可用區域擴展控制平面、基礎設施和工作者節點。此功能 ROSA 可讓 協調區域之間的自動容錯移轉，而不會中斷。

如需災難復原最佳實務的詳細資訊，請參閱 AWS Well-Architected Framework 中的雲端災難復原選項。

設定 ROSA 多可用區域叢集以改善容錯能力和叢集可用性。

維護 平台層級的資料加密標準，如產業安全和合規標準所定義。

提供 OpenShift 元件以協助管理應用程式資料，例如秘密。

啟用與資料服務的整合 Amazon RDS ，例如將資料存放和管理在叢集和/或外部 AWS。

提供 Amazon RDS 以允許客戶在叢集外部存放和管理資料。

對存放在 平台上的所有客戶資料，以及客戶應用程式如何使用和公開此資料，保持責任。

佈建已安裝 OpenShift 元件的叢集，讓客戶可存取 OpenShift 和 Kubernetes APIs 來部署和管理容器化應用程式。

建立具有映像的叢集會提取秘密，以便客戶部署可以從 Red Hat Container Catalog 登錄檔提取映像。

提供 OpenShift APIs的存取權，客戶可以用它來設定運算子，將社群 AWS、第三方和 Red Hat 服務新增至叢集。

提供儲存類別和外掛程式，以支援持久性磁碟區，以便與客戶應用程式搭配使用。

提供容器映像登錄檔，讓客戶可以在叢集上安全地存放應用程式容器映像，以部署和管理應用程式。

提供 Amazon EBS 以支援持久性磁碟區，以搭配客戶應用程式使用。

提供 Amazon S3 以支援容器映像登錄檔的 Red Hat 佈建。

對客戶和第三方應用程式、資料和完整的應用程式生命週期負責。

如果客戶使用運算子或外部映像將 Red Hat、社群、第三方、自己的或其他服務新增至叢集，則客戶需負責這些服務，並與適當的提供者 （包括 Red Hat) 合作，以排除任何問題。

使用提供的工具和功能來設定和部署；保持最新狀態；設定資源請求和限制；將叢集大小調整為具有足夠的資源來執行應用程式；設定許可；與其他 服務整合；管理客戶部署的任何映像串流或範本；外部服務；儲存、備份和還原資料；以及以其他方式管理其高可用性和彈性工作負載。

維護監控應用程式執行的責任 Red Hat OpenShift Service on AWS，包括安裝和操作軟體以收集指標、建立提醒，以及保護應用程式中的秘密。