的責任概觀 ROSA - Red Hat OpenShift Service on AWS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的責任概觀 ROSA

本文件概述 Amazon Web Services (AWS) 受管服務的 Red Hat OpenShift Service on AWS (ROSA)、Red Hat 和 客戶的責任。如需 ROSA 及其元件的詳細資訊,請參閱 Red Hat 文件中的政策和服務定義

AWS 共同責任模型定義了保護執行 中所有服務的基礎設施 AWS 的責任 AWS 雲端,包括執行 AWS 雲端 服務的 AWS 硬體、軟體、聯網和設施 ROSA。此 AWS 責任通常稱為「雲端安全性」。若要以全受管服務 ROSA 的形式運作,Red Hat 和客戶需負責 AWS 責任模型定義為「雲端安全性」的服務元素。

Red Hat 負責 ROSA 叢集基礎設施、基礎應用程式平台和作業系統的持續管理和安全性。當 ROSA 叢集託管在客戶 AWS 的資源上時 AWS 帳戶,服務 ROSA 元件和 Red Hat 網站可靠性工程師 (SREs) 會透過客戶建立 IAM 的角色從遠端存取叢集。Red Hat 使用此存取權來管理叢集上所有控制平面和基礎設施節點的部署和容量,並維護控制平面節點、基礎設施節點和工作者節點的版本。

Red Hat 和客戶共同負責 ROSA 網路管理、叢集記錄、叢集版本控制和容量管理。雖然 Red Hat 會管理 ROSA 服務,但客戶必須全權負責管理和保護部署到的任何應用程式、工作負載和資料 ROSA。

概觀

下表提供 AWS、 Red Hat 和 客戶責任的概觀 Red Hat OpenShift Service on AWS。

注意

如果cluster-admin角色已新增至使用者,請參閱 Red Hat Enterprise Agreement 附錄 4 (線上訂閱服務) 中的責任和排除備註。

Resource 事件和操作管理 變更管理 存取和身分授權 安全與法規合規 災難復原

客戶資料

客戶

客戶

客戶

客戶

客戶

客戶應用程式

客戶

客戶

客戶

客戶

客戶

開發人員服務

客戶

客戶

客戶

客戶

客戶

平台監控

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

日誌

Red Hat

Red Hat 和客戶

Red Hat 和客戶

Red Hat 和客戶

Red Hat

應用程式聯網

Red Hat 和客戶

Red Hat 和客戶

Red Hat 和客戶

Red Hat

Red Hat

叢集聯網

Red Hat

Red Hat 和客戶

Red Hat 和客戶

Red Hat

Red Hat

虛擬網路管理

Red Hat 和客戶

Red Hat 和客戶

Red Hat 和客戶

Red Hat 和客戶

Red Hat 和客戶

虛擬運算管理 (控制平面、基礎設施和工作者節點)

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

叢集版本

Red Hat

Red Hat 和客戶

Red Hat

Red Hat

Red Hat

容量管理

Red Hat

Red Hat 和客戶

Red Hat

Red Hat

Red Hat

虛擬儲存管理

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

AWS 軟體 (公有 AWS 服務)

AWS

AWS

AWS

AWS

AWS

硬體/AWS 全球基礎設施

AWS

AWS

AWS

AWS

AWS

按區域劃分的共同責任任務

AWS、Red Hat 和客戶共同負責監控和維護 ROSA 元件。本文件依區域和任務定義 ROSA 服務責任。

事件和操作管理

AWS 負責保護執行 中提供之所有服務的硬體基礎設施 AWS 雲端。Red Hat 負責管理預設平台聯網所需的服務元件。客戶負責客戶應用程式資料和客戶可能設定的任何自訂聯網的事件和操作管理。

Resource 服務責任 客戶責任

應用程式聯網

Red Hat

  • 監控原生 OpenShift 路由器服務,並回應提醒。

客戶

  • 監控應用程式路由的運作狀態,以及其背後的端點。

  • 向 AWS 和 Red Hat 報告中斷。

虛擬聯網管理

Red Hat

  • 監控預設平台聯網所需的 AWS 負載平衡器、 Amazon VPC 子網路和 AWS 服務 元件。回應提醒。

客戶

  • 監控 AWS 負載平衡器端點的運作狀態。

  • 監控可選擇透過 Amazon VPC至 VPC 連線、 AWS VPN 連線或 AWS Direct Connect 潛在問題或安全威脅設定的網路流量。

虛擬儲存管理

Red Hat

  • 監控用於叢集節點的 Amazon EBS 磁碟區,以及用於 ROSA 服務內建容器映像登錄檔的 Amazon S3 儲存貯體。回應提醒。

客戶

  • 監控應用程式資料的運作狀態。

  • 如果 AWS KMS keys 使用客戶受管,請建立和控制金鑰生命週期和金鑰政策以進行 Amazon EBS 加密。

AWS 軟體 (公有 AWS 服務)

AWS

客戶

  • 監控客戶帳戶中 AWS 資源的運作狀態。

  • 使用 IAM 工具將適當的許可套用至客戶帳戶中 AWS 的資源。

硬體/AWS 全球基礎設施

AWS

客戶

  • 設定、管理和監控客戶應用程式和資料,以確保應用程式和資料安全控制得到適當的強制執行。

變更管理

AWS 負責保護執行 中提供之所有服務的硬體基礎設施 AWS 雲端。Red Hat 負責啟用客戶將控制的叢集基礎設施和服務的變更,以及維護控制平面節點、基礎設施節點和工作者節點的版本。客戶負責啟動基礎設施變更。客戶也負責安裝和維護選用服務、叢集上的聯網組態,以及客戶資料和應用程式的變更。

Resource 服務責任 客戶責任

日誌

Red Hat

  • 集中彙總和監控平台稽核日誌。

  • 提供和維護記錄運算子,讓客戶能夠部署記錄堆疊以進行預設應用程式記錄。

  • 應客戶要求提供稽核日誌。

客戶

  • 在叢集上安裝選用的預設應用程式記錄運算子。

  • 安裝、設定和維護任何選用的應用程式記錄解決方案,例如記錄附屬容器或第三方記錄應用程式。

  • 如果應用程式影響記錄堆疊或叢集的穩定性,請調校客戶應用程式產生之應用程式日誌的大小和頻率。

  • 透過支援案例請求平台稽核日誌,以研究特定事件。

應用程式聯網

Red Hat

  • 設定公有負載平衡器。提供設定私有負載平衡器和最多一個額外負載平衡器的能力。

  • 設定原生 OpenShift 路由器服務。提供將路由器設定為私有,並新增最多一個額外的路由器碎片的功能。

  • 為預設的內部 Pod 流量安裝、設定和維護 OpenShift SDN 元件。

  • 讓客戶能夠管理和 NetworkPolicyEgressNetworkPolicy(防火牆) 物件。

客戶

  • 使用 NetworkPolicy 物件設定專案和 Pod 網路、Pod 輸入和 Pod 輸出的非預設 Pod 網路許可。

  • 使用 OpenShift Cluster Manager 請求預設應用程式路由的私有負載平衡器。

  • 使用 OpenShift Cluster Manager 設定最多一個額外的公有或私有路由器碎片和對應的負載平衡器。

  • 請求和設定特定 服務的任何其他服務負載平衡器。

  • 設定任何必要的 DNS 轉送規則。

叢集聯網

Red Hat

  • 設定叢集管理元件,例如公有或私有服務端點,以及與 Amazon VPC元件的必要整合。

  • 設定工作者、基礎設施和控制平面節點之間內部叢集通訊所需的內部網路元件。

客戶

  • 佈建叢集時,視需要透過 OpenShift Cluster Manager 提供機器 CIDR、服務 CIDR 和 Pod CIDR 的選用非預設 IP 地址範圍。

  • 請求 API 服務端點在叢集建立時或透過 OpenShift Cluster Manager 建立叢集之後成為公有或私有。

虛擬網路管理

Red Hat

  • 設定佈建叢集所需的 Amazon VPC 元件,例如子網路、負載平衡器、網際網路閘道和 NAT 閘道。

  • 讓客戶能夠透過 OpenShift Cluster Manager 管理與內部部署資源、 Amazon VPC對 VPC AWS VPN 連線的連線能力,以及 AWS Direct Connect 視需要進行管理。

  • 讓客戶能夠建立和部署 AWS 負載平衡器,以便與服務負載平衡器搭配使用。

客戶

  • 設定和維護選用 Amazon VPC 元件,例如 Amazon VPC至 VPC 的連線、 AWS VPN 連線或 AWS Direct Connect。

  • 請求和設定特定 服務的任何其他負載平衡器。

虛擬運算管理

Red Hat

  • 設定控制 ROSA 平面和資料平面,以使用 Amazon EC2 執行個體進行叢集運算。

  • 監控和管理叢集上 Amazon EC2 控制平面和基礎設施節點的部署。

客戶

  • 使用 OpenShift Cluster Manager ROSA 或 CLI 建立機器集區來監控和管理 Amazon EC2 工作者節點。

  • 管理客戶部署的應用程式和應用程式資料的變更。

叢集版本

Red Hat

  • 啟用升級排程程序。

  • 監控升級進度,並修正遇到的任何問題。

  • 發佈次要和維護升級的變更日誌和版本備註。

客戶

  • 排程維護版本立即升級,以供未來使用,或進行自動升級。

  • 確認並排程次要版本升級。

  • 確保叢集版本保持在支援的次要版本上。

  • 在次要和維護版本上測試客戶應用程式,以確保相容性。

容量管理

Red Hat

  • 監控控制平面的使用。控制平面包括控制平面節點和基礎設施節點。

  • 擴展和調整控制平面節點的大小,以維持服務品質。

客戶

  • 監控工作者節點使用率,並在適當時啟用自動擴展功能。

  • 判斷叢集的擴展策略。

  • 使用提供的 OpenShift Cluster Manager 控制項,視需要新增或移除其他工作者節點。

  • 回應有關叢集資源需求的 Red Hat 通知。

虛擬儲存管理

Red Hat

  • 設定和設定 Amazon EBS 來佈建叢集的本機節點儲存體和持久性磁碟區儲存體。

  • 設定並設定內建映像登錄檔以使用儲存 Amazon S3 貯體儲存。

  • 在 中定期刪除映像登錄資源 Amazon S3 ,以最佳化 Amazon S3 用量和叢集效能。

客戶

  • 選擇性地設定 Amazon EBS CSI 驅動程式或 Amazon EFS CSI 驅動程式,以在叢集上佈建持久性磁碟區。

AWS 軟體 (公有 AWS 服務)

AWS

運算

  • 提供服務 Amazon EC2 ,用於 ROSA 控制平面、基礎設施和工作者節點。

儲存

  • Amazon EBS 提供 以允許 ROSA 服務為叢集佈建本機節點儲存體和持久性磁碟區儲存體。

聯網

  • 提供下列 AWS 雲端 服務以滿足 ROSA 虛擬聯網基礎設施需求:

    • Amazon VPC

    • Elastic Load Balancing

    • IAM

  • 為 提供下列選用 AWS 服務 整合 ROSA:

    • AWS VPN

    • AWS Direct Connect

    • AWS PrivateLink

    • AWS Transit Gateway

客戶

  • 使用與 IAM 委託人或 AWS STS 臨時安全登入資料相關聯的存取金鑰 ID 和私密存取金鑰來簽署請求。

  • 為叢集指定要在叢集建立期間使用的 VPC 子網路。

  • 選擇性地設定客戶管理的 VPC 以搭配 ROSA 叢集使用。

硬體/AWS 全球基礎設施

AWS

  • 如需 AWS 資料中心管理控制的相關資訊,請參閱 AWS 雲端 安全頁面上的我們的控制

  • 如需有關變更管理最佳實務的資訊,請參閱 AWS 解決方案程式庫中的變更管理指南 AWS

客戶

  • 針對託管在 上的客戶應用程式和資料實作變更管理最佳實務 AWS 雲端。

存取和身分授權

存取和身分授權包括管理授權存取叢集、應用程式和基礎設施資源的責任。這包括提供存取控制機制、身分驗證、授權和管理資源存取等任務。

Resource 服務責任 客戶責任

日誌

Red Hat

  • 遵守適用於平台稽核日誌的產業標準型分層內部存取程序。

  • 提供原生 OpenShift RBAC 功能。

客戶

  • 設定 OpenShift RBAC 來控制對專案的存取,以及延伸專案的應用程式日誌。

  • 對於第三方或自訂應用程式記錄解決方案,客戶負責存取管理。

應用程式聯網

Red Hat

  • 提供原生 OpenShift RBAC 和dedicated-admin功能。

客戶

  • 設定 OpenShift dedicated-admin和 RBAC 以控制視需要路由組態的存取。

  • 管理 Red Hat 的 Red Hat 組織管理員,以授予 OpenShift Cluster Manager 的存取權。叢集管理員用於設定路由器選項,並提供服務負載平衡器配額。

叢集聯網

Red Hat

  • 透過 OpenShift Cluster Manager 提供客戶存取控制。提供原生 OpenShift RBAC 和dedicated-admin功能。

客戶

  • 設定 OpenShift dedicated-admin和 RBAC 以控制視需要路由組態的存取。

  • 管理 Red Hat 帳戶的 Red Hat 組織成員資格。

  • 管理 Red Hat 的組織管理員,以授予 OpenShift Cluster Manager 的存取權。

虛擬網路管理

Red Hat

  • 透過 OpenShift Cluster Manager 提供客戶存取控制。

客戶

  • 透過 OpenShift Cluster Manager 管理選用使用者對 AWS 元件的存取。

虛擬運算管理

Red Hat

  • 透過 OpenShift Cluster Manager 提供客戶存取控制。

客戶

  • 透過 OpenShift Cluster Manager 管理選用使用者對 AWS 元件的存取。

  • 建立啟用 ROSA 服務存取所需的 IAM 角色和連接政策。

虛擬儲存管理

Red Hat

  • 透過 OpenShift Cluster Manager 提供客戶存取控制。

客戶

  • 透過 OpenShift Cluster Manager 管理選用使用者對 AWS 元件的存取。

  • 建立啟用 ROSA 服務存取所需的 IAM 角色和連接政策。

AWS 軟體 (公有 AWS 服務)

AWS

運算

  • 提供服務 Amazon EC2 ,用於 ROSA 控制平面、基礎設施和工作者節點。

儲存

  • 提供 Amazon EBS,用於允許 為叢集 ROSA 佈建本機節點儲存體和持久性磁碟區儲存體。

  • 提供 Amazon S3,用於服務的內建映像登錄檔。

聯網

  • Provide AWS Identity and Access Management (IAM),供客戶用來控制對客戶帳戶上執行 ROSA 之資源的存取。

客戶

  • 建立啟用 ROSA 服務存取所需的 IAM 角色和連接政策。

  • 使用 IAM 工具將適當的許可套用至客戶帳戶中 AWS 的資源。

  • 若要 ROSA 在整個 AWS 組織中啟用 ,客戶需負責管理 AWS Organizations 管理員。

  • 若要 ROSA 在您的 AWS 組織中啟用 ,客戶需負責使用 來分配 ROSA 授予權利 AWS License Manager。

硬體/AWS 全球基礎設施

AWS

  • 如需 AWS 資料中心實體存取控制的相關資訊,請參閱 AWS 雲端 安全頁面上的「我們的控制項」。

客戶

  • 客戶不負責 AWS 全球基礎設施。

安全與法規合規

以下是與合規相關的責任和控制:

Resource 服務責任 客戶責任

日誌

Red Hat

  • 將叢集稽核日誌傳送至 Red Hat SIEM 以分析安全事件。將稽核日誌保留一段時間,以支援鑑識分析。

客戶

  • 分析安全事件的應用程式日誌。

  • 如果需要比預設記錄堆疊提供的保留時間更長,請透過記錄附屬容器或第三方記錄應用程式,將應用程式日誌傳送至外部端點。

虛擬聯網管理

Red Hat

  • 監控虛擬網路元件是否有潛在問題和安全威脅。

  • 使用公有 AWS 工具進行額外的監控和保護。

客戶

  • 監控選用設定的虛擬網路元件是否有潛在問題和安全威脅。

  • 視需要設定任何必要的防火牆規則或客戶資料中心保護。

虛擬運算管理

Red Hat

  • 監控虛擬運算元件是否有潛在問題和安全威脅。

  • 使用公有 AWS 工具進行額外的監控和保護。

客戶

  • 監控選用設定的虛擬網路元件是否有潛在問題和安全威脅。

  • 視需要設定任何必要的防火牆規則或客戶資料中心保護。

虛擬儲存管理

Red Hat

  • 監控虛擬儲存元件是否有潛在問題和安全威脅。

  • 使用公有 AWS 工具進行額外的監控和保護。

  • 根據預設,使用 Amazon EBS 提供的 AWS 受管 KMS 金鑰,設定 ROSA 服務來加密控制平面、基礎設施和工作者節點磁碟區資料。

  • 設定 ROSA 服務,以加密使用預設儲存體方案的客戶持久性磁碟區,以及 Amazon EBS 提供的 AWS 受管 KMS 金鑰。

  • 讓客戶能夠使用受管客戶 KMS key 來加密持久性磁碟區。

  • 設定容器映像登錄檔,使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-3) 加密靜態映像登錄檔資料。

  • 讓客戶能夠建立公有或私有 Amazon S3 映像登錄檔,以保護其容器映像免於未經授權的使用者存取。

客戶

  • 佈建磁碟 Amazon EBS 區。

  • 管理 Amazon EBS 磁碟區儲存,以確保有足夠的儲存體可供掛載為磁碟區 ROSA。

  • 建立持久性磁碟區宣告,並透過 OpenShift Cluster Manager 產生持久性磁碟區。

AWS 軟體 (公有 AWS 服務)

AWS

運算

  • 提供 Amazon EC2、用於 ROSA 控制平面、基礎設施和工作者節點。如需詳細資訊,請參閱 Amazon EC2 《 使用者指南》中的基礎設施安全 Amazon EC2

儲存

  • 提供 Amazon EBS、用於 ROSA 控制平面、基礎設施和工作者節點磁碟區,以及 Kubernetes 持久性磁碟區。如需詳細資訊,請參閱 Amazon EC2 《 使用者指南》中的資料保護 Amazon EC2

  • 提供 AWS KMS,其 ROSA 使用 來加密控制平面、基礎設施和工作者節點磁碟區和持久性磁碟區。如需詳細資訊,請參閱 Amazon EC2 《 使用者指南》中的Amazon EBS 加密

  • 提供 Amazon S3,用於 ROSA 服務的內建容器映像登錄檔。如需詳細資訊,請參閱 Amazon S3 《 使用者指南》中的Amazon S3 安全性

聯網

  • 提供安全功能和服務,以提高 AWS 全球基礎設施的隱私權和控制網路存取,包括內建的網路防火牆 Amazon VPC、私有或專用網路連線,以及 AWS 安全設施之間 AWS 全球和區域網路上所有流量的自動加密。如需詳細資訊,請參閱安全簡介白皮書中的AWS 共同責任模型基礎設施 AWS 安全。

客戶

  • 確保遵循安全最佳實務和最低權限原則,以保護 Amazon EC2 執行個體上的資料。如需詳細資訊,請參閱 中的基礎設施安全性 Amazon EC2中的資料保護 Amazon EC2

  • 監控選用設定的虛擬網路元件是否有潛在問題和安全威脅。

  • 視需要設定任何必要的防火牆規則或客戶資料中心保護。

  • 建立選用的客戶受管 KMS 金鑰,並使用 KMS 金鑰加密 Amazon EBS 持久性磁碟區。

  • 監控虛擬儲存體中的客戶資料是否有潛在問題和安全威脅。如需詳細資訊,請參閱 AWS 共同責任模型

硬體/AWS 全球基礎設施

AWS

  • 提供 ROSA 用於交付服務功能的 AWS 全域基礎設施。如需 AWS 安全控制的詳細資訊,請參閱 AWS 白皮書中的AWS 基礎設施安全

  • 提供文件給客戶,以 AWS 使用 AWS Artifact 和 AWS Security Hub 等工具來管理合規需求並檢查其在 中的安全狀態。

客戶

  • 設定、管理和監控客戶應用程式和資料,以確保應用程式和資料安全控制得到適當的強制執行。

  • 使用 IAM 工具將適當的許可套用至客戶帳戶中 AWS 的資源。

災難復原

災難復原包括資料和組態備份、災難復原環境的資料複寫和組態,以及災難事件的容錯移轉。

Resource 服務責任 客戶責任

虛擬網路管理

Red Hat

  • 還原或重新建立平台運作所需的受影響虛擬網路元件。

客戶

  • 盡可能使用多個通道設定虛擬網路連線,以防止中斷。

  • 如果使用具有多個叢集的全域負載平衡器,請維護容錯移轉 DNS 和負載平衡。

虛擬運算管理

Red Hat

  • 監控叢集並取代失敗的 Amazon EC2 控制平面或基礎設施節點。

  • 讓客戶能夠手動或自動取代失敗的工作者節點。

客戶

  • 透過 OpenShift Cluster Manager 或 ROSA CLI 編輯機器集區組態來取代失敗的 Amazon EC2 工作者節點。

虛擬儲存管理

Red Hat

  • 對於使用 AWS IAM 使用者登入資料建立的 ROSA 叢集,請透過每小時、每日和每週磁碟區快照來備份叢集上的所有 Kubernetes 物件。

客戶

  • 備份客戶應用程式和應用程式資料。

AWS 軟體 (公有 AWS 服務)

AWS

運算

  • 提供支援資料彈性 Amazon EC2 的功能,例如 Amazon EBS 快照和 Amazon EC2 Auto Scaling。如需詳細資訊,請參閱 Amazon EC2 《 使用者指南》中的復原功能 Amazon EC2

儲存

  • 提供 ROSA 服務和客戶透過 Amazon EBS 磁碟區快照備份叢集上的 Amazon EBS 磁碟區的能力。

  • 如需支援資料彈性 Amazon S3 的功能相關資訊,請參閱 中的彈性 Amazon S3

聯網

客戶

  • 設定 ROSA 多可用區域叢集以改善容錯能力和叢集可用性。

  • 使用 Amazon EBS CSI 驅動程式佈建持久性磁碟區以啟用磁碟區快照。

  • 建立 Amazon EBS 持久性磁碟區的 CSI 磁碟區快照。

硬體/AWS 全球基礎設施

AWS

  • 提供 AWS 全域基礎設施,允許 ROSA 跨可用區域擴展控制平面、基礎設施和工作者節點。此功能 ROSA 可讓 協調區域之間的自動容錯移轉,而不會中斷。

  • 如需災難復原最佳實務的詳細資訊,請參閱 AWS Well-Architected Framework 中的雲端災難復原選項

客戶

  • 設定 ROSA 多可用區域叢集以改善容錯能力和叢集可用性。

資料和應用程式的客戶責任

客戶必須對其部署的應用程式、工作負載和資料負責 Red Hat OpenShift Service on AWS。不過, AWS Red Hat 提供各種工具,協助客戶管理平台上的資料和應用程式。

Resource AWS 和 Red Hat 如何提供協助 客戶責任

客戶資料

Red Hat

  • 維護 平台層級的資料加密標準,如產業安全和合規標準所定義。

  • 提供 OpenShift 元件以協助管理應用程式資料,例如秘密。

  • 啟用與資料服務的整合 Amazon RDS ,例如將資料存放和管理在叢集和/或外部 AWS。

AWS

  • 提供 Amazon RDS 以允許客戶在叢集外部存放和管理資料。

客戶

  • 對存放在 平台上的所有客戶資料,以及客戶應用程式如何使用和公開此資料,保持責任。

客戶應用程式

Red Hat

  • 佈建已安裝 OpenShift 元件的叢集,讓客戶可存取 OpenShift 和 Kubernetes APIs 來部署和管理容器化應用程式。

  • 建立具有映像的叢集會提取秘密,以便客戶部署可以從 Red Hat Container Catalog 登錄檔提取映像。

  • 提供 OpenShift APIs的存取權,客戶可以用它來設定運算子,將社群 AWS、第三方和 Red Hat 服務新增至叢集。

  • 提供儲存類別和外掛程式,以支援持久性磁碟區,以便與客戶應用程式搭配使用。

  • 提供容器映像登錄檔,讓客戶可以在叢集上安全地存放應用程式容器映像,以部署和管理應用程式。

AWS

  • 提供 Amazon EBS 以支援持久性磁碟區,以搭配客戶應用程式使用。

  • 提供 Amazon S3 以支援容器映像登錄檔的 Red Hat 佈建。

客戶