责任分配矩阵 - 策略和服务定义 | OpenShift Dedicated 简介

OpenShift Dedicated 责任概述
共享责任矩阵
客户对数据和应用程序的责任

了解 Red Hat、云提供商和客户对 OpenShift Dedicated 托管服务的责任。

OpenShift Dedicated 责任概述

虽然 Red Hat 管理 OpenShift Dedicated 服务，但客户在某些方面也承担着共享责任。OpenShift Dedicated 服务是远程访问的，托管在公共云资源上，创建于 Red Hat 或客户拥有的云服务提供商帐户中，其底层平台和数据安全由 Red Hat 拥有。

如果在集群上启用了cluster-admin角色，请参阅Red Hat 企业协议附录 4（在线订阅服务）中的责任和排除说明。

资源	事件和运营管理	变更管理	访问和身份授权	安全和法规遵从性	灾难恢复
客户数据	客户	客户	客户	客户	客户
客户应用程序	客户	客户	客户	客户	客户
开发者服务	客户	客户	客户	客户	客户
平台监控	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
日志记录	Red Hat	共享	共享	共享	Red Hat
应用程序网络	共享	共享	共享	Red Hat	Red Hat
集群网络	Red Hat	共享	共享	Red Hat	Red Hat
虚拟网络	共享	共享	共享	共享	共享
控制平面和基础设施节点	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
工作节点	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
集群版本	Red Hat	共享	Red Hat	Red Hat	Red Hat
容量管理	Red Hat	共享	Red Hat	Red Hat	Red Hat
虚拟存储	Red Hat 和云提供商	Red Hat 和云提供商	Red Hat 和云提供商	Red Hat 和云提供商	Red Hat 和云提供商
物理基础设施和安全	云提供商	云提供商	云提供商	云提供商	云提供商

资源

事件和运营管理

变更管理

访问和身份授权

安全和法规遵从性

灾难恢复

客户数据

客户

客户应用程序

客户

开发者服务

客户

平台监控

Red Hat

日志记录

Red Hat

共享

Red Hat

应用程序网络

共享

Red Hat

集群网络

Red Hat

共享

Red Hat

虚拟网络

共享

控制平面和基础设施节点

Red Hat

工作节点

Red Hat

集群版本

Red Hat

共享

Red Hat

容量管理

Red Hat

共享

Red Hat

虚拟存储

Red Hat 和云提供商

物理基础设施和安全

云提供商

共享责任矩阵

客户和 Red Hat 共同负责 OpenShift Dedicated 集群的监控和维护。本文件按区域和任务说明了责任划分。

事件和运营管理

客户负责客户应用程序数据以及客户为集群网络或虚拟网络配置的任何自定义网络的事件和运营管理。

资源	Red Hat 责任	客户责任
应用程序网络	监控云负载均衡器和原生 OpenShift 路由器服务，并响应警报。	监控服务负载均衡器端点的运行状况。监控应用程序路由及其背后的端点的运行状况。向 Red Hat 报告中断。
虚拟网络	监控云负载均衡器、子网和默认平台网络所需的公共云组件，并响应警报。监控 Google Cloud Platform (GCP) 中的 Red Hat 管理项目和私有服务连接 (PSC) 附加项。^[1]	监控通过 VPC 到 VPC 连接、VPN 连接或直接连接（如果已配置）的网络流量，以防出现问题或安全威胁。

资源

Red Hat 责任

客户责任

应用程序网络

监控云负载均衡器和原生 OpenShift 路由器服务，并响应警报。

监控服务负载均衡器端点的运行状况。
监控应用程序路由及其背后的端点的运行状况。
向 Red Hat 报告中断。

虚拟网络

监控云负载均衡器、子网和默认平台网络所需的公共云组件，并响应警报。
监控 Google Cloud Platform (GCP) 中的 Red Hat 管理项目和私有服务连接 (PSC) 附加项。^[1]

监控通过 VPC 到 VPC 连接、VPN 连接或直接连接（如果已配置）的网络流量，以防出现问题或安全威胁。

仅适用于使用 PSC 的 Google Cloud Platform (GCP) 上的 OpenShift Dedicated 集群。

变更管理

Red Hat 负责启用对客户将控制的集群基础设施和服务的更改，以及维护控制平面节点、基础设施节点和服务以及工作节点的版本。客户负责启动基础设施更改请求，并在集群上安装和维护可选服务和网络配置，以及对客户数据和客户应用程序的所有更改。

资源 Red Hat 责任客户责任

资源	Red Hat 责任	客户责任
日志记录	集中聚合和监控平台审计日志。提供并维护一个日志记录操作符，使客户能够部署默认应用程序日志记录的日志记录堆栈。根据客户要求提供审计日志。	在集群上安装可选的默认应用程序日志记录操作符。安装、配置和维护任何可选的应用程序日志记录解决方案，例如日志记录 sidecar 容器或第三方日志记录应用程序。如果客户应用程序产生的应用程序日志大小和频率影响日志记录堆栈或集群的稳定性，则调整其大小和频率。通过支持案例请求平台审计日志以研究特定事件。
应用程序网络	设置公有云负载均衡器。根据需要提供设置私有负载均衡器和最多一个额外负载均衡器的能力。设置原生 OpenShift 路由器服务。提供将路由器设置为私有并添加最多一个额外路由器分片的的能力。安装、配置和维护 OVN-Kubernetes 组件，用于默认的内部 Pod 流量。为客户提供管理`NetworkPolicy`和`EgressNetworkPolicy`（防火墙）对象的能力。	使用`NetworkPolicy`对象配置项目和 Pod 网络、Pod 入口和 Pod 出口的非默认 Pod 网络权限。使用 Red Hat OpenShift 集群管理器为默认应用程序路由请求私有负载均衡器。使用 OpenShift 集群管理器配置最多一个额外的公有或私有路由器分片和相应的负载均衡器。为特定服务请求和配置任何额外的服务负载均衡器。配置任何必要的 DNS 转发规则。
集群网络	设置集群管理组件，例如公有或私有服务端点以及与虚拟网络组件的必要集成。设置内部集群通信（工作节点、基础设施节点和控制平面节点之间）所需的内部网络组件。	如果需要，通过 OpenShift 集群管理器在集群预配时提供机器 CIDR、服务 CIDR 和 Pod CIDR 的可选非默认 IP 地址范围。在集群创建时或通过 OpenShift 集群管理器在集群创建后，请求将 API 服务端点设置为公有或私有。
虚拟网络	设置和配置预配集群所需的虚拟网络组件，包括虚拟私有云、子网、负载均衡器、互联网网关、NAT 网关等。为客户提供通过 OpenShift 集群管理器管理与本地资源的 VPN 连接、VPC 到 VPC 的连接和直接连接的能力（根据需要）。设置和配置 PSC 附加。^[1] 使客户能够创建和部署公有云负载均衡器，用于服务负载均衡器。	设置和维护可选的公有云网络组件，例如 VPC 到 VPC 连接、VPN 连接或直接连接。为特定服务请求和配置任何额外的服务负载均衡器。创建 PSC 子网。^[1]
集群版本	启用升级调度流程。监控升级进度并解决遇到的任何问题。发布次要和维护升级的变更日志和发行说明。	调度维护版本升级，可以立即进行、将来进行或自动升级。确认和调度次要版本升级。确保集群版本保持在受支持的次要版本上。测试次要和维护版本的客户应用程序，以确保兼容性。
容量管理	监控控制平面（控制平面节点和基础设施节点）的利用率。扩展或调整控制平面节点的大小以保持服务质量。监控客户资源的利用率，包括网络、存储和计算能力。如果未启用自动缩放功能，则针对集群资源所需的任何更改（例如，用于扩展的新计算节点、额外存储等）提醒客户。	使用提供的 OpenShift 集群管理器控件根据需要添加或删除额外的 Worker 节点。响应 Red Hat 关于集群资源需求的通知。

日志记录

集中聚合和监控平台审计日志。
提供并维护一个日志记录操作符，使客户能够部署默认应用程序日志记录的日志记录堆栈。
根据客户要求提供审计日志。

在集群上安装可选的默认应用程序日志记录操作符。
安装、配置和维护任何可选的应用程序日志记录解决方案，例如日志记录 sidecar 容器或第三方日志记录应用程序。
如果客户应用程序产生的应用程序日志大小和频率影响日志记录堆栈或集群的稳定性，则调整其大小和频率。
通过支持案例请求平台审计日志以研究特定事件。

应用程序网络

设置公有云负载均衡器。根据需要提供设置私有负载均衡器和最多一个额外负载均衡器的能力。
设置原生 OpenShift 路由器服务。提供将路由器设置为私有并添加最多一个额外路由器分片的的能力。
安装、配置和维护 OVN-Kubernetes 组件，用于默认的内部 Pod 流量。
为客户提供管理NetworkPolicy和EgressNetworkPolicy（防火墙）对象的能力。

使用NetworkPolicy对象配置项目和 Pod 网络、Pod 入口和 Pod 出口的非默认 Pod 网络权限。
使用 Red Hat OpenShift 集群管理器为默认应用程序路由请求私有负载均衡器。
使用 OpenShift 集群管理器配置最多一个额外的公有或私有路由器分片和相应的负载均衡器。
为特定服务请求和配置任何额外的服务负载均衡器。
配置任何必要的 DNS 转发规则。

集群网络

设置集群管理组件，例如公有或私有服务端点以及与虚拟网络组件的必要集成。
设置内部集群通信（工作节点、基础设施节点和控制平面节点之间）所需的内部网络组件。

如果需要，通过 OpenShift 集群管理器在集群预配时提供机器 CIDR、服务 CIDR 和 Pod CIDR 的可选非默认 IP 地址范围。
在集群创建时或通过 OpenShift 集群管理器在集群创建后，请求将 API 服务端点设置为公有或私有。

虚拟网络

设置和配置预配集群所需的虚拟网络组件，包括虚拟私有云、子网、负载均衡器、互联网网关、NAT 网关等。
为客户提供通过 OpenShift 集群管理器管理与本地资源的 VPN 连接、VPC 到 VPC 的连接和直接连接的能力（根据需要）。
设置和配置 PSC 附加。^[1]
使客户能够创建和部署公有云负载均衡器，用于服务负载均衡器。

设置和维护可选的公有云网络组件，例如 VPC 到 VPC 连接、VPN 连接或直接连接。
为特定服务请求和配置任何额外的服务负载均衡器。
创建 PSC 子网。^[1]

集群版本

启用升级调度流程。
监控升级进度并解决遇到的任何问题。
发布次要和维护升级的变更日志和发行说明。

调度维护版本升级，可以立即进行、将来进行或自动升级。
确认和调度次要版本升级。
确保集群版本保持在受支持的次要版本上。
测试次要和维护版本的客户应用程序，以确保兼容性。

容量管理

监控控制平面（控制平面节点和基础设施节点）的利用率。
扩展或调整控制平面节点的大小以保持服务质量。
监控客户资源的利用率，包括网络、存储和计算能力。如果未启用自动缩放功能，则针对集群资源所需的任何更改（例如，用于扩展的新计算节点、额外存储等）提醒客户。

使用提供的 OpenShift 集群管理器控件根据需要添加或删除额外的 Worker 节点。
响应 Red Hat 关于集群资源需求的通知。

仅适用于使用 PSC 的 Google Cloud Platform (GCP) 上的 OpenShift Dedicated 集群。

访问和身份授权

访问和身份授权矩阵包括管理对集群、应用程序和基础设施资源的授权访问的责任。这包括提供访问控制机制、身份验证、授权和管理对资源的访问等任务。

资源 Red Hat 责任客户责任

资源	Red Hat 责任	客户责任
日志记录	遵守基于行业标准的分层内部访问流程，用于平台审计日志。提供原生 OpenShift RBAC 功能。	配置 OpenShift RBAC 以控制对项目的访问，并扩展到项目的应用程序日志。对于第三方或自定义应用程序日志记录解决方案，客户负责访问管理。
应用程序网络	提供原生 OpenShift RBAC 和`dedicated-admin`功能。	配置 OpenShift dedicated-admins 和 RBAC 以根据需要控制对路由配置的访问。管理 Red Hat 组织的组织管理员，以授予对 OpenShift 集群管理器的访问权限。OpenShift 集群管理器用于配置路由器选项并提供服务负载均衡器配额。
集群网络	通过 OpenShift 集群管理器提供客户访问控制。提供原生 OpenShift RBAC 和`dedicated-admin`功能。	管理 Red Hat 帐户的 Red Hat 组织成员资格。管理 Red Hat 组织的组织管理员，以授予对 OpenShift 集群管理器的访问权限。配置 OpenShift dedicated-admins 和 RBAC 以根据需要控制对路由配置的访问。
虚拟网络	通过 OpenShift 集群管理器提供客户访问控制。	通过 OpenShift 集群管理器管理对公有云组件的可选用户访问。

日志记录

遵守基于行业标准的分层内部访问流程，用于平台审计日志。
提供原生 OpenShift RBAC 功能。

配置 OpenShift RBAC 以控制对项目的访问，并扩展到项目的应用程序日志。
对于第三方或自定义应用程序日志记录解决方案，客户负责访问管理。

应用程序网络

提供原生 OpenShift RBAC 和dedicated-admin功能。

配置 OpenShift dedicated-admins 和 RBAC 以根据需要控制对路由配置的访问。
管理 Red Hat 组织的组织管理员，以授予对 OpenShift 集群管理器的访问权限。OpenShift 集群管理器用于配置路由器选项并提供服务负载均衡器配额。

集群网络

通过 OpenShift 集群管理器提供客户访问控制。
提供原生 OpenShift RBAC 和dedicated-admin功能。

管理 Red Hat 帐户的 Red Hat 组织成员资格。
管理 Red Hat 组织的组织管理员，以授予对 OpenShift 集群管理器的访问权限。
配置 OpenShift dedicated-admins 和 RBAC 以根据需要控制对路由配置的访问。

虚拟网络

通过 OpenShift 集群管理器提供客户访问控制。

通过 OpenShift 集群管理器管理对公有云组件的可选用户访问。

安全和法规遵从性

以下是与合规性相关的责任和控制措施

资源	Red Hat 责任	客户责任
日志记录	将集群审计日志发送到 Red Hat SIEM 以分析安全事件。保留审计日志一段时间以支持取证分析。	分析应用程序日志中的安全事件。如果需要比默认日志记录堆栈提供的更长的保留时间，则通过日志记录 Sidecar 容器或第三方日志记录应用程序将应用程序日志发送到外部端点。
虚拟网络	监控虚拟网络组件是否存在潜在问题和安全威胁。利用额外的公有云提供商工具进行额外的监控和保护。	监控可选配置的虚拟网络组件是否存在潜在问题和安全威胁。根据需要配置任何必要的防火墙规则或数据中心保护。

资源

Red Hat 责任

客户责任

日志记录

将集群审计日志发送到 Red Hat SIEM 以分析安全事件。保留审计日志一段时间以支持取证分析。

分析应用程序日志中的安全事件。如果需要比默认日志记录堆栈提供的更长的保留时间，则通过日志记录 Sidecar 容器或第三方日志记录应用程序将应用程序日志发送到外部端点。

虚拟网络

监控虚拟网络组件是否存在潜在问题和安全威胁。
利用额外的公有云提供商工具进行额外的监控和保护。

监控可选配置的虚拟网络组件是否存在潜在问题和安全威胁。
根据需要配置任何必要的防火墙规则或数据中心保护。

灾难恢复

灾难恢复包括数据和配置备份、将数据和配置复制到灾难恢复环境以及在灾难事件中进行故障转移。

资源	Red Hat 责任	客户责任
虚拟网络	恢复或重新创建平台运行所需的受影响的虚拟网络组件。	尽可能使用多个隧道配置虚拟网络连接，以防止公有云提供商建议的故障。如果使用具有多个集群的全局负载均衡器，则维护故障转移 DNS 和负载均衡。

资源

Red Hat 责任

客户责任

虚拟网络

恢复或重新创建平台运行所需的受影响的虚拟网络组件。

尽可能使用多个隧道配置虚拟网络连接，以防止公有云提供商建议的故障。
如果使用具有多个集群的全局负载均衡器，则维护故障转移 DNS 和负载均衡。

客户对数据和应用程序的责任

客户负责他们部署到 OpenShift Dedicated 的应用程序、工作负载和数据。但是，Red Hat 提供各种工具来帮助客户管理平台上的数据和应用程序。

资源	Red Hat 责任	客户责任
客户数据	维护平台级数据加密标准。提供 OpenShift 组件来帮助管理应用程序数据，例如密钥。启用与第三方数据服务（例如 AWS RDS 或 Google Cloud SQL）的集成，以存储和管理集群和/或云提供商外部的数据。	负责平台上存储的所有客户数据以及客户应用程序如何使用和公开这些数据。
客户应用程序	预配安装了 OpenShift 组件的集群，以便客户可以访问 OpenShift 和 Kubernetes API 以部署和管理容器化应用程序。创建具有镜像拉取密钥的集群，以便客户部署可以从 Red Hat Container Catalog 注册表中拉取镜像。提供客户可以用来设置 Operator 的 OpenShift API，以向集群添加社区、第三方和 Red Hat 服务。提供存储类和插件以支持与客户应用程序一起使用的持久卷。提供容器镜像注册表，以便客户可以安全地将应用程序容器镜像存储在集群中以部署和管理应用程序。	负责客户和第三方应用程序、数据及其整个生命周期。如果客户使用 Operator 或外部镜像向集群添加 Red Hat、社区、第三方、自己的或其他服务，则客户负责这些服务以及与相应的提供商（包括 Red Hat）合作以解决任何问题。使用提供的工具和功能进行配置和部署；保持最新；设置资源请求和限制；调整集群大小以拥有足够的资源来运行应用程序；设置权限；与其他服务集成；管理客户部署的任何镜像流或模板；进行外部服务；保存、备份和恢复数据；以及管理其高可用性和弹性工作负载。负责监控在 OpenShift Dedicated 上运行的应用程序；包括安装和运行软件以收集指标并创建警报。

资源

Red Hat 责任

客户责任

客户数据

维护平台级数据加密标准。
提供 OpenShift 组件来帮助管理应用程序数据，例如密钥。
启用与第三方数据服务（例如 AWS RDS 或 Google Cloud SQL）的集成，以存储和管理集群和/或云提供商外部的数据。

负责平台上存储的所有客户数据以及客户应用程序如何使用和公开这些数据。

客户应用程序

预配安装了 OpenShift 组件的集群，以便客户可以访问 OpenShift 和 Kubernetes API 以部署和管理容器化应用程序。
创建具有镜像拉取密钥的集群，以便客户部署可以从 Red Hat Container Catalog 注册表中拉取镜像。
提供客户可以用来设置 Operator 的 OpenShift API，以向集群添加社区、第三方和 Red Hat 服务。
提供存储类和插件以支持与客户应用程序一起使用的持久卷。
提供容器镜像注册表，以便客户可以安全地将应用程序容器镜像存储在集群中以部署和管理应用程序。

负责客户和第三方应用程序、数据及其整个生命周期。
如果客户使用 Operator 或外部镜像向集群添加 Red Hat、社区、第三方、自己的或其他服务，则客户负责这些服务以及与相应的提供商（包括 Red Hat）合作以解决任何问题。
使用提供的工具和功能进行配置和部署；保持最新；设置资源请求和限制；调整集群大小以拥有足够的资源来运行应用程序；设置权限；与其他服务集成；管理客户部署的任何镜像流或模板；进行外部服务；保存、备份和恢复数据；以及管理其高可用性和弹性工作负载。
负责监控在 OpenShift Dedicated 上运行的应用程序；包括安装和运行软件以收集指标并创建警报。