Responsabilité partagée de GKE Enterprise

Pour gérer une application stratégique sur GKE Enterprise, différentes responsabilités doivent être assumées par plusieurs groupes. Bien qu'il ne s'agisse pas d'une liste exhaustive, cette rubrique répertorie les rôles et les responsabilités pour chaque option de cluster GKE Enterprise tant pour Google que pour le client.

GKE sur Google Cloud

Responsabilités de Google

• Protéger l'infrastructure sous-jacente, y compris le matériel, le micrologiciel, le noyau, l'OS, le stockage, le réseau, etc. Cela inclut le chiffrement des données au repos par défaut, le chiffrement des disques gérés par le client supplémentaires, le chiffrement des données en transit, l'utilisation de matériel conçu sur mesure, la mise en place de câbles de réseau privés, la protection des centres de données contre l'accès physique, la protection du bootloader et du noyau contre les modifications à l'aide de nœuds protégés, et la mise en œuvre de pratiques de développement logiciel sécurisées.
• Renforcer et appliquer les correctifs au système d'exploitation des nœuds, tel que Container-Optimized OS ou Ubuntu. GKE effectue rapidement n'importe quel correctif pour ces images disponibles. Si la mise à niveau automatique est activée ou si vous utilisez une version disponible, ces mises à jour sont déployées automatiquement. Il s'agit ici de la couche du système d'exploitation sous votre conteneur. Le procédé est différent lorsque le système d'exploitation s'exécute dans vos conteneurs.
• Développer et exploiter la détection des menaces pour les menaces spécifiques aux conteneurs dans le noyau avec Container Threat Detection (facturé séparément avec Security Command Center).
• Renforcer et appliquer les correctifs aux composants de nœud Kubernetes. Tous les composants gérés de GKE sont mis à niveau automatiquement lorsque vous mettez à niveau les versions de nœuds GKE. Par exemple :
  • Mécanisme d'amorçage approuvé par vTPM pour l'émission des certificats TLS kubelet et la rotation automatique des certificats
  • Configuration renforcée de kubelet conformément aux benchmarks CIS
  • Serveur de métadonnées GKE pour Workload Identity
  • Plug-in de CNI native (Container Network Interface) de GKE et Calico pour NetworkPolicy
  • Intégrations de stockage Kubernetes GKE, telles que le pilote CSI
  • Agents de journalisation et de surveillance GKE
• Renforcer et appliquer les correctifs au plan de contrôle. Le plan de contrôle inclut la VM du plan de contrôle, le serveur d'API, le programmeur, le gestionnaire du contrôleur, l'autorité de certification du cluster, l'émission et la rotation des certificats TLS, le matériel de clé racine de confiance, la rotation de l'autorité de certification, le chiffrement des secrets, l'authentificateur et l'approbateur IAM, la configuration des journaux d'audit, etcd, et d'autres contrôleurs divers. Tous les composants du plan de contrôle s'exécutent sur des instances Compute Engine gérées par Google. Ces instances sont à locataire unique, ce qui signifie que chaque instance exécute le plan de contrôle et ses composants pour un seul client.
• Fournir des intégrations Google Cloud pour Connect, Identity and Access Management, Cloud Audit Logging, Google Cloud Observability, Cloud Key Management Service, Security Command Center, etc.
• Limiter et consigner l'accès administrateur Google aux clusters de client à des fins d'assistance contractuelle avec Access Transparency.

Responsabilités du client

• Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
• Rotation des identifiants du cluster.
• Enregistrement des clusters dans une mise à niveau automatique (par défaut) ou mise à niveau des clusters vers des versions compatibles.
• Surveiller le cluster et les applications, et répondre aux alertes et aux incidents éventuels à l'aide de technologies telles que le tableau de bord de stratégie de sécurité et Google Cloud Observability.
• Partage avec Google des informations concernant l'environnement lorsqu'elles sont demandées à des fins de dépannage.
• Assurez-vous que Logging et Monitoring sont activés sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.

Google Distributed Cloud (logiciel uniquement) sur VMware

Responsabilités de Google

• Gérer et distribuer le package logiciel Google Distributed Cloud y compris Kubernetes, vCenter et les contrôleurs F5, le contrôleur d'entrée, les agents Connect, Logging et Monitoring et l'outil de ligne de commande gkectl.

• Gestion et distribution des images du poste de travail administrateur et de la machine de nœud Ubuntu, y compris les correctifs standards et les correctifs de sécurité

• Analyse en continu des composants à l'aide de l'API Artifact Analysis et correction des failles connues.

• Informer les utilisateurs des mises à niveau disponibles pour Google Distributed Cloud et produire des scripts de mise à niveau pour la version précédente ; Google Distributed Cloud sur VMware n'est compatible qu'avec les mises à niveau séquentielles (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).

• Intégrations Google Cloud pour Connect et Google Cloud Observability.

• Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.

Responsabilités du client

• Administration globale du système pour les clusters sur site

• Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.

• Exécution, gestion et correction de l'infrastructure, y compris les réseaux, les serveurs, le stockage et la connectivité à Google Cloud

• Exécution, gestion et correction de vSphere et des équilibreurs de charge réseau

• Gestion des contrats d'assistance concernant VMware et F5 (si déployés)

• Mettez à niveau Google Distributed Cloud vers une version compatible régulièrement.

• Déploiement et test des charges de travail sur des images de machine de nœud mises à jour. Déploiement et test des images du poste de travail administrateur mises à jour dans votre environnement. Signalement des problèmes à Google via le service Cloud Customer Care.

• Surveillance des clusters et des applications et réponse aux incidents éventuels.

• Déploiement des agents Logging et Monitoring sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.

• Partage avec Google des informations concernant l'environnement (par exemple, la configuration du réseau) lorsqu'elles sont demandées à des fins de dépannage.

Google Distributed Cloud (logiciel uniquement) sur bare metal

Responsabilités de Google

• Maintenance et distribution du package logiciel Google Distributed Cloud, y compris Kubernetes, le contrôleur Ingress, les agents Connect, Logging et Monitoring, ainsi que l'outil de ligne de commande bmctl.

• Analyse en continu des composants à l'aide de l'API Artifact Analysis et correction des failles connues.

• Notification des utilisateurs quant aux mises à niveau disponibles pour Google Distributed Cloud et génération des instructions de mise à niveau pour la version précédente. Google Distributed Cloud sur bare metal n'est compatible qu'avec les mises à niveau séquentielles entre les versions mineures et les versions de correctifs (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).

• Intégrations Google Cloud pour Connect et Google Cloud Observability.

• Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.

Responsabilités du client

• Administration globale du système pour les clusters.

• Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies d'autorisation (RBAC/IAM), ainsi que les conteneurs et les pods que vous exécutez.

• Exécution, gestion et correction de l'infrastructure, y compris les réseaux, les serveurs, le stockage et la connectivité à Google Cloud

• Gestion des contrats d'assistance avec les fournisseurs.

• Mettez à niveau Google Distributed Cloud vers une version compatible de façon standard .

• Déploiement et test des charges de travail sur des images de machine de nœud mises à jour. Déploiement et test des images du poste de travail administrateur mises à jour dans votre environnement. Signalement des problèmes à Google via le service Cloud Customer Care.

• Surveillance des clusters et des applications et réponse aux incidents éventuels.

• Déploiement des agents Logging et Monitoring sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.

• Partage avec Google des informations concernant l'environnement (par exemple, la configuration du réseau) lorsqu'elles sont demandées à des fins de dépannage.

GKE sur AWS (multicloud)

Responsabilités de Google

• Gestion et distribution du package logiciel GKE sur AWS, y compris Kubernetes, des images de base, les fonctionnalités d'intégration d'AWS, le contrôleur Ingress, l'agent Connect, ainsi que l'outil de ligne de commande anthos-gke.

• Analyse en continu des composants à l'aide de l'API Artifact Analysis et correction des failles connues.

• Gestion et distribution du service de gestion, du plan de contrôle et des images de la machine du pool de nœuds, y compris les correctifs standards et les correctifs de sécurité

• Notification des utilisateurs quant aux mises à niveau disponibles pour GKE sur AWS et génération des instructions de mise à niveau pour la version précédente. GKE sur AWS n'accepte que les mises à niveau séquentielles (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).

• Intégrations Google Cloud pour Connect et Google Cloud Observability.

• Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.

Responsabilités du client

• Administration globale du système pour les clusters GKE sur AWS. Par exemple, configurez-les pour qu'ils fonctionnent au sein de l'environnement VPC de l'entreprise.

• Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies d'autorisation (RBAC/IAM), ainsi que les conteneurs et les pods que vous exécutez.

• Exécution et gestion de l'environnement AWS, y compris la configuration de la mise en réseau et la connectivité à Google Cloud

• Gestion des contrats d'assistance concernant AWS

• Mise à niveau régulière de GKE sur AWS vers une version compatible.

• Surveillance des clusters et des applications et réponse aux incidents éventuels.

• Déploiement des agents Logging et Monitoring sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.

• Partage avec Google des informations concernant l'environnement (par exemple, la configuration du VPC AWS) lorsqu'elles sont demandées à des fins de dépannage.

GKE sur Azure

Responsabilités de Google

• Maintenance et distribution du package logiciel GKE sur Azure, y compris Kubernetes, les images de base, les fonctions d'intégration Azure, le contrôleur Ingress, l'agent Connect, ainsi que la Google Cloud CLI.

• Analyse en continu des composants à l'aide de l'API Artifact Analysis et correction des failles connues.

• Gestion et distribution du service de gestion, du plan de contrôle et des images de la machine du pool de nœuds, y compris les correctifs standards et les correctifs de sécurité

• Notification des utilisateurs quant aux mises à niveau disponibles pour GKE sur Azure et génération des instructions de mise à niveau pour la version précédente. GKE sur Azure n'accepte que les mises à niveau séquentielles (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).

• Intégrations Google Cloud pour Connect et Google Cloud Observability.

• Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.

Responsabilités du client

• Administration globale du système pour les clusters GKE sur Azure. Par exemple, configurez-les pour qu'ils fonctionnent au sein de l'environnement VPC de l'entreprise.

• Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies d'autorisation (RBAC/IAM), ainsi que les conteneurs et les pods que vous exécutez.

• Exécution et gestion de l'environnement Azure, y compris la configuration de la mise en réseau et la connectivité à Google Cloud

• Gestion des contrats d'assistance concernant Azure.

• Mise à niveau régulière de GKE sur Azure vers une version compatible.

• Surveillance des clusters et des applications et réponse aux incidents éventuels.

• Déploiement des agents Logging et Monitoring sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.

• Partage avec Google des informations sur l'environnement (par exemple, la configuration d'Azure VNet) lorsqu'elles sont demandées à des fins de dépannage.

Clusters associés à GKE Enterprise

Responsabilités de Google

• Liste des distributions et des versions Kubernetes compatibles

• Notification des utilisateurs quant aux mises à niveau disponibles pour les composants GKE Enterprise et génération des instructions de mise à niveau pour la version précédente. GKE Enterprise n'accepte que les mises à niveau séquentielles (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).

• Intégrations Google Cloud pour Connect et Google Cloud Observability.

• Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.

Responsabilités du client

• Plate-forme Kubernetes moderne respectant les spécifications de Google. Elle comprend, sans s'y limiter, le matériel, l'OS, le serveur d'API Kubernetes, la configuration du VPC et d'autres attributs.

• Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies d'autorisation (RBAC/IAM), ainsi que les conteneurs et les pods que vous exécutez.

• Exécution, gestion et correction de l'infrastructure, y compris les réseaux, les serveurs, le stockage et la connectivité à Google Cloud

• Exécution, gestion et correction de toute infrastructure nécessaire à l'exécution des clusters.

• Gestion des contrats d'assistance concernant des tiers. Exemples : mise en réseau, orchestration de conteneurs, ressources informatiques et fournisseurs de stockage.

• Mise à niveau régulière de Kubernetes vers une version compatible.

• Surveillance des clusters et des applications et réponse aux incidents éventuels.

• Maintenance de vos clusters connectés aux services Google.

• Partage avec Google des informations concernant l'environnement (par exemple, la configuration du réseau) lorsqu'elles sont demandées à des fins de dépannage.

Étapes suivantes

• Découvrez comment Google gère les correctifs de sécurité pour GKE Enterprise.

• Configurez Logging et Monitoring pour :

  • Google Distributed Cloud sur VMware
  • Google Distributed Cloud sur bare metal
  • GKE sur AWS
  • Clusters associés à GKE