Responsabilidade compartilhada do GKE Enterprise
A execução de um aplicativo essencial para os negócios no GKE Enterprise exige que várias partes tenham responsabilidades diferentes. Embora não seja uma lista completa, este tópico lista os papéis e as responsabilidades de cada opção de cluster do GKE Enterprise para o Google e o cliente.
Esta página é destinada a administradores, arquitetos e operadores que gerenciam o ciclo de vida da infraestrutura de tecnologia subjacente. Para saber mais sobre papéis comuns e tarefas de exemplo referenciados no conteúdo do Google Cloud, consulte Tarefas e funções de usuário comuns do GKE Enterprise.
GKE no Google Cloud
Responsabilidades do Google
- Proteger a infraestrutura subjacente, incluindo hardware, firmware, kernel, SO, armazenamento, rede e outros. Isso inclui criptografar dados em repouso por padrão, fornecer criptografia extra de disco gerenciada pelo cliente, fornecer criptografia de dados em trânsito usando hardware personalizado, colocar cabos de rede particular, proteger os data centers contra o acesso físico, proteger o carregador de inicialização e o kernel contra modificação usando nós protegidos e seguir as práticas de desenvolvimento de software seguras
- Aumentar a proteção e aplicar patches no sistema operacional dos nós, como o Container-Optimized OS ou Ubuntu. O GKE disponibiliza todos os patches dessas imagens. Se o upgrade automático estiver ativado ou se você estiver usando um canal de lançamento, essas atualizações serão implantadas automaticamente. Essa é a camada de SO abaixo de seu contêiner, não é a mesma do sistema operacional em execução nos seus contêineres
- Criar e operar a detecção de ameaças específicas do contêiner no kernel com o Container Threat Detection (cobrado separadamente pelo Security Command Center)
- Aumentar a proteção e aplicar patches em componentes do nó do Kubernetes. Todos os componentes gerenciados do GKE são atualizados
automaticamente quando você faz upgrade das versões de nós do GKE. Isso inclui o seguinte:
- Mecanismo de inicialização confiável compatível com vTPM para emitir certificados TLS do kubelet e rotação automática dos certificados
- Configuração do kubelet com mais proteção seguindo comparativos de mercado CIS
- Servidor de metadados do GKE para identidade da carga de trabalho
- Plug-in nativo da interface de rede do contêiner e Calico para NetworkPolicy do GKE
- Integrações de armazenamento do Kubernetes no GKE, como o driver CSI
- Agentes de geração de registros e monitoramento do GKE
- Aumento da segurança e aplicação de patches no plano de controle. O plano de controle inclui a VM do plano de controle, o servidor de API, o programador, o gerenciador do controlador, a AC do cluster, a emissão e a rotação do certificado TLS, o material da chave raiz da confiança, o autenticador e o autorizador do IAM, a configuração de geração de registros de auditoria, etcd e vários outros controladores. Todos os componentes do seu plano de controle são executados em instâncias do Compute Engine operadas pelo Google. Essas instâncias são locatário individual, o que significa que cada instância executa o plano de controle e os componentes dele para apenas um cliente
- Fornecer integrações do Google Cloud para Connect, Identity and Access Management, Registros de auditoria do Cloud, Google Cloud Observability, Cloud Key Management Service, Security Command Center e outros.
- Restringir e registrar o acesso administrativo do Google aos clusters de clientes para fins de suporte contratual com a Transparência no acesso
Responsabilidades do cliente
- Manter as cargas de trabalho, incluindo o código do aplicativo, os arquivos de build, as imagens de contêiner, os dados, a política de IAM/controle de acesso baseado em papéis (RBAC, na sigla em inglês) e os contêineres e pods que você está executando
- Rotacionar as credenciais dos clusters.
- Inscrever clusters no upgrade automático (padrão) ou fazer upgrade dos clusters para as versões compatíveis
- Monitore o cluster e os aplicativos e responda a alertas e incidentes usando tecnologias como o painel de postura de segurança e a Google Cloud Observability.
- Fornecer ao Google detalhes ambientais quando solicitado para a solução de problemas
- Verifique se o Logging e o Monitoring estão ativados nos clusters. Sem registros, o suporte é disponibilizado da melhor maneira possível
Google Distributed Cloud (somente software) no VMware
Responsabilidades do Google
Manter e distribuir o pacote de software do Google Distributed Cloud, incluindo os controladores do Kubernetes, do vCenter, do F5 e do Ingress, os agentes do Connect, do Logging e do Monitoring e a ferramenta de linha de comando
gkectl
.Manter e distribuir as imagens de máquina de nó e de estação de trabalho do Ubuntu, incluindo correções de segurança e patches regulares
Verificar continuamente os componentes com a Artifact Analysis API e corrigir vulnerabilidades conhecidas.
Notificar os usuários sobre upgrades disponíveis para o Google Distributed Cloud e produzir scripts de upgrade para a versão anterior. O Google Distributed Cloud no VMware é compatível apenas com upgrades sequenciais (apenas 1.2 → 1.3 → 1.4, e não 1.2 → 1.4).
Fornecer integrações do Google Cloud para o Connect e a observabilidade do Google Cloud.
Solucionar problemas, fornecer soluções alternativas e corrigir a causa raiz de qualquer problema relacionado aos componentes fornecidos pelo Google
Responsabilidades do cliente
Cuidar da administração geral do sistema para clusters no local
Manter as cargas de trabalho, incluindo o código do aplicativo, os arquivos de build, as imagens de contêiner, os dados, a política de IAM/controle de acesso baseado em papéis (RBAC, na sigla em inglês) e os contêineres e pods que você está executando
Operar, dar manutenção e corrigir a infraestrutura, incluindo redes, servidores, armazenamento e conectividade com o Google Cloud
Opera, mantém e corrige balanceadores de carga de rede e vSphere.
Manter contratos de suporte com VMware e F5 (se implantados)
Fazer upgrade do Google Distributed Cloud para uma versão compatível regularmente.
Implantar e testar as cargas de trabalho em imagens de máquina do nó atualizadas. Implantar e testar as imagens atualizadas da estação de trabalho do administrador no ambiente. Notificar preocupações ao Google usando o Cloud Customer Care
Monitorar clusters e aplicativos e responder a incidentes
Garantir que os agentes do Logging e do Monitoring sejam implantados nos clusters. Sem registros, o suporte é disponibilizado da melhor maneira possível
Fornecer ao Google detalhes ambientais (por exemplo, configuração de rede) quando solicitado para solucionar problemas
Google Distributed Cloud (somente software) em bare metal
Responsabilidades do Google
Manter e distribuir o pacote de software do Google Distributed Cloud, incluindo o Kubernetes, o controlador do Ingress, os agentes do Connect, do Logging e do Monitoring e a ferramenta de linha de comando
bmctl
.Verificar continuamente os componentes com a Artifact Analysis API e corrigir vulnerabilidades conhecidas.
Notificar os usuários sobre upgrades disponíveis para o Google Distributed Cloud e produzir instruções de upgrade para a versão anterior. O Google Distributed Cloud em ambientes bare metal é compatível com upgrades sequenciais entre versões secundárias e versões de patch (apenas 1.2 → 1.3 → 1.4, e não 1.2 → 1.4).
Fornecer integrações do Google Cloud para o Connect e a observabilidade do Google Cloud.
Solucionar problemas, fornecer soluções alternativas e corrigir a causa raiz de qualquer problema relacionado aos componentes fornecidos pelo Google
Responsabilidades do cliente
Fornecer administração geral do sistema para clusters
Manter as cargas de trabalho, incluindo o código do aplicativo, arquivos de build, imagens de contêiner, dados, a política de permissão do IAM/controle de acesso baseado em papéis (RBAC, na sigla em inglês) e os contêineres e pods que estiver executando
Operar, dar manutenção e corrigir a infraestrutura, incluindo redes, servidores, armazenamento e conectividade com o Google Cloud
Manter contratos de suporte com os fornecedores
Fazer upgrade do Google Distributed Cloud para uma versão compatível regularmente.
Implantar e testar as cargas de trabalho em imagens de máquina do nó atualizadas. Implantar e testar as imagens atualizadas da estação de trabalho do administrador no ambiente. Notificar preocupações ao Google usando o Cloud Customer Care
Monitorar clusters e aplicativos e responder a incidentes
Garantir que os agentes do Logging e do Monitoring sejam implantados nos clusters. Sem registros, o suporte é disponibilizado da melhor maneira possível
Fornecer ao Google detalhes ambientais (por exemplo, configuração de rede) quando solicitado para solucionar problemas
GKE na AWS (várias nuvens)
Responsabilidades do Google
Mantenha e distribua o pacote de software do GKE na AWS, incluindo o Kubernetes, imagens de base, os recursos de integração da AWS, o controlador de entrada, o agente Connect e a ferramenta de linha de comando
anthos-gke
.Verificar continuamente os componentes com a Artifact Analysis API e corrigir vulnerabilidades conhecidas.
Manter e distribuir o serviço de gerenciamento, o plano de controle e as imagens de máquina do pool de nós, incluindo correções de segurança e patches regulares
Notificar usuários de upgrades disponíveis para o GKE na AWS e produzir instruções de upgrade para a versão anterior. O GKE na AWS é compatível apenas com upgrades sequenciais (1.2 → 1.3 → 1.4 apenas e não 1.2 → 1.4).
Fornecer integrações do Google Cloud para o Connect e a observabilidade do Google Cloud.
Solucionar problemas, fornecer soluções alternativas e corrigir a causa raiz de qualquer problema relacionado aos componentes fornecidos pelo Google
Responsabilidades do cliente
Fornece administração geral do sistema para clusters do GKE na AWS. Por exemplo, configurá-los para funcionar no ambiente VPC corporativo
Manter as cargas de trabalho, incluindo o código do aplicativo, arquivos de build, imagens de contêiner, dados, a política de permissão de IAM/controle de acesso baseado em papéis (RBAC, na sigla em inglês) e os contêineres e pods que estiver executando
Operar e dar manutenção no ambiente da AWS, incluindo a configuração da rede e a conectividade com o Google Cloud
Manter contratos de suporte com a AWS.
Fazer upgrade do GKE na AWS para uma versão compatível regularmente.
Monitorar clusters e aplicativos e responder a incidentes
Garantir que os agentes do Logging e do Monitoring sejam implantados nos clusters. Sem registros, o suporte é disponibilizado da melhor maneira possível
Fornecer ao Google detalhes ambientais (por exemplo, configuração de VPC da AWS) quando solicitado para solucionar problemas
GKE no Azure
Responsabilidades do Google
Manter e distribuir o pacote de software do GKE no Azure, incluindo Kubernetes, imagens de base, integrações do Azure, controlador Ingress, agente Connect e a CLI do Google Cloud.
Verificar continuamente os componentes com a Artifact Analysis API e corrigir vulnerabilidades conhecidas.
Manter e distribuir o serviço de gerenciamento, o plano de controle e as imagens de máquina do pool de nós, incluindo correções de segurança e patches regulares
Notificar usuários de upgrades disponíveis para o GKE no Azure e produzir instruções de upgrade para a versão anterior. O GKE no Azure é compatível apenas com upgrades sequenciais (1.2 → 1.3 → 1.4 apenas e não 1.2 → 1.4).
Fornecer integrações do Google Cloud para o Connect e a observabilidade do Google Cloud.
Solucionar problemas, fornecer soluções alternativas e corrigir a causa raiz de qualquer problema relacionado aos componentes fornecidos pelo Google
Responsabilidades do cliente
Fornece administração geral do sistema para clusters do GKE no Azure. Por exemplo, configurá-los para funcionar no ambiente VPC corporativo.
Manter as cargas de trabalho, incluindo o código do aplicativo, arquivos de build, imagens de contêiner, dados, a política de permissão do IAM/controle de acesso baseado em papéis (RBAC, na sigla em inglês) e os contêineres e pods que estiver executando
Operar e dar manutenção no ambiente do Azure, incluindo a configuração da rede e a conectividade com o Google Cloud.
Mantenha contratos de suporte com o Azure.
Fazer upgrade do GKE no Azure para uma versão compatível regularmente.
Monitorar clusters e aplicativos e responder a incidentes
Garantir que os agentes do Logging e do Monitoring sejam implantados nos clusters. Sem registros, o suporte é disponibilizado da melhor maneira possível
Fornecer ao Google detalhes ambientais (por exemplo, configuração da VNet do Azure) quando solicitado para fins de solução de problemas.
Clusters anexados do GKE Enterprise
Responsabilidades do Google
Forneça uma lista de distribuições e versões compatíveis do Kubernetes.
Notificar os usuários sobre upgrades disponíveis para componentes do GKE Enterprise e fornecer instruções de upgrade para a versão anterior. O GKE Enterprise é compatível apenas com upgrades sequenciais (1.2 → 1.3 → 1.4 apenas e não 1.2 → 1.4).
Fornecer integrações do Google Cloud para o Connect e a observabilidade do Google Cloud.
Solucionar problemas, fornecer alternativas e corrigir a causa raiz dos problemas relacionados aos componentes fornecidos pelo Google
Responsabilidades do cliente
Forneça uma plataforma moderna do Kubernetes que atenda às especificações do Google. A plataforma inclui, entre outros: hardware, SO, servidor da API Kubernetes, configuração da VPC e outros atributos
Manter as cargas de trabalho, incluindo o código do aplicativo, arquivos de build, imagens de contêiner, dados, a política de permissão do IAM/controle de acesso baseado em papéis (RBAC, na sigla em inglês) e os contêineres e pods que estiver executando
Operar, dar manutenção e corrigir a infraestrutura, incluindo redes, servidores, armazenamento e conectividade com o Google Cloud
Operar, dar manutenção e corrigir qualquer infraestrutura necessária para executar o cluster
Manter contratos de suporte com terceiros. Por exemplo: rede, orquestração de contêineres, recursos de computação e fornecedores de armazenamento
Fazer upgrade do Kubernetes para uma versão compatível regularmente
Monitorar clusters e aplicativos e responder a incidentes
Manter os clusters conectados aos serviços do Google
Fornecer ao Google detalhes ambientais (por exemplo, configuração de rede) quando solicitado para solucionar problemas
A seguir
Saiba como o Google gerencia os patches de segurança para o GKE Enterprise.
Configure o Logging e o Monitoring para: