GKE Enterprise 共担责任
在 GKE Enterprise 上运行关键业务应用需要多方承担不同的责任。此主题列出了每个 GKE Enterprise 集群选项中 Google 和客户的相应角色和责任,但此列表并非详尽无遗。
GKE on Google Cloud
Google 责任
- 保护底层基础架构,包括硬件、固件、内核、操作系统、存储、网络等。这包括默认加密静态数据、提供额外的客户管理的磁盘加密机制、加密传输中的数据、使用定制设计的硬件、铺设专用网线、保护数据中心免遭物理访问、使用安全强化型节点防止引导加载程序和内核被修改,以及遵循安全的软件开发实践。
- 对节点的操作系统(例如 Container-Optimized OS 或 Ubuntu)进行安全强化和修补。GKE 会及时为这些映像提供补丁程序。如果您启用了自动升级功能,或者您使用发布渠道,系统会自动部署这些更新。这是容器的底层操作系统层,与容器中运行的操作系统不同。
- 在内核中使用 Container Threat Detection 对特定于容器的威胁构建和运行威胁检测(使用 Security Command Center 单独计费)。
- 对 Kubernetes 节点组件进行安全强化和修补。当您升级 GKE 节点版本时,所有 GKE 管理的组件都将自动升级。其中包括:
- 用于颁发 kubelet TLS 证书、由 vTPM 支持的可信引导机制和证书的自动轮替
- 遵循 CIS 基准的安全强化型 kubelet 配置
- Workload Identity 的 GKE 元数据服务器
- GKE 的原生容器网络接口插件和 Calico for NetworkPolicy
- GKE Kubernetes 存储集成,例如 CSI 驱动程序
- GKE 日志记录和监控代理
- 对控制平面进行安全强化和修补。控制平面包括控制平面虚拟机、API 服务器、调度程序、控制器管理器、集群 CA、TLS 证书颁发和轮替、信任根密钥材料、IAM 身份验证器和授权器、审核日志记录配置、etcd 以及其他各种控制器。您的所有控制层面组件都在由 Google 运行的 Compute Engine 实例上运行。这些实例是单租户实例,这意味着每个实例仅为一个客户运行控制层面及其组件。
- 为 Connect、Identity and Access Management、Cloud Audit Logs、Google Cloud Observability、Cloud Key Management Service、Security Command Center 等服务提供 Google Cloud 集成。
- 使用 Access Transparency 限制和记录 Google 对客户集群的管理员权限,以便根据合同提供支持。
客户责任
- 维护您的工作负载,包括应用代码、构建文件、容器映像、数据、基于角色的访问控制 (RBAC)/IAM 政策以及您运行的容器和 pod。
- 轮替集群的凭据。
- 为集群注册自动升级(默认)或将集群升级到受支持的版本。
- 监控集群和应用,并使用安全状况信息中心和 Google Cloud Observability 等技术响应任何提醒和突发事件。
- 在 Google 要求时提供环境详细信息,以进行问题排查。
VMware 上的 Google Distributed Cloud(纯软件)
Google 责任
维护和分发 Google Distributed Cloud 软件包,包括 Kubernetes、vCenter 和 F5 控制器、Ingress 控制器、Connect、Logging 和 Monitoring 代理,以及
gkectl命令行工具。维护和分发 Ubuntu 管理员工作站和节点机器映像,包括定期修补和安全修复。
使用 Artifact Analysis API 持续扫描组件并修补已知漏洞。
在 Google Distributed Cloud 有可用升级时通知用户,并为之前的版本生成升级脚本;VMware 上的 Google Distributed Cloud 仅支持依序升级(仅支持 1.2 → 1.3 → 1.4,不支持 1.2 → 1.4)。
为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。
针对与 Google 提供的组件相关的任何问题进行问题排查、提供解决办法以及纠正根本原因。
客户责任
本地集群的整体系统管理。
维护您的工作负载,包括应用代码、构建文件、容器映像、数据、基于角色的访问权限控制 (RBAC)/IAM 政策以及您运行的容器和 pod。
运营、维护和修补基础架构,包括网络、服务器、存储和 Google Cloud 连接。
运营、维护和修补 vSphere 和网络负载均衡器。
维护与 VMware 和 F5(如果已部署)签署的支持合同。
定期将 Google Distributed Cloud 升级到支持的版本。
在更新后的节点机器映像上部署和测试工作负载。在您的环境中部署和测试更新的管理员工作站映像。通过 Cloud Customer Care 向 Google 报告疑虑和问题。
监控集群和应用,并响应任何突发事件。
确保 Logging 和 Monitoring 代理已部署到集群。如果没有日志,系统会尽最大努力提供支持。
在 Google 要求时提供环境详细信息(例如网络配置),以进行问题排查。
裸金属上的 Google Distributed Cloud(纯软件)
Google 责任
维护和分发 Google Distributed Cloud 软件包,包括 Kubernetes、Ingress 控制器、Connect、Logging 和 Monitoring 代理,以及
bmctl命令行工具。使用 Artifact Analysis API 持续扫描组件并修补已知漏洞。
在 Google Distributed Cloud 有可用升级时通知用户,并为之前的版本生成升级说明;裸金属上的 Google Distributed Cloud支持次要版本和补丁版本之间的依序升级(仅支持 1.2 → 1.3 → 1.4,不支持 1.2 → 1.4)。
为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。
针对与 Google 提供的组件相关的任何问题进行问题排查、提供解决办法以及纠正根本原因。
客户责任
为集群提供整体系统管理。
维护您的工作负载,包括应用代码、构建文件、容器映像、数据、RBAC/IAM 允许政策以及您运行的容器和 pod。
运营、维护和修补基础架构,包括网络、服务器、存储和 Google Cloud 连接。
维护与供应商的支持合同。
定期将 Google Distributed Cloud 升级到支持的版本。
在更新后的节点机器映像上部署和测试工作负载。在您的环境中部署和测试更新的管理员工作站映像。通过 Cloud Customer Care 向 Google 报告疑虑和问题。
监控集群和应用,并响应任何突发事件。
确保 Logging 和 Monitoring 代理已部署到集群。如果没有日志,系统会尽最大努力提供支持。
在 Google 要求时提供环境详细信息(例如网络配置),以进行问题排查。
GKE on AWS(多云)
Google 责任
维护和分发 GKE on AWS 软件包,包括 Kubernetes、基础映像、AWS 集成功能、Ingress 控制器、Connect 代理和
anthos-gke命令行工具。使用 Artifact Analysis API 持续扫描组件并修补已知漏洞。
维护和分发管理服务、控制层面和节点池机器映像,包括定期修补和安全修复。
向用户通知 GKE on AWS 的可用升级,并为旧版本生成升级说明。GKE on AWS 仅支持依序升级(仅支持 1.2 → 1.3 → 1.4,不支持 1.2 → 1.4)。
为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。
针对与 Google 提供的组件相关的任何问题进行问题排查、提供解决办法以及纠正根本原因。
客户责任
为 GKE on AWS 集群提供整体系统管理。例如,将其配置为在公司 VPC 环境中工作。
维护您的工作负载,包括应用代码、构建文件、容器映像、数据、RBAC/IAM 允许政策以及您运行的容器和 pod。
运营和维护 AWS 环境,包括网络配置和 Google Cloud 连接。
维护与 AWS 的支持合同。
定期将 GKE on AWS 升级到支持的版本。
监控集群和应用,并响应任何突发事件。
确保 Logging 和 Monitoring 代理已部署到集群。如果没有日志,系统会尽最大努力提供支持。
在 Google 要求时提供环境详细信息(例如 AWS VPC 配置),以进行问题排查。
GKE on Azure
Google 责任
维护和分发 GKE on Azure 软件包,包括 Kubernetes、基础映像、Azure 集成、Ingress 控制器、Connect 代理和 Google Cloud CLI。
使用 Artifact Analysis API 持续扫描组件并修补已知漏洞。
维护和分发管理服务、控制层面和节点池机器映像,包括定期修补和安全修复。
在 GKE on Azure 有可用升级时通知用户,并为之前的版本生成升级说明。GKE on Azure 仅支持依序升级(仅支持 1.2 → 1.3 → 1.4,不支持 1.2 → 1.4)。
为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。
针对与 Google 提供的组件相关的任何问题进行问题排查、提供解决办法以及纠正根本原因。
客户责任
为 GKE on Azure 集群提供整体系统管理。例如,将其配置为在公司 VPC 环境中工作。
维护您的工作负载,包括应用代码、构建文件、容器映像、数据、RBAC/IAM 允许政策以及您运行的容器和 pod。
运营和维护 Azure 环境,包括网络配置和 Google Cloud 连接。
维护与 Azure 的支持合同。
定期将 GKE on Azure 升级到支持的版本。
监控集群和应用,并响应任何突发事件。
确保 Logging 和 Monitoring 代理已部署到集群。如果没有日志,系统会尽最大努力提供支持。
在 Google 要求时提供环境详细信息(例如 Azure VNet 配置),以进行问题排查。
GKE Enterprise 关联的集群
Google 责任
提供支持的 Kubernetes 发行版和版本的列表。
在 GKE Enterprise 组件有可用升级时通知用户,并为之前的版本生成升级说明。GKE Enterprise 仅支持依序升级(仅支持 1.2 → 1.3 → 1.4,不支持 1.2 → 1.4)。
为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。
针对与 Google 提供的组件相关的任何问题,进行问题排查、提供解决办法以及纠正根本原因
客户责任
提供符合 Google 规范的现代 Kubernetes 平台。平台包括但不限于硬件、操作系统、Kubernetes API 服务器、VPC 配置和其他特性。
维护您的工作负载,包括应用代码、构建文件、容器映像、数据、RBAC/IAM 允许政策以及您运行的容器和 pod。
运营、维护和修补基础架构,包括网络、服务器、存储和 Google Cloud 连接。
运营、维护和修补运行集群所需的任何基础架构
维护与第三方的支持合同。例如网络、容器编排、计算资源和存储供应商。
定期将 Kubernetes 升级到受支持的版本。
监控集群和应用,并响应任何突发事件。
保持集群与 Google 服务的连接。
在 Google 要求时提供环境详细信息(例如网络配置),以进行问题排查。
后续步骤
了解 Google 如何处理 GKE Enterprise 的安全补丁。
为以下各项配置 Logging 和 Monitoring: