Responsabilità condivisa di GKE Enterprise
L'esecuzione di un'applicazione business-critical su GKE Enterprise richiede che più parti abbiano responsabilità diverse. Sebbene non sia un elenco esaustivo, questo argomento elenca i ruoli e le responsabilità per ciascun prodotto dei cluster GKE sia per Google sia per il cliente.
GKE su Google Cloud
Responsabilità di Google
- Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Ciò include la crittografia dei dati at-rest per impostazione predefinita, la crittografia aggiuntiva dei dischi gestiti dal cliente, la crittografia dei dati in transito, l'utilizzo di hardware progettato su misura, la posa di cavi di rete privata, la protezione dei data center dall'accesso fisico, la protezione del bootloader e del kernel dalle modifiche mediante Nodi schermati dopo pratiche di sviluppo sicuro.
- Protezione e applicazione di patch del sistema operativo dei nodi, ad esempio Container-Optimized OS o Ubuntu. GKE rende subito disponibili eventuali patch a queste immagini. Se hai abilitato l'upgrade automatico o utilizzi un canale di rilascio, il deployment di questi aggiornamenti viene eseguito automaticamente. Questo è il livello del sistema operativo sotto il container, non è uguale al sistema operativo in esecuzione nei tuoi container.
- Creazione e gestione del rilevamento delle minacce specifiche per i container nel kernel con Container Threat Detection (a pagamento con Security Command Center).
- Protezione e
applicazione di patch
I componenti dei nodi Kubernetes. L'upgrade di tutti i componenti gestiti di GKE
viene eseguito automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Ad esempio:
- Meccanismo di bootstrap attendibile supportato da vTPM per l'emissione di certificati TLS kubelet e la rotazione automatica dei certificati
- Configurazione kubelet protetta conforme ai benchmark CIS
- Server metadati GKE per identità carico di lavoro
- Plug-in Container Network Interface e Calico per NetworkPolicy nativo di GKE
- Integrazioni di archiviazione GKE Kubernetes, come il driver CSI
- Agenti di logging e monitoraggio GKE
- Protezione e applicazione di patch del piano di controllo. Il piano di controllo include la VM del piano di controllo, il server API, lo scheduler, il gestore del controller, la CA del cluster, l'emissione e la rotazione del certificato TLS, il materiale della chiave di attendibilità, la rotazione della CA, la crittografia dei secret, l'autenticatore e l'autore dell'autorizzazione IAM, la configurazione dell'audit logging e così via e vari altri controller. Tutti i componenti del piano di controllo vengono eseguiti su istanze Compute Engine gestite da Google. Queste istanze sono tenant singoli, ovvero ogni istanza esegue il piano di controllo e i relativi componenti per un solo cliente.
- Fornisce le integrazioni di Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri ancora.
- Limita e registra l'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency.
Responsabilità del cliente
- Gestisci i tuoi carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, controllo dell'accesso basato sui ruoli (RBAC)/IAM, container e pod in esecuzione.
- Registra i cluster nell'upgrade automatico (predefinito) o esegui l'upgrade dei cluster alle versioni supportate.
- Monitora il cluster e le applicazioni e rispondi a qualsiasi avviso e incidente utilizzando tecnologie come la dashboard della postura di sicurezza e l'osservabilità di Google Cloud.
- Quando richiesto, fornisci a Google dettagli sull'ambiente per la risoluzione dei problemi.
GKE su VMware
Responsabilità di Google
Gestire e distribuire il pacchetto software GKE su VMware, tra cui i controller Kubernetes, vCenter e F5, il controller Ingress, gli agenti Connect, Logging e Monitoring, nonché lo strumento a riga di comando
gkectl
.Gestisci e distribuisci le immagini della workstation di amministrazione e delle macchine dei nodi di Ubuntu, incluse l'applicazione regolare di patch e correzioni di sicurezza.
Analizza continuamente i componenti con l'API Artifact Analysis e applica la patch alle vulnerabilità note.
Comunica agli utenti la disponibilità di upgrade per GKE su VMware e la produzione di script di upgrade per la versione precedente; GKE su VMware supporta solo upgrade sequenziali (solo 1.2 → 1.3 → 1.4 e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e l'osservabilità di Google Cloud.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Amministrazione generale del sistema per i cluster on-premise.
Gestisci i tuoi carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, controllo dell'accesso basato sui ruoli (RBAC)/IAM, container e pod in esecuzione.
Gestisci, gestisci e applica le patch all'infrastruttura, inclusi reti, server, archiviazione e connettività a Google Cloud.
Utilizza, gestisci e applica patch a vSphere e ai bilanciatori del carico di rete.
Mantieni i contratti di assistenza con VMware e F5 (se implementato).
Esegui regolarmente l'upgrade di GKE su VMware a una versione supportata.
Esegui il deployment e il test dei tuoi carichi di lavoro su immagini delle macchine dei nodi aggiornate. Esegui il deployment e il test di immagini aggiornate della workstation di amministrazione nel tuo ambiente. Segnalare eventuali dubbi a Google tramite l'assistenza clienti Google Cloud.
Monitora cluster e applicazioni e rispondi a qualsiasi incidente.
Assicurati che sia stato eseguito il deployment degli agenti Logging e Monitoring nei cluster. Senza log, l'assistenza è disponibile secondo il criterio del "best effort".
Quando richiesto, fornisci a Google i dettagli ambientali (ad esempio la configurazione di rete) per la risoluzione dei problemi.
GKE su Bare Metal
Responsabilità di Google
Gestisci e distribuisci il pacchetto software GKE su Bare Metal, tra cui Kubernetes, controller Ingress, agenti Connect e Logging e Monitoring e lo strumento a riga di comando
bmctl
.Analizza continuamente i componenti con l'API Artifact Analysis e applica la patch alle vulnerabilità note.
Comunica agli utenti gli upgrade disponibili per GKE su Bare Metal e genera istruzioni per l'upgrade per la versione precedente; GKE su Bare Metal supporta upgrade sequenziali tra versioni secondarie e release di patch (solo 1.2 → 1.3 → 1.4 e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e l'osservabilità di Google Cloud.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornisce l'amministrazione generale del sistema per i cluster.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criteri di autorizzazione RBAC/IAM e container e pod in esecuzione.
Gestisci, gestisci e applica le patch all'infrastruttura, inclusi reti, server, archiviazione e connettività a Google Cloud.
Gestisci i contratti di assistenza con i fornitori.
Esegui regolarmente l'upgrade di GKE su Bare Metal a una versione supportata.
Esegui il deployment e il test dei tuoi carichi di lavoro su immagini delle macchine dei nodi aggiornate. Esegui il deployment e il test di immagini aggiornate della workstation di amministrazione nel tuo ambiente. Segnalare eventuali dubbi a Google tramite l'assistenza clienti Google Cloud.
Monitora cluster e applicazioni e rispondi a qualsiasi incidente.
Assicurati che sia stato eseguito il deployment degli agenti Logging e Monitoring nei cluster. Senza log, l'assistenza è disponibile secondo il criterio del "best effort".
Quando richiesto, fornisci a Google i dettagli ambientali (ad esempio la configurazione di rete) per la risoluzione dei problemi.
GKE su AWS (multi-cloud)
Responsabilità di Google
Gestire e distribuire il pacchetto software GKE su AWS, tra cui Kubernetes, immagini di base, le funzionalità di integrazione AWS, il controller Ingress, l'agente Connect e lo strumento a riga di comando
anthos-gke
.Analizza continuamente i componenti con l'API Artifact Analysis e applica la patch alle vulnerabilità note.
Gestire e distribuire le immagini del servizio di gestione, del piano di controllo e del pool di nodi, con regolari correzioni per la sicurezza e l'applicazione di patch.
Invia una notifica agli utenti sugli upgrade disponibili per GKE su AWS e crea istruzioni sugli upgrade per la versione precedente. GKE su AWS supporta solo upgrade sequenziali (solo 1,2 → 1,3 → 1,4 e non 1,2 → 1,4).
Fornisci integrazioni di Google Cloud per Connect e l'osservabilità di Google Cloud.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornisce l'amministrazione generale del sistema per GKE su cluster AWS. Ad esempio, configurandole in modo che funzionino all'interno dell'ambiente VPC aziendale.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criteri di autorizzazione RBAC/IAM e container e pod in esecuzione.
Gestire e gestire l'ambiente AWS, comprese le configurazioni di networking e la connettività a Google Cloud.
Gestisci i contratti di assistenza con AWS.
Esegui regolarmente l'upgrade di GKE su AWS a una versione supportata.
Monitora cluster e applicazioni e rispondi a qualsiasi incidente.
Assicurati che sia stato eseguito il deployment degli agenti Logging e Monitoring nei cluster. Senza log, l'assistenza è disponibile secondo il criterio del "best effort".
Quando richiesto, fornisci a Google i dettagli ambientali (ad esempio la configurazione VPC AWS) per la risoluzione dei problemi.
GKE su Azure
Responsabilità di Google
Gestisci e distribuisci il pacchetto software GKE su Azure, tra cui Kubernetes, immagini di base, integrazioni di Azure, il controller Ingress, l'agente Connect e Google Cloud CLI.
Analizza continuamente i componenti con l'API Artifact Analysis e applica la patch alle vulnerabilità note.
Gestire e distribuire le immagini del servizio di gestione, del piano di controllo e del pool di nodi, con regolari correzioni per la sicurezza e l'applicazione di patch.
Comunica agli utenti gli upgrade disponibili per GKE su Azure e crea istruzioni per gli upgrade per la versione precedente. GKE su Azure supporta solo upgrade sequenziali (solo 1,2 → 1,3 → 1,4 e non 1,2 → 1,4).
Fornisci integrazioni di Google Cloud per Connect e l'osservabilità di Google Cloud.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornisce l'amministrazione generale del sistema per GKE su cluster Azure. ad esempio per configurarle in modo che funzionino all'interno dell'ambiente VPC aziendale.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criteri di autorizzazione RBAC/IAM e container e pod in esecuzione.
Gestisci e gestisci l'ambiente Azure, incluse le configurazioni di networking e la connettività a Google Cloud.
Gestire i contratti di assistenza con Azure.
Esegui regolarmente l'upgrade di GKE su Azure a una versione supportata.
Monitora cluster e applicazioni e rispondi a qualsiasi incidente.
Assicurati che sia stato eseguito il deployment degli agenti Logging e Monitoring nei cluster. Senza log, l'assistenza è disponibile secondo il criterio del "best effort".
Quando richiesto, fornisci a Google i dettagli ambientali (ad esempio la configurazione di Azure VNet) per la risoluzione dei problemi.
Cluster collegati a GKE Enterprise
Responsabilità di Google
Fornisci un elenco delle distribuzioni e delle versioni di Kubernetes supportate.
Invia una notifica agli utenti sugli upgrade disponibili per i componenti di GKE Enterprise e crea istruzioni sugli upgrade per la versione precedente. GKE Enterprise supporta solo upgrade sequenziali (solo 1.2 → 1.3 → 1.4 e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e l'osservabilità di Google Cloud.
Risoluzione dei problemi, fornendo soluzioni alternative e correggendo la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornire una piattaforma Kubernetes moderna che soddisfi le specifiche di Google. La piattaforma include, a titolo esemplificativo, hardware, sistema operativo, server API Kubernetes, configurazione VPC e altri attributi.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criteri di autorizzazione RBAC/IAM e container e pod in esecuzione.
Gestisci, gestisci e applica le patch all'infrastruttura, inclusi reti, server, archiviazione e connettività a Google Cloud.
Gestisci, gestisci e applica le patch a qualsiasi infrastruttura necessaria per eseguire il cluster.
Gestire contratti di assistenza con terze parti. ad esempio fornitori di servizi di networking, orchestrazione di container e risorse di computing.
Esegui regolarmente l'upgrade di Kubernetes a una versione supportata.
Monitora cluster e applicazioni e rispondi a qualsiasi incidente.
Mantieni i cluster connessi ai servizi Google.
Quando richiesto, fornisci a Google i dettagli ambientali (ad esempio la configurazione di rete) per la risoluzione dei problemi.
Passaggi successivi
Scopri in che modo Google gestisce l'applicazione di patch di sicurezza per GKE Enterprise.
Configura Logging e Monitoring su: