Responsabilità condivisa di GKE Enterprise
L'esecuzione di un'applicazione business-critical su GKE Enterprise richiede più ad assumere diverse responsabilità. Sebbene non si tratti di un elenco esaustivo, in questo argomento sono elencati i ruoli e le responsabilità per ciascuna opzione dei cluster GKE Enterprise sia per Google che per il cliente.
GKE su Google Cloud
Responsabilità di Google
- Protezione dell'infrastruttura sottostante, inclusi hardware, firmware kernel, sistema operativo, archiviazione, rete e altro ancora. Sono inclusi criptare i dati at-rest per impostazione predefinita, fornendo crittografia aggiuntiva gestita dal cliente, la crittografia dei dati in transito, utilizzando hardware personalizzato, posa cavi di rete privata, proteggere i data center dall'accesso fisico, proteggere il bootloader il kernel alla modifica mediante Nodi schermati, e seguire pratiche di sviluppo software sicure.
- Intensificazione e applicazione di patch i nodi ad esempio Container-Optimized OS, Ubuntu. GKE applica tempestivamente le patch a queste immagini disponibili. Se hai attivato gli upgrade automatici o utilizzi una canale di rilascio, il deployment di questi aggiornamenti viene eseguito automaticamente. Questo è il livello del sistema operativo sottostante del tuo container, non è uguale al sistema operativo in esecuzione containers.
- Creare e gestire il rilevamento delle minacce per minacce specifiche dei container nel kernel con Rilevamento delle minacce di container (prezzo separatamente con Security Command Center).
- Rafforzamento
applicazione di patch
componenti dei nodi di Kubernetes. Viene eseguito l'upgrade di tutti i componenti gestiti di GKE
automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Sono inclusi:
- Meccanismo di bootstrap attendibile supportato da vTPM per l'emissione di certificati TLS kubelet e la rotazione automatica dei certificati
- Configurazione kubelet protetta rispetto ai benchmark CIS
- il server di metadati GKE per Identità del carico di lavoro
- L'architettura nativa di GKE plug-in di Container Network Interface e Calico per NetworkPolicy
- le integrazioni di archiviazione di GKE Kubernetes come Conducente CSI
- GKE agenti di logging e monitoraggio
- Rafforzamento applicazione di patch il piano di controllo. Il piano di controllo include la VM, l'API e l'API server, scheduler, gestore del controller CA cluster, emissione e rotazione dei certificati TLS, materiale delle chiavi radice di attendibilità, Autenticazione e autorizzazione IAM, audit logging configurazione ecc. e da vari altri controller. Tutto il controllo che vengono eseguiti su istanze di Compute Engine gestite da Google. Questi Le istanze sono a tenant singolo, il che significa che ogni istanza esegue il piano di controllo e i relativi componenti per un solo cliente.
- Fornire integrazioni di Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri.
- Limita e registra l'accesso amministrativo di Google ai cluster del cliente per per gli scopi di supporto contrattuale Access Transparency.
Responsabilità del cliente
- Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build immagini container, dati, controllo dell'accesso basato su ruoli (RBAC)/IAM nonché i container e i pod in esecuzione.
- Ruota le credenziali del cluster.
- Registra i cluster per l'upgrade automatico (impostazione predefinita) o esegui l'upgrade dei cluster a versioni supportate.
- Monitora il cluster e le applicazioni e rispondi a eventuali avvisi incidenti usando tecnologie quali la dashboard della security posture e Google Cloud Observability.
- Fornisci a Google dettagli ambientali quando richiesto per la risoluzione dei problemi scopi.
Google Distributed Cloud (solo software) su VMware
Responsabilità di Google
Gestire e distribuire il pacchetto software Google Distributed Cloud inclusi controller Kubernetes, vCenter e F5, controller Ingress, Connessione, logging e monitoraggio e lo strumento a riga di comando
gkectl
.Gestire e distribuire la workstation di amministrazione Ubuntu e le immagini delle macchine dei nodi incluse patch regolari e correzioni di sicurezza.
Esegui la scansione continua dei componenti con API Artifact Analysis e applicare patch alle vulnerabilità note.
Avvisare gli utenti degli upgrade disponibili per Google Distributed Cloud e produrre script di upgrade per la versione precedente; Google Distributed Cloud on VMware supporta solo gli aggiornamenti sequenziali (1.2 → 1.3 → 1.4 solo e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di qualsiasi problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Amministrazione generale del sistema per cluster on-premise.
Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build immagini container, dati, controllo dell'accesso basato su ruoli (RBAC)/IAM nonché i container e i pod in esecuzione.
Gestisci, mantieni e applica le patch all'infrastruttura, tra cui reti, server archiviazione e connettività a Google Cloud.
Utilizza, gestisci e applica le patch a vSphere e ai bilanciatori del carico di rete.
Mantieni i contratti di assistenza con VMware e F5 (se implementato).
Esegui l'upgrade di Google Distributed Cloud a un versione supportata regolarmente.
Esegui il deployment e il test dei carichi di lavoro su immagini macchina dei nodi aggiornate. Deployment e test le immagini delle workstation di amministrazione aggiornate nel tuo ambiente. Segnalare i dubbi a Google tramite l'assistenza clienti Google Cloud.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Assicurati che gli agenti Logging e Monitoring siano il deployment nei cluster. Senza i log, l'assistenza è disponibile secondo il criterio del "best effort" Google Cloud.
Fornire a Google i dettagli ambientali (ad esempio, la configurazione di rete) quando richiesto per la risoluzione dei problemi.
Google Distributed Cloud (solo software) su bare metal
Responsabilità di Google
Gestire e distribuire il pacchetto software Google Distributed Cloud tra cui Kubernetes, Controller Ingress, Connect e gli agenti Logging e Monitoring, strumento a riga di comando
bmctl
.Esegui la scansione continua dei componenti con API Artifact Analysis e applicare patch alle vulnerabilità note.
Avvisare gli utenti degli upgrade disponibili per Google Distributed Cloud e produrre istruzioni di upgrade per la versione precedente; Google Distributed Cloud on bare metal supporta upgrade sequenziali tra istanze e patch release (solo 1.2 → 1.3 → 1.4 e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di qualsiasi problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornire l'amministrazione generale del sistema per i cluster.
Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build immagini container, dati, criteri di autorizzazione RBAC/IAM e container ai pod in esecuzione.
Gestisci, mantieni e applica le patch all'infrastruttura, tra cui reti, server archiviazione e connettività a Google Cloud.
Gestire i contratti di assistenza con i fornitori.
Esegui l'upgrade di Google Distributed Cloud a un versione supportata base.
Esegui il deployment e il test dei carichi di lavoro su immagini macchina dei nodi aggiornate. Deployment e test le immagini delle workstation di amministrazione aggiornate nel tuo ambiente. Segnalare i dubbi a Google tramite l'assistenza clienti Google Cloud.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Assicurati che gli agenti Logging e Monitoring siano il deployment nei cluster. Senza i log, l'assistenza è disponibile secondo il criterio del "best effort" Google Cloud.
Fornire a Google i dettagli ambientali (ad esempio, la configurazione di rete) quando richiesto per la risoluzione dei problemi.
GKE su AWS (multi-cloud)
Responsabilità di Google
Gestire e distribuire il pacchetto software GKE on AWS tra cui Kubernetes, immagini di base, funzionalità di integrazione AWS, il controller Ingress, l'agente Connect e strumento a riga di comando
anthos-gke
.Esegui la scansione continua dei componenti con API Artifact Analysis e applicare patch alle vulnerabilità note.
Gestire e distribuire il servizio di gestione, il piano di controllo e il pool di nodi di immagini macchina, incluse l'applicazione regolare di patch e correzioni di sicurezza.
Invia una notifica agli utenti degli upgrade disponibili per GKE su AWS e crea le istruzioni per eseguire l'upgrade per la versione precedente. GKE su AWS supporta solo per gli upgrade sequenziali (1.2 → 1.3 → 1.4 e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di qualsiasi problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornisci l'amministrazione generale del sistema per GKE su cluster AWS. Per ad esempio configurandoli in modo che funzionino all'interno dell'ambiente VPC aziendale.
Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build immagini container, dati, criterio di autorizzazione RBAC/IAM e container e i pod che stai eseguendo.
Utilizza e gestisci l'ambiente AWS, compresa la configurazione di rete, e connettività a Google Cloud.
Mantieni i contratti di assistenza con AWS.
Esegui l'upgrade di GKE su AWS a un versione supportata regolarmente.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Assicurati che gli agenti Logging e Monitoring siano il deployment nei cluster. Senza i log, l'assistenza è disponibile secondo il criterio del "best effort" Google Cloud.
Fornire a Google i dettagli ambientali (ad esempio, la configurazione del VPC AWS) quando richiesto per la risoluzione dei problemi.
GKE su Azure
Responsabilità di Google
Gestire e distribuire il pacchetto software GKE on Azure tra cui Kubernetes, immagini di base, integrazioni di Azure il controller Ingress, l'agente Connect e Google Cloud CLI.
Esegui la scansione continua dei componenti con API Artifact Analysis e applicare patch alle vulnerabilità note.
Gestire e distribuire il servizio di gestione, il piano di controllo e il pool di nodi di immagini macchina, incluse l'applicazione regolare di patch e correzioni di sicurezza.
Invia una notifica agli utenti degli upgrade disponibili per GKE su Azure e crea le istruzioni per eseguire l'upgrade per la versione precedente. GKE su Azure supporta solo gli aggiornamenti sequenziali (1.2 → 1.3 → 1.4 solo e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di qualsiasi problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornire l'amministrazione generale del sistema per GKE su Azure cluster. Ad esempio, configurarle affinché funzionino all'interno del VPC aziendale completamente gestito di Google Cloud.
Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build immagini container, dati, criteri di autorizzazione RBAC/IAM e container ai pod in esecuzione.
Utilizza e gestisci l'ambiente Azure, compresa la configurazione di rete, e connettività a Google Cloud.
Mantieni i contratti di assistenza con Azure.
Esegui l'upgrade di GKE su Azure a un versione supportata regolarmente.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Assicurati che gli agenti Logging e Monitoring siano il deployment nei cluster. Senza i log, l'assistenza è disponibile secondo il criterio del "best effort" Google Cloud.
Fornisci a Google dettagli ambientali (ad esempio, Azure VNet) configurazione) quando richiesto per la risoluzione dei problemi.
Cluster collegati a GKE Enterprise
Responsabilità di Google
Fornisci un elenco di distribuzioni e versioni di Kubernetes supportate.
Invia una notifica agli utenti sugli upgrade disponibili per i componenti GKE Enterprise e crea le istruzioni per eseguire l'upgrade per la versione precedente. GKE Enterprise supporta solo per gli upgrade sequenziali (1.2 → 1.3 → 1.4 e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvere i problemi, fornire soluzioni alternative e correggere la causa principale di qualsiasi problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornisci una piattaforma Kubernetes moderna che soddisfi le specifiche di Google. La include, a titolo esemplificativo: hardware, sistema operativo, server API Kubernetes, configurazione VPC e altri attributi.
Gestisci i tuoi carichi di lavoro, inclusi il codice dell'applicazione, i file di build immagini container, dati, criteri di autorizzazione RBAC/IAM e container ai pod in esecuzione.
Gestisci, mantieni e applica le patch all'infrastruttura, tra cui reti, server archiviazione e connettività a Google Cloud.
Gestisci, gestisci e applica le patch a qualsiasi infrastruttura necessaria per eseguire il cluster.
Mantieni contratti di assistenza con terze parti. Ad esempio: networking, orchestrazione di container, risorse di calcolo e fornitori di archiviazione.
Esegui l'upgrade di Kubernetes a versione supportata su un regolarmente.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Mantieni i tuoi cluster connessi ai servizi Google.
Fornire a Google i dettagli ambientali (ad esempio, la configurazione di rete) quando richiesto per la risoluzione dei problemi.
Passaggi successivi
Scopri come Google gestisce Applicazione di patch di sicurezza per con GKE Enterprise.
Configura il logging e il monitoraggio per: