Responsabilità condivisa di GKE Enterprise
L'esecuzione di un'applicazione business-critical su GKE Enterprise richiede che più parti ricoprano diverse responsabilità. Sebbene non sia un elenco esaustivo, questo argomento elenca i ruoli e le responsabilità per ciascuna opzione dei cluster GKE Enterprise sia per Google che per il cliente.
GKE su Google Cloud
Responsabilità di Google
- Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Ciò include la crittografia dei dati at-rest per impostazione predefinita, la crittografia aggiuntiva del disco gestito dal cliente, la crittografia dei dati in transito, l'utilizzo di hardware progettato su misura, il posa di cavi di rete privati, la protezione dei data center dall'accesso fisico, la protezione di bootloader e kernel dalle modifiche mediante {10Nodi schermati e pratiche di sviluppo di software sicuri,
- Rafforzamento e applicazione di patch del sistema operativo dei nodi, ad esempio Container-Optimized OS o Ubuntu. GKE rende disponibili prontamente le patch a queste immagini. Se hai abilitato gli upgrade automatici o utilizzi un canale di rilascio, il deployment di questi aggiornamenti verrà eseguito automaticamente. Si tratta del livello del sistema operativo sotto il container, non è uguale al sistema operativo in esecuzione nei container.
- Creare e utilizzare il rilevamento delle minacce per minacce specifiche dei container nel kernel con Container Threat Detection (prezzo separato con Security Command Center).
- Rafforzamento e applicazione di patch ai componenti dei nodi Kubernetes. L'upgrade di tutti i componenti gestiti di GKE
viene eseguito automaticamente quando esegui l'upgrade delle versioni dei nodi GKE. Ad esempio:
- Meccanismo di bootstrap attendibile basato su vTPM per l'emissione di certificati TLS kubelet e rotazione automatica dei certificati
- Configurazione kubelet protetta in base ai benchmark CIS
- Server di metadati GKE per identità carico di lavoro
- Plug-in nativo di Container Network Interface e Calico per NetworkPolicy di GKE
- Integrazioni di spazio di archiviazione di GKE, ad esempio il driver CSI
- Agenti di logging e monitoraggio GKE
- Rafforzamento e applicazione di patch al piano di controllo. Il piano di controllo include la VM del piano di controllo, il server API, lo scheduler, il gestore del controller, la CA del cluster, l'emissione e la rotazione dei certificati TLS, il materiale delle chiavi radice di attendibilità, l'autenticatore e l'autore di autorizzazione IAM, la configurazione dell'audit logging e così via e vari altri controller. Tutti i componenti del piano di controllo vengono eseguiti su istanze di Compute Engine gestite da Google. Queste istanze sono a tenant singolo, il che significa che ogni istanza esegue il piano di controllo e i suoi componenti per un solo cliente.
- Fornisci integrazioni di Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center e altri ancora.
- Limita e registra l'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency.
Responsabilità del cliente
- Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criterio di controllo dell'accesso basato su ruoli (RBAC)/IAM, container e pod in esecuzione.
- Ruota le credenziali del cluster.
- Registra i cluster per l'upgrade automatico (impostazione predefinita) o esegui l'upgrade dei cluster alle versioni supportate.
- Monitora il cluster e le applicazioni e rispondi a eventuali avvisi e incidenti utilizzando tecnologie come la dashboard della security posture e Google Cloud Observability.
- Fornisci a Google i dettagli ambientali quando richiesto per la risoluzione dei problemi.
Google Distributed Cloud (solo software) su VMware
Responsabilità di Google
Gestire e distribuire il pacchetto software Google Distributed Cloud, inclusi i controller Kubernetes, vCenter e F5, il controller Ingress, gli agenti Connect, Logging e Monitoring, nonché lo strumento a riga di comando
gkectl
.Gestire e distribuire la workstation di amministrazione Ubuntu e le immagini delle macchine dei nodi, incluse regolari correzioni di patch e sicurezza.
Esegui la scansione continua dei componenti con l'API Artifact Analysis e applica patch alle vulnerabilità note.
Avvisa gli utenti degli upgrade disponibili per Google Distributed Cloud e producendo script di upgrade per la versione precedente; Google Distributed Cloud on VMware supporta solo upgrade sequenziali (solo 1.2 → 1.3 → 1.4 e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Amministrazione generale del sistema per cluster on-premise.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criterio di controllo dell'accesso basato su ruoli (RBAC)/IAM, container e pod in esecuzione.
Gestisci, gestisci e applica le patch all'infrastruttura, tra cui reti, server, archiviazione e connettività a Google Cloud.
Utilizza, gestisci e applica le patch a vSphere e ai bilanciatori del carico di rete.
Mantieni i contratti di assistenza con VMware e F5 (se implementato).
Esegui regolarmente l'upgrade di Google Distributed Cloud a una versione supportata.
Esegui il deployment e il test dei carichi di lavoro su immagini macchina dei nodi aggiornate. Esegui il deployment e il test di immagini aggiornate della workstation di amministrazione nel tuo ambiente. Segnalare dubbi a Google tramite l'assistenza clienti Google Cloud.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Assicurati che venga eseguito il deployment degli agenti Logging e Monitoring nei cluster. Senza i log, l'assistenza è disponibile secondo il criterio del "best effort".
Fornisci a Google i dettagli ambientali (ad esempio, la configurazione di rete) quando richiesto per la risoluzione dei problemi.
Google Distributed Cloud (solo software) su bare metal
Responsabilità di Google
Gestire e distribuire il pacchetto software Google Distributed Cloud, inclusi Kubernetes, controller Ingress, agenti Connect and Logging e Monitoring e lo strumento a riga di comando
bmctl
.Esegui la scansione continua dei componenti con l'API Artifact Analysis e applica patch alle vulnerabilità note.
Informare gli utenti degli upgrade disponibili per Google Distributed Cloud e produrre istruzioni per l'upgrade per la versione precedente; Google Distributed Cloud on bare metal supporta upgrade sequenziali tra versioni secondarie e release di patch (solo 1.2 → 1.3 → 1.4 e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornire l'amministrazione generale del sistema per i cluster.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criteri di autorizzazione RBAC/IAM, container e pod in esecuzione.
Gestisci, gestisci e applica le patch all'infrastruttura, tra cui reti, server, archiviazione e connettività a Google Cloud.
Gestire i contratti di assistenza con i fornitori.
Esegui regolarmente l'upgrade di Google Distributed Cloud a una versione supportata.
Esegui il deployment e il test dei carichi di lavoro su immagini macchina dei nodi aggiornate. Esegui il deployment e il test di immagini aggiornate della workstation di amministrazione nel tuo ambiente. Segnalare dubbi a Google tramite l'assistenza clienti Google Cloud.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Assicurati che venga eseguito il deployment degli agenti Logging e Monitoring nei cluster. Senza i log, l'assistenza è disponibile secondo il criterio del "best effort".
Fornisci a Google i dettagli ambientali (ad esempio, la configurazione di rete) quando richiesto per la risoluzione dei problemi.
GKE su AWS (multi-cloud)
Responsabilità di Google
Gestire e distribuire il pacchetto software GKE on AWS, inclusi Kubernetes, immagini di base, le funzionalità di integrazione AWS, il controller Ingress, l'agente Connect e lo strumento a riga di comando
anthos-gke
.Esegui la scansione continua dei componenti con l'API Artifact Analysis e applica patch alle vulnerabilità note.
Gestire e distribuire le immagini delle macchine del servizio di gestione, del piano di controllo e del pool di nodi, incluse correzioni di patch e di sicurezza regolari.
Invia una notifica agli utenti degli upgrade disponibili per GKE su AWS e genera istruzioni per l'upgrade per la versione precedente. GKE su AWS supporta solo upgrade sequenziali (1.2 → 1.3 → 1.4 solo e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornisci l'amministrazione generale del sistema per GKE su cluster AWS. Ad esempio, configurarle in modo che funzionino all'interno dell'ambiente VPC aziendale.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criteri di autorizzazione RBAC/IAM, container e pod in esecuzione.
Gestisci e gestisci l'ambiente AWS, incluse la configurazione di rete e la connettività a Google Cloud.
Mantieni i contratti di assistenza con AWS.
Esegui regolarmente l'upgrade di GKE su AWS a una versione supportata.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Assicurati che venga eseguito il deployment degli agenti Logging e Monitoring nei cluster. Senza i log, l'assistenza è disponibile secondo il criterio del "best effort".
Fornisci a Google i dettagli ambientali (ad esempio, la configurazione del VPC AWS) quando richiesto per la risoluzione dei problemi.
GKE su Azure
Responsabilità di Google
Gestire e distribuire il pacchetto software GKE on Azure, inclusi Kubernetes, immagini di base, integrazioni di Azure, il controller Ingress, l'agente Connect e Google Cloud CLI.
Esegui la scansione continua dei componenti con l'API Artifact Analysis e applica patch alle vulnerabilità note.
Gestire e distribuire le immagini delle macchine del servizio di gestione, del piano di controllo e del pool di nodi, incluse correzioni di patch e di sicurezza regolari.
Invia una notifica agli utenti degli upgrade disponibili per GKE su Azure e genera istruzioni per l'upgrade per la versione precedente. GKE su Azure supporta solo upgrade sequenziali (1.2 → 1.3 → 1.4 solo e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risolvi i problemi, fornisci soluzioni alternative e correggi la causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornire l'amministrazione complessiva del sistema per GKE su cluster Azure. Ad esempio, configurandole in modo che funzionino all'interno dell'ambiente VPC aziendale.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criteri di autorizzazione RBAC/IAM, container e pod in esecuzione.
Utilizza e gestisci l'ambiente Azure, incluse la configurazione di rete e la connettività a Google Cloud.
Mantieni i contratti di assistenza con Azure.
Eseguire regolarmente l'upgrade di GKE su Azure a una versione supportata.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Assicurati che venga eseguito il deployment degli agenti Logging e Monitoring nei cluster. Senza i log, l'assistenza è disponibile secondo il criterio del "best effort".
Fornisci a Google i dettagli ambientali (ad esempio, la configurazione di Azure VNet) quando richiesto per la risoluzione dei problemi.
Cluster collegati a GKE Enterprise
Responsabilità di Google
Fornisci un elenco di distribuzioni e versioni di Kubernetes supportate.
Invia una notifica agli utenti sugli upgrade disponibili per i componenti di GKE Enterprise e genera istruzioni per l'upgrade per la versione precedente. GKE Enterprise supporta solo upgrade sequenziali (1.2 → 1.3 → 1.4 solo e non 1.2 → 1.4).
Fornisci integrazioni di Google Cloud per Connect e Google Cloud Observability.
Risoluzione dei problemi, soluzioni alternative e correzione della causa principale di eventuali problemi relativi ai componenti forniti da Google.
Responsabilità del cliente
Fornisci una piattaforma Kubernetes moderna che soddisfi le specifiche di Google. La piattaforma include, a titolo esemplificativo, hardware, sistema operativo, server API Kubernetes, configurazione VPC e altri attributi.
Gestisci i carichi di lavoro, inclusi codice dell'applicazione, file di build, immagini container, dati, criteri di autorizzazione RBAC/IAM, container e pod in esecuzione.
Gestisci, gestisci e applica le patch all'infrastruttura, tra cui reti, server, archiviazione e connettività a Google Cloud.
Gestisci, gestisci e applica le patch a qualsiasi infrastruttura necessaria per eseguire il cluster.
Mantieni contratti di assistenza con terze parti. Ad esempio networking, orchestrazione di container, risorse di calcolo e fornitori di archiviazione.
Eseguire regolarmente l'upgrade di Kubernetes a una versione supportata.
Monitora i cluster e le applicazioni e rispondi a eventuali incidenti.
Mantieni i tuoi cluster connessi ai servizi Google.
Fornisci a Google i dettagli ambientali (ad esempio, la configurazione di rete) quando richiesto per la risoluzione dei problemi.
Passaggi successivi
Scopri come Google gestisce l'applicazione delle patch di sicurezza per GKE Enterprise.
Configura il logging e il monitoraggio per: