Tanggung jawab bersama GKE Enterprise
Menjalankan aplikasi yang penting bagi bisnis di GKE Enterprise memerlukan beberapa pihak-pihak untuk membawa tanggung jawab yang berbeda. Meskipun bukan daftar yang lengkap, Daftar peran dan tanggung jawab untuk setiap opsi cluster GKE Enterprise baik untuk Google maupun pelanggan.
Halaman ini ditujukan untuk Admin, Arsitek, dan Operator yang mengelola siklus proses infrastruktur teknologi yang mendasarinya. Untuk mempelajari lebih lanjut tentang peran umum dan contoh tugas yang kami rujuk dalam konten Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise yang umum.
GKE di Google Cloud
Tanggung jawab Google
- Melindungi infrastruktur dasar, termasuk hardware, firmware, kernel, OS, penyimpanan, jaringan, dan lainnya. Hal ini mencakup mengenkripsi data dalam penyimpanan secara default, memberikan enkripsi disk tambahan yang dikelola pelanggan, mengenkripsi data dalam pengiriman, menggunakan hardware yang dirancang khusus, meletakkan kabel jaringan pribadi, melindungi pusat data dari mengakses, melindungi bootloader dan kernel dari modifikasi menggunakan Shielded Node, dan mengikuti praktik pengembangan software yang aman.
- Hardening dan patching sistem operasi node, seperti Container-Optimized OS atau Ubuntu. GKE segera membuat patch apa pun ke image ini. Jika Anda mengaktifkan upgrade otomatis, atau menggunakan saluran rilis, update ini akan otomatis di-deploy. Ini adalah lapisan OS di bawah container Anda. Ini tidak sama dengan sistem operasi yang berjalan di container Anda.
- Membangun dan mengoperasikan deteksi ancaman untuk ancaman khusus container ke dalam kernel dengan Deteksi Ancaman Container (harga terpisah dengan Security Command Center).
- Pengerasan dan
patching
Komponen node Kubernetes. Semua komponen yang dikelola GKE akan diupgrade secara otomatis saat Anda mengupgrade versi node GKE. Hal ini mencakup:
- Mekanisme bootstrap tepercaya yang didukung vTPM untuk menerbitkan sertifikat TLS kubelet dan rotasi otomatis sertifikat
- Konfigurasi kubelet yang telah melalui proses hardening mengikuti benchmark CIS
- Server metadata GKE untuk Workload identity
- Plugin Container Network Interface dan Calico untuk NetworkPolicy native GKE
- Integrasi penyimpanan Kubernetes GKE seperti driver CSI
- Agen logging dan pemantauan GKE
- Pengerasan dan patching bidang kontrol. Bidang kontrol mencakup bidang kontrol VM, API, server, penjadwal, manajer pengontrol, CA cluster, penerbitan dan rotasi sertifikat TLS, materi kunci root-of-trust, Pengautentikasi dan otorisasi IAM, logging audit konfigurasi, {i>etcd<i}, dan berbagai pengontrol lainnya. Semua komponen bidang kontrol Anda berjalan pada instance Compute Engine yang dioperasikan Google. Instance ini adalah tenant tunggal, yang berarti setiap instance menjalankan bidang kontrol dan komponennya hanya untuk satu pelanggan.
- Menyediakan integrasi Google Cloud untuk Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center, dan lainnya.
- Batasi dan catat akses administratif Google ke cluster pelanggan untuk tujuan dukungan kontrak dengan Transparansi Akses.
Tanggung jawab pelanggan
- Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.
- Merotasi kredensial cluster Anda.
- Mendaftarkan cluster dalam upgrade otomatis (default) atau upgrade cluster ke versi yang didukung.
- Pantau cluster dan aplikasi serta tanggapi setiap peringatan dan insiden menggunakan teknologi seperti dasbor postur keamanan dan Google Cloud Observability.
- Memberikan detail lingkungan kepada Google saat diminta untuk tujuan pemecahan masalah.
- Pastikan Logging dan Pemantauan pada cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.
Google Distributed Cloud (khusus software) di VMware
Tanggung jawab Google
Memelihara dan mendistribusikan paket software Google Distributed Cloud termasuk Kubernetes, pengontrol vCenter dan F5, pengontrol Ingress, Connect, Logging, dan Monitoring agen, dan alat command line
gkectl
.Memelihara dan mendistribusikan workstation admin Ubuntu dan image mesin node termasuk {i>patching<i} dan perbaikan keamanan secara teratur.
Pindai komponen secara terus-menerus dengan Artifact Analysis API dan membuat patch kerentanan yang diketahui.
Memberi tahu pengguna tentang upgrade yang tersedia untuk Google Distributed Cloud, dan membuat skrip {i>upgrade <i}untuk versi sebelumnya; Google Distributed Cloud di VMware hanya mendukung upgrade berurutan (hanya 1.2 → 1.3 → 1.4 dan tidak 1.2 → 1.4).
Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.
Pecahkan masalah, berikan solusi, dan perbaiki akar penyebab dari setiap masalah terkait komponen yang disediakan Google.
Tanggung jawab pelanggan
Administrasi sistem secara keseluruhan untuk cluster lokal.
Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.
Mengoperasikan, memelihara, dan menerapkan patch pada infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.
Mengoperasikan, memelihara, serta membuat patch load balancer jaringan dan vSphere.
Mempertahankan kontrak dukungan dengan VMware dan F5 (jika di-deploy).
Upgrade Google Distributed Cloud ke versi yang didukung secara teratur.
Men-deploy dan menguji beban kerja Anda pada image mesin node yang telah diupdate. Men-deploy dan menguji memperbarui image workstation admin di lingkungan Anda. Sampaikan kekhawatiran Anda ke Google melalui Cloud Customer Care.
Pantau cluster dan aplikasi serta tanggapi setiap insiden.
Pastikan agen Logging dan Pemantauan yang di-deploy ke berbagai cluster. Tanpa log, dukungan akan tersedia berdasarkan upaya terbaik dasar.
Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.
Google Distributed Cloud (khusus software) on bare metal
Tanggung jawab Google
Memelihara dan mendistribusikan paket software Google Distributed Cloud termasuk Kubernetes, Pengontrol Ingress, Connect dan agen Logging dan Monitoring, serta Alat command line
bmctl
.Terus-menerus memindai komponen dengan Artifact Analysis API dan menerapkan patch pada kerentanan yang diketahui.
Memberi tahu pengguna tentang upgrade yang tersedia untuk Google Distributed Cloud, dan membuat petunjuk upgrade untuk versi sebelumnya; Google Distributed Cloud on bare metal mendukung upgrade berurutan antara jenis minor dan rilis patch (1.2 → 1.3 → 1.4 saja dan bukan 1.2 → 1.4).
Menyediakan integrasi Google Cloud untuk Connect dan Google Cloud Observability.
Pecahkan masalah, berikan solusi, dan perbaiki akar penyebab dari setiap masalah terkait komponen yang disediakan Google.
Tanggung jawab pelanggan
Menyediakan administrasi sistem secara keseluruhan untuk cluster.
Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.
Mengoperasikan, memelihara, dan membuat patch infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.
Mengelola kontrak dukungan dengan vendor.
Upgrade Google Distributed Cloud ke versi yang didukung secara reguler layanan.
Deploy dan uji workload Anda pada image mesin node yang telah diupdate. Men-deploy dan menguji memperbarui gambar workstation Admin di lingkungan Anda. Sampaikan kekhawatiran Anda ke Google melalui Cloud Customer Care.
Pantau cluster dan aplikasi serta tanggapi setiap insiden.
Pastikan agen Logging dan Pemantauan yang di-deploy ke berbagai cluster. Tanpa log, dukungan akan tersedia berdasarkan upaya terbaik dasar.
Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.
GKE di AWS (multi-cloud)
Tanggung jawab Google
Memelihara dan mendistribusikan GKE pada paket software AWS termasuk Kubernetes, image dasar, fitur integrasi AWS, pengontrol Ingress, agen Connect, dan Alat command line
anthos-gke
.Pindai komponen secara terus-menerus dengan Artifact Analysis API dan membuat patch kerentanan yang diketahui.
Mengelola dan mendistribusikan layanan pengelolaan, bidang kontrol, dan kumpulan node image mesin, termasuk patching dan perbaikan keamanan rutin.
Memberi tahu pengguna tentang upgrade yang tersedia untuk GKE di AWS, dan membuat petunjuk peningkatan versi untuk versi sebelumnya. GKE di AWS mendukung hanya upgrade berurutan (1.2 → 1.3 → 1.4 saja dan bukan 1.2 → 1.4).
Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.
Pecahkan masalah, berikan solusi, dan perbaiki akar penyebab dari setiap masalah terkait komponen yang disediakan Google.
Tanggung jawab pelanggan
Menyediakan administrasi sistem keseluruhan untuk GKE pada cluster AWS. Sebagai misalnya, mengonfigurasinya agar berfungsi dalam lingkungan VPC perusahaan.
Mengelola beban kerja Anda, termasuk kode aplikasi, file build, image container, data, kebijakan yang mengizinkan RBAC/IAM, dan container serta pod yang dijalankan.
Mengoperasikan dan memelihara lingkungan AWS, termasuk konfigurasi jaringan, dan konektivitas ke Google Cloud.
Mempertahankan kontrak dukungan dengan AWS.
Upgrade GKE di AWS ke versi yang didukung secara berkala.
Pantau cluster dan aplikasi serta tanggapi setiap insiden.
Pastikan agen Logging dan Pemantauan yang di-deploy ke berbagai cluster. Tanpa log, dukungan akan tersedia berdasarkan upaya terbaik dasar.
Memberikan detail lingkungan kepada Google (misalnya, konfigurasi VPC AWS) saat diminta untuk tujuan pemecahan masalah.
GKE on Azure
Tanggung jawab Google
Memelihara dan mendistribusikan GKE pada paket software Azure termasuk Kubernetes, image dasar, integrasi Azure, pengontrol Ingress, agen Connect, dan di Google Cloud CLI.
Terus-menerus memindai komponen dengan Artifact Analysis API dan menerapkan patch pada kerentanan yang diketahui.
Mengelola dan mendistribusikan layanan pengelolaan, bidang kontrol, dan kumpulan node image mesin, termasuk patching dan perbaikan keamanan rutin.
Beri tahu pengguna tentang upgrade yang tersedia untuk GKE di Azure, dan buat petunjuk upgrade untuk versi sebelumnya. GKE di Azure hanya mendukung upgrade berurutan (hanya 1.2 → 1.3 → 1.4 dan tidak 1.2 → 1.4).
Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.
Pecahkan masalah, berikan solusi, dan perbaiki akar penyebab dari setiap masalah terkait komponen yang disediakan Google.
Tanggung jawab pelanggan
Menyediakan administrasi sistem secara keseluruhan untuk GKE di Azure klaster. Misalnya, mengonfigurasinya agar berfungsi dalam VPC perusahaan lingkungan fleksibel App Engine.
Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.
Mengoperasikan dan memelihara lingkungan Azure, termasuk konfigurasi jaringan, dan konektivitas ke Google Cloud.
Pertahankan kontrak dukungan dengan Azure.
Upgrade GKE di Azure ke versi yang didukung secara berkala.
Pantau cluster dan aplikasi serta tanggapi setiap insiden.
Pastikan agen Logging dan Pemantauan yang di-deploy ke berbagai cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.
Berikan detail lingkungan kepada Google (misalnya, Azure VNet konfigurasi) saat diminta untuk tujuan pemecahan masalah.
Cluster terpasang GKE Enterprise
Tanggung jawab Google
Memberikan daftar distribusi dan versi Kubernetes yang didukung.
Memberi tahu pengguna tentang upgrade yang tersedia untuk komponen GKE Enterprise, dan membuat petunjuk peningkatan versi untuk versi sebelumnya. GKE Enterprise mendukung hanya upgrade berurutan (1.2 → 1.3 → 1.4 saja dan bukan 1.2 → 1.4).
Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.
Pemecahan masalah, memberikan solusi, dan memperbaiki akar masalah dari masalah terkait komponen yang disediakan Google.
Tanggung jawab pelanggan
Menyediakan platform Kubernetes modern yang memenuhi spesifikasi Google. Tujuan meliputi, tetapi tidak terbatas pada: hardware, OS, server Kubernetes API, konfigurasi VPC, dan atribut lainnya.
Mengelola workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan mengizinkan RBAC/IAM, dan container pod yang sedang dijalankan.
Mengoperasikan, memelihara, dan membuat patch infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.
Operasikan, pemeliharaan, dan patch infrastruktur apa pun yang diperlukan untuk menjalankan cluster.
Mengelola kontrak dukungan dengan pihak ketiga. Misalnya: jaringan, orkestrasi kontainer, sumber daya komputasi, dan vendor penyimpanan.
Mengupgrade Kubernetes ke versi yang didukung di secara teratur.
Pantau cluster dan aplikasi serta tanggapi setiap insiden.
Pastikan cluster Anda tetap terhubung ke layanan Google.
Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.
Langkah selanjutnya
Pelajari cara Google menangani Patching keamanan untuk GKE Enterprise.
Mengonfigurasi Logging dan Monitoring untuk: