Responsabilité partagée de GKE Enterprise
Pour exécuter une application stratégique sur GKE Enterprise, plusieurs parties doivent assumer des responsabilités différentes. Bien que cette liste ne soit pas exhaustive, cette rubrique répertorie les rôles et les responsabilités pour chaque produit de cluster GKE, à la fois pour Google et le client.
GKE sur Google Cloud
Responsabilités de Google
- Protéger l'infrastructure sous-jacente, y compris le matériel, le micrologiciel, le noyau, l'OS, le stockage, le réseau, etc. Cela inclut le chiffrement des données au repos par défaut, le chiffrement des disques gérés par le client supplémentaires, le chiffrement des données en transit, l'utilisation de matériel conçu sur mesure, la mise en place de câbles de réseau privés, la protection des centres de données contre l'accès physique, la protection du bootloader et du noyau contre les modifications à l'aide de nœuds protégés, et la mise en œuvre de pratiques de développement logiciel sécurisées.
- Renforcer et appliquer les correctifs au système d'exploitation des nœuds, tel que Container-Optimized OS ou Ubuntu. GKE effectue rapidement n'importe quel correctif pour ces images disponibles. Si la mise à niveau automatique est activée ou si vous utilisez une version disponible, ces mises à jour sont déployées automatiquement. Il s'agit ici de la couche du système d'exploitation sous votre conteneur. Le procédé est différent lorsque le système d'exploitation s'exécute dans vos conteneurs.
- Développer et exploiter la détection des menaces pour les menaces spécifiques aux conteneurs dans le noyau avec Container Threat Detection (facturé séparément avec Security Command Center).
- Renforcer et appliquer les correctifs aux composants de nœud Kubernetes. Tous les composants gérés de GKE sont mis à niveau automatiquement lorsque vous mettez à niveau les versions de nœuds GKE. Par exemple :
- Mécanisme d'amorçage approuvé par vTPM pour l'émission des certificats TLS kubelet et la rotation automatique des certificats
- Configuration renforcée de kubelet conformément aux benchmarks CIS
- Serveur de métadonnées GKE pour Workload Identity
- Plug-in de CNI native (Container Network Interface) de GKE et Calico pour NetworkPolicy
- Intégrations de stockage Kubernetes GKE, telles que le pilote CSI
- Agents de journalisation et de surveillance GKE
- Renforcer et appliquer les correctifs au plan de contrôle. Le plan de contrôle inclut la VM du plan de contrôle, le serveur d'API, le programmeur, le gestionnaire du contrôleur, l'autorité de certification du cluster, l'émission et la rotation des certificats TLS, le matériel de clé racine de confiance, la rotation de l'autorité de certification, le chiffrement des secrets, l'authentificateur et l'approbateur IAM, la configuration des journaux d'audit, etcd, et d'autres contrôleurs divers. Tous les composants du plan de contrôle s'exécutent sur des instances Compute Engine gérées par Google. Ces instances sont à locataire unique, ce qui signifie que chaque instance exécute le plan de contrôle et ses composants pour un seul client.
- Fournir des intégrations à Google Cloud pour Connect, Identity and Access Management, Cloud Audit Logs, l'observabilité Google Cloud, Cloud Key Management Service, Security Command Center, etc.
- Limiter et consigner l'accès administrateur Google aux clusters de client à des fins d'assistance contractuelle avec Access Transparency.
Responsabilités du client
- Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
- Enregistrement des clusters dans une mise à niveau automatique (par défaut) ou mise à niveau des clusters vers des versions compatibles.
- Surveillez le cluster et les applications, et répondez aux alertes et aux incidents à l'aide de technologies telles que le tableau de bord de stratégie de sécurité et l'observabilité de Google Cloud.
- Partage avec Google des informations concernant l'environnement lorsqu'elles sont demandées à des fins de dépannage.
GKE sur VMware
Responsabilités de Google
Gérer et distribuer le package logiciel GKE sur VMware, y compris les contrôleurs Kubernetes, vCenter et F5, le contrôleur d'Ingress, les agents Connect, Logging et Monitoring, ainsi que l'outil de ligne de commande
gkectl
Gestion et distribution des images du poste de travail administrateur et de la machine de nœud Ubuntu, y compris les correctifs standards et les correctifs de sécurité
Analysez en continu les composants avec l'API Artifact Analysis et corrigez les failles connues.
Informez les utilisateurs des mises à niveau disponibles pour GKE sur VMware et générez des scripts de mise à niveau pour la version précédente. GKE sur VMware n'est compatible qu'avec les mises à niveau séquentielles (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).
Fournir des intégrations Google Cloud pour Connect et l'observabilité Google Cloud
Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.
Responsabilités du client
Administration globale du système pour les clusters sur site
Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
Exécution, gestion et correction de l'infrastructure, y compris les réseaux, les serveurs, le stockage et la connectivité à Google Cloud
Exécution, gestion et correction de vSphere et des équilibreurs de charge réseau
Gestion des contrats d'assistance concernant VMware et F5 (si déployés)
Mettez régulièrement à niveau GKE sur VMware vers une version compatible.
Déploiement et test des charges de travail sur des images de machine de nœud mises à jour. Déploiement et test des images du poste de travail administrateur mises à jour dans votre environnement. Signalement des problèmes à Google via le service Cloud Customer Care.
Surveillance des clusters et des applications et réponse aux incidents éventuels.
Déploiement des agents Logging et Monitoring sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.
Partage avec Google des informations concernant l'environnement (par exemple, la configuration du réseau) lorsqu'elles sont demandées à des fins de dépannage.
GKE sur Bare Metal
Responsabilités de Google
Gérer et distribuer le package logiciel GKE sur Bare Metal, y compris Kubernetes, le contrôleur d'Ingress, les agents Connect, Logging et Monitoring, ainsi que l'outil de ligne de commande
bmctl
Analysez en continu les composants avec l'API Artifact Analysis et corrigez les failles connues.
Informez les utilisateurs des mises à niveau disponibles pour GKE sur Bare Metal et générez des instructions de mise à niveau pour la version précédente. GKE sur Bare Metal est compatible avec les mises à niveau séquentielles entre les versions mineures et les versions de correctif (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).
Fournir des intégrations Google Cloud pour Connect et l'observabilité Google Cloud
Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.
Responsabilités du client
Administration globale du système pour les clusters.
Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
Exécution, gestion et correction de l'infrastructure, y compris les réseaux, les serveurs, le stockage et la connectivité à Google Cloud
Gestion des contrats d'assistance avec les fournisseurs.
Mettez régulièrement à niveau GKE sur Bare Metal vers une version compatible.
Déploiement et test des charges de travail sur des images de machine de nœud mises à jour. Déploiement et test des images du poste de travail administrateur mises à jour dans votre environnement. Signalement des problèmes à Google via le service Cloud Customer Care.
Surveillance des clusters et des applications et réponse aux incidents éventuels.
Déploiement des agents Logging et Monitoring sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.
Partage avec Google des informations concernant l'environnement (par exemple, la configuration du réseau) lorsqu'elles sont demandées à des fins de dépannage.
GKE sur AWS (multicloud)
Responsabilités de Google
Gérer et distribuer le package logiciel GKE sur AWS, y compris Kubernetes, les images de base, les fonctionnalités d'intégration AWS, le contrôleur d'entrée, l'agent Connect et l'outil de ligne de commande
anthos-gke
Analysez en continu les composants avec l'API Artifact Analysis et corrigez les failles connues.
Gestion et distribution du service de gestion, du plan de contrôle et des images de la machine du pool de nœuds, y compris les correctifs standards et les correctifs de sécurité
Informez les utilisateurs des mises à niveau disponibles pour GKE sur AWS et fournissez des instructions de mise à niveau pour la version précédente. GKE sur AWS n'est compatible qu'avec les mises à niveau séquentielles (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).
Fournir des intégrations Google Cloud pour Connect et l'observabilité Google Cloud
Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.
Responsabilités du client
Assurez l'administration système globale des clusters GKE sur AWS. Par exemple, configurez-les pour qu'ils fonctionnent au sein de l'environnement VPC de l'entreprise.
Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
Exécution et gestion de l'environnement AWS, y compris la configuration de la mise en réseau et la connectivité à Google Cloud
Gestion des contrats d'assistance concernant AWS
Mettez régulièrement à niveau GKE sur AWS vers une version compatible.
Surveillance des clusters et des applications et réponse aux incidents éventuels.
Déploiement des agents Logging et Monitoring sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.
Partage avec Google des informations concernant l'environnement (par exemple, la configuration du VPC AWS) lorsqu'elles sont demandées à des fins de dépannage.
GKE sur Azure
Responsabilités de Google
Gérer et distribuer le package logiciel GKE sur Azure, y compris Kubernetes, les images de base, les intégrations Azure, le contrôleur Ingress;entrée, l'agent Connect et la Google Cloud CLI
Analysez en continu les composants avec l'API Artifact Analysis et corrigez les failles connues.
Gestion et distribution du service de gestion, du plan de contrôle et des images de la machine du pool de nœuds, y compris les correctifs standards et les correctifs de sécurité
Informez les utilisateurs des mises à niveau disponibles pour GKE sur Azure et générez des instructions de mise à niveau pour la version précédente. GKE sur Azure n'est compatible qu'avec les mises à niveau séquentielles (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).
Fournir des intégrations Google Cloud pour Connect et l'observabilité Google Cloud
Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.
Responsabilités du client
Assurer l'administration système globale des clusters GKE sur Azure. Par exemple, configurez-les pour qu'ils fonctionnent au sein de l'environnement VPC de l'entreprise.
Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
Exécution et gestion de l'environnement Azure, y compris la configuration de la mise en réseau et la connectivité à Google Cloud
Gestion des contrats d'assistance concernant Azure.
Mettez régulièrement à niveau GKE sur Azure vers une version compatible.
Surveillance des clusters et des applications et réponse aux incidents éventuels.
Déploiement des agents Logging et Monitoring sur les clusters. Sans journaux, l'assistance est disponible dans la mesure du possible.
Partage avec Google des informations sur l'environnement (par exemple, la configuration d'Azure VNet) lorsqu'elles sont demandées à des fins de dépannage.
Clusters associés à GKE Enterprise
Responsabilités de Google
Liste des distributions et des versions Kubernetes compatibles
Informez les utilisateurs des mises à niveau disponibles pour les composants GKE Enterprise et fournissez des instructions de mise à niveau pour la version précédente. GKE Enterprise n'est compatible qu'avec les mises à niveau séquentielles (1.2 → 1.3 → 1.4 uniquement, et non 1.2 → 1.4).
Fournir des intégrations Google Cloud pour Connect et l'observabilité Google Cloud
Résolution des problèmes, solutions palliatives et correction de la cause principale des problèmes liés aux composants fournis par Google.
Responsabilités du client
Plate-forme Kubernetes moderne respectant les spécifications de Google. Elle comprend, sans s'y limiter, le matériel, l'OS, le serveur d'API Kubernetes, la configuration du VPC et d'autres attributs.
Gestion de vos charges de travail, y compris votre code d'application, vos fichiers de compilation, vos images de conteneurs, vos données, vos stratégies de contrôle des accès basé sur les rôles (RBAC)/IAM, ainsi que les conteneurs et les pods que vous exécutez.
Exécution, gestion et correction de l'infrastructure, y compris les réseaux, les serveurs, le stockage et la connectivité à Google Cloud
Exécution, gestion et correction de toute infrastructure nécessaire à l'exécution des clusters.
Gestion des contrats d'assistance concernant des tiers. Exemples : mise en réseau, orchestration de conteneurs, ressources informatiques et fournisseurs de stockage.
Mise à niveau régulière de Kubernetes vers une version compatible.
Surveillance des clusters et des applications et réponse aux incidents éventuels.
Maintenance de vos clusters connectés aux services Google.
Partage avec Google des informations concernant l'environnement (par exemple, la configuration du réseau) lorsqu'elles sont demandées à des fins de dépannage.
Étapes suivantes
Découvrez comment Google gère les correctifs de sécurité pour GKE Enterprise.
Configurez Logging et Monitoring sur :