GKE Enterprise 共担责任

在 GKE Enterprise 上运行关键业务应用需要多方承担不同的责任。此主题列出了每个 GKE 集群产品中 Google 和客户的相应角色和责任，但此列表并非详尽无遗。

GKE on Google Cloud

Google 责任

• 保护底层基础架构，包括硬件、固件、内核、操作系统、存储、网络等。这包括默认加密静态数据、提供额外的客户管理的磁盘加密机制、加密传输中的数据、使用定制设计的硬件、铺设专用网线、保护数据中心免遭物理访问、使用安全强化型节点防止引导加载程序和内核被修改，以及遵循安全的软件开发实践。
• 对节点的操作系统（例如 Container-Optimized OS 或 Ubuntu）进行安全强化和修补。GKE 会及时为这些映像提供补丁程序。如果您启用了自动升级功能，或者您使用发布渠道，系统会自动部署这些更新。这是容器的底层操作系统层，与容器中运行的操作系统不同。
• 在内核中使用 Container Threat Detection 对特定于容器的威胁构建和运行威胁检测（使用 Security Command Center 单独计费）。
• 对 Kubernetes 节点组件进行安全强化和修补。当您升级 GKE 节点版本时，所有 GKE 管理的组件都将自动升级。其中包括：
  • 用于颁发 kubelet TLS 证书、由 vTPM 支持的可信引导机制和证书的自动轮替
  • 遵循 CIS 基准的安全强化型 kubelet 配置
  • Workload Identity 的 GKE 元数据服务器
  • GKE 的原生容器网络接口插件和 Calico for NetworkPolicy
  • GKE Kubernetes 存储集成，例如 CSI 驱动程序
  • GKE 日志记录和监控代理
• 对控制层面进行安全强化和修补。控制层面包括控制层面虚拟机、API 服务器、调度程序、控制器管理器、集群 CA、TLS 证书颁发和轮替、信任根密钥材料、CA 轮替、Secret 加密、IAM 身份验证器和授权器、审核日志记录配置、etcd 以及其他各种控制器。您的所有控制层面组件都在由 Google 运行的 Compute Engine 实例上运行。这些实例是单租户实例，这意味着每个实例仅为一个客户运行控制层面及其组件。
• 为 Connect、Identity and Access Management、Cloud Audit Logs、Google Cloud Observability、Cloud Key Management Service、Security Command Center 等服务提供 Google Cloud 集成。
• 使用 Access Transparency 限制和记录 Google 对客户集群的管理员权限，以便根据合同提供支持。

客户责任

• 维护您的工作负载，包括应用代码、构建文件、容器映像、数据、基于角色的访问控制 (RBAC)/IAM 政策以及您运行的容器和 pod。
• 为集群注册自动升级（默认）或将集群升级到受支持的版本。
• 监控集群和应用，并使用安全状况信息中心和 Google Cloud Observability 等技术响应任何提醒和突发事件。
• 在 Google 要求时提供环境详细信息，以进行问题排查。

GKE on VMware

Google 责任

• 维护和分发 GKE on VMware 软件包，包括 Kubernetes、vCenter 和 F5 控制器、Ingress 控制器、Connect、Logging 和 Monitoring 代理，以及 gkectl 命令行工具。

• 维护和分发 Ubuntu 管理员工作站和节点机器映像，包括定期修补和安全修复。

• 使用 Artifact Analysis API 持续扫描组件并修补已知漏洞。

• 通知用户 GKE on VMware 的可用升级，并为之前的版本生成升级脚本；GKE on VMware 仅支持依序升级（仅支持 1.2 → 1.3 → 1.4，不支持 1.2 → 1.4）。

• 为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。

• 针对与 Google 提供的组件相关的任何问题进行问题排查、提供解决办法以及纠正根本原因。

客户责任

• 本地集群的整体系统管理。

• 维护您的工作负载，包括应用代码、构建文件、容器映像、数据、基于角色的访问权限控制 (RBAC)/IAM 政策以及您运行的容器和 pod。

• 运营、维护和修补基础架构，包括网络、服务器、存储和 Google Cloud 连接。

• 运营、维护和修补 vSphere 和网络负载平衡器。

• 维护与 VMware 和 F5（如果已部署）签署的支持合同。

• 定期将 GKE on VMware 升级到支持的版本。

• 在更新后的节点机器映像上部署和测试工作负载。在您的环境中部署和测试更新的管理员工作站映像。通过 Cloud Customer Care 向 Google 报告疑虑和问题。

• 监控集群和应用，并响应任何突发事件。

• 确保 Logging 和 Monitoring 代理已部署到集群。如果没有日志，系统会尽最大努力提供支持。

• 在 Google 要求时提供环境详细信息（例如网络配置），以进行问题排查。

GKE on Bare Metal

Google 责任

• 维护和分发 GKE on Bare Metal 软件包，包括 Kubernetes、Ingress 控制器、Connect 和 Logging 和 Monitoring 代理，以及 bmctl 命令行工具。

• 使用 Artifact Analysis API 持续扫描组件并修补已知漏洞。

• 在 GKE on Bare Metal 有可用升级时通知用户，并为之前的版本生成升级说明；GKE on Bare Metal 支持次要版本和补丁程序版本之间的依序升级（仅支持 1.2 → 1.3 → 1.4，不支持 1.2 → 1.4）。

• 为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。

• 针对与 Google 提供的组件相关的任何问题进行问题排查、提供解决办法以及纠正根本原因。

客户责任

• 为集群提供整体系统管理。

• 维护您的工作负载，包括应用代码、构建文件、容器映像、数据、RBAC/IAM 政策以及您运行的容器和 pod。

• 运营、维护和修补基础架构，包括网络、服务器、存储和 Google Cloud 连接。

• 维护与供应商的支持合同。

• 定期将 GKE on Bare Metal 升级到受支持的版本。

• 在更新后的节点机器映像上部署和测试工作负载。在您的环境中部署和测试更新的管理员工作站映像。通过 Cloud Customer Care 向 Google 报告疑虑和问题。

• 监控集群和应用，并响应任何突发事件。

• 确保 Logging 和 Monitoring 代理已部署到集群。如果没有日志，系统会尽最大努力提供支持。

• 在 Google 要求时提供环境详细信息（例如网络配置），以进行问题排查。

GKE on AWS（多云）

Google 责任

• 维护和分发 GKE on AWS 软件包，包括 Kubernetes、基础映像、AWS 集成功能、Ingress 控制器、Connect 代理和 anthos-gke 命令行工具。

• 使用 Artifact Analysis API 持续扫描组件并修补已知漏洞。

• 维护和分发管理服务、控制层面和节点池机器映像，包括定期修补和安全修复。

• 向用户通知 GKE on AWS 的可用升级，并为旧版本生成升级说明。GKE on AWS 仅支持依序升级（仅支持 1.2 → 1.3 → 1.4，不支持 1.2 → 1.4）。

• 为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。

• 针对与 Google 提供的组件相关的任何问题进行问题排查、提供解决办法以及纠正根本原因。

客户责任

• 为 GKE on AWS 集群提供整体系统管理。例如，将其配置为在公司 VPC 环境中工作。

• 维护您的工作负载，包括应用代码、构建文件、容器映像、数据、RBAC/IAM 政策以及您运行的容器和 pod。

• 运营和维护 AWS 环境，包括网络配置和 Google Cloud 连接。

• 维护与 AWS 的支持合同。

• 定期将 GKE on AWS 升级到支持的版本。

• 监控集群和应用，并响应任何突发事件。

• 确保 Logging 和 Monitoring 代理已部署到集群。如果没有日志，系统会尽最大努力提供支持。

• 在 Google 要求时提供环境详细信息（例如 AWS VPC 配置），以进行问题排查。

GKE on Azure

Google 责任

• 维护和分发 GKE on Azure 软件包，包括 Kubernetes、基础映像、Azure 集成、Ingress 控制器、Connect 代理和 Google Cloud CLI。

• 使用 Artifact Analysis API 持续扫描组件并修补已知漏洞。

• 维护和分发管理服务、控制层面和节点池机器映像，包括定期修补和安全修复。

• 在 GKE on Azure 有可用升级时通知用户，并为之前的版本生成升级说明。GKE on Azure 仅支持依序升级（仅支持 1.2 → 1.3 → 1.4，不支持 1.2 → 1.4）。

• 为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。

• 针对与 Google 提供的组件相关的任何问题进行问题排查、提供解决办法以及纠正根本原因。

客户责任

• 为 GKE on Azure 集群提供整体系统管理。例如，将其配置为在公司 VPC 环境中工作。

• 维护您的工作负载，包括应用代码、构建文件、容器映像、数据、RBAC/IAM 政策以及您运行的容器和 pod。

• 运营和维护 Azure 环境，包括网络配置和 Google Cloud 连接。

• 维护与 Azure 的支持合同。

• 定期将 GKE on Azure 升级到支持的版本。

• 监控集群和应用，并响应任何突发事件。

• 确保 Logging 和 Monitoring 代理已部署到集群。如果没有日志，系统会尽最大努力提供支持。

• 在 Google 要求时提供环境详细信息（例如 Azure VNet 配置），以进行问题排查。

GKE Enterprise 关联的集群

Google 责任

• 提供支持的 Kubernetes 发行版和版本的列表。

• 在 GKE Enterprise 组件有可用升级时通知用户，并为之前的版本生成升级说明。GKE Enterprise 仅支持依序升级（仅支持 1.2 → 1.3 → 1.4，不支持 1.2 → 1.4）。

• 为 Connect 和 Google Cloud Observability 提供 Google Cloud 集成。

• 针对与 Google 提供的组件相关的任何问题，进行问题排查、提供解决办法以及纠正根本原因

客户责任

• 提供符合 Google 规范的现代 Kubernetes 平台。平台包括但不限于硬件、操作系统、Kubernetes API 服务器、VPC 配置和其他特性。

• 维护您的工作负载，包括应用代码、构建文件、容器映像、数据、RBAC/IAM 政策以及您运行的容器和 pod。

• 运营、维护和修补基础架构，包括网络、服务器、存储和 Google Cloud 连接。

• 运营、维护和修补运行集群所需的任何基础架构

• 维护与第三方的支持合同。例如网络、容器编排、计算资源和存储供应商。

• 定期将 Kubernetes 升级到受支持的版本。

• 监控集群和应用，并响应任何突发事件。

• 保持集群与 Google 服务的连接。

• 在 Google 要求时提供环境详细信息（例如网络配置），以进行问题排查。

后续步骤

• 了解 Google 如何处理 GKE Enterprise 的安全补丁。

• 在以下集群中配置 Logging 和 Monitoring：

  • GKE on VMware
  • GKE on AWS
  • GKE on Bare Metal
  • GKE Enterprise 关联的集群