Gemeinsame Verantwortung bei GKE Enterprise
Für das Ausführen geschäftskritischer Anwendungen in GKE Enterprise müssen mehrere Parteien unterschiedliche Verantwortlichkeiten übernehmen. Hier finden Sie eine vollständige Liste der Rollen und Verantwortlichkeiten für jedes GKE-Cluster-Produkt für Google und den Kunden.
GKE in Google Cloud
Verantwortlichkeiten von Google
- Schutz der zugrunde liegenden Infrastruktur, einschließlich Hardware, Firmware, Kernel, Betriebssystem, Speicher, Netzwerk und mehr. Dazu gehören die standardmäßige Verschlüsselung inaktiver Daten, die Bereitstellung einer zusätzlichen vom Kunden verwalteten Laufwerkverschlüsselung, die Verschlüsselung von Daten bei der Übertragung mithilfe eigens entwickelter Hardware, das Verlegen privater Netzwerkkabel, der Schutz von Rechenzentren vor physischem Zugriff, der Schutz des Bootloader und Kernel vor Änderungen mithilfe von Shielded-Knoten und die Einhaltung von Best Practices für die sichere Softwareentwicklung.
- Härtung und Patchen des Betriebssystems der Knoten, z. B. Container-Optimized OS oder Ubuntu GKE stellt umgehend alle Patches für diese Images zur Verfügung. Wenn Sie das automatische Upgrade aktiviert haben oder eine Release-Version verwenden, werden diese Updates automatisch bereitgestellt. Dies ist die Basisebene des Containers. Sie ist nicht mit dem Betriebssystem identisch, das in den Containern ausgeführt wird.
- Erstellen und Nutzen von Bedrohungserkennung für Container-spezifische Bedrohungen im Kernel mit Container Threat Detection (wird separat mit Security Command Center abgerechnet).
- Kubernetes-Knotenkomponenten härten und patchen. Für alle von GKE verwalteten Komponenten wird beim Upgrade der GKE-Knotenversionen automatisch ein Upgrade ausgeführt. Dazu zählen:
- vTPM-gestützter Bootstrapping-Mechanismus zur Ausgabe von Kubelet-TLS-Zertifikaten und automatische Rotation der Zertifikate
- Gehärtete Kubelet-Konfiguration entsprechend den CIS-Benchmarks
- GKE-Metadatenserver für Workload Identity
- Natives Container Network Interface-Plug-in und Calico for NetworkPolicy von GKE
- Integration von GKE-Kubernetes-Speichern wie den CSI-Treiber
- GKE-Logging- und -Monitoring-Agents
- Härten und Patchen der Steuerungsebene. Die Steuerungsebene umfasst die VM der Steuerungsebene, den API-Server, den Planer, den Controller-Manager, die Clusterzertifizierungsstelle, die Ausgabe und Rotation von TLS-Zertifikaten, Root-of-Trust-Schlüsselmaterial, CA-Rotation, Secret-Verschlüsselung, IAM-Authentifizierung und -Autorisierung, Audit-Logging-Konfiguration, etcd und verschiedene andere Controller. Alle Komponenten der Steuerungsebene werden auf von Google verwalteten Compute Engine-Instanzen ausgeführt. Diese Instanzen sind ein einzelner Mandant. Das bedeutet, dass jede Instanz die Steuerungsebene und ihre Komponenten für nur einen Kunden ausführt.
- Bereitstellen von Google Cloud-Integrationen für Connect, Identity and Access Management, Cloud-Audit-Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center und andere.
- Beschränken und Protokollieren des administrativen Zugriffs von Google auf Kundencluster mit Access Transparency für vertragliche Supportzwecke.
Verantwortlichkeiten des Kunden
- Verwalten der Arbeitslasten, einschließlich des Anwendungscodes, der Build-Dateien, Container-Images, Daten, der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC)/IAM und der Container und Pods, die Sie ausführen.
- Anmeldedaten des Clusters rotieren.
- Registrieren von Clustern für automatische Upgrades (Standard) oder Upgrade von Clustern auf unterstützte Versionen.
- Überwachen des Clusters und der Anwendungen und Reaktion auf Warnungen und Vorfälle mit Technologien wie dem Sicherheitsstatus-Dashboard und Google Cloud Observability.
- Google auf Anfrage Details zur Umgebung zur Verfügung stellen, damit Probleme behoben werden können.
GKE on VMware
Verantwortlichkeiten von Google
Warten und Verteilen des GKE on VMware-Softwarepakets, einschließlich Kubernetes-, vCenter- und F5-Controllern, Ingress-Controller, Connect-, Logging- und Monitoring-Agents sowie dem
gkectl
-Befehlszeilentool.Warten und Verteilen der Ubuntu-Administrator-Workstation und der Knotenmaschinen-Images, einschließlich regelmäßiger Patches und Sicherheitsfixes.
Kontinuierliches Scannen der Komponenten mit der Artifact Analysis API und Patchen bekannter Sicherheitslücken.
Benachrichtigung der Nutzer über verfügbare Upgrades für GKE on VMware und Erstellen von Upgradescripts für die vorherige Version; GKE on VMware unterstützt nur sequenzielle Upgrades (nur 1.2 → 1.3 → 1.4 und nicht 1.2 → 1.4).
Bereitstellen von Google Cloud-Integrationen für Connect und Google Cloud Observability.
Die Problembehebung bietet Problemumgehungen an und behebt die Ursache möglicher Probleme in Verbindung mit von Google bereitgestellten Komponenten.
Verantwortlichkeiten des Kunden
Gesamte Systemverwaltung für lokale Cluster.
Verwalten der Arbeitslasten, einschließlich des Anwendungscodes, der Build-Dateien, Container-Images, Daten, der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC)/IAM und der Container und Pods, die Sie ausführen.
Betreiben, Warten und Patchen der Infrastruktur, einschließlich Netzwerken, Servern, Speicher und Konnektivität zu Google Cloud.
Betreiben, Warten und Patchen von vSphere-, Netzwerk- und Netzwerk-Load-Balancern.
Verwalten von Supportverträgen mit VMware und F5 (falls bereitgestellt).
Regelmäßiges Aktualisieren von GKE on VMware auf eine unterstützte Version.
Bereitstellen und Testen von Arbeitslasten auf aktualisierten Knotenmaschinen-Images. Bereitstellen und Testen aktualisierter Admin-Workstation-Images in Ihrer Umgebung. Bedenken an Google über den Cloud Customer Care kommunizieren.
Überwachen von Clustern und Anwendungen und Reagieren auf Vorfälle.
Logging und Monitoring-Agents müssen auf Clustern bereitgestellt werden. Ohne Logs ist der Support auf Best-Effort-Basis verfügbar.
Bereitstellen von Informationen zur Umgebung an Google (z. B. Netzwerkkonfiguration), wenn Sie zu Fehlerbehebungszwecken dazu aufgefordert werden.
GKE on Bare Metal
Verantwortlichkeiten von Google
Warten und Verteilen des GKE on Bare Metal-Softwarepakets, einschließlich Kubernetes, Ingress-Controller, Connect- und Logging- und Monitoring-Agents sowie dem
bmctl
-Befehlszeilentool.Kontinuierliches Scannen der Komponenten mit der Artifact Analysis API und Patchen bekannter Sicherheitslücken.
Benachrichtigen von Nutzern über verfügbare Upgrades für GKE on Bare Metal und Erstellen von Upgrade-Anleitungen für die vorherige Version; GKE on Bare Metal unterstützt sequenzielle Upgrades zwischen Nebenversionen und Patch-Releases (nur 1.2 → 1.3 → 1.4 und nicht 1.2 → 1.4).
Bereitstellen von Google Cloud-Integrationen für Connect und Google Cloud Observability.
Die Problembehebung bietet Problemumgehungen an und behebt die Ursache möglicher Probleme in Verbindung mit von Google bereitgestellten Komponenten.
Verantwortlichkeiten des Kunden
Bereitstellen der gesamten Systemverwaltung für Cluster.
Verwalten der Arbeitslasten, einschließlich Anwendungscode, Build-Dateien, Container-Images, Daten, RBAC-/IAM-Zulassungsrichtlinie sowie Containern und Pods, die Sie ausführen.
Betreiben, Warten und Patchen der Infrastruktur, einschließlich Netzwerken, Servern, Speicher und Konnektivität zu Google Cloud.
Verwalten von Supportverträgen mit Anbietern.
Regelmäßiges Aktualisieren von GKE on Bare Metal auf eine unterstützte Version.
Bereitstellen und Testen von Arbeitslasten auf aktualisierten Knotenmaschinen-Images. Bereitstellen und Testen aktualisierter Admin-Workstation-Images in Ihrer Umgebung. Bedenken an Google über den Cloud Customer Care kommunizieren.
Überwachen von Clustern und Anwendungen und Reagieren auf Vorfälle.
Logging und Monitoring-Agents müssen auf Clustern bereitgestellt werden. Ohne Logs ist der Support auf Best-Effort-Basis verfügbar.
Bereitstellen von Informationen zur Umgebung an Google (z. B. Netzwerkkonfiguration), wenn Sie zu Fehlerbehebungszwecken dazu aufgefordert werden.
GKE on AWS (Multi-Cloud)
Verantwortlichkeiten von Google
Warten und Verteilen des GKE on AWS-Softwarepakets, einschließlich Kubernetes, Basis-Images, AWS-Integrationsfunktionen, Ingress-Controller, Connect-Agent und dem
anthos-gke
-Befehlszeilentool.Kontinuierliches Scannen der Komponenten mit der Artifact Analysis API und Patchen bekannter Sicherheitslücken.
Warten und Verteilen der Verwaltungsebenen, Steuerungsebenen und Knotenpool-Maschinen-Images, einschließlich regelmäßiger Patches und Sicherheitsfixes.
Benachrichtigung der Nutzer über verfügbare Upgrades für GKE on AWS und Erstellen von Upgrade-Anleitungen für die vorherige Version. GKE on AWS unterstützt nur sequenzielle Upgrades (nur 1.2 → 1.3 → 1.4 und nicht 1.2 → 1.4).
Bereitstellen von Google Cloud-Integrationen für Connect und Google Cloud Observability.
Die Problembehebung bietet Problemumgehungen an und behebt die Ursache möglicher Probleme in Verbindung mit von Google bereitgestellten Komponenten.
Verantwortlichkeiten des Kunden
Bereitstellen der allgemeinen Systemverwaltung für GKE on AWS-Cluster. Beispiel: Konfiguration der Cluster, sodass sie in der Unternehmens-VPC-Umgebung funktionieren.
Verwalten der Arbeitslasten, einschließlich Anwendungscode, Build-Dateien, Container-Images, Daten, RBAC-/IAM-Zulassungsrichtlinie sowie Containern und Pods, die Sie ausführen.
Betreiben und Warten der AWS-Umgebung, einschließlich Netzwerkkonfiguration und Konnektivität zu Google Cloud.
Verwalten von Supportverträgen mit AWS.
Regelmäßiges Aktualisieren von GKE on AWS auf eine unterstützte Version.
Überwachen von Clustern und Anwendungen und Reagieren auf Vorfälle.
Logging und Monitoring-Agents müssen auf Clustern bereitgestellt werden. Ohne Logs ist der Support auf Best-Effort-Basis verfügbar.
Bereitstellen von Informationen zur Umgebung an Google (z. B. AWS VPC-Netzwerkkonfiguration), wenn Sie zu Fehlerbehebungszwecken dazu aufgefordert werden.
GKE on Azure
Verantwortlichkeiten von Google
Warten und Verteilen des GKE on Azure-Softwarepakets, einschließlich Kubernetes, Basis-Images, Azure-Integrationen, Ingress-Controller, Connect-Agent und der Google Cloud CLI.
Kontinuierliches Scannen der Komponenten mit der Artifact Analysis API und Patchen bekannter Sicherheitslücken.
Warten und Verteilen der Verwaltungsebenen, Steuerungsebenen und Knotenpool-Maschinen-Images, einschließlich regelmäßiger Patches und Sicherheitsfixes.
Benachrichtigung der Nutzer über verfügbare Upgrades für GKE on Azure und Erstellen von Upgrade-Anleitungen für die vorherige Version. GKE on Azure unterstützt nur sequenzielle Upgrades (nur 1.2 → 1.3 → 1.4 und nicht 1.2 → 1.4).
Bereitstellen von Google Cloud-Integrationen für Connect und Google Cloud Observability.
Die Problembehebung bietet Problemumgehungen an und behebt die Ursache möglicher Probleme in Verbindung mit von Google bereitgestellten Komponenten.
Verantwortlichkeiten des Kunden
Bereitstellen der allgemeinen Systemverwaltung für GKE on Azure-Cluster. Beispiel: Konfiguration der Cluster, sodass sie in der Unternehmens-VPC-Umgebung funktionieren.
Verwalten der Arbeitslasten, einschließlich Anwendungscode, Build-Dateien, Container-Images, Daten, RBAC-/IAM-Zulassungsrichtlinie sowie Containern und Pods, die Sie ausführen.
Betreiben und Warten der Azure-Umgebung, einschließlich Netzwerkkonfiguration und Konnektivität zu Google Cloud.
Supportverträge mit Azure verwalten.
Regelmäßiges Aktualisieren von GKE on Azure auf eine unterstützte Version.
Überwachen von Clustern und Anwendungen und Reagieren auf Vorfälle.
Logging und Monitoring-Agents müssen auf Clustern bereitgestellt werden. Ohne Logs ist der Support auf Best-Effort-Basis verfügbar.
Stellen Sie Google Umgebungsdetails zur Verfügung (z. B. Azure VNet-Konfiguration), wenn diese für die Fehlerbehebung angefordert werden.
Mit GKE Enterprise angehängte Cluster
Verantwortlichkeiten von Google
Bereitstellen einer Liste der unterstützten Kubernetes-Distributionen und -Versionen.
Benachrichtigung der Nutzer über verfügbare Upgrades für GKE Enterprise-Komponenten und Erstellen von Upgrade-Anleitungen für die vorherige Version. GKE Enterprise unterstützt nur sequenzielle Upgrades (nur 1.2 → 1.3 → 1.4 und nicht 1.2 → 1.4).
Bereitstellen von Google Cloud-Integrationen für Connect und Google Cloud Observability.
Beheben von Fehlern, Bereitstellen von Problemumgehungen und Beheben der Ursache von Problemen im Zusammenhang mit von Google bereitgestellten Komponenten
Verantwortlichkeiten des Kunden
Bereitstellen einer modernen Kubernetes-Plattform, die den Spezifikationen von Google entspricht. Die Plattform umfasst unter anderem Hardware, Betriebssystem, Kubernetes API-Server, VPC-Konfiguration und andere Attribute.
Verwalten der Arbeitslasten, einschließlich Anwendungscode, Build-Dateien, Container-Images, Daten, RBAC-/IAM-Zulassungsrichtlinie sowie Containern und Pods, die Sie ausführen.
Betreiben, Warten und Patchen der Infrastruktur, einschließlich Netzwerken, Servern, Speicher und Konnektivität zu Google Cloud.
Betreiben, Warten und Patchen von Infrastruktur, die für die Ausführung von Clustern erforderlich ist.
Verwalten von Supportverträgen mit Drittanbietern. Beispiele: Anbieter von Netzwerken, Containerorchestrierung, Rechenressourcen und Speicher.
Regelmäßige Aktualisierung von Kubernetes auf eine unterstützte Version.
Überwachen von Clustern und Anwendungen und Reagieren auf Vorfälle.
Beibehalten der Verbindung von Clustern mit Google-Diensten.
Bereitstellen von Informationen zur Umgebung an Google (z. B. Netzwerkkonfiguration), wenn Sie zu Fehlerbehebungszwecken dazu aufgefordert werden.
Nächste Schritte
Erfahren Sie mehr darüber, wie Google mit Sicherheitspatches für GKE Enterprise umgeht.
Konfigurieren Sie Logging und Monitoring auf: