GKE Enterprise の共有責任
GKE Enterprise でビジネス クリティカルなアプリケーションを実行するには、複数の当事者がそれぞれの責任を果たす必要があります。次のリストがすべてではありませんが、このトピックでは、各 GKE Enterprise クラスタ オプションに対する Google とお客様の役割と責任を示します。
GKE on Google Cloud
Google の責任
- ハードウェア、ファームウェア、カーネル、OS、ストレージ、ネットワークなど、基盤となるインフラストラクチャを保護する。これには、デフォルトでの保存データの暗号化、顧客管理による追加のディスク暗号化の提供、転送中のデータの暗号化、カスタム設計されたハードウェアの使用、プライベート ネットワーク ケーブルの敷設、物理的なアクセスからのデータセンターの保護、シールドノードによるブートローダーとカーネルの変更からの保護、安全なソフトウェア開発プラクティスの遵守などが含まれます。
- ノードのオペレーティング システム(Container-Optimized OS や Ubuntu など)の強化とパッチ適用を行う。GKE は、これらのイメージに対するパッチを速やかに使用可能にします。自動アップグレードを有効にしている場合、またはリリース チャンネルを使用している場合は、これらの更新が自動的にデプロイされます。これはコンテナより下位の OS レイヤであり、コンテナで動作しているオペレーティング システムとは異なります。
- Container Threat Detection(Security Command Center とは別料金)を使用して、カーネル内部にコンテナ固有の脅威を検出する仕組みの構築と運用を行う。
- Kubernetes ノード コンポーネントの強化とパッチ適用を行う。GKE ノードのバージョンをアップグレードすると、すべての GKE マネージド コンポーネントが自動的にアップグレードされます。これには、次のものが含まれます。
- kubelet TLS 証明書を発行するための vTPM に基づく信頼できるブートストラップ メカニズムと証明書の自動ローテーション
- CIS ベンチマークに沿って強化された kubelet 構成
- Workload Identity 用の GKE メタデータ サーバー
- GKE のネイティブな Container Network Interface プラグインと Calico for NetworkPolicy
- CSI ドライバなどの GKE Kubernetes ストレージの統合
- GKE のロギングとモニタリングのエージェント
- コントロール プレーンの強化とパッチ適用を行う。コントロール プレーンには、コントロール プレーン VM、API サーバー、スケジューラ、コントローラ マネージャー、クラスタ CA、TLS 証明書の発行とローテーション、ルート オブ トラスト鍵のマテリアル、IAM 認証システムと承認者、監査ロギング構成、etcd、他のさまざまなコントローラが含まれています。すべてのコントロール プレーン コンポーネントは、Google が運用する Compute Engine インスタンスで動作します。これらのインスタンスは単一テナントです。つまり、各インスタンスは、コントロール プレーンとそのコンポーネントを単一のお客様に対してのみ実行します。
- Connect、Identity and Access Management、Cloud Audit Logs、Google Cloud Observability、Cloud Key Management Service、Security Command Center などと Google Cloud とのインテグレーションを提供する。
- Google が契約上のサポート目的で、お客様のクラスタに管理者権限でアクセスすることを制限し、アクセスの透明性を使用してログに記録する。
お客様の責任
- アプリケーション コード、ビルドファイル、コンテナ イメージ、データ、ロールベース アクセス制御(RBAC) / IAM ポリシー、実行中のコンテナと Pod などのワークロードを管理する。
- クラスタの認証情報をローテーションする。
- クラスタを自動アップグレード(デフォルト)に登録するか、サポートされているバージョンにクラスタをアップグレードする。
- セキュリティ対策ダッシュボードや Google Cloud Observability などのテクノロジーを使用して、クラスタとアプリケーションをモニタリングし、アラートやインシデントに対応する。
- トラブルシューティング目的で Google から環境の詳細を求められた場合に提供する。
- クラスタで Logging と Monitoring が有効になっていることを確認する。ログが使用できない場合、サポートはベスト エフォートで行われます。
VMware 用 Google Distributed Cloud(ソフトウェアのみ)
Google の責任
Kubernetes、vCenter と F5 コントローラ、Ingress コントローラ、Connect エージェント、Logging エージェント、Monitoring エージェント、
gkectl
コマンドライン ツールなどの Google Distributed Cloud ソフトウェア パッケージのメンテナンスと配布。定期的なパッチ適用やセキュリティ修正など、Ubuntu 管理ワークステーションとノードマシン イメージのメンテナンスと配布。
Artifact Analysis API を使用してコンポーネントを継続的にスキャンし、既知の脆弱性にパッチを適用します。
Google Distributed Cloud の利用可能なアップグレードについてユーザーに通知し、以前のバージョンのアップグレード スクリプトを作成します。Google Distributed Cloud on VMware は、順次アップグレードのみをサポートします(1.2 → 1.3 → 1.4 のみをサポートし、1.2 → 1.4 はサポートしません)。
Connect と Google Cloud Observability の Google Cloud インテグレーションを実現します。
Google 提供のコンポーネントに関連するトラブルシューティング、回避策の提供、問題の根本原因の修正を行います。
お客様の責任
オンプレミス クラスタの全体的なシステム管理。
アプリケーション コード、ビルドファイル、コンテナ イメージ、データ、ロールベース アクセス制御(RBAC) / IAM ポリシー、実行中のコンテナと Pod などのワークロードを管理する。
ネットワーク、サーバー、ストレージ、Google Cloud への接続など、インフラストラクチャの運用、メンテナンス、パッチ適用を行います。
vSphere とネットワーク ロードバランサの運用、メンテナンス、パッチ適用。
VMware および F5(デプロイされている場合)とのサポート契約の維持。
Google Distributed Cloud をサポート対象バージョンに定期的にアップグレードします。
更新されたノードマシンのイメージでワークロードをデプロイおよびテストします。更新された管理ワークステーションのイメージを環境にデプロイしてテストします。懸念事項がありましたら Cloud カスタマーケアを通じて Google にお寄せください。
クラスタとアプリケーションをモニタリングし、インシデントに対応します。
Logging と Monitoring のエージェントがクラスタにデプロイされていることを確認します。ログが使用できない場合、サポートはベスト エフォートで行われます。
トラブルシューティングを目的として、環境の詳細情報(ネットワーク構成など)を Google に提供します。
Google Distributed Cloud(ソフトウェアのみ)(ベアメタル)
Google の責任
Kubernetes、Ingress コントローラ、Connect エージェント、Logging エージェント、Monitoring エージェント、
bmctl
コマンドライン ツールなどの Google Distributed Cloud ソフトウェア パッケージのメンテナンスと配布。Artifact Analysis API を使用してコンポーネントを継続的にスキャンし、既知の脆弱性にパッチを適用します。
Google Distributed Cloud で利用可能なアップグレードについてユーザーに通知し、以前のバージョンのアップグレード手順を作成します。Google Distributed Cloud on Bare Metal は、マイナー バージョンとパッチリリースの間の順次アップグレードをサポートしています(例: 1.2 → 1.3 → 1.4 のみがサポートされ、1.2 → 1.4 はサポートされません)。
Connect と Google Cloud Observability の Google Cloud インテグレーションを実現します。
Google 提供のコンポーネントに関連するトラブルシューティング、回避策の提供、問題の根本原因の修正を行います。
お客様の責任
クラスタでの全体的なシステム管理を行います。
アプリケーション コード、ビルドファイル、コンテナ イメージ、データ、RBAC / IAM 許可ポリシー、実行中のコンテナと Pod などのワークロードを管理します。
ネットワーク、サーバー、ストレージ、Google Cloud への接続など、インフラストラクチャの運用、メンテナンス、パッチ適用を行います。
ベンダーとのサポート契約を維持します。
Google Distributed Cloud をサポート対象バージョンに定期的にアップグレードします。
更新されたノードマシンのイメージでワークロードをデプロイおよびテストします。更新された管理ワークステーションのイメージを環境にデプロイしてテストします。懸念事項がありましたら Cloud カスタマーケアを通じて Google にお寄せください。
クラスタとアプリケーションをモニタリングし、インシデントに対応します。
Logging と Monitoring のエージェントがクラスタにデプロイされていることを確認します。ログが使用できない場合、サポートはベスト エフォートで行われます。
トラブルシューティングを目的として、環境の詳細情報(ネットワーク構成など)を Google に提供します。
GKE on AWS(マルチクラウド)
Google の責任
Kubernetes、ベースイメージ、AWS の統合機能、Ingress コントローラ、Connect エージェント、
anthos-gke
コマンドライン ツールなど、GKE on AWS ソフトウェア パッケージのメンテナンスと配布。Artifact Analysis API を使用してコンポーネントを継続的にスキャンし、既知の脆弱性にパッチを適用する。
定期的なパッチ適用やセキュリティ修正など、管理レイヤ、コントロール プレーン、ノードプールのマシンイメージのメンテナンスと配布。
GKE on AWS の利用可能なアップグレードについてユーザーに通知し、以前のバージョンのアップグレード手順を作成します。GKE on AWS は、順次アップグレードのみをサポートします(1.2 → 1.3 → 1.4 のみをサポートし、1.2 → 1.4 はサポートしません)。
Connect と Google Cloud Observability の Google Cloud インテグレーションを実現します。
Google 提供のコンポーネントに関連するトラブルシューティング、回避策の提供、問題の根本原因の修正を行います。
お客様の責任
AWS クラスタでの GKE の全般的なシステム管理。たとえば、企業 VPC 環境内で動作するように構成します。
アプリケーション コード、ビルドファイル、コンテナ イメージ、データ、RBAC / IAM 許可ポリシー、実行中のコンテナと Pod などのワークロードを管理します。
ネットワーク構成、Google Cloud への接続など、AWS 環境の運用とメンテナンスを行います。
AWS とのサポート契約を維持します。
GKE on AWS をサポート対象バージョンに定期的にアップグレードする。
クラスタとアプリケーションをモニタリングし、インシデントに対応します。
Logging と Monitoring のエージェントがクラスタにデプロイされていることを確認します。ログが使用できない場合、サポートはベスト エフォートで行われます。
トラブルシューティングを目的として、環境の詳細情報(AWS VPC の構成など)を Google に提供します。
GKE on Azure
Google の責任
Kubernetes、ベースイメージ、Azure 統合、Ingress コントローラ、Connect エージェント、Google Cloud CLI など、GKE on Azure ソフトウェア パッケージのメンテナンスと配布。
Artifact Analysis API を使用してコンポーネントを継続的にスキャンし、既知の脆弱性にパッチを適用する。
定期的なパッチ適用やセキュリティ修正など、管理レイヤ、コントロール プレーン、ノードプールのマシンイメージのメンテナンスと配布。
GKE on Azure の利用可能なアップグレードについてユーザーに通知し、以前のバージョンのアップグレード手順を作成します。GKE on Azure は、順次アップグレードのみをサポートします(1.2 → 1.3 → 1.4 のみをサポートし、1.2 → 1.4 はサポートしません)。
Connect と Google Cloud Observability の Google Cloud インテグレーションを実現します。
Google 提供のコンポーネントに関連するトラブルシューティング、回避策の提供、問題の根本原因の修正を行います。
お客様の責任
Azure クラスタ上の GKE の全体的なシステム管理機能を提供する。たとえば、企業 VPC 環境内で動作するように構成します。
アプリケーション コード、ビルドファイル、コンテナ イメージ、データ、RBAC / IAM 許可ポリシー、実行中のコンテナと Pod などのワークロードを管理します。
ネットワーク構成、Google Cloud への接続など、Azure 環境の運用とメンテナンスを行います。
Azure とのサポート契約を維持します。
GKE on Azure をサポート対象バージョンに定期的にアップグレードする。
クラスタとアプリケーションをモニタリングし、インシデントに対応します。
Logging と Monitoring のエージェントがクラスタにデプロイされていることを確認します。ログが使用できない場合、サポートはベスト エフォートで行われます。
トラブルシューティングを目的として Google から環境の詳細(Azure VNet 構成など)を求められた場合に提供します。
GKE Enterprise 接続クラスタ
Google の責任
サポートされている Kubernetes のディストリビューションとバージョンのリストを提示します。
GKE Enterprise コンポーネントの利用可能なアップグレードについてユーザーに通知し、以前のバージョンのアップグレード手順を作成します。GKE Enterprise サポートは、順次アップグレードのみをサポートします(1.2 → 1.3 → 1.4 のみをサポートし、1.2 → 1.4 はサポートしません)。
Connect と Google Cloud Observability の Google Cloud インテグレーションを実現します。
Google 提供のコンポーネントに関連するトラブルシューティング、回避策の提供、問題の根本原因の修正。
お客様の責任
Google の仕様を満たす最新の Kubernetes プラットフォームを提供します。プラットフォームには、ハードウェア、OS、Kubernetes API サーバー、VPC 構成などの属性が含まれますが、これらに限定されません。
アプリケーション コード、ビルドファイル、コンテナ イメージ、データ、RBAC / IAM 許可ポリシー、実行中のコンテナと Pod などのワークロードを管理します。
ネットワーク、サーバー、ストレージ、Google Cloud への接続など、インフラストラクチャの運用、メンテナンス、パッチ適用を行います。
クラスタの実行に必要なインフラストラクチャの運用、メンテナンス、パッチ適用。
サードパーティとのサポート契約を維持します。ネットワーキング、コンテナ オーケストレーション、コンピューティング リソース、ストレージ ベンダーなどが該当します。
Kubernetes をサポートされているバージョンに定期的にアップグレードします。
クラスタとアプリケーションをモニタリングし、インシデントに対応します。
クラスタを Google サービスに接続したままにします。
トラブルシューティングを目的として、環境の詳細情報(ネットワーク構成など)を Google に提供します。
次のステップ
Google が GKE Enterprise のセキュリティ パッチ適用を処理する方法について学習する。
次の Logging と Monitoring を構成する。