Tanggung jawab bersama GKE Enterprise

Menjalankan aplikasi yang penting bagi bisnis di GKE Enterprise memerlukan beberapa pihak-pihak untuk membawa tanggung jawab yang berbeda. Meskipun bukan daftar yang lengkap, Daftar peran dan tanggung jawab untuk setiap opsi cluster GKE Enterprise baik untuk Google maupun pelanggan.

GKE di Google Cloud

Tanggung jawab Google

• Melindungi infrastruktur dasar, termasuk hardware, firmware, kernel, OS, penyimpanan, jaringan, dan lainnya. Hal ini mencakup mengenkripsi data dalam penyimpanan secara default, memberikan enkripsi disk tambahan yang dikelola pelanggan, mengenkripsi data dalam pengiriman, menggunakan hardware yang dirancang khusus, meletakkan kabel jaringan pribadi, melindungi pusat data dari mengakses, melindungi bootloader dan kernel dari modifikasi menggunakan Shielded Node, dan mengikuti praktik pengembangan software yang aman.
• Hardening dan patching dari node tersebut seperti Container-Optimized OS atau Ubuntu. GKE segera membuat patch apa pun ke image ini. Jika Anda mengaktifkan upgrade otomatis, atau menggunakan saluran rilis, update ini akan otomatis di-deploy. Ini adalah lapisan OS di bawah container Anda. Ini tidak sama dengan sistem operasi yang berjalan di container Anda.
• Membangun dan mengoperasikan deteksi ancaman untuk ancaman khusus container ke dalam {i>kernel<i} dengan Deteksi Ancaman Container (harga terpisah dengan Security Command Center).
• Pengerasan dan patching Komponen node Kubernetes. Semua komponen yang dikelola GKE akan diupgrade secara otomatis saat Anda mengupgrade versi node GKE. Hal ini mencakup:
  • Mekanisme bootstrap tepercaya yang didukung vTPM untuk menerbitkan sertifikat TLS kubelet dan rotasi otomatis sertifikat
  • Konfigurasi kubelet yang telah melalui proses hardening mengikuti benchmark CIS
  • Server metadata GKE untuk Workload identity
  • Plugin Container Network Interface dan Calico untuk NetworkPolicy native GKE
  • Integrasi penyimpanan Kubernetes GKE seperti driver CSI
  • Agen logging dan pemantauan GKE
• Pengerasan dan patching bidang kontrol. Bidang kontrol mencakup bidang kontrol VM, API, server, penjadwal, manajer pengontrol, CA cluster, penerbitan dan rotasi sertifikat TLS, materi kunci root-of-trust, Pengautentikasi dan otorisasi IAM, logging audit konfigurasi, {i>etcd<i}, dan berbagai pengontrol lainnya. Semua komponen bidang kontrol Anda berjalan pada instance Compute Engine yang dioperasikan Google. Instance ini adalah tenant tunggal, yang berarti setiap instance menjalankan bidang kontrol dan komponennya hanya untuk satu pelanggan.
• Menyediakan integrasi Google Cloud untuk Connect, Identity and Access Management, Cloud Audit Logs, Kemampuan Observasi Google Cloud, Cloud Key Management Service, Security Command Center, dan lainnya.
• Batasi dan catat akses administratif Google ke cluster pelanggan untuk tujuan dukungan kontrak dengan Transparansi Akses.

Tanggung jawab pelanggan

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.
• Merotasi kredensial cluster Anda.
• Mendaftarkan cluster dalam upgrade otomatis (default) atau upgrade cluster ke versi yang didukung.
• Pantau cluster dan aplikasi serta tanggapi setiap peringatan dan insiden menggunakan teknologi seperti dasbor postur keamanan dan Google Cloud Observability.
• Memberikan detail lingkungan kepada Google saat diminta untuk tujuan pemecahan masalah.
• Pastikan Logging dan Pemantauan pada cluster. Tanpa log, dukungan akan tersedia berdasarkan upaya terbaik dasar.

Google Distributed Cloud (khusus software) di VMware

Tanggung jawab Google

• Memelihara dan mendistribusikan paket software Google Distributed Cloud termasuk Kubernetes, pengontrol vCenter dan F5, pengontrol Ingress, Connect, Logging, dan Monitoring agen, dan alat command line gkectl.

• Memelihara dan mendistribusikan workstation admin Ubuntu dan image mesin node termasuk {i>patching<i} dan perbaikan keamanan secara teratur.

• Pindai komponen secara terus-menerus dengan Artifact Analysis API dan membuat patch kerentanan yang diketahui.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk Google Distributed Cloud, dan membuat skrip {i>upgrade <i}untuk versi sebelumnya; Google Distributed Cloud di VMware hanya mendukung upgrade berurutan (hanya 1.2 → 1.3 → 1.4 dan tidak 1.2 → 1.4).

• Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.

• Pecahkan masalah, berikan solusi, dan perbaiki akar penyebab dari setiap masalah masalah terkait komponen yang disediakan Google.

Tanggung jawab pelanggan

• Administrasi sistem secara keseluruhan untuk cluster lokal.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan, memelihara, dan membuat patch infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Mengoperasikan, memelihara, serta membuat patch load balancer jaringan dan vSphere.

• Mempertahankan kontrak dukungan dengan VMware dan F5 (jika di-deploy).

• Upgrade Google Distributed Cloud ke versi yang didukung secara teratur.

• Deploy dan uji workload Anda pada image mesin node yang telah diupdate. Men-deploy dan menguji memperbarui image workstation admin di lingkungan Anda. Sampaikan kekhawatiran Anda ke Google melalui Cloud Customer Care.

• Pantau cluster dan aplikasi serta tanggapi setiap insiden.

• Pastikan agen Logging dan Pemantauan yang di-deploy ke berbagai cluster. Tanpa log, dukungan akan tersedia berdasarkan upaya terbaik dasar.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.

Google Distributed Cloud (khusus software) on bare metal

Tanggung jawab Google

• Memelihara dan mendistribusikan paket software Google Distributed Cloud termasuk Kubernetes, Pengontrol Ingress, Connect dan agen Logging dan Monitoring, serta Alat command line bmctl.

• Pindai komponen secara terus-menerus dengan Artifact Analysis API dan membuat patch kerentanan yang diketahui.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk Google Distributed Cloud, dan membuat petunjuk upgrade untuk versi sebelumnya; Google Distributed Cloud on bare metal mendukung upgrade berurutan antara jenis minor dan rilis patch (1.2 → 1.3 → 1.4 saja dan bukan 1.2 → 1.4).

• Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.

• Pecahkan masalah, berikan solusi, dan perbaiki akar penyebab dari setiap masalah masalah terkait komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan administrasi sistem secara keseluruhan untuk cluster.

• Mengelola workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan mengizinkan RBAC/IAM, dan container pod yang sedang dijalankan.

• Mengoperasikan, memelihara, dan membuat patch infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Mempertahankan kontrak dukungan dengan vendor.

• Upgrade Google Distributed Cloud ke versi yang didukung secara reguler layanan.

• Deploy dan uji workload Anda pada image mesin node yang telah diupdate. Men-deploy dan menguji memperbarui gambar workstation Admin di lingkungan Anda. Sampaikan kekhawatiran Anda ke Google melalui Cloud Customer Care.

• Pantau cluster dan aplikasi serta tanggapi setiap insiden.

• Pastikan agen Logging dan Pemantauan yang di-deploy ke berbagai cluster. Tanpa log, dukungan akan tersedia berdasarkan upaya terbaik dasar.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.

GKE di AWS (multi-cloud)

Tanggung jawab Google

• Memelihara dan mendistribusikan GKE pada paket software AWS termasuk Kubernetes, image dasar, fitur integrasi AWS, pengontrol Ingress, agen Connect, dan Alat command line anthos-gke.

• Pindai komponen secara terus-menerus dengan Artifact Analysis API dan membuat patch kerentanan yang diketahui.

• Mengelola dan mendistribusikan layanan pengelolaan, bidang kontrol, dan kumpulan node image mesin, termasuk patching dan perbaikan keamanan rutin.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk GKE di AWS, dan membuat petunjuk peningkatan versi untuk versi sebelumnya. GKE di AWS mendukung hanya upgrade berurutan (1.2 → 1.3 → 1.4 saja dan bukan 1.2 → 1.4).

• Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.

• Pecahkan masalah, berikan solusi, dan perbaiki akar penyebab dari setiap masalah masalah terkait komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan administrasi sistem keseluruhan untuk GKE pada cluster AWS. Sebagai misalnya, mengonfigurasinya agar berfungsi dalam lingkungan VPC perusahaan.

• Mengelola workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan yang mengizinkan RBAC/IAM, dan container serta pod yang dijalankan.

• Mengoperasikan dan memelihara lingkungan AWS, termasuk konfigurasi jaringan, dan konektivitas ke Google Cloud.

• Mempertahankan kontrak dukungan dengan AWS.

• Upgrade GKE di AWS ke versi yang didukung secara berkala.

• Pantau cluster dan aplikasi serta tanggapi setiap insiden.

• Pastikan agen Logging dan Pemantauan yang di-deploy ke berbagai cluster. Tanpa log, dukungan akan tersedia berdasarkan upaya terbaik dasar.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi VPC AWS) saat diminta untuk tujuan pemecahan masalah.

GKE on Azure

Tanggung jawab Google

• Memelihara dan mendistribusikan GKE pada paket software Azure termasuk Kubernetes, image dasar, integrasi Azure, pengontrol Ingress, agen Connect, dan di Google Cloud CLI.

• Pindai komponen secara terus-menerus dengan Artifact Analysis API dan membuat patch kerentanan yang diketahui.

• Mengelola dan mendistribusikan layanan pengelolaan, bidang kontrol, dan kumpulan node image mesin, termasuk patching dan perbaikan keamanan rutin.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk GKE di Azure, dan membuat petunjuk peningkatan versi untuk versi sebelumnya. GKE di Azure hanya mendukung upgrade berurutan (hanya 1.2 → 1.3 → 1.4 dan tidak 1.2 → 1.4).

• Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.

• Pecahkan masalah, berikan solusi, dan perbaiki akar penyebab dari setiap masalah masalah terkait komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan administrasi sistem secara keseluruhan untuk GKE di Azure klaster. Misalnya, mengonfigurasinya agar berfungsi dalam VPC perusahaan lingkungan fleksibel App Engine.

• Mengelola workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan mengizinkan RBAC/IAM, dan container pod yang sedang dijalankan.

• Mengoperasikan dan memelihara lingkungan Azure, termasuk konfigurasi jaringan, dan konektivitas ke Google Cloud.

• Pertahankan kontrak dukungan dengan Azure.

• Upgrade GKE di Azure ke versi yang didukung secara berkala.

• Pantau cluster dan aplikasi serta tanggapi setiap insiden.

• Pastikan agen Logging dan Pemantauan yang di-deploy ke berbagai cluster. Tanpa log, dukungan akan tersedia berdasarkan upaya terbaik dasar.

• Berikan detail lingkungan kepada Google (misalnya, Azure VNet konfigurasi) saat diminta untuk tujuan pemecahan masalah.

Cluster GKE Enterprise terpasang

Tanggung jawab Google

• Memberikan daftar distribusi dan versi Kubernetes yang didukung.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk komponen GKE Enterprise, dan membuat petunjuk peningkatan versi untuk versi sebelumnya. GKE Enterprise mendukung hanya upgrade berurutan (1.2 → 1.3 → 1.4 saja dan bukan 1.2 → 1.4).

• Memberikan integrasi Google Cloud untuk Kemampuan Observasi Google Cloud dan Connect.

• Pemecahan masalah, memberikan solusi, dan memperbaiki akar masalah dari masalah terkait komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan platform Kubernetes modern yang memenuhi spesifikasi Google. Tujuan meliputi, tetapi tidak terbatas pada: hardware, OS, server Kubernetes API, konfigurasi VPC, dan atribut lainnya.

• Mengelola workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan mengizinkan RBAC/IAM, dan container pod yang sedang dijalankan.

• Mengoperasikan, memelihara, dan membuat patch infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Operasikan, pemeliharaan, dan patch infrastruktur apa pun yang diperlukan untuk menjalankan cluster.

• Mempertahankan kontrak dukungan dengan pihak ketiga. Misalnya: jaringan, orkestrasi kontainer, sumber daya komputasi, dan vendor penyimpanan.

• Mengupgrade Kubernetes ke versi yang didukung di secara teratur.

• Pantau cluster dan aplikasi serta tanggapi setiap insiden.

• Pastikan cluster Anda tetap terhubung ke layanan Google.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.

Langkah selanjutnya

• Pelajari cara Google menangani Patching keamanan untuk GKE Enterprise.

• Mengonfigurasi Logging dan Monitoring untuk:

  • Google Distributed Cloud di VMware
  • Google Distributed Cloud on bare metal
  • GKE di AWS
  • Cluster terpasang GKE