Tanggung jawab bersama GKE Enterprise

Menjalankan aplikasi yang penting bagi bisnis di GKE Enterprise memerlukan beberapa pihak untuk mengemban tanggung jawab yang berbeda-beda. Meskipun bukan daftar lengkap, topik ini mencantumkan peran dan tanggung jawab untuk setiap opsi cluster GKE Enterprise bagi Google dan pelanggan.

Halaman ini ditujukan untuk Admin, Arsitek, dan Operator yang mengelola siklus proses infrastruktur teknologi yang mendasarinya. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise umum.

GKE di Google Cloud

Tanggung jawab Google

• Melindungi infrastruktur dasar, termasuk hardware, firmware, kernel, OS, penyimpanan, jaringan, dan lainnya. Hal ini mencakup mengenkripsi data dalam penyimpanan secara default, memberikan enkripsi disk tambahan yang dikelola pelanggan, mengenkripsi data dalam pengiriman, menggunakan hardware yang dirancang khusus, meletakkan kabel jaringan pribadi, melindungi pusat data dari mengakses, melindungi bootloader dan kernel dari modifikasi menggunakan Shielded Node, dan mengikuti praktik pengembangan software yang aman.
• Hardening dan patching sistem operasi node, seperti Container-Optimized OS atau Ubuntu. GKE segera membuat patch apa pun ke image ini. Jika Anda mengaktifkan upgrade otomatis, atau menggunakan saluran rilis, update ini akan otomatis di-deploy. Ini adalah lapisan OS di bawah container Anda. Ini tidak sama dengan sistem operasi yang berjalan di container Anda.
• Membangun dan mengoperasikan deteksi ancaman untuk ancaman khusus container ke dalam kernel dengan Deteksi Ancaman Container (harga terpisah dengan Security Command Center).
• Hardening dan patching komponen node Kubernetes. Semua komponen yang dikelola GKE akan diupgrade secara otomatis saat Anda mengupgrade versi node GKE. Hal ini mencakup:
  • Mekanisme bootstrap tepercaya yang didukung vTPM untuk menerbitkan sertifikat TLS kubelet dan rotasi otomatis sertifikat
  • Konfigurasi kubelet yang telah melalui proses hardening mengikuti benchmark CIS
  • Server metadata GKE untuk Workload identity
  • Plugin Container Network Interface dan Calico untuk NetworkPolicy native GKE
  • Integrasi penyimpanan Kubernetes GKE seperti driver CSI
  • Agen logging dan pemantauan GKE
• Hardening dan patching bidang kontrol. Bidang kontrol mencakup VM bidang kontrol, server API, penjadwal, pengelola pengontrol, CA cluster, penerbitan dan rotasi sertifikat TLS, materi kunci root-of-trust, autentikasi dan otorisasi IAM, konfigurasi logging audit, etcd, dan berbagai pengontrol lainnya. Semua komponen bidang kontrol Anda berjalan pada instance Compute Engine yang dioperasikan Google. Instance ini adalah tenant tunggal, yang berarti setiap instance menjalankan bidang kontrol dan komponennya hanya untuk satu pelanggan.
• Menyediakan integrasi Google Cloud untuk Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center, dan lainnya.
• Batasi dan catat akses administratif Google ke cluster pelanggan untuk tujuan dukungan kontrak dengan Transparansi Akses.

Tanggung jawab pelanggan

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.
• Merotasi kredensial cluster.
• Mendaftarkan cluster dalam upgrade otomatis (default) atau upgrade cluster ke versi yang didukung.
• Memantau cluster dan aplikasi serta merespons pemberitahuan dan insiden apa pun menggunakan teknologi seperti dasbor postur keamanan dan Google Cloud Observability.
• Memberikan detail lingkungan kepada Google saat diminta untuk tujuan pemecahan masalah.
• Pastikan Logging dan Monitoring diaktifkan di cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

Google Distributed Cloud (khusus software) di VMware

Tanggung jawab Google

• Mengelola dan mendistribusikan paket software Google Distributed Cloud, termasuk Kubernetes, pengontrol vCenter dan F5, pengontrol Ingress, agen Connect, Logging, dan Monitoring, serta alat command line gkectl.

• Mengelola dan mendistribusikan workstation admin Ubuntu dan image mesin node termasuk patch rutin dan perbaikan keamanan.

• Terus-menerus memindai komponen dengan Artifact Analysis API dan menerapkan patch pada kerentanan yang diketahui.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk Google Distributed Cloud, dan membuat skrip upgrade untuk versi sebelumnya; Google Distributed Cloud di VMware hanya mendukung upgrade berurutan (khusus 1.2 → 1.3 → 1.4 dan bukan 1.2 → 1.4).

• Menyediakan integrasi Google Cloud untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi, dan memperbaiki akar masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Administrasi sistem secara keseluruhan untuk cluster lokal.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan, memelihara, dan menerapkan patch pada infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Mengoperasikan, memelihara, dan menerapkan patch pada vSphere dan load balancer jaringan.

• Mengelola kontrak dukungan dengan VMware dan F5 (jika di-deploy).

• Upgrade Google Distributed Cloud ke versi yang didukung secara rutin.

• Men-deploy dan menguji workload Anda pada image mesin node yang telah diupdate. Deploy dan uji image workstation admin yang telah diupdate di lingkungan Anda. Sampaikan kekhawatiran Anda kepada Google melalui Cloud Customer Care.

• Memantau cluster dan aplikasi serta merespons insiden apa pun.

• Pastikan agen Logging dan Monitoring di-deploy ke cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.

Google Distributed Cloud (khusus software) di bare metal

Tanggung jawab Google

• Mengelola dan mendistribusikan paket software Google Distributed Cloud, termasuk Kubernetes, pengontrol Ingress, Connect, dan agen Logging dan Monitoring, serta alat command line bmctl.

• Terus-menerus memindai komponen dengan Artifact Analysis API dan menerapkan patch pada kerentanan yang diketahui.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk Google Distributed Cloud, dan membuat petunjuk upgrade untuk versi sebelumnya; Google Distributed Cloud di bare metal mendukung upgrade berurutan antara versi minor dan rilis patch (hanya 1.2 → 1.3 → 1.4, bukan 1.2 → 1.4).

• Menyediakan integrasi Google Cloud untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi, dan memperbaiki akar masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Memberikan administrasi sistem secara keseluruhan untuk cluster.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan, memelihara, dan menerapkan patch pada infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Mengelola kontrak dukungan dengan vendor.

• Upgrade Google Distributed Cloud ke versi yang didukung secara rutin.

• Men-deploy dan menguji workload Anda pada image mesin node yang telah diupdate. Deploy dan uji image workstation Admin yang telah diupdate di lingkungan Anda. Sampaikan kekhawatiran Anda kepada Google melalui Cloud Customer Care.

• Memantau cluster dan aplikasi serta merespons insiden apa pun.

• Pastikan agen Logging dan Monitoring di-deploy ke cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.

GKE di AWS (multi-cloud)

Tanggung jawab Google

• Mengelola dan mendistribusikan paket software GKE di AWS, termasuk Kubernetes, image dasar, fitur integrasi AWS, pengontrol Ingress, agen Connect, dan alat command line anthos-gke.

• Terus-menerus memindai komponen dengan Artifact Analysis API dan menerapkan patch pada kerentanan yang diketahui.

• Mengelola dan mendistribusikan layanan pengelolaan, panel kontrol, dan image mesin kumpulan node, termasuk patch rutin dan perbaikan keamanan.

• Beri tahu pengguna tentang upgrade yang tersedia untuk GKE di AWS, dan buat petunjuk upgrade untuk versi sebelumnya. GKE on AWS hanya mendukung upgrade berurutan (khusus 1.2 → 1.3 → 1.4 dan bukan 1.2 → 1.4).

• Menyediakan integrasi Google Cloud untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi, dan memperbaiki akar masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Memberikan administrasi sistem secara keseluruhan untuk GKE di cluster AWS. Misalnya, mengonfigurasinya agar berfungsi dalam lingkungan VPC perusahaan.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan dan mengelola lingkungan AWS, termasuk konfigurasi jaringan, dan konektivitas ke Google Cloud.

• Mengelola kontrak dukungan dengan AWS.

• Upgrade GKE on AWS ke versi yang didukung secara rutin.

• Memantau cluster dan aplikasi serta merespons insiden apa pun.

• Pastikan agen Logging dan Monitoring di-deploy ke cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi AWS VPC) saat diminta untuk tujuan pemecahan masalah.

GKE on Azure

Tanggung jawab Google

• Mengelola dan mendistribusikan paket software GKE di Azure, termasuk Kubernetes, image dasar, integrasi Azure, pengontrol Ingress, agen Connect, dan Google Cloud CLI.

• Terus-menerus memindai komponen dengan Artifact Analysis API dan menerapkan patch pada kerentanan yang diketahui.

• Mengelola dan mendistribusikan layanan pengelolaan, panel kontrol, dan image mesin kumpulan node, termasuk patch rutin dan perbaikan keamanan.

• Beri tahu pengguna tentang upgrade yang tersedia untuk GKE di Azure, dan buat petunjuk upgrade untuk versi sebelumnya. GKE di Azure hanya mendukung upgrade berurutan (khusus 1.2 → 1.3 → 1.4 dan bukan 1.2 → 1.4).

• Menyediakan integrasi Google Cloud untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi, dan memperbaiki akar masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Memberikan administrasi sistem secara keseluruhan untuk GKE di cluster Azure. Misalnya, mengonfigurasinya agar berfungsi dalam lingkungan VPC perusahaan.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan dan mengelola lingkungan Azure, termasuk konfigurasi jaringan, dan konektivitas ke Google Cloud.

• Mempertahankan kontrak dukungan dengan Azure.

• Upgrade GKE on Azure ke versi yang didukung secara rutin.

• Memantau cluster dan aplikasi serta merespons insiden apa pun.

• Pastikan agen Logging dan Monitoring di-deploy ke cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi VNet Azure) saat diminta untuk tujuan pemecahan masalah.

Cluster terpasang GKE Enterprise

Tanggung jawab Google

• Berikan daftar distribusi dan versi Kubernetes yang didukung.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk komponen GKE Enterprise, dan membuat petunjuk upgrade untuk versi sebelumnya. GKE Enterprise hanya mendukung upgrade berurutan (khusus 1.2 → 1.3 → 1.4 dan bukan 1.2 → 1.4).

• Menyediakan integrasi Google Cloud untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi, dan memperbaiki akar masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan platform Kubernetes modern yang memenuhi spesifikasi Google. Platform ini mencakup, tetapi tidak terbatas pada: hardware, OS, server Kubernetes API, konfigurasi VPC, dan atribut lainnya.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan, memelihara, dan menerapkan patch pada infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Mengoperasikan, memelihara, dan menerapkan patch pada infrastruktur apa pun yang diperlukan untuk menjalankan cluster.

• Mengelola kontrak dukungan dengan pihak ketiga. Misalnya: jaringan, orkestrasi penampung, resource komputasi, dan vendor penyimpanan.

• Upgrade Kubernetes ke versi yang didukung secara teratur.

• Memantau cluster dan aplikasi serta merespons insiden apa pun.

• Pastikan cluster Anda tetap terhubung ke layanan Google.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi jaringan) saat diminta untuk tujuan pemecahan masalah.

Langkah selanjutnya

• Pelajari cara Google menangani Patching keamanan untuk GKE Enterprise.

• Konfigurasi Logging dan Pemantauan untuk:

  • Google Distributed Cloud di VMware
  • Google Distributed Cloud di bare metal
  • GKE di AWS
  • Cluster terpasang GKE