Responsabilidad compartida de GKE Enterprise

La ejecución de una aplicación de fundamental para la empresa en GKE Enterprise requiere que varias partes tengan diferentes responsabilidades. Si bien no es una lista exhaustiva, en este tema se enumeran los roles y responsabilidades de cada opción de clúster de GKE Enterprise para Google y el cliente.

Esta página está destinada a administradores, arquitectos y operadores que administran el ciclo de vida de la infraestructura tecnológica subyacente. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud, consulta Tareas y roles comunes de los usuarios de GKE Enterprise.

GKE en Google Cloud

Las responsabilidades de Google

• Proteger la infraestructura subyacente, que incluye hardware, firmware, kernel, SO, almacenamiento, red y mucho más Esto incluye los siguientes componentes: encriptar datos en reposo de forma predeterminada, proporcionar encriptación de disco adicional administrada por el cliente, encriptar datos en tránsito, usar hardware de diseño personalizado, cargar cables de red privada, proteger los centros de datos contra el acceso físico, proteger el bootloader y el kernel contra la modificación mediante Nodos protegidos y seguir prácticas de desarrollo seguro de software.
• Endurecer y aplicar parches al sistema operativo de los nodos, como Container-Optimized OS o Ubuntu. GKE pone inmediatamente a disposición cualquier parche para estas imágenes Si tienes habilitada la actualización automática o usas un canal de versiones, estas actualizaciones se implementan de forma automática. Esta es la capa de SO base de tu contenedor; no es lo mismo que el sistema operativo que se ejecuta en tus contenedores.
• Compilar y operar la detección de amenazas para amenazas específicas de contenedores en el kernel con Container Threat Detection (precio por separado con Security Command Center).
• Endurecer y aplicar parches a los componentes del nodo de Kubernetes. Todos los componentes administrados por GKE se actualizan de forma automática cuando actualizas las versiones de nodos de GKE. Incluye lo siguiente:
  • Mecanismo de arranque de confianza respaldado por vTPM para emitir certificados TLS de kubelet y rotación automática de los certificados
  • Configuración de kubelet endurecida con las comparativas de CIS
  • Servidor de metadatos de GKE para Workload Identity
  • El complemento de la interfaz de red de contenedor y Calico para NetworkPolicy nativo de GKE
  • Integraciones del almacenamiento de Kubernetes de GKE, como el controlador CSI
  • Agentes de registro y supervisión de GKE
• Endurecer y aplicar un parche al plano de control. El plano de control incluye la VM del plano de control, el servidor de la API, el programador, el administrador del controlador, la AC del clúster, la emisión y la rotación del certificado TLS, el material de claves de la raíz de confianza, el autenticador y el autorizador de IAM, la configuración del registro de auditoría, etcd y muchos otros controladores. Todos los componentes del plano de control se ejecutan en instancias de Compute Engine operadas por Google. Estas instancias son un usuario único, lo que significa que cada instancia ejecuta el plano de control y sus componentes para un solo cliente.
• Proporciona integraciones de Google Cloud para Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center y otros.
• Restringir y registrar el acceso de administrador de Google a los clústeres del cliente para obtener asistencia contractual con la Transparencia de acceso.

Las responsabilidades del cliente

• Mantener tus cargas de trabajo, incluido el código de la aplicación, los archivos de compilación, las imágenes del contenedor, los datos, el control de acceso basado en roles (RBAC)/la política de IAM, y los contenedores y pods que ejecutas.
• Rota las credenciales del clúster.
• Inscribir los clústeres en la actualización automática (predeterminada) o actualizar los clústeres a versiones compatibles.
• Supervisa el clúster y las aplicaciones, y responde a las alertas y los incidentes con tecnologías como el panel de postura de seguridad y Google Cloud Observability.
• Proporcionar detalles del entorno a Google cuando se solicite para solucionar problemas.
• Asegúrate de que Logging y Monitoring estén habilitados en los clústeres. Sin registros, la asistencia está disponible según el criterio del mejor esfuerzo

Google Distributed Cloud (solo software) en VMware

Las responsabilidades de Google

• Mantener y distribuir el paquete de software de Google Distributed Cloud, incluidos los controladores de Kubernetes, vCenter y F5, el controlador de Ingress, los agentes de Connect, Logging y Monitoring, y la herramienta de línea de comandos de gkectl.

• Mantener y distribuir la estación de trabajo de administración de Ubuntu y las imágenes de máquina de nodo, incluidos los parches y las correcciones de seguridad regulares.

• Analizar de forma continua componentes con la API de Artifact Analysis y aplicar parches de vulnerabilidades conocidas.

• Notificar a los usuarios sobre las actualizaciones disponibles para Google Distributed Cloud y producir secuencias de comandos de actualización para la versión anterior; Google Distributed Cloud en VMware solo admite actualizaciones secuenciales (1.2 → 1.3 → 1.4 y no 1.2 → 1.4)

• Proporcionar integraciones de Google Cloud para Connect y Google Cloud Observability

• Solucionar problemas, proporcionar soluciones alternativas y corregir la causa raíz de cualquier problema relacionado con los componentes que proporciona Google.

Las responsabilidades del cliente

• Administrar de forma general el sistema para clústeres locales

• Mantener tus cargas de trabajo, incluido el código de la aplicación, los archivos de compilación, las imágenes del contenedor, los datos, la política de control de acceso según la función (RBAC)/IAM, y los contenedores y pods que ejecutas.

• Operar, mantener y aplicar un parche a la infraestructura, incluidas las redes, los servidores, el almacenamiento y la conectividad a Google Cloud.

• Operar, mantener y aplicar parches a los balanceadores de cargas de red y de vSphere

• Mantener los contratos de asistencia con VMware y F5 (si se implementan)

• Actualizar Google Distributed Cloud a una versión compatible de forma periódica.

• Implementar y probar tus cargas de trabajo en imágenes de máquina de nodo actualizadas. Implementar y probar las imágenes de la estación de trabajo de administrador actualizadas en tu entorno. Presentar inquietudes a Google mediante Atención al cliente de Cloud.

• Supervisar clústeres y aplicaciones, y responder ante cualquier incidente.

• Asegurarse de que los agentes de Logging y Monitoring se implementen en los clústeres. Sin registros, la asistencia está disponible según el criterio del mejor esfuerzo

• Proporcionar a Google detalles del entorno (por ejemplo, la configuración de red) cuando se solicite para solucionar problemas.

Google Distributed Cloud (solo software) en equipos físicos

Las responsabilidades de Google

• Mantener y distribuir el paquete de software de Google Distributed Cloud, incluidos los agentes de Kubernetes, el controlador de Ingress, los agentes de Connect, Logging y Monitoring, y la herramienta de línea de comandos de bmctl

• Analizar de forma continua componentes con la API de Artifact Analysis y aplicar parches de vulnerabilidades conocidas.

• Notificar a los usuarios sobre las actualizaciones disponibles para Google Distributed Cloud y producir instrucciones de actualización para la versión anterior. Google Distributed Cloud en Bare Metal admite actualizaciones secuenciales entre versiones secundarias y versiones de parches (1.2 → 1.3 → 1.4 solo y no 1.2 → 1.4).

• Proporcionar integraciones de Google Cloud para Connect y Google Cloud Observability

• Solucionar problemas, proporcionar soluciones alternativas y corregir la causa raíz de cualquier problema relacionado con los componentes que proporciona Google.

Las responsabilidades del cliente

• Proporcionar administración general del sistema para los clústeres.

• Mantener tus cargas de trabajo, incluido el código de la aplicación, los archivos de compilación, las imágenes de contenedor, los datos, la política de permisos de RBAC/IAM y los contenedores y Pods que ejecutas.

• Operar, mantener y aplicar un parche a la infraestructura, incluidas las redes, los servidores, el almacenamiento y la conectividad a Google Cloud.

• Mantener los contratos de asistencia con los proveedores.

• Actualizar Google Distributed Cloud a una versión compatible de forma periódica

• Implementar y probar tus cargas de trabajo en imágenes de máquina de nodo actualizadas. Implementar y probar las imágenes de la estación de trabajo de administrador actualizadas en tu entorno. Presentar inquietudes a Google mediante Atención al cliente de Cloud.

• Supervisar clústeres y aplicaciones, y responder ante cualquier incidente.

• Asegurarse de que los agentes de Logging y Monitoring se implementen en los clústeres. Sin registros, la asistencia está disponible según el criterio del mejor esfuerzo

• Proporcionar a Google detalles del entorno (por ejemplo, la configuración de red) cuando se solicite para solucionar problemas.

GKE en AWS (múltiples nubes)

Las responsabilidades de Google

• Mantener y distribuir los clústeres GKE en el paquete de software de AWS, incluidos Kubernetes, imágenes base, las funciones de integración de AWS, el controlador de Ingress, el agente de Connect y la herramienta de línea de comandos de anthos-gke

• Analizar de forma continua componentes con la API de Artifact Analysis y aplicar parches de vulnerabilidades conocidas.

• Mantener y distribuir el servicio de administración, el plano de control y las imágenes de máquina del grupo de nodos, incluidas las aplicaciones de parches y las correcciones de seguridad habituales.

• Notificar a los usuarios sobre las actualizaciones disponibles para GKE en AWS y generar instrucciones de actualización para la versión anterior. Los clústeres de GKE en AWS solo admiten actualizaciones secuenciales (1.2 → 1.3 → 1.4 solo y no entre 1.2 y 1.4)

• Proporcionar integraciones de Google Cloud para Connect y Google Cloud Observability

• Solucionar problemas, proporcionar soluciones alternativas y corregir la causa raíz de cualquier problema relacionado con los componentes que proporciona Google.

Las responsabilidades del cliente

• Proporcionar administración general del sistema para clústeres de GKE en AWS Por ejemplo, configurarlos para que funcionen en el entorno de VPC corporativa

• Mantener tus cargas de trabajo, incluido el código de la aplicación, los archivos de compilación, las imágenes de contenedor, los datos, la política de permisos de RBAC/IAM y los contenedores y Pods que ejecutas.

• Operar y mantener el entorno de AWS, incluida la configuración de red y la conectividad a Google Cloud.

• Mantener los contratos de asistencia con AWS

• Actualizar GKE en AWS a una versión compatible con regularidad

• Supervisar clústeres y aplicaciones, y responder ante cualquier incidente.

• Asegurarse de que los agentes de Logging y Monitoring se implementen en los clústeres. Sin registros, la asistencia está disponible según el criterio del mejor esfuerzo

• Proporcionar a Google los detalles del entorno (por ejemplo, la configuración de VPC de AWS) cuando se solicite para solucionar problemas.

GKE en Azure

Las responsabilidades de Google

• Mantener y distribuir los clústeres de GKE en el paquete de software de Azure, incluidos Kubernetes, las imágenes base, las integraciones de Azure, el controlador de Ingress, el agente de Connect y Google Cloud CLI.

• Analizar de forma continua componentes con la API de Artifact Analysis y aplicar parches de vulnerabilidades conocidas.

• Mantener y distribuir el servicio de administración, el plano de control y las imágenes de máquina del grupo de nodos, incluidas las aplicaciones de parches y las correcciones de seguridad habituales.

• Notificar a los usuarios sobre las actualizaciones disponibles para GKE en Azure y generar instrucciones de actualización para la versión anterior. Los clústeres de GKE en Azure solo admiten actualizaciones secuenciales (1.2 → 1.3 → 1.4 solo y no entre 1.2 y 1.4)

• Proporcionar integraciones de Google Cloud para Connect y Google Cloud Observability

• Solucionar problemas, proporcionar soluciones alternativas y corregir la causa raíz de cualquier problema relacionado con los componentes que proporciona Google.

Las responsabilidades del cliente

• Proporcionar administración general del sistema para clústeres de GKE en Azure. Por ejemplo, configurarlos para que funcionen en el entorno de VPC corporativa

• Mantener tus cargas de trabajo, incluido el código de la aplicación, los archivos de compilación, las imágenes de contenedor, los datos, la política de permisos de RBAC/IAM y los contenedores y Pods que ejecutas.

• Operar y mantener el entorno de Azure, incluida la configuración de red y la conectividad a Google Cloud.

• Mantener contratos de asistencia con Azure.

• Actualizar GKE en Azure a una versión compatible con regularidad

• Supervisar clústeres y aplicaciones, y responder ante cualquier incidente.

• Asegurarse de que los agentes de Logging y Monitoring se implementen en los clústeres. Sin registros, la asistencia está disponible según el criterio del mejor esfuerzo

• Proporcionar a Google detalles del entorno (por ejemplo, la configuración de Azure VNet) cuando se solicite para solucionar problemas.

Clústeres conectados de GKE Enterprise

Las responsabilidades de Google

• Proporcionar una lista de distribuciones y versiones de Kubernetes compatibles

• Notificar a los usuarios sobre las actualizaciones disponibles para los componentes de GKE Enterprise y generar instrucciones de actualización para la versión anterior. GKE Enterprise admite actualizaciones secuenciales (1.2 → 1.3 → 1.4 solo y no entre 1.2 y 1.4)

• Proporcionar integraciones de Google Cloud para Connect y Google Cloud Observability

• Solucionar problemas, brindar soluciones alternativas y corregir la causa raíz de cualquier problema relacionado con los componentes que proporciona Google.

Las responsabilidades del cliente

• Proporcionar una plataforma de Kubernetes moderna que cumpla con las especificaciones de Google. La plataforma incluye, pero no se limita a, hardware, SO, servidor de API de Kubernetes, configuración de VPC y otros atributos.

• Mantener tus cargas de trabajo, incluido el código de la aplicación, los archivos de compilación, las imágenes de contenedor, los datos, la política de permisos de RBAC/IAM y los contenedores y Pods que ejecutas.

• Operar, mantener y aplicar un parche a la infraestructura, incluidas las redes, los servidores, el almacenamiento y la conectividad a Google Cloud.

• Operar, mantener y aplicar parches a las infraestructuras necesarias para ejecutar un clúster.

• Mantener contratos de asistencia con terceros. Por ejemplo: herramientas de redes, organización de contenedores, recursos de procesamiento y proveedores de almacenamiento.

• Actualizar Kubernetes a una versión compatible de forma periódica.

• Supervisar clústeres y aplicaciones, y responder ante cualquier incidente.

• Mantener tus clústeres conectados a los servicios de Google.

• Proporcionar a Google detalles del entorno (por ejemplo, la configuración de red) cuando se solicite para solucionar problemas.

¿Qué sigue?

• Obtén información sobre cómo Google controla la aplicación de parches de seguridad para GKE Enterprise.

• Configura Logging y Monitoring para lo siguiente:

  • Google Distributed Cloud en VMware
  • Google Distributed Cloud en equipos físicos
  • GKE en AWS
  • Clústeres conectados de GKE