Azure Red Hat OpenShift の責任の概要
[アーティクル] 04/17/2024
4 人の共同作成者
フィードバック
この記事の内容
このドキュメントでは、Azure Red Hat OpenShift クラスターに関する Microsoft、Red Hat、お客様の責任について説明します。 Azure Red Hat OpenShift とそのコンポーネントの詳細については、「Azure Red Hat OpenShift サービス定義 」を参照してください。
Microsoft と Red Hat は Azure Red Hat OpenShift サービスを管理していますが、お客様はクラスターの機能について責任を共有します。 Azure Red Hat OpenShift クラスターは、お客様の Azure サブスクリプションの Azure リソースでホストされ、リモートでアクセスされます。 基になるプラットフォームとデータ セキュリティは、Microsoft と Red Hat が所有しています。
概要
リソース
インシデント管理と運用管理 変更の管理 ID とアクセスの管理 セキュリティと規制への準拠
顧客データ
Customer
Customer
Customer
Customer
お客様のアプリケーション
Customer
Customer
Customer
Customer
開発者サービス
Customer
Customer
Customer
Customer
プラットフォームの監視
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
ログ記録
Microsoft と Red Hat
共有
共有
共有
アプリケーション ネットワーク
共有
共有
共有
Microsoft と Red Hat
クラスター ネットワーク
Microsoft と Red Hat
共有
共有
Microsoft と Red Hat
仮想ネットワーク
共有
共有
共有
共有
コントロール プレーン ノード
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
ワーカー ノード
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
クラスターのバージョン
Microsoft と Red Hat
共有
Microsoft と Red Hat
Microsoft と Red Hat
容量管理
Microsoft と Red Hat
共有
Microsoft と Red Hat
Microsoft と Red Hat
仮想ストレージ
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
物理インフラストラクチャとセキュリティ
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
Microsoft と Red Hat
表 1 リソース別の責任
分野別の共同責任に関するタスク
インシデント管理と運用管理
お客様と Microsoft と Red Hat は、Azure Red Hat OpenShift クラスターの監視とメンテナンスについて責任を共有します。 お客様は、お客様のアプリケーション データ およびお客様が構成したカスタム ネットワークのインシデント管理と運用管理について責任を持ちます。
リソース
Microsoft と Red Hat の責任
お客様の責任
アプリケーション ネットワーク
クラウド ロード バランサーとネイティブ OpenShift ルーター サービスを監視し、アラートに応答する。
サービス ロード バランサー エンドポイントの正常性を監視する。
アプリケーション ルートと、それらの背後にあるエンドポイントの正常性を監視する。
Microsoft と Red Hat に障害を報告する。
仮想ネットワーク
既定のプラットフォーム ネットワークに必要なクラウド ロード バランサー、サブネット、Azure クラウド コンポーネントを監視し、アラートに応答する。
VNet 間接続、VPN 接続、またはプライベート リンク接続を使用して任意で構成したネットワークのトラフィックに潜在的な問題やセキュリティ上の脅威がないか監視する。
表 2 インシデント管理と運用管理に関する共同責任
変更管理
Microsoft と Red Hat は、お客様が制御するクラスターのインフラストラクチャとサービスを変更可能にすること、およびマスター ノード、インフラストラクチャ サービス、ワーカー ノード用に使用できるバージョンを維持することについて責任を持ちます。 お客様は、インフラストラクチャの変更を開始すること、オプションのサービスとネットワーク構成をクラスターにインストールして保守すること、およびお客様のデータとお客様のアプリケーションに対するすべての変更について責任を持ちます。
リソース
Microsoft と Red Hat の責任
お客様の責任
ログ記録
プラットフォーム監査ログを一元的に集約して監視する。
Azure Monitor for containers を通じて Log Analytics を使用し、アプリケーションのロギングを有効にするためのドキュメントをお客様に提供する。
お客様の要求に応じて監査ログを提供する。
オプションの既定のアプリケーション ロギング オペレーターをクラスターにインストールする。
ロギング サイドカー コンテナーやサードパーティ製のロギング アプリケーションなど、オプションのアプリ ロギング ソリューションをインストール、構成、保守する。
お客様のアプリケーションによって生成されるアプリケーション ログがクラスターの安定性に影響する場合、そのサイズと頻度を調整する。
特定のインシデントを調査するためのサポート ケースを通じて、プラットフォーム監査ログを要求する。
アプリケーション ネットワーク
パブリック クラウドのロード バランサーを設定する。 ネイティブ OpenShift ルーター サービスを設定する。 ルーターをプライベートとして設定する機能、および最大 1 つのルーター シャードを追加する機能を提供する。
既定の内部ポッドのトラフィック用に OpenShift SDN コンポーネントをインストール、構成、保守する。
NetworkPolicy オブジェクトを使用して、プロジェクトとポッド ネットワーク、ポッド受信、ポッド送信に関する既定以外のポッド ネットワーク アクセス許可を構成する。
特定のサービス用に追加のサービス ロード バランサーを要求して構成する。
クラスター ネットワーク
パブリック サービス エンドポイントやプライベート サービス エンドポイントなどのクラスター管理コンポーネント、および仮想ネットワーク コンポーネントとの必要な統合を設定する。
ワーカー ノードとマスター ノードの間の内部クラスター通信に必要な内部ネットワーク コンポーネントを設定する。
クラスターがプロビジョニングされたとき、OpenShift クラスター マネージャーを使用して、必要に応じてマシン CIDR、サービス CIDR、ポッド CIDR の既定以外の IP アドレス範囲を指定する。
Azure CLI を使用してクラスターを作成するとき、またはクラスターを作成した後、API サービス エンドポイントがパブリックまたはプライベートになるように要求する。
仮想ネットワーク
仮想プライベート クラウド、サブネット、ロード バランサー、インターネット ゲートウェイ、NAT ゲートウェイなど、クラスターをプロビジョニングするために必要な仮想ネットワーク コンポーネントを設定および構成する。
お客様が OpenShift クラスター マネージャーを使用して、必要に応じて、オンプレミス リソースを使用した VPN 接続、VNet 間接続、プライベート リンク接続を管理できるようにする。
お客様が、サービス ロード バランサーで使用するパブリック クラウド ロード バランサーを作成してデプロイできるようにする。
VNet 間接続、VPN 接続、プライベート リンク接続など、オプションのパブリック クラウド ネットワーク コンポーネントを設定および保守する。
特定のサービス用に追加のサービス ロード バランサーを要求して構成する。
クラスターのバージョン
マイナー バージョンとメンテナンス バージョンのアップグレードのスケジュールと状態を伝達する。 マイナー アップグレードとメンテナンス アップグレードに関する変更ログとリリース ノートを発行する。
クラスターのアップグレードを開始する。 マイナー バージョンとメンテナンス バージョンでお客様のアプリケーションをテストして互換性を確認する。
容量管理
ネットワーク、ストレージ、コンピューティング容量を含むコントロール プレーン (マスター ノード) リソースの使用率を監視する サービス品質を維持するためにコントロール プレーン ノードのスケーリングやサイズ変更を行う。
必要に応じて、ワーカー ノードを追加または削除します。
クラスター リソースの要件に関する Microsoft と Red Hat の通知に応答する。
表 3. 変更管理に関する共同責任
ID およびアクセス管理
ID 管理とアクセス管理には、適切なユーザーのみがクラスター、アプリケーション、インフラストラクチャ リソースにアクセスできるようにするためのすべての責任が含まれます。 これには、アクセス制御メカニズムの提供、認証、承認、リソースへのアクセスの管理などのタスクが含まれます。
リソース
Microsoft と Red Hat の責任
お客様の責任
ログ記録
プラットフォーム監査ログについて、業界標準に基づく階層化内部アクセス プロセスに準拠する。
ネイティブの OpenShift RBAC 機能を提供する。
プロジェクトへのアクセスおよび拡張機能によるプロジェクトのアプリケーション ログへのアクセスを制御するために、OpenShift RBAC を構成する。
サードパーティまたはカスタムのアプリケーション ロギング ソリューションについては、お客様がアクセス管理の責任を持つ。
アプリケーション ネットワーク
ネイティブの OpenShift RBAC 機能を提供する。
必要に応じて、ルート構成へのアクセスを制御するために OpenShift RBAC を構成する。
クラスター ネットワーク
ネイティブの OpenShift RBAC 機能を提供する。
Red Hat アカウントの Red Hat 組織メンバーシップを管理する。
OpenShift クラスター マネージャーにアクセス権を付与するために、Red Hat 組織の組織管理者を管理する。
必要に応じて、ルート構成へのアクセスを制御するために OpenShift RBAC を構成する。
仮想ネットワーク
OpenShift クラスター マネージャーを通じて、お客様にアクセス制御を提供する。
OpenShift クラスター マネージャーを通じて、パブリック クラウド コンポーネントへのオプションのユーザー アクセスを管理する。
表 4. ID 管理とアクセス管理に関する共同責任
セキュリティとコンプライアンス
セキュリティとコンプライアンスには、関連する法律、ポリシー、規制への準拠を確実に行うための責任と管理が含まれます。
リソース
Microsoft と Red Hat の責任
お客様の責任
ログ記録
セキュリティ イベントの分析のために、Microsoft および Red Hat SIEM にクラスター監査ログを送信する。 フォレンジック分析をサポートするために、監査ログを定義された期間保持する。
セキュリティ イベントについてアプリケーション ログを分析する。 既定のロギング スタックで提供されるよりも長いリテンション期間が必要な場合に、ロギング サイドカー コンテナーまたはサードパーティ製のロギング アプリケーションを使用して、アプリケーション ログを外部エンドポイントに送信する。
仮想ネットワーク
仮想ネットワーク コンポーネントに潜在的な問題とセキュリティ上の脅威がないか監視する。
追加の監視と保護のために、Microsoft と Red Hat Azure の追加パブリック ツールを使用する。
任意で構成した仮想ネットワーク コンポーネントに潜在的な問題とセキュリティ上の脅威がないか監視する。
必要に応じて、必要なファイアウォール規則やデータセンターの保護を構成する。
表 5. セキュリティと規制への準拠に関する共同責任
Azure Red Hat OpenShift を使用する場合のお客様の責任
お客様のデータとアプリケーション
お客様は、ご自分で Azure Red Hat OpenShift にデプロイしたアプリケーション、ワークロード、データについて責任を持ちます。 ただし、Microsoft と Red Hat は、お客様がプラットフォーム上のデータとアプリケーションを管理するのに役立つさまざまなツールを提供しています。
リソース
Microsoft と Red Hat による支援の方法
お客様の責任
顧客データ
業界のセキュリティとコンプライアンスの標準による定義に従って、データ暗号化のプラットフォーム レベルでの標準を維持する。
シークレットなどのアプリケーション データの管理を支援する OpenShift コンポーネントを提供する。
クラスターの外部や、Microsoft および Red Hat Azure の外部にデータを保存して管理するために、サードパーティのデータ サービス (Azure SQL など) と統合できるようにする。
プラットフォームに保存されているお客様のすべてのデータと、お客様のアプリケーションがそのデータを使用および公開する方法について責任を持つ。
etcd 暗号化
お客様のアプリケーション
OpenShift コンポーネントがインストールされたクラスターをプロビジョニングする。これにより、お客様は、OpenShift と Kubernetes の API にアクセスして、コンテナー化されたアプリケーションをデプロイおよび管理できます。
OpenShift API へのアクセスを提供する。お客様は、これを使用して、コミュニティ、サードパーティ、Microsoft と Red Hat、Red Hat のサービスをクラスターに追加するためのオペレーターを設定できます。
お客様のアプリケーションで使用する永続ボリュームをサポートするために、ストレージ クラスとプラグインを提供する。
表 6. お客様のデータ、お客様のアプリケーション、サービスに関するお客様の責任