サポートコンソール開発者トライアルの開始お問い合わせ

2.2. 責任分担マトリクス

OpenShift Dedicated マネージドサービスにおける Red Hat、クラウドプロバイダー、およびお客様の責任に関する理解。

2.2.1. OpenShift Dedicated における責任の概要

Red Hat は OpenShift Dedicated サービスを管理しますが、お客様は特定の側面に関して責任を負います。OpenShift Dedicated サービスは、リモートでアクセスされ、パブリッククラウドリソースでホストされ、Red Hat またはお客様が所有するクラウドサービスプロバイダーアカウントで作成され、Red Hat が所有する基礎となるプラットフォームおよびデータセキュリティーがあります。

重要

cluster-admin ロールがクラスターで有効にされている場合は、Red Hat Enterprise Agreement Appendix 4 (Online Subscription Services) の責任および除外事項について参照してください。

リソースインシデントおよびオペレーション管理変更管理アクセスとアイデンティティーの承認セキュリティーおよび規制コンプライアンス障害復旧

お客様データ

お客様

お客様

お客様

お客様

お客様

お客様のアプリケーション

お客様

お客様

お客様

お客様

お客様

開発者サービス

お客様

お客様

お客様

お客様

お客様

プラットフォームモニタリング

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

ロギング

Red Hat

共有

共有

共有

Red Hat

アプリケーションのネットワーク

共有

共有

共有

Red Hat

Red Hat

クラスターネットワーク

Red Hat

共有

共有

Red Hat

Red Hat

仮想ネットワーク

共有

共有

共有

共有

共有

コントロールプレーンおよびインフラストラクチャーノード

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

ワーカーノード

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

クラスターのバージョン

Red Hat

共有

Red Hat

Red Hat

Red Hat

容量の管理

Red Hat

共有

Red Hat

Red Hat

Red Hat

仮想ストレージ

Red Hat およびクラウドプロバイダー

Red Hat およびクラウドプロバイダー

Red Hat およびクラウドプロバイダー

Red Hat およびクラウドプロバイダー

Red Hat およびクラウドプロバイダー

物理インフラストラクチャーおよびセキュリティー

クラウドプロバイダー

クラウドプロバイダー

クラウドプロバイダー

クラウドプロバイダー

クラウドプロバイダー

2.2.2. 共有される責任のマトリクス

お客様と Red Hat は、OpenShift Dedicated クラスターの監視と保守の責任を共有します。このドキュメントでは、領域とタスク別の責任の区分を説明します。

2.2.2.1. インシデントおよびオペレーション管理

お客様は、お客様のアプリケーションデータ、およびお客様がクラスターネットワークまたは仮想ネットワークに設定したカスタムネットワークに関するインシデントおよび操作の管理を行います。

リソースRed Hat の責任お客様の責任

アプリケーションのネットワーク

クラウドロードバランサーおよびネイティブ OpenShift ルーターサービスを監視し、アラートに応答します。

  • サービスロードバランサーエンドポイントの健全性を監視します。
  • アプリケーションルート、およびその背後のエンドポイントの正常性を監視します。
  • Red Hat に停電を報告します。

仮想ネットワーク

  • クラウドロードバランサー、サブネット、およびデフォルトのプラットフォームネットワークに必要なパブリッククラウドコンポーネントを監視し、アラートに応答します。
  • Google Cloud Platform (GCP) の Red Hat Management プロジェクトと Private Service Connect (PSC) アタッチメントを監視します。[1]

潜在的な問題やセキュリティーの脅威について、VPC から VPC 接続、VPN 接続、または直接接続を介して任意で設定されているネットワークトラフィックを監視します。

  1. PSC を使用する Google Cloud Platform (GCP) クラスター上の OpenShift Dedicated にのみ適用されます。

2.2.2.2. 変更管理

Red Hat は、お客様が制御するクラスターインフラストラクチャーおよびサービスへの変更を有効にし、コントロールプレーンノード、インフラストラクチャーノードおよびサービス、ならびにワーカーノードのバージョンを維持します。お客様は、インフラストラクチャーの変更要求を開始し、クラスターでの任意のサービスおよびネットワーク設定のインストールおよび維持、ならびにお客様データおよびお客様のアプリケーションに対するすべての変更を行います。

リソースRed Hat の責任お客様の責任

ロギング

  • プラットフォーム監査ログを一元的に集計し、監視します。
  • ロギング Operator を提供して維持し、お客様がデフォルトのアプリケーションロギングのロギングスタックをデプロイできるようにします。
  • 顧客の要求時に監査ログを指定します。
  • オプションのデフォルトのアプリケーションロギング Operator をクラスターにインストールします。
  • サイドカーコンテナーのロギングやサードパーティーのロギングアプリケーションなど、任意のアプリロギングソリューションをインストール、設定、および保守します。
  • ロギングスタックまたはクラスターの安定性に影響がある場合に、お客様のアプリケーションによって生成されるアプリケーションログのサイズおよび頻度を調整します。
  • 特定のインシデントを調査するためにサポートケースを使用してプラットフォーム監査ログを要求します。

アプリケーションのネットワーク

  • パブリッククラウドロードバランサーを設定します。プライベートロードバランサーを設定し、必要に応じて追加のロードバランサーを 1 つまで設定する機能を提供します。
  • ネイティブ OpenShift ルーターサービスを設定します。ルーターをプライベートとして設定し、1 つのルーターシャードを追加する機能を提供します。
  • デフォルトの内部 Pod トラフィック用の OVN-Kubernetes コンポーネントをインストール、設定、および保守します。
  • お客様が NetworkPolicy および EgressNetworkPolicy (ファイアウォール) オブジェクトを管理できる機能を提供します。
  • NetworkPolicy オブジェクトを使用して、プロジェクトおよび Pod ネットワーク、Pod ingress、および Pod egress のデフォルト以外の Pod ネットワークのパーミッションを設定します。
  • Red Hat OpenShift Cluster Manager を使用して、デフォルトのアプリケーションルートのプライベートロードバランサーを要求します。
  • OpenShift Cluster Manager を使用して、追加の 1 つのパブリックまたはプライベートルーターシャードおよび対応するロードバランサーを設定します。
  • 特定サービスの追加のサービスロードバランサーを要求し、設定します。
  • 必要な DNS 転送ルールを設定します。

クラスターネットワーク

  • パブリックまたはプライベートサービスのエンドポイントや仮想ネットワークコンポーネントとの必要な統合などのクラスター管理コンポーネントを設定します。
  • ワーカー、インフラストラクチャー、およびコントロールプレーンノード間の内部クラスター通信に必要な内部ネットワークコンポーネントを設定します。
  • クラスターのプロビジョニング時に OpenShift Cluster Manager で必要な場合は、マシン CIDR、サービス CIDR、および Pod CIDR の任意のデフォルト以外の IP アドレス範囲を指定します。
  • クラスターの作成時または OpenShift Cluster Manager でクラスターの作成後に、API サービスエンドポイントをパブリックまたはプライベートにするように要求します。

仮想ネットワーク

  • クラスターのプロビジョニングに必要な仮想ネットワークコンポーネント (仮想プライベートクラウド、サブネット、ロードバランサー、インターネットゲートウェイ、NAT ゲートウェイなど) をセットアップし、設定します。
  • お客様が OpenShift Cluster Manager で必要に応じて、オンプレミスリソース、VPC 間の接続、および直接接続を管理できる機能を提供します。
  • PSC アタッチメントをセットアップおよび設定します。[1]
  • サービスロードバランサーと共に使用できるように、お客様がパブリッククラウドロードバランサーを作成およびデプロイできるようにします。
  • VPC 間の接続、VPN 接続、直接接続などの任意のパブリッククラウドネットワークコンポーネントを設定し、維持します。
  • 特定サービスの追加のサービスロードバランサーを要求し、設定します。
  • PSC サブネットを作成します。[1]

クラスターのバージョン

  • アップグレードのスケジューリングプロセスを有効にします。
  • アップグレードの進捗を監視し、発生した問題をすべて修正します。
  • マイナーおよびメンテナンスアップグレードのための変更ログおよびリリースノートを公開します。
  • メンテナンスバージョンのアップグレードを即時、後日、または自動で行うようにスケジュールします。
  • マイナーバージョンのアップグレードを確認し、スケジュールします。
  • クラスターのバージョンがサポート範囲のマイナーバージョンであることを確認します。
  • 互換性を確保するために、マイナーバージョンおよびメンテナンスバージョンでお客様のアプリケーションをテストします。

容量の管理

  • コントロールプレーン (コントロールプレーンノードとインフラストラクチャーノード) の使用率を監視します。
  • QoS (Quality of Service) を維持するために、コントロールプレーンノードのスケーリングまたはサイズ変更を行います。
  • ネットワーク、ストレージ、コンピュート容量など、カスタマーリソースの使用状況を監視します。自動スケーリング機能が有効になっていない場合は、クラスターリソースに必要な変更についてお客様に警告します (例: スケーリングする新規コンピュートノード、追加のストレージなど)。
  • 提供される OpenShift Cluster Manager コントロールを使用して、必要に応じて追加のワーカーノードを追加または削除します。
  • クラスターリソース要件に関する Red Hat の通知に対応します。
  1. PSC を使用する Google Cloud Platform (GCP) クラスター上の OpenShift Dedicated にのみ適用されます。

2.2.2.3. アクセスとアイデンティティーの承認

アクセスとアイデンティティーの承認マトリックスには、クラスター、アプリケーション、およびインフラストラクチャーリソースへの承認済みアクセスを管理する責任が含まれます。これには、アクセス制御メカニズム、認証、および認可を提供し、リソースへのアクセスを管理するタスクが含まれます。

リソースRed Hat の責任お客様の責任

ロギング

  • プラットフォーム監査ログについて、業界標準に基づく段階的な内部アクセスプロセスを順守します。
  • ネイティブな OpenShift RBAC 機能を提供します。
  • プロジェクトへのアクセス、およびプロジェクトのアプリケーションログへのアクセスを制御するように OpenShift RBAC を設定します。
  • サードパーティーまたはカスタムのアプリケーションロギングソリューションは、お客様がアクセス管理を行います。

アプリケーションのネットワーク

ネイティブ OpenShift RBAC および dedicated-admin 機能を提供します。

  • OpenShift dedicated-admins および RBAC を、必要に応じてルート設定へのアクセスを制御するように設定します。
  • Red Hat 組織が OpenShift Cluster Manager へのアクセス権限を付与する組織管理者を管理します。OpenShift Cluster Manager は、ルーターオプションを設定し、サービスロードバランサークォータを提供するために使用されます。

クラスターネットワーク

  • OpenShift Cluster Manager を使用してお客様のアクセス制御を提供します。
  • ネイティブ OpenShift RBAC および dedicated-admin 機能を提供します。
  • Red Hat アカウントの Red Hat 組織のメンバーシップを管理します。
  • Red Hat 組織が OpenShift Cluster Manager へのアクセス権限を付与する組織管理者を管理します。
  • OpenShift dedicated-admins および RBAC を、必要に応じてルート設定へのアクセスを制御するように設定します。

仮想ネットワーク

OpenShift Cluster Manager を使用してお客様のアクセス制御を提供します。

OpenShift Cluster Manager を使用してパブリッククラウドコンポーネントへの任意のユーザーアクセスを管理します。

2.2.2.4. セキュリティーおよび規制コンプライアンス

以下は、コンプライアンスに関連する責任および管理について示しています。

リソースRed Hat の責任お客様の責任

ロギング

セキュリティーイベントについて分析するために、クラスターの監査ログを Red Hat SIEM に送信します。フォレンジック分析をサポートするために、定義された期間の監査ログを保持します。

セキュリティーイベントのアプリケーションログを分析します。デフォルトのロギングスタックで指定されるよりも長い保持期間が必要な場合に、ロギングサイドカーコンテナーまたはサードパーティーのロギングアプリケーション経由でアプリケーションログを外部エンドポイントに送信します。

仮想ネットワーク

  • 潜在的な問題やセキュリティーの脅威について、仮想ネットワークのコンポーネントを監視します。
  • 追加のパブリッククラウドプロバイダーツールを活用して、追加の監視および保護を行います。
  • 潜在的な問題やセキュリティーの脅威について、任意で設定された仮想ネットワークのコンポーネントを監視します。
  • 必要に応じて、必要なファイアウォールルールまたはデータセンターの保護を設定します。

2.2.2.5. 障害復旧

障害復旧には、データおよび設定のバックアップ、障害復旧環境へのデータおよび設定の複製、および障害イベント発生時のフェイルオーバーが含まれます。

リソースRed Hat の責任お客様の責任

仮想ネットワーク

プラットフォームが機能するために必要な、影響を受けた仮想ネットワークコンポーネントを復元するか、再作成します。

  • パブリッククラウドプロバイダーが推奨されるように、障害に対する保護のために、可能な場合は複数のトンネルで仮想ネットワーク接続を設定します。
  • 複数のクラスターでグローバルロードバランサーを使用する場合は、フェイルオーバー DNS および負荷分散を維持します。

2.2.3. データおよびアプリケーションに関するお客様の責任

お客様は、OpenShift Dedicated にデプロイするアプリケーション、ワークロード、およびデータに責任を負います。ただし、Red Hat は、お客様がプラットフォームでデータおよびアプリケーションを管理するのに役立つ各種ツールを提供します。

リソースRed Hat の責任お客様の責任

お客様データ

  • データ暗号化のプラットフォームレベルの標準を維持します。
  • シークレットなどのアプリケーションデータの管理に役立つ OpenShift コンポーネントを提供します。
  • サードパーティーのデータサービス (AWS RDS や Google Cloud SQL など) との統合を有効にして、クラスターやクラウドプロバイダー外にあるデータを保存し、管理します。

プラットフォームに保存されるすべてのお客様データと、お客様のアプリケーションがこのデータを使用し、公開する方法に関する責任を持ちます。

お客様のアプリケーション

  • お客様が OpenShift および Kubernetes API にアクセスし、コンテナー化されたアプリケーションをデプロイし、管理できるように、OpenShift コンポーネントと共にクラスターをプロビジョニングします。
  • イメージプルシークレットでクラスターを作成し、お客様のデプロイメントで Red Hat Container Catalog レジストリーからイメージをプルできるようにします。
  • お客様が Operator を設定してコミュニティー、サードパーティー、および Red Hat サービスをクラスターに追加するために使用できる OpenShift API へのアクセスを提供します。
  • ストレージクラスとプラグインを提供し、お客様のアプリケーションで使用できるように永続ボリュームをサポートします。
  • お客様がクラスター上にアプリケーションコンテナーイメージを安全に保存し、アプリケーションをデプロイおよび管理できるようにコンテナーイメージレジストリーを提供します。
  • お客様およびサードパーティーのアプリケーション、データ、およびそれらの完全なライフサイクルに関する責任を持ちます。
  • Operators または外部イメージを使用して Red Hat、コミュニティー、サードパーティー、独自のサービス、またはその他のサービスをクラスターに追加する場合、お客様はこれらのサービスに対して責任を負い、適切なプロバイダー (Red Hat を含む) と協力して問題をトラブルシューティングすることになります。
  • 提供されるツールおよび機能を使用して設定およびデプロイし、最新の状態に維持し、リソース要求および制限を設定し、アプリケーションを実行するのに十分なリソースを持つようにクラスターのサイズを設定し、パーミッションを設定し、他のサービスと統合し、お客様がデプロイするイメージストリームまたはテンプレートを管理し、外部に提供し、保存し、バックアップし、データを復元し、データを保存、バックアップし、復元し、さらに可用性と回復性の高いワークロードを管理します。
  • メトリクスを収集し、アラートを作成するためにソフトウェアをインストールし、操作することを含め、OpenShift Dedicated で実行されるアプリケーションのモニタリングに関する責任を持ちます。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.