Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

6.2. Red Hat OpenShift Service on AWS におけるロールの概要

以下では、Red Hat OpenShift Service on AWS (ROSA) マネージドサービスにおける Red Hat、Amazon Web Services (AWS)、およびお客様のそれぞれの責任を説明します。

6.2.1. Red Hat OpenShift Service on AWS の責任共有
リンクのコピー

Red Hat と Amazon Web Services (AWS) が Red Hat OpenShift Service on AWS のサービスを管理している間、お客様には一定の責任があります。Red Hat OpenShift Service on AWS サービスは、リモートでアクセスされ、パブリッククラウドリソースでホストされ、お客様が所有する AWS アカウントで作成され、Red Hat が所有する基礎となるプラットフォームおよびデータセキュリティーを持ちます。

重要

cluster-admin ロールがユーザーに追加される場合は、Red Hat Enterprise Agreement Appendix 4 (Online Subscription Services) の責任および除外事項を参照してください。

Expand
リソースインシデントおよびオペレーション管理変更管理アクセスとアイデンティティーの承認セキュリティーおよび規制コンプライアンス障害復旧

お客様データ

お客様

お客様

お客様

お客様

お客様

お客様のアプリケーション

お客様

お客様

お客様

お客様

お客様

開発者サービス

お客様

お客様

お客様

お客様

お客様

プラットフォームモニタリング

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

ロギング

Red Hat

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

Red Hat

アプリケーションのネットワーク

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

Red Hat

Red Hat

クラスターネットワーク

Red Hat [1]

Red Hat とお客様 [2]

Red Hat とお客様

Red Hat [1]

Red Hat [1]

仮想ネットワーク管理

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

Red Hat とお客様

仮想コンピューティング管理 (コントロールプレーン、インフラストラクチャー、およびワーカーノード)

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

クラスターのバージョン

Red Hat

Red Hat とお客様

Red Hat

Red Hat

Red Hat

容量の管理

Red Hat

Red Hat とお客様

Red Hat

Red Hat

Red Hat

仮想ストレージ管理

Red Hat

Red Hat

Red Hat

Red Hat

Red Hat

AWS ソフトウェア (パブリック AWS サービス)

AWS

AWS

AWS

AWS

AWS

ハードウェア/AWS グローバルインフラストラクチャー

AWS

AWS

AWS

AWS

AWS

  1. お客様が独自の CNI プラグインを使用することを選択した場合、お客様に責任が移ります。
  2. クラスターをプロビジョニングする前に、お客様はファイアウォールを設定して、必要な OpenShift および AWS ドメインとポートへのアクセスを許可する必要があります。詳細は、「AWS ファイアウォールの前提条件」を参照してください。

6.2.3. クラスター通知の確認とアクション
リンクのコピー

クラスター通知 (サービスログと呼ばれることもあります) は、クラスターのステータス、健全性、またはパフォーマンスに関するメッセージです。

クラスター通知は、Red Hat Site Reliability Engineering (SRE) が管理対象クラスターの健全性をユーザーに通知する際に使用する主な方法です。Red Hat SRE は、クラスター通知を使用して、クラスターの問題を解決または防止するためのアクションを実行するように促すこともあります。

クラスターの所有者と管理者は、クラスターの健全性とサポート対象の状態を維持するために、クラスター通知を定期的に確認して対処する必要があります。

クラスターの通知は、Red Hat Hybrid Cloud Console のクラスターの Cluster history タブで表示できます。デフォルトでは、クラスターの所有者のみがクラスター通知をメールで受信します。他のユーザーがクラスター通知メールを受信する必要がある場合は、各ユーザーをクラスターの通知連絡先として追加します。

6.2.3.1. クラスター通知ポリシー
リンクのコピー

クラスター通知は、クラスターの健全性とクラスターに大きな影響を与えるイベントに関する情報を常に提供できるように設計されています。

ほとんどのクラスター通知は、クラスターの問題や状態の重要な変更をすぐに通知するために、自動的に生成されて送信されます。

状況によっては、Red Hat Site Reliability Engineering (SRE) がクラスター通知を作成して送信し、複雑な問題に関する追加のコンテキストとガイダンスを提供します。

影響の少ないイベント、リスクの低いセキュリティー更新、日常的な運用とメンテナンス、または Red Hat SRE によってすぐに解決される軽微で一時的な問題については、クラスター通知は送信されません。

次の場合、Red Hat サービスが自動的に通知を送信します。

  • リモートヘルスモニタリングまたは環境検証チェックにより、ワーカーノードのディスク領域不足など、クラスター内の問題が検出された場合。
  • 重要なクラスターライフサイクルイベントが発生した場合。たとえば、スケジュールされたメンテナンスまたはアップグレードの開始時や、クラスター操作がイベントの影響を受けたが、お客様による介入は必要ない場合などです。
  • クラスター管理に大きな変更が発生した場合。たとえば、クラスターの所有権または管理制御が 1 人のユーザーから別のユーザーに移行された場合などです。
  • クラスターのサブスクリプションが変更または更新された場合。たとえば、Red Hat がサブスクリプションの条件やクラスターで利用可能な機能を更新した場合などです。

SRE は次の場合に通知を作成して送信します。

  • インシデントにより、クラスターの可用性やパフォーマンスに影響を与えるデグレードや停止が発生した場合。たとえば、クラウドプロバイダーで地域的な停止が発生した場合などです。SRE は、インシデント解決の進行状況とインシデントが解決した時期を知らせる後続の通知を送信します。
  • クラスターで、セキュリティー脆弱性、セキュリティー侵害、または異常なアクティビティーが検出された場合。
  • お客様が行った変更によってクラスターが不安定になっているか、不安定になる可能性があることを Red Hat が検出した場合。
  • ワークロードがクラスターのパフォーマンス低下や不安定化を引き起こしていることを Red Hat が検出した場合。

6.2.4. インシデントおよびオペレーション管理
リンクのコピー

Red Hat は、デフォルトのプラットフォームネットワーキングに必要なサービスコンポーネントを監督する責任があります。AWS は、AWS クラウドで提供されるすべてのサービスを実行するハードウェアインフラストラクチャーを保護する責任があります。お客様は、お客様のアプリケーションデータ、およびお客様がクラスターネットワークまたは仮想ネットワークに設定したカスタムネットワークに関するインシデントおよび操作の管理を行います。

Expand
リソースサービスの責任お客様の責任

アプリケーションのネットワーク

Red Hat

  • ネイティブ OpenShift ルーターサービスを監視し、アラートに応答します。
  • アプリケーションルート、およびその背後のエンドポイントの正常性を監視します。
  • 停止を Red Hat と AWS に報告します。

クラスターネットワーク

Red Hat

  • クラスター DNS、クラスターコンポーネント間のネットワークプラグイン接続、およびデフォルトの Ingress Controller に関連するインシデントを監視、警告、および対処します。
  • オプションの Ingress Controller、OperatorHub を通じてインストールされた追加のオペレーター、およびデフォルトの OpenShift CNI プラグインに代わるネットワークプラグインに関連するインシデントを監視および対処します。

仮想ネットワーク管理

Red Hat

  • AWS ロードバランサー、Amazon VPC サブネット、デフォルトのプラットフォームネットワーキングに必要な AWS サービスコンポーネントを監視します。アラートに応答します。
  • AWS ロードバランサーエンドポイントの健全性を監視します。
  • Amazon VPC 間接続、AWS VPN 接続、または AWS Direct Connect を通じてオプションで設定されたネットワークトラフィックを監視し、潜在的な問題やセキュリティー上の脅威がないか確認します。

仮想ストレージ管理

Red Hat

  • クラスターノードに使用される Amazon EBS ボリュームと、ROSA サービスの組み込みコンテナーイメージレジストリーにアタッチされる Amazon S3 バケットを監視します。アラートに応答します。
  • アプリケーションデータの健全性を監視します。
  • 顧客管理の AWS KMS キーを使用する場合は、Amazon EBS 暗号化のキーのライフサイクルとキーのポリシーを作成して制御します。

プラットフォームモニタリング

Red Hat

  • すべての ROSA クラスターコンポーネント、サイトリライアビリティーエンジニア (SRE) サービス、および基盤となる AWS アカウントに対する集中監視およびアラートシステムを保守します。
 

インシデント管理

Red Hat

  • 既知のインシデントを提起して管理します。
  • 根本原因分析 (RCA) の下書きを顧客と共有します。
  • サポートケースを使用して、既知のインシデントを報告します。

インフラストラクチャーとデータの回復力

Red Hat

  • STS を使用する ROSA クラスターで利用できる Red Hat 提供のバックアップ方法はありません。
  • Red Hat は、RTO (Recovery Point Objective) または RTO (Recovery Time Objective) にコミットしません。
  • データを定期的にバックアップし、Kubernetes のベストプラクティスに従ったワークロードを備えたマルチ AZ クラスターをデプロイして、リージョン内の高可用性を確保します。
  • クラウドリージョン全体が利用できない場合は、別のリージョンに新しいクラスターをインストールし、バックアップデータを使用してアプリを復元します。

クラスター容量

Red Hat

  • クラスター上のすべてのコントロールプレーンとインフラストラクチャーノードの容量を管理します。
  • アップグレード中およびクラスターのアラートへの対応時にクラスターの容量を評価します。
 

AWS ソフトウェア (パブリック AWS サービス)

AWS

  • 顧客アカウントの AWS リソースの健全性を監視します。
  • IAM ツールを使用して、顧客アカウントの AWS リソースに適切なアクセス許可を適用します。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • 顧客のアプリケーションとデータを設定、管理、監視して、アプリケーションとデータのセキュリティー制御が適切に実施されていることを確認します。

6.2.4.1. プラットフォームモニタリング
リンクのコピー

プラットフォームの監査ログは、一元的なセキュリティー情報およびイベント監視 (SIEM) システムにセキュアに転送されます。このシステムで、Red Hat SRE チームへの設定済みアラートがログによって起動されるほか、手動でのログのレビューも行われます。監査ログは SIEM システムに 1 年間保持されます。指定されたクラスターの監査ログは、クラスターの削除時に削除されません。

6.2.4.2. インシデント管理
リンクのコピー

インシデントは、1 つ以上の Red Hat サービスの低下や停止をもたらすイベントです。

インシデントは、お客様または CEE (Customer Experience and Engagement) のメンバーがサポートケースを通して報告されるか、一元化されたモニタリングおよびアラートシステムから直接提出されるか、SRE チームのメンバーから直接提出される場合があります。

サービスおよびお客様への影響に応じて、インシデントは 重大度 に基づいて分類されます。

新たなインシデントを管理する際に、Red Hat では以下の一般的なワークフローを使用します。

  1. SRE の最初に応答するメンバーには新たなインシデントに関するアラートが送られ、最初の調査が開始されます。
  2. 初回の調査後、インシデントには復旧作業を調整するインシデントのリードが割り当てられます。
  3. インシデントのリードは、関連する通知やサポートケースの更新など、復旧に関するすべての連絡と調整を管理します。
  4. インシデントが解決されると、お客様が起票したサポートチケットにインシデントと解決策の簡単な概要が提供されます。この概要は、お客様がインシデントとその解決策を詳しく理解するのに役立ちます。

サポートチケットで提供される情報に加えて、さらに詳しい情報が必要な場合、お客様は次のワークフローをリクエストできます。

  1. お客様は、インシデント解決後 5 営業日以内に追加情報をリクエストする必要があります。
  2. Red Hat は、インシデントの重大度に応じて、サポートチケットで根本原因の概要または根本原因分析 (RCA) をお客様に提供する場合もあります。根本原因の概要に関する追加情報は、インシデント解決後 7 営業日以内に提供されます。根本原因分析に関する追加情報は、30 営業日以内に提供されます。

Red Hat は、サポートケースを通じて発生した顧客インシデントにも対応します。Red Hat は、次のような活動 (ただしこれに限定されません) を支援できます。

  • 仮想コンピュートの分離を含むフォレンジック収集
  • コンピュートイメージコレクションのガイド
  • 収集された監査ログの提供

6.2.4.3. クラスター容量
リンクのコピー

クラスターアップグレードの容量に与える影響は、アップグレードのテストプロセスの一部として評価され、容量がクラスターへの新たな追加内容の影響を受けないようにします。クラスターのアップグレード時にワーカーノードが追加され、クラスターの容量全体がアップグレードプロセス時に維持されるようにします。

Red Hat SRE チームによる容量評価は、使用状況のしきい値が一定期間超過した後のクラスターからのアラートへの対応として行われます。このようなアラートにより、通知がお客様に出される可能性があります。

6.2.5. 変更管理
リンクのコピー

このセクションでは、クラスターおよび設定変更、パッチ、およびリリースの管理方法に関するポリシーを説明します。

Red Hat は、お客様が制御するクラスターインフラストラクチャーおよびサービスへの変更を有効にし、コントロールプレーンノード、インフラストラクチャーノードおよびサービス、ならびにワーカーノードのバージョンを維持します。AWS は、AWS クラウドで提供されるすべてのサービスを実行するハードウェアインフラストラクチャーを保護する責任があります。お客様は、インフラストラクチャーの変更要求を開始し、クラスターでの任意のサービスおよびネットワーク設定のインストールおよび維持、ならびにお客様データおよびお客様のアプリケーションに対するすべての変更を行います。

6.2.5.1. お客様が開始する変更
リンクのコピー

クラスターデプロイメント、ワーカーノードのスケーリング、またはクラスターの削除などのセルフサービス機能を使用して変更を開始できます。

変更履歴は、OpenShift Cluster Manager の 概要タブクラスター履歴 セクションにキャプチャーされ、表示できます。変更履歴には、以下の変更のログが含まれますが、これに限定されません。

  • アイデンティティープロバイダーの追加または削除
  • dedicated-admins グループへの、またはそのグループからのユーザーの追加または削除
  • クラスターコンピュートノードのスケーリング
  • クラスターロードバランサーのスケーリング
  • クラスター永続ストレージのスケーリング
  • クラスターのアップグレード

以下のコンポーネントの OpenShift Cluster Manager での変更を回避することで、メンテナンスの除外を実装できます。

  • クラスターの削除
  • アイデンティティープロバイダーの追加、変更、または削除
  • 昇格されたグループからのユーザーの追加、変更、または削除
  • アドオンのインストールまたは削除
  • クラスターネットワーク設定の変更
  • マシンプールの追加、変更、または削除
  • ユーザーワークロードの監視の有効化または無効化
  • アップグレードの開始
重要

メンテナンスの除外を適用するには、マシンプールの自動スケーリングまたは自動アップグレードポリシーが無効になっていることを確認してください。メンテナンスの除外が解除されたら、必要に応じてマシンプールの自動スケーリングまたは自動アップグレードポリシーを有効にします。

6.2.5.2. Red Hat が開始する変更
リンクのコピー

Red Hat Site Reliability Engineering (SRE) は、GitOps ワークフローと完全に自動化された CI/CD パイプラインを使用して、Red Hat OpenShift Service on AWS のインフラストラクチャー、コード、および設定を管理します。このプロセスにより、Red Hat は、お客様に悪影響を与えることなく、継続的にサービスの改善を安全に導入できます。

提案されるすべての変更により、チェック時にすぐに一連の自動検証が実行されます。変更は、自動統合テストが実行されるステージング環境にデプロイされます。最後に、変更は実稼働環境にデプロイされます。各ステップは完全に自動化されています。

許可された Red Hat SRE のレビュー担当者が、各ステップへの進行を承認する必要があります。変更を提案した個人がレビュー担当者になることはできません。すべての変更および承認は、GitOps ワークフローの一部として完全に監査可能です。

一部の変更は、段階的に実稼働環境にリリースされ、新機能の提供形態 (プライベートプレビューやパブリックプレビューなど) を管理するための機能フラグを使用して、指定のクラスターまたはお客様に提供されます。

6.2.5.3. パッチ管理
リンクのコピー

OpenShift Container Platform ソフトウェアおよび基礎となるイミュータブルな Red Hat CoreOS (RHCOS) オペレーティングシステムイメージには、通常の z-stream アップグレードのバグおよび脆弱性のパッチが適用されます。OpenShift Container Platform ドキュメントの RHCOS アーキテクチャー を参照してください。

6.2.5.4. リリース管理
リンクのコピー

Red Hat はクラスターを自動的にアップグレードしません。OpenShift Cluster Manager Web コンソールを使用して、クラスターの更新を定期的に (定期的なアップグレード) または 1 回だけ (個別にアップグレード) 行うようにスケジュールできます。クラスターが重大な影響を与える CVE の影響を受ける場合にのみ、Red Hat はクラスターを新しい z-stream バージョンに強制的にアップグレードする可能性があります。

注記

必要な権限が y-stream リリース間で変更される可能性があるため、アップグレードを実行する前に、AWS 管理ポリシーが自動的に更新されます。

お客様は OpenShift Cluster Manager Web コンソールで、すべてのクラスターアップグレードイベントの履歴を確認できます。リリースの詳細は、ライフサイクルポリシー を参照してください。

6.2.5.5. リソースに関するサービスおよびお客様の責任
リンクのコピー

次の表は、クラスターリソースに関する責任を定めたものです。

Expand
リソースサービスの責任お客様の責任

ロギング

Red Hat

  • プラットフォーム監査ログを一元的に集計し、監視します。
  • ロギング Operator を提供し、これを維持して、お客様がデフォルトのアプリケーションロギングのロギングスタックをデプロイできるようにします。
  • お客様のリクエストに対応して監査ログを提供します。
  • オプションのデフォルトアプリケーションロギング Operator をクラスターにインストールします。
  • サイドカーコンテナーのロギングやサードパーティーのロギングアプリケーションなど、任意のアプリロギングソリューションをインストール、設定、および保守します。
  • ロギングスタックまたはクラスターの安定性に影響がある場合に、お客様のアプリケーションによって生成されるアプリケーションログのサイズおよび頻度を調整します。
  • 特定のインシデントを調査するためにサポートケースを使用してプラットフォーム監査ログを要求します。

アプリケーションのネットワーク

Red Hat

  • パブリックロードバランサーを設定します。プライベートロードバランサーを設定し、必要に応じて追加のロードバランサーを 1 つまで設定する機能を提供します。
  • ネイティブ OpenShift ルーターサービスを設定します。ルーターをプライベートとして設定し、1 つのルーターシャードを追加する機能を提供します。
  • デフォルトの内部 Pod トラフィック用の OVN-Kubernetes コンポーネントをインストール、設定、および保守します。
  • お客様が NetworkPolicy および EgressNetworkPolicy (ファイアウォール) オブジェクトを管理できる機能を提供します。
  • NetworkPolicy オブジェクトを使用して、プロジェクトおよび Pod ネットワーク、Pod ingress、および Pod egress のデフォルト以外の Pod ネットワークのパーミッションを設定します。
  • OpenShift Cluster Manager を使用して、デフォルトのアプリケーションルートのプライベートロードバランサーを要求します。
  • OpenShift Cluster Manager を使用して、追加の 1 つのパブリックまたはプライベートルーターシャードおよび対応するロードバランサーを設定します。
  • 特定サービスの追加のサービスロードバランサーを要求し、設定します。
  • 必要な DNS 転送ルールを設定します。

クラスターネットワーク

Red Hat

  • パブリックまたはプライベートサービスのエンドポイントや Amazon VPC コンポーネントとの必要な統合などのクラスター管理コンポーネントを設定します。
  • ワーカークラスターとコントロールプレーン間の内部クラスター通信に必要な内部ネットワークコンポーネントをセットアップします。
  • クラスターをプロビジョニングする前に、必要な OpenShift および AWS ドメインとポートへのアクセスを許可するようにファイアウォールを設定します。詳細は、「AWS ファイアウォールの前提条件」を参照してください。
  • クラスターのプロビジョニング時に OpenShift Cluster Manager で必要な場合は、マシン CIDR、サービス CIDR、および Pod CIDR の任意のデフォルト以外の IP アドレス範囲を指定します。
  • クラスターの作成時または OpenShift Cluster Manager でクラスターの作成後に、API サービスエンドポイントをパブリックまたはプライベートにするように要求します。
  • 追加のアプリケーションルートを公開するには、追加の Ingress Controller を作成します。
  • デフォルトの OpenShift CNI プラグインなしでクラスターがインストールされている場合は、オプションの CNI プラグインをインストール、設定、およびアップグレードします。

仮想ネットワーク管理

Red Hat

  • サブネット、ロードバランサー、インターネットゲートウェイ、NAT ゲートウェイなど、クラスターのプロビジョニングに必要な Amazon VPC コンポーネントをセットアップおよび設定します。
  • オンプレミスリソースとの AWS VPN 接続、Amazon VPC 間の接続、および必要に応じて OpenShift Cluster Manager を介して AWS Direct Connect を管理できる機能を顧客が提供します。
  • 顧客がサービスロードバランサーで使用する AWS ロードバランサーを作成およびデプロイできるようにします。
  • Amazon VPC 間接続、AWS VPN 接続、AWS Direct Connect などのオプションの Amazon VPC コンポーネントをセットアップおよび維持します。
  • 特定サービスの追加のサービスロードバランサーを要求し、設定します。

仮想コンピューティング管理

Red Hat

  • クラスターのコンピューティングに Amazon EC2 インスタンスを使用するように ROSA コントロールプレーンとデータプレーンをセットアップおよび設定します。
  • クラスター上の Amazon EC2 コントロールプレーンとインフラストラクチャーノードのデプロイメントを監視および管理します。
  • OpenShift Cluster Manager または ROSA CLI (rosa) を使用してマシンプールを作成し、Amazon EC2 ワーカーノードを監視および管理します。
  • 顧客が導入したアプリケーションとアプリケーションデータへの変更を管理します。

クラスターのバージョン

Red Hat

  • アップグレードのスケジューリングプロセスを有効にします。
  • アップグレードの進捗を監視し、発生した問題をすべて修正します。
  • パッチリリースのアップグレードに関する変更ログおよびリリースノートを公開します。
  • 自動アップグレードを設定するか、パッチリリースアップグレードを直ちにまたは今後の予定としてスケジュールします。
  • マイナーバージョンのアップグレードを確認し、スケジュールします。
  • パッチリリースで顧客のアプリケーションをテストし、互換性を確認します。

容量の管理

Red Hat

  • コントロールプレーンの使用を監視します。
  • QoS (Quality of Service) を維持するために、コントロールプレーンのスケーリングおよびサイズ変更を行います。
  • ワーカーノードの使用率を監視し、必要に応じて自動スケーリング機能を有効にします。
  • クラスターのスケーリングストラテジーを決定します。マシンプールの詳細は、関連情報を参照してください。
  • 提供される OpenShift Cluster Manager コントロールを使用して、必要に応じて追加のワーカーノードを追加または削除します。
  • クラスターリソース要件に関する Red Hat の通知に対応します。

仮想ストレージ管理

Red Hat

  • Amazon EBS をセットアップして設定し、クラスターのローカルノードストレージと永続ボリュームストレージをプロビジョニングします。
  • Amazon S3 バケットストレージを使用するように組み込みイメージレジストリーをセットアップおよび設定します。[1]
  • Amazon S3 のイメージレジストリーリソースを定期的にプルーニングして、Amazon S3 の使用率とクラスターのパフォーマンスを最適化します。[2]
  • 必要に応じて、Amazon EBS CSI ドライバーまたは Amazon EFS CSI ドライバーを設定して、クラスター上に永続ボリュームをプロビジョニングします。

AWS ソフトウェア (パブリック AWS サービス)

AWS

コンピュート: Amazon EC2 サービスを提供します。これは ROSA 関連リソースに使用されます。

ストレージ: Amazon EBS を提供します。これは、クラスターのローカルノードストレージと永続ボリュームストレージをプロビジョニングするために、ROSA によって使用されます。

ストレージ: Amazon S3 を提供します。これは ROSA の組み込みイメージレジストリーに使用されます。

ネットワーク: 次の AWS クラウドサービスを提供します。これらは、仮想ネットワークインフラストラクチャーのニーズを満たすために、ROSA によって使用されます。

  • Amazon VPC
  • Elastic Load Balancing
  • AWS IAM
  • AWS STS

ネットワーク: 次の AWS サービスを提供します。お客様はこれらのサービスを必要に応じて ROSA と統合できます。

  • AWS VPN
  • AWS Direct Connect
  • AWS PrivateLink
  • AWS Transit Gateway
  • IAM プリンシパルまたは STS 一時セキュリティー認証情報に関連付けられたアクセスキー ID とシークレットアクセスキーを使用して、リクエストに署名します。
  • クラスターの作成時に使用するクラスターの VPC サブネットを指定します。
  • オプションで、ROSA クラスターで使用するために顧客管理の VPC を設定します (PrivateLink クラスターと HCP クラスターに必要)。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • AWS データセンターの管理コントロールの詳細は、AWS クラウドセキュリティーページの Our Controls を参照してください。
  • 変更管理のベストプラクティスは、AWS ソリューションライブラリーの AWS での変更管理のガイダンス を参照してください。
  • AWS Cloud でホストされている顧客のアプリケーションとデータに対して変更管理のベストプラクティスを実装します。
  1. AWS STS の認証フローの詳細は、AWS STS の認証フロー を参照してください。
  2. イメージのプルーニングの詳細は、イメージの自動プルーニング を参照してください。

6.2.6. セキュリティーおよび規制コンプライアンス
リンクのコピー

次の表は、セキュリティーと規制遵守に関する責任の概要を示しています。

Expand
リソースサービスの責任お客様の責任

ロギング

Red Hat

  • セキュリティーイベントを分析するために、クラスターの監査ログを Red Hat SIEM に送信します。フォレンジック分析をサポートするために、定義された期間の監査ログを保持します。
  • セキュリティーイベントのアプリケーションログを分析します。
  • デフォルトのロギングスタックで指定されるよりも長い保持期間が必要な場合に、ロギングサイドカーコンテナーまたはサードパーティーのロギングアプリケーション経由でアプリケーションログを外部エンドポイントに送信します。

仮想ネットワーク管理

Red Hat

  • 潜在的な問題やセキュリティーの脅威について、仮想ネットワークのコンポーネントを監視します。
  • 追加の監視と保護には、パブリック AWS ツールを使用します。
  • 潜在的な問題やセキュリティーの脅威について、オプションで設定される仮想ネットワークのコンポーネントを監視します。
  • 必要に応じて、必要なファイアウォールルールまたはデータセンターの保護を設定します。

仮想ストレージ管理

Red Hat

  • 潜在的な問題やセキュリティー上の脅威がないか、仮想ストレージコンポーネントを監視します。
  • 追加の監視と保護には、パブリック AWS ツールを使用します。
  • Amazon EBS が提供する AWS 管理の Key Management Service (KMS) キーを使用して、デフォルトでコントロールプレーン、インフラストラクチャー、およびワーカーノードのボリュームデータを暗号化するように ROSA サービスを設定します。
  • Amazon EBS が提供する AWS 管理の KMS キーを使用して、デフォルトのストレージクラスを使用する顧客の永続ボリュームを暗号化するように ROSA サービスを設定します。
  • 顧客管理の AWS KMS キーを使用して永続ボリュームを暗号化できる機能を顧客が提供します。
  • Amazon S3 管理キー (SSE-3) によるサーバー側の暗号化を使用して、定時時のイメージレジストリーデータを暗号化するようにコンテナーイメージレジストリーを設定します。
  • 顧客がパブリックまたはプライベートの Amazon S3 イメージレジストリーを作成して、コンテナーイメージを不正なユーザーアクセスから保護できる機能を提供します。
  • Amazon EBS ボリュームをプロビジョニングします。
  • Amazon EBS ボリュームストレージを管理して、ROSA にボリュームとしてマウントできる十分なストレージを確保します。
  • 永続ボリューム要求を作成し、OpenShift Cluster Manager を通じて永続ボリュームを生成します。

仮想コンピューティング管理

Red Hat

  • 仮想コンピューティングコンポーネントを監視して、潜在的な問題やセキュリティー上の脅威がないか確認します。
  • 追加の監視と保護には、パブリック AWS ツールを使用します。
  • 潜在的な問題やセキュリティーの脅威について、オプションで設定される仮想ネットワークのコンポーネントを監視します。
  • 必要に応じて、必要なファイアウォールルールまたはデータセンターの保護を設定します。

AWS ソフトウェア (パブリック AWS サービス)

AWS

コンピュート: セキュアな Amazon EC2。ROSA のコントロールプレーンとワーカーノードに使用されます。詳細は、Amazon EC2 ユーザーガイドの Amazon EC2 のインフラストラクチャーセキュリティー を参照してください。

ストレージ: セキュアな Amazon Elastic Block Store (EBS)。ROSA のコントロールプレーンとワーカーノードボリューム、および Kubernetes 永続ボリュームに使用されます。詳細は、Amazon EC2 ユーザーガイドの Amazon EC2 でのデータ保護 を参照してください。

ストレージ: AWS KMS を提供します。コントロールプレーン、ワーカーノードボリューム、および永続ボリュームを暗号化するために、ROSA によって使用されます。詳細は、Amazon EC2 ユーザーガイドの Amazon EBS 暗号化 を参照してください。

ストレージ: セキュアな Amazon S3。ROSA サービスの組み込みコンテナーイメージレジストリーに使用されます。詳細は、S3 ユーザーガイドの Amazon S3 セキュリティー を参照してください。

Networking: Amazon VPC に組み込まれたネットワークファイアウォール、プライベートまたは専用ネットワーク接続、AWS の安全な施設間の AWS グローバルおよび地域ネットワーク上のすべてのトラフィックの自動暗号化など、プライバシーを強化し、AWS グローバルインフラストラクチャー上のネットワークアクセスを制御するためのセキュリティー機能とサービスを提供します。詳細は、AWS セキュリティーの概要ホワイトペーパーの AWS Shared Responsibility ModelInfrastructure security を参照してください。

  • Amazon EC2 インスタンス上のデータを保護するために、セキュリティーのベストプラクティスと最小権限の原則に従っていることを確認します。詳細は、Infrastructure security in Amazon EC2 および Data protection in Amazon EC2 を参照してください。
  • 潜在的な問題やセキュリティーの脅威について、オプションで設定される仮想ネットワークのコンポーネントを監視します。
  • 必要に応じて、必要なファイアウォールルールまたはデータセンターの保護を設定します。
  • オプションの顧客管理の KMS キーを作成し、KMS キーを使用して Amazon EBS 永続ボリュームを暗号化します。
  • 仮想ストレージ内の顧客データを監視して、潜在的な問題やセキュリティー上の脅威がないか確認します。詳細は、責任共有モデル を参照してください。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • ROSA がサービス機能を提供するために使用する AWS グローバルインフラストラクチャーを提供します。AWS のセキュリティー管理の詳細は、AWS ホワイトペーパーの AWS インフラストラクチャーのセキュリティー を参照してください。
  • 顧客がコンプライアンスのニーズを管理し、AWS Artifact や AWS Security Hub などのツールを使用して AWS のセキュリティー状態を確認するためのドキュメントを提供します。詳細は、ROSA ユーザーガイドの ROSA のコンプライアンス検証 を参照してください。
  • 顧客のアプリケーションとデータを設定、管理、監視して、アプリケーションとデータのセキュリティー制御が適切に実施されていることを確認します。
  • IAM ツールを使用して、顧客アカウントの AWS リソースに適切なアクセス許可を適用します。

6.2.7. Disaster recovery
リンクのコピー

障害復旧には、データおよび設定のバックアップ、障害復旧環境へのデータおよび設定の複製、および障害イベント発生時のフェイルオーバーが含まれます。

Red Hat OpenShift Service on AWS (ROSA) は、Pod レベル、ノードレベル、アベイラビリティーゾーンレベルで発生する障害に対する障害復旧を提供します。

どの障害復旧でも、必要な可用性のレベルを満たすには、可用性の高いアプリケーション、ストレージ、クラスターアーキテクチャー (複数のアベイラビリティーゾーンにまたがる複数のマシンプールなど) をデプロイするためのベストプラクティスをお客様が使用する必要があります。

単一のクラスターに単一のマシンプールしかない場合、アベイラビリティーゾーンまたはリージョンの障害が発生した際に、障害の回避や復旧を行うことはできません。複数のクラスターに単一のマシンプールがあり、お客様がフェイルオーバーを管理している場合は、ゾーンまたはリージョンレベルでの障害に対処できます。

単一のクラスターでは、複数のマシンプールが複数のアベイラビリティーゾーンにあっても、リージョン全体の障害が発生した際に、障害の回避や復旧を行うことはできません。複数のクラスターが複数のリージョンにあり、複数のマシンプールが複数のアベイラビリティーゾーンにあり、さらにお客様がフェイルオーバーを管理している場合は、リージョンレベルの障害に対処できます。

Expand
リソースサービスの責任お客様の責任

仮想ネットワーク管理

Red Hat

  • プラットフォームが機能するために必要な、影響を受けた仮想ネットワークコンポーネントを再作成します。
  • パブリッククラウドプロバイダーが推奨されるように、障害に対する保護のために、可能な場合は複数のトンネルで仮想ネットワーク接続を設定します。
  • 複数のクラスターでグローバルロードバランサーを使用する場合は、フェイルオーバー DNS および負荷分散を維持します。

仮想ストレージ管理

Red Hat

  • 顧客のアプリケーションとアプリケーションデータのバックアップを作成します。

仮想コンピューティング管理

Red Hat - 障害が発生したワーカーノードをお客様が手動または自動で交換できるようにします。

  • OpenShift Cluster Manager または ROSA CLI を通じてマシンプール設定を編集して、障害が発生した Amazon EC2 ワーカーノードを置き換えます。

AWS ソフトウェア (パブリック AWS サービス)

AWS

Compute: Amazon EBS スナップショットや Amazon EC2 Auto Scaling などのデータ復元力をサポートする Amazon EC2 機能を提供します。詳細は、EC2 ユーザーガイドの Amazon EC2 の復元力 を参照してください。

Storage: ROSA サービスと顧客が、Amazon EBS ボリュームのスナップショットを通じてクラスター上の Amazon EBS ボリュームをバックアップできる機能を提供します。

Storage: データの復元力をサポートする Amazon S3 の機能は、Resilience in Amazon S3 を参照してください。

Networking: データ復元力をサポートする Amazon VPC 機能の詳細は、Amazon VPC ユーザーガイドの Resilience in Amazon Virtual Private Cloud を参照してください。

  • フォールトトレランスとクラスターの可用性を向上させるために、複数のアベイラビリティーゾーンにわたる複数のマシンプールを使用して ROSA クラスターを設定します。
  • Amazon EBS CSI ドライバーを使用して永続ボリュームをプロビジョニングし、ボリュームスナップショットを有効にします。
  • Amazon EBS 永続ボリュームの CSI ボリュームスナップショットを作成します。

ハードウェア/AWS グローバルインフラストラクチャー

AWS

  • ROSA がアベイラビリティーゾーン全体でノードをスケーリングできるようにする AWS グローバルインフラストラクチャーを提供します。この機能により、ROSA は中断することなくゾーン間の自動フェイルオーバーを調整できるようになります。
  • 災害復旧のベストプラクティスの詳細は、AWS Well-Architected フレームワークの Disaster recovery options in the cloud を参照してください。
  • フォールトトレランスとクラスターの可用性を向上させるために、複数のアベイラビリティーゾーンにわたる複数のマシンプールを使用して ROSA クラスターを設定します。

6.2.8. データおよびアプリケーションに関する追加のお客様の責任
リンクのコピー

お客様は、Red Hat OpenShift Service on AWS にデプロイするアプリケーション、ワークロード、およびデータに責任を負います。ただし、Red Hat と AWS は、お客様がプラットフォーム上のデータとアプリケーションを管理できるようにするさまざまなツールを提供しています。

Expand
リソースRed Hat と AWSお客様の責任

お客様データ

Red Hat

  • 業界のセキュリティーおよびコンプライアンス標準で定義されているデータ暗号化のプラットフォームレベルの標準を維持します。
  • シークレットなどのアプリケーションデータの管理に役立つ OpenShift コンポーネントを提供します。
  • Amazon RDS などのデータサービスとの統合を有効にして、クラスターや AWS の外部にデータを保存および管理します。

AWS

  • Amazon RDS を提供すると、顧客はクラスターや AWS の外部でデータを保存および管理できるようになります。
  • プラットフォームに保存されるすべてのお客様データと、お客様のアプリケーションがこのデータを使用し、公開する方法に関する責任を持ちます。

お客様のアプリケーション

Red Hat

  • お客様が OpenShift および Kubernetes API にアクセスし、コンテナー化されたアプリケーションをデプロイし、管理できるように、OpenShift コンポーネントと共にクラスターをプロビジョニングします。
  • イメージプルシークレットでクラスターを作成し、お客様のデプロイメントで Red Hat Container Catalog レジストリーからイメージをプルできるようにします。
  • お客様が Operator を設定してコミュニティー、サードパーティー、および Red Hat サービスをクラスターに追加するために使用できる OpenShift API へのアクセスを提供します。
  • ストレージクラスとプラグインを提供し、お客様のアプリケーションで使用できるように永続ボリュームをサポートします。
  • お客様がクラスター上にアプリケーションコンテナーイメージを安全に保存し、アプリケーションをデプロイおよび管理できるようにコンテナーイメージレジストリーを提供します。

AWS

  • 顧客のアプリケーションで使用する永続ボリュームをサポートする Amazon EBS を提供します。
  • コンテナーイメージレジストリーの Red Hat プロビジョニングをサポートするために Amazon S3 を提供します。
  • お客様およびサードパーティーのアプリケーション、データ、およびそれらの完全なライフサイクルに関する責任を持ちます。
  • Operator または外部イメージを使用して Red Hat、コミュニティー、サードパーティー、独自のサービス、またはその他のサービスをクラスターに追加する際、お客様はこれらのサービスについて、単独、および Red Hat を含む適切なプロバイダーと連携して問題をトラブルシューティングする責任を負います。
  • 提供されるツールおよび機能を使用して設定およびデプロイを行い、最新の状態を保ち、リソースの要求および制限を設定し、アプリケーションを実行するのに十分なリソースを持つようにクラスターのサイズを設定し、パーミッションを設定し、他のサービスと統合し、お客様がデプロイするイメージストリームまたはテンプレートを管理し、外部に提供し、保存し、バックアップし、データを復元し、さらに可用性と回復性が高いワークロードを管理します。
  • Red Hat OpenShift Service on AWS で実行するアプリケーションを監視する責任を持ちます。これには、メトリクスの収集、アラートの作成、アプリケーション内のシークレットの保護を行うソフトウェアのインストールと操作が含まれます。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat