Présentation Tâches à responsabilités partagées par domaine Responsabilités du client à l'égard des données et des applications

Vue d'ensemble des responsabilités pour ROSA

Cette documentation décrit les responsabilités de Amazon Web Services (AWS), Red Hat et les clients du Red Hat OpenShift Service on AWS (ROSA) service géré. Pour plus d'informations sur ROSA et ses composants, voir Politiques et définition du service dans la documentation Red Hat.

L'interface AWS le modèle de responsabilité partagée définit AWS responsabilité de protéger l'infrastructure qui gère tous les services proposés dans le AWS Cloud, y compris ROSA. AWS l'infrastructure inclut le matériel, les logiciels, le réseau et les installations qui fonctionnent AWS Cloud services. Cette AWS la responsabilité est communément appelée « sécurité du cloud ». Pour opérer ROSA en tant que service entièrement géré, Red Hat et le client sont responsables des éléments du service que le AWS Le modèle de responsabilité se définit comme « la sécurité dans le cloud ».

Red Hat est responsable de la gestion et de la sécurité continues du ROSA l'infrastructure du cluster, la plate-forme d'application sous-jacente et le système d'exploitation. Tandis que ROSA les clusters sont hébergés sur AWS ressources chez le client Comptes AWS, ils sont accessibles à distance par ROSA composants de service et ingénieurs de fiabilité des sites Red Hat (SREs) via IAM rôles créés par le client. Red Hat utilise cet accès pour gérer le déploiement et la capacité de tous les nœuds du plan de contrôle et de l'infrastructure du cluster, et pour gérer les versions des nœuds du plan de contrôle, des nœuds d'infrastructure et des nœuds de travail.

Red Hat et le client partagent la responsabilité de ROSA gestion du réseau, journalisation des clusters, gestion des versions des clusters et gestion des capacités. Alors que Red Hat gère ROSA service, le client est entièrement responsable de la gestion et de la sécurisation des applications, des charges de travail et des données déployées sur ROSA.

Présentation

Le tableau suivant donne un aperçu des AWS, Red Hat et les responsabilités des clients pour Red Hat OpenShift Service on AWS.

Note

Si le cluster-admin rôle est ajouté à un utilisateur, consultez les responsabilités et les notes d'exclusion dans l'annexe 4 du contrat Red Hat Enterprise (Services d'abonnement en ligne).

Ressource	Gestion des incidents et des opérations	Gestion du changement	Autorisation d'accès et d'identité	Conformité à la sécurité et aux réglementations	Reprise après sinistre
Données sur les clients	Client	Client	Client	Client	Client
Applications destinées aux clients	Client	Client	Client	Client	Client
Services aux développeurs	Client	Client	Client	Client	Client
Surveillance de la plateforme	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
Journalisation	Red Hat	Red Hat et ses clients	Red Hat et ses clients	Red Hat et ses clients	Red Hat
Mise en réseau d'applications	Red Hat et ses clients	Red Hat et ses clients	Red Hat et ses clients	Red Hat	Red Hat
Mise en réseau de clusters	Red Hat	Red Hat et ses clients	Red Hat et ses clients	Red Hat	Red Hat
Gestion des réseaux virtuels	Red Hat et ses clients	Red Hat et ses clients	Red Hat et ses clients	Red Hat et ses clients	Red Hat et ses clients
Gestion informatique virtuelle (plan de contrôle, infrastructure et nœuds de travail)	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
Version du cluster	Red Hat	Red Hat et ses clients	Red Hat	Red Hat	Red Hat
Gestion des capacités	Red Hat	Red Hat et ses clients	Red Hat	Red Hat	Red Hat
Gestion du stockage virtuel	Red Hat	Red Hat	Red Hat	Red Hat	Red Hat
AWS logiciel (public) Services AWS)	AWS	AWS	AWS	AWS	AWS
Matériel/AWS infrastructure mondiale	AWS	AWS	AWS	AWS	AWS

Tâches à responsabilités partagées par domaine

AWS, Red Hat et les clients partagent la responsabilité de la surveillance et de la maintenance de ROSA composants. Cette documentation définit ROSA responsabilités de service par domaine et par tâche.

Gestion des incidents et des opérations

AWS est chargé de protéger l'infrastructure matérielle qui exécute tous les services proposés dans le AWS Cloud. Red Hat est chargé de gérer les composants de service nécessaires à la mise en réseau de la plate-forme par défaut. Le client est responsable de la gestion des incidents et des opérations relatives aux données des applications client et de tout réseau personnalisé qu'il a pu configurer.

Ressource	Responsabilités liées au service	Responsabilités du client
Mise en réseau d'applications	Chapeau rouge Surveillez OpenShift le service natif du routeur et répondez aux alertes.	Client Surveillez l'état des routes applicatives et des points de terminaison qui les sous-tendent. Signalez les pannes à AWS et Red Hat.
Gestion des réseaux virtuels	Chapeau rouge Surveiller AWS équilibreurs de charge, Amazon VPC des sous-réseaux, et Service AWS composants nécessaires à la mise en réseau de la plate-forme par défaut. Répondez aux alertes.	Client Surveillez l'état de santé de AWS points de terminaison de l'équilibreur de charge. Surveillez le trafic réseau éventuellement configuré via Amazon VPC VPCconnexion -à-, AWS VPN connexion, ou AWS Direct Connect pour des problèmes potentiels ou des menaces de sécurité.
Gestion du stockage virtuel	Chapeau rouge Surveiller Amazon EBS les volumes utilisés pour les nœuds du cluster, et Amazon S3 seaux utilisés pour le ROSA registre d'images de conteneur intégré au service. Répondez aux alertes.	Client Surveillez l'état des données des applications. Si le client a géré AWS KMS keys sont utilisés, créent et contrôlent le cycle de vie des clés et les politiques clés pour Amazon EBS chiffrement.
AWS logiciel (public) Services AWS)	AWS Pour plus d'informations sur AWS gestion des incidents et des opérations, voir Comment AWS assure la résilience opérationnelle et la continuité du service dans le AWS livre blanc.	Client Surveillez l'état de santé de AWS ressources du compte client. Utiliser IAM outils pour appliquer les autorisations appropriées à AWS ressources du compte client.
Matériel/AWS infrastructure mondiale	AWS Pour plus d'informations sur AWS gestion des incidents et des opérations, voir Comment AWS assure la résilience opérationnelle et la continuité du service dans le AWS livre blanc.	Client Configurez, gérez et surveillez les applications et les données des clients afin de garantir que les contrôles de sécurité des applications et des données sont correctement appliqués.

Gestion des modifications

AWS est chargé de protéger l'infrastructure matérielle qui exécute tous les services proposés dans le AWS Cloud. Red Hat est chargé de permettre les modifications de l'infrastructure du cluster et des services que le client contrôlera, ainsi que de gérer les versions des nœuds du plan de contrôle, des nœuds d'infrastructure et des nœuds de travail. Le client est responsable de la mise en œuvre des modifications de l'infrastructure. Le client est également responsable de l'installation et de la maintenance des services optionnels, des configurations réseau sur le cluster et des modifications apportées aux données et aux applications du client.

Ressource	Responsabilités liées au service	Responsabilités du client
Journalisation	Chapeau rouge Agrégez et surveillez de manière centralisée les journaux d'audit de la plateforme. Fournir et gérer un opérateur de journalisation pour permettre au client de déployer une pile de journalisation pour la journalisation des applications par défaut. Fournissez des journaux d'audit à la demande du client.	Client Installez l'opérateur optionnel de journalisation des applications par défaut sur le cluster. Installez, configurez et gérez toutes les solutions de journalisation d'applications facultatives, telles que la journalisation de conteneurs annexes ou d'applications de journalisation tierces. Ajustez la taille et la fréquence des journaux d'applications produits par les applications clientes s'ils affectent la stabilité de la pile de journalisation ou du cluster. Demandez les journaux d'audit de la plateforme via un dossier d'assistance pour rechercher des incidents spécifiques.
Mise en réseau d'applications	Chapeau rouge Configurez des équilibreurs de charge publics. Offrez la possibilité de configurer des équilibreurs de charge privés et jusqu'à un équilibreur de charge supplémentaire en cas de besoin. Configurez le service de OpenShift routeur natif. Offrez la possibilité de définir le routeur comme privé et d'ajouter jusqu'à une partition de routeur supplémentaire. Installez, configurez et gérez les OpenShift SDN composants pour le trafic interne par défaut des pods. Donnez au client la possibilité de gérer `NetworkPolicy` et `EgressNetworkPolicy` (de protéger) des objets.	Client Configurez des autorisations réseau de pods autres que celles par défaut pour les réseaux de projets et de pods, l'entrée et la sortie de pods à l'aide d'objets. `NetworkPolicy` Utilisez OpenShift Cluster Manager pour demander un équilibreur de charge privé pour les itinéraires d'application par défaut. Utilisez OpenShift Cluster Manager pour configurer jusqu'à une partition de routeur publique ou privée supplémentaire et l'équilibreur de charge correspondant. Demandez et configurez tout équilibreur de charge de service supplémentaire pour des services spécifiques. Configurez les règles DNS de transfert nécessaires.
Mise en réseau de clusters	Chapeau rouge Configurez les composants de gestion du cluster, tels que les points de terminaison de service publics ou privés et l'intégration nécessaire avec Amazon VPC composants. Configurez les composants réseau internes nécessaires à la communication interne du cluster entre les nœuds de travail, d'infrastructure et de plan de contrôle.	Client Fournissez des plages d'adresses IP facultatives autres que celles par défaut pour la machine CIDRCIDR, le service et le pod CIDR si nécessaire via OpenShift Cluster Manager lors du provisionnement du cluster. Demandez que le point de terminaison du API service soit rendu public ou privé lors de la création du cluster ou après la création du OpenShift cluster via Cluster Manager.
Gestion des réseaux virtuels	Chapeau rouge Installation et configuration Amazon VPC les composants nécessaires au provisionnement du cluster, tels que les sous-réseaux, les équilibreurs de charge, les passerelles Internet et les passerelles. NAT Permettre au client de gérer AWS VPN connectivité avec les ressources sur site, Amazon VPC VPCconnectivité -vers-, et AWS Direct Connect selon les besoins via OpenShift Cluster Manager. Permettre aux clients de créer et de déployer AWS équilibreurs de charge à utiliser avec les équilibreurs de charge de service.	Client Configuration et maintenance facultatives Amazon VPC composants, tels que Amazon VPC VPCconnexion -à-, AWS VPN connexion, ou AWS Direct Connect. Demandez et configurez des équilibreurs de charge supplémentaires pour des services spécifiques.
Gestion du calcul virtuel	Chapeau rouge Configurez et configurez le ROSA plan de contrôle et plan de données à utiliser Amazon EC2 instances pour le calcul en cluster. Surveillez et gérez le déploiement de Amazon EC2 plan de contrôle et nœuds d'infrastructure du cluster.	Client Surveiller et gérer Amazon EC2 nœuds de travail en créant un pool de machines à l'aide du gestionnaire de OpenShift clusters ou ROSA CLI. Gérez les modifications apportées aux applications déployées par les clients et aux données des applications.
Version du cluster	Chapeau rouge Activez le processus de planification des mises à niveau. Surveillez la progression de la mise à niveau et corrigez les éventuels problèmes rencontrés. Publiez des journaux des modifications et des notes de version pour les mises à niveau mineures et les mises à niveau de maintenance.	Client Planifiez les mises à niveau des versions de maintenance immédiatement, pour le futur, ou optez pour des mises à niveau automatiques. Reconnaissez et planifiez les mises à niveau des versions mineures. Assurez-vous que la version du cluster reste une version secondaire prise en charge. Testez les applications des clients sur les versions mineures et de maintenance pour garantir la compatibilité.
Gestion des capacités	Chapeau rouge Surveillez l'utilisation du plan de contrôle. Les plans de contrôle incluent les nœuds du plan de contrôle et les nœuds d'infrastructure. Faites évoluer et redimensionnez les nœuds du plan de contrôle pour maintenir la qualité de service.	Client Surveillez l'utilisation des nœuds de travail et, le cas échéant, activez la fonction de dimensionnement automatique. Déterminez la stratégie de mise à l'échelle du cluster. Utilisez les commandes du gestionnaire de OpenShift clusters fournies pour ajouter ou supprimer des nœuds de travail supplémentaires selon les besoins. Répondez aux notifications Red Hat concernant les besoins en ressources du cluster.
Gestion du stockage virtuel	Chapeau rouge Installation et configuration Amazon EBS pour fournir un stockage sur nœud local et un stockage de volume persistant pour le cluster. Configurez et configurez le registre d'images intégré à utiliser Amazon S3 rangement par seau. Élaguez régulièrement les ressources du registre d'images dans Amazon S3 pour optimiser Amazon S3 utilisation et performances du cluster.	Client Configurez éventuellement Amazon EBS CSIchauffeur ou Amazon EFS CSIpilote pour approvisionner des volumes persistants sur le cluster.
AWS logiciel (public) AWS services)	AWS Calcul Fournissez le Amazon EC2 service, utilisé pour ROSA plan de contrôle, infrastructure et nœuds de travail. Stockage Fournir Amazon EBS pour permettre le ROSA service permettant de fournir un stockage sur nœud local et un stockage de volume persistant pour le cluster. Réseaux Fournissez les informations suivantes AWS Cloud des services pour satisfaire ROSA besoins en infrastructure de réseau virtuel : Amazon VPC Elastic Load Balancing IAM Fournissez les informations facultatives suivantes Service AWS intégrations pour ROSA: AWS VPN AWS Direct Connect AWS PrivateLink AWS Transit Gateway	Client Signez les demandes à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal ou AWS STS informations d'identification de sécurité temporaires. Spécifiez VPC les sous-réseaux que le cluster doit utiliser lors de sa création. Configurez éventuellement un système géré par le client VPC pour l'utiliser avec ROSA clusters.
Matériel/AWS infrastructure mondiale	AWS Pour plus d'informations sur les contrôles de gestion pour AWS centres de données, voir Nos contrôles sur le AWS Cloud Page de sécurité. Pour plus d'informations sur les meilleures pratiques en matière de gestion du changement, voir le Guide pour la gestion du changement sur AWSdans le AWS Bibliothèque de solutions.	Client Mettez en œuvre les meilleures pratiques de gestion du changement pour les applications clients et les données hébergées sur le AWS Cloud.

Autorisation d'accès et d'identité

L'autorisation d'accès et d'identité inclut les responsabilités relatives à la gestion des accès autorisés aux clusters, aux applications et aux ressources d'infrastructure. Cela inclut des tâches telles que la fourniture de mécanismes de contrôle d'accès, l'authentification, l'autorisation et la gestion de l'accès aux ressources.

Ressource	Responsabilités liées au service	Responsabilités du client
Journalisation	Chapeau rouge Adhérez à un processus d'accès interne hiérarchisé basé sur les normes du secteur pour les journaux d'audit de la plateforme. Fournissez des OpenShift RBAC fonctionnalités natives.	Client Configurez OpenShift RBAC pour contrôler l'accès aux projets et, par extension, aux journaux des applications d'un projet. Pour les solutions de journalisation d'applications tierces ou personnalisées, le client est responsable de la gestion des accès.
Mise en réseau d'applications	Chapeau rouge Fournissez OpenShift RBAC des `dedicated-admin` fonctionnalités natives.	Client Configurez OpenShift `dedicated-admin` et RBAC contrôlez l'accès à la configuration des itinéraires selon les besoins. Gérez les administrateurs de l'organisation Red Hat pour que Red Hat accorde l'accès à OpenShift Cluster Manager. Le gestionnaire de cluster est utilisé pour configurer les options du routeur et fournir un quota d'équilibreur de charge de service.
Mise en réseau de clusters	Chapeau rouge Fournissez des contrôles d'accès aux clients via OpenShift Cluster Manager. Fournissez OpenShift RBAC des `dedicated-admin` fonctionnalités natives.	Client Configurez OpenShift `dedicated-admin` et RBAC contrôlez l'accès à la configuration des itinéraires selon les besoins. Gérez l'adhésion des organisations Red Hat aux comptes Red Hat. Gérez les administrateurs de l'organisation pour que Red Hat accorde l'accès à OpenShift Cluster Manager.
Gestion des réseaux virtuels	Chapeau rouge Fournissez des contrôles d'accès aux clients via OpenShift Cluster Manager.	Client Gérez l'accès utilisateur facultatif à AWS composants via OpenShift Cluster Manager.
Gestion du calcul virtuel	Chapeau rouge Fournissez des contrôles d'accès aux clients via OpenShift Cluster Manager.	Client Gérez l'accès utilisateur facultatif à AWS composants via OpenShift Cluster Manager. Création IAM rôles et politiques associées nécessaires pour activer ROSA accès au service.
Gestion du stockage virtuel	Chapeau rouge Fournissez des contrôles d'accès aux clients via OpenShift Cluster Manager.	Client Gérez l'accès utilisateur facultatif à AWS composants via OpenShift Cluster Manager. Création IAM rôles et politiques associées nécessaires pour activer ROSA accès au service.
AWS logiciel (public) AWS services)	AWS Calcul Fournissez le Amazon EC2 service, utilisé pour ROSA plan de contrôle, infrastructure et nœuds de travail. Stockage Fournir Amazon EBS, utilisé pour permettre ROSA pour fournir un stockage sur nœud local et un stockage de volume persistant pour le cluster. Fournir Amazon S3, utilisé pour le registre d'images intégré au service. Réseaux Fournir AWS Identity and Access Management (IAM), utilisé par les clients pour contrôler l'accès à ROSA ressources exécutées sur les comptes clients.	Client Création IAM rôles et politiques associées nécessaires pour activer ROSA accès au service. Utiliser IAM outils pour appliquer les autorisations appropriées à AWS ressources du compte client. Pour activer ROSA à travers votre AWS organisation, le client est responsable de la gestion AWS Organizations administrateurs. Pour activer ROSA à travers votre AWS organisation, le client est responsable de la distribution du ROSA allocation d'admissibilité en utilisant AWS License Manager.
Matériel/AWS infrastructure mondiale	AWS Pour plus d'informations sur les contrôles d'accès physiques pour AWS centres de données, voir Nos contrôles sur le AWS Cloud Page de sécurité.	Client Le client n'est pas responsable de AWS infrastructure mondiale.

Conformité à la sécurité et aux réglementations

Les responsabilités et les contrôles liés à la conformité sont les suivants :

Ressource	Responsabilités liées au service	Responsabilités du client
Journalisation	Chapeau rouge Envoyez les journaux d'audit du cluster à un Red Hat SIEM pour qu'il analyse les événements de sécurité. Conservez les journaux d'audit pendant une période définie pour faciliter l'analyse médico-légale.	Client Analysez les journaux des applications pour détecter les événements de sécurité. Envoyez les journaux des applications à un point de terminaison externe via des conteneurs annexes ou des applications de journalisation tierces si une conservation plus longue que celle proposée par la pile de journalisation par défaut est requise.
Gestion des réseaux virtuels	Chapeau rouge Surveillez les composants du réseau virtuel pour détecter les problèmes potentiels et les menaces de sécurité. Utilisation publique AWS des outils pour une surveillance et une protection supplémentaires.	Client Surveillez les composants réseau virtuels configurés en option pour détecter les problèmes potentiels et les menaces de sécurité. Configurez les règles de pare-feu ou les protections du centre de données client nécessaires selon les besoins.
Gestion du calcul virtuel	Chapeau rouge Surveillez les composants informatiques virtuels pour détecter les problèmes potentiels et les menaces de sécurité. Utilisation publique AWS des outils pour une surveillance et une protection supplémentaires.	Client Surveillez les composants réseau virtuels configurés en option pour détecter les problèmes potentiels et les menaces de sécurité. Configurez les règles de pare-feu ou les protections du centre de données client nécessaires selon les besoins.
Gestion du stockage virtuel	Chapeau rouge Surveillez les composants de stockage virtuel pour détecter les problèmes potentiels et les menaces de sécurité. Utilisation publique AWS des outils pour une surveillance et une protection supplémentaires. Configurez le ROSA service permettant de chiffrer par défaut les données du plan de contrôle, de l'infrastructure et du volume des nœuds de travail à l'aide du AWS KMSclé gérée qui Amazon EBS fournit. Configurez le ROSA service permettant de chiffrer les volumes persistants des clients qui utilisent la classe de stockage par défaut avec AWS KMSclé gérée qui Amazon EBS fournit. Permettre au client d'utiliser un service géré par le client KMS key pour chiffrer les volumes persistants. Configurer le registre d'images du conteneur pour chiffrer les données du registre d'images au repos à l'aide du chiffrement côté serveur avec Amazon S3 clés gérées (SSE-3). Permettre au client de créer un compte public ou privé Amazon S3 registre d'images pour protéger leurs images de conteneur contre tout accès non autorisé par des utilisateurs.	Client Disposition Amazon EBS volumes. Gérer Amazon EBS stockage en volume pour garantir que suffisamment de stockage est disponible pour le montage en tant que volume dans ROSA. Créez la réclamation de volume persistant et générez un volume persistant via OpenShift Cluster Manager.
AWS logiciel (public) AWS services)	AWS Calcul Fournir Amazon EC2, utilisé pour ROSA plan de contrôle, infrastructure et nœuds de travail. Pour plus d'informations, consultez la section Sécurité de l'infrastructure dans Amazon EC2dans le Amazon EC2 Guide de l'utilisateur. Stockage Fournir Amazon EBS, utilisé pour ROSA les volumes du plan de contrôle, de l'infrastructure et des nœuds de travail, ainsi que les volumes persistants de Kubernetes. Pour plus d'informations, consultez la section Protection des données dans Amazon EC2dans le Amazon EC2 Guide de l'utilisateur. Fournir AWS KMS, qui ROSA utilise pour chiffrer les volumes du plan de contrôle, de l'infrastructure, des nœuds de travail et des volumes persistants. Pour plus d’informations, consultez .Amazon EBS chiffrement dans le Amazon EC2 Guide de l'utilisateur. Fournir Amazon S3, utilisé pour le registre d'images de conteneur intégré au ROSA service. Pour plus d’informations, consultez .Amazon S3 sécurité dans le Amazon S3 Guide de l'utilisateur. Réseaux Fournir des fonctionnalités et des services de sécurité pour renforcer la confidentialité et contrôler l'accès au réseau sur AWS infrastructure mondiale, y compris les pare-feux réseau intégrés Amazon VPC, des connexions réseau privées ou dédiées et le chiffrement automatique de tout le trafic sur le AWS réseaux mondiaux et régionaux entre AWS installations sécurisées. Pour de plus amples informations, veuillez consulter le .AWS Modèle de responsabilité partagée et sécurité de l'infrastructure dans l'introduction à AWS Livre blanc sur la sécurité.	Client Assurez-vous que les meilleures pratiques de sécurité et le principe du moindre privilège sont respectés pour protéger les données sur le Amazon EC2 instance. Pour plus d'informations, consultez la section Sécurité de l'infrastructure dans Amazon EC2et protection des données dans Amazon EC2. Surveillez les composants réseau virtuels configurés en option pour détecter les problèmes potentiels et les menaces de sécurité. Configurez les règles de pare-feu ou les protections du centre de données client nécessaires selon les besoins. Créez une KMS clé optionnelle gérée par le client et chiffrez le Amazon EBS volume persistant à l'aide de la KMS clé. Surveillez les données des clients dans le stockage virtuel pour détecter les problèmes potentiels et les menaces de sécurité. Pour de plus amples informations, veuillez consulter le .AWS Modèle de responsabilité partagée.
Matériel/AWS infrastructure mondiale	AWS Fournissez le AWS une infrastructure mondiale qui ROSA utilise pour fournir des fonctionnalités de service. Pour plus d'informations sur AWS contrôles de sécurité, voir Sécurité du AWS Infrastructure dans le AWS livre blanc. Fournir de la documentation au client pour gérer les besoins de conformité et vérifier son état de sécurité dans AWS en utilisant des outils tels que AWS Artifact and AWS Security Hub.	Client Configurez, gérez et surveillez les applications et les données des clients afin de garantir que les contrôles de sécurité des applications et des données sont correctement appliqués. Utiliser IAM outils pour appliquer les autorisations appropriées à AWS ressources du compte client.

Reprise après sinistre

La reprise après sinistre inclut la sauvegarde des données et de la configuration, la réplication des données et la configuration de l'environnement de reprise après sinistre, ainsi que le basculement en cas de sinistre.

Ressource	Responsabilités liées au service	Responsabilités du client
Gestion des réseaux virtuels	Chapeau rouge Restaurez ou recréez les composants réseau virtuels concernés qui sont nécessaires au fonctionnement de la plate-forme.	Client Configurez des connexions réseau virtuelles avec plusieurs tunnels dans la mesure du possible pour vous protéger contre les pannes. Maintenez le basculement DNS et l'équilibrage de charge si vous utilisez un équilibreur de charge global avec plusieurs clusters.
Gestion du calcul virtuel	Chapeau rouge La surveillance du cluster et le remplacement ont échoué Amazon EC2 plan de contrôle ou nœuds d'infrastructure. Donnez au client la possibilité de remplacer manuellement ou automatiquement les nœuds de travail défaillants.	Client Le remplacement a échoué Amazon EC2 nœuds de travail en modifiant la configuration du pool de machines via OpenShift Cluster Manager ou le ROSA CLI.
Gestion du stockage virtuel	Chapeau rouge Dans ROSA clusters créés avec AWS IAM informations d'identification utilisateur, sauvegardez tous les objets Kubernetes du cluster via des instantanés de volume horaires, quotidiens et hebdomadaires.	Client Sauvegardez les applications clients et les données des applications.
AWS logiciel (public) AWS services)	AWS Calcul Fournir Amazon EC2 fonctionnalités qui favorisent la résilience des données, telles que Amazon EBS instantanés et Amazon EC2 Auto Scaling. Pour plus d'informations, voir Résilience dans Amazon EC2dans le Amazon EC2 Guide de l'utilisateur. Stockage Fournir la capacité de ROSA service et clients pour sauvegarder le Amazon EBS volume sur le cluster via Amazon EBS instantanés de volume. Pour plus d'informations sur Amazon S3 fonctionnalités qui favorisent la résilience des données, voir Résilience dans Amazon S3. Réseaux Pour plus d'informations sur Amazon VPC fonctionnalités qui favorisent la résilience des données, voir Résilience dans Amazon Virtual Private Clouddans le Amazon VPC Guide de l'utilisateur.	Client Configuration ROSA Des clusters multi-AZ pour améliorer la tolérance aux pannes et la disponibilité des clusters. Provisionnez des volumes persistants à l'aide du Amazon EBS CSIpilote pour activer les instantanés de volume. Créez des instantanés de CSI volumes de Amazon EBS volumes persistants.
Matériel/AWS infrastructure mondiale	AWS Fournir AWS une infrastructure mondiale qui permet ROSA pour faire évoluer le plan de contrôle, l'infrastructure et les nœuds de travail entre les zones de disponibilité. Cette fonctionnalité permet ROSA pour orchestrer le basculement automatique entre les zones sans interruption. Pour plus d'informations sur les meilleures pratiques de reprise après sinistre, consultez la section Options de reprise après sinistre dans le cloud dans le AWS Framework Well-Architected.	Client Configuration ROSA Des clusters multi-AZ pour améliorer la tolérance aux pannes et la disponibilité des clusters.

Responsabilités du client à l'égard des données et des applications

Le client est responsable des applications, des charges de travail et des données sur lesquelles il déploie Red Hat OpenShift Service on AWS. Cependant, AWS et Red Hat fournissent divers outils pour aider le client à gérer les données et les applications sur la plateforme.

Ressource	Comment AWS et Red Hat vous aide	Responsabilités du client
Données sur les clients	Chapeau rouge Respectez les normes de chiffrement des données au niveau de la plate-forme, telles que définies par les normes de sécurité et de conformité du secteur. Fournissez OpenShift des composants pour aider à gérer les données des applications, telles que les secrets. Facilitez l'intégration avec des services de données tels que Amazon RDS pour stocker et gérer des données en dehors du cluster et/ou AWS. AWS Fournir Amazon RDS pour permettre aux clients de stocker et de gérer des données en dehors du cluster.	Client Assumez la responsabilité de toutes les données clients stockées sur la plateforme et de la manière dont les applications clients consomment et exposent ces données.
Applications destinées aux clients	Chapeau rouge Provisionnez des clusters avec OpenShift des composants installés afin que les clients puissent accéder à Kubernetes OpenShift et APIs pour déployer et gérer des applications conteneurisées. Créez des clusters avec des secrets d'extraction d'images afin que les déploiements des clients puissent extraire des images du registre Red Hat Container Catalog. Fournir un accès OpenShift APIs qu'un client peut utiliser pour configurer les opérateurs afin d'ajouter une communauté, un tiers, AWS, et les services Red Hat destinés au cluster. Fournissez des classes de stockage et des plug-ins pour prendre en charge les volumes persistants à utiliser avec les applications des clients. Fournissez un registre d'images de conteneur afin que les clients puissent stocker en toute sécurité des images de conteneurs d'applications sur le cluster afin de déployer et de gérer des applications. AWS Fournir Amazon EBS pour prendre en charge les volumes persistants à utiliser avec les applications des clients. Fournir Amazon S3 pour prendre en charge le provisionnement par Red Hat du registre d'images de conteneurs.	Client Assumez la responsabilité des applications clients et tierces, des données et du cycle de vie complet des applications. Si un client ajoute des services Red Hat, communautaires, tiers, ses propres services ou d'autres services au cluster à l'aide d'opérateurs ou d'images externes, il est responsable de ces services et de la collaboration avec le fournisseur approprié (y compris Red Hat) pour résoudre les problèmes éventuels. Utilisez les outils et fonctionnalités fournis pour configurer et déployer, rester à jour, configurer les demandes et les limites de ressources, dimensionner le cluster afin de disposer de suffisamment de ressources pour exécuter des applications, configurer les autorisations, intégrer d'autres services, gérer les flux d'images ou les modèles déployés par le client, servir en externe, enregistrer, sauvegarder et restaurer les données, et gérer autrement leurs charges de travail hautement disponibles et résilientes. Assumer la responsabilité de la surveillance des applications exécutées sur Red Hat OpenShift Service on AWS, y compris l'installation et l'exploitation de logiciels permettant de recueillir des métriques, de créer des alertes et de protéger les secrets de l'application.

Ressource

Comment AWS et Red Hat vous aide

Responsabilités du client

Données sur les clients

Chapeau rouge

Respectez les normes de chiffrement des données au niveau de la plate-forme, telles que définies par les normes de sécurité et de conformité du secteur.
Fournissez OpenShift des composants pour aider à gérer les données des applications, telles que les secrets.
Facilitez l'intégration avec des services de données tels que Amazon RDS pour stocker et gérer des données en dehors du cluster et/ou AWS.

AWS

Fournir Amazon RDS pour permettre aux clients de stocker et de gérer des données en dehors du cluster.

Client

Assumez la responsabilité de toutes les données clients stockées sur la plateforme et de la manière dont les applications clients consomment et exposent ces données.

Applications destinées aux clients

Chapeau rouge

Provisionnez des clusters avec OpenShift des composants installés afin que les clients puissent accéder à Kubernetes OpenShift et APIs pour déployer et gérer des applications conteneurisées.
Créez des clusters avec des secrets d'extraction d'images afin que les déploiements des clients puissent extraire des images du registre Red Hat Container Catalog.
Fournir un accès OpenShift APIs qu'un client peut utiliser pour configurer les opérateurs afin d'ajouter une communauté, un tiers, AWS, et les services Red Hat destinés au cluster.
Fournissez des classes de stockage et des plug-ins pour prendre en charge les volumes persistants à utiliser avec les applications des clients.
Fournissez un registre d'images de conteneur afin que les clients puissent stocker en toute sécurité des images de conteneurs d'applications sur le cluster afin de déployer et de gérer des applications.

AWS

Fournir Amazon EBS pour prendre en charge les volumes persistants à utiliser avec les applications des clients.
Fournir Amazon S3 pour prendre en charge le provisionnement par Red Hat du registre d'images de conteneurs.

Client

Assumez la responsabilité des applications clients et tierces, des données et du cycle de vie complet des applications.
Si un client ajoute des services Red Hat, communautaires, tiers, ses propres services ou d'autres services au cluster à l'aide d'opérateurs ou d'images externes, il est responsable de ces services et de la collaboration avec le fournisseur approprié (y compris Red Hat) pour résoudre les problèmes éventuels.
Utilisez les outils et fonctionnalités fournis pour configurer et déployer, rester à jour, configurer les demandes et les limites de ressources, dimensionner le cluster afin de disposer de suffisamment de ressources pour exécuter des applications, configurer les autorisations, intégrer d'autres services, gérer les flux d'images ou les modèles déployés par le client, servir en externe, enregistrer, sauvegarder et restaurer les données, et gérer autrement leurs charges de travail hautement disponibles et résilientes.
Assumer la responsabilité de la surveillance des applications exécutées sur Red Hat OpenShift Service on AWS, y compris l'installation et l'exploitation de logiciels permettant de recueillir des métriques, de créer des alertes et de protéger les secrets de l'application.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Qu'est-ce que Red Hat OpenShift Service on AWS?

Architecture