Tanggung jawab bersama GKE Enterprise

Menjalankan aplikasi yang penting bagi bisnis di GKE Enterprise memerlukan beberapa pihak untuk mengemban tanggung jawab yang berbeda-beda. Meskipun bukan daftar lengkap, topik ini mencantumkan peran dan tanggung jawab untuk setiap opsi cluster GKE Enterprise bagi Google dan pelanggan.

Halaman ini ditujukan untuk Admin, Arsitek, dan Operator yang mengelola siklus proses infrastruktur teknologi dasar. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud , lihat Peran dan tugas pengguna umum GKE Enterprise.

GKE di Google Cloud

Tanggung jawab Google

• Melindungi infrastruktur dasar, termasuk hardware, firmware, kernel, OS, penyimpanan, jaringan, dan lainnya. Hal ini mencakup mengenkripsi data dalam penyimpanan secara default, memberikan enkripsi disk tambahan yang dikelola pelanggan, mengenkripsi data dalam pengiriman, menggunakan hardware yang dirancang khusus, meletakkan kabel jaringan pribadi, melindungi pusat data dari mengakses, melindungi bootloader dan kernel dari modifikasi menggunakan Shielded Node, dan mengikuti praktik pengembangan software yang aman.
• Hardening dan patching sistem operasi node, seperti Container-Optimized OS atau Ubuntu. GKE segera membuat patch apa pun ke image ini. Jika Anda mengaktifkan upgrade otomatis, atau menggunakan saluran rilis, update ini akan otomatis di-deploy. Ini adalah lapisan OS di bawah container Anda. Ini tidak sama dengan sistem operasi yang berjalan di container Anda.
• Membangun dan mengoperasikan deteksi ancaman untuk ancaman khusus container ke dalam kernel dengan Deteksi Ancaman Container (harga terpisah dengan Security Command Center).
• Hardening dan patching komponen node Kubernetes. Semua komponen yang dikelola GKE akan diupgrade secara otomatis saat Anda mengupgrade versi node GKE. Hal ini mencakup:
  • Mekanisme bootstrap tepercaya yang didukung vTPM untuk menerbitkan sertifikat TLS kubelet dan rotasi otomatis sertifikat
  • Konfigurasi kubelet yang telah melalui proses hardening mengikuti benchmark CIS
  • Server metadata GKE untuk Workload identity
  • Plugin Container Network Interface dan Calico untuk NetworkPolicy native GKE
  • Integrasi penyimpanan Kubernetes GKE seperti driver CSI
  • Agen logging dan pemantauan GKE
• Hardening dan patching bidang kontrol. Bidang kontrol mencakup VM bidang kontrol, server API, penjadwal, pengelola pengontrol, penerbitan dan rotasi sertifikat TLS CA cluster, materi kunci root of trust, pengautentikasi dan pemberi otorisasi IAM, konfigurasi pencatatan audit, etcd, dan berbagai pengontrol lainnya. Semua komponen bidang kontrol Anda berjalan pada instance Compute Engine yang dioperasikan Google. Instance ini adalah tenant tunggal, yang berarti setiap instance menjalankan bidang kontrol dan komponennya hanya untuk satu pelanggan.
• Menyediakan Google Cloud integrasi untuk Connect, Identity and Access Management, Cloud Audit Logs, Google Cloud Observability, Cloud Key Management Service, Security Command Center, dan lainnya.
• Batasi dan catat akses administratif Google ke cluster pelanggan untuk tujuan dukungan kontrak dengan Transparansi Akses.

Tanggung jawab pelanggan

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.
• Rotasi kredensial cluster Anda.
• Tetapkan node pool Standard yang terdaftar dalam upgrade otomatis.
• Dalam situasi berikut, upgrade cluster dan node pool Anda secara manual untuk memperbaiki kerentanan dalam jadwal penerapan patch organisasi Anda:
  • Upgrade otomatis ditunda karena faktor seperti kebijakan pemeliharaan.
  • Anda harus menerapkan patch sebelum tersedia di saluran rilis yang dipilih. Untuk informasi selengkapnya, lihat Menjalankan versi patch dari saluran yang lebih baru.
• Pantau cluster dan aplikasi serta respons terhadap pemberitahuan dan insiden apa pun menggunakan teknologi seperti dasbor postur keamanan dan Google Cloud Observability.
• Memberikan detail lingkungan kepada Google saat diminta untuk tujuan pemecahan masalah.
• Pastikan Logging dan Monitoring diaktifkan di cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

Google Distributed Cloud (khusus software) di VMware

Tanggung jawab Google

• Memelihara dan mendistribusikan paket software Google Distributed Cloud, termasuk pengontrol Kubernetes, vCenter, dan F5, pengontrol Ingress, agen Connect, Logging, dan Monitoring, serta alat command line gkectl.

• Memelihara dan mendistribusikan image mesin node dan workstation admin Ubuntu, termasuk pembuatan patch dan perbaikan keamanan secara rutin.

• Terus memindai komponen dengan Artifact Analysis API dan menambal kerentanan yang diketahui.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk Google Distributed Cloud, dan membuat skrip upgrade untuk versi sebelumnya; Google Distributed Cloud di VMware hanya mendukung upgrade berurutan (1.2 → 1.3 → 1.4 saja, bukan 1.2 → 1.4).

• Menyediakan Google Cloud integrasi untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi sementara, dan memperbaiki akar penyebab masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Administrasi sistem secara keseluruhan untuk cluster lokal.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, Kebijakan kontrol akses berbasis peran (RBAC), IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan, memelihara, dan memperbaiki infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Mengoperasikan, memelihara, dan menerapkan patch vSphere dan load balancer jaringan.

• Pertahankan kontrak dukungan dengan VMware dan F5 (jika di-deploy).

• Upgrade Google Distributed Cloud ke versi yang didukung secara rutin.

• Deploy dan uji workload Anda pada image mesin node yang diupdate. Deploy dan uji image workstation admin yang diupdate di lingkungan Anda. Sampaikan kekhawatiran kepada Google melalui Cloud Customer Care.

• Pantau cluster dan aplikasi serta respons terhadap insiden apa pun.

• Pastikan agen Logging dan Monitoring di-deploy ke cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

• Memberikan detail lingkungan (misalnya, konfigurasi jaringan) kepada Google saat diminta untuk tujuan pemecahan masalah.

Google Distributed Cloud (khusus software) di bare metal

Tanggung jawab Google

• Memelihara dan mendistribusikan paket software Google Distributed Cloud, termasuk Kubernetes, pengontrol Ingress, agen Connect, serta Logging dan Monitoring, dan alat command line bmctl.

• Terus memindai komponen dengan Artifact Analysis API dan menambal kerentanan yang diketahui.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk Google Distributed Cloud, dan membuat petunjuk upgrade untuk versi sebelumnya; Google Distributed Cloud di bare metal mendukung upgrade berurutan antara versi minor dan rilis patch (hanya 1.2 → 1.3 → 1.4, bukan 1.2 → 1.4).

• Menyediakan Google Cloud integrasi untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi sementara, dan memperbaiki akar penyebab masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan administrasi sistem secara keseluruhan untuk cluster.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan, memelihara, dan memperbaiki infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Mempertahankan kontrak dukungan dengan vendor.

• Upgrade Google Distributed Cloud ke versi yang didukung secara rutin.

• Deploy dan uji workload Anda pada image mesin node yang diupdate. Deploy dan uji image workstation Admin yang telah diupdate di lingkungan Anda. Sampaikan kekhawatiran kepada Google melalui Cloud Customer Care.

• Pantau cluster dan aplikasi serta respons terhadap insiden apa pun.

• Pastikan agen Logging dan Monitoring di-deploy ke cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

• Memberikan detail lingkungan (misalnya, konfigurasi jaringan) kepada Google saat diminta untuk tujuan pemecahan masalah.

GKE di AWS (multi-cloud)

Tanggung jawab Google

• Memelihara dan mendistribusikan paket software GKE di AWS, termasuk Kubernetes, image dasar, fitur integrasi AWS, pengontrol Ingress, agen Connect, dan alat command line anthos-gke.

• Terus memindai komponen dengan Artifact Analysis API dan menambal kerentanan yang diketahui.

• Mengelola dan mendistribusikan layanan pengelolaan, bidang kontrol, dan image mesin node pool, termasuk patch reguler dan perbaikan keamanan.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk GKE di AWS, dan membuat petunjuk upgrade untuk versi sebelumnya. GKE on AWS hanya mendukung upgrade berurutan (1.2 → 1.3 → 1.4 saja, bukan 1.2 → 1.4).

• Menyediakan Google Cloud integrasi untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi sementara, dan memperbaiki akar penyebab masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan administrasi sistem secara keseluruhan untuk cluster GKE di AWS. Misalnya, mengonfigurasi agar berfungsi dalam lingkungan VPC perusahaan.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan dan mengelola lingkungan AWS, termasuk konfigurasi jaringan, dan konektivitas ke Google Cloud.

• Mempertahankan kontrak dukungan dengan AWS.

• Upgrade GKE on AWS ke versi yang didukung secara rutin.

• Pantau cluster dan aplikasi serta respons terhadap insiden apa pun.

• Pastikan agen Logging dan Monitoring di-deploy ke cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi VPC AWS) saat diminta untuk tujuan pemecahan masalah.

GKE di Azure

Tanggung jawab Google

• Memelihara dan mendistribusikan paket software GKE di Azure termasuk Kubernetes, image dasar, integrasi Azure, pengontrol Ingress, agen Connect, dan Google Cloud CLI.

• Terus memindai komponen dengan Artifact Analysis API dan menambal kerentanan yang diketahui.

• Mengelola dan mendistribusikan layanan pengelolaan, bidang kontrol, dan image mesin node pool, termasuk patch reguler dan perbaikan keamanan.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk GKE di Azure, dan membuat petunjuk upgrade untuk versi sebelumnya. GKE di Azure hanya mendukung upgrade berurutan (1.2 → 1.3 → 1.4 saja, bukan 1.2 → 1.4).

• Menyediakan Google Cloud integrasi untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi sementara, dan memperbaiki akar penyebab masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan administrasi sistem secara keseluruhan untuk cluster GKE di Azure. Misalnya, mengonfigurasi agar berfungsi dalam lingkungan VPC perusahaan.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan dan memelihara lingkungan Azure, termasuk konfigurasi jaringan, dan konektivitas ke Google Cloud.

• Mempertahankan kontrak dukungan dengan Azure.

• Upgrade GKE on Azure ke versi yang didukung secara rutin.

• Pantau cluster dan aplikasi serta respons terhadap insiden apa pun.

• Pastikan agen Logging dan Monitoring di-deploy ke cluster. Tanpa log, dukungan tersedia berdasarkan upaya terbaik.

• Memberikan detail lingkungan kepada Google (misalnya, konfigurasi VNet Azure) saat diminta untuk tujuan pemecahan masalah.

Cluster terpasang GKE Enterprise

Tanggung jawab Google

• Berikan daftar distribusi dan versi Kubernetes yang didukung.

• Memberi tahu pengguna tentang upgrade yang tersedia untuk komponen GKE Enterprise, dan membuat petunjuk upgrade untuk versi sebelumnya. GKE Enterprise hanya mendukung upgrade berurutan (1.2 → 1.3 → 1.4 saja, bukan 1.2 → 1.4).

• Menyediakan Google Cloud integrasi untuk Connect dan Google Cloud Observability.

• Memecahkan masalah, memberikan solusi, dan memperbaiki akar masalah apa pun yang terkait dengan komponen yang disediakan Google.

Tanggung jawab pelanggan

• Menyediakan platform Kubernetes modern yang memenuhi spesifikasi Google. Platform mencakup, tetapi tidak terbatas pada: hardware, OS, server Kubernetes API, konfigurasi VPC, dan atribut lainnya.

• Mempertahankan workload Anda, termasuk kode aplikasi, file build, image container, data, kebijakan izin RBAC/IAM, serta container dan pod yang Anda jalankan.

• Mengoperasikan, memelihara, dan memperbaiki infrastruktur, termasuk jaringan, server, penyimpanan, dan konektivitas ke Google Cloud.

• Operasikan, kelola, dan patch infrastruktur apa pun yang diperlukan untuk menjalankan cluster.

• Mempertahankan kontrak dukungan dengan pihak ketiga. Misalnya: vendor jaringan, orkestrasi penampung, resource komputasi, dan penyimpanan.

• Upgrade Kubernetes ke versi yang didukung secara rutin.

• Pantau cluster dan aplikasi serta respons terhadap insiden apa pun.

• Pastikan cluster Anda tetap terhubung ke layanan Google.

• Memberikan detail lingkungan (misalnya, konfigurasi jaringan) kepada Google saat diminta untuk tujuan pemecahan masalah.

Langkah berikutnya

• Pelajari cara Google menangani Patching keamanan untuk GKE Enterprise.

• Konfigurasi Logging dan Pemantauan untuk:

  • Google Distributed Cloud di VMware
  • Google Distributed Cloud di bare metal
  • GKE di AWS
  • Cluster terpasang GKE