GKE Enterprise 共同責任
在 GKE Enterprise 上執行重要業務應用程式時,需要多個當事人承擔不同責任。本主題列出 Google 和客戶在各個 GKE Enterprise 叢集選項中的角色和責任,但並非詳盡清單。
本文適用於管理底層技術基礎架構生命週期的管理員、架構師和操作員。如要進一步瞭解 Google Cloud 內容中提及的常見角色和範例工作,請參閱常見的 GKE Enterprise 使用者角色和工作。
Google Cloud 中的 GKE
Google 的責任
- 保護底層基礎架構,包括硬體、韌體、核心、作業系統、儲存空間、網路等。包括預設加密靜態資料、提供額外的客戶管理磁碟加密、加密傳輸中的資料、使用專為安全設計的硬體、鋪設私有網路線、防止實體存取資料中心、使用 Shielded Nodes 保護開機載入程式和核心,避免遭到修改,以及遵循安全的軟體開發做法。
- 強化和修補節點的作業系統,例如 Container-Optimized OS 或 Ubuntu。GKE 會及時提供這些映像檔的任何修補程式。如果啟用自動升級功能,或是使用發布版本,系統會自動部署這些更新。這是容器底下的 OS 層,與容器中執行的作業系統不同。
- 透過 Container Threat Detection,在核心中建構及運作容器專屬威脅的威脅偵測功能 (需搭配 Security Command Center,並另行付費)。
- 強化及修補 Kubernetes 節點元件。升級 GKE 節點版本時,所有 GKE 管理的元件都會自動升級。包括:
- 以 vTPM 為基礎的信任啟動機制,用於核發 kubelet TLS 憑證,以及自動輪替憑證
- 強化 kubelet 設定 (遵循 CIS 基準)
- 適用於工作負載身分的 GKE 中繼資料伺服器
- GKE 的原生容器網路介面外掛程式和 Calico for NetworkPolicy
- GKE Kubernetes 儲存空間整合,例如 CSI 驅動程式
- GKE 記錄和監控代理程式
- 強化及修補控制層。控制層包括控制層 VM、API 伺服器、排程器、控制器管理工具、叢集 CA、TLS 憑證核發和輪替、信任根金鑰材料、IAM 驗證器和授權者、稽核記錄設定、etcd,以及各種其他控制器。所有控制層元件都會在 Google 運作的 Compute Engine 執行個體上執行。這些執行個體是單一租戶,也就是說,每個執行個體只會為一位客戶執行控制層及其元件。
- 提供 Connect、Identity and Access Management、Cloud 稽核記錄、Google Cloud Observability、Cloud Key Management Service、Security Command Center 等服務的整合功能。 Google Cloud
- 透過資料存取透明化控管機制,限制並記錄 Google 對客戶叢集的管理存取權,以利合約支援。
客戶責任
- 維護工作負載,包括應用程式程式碼、建構檔案、容器映像檔、資料、角色式存取控管 (RBAC)/IAM 政策,以及您執行的容器和 Pod。
- 輪替叢集憑證。
- 讓標準節點集區加入自動升級。
- 在下列情況下,請在貴機構的修補時間表內,手動升級叢集和節點集區,以修正安全性弱點:
- 自動升級作業因維護政策等因素而延後。
- 您必須先套用修補程式,才能在所選發布管道中使用。詳情請參閱「從較新的管道執行修補程式版本」。
- 使用安全狀態資訊主頁和 Google Cloud Observability 等技術,監控叢集和應用程式,並回應任何快訊和事件。
- 如果 Google 要求提供環境詳細資料以利疑難排解,請配合提供。
- 確認叢集已啟用記錄和監控功能。如果沒有記錄,我們只能盡力提供支援。
VMware 上的 Google Distributed Cloud (僅限軟體)
Google 的責任
維護及發布 Google Distributed Cloud 軟體套件,包括 Kubernetes、vCenter 和 F5 控制器、Ingress 控制器、Connect、Logging 和 Monitoring 代理程式,以及
gkectl指令列工具。維護及發布 Ubuntu 管理工作站和節點機器映像檔,包括定期修補及修正安全性問題。
使用 Artifact Analysis API 持續掃描元件,並修補已知的安全漏洞。
通知使用者 Google Distributed Cloud 的可用升級版本,並為舊版產生升級指令碼;VMware 上的 Google Distributed Cloud 僅支援循序升級 (僅支援 1.2 → 1.3 → 1.4,不支援 1.2 → 1.4)。
提供 Connect 和 Google Cloud Observability 的 Google Cloud 整合功能。
排解 Google 提供元件相關問題、提供解決方法,並找出根本原因。
客戶責任
地端叢集的整體系統管理。
維護工作負載,包括應用程式程式碼、建構檔案、容器映像檔、資料、角色式存取控管 (RBAC)/IAM 政策,以及您執行的容器和 Pod。
運作、維護及修補基礎架構,包括網路、伺服器、儲存空間和 Google Cloud的連線。
操作、維護及修補 vSphere 和網路負載平衡器。
與 VMware 和 F5 (如果已部署) 維持支援合約。
定期將 Google Distributed Cloud 升級至支援的版本。
在更新後的節點機器映像檔上部署及測試工作負載。在環境中部署及測試更新的管理工作站映像檔。透過 Cloud Customer Care 向 Google 提出疑慮。
監控叢集和應用程式,並處理任何事件。
確認 Logging 和 Monitoring 代理程式已部署至叢集。如果沒有記錄,我們只能盡力提供支援。
如果 Google 要求您提供環境詳細資料 (例如網路設定),請配合提供,以利進行疑難排解。
裸機上的 Google Distributed Cloud (僅限軟體)
Google 的責任
維護及發布 Google Distributed Cloud 軟體套件,包括 Kubernetes、Ingress 控制器、Connect、Logging 和 Monitoring 代理程式,以及
bmctl指令列工具。使用 Artifact Analysis API 持續掃描元件,並修補已知的安全漏洞。
通知使用者 Google Distributed Cloud 的可用升級版本,並提供舊版的升級說明;Google Distributed Cloud on Bare Metal 支援次要版本和修補程式版本之間的循序升級 (僅限 1.2 → 1.3 → 1.4,不支援 1.2 → 1.4)。
提供 Connect 和 Google Cloud Observability 的 Google Cloud 整合功能。
排解 Google 提供元件相關問題、提供解決方法,並找出根本原因。
客戶責任
為叢集提供整體系統管理服務。
維護工作負載,包括應用程式程式碼、建構檔案、容器映像檔、資料、RBAC/IAM 允許政策,以及您執行的容器和 Pod。
運作、維護及修補基礎架構,包括網路、伺服器、儲存空間和 Google Cloud的連線。
與供應商簽訂支援合約。
定期將 Google Distributed Cloud 升級至支援的版本。
在更新後的節點機器映像檔上部署及測試工作負載。在環境中部署及測試更新後的管理工作站映像檔。透過 Cloud Customer Care 向 Google 提出疑慮。
監控叢集和應用程式,並處理任何事件。
確認 Logging 和 Monitoring 代理程式已部署至叢集。如果沒有記錄,我們只能盡力提供支援。
如果 Google 要求您提供環境詳細資料 (例如網路設定),請配合提供,以利進行疑難排解。
GKE on AWS (多雲)
Google 的責任
維護及發布 GKE on AWS 軟體套件,包括 Kubernetes、基礎映像檔、AWS 整合功能、Ingress 控制器、Connect 代理程式和
anthos-gke指令列工具。使用 Artifact Analysis API 持續掃描元件,並修補已知的安全漏洞。
維護及發布管理服務、控制層和節點集區機器映像檔,包括定期修補及修正安全性問題。
通知使用者 GKE on AWS 有可用的升級版本,並提供舊版的升級說明。GKE on AWS 僅支援依序升級 (僅限 1.2 → 1.3 → 1.4,不支援 1.2 → 1.4)。
提供 Connect 和 Google Cloud Observability 的 Google Cloud 整合功能。
排解 Google 提供元件相關問題、提供解決方法,並找出根本原因。
客戶責任
為 GKE on AWS 叢集提供整體系統管理服務。例如,設定這些服務在企業 VPC 環境中運作。
維護工作負載,包括應用程式程式碼、建構檔案、容器映像檔、資料、RBAC/IAM 允許政策,以及您執行的容器和 Pod。
操作及維護 AWS 環境,包括網路設定和 Google Cloud連線。
與 AWS 維持支援合約。
定期將 GKE on AWS 升級至支援的版本。
監控叢集和應用程式,並處理任何事件。
確認 Logging 和 Monitoring 代理程式已部署至叢集。如果沒有記錄,我們只能盡力提供支援。
如果 Google 要求您提供環境詳細資料 (例如 AWS VPC 設定),請配合提供,以利進行疑難排解。
GKE on Azure
Google 的責任
維護及發布 GKE on Azure 軟體套件,包括 Kubernetes、基本映像檔、Azure 整合、Ingress 控制器、Connect 代理程式和 Google Cloud CLI。
使用 Artifact Analysis API 持續掃描元件,並修補已知的安全漏洞。
維護及發布管理服務、控制層和節點集區機器映像檔,包括定期修補及修正安全性問題。
通知使用者 GKE on Azure 有可用的升級版本,並提供舊版的升級說明。GKE on Azure 僅支援循序升級 (只能從 1.2 升級至 1.3,再升級至 1.4,無法直接從 1.2 升級至 1.4)。
提供 Connect 和 Google Cloud Observability 的 Google Cloud 整合功能。
排解 Google 提供元件相關問題、提供解決方法,並找出根本原因。
客戶責任
為 Azure 上的 GKE 叢集提供整體系統管理服務。例如,設定這些服務在公司 VPC 環境中運作。
維護工作負載,包括應用程式程式碼、建構檔案、容器映像檔、資料、RBAC/IAM 允許政策,以及您執行的容器和 Pod。
操作及維護 Azure 環境,包括網路設定和 Google Cloud連線。
與 Azure 維持支援合約。
定期將 Azure 上的 GKE 升級至支援的版本。
監控叢集和應用程式,並處理任何事件。
確認 Logging 和 Monitoring 代理程式已部署至叢集。如果沒有記錄,我們只能盡力提供支援。
如果 Google 要求您提供環境詳細資料 (例如 Azure VNet 設定),請配合提供,以利進行疑難排解。
GKE Enterprise 附加叢集
Google 的責任
提供支援的 Kubernetes 發行版本和版本清單。
通知使用者 GKE Enterprise 元件有可用的升級版本,並提供舊版的升級說明。GKE Enterprise 僅支援循序升級 (只能從 1.2 升級至 1.3,再升級至 1.4,不能直接從 1.2 升級至 1.4)。
提供 Connect 和 Google Cloud Observability 的 Google Cloud 整合功能。
排解 Google 提供元件的相關問題、提供解決方法,並修正根本原因。
客戶責任
提供符合 Google 規格的現代化 Kubernetes 平台。平台包括 (但不限於):硬體、作業系統、Kubernetes API 伺服器、虛擬私有雲設定和其他屬性。
維護工作負載,包括應用程式程式碼、建構檔案、容器映像檔、資料、RBAC/IAM 允許政策,以及您執行的容器和 Pod。
運作、維護及修補基礎架構,包括網路、伺服器、儲存空間和 Google Cloud的連線。
運作、維護及修補執行叢集所需的任何基礎架構。
與第三方維持支援合約。例如:網路、容器協調、運算資源和儲存空間供應商。
定期將 Kubernetes 升級至支援的版本。
監控叢集和應用程式,並處理任何事件。
讓叢集保持與 Google 服務的連線狀態。
如果 Google 要求您提供環境詳細資料 (例如網路設定),請配合提供,以利進行疑難排解。
後續步驟
瞭解 Google 如何處理 GKE Enterprise 的安全性修補程式。
設定下列項目的記錄與監控功能: