Soporte y responsabilidades compartidas

Obtenga información sobre algunas de las responsabilidades clave tanto para Oracle como para los usuarios, junto con las políticas y limitaciones de soporte técnico para Kubernetes Engine (OKE). Descubra también las responsabilidades relacionadas con la gestión de nodos, los componentes del plano de control gestionado, los componentes de código abierto de terceros y la gestión de parches y seguridad.

La ejecución de una aplicación esencial para el negocio en Kubernetes Engine requiere que tanto usted como Oracle asuman responsabilidades diferentes pero igualmente esenciales. Este tema no exhaustivo:

Captura algunas de las responsabilidades clave tanto para usted como para Oracle.
Describe las políticas de soporte técnico y las limitaciones de Kubernetes Engine.
Detalla las responsabilidades de gestión de nodos, componentes de plano de control gestionado, componentes de código abierto de terceros, seguridad y gestión de parches.

Responsabilidades de Oracle para el plano de control

Kubernetes Engine proporciona un plano de control de Kubernetes totalmente gestionado, que consta de los componentes necesarios para los clusters de Kubernetes. Oracle mantiene y opera todos los componentes del plano de control. El servicio está "gestionado" en el sentido de que Oracle despliega, opera y es responsable de la disponibilidad y funcionalidad del servicio.

Kubernetes Engine está certificado como software de Kubernetes conforme a CNCF a través del Programa de conformidad de Kubernetes certificado. El programa de conformidad de Kubernetes certificado garantiza que la versión de Kubernetes de cada proveedor sea compatible con las API necesarias. Para las organizaciones que utilizan Kubernetes, la conformidad permite la interoperabilidad entre una instalación de Kubernetes y otra. En comparación con el proyecto ascendente de Kubernetes, Oracle limita la personalización para garantizar una experiencia de usuario estable y coherente.

Como parte de un plano de control de Kubernetes totalmente gestionado, Kubernetes Engine gestiona y supervisa los siguientes componentes:

Estos componentes están totalmente gestionados por Oracle y existen en el arrendamiento del servicio Kubernetes Engine. No puede acceder directamente a los componentes totalmente gestionados y solo puede modificarlos de formas soportadas por las API públicas de Kubernetes Engine.

Dado que el motor de Kubernetes proporciona un plano de control de Kubernetes gestionado, Oracle realiza copias de seguridad automatizadas de etcd cada 15 minutos. No puede acceder a estas copias de seguridad. Sin embargo, si se produce un evento que requiere recuperación ante desastres, Oracle utiliza estas copias de seguridad para restaurar clusters creados por Kubernetes Engine.

Si desea configurar o acceder directamente al plano de control de Kubernetes, considere el uso del proveedor de API de cluster de Kubernetes para Oracle Cloud Infrastructure para desplegar clusters de Kubernetes autogestionados.

Responsabilidades compartidas para el plano de control

Oracle es responsable de gestionar el plano de control de Kubernetes (incluidos los propios componentes del plano de control de Kubernetes y las instancias informáticas que alojan estos componentes).

Sin embargo, la actualización del plano de control de Kubernetes es una tarea de la que usted y Oracle comparten responsabilidad.

Kubernetes Engine publica regularmente actualizaciones para admitir nuevas versiones secundarias y de parches de Kubernetes, que contienen mejoras de seguridad o funcionalidad para los componentes del plano de control de Kubernetes.

Es responsable de iniciar la actualización de los componentes del plano de control de Kubernetes mediante las interfaces de usuario proporcionadas (como la consola, la API y la CLI). Consulte Actualización de la Versión de Kubernetes en Nodos de Plano de Control de un Cluster.

Una vez que haya iniciado la actualización del plano de control de Kubernetes, Oracle tiene la responsabilidad de realizar realmente la actualización del plano de control.

Responsabilidades compartidas para el plano de datos

Usted y Oracle comparten responsabilidades para los componentes del plano de datos. Los componentes del plano de datos se dividen en dos categorías:

Componentes de Kubernetes que se deben ejecutar en el plano de datos para que un cluster funcione correctamente.
Nodos de trabajador que ejecutan las aplicaciones que despliega en un cluster.

Componentes de Kubernetes

Kubernetes Engine gestiona los siguientes componentes de Kubernetes del plano de datos:

kubelet
kube-proxy
Plugin CNI (kube-flannel o red de pod nativo de VCN)
Plugin de volumen CSI
CoreDNS
Complementos adicionales que se ejecutan en el espacio de nombres kube-system (más específicamente, solo aquellos complementos instalados por Kubernetes Engine y aquellos complementos para los que se han incluido instrucciones de instalación en la documentación de Kubernetes Engine).

Estos componentes se ejecutan en el plano de datos de Kubernetes y, por lo tanto, tiene acceso a ellos. Vd. y Oracle comparten la responsabilidad de garantizar que los componentes funcionen correctamente. Oracle refuerza los componentes anteriores para cumplir con las referencias de Center for Internet Security (CIS) y Security Technical Implementation Guide (STIG). Sin embargo, si modifica o elimina cualquiera de los componentes, Oracle considerará que el cluster no es compatible.

nodos de trabajador

Los nodos de trabajador de los arrendamientos de usuarios (nodos gestionados y nodos autogestionados) forman parte del plano de datos y usted y Oracle comparten la responsabilidad de ellos. Además, los nodos de trabajador ejecutan código privado y almacenan datos confidenciales. Como resultado, Kubernetes Engine y Oracle Support no tienen acceso a los nodos de trabajador. Por lo tanto, es responsable de ayudar en el mantenimiento de los nodos de trabajador. Por ejemplo, sin su ayuda, los Servicios de Soporte Oracle no pueden conectarse a nodos de trabajador, ejecutar comandos en nodos de trabajador ni ver logs para nodos de trabajador.

Es responsabilidad de Oracle:

Proporcione imágenes de sistema operativo soportadas por Oracle para nodos de trabajador y, si es necesario, aplique parches rápidamente a esas imágenes. Tenga en cuenta que Oracle no aplica parches automáticamente a los nodos de trabajador ni proporciona parches para imágenes personalizadas.
Mejore Kubernetes Engine para admitir nuevas versiones de Kubernetes.
Permite actualizar los nodos de trabajador existentes de versiones de Kubernetes anteriores (pero aún soportadas) a versiones más recientes.
Soporta la actualización de nodos de trabajador de versiones de Kubernetes no soportadas de Kubernetes a versiones soportadas (aunque Oracle no proporciona soporte para clusters que ejecutan versiones no soportadas).

Es su responsabilidad:

Actualice regularmente la imagen del sistema operativo que se ejecuta en los nodos de trabajador cambiando la propiedad Imagen de su pool de nodos y eliminando los nodos de trabajador que ejecutan imágenes antiguas (consulte Creación de nodos de trabajador con propiedades actualizadas). Tenga en cuenta que esto se aplica al sistema operativo de nivel de host que se ejecuta en los nodos debajo de los contenedores, en lugar del sistema operativo que se ejecuta en los propios contenedores.
Actualice regularmente los nodos de trabajador a las versiones de Kubernetes soportadas por Kubernetes Engine (consulte Actualización de clusters a versiones más recientes de Kubernetes).
Refuerce el sistema operativo host y cualquier software de plano de datos que no sea de Kubernetes para cumplir con los requisitos de conformidad y seguridad (por ejemplo, referencias de CIS o STIG).
Mantenga las cargas de trabajo, incluido el código de aplicación, los archivos de creación, las imágenes de contenedor, los datos, las políticas de control de acceso basado en roles (RBAC)/IAM, y los contenedores y los pods.
Configurar y mantener las redes de cluster necesarias, incluidas las redes virtuales en la nube, las subredes, los gateways, etc. (consulte Configuración de recursos de red para la creación y el despliegue de clusters).
Supervise el cluster y las aplicaciones, y responda a cualquier alerta e incidente.
Proporcione a Oracle detalles del entorno cuando se solicite para solucionar problemas.

Responsabilidades compartidas para aplicar parches a problemas de seguridad

Usted y Oracle tienen la responsabilidad compartida de aplicar parches a problemas de seguridad, de la siguiente manera:

Si se detecta una vulnerabilidad de seguridad en uno o más componentes del plano de control de Kubernetes gestionados por Kubernetes Engine, es responsabilidad de Oracle aplicar parches a todos los clusters afectados para mitigar el problema.
Si se detecta una vulnerabilidad de seguridad en uno o más componentes del plano de datos de Kubernetes, es responsabilidad de Oracle proporcionar una imagen con parches. Es su responsabilidad actualizar el plano de datos de Kubernetes con esta imagen con parches.

Cobertura de soporte

Áreas cubiertas por los Servicios de Soporte Oracle

Oracle proporciona soporte a través de My Oracle Support (MOS) para las siguientes áreas:

Conectividad al servidor de API de Kubernetes.
Gestión, tiempo de actividad, calidad de servicio y operaciones de todos los componentes de Kubernetes que proporciona y soporta Kubernetes Engine.
Cualquier punto de integración en el proveedor de gestión de controladores en la nube de OCI para Kubernetes. Estos puntos de integración incluyen la integración con otros servicios de OCI (como equilibradores de carga, volúmenes persistentes y redes).
Problemas relacionados con la red (como kube-proxy, CoreDNS u otros problemas de acceso a la red y funcionalidad). Tenga en cuenta que los cambios en los componentes del plano de datos de Kubernetes no están soportados.
Fallos asociados a otros servicios de OCI que están fuera de Kubernetes Engine (en estos casos, genere un ticket de soporte de MOS para el servicio que está fallando). Algunos ejemplos incluyen, entre otros, los siguientes:
- Los volúmenes en bloque no se pueden asociar a un nodo de trabajador.
- Los equilibradores de carga borran los paquetes de red.
Configuración de recursos de OCI distintos de los utilizados por el motor de Kubernetes.
Límites y cuota para servicios más allá de Kubernetes Engine, como recursos informáticos, equilibradores de carga y volúmenes en bloque.

Áreas no cubiertas por los Servicios de Soporte Oracle

Oracle no proporciona soporte para las siguientes áreas:

Preguntas sobre cómo utilizar Kubernetes. Por ejemplo, consejos sobre cómo crear archivos de manifiesto, cómo desplegar imágenes y cómo estructurar aplicaciones para Kubernetes.
Proyectos de código abierto de terceros que no se proporcionan como parte del plano de control de Kubernetes o que no se despliegan con clusters creados por Kubernetes Engine. Estos proyectos pueden incluir Istio, Helm, Envoy y otros. Si Oracle proporciona documentación sobre cómo instalar dicho proyecto, Oracle proporcionará el mejor esfuerzo posible.
Software de código cerrado de terceros. Este software puede incluir herramientas de análisis de seguridad y dispositivos de red o software.
Versiones de Kubernetes más allá de las que se muestran en Versiones soportadas de Kubernetes. Si solicita soporte para un cluster que ejecuta una versión no soportada de Kubernetes, se le pedirá que actualice el cluster a una versión soportada de Kubernetes. Para obtener más información sobre qué versiones de Kubernetes están soportadas actualmente, consulte Versiones soportadas de Kubernetes.
Bugs ascendentes de Kubernetes.
Funciones alfa de Kubernetes.

Matriz de responsabilidad

En la siguiente matriz se resume cómo se comparten las responsabilidades entre usted y Oracle.


Área	Responsabilidad de Oracle	Su responsabilidad
Servicio de Kubernetes Engine (API)	Responsabilidad: total Oracle es el único responsable de la gestión del servicio Kubernetes Engine.	Responsabilidad: ninguna
Plano de control de Kubernetes	Responsabilidad: total Oracle es el único responsable de la gestión de: Nodos del plano de control de Kubernetes. Procesos de plano de control de Kubernetes (por ejemplo, kube-apiserver, kube-controller-manager, kube-scheduler, etcd, cloud-controller-manager).	Responsabilidad: ninguna
Plano de datos de Kubernetes	Responsabilidad: compartida Oracle es responsable del despliegue de componentes de plano de datos y software complementario de Kubernetes (por ejemplo, kubelet, kube-proxy, flannel).	Responsabilidad: compartida Si se desvía de la configuración o el software basado en la documentación proporcionada por Oracle, Oracle solo proporcionará soporte de "mejor esfuerzo". Si se desvía de la configuración o del software no basado en la documentación proporcionada por Oracle, Oracle no proporcionará soporte.
nodos de trabajador	Responsabilidad: compartida Oracle es responsable de: Aprovisionando nodos de trabajador en su arrendamiento. Proporcionar herramientas (por ejemplo, la escala automática del cluster) para escalar dinámicamente el número de nodos de trabajador. Proporcionar imágenes del sistema operativo para aprovisionar nodos de trabajador. Proporcionar imágenes actualizadas del sistema operativo que contengan actualizaciones generales y de seguridad.	Responsabilidad: compartida Usted es responsable de: Mediante las interfaces de usuario proporcionadas (API, CLI, consola) para ajustar la capacidad informática y de almacenamiento necesaria con el fin de cumplir los requisitos de carga de trabajo de la aplicación. Supervisión del estado del nodo de trabajador y solución de problemas asociados a nodos de trabajador en mal estado. Sustitución de nodos de trabajador en mal estado mediante las interfaces de usuario proporcionadas (API, CLI, consola). Aplicación de actualizaciones de software generales y de seguridad a nodos de trabajador mediante las interfaces de usuario proporcionadas (API, CLI, consola).
Versión de Kubernetes	Responsabilidad: compartida Oracle es responsable de: Proporcionar API para automatizar la actualización del plano de control de Kubernetes. Proporcionar API para actualizar la versión de Kubernetes del pool de nodos del plano de datos de Kubernetes. Aplicación automática de versiones de parches de Kubernetes y actualizaciones del sistema operativo a nodos de plano de control. Disponibilidad de actualizaciones principales y secundarias de Kubernetes para aplicarlas tanto al plano de control de Kubernetes como al plano de datos de Kubernetes.	Responsabilidad: compartida Usted es responsable de: Aplicación de actualizaciones de Kubernetes mediante las interfaces de usuario proporcionadas (API, CLI, consola). Vuelva a desplegar los nodos de trabajador en un pool de nodos, de modo que los nodos se vuelvan a crear con la misma versión de Kubernetes nueva que el pool de nodos.
Observabilidad de cluster	Responsabilidad: compartida Oracle es responsable de proporcionar: Logs de auditoría de Kubernetes, integrados en el registro de OCI. Métricas que cubren el estado del plano de control de Kubernetes y de los pools de nodos.	Responsabilidad: compartida Es responsable de supervisar el estado de los nodos de trabajador mediante las funciones de observabilidad de cluster proporcionadas por Oracle.
Copias de Seguridad	Responsabilidad: compartida Oracle es responsable de realizar una copia de seguridad automatizada de etcd cada 15 minutos.	Responsabilidad: compartida Usted es el responsable de las copias de seguridad que necesita la aplicación.
Disaster Recovery	Responsabilidad: compartida Si se produce un evento que requiere recuperación ante desastres, Oracle es responsable de restaurar el cluster a partir de las copias de seguridad de etcd.	Responsabilidad: compartida Es responsable de restaurar los datos de las copias de seguridad creadas por la aplicación.
Redes de cluster	Responsabilidad: ninguna	Responsabilidad: total Usted es el único responsable de: Configurar los recursos de red de cluster necesarios (consulte Configuración de recursos de red para despliegue y creación de clusters). Configuración de la conectividad del nodo de trabajador (conectividad de SSH y consola).
Redes de aplicaciones	Responsabilidad: ninguna	Responsabilidad: total Usted es el único responsable de configurar las capacidades de red de aplicaciones (por ejemplo, equilibradores de carga, controladores de entrada y políticas de red).
Observación de aplicaciones	Responsabilidad: ninguna	Responsabilidad: total Usted es el único responsable de configurar y gestionar los logs de contenedor (consulte Visualización de logs de aplicación en nodos gestionados y nodos autogestionados) y las métricas.
Estado y rendimiento de las aplicaciones	Responsabilidad: ninguna	Responsabilidad: total Usted es el único responsable de supervisar el estado y el rendimiento de las aplicaciones que se ejecutan en clusters.
Seguridad de aplicación	Responsabilidad: ninguna	Responsabilidad: total Usted es el único responsable de la seguridad de la aplicación.
Aplicación	Responsabilidad: ninguna	Responsabilidad: total Usted es el único responsable de las cargas de trabajo que se ejecutan en un cluster. Esta responsabilidad abarca tanto el software que ha escrito como el software escrito por la comunidad de código abierto.

Documentación de Oracle Cloud Infrastructure