Prise en charge et responsabilités partagées

Découvrez certaines des responsabilités clés d'Oracle et des utilisateurs, ainsi que les stratégies et les limites de support technique pour Kubernetes Engine (OKE). Vous découvrirez également les responsabilités liées à la gestion des noeuds, aux composants de plan de contrôle géré, aux composants open source tiers et à la sécurité et à la gestion des patches.

L'exécution d'une application stratégique sur Kubernetes Engine nécessite que vous et Oracle assumiez des responsabilités différentes mais tout aussi essentielles. Ce sujet non exhaustif :

Capture certaines des responsabilités clés pour vous et Oracle.
Décrit les stratégies de support technique et les limites de Kubernetes Engine.
Détaille les responsabilités en matière de gestion des noeuds, de composants de plan de contrôle gérés, de composants open source tiers, de sécurité et de gestion des patches.

Responsabilités d'Oracle pour le plan de contrôle

Kubernetes Engine fournit un plan de contrôle Kubernetes entièrement géré, qui comprend les composants nécessaires aux clusters Kubernetes. Tous les composants du plan de contrôle sont gérés et exploités par Oracle. Le service est "géré" dans le sens où Oracle déploie, opère et est responsable de la disponibilité et des fonctionnalités du service.

Kubernetes Engine est certifié comme logiciel Kubernetes conforme par la CNCF via le programme de conformité Kubernetes certifié. Le programme de conformité certifié Kubernetes garantit que la version de Kubernetes de chaque fournisseur prend en charge les API requises. Pour les entreprises qui utilisent Kubernetes, la conformité permet l'interopérabilité entre une installation Kubernetes et une autre. Par rapport au projet Kubernetes en amont, Oracle limite la personnalisation pour garantir une expérience utilisateur stable et cohérente.

Dans le cadre d'un plan de contrôle Kubernetes entièrement géré, Kubernetes Engine gère et surveille les composants suivants :

Ces composants sont entièrement gérés par Oracle et existent dans la location de service Kubernetes Engine. Vous ne pouvez pas accéder directement aux composants entièrement gérés et vous pouvez uniquement les modifier de la manière prise en charge par les API publiques Kubernetes Engine.

Kubernetes Engine fournissant un plan de contrôle Kubernetes géré, Oracle effectue une sauvegarde etcd automatisée toutes les 15 minutes. Vous ne pouvez pas accéder à ces sauvegardes. Toutefois, si un événement nécessitant une récupération après sinistre se produit, Oracle utilise ces sauvegardes pour restaurer les clusters créés par Kubernetes Engine.

Pour configurer le plan de contrôle Kubernetes ou y accéder directement, envisagez d'utiliser le fournisseur d'API de cluster Kubernetes pour Oracle Cloud Infrastructure afin de déployer des clusters Kubernetes autogérés.

Responsabilités partagées pour le plan de contrôle

Oracle est responsable de la gestion du plan de contrôle Kubernetes (y compris les composants de plan de contrôle Kubernetes eux-mêmes et les instances de calcul hébergeant ces composants).

Toutefois, la mise à niveau du plan de contrôle Kubernetes est une tâche dont vous et Oracle partagez la responsabilité.

Kubernetes Engine publie régulièrement des mises à jour pour prendre en charge les nouvelles versions mineures et de correctifs de Kubernetes, contenant des améliorations de sécurité ou de fonctionnalité pour les composants de plan de contrôle Kubernetes.

Vous êtes responsable du lancement de la mise à niveau des composants du plan de contrôle Kubernetes à l'aide des interfaces utilisateur fournies (telles que la console, l'API et la CLI). Reportez-vous à Mise à niveau de la version de Kubernetes sur les noeuds de plan de contrôle dans un cluster.

Une fois que vous avez lancé la mise à niveau du plan de contrôle Kubernetes, Oracle est responsable de la mise à niveau effective du plan de contrôle.

Responsabilités partagées pour le plan de données

Vous et Oracle partagez les responsabilités des composants de plan de données. Les composants du plan de données se répartissent en deux catégories :

Composants Kubernetes qui doivent être exécutés dans le plan de données pour qu'un cluster fonctionne correctement.
Noeuds de travail qui exécutent les applications que vous déployez dans un cluster.

Composants de Kubernetes

Le moteur Kubernetes gère les composants Kubernetes suivants du plan de données :

kubelet
kube-proxy
Module d'extension CNI (kube-flannel ou réseau de pod natif VCN)
Plug-in de volume CSI
CoreDNS
Modules complémentaires exécutés dans l'espace de noms du système kube (plus précisément, uniquement les modules installés par Kubernetes Engine et les modules pour lesquels des instructions d'installation ont été incluses dans la documentation du moteur Kubernetes).

Ces composants sont exécutés dans le plan de données Kubernetes et vous y avez donc accès. Vous et Oracle partagez la responsabilité de vous assurer que les composants fonctionnent correctement. Oracle renforce les composants ci-dessus pour qu'ils soient conformes aux tests d'évaluation Center for Internet Security (CIS) et Security Technical Implementation Guide (STIG). Toutefois, si vous modifiez ou supprimez l'un des composants, Oracle considère que le cluster n'est pas pris en charge.

noeuds de processus actif

Les noeuds de processus actif dans les locations utilisateur (noeuds gérés et noeuds autogérés) font partie du plan de données, et vous et Oracle en partagez la responsabilité. En outre, les noeuds de processus actif exécutent du code privé et stockent des données sensibles. Par conséquent, Kubernetes Engine et le support technique Oracle n'ont pas accès aux noeuds de processus actif. Vous avez donc la responsabilité d'aider à la maintenance des noeuds de processus actif. Par exemple, sans votre aide, le support technique Oracle ne peut pas se connecter aux noeuds de processus actif, exécuter des commandes sur les noeuds de processus actif ou afficher les journaux des noeuds de processus actif.

Il incombe à Oracle de :

Fournissez des images de système d'exploitation prises en charge par Oracle pour les noeuds de processus actif et apportez rapidement les patches nécessaires à ces images. Oracle n'applique pas automatiquement de patches aux noeuds de processus actif et ne fournit pas de patches pour les images personnalisées.
Améliorez le moteur Kubernetes pour prendre en charge les nouvelles versions de Kubernetes.
Permet de mettre à niveau les noeuds de processus actif existants à partir d'anciennes versions de Kubernetes (mais toujours prises en charge) vers des versions plus récentes.
Prendre en charge la mise à niveau des noeuds de processus actif des versions de Kubernetes non prises en charge de Kubernetes vers les versions prises en charge (même si Oracle ne prend pas en charge les clusters exécutant des versions non prises en charge).

Vos responsabilités sont les suivantes :

Mettez régulièrement à jour l'image de système d'exploitation en cours d'exécution sur les noeuds de processus actifs en modifiant la propriété Image de leur pool de noeuds et en supprimant les noeuds de processus actifs exécutant d'anciennes images (reportez-vous à Création de noeuds de processus actifs avec des propriétés mises à jour). Notez que cela s'applique au système d'exploitation de niveau hôte s'exécutant sur les noeuds sous les conteneurs, plutôt qu'au système d'exploitation s'exécutant dans les conteneurs eux-mêmes.
Mettez régulièrement à niveau les noeuds de processus actif vers les versions de Kubernetes prises en charge par le moteur Kubernetes (reportez-vous à Mise à niveau des clusters vers des versions de Kubernetes plus récentes).
Renforcez le système d'exploitation hôte et tout logiciel de plan de données non Kubernetes pour répondre aux exigences de conformité et de sécurité (par exemple, les tests d'évaluation CIS ou STIG).
Gérez les charges de travail, notamment le code d'application, les fichiers de build, les images de conteneur, les données, les stratégies IAM/RBAC (contrôle d'accès basé sur les rôles), ainsi que les conteneurs et les pods.
Configurez et tenez à jour les fonctions de réseau de cluster requises, y compris les réseaux cloud virtuels, les sous-réseaux, les passerelles, etc. (reportez-vous à Configuration de ressources réseau pour la création et le déploiement de clusters).
Surveillez le cluster et les applications, et répondez aux alertes et incidents.
Fournissez à Oracle les détails de l'environnement lorsque cela est demandé à des fins de dépannage.

Responsabilités partagées pour l'application de patches aux problèmes de sécurité

Vous et Oracle avez une responsabilité partagée pour l'application de patches aux problèmes de sécurité, comme suit :

Si une vulnérabilité de sécurité est détectée dans un ou plusieurs composants de plan de contrôle Kubernetes gérés par Kubernetes Engine, il incombe à Oracle d'appliquer des patches à tous les clusters concernés afin d'atténuer le problème.
Si une vulnérabilité de sécurité est détectée dans un ou plusieurs des composants de plan de données Kubernetes, il incombe à Oracle de fournir une image à laquelle des patches ont été appliqués. Il est de votre responsabilité de mettre à jour le plan de données Kubernetes avec cette image à laquelle des patches ont été appliqués.

Couverture du support

Domaines couverts par le support technique Oracle

Oracle fournit un support via My Oracle Support (MOS) pour les domaines suivants :

Connectivité au serveur d'API Kubernetes.
Gestion, disponibilité, qualité de service et opérations de tous les composants Kubernetes fournis et pris en charge par Kubernetes Engine.
Tous les points d'intégration dans le fournisseur de gestionnaire de contrôleur cloud OCI pour Kubernetes. Ces points d'intégration incluent l'intégration avec d'autres services OCI (tels que les équilibreurs de charge, les volumes persistants et la mise en réseau).
Problèmes liés à la mise en réseau (tels que kube-proxy, CoreDNS ou d'autres problèmes d'accès et de fonctionnalité réseau). Les modifications apportées aux composants de plan de données Kubernetes ne sont pas prises en charge.
Echecs associés à d'autres services OCI en dehors de Kubernetes Engine (dans ce cas, levez un ticket de support MOS pour le service en échec). Exemples :
- Les volumes de blocs ne parviennent pas à s'attacher à un noeud de processus actif.
- Les équilibreurs de charge suppriment les paquets réseau.
Configuration de ressources OCI autres que celles utilisées par Kubernetes Engine.
Limites et quota pour les services au-delà de Kubernetes Engine, tels que le calcul, les équilibreurs de charge et les volumes de blocs.

Domaines non couverts par le support technique Oracle

Oracle ne prend pas en charge les domaines suivants :

Questions sur l'utilisation de Kubernetes. Par exemple, des conseils sur la création de fichiers manifestes, le déploiement d'images et la structure d'applications pour Kubernetes.
Projets open source tiers qui ne sont pas fournis dans le cadre du plan de contrôle Kubernetes ou qui ne sont pas déployés avec des clusters créés par Kubernetes Engine. Ces projets peuvent inclure Istio, Helm, Envoyé et d'autres. Si Oracle fournit de la documentation sur la procédure d'installation d'un tel projet, Oracle fournit le meilleur support possible.
Des logiciels tiers à code source fermé. Ce logiciel peut inclure des outils d'analyse de sécurité et des périphériques ou logiciels de mise en réseau.
Versions de Kubernetes autres que celles répertoriées dans Versions prises en charge de Kubernetes. Si vous demandez la prise en charge d'un cluster exécutant une version non prise en charge de Kubernetes, vous serez invité à mettre à niveau le cluster vers une version prise en charge de Kubernetes. Pour en savoir plus sur les versions de Kubernetes actuellement prises en charge, reportez-vous à Versions de Kubernetes prises en charge.
Bugs Kubernetes en amont.
Fonctionnalités Kubernetes Alpha.

Matrice de responsabilité

La matrice suivante récapitule la manière dont les responsabilités sont partagées entre vous et Oracle.


Domaine	Responsabilité d'Oracle	Votre responsabilité
Service de moteur Kubernetes (API)	Responsabilité : Total Oracle est seul responsable de la gestion du service Kubernetes Engine.	Responsabilité : aucune
Plan de contrôle Kubernetes	Responsabilité : Total Oracle est seul responsable de la gestion des éléments suivants : Noeuds de plan de contrôle Kubernetes. Processus de plan de contrôle Kubernetes (par exemple, kube-apiserver, kube-controller-manager, kube-scheduler, etcd, cloud-controller-manager).	Responsabilité : aucune
Plan de données Kubernetes	Responsabilité : Partagé Oracle est responsable du déploiement des composants de plan de données Kubernetes et des logiciels d'extension (par exemple, kubelet, kube-proxy, flannel).	Responsabilité : Partagé Si vous dérogez à la configuration ou au logiciel en vous basant sur la documentation fournie par Oracle, Oracle ne fournira que le support "au mieux". Si vous dérogez à la configuration ou aux logiciels qui ne sont pas basés sur la documentation fournie par Oracle, Oracle ne fournira pas de support.
noeuds de processus actif	Responsabilité : Partagé Oracle est responsable : Provisionnement des noeuds de processus actif dans votre location. Fournir des outils (par exemple, l'outil de redimensionnement automatique de cluster) pour redimensionner dynamiquement le nombre de noeuds de processus actifs. Fourniture d'images de système d'exploitation pour le provisionnement des noeuds de processus actif. Fourniture d'images de système d'exploitation mises à jour contenant des mises à jour de sécurité et des mises à jour générales.	Responsabilité : Partagé Vous êtes responsable de : Utiliser les interfaces utilisateur fournies (API, CLI, console) pour ajuster la capacité de calcul et de stockage requise afin de répondre aux exigences en matière de charge de travail d'application. Surveiller l'état des noeuds de processus actifs et résoudre les problèmes associés aux noeuds de processus actifs en mauvais état. Remplacement de noeuds de processus actif en mauvais état à l'aide des interfaces utilisateur fournies (API, CLI, console). Appliquer les mises à jour de sécurité et les mises à jour logicielles générales aux noeuds de processus actif à l'aide des interfaces utilisateur fournies (API, CLI, console).
Version de Kubernetes	Responsabilité : Partagé Oracle est responsable : Fournir des API pour automatiser la mise à niveau du plan de contrôle Kubernetes. Fourniture d'API pour mettre à niveau la version Kubernetes du pool de noeuds de plan de données Kubernetes. Application automatique des versions de patch Kubernetes et des mises à jour de système d'exploitation aux noeuds de plan de contrôle. Mise à disposition de mises à jour majeures et mineures Kubernetes à appliquer au plan de contrôle Kubernetes et au plan de données Kubernetes.	Responsabilité : Partagé Vous êtes responsable de : Application des mises à niveau Kubernetes à l'aide des interfaces utilisateur fournies (API, CLI, console). Redéployer des noeuds de processus actif au sein d'un pool de noeuds, de sorte que les noeuds sont recréés avec la même nouvelle version de Kubernetes que le pool de noeuds.
Observabilité du cluster	Responsabilité : Partagé Oracle est chargé de fournir : Journaux d'audit Kubernetes, intégrés à la journalisation OCI. Mesures couvrant l'état du plan de contrôle Kubernetes et des pools de noeuds.	Responsabilité : Partagé Vous êtes responsable de la surveillance de l'état des noeuds de processus actif à l'aide des fonctionnalités d'observabilité de cluster fournies par Oracle.
Sauvegardes	Responsabilité : Partagé Oracle est responsable de l'exécution d'une sauvegarde automatique, etc. toutes les 15 minutes.	Responsabilité : Partagé Vous êtes responsable des sauvegardes requises par l'application.
Récupération après sinistre	Responsabilité : Partagé Si un événement nécessitant une récupération après sinistre se produit, Oracle est responsable de la restauration du cluster à partir des sauvegardes etcd.	Responsabilité : Partagé Vous êtes responsable de la restauration des données à partir des sauvegardes créées par l'application.
Mise en réseau de cluster	Responsabilité : aucune	Responsabilité : Total Vous êtes seul responsable de : Configuration des fonctions de réseau de cluster requises (reportez-vous à Configuration de ressources réseau pour la création et le déploiement de clusters). Configuration de la connectivité des noeuds de processus actif (connectivité SSH et console).
Réseau d'applications	Responsabilité : aucune	Responsabilité : Total Vous êtes seul responsable de la configuration des fonctions de mise en réseau des applications (par exemple, les équilibreurs de charge, les contrôleurs entrants et les stratégies réseau).
Observabilité de l'application	Responsabilité : aucune	Responsabilité : Total Vous êtes seul responsable de la configuration et de la gestion des journaux de conteneur (reportez-vous à Visualisation des journaux d'application sur les noeuds gérés et les noeuds autogérés) et des mesures.
Etat et performances des applications	Responsabilité : aucune	Responsabilité : Total Vous êtes seul responsable de la surveillance de l'état et des performances des applications exécutées sur des clusters.
Application Security	Responsabilité : aucune	Responsabilité : Total Vous êtes seul responsable de la sécurité des applications.
Application	Responsabilité : aucune	Responsabilité : Total Vous êtes le seul responsable des charges de travail exécutées dans un cluster. Cette responsabilité couvre à la fois les logiciels que vous avez écrits et les logiciels écrits par la communauté open source.

Documentation Oracle Cloud Infrastructure