サポートおよび共同責任

Oracleとユーザーの両方の主要な責任の一部、およびKubernetes Engine (OKE)のテクニカル・サポート・ポリシーと制限についてご確認ください。また、ノード管理、管理対象コントロール・プレーン・コンポーネント、サード・パーティのオープンソース・コンポーネント、セキュリティおよびパッチ管理の責任についても説明します。

Kubernetes Engineでビジネスクリティカルなアプリケーションを実行するには、ユーザーとOracleの両方が、異なるが同等に不可欠な責任を担う必要があります。この非包括的なトピック:

ユーザーとOracleの両方の主要な職責の一部を取得します。
Kubernetesエンジンのテクニカル・サポート・ポリシーおよび制限について説明します。
ノード管理、管理対象コントロール・プレーン・コンポーネント、サード・パーティのオープン・ソース・コンポーネント、セキュリティおよびパッチ管理の職責の詳細を示します。

コントロール・プレーンに対するOracleの職責

Kubernetes Engineは、Kubernetesクラスタに必要なコンポーネントで構成される、完全に管理されたKubernetesコントロール・プレーンを提供します。コントロール・プレーンのすべてのコンポーネントは、Oracleによって保守および操作されます。サービスは、Oracleがデプロイ、運用し、サービスの可用性と機能を担当するという意味で「管理」されています。

Kubernetes Engineは、Certified Kubernetes Conformance Programを通じてCNCFによってKubernetesソフトウェア準拠として認定されています。Certified Kubernetes Conformance Programは、すべてのベンダーのKubernetesバージョンが必要なAPIをサポートすることを保証します。Kubernetesを使用する組織の場合、適合性により、あるKubernetesインストールと別のKubernetesインストール間の相互運用性が実現されます。アップストリームKubernetesプロジェクトと比較すると、Oracleはカスタマイズを制限して、安定した一貫したユーザー・エクスペリエンスを実現します。

Kubernetes Engineは、完全管理型のKubernetesコントロール・プレーンの一部として、次のコンポーネントを管理および監視します。

これらのコンポーネントは、Oracleによって完全に管理され、Kubernetes Engineサービス・テナンシに存在します。フルマネージド・コンポーネントに直接アクセスすることはできず、Kubernetes EngineパブリックAPIでサポートされている方法でのみ変更できます。

Kubernetes Engineは管理対象Kubernetesコントロール・プレーンを提供するため、Oracleは15分ごとに自動化されたetcdバックアップを実行します。これらのバックアップにはアクセスできません。ただし、ディザスタ・リカバリが必要なイベントが発生した場合、Oracleはこれらのバックアップを使用して、byKubernetesエンジンで作成されたクラスタをリストアします。

Kubernetesコントロール・プレーンを構成または直接アクセスする場合は、KubernetesクラスタAPIプロバイダfor Oracle Cloud Infrastructureを使用して自己管理Kubernetesクラスタをデプロイすることを検討してください。

コントロール・プレーンの共有職責

Oracleは、Kubernetesコントロール・プレーン(Kubernetesコントロール・プレーン・コンポーネント自体と、これらのコンポーネントをホストするコンピュート・インスタンスの両方を含む)の管理を担当します。

ただし、Kubernetesコントロール・プレーンのアップグレードは、ユーザーとOracleが責任を共有するタスクです。

Kubernetes Engineは、Kubernetesコントロール・プレーン・コンポーネントのセキュリティまたは機能改善を含む、新しいKubernetesマイナーおよびパッチ・バージョンをサポートするための更新を定期的にリリースします。

提供されたユーザー・インタフェース(コンソール、API、CLIなど)を使用して、Kubernetesコントロール・プレーン・コンポーネントのアップグレードを開始する責任があります。クラスタ内のコントロール・プレーン・ノードでのKubernetesバージョンのアップグレードを参照してください。

Kubernetesコントロール・プレーンのアップグレードを開始すると、Oracleはコントロール・プレーン・アップグレードを実際に実行する責任を負います。

データ・プレーンの共有職責

ユーザーとOracleは、データ・プレーン・コンポーネントの職責を共有します。データ・プレーン・コンポーネントは、次の2つのカテゴリに分類されます。

クラスタが正しく機能するためにデータ・プレーン内で実行する必要があるKubernetesコンポーネント。
クラスタにデプロイしたアプリケーションを実行するワーカー・ノード。

Kubernetesのコンポーネント

Kubernetes Engineは、データ・プレーンの次のKubernetesコンポーネントを管理します:

クベレット
kube-proxy
CNIプラグイン(kube-flannelまたはVCNネイティブ・ポッド・ネットワーク)
CSIボリューム・プラグイン
CoreDNS
kube-system名前空間で実行されている追加のアドオン(具体的には、Kubernetes Engineによってインストールされたアドオンと、インストール手順がKubernetes Engineドキュメントに含まれているアドオンのみ)。

これらのコンポーネントはKubernetesデータ・プレーンで実行されるため、それらにアクセスできます。お客様とOracleは、コンポーネントが正しく機能していることを確認する責任を負います。Oracleは、Center for Internet Security (CIS)およびSecurity Technical Implementation Guide (STIG)のベンチマークに準拠するように、前述のコンポーネントを強化します。ただし、いずれかのコンポーネントを変更または削除すると、Oracleではクラスタがサポートされていないとみなされます。

ワーカー・ノード

ユーザー・テナンシ(管理対象ノードおよび自己管理ノード)のワーカー・ノードはデータ・プレーンの一部であり、ユーザーとOracleはそれらの責任を共有します。さらに、ワーカー・ノードはプライベート・コードを実行し、機密データを格納します。その結果、Kubernetes EngineとOracle Supportはワーカー・ノードにアクセスできません。したがって、ワーカー・ノードの保守を支援する責任があります。たとえば、サポートがなければ、Oracle Supportはワーカー・ノードにサインインしたり、ワーカー・ノードでコマンドを実行したり、ワーカー・ノードのログを表示したりできません。

Oracleは次のことを行います。

ワーカー・ノードにOracleでサポートされているOSイメージを提供し、必要に応じてそれらのイメージにパッチを迅速に提供します。Oracleはワーカー・ノードに自動的にパッチを適用せず、カスタム・イメージのパッチも提供しません。
Kubernetesエンジンを拡張して、新しいKubernetesバージョンをサポートします。
既存のワーカー・ノードを古い(ただし、まだサポートされている)Kubernetesバージョンからより新しいバージョンにアップグレードできます。
サポートされていないKubernetesバージョンのKubernetesからサポートされているバージョンへのワーカー・ノードのアップグレードをサポートします(Oracleはサポートされていないバージョンを実行しているクラスタをサポートしていません)。

次を行う必要があります:

ノード・プールの「イメージ」プロパティを変更し、古いイメージを実行しているワーカー・ノードを削除して、ワーカー・ノードで実行されているOSイメージを定期的に更新します(更新済プロパティを使用したワーカー・ノードの作成を参照)。これは、コンテナ自体で実行されているオペレーティング・システムではなく、コンテナの下のノードで実行されているホスト・レベルのオペレーティング・システムに適用されます。
ワーカー・ノードをKubernetes EngineでサポートされているKubernetesバージョンに定期的にアップグレードします(新しいKubernetesバージョンへのクラスタのアップグレードを参照)。
コンプライアンスおよびセキュリティ要件(CISやSTIGベンチマークなど)を満たすために、ホスト・オペレーティング・システムおよびKubernetes以外のデータ・プレーン・ソフトウェアを強化します。
アプリケーション・コード、ビルド・ファイル、コンテナ・イメージ、データ、ロールベースのアクセス制御(RBAC)/IAMポリシー、コンテナおよびポッドなどのワークロードを保守します。
VCN、サブネット、ゲートウェイなど、必要なクラスタ・ネットワーキングを設定および保守します(クラスタの作成とデプロイメントのためのネットワーク・リソース構成を参照)。
クラスタおよびアプリケーションを監視し、アラートおよびインシデントに対応します。
トラブルシューティングの目的でリクエストされた場合、Oracleに環境の詳細を提供します。

セキュリティ問題へのパッチ適用に関する共有責任

お客様とOracleは、次のようにセキュリティ問題にパッチを適用する責任を共有します。

Kubernetes Engineによって管理される1つ以上のKubernetesコントロール・プレーン・コンポーネントでセキュリティ脆弱性が検出された場合、Oracleは、影響を受けるすべてのクラスタにパッチを適用して問題を軽減する必要があります。
1つ以上のKubernetesデータ・プレーン・コンポーネントでセキュリティ脆弱性が検出された場合、パッチが適用されたイメージを提供するのはOracleの責任です。このパッチが適用されたイメージでKubernetesデータ・プレーンを更新するのはユーザーの責任です。

サポート・カバレッジ

Oracle Supportの対象領域

Oracleは、次の領域についてMy Oracle Support (MOS)を介してサポートを提供します。

Kubernetes APIサーバーへの接続。
Kubernetes Engineが提供およびサポートするすべてのKubernetesコンポーネントの管理、稼働時間、サービス品質、および運用。
KubernetesのOCIクラウド・コントローラ・マネージャ・プロバイダのすべての統合ポイント。これらの統合ポイントには、他のOCIサービス(ロード・バランサ、永続ボリューム、ネットワーキングなど)との統合が含まれます。
ネットワークに関連する問題(kube-proxy、CoreDNS、その他のネットワーク・アクセスおよび機能の問題など)。Kubernetesデータ・プレーン・コンポーネントの変更はサポートされていません。
Kubernetes Engineの外部にある他のOCIサービスに関連する障害(このような場合、障害が発生しているサービスのMOSサポート・チケットを発行します)。たとえば、次のものが含まれますが、これらに限定されません。
- ブロック・ボリュームがワーカー・ノードへのアタッチに失敗しました。
- ネットワーク・パケットをドロップしているロード・バランサ。
Kubernetes Engineで使用されるもの以外のOCIリソースの構成。
コンピュート、ロード・バランサ、ブロック・ボリュームなど、Kubernetes Engine以外のサービスの制限と割当て制限。

Oracle Supportの対象外領域

Oracleでは、次の分野はサポートされていません。

Kubernetesの使用方法に関する質問。たとえば、マニフェスト・ファイルの作成方法、イメージのデプロイ方法、Kubernetesのアプリケーションの構造に関するアドバイスです。
Kubernetesコントロール・プレーンの一部として提供されていない、またはKubernetes Engineによって作成されたクラスタとともにデプロイされていないサード・パーティのオープンソース・プロジェクト。これらのプロジェクトには、Istio、Helm、Envoyなどが含まれます。Oracleがこのようなプロジェクトのインストール方法に関するドキュメントを提供している場合、Oracleはベストエフォートサポートを提供します。
サードパーティ製のクローズソースソフトウェア。このソフトウェアには、セキュリティスキャンツールやネットワークデバイスやソフトウェアを含めることができます。
サポートされているKubernetesバージョンにリストされているもの以外のKubernetesバージョン。サポートされていないバージョンのKubernetesを実行しているクラスタのサポートをリクエストすると、サポートされているバージョンのKubernetesにクラスタをアップグレードするように求められます。現在サポートされているKubernetesのバージョンについてさらに学習するには、サポートされているKubernetesのバージョンを参照してください。
アップストリームKubernetesのバグ。
Kubernetesアルファ機能。

職責マトリックス

次のマトリックスは、ユーザーとOracleの間で職責がどのように共有されるかをまとめたものです。


面	Oracleの職責	職責
Kubernetesエンジン・サービス(API)	職責:合計 Oracleは、Kubernetes Engineサービスの管理について単独で責任を負います。	職責:なし
Kubernetes Control Plane	職責:合計 Oracleは、次のものの管理について単独で責任を負います。 Kubernetesコントロール・プレーン・ノード。 Kubernetesコントロール・プレーン・プロセス(たとえば、kube-apiserver、kube-controller-manager、kube-schedulerなど、cloud-controller-manager)。	職責:なし
Kubernetesデータ・プレーン	職責:共有 Oracleは、Kubernetesデータ・プレーン・コンポーネントとアドオン・ソフトウェア(kubelet、kube-proxy、flannelなど)のデプロイを担当します。	職責:共有 Oracle提供のドキュメントに基づいて構成またはソフトウェアから逸脱した場合、Oracleは「ベスト・エフォート」のサポートのみを提供します。 Oracle提供のドキュメントに基づいていない構成またはソフトウェアから逸脱した場合、Oracleはサポートを提供しません。
ワーカー・ノード	職責:共有 Oracleは、次の処理を行います。テナンシ内のワーカー・ノードのプロビジョニング。ワーカー・ノードの数を動的にスケーリングするツール(クラスタ・オートスカラーなど)を提供します。ワーカー・ノードをプロビジョニングするためのOSイメージを提供します。セキュリティおよび一般的な更新を含む更新されたOSイメージを提供します。	職責:共有お客様の責任: 提供されているユーザー・インタフェース(API、CLI、コンソール)を使用して、アプリケーション・ワークロード要件を満たすために必要なコンピュートおよびストレージ容量を調整します。ワーカー・ノードの状態の監視、および異常なワーカー・ノードに関連する問題のトラブルシューティングを行います。提供されているユーザー・インタフェース(API、CLI、コンソール)を使用して、異常なワーカー・ノードを置換します。提供されているユーザー・インタフェース(API、CLI、コンソール)を使用して、ワーカー・ノードにセキュリティおよび一般的なソフトウェア更新を適用します。
Kubernetesバージョン	職責:共有 Oracleは、次の処理を行います。 Kubernetesコントロール・プレーンのアップグレードを自動化するAPIを提供します。 Kubernetesデータ・プレーン・ノード・プールのKubernetesバージョンをアップグレードするためのAPIを提供します。 Kubernetesパッチ・バージョンおよびOS更新をコントロール・プレーン・ノードに自動的に適用します。 Kubernetesのコントロール・プレーンとKubernetesデータ・プレーンの両方に適用するために、Kubernetesのメジャー更新およびマイナー更新を使用可能にします。	職責:共有お客様の責任: 提供されたユーザー・インタフェース(API、CLI、コンソール)を使用したKubernetesアップグレードの適用。ノード・プール内のワーカー・ノードを再デプロイして、ノードがノード・プールと同じ新しいKubernetesバージョンで再作成されます。
クラスタの可観測性	職責:共有 Oracleは次のものを提供します。 OCIロギングに統合されたKubernetes監査ログ。 Kubernetesコントロール・プレーンとノード・プールの両方の状態をカバーするメトリック。	職責:共有 Oracleが提供するクラスタ可観測性機能を使用して、ワーカー・ノードの状態を監視する責任があります。
バックアップ	職責:共有 Oracleは、15分ごとに自動化されたetcdバックアップを実行します。	職責:共有アプリケーションに必要なバックアップはお客様が担当します。
障害回復	職責:共有ディザスタ・リカバリが必要なイベントが発生した場合、Oracleはetcdバックアップからクラスタをリストアします。	職責:共有アプリケーションによって作成されたバックアップからデータをリストアする責任はお客様にあります。
クラスタ・ネットワーキング	職責:なし	職責:合計お客様は以下について単独で責任を負います。必要なクラスタ・ネットワーキングの設定(クラスタの作成とデプロイメントのためのネットワーク・リソース構成を参照)。ワーカー・ノード接続の構成(SSH接続とコンソール接続の両方)。
アプリケーション・ネットワーキング	職責:なし	職責:合計アプリケーション・ネットワーキング機能(ロード・バランサ、イングレス・コントローラ、ネットワーク・ポリシーなど)の設定は、お客様のみが責任を負います。
アプリケーションの可観測性	職責:なし	職責:合計コンテナ・ログ(「管理対象ノードおよび自己管理ノードでのアプリケーション・ログの表示」を参照)およびメトリックの設定および管理は、お客様のみが担当します。
アプリケーションのヘルスおよびパフォーマンス	職責:なし	職責:合計クラスタで実行されているアプリケーションのヘルスおよびパフォーマンスの監視は、お客様のみが責任を負います。
アプリケーション・セキュリティ	職責:なし	職責:合計お客様は、アプリケーションのセキュリティについて単独で責任を負います。
アプリケーション	職責:なし	職責:合計クラスタ内で実行されるワークロードについては、お客様のみが責任を負います。この責任は、あなたが書いたソフトウェアと、オープンソースコミュニティによって書かれたソフトウェアの両方をカバーします。

Oracle Cloud Infrastructureドキュメント