作为 AlloyDB Omni 客户,您负责配置和操作 AlloyDB Omni,以确保您的工作负载从该服务中获得最大价值。
| 图层 | Google 的责任 | 客户的责任 | |
|---|---|---|---|
| 硬件和主机 | 物理基础架构 | 提供最低要求和推荐要求(如果适用) | 预配物理服务器、虚拟机或边缘设备,例如电源、冷却和硬件。 |
| 主机操作系统 (OS) | 提供最低要求和推荐要求(如果适用) | 管理 Linux 内核、应用操作系统安全补丁并强化主机节点。 | |
| Kubernetes | 集群管理 | 提供最低要求和推荐要求(如果适用) | 按照行业标准最佳实践,每天管理集群(包括升级)。 |
| 存储空间 (CSI/PV) | 提供最低要求和推荐要求(如果适用) | 预配存储类别并管理底层设备。AlloyDB Omni 需要块设备,因此请务必选择块设备类。 | |
| 网络 (CNI) | 提供最低要求和推荐要求(如果适用) | 预配和管理网络层,例如 Pod 网络、Ingress 控制器、负载平衡器和节点之间的防火墙规则。 | |
| 基于角色的访问权限控制 (RBAC) | 提供 AlloyDB Omni Kubernetes 操作器所需的服务账号、角色和角色绑定。 | 将这些基于角色的访问权限控制 (RBAC) 规则应用于集群,并确保它们与内部安全政策保持一致。如需访问 AlloyDB Omni 资源,请创建额外的 RBAC 角色和角色绑定。 | |
| 密钥管理 | 读取标准 Kubernetes Secret 以预配资源,例如初始 postgres 用户。 |
在集群中创建、保护和轮替 Kubernetes Secret。 | |
| 证书管理 | 依赖于标准裸 Kubernetes Secret 和 cert-manager 进行证书集成。 |
安装、配置和管理 cert-manager 的生命周期。 |
|
| 操作器软件 | 开发和发布 | 开发 AlloyDB Omni 操作器逻辑和 CRD,并发布容器映像、Helm 图表和 OLM 软件包。 | 无。客户可以使用存储在 Artifact Registry 中的工件进行 部署。 |
| 安装和生命周期 | 提供文档和升级工件。 | ||
| 数据库引擎 | 数据库二进制文件 | 提供具有专有优化(例如列式引擎和 AI 加速)的 AlloyDB 容器映像。 | 无。 |
| 修补 | 发布引擎的安全补丁以及次要版本和主要版本更新。提供升级说明。 | 根据每个版本的严重性,尽快安排升级。 | |
| 用户管理 |
|
|
|
| 数据管理 | 备份 | 提供 `BackupPlan` 和 `Backup` CRD 以及用于管理备份的逻辑,
这些备份使用 pgBackrest 和 S3 兼容
集成进行管理。 |
配置备份时间表和保留期限,并预配本地、S3 或 Cloud Storage 目标存储桶。 |
| 高可用性 (HA) | 提供自动故障切换逻辑和修复机制。 | 预配足够的节点和可用区,以提供备用目标来支持故障切换。 | |
| 加密(静态) | 无。 | 管理存储层加密,确保其满足您的要求。 | |
| 加密(传输中) | 为内部操作器组件提供 mTLS,并为用户到数据库连接配置服务器端 TLS。 | 使用安全的 TLS 客户端连接到数据库,并管理底层证书基础架构。 | |
| 可观测性 | 指标 | 使用与 Prometheus 兼容的端点公开内部数据库指标。 | 使用 Prometheus、OpenTelemetry 或其他兼容的解决方案及其存储堆栈部署和管理抓取工具。监控系统的整体运行状况。 |
| 日志记录 | 将 PostgreSQL 和审核日志写入容器中磁盘上的文件,并轮替这些文件。 | 部署日志收集器(例如 Fluentd 和 Fluent Bit),将日志发送到存储后端(例如 Splunk 或 ELK)。确保提取日志收集器,以便将日志保留至少一个月(建议)。 | |
| 可视化 | 提供示例指标和日志信息中心,以监控标准工作负载。 | 部署和监控可视化工具(例如 Grafana)的运行状况。创建信息中心并将其纳入您的日常运营任务。 | |
| 提醒 | 无 | 管理提醒流水线,例如 PagerDuty 集成。 | |
| 支持 | 问题排查 | 提供针对软件 bug 和引擎错误的支持。如需获得此 支持,您需要订阅许可。 | 通过文档和知识库提供初始支持。调试与基础架构相关的问题。 |