VMware Engine 共同責任模式
本頁說明 Google Cloud VMware Engine 客戶和 Google 各自的責任。
簡介
Google Cloud 的安全性是客戶和 Google (服務供應商) 共同承擔責任的成果。這個模式旨在提供更高的安全性,並消除單點故障。以下各節會列出各角色的職責。
共同責任矩陣
下表說明共同責任矩陣,詳細列出 Google 和客戶管理哪些活動:
| 活動 | 責任 | 註解 |
|---|---|---|
| 監控與快訊 | ||
| VM OS 和應用程式 (基礎架構) | Google 會監控 VM 基礎架構的健康狀態和可用性。 | |
| VM 作業系統和應用程式 (效能) | 客戶 | 客戶應負責提供 VMware 專業知識,並遵循 VMware 效能指南。 |
| vSAN | Google 會監控 vSAN 儲存空間的健康狀態和可用性。 | |
| 網路疊加 | Google 會監控 NSX 基礎架構裝置 (Edge Gateway 裝置、控制器) 的健康狀態,以及透過實體 VLAN 提供的基礎架構底層網路 (底層)。 | |
| NSX | 客戶 | 客戶可透過 NSX 自行管理疊加網路。客戶可使用 NSX 的所有功能,並監控/管理這些功能。客戶可以設定底層的防火牆規則、公開 IP 位址和虛擬私有雲對等互連。 |
| VPN/Site-to-Site IPsec (服務健康狀態) | Google 會使用 Cloud VPN 提供 VPN 服務,並監控 VPN 裝置的健康狀態。 | |
| VPN/站對站 IPsec (地端部署和 NSX 中的 VPN 裝置) | 客戶 | 客戶必須監控地端部署裝置,也可以在 NSX 中自行管理及監控 VPN 裝置。 |
| ESXi 主機 | 如果發現需要 VMware 平台 (ESXi、vCenter、vSAN、NSX) 或基礎架構硬體支援,Google 會提供支援服務。 | |
| 安全性和網路裝置 | Google Cloud 和 VMware 平台提供預設的 VPN、閘道和防火牆功能。Google 會管理這些裝置的健康狀態,客戶則管理任何客戶專屬工具。 | |
| HCX | Google 會監控預設 HCX 部署作業的健康狀態和可用性。 | |
| 支援 | ||
| 虛擬機器作業系統和應用程式 | 客戶 | 客戶須負責處理任何作業系統或應用程式支援服務。 |
| vSAN | 如果發現需要 VMware 平台 (ESXi、vCenter、vSAN、NSX) 或基礎架構硬體支援,Google 會提供支援服務。 | |
| 網路疊加 | Google 提供疊加網路支援。 | |
| ESXi 主機 - 硬體 | 如果發現需要 VMware 平台 (ESXi、vCenter、vSAN、NSX) 或基礎架構硬體支援,Google 會提供支援,包括更換主機。 | |
| ESXi 主機 - 預設軟體 | 根據預設,Google 會管理部署在節點上的軟體。 | |
| ESXi 主機 - 客戶部署的軟體 | 客戶 | 客戶必須為以提升權限部署的任何軟體 (例如 Zerto) 負責。 |
| 安全性和網路裝置 | 如果發現需要 VMware 平台 (ESXi、vCenter、vSAN、NSX) 或基礎架構硬體支援,Google 會提供支援服務。 | |
| NSX | 如果發現需要 VMware 平台 (ESXi、vCenter、vSAN、NSX) 或基礎架構硬體支援,Google 會提供支援服務。 | |
| VPN/Site-to-Site IPsec (服務健康狀態) | Google 透過 Cloud VPN 提供 VPN 即服務。 | |
| VPN/站對站 IPsec (地端部署的 VPN 裝置) | 客戶 | Google 透過 Cloud VPN 提供 VPN 即服務。客戶必須支援地端部署裝置。 |
| ISV 軟體支援 | 客戶 | 客戶必須先向獨立軟體供應商 (ISV) 確認支援服務,才能將特定軟體部署至私有雲。 |
| 身分管理 | ||
| 實作 | 客戶 | 客戶可以透過 Google Cloud 控制台和 vCenter 整合地端部署 ID 來源。 |
| 設定與管理 | 客戶 | 客戶負責管理及設定身分來源,包括 vCenter 和 NSX 使用者管理 (身分、存取控管)。 |
| 安裝及佈建 | ||
| 私有雲 (部署) | 客戶 | 客戶透過控制台、API 或 CLI 觸發私有雲部署作業。 |
| ESXi 主機 | Google 會安裝及佈建 ESXi 主機。 | |
| vSAN | Google 會安裝及佈建 vSAN。 | |
| vCenter | Google 會部署 vCenter 並執行基本設定。 | |
| vRA | Google 會部署 vRA 並執行基本設定。 | |
| 記錄洞察 | Google 會部署 Aria Operations for Logs (舊稱 vRealize Log Insight) 並執行基本設定。 | |
| 作業系統和應用程式 | 客戶 | 客戶會安裝及佈建作業系統和應用程式。 |
| 資料庫 | 客戶 | 客戶安裝及佈建資料庫。 |
| 安全性和網路裝置 | Google Cloud 和 VMware 平台提供預設的 VPN、閘道和防火牆功能。客戶會管理任何客戶專屬工具。 | |
| NSX | Google 會部署 NSX 並執行基本設定。 | |
| VPN/站對站 IPsec | 客戶 | 客戶必須在自己的 Google Cloud 專案中佈建 Cloud VPN。 |
| HCX (初始部署) | Google 會部署及執行 HCX 的基本設定。 | |
| 遷移工作負載 | 客戶 | 客戶負責將 VM 和工作負載遷移至私有雲,以及管理遷移工具 (例如 HCX)。 |
| 備份與還原 | ||
| 管理服務 | Google 會管理管理服務的備份和還原作業,包括 vCenter Server 和 NSX Manager。不包括客戶工作負載。 | |
| 客戶工作負載 | 客戶 | 客戶須負責為客戶環境和工作負載安裝、設定及管理備份軟體。 |
| 設定和管理 | ||
| ESXi 主機 | Google 會管理 ESXi 主機的設定。 | |
| vSAN (初始和預設設定) | Google 會管理 vSAN 初始設定。 | |
| vSAN (非預設設定) | 客戶 | 客戶可以變更設定 (例如變更儲存空間政策)。 |
| vCenter (初始設定) | Google 會部署 vCenter 並執行基本設定。 | |
| vCenter (自訂) | 客戶 | 客戶必須設定 ID 來源、外部使用者、DRS/HA 政策、vSAN 政策、NSX 子網路和外掛應用程式。 |
| vRA | Google 會管理 vRA 設定。 | |
| 記錄洞察 | Google 會管理 Aria Operations for Logs 設定。 | |
| 作業系統和應用程式 | 客戶 | 客戶負責管理作業系統和應用程式設定。 |
| 資料庫 | 客戶 | 客戶負責管理資料庫設定。 |
| 安全性和網路裝置 | Google 會管理預設安全和網路裝置的設定。 | |
| SAN/儲存空間 | Google 會管理儲存區域網路 (SAN) 和儲存空間設定。 | |
| NSX (初始設定) | Google 會部署及執行 NSX、NSX Edge 和控制器的基本設定。 | |
| NSX (自訂) | 客戶 | 客戶必須設定子網路、防火牆/微型區隔和其他選用裝置,並持續進行管理。 |
| VPN/站對站 IPsec | Google 會管理預設 VPN 和站台對站台 IPsec 功能的設定。 | |
| VM 調整 | 客戶 | 顧客必須遵循 VMware 效能指南。 |
| 管理網路範圍 | 客戶 | 客戶必須為管理設備和資源分配及定義 CIDR 網路範圍。 |
| 設定管理工具 | 客戶 | 客戶須負責安裝及管理任何客體設定管理工具。 |
| 修補、更新和升級 | ||
| ESXi 主機 - 硬體 | Google 會處理 ESXi 主機硬體的修補程式、更新和升級作業。 | |
| ESXi 主機 - 韌體 | Google 會處理 ESXi 主機韌體的修補、更新和升級作業。 | |
| vSAN | Google 會處理 vSAN 的修補、更新和升級作業。 | |
| vCenter | Google 會處理 vCenter 的修補、更新和升級作業。 | |
| vRA | Google 會處理 vRA 的修補、更新和升級作業。 | |
| 記錄洞察 | Google 會處理 Aria Operations for Logs 的修補、更新和升級作業。 | |
| 作業系統和應用程式 | 客戶 | 客戶負責處理訪客作業系統和應用程式的修補、更新和升級作業。 |
| 資料庫 | 客戶 | 客戶負責資料庫的修補、更新和升級作業。 |
| 安全性和網路裝置 (標準設定) | Google Cloud 和 VMware 平台提供預設的 VPN、閘道和防火牆功能。Google 會負責這些功能的修補、更新和升級作業。 | |
| 安全性和網路裝置 (額外設定) | 客戶 | 客戶會管理任何客戶專屬工具。 |
| NSX | Google 會處理 NSX 的修補、更新和升級作業。 | |
| 升級和修改 | ||
| VPN/站對站 IPsec (初始設定) | Google 會升級 Cloud VPN 基礎架構。 | |
| VPN/站對站 IPsec (自訂) | 客戶 | 客戶可以進行修改。 |
| 安全性軟體和設定 | ||
| 虛擬機器作業系統和應用程式 | 客戶 | 客戶有責任遵循 VMware 安全性最佳做法。 |
| 防毒和安全防護工具 | 客戶 | 客戶須負責在客體環境和工作負載中安裝及管理防毒軟體、安全軟體和代理程式。 |
| vSAN 加密 (靜態資料) | 客戶 | 客戶有責任確保 vSAN 靜態資料加密功能已啟用,並管理金鑰加密金鑰 (KEK) 的生命週期 (輪替)。 |
| 核心網路安全 | ||
| 初始設定 | 這個平台提供防火牆和微區隔等預設功能。 | |
| 自訂 | 客戶 | 顧客必須根據自身政策和需求設定這些功能。 |
| 法規遵循 | ||
| Google 代管服務和基礎架構 | Google 會為代管服務和基礎架構取得並維護產業和法規遵循認證。 | |
| 客戶環境和工作負載 | 客戶 | 客戶須負責為自有環境和工作負載取得並維護產業和法規遵循認證。 |
| 實體基礎架構 | ||
| 實體元素和設施 | Google 會部署、管理及維護實體基礎架構、設施電力和冷卻系統、 Google Cloud 區域、裸機主機和網路設備。 | |
| 容量監控與管理 | ||
| 容量監控、管理和規劃 | 客戶 | 客戶必須監控及管理容量,包括在佈建更多 VM 或新增主機節點時,規劃及預留容量。 |
| 處理能力規劃和基礎架構資源佈建 | ||
| 確保容量 | Google 會確保後端基礎架構容量充足。 | |
| 容量部署 | Google 會視需要部署額外的基礎架構容量。 | |
| 基礎架構生命週期管理 | ||
| 核心基礎架構 | Google 提供核心基礎架構,特別是 VMware 核心平台 (ESXi、vCenter、vSAN、NSX) 和所有存取網路服務 (例如 Cloud VPN 和 Interconnect)。 | |
| 其他基礎架構和工作負載 | 客戶 | 客戶必須管理任何加購元件、作業系統和工作負載。 |
| HCX 生命週期管理 | 客戶 | 客戶負責 HCX Cloud 和服務設備 (例如 HCX-IX Interconnect) 的生命週期管理。 |