VMware Engine 责任共担模型
本页面介绍了作为 Google Cloud VMware Engine 客户,您负责哪些内容以及 Google 负责哪些内容。
简介
受信任的安全性 Google Cloud 是通过客户和作为服务提供商的 Google 共同承担责任 实现的。此模型旨在提供更高的安全性,并消除单点故障。以下部分按角色列出了责任。
责任共担矩阵
下表介绍了责任共担矩阵,详细说明了由 Google 和客户管理的活动:
| 活动 | 责任 | 评论 |
|---|---|---|
| 监控和提醒 | ||
| 虚拟机操作系统和应用(基础架构) | Google 监控虚拟机基础架构的运行状况和可用性。 | |
| 虚拟机操作系统和应用(性能) | 客户 | 客户负责提供 VMware 专业知识并遵循 VMware 性能指南。 |
| vSAN | Google 监控 vSAN 存储的运行状况和可用性。 | |
| 网络叠加层 | Google 监控 NSX 基础架构设备(边缘网关设备、控制器)的运行状况,以及通过物理 VLAN 提供的基础架构底层网络。 | |
| NSX | 客户 | 客户可以通过 NSX 自行管理其叠加层网络。NSX 的所有功能均可用,并由客户监控/管理。客户可以配置底层网络的防火墙规则、公共 IP 地址和 VPC 对等互连。 |
| VPN/站点到站点 IPsec(服务运行状况) | Google 使用 Cloud VPN 提供 VPN 即服务,并监控 VPN 设备的运行状况。 | |
| VPN/站点到站点 IPsec(本地和 NSX 中的 VPN 设备) | 客户 | 客户必须监控本地设备,还可以自行管理和监控 NSX 中的 VPN 设备。 |
| ESXi 主机 | 如果发现需要 VMware 平台(ESXi、vCenter、vSAN、NSX)或基础架构硬件支持,Google 会提供支持。 | |
| 安全和网络设备 | Google Cloud 和 VMware 平台提供默认的 VPN、网关和防火墙功能。Google 管理这些设备的运行状况,客户管理任何客户专用工具。 | |
| HCX | Google 监控默认 HCX 部署的运行状况和可用性。 | |
| 支持 | ||
| 虚拟机操作系统和应用 | 客户 | 客户负责任何操作系统或应用支持。 |
| vSAN | 如果发现需要 VMware 平台(ESXi、vCenter、vSAN、NSX)或基础架构硬件支持,Google 会提供支持。 | |
| 网络叠加层 | Google 为叠加层网络提供支持。 | |
| ESXi 主机 - 硬件 | 如果发现需要 VMware 平台(ESXi、vCenter、vSAN、NSX)或基础架构硬件支持,Google 会提供支持,包括主机更换。 | |
| ESXi 主机 - 默认软件 | Google 默认管理部署在节点上的软件。 | |
| ESXi 主机 - 客户部署的软件 | 客户 | 客户负责他们使用提升的权限部署的任何软件(例如 Zerto)。 |
| 安全和网络设备 | 如果发现需要 VMware 平台(ESXi、vCenter、vSAN、NSX)或基础架构硬件支持,Google 会提供支持。 | |
| NSX | 如果发现需要 VMware 平台(ESXi、vCenter、vSAN、NSX)或基础架构硬件支持,Google 会提供支持。 | |
| VPN/站点到站点 IPsec(服务运行状况) | Google 通过 Cloud VPN 提供 VPN 即服务。 | |
| VPN/站点到站点 IPsec(本地 VPN 设备) | 客户 | Google 通过 Cloud VPN 提供 VPN 即服务。客户必须支持本地设备。 |
| ISV 软件支持 | 客户 | 客户必须先与独立软件供应商 (ISV) 确认支持,然后才能将特定软件部署到私有云。 |
| 身份管理 | ||
| 实现 | 客户 | 客户可以将本地 ID 源与 Google Cloud 控制台和 vCenter 集成。 |
| 配置和管理 | 客户 | 客户管理和配置身份源,包括 vCenter 和 NSX 用户管理(身份、访问权限控制)。 |
| 安装和预配 | ||
| 私有云(部署) | 客户 | 客户通过控制台、API 或 CLI 触发私有云的部署。 |
| ESXi 主机 | Google 安装和预配 ESXi 主机。 | |
| vSAN | Google 安装和预配 vSAN。 | |
| vCenter | Google 部署 vCenter 并执行基本配置。 | |
| vRA | Google 部署 vRA 并执行基本配置。 | |
| Log Insight | Google 部署 Aria Operations for Logs(以前称为 vRealize Log Insight)并执行基本配置。 | |
| 操作系统和应用 | 客户 | 客户安装和预配操作系统和应用。 |
| 数据库 | 客户 | 客户安装和预配数据库。 |
| 安全和网络设备 | Google Cloud 和 VMware 平台提供默认的 VPN、网关和防火墙功能。客户管理任何客户专用工具。 | |
| NSX | Google 部署 NSX 并执行基本配置。 | |
| VPN/站点到站点 IPsec | 客户 | 客户必须在其 Google Cloud 项目中预配 Cloud VPN。 |
| HCX(初始部署) | Google 部署 HCX 并执行基本配置。 | |
| 工作负载迁移 | 客户 | 客户负责将虚拟机和工作负载迁移到私有云,并管理迁移工具(例如 HCX)。 |
| 备份和恢复 | ||
| 管理服务 | Google 管理管理服务的备份和恢复,包括 vCenter Server 和 NSX Manager。这不包括客户工作负载。 | |
| 客户工作负载 | 客户 | 客户负责为客户环境和工作负载安装、配置和管理备份软件。 |
| 配置和管理 | ||
| ESXi 主机 | Google 管理 ESXi 主机的配置。 | |
| vSAN(初始配置和默认配置) | Google 管理 vSAN 初始配置。 | |
| vSAN(非默认配置) | 客户 | 客户可以更改配置(例如,更改存储政策)。 |
| vCenter(初始配置) | Google 部署 vCenter 并执行基本配置。 | |
| vCenter(自定义) | 客户 | 客户必须配置 ID 源、外部用户、DRS/HA 政策、vSAN 政策、NSX 子网和附加应用。 |
| vRA | Google 管理 vRA 配置。 | |
| Log Insight | Google 管理 Aria Operations for Logs 配置。 | |
| 操作系统和应用 | 客户 | 客户管理操作系统和应用配置。 |
| 数据库 | 客户 | 客户管理数据库配置。 |
| 安全和网络设备 | Google 管理默认安全和网络设备的配置。 | |
| SAN/存储 | Google 管理存储区域网络 (SAN) 和存储配置。 | |
| NSX(初始配置) | Google 部署 NSX、NSX Edge 和控制器并执行基本配置。 | |
| NSX(自定义) | 客户 | 客户必须配置子网、防火墙/微细分段和其他可选设备,并执行持续管理。 |
| VPN/站点到站点 IPsec | Google 管理默认 VPN 和站点到站点 IPsec 功能的配置。 | |
| 虚拟机调优 | 客户 | 客户必须遵循 VMware 性能指南。 |
| 管理网络范围 | 客户 | 客户必须为管理设备和资源分配和定义 CIDR 网络范围。 |
| 配置管理工具 | 客户 | 客户负责安装和管理任何客机配置管理工具。 |
| 修补、更新和升级 | ||
| ESXi 主机 - 硬件 | Google 处理 ESXi 主机硬件的修补、更新和升级。 | |
| ESXi 主机 - 固件 | Google 处理 ESXi 主机固件的修补、更新和升级。 | |
| vSAN | Google 处理 vSAN 的修补、更新和升级。 | |
| vCenter | Google 处理 vCenter 的修补、更新和升级。 | |
| vRA | Google 处理 vRA 的修补、更新和升级。 | |
| Log Insight | Google 处理 Aria Operations for Logs 的修补、更新和升级。 | |
| 操作系统和应用 | 客户 | 客户处理客机操作系统和应用的修补、更新和升级。 |
| 数据库 | 客户 | 客户处理数据库的修补、更新和升级。 |
| 安全和网络设备(标准配置) | Google Cloud 和 VMware 平台提供默认的 VPN、网关和防火墙功能。Google 处理这些功能的修补、更新和升级。 | |
| 安全和网络设备(其他配置) | 客户 | 客户管理任何客户专用工具。 |
| NSX | Google 处理 NSX 的修补、更新和升级。 | |
| 升级和修改 | ||
| VPN/站点到站点 IPsec(初始配置) | Google 升级 Cloud VPN 基础架构。 | |
| VPN/站点到站点 IPsec(自定义) | 客户 | 客户可以执行修改。 |
| 安全软件和配置 | ||
| 虚拟机操作系统和应用 | 客户 | 客户负责遵循 VMware 安全最佳实践。 |
| 防病毒和安全工具 | 客户 | 客户负责在客机环境和工作负载中安装和管理防病毒软件、安全软件和代理。 |
| vSAN 加密(静态数据) | 客户 | 客户负责保持 vSAN 静态数据加密处于启用状态,并管理密钥加密密钥 (KEK) 的生命周期(轮换)。 |
| 核心网络安全 | ||
| 初始配置 | 该平台提供防火墙和微细分段等默认功能。 | |
| 自定义 | 客户 | 客户必须配置这些功能以符合其政策和需求。 |
| 法规遵从 | ||
| Google 管理的服务和基础架构 | Google 为 Google 管理的服务和基础架构获取并维护行业和监管合规认证。 | |
| 客户环境和工作负载 | 客户 | 客户负责为其拥有的环境和工作负载获取并维护行业和监管合规认证。 |
| 物理基础架构 | ||
| 物理元素和设施 | Google 部署、管理和维护物理基础架构、设施电源和冷却、 Google Cloud 区域、裸金属主机和网络设备。 | |
| 容量监控和管理 | ||
| 容量监控、管理和规划 | 客户 | 客户必须监控和管理容量,包括在预配更多虚拟机或添加主机节点时进行规划和预留。 |
| 容量规划和基础架构资源预配 | ||
| 确保容量 | Google 确保有足够的后端基础架构容量。 | |
| 容量部署 | Google 会根据需要部署额外的基础架构容量。 | |
| 基础架构生命周期管理 | ||
| 核心基础架构 | Google 提供核心基础架构,特别是 VMware 核心平台(ESXi、vCenter、vSAN、NSX)和所有访问网络服务(例如 Cloud VPN 和 Interconnect)即服务。 | |
| 其他基础架构和工作负载 | 客户 | 客户必须管理任何附加组件、操作系统和工作负载。 |
| HCX 生命周期管理 | 客户 | 客户负责 HCX Cloud 和服务设备(例如 HCX-IX Interconnect)的生命周期管理。 |