Матрица распределения ответственности (Kubernetes as a Service) База знаний Managed Kubernetes от Linx Cloud

База знаний

Условные обозначения:

• R (Responsible) – исполнитель

• A (Accountable / Owner) – подотчетный / владелец (утверждает, несет итоговую ответственность)

• C (Consulted) – консультант (его мнение обязательно)

• I (Informed) – уведомляемый

Участники процесса:

1. Linx (Провайдер): Отвечает за инфраструктуру — "железо", виртуализацию, базовую сеть и физическое исполнение операций с кластером.

2. Flant (Вендор): Отвечает за платформу Kubernetes - Deckhouse Kubernetes Platform.. Это "мозг" системы. Flant определяет архитектуру, конфигурацию, версионность, предоставляет инструменты для управления и несет ответственность за корректную работу и развитие платформы DKP.

3. Клиент: Отвечает за все, что работает внутри кластера. Клиент развертывает свои workloads, управляет конфигурациями, данными, настройками безопасности на уровне приложений и сетевых политик.

Компонент / Процесс	Linx (Провайдер)	Клиент	Flant (Вендор)	Change request
ОС и среда исполнения
Виртуальные машины
Создание, удаление, запуск, остановка ВМ	A/R	I	I
Конфигурация ВМ (vCPU, RAM, диск)	A/R	I	I	₽₽₽
Настройка правил доступа к ВМ	A/R	I	I
Мониторинг работоспособности ОС и приложений	A/R	I	I
Мониторинг доступности ВМ	A/R	I	I	✔ без оплаты
Мониторинг ресурсов (vCPU, RAM, диск)	A/R	I	I
Мониторинг ведения системных журналов	A/R	I	I
Анализ и устранение ошибок	A/R	I	I	✔ без оплаты
Перезагрузка ВМ	A/R	I	I
Загрузка образов и шаблонов ВМ в каталог организации	A/R	I	I	✔ без оплаты
Миграция ВМ между ЦОД или сегментами	A/R	I	I
Подготовка пакетов оптимизации виртуальных машин (VM Tools)	A/R	I	I
Расширение квот (vCPU, RAM, диск) на VDC (теннант)	A/R	C	I	✔ без оплаты
Изменение гарантии CORE на ВМ	A/R	C	I	₽₽₽
Виртуальные диски (блочное хранилище)
Предоставление блочного устройства хранения	A/R	I	I
Управление данными на диске (файловая система, разметка)	A/R	I	I
Создание снапшотов ВМ (на уровне гипервизора)	A/R	I	I
Виртуальные сети (SDN)
Базовая настройка виртуальной сети: NAT, Firewall	A/R	I	С
Расширенная настройка виртуальной сети	A/R	I	С
Предоставление виртуальных сетей (VLAN, VXLAN)	A/R	I	С	₽₽₽
Настройка IP-адресации внутри ВМ	A/R	I	С
Управление виртуальными маршрутами и таблицами	A/R	I	С
Настройка виртуальных брандмауэров (ACL, Security Groups)	A/R	I	С
Сложная сетевая интеграция	A/R	С	С	₽₽₽
Мониторинг работоспособности кластера при блокировке портов TCP/443 и TCP/22 по требованию клиента	I	A/R	С
Операционные системы (ОС)
Установка, настройка ОС (Windows, Linux)	A/R	I	С

Обслуживание гостевой ОС (патчи, обновления безопасности)	A/R	I	С
Стандартная безопасность гостевой ОС и приложений	A/R	I	С
Управляемая контрольная плоскость
Установка и развертывание кластера	R (исполняет на своей инфраструктуре)	C (предоставляет требования)	A (предоставляет инструменты и методологию)
Версионность DKP (выбор, обновление)	R (проводит обновление)	C/I (согласует, уведомляется)	A (тестирует и сертифицирует версии)
Мониторинг работоспособности кластера при использовании внутренних инфраструктурных сервисов Клиента вместо типовых для Deckhouse	I	A/R	I
Мониторинг работоспособности кластера при ограниченном предоставлении доступа с внешних ресурсов (доступ ресурсам только с очень ограниченного пула IP адресов)	I	A/R	I
Контрольная плоскость (Control Plane)
- API Server, etcd, Scheduler, Controller Manager	R (обеспечивает работу)	I	A (архитектура и конфигурация)
- Настройка и конфигурация компонентов	A/R	I	С
- Резервное копирование и восстановление etcd	R	I	A (определяет политику)
- Мониторинг и исправление сбоев Control Plane	R	I	A (предоставляет дашборды/алерты)
Сетевая модель Pod'ов (CNI)
- Развертывание и поддержка CNI-плагина (Calico, Cilium и т.д.)	A/R	I	C
- Настройка политик сети (Network Policies)	C	A/R	C
Сервисы хранилища (CSI)
- Предоставление блочного хранилища	A/R	C	I
- Развертывание и поддержка CSI-драйвера	R	I	A (интегрирует драйвер)
- Создание StorageClass	R	I	A (определяет параметры)
Ingress-контроллер
- Развертывание и обслуживание Ingress-контроллера (Nginx, Traefik)	R	I	A (предоставляет chart/манифесты)
- Настройка правил маршрутизации (Ingress-ресурсы)	C	A/R	C
Аутентификация и авторизация
- Интеграция с провайдером идентичности (OIDC, LDAP)	R (настраивает)	C (предоставляет данные для интеграции)	A (предоставляет механизм управления интеграциями с OIDC)
- Создание RBAC-ролей и привязок (для сервисов клиента)	I	A/R	I
Сертификаты
Letsencrypt сертификаты (мониторинг, перевыпуск)	A/R	С	С
Letsencrypt сертификаты (мониторинг, перевыпуск) при нестандартной архитектуре IT-инфраструктуры Клиента	A/R	С	С	₽₽₽
Рабочие узлы (Worker Nodes) и приложения
Рабочие узлы (Worker Nodes)
- Подготовка ОС, установка DKP, включая Docker/containerd, kubelet	R	I	A (предоставляет образы/скрипты)
- Патчинг и обновление ОС узлов (без простоев), компоненты, от которых зависит работоспособность DKP, как платформы	I	I	A/R
- Патчинг и обновление ОС узлов (без простоев), все изменения, которые могут применяться на узлах провайдером	A/R	C	C
- Мониторинг здоровья узлов	R (инфраструктура)	I	A (состояние нод)
Развертывание и управление приложениями
- Создание Namespace'ов	I	A/R	I
- Развертывание Workloads (Pods, Deployments, StatefulSets)	I	A/R	I
- Настройка ConfigMaps, Secrets	I	A/R	I
- Настройка Service Accounts, Pod Security Standards	I	A/R	C (может предоставить политики)
Хранилище и данные
- Создание PersistentVolumeClaims (PVC)	I	A/R	I
- Резервное копирование и восстановление данных приложений	I	A/R	I
Безопасность
- Безопасность инфраструктуры и гипервизора	A	I	I
- Безопасность образов контейнеров (сканирование уязвимостей)	I	A/R	C (предоставляет инструменты)
- Сетевая безопасность (Network Policies)	I	A/R	I
- Соответствие требованиям (Compliance)	A (за свою инфраструктуру)	A (за свои приложения и данные)	A (за платформу)
Мониторинг и логирование
- Мониторинг инфраструктуры (CPU, RAM, Disk нод)	A	I	C
- Мониторинг метрик Kubernetes и приложений (Prometheus, Grafana)	R (обеспечивает работу стека)	A/R (настраивает метрики своих приложений)	C (предоставляет инструменты)
- Централизованное логирование (Loki, Elasticsearch)	R (обеспечивает работу стека)	A/R (настраивает логи своих приложений)	C (предоставляет инструменты)
Данные
Резервное копирование данных внутри ВМ	I	A/R
Планирование и тестирование аварийного восстановления	I	A/R	C
Концепция резервного копирования / восстановления (со стороны СРК)	C	A/R	C	₽₽₽
Платформа самообслуживания
Платформа самообслуживания (Deckhouse Control panel)	I	A/R
Управление учетными записями и доступом на уровне кластера (DKP)	I	A/R	C
Управление учетными записями и доступом на уровне платформы	A/R	I	C
Техническая поддержка
Доступ к обновлениям Deckhouse Kubernetes Platform: - c новым функционалом - с исправлениями ошибок - с решением инцидентов безопасности	C	I	A/R
Помощь с локализацией и устранением ошибок, включая сбор диагностической информации	A/R	C	A/R
Моделирование проблемных ситуаций на стенде техподдержки	A/R	C	A/R
Помощь при развертывании и первоначальной настройке	A/R	C	A/R
Консультации по вопросам эксплуатации	A/R	C	A/R
Рекомендации по лучшим практикам настройки и использования	A/R	C	A/R
Наличие выделенного архитектора	A/R	C	A/R

Тяните вбок для
перемещения

База знаний

Матрица распределения ответственности (KaaS)