Konttipalvelun reunaehdot projekteille

HY:n tietotekniikkakeskuksen keskitetyn konttipalvelun asiakasprojektien vastaavien ja tuoteomistajien tulee ymmärtää, että seuraavat reunaehdot ovat tätä kirjoitettaessa (11.12.2020) voimassa.

Tarvittaessa tätä sivua päivitetään. Olemme voineet myös unohtaa jotain. Vastaamme kysymyksiin mieluusti sähköpostitse: grp-openshift-owner@helsinki.fi .

Osa tässä ohjeessa mainituista reunaehdoista on pysyviä, toiset taas toistaiseksi voimassa olevia alkuvaiheen rajoituksia.

Väliaikaiset reunaehdot

• Konttipalvelu EI TARJOA MITÄÄN VARMUUSKOPIOINTIA projektien tiedoille. Konttialusta, konttialustan ylläpito tai konttialustan allaolevan VMWaren ylläpito ei järjestä tai ole järjestänyt varmuuskopiointia (tai varmuuskopioiden palautusta) projektien puolesta miltään osin.
  
  • Tämä koskee Kubernetes-manifesteja, kontti-imageja OpenShiftin sisäisessä rekisterissä sekä PersistentVolumeja, joita projektit voivat käyttää.
  • Quay.io on pilvipalvelu, jolla on omat varmuusjärjestelynsä.
  • Suosittelemme, että tietokantoja ajettaisiin konttialustan ulkopuolella (tähän on muitakin syitä) ja kaikki Kubernetes-manifestit olisivat versionhallinnoidusti aina valmiina tuotantoonvientiin. 
  • Konttialustan ylläpito tietää, että tilanne ei ole toivottava. Parannuksia on jollain aikavälillä tulossa, mutta tällä hetkellä projektit joutuvat miettimään itse, miten toteuttavat varmuuskopiointinsa. 
    • VSphere-volumen voi liittää useampaan podiin kerrallaan, mutta näiden podien on oltava samalla node-virtuaalikoneella. Tästä voi olla hyötyä esim. kriittisen sisällön kopioinnissa konttialustan ulkopuolelle.
    • Mainittakoon, että on myös olemassa datacloud.helsinki.fi. Tämäkin vaihtoehto vaatii projektilta omaa käsityötä.
    • Lisäksi kannattaa huomata yhteiskäyttöinen tietokantapalvelu.
•  Konttialustalla käytettävissä oleva levy (PersistentVolume) on toteutettu VSpheren dynamic volumeina ja näin ollen saatavilla vain RWO-tyyppisenä.
  • Lisätietoja: Levyn käyttö Tiken OpenShiftissä ja Tilauslomakkeen "teknisistä tiedoista"
  • NFS-levyjaot eivät ole käytännössä tuettu ratkaisu pääsynhallinnan rajoitteiden vuoksi.
  • Tuki Ceph-levyille on tulossa myöhemmin.
•  Tietoliikenne konttialustan ulkopuolelta (mm. projektien loppukäyttäjien asiakasyhteydet) on käytännössä rajattu http / https -liikenteeseen ja portteihin 80 ja 443.
  • Konttialustalla ajettavan sovelluksen omia yhteydenottoja ulkomaailmaan ei ole rajattu.
•  Konttipalvelu ei nykytilassa sovellu sensitiivisen henkilötiedon käsittelyyn.  Jos sovelluksesi käsittelee tällaista dataa, sen paikka on jossain muualla kuin tämänhetkisessä jaetussa OpenShift-klusterissa.
  • Ajan ja muiden resurssien salliessa tähän kysymykseen saatetaan palata, mutta sensitiivisen henkilötiedon järjestelmän rakentaminen ei ole prioriteetti tällä hetkellä.

Pysyvät reunaehdot

• Sovellukset on rakennettava sietämään Podien ja alustakoneiden uudelleenkäynnistykset.
  • OpenShift päivitetään säännöllisesti uudempaan versioon, ja tämän päivityksen normaali toimintavaihe on alustavirtuaalikoneiden uudelleenkäynnistys yksitellen. Tämä tarkoittaa, että kaikki kontit tullaan käynnistämään säännöllisesti uudestaan.
  • Jos projektin intressissä on, että ajettava sovellus selviytyy mahdollisimman vähäisin loppukäyttäjille näkyvin katkoksin, projektin vastuulla on määritellä Kubernetes-manifesteissa oikeanlaiset replikaatiot ja (anti-)affinityt tätä silmälläpitäen (kts. FAQ) – ja huolehtia, että myös sovellus konttien sisällä toimii tässä maailmassa oikein.
•  Konttialustalla toimiva projekti on itse vastuussa konttiensa tietoturvasta. Jos konttien tietoturvasta löytyy puutteita, ja erityisesti jos nämä puutteet ilmeisesti vaarantavat konttialustan tai toisten projektien tietoturvan, voidaan projektin kontit sammuttaa ja/tai routet sulkea. Konttialustan ylläpito pyrkii avustamaan tietoturvallista käyttöä parhaamme mukaan. 
  • Projektin on itse sitouduttava sovelluksen ylläpitoon koko siksi ajaksi, kun projektia ajetaan konttipalvelussa. 
  • Quay.io tarjoaa imageille tietoturvaskannaukset. Lähitulevaisuudessa näiden tietoturvaskannausten tulokset (ainakin tike-organisaation alaiset imaget) tulevat näkyviin myös OpenShiftin web-konsolissa. Käyttöoikeudet quay.io:n tike-organisaatioon saa kysymällä.
  • Lisäksi suositellaan esim. Trivy-työkalun käyttöä, varsinkin jos käytetty kontti-image ei ole quay.io:n skannausten piirissä.
  • Universal Base Image tarjoaa Red Hatin tukemat paketit – ja koska käytössä on lisensoitu OpenShift, myös RHEL-repositoriot ovat käytettävissä.
  • Konttien sisällä olevat ohjelmistot ja kirjastot eivät päivity konttialustan päivitysten yhteydessä. Siihen vaaditaan vähintään kontti-imagen uudelleenrakennus ja konttien uudelleenkäynnistys (varmistaen että ne käynnistetään uudesta imagesta).
    • Konttialustan ylläpito ei ota riskiä projektin sovelluksen rikkomisesta ajamalla projektin BuildConfigia sokkona. Asiakasprojektin on itse kannettava vastuu kontti-imagen rakennuksesta ja lopputuloksen testauksesta riippumatta siitä, missä ja miten imagen uudelleenrakennus tehdään.
•  Kaikki tietosuojaan liittyvät vastuut ovat projekteilla itsellään. Projektien on itse ymmärrettävä sovellustensa tietosuojaan liittyvät vastuut ja huolehdittava näiden vastuiden (GDPR ym.) asianmukaisesta hoitamisesta.