Leistungsschein – STACKIT Confidential Kubernetes

Service Name

STACKIT Confidential Kubernetes

High level service description

STACKIT Confidential Kubernetes ist eine Confidential Cloud Computing Plattform basierend auf der Software „Constellation“ des STACKIT-Partners Edgeless Systems GmbH, Stadionring 1, 44791 Bochum („Edgeless Systems„). STACKIT Confidential Kubernetes dient der sicheren Bereitstellung und Verwaltung von containerisierten Anwendungen durch den Kunden. STACKIT Confidential Kubernetes ermöglicht es dem Kunden, benutzerdefinierte und selbstverwaltete STACKIT Confidential Kubernetes-Cluster zu erstellen. Mit STACKIT Confidential Kubernetes bleiben alle Kundendaten verschlüsselt – auch während der Laufzeit. Kunden können zudem überprüfen, ob die Integrität des Workloads sichergestellt ist. STACKIT Confidential Kubernetes kann ausschließlich im Zusammenhang mit dem STACKIT Confidential Server betrieben werden. Wenn der Kunde STACKIT Confidential Kubernetes abonniert, erhält er Confidential Virtual Machines (CVMs) zusammen mit einer Lizenz der Constellation Software, der Constellation CLI, dem Terraform-Provider und Betriebssystem-Images für die Kubernetes-Control-Plane und Worker-Nodes. Der Kunde ist in der Lage, eigenständig Kubernetes-Cluster zu erstellen und zu betreiben, die durch Confidential Computing-Mechanismen geschützt sind.

Key Features

• Laufzeitverschlüsselung: Mit Constellation werden alle Kubernetes-Knoten in CVMs ausgeführt. Dies stellt die Laufzeitverschlüsselung des kompletten Clusters sicher.
• Netzwerk und Speicherverschlüsselung: Constellation ergänzt die Laufzeitverschlüsselung um eine transparente Verschlüsselung von Netzwerk und Speicher.
• Transparentes Key Management: Constellation verwaltet die kryptografischen Schlüssel innerhalb der CVM automatisch und sorgt so für eine einfache und sichere Nutzung.
• Note-Attestierung und -Verifizierung: Die Integrität jedes neuen CVM-basierten Knotens im Cluster wird vor der Inbetriebnahme mittels „remote attestation“ geprüft. Nur Knoten, die erfolgreich verifiziert wurden und ein signiertes, Confidential Computing-optimiertes Constellation-Image verwenden, erhalten die kryptographischen Schlüssel, um auf das Netzwerk und den Speicher des Clusters zugreifen zu dürfen.
• „Whole-Cluster-Attestierung“: Kunden können die Sicherheit und Integrität eines gesamten Clusters mittels eines einzigen an Hardware-gebundenen Zertifikates überprüfen.
• Constellation CLI and Terraform: Das Constellation CLI bzw. Terraform unterstützen Kunden beim eigenständigen Betrieb von Confidential Kubernetes Clustern inkl. Day-2-Operations (Restore, Upgrades).

Servicepläne

Der Kunde kann aus allen verfügbaren STACKIT Confidential Servers in den angebotenen Verfügbarkeitsklassen wählen.

Metric

• STACKIT Confidential Kubernetes wird pro erstellter CVM und pro angefangener Stunde berechnet.
• Berechneter Zeitraum: Erstellung der CVM bis Löschen der CVM.
• Für weitere vom Kunden im Verbund mit STACKIT Confidential Kubernetes genutzten Ressourcen wie bspw. Block Storage, Floating IP und Loadbalancer erfolgt eine gesonderte Berechnung zu den in dem jeweiligen Leistungsschein genannten Bedingungen.

SLA Spezifika

• STACKIT Confidential Kubernetes gilt als verfügbar, wenn die jeweilige CVM, auf der der Service läuft, verfügbar ist.
• Es wird eine Verfügbarkeit von 99,5% im Kalendermonatsmittel vereinbart.
• CVM die aufgrund einer Störung des Block Storage auf Zugriff auf ihre Disk warten, gelten als verfügbar.
• Fehler von Kubernetes Knoten, Volumes oder Pods innerhalb von STACKIT Confidential Kubernetes-Clustern werden bei der Berechnung der Verfügbarkeit als ausgeschlossene Ereignisse im Sinne der allgemeinen Servicebeschreibung behandelt und wirken sich dementsprechend nicht auf die Berechnung der Verfügbarkeit aus. 
• Die Verfügbarkeitsangaben beziehen sich auf die Verfügbarkeit der CVM, die sich im Betrieb befinden. Nicht erfasst sind konfigurations- oder kundenseitig bedingte Umstände für eine Nichtverfügbarkeit (z.B. ein Herunterfahren der CVM).
• STACKIT stellt einen First-Level support für den Kunden von STACKIT Confidential Kubernetes bereit. Für Supportanfragen seitens des Kunden, die STACKIT nicht im first-level beantworten kann, wird STACKIT falls notwendig die entsprechende Anfrage an Edgeless Systems weiterleiten. Die Bearbeitung von Second-Level Anfragen findet im Zeitraum Montag bis Freitag (Werktage, bundeseinheitliche Feiertage ausgeschlossen) zwischen 9 und 17 Uhr (MEZ) statt. Ein darüber hinaus gehender Second-Level Support ist nur durch eine separate Vereinbarung zwischen STACKIT und dem Kunden möglich.
• Soweit STACKIT zur Beseitigung eines Mangels oder Fehlers verpflichtet ist, kann STACKIT als kurzfristige Maßnahme eine Ersatz- oder Umgehungslösung zur vorübergehenden Beseitigung oder Umgehung der Auswirkungen eines Mangels oder Fehlers bereitstellen, soweit dies möglich und im Hinblick auf die Auswirkungen des Mangels oder Fehlers zumutbar ist. Die Verpflichtung zur vollständigen Beseitigung des Mangels oder Fehlers bleibt hiervon unberührt.

Backup

• Backup und Wiederherstellung liegen im Verantwortungsbereich des Kunden.

Additional Terms

• STACKIT Confidential Kubernetes wird konstruktionsbedingt ausschließlich als self-managed Service angeboten: Um den Ausschluss eines Zugriffs von STACKIT als Cloud Provider sicherzustellen, liegen das Erstellen sowie das Management von STACKIT Confidential Kubernetes Clustern vollständig im Verantwortungsbereich des Kunden. Dies umfasst auch Day-2 Operations, wie bspw. Backup, Recovery oder Upgrades von Clustern.
• STACKIT Confidential Kubernetes CVMs können ausschließlich mit den von STACKIT unterstützten Images verwendet werden.
• Es gelten zusätzlich die nachfolgenden Bedingungen:
  • Edgeless Constellation EULA: https://www.edgeless.systems/eulas/Edgeless_Systems_Standard_EULA.pdf
  • Edgeless Constellation: https://www.edgeless.systems/licenses/
  • Fedora Core OS: https://fedoraproject.org/wiki/Legal:Licenses/LicenseAgreement 
  • Cilium: https://github.com/cilium/cilium/blob/master/LICENSE 
• In Bezug auf die Constellation Software erhält der Kunde ein nicht ausschließliches, nicht übertragbares, nicht unterlizenzierbares und auf die Laufzeit des Abonnements des jeweiligen STACKIT Confidential Kubernetes Cloud Service beschränktes Recht, die Constellation Software ausschließlich in Verbindung mit und zum Zweck des Betriebs des STACKIT Confidential Kubernetes auf von STACKIT gehosteten CMVs zu nutzen. Jede andere Art der Nutzung, Verbreitung oder ähnliches ist untersagt.
• Die Constellation-Software wird lizenziert, nicht verkauft. Der Urheberrechtsinhaber der Constellation-Software ist Edgeless Systems. Der Kunde ist nicht berechtigt, Copyright- und Urheberrechtsvermerke von Edgeless Systems zu verändern oder zu entfernen.
• Verstößt der Kunde im Zusammenhang mit der Nutzung der Constellation Software gegen die sich aus dem Abonnement des STACKIT Confidential Kubernetes Service ergebenden Pflichten und Obliegenheiten oder gegen gesetzliche Bestimmungen und wird der Verstoß nicht innerhalb einer angemessenen Frist abgestellt oder beseitigt, ist STACKIT berechtigt, die Lizenz mit Wirkung für die Zukunft zu widerrufen und dieses Abonnement mit sofortiger Wirkung zu kündigen.
• Der Kunde hat angemessene Vorkehrungen zur Datensicherung, Fehlerdiagnose und Ergebniskontrolle zu treffen, es sei denn, STACKIT stellt dem Kunden diese Leistungen nach Maßgabe dieses Leistungsscheins zur Verfügung.
• Cilium: https://github.com/cilium/cilium/blob/master/LICENSE 

Version 1.0, gültig ab 14.03.2024