收集安装日志 1.1. 从失败安装中收集日志 1.2. 通过到主机的 SSH 连接手动收集日志 1.3. 在不使用 SSH 连接到主机的情况下手动收集日志 第 第 2 章 章 支持 支持 FIPS 加密 加密 2.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 2.2. 集群使用的组件支持 FIPS 2.3. 在 FIPS 模式下安装集群 第 第 3 章 章 --role=master --path=openshift-apiserver 第 第 1 章 章 收集安装日志 收集安装日志 5 第 2 章 支持 FIPS 加密 从版本 4.3 开始，您可以安装一个使用经 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群。 对于集群中的 Red Hat Enterprise Linux CoreOS worker 的机器上安装操作系统时，启用 FIPS 模式。这些配置方法可确保集群满足 FIPS 合规审核的要求：在初始系统引导前，只启用经 FIPS 验 证/Modules in Process 加密的软件包。 因为 FIPS 必须在集群首次引导操作系统之前启用，所以您不能在部署集群后启用 FIPS。 2.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证

服务 务 第 第 4 章 章 外部存 外部存储 储服 服务 务 第 第 5 章 章 安全考 安全考虑 虑 5.1. FIPS-140-2 5.2. 代理环境 5.3. 数据加密选项 5.4. TRANSIT 中的加密 第 第 6 章 章 订阅 订阅 6.1. 订阅服务 6.2. 灾难恢复订阅要求 6.3. 内核与 VCPU 和超线程 6.4. 分割内核 6.5. 订阅要求 第 第 7 章 Standard Publication 140-2 (FIPS-140-2) 是定义使用加密模块的一系列 安全要求的标准。这个标准受到美国政府机构和承包商的强制要求，在其他国际和行业特定的标准中也会 引用该标准。 Red Hat OpenShift Data Foundation 现在使用 FIPS 验证的加密模块。Red Hat Enterprise Linux OS/CoreOS(RHCOS)提供这些模块。 OS/CoreOS(RHCOS)提供这些模块。 目前，Cryptographic Module Validation Program (CMVP) 用于处理加密模块。您可以在modules in Process List 中查看这些模块的状态。有关最新信息，请参阅红帽知识库解决方案 RHEL 内核加密组件。 注意 注意 在安装 OpenShift Data Foundation 前，在 OpenShift Container

OpenShift Container Platform 4.14 存 存储 储 4 Key Management Service (KMS) 可帮助您在不同服务间实现所需的数据加密级别。您可以使用 KMS 密钥加密、解密和重新加密数据。 本地卷 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 NFS 网络文件系统(NFS)允许远程主机通过网络挂载文件系统，并像它们挂载在本地那样与这些文件系统进 卷。持久性卷不与某个特定项目或命名空间相关 联，它们可以在 OpenShift Container Platform 集群间共享。持久性卷声明是针对某个项目或者命名空间 的，相应的用户可请求它。您可以定义 KMS 密钥来加密 AWS 上的 container-persistent 卷。默认情况 下，新创建的使用 OpenShift Container Platform 版本 4.10 和更高版本的集群使用 gp3 存储和 4.1.5. 使用 KMS 密钥在 AWS 上加密容器持久性卷 在部署到 AWS 时，定义在 AWS 上加密容器持久性卷的 KMS 密钥很有用。 先决条件 先决条件 底层基础架构必须包含存储。 您必须在 AWS 上创建客户 KMS 密钥。 流程 流程 1. 创建存储类： 指定存储类的名称。 在置备的卷中创建的文件系统。 指定加密 container-persistent 卷时要使用的密钥的完整

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2. 配置 AZURE 帐户 7.3. 为 AZURE 启用用户管理的加密 7.4. 在 AZURE 上快速安装集群 7.5. 使用自定义在 AZURE 上安装集群 7.6. 使用网络自定义在 AZURE 上安装集群 7.7. 将 AZURE 上的集群安装到现有的 VNET 访问主机的情况下手动收集日志 26.5. 从安装程序获取调试信息 26.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 27 章 章 支持 支持 FIPS 加密 加密 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 27.2. 集群使用的组件支持 FIPS 27.3. 在 FIPS 模式下安装集群 3864 3866 您还可以将集群机器配置为使用 RHEL 加密库在安装过程中为 FIPS 140-2/140-3 Validation 提交给 NIST。 重要 重要 当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le

为机器集启用客户管理的加密密钥 您可以为 Azure 提供加密密钥，以便加密受管磁盘上的数据。您可以使用 Machine API 使用客户管理的密 钥启用服务器端加密。 使用客户管理的密钥需要 Azure Key Vault、磁盘加密集和加密密钥。磁盘加密集必须在 Cloud Credential Operator（CCO）授予权限的资源组中。如果没有，则需要在磁盘加密集中授予额外的 reader reader 角色。 先决条件 先决条件 创建 Azure Key Vault 实例。 创建磁盘加密集的实例。 授予磁盘加密集对密钥 vault 的访问权限。 type: DirectoryOrCreate nodeSelector: disktype: ultrassd StorageAccountType UltraSSD_LRS can be used only why>." OpenShift Container Platform 4.14 机器管理 机器管理 38 流程 流程 在机器集 YAML 文件中的 providerSpec 字段中配置磁盘加密集。例如： 其他 其他资 资源 源 Azure 文档中有关客户管理的密钥 2.3.9. 使用机器集为 Azure 虚拟机配置可信启动 重要 重要 为 Azure 虚拟机使用可信启动只是一个

Container Platform 置备内核模块 17.1.2.2.1. 通过 MachineConfig 对象置备内核模块 17.1.3. 在安装过程中加密磁盘 17.1.3.1. 启用 TPM v2 磁盘加密 17.1.3.2. 启用 Tang 磁盘加密 17.1.4. 在安装过程中镜像磁盘 17.1.4.1. 配置一个启用了 RAID 的数据卷 17.1.5. 配置 chrony 时间服务 连接到主机的情况下手动收集日志 19.5. 从安装程序获取调试信息 19.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 2226 2227 2228 2229 2231 2232 过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 第 第 2 章 章 选择 选择集群安装方法并 集群安装方法并为 为用

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 20.3. 在 FIPS 模式下安装集群 2581 2581 FIPS 验证的/Modules in Process 加密库 。 重要 重要 OpenShift Container Platform 4.8 安装 安装 14 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不 ssh/id_ed25519。如果您已有密钥对，请确保您的 公钥位于 ~/.ssh 目录中。 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥：

访问主机的情况下手动收集日志 25.5. 从安装程序获取调试信息 25.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 26 章 章 支持 支持 FIPS 加密 加密 26.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 26.2. 集群使用的组件支持 FIPS 26.3. 在 FIPS 模式下安装集群 2741 2741 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置，但建议在用户访问集群前进行操作。您可以通过自定义组成集群的 ssh/id_ed25519。如果您已有密钥对，请确保您的 公钥位于 ~/.ssh 目录中。 注意 注意 如果您计划在 x86_64 架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，请不要创建使用 ed25519 算法的密钥。相 反，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH

. . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3. 为 AZURE 手动创建 IAM 7.4. 为 AZURE 启用用户管理的加密 7.5. 在 AZURE 上快速安装集群 7.6. 使用自定义在 AZURE 上安装集群 7.7. 使用网络自定义在 AZURE 上安装集群 7.8. 将 AZURE 上的集群安装到现有的 VNET genevePort integer 用于所有 Geneve 数据包的端口。默认值为 6081。此值在集群安 装后无法更改。 ipsecConfig object 指定一个空对象来启用 IPsec 加密。 policyAuditConf ig object 指定用于自定义网络策略审计日志的配置对象。如果未设置，则 使用默认的审计日志设置。 gatewayConfig object 可选：指定 卷类型，如 io1。 compute.platfor m.aws.rootVolu me.kmsKeyARN KMS 密钥的 Amazon 资源名称 （密钥 ARN）。这需要使用特 定的 KMS 密钥加密 worker 节 点的操作系统卷。 有效的 密钥 ID 或密钥 ARN。 compute.platfor m.aws.type 计算机器的 EC2 实例类型。 有效的 AWS 实例类型，如 m4

密库，在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 Validation。 有关 NIST 验证程序的更多信息，请参阅加密模块验证程序。有关为验证提交的 RHEL 加密库的单独版本 的最新 NIST 状态，请参阅 Compliance Activities 和 Government Standards。 1.2. OPENSHIFT CONTAINER 配置用户定 义的标签。 1.3.2.8. Azure 的机密虚 的机密虚拟 拟机（技 机（技术预览 术预览） ） 您可以在 Azure 上安装集群时启用机密虚拟机。您可以在安装过程中使用机密计算来加密虚拟机客户机状 态存储。这个功能只是一个技术预览，它存在一些已知的问题，这些问题在本文档的已知问题部分列出。 如需更多信息，请参阅 启用机密虚拟机。 1.3.2.9. Azure 的可信 的可信启动 支持 不支持 在节点上控制过量使用和管理容器密度 不支持 不支持 Cron 作业 支持 支持 Descheduler 支持 支持 Egress IP 支持 支持 加密数据存储在 etcd 中 支持 支持 FIPS 加密 支持 支持 Helm 支持 支持 Pod 横向自动扩展 支持 支持 IBM 安全执行 不支持 支持 IBM Power® Virtual Server Block