(RHEL) 和 Red Hat CoreOS (RHCOS) 中使 用特定的 FIPS 验证/Modules in Process 模块用于使用它们的操作系统组件。请参阅 RHEL7 core crypto components 中的内容。例如，当用户 SSH 到 OpenShift Container Platform 集群和容器时，这些连接会 被正确加密。 OpenShift Container FIPS 验证的/Modules in Process 的加密模块和算法， 它们从 RHEL 7 和 RHCOS 二进制文件和镜像中获 得。 使用 FIPS 兼容 golang 编译器。 对 TLS FIPS 的支持当前还不完整，但计划在将来的 OpenShift Container Platform 版本中被完全支持。 2.2. 集群使用的组件支持 FIPS 尽管 OpenShift Container masters-chrony-configuration spec: config: ignition: config: {} security: tls: {} timeouts: {} version: 2.2.0 networkd: {} passwd: {} storage: files:

手动为节点分配资源 5.11. 为集群中的节点分配特定 CPU 5.11.1. 为节点保留 CPU 5.12. 为 KUBELET 启用 TLS 安全配置集 5.12.1. 了解 TLS 安全配置集 5.12.2. 为 kubelet 配置 TLS 安全配置集 5.13. 机器配置守护进程指标 5.13.1. 机器配置守护进程指标 5.14. 创建基础架构节点 5.14.1. OpenShift 务， 使集群更高效、应用程序友好，并为开发人员提供更好的环境。 使用 Node Tuning Operator，为需要一定等级内核调整的高性能应用程序管理节点级别的性能优 化。 在节点上启用 TLS 安全配置集，以保护 kubelet 和 Kubernetes API 服务器之间的通信。 使用守护进程集在节点上自动运行后台任务。您可以创建并使用守护进程集来创建共享存储，在 每个节点上运行日志记录 kubernetes.io/basic-auth。搭配基本身份验证使用。 kubernetes.io/ssh-auth。搭配 SSH 密钥身份验证使用。 kubernetes.io/tls。搭配 TLS 证书颁发机构使用。 如果您不想要验证，请指定 type: Opaque，即 secret 没有声明键名称或值需要符合任何约定。opaque secret 允许使用无结构 key:value

和 2。 注意 注意 除了 HashiCorp Vault KMS，IBM Cloud 平台上的 OpenShift Data Foundation 现在还支持 Hyper Protect Crypto Services(HPCS)Key Management Services(KMS)作为加密解决方 案。 重要 重要 第 第 5 章 章 安全考 安全考虑 虑 13 重要 重要 红帽

"email": "you@example.com" } } } 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 65 1 码，以及自定义 TLS 证书。这为用户提供了一个容器 registry，以便在受限网络环境中运行 OpenShift Container Platform 时，轻松创建所有 OpenShift Container Platform Hat OpenShift flags"。 3. 运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 $ sudo ./mirror-registry login --authfile pull-secret.txt \ -u init \ -p \ :8443> \ --tls-verify=false 1 OpenShift Container Platform 4.7 安装 安装 66 1 注意 注意 您还可以在安装后通过 https://

0 码力 | 2276 页 | 23.68 MB | 1 年前

3

"email": "you@example.com" } } } OpenShift Container Platform 4.8 安装 安装 22 1 码，以及自定义 TLS 证书。这为用户提供了一个容器 registry，以便在受限网络环境中运行 OpenShift Container Platform 时，轻松创建所有 OpenShift Container Platform Hat OpenShift flags"。 3. 运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 $ sudo ./mirror-registry login --authfile pull-secret.txt \ -u init \ -p \ :8443> \ --tls-verify=false 1 第 第 3 章 章 为 为断开 断开连 连接的安装 接的安装 MIRROR 镜 镜像 像 23 1 注意 注意 您还可以在安装后通过 https://

0 码力 | 2586 页 | 27.37 MB | 1 年前

3

OpenShift 提供了一个预先确定的网络配置，并在成功时报告部署的组件凭证 并访问 URL。另外还提供了一组有限的可选配置输入，如完全限定域名(FQDN)服务、超级用户名称和密 码，以及自定义 TLS 证书。这为用户提供了一个容器 registry，以便在受限网络环境中运行 OpenShift Container Platform 时，轻松创建所有 OpenShift Container Platform Hat OpenShift flags"。 3. 运行以下命令，使用安装期间生成的用户名和密码登录 registry： 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https:// $ podman login -u init \ -p \ :8443> \ --tls-verify=false 1 第 第 4 章 章 断开 断开连 连接的安装 接的安装镜 镜像 像 31 此流程解释了如何使用 upgrade 命令从本地主机更新 Red Hat OpenShift

write。 OSSM-1211 为故障转移配置联邦服务网格无法正常工作。 Istiod pilot 日志显示以下错误： envoy connection [C289] TLS error: 337047686:SSL routines:tls_process_server_certificate:certificate verify failed OSSM-1099 Kiali 控制台显示消息 Sorry Collector 间的连接会出现 TRACING-1300 失败。对 Jaeger Operator 的更新默认启用了 Jaeger sidecar 代理和 Jaeger Collector 之间的 TLS 通信。 {"level":"warn","ts":1642438880.918793,"caller":"channelz/logging.go:62","msg":"[core]grpc: Server 1.5. OpenSSL Red Hat OpenShift Service Mesh 将 BoringSSL 替换为 OpenSSL。OpenSSL 是包含安全套接字层 (SSL) 和传输层 (TLS) 协议的开源实现的软件库。Red Hat OpenShift Service Mesh Proxy 二进制代码动 态地将 OpenSSL 库（libssl 和 libcrypto）与底层的 Red

2. INGRESS 配置资产 6.3. INGRESS 控制器配置参数 6.3.1. Ingress Controller TLS 安全配置集 6.3.1.1. 了解 TLS 安全配置集 6.3.1.2. 为 Ingress Controller 配置 TLS 安全配置集 6.3.2. Ingress 控制器端点发布策略 6.4. 查看默认的 INGRESS CONTROLLER 6.5 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： OpenShift Container Platform 4.6 网 网络 络 10 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift Container Platform 中， 生成路由以满足 Ingress 资源指定的条件。 第 第 1 章 章 了解网 了解网络 络 11 第 2 章 访问主机

Observe 菜单的 web 控制台中视觉化指标。 1.1.4.2. 程序 程序错误 错误修复 修复 在这个版本中，为分布式追踪平台(Tempo)引入了以下程序错误修复： 修复了连接到对象存储的自定义 TLS CA 选项支持。(TRACING-3462) 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3523) 修复了没有部署网关时的 功能，并有机会在开发阶 段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 1.2.5.1. 已知 已知问题 问题 目前，没有为连接对象存储而实施自定义 TLS CA 选项。(TRACING-3462) 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace 的服 务。对于没有在最后 15 分钟内发送 功能，并有机会在开发阶 段提供反馈意见。 有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。 1.3.5.1. 已知 已知问题 问题 目前，没有为连接对象存储而实施自定义 TLS CA 选项。(TRACING-3462) 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace 的服 第 第 1 章 章 分布式追踪

OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 入口流量通过路由访问集群中的服务。路由和入口是处理入口流量的主要资源。Ingress 提供类似于路由 的功能，如接受外部请求并根据路由委派它们。但是，对于 Ingress，您只能允许某些类型的连接： OpenShift Container Platform 4.9 网 网络 络 6 HTTP/2、HTTPS 和服务器名称识别(SNI)，以及 TLS（证书）。在 OpenShift Container Platform 中， 生成路由以满足 Ingress 资源指定的条件。 1.3. OPENSHIFT CONTAINER PLATFORM 网络的常见术语表 OpenShift Container Platform 路由为集群中的服务提供入口流量。路由提供了标准 Kubernetes Ingress Controller 可能不支持的高级功能，如 TLS 重新加密、TLS 直通和为蓝绿部署分割流量。 扩 扩展 展 增加或减少资源容量。 service 在一组 pod 上公开正在运行的应用程序。 单 单根 根 I/O 虚 虚拟 拟化 化 (SR-IOV)