Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit der Infrastruktur in ROSA
Als verwalteter Dienst Red Hat OpenShift Service in AWS wird er durch die AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit
Für den Zugriff ROSA über das Netzwerk verwenden Sie AWS veröffentlichte API Aufrufe. AWS Kunden müssen Folgendes unterstützen:
-
Sicherheit auf Transportschicht (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Cipher-Suites mit perfekter Vorwärtsgeheimhaltung (PFS) wie (Ephemeral Diffie-Hellman) oder DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Darüber hinaus müssen Anfragen mithilfe einer Zugriffsschlüssel-ID und eines geheimen Zugriffsschlüssels, der einem Prinzipal zugeordnet ist, signiert werden. IAM Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
Isolierung des Cluster-Netzwerks
Die Site Reliability Engineers von Red Hat (SREs) sind für das laufende Management und die Netzwerksicherheit des Clusters und der zugrunde liegenden Anwendungsplattform verantwortlich. Weitere Informationen zu den Zuständigkeiten von Red Hat für ROSA finden Sie unterÜberblick über die Zuständigkeiten für ROSA.
Wenn Sie einen neuen Cluster erstellen, haben Sie die ROSA Möglichkeit, einen öffentlichen API Kubernetes-Serverendpunkt und Anwendungsrouten oder einen privaten API Kubernetes-Endpunkt und Anwendungsrouten zu erstellen. Diese Verbindung wird für die Kommunikation mit Ihrem Cluster verwendet (mithilfe von OpenShift Verwaltungstools wie und). ROSA CLI OpenShift CLI Eine private Verbindung ermöglicht es, dass die gesamte Kommunikation zwischen Ihren Knoten und dem API Server innerhalb Ihrer Verbindung bleibtVPC. Wenn Sie den privaten Zugriff auf die API Server- und Anwendungsrouten aktivieren, müssen Sie ein vorhandenes VPC und verwenden, AWS PrivateLink um die Verbindung VPC zum OpenShift Back-End-Dienst herzustellen.
Der API Kubernetes-Serverzugriff wird durch eine Kombination aus AWS Identity and Access Management (IAM) und systemeigener rollenbasierter Kubernetes-Zugriffskontrolle () gesichert. RBAC Weitere Informationen zu Kubernetes finden Sie unter Using Authorization in der RBAC Kubernetes-Dokumentation. RBAC
ROSA ermöglicht es Ihnen, sichere Anwendungsrouten mithilfe verschiedener TLS Terminierungsarten zu erstellen, um dem Client Zertifikate auszustellen. Weitere Informationen finden Sie unter Gesicherte Routen
Wenn Sie einen ROSA Cluster in einem vorhandenen erstellenVPC, geben Sie die VPC Subnetze und Availability Zones an, die Ihr Cluster verwenden soll. Sie definieren auch die CIDR Bereiche, die das Cluster-Netzwerk verwenden soll, und ordnen diese CIDR Bereiche den VPC Subnetzen zu. Weitere Informationen finden Sie unter CIDRBereichsdefinitionen
Für Cluster, die den öffentlichen API Endpunkt verwenden, VPC ist es ROSA erforderlich, dass Ihr mit einem öffentlichen und einem privaten Subnetz für jede Availability Zone konfiguriert ist, in der der Cluster bereitgestellt werden soll. Für Cluster, die den privaten API Endpunkt verwenden, sind nur private Subnetze erforderlich.
Wenn Sie ein vorhandenes System verwendenVPC, können Sie Ihre ROSA Cluster so konfigurieren, dass sie während HTTP oder nach der Clustererstellung einen oder einen HTTPS Proxyserver verwenden, um den Cluster-Webverkehr zu verschlüsseln und so eine weitere Sicherheitsebene für Ihre Daten hinzuzufügen. Wenn Sie einen Proxy aktivieren, wird den Kernkomponenten des Clusters der direkte Zugriff auf das Internet verweigert. Der Proxy verweigert Benutzerarbeitslasten nicht den Internetzugang. Weitere Informationen finden Sie unter Konfiguration eines clusterweiten Proxys
Pod-Netzwerkisolierung
Wenn Sie ein Clusteradministrator sind, können Sie Netzwerkrichtlinien auf Pod-Ebene definieren, die den Datenverkehr auf Pods in Ihrem ROSA Cluster einschränken.