Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Melindungi data dengan menggunakan enkripsi
Perlindungan data mengacu pada melindungi data saat transit (saat bepergian ke dan dari ROSA) dan saat istirahat (saat disimpan pada disk di pusat AWS data).
Layanan OpenShift Red Hat di AWS menyediakan akses aman ke Amazon Elastic Block Store (Amazon EBS) volume penyimpanan yang dilampirkan ke Amazon EC2 instance untuk ROSA control plane, infrastruktur, dan node pekerja, serta volume persisten Kubernetes untuk penyimpanan persisten. ROSA mengenkripsi data volume saat istirahat dan dalam perjalanan, dan menggunakan AWS Key Management Service (AWS KMS) untuk membantu melindungi data terenkripsi Anda. Layanan ini digunakan Amazon S3 untuk penyimpanan registri gambar kontainer, yang dienkripsi saat istirahat secara default.
penting
Karena ROSA merupakan layanan yang dikelola, AWS dan Red Hat mengelola infrastruktur yang ROSA digunakan. Pelanggan tidak boleh mencoba mematikan Amazon EC2 instance yang ROSA digunakan secara manual dari AWS konsol atauCLI. Tindakan ini dapat menyebabkan hilangnya data pelanggan.
Enkripsi data untuk Amazon EBS volume penyimpanan yang didukung
Layanan OpenShift Red Hat di AWS menggunakan kerangka kerja persisten volume (PV) Kubernetes untuk memungkinkan administrator klaster menyediakan penyimpanan persisten pada klaster. Volume persisten, serta bidang kontrol, infrastruktur, dan node pekerja, didukung oleh Amazon Elastic Block Store (Amazon EBS) volume penyimpanan yang dilampirkan ke Amazon EC2 instance.
Untuk volume dan node ROSA persisten yang didukung oleh Amazon EBS, operasi enkripsi terjadi pada server yang meng-host EC2 instance, memastikan keamanan data saat istirahat dan data dalam transit antara instance dan penyimpanan terlampirnya. Untuk informasi selengkapnya, lihat Amazon EBS enkripsi di Panduan Amazon EC2 Pengguna.
Enkripsi data untuk Amazon EBS CSI driver dan Amazon EFS CSI driver
ROSA default menggunakan Amazon EBS CSI driver untuk menyediakan penyimpanan. Amazon EBS Amazon EBS CSIDriver dan Amazon EBS CSI Driver Operator diinstal pada cluster secara default di openshift-cluster-csi-drivers namespace. Amazon EBS CSIDriver dan operator memungkinkan Anda menyediakan volume persisten secara dinamis dan membuat snapshot volume.
ROSA juga mampu menyediakan volume persisten menggunakan Amazon EFS CSI driver dan Operator Amazon EFS CSI Pengemudi. Amazon EFS Driver dan operator juga memungkinkan Anda untuk berbagi data sistem file antar pod atau dengan aplikasi lain di dalam atau di luar Kubernetes.
Data volume diamankan saat transit untuk Amazon EBS CSI pengemudi dan Amazon EFS CSI pengemudi. Untuk informasi selengkapnya, lihat Menggunakan Container Storage Interface (CSI)
penting
Saat menyediakan volume ROSA persisten secara dinamis menggunakan Amazon EFS CSI driver, Amazon EFS pertimbangkan ID pengguna, ID grup (GID), dan grup sekunder IDs dari titik akses saat mengevaluasi izin sistem file.
Amazon EFS menggantikan pengguna dan grup IDs pada file dengan pengguna dan grup IDs pada titik akses dan mengabaikan klienNFS. IDs Akibatnya, Amazon EFS diam-diam mengabaikan pengaturan. fsGroup
ROSA tidak dapat mengganti file dengan menggunakanfsGroup. GIDs Pod apa pun yang dapat mengakses titik Amazon EFS akses yang terpasang dapat mengakses file apa pun pada volume. Untuk informasi selengkapnya, lihat Bekerja dengan titik Amazon EFS akses di Panduan Amazon EFS Pengguna.
enkripsi etcd
ROSA menyediakan opsi untuk mengaktifkan enkripsi nilai-nilai etcd kunci dalam etcd volume selama pembuatan cluster, menambahkan lapisan enkripsi tambahan. Setelah etcd dienkripsi, Anda akan dikenakan sekitar 20% overhead kinerja tambahan. Kami menyarankan Anda mengaktifkan etcd enkripsi hanya jika Anda secara khusus memerlukannya untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat enkripsi etcd
Manajemen kunci
ROSA digunakan KMS keys untuk mengelola bidang kontrol, infrastruktur, dan volume data pekerja dengan aman dan volume persisten untuk aplikasi pelanggan. Selama pembuatan klaster, Anda memiliki pilihan untuk menggunakan default yang AWS dikelola oleh KMS key Amazon EBS, atau menentukan kunci terkelola pelanggan Anda sendiri. Untuk informasi selengkapnya, lihat Enkripsi data menggunakan KMS.
Enkripsi data untuk registri gambar bawaan
ROSA menyediakan registri gambar kontainer bawaan untuk menyimpan, mengambil, dan berbagi gambar kontainer melalui penyimpanan Amazon S3 ember. Registri dikonfigurasi dan dikelola oleh OpenShift Image Registry Operator. Ini memberikan out-of-the-box solusi bagi pengguna untuk mengelola gambar yang menjalankan beban kerja mereka, dan berjalan di atas infrastruktur cluster yang ada. Untuk informasi selengkapnya, lihat Registry
ROSA menawarkan pendaftar gambar publik dan pribadi. Untuk aplikasi perusahaan, sebaiknya gunakan registri pribadi untuk melindungi gambar Anda agar tidak digunakan oleh pengguna yang tidak sah. Untuk melindungi data registri Anda saat istirahat, ROSA gunakan enkripsi sisi server secara default dengan kunci Amazon S3 terkelola (SSE-S3). Ini tidak memerlukan tindakan apa pun dari Anda, dan ditawarkan tanpa biaya tambahan. Untuk informasi selengkapnya, lihat Melindungi data menggunakan enkripsi sisi server dengan kunci enkripsi Amazon S3 terkelola (SSE-S3) di Panduan Pengguna. Amazon S3
ROSA menggunakan protokol Transport Layer Security (TLS) untuk mengamankan data dalam perjalanan ke dan dari registri gambar. Untuk informasi selengkapnya, lihat Registry
Privasi lalu lintas antar jaringan
Layanan OpenShift Red Hat di AWS menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk membuat batasan antara sumber daya di ROSA klaster Anda dan mengontrol lalu lintas di antara mereka, jaringan lokal Anda, dan internet. Untuk informasi selengkapnya tentang Amazon VPC keamanan, lihat Privasi lalu lintas Internetwork Amazon VPC di Amazon VPC Panduan Pengguna.
Di dalamnyaVPC, Anda dapat mengonfigurasi ROSA cluster Anda untuk menggunakan server HTTP atau HTTPS proxy untuk menolak akses internet langsung. Jika Anda adalah administrator klaster, Anda juga dapat menentukan kebijakan jaringan di tingkat pod yang membatasi lalu lintas internetwork ke pod di klaster Anda. ROSA Untuk informasi selengkapnya, lihat Keamanan infrastruktur di ROSA.
