Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza dell'infrastruttura in ROSA
In quanto servizio gestito, Servizio Red Hat OpenShift su AWS è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security
Utilizzi le API chiamate AWS pubblicate per accedere ROSA tramite la rete. AWS I client devono supportare quanto segue:
-
Transport Layer Security (TLS). Richiediamo TLS 1.2 e consigliamo TLS 1.3.
-
Suite di cifratura con Perfect Forward Secrecy (PFS) come (Ephemeral Diffie-Hellman) o DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale. IAM O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
Isolamento della rete di cluster
I tecnici di Red Hat Site Reliability (SREs) sono responsabili della gestione continua e della sicurezza di rete del cluster e della piattaforma applicativa sottostante. Per ulteriori informazioni sulle responsabilità di Red Hat per ROSA, consultaPanoramica delle responsabilità per ROSA.
Quando si crea un nuovo cluster, ROSA offre la possibilità di creare un endpoint del API server Kubernetes pubblico e route applicative o un endpoint API Kubernetes privato e route applicative. Questa connessione viene utilizzata per comunicare con il cluster (utilizzando OpenShift strumenti di gestione come and). ROSA CLI OpenShift CLI Una connessione privata consente a tutte le comunicazioni tra i nodi e il API server di rimanere all'interno dell'utenteVPC. Se abiliti l'accesso privato al API server e ai percorsi delle applicazioni, devi utilizzare un servizio esistente VPC e AWS PrivateLink OpenShift connetterlo VPC al servizio di backend.
L'accesso al API server Kubernetes è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e il controllo di accesso basato sui ruoli Kubernetes nativo (). RBAC Per ulteriori informazioni su Kubernetes, consulta Using Authorization nella documentazione di KubernetesRBAC. RBAC
ROSA consente di creare percorsi applicativi sicuri utilizzando diversi tipi di TLS terminazione per fornire certificati al client. Per maggiori informazioni, consulta Percorsi protetti nella documentazione di Red
Se create un ROSA cluster in un cluster esistenteVPC, specificate le VPC sottoreti e le zone di disponibilità da utilizzare per il cluster. È inoltre possibile definire gli CIDR intervalli da utilizzare per la rete di cluster e abbinare questi CIDR intervalli alle sottoreti. VPC Per ulteriori informazioni, consultate le definizioni degli CIDR intervalli
Per i cluster che utilizzano l'APIendpoint pubblico, è ROSA necessario che l'utente VPC sia configurato con una sottorete pubblica e privata per ogni zona di disponibilità in cui si desidera distribuire il cluster. Per i cluster che utilizzano l'APIendpoint privato, sono necessarie solo sottoreti private.
Se si utilizza un server esistenteVPC, è possibile configurare ROSA i cluster in modo che utilizzino un server HTTPS proxy durante HTTP o dopo la creazione del cluster per crittografare il traffico Web del cluster, aggiungendo un altro livello di sicurezza per i dati. Quando abiliti un proxy, ai componenti principali del cluster viene negato l'accesso diretto a Internet. Il proxy non nega l'accesso a Internet per i carichi di lavoro degli utenti. Per maggiori informazioni, consultate Configurazione di un proxy a livello di cluster
Isolamento della rete Pod
Se sei un amministratore del cluster, puoi definire politiche di rete a livello di pod che limitino il traffico ai pod del ROSA cluster.
