中的基礎設施安全 ROSA - Red Hat OpenShift Service on AWS
叢集網路隔離Pod 網路隔離

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的基礎設施安全 ROSA

作為受管服務, Red Hat OpenShift Service on AWS 受到 AWS 全球網路安全的保護。如需有關 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱 AWS Cloud Security 。若要使用基礎設施安全性的最佳實務來設計您的 AWS 環境,請參閱 Security Pillar 中的基礎設施保護:Well-Architected Framework。 AWS

您可以使用 AWS 已發佈的API呼叫, ROSA 透過 AWS 網路存取 。使用者端必須支援下列專案:

  • Transport Layer Security (TLS)。我們需要 TLS 1.2 和 建議 TLS 1.3。

  • 具有完美前向秘密 (PFS) 的加密套件,例如 DHE(Ephemeral Diffie-Hellman) 或 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外,必須使用與IAM委託人相關聯的存取金鑰 ID 和秘密存取金鑰來簽署請求。或者,您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。

叢集網路隔離

Red Hat 網站可靠性工程師 (SREs) 負責叢集和基礎應用程式平台的持續管理和網路安全。如需 的 Red Hat 責任的詳細資訊 ROSA,請參閱 下列項目的責任概述 ROSA

當您建立新的叢集時, ROSA 會提供建立公有 Kubernetes API 伺服器端點和應用程式路由或私有 Kubernetes API端點和應用程式路由的選項。此連線用於與您的叢集通訊 (使用 ROSACLI和 等 OpenShift 管理工具 OpenShift CLI)。私有連線可讓節點與API伺服器之間的所有通訊保留在您的 內VPC。如果您啟用API伺服器和應用程式路由的私有存取,則必須使用現有的 VPC和 AWS PrivateLink 將 VPC 連線到 OpenShift 後端服務。

Kubernetes API 伺服器存取是使用 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制 () 的組合進行保護RBAC。如需 Kubernetes 的詳細資訊RBAC,請參閱 Kubernetes 文件中的使用RBAC授權

ROSA 可讓您使用多種TLS終止類型建立安全的應用程式路由,以將憑證提供給用戶端。如需詳細資訊,請參閱 Red Hat 文件中的安全路由

如果您在現有的 中建立 ROSA 叢集VPC,您可以指定叢集要使用的VPC子網路和可用區域。您也可以定義叢集網路要使用CIDR的範圍,並將這些CIDR範圍與VPC子網路配對。如需詳細資訊,請參閱 Red Hat 文件中的CIDR範圍定義

對於使用公有API端點的叢集, ROSA 需要為您要部署叢集的每個可用區域VPC設定公有和私有子網路。對於使用私有API端點的叢集,只需要私有子網路。

如果您使用的是現有的 VPC,您可以設定 ROSA 叢集在叢集建立期間或之後使用 HTTP 或HTTPS代理伺服器來加密叢集 Web 流量,為資料新增另一層安全層。當您啟用代理時,會拒絕核心叢集元件直接存取網際網路。代理不會拒絕使用者工作負載的網際網路存取。如需詳細資訊,請參閱 Red Hat 文件中的設定全叢集代理

Pod 網路隔離

如果您是叢集管理員,您可以在 Pod 層級定義網路政策,將流量限制為 ROSA 叢集中的 Pod。