distributed in its entirety without modification. Rancher Kubernetes Cryptographic Library FIPS 140-2 Non-Proprietary Security Policy Document Version 1.1 January 4, 2021 +1 703.276.6050 FIPS 140-2 Security Policy Rancher Kubernetes Cryptographic Library Page 2 of 16 References Ref Full Specification Name Date [140] FIPS 140-2, Security Requirements 12/3/2002 [140AA] FIPS 140-2 Annex A: Approved Security Functions 6/10/2019 [140AC] FIPS 140-2 Annex C: Approved Random Number Generators 6/10/2019 [140AD] FIPS 140-2 Annex D: Approved Key

重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 27 章 章 支持 支持 FIPS 加密 加密 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 27.2. 集群使用的组件支持 FIPS 27.3. 在 FIPS 模式下安装集群 3864 3866 3867 3868 3868 3868 3870 3871 3872 Azure 政府区域，您可以在安装程序置备 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为使用 RHEL 加密库在安装过程中为 FIPS 140-2/140-3 Validation 提交给 NIST。 重要 重要 当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置，但建议在用户访问集群前进行操作。您可以通过自定义组成集群的 Operator，并将集群与其他所需

存储集群部署方法 2.3. 节点类型 第 第 3 章 章 内部存 内部存储 储服 服务 务 第 第 4 章 章 外部存 外部存储 储服 服务 务 第 第 5 章 章 安全考 安全考虑 虑 5.1. FIPS-140-2 5.2. 代理环境 5.3. 数据加密选项 5.4. TRANSIT 中的加密 第 第 6 章 章 订阅 订阅 6.1. 订阅服务 6.2. 灾难恢复订阅要求 6.3. 内核与 不会部署或管理外部集群。 第 第 4 章 章 外部存 外部存储 储服 服务 务 11 第 5 章 安全考虑 5.1. FIPS-140-2 Federal Information Processing Standard Publication 140-2 (FIPS-140-2) 是定义使用加密模块的一系列 安全要求的标准。这个标准受到美国政府机构和承包商的强制要求，在其他国际和行业特定的标准中也会 标准中也会 引用该标准。 Red Hat OpenShift Data Foundation 现在使用 FIPS 验证的加密模块。Red Hat Enterprise Linux OS/CoreOS(RHCOS)提供这些模块。 目前，Cryptographic Module Validation Program (CMVP) 用于处理加密模块。您可以在modules in Process List

Stacks 15 Copyright © SUSE 2021 — SAP Data Analytics — HPC & AI/ML — SCEaaS — RKE2 FIPS Validated 140-2 Kubernetes — FinOps — DBaaS — STaaS — BaaS — DRaaS — Edge Here at SUSE, we cater to

Platform 发行注记中已弃用和删除的功能部分。 如果以 FIPS 模式部署 OpenShift Container Platform，则需要在 RHEL 机器上启用 FIPS，然 后才能引导它。请参阅 RHEL 8 文档中的启用 FIPS 模式安装 RHEL 8 系统 。 重要 重要 要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅在 FIPS 模式中安装该系统。当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。 NetworkManager 1.0 或更高版本。 1 个 vCPU。 最小 8 GB RAM。 最小15 GB 硬盘空间，用于包含 /var/ 的文件系统。 最小1 GB 硬盘空间，用于包含 /usr/local/bin/ 的文件系统。 最小 1 GB 硬

Platform 专为 FIPS 设计。当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加 密库，在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 在节点上控制过量使用和管理容器密度 不支持 不支持 Cron 作业 支持 支持 Descheduler 支持 支持 Egress IP 支持 支持 加密数据存储在 etcd 中 支持 支持 FIPS 加密 支持 支持 Helm 支持 支持 Pod 横向自动扩展 支持 支持 IBM 安全执行 不支持 支持 IBM Power® Virtual Server Block CSI Driver

或 "false" features.operators.openshift .io/fips-compliant 指定 Operator 是否接受底层平台的 FIPS- 140 配置，并可用于引导到 FIPS 模式的节 点。在这个模式中，Operator 及其管理（操 作）的任何工作负载都只调用为 FIPS-140 验 证提交的 Red Hat Enterprise Linux (RHEL) 加密库。 Kubernetes 注解必须是字符串。 具有基 具有基础架 架构功能注解的 功能注解的 CSV 示例 示例 其他 其他资源 源 为受限网络环境启用 Operator （断开连接模式） 支持 FIPS 加密 5.7.3.2. 弃用的基 弃用的基础架 架构功能注解 功能注解 从 OpenShift Container Platform 4.14 开始，注解的 operators.openshift annotations: features.operators.openshift.io/disconnected: "true" features.operators.openshift.io/fips-compliant: "false" features.operators.openshift.io/proxy-aware: "false" features.operators

连接手动收集日志 1.3. 在不使用 SSH 连接到主机的情况下手动收集日志 第 第 2 章 章 支持 支持 FIPS 加密 加密 2.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 2.2. 集群使用的组件支持 FIPS 2.3. 在 FIPS 模式下安装集群 第 第 3 章 章 安装配置 安装配置 3.1. 不同平台的安装方法 3.2. 自定义节点 node-logs --role=master --path=openshift-apiserver 第 第 1 章 章 收集安装日志 收集安装日志 5 第 2 章 支持 FIPS 加密 从版本 4.3 开始，您可以安装一个使用经 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群。 对于集群中的 Red Hat Enterprise 的机器上安装操作系统时，启用 FIPS 模式。这些配置方法可确保集群满足 FIPS 合规审核的要求：在初始系统引导前，只启用经 FIPS 验 证/Modules in Process 加密的软件包。 因为 FIPS 必须在集群首次引导操作系统之前启用，所以您不能在部署集群后启用 FIPS。 2.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 OpenShift

重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 26 章 章 支持 支持 FIPS 加密 加密 26.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 26.2. 集群使用的组件支持 FIPS 26.3. 在 FIPS 模式下安装集群 2741 2741 2743 2771 2809 2855 2894 2943 2993 政府区域，您可以在安装程序置备 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群 指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_ed25519。如果您已有密钥对，请确保您的 公钥位于 ~/.ssh 目录中。 注意 注意 如果您计划在 x86_64 架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，请不要创建使用 ed25519 算法的密钥。相 反，创建一个使用 rsa 或

19.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 2226 2227 2228 2229 2231 2232 2232 2232 2233 2234 2235 2268 2269 2269 2269 2271 2271 2271 目 目录 录 47 20.2.1. etcd 20.2.2. Storage 20.2.3. 运行时 20.3. 在 FIPS 模式下安装集群 2271 2272 2272 2272 OpenShift Container Platform 4.7 安装 安装 48 目 目录 录 49 第 1 章 OPENSHIFT 政府区域，您可以在安装程序置备的基础架构安装 过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 第 第 2