在 POD 外部创建绑定服务帐户令牌 第 第 15 章 章 管理安全性上下文 管理安全性上下文约 约束 束 15.1. 关于安全性上下文约束 15.2. 关于预分配安全性上下文约束值 15.3. 安全性上下文约束示例 15.4. 创建安全性上下文约束 15.5. 基于角色的对安全性上下文限制的访问 15.6. 安全性上下文约束命令参考 15.7. 其他资源 第 第 16 章 章 了解并管理 了解并管理 了解并管理 POD 安全准入 安全准入 16.1. 安全性上下文约束与 POD 安全标准同步 16.2. 控制 POD 安全准入同步 16.3. 关于 POD 安全准入警报 16.4. 其他资源 第 第 17 章 章 模 模拟 拟 SYSTEM:ADMIN 用 用户 户 17.1. API 模仿 17.2. 模拟 SYSTEM:ADMIN 用户 17.3. 模拟 SYSTEM:ADMIN 中的工作方式，请参阅评估授权。 您还可以通过项目和命名空间来控制对 OpenShift Container Platform 集群的访问。 除了控制用户对集群的访问外，您还可以控制 Pod 可以执行的操作，以及它可使用 安全性上下文约束 (SCC) 访问的资源。 您可以通过以下任务管理 OpenShift Container Platform 的授权： 查看 本地和集群 角色和绑定. 创建 本地角色 并将其分配给用户或组。

SERVICEMESHCONTROLPLANE 1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE MESH 1.12. 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20 3. SERVICE MESH 和 ISTIO 的不同 2.4. 准备安装 SERVICE MESH 2.5. 安装 SERVICE MESH 2.6. 在 SERVICE MESH 中自定义安全性 2.7. 流量管理 2.8. 在 SERVICE MESH 上部署应用程序 2.9. 数据可视化和可观察性 2.10. 自定义资源 2.11. 使用 3SCALE ISTIO 适配器 2.12 OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网

Foundation。 5.3. 数据加密选项 加密可让您对数据进行编码，使其在没有所需的加密密钥的情况下无法读取。通过这种机制，当物理性安 全被破坏的情况下，您的数据所在的物理介质丢失时，可以保护您的数据的安全性。每个PV 加密也提供 同一 OpenShift Container Platform 集群内其他命名空间的访问保护。当数据写入到磁盘时，数据会被加 密，并在从磁盘读取数据时对其进行解密。使用加密的数据可能会对性能产生较小的影响。 Data Foundation 集群网络流量 但是，OpenShift Data Foundation 4.8 及更新的版本支持作为技术预览使用 Multus 通过隔离不同类型的 网络流量来提高安全性和性能。 重要 重要 Red Hat OpenShift Data Foundation 4.12 规 规划部署 划部署 24 重要 重要 Multus 支持是一个技术预览功能，它只受支持并在裸机和 额 额外网 外网络 络使用 使用场 场景 景 您可以在需要网络隔离的情况下使用额外网络，包括分离数据平面与控制平面。隔离网络流量对以下性能 和安全性原因很有用： 性能 性能 您可以在两个不同的平面上发送流量，以管理每个平面上流量的多少。 安全性 安全性 您可以将敏感的流量发送到专为安全考虑而管理的网络平面，也可隔离不能在租户或客户间共享的私 密数据。 集群中的所有 pod 仍然使用集群范

5.22. VMWARE VSPHERE CSI DRIVER OPERATOR 第 第 6 章 章 通用 通用临时 临时卷 卷 6.1. 概述 6.2. 生命周期和持久性卷声明 6.3. 安全性 6.4. 持久性卷声明命名 6.5. 创建通用临时卷 第 第 7 章 章 扩 扩展持久性卷 展持久性卷 7.1. 启用卷扩展支持 7.2. 扩展 CSI 卷 7.3. 使用支持的驱动程序扩展 ReadWriteMany (RWX) ReadWriteOncePod (RWOP) Cinder Red Hat OpenStack Platform (RHOSP) 的块存储服务，用于管理所有卷的管理、安全性和调度。 配置映射 配置映射 配置映射提供将配置数据注入 pod 的方法。您可以在类型为 ConfigMap 的卷中引用存储在配置映射 中的数据。在 pod 中运行的应用程序可以使用这个数据。 化该设备，该设备中的所有数据都会被删除， 并使用指定的文件系统自动格式化该设备。 4.4.1.3. Cinder 卷安全 卷安全 如果在应用程序中使用 Cinder PV，请在其部署配置中配置安全性。 先决条件 先决条件 必须创建一个使用适当 fsGroup 策略的 SCC。 流程 流程 1. 创建一个服务帐户并将其添加到 SCC： 2. 在应用程序的部署配置中，提供服务帐户名称和 securityContext：

Kubernetes，为当今的企业级 应用程序提供了一个更加安全、可扩展的多租户操作系统，同时提供了集成的应用程序运行时及程序库。 OpenShift Container Platform 可以满足用户对安全性、隐私、合规性及监管的要求。 1.1. 关于此版本 OpenShift Container Platform (RHSA-2023:5006)现已正式发布。此发行版本使用 Kubernetes 1 LinuxONE 克隆 支持 支持 扩展 支持 支持 Snapshot 支持 支持 1.3.8. 认证和授权 1.3.8.1. SCC 抢 抢占防止 占防止 在这个版本中，您可以要求工作负载使用特定的安全性上下文约束 (SCC)。通过设置特定的 SCC，您可 以防止您希望在集群中被另一个 SCC 抢占的 SCC。如需更多信息，请参阅配置工作负载以需要特定的 SCC。 1.3.8.2. Pod 安全准入特 如需更多信息，请参阅使用双栈网络配置集群。 1.3.21.6. RHOSP 集群的安全 集群的安全组 组管理 管理 在 OpenShift Container Platform 4.14 中，在 RHOSP 上运行的集群的安全性已被改进。默认情况 下，OpenStack 云供应商现在将负载均衡器的 manage-security-groups 选项设为 true，确保只打开集 群操作所需的节点端口。在以前的版本中，compute

您可使用细粒度访问控制来共享镜像，快速向整个团队分发镜像。 如果源更改，imagestreamtag 仍将指向已知良好的镜像版本，以确保您的应用程序不会意外中 断。 您可以通过镜像流对象的权限配置安全性，以了解谁可以查看和使用镜像。 在集群级别上缺少读取或列出镜像权限的用户仍可使用镜像流来检索项目中标记的镜像。 您可以管理镜像流，将镜像流 与 Kubernetes 资源一起使用，并触发镜像流更新。 您可使用细粒度访问控制来共享镜像，快速向整个团队分发镜像。 如果源更改，imagestreamtag 仍将指向已知良好的镜像版本，以确保您的应用程序不会意外中 断。 您可以通过镜像流对象的权限配置安全性，以了解谁可以查看和使用镜像。 在集群级别上缺少读取或列出镜像权限的用户仍可使用镜像流来检索项目中标记的镜像。 6.2. 配置镜像流 ImageStream 对象文件包含以下元素。 OpenShift openshift-infra, openshift-node，其他系统创建的项目的标签 openshift.io/run-level 被 设置为 0 或 1。依赖于准入插件（如 pod 安全准入、安全性上下文约束、集群资源配额和 镜像引用解析）的功能无法在高特权项目中工作。 - /bin/sh - -c - tar -C /tmp -xf - && /usr/

使用具有 cluster-admin 权限的用户登陆到集群。 已创建一个 pull secret。 流程 流程 1. 创建 IP 故障转移服务帐户： 2. 为 hostNetwork 更新安全性上下文约束（SCC）： 3. 创建部署 YAML 文件来配置 IP 故障转移： IP 故障 故障转 转移配置的部署 移配置的部署 YAML 示例 示例 $ oc create sa ipfailover pod。 13.1.1. 额外网络使用场景 您可以在需要网络隔离的情况下使用额外网络，包括分离数据平面与控制平面。隔离网络流量对以下性能 和安全性原因很有用： 性能 性能 您可以在两个不同的平面上发送流量，以管理每个平面上流量的多少。 安全性 安全性 您可以将敏感的流量发送到专为安全考虑而管理的网络平面，也可隔离不能在租户或客户间共享的私 密数据。 集群中的所有 pod 仍然使用集群范 支持的时间单位是微秒 (us)、毫秒 (ms)、秒钟 (s)、分钟 (m)、小时 (h)、或天 (d)。 以下示例在名为 myroute 的路由上设置两秒的超时： 17.1.3. HTTP 严格传输安全性 HTTP 严格传输安全性 (HSTS) 策略是一种安全增强，向浏览器客户端发送信号，表示路由主机上仅允许 HTTPS 流量。HSTS 也通过信号 HTTPS 传输来优化 Web 流量，无需使用 HTTP 重定向。HSTS

(CNO) 1.2.8.2. OpenShift SDN 1.2.8.3. Multus 1.2.9. Web 控制台 1.2.9.1. 开发者目录 1.2.9.2. 新的管理界面 1.2.10. 安全性 1.3. 主要的技术变化 由 buildah 进行镜像构建 SecurityContextConstraints 服务 CA bundle 的变化 OpenShift Service Broker Kubernetes，为当今的企业级应用程序 提供了一个更加安全、可扩展的多租户操作系统，同时提供了集成的应用程序运行时及程序库。 OpenShift Container Platform 可以满足用户对安全性、隐私、合规性及监管的要求。 1.1. 关于此版本 Red Hat OpenShift Container Platform (RHBA-2019:0758) 现已正式发行。这个版本使用 Kubernetes 所提供的新的管理界面支持自动化操作。例如管理机器的设置、taint、 tolerations 以及集群设置。 OpenShift Container Platform 4.1 发 发行注 行注记 记 8 1.2.10. 安全性 在 OpenShift Container Platform 4.1 中，可以使用一个 Operator 来安装、配置和管理证书签发服务器。 证书作为 secret 进行管理，并以加密的形式保存在

. . . . . . . . . . . . . . . . 第 第 8 章 章 安全策略 安全策略 8.1. 关于工作负载安全性 8.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 8.3. 授权 8.4. 其他资源 第 第 9 章 章 使用 使用 VIRTCTL 和 和 LIBGUESTFS Virtualization 遵循 restricted Kubernetes pod 安全标准配置集，旨在强制实施 Pod 安全性的当前最佳实践。 虚拟机 (VM) 工作负载作为非特权 pod 运行。 为 kubevirt-controller 服务帐户定义了 安全性上下文约束 (SCC)。 8.1. 关于工作负载安全性 默认情况下，虚拟机 (VM) 工作负载不会在 OpenShift Virtualization 下运行的客户端的连接。 因此，虚拟机作为非特权 pod 运行，遵循最小特权的安全原则。 8.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 Pod 的安全上下文约束（SCC）控制权限。这些权限包括 Pod（容器集合）可以执行的操作以及它们可以 访问的资源。您可以使用 SCC 定义 Pod 运行必须满足的一组条件，以便其能被系统接受。

您有效地了解 OpenShift Container Platform 架构。 访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 安全性。 准入插件 准入插件 准入插件强制执行安全策略、资源限制或配置要求。 身份 身份验证 验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置用户身份验证，并确保 扩展而不匹配。 Network 字段显示网络连接的地址和前缀。 选项卡的 Resource usage 部分显示图形中使用的资源。 Advisor recommendations 部分提供与安全性、性能、可用性和稳定相关的见解。本节需要使用 远程健康功能。请参阅使用 Insights 来识别与集群相关的问题。 Cluster history 部分显示集群完成的所有内容，包括创建和确定新版本时。 选择用来构建应用程序的基础镜像包含一组软件，这些软件为应用程序提供一个 Linux 系统。在您构建自 己的镜像时，您的软件将放置到该文件系统中，可以像对待操作系统一样看待该文件系统。基础镜像的选 择会对容器未来的安全性、效率和可升级性产生重大影响。 红帽提供了一组新的基础镜像，称为红帽通用基础镜像 (UBI)。这些镜像基于 Red Hat Enterprise Linux， 与红帽过去提供的基础镜像相似，但有一