FIPS 实现还没有提供一个单一的计算哈希函数和验证 基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中，将继续评估并改进这个 限制。 CRI-O 运行时支持 FIPS。 OpenShift Container Platform 服务支持 FIPS。 FIPS 验证的/Modules in Process 的加密模块和算法， 它们从 RHEL 7 和 RHCOS secret 在进程加密中使用 FIPS 验证的/Modules in Process 模块，请以 FIPS 模 式引导节点。在使用 FIPS 模式安装集群后，您可以使用 FIPS 批准的 aes cbc 加密算法加密 etcd 数据。 OpenShift Container Platform 4.4 安装 安装 6 2.2.2. Storage 对于本地存储，使用 RHEL 提供的磁盘加密或者使用 RHEL

OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： $ ssh-keygen -t ed25519 -N '' \ -f / / 1 第 第 4 章 章 在 在 AWS 上安装 上安装 103 1 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 ssh-agent： 输出示例 出示例 指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_rsa 后 后续 续步

（builder）镜像，这有助于通过将您的代码或配置添加到现有镜像来创建新镜像。 由于应用程序会随时间发展，因此单个镜像名称实际上可以指代同一镜像的许多不同版本。每个不同的镜 像都可以通过其唯一的哈希值识别（很长的十六进制数，如fd44297e2ddb050ec4f…），通常可缩短为 12 个字符（如：fd44297e2ddb）。 3.2. 容器 OpenShift Container Platform Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 3.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： docker.io/openshift/jenkins-2-ce

架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： $ ssh-keygen -t ed25519 -N '' -f / 1 第 第 4 章 ssh/id_dsa）。 a. 如果 ssh-agent 进程还没有针对您的本地用户运行，请将其作为后台任务启动： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密 钥必须是 RSA 或 ECDSA。 4. 将 SSH 私钥添加到 ssh-agent： 指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_ed25519 输出示例 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： 例如，运行以下命令查看 ~/.ssh/id_ed25519.pub 公钥： 3. 将 SSH 私钥身份添加到您本地用户的 SSH

（builder）镜像，这有助于通过将您的代码或配置添加到现有镜像来创建新镜像。 由于应用程序会随时间发展，因此单个镜像名称实际上可以指代同一镜像的许多不同版本。每个不同的镜 像都会有一个代表它的唯一哈希值（一个较长的十六进制值，如 fd44297e2ddb050ec4f…​），它通常会 被缩短为一个 12 位长的值（如 fd44297e2ddb）。 您可以创建，管理，并使用容器镜像。 1.3. Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 1.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： 1.7. 容器 OpenShift Container Platform

（builder）镜像，这有助于通过将您的代码或配置添加到现有镜像来创建新镜像。 由于应用程序会随时间发展，因此单个镜像名称实际上可以指代同一镜像的许多不同版本。每个不同的镜 像都会有一个代表它的唯一哈希值（一个较长的十六进制值，如 fd44297e2ddb050ec4f…​），它通常会 被缩短为一个 12 位长的值（如 fd44297e2ddb）。 您可以创建、管理和使用 https://access Container Platform 提供 oc tag 命令，该命令类似于 docker tag 命令，但是在镜像流上运 行，而非直接在镜像上运行。 1.6. 镜像 ID 镜像 ID 是 SHA（安全哈希算法）代码，可用于拉取（pull）镜像。SHA 镜像 ID 不能更改。特定 SHA 标 识符会始终引用完全相同的容器镜像内容。例如： 1.7. 容器 OpenShift Container Platform

表 17.2. 路由注解 路由注解 变 变量 量 描述 描述 默 默认 认的 的环 环境 境变 变量 量 haproxy.router.openshift.io/b alance 设置负载平衡算法。可用选项是 random、source、roundrobi n 和 leastconn。默认值为 random。 passthrough 路由 使用 ROUTER_TCP_BALANCE_S 来跟踪相关连 接。如果设置为 'true' 或 'TRUE'，则使用均衡算法选择每 个传入 HTTP 请求的后端服务连 接。 router.openshift.io/cookie_n ame 指定一个可选的、用于此路由的 cookie。名称只能包含大写字母和 小写字母、数字、"_" 和 "-"。默认 为路由的内部密钥进行哈希处理。 haproxy.router.openshift.io/p API_OCP_CLUSTER。 2. 负载均衡器成为活跃后，创建监听程序： 注意 注意 要查看负载均衡器的状态，请输入 openstack loadbalancer list。 3. 创建一个使用轮循算法的池，并启用了会话持久性： 4. 为确保 control plane 机器可用，创建一个健康监控器： 5. 将 control plane 机器作为负载均衡器池的成员添加： 6. 可选： 要重复使用集群

架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，请不要创建使用 ed25519 算法的密钥。相 反，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： $ ssh-keygen -t ed25519 -N '' -f / 1 $ cat / ssh/id_dsa。 a. 如果 ssh-agent 进程尚未为您的本地用户运行，请将其作为后台任务启动： 输 输出示例 出示例 注意 注意 如果集群处于 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 4. 将 SSH 私钥添加到 ssh-agent ： 指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_ed25519.pub 架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，请不要创建使用 ed25519 算法的密钥。相 反，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 查看公共 SSH 密钥： 例如，运行以下命令来查看 ~/.ssh/id_ed25519.pub 公钥： $ ssh-keygen -t ed25519

名称进行签名），方法是使用 Pod 中自动挂载的 /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt 文件中的 CA 捆绑包。 此功能的签名算法是 x509.SHA256WithRSA。要手动轮转，请删除生成的 secret。这会创建新的证书。 3.12. SECRET 限制 若要使用一个 secret，Pod 需要引用该 secret。可以通过三种方式将 author 构建中使用的源提交的作者 io.openshift.build.commit.date 构建中使用的源提交的日期 io.openshift.build.commit.id 构建中使用的源提交的哈希值 io.openshift.build.commit.message 构建中使用的源提交的消息 io.openshift.build.commit.ref 源中指定的分支或引用 io.openshift

更新此设置以缓解 CVE- 2021-31920 的问题。这 个设置更为安全，但可能 会破坏应用程序。在部署 到生产环境中前测试您的 应用程序。 选项 选项 描述 描述 示例 示例 备 备注 注 规范化算法按以下顺序进行： 1. 解码百分比 %2F、%2f、%5C 和 %5c。 2. RFC 3986 和其他在 Envoy 中的 normalize_path 选项实现的规范化。 3. 合并斜杠。 失败。 操作的管道顺序决定了评估顺序。 选填 filter 字段名称具有所需的 path 条目，用于显示用于查找数据的元数据中的路径。 当 key 与输入数据匹配时，不会评估其余的密钥，而且源解析算法会跳转到执行指定的操作（ops），如 果存在。如果没有指定 ops，则返回匹配 key 的结果值（若有）。 Operations 提供了一种方式，用于您在第一阶段查找 key 后为输入指定某些条件和转换。当您需要转 通过使用刷新功能，那些代表已无法访问的主机的缓存项，会在其过期并最终被删除前重新尝试进行检 索。 1.21.4. 身份验证请求 这个发行版本支持以下验证方法： 标准 API 键：使用一个随机字符串或哈希值作为标识符和 secret 令牌。 应用程序标识符和键对：不可改变的标识符和可变的密键字符串。 OpenID 验证方法：从 JSON Web Token 解析的客户端 ID 字符串。 1.21