RequestAuthentication 资源。以下示例在向 httpbin 工作负载发送请求时，需要在 Authorization 标头中有一个 JWT。 1.13.3. 配置密码套件和 ECDH curves（策展） 密码套件和 Elliptic-curve Diffie-Hellman（ECDH 策展）可以帮助您保护服务网格的安全。您可以使用 spec.security.controlplane tls.cipherSuites 和 ECDH 策展在 ServiceMeshControlPlane 资源中使用 spec.istio.global.tls.ecdhCurves 定义以逗号隔开的密码套件列表。如果其中任何一个属性为空，则使 用默认值。 如果您的服务网格使用 TLS 1.2 或更早版本， cipherSuites 设置就会有效。它在使用 TLS 1.3 时无效。 在以逗号分开的列 CurveP256 设置为比 CurveP384 有更高的优先级。 注意 注意 在配置加密套件时，需要包括 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 或 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256。HTTP/2 的支持至少需要其中 一个加密套件。 apiVersion: "security.istio.io/v1beta1" kind:

FIPS 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 FIPS 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 FIPS 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安

模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 - cidr: 10.128.0.0/14 hostPrefix: 23 machineNetwork: - cidr: 10.0.0 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in

模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证 的/Modules in 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in

"false" features.operators.openshift .io/tls-profiles 指定 Operator 是否实现已知的可调项，以修 改 Operator 使用的 TLS 密码套件；如果适 用，它管理的任何工作负载（操作）。 "true" 或 "false" features.operators.openshift .io/token-auth-aws 使用 Cloud scorecard 定义或自定义标签 5.11.3. 内置 scorecard 测试 Scorecard 附带预定义的测试，这些测试被放在套件中：基本测试套件和 Operator Lifecycle Manager（OLM）套件。 表 表 5.20. 基本 基本测试套件 套件 测试 测试 描述 描述 短名称 短名称 Spec Block Exists 此测试会检查集群中创建的自定义资源（CR）以确保所有 所有 CR 都有一个 spec 块。 basic-check-spec- test 表 表 5.21. OLM 测试套件 套件 测试 测试 描述 描述 短名称 短名称 捆绑包验证 此测试会验证传递给 scorecard 的捆绑包中的捆绑包清单。 如果捆绑包内容包含错误，那么测试结果输出中将包括验 证器日志以及验证库中的错误消息。 olm-bundle- validation-test Provided

模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证 的/Modules in 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in

模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证 的/Modules in

FIPS 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模 式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。 重要 重要 fips: false 19 sshKey: ssh-ed25519 AAAA... 20 pullSecret: '{"auths": .

Cloud-native Network Function (CNF) 工作负载的节点调整。 重要 重要 始 始终 终使用 DISCOVERY_MODE=true 设置运行延迟测试。如果没有，测试套件将对正在运 行的集群配置进行更改。 注意 注意 当以非 root 用户或非特权用户执行 podman 命令时，挂载路径可能会失败，错误为 permission denied。要使 podman 软件包中，带有常规订阅 Red Hat Enterprise Linux (RHEL) 8.x。 重要 重要 始 始终 终使用 DISCOVERY_MODE=true 设置运行延迟测试。如果没有，测试套件将对正在运 行的集群配置进行更改。 注意 注意 当以非 root 用户或非特权用户执行 podman 命令时，挂载路径可能会失败，错误为 permission denied。要使 podman cyclictest cyclictest 工具测量指定 CPU 上的实时内核调度程序延迟。 重要 重要 始 始终 终使用 DISCOVERY_MODE=true 设置运行延迟测试。如果没有，测试套件将对正在运 行的集群配置进行更改。 注意 注意 当以非 root 用户或非特权用户执行 podman 命令时，挂载路径可能会失败，错误为 permission denied。要使 podman

运行 行 这是一个可选模式，Cloud-native Network Function（CNF）测试会试图在集群上查找配置而不是应用新 的配置。CNF 测试镜像是 CNF conformance 测试套件的容器化版本。它旨在针对启用了 CNF 的 OpenShift Container Platform 集群运行，该集群安装了运行 CNF 工作负载所需的所有组件。 每次执行测试时都会执行环境配置。这包括创建 (BZ#1887545) 目前，当在多个 Non-Uniform Memory Access（NUMA）节点中请求巨页时，巨页无法被正确检 测到。这是因为当集群包含多个 NUMA 节点时，cnf-tests 套件报告错误是由于测试将一个 NUMA 上的巨页数与整个节点上的巨页数进行比较。(BZ#1889633) 用于检查数据包转发和接收一直失败的 Data Plane Development Kit（DPDK）测试。 （Stream Control Transmission Protocol，SCTP）验证阶段会失败。例如，这会包括只包含内核参数的机器配置。 (BZ#1889275) 因为 cnf-tests 套件没有正确地检测运行 PTP 的节点数量，所以 PTP 验证阶段失败。 (BZ#1889741) 网络接口卡（NIC）验证阶段失败，因为它没有等待节点上的设备可用。pod 在节点上启动运行 的等待时间太短，因此