distributed in its entirety without modification. Rancher Kubernetes Cryptographic Library FIPS 140-2 Non-Proprietary Security Policy Document Version 1.1 January 4, 2021 com +1 703.276.6050 FIPS 140-2 Security Policy Rancher Kubernetes Cryptographic Library Page 2 of 16 References Ref Full Specification Name Date [140] FIPS 140-2, Security Requirements Modules 12/3/2002 [140AA] FIPS 140-2 Annex A: Approved Security Functions 6/10/2019 [140AC] FIPS 140-2 Annex C: Approved Random Number Generators 6/10/2019 [140AD] FIPS 140-2 Annex D: Approved Key

连接手动收集日志 1.3. 在不使用 SSH 连接到主机的情况下手动收集日志 第 第 2 章 章 支持 支持 FIPS 加密 加密 2.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 2.2. 集群使用的组件支持 FIPS 2.3. 在 FIPS 模式下安装集群 第 第 3 章 章 安装配置 安装配置 3.1. 不同平台的安装方法 3.2. 自定义节点 node-logs --role=master --path=openshift-apiserver 第 第 1 章 章 收集安装日志 收集安装日志 5 第 2 章 支持 FIPS 加密 从版本 4.3 开始，您可以安装一个使用经 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群。 对于集群中的 Red Hat Enterprise 的机器上安装操作系统时，启用 FIPS 模式。这些配置方法可确保集群满足 FIPS 合规审核的要求：在初始系统引导前，只启用经 FIPS 验 证/Modules in Process 加密的软件包。 因为 FIPS 必须在集群首次引导操作系统之前启用，所以您不能在部署集群后启用 FIPS。 2.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 OpenShift

重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 26 章 章 支持 支持 FIPS 加密 加密 26.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 26.2. 集群使用的组件支持 FIPS 26.3. 在 FIPS 模式下安装集群 2741 2741 2743 2771 2809 2855 2894 2943 2993 政府区域，您可以在安装程序置备 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 在安装集群 指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_ed25519。如果您已有密钥对，请确保您的 公钥位于 ~/.ssh 目录中。 注意 注意 如果您计划在 x86_64 架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，请不要创建使用 ed25519 算法的密钥。相 反，创建一个使用 rsa 或

19.6. 重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 2226 2227 2228 2229 2231 2232 2232 2232 2233 2234 2235 2268 2269 2269 2269 2271 2271 2271 目 目录 录 47 20.2.1. etcd 20.2.2. Storage 20.2.3. 运行时 20.3. 在 FIPS 模式下安装集群 2271 2272 2272 2272 OpenShift Container Platform 4.7 安装 安装 48 目 目录 录 49 第 1 章 OPENSHIFT 政府区域，您可以在安装程序置备的基础架构安装 过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 2.2. 安装后为用户准备集群 第 第 2

. . . . . . . . . . . . . . . . . . 第 第 20 章 章 支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 20.3. 在 FIPS 模式下安装集群 2581 2581 2581 2582 OpenShift Container Platform 过程中配置这些自定义区域。 您还可以将集群机器配置为在安装过程中使用 FIPS 验证的/Modules in Process 加密库 。 重要 重要 OpenShift Container Platform 4.8 安装 安装 14 重要 重要 只有在 x86_64 架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_ed25519。如果您已有密钥对，请确保您的 公钥位于 ~/.ssh 目录中。 注意 注意 如果您计划在 x86_64 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或

重新安装 OPENSHIFT CONTAINER PLATFORM 集群 第 第 27 章 章 支持 支持 FIPS 加密 加密 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 27.2. 集群使用的组件支持 FIPS 27.3. 在 FIPS 模式下安装集群 3864 3866 3867 3868 3868 3868 3870 3871 3872 Azure 政府区域，您可以在安装程序置备 的基础架构安装过程中配置这些自定义区域。 您还可以将集群机器配置为使用 RHEL 加密库在安装过程中为 FIPS 140-2/140-3 Validation 提交给 NIST。 重要 重要 当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置，但建议在用户访问集群前进行操作。您可以通过自定义组成集群的 Operator，并将集群与其他所需

架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 参考指 南内容中的 Cloud Credential Operator 条 目。 Mint、Passthrough、Manual 或空 字符串("")。 fips 启用或禁用 FIPS 模式。默认为 false （禁用）。如果启用了 FIPS 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS)

架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群，不要创建使用 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 参考指 南内容中的 Cloud Credential Operator 条 目。 Mint、Passthrough、Manual 或空 字符串("")。 fips 启用或禁用 FIPS 模式。默认为 false （禁用）。如果启用了 FIPS 模式，运 行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 提供的加密模块。 重要 重要 只有在 x86_64 架构中 的 OpenShift Container Platform 部 署支持 FIPS 验证 的/Modules in Process 加密库。 注意 注意 如果使用 Azure File 存 储，则无法启用 FIPS 模式。 false 或 true 参数 参数 描述 描述 值 值 第 第 1 章 章 在裸机上安装 在裸机上安装 21

(Tempo)，它基于开源 Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.1.2. Red Hat OpenShift distributed tracing Platform 3.0 中的组件版本 Operator 组 组件 件 Version (Tempo)，它基于开源 Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.2.2. Red Hat OpenShift distributed tracing Platform 2.9.2 中的组件版本 第 第 1 章 章 分布式追踪 分布式追踪发 (Tempo)，它基于开源 Grafana Tempo 项 目。 红 红帽 帽构 构建的 建的 OpenTelemetry，它基于开源 OpenTelemetry 项目。 重要 重要 Jaeger 不使用经 FIPS 验证的加密模块。 1.3.2. Red Hat OpenShift distributed tracing Platform 2.9.1 中的组件版本 Operator 组 组件 件 Version

存储集群部署方法 2.3. 节点类型 第 第 3 章 章 内部存 内部存储 储服 服务 务 第 第 4 章 章 外部存 外部存储 储服 服务 务 第 第 5 章 章 安全考 安全考虑 虑 5.1. FIPS-140-2 5.2. 代理环境 5.3. 数据加密选项 5.4. TRANSIT 中的加密 第 第 6 章 章 订阅 订阅 6.1. 订阅服务 6.2. 灾难恢复订阅要求 6.3. 内核与 不会部署或管理外部集群。 第 第 4 章 章 外部存 外部存储 储服 服务 务 11 第 5 章 安全考虑 5.1. FIPS-140-2 Federal Information Processing Standard Publication 140-2 (FIPS-140-2) 是定义使用加密模块的一系列 安全要求的标准。这个标准受到美国政府机构和承包商的强制要求，在其他国际和行业特定的标准中也会 标准中也会 引用该标准。 Red Hat OpenShift Data Foundation 现在使用 FIPS 验证的加密模块。Red Hat Enterprise Linux OS/CoreOS(RHCOS)提供这些模块。 目前，Cryptographic Module Validation Program (CMVP) 用于处理加密模块。您可以在modules in Process List