Jump To Close Expand all Collapse all Table of contents 安全性 1. 容器安全性 Expand section "1. 容器安全性" Collapse section "1. 容器安全性" 1.1. 了解容器安全性 Expand section "1.1. 了解容器安全性" Collapse section "1.1. 了解容器安全性" 1.1.1. 什么是容器? 1.1.2. OpenShift Container Platform 是什么? 1.2. 了解主机和虚拟机安全性 Expand section "1.2. 了解主机和虚拟机安全性" Collapse section "1.2. 了解主机和虚拟机安全性" 1.2.1. 保护 Red Hat Enterprise Linux CoreOS (RHCOS) 上的容器 1.2.2. 虚拟化和容器比较 1.2.3. 保护 OpenShift Container Platform 1.3. 强化 RHCOS Expand section "1.3. 强化 RHCOS" Collapse section "1.3. 强化 RHCOS" 1.3.1. 在 RHCOS 中选择要强化的功能 1.3.2. 选择如何强化 RHCOS Expand section "1.3.2. 选择如何强化 RHCOS" Collapse section "1.3.2. 选择如何强化 RHCOS" 1.3.2.1. 安装前强化 1.3.2.2. 安装过程中强化 1.3.2.3. 集群运行后强化 1.4. 了解合规性 Expand section "1.4. 了解合规性" Collapse section "1.4. 了解合规性" 1.4.1. 了解合规性及风险管理 1.5. 保护容器内容 Expand section "1.5. 保护容器内容" Collapse section "1.5. 保护容器内容" 1.5.1. 确保容器内安全 1.5.2. 使用 UBI 创建可重新分发的镜像 1.5.3. RHEL 中的安全扫描 Expand section "1.5.3. RHEL 中的安全扫描" Collapse section "1.5.3. RHEL 中的安全扫描" 1.5.3.1. 扫描 OpenShift 镜像 1.5.4. 集成外部扫描 Expand section "1.5.4. 集成外部扫描" Collapse section "1.5.4. 集成外部扫描" 1.5.4.1. 镜像元数据 Expand section "1.5.4.1. 镜像元数据" Collapse section "1.5.4.1. 镜像元数据" 1.5.4.1.1. 注解键示例 1.5.4.1.2. 注解值示例 1.5.4.2. 为镜像对象添加注解 Expand section "1.5.4.2. 为镜像对象添加注解" Collapse section "1.5.4.2. 为镜像对象添加注解" 1.5.4.2.1. 注解 CLI 命令示例 1.5.4.3. 控制 Pod 执行 Expand section "1.5.4.3. 控制 Pod 执行" Collapse section "1.5.4.3. 控制 Pod 执行" 1.5.4.3.1. 注解示例 1.5.4.4. 集成参考 Expand section "1.5.4.4. 集成参考" Collapse section "1.5.4.4. 集成参考" 1.5.4.4.1. REST API 调用示例 1.6. 安全地使用容器 registry Expand section "1.6. 安全地使用容器 registry" Collapse section "1.6. 安全地使用容器 registry" 1.6.1. 知道容器来自哪里? 1.6.2. 不可变和已认证的容器 1.6.3. 从红帽 Registry 和生态系统目录获取容器 1.6.4. OpenShift Container Registry 1.6.5. 使用 Red Hat Quay 存储容器 1.7. 保护构建过程 Expand section "1.7. 保护构建过程" Collapse section "1.7. 保护构建过程" 1.7.1. 一次构建,随处部署 1.7.2. 管理构建 1.7.3. 在构建期间保护输入 1.7.4. 设计构建过程 1.7.5. 构建 Knative 无服务器应用程序 1.8. 部署容器 Expand section "1.8. 部署容器" Collapse section "1.8. 部署容器" 1.8.1. 使用触发器控制容器部署 1.8.2. 控制可以部署的镜像源 1.8.3. 使用签名传输 1.8.4. 创建 secret 和配置映射 1.8.5. 自动化持续部署 1.9. 保护容器平台 Expand section "1.9. 保护容器平台" Collapse section "1.9. 保护容器平台" 1.9.1. 使用多租户隔离容器 1.9.2. 使用准入插件保护 control plane Expand section "1.9.2. 使用准入插件保护 control plane" Collapse section "1.9.2. 使用准入插件保护 control plane" 1.9.2.1. 安全性上下文约束(SCC) 1.9.2.2. 为服务帐户授予角色 1.9.3. 认证和授权 Expand section "1.9.3. 认证和授权" Collapse section "1.9.3. 认证和授权" 1.9.3.1. 使用 OAuth 控制访问 1.9.3.2. API 访问控制和管理 1.9.3.3. 红帽单点登录 1.9.3.4. 安全自助服务 Web 控制台 1.9.4. 为平台管理证书 Expand section "1.9.4. 为平台管理证书" Collapse section "1.9.4. 为平台管理证书" 1.9.4.1. 配置自定义证书 1.10. 保护网络 Expand section "1.10. 保护网络" Collapse section "1.10. 保护网络" 1.10.1. 使用网络命名空间 1.10.2. 使用网络策略隔离 Pod 1.10.3. 使用多个 Pod 网络 1.10.4. 隔离应用程序 1.10.5. 保护入口流量 1.10.6. 保护出口流量 1.11. 保护附加存储 Expand section "1.11. 保护附加存储" Collapse section "1.11. 保护附加存储" 1.11.1. 持久性卷插件 1.11.2. 共享存储 1.11.3. 块存储 1.12. 监控集群事件和日志 Expand section "1.12. 监控集群事件和日志" Collapse section "1.12. 监控集群事件和日志" 1.12.1. 监视集群事件 1.12.2. 日志记录 1.12.3. 审计日志 2. 配置证书 Expand section "2. 配置证书" Collapse section "2. 配置证书" 2.1. 替换默认入口证书 Expand section "2.1. 替换默认入口证书" Collapse section "2.1. 替换默认入口证书" 2.1.1. 了解默认入口证书 2.1.2. 替换默认入口证书 2.2. 添加 API 服务器证书 Expand section "2.2. 添加 API 服务器证书" Collapse section "2.2. 添加 API 服务器证书" 2.2.1. 向 API 服务器添加指定名称的证书 2.3. 使用服务提供的证书 secret 保护服务流量 Expand section "2.3. 使用服务提供的证书 secret 保护服务流量" Collapse section "2.3. 使用服务提供的证书 secret 保护服务流量" 2.3.1. 了解服务用证书 2.3.2. 添加服务证书 2.3.3. 将服务 CA 捆绑包添加到配置映射中 2.3.4. 将服务 CA 捆绑包添加到 API 服务 2.3.5. 将服务 CA 捆绑包添加到自定义资源定义中 2.3.6. 将服务 CA 捆绑包添加到变异的 webhook 配置中 2.3.7. 将服务 CA 捆绑包添加到验证 webhook 配置中 2.3.8. 手动轮转生成的服务证书 2.3.9. 手动轮转服务 CA 证书 3. 证书类型和描述 Expand section "3. 证书类型和描述" Collapse section "3. 证书类型和描述" 3.1. API 服务器的用户提供的证书 Expand section "3.1. API 服务器的用户提供的证书" Collapse section "3.1. API 服务器的用户提供的证书" 3.1.1. 用途 3.1.2. 位置 3.1.3. 管理 3.1.4. 过期 3.1.5. 自定义 3.2. 代理证书 Expand section "3.2. 代理证书" Collapse section "3.2. 代理证书" 3.2.1. 用途 3.2.2. 在安装过程中管理代理证书 3.2.3. 位置 3.2.4. 过期 3.2.5. 服务 3.2.6. 管理 3.2.7. 自定义 3.2.8. 续订 3.3. 服务 CA 证书 Expand section "3.3. 服务 CA 证书" Collapse section "3.3. 服务 CA 证书" 3.3.1. 用途 3.3.2. 过期 3.3.3. 管理 3.3.4. 服务 3.4. 节点证书 Expand section "3.4. 节点证书" Collapse section "3.4. 节点证书" 3.4.1. 用途 3.4.2. 管理 3.5. Bootstrap 证书 Expand section "3.5. Bootstrap 证书" Collapse section "3.5. Bootstrap 证书" 3.5.1. 用途 3.5.2. 管理 3.5.3. 过期 3.5.4. 自定义 3.6. etcd 证书 Expand section "3.6. etcd 证书" Collapse section "3.6. etcd 证书" 3.6.1. 用途 3.6.2. 过期 3.6.3. 管理 3.6.4. 服务 3.7. olm 证书 Expand section "3.7. olm 证书" Collapse section "3.7. olm 证书" 3.7.1. 管理 3.8. 用户提供的默认入口证书 Expand section "3.8. 用户提供的默认入口证书" Collapse section "3.8. 用户提供的默认入口证书" 3.8.1. 用途 3.8.2. 位置 3.8.3. 管理 3.8.4. 过期 3.8.5. 服务 3.8.6. 自定义 3.9. 入口证书(Ingress certificate) Expand section "3.9. 入口证书(Ingress certificate)" Collapse section "3.9. 入口证书(Ingress certificate)" 3.9.1. 用途 3.9.2. 位置 3.9.3. 工作流 3.9.4. 过期 3.9.5. 服务 3.9.6. 管理 3.9.7. 续订 3.10. 监控和集群日志记录 Operator 组件证书 Expand section "3.10. 监控和集群日志记录 Operator 组件证书" Collapse section "3.10. 监控和集群日志记录 Operator 组件证书" 3.10.1. 过期 3.10.2. 管理 3.11. Control plane 证书 Expand section "3.11. Control plane 证书" Collapse section "3.11. Control plane 证书" 3.11.1. 位置 3.11.2. 管理 4. 查看审计日志 Expand section "4. 查看审计日志" Collapse section "4. 查看审计日志" 4.1. 关于 API 审计日志 4.2. 查看审计日志 5. 允许从其他主机对 API 服务器进行基于 JavaScript 的访问 Expand section "5. 允许从其他主机对 API 服务器进行基于 JavaScript 的访问" Collapse section "5. 允许从其他主机对 API 服务器进行基于 JavaScript 的访问" 5.1. 允许从其他主机对 API 服务器进行基于 JavaScript 的访问 6. 加密 etcd 数据 Expand section "6. 加密 etcd 数据" Collapse section "6. 加密 etcd 数据" 6.1. 关于 etcd 加密 6.2. 启用 etcd 加密 6.3. 禁用 etcd 加密 7. 对 pod 进行安全漏洞扫描 Expand section "7. 对 pod 进行安全漏洞扫描" Collapse section "7. 对 pod 进行安全漏洞扫描" 7.1. 运行 Container Security Operator 7.2. 通过 CLI 查询镜像安全漏洞 法律通告 Settings Close Language: 日本語 简体中文 English Language: 日本語 简体中文 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 日本語 简体中文 English Language: 日本語 简体中文 English Format: Multi-page Single-page Format: Multi-page Single-page 3.10. 监控和集群日志记录 Operator 组件证书 3.10.1. 过期 监控组件使用服务 CA 证书保护其流量。这些证书有效 2 年,并可在服务 CA 轮转时自动替换。轮转每每 13 个月进行一次。 如果证书在 openshift-monitoring 或 openshift-logging 命名空间中,它会被自动管理并轮转。 3.10.2. 管理 这些证书由系统而不是用户管理。 Previous Next