第 17 章 支持 FIPS 加密
您可以在 x86_64 架构中使用 FIPS 验证的/Modules in Process 加密库安装 OpenShift Container Platform 集群。
对于集群中的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器,当机器根据 install-config.yaml 文件中的选项的状态进行部署时,会应用这个更改,该文件管理用户可在集群部署过程中更改的集群选项。在 Red Hat Enterprise Linux(RHEL)机器中,您必须在计划用作 worker 的机器上安装操作系统时,启用 FIPS 模式。这些配置方法可确保集群满足 FIPS 合规审核的要求:在初始系统引导前,只启用经 FIPS 验证/Modules in Process 加密的软件包。
因为 FIPS 必须在集群首次引导操作系统之前启用,所以您不能在部署集群后启用 FIPS。
17.1. OpenShift Container Platform 中的 FIPS 验证
OpenShift Container Platform 在 Red Hat Enterprise Linux (RHEL) 和 Red Hat CoreOS (RHCOS) 中使用特定的 FIPS 验证/Modules in Process 模块用于使用它们的操作系统组件。请参阅 RHEL7 core crypto components 中的内容。例如,当用户 SSH 到 OpenShift Container Platform 集群和容器时,这些连接会被正确加密。
OpenShift Container Platform 组件以 Go 编写,并使用红帽的 golang 编译器构建。当您为集群启用 FIPS 模式时,所有需要加密签名的 OpenShift Container Platform 组件调用 RHEL 和 RHCOS 加密程序库。
表 17.1. OpenShift Container Platform 4.6 中的 FIPS 模式属性和限制
| 属性 | 限制: |
|---|---|
| RHEL 7 操作系统支持 FIPS 。 | FIPS 实现还没有提供一个单一的计算哈希函数和验证基于该哈希的键的函数。在以后的 OpenShift Container Platform 版本中,将继续评估并改进这个限制。 |
| CRI-O 运行时支持 FIPS。 | |
| OpenShift Container Platform 服务支持 FIPS。 | |
| FIPS 验证的/Modules in Process 的加密模块和算法,它们从 RHEL 7 和 RHCOS 二进制文件和镜像中获得。 | |
| 使用 FIPS 兼容 golang 编译器。 | 对 TLS FIPS 的支持当前还不完整,但计划在将来的 OpenShift Container Platform 版本中被完全支持。 |
| 在多个构架间支持 FIPS。 |
目前,仅在使用 |
