3.3.4. 安全考虑
在从 OpenShift Container Platform 3.11 转换到 OpenShift Container Platform 4.7 时,请考虑以下与安全相关的变化。
对发现端点的未验证访问
在 OpenShift Container Platform 3.11 中,未经身份验证的用户可以访问发现端点(例如: /api/* 和 /apis/*)。为了安全起见,OpenShift Container Platform 4.7 不再允许对发现端点进行未经身份验证的访问。如果确实需要允许未经身份验证的访问,可根据需要配置 RBAC 设置,但请务必考虑安全性影响,因为这可能会使内部集群组件暴露给外部网络。
用户身份供应商
为 OpenShift Container Platform 4 配置身份供应商包括以下显著的更改:
- OpenShift Container Platform 4.7 中的请求标头身份供应商需要 mutual TLS,而在 OpenShift Container Platform 3.11 中不需要。
-
OpenShift Container Platform 4.7 中简化了 OpenID Connect 身份提供程序的配置。现在,它从供应商的
/.well-known/OpenID-configuration端点获取数据。而之前需要在 OpenShift Container Platform 3.11 中指定。
如需更多信息,请参阅了解身份提供程序配置。
OAuth 令牌存储格式
新创建的 OAuth HTTP 持有者令牌不再匹配其 OAuth 访问令牌对象的名称。对象名称现在是一个 bearer 令牌哈希,它不再敏感。这可减少泄漏敏感信息的风险。
