Políticas do OpenShift

Yokohama IT Service Management

Release

yokohama

ft:locale

pt-BR

ft:publication_title

Yokohama IT Service Management

ft:clusterId

itsm

bundleId

itsm

workflow

Technology

Red Hat OpenShift políticas em Configuração de DevOps

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

3 min. de leitura

Por padrão, o pacote de conteúdo de política Configuração de DevOps contém um conjunto de políticas para validar sua configuração Red Hat OpenShift.

Importante:

A partir da versão Washington DC, o Configuração de DevOps está sendo preparado para descontinuação futura. Ele ficará oculto e não será mais instalado em novas instâncias, mas continuará sendo compatível. Para obter detalhes, consulte o artigo Deprecation Process (Processo de descontinuação) [KB0867184] na Base de conhecimento do Now Support.

Você pode usar ou personalizar essas políticas Configuração de DevOps padrão para validar se o conteúdo de dados de configuração está em conformidade ou administrar o ciclo de vida completo de PaCE políticas.

Nota:

Você não pode modificar as políticas padrão. No entanto, você pode fazer uma cópia da política e personalizar sua cópia.

Tabela 1. Navegação pela primeira letra para políticas nesta página
Um \| B \| C \| H \| N \| R \| S \| T

O backup máximo do log de auditoria está definido (openshift_audit_log_maxbackup_is_set)

Verifica se o número máximo de arquivos de log de auditoria antigos a serem retidos para servidores de API está definido.

Resulta em um status fora de conformidade quando o argumento --audit-log-maxbackup não está definido ou não está dentro dos limites especificados.

Argumentos de entrada

lowerLimit
- O limite inferior do argumento --audit-log-maxbackup.
- Tipo: Número Inteiro
- Obrigatório: falso
upperLimit
- O limite superior do argumento --audit-log-maxbackup.
- Tipo: Número Inteiro
- Obrigatório: falso

O tamanho máximo do arquivo do log de auditoria está definido (openshift_audit_log_maxsize_is_set)

Verifica se o tamanho máximo de arquivo especificado como o limite de transferência para arquivos de log de auditoria está definido. Depois que um arquivo de log de auditoria atinge o tamanho máximo de arquivo, o arquivo de log de auditoria original é renomeado e um novo arquivo de log com o nome original é criado.

Resulta em um status fora de conformidade quando o argumento --audit-log-maxsize não está definido ou não está dentro dos limites especificados.

Argumentos de entrada

lowerLimit
- O limite inferior de memória do argumento --audit-log-maxsize.
- Tipo: Número Inteiro
- Obrigatório: verdadeiro
upperLimit
- O limite superior de memória do argumento --audit-log-maxsize.
- Tipo: Número Inteiro
- Obrigatório: verdadeiro

O caminho do log de auditoria não está definido (openshift_audit_log_path_is_not_set)

Verifica se a auditoria está habilitada em OpenShift e se o caminho do arquivo de log de auditoria está definido.

Resulta em um status fora de conformidade quando o argumento --audit-log-path para openshift-kube-apisever não está definido como /var/log/kube-apisever/audit.log ou --audit-log-path O argumento de openshift-apisever não está definido como /var/log/openshift-apisever/audit.log.

O arquivo de autenticação básica não está definido (openshift_basic_auth_file_is_not_set)

Verifica se OpenShift não usa o mecanismo de autenticação básica para autenticar solicitações para o servidor de API.

Resulta em um status fora de conformidade quando o argumento --basic-auth-file está definido.

Contêineres executados sem acesso privilegiado (openshift_container_is_not_privileged)

Verifica se os contêineres em um pod OpenShift são executados sem acesso privilegiado.

Resulta em um status fora de conformidade quando o campo privilegiado de um contêiner é definido como verdadeiro.

O namespace do PID do host está desabilitado (openshift_scc_with_hostPID_namespace_disabled)

Verifica se há pelo menos uma restrição de contexto de segurança (SCC) definida que não permite que os contêineres compartilhem o namespace do PID do host.

Resulta em um aviso quando há um SCC definido com o campo allowHostPID definido como verdadeiro.

O plug-in NamespaceLifecycle está habilitado (openshift_namespacelifecycle_plugin_is_enabled)

Verifica se o plug-in de controle de admissão NamespaceLifecycle está habilitado.

Resulta em um status fora de conformidade quando o plug-in NamespaceLifecycle está desabilitado.

A porta somente leitura está desabilitada (openshift_read_only_port_disabled)

Verifica se o servidor da API do Kubelet não está usando a porta somente leitura ou se a porta somente leitura está definida como 0.

Resulta em um status fora de conformidade quando o argumento kubelet-read-only-port não está definido como 0.

O tempo limite da solicitação está definido (openshift_request_timeout_is_set)

Verifica se o tempo limite da solicitação global para servidores de API está definido.

Resulta em um status fora de conformidade quando o argumento --min-request-timeout não está definido ou não está dentro dos limites especificados.

Argumentos de entrada

lowerLimit
- O limite inferior do argumento --min-request-timeout.
- Tipo: Número Inteiro
- Obrigatório: falso
upperLimit
- O limite superior do argumento --min-request-timeout.
- Tipo: Número Inteiro
- Obrigatório: falso

O tempo limite de conexões de streaming não está desabilitado (openshift_streaming_connections_timeout_not_disabled)

Verifica se os tempos limites estão definidos em conexões de streaming para garantir a proteção contra ataques de negação de serviço, conexões inativas e esgotamento de portas efêmeras.

Resulta em um status fora de conformidade quando o argumento streamingConnectionIdleTimeout é definido como 0 no arquivo de configuração do Kubelet.

O arquivo de autenticação de token não está definido (openshift_token_auth_file_is_not_set)

Verifica se OpenShift não usa um arquivo de token estático para autenticar solicitações para o servidor de API.

Resulta em um status fora de conformidade quando o argumento --token-auth-file está definido.