Red Hat OpenShift のポリシー DevOps コンフィグ

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • デフォルトでは、 DevOps コンフィグ ポリシーコンテンツパックには、 Red Hat OpenShift 構成を検証するための一連のポリシーが含まれています。

    重要:
    Washington DC リリース以降、DevOps コンフィグは将来の廃止に備えて準備されます。これは非表示になり、新しいインスタンスにはインストールされなくなりますが、引き続きサポートされます。詳細については、Now Support ナレッジベースの「Deprecation Process (廃止プロセス) [KB0867184]」の記事を参照してください。
    これらのデフォルトの DevOps コンフィグ ポリシーを使用またはカスタマイズして、構成データのコンテンツが適合していることを検証できます。 のライフサイクル全体を管理します。 PaCE ポリシー.
    注:
    デフォルトのポリシーは変更できません。ただし、ポリシーのコピーを作成して、そのコピーをカスタマイズすることはできます。
    表 : 1. このページのポリシーのファーストレターナビゲーション

    | B | C | H | N | アール | S | T

    監査ログの最大バックアップ数が設定されています (openshift_audit_log_maxbackup_is_set)

    API サーバーに保持する古い監査ログファイルの最大数が設定されているかどうかを確認します。

    --audit-log-maxbackup 引数が設定されていないか、指定された制限内にない場合、非準拠ステータスになります。

    入力引数
    • lowerLimit
      • --audit-log-maxbackup 引数の下限。
      • タイプ: 整数
      • 必須:False
    • upperLimit
      • --audit-log-maxbackup 引数の上限。
      • タイプ: 整数
      • 必須:False

    監査ログの最大ファイルサイズが設定されています (openshift_audit_log_maxsize_is_set)

    監査ログファイルのロールオーバーしきい値として指定された最大ファイルサイズが設定されているかどうかを確認します。監査ログファイルが最大ファイルサイズに達すると、元の監査ログファイルの名前が変更され、元の名前で新しいログファイルが作成されます。

    --audit-log-maxsize 引数が設定されていないか、指定された制限内にない場合、非準拠ステータスになります。

    入力引数
    • lowerLimit
      • --audit-log-maxsize 引数のメモリの下限。
      • タイプ: 整数
      • 必須:True
    • upperLimit
      • --audit-log-maxsize 引数のメモリ上限。
      • タイプ: 整数
      • 必須:True

    監査ログパスが設定されていません (openshift_audit_log_path_is_not_set)

    OpenShiftで監査が有効になっていて、監査ログファイルのパスが設定されているかどうかを確認します。

    openshift-kube-apiserver--audit-log-path 引数が /var/log/kube-apiserver/audit.log に設定されていない場合、または openshift-apiserver--audit-log-path 引数が /var/log/openshift-apiserver/audit.log に設定されていない場合、非準拠ステータスになります。

    基本認証ファイルが設定されていません (openshift_basic_auth_file_is_not_set)

    OpenShift が API サーバーへの要求を認証するためにベーシック認証メカニズムを使用していないかどうかを確認します。

    --basic-auth-file 引数が設定されている場合、非準拠ステータスになります。

    コンテナは特権アクセスなしで実行されます (openshift_container_is_not_privileged)

    OpenShiftポッド内のコンテナが特権アクセスなしで実行されているかどうかを確認します。

    コンテナの特権フィールドが true に設定されている場合、結果は非準拠ステータスになります。

    ホスト PID 名前空間が無効です (openshift_scc_with_hostPID_namespace_disabled)

    コンテナがホスト PID 名前空間を共有できないようにするセキュリティコンテキスト制約 (SCC) が少なくとも 1 つ定義されているかどうかを確認します。

    allowHostPID フィールドが true に設定された SCC が定義されている場合、警告が表示されます。

    NamespaceLifecycle プラグインが有効 (openshift_namespacelifecycle_plugin_is_enabled)

    アドミッションコントロールプラグインの NamespaceLifecycle が有効かどうかを確認します。

    NamespaceLifecycle プラグインが無効になっている場合、非準拠ステータスになります。

    読み取り専用ポートが無効です (openshift_read_only_port_disabled)

    Kubelet API サーバーが読み取り専用ポートを使用していないか、読み取り専用ポートが 0 に設定されているかどうかを確認します。

    kubelet-read-only-port 引数が 0 に設定されていない場合、非準拠ステータスになります。

    要求タイムアウトが設定されています (openshift_request_timeout_is_set)

    API サーバーのグローバル要求タイムアウトが設定されているかどうかを確認します。

    --min-request-timeout 引数が設定されていないか、指定された制限内にない場合、非準拠ステータスになります。

    入力引数
    • lowerLimit
      • --min-request-timeout 引数の下限。
      • タイプ: 整数
      • 必須:False
    • upperLimit
      • --min-request-timeout 引数の上限。
      • タイプ: 整数
      • 必須:False

    ストリーミング接続のタイムアウトは無効になっていません (openshift_streaming_connections_timeout_not_disabled)

    サービス拒否攻撃、非アクティブな接続、およびエフェメラルポートの枯渇に対する保護を確保するために、ストリーミング接続にタイムアウトが設定されているかどうかを確認します。

    Kubelet 構成ファイルstreamingConnectionIdleTimeout 引数が 0 に設定されている場合、非準拠ステータスになります。

    トークン認証ファイルが設定されていません (openshift_token_auth_file_is_not_set)

    OpenShift API サーバーへの要求を認証するために静的トークンファイルを使用していないかどうかを確認します。

    --token-auth-file 引数が設定されている場合、非準拠ステータスになります。