Politiques Red Hat OpenShift dans DevOps Config

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Par défaut, le pack de contenu Politique DevOps Config contient un ensemble de politiques permettant de valider votre configuration Red Hat OpenShift.

    Important :
    DevOps Config est désormais obsolète et n’est plus pris en charge ni disponible pour une nouvelle activation.
    Vous pouvez utiliser ou personnaliser ces stratégies par défaut DevOps Config pour valider que le contenu de vos données de configuration est conforme, ou Administrer le cycle de vie complet de PaCE politiques.
    Remarque :
    Vous ne pouvez pas modifier les politiques par défaut. Toutefois, vous pouvez créer une copie de la politique et la personnaliser.
    Tableau 1. Navigation par la première lettre pour les politiques sur cette page

    A | B | C | H | N | R | S | T

    La sauvegarde maximale du journal d'audit est définie (openshift_audit_log_maxbackup_is_set)

    Vérifie si le nombre maximum de fichiers journaux d'audit à conserver pour les serveurs d'API est défini.

    Entraîne un statut non conforme lorsque l'argument --audit-log-maxbackup n'est pas défini ou ne se trouve pas dans les limites spécifiées.

    Arguments d'entrée
    • lowerLimit
      • Limite inférieure de l'argument --audit-log-maxbackup.
      • Type : entier
      • Obligatoire : faux
    • upperLimit
      • Limite supérieure de l'argument --audit-log-maxbackup.
      • Type : entier
      • Obligatoire : faux

    La taille maximale de fichier du journal d'audit est définie (openshift_audit_log_maxsize_is_set)

    Vérifie si la taille de fichier maximale spécifiée comme seuil de déploiement des fichiers journaux d'audit est définie. Une fois qu'un fichier journal d'audit atteint la taille maximale, le fichier journal d'audit d'origine est renommé et un nouveau fichier journal avec le nom d'origine est créé.

    Entraîne un statut non conforme lorsque l'argument --audit-log-maxsize n'est pas défini ou ne se trouve pas dans les limites spécifiées.

    Arguments d'entrée
    • lowerLimit
      • Limite inférieure de mémoire de l'argument --audit-log-maxsize.
      • Type : entier
      • Obligatoire : vrai
    • upperLimit
      • Limite supérieure de mémoire de l'argument --audit-log-maxsize.
      • Type : entier
      • Obligatoire : vrai

    Le chemin du journal d'audit n'est pas défini (openshift_audit_log_path_is_not_set)

    Vérifie si l'audit est activé dans OpenShift et si le chemin d'accès au fichier journal d'audit est défini.

    Entraîne un statut non conforme lorsque l'argument --audit-log-path pour openshift-kube-apiserver n'est pas défini sur /var/log/kube-apiserver/audit.log ou lorsque l'argument --audit-log-path pour openshift-apiserver n'est pas défini sur /var/log/openshift-apiserver/audit.log.

    Le fichier d'authentification de base n'est pas défini (container_basic_auth_file_is not_set)

    Vérifie si OpenShift n'utilise pas le mécanisme d'authentification de base pour authentifier les demandes au serveur d'API.

    Entraîne un statut non conforme lorsque l'argument --basic-auth-file est défini.

    Les conteneurs fonctionnent sans accès privilégié (openshift_container_is_not_privileged)

    Vérifie si les conteneurs dans un pod OpenShift sont exécutés sans accès privilégié.

    Entraîne un statut non conforme lorsque le champ privilégié pour un conteneur est défini sur vrai.

    L'espace de noms PID hôte est désactivé (openshift_scc_with_hostPID_namespace_disabled)

    Vérifie s'il existe au moins une contrainte de contexte de sécurité (SCC) définie qui n'autorise pas les conteneurs à partager l'espace de noms PID de l'hôte.

    Entraîne un avertissement lorsqu'une SCC est définie avec le champ allowHostPID défini sur vrai.

    Le module d'extension NamespaceLifecycle est activé (openshift_namespacelifecycle_plugin_is_enabled)

    Vérifie si le module d'extension de contrôle d'admission NamespaceLifecycle est activé.

    Entraîne un statut non conforme lorsque le module d'extension NamespaceLifecycle est désactivé.

    Le port en lecture seule est désactivé (openshift_read_only_port_disabled)

    Vérifie si le serveur d'API Kubelet n'utilise pas le port en lecture seule ou si le port en lecture seule est défini sur 0.

    Entraîne un statut non conforme lorsque l'argument kubelet-read-only-port n'est pas défini sur 0.

    Le délai d'expiration de la demande est défini (openshift_request_timeout_is_set)

    Vérifie si le délai d'expiration de demande globale pour les serveurs d'API est défini.

    Entraîne un statut non conforme lorsque l'argument --min-request-timeout n'est pas défini ou ne se trouve pas dans les limites spécifiées.

    Arguments d'entrée
    • lowerLimit
      • Limite inférieure de l'argument --min-request-timeout.
      • Type : entier
      • Obligatoire : faux
    • upperLimit
      • Limite supérieure de l'argument --min-request-timeout.
      • Type : entier
      • Obligatoire : faux

    Le délai des connexions de diffusion n'est pas désactivé (openshift_streaming_connections_timeout_not_disabled)

    Vérifie si les délais d'expiration sont définis sur des connexions de diffusion pour assurer la protection contre les attaques de déni de service, les connexions inactives et l'insuffisance de ports éphémères.

    Entraîne un statut non conforme lorsque l'argument streamingConnectionIdleTimeout est défini sur 0 dans le fichier de configuration Kubelet.

    Le fichier d'authentification par jeton n'est pas défini (token_auth_file_is_not_set)

    Vérifie si OpenShift n'utilise pas un fichier de jeton statique pour authentifier les demandes au serveur d'API.

    Entraîne un statut non conforme lorsque l'argument --token-auth-file est défini.