DevOps コンフィグRed Hat OpenShift ポリシー

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • デフォルトでは、DevOps コンフィグ ポリシーコンテンツパックには、Red Hat OpenShift 構成を検証するための一連のポリシーが含まれています。

    重要:
    DevOps コンフィグ は現在廃止されており、新しいアクティベーションのサポートや利用は終了しています。
    これらのデフォルトの DevOps コンフィグ ポリシーを使用またはカスタマイズして、構成データコンテンツが適合可能であることを検証できます。 のライフサイクル全体を管理する PaCE ポリシー.
    注:
    デフォルトのポリシーを変更することはできません。ただし、ポリシーのコピーを作成して、そのコピーをカスタマイズすることはできます。
    表 : 1. このページのポリシーの最初の文字のナビゲーション

    A | B | C | H | N | R | S | T

    監査ログの最大バックアップが設定されています (openshift_audit_log_maxbackup_is_set)

    API サーバー用に保持する古い監査ログファイルの最大数が設定されているかどうかを確認します。

    --audit-log-maxbackup 引数が設定されていないか、指定された制限内にない場合、非準拠ステータスとなります。

    入力引数
    • lowerLimit
      • --audit-log-maxbackup 引数の下限。
      • タイプ:整数
      • 必須:False
    • upperLimit
      • --audit-log-maxbackup 引数の上限。
      • タイプ:整数
      • 必須:False

    監査ログの最大ファイルサイズが設定されています (openshift_audit_log_maxsize_is_set)

    監査ログファイルのロールオーバーしきい値として指定された最大ファイルサイズが設定されているかどうかを確認します。監査ログファイルが最大ファイルサイズに達すると、元の監査ログファイルの名前が変更され、元の名前で新しいログファイルが作成されます。

    --audit-log-maxsize 引数が設定されていないか、指定された制限内にない場合、非準拠ステータスになります。

    入力引数
    • lowerLimit
      • --audit-log-maxsize 引数のメモリ下限。
      • タイプ:整数
      • 必須:True
    • upperLimit
      • --audit-log-maxsize 引数のメモリ上限。
      • タイプ:整数
      • 必須:True

    監査ログパスが設定されていません (openshift_audit_log_path_is_not_set)

    OpenShift で監査が有効になっていて、監査ログファイルのパスが設定されているかどうかを確認します。

    openshift-kube-apiserver--audit-log-path 引数が /var/log/kube-apiserver/audit.log に設定されていない場合、または openshift-apiserver--audit-log-path 引数が /var/log/openshift-apiserver/audit.log に設定されていない場合、非準拠ステータスになります。

    ベーシック認証ファイルが設定されていません (container_basic_auth_file_is not_set)

    OpenShift が API サーバーへの認証要求にベーシック認証メカニズムを使用していないかどうかを確認します。

    --basic-auth-file 引数が設定されている場合、非準拠ステータスになります。

    コンテナは特権アクセスなしで実行されます (openshift_container_is_not_privileged)

    OpenShift ポッド内のコンテナが特権アクセスなしで実行されているかどうかを確認します。

    コンテナの特権フィールドが true に設定されている場合、結果は非準拠ステータスになります。

    ホスト PID 名前空間が無効です (openshift_scc_with_hostPID_namespace_disabled)

    コンテナがホスト PID 名前空間を共有できないようにするセキュリティコンテキスト制約 (SCC) が少なくとも 1 つ定義されているかどうかを確認します。

    allowHostPID フィールドが true に設定された SCC が定義されている場合、警告が表示されます。

    NamespaceLifecycle プラグインが有効 (openshift_namespacelifecycle_plugin_is_enabled)

    アドミッションコントロールプラグインの NamespaceLifecycle が有効になっているかどうかを確認します。

    NamespaceLifecycle プラグインが無効になっている場合、非準拠ステータスになります。

    読み取り専用ポートが無効です (openshift_read_only_port_disabled)

    Kubelet API サーバーが読み取り専用ポートを使用していないか、読み取り専用ポートが 0 に設定されていないかを確認します。

    kubelet-read-only-port 引数が 0 に設定されていない場合、非準拠ステータスになります。

    要求タイムアウトが設定されています (openshift_request_timeout_is_set)

    API サーバーのグローバル要求タイムアウトが設定されているかどうかを確認します。

    --min-request-timeout 引数が設定されていないか、指定された制限内にない場合、非準拠ステータスになります。

    入力引数
    • lowerLimit
      • --min-request-timeout 引数の下限。
      • タイプ:整数
      • 必須:False
    • upperLimit
      • --min-request-timeout 引数の上限。
      • タイプ:整数
      • 必須:False

    ストリーミング接続のタイムアウトが無効になっていません (openshift_streaming_connections_timeout_not_disabled)

    サービス拒否攻撃、非アクティブな接続、およびエフェメラルポートの枯渇に対する保護を確保するために、ストリーミング接続にタイムアウトが設定されているかどうかを確認します。

    Kubelet 構成ファイルで streamingConnectionIdleTimeout 引数が 0 に設定されている場合、非準拠ステータスになります。

    トークン認証ファイルが設定されていません (openshift_token_auth_file_is_not_set)

    OpenShift が API サーバーへの認証要求に静的トークンファイルを使用していないかどうかを確認します。

    --token-auth-file 引数が設定されている場合、非準拠ステータスになります。