Red Hat OpenShift 의 정책 DevOps 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 기본적으로 정책 콘텐츠 팩에는 DevOps 구성 구성의 유효성을 검사하는 정책 세트가 포함되어 있습니다 Red Hat OpenShift .

    중요사항:
    Washington DC 릴리스부터 DevOps 구성는 향후 사용 중단을 준비 중입니다. 이 항목은 숨겨지고 새 인스턴스에 더 이상 설치되지 않지만 지원은 계속됩니다. 자세한 내용은 Now Support 지식베이스에서 사용 중단 프로세스 [KB0867184] 문서를 참조하십시오.
    이러한 기본 DevOps 구성 정책을 사용하거나 사용자 지정하여 구성 데이터 컨텐츠가 적합한지 확인할 수 있습니다. 의 전체 수명주기 관리 PaCE 정책.
    주:
    기본 정책은 수정할 수 없습니다. 그러나 정책의 사본을 만들고 사본을 사용자 지정할 수 있습니다.
    표 1. 이 페이지의 정책에 대한 첫 번째 문자 탐색

    | | | H | N | 아르 자형 | 에스 |

    감사 로그 최대 백업이 설정됨(openshift_audit_log_maxbackup_is_set)

    API 서버에 대해 보존할 이전 감사 로그 파일의 최대 개수가 설정되어 있는지 확인합니다.

    --audit-log-maxbackup 인수가 설정되지 않았거나 지정된 제한 내에 있지 않으면 규정 미준수 상태가 됩니다.

    입력 인수
    • lowerLimit
      • --audit-log-maxbackup 인수의 하한입니다.
      • 유형: 정수
      • 필수: 아니오
    • upperLimit
      • --audit-log-maxbackup 인수의 상한입니다.
      • 유형: 정수
      • 필수: 아니오

    감사 로그 최대 파일 크기가 설정됨(openshift_audit_log_maxsize_is_set)

    감사 로그 파일의 롤오버 임계값으로 지정된 최대 파일 크기가 설정되어 있는지 확인합니다. 감사 로그 파일이 최대 파일 크기에 도달하면 원래 감사 로그 파일의 이름이 바뀌고 원래 이름으로 새 로그 파일이 만들어집니다.

    --audit-log-maxsize 인수가 설정되지 않았거나 지정된 제한 내에 있지 않으면 규정 미준수 상태가 됩니다.

    입력 인수
    • lowerLimit
      • --audit-log-maxsize 인수의 메모리 하한입니다.
      • 유형: 정수
      • 필수: 참
    • upperLimit
      • --audit-log-maxsize 인수의 메모리 상한입니다.
      • 유형: 정수
      • 필수: 참

    감사 로그 경로가 설정되지 않음(openshift_audit_log_path_is_not_set)

    에서 OpenShift 감사를 사용할 수 있고 감사 로그 파일 경로가 설정되어 있는지 확인합니다.

    openshift-kube-apiserver--audit-log-path 인수가 /var/log/kube-apiserver/audit.log로 설정되지 않았거나 openshift-apiserver--audit-log-path 인수가 /var/log/openshift-apiserver/audit.log로 설정되지 않은 경우 규정 미준수 상태가 됩니다.

    기본 인증 파일이 설정되지 않음(openshift_basic_auth_file_is_not_set)

    API 서버에 대한 요청을 인증하는 데 기본 인증 메커니즘을 사용하지 않는지 OpenShift 확인합니다.

    --basic-auth-file 인수가 설정된 경우 규정 미준수 상태가 됩니다.

    컨테이너 권한 액세스 없이 실행(openshift_container_is_not_privileged)

    포드 내의 OpenShift 컨테이너가 액세스 권한 없이 실행되는지 여부를 확인합니다.

    컨테이너의 권한 있는 필드가 로 설정되면 규정 미준수 상태가 됩니다.

    호스트 PID 네임스페이스가 비활성화되었습니다(openshift_scc_with_hostPID_namespace_disabled).

    컨테이너가 호스트 PID 네임스페이스를 공유하는 것을 허용하지 않는 SCC(보안 컨텍스트 제약 조건)가 하나 이상 정의되어 있는지 확인합니다.

    allowHostPID 필드가 true로 설정된 SCC가 정의되어 있는 경우 경고가 발생합니다.

    NamespaceLifecycle 플러그인 사용이 설정됨(openshift_namespacelifecycle_plugin_is_enabled)

    등록 통제 플러그인 NamespaceLifecycle이 활성화되어 있는지 확인합니다.

    NamespaceLifecycle 플러그인이 비활성화되면 규정 미준수 상태가 됩니다.

    읽기 전용 포트가 비활성화됨(openshift_read_only_port_disabled)

    Kubelet API 서버가 읽기 전용 포트를 사용하고 있지 않은지 또는 읽기 전용 포트가 0으로 설정되어 있는지 확인합니다.

    kubelet-read-only-port 인수가 0으로 설정되지 않은 경우 규정 미준수 상태가 된다.

    요청 시간 제한이 설정됨(openshift_request_timeout_is_set)

    API 서버에 대한 전역 요청 시간 제한이 설정되어 있는지 확인합니다.

    --min-request-timeout 인수가 설정되지 않았거나 지정된 제한 내에 있지 않으면 규정 미준수 상태가 됩니다.

    입력 인수
    • lowerLimit
      • --min-request-timeout 인수의 하한입니다.
      • 유형: 정수
      • 필수: 아니오
    • upperLimit
      • --min-request-timeout 인수의 상한입니다.
      • 유형: 정수
      • 필수: 아니오

    스트리밍 연결 시간 제한이 비활성화되지 않음(openshift_streaming_connections_timeout_not_disabled)

    서비스 거부 공격, 비활성 연결 및 임시 포트 소모로부터 보호하기 위해 스트리밍 연결에 시간 제한이 설정되어 있는지 확인합니다.

    Kubelet 구성 파일에서 streamingConnectionIdleTimeout 인수가 0으로 설정된 경우 규정 미준수 상태가 된다.

    토큰 인증 파일이 설정되지 않음(openshift_token_auth_file_is_not_set)

    API 서버에 대한 요청을 인증하는 데 정적 토큰 파일을 사용하지 않는지 OpenShift 확인합니다.

    --token-auth-file 인수가 설정된 경우 규정 미준수 상태가 됩니다.