Chapitre 11. Configuration des profils de sécurité TLS
Les profils de sécurité TLS permettent aux serveurs de réglementer les algorithmes qu'un client peut utiliser lorsqu'il se connecte au serveur. Cela permet de s'assurer que les composants d'OpenShift Container Platform utilisent des bibliothèques cryptographiques qui n'autorisent pas les protocoles, les algorithmes de chiffrement ou les algorithmes non sécurisés connus.
Les administrateurs de clusters peuvent choisir le profil de sécurité TLS à utiliser pour chacun des composants suivants :
- le contrôleur d'entrée
le plan de contrôle
Il s'agit du serveur API Kubernetes, du gestionnaire de contrôleur Kubernetes, du planificateur Kubernetes, du serveur API OpenShift, du serveur API OpenShift OAuth, du serveur OpenShift OAuth et de etcd.
- le kubelet, lorsqu'il agit en tant que serveur HTTP pour le serveur API de Kubernetes
11.1. Comprendre les profils de sécurité TLS
Vous pouvez utiliser un profil de sécurité TLS (Transport Layer Security) pour définir les algorithmes TLS requis par les différents composants d'OpenShift Container Platform. Les profils de sécurité TLS d'OpenShift Container Platform sont basés sur les configurations recommandées par Mozilla.
Vous pouvez spécifier l'un des profils de sécurité TLS suivants pour chaque composant :
Profile | Description |
---|---|
| Ce profil est destiné à être utilisé avec des clients ou des bibliothèques anciens. Il est basé sur l'ancienne configuration recommandée pour la rétrocompatibilité.
Le profil Note Pour le contrôleur d'entrée, la version minimale de TLS passe de 1.0 à 1.1. |
| Ce profil est la configuration recommandée pour la majorité des clients. Il s'agit du profil de sécurité TLS par défaut pour le contrôleur d'entrée, le kubelet et le plan de contrôle. Le profil est basé sur la configuration recommandée pour la compatibilité intermédiaire.
Le profil |
| Ce profil est destiné à être utilisé avec des clients modernes qui n'ont pas besoin de rétrocompatibilité. Ce profil est basé sur la configuration recommandée pour la compatibilité moderne.
Le profil |
| Ce profil permet de définir la version de TLS et les algorithmes de chiffrement à utiliser. Avertissement
Soyez prudent lorsque vous utilisez un profil |
Lorsque l'on utilise l'un des types de profil prédéfinis, la configuration effective du profil est susceptible d'être modifiée entre les versions. Par exemple, si l'on spécifie l'utilisation du profil intermédiaire déployé dans la version X.Y.Z, une mise à niveau vers la version X.Y.Z 1 peut entraîner l'application d'une nouvelle configuration de profil, ce qui se traduit par un déploiement.