第4章 FIPS 暗号のサポート
OpenShift Container Platform クラスターを FIPS モードでインストールできます。
OpenShift Container Platform は FIPS 用に設計されています。FIPS モードでブートされた Red Hat Enterprise Linux (RHEL) または Red Hat Enterprise Linux CoreOS (RHCOS) を実行する場合、OpenShift Container Platform コアコンポーネントは、x86_64、ppc64le、および s390x アーキテクチャーのみで、FIPS 140-2/140-3 検証のために NIST に提出された RHEL 暗号化ライブラリーを使用します。
NIST 検証プログラムの詳細は、暗号化モジュール検証プログラム を参照してください。検証のために提出された RHEL 暗号化ライブラリーの個別バージョンの最新の NIST ステータスは、政府の標準規格 を参照してください。
クラスターで FIPS モードを有効にするには、FIPS モードで動作するように設定された RHEL 9 コンピューターからインストールプログラムを実行し、インストールプログラムの FIPS 対応バージョンを使用する必要があります。`oc adm extract` を使用して FIPS 対応インストールプログラムを取得する セクションを参照してください。
RHEL での FIPS モードの設定の詳細は、FIPS モードでのシステムのインストール を参照してください。
クラスター内の Red Hat Enterprise Linux CoreOS (RHCOS) マシンの場合、この変更は、ユーザーがクラスターのデプロイメント時に変更できるクラスターオプションを制御する install-config.yaml ファイルのオプションのステータスに基づいてマシンがデプロイされる際に適用されます。Red Hat Enterprise Linux (RHEL) マシンでは、ワーカーマシンとして使用する予定のマシンにオペレーティングシステムをインストールする場合に FIPS モードを有効にする必要があります。
FIPS はクラスターが使用するオペレーティングシステムの初回の起動前に有効にされている必要があり、クラスターをデプロイしてから FIPS を有効にすることはできません。
4.1. oc adm extract を使用して FIPS 対応インストールプログラムを取得する
OpenShift Container Platform では、クラスターを FIPS モードでインストールする場合、FIPS 対応のインストールバイナリーを使用する必要があります。このバイナリーは、OpenShift CLI (oc) を使用してリリースイメージから展開することで取得できます。バイナリーを取得したら、openshift-install コマンドのすべてのインスタンスを openshift-install-fips に置き換え、クラスターのインストールを続行します。
前提条件
-
OpenShift CLI (
oc) バージョン 4.16 以降をインストール済みである。
手順
次のコマンドを実行して、インストールプログラムから FIPS 対応バイナリーを展開します。
$ oc adm release extract --registry-config "${pullsecret_file}" --command=openshift-install-fips --to "${extract_dir}" ${RELEASE_IMAGE}ここでは、以下のようになります。
<pullsecret_file>- プルシークレットが含まれるファイルの名前を指定します。
<extract_dir>- バイナリーを展開するディレクトリーを指定します。
<RELEASE_IMAGE>- 使用している OpenShift Container Platform リリースの Quay.io URL を指定します。リリースイメージの検索の詳細は、OpenShift Container Platform インストールプログラムの展開 を参照してください。
-
openshift-installコマンドのすべてのインスタンスをopenshift-install-fipsに置き換え、クラスターのインストールを続行します。
