4장. FIPS 암호화 지원
FIPS 모드에서 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
OpenShift Container Platform은 FIPS용으로 설계되었습니다. FIPS 모드에서 부팅된 RHEL(Red Hat Enterprise Linux CoreOS) 또는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행하는 경우 OpenShift Container Platform 코어 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 Validation에 대해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 유효성 검사 프로그램을 참조하십시오. 검증을 위해 제출된 개별 RHEL 암호화 라이브러리의 최신 NIST 상태는 규정 준수 활동 및 정부 표준을 참조하십시오.
클러스터에 대한 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 RHEL 9 컴퓨터에서 설치 프로그램을 실행해야 하며 FIPS 가능 버전의 설치 프로그램을 사용해야 합니다. 'oc adm extract'를 사용하여 FIPS 지원 설치 프로그램 가져오기 섹션을 참조하십시오.
RHEL에서 FIPS 모드 구성에 대한 자세한 내용은 FIPS 모드에서 시스템 설치를 참조하십시오.
클러스터의 RHCOS (Red Hat Enterprise Linux CoreOS) 시스템의 경우 이 변경 사항은 사용자가 클러스터의 배치시 변경할 수 있는 클러스터 옵션을 제어하는 install-config.yaml 파일의 옵션 상태를 기반으로 시스템을 배치할 때 적용됩니다. Red Hat Enterprise Linux (RHEL) 시스템에서는 작업자 시스템으로 사용하려는 시스템에 운영 체제를 설치할 때 FIPS 모드를 활성화해야 합니다.
클러스터가 사용하는 운영 체제를 처음 부팅하기 전에 FIPS를 활성화해야하므로 클러스터를 배포한 후 FIPS를 활성화할 수 없습니다.
4.1. oc adm extract를 사용하여 FIPS 지원 설치 프로그램 가져오기
OpenShift Container Platform에서는 FIPS 모드에서 클러스터를 설치하려면 FIPS 지원 설치 바이너리를 사용해야 합니다. OpenShift CLI(oc)를 사용하여 릴리스 이미지에서 추출하여 이 바이너리를 가져올 수 있습니다. 바이너리를 가져온 후 클러스터 설치를 진행하여 openshift-install 명령의 모든 인스턴스를 openshift-install-fips 로 교체합니다.
사전 요구 사항
-
버전 4.16 이상과 함께 OpenShift CLI(
oc)를 설치했습니다.
프로세스
다음 명령을 실행하여 설치 프로그램에서 FIPS 가능 바이너리를 추출합니다.
$ oc adm release extract --registry-config "${pullsecret_file}" --command=openshift-install-fips --to "${extract_dir}" ${RELEASE_IMAGE}다음과 같습니다.
<pullsecret_file>- 풀 시크릿이 포함된 파일의 이름을 지정합니다.
<extract_dir>- 바이너리를 추출할 디렉터리를 지정합니다.
<RELEASE_IMAGE>- 사용 중인 OpenShift Container Platform 릴리스의 Quay.io URL을 지정합니다. 릴리스 이미지 검색에 대한 자세한 내용은 OpenShift Container Platform 설치 프로그램 추출을 참조하십시오.
-
openshift-install명령의 모든 인스턴스를openshift-install-fips로 교체하여 클러스터 설치를 진행합니다.
