Red Hat Summit4장. FIPS 암호화 지원
FIPS 모드에서 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
OpenShift Container Platform은 FIPS를 위해 설계되었습니다. FIPS 모드로 부팅된 Red Hat Enterprise Linux(RHEL) 또는 Red Hat Enterprise Linux CoreOS(RHCOS)를 실행할 때 OpenShift Container Platform 핵심 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 검증을 위해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
NIST 검증 프로그램에 대한 자세한 내용은 암호화 모듈 검증 프로그램을 참조하세요. 검증을 위해 제출된 RHEL 암호화 라이브러리의 개별 버전에 대한 최신 NIST 상태는 규정 준수 활동 및 정부 표준을 참조하세요.
클러스터에 대해 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 RHEL 9 컴퓨터에서 설치 프로그램을 실행해야 하며, FIPS 지원 버전의 설치 프로그램을 사용해야 합니다. `oc adm extract`를 사용하여 FIPS 지원 설치 프로그램 얻기 라는 섹션을 참조하세요.
RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 FIPS 모드로 시스템 설치를 참조하세요.
클러스터의 Red Hat Enterprise Linux CoreOS(RHCOS) 머신의 경우, 클러스터 배포 중에 사용자가 변경할 수 있는 클러스터 옵션을 관리하는 install-config.yaml 파일의 옵션 상태에 따라 머신이 배포될 때 이 변경 사항이 적용됩니다. Red Hat Enterprise Linux(RHEL) 머신의 경우, 작업자 머신으로 사용하려는 머신에 운영 체제를 설치할 때 FIPS 모드를 활성화해야 합니다.
클러스터가 사용하는 운영 체제를 처음 부팅하기 전에 FIPS를 활성화해야하므로 클러스터를 배포한 후 FIPS를 활성화할 수 없습니다.
4.1. oc adm extract를 사용하여 FIPS 지원 설치 프로그램 얻기
OpenShift Container Platform에서는 FIPS 모드로 클러스터를 설치하려면 FIPS 지원 설치 바이너리를 사용해야 합니다. OpenShift CLI( oc )를 사용하여 릴리스 이미지에서 이 바이너리를 추출하여 얻을 수 있습니다. 바이너리를 얻은 후 클러스터 설치를 진행하고 openshift-install 명령의 모든 인스턴스를 openshift-install-fips 로 바꿉니다.
사전 요구 사항
-
OpenShift CLI(
oc)를 4.16 이상 버전으로 설치했습니다.
프로세스
다음 명령을 실행하여 설치 프로그램에서 FIPS 지원 바이너리를 추출합니다.
oc adm release extract --registry-config "${pullsecret_file}" --command=openshift-install-fips --to "${extract_dir}" ${RELEASE_IMAGE}$ oc adm release extract --registry-config "${pullsecret_file}" --command=openshift-install-fips --to "${extract_dir}" ${RELEASE_IMAGE}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 다음과 같습니다.
<pullsecret_file>- 풀 시크릿이 포함된 파일의 이름을 지정합니다.
<extract_dir>- 바이너리를 추출할 디렉토리를 지정합니다.
<RELEASE_IMAGE>- 사용 중인 OpenShift Container Platform 릴리스의 Quay.io URL을 지정합니다. 릴리스 이미지를 찾는 방법에 대한 자세한 내용은 OpenShift Container Platform 설치 프로그램 추출을 참조하세요.
-
클러스터 설치를 진행하면서
openshift-install명령의 모든 인스턴스를openshift-install-fips로 바꿉니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}