第 4 章 支持 FIPS 加密
您可以使用 FIPS 模式安装 OpenShift Container Platform 集群。
OpenShift Container Platform 专为 FIPS 设计。当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时,OpenShift Container Platform 核心组件使用 RHEL 加密库,在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
有关 NIST 验证程序的更多信息,请参阅加密模块验证程序。有关为验证提交的 RHEL 加密库的单独版本的最新 NIST 状态,请参阅 Compliance Activities 和 Government Standards。
要为集群启用 FIPS 模式,您必须从一个配置为以 FIPS 模式运行的 RHEL 9 计算机中运行安装程序,且必须使用安装程序支持的 FIPS 版本。请参阅使用 'oc adm extract' 的 FIPS 的安装程序部分。
有关在 RHEL 中配置 FIPS 模式的更多信息,请参阅在 FIPS 模式中安装该系统。
对于集群中的 Red Hat Enterprise Linux CoreOS(RHCOS)机器,当机器根据 install-config.yaml 文件中的选项的状态进行部署时,会应用这个更改,该文件管理用户在集群部署过程中可以更改的集群选项。在 Red Hat Enterprise Linux(RHEL)机器中,您必须在计划用作 worker 机器的机器上安装操作系统时启用 FIPS 模式。
因为 FIPS 必须在集群首次引导的操作系统前启用,所以您不能在部署集群后启用 FIPS。
4.1. 使用 oc adm extract 获取支持 FIPS 的安装程序
OpenShift Container Platform 需要使用支持 FIPS 的安装二进制文件来在 FIPS 模式中安装集群。您可以使用 OpenShift CLI (oc) 从发行镜像中提取该二进制文件。获取二进制文件后,您可以继续集群安装,将 openshift-install 命令的所有实例替换为 openshift-install-fips。
先决条件
-
已使用版本 4.16 或更新版本安装了 OpenShift CLI (
oc)。
流程
运行以下命令,从安装程序中提取支持 FIPS 的二进制文件:
$ oc adm release extract --registry-config "${pullsecret_file}" --command=openshift-install-fips --to "${extract_dir}" ${RELEASE_IMAGE}其中:
<pullsecret_file>- 指定包含 pull secret 的文件的名称。
<extract_dir>- 指定您要提取二进制文件的目录。
<RELEASE_IMAGE>- 指定您使用的 OpenShift Container Platform 发行版本的 Quay.io URL。有关查找发行镜像的更多信息,请参阅提取 OpenShift Container Platform 安装程序。
-
继续集群安装,将
openshift-install命令的所有实例替换为openshift-install-fips。
