Red Hat Certified Cloud 和 Service Provider Certification 政策指南

作为认证的云和服务提供程序(CCSP)，您需要认证您在目录中发布的镜像。认证流程包括一系列测试，供您的红帽客户保证，他们将在云提供商之间获得一致的体验，即客户拥有最高级别的支持，并且为客户提供良好的安全实践。

云认证测试套件(redhat-certification-cloud)包括三种测试（支持、配置、安全性），每个测试包含一系列子测试和检查，如下所述。来自所有三种云测试的单数运行日志以及测试套件自我检查测试(rhcert/selfcheck)必须向红帽提交以获取新的认证和重新认证。

大多数云认证子测试都提供了即时返回状态（传递/Fail），但有些子测试可能需要红帽进行详细的审查来确认是否成功。这类测试在红帽认证应用程序中被标记为 REVIEW 状态。

有些测试也可以识别潜在的问题并返回 WARN 状态。此状态表示尚未遵循最佳实践。标记为 WARN 状态或行动的测试，但不阻止认证成功。建议合作伙伴查看此类测试的输出，并根据警告中包含的信息执行适当的操作。

您必须安装最新版本的认证工具，并使用最新的工作流来认证流程。发布新版本的认证工具后，红帽会在发布后的 90 天内支持以前的工具和工作流。

在 90 天期限结束时，使用以前的版本生成的测试日志/结果会自动被拒绝，您应该使用最新的工具和工作流重新生成测试日志/结果。

最新版本的 认证工具和工作流通过红帽订阅管理提供，并记录在 CCSP 认证工作流指南 中。

以下 RHEL 版本和构架支持认证。

有关 hypervisor 支持的详情，请查看 Red Hat OpenStack Platform、Red Hat Virtualization 和 OpenShift Virtualization 中的认证的客户机操作系统。

当镜像作为现有认证认证的副本提供且列在不同的镜像名称下时，会使用 passthrough 认证。

您可以从最初认证的 RHEL 镜像创建直通 RHEL 镜像。

提交 passthrough 镜像认证请求的策略要求您：

系统报告(sosreport)测试（也称为 cloud/sosreport ）捕获基本的 sosreport。

红帽使用名为 sos 的工具从 RHEL 系统收集配置和诊断信息，并协助客户对系统进行故障排除并遵循推荐的做法。系统报告子测试可确保 sos 工具在 image/system 上可以正常工作，并捕获基本的 sosreport。

日志版本 子测试会检查它是否可以找到在测试中的主机上安装的 RHEL 版本和内核版本。

内核 子测试会检查测试环境中运行的内核模块。内核版本可以是原始的正式发行(GA)版本，也可以是为 RHEL 主版本和次发行版本发布的任何后续内核更新。

内核子测试还确保内核在环境中运行时不会被污点。

内核模块 子测试会验证载入的内核模块是否由红帽发布，无论是作为内核软件包的一部分，或者通过 Red Hat Driver Update 添加。内核模块子测试还确保内核模块没有识别为技术预览。

Hardware Health 子测试通过测试硬件是否受支持、满足要求以及任何已知的硬件漏洞来检查系统的健康状况。subtest 执行以下操作：

如果这些测试失败将导致测试套件中的 WARN，并且应由合作伙伴验证具有正确和预期的行为。

Hypervisor/Partitioning 子测试确认 RHEL 镜像中显示的主机架构受到 RHEL 镜像、token 程序和内核的支持。目前，token 镜像认证支持以下现有和即将发布的 RHEL 版本和相应的架构：

Filesystem Layout 确认镜像的类型和最小大小遵循每个 RHEL 版本的指南。这样可确保镜像具有有效操作、运行应用程序和安装升级以供客户使用所需的合理空间。

安装的 RPM 子测试会验证系统上安装的 RPM 软件包是否由红帽发布且没有修改。修改的软件包可能会带来风险，并影响客户环境的支持性。如果需要，您可以安装非红帽软件包，但您必须将它们添加到产品文档中，且不得修改或与任何红帽软件包冲突。

如果安装了非红帽软件包，红帽将检查此测试的输出信息。

软件存储库确认配置了相关的红帽存储库，且 GPG 密钥已在镜像中导入，以避免对不受支持的内容造成潜在的显著风险。

红帽在 Red Hat 官方软件存储库（附带附加订阅附带）中提供核心软件包/内容，这些软件仓库使用 GPG 密钥签名，以确保分布式文件的真实性。作为这些存储库的一部分提供的软件被完全支持，并适用于客户生产环境。

如果需要启用云环境，可以配置由 Red Hat 发布但不受 Red Hat 软件仓库（如 EPEL 或 RHEL Supplementary 和 Optional ）支持的软件仓库。但是，必须正确描述并批准此类软件仓库。

RHEL 支持计划在混合云中采用和使用容器的客户。

software/容器 测试验证：

Insights 子测试会在 RHEL 8、9 和 10 上验证 insights-client rpm。

RHEL 模块功能是系统上可用的一系列软件包。软件模块测试验证 RHEL 8、RHEL 9 或 RHEL 10 系统中可用的模块。

确认默认系统日志服务(syslog)被配置为将日志存储在镜像的 /var/log/ 目录中，以便在需要时快速解决问题。

网络配置测试确认防火墙服务正在运行，端口 22 正在运行，端口 80 和 443 为打开或关闭，所有其他端口都已关闭。这样可确保镜像默认不受未授权访问的影响，并带有一个已知的访问配置。

测试检查系统是否使用 RHEL 默认防火墙服务，还是云基础架构中提供的服务。云基础架构必须提供用户配置，并记录的防火墙服务不会防止使用 RHEL 默认防火墙服务。

这也确保客户可以通过 SSH 访问镜像，并且能够在没有额外配置的情况下快速部署 HTTP 应用程序。如果需要对云基础架构进行正确操作，则镜像可能会打开其他端口，但必须记录此类端口。

只有在镜像上打开端口 22、80 （可选）时，此测试才会在运行时显示状态(Pass)。如果打开了其他端口，此测试将请求与红帽的开放端口的描述信息，以确认成功或失败。

确认当前系统运行级别为 3、4 或 5。此子测试确保镜像在所需的模式/状态下运行，且所有所需的系统服务（如联网）正在运行。

系统服务确认 root 用户可以启动和停止系统上的服务。这样可保证拥有系统管理权限的客户可访问/在系统上的应用程序和服务访问/工作，并执行需要以无缝方式管理访问权限的所有任务。系统服务还确保已配置和已安装系统服务的实际状态之间没有差距。

确认所需的红帽订阅已配置、可用且可用于镜像，并且更新机制是 Red Hat Satellite 或 RHUI。这样可确保客户能够访问需要通过标准的红帽软件包更新或交付机制支持其应用程序所需的软件包和更新。

密码配置 测试检查是否在 HUT 上启用登录身份验证服务，并且服务是否使用正确的加密算法。测试可确保镜像使用正确的加密和解密算法获得最佳安全性。

对于 RHEL 8、9 和 10，它使用 authselect 工具。

确认安装了针对镜像中包含的红帽软件包发布的所有重要和关键安全勘误。红帽鼓励您在发布勘误时更新并重新认证其镜像。此测试在运行时显示状态(REVIEW)，因为它需要在红帽审核来确认成功或失败。

Security-Enhanced Linux (SELinux) Enforcing 子测试确认 SELinux 已启用并在镜像上的 enforcing 模式下运行。

SELinux 为 Linux 内核添加了强制访问控制(MAC)，在 Red Hat Enterprise Linux 中默认启用。SELinux 策略是管理员定义的，在系统范围内强制执行，用户不自行决定设置。它减少了权限升级攻击的漏洞，并限制配置过程中出现的损坏。如果某个进程被破坏，攻击者只能访问该进程的正常功能，以及已被配置为有权访问的文件。