14.5. 监控、警报和报告

管理程序运行独立的虚拟机。此管理程序可以在操作系统中运行，也可直接在硬件（称为裸机）上运行。hypervisor 的更新不会传播到虚拟机。例如，如果部署正在使用 KVM，并且设置了 CentOS 虚拟机，则对 KVM 的更新将不会更新 CentOS 虚拟机上运行的任何内容。

考虑将虚拟机清除所有权分配给所有者，然后负责虚拟机的强化、部署和持续功能。您还应该有一个计划定期部署更新，同时首先在一个类似生产环境的环境中进行测试。

最常见的操作系统包括基于主机的防火墙，以实现额外的安全层。虽然实例应该尽可能运行一些应用程序（到单一用途实例的点，如果可能），但实例上运行的所有应用程序都应进行性能分析，以确定应用需要访问哪些系统资源，运行它所需的最低特权级别，以及预期网络流量将进入并来自于虚拟机。该预期流量应添加到基于主机的防火墙中，如允许的流量（或列入白名单），以及任何必要的日志记录和管理通信（如 SSH 或 RDP）。防火墙配置中应明确拒绝所有其他流量。

在 Linux 实例中，上面的应用程序配置文件可与 audit2allow 等工具一起使用，以构建 SELinux 策略来进一步保护大多数 Linux 发行版上的敏感系统信息。SELinux 结合使用用户、策略和安全上下文来划分应用运行所需的资源，并将其从不需要的其他系统资源进行分段。

默认情况下，实例的控制台可以通过虚拟控制台远程访问。这对于故障排除非常有用。Red Hat OpenStack Platform 使用 VNC 进行远程控制台访问。

如果需要 SSH 到实例，您可以将 Compute 配置为在创建时自动将所需的 SSH 密钥注入到实例中。

如需更多信息，请参阅 https://access.redhat.com/documentation/zh-cn/red_hat_openstack_platform/13/html-single/instances_and_images_guide/#section-create-images