Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.8. 安全和验证

OpenShift 和 OpenStack 都支持基于角色的访问控制和灵活的选项,以与现有用户身份验证系统集成。此外,两者都继承了 Red Hat Enterprise Linux 原生安全功能,如 SELinux。

3.8.1. 身份验证
复制链接

OpenStack Identity 服务以两种方式存储用户凭证:

  • 其本地状态数据库。
  • 在符合 LDAP 的外部目录服务器中。

OpenShift 控制器节点签发令牌,以通过 API 验证用户请求。OpenShift 支持各种身份提供程序,包括 HTPassword 和 LDAP。

OpenShift 和 OpenStack 身份提供程序之间有详细集成。管理员可以使用 OpenStack Keystone 服务配置 OpenShift keystone 身份提供程序。此配置允许用户使用其 Keystone 凭证登录 OpenShift Container Platform。如需完整的详细信息,请参阅 OpenShift 文档中的 配置 Keystone 身份提供程序 部分。

3.8.2. 安全性
复制链接

许多安全最佳实践都嵌入到默认的 OpenStack Platform 部署中。Red Hat OpenStack Platform 满足各种标准安全合规级别,如 ANSSI 和 FedRamp。如此处所述,此解决方案不是保护 OpenStack 的综合资源,并假定是相对的基本资源,但支持生产级别的安全性。它可能不适用于所有企业要求。

如需了解更多有关保护 OpenStack 的最佳实践的信息,请参阅 Red Hat OpenStack Platform 16 安全与强化指南

3.8.2.1. OpenStack 安全组
复制链接

在 OpenStack 上安装 OpenShift 时,安装程序会为功能安装创建必要的 OpenStack 安全组。安装程序为 control plane 节点和 worker 节点创建安全组。

您应该查看安全组,了解它们如何影响您自己的内部安全要求。

有关创建规则的详情,您可以查看 control plane 节点和 worker 节点的上游代码。

有关如何使用这些组的详情,请参阅 OpenStack 上游集群 API 文档中的安全组规则。https://github.com/openshift/cluster-api-provider-openstack/blob/master/docs/config.md#security-group-rules

要了解如何在安装时直接添加额外的安全组,请参阅安装指南中的 可选 RHOSP 配置参数 部分。

安装程序置备的基础架构方法创建和管理所需的所有 OpenStack 安全组和规则。这些组将租户的 OpenShift 安装与云上的其他人完全隔离开。

我们使用传输层安全性(TLS)来加密 OpenStack 公共 API 端点。

  • 我们在安装主机上使用自签名证书和本地证书颁发机构。
  • 启用 OpenStack TLS 公共端点加密后,我们将证书导入到针对端点发出命令的任何主机。
  • 由于我们使用 director 主机运行安装程序,因此与加密端点的所有交互都是来自 director 主机。

有关 OpenStack 上的此过程的更多信息,请参阅创建 SSL/TLS 证书签名请求

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat