20.2. 集群使用的组件支持 FIPS
尽管 OpenShift Container Platform 集群本身使用 FIPS 验证的/Modules in Process 模块,但请确保支持 OpenShift Container Platform 集群的系统也使用 FIPS 验证的/Modules in Process 模块进行加密。
20.2.1. etcd
要确保存储在 etcd 中的 secret 在进程加密中使用 FIPS 验证的/Modules in Process 模块,请以 FIPS 模式引导节点。在使用 FIPS 模式安装集群后,您可以使用 FIPS 批准的 aes cbc
加密算法加密 etcd 数据。
20.2.2. Storage
对于本地存储,使用 RHEL 提供的磁盘加密或者使用 RHEL 提供的磁盘加密的容器原生存储。通过将所有数据存储到使用 RHEL 提供的磁盘加密的卷中,并为您的集群启用 FIPS 模式,静态数据和正在启动的数据或网络数据都受到 FIPS 验证的/Modules in Process 加密的保护。您可以将集群配置为加密每个节点的根文件系统,如自定义节点 中所述。
20.2.3. 运行时
要确保容器知道它们在使用 FIPS 验证的/Modules in Process 加密模块的主机上运行,请使用 CRI-O 管理您的运行时。CRI-O 支持 FIPS 模式,它将容器配置为知道它们是在 FIPS 模式下运行的。