Sdílet prostřednictvím


Zabezpečení akcelerátoru cílových zón Azure Red Hat OpenShift

Zabezpečení je zásadním zájmem pro všechny online systémy. Tento článek obsahuje aspekty návrhu a doporučení k ochraně a zabezpečení nasazení Azure Red Hat OpenShift.

Aspekty návrhu

Azure Red Hat OpenShift spolupracuje s dalšími službami Azure, jako je Microsoft Entra ID, Azure Container Registry, Azure Storage a Azure Virtual Network. Tato rozhraní vyžadují během fáze plánování zvláštní pozornost. Azure Red Hat OpenShift také zvyšuje složitost, takže byste měli zvážit použití stejných mechanismů a mechanismů zásad správného řízení zabezpečení a dodržování předpisů jako ve zbytku infrastruktury.

Tady je několik aspektů návrhu zásad správného řízení zabezpečení a dodržování předpisů:

  • Pokud nasadíte cluster Azure Red Hat OpenShift s využitím osvědčených postupů cílové zóny Azure, seznamte se se zásadami, které budou clustery dědit.

  • Rozhodněte se, jestli má být řídicí rovina clusteru přístupná přes internet, což je výchozí nastavení. Pokud ano, doporučujeme omezení IP adres. Pokud bude řídicí rovina clusteru přístupná jenom z vaší privátní sítě, a to buď v Azure, nebo v místním prostředí, a pak nasadíte privátní cluster Azure Red Hat OpenShift.

  • Rozhodněte se, jak řídit a zabezpečit odchozí provoz z clusteru Azure Red Hat OpenShift pomocí služby Azure Firewall nebo jiného síťového virtuálního zařízení.

  • Rozhodněte se, jak se budou tajné kódy spravovat ve vašem clusteru. K ochraně tajných kódů můžete použít zprostředkovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů, nebo připojit cluster Azure Red Hat OpenShift k Kubernetes s podporou Služby Azure Arc a použít rozšíření zprostředkovatele tajných kódů služby Azure Key Vault k načtení tajných kódů.

  • Rozhodněte se, jestli je váš registr kontejneru přístupný přes internet, nebo jenom v rámci konkrétní virtuální sítě. Zakázání přístupu k internetu v registru kontejnerů může mít negativní vliv na jiné systémy, které spoléhají na veřejné připojení, jako jsou kanály kontinuální integrace nebo prohledávání imagí v programu Microsoft Defender for Containers. Další informace najdete v tématu Připojení soukromě do registru kontejneru pomocí služby Azure Private Link.

  • Rozhodněte se, jestli se váš privátní registr kontejneru bude sdílet napříč několika cílovými zónami, nebo jestli do každého předplatného cílové zóny nasadíte vyhrazený registr kontejneru.

  • Rozhodněte se, jak se během životního cyklu kontejneru aktualizují základní image kontejneru a doba běhu aplikace. Úlohy služby Azure Container Registry poskytují podporu pro automatizaci pracovního postupu oprav operačního systému a architektury aplikací a udržování zabezpečených prostředí při zachování principů neměnných kontejnerů.

Doporučení k návrhu

Další kroky

Přečtěte si informace o správě operací a základních aspektech pro cílovou zónu Azure Red Hat OpenShift.