你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全是所有联机系统的关键问题。 本文提供保护 Azure Red Hat OpenShift 部署的设计注意事项和建议。
设计注意事项
Azure Red Hat OpenShift 适用于其他 Azure 服务,例如Microsoft Entra ID、Azure 容器注册表、Azure 存储和 Azure 虚拟网络。 在规划阶段,这些接口需要特别注意。 Azure Red Hat OpenShift 还增加了额外的复杂性,因此应考虑应用与基础结构布局的其余部分相同的安全治理和符合性机制和控制。
下面是安全治理和合规性的一些设计注意事项:
如果使用 Azure 登陆区域最佳做法部署 Azure Red Hat OpenShift 群集,请熟悉 群集将继承的策略。
确定是否应通过 Internet 访问群集的控制平面,这是默认值。 如果是这样,建议使用 IP 限制。 如果群集控制平面只能从专用网络(在 Azure 或本地)中访问,则部署 Azure Red Hat OpenShift 专用群集。
决定如何使用 Azure 防火墙或其他网络虚拟设备来控制和保护 来自 Azure Red Hat OpenShift 群集的出口流量 。
决定如何在群集中管理机密。 可以使用 用于机密存储 CSI 驱动程序的 Azure Key Vault 提供程序 来保护机密,或者 将 Azure Red Hat OpenShift 群集连接到已启用 Azure Arc 的 Kubernetes ,并使用 Azure Key Vault 机密提供程序扩展提取机密。
确定容器注册表是通过 Internet 访问的,还是只能在特定的虚拟网络中访问。 在容器注册表中禁用 Internet 访问可能会对依赖于公共连接的其他系统产生负面影响,例如持续集成管道或 Microsoft Defender for Containers 映像扫描。 有关详细信息,请参阅 使用 Azure 专用链接私下连接到容器注册表。
确定专用容器注册表是跨多个登陆区域共享的,还是将专用容器注册表部署到每个登陆区域订阅。
确定容器基础映像和应用程序运行时在容器生命周期内如何更新。 Azure 容器注册表任务 支持自动执行 OS 和应用程序框架修补工作流,同时维护安全环境,同时遵循不可变容器的原则。
设计建议
通过将 Microsoft Entra ID 或自己的身份提供者集成,限制对 Azure Red Hat OpenShift 群集配置文件的访问。 分配适当的 OpenShift 基于角色的访问控制 ,例如群集管理员或群集读取者。
确保 Pod 访问资源的安全。 提供最少的权限数,并避免使用根升级或特权升级。
若要管理和保护群集中的机密、证书和连接字符串,应 将 Azure Red Hat OpenShift 群集连接到已启用 Azure Arc 的 Kubernetes ,并使用 Azure Key Vault 机密提供程序扩展 提取机密。
对于 Azure Red Hat OpenShift 4 群集, etcd 数据默认未加密,但建议 启用 etcd 加密 以提供另一层数据安全性。
将群集保留在最新的 OpenShift 版本上,以避免潜在的安全性或升级问题。 Azure Red Hat OpenShift 仅支持 Red Hat OpenShift 容器平台 的当前和以前正式发布的次要版本 。 如果群集的版本比最新的次要版本更旧,请升级群集。
使用 Azure Policy 扩展监视和强制实施配置。
使用通过 Arc 启用 Kubernetes 支持的 Microsoft Defender for Containers 来保护群集、容器和应用程序。 使用 Microsoft Defender 或任何其他映像扫描解决方案来检查映像中的漏洞。
将 Azure 容器注册表 的专用实例部署到每个登陆区域订阅。
使用 Azure 容器注册表的专用链接 将其连接到 Azure Red Hat OpenShift。
使用 堡垒主机或跳板机安全地访问 Azure Red Hat OpenShift 专用集群。