通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Red Hat OpenShift 登陆区域加速器的安全性

  • 项目

安全是所有联机系统的关键问题。 本文提供保护 Azure Red Hat OpenShift 部署的设计注意事项和建议。

设计注意事项

Azure Red Hat OpenShift 适用于其他 Azure 服务,例如 Microsoft Entra ID、Azure 容器注册表、Azure 存储 和 Azure 虚拟网络。 在规划阶段,这些接口需要特别注意。 Azure Red Hat OpenShift 还增加了额外的复杂性,因此应考虑应用与基础结构布局的其余部分相同的安全治理和符合性机制和控制。

下面是安全治理和合规性的一些设计注意事项:

  • 如果使用 Azure 登陆区域最佳做法部署 Azure Red Hat OpenShift 群集,请熟悉 群集将继承的策略。

  • 确定是否应通过 Internet 访问群集的控制平面,这是默认值。 如果是这样,建议使用 IP 限制。 如果群集控制平面只能从专用网络(在 Azure 或本地)中访问,则部署 Azure Red Hat OpenShift 专用群集

  • 决定如何使用 Azure 防火墙 或其他网络虚拟设备来控制和保护来自 Azure Red Hat OpenShift 群集的出口流量。

  • 决定如何在群集中管理机密。 可以使用用于机密存储 CSI 驱动程序的 Azure 密钥库 提供程序来保护机密,或者Azure Red Hat OpenShift 群集连接到已启用 Azure Arc 的 Kubernetes,并使用 Azure 密钥库 机密提供程序扩展提取机密

  • 确定容器注册表是可通过 Internet 访问,还是只能在特定的虚拟网络中进行访问。 在容器注册表中禁用 Internet 访问可能会对依赖于公共连接的其他系统产生负面影响,例如持续集成管道或 Microsoft Defender for Containers 映像扫描。 有关更多信息,请参阅使用 Azure 专用链接以私密方式连接到容器注册表

  • 确定是否将在多个登陆区域之间共享专用容器注册表,或者是否会将专用容器注册表部署到每个登陆区域订阅。

  • 确定容器基础映像和应用程序运行时在容器生命周期内如何更新。 Azure 容器注册表任务支持自动化 OS 和应用程序框架修补工作流,同时维护安全环境,同时遵守不可变容器的原则。

设计建议

后续步骤

了解 Azure Red Hat OpenShift 登陆区域的操作管理和基线注意事项。