你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Red Hat OpenShift 登陆区域加速器的安全性
安全是所有联机系统的关键问题。 本文提供保护 Azure Red Hat OpenShift 部署的设计注意事项和建议。
设计注意事项
Azure Red Hat OpenShift 适用于其他 Azure 服务,例如 Microsoft Entra ID、Azure 容器注册表、Azure 存储 和 Azure 虚拟网络。 在规划阶段,这些接口需要特别注意。 Azure Red Hat OpenShift 还增加了额外的复杂性,因此应考虑应用与基础结构布局的其余部分相同的安全治理和符合性机制和控制。
下面是安全治理和合规性的一些设计注意事项:
如果使用 Azure 登陆区域最佳做法部署 Azure Red Hat OpenShift 群集,请熟悉 群集将继承的策略。
确定是否应通过 Internet 访问群集的控制平面,这是默认值。 如果是这样,建议使用 IP 限制。 如果群集控制平面只能从专用网络(在 Azure 或本地)中访问,则部署 Azure Red Hat OpenShift 专用群集。
决定如何使用 Azure 防火墙 或其他网络虚拟设备来控制和保护来自 Azure Red Hat OpenShift 群集的出口流量。
决定如何在群集中管理机密。 可以使用用于机密存储 CSI 驱动程序的 Azure 密钥库 提供程序来保护机密,或者将 Azure Red Hat OpenShift 群集连接到已启用 Azure Arc 的 Kubernetes,并使用 Azure 密钥库 机密提供程序扩展提取机密。
确定容器注册表是可通过 Internet 访问,还是只能在特定的虚拟网络中进行访问。 在容器注册表中禁用 Internet 访问可能会对依赖于公共连接的其他系统产生负面影响,例如持续集成管道或 Microsoft Defender for Containers 映像扫描。 有关更多信息,请参阅使用 Azure 专用链接以私密方式连接到容器注册表。
确定是否将在多个登陆区域之间共享专用容器注册表,或者是否会将专用容器注册表部署到每个登陆区域订阅。
确定容器基础映像和应用程序运行时在容器生命周期内如何更新。 Azure 容器注册表任务支持自动化 OS 和应用程序框架修补工作流,同时维护安全环境,同时遵守不可变容器的原则。
设计建议
通过与 Microsoft Entra ID 或你自己的标识提供者集成,限制对 Azure Red Hat OpenShift 群集配置文件的访问。 分配适当的 OpenShift 基于角色的访问控制 ,例如群集管理员或群集读取者。
保护 Pod 对资源的访问权限。 提供最少数量的权限,并避免使用根或特权升级。
若要管理和保护群集中的机密、证书和连接字符串,应将 Azure Red Hat OpenShift 群集连接到已启用 Azure Arc 的 Kubernetes,并使用 Azure 密钥库 机密提供程序扩展提取机密。
对于 Azure Red Hat OpenShift 4 群集, etcd 数据默认未加密,但建议 启用 etcd 加密 以提供另一层数据安全性。
将群集保留在最新的 OpenShift 版本上,以避免潜在的安全性或升级问题。 Azure Red Hat OpenShift 仅支持 Red Hat OpenShift 容器平台的当前和以前正式发布的次要版本 。 如果群集的版本早于上次次要版本,请升级群集 。
使用 Azure Policy 扩展监视和强制实施配置。
连接已启用 Azure Arc 的 Kubernetes 的 Azure Red Hat OpenShift 群集。
使用已启用 Arc 的 Kubernetes 支持的 Microsoft Defender for Containers 来保护群集、容器和应用程序。 此外,使用 Microsoft Defender 或任何其他映像扫描解决方案扫描映像来查找漏洞。
将 Azure 容器注册表的专用和私有实例部署到每个登录区域订阅。
使用专用链接Azure 容器注册表将其连接到 Azure Red Hat OpenShift。
使用堡垒主机或 jumpbox 安全地访问 Azure Red Hat OpenShift 专用群集。
后续步骤
了解 Azure Red Hat OpenShift 登陆区域的操作管理和基线注意事项。