Red Hat OpenShift politiques dans DevOps Config

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Par défaut, le DevOps Config pack de contenu Policy contient un ensemble de politiques pour valider votre Red Hat OpenShift configuration.

    Important :
    DevOps Config est désormais obsolète et n’est plus pris en charge ni disponible pour une nouvelle activation.
    Vous pouvez utiliser ou personnaliser ces politiques par défaut DevOps Config pour valider que le contenu de vos données de configuration est conforme, ou Administrer le cycle de vie complet de PaCE politiques.
    Remarque :
    Vous ne pouvez pas modifier les politiques par défaut. Toutefois, vous pouvez faire une copie de la politique et personnaliser votre copie.
    Tableau 1. Navigation dans la première lettre des polices sur cette page

    Un | B | C | H | N | R | L | L

    La copie de sauvegarde maximale du journal d’audit est définie (openshift_audit_log_maxbackup_is_set)

    Vérifie si le nombre maximum de fichiers journaux d’audit à conserver pour les serveurs d’API est défini.

    Entraîne un statut non conforme lorsque l’argument --audit-log-maxbackup n’est pas défini ou n’est pas dans les limites spécifiées.

    Arguments d'entrée
    • lowerLimit
      • Limite inférieure de l’argument --audit-log-maxbackup .
      • Type : entier
      • Obligatoire : faux
    • upperLimit
      • Limite supérieure de l’argument --audit-log-maxbackup .
      • Type : entier
      • Obligatoire : faux

    La taille maximale de fichier du journal d’audit est définie (openshift_audit_log_maxsize_is_set)

    Vérifie si la taille de fichier maximum spécifiée comme seuil de déploiement des fichiers journaux d’audit est définie. Une fois qu’un fichier journal d’audit atteint la taille maximale, le fichier journal d’audit d’origine est renommé et un nouveau fichier journal avec le nom d’origine est créé.

    Entraîne un statut non conforme lorsque l’argument --audit-log-maxsize n’est pas défini ou ne se trouve pas dans les limites spécifiées.

    Arguments d'entrée
    • lowerLimit
      • Limite inférieure de mémoire de l’argument --audit-log-maxsize .
      • Type : entier
      • Obligatoire : vrai
    • upperLimit
      • Limite supérieure de mémoire de l’argument --audit-log-maxsize .
      • Type : entier
      • Obligatoire : vrai

    Le chemin d’accès au journal d’audit n’est pas défini (openshift_audit_log_path_is_not_set)

    Vérifie si l’audit est activé OpenShift et si le chemin d’accès au fichier journal d’audit est défini.

    Entraîne un statut non conforme lorsque l’argument --audit-log-path pour openshift-kube-apiserver n’est pas défini sur /var/log/kube-apiserver/audit.log ou lorsque l’argument --audit-log-path pour openshift-apiserver n’est pas défini sur /var/log/openshift-apiserver/audit.log.

    Le fichier d’authentification de base n’est pas défini (openshift_basic_auth_file_is_not_set)

    Vérifie si OpenShift n’utilise pas le mécanisme d’authentification de base pour authentifier les demandes au serveur d’API.

    Entraîne un statut non conforme lorsque l’argument --basic-auth-file est défini.

    Exécution des conteneurs sans accès privilégié (openshift_container_is_not_privileged)

    Vérifie si les conteneurs dans un OpenShift pod sont exécutés sans accès privilégié.

    Entraîne un statut non conforme lorsque le champ privilégié pour un conteneur est défini sur vrai.

    L’espace de noms du PID de l’hôte est désactivé (openshift_scc_with_hostPID_namespace_disabled)

    Vérifie s’il existe au moins une contrainte de contexte de sécurité (SCC) qui n’autorise pas les conteneurs à partager l’espace de nom PID de l’hôte.

    Entraîne un avertissement lorsqu’un SCC est défini avec le champ allowHostPID défini sur vrai.

    Le module d’extension NamespaceLifecycle est activé (openshift_namespacelifecycle_plugin_is_enabled)

    Vérifie si le module d’extension de contrôle d’admission NamespaceLifecycle est activé.

    Entraîne un statut non conforme lorsque le module d’extension NamespaceLifecycle est désactivé.

    Le port en lecture seule est désactivé (openshift_read_only_port_disabled)

    Vérifie si le serveur d’API Kubelet n’utilise pas le port en lecture seule ou si le port en lecture seule est défini sur 0.

    Entraîne un statut non conforme lorsque l’argument kubelet-read-only-port n’est pas défini sur 0.

    Le délai d’expiration de la demande est défini (openshift_request_timeout_is_set)

    Vérifie si le délai d’expiration de demande globale pour les serveurs d’API est défini.

    Entraîne un statut non conforme lorsque l’argument --min-request-timeout n’est pas défini ou ne se trouve pas dans les limites spécifiées.

    Arguments d'entrée
    • lowerLimit
      • Limite inférieure de l’argument --min-request-timeout .
      • Type : entier
      • Obligatoire : faux
    • upperLimit
      • Limite supérieure de l’argument --min-request-timeout .
      • Type : entier
      • Obligatoire : faux

    Le délai d’expiration des connexions de diffusion n’est pas désactivé (openshift_streaming_connections_timeout_not_disabled)

    Vérifie si les délais d’expiration sont définis sur des connexions de diffusion pour assurer la protection contre les attaques par déni de service, les connexions inactives et l’insuffisance de ports éphémères.

    Entraîne un statut non conforme lorsque l’argument streamingConnectionIdleTimeout est défini sur 0 dans le fichier de configuration Kubelet .

    Le fichier d’authentification par jeton n’est pas défini (openshift_token_auth_file_is_not_set)

    Vérifie s’il OpenShift n’utilise pas un fichier de jeton statique pour authentifier les demandes au serveur d’API.

    Entraîne un statut non conforme lorsque l’argument --token-auth-file est défini.