Red Hat OpenShift 의 정책 DevOps 구성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 기본적으로 정책 콘텐츠 팩에는 DevOps 구성 구성의 유효성을 검사하는 정책 세트가 포함되어 있습니다 Red Hat OpenShift .

    중요사항:
    DevOps 구성 은 이제 더 이상 지원되지 않으며 새로운 활성화에 사용할 수 없습니다.
    이러한 기본 DevOps 구성 정책을 사용하거나 사용자 지정하여 구성 데이터 컨텐츠가 적합한지 확인할 수 있습니다. 의 전체 수명주기 관리 PaCE 정책.
    주:
    기본 정책은 수정할 수 없습니다. 그러나 정책의 사본을 만들고 사본을 사용자 지정할 수 있습니다.
    표 1. 이 페이지의 정책에 대한 첫 글자 탐색

    | | | H | N | 아르 |에스 |

    감사 로그 최대 백업이 설정됨(openshift_audit_log_maxbackup_is_set)

    API 서버에 대해 보존할 이전 감사 로그 파일의 최대 개수가 설정되어 있는지 확인합니다.

    --audit-log-maxbackup 인수가 설정되지 않았거나 지정된 제한 내에 있지 않으면 규정 미준수 상태가 됩니다.

    입력 인수
    • lowerLimit
      • --audit-log-maxbackup 인수의 하한입니다.
      • 유형: 정수
      • 필수: False
    • upperLimit
      • --audit-log-maxbackup 인수의 상한입니다.
      • 유형: 정수
      • 필수: False

    감사 로그 최대 파일 크기가 설정됨(openshift_audit_log_maxsize_is_set)

    감사 로그 파일의 롤오버 임계값으로 지정된 최대 파일 크기가 설정되어 있는지 확인합니다. 감사 로그 파일이 최대 파일 크기에 도달하면 원래 감사 로그 파일의 이름이 바뀌고 원래 이름으로 새 로그 파일이 만들어집니다.

    --audit-log-maxsize 인수가 설정되지 않았거나 지정된 제한 내에 있지 않으면 규정 미준수 상태가 됩니다.

    입력 인수
    • lowerLimit
      • --audit-log-maxsize 인수의 메모리 하한입니다.
      • 유형: 정수
      • 필수: True
    • upperLimit
      • --audit-log-maxsize 인수의 메모리 상한입니다.
      • 유형: 정수
      • 필수: True

    감사 로그 경로가 설정되지 않음(openshift_audit_log_path_is_not_set)

    에서 OpenShift 감사를 사용할 수 있는지, 감사 로그 파일 경로가 설정되어 있는지 확인합니다.

    openshift-kube-apiserver--audit-log-path 인수가 /var/log/kube-apiserver/audit.log로 설정되지 않았거나 openshift-apiserver--audit-log-path 인수가 /var/log/openshift-apiserver/audit.log로 설정되지 않은 경우 규정 미준수 상태가 됩니다.

    기본 인증 파일이 설정되지 않음(openshift_basic_auth_file_is_not_set)

    API 서버에 대한 요청을 인증하기 위해 기본 인증 메커니즘을 사용하지 않는지 확인합니다 OpenShift .

    --basic-auth-file 인수가 설정된 경우 규정 미준수 상태가 됩니다.

    컨테이너는 권한 액세스(openshift_container_is_not_privileged) 없이 실행됩니다.

    팟 내의 OpenShift 컨테이너가 액세스 권한 없이 실행되는지 여부를 확인합니다.

    컨테이너의 권한 있는 필드가 로 설정되면 규정 미준수 상태가 됩니다.

    호스트 PID 네임스페이스 사용 안 함(openshift_scc_with_hostPID_namespace_disabled)

    컨테이너가 호스트 PID 네임스페이스를 공유하는 것을 허용하지 않는 SCC(보안 컨텍스트 제약 조건)가 하나 이상 정의되어 있는지 확인합니다.

    allowHostPID 필드가 true로 설정된 SCC가 정의되어 있는 경우 경고가 발생합니다.

    NamespaceLifecycle 플러그인 사용됨(openshift_namespacelifecycle_plugin_is_enabled)

    등록 통제 플러그인 NamespaceLifecycle이 활성화되어 있는지 확인합니다.

    NamespaceLifecycle 플러그인을 사용하지 않도록 설정하면 규정 미준수 상태가 됩니다.

    읽기 전용 포트 사용 안 함(openshift_read_only_port_disabled)

    Kubelet API 서버가 읽기 전용 포트를 사용하고 있지 않은지 또는 읽기 전용 포트가 0으로 설정되어 있는지 확인합니다.

    kubelet-read-only-port 인수가 0으로 설정되지 않은 경우 규정 미준수 상태가 됩니다.

    요청 시간 제한이 설정됨(openshift_request_timeout_is_set)

    API 서버에 대한 전역 요청 시간 제한이 설정되어 있는지 확인합니다.

    --min-request-timeout 인수가 설정되지 않았거나 지정된 제한 내에 있지 않으면 규정 미준수 상태가 됩니다.

    입력 인수
    • lowerLimit
      • --min-request-timeout 인수의 하한입니다.
      • 유형: 정수
      • 필수: False
    • upperLimit
      • --min-request-timeout 인수의 상한입니다.
      • 유형: 정수
      • 필수: False

    스트리밍 연결 시간 제한이 비활성화되지 않음(openshift_streaming_connections_timeout_not_disabled)

    서비스 거부 공격, 비활성 연결 및 임시 포트 소모로부터 보호하기 위해 스트리밍 연결에 시간 제한이 설정되어 있는지 확인합니다.

    Kubelet 구성 파일에서 streamingConnectionIdleTimeout 인수가 0으로 설정된 경우 규정 미준수 상태가 됩니다.

    토큰 인증 파일이 설정되지 않음(openshift_token_auth_file_is_not_set)

    API 서버에 대한 요청을 인증하기 위해 정적 토큰 파일을 사용하지 않는지 확인합니다 OpenShift .

    --token-auth-file 인수가 설정된 경우 규정 미준수 상태가 됩니다.