Mga FAQ ng Single node VM
Virtualisation
Aling mga hypervisor ang sinusuportahan ninyo, kasama ang bersyon?
Sinusuportahan namin ang mga sumusunod na virtualisation platform:
- Microsoft Hyper-V: Windows Server 2019+ at Windows 10+
- VMware: ESXi 7.0.0+
- VirtualBox: 7.0.8+
Mga Resource
Paano pinamamahalaan ang storage sa VM?
Maaaring ikabit sa VM ang isang solid state drive (SSD) (para sa mas mahusay na I/O at performance) o isang hard disk drive (HDD) para sa storage.
Ano ang minimum na bilang ng virtual cores na kinakailangan?
16
Ano ang minimum na laki ng disk ng VM?
100 GB
Nagro-rotate ba ng logs ang VM nang kusa?
Oo.
Ang mga log para sa mga serbisyong tumatakbo sa OS ay sumusunod sa default na Red Hat log rotation policy na naka-configure sa /etc/logrotate.conf. Maaaring i-customise ang file na ito ayon sa pangangailangan.
Ang mga pod log mula sa RKE2 ay sumusunod sa default na RKE2 log rotation:
- Pinakamataas na bilang ng mga log file bawat container: 3
- Pinakamataas na laki bawat log file: 2 MB
May benepisyo ba sa pagtalaga ng mas maraming vCPU para mapataas ang performance?
Hindi. Ang pagdaragdag ng CPU allocation ay hindi nagpapabuti sa performance ng synchronous API ng Glasswall Halo.
Ano ang minimum na memory na kailangan?
32 GB
Ano ang laki ng VM image?
- VMware o VirtualBox: OVA na humigit-kumulang 5.5 GB
- Hyper-V: VHD 64 GB
Seguridad
Aktibo ba ang OS firewall?
Hindi. Naka-disable ang firewall upang maiwasan ang mga conflict sa Kubernetes networking.
Anong mga firewall rule ang inilalapat?
Wala — naka-disable ang firewall.
Anong mga network port ang nananatiling bukas sa VM?
- 80
- 443
- 22 (SSH)
- 6443 (Kubernetes API server — limitado sa cluster CIDR
10.42.0.0/16at service CIDR10.43.0.0/16)
May proteksyon ba laban sa brute-force SSH attempts?
Oo.
Fail2Ban ay nagmo-monitor ng mga log file (hal., /var/log/auth.log) at bina-block ang mga mapaminsalang IP address pagkatapos ng paulit-ulit na pagkabigo.
Paano ko mapapanatiling patched ang base OS?
Nagbibigay ang Glasswall ng mga updated na VM image kada quarter.
Para direktang mag-update mula sa Red Hat mirrors:
subscription-manager register --username <your_username> --password <your_password> --auto-attach
Paano ko iko-configure ang SSL certificate ng aking organisasyon at ang gustong FQDN?
Kopyahin ang private key at certificate ng domain sa VM at patakbuhin ang bash configure_tls.sh sa VM.
Paano ko ipapatupad ang certificate only authentication sa pamamagitan ng SSH?
I-update ang ~/.ssh/authorized_keys gamit ang iyong public key sa VM - i-disable ang password authentication:
sudo sed -i "s/passwordauthentication yes/passwordauthentication no/g" /etc/ssh/sshd_config sudo service sshd restart
Kailangan bang i-update agad ang default na SSH username at password?
Oo, sapilitan ang pag-update ng password. Kapag naka-log in ka na sa VM, ipo-prompt kang i-update ang password.
Anong antas ng security hardening ang naisagawa na?
- Ang STIG hardening ay inilalapat sa base OS.
- Ang CIS hardening ay inilalapat sa RKE2 (Kubernetes cluster).
- Lahat ng Glasswall containers ay gumagamit ng hardened container images.
- Lahat ng Glasswall software ay hinaharden gamit ang SAST, DAST, SCA tooling.
Nagbibigay ba kayo ng mga hash upang mapatunayan ang pagiging tunay ng VM image?
Oo, nagbibigay ang Glasswall ng base64 encoded MD5 hash value ng file. I-verify kung tumutugma ito sa pamamagitan ng paggamit ng command at palitan ang $ova_file_path ng OVA file path:
openssl dgst -md5 -binary < $ova_file_path | base64
Paano ko ie-enable ang isang anti-virus solution sa VM?
Walang naka-install na anti-virus solution sa VM image. Kung kinakailangan, maaaring mag-install nang hiwalay ng anti-virus solution sa VM.
Makakahadlang ba o magpapahinto ang isang anti-virus solution sa proseso ng CDR?
Maaaring makaabala ang isang anti-virus solution sa proseso ng CDR at dahil dito, ang mga folder sa VM kung saan pinoproseso ang mga file ay dapat hindi isama sa anti-virus scanning.
Mayroon bang anumang mga folder na kailangang hindi saklaw ng anti-virus protection?
Oo, ang /opt/local-path-provisioner ay dapat hindi isama sa anti-virus scanning.
Sinusuportahan ba ng RKE2 ang FIPS 140-2 validated encryption?
Oo, ang suporta sa FIPS 140-2 ay built in sa RKE2 sa foundation level. Partikular, ang mga function na ginagamit sa loob ng RKE2 ay nakakatugon sa mahihigpit na security requirements na nakasaad sa pamantayang FIPS 140-2. Kabilang dito ang mga algorithm na ginagamit para sa encryption at decryption, ang mga paraang ginagamit para sa key generation at management, at ang mga proteksiyong nakalagay upang maiwasan ang hindi awtorisadong access o paggamit ng mga cryptographic module.
Ang karagdagang dokumentasyon tungkol sa pag-enable ng FIPS 140-2 ay makikita dito.
Makakahadlang ba o magpapahinto ang isang anti-virus solution sa proseso ng CDR?
Maaaring makaabala ang isang anti-virus solution sa proseso ng CDR at dahil dito, ang mga folder sa VM kung saan pinoproseso ang mga file ay dapat hindi isama sa anti-virus scanning.
Configuration ng OS
Paano ko iko-configure ang mensahe ng system banner kapag nagla-log on ako sa VM?
Maaaring i-customize ang mensahe ng banner sa pamamagitan ng pag-update ng file na /etc/issue sa VM.
Anong mga serbisyong nasa antas ng OS ang tumatakbo sa VM?
Ito ang listahan ng mga serbisyong nasa antas ng OS na tumatakbo sa VM:
| Yunit | na-load | aktibo | estado | paglalarawan |
|---|---|---|---|---|
| Atd.service | loaded | aktibo | running | mga tool sa pag-spool ng trabaho |
| Auditd.service | loaded | aktibo | running | serbisyo ng pag-audit ng seguridad |
| Chronyd.service | loaded | aktibo | running | NTP client/server |
| Dbus.service | loaded | aktibo | running | D-Bus system message bus |
| [email protected] | loaded | aktibo | running | getty sa tty1 |
| Irqbalance.service | loaded | aktibo | running | irqbalance daemon |
| Libstoragemgmt.service | loaded | aktibo | running | daemon ng server ng plug-in ng libstoragemgmt |
| Mcelog.service | loaded | aktibo | running | daemon ng pag-log ng machine check exception |
| Networkmanager.service | loaded | aktibo | running | tagapamahala ng network |
| Polkit.service | loaded | aktibo | running | tagapamahala ng awtorisasyon |
| Rhsmcertd.service | loaded | aktibo | running | paganahin ang pana-panahong pag-update ng mga entitlement certificate. |
| Rke2-server.service | loaded | aktibo | running | Rancher Kubernetes Engine v2 (server) |
| Rsyslog.service | loaded | aktibo | running | serbisyo ng system logging |
| [email protected] | loaded | aktibo | running | serial getty sa ttys0 |
| Smartd.service | loaded | aktibo | running | daemon ng self monitoring and reporting technology (SMART) |
| Sshd.service | loaded | aktibo | running | OpenSSH server daemon |
| Systemd-journald.service | loaded | aktibo | running | serbisyo ng journal |
| Systemd-logind.service | loaded | aktibo | running | serbisyo sa pag-login |
| Systemd-resolved.service | loaded | aktibo | running | pagresolba ng pangalan ng network |
| Systemd-udevd.service | loaded | aktibo | running | tagapamahala ng device ng udev kernel |
| Usbguard.service | loaded | aktibo | running | USBGuard daemon |
| [email protected] | loaded | aktibo | running | tagapamahala ng user para sa UID 1000 |
| Na-deactivate na ba ang mga hindi kinakailangang serbisyo sa antas ng OS? |
Ang Red Hat OS ay dumaan na sa proseso ng STIG hardening at ang anumang hindi kinakailangang serbisyo ay inalis na at walang anumang hindi kinakailangang serbisyo ang na-install.
Ano ang batayang operating system, at anong bersyon?
Ang bersyon ng base OS ay makikita sa release notes.
Tumatakbo ba ang Kubernetes sa loob ng VM?
Oo, ang Kubernetes cluster ay tumatakbo bilang Single Node.
Anong bersyon ng Kubernetes ang tumatakbo?
Ang bersyon ng Kubernetes ay makikita sa release notes.
Pagsubaybay
Anong mga mensahe ng error ang dapat naming aktibong bantayan?
Ang mga error code at API ng Glasswall Halo ay makikita sa pamamagitan ng dokumentasyon ng Glasswall API.
Maaaring subaybayan ang kalagayan ng Glasswall Halo cluster gamit ang API health endpoint.
Suporta sa CPU arch
Anong CPU architecture ang sinusuportahan?
Sa kasalukuyan, sinusuportahan ang mga x86-64 CPU processor. Magiging available ang suporta sa ARM sa mga susunod na release.
Log rotation at pamamahala ng storage
Paano ko ililipat/iipunin ang mga log sa gusto kong lokasyon sa network?
Ang VM ay may naka-preconfigure na syslog at maaari itong gamitin upang ipadala ang mga log sa isang syslog server.
Upgrade path
Ano ang mangyayari kung papalitan ko ang VM na ito ng ibang VM image mula sa Glasswall, at ano ang magiging buong upgrade path upang mapanatili ang live operations?
- Gumawa ng bagong VM mula sa bagong image mula sa Glasswall ayon sa mga hakbang sa deployment.
- Tiyaking gumagana ang bagong VM ayon sa inaasahan.
- Ilipat ang DNS record mula sa lumang IP address papunta sa bagong IP address ng VM.
Patching
Paano ko ia-update ang Kubernetes software mula sa pananaw ng seguridad?
Ang mga update ng Kubernetes software ay gagawin sa mga VM image na ibinibigay ng Glasswall. Gayunpaman, inirerekomenda na i-update ang Kubernetes cluster tuwing may inilalathalang security advisory.
Kapag ina-upgrade ang Kubernetes version ng isang cluster, inirerekomenda namin na ikaw ay:
- Kumuha ng snapshot.
- Simulan ang isang Kubernetes upgrade.
- Kung mabigo ang upgrade, ibalik ang cluster sa Kubernetes version bago ang upgrade. Nagagawa ito sa pamamagitan ng pagpili sa opsyong restore etcd and Kubernetes version. Ibabalik nito ang iyong cluster sa Kubernetes version bago ang upgrade bago i-restore ang etcd snapshot.
- Gagana ang restore operation sa isang cluster na wala sa healthy o active na estado.
Networking
Paano ko pamamahalaan ang mga setting ng DNS / IP range?
Gamitin ang nmcli command line utility o ang nmtui utility upang i-configure ang IP address, gateway, at DNS server.
Aktibo ba ang DHCP sa VM?
Oo, aktibo ang DHCP client sa VM at maaaring maglaan ng IP address kapag na-deploy sa isang network na may DHCP server.
Paano ako makakapag-SSH sa VM?
Kapag na-configure na ang isang IP address sa VM, mag-SSH gamit ang username at password/private key na ibinahagi ng Glasswall.
Ano ang mga IP address o internet URL na kailangang ma-allow list?
Wala.
Anong mga communication protocol ang sinusuportahan ng VM?
Ang HTTPS at HTTP endpoints ay ibinibigay sa loob ng VM.
Paglilisensya
Kailangan ko bang bumili ng hiwalay na Red Hat subscription para sa aking Glasswall Halo virtual appliance?
Oo. Bagama't tumatakbo ang mga Glasswall Halo virtual appliance sa Red Hat Enterprise Linux (RHEL), hindi kasama ang isang RHEL subscription sa appliance. Ang mga customer ang may pananagutan sa pagkuha ng wastong RHEL subscription direkta mula sa Red Hat o sa isang awtorisadong partner upang matiyak ang access sa mga system update, security patch, at support. Ang bawat naka-deploy na instance ay dapat mairehistro sa Red Hat Subscription Management (RHSM) gamit ang sarili mong Red Hat account credentials. Kung walang wastong subscription, maaaring hindi makatanggap ang iyong appliance ng mahahalagang update at hindi ito magiging kwalipikado para sa Red Hat support.
Para sa higit pang impormasyon, bisitahin ang aming advisory sa RHEL licensing.
Lisensyado ba ng Glasswall ang Kubernetes software?
Hindi na kailangang bumili ng lisensya para sa Kubernetes dahil ito ay open source na may Apache 2.0 license.
Ano ang mga pangunahing open source component na bumubuo sa kabuuang solusyon?
Ang RKE2 at RabbitMQ ang mga pangunahing open source component at ang kumpletong software bill of materials (SBOM) ay maaaring ibigay kapag hiniling.
Paano nililisensyahan ang mga open source component?
- Ang RKE2 Kubernetes cluster ay lisensyado sa ilalim ng Apache 2.0 license.
- Ang RabbitMQ cluster Kubernetes operator ay lisensyado sa ilalim ng Mozilla public license 2.0.
- Ang RabbitMQ server ay lisensyado sa ilalim ng Apache 2.0 license.
- Maaaring ibigay ang karagdagang impormasyon sa paglilisensya sa pamamagitan ng software bill of materials (SBOM) kapag hiniling.