FAQ VM node tunggal

Virtualisasi​

Hypervisor mana yang Anda dukung, termasuk versinya?​

Kami mendukung platform virtualisasi berikut:

• Microsoft Hyper-V: Windows Server 2019+ dan Windows 10+
• VMware: ESXi 7.0.0+
• VirtualBox: 7.0.8+

Sumber daya​

Bagaimana penyimpanan dikelola di VM?​

Solid state drive (SSD) (untuk I/O dan performa yang lebih baik) atau hard disk drive (HDD) dapat dipasang ke VM untuk penyimpanan.

Berapa jumlah minimum core virtual yang diperlukan?​

16

Berapa ukuran disk minimum untuk VM?​

100 GB

Apakah VM melakukan rotasi log secara otomatis?​

Ya. Log untuk layanan yang berjalan di OS mengikuti policy rotasi log Red Hat default yang dikonfigurasi di /etc/logrotate.conf. File ini dapat disesuaikan sesuai kebutuhan.

Log pod dari RKE2 mengikuti rotasi log default RKE2:

• Jumlah maksimum file log per container: 3
• Ukuran maksimum per file log: 2 MB

Apakah ada manfaat dari menetapkan lebih banyak vCPU untuk meningkatkan performa?​

Tidak. Meningkatkan alokasi CPU tidak meningkatkan performa API sinkron Glasswall Halo.

Berapa memori minimum yang diperlukan?​

32 GB

Berapa ukuran image VM?​

• VMware atau VirtualBox: OVA sekitar 5.5 GB
• Hyper-V: VHD 64 GB

Keamanan​

Apakah firewall OS aktif?​

Tidak. Firewall dinonaktifkan untuk menghindari konflik dengan jaringan Kubernetes.

Aturan firewall apa yang diterapkan?​

Tidak ada — firewall dinonaktifkan.

Port jaringan apa yang tetap terbuka pada VM?​

• 80
• 443
• 22 (SSH)
• 6443 (server API Kubernetes — dibatasi ke cluster CIDR 10.42.0.0/16 dan service CIDR 10.43.0.0/16)

Apakah ada perlindungan terhadap upaya brute-force SSH?​

Ya. Fail2Ban memantau file log (misalnya, /var/log/auth.log) dan memblokir alamat IP berbahaya setelah kegagalan berulang.

Bagaimana cara menjaga agar base OS tetap ditambal?​

Glasswall menyediakan image VM yang diperbarui setiap kuartal.

Untuk memperbarui langsung dari mirror Red Hat:

subscription-manager register --username <your_username> --password <your_password> --auto-attach

Bagaimana cara mengonfigurasi sertifikat SSL organisasi saya dan FQDN pilihan?​

Salin private key dan sertifikat domain ke VM lalu jalankan bash configure_tls.sh di VM.

Bagaimana cara menerapkan autentikasi hanya sertifikat melalui SSH?​

Perbarui ~/.ssh/authorized_keys dengan public key Anda di VM - nonaktifkan autentikasi kata sandi:

sudo sed -i "s/passwordauthentication yes/passwordauthentication no/g" /etc/ssh/sshd_config sudo service sshd restart

Apakah nama pengguna dan kata sandi SSH default harus segera diperbarui?​

Ya, memperbarui kata sandi adalah wajib. Setelah Anda masuk ke VM, Anda akan diminta untuk memperbarui kata sandi.

Tingkat penguatan keamanan apa yang telah diterapkan?​

• Penguatan STIG diterapkan pada OS dasar.
• Penguatan CIS diterapkan pada RKE2 (Kubernetes cluster).
• Semua container Glasswall menggunakan image container yang diperkeras.
• Semua perangkat lunak Glasswall diperkeras menggunakan tooling SAST, DAST, SCA.

Apakah Anda menyediakan hash untuk mengautentikasi keaslian image VM?​

Ya, Glasswall menyediakan nilai hash MD5 file yang dienkode base64. Verifikasi apakah nilainya cocok dengan menggunakan perintah berikut dan mengganti $ova_file_path dengan path file OVA:

openssl dgst -md5 -binary < $ova_file_path | base64

Bagaimana cara mengaktifkan solusi anti-virus di VM?​

Tidak ada solusi anti-virus yang terinstal dalam image VM. Jika diperlukan, solusi anti-virus dapat diinstal secara terpisah di VM.

Apakah solusi anti-virus akan menghambat atau membuat proses CDR macet?​

Solusi anti-virus dapat mengganggu proses CDR dan karena itu folder di VM tempat file sedang diproses harus dikecualikan dari pemindaian anti-virus.

Apakah ada folder yang perlu dikecualikan dari cakupan perlindungan anti-virus?​

Ya, /opt/local-path-provisioner harus dikecualikan dari pemindaian anti-virus.

Apakah RKE2 mendukung enkripsi tervalidasi FIPS 140-2?​

Ya, dukungan FIPS 140-2 sudah terintegrasi ke dalam RKE2 pada tingkat fondasi. Secara khusus, fungsi yang digunakan dalam RKE2 memenuhi persyaratan keamanan ketat yang diuraikan dalam standar FIPS 140-2. Ini mencakup algoritme yang digunakan untuk enkripsi dan dekripsi, metode yang digunakan untuk pembuatan dan pengelolaan kunci, serta perlindungan yang diterapkan untuk mencegah akses atau penggunaan modul kriptografi tanpa izin.

Dokumentasi tambahan mengenai pengaktifan FIPS 140-2 dapat ditemukan di sini.

Apakah solusi anti-virus akan menghambat atau menyebabkan proses CDR macet?​

Solusi anti-virus dapat mengganggu proses CDR dan karena itu folder di VM tempat file sedang diproses harus dikecualikan dari pemindaian anti-virus.

Konfigurasi OS​

Bagaimana cara mengonfigurasi pesan banner sistem saat saya masuk ke VM?​

Pesan banner dapat disesuaikan dengan memperbarui file /etc/issue di VM.

Layanan tingkat OS apa yang berjalan pada VM?​

Berikut adalah daftar layanan tingkat OS yang berjalan pada VM:

OS Red Hat telah melalui proses hardening STIG dan semua layanan yang tidak diperlukan telah dihapus serta tidak ada layanan yang tidak diperlukan yang diinstal.

Apa sistem operasi dasar yang digunakan, dan versinya?​

Versi OS dasar dapat ditemukan di catatan rilis.

Apakah Kubernetes berjalan di dalam VM?​

Ya, cluster Kubernetes berjalan dengan Single Node.

Versi Kubernetes apa yang berjalan?​

Versi Kubernetes dapat ditemukan di catatan rilis.

Pemantauan​

Pesan kesalahan apa yang harus kami pantau secara aktif?​

Kode kesalahan dan API Glasswall Halo dapat ditemukan melalui dokumentasi API Glasswall.

Kesehatan cluster Glasswall Halo dapat dipantau menggunakan endpoint health API.

Dukungan arsitektur CPU​

Arsitektur CPU apa yang didukung?​

Saat ini prosesor CPU x86-64 didukung. Dukungan ARM akan tersedia pada rilis mendatang.

Rotasi log & manajemen penyimpanan​

Bagaimana cara memindahkan/mengagregasikan log ke lokasi jaringan pilihan saya?​

VM dilengkapi dengan syslog yang sudah dikonfigurasi sebelumnya dan ini dapat digunakan untuk mengirim log ke server syslog.

Jalur upgrade​

Apa yang terjadi jika saya mengganti VM ini dengan image VM lain dari Glasswall, dan bagaimana jalur upgrade lengkap untuk mempertahankan operasi tetap berjalan?​

• Buat VM baru dari image baru dari Glasswall dengan mengikuti langkah-langkah deployment.
• Pastikan VM baru berfungsi sesuai harapan.
• Alihkan record DNS dari alamat IP lama ke alamat IP baru VM.

Patching​

Bagaimana cara memperbarui software Kubernetes dari perspektif keamanan?​

Pembaruan perangkat lunak Kubernetes akan dilakukan dalam image VM yang disediakan oleh Glasswall. Namun, disarankan untuk memperbarui cluster Kubernetes setiap kali advisori keamanan dipublikasikan.

Saat meningkatkan versi Kubernetes dari sebuah cluster, kami merekomendasikan agar Anda:

• Ambil snapshot.
• Mulai upgrade Kubernetes.
• Jika upgrade gagal, kembalikan cluster ke versi Kubernetes sebelum upgrade. Ini dilakukan dengan memilih opsi restore etcd and Kubernetes version. Tindakan ini akan mengembalikan cluster Anda ke versi Kubernetes sebelum upgrade sebelum memulihkan snapshot etcd.
• Operasi restore akan berfungsi pada cluster yang tidak berada dalam kondisi sehat atau aktif.

Jaringan​

Bagaimana cara mengelola pengaturan rentang DNS / IP?​

Gunakan utilitas baris perintah nmcli atau utilitas nmtui untuk mengonfigurasi alamat IP, gateway, dan server DNS.

Apakah DHCP aktif di VM?​

Ya, klien DHCP aktif di VM dan dapat mengalokasikan alamat IP saat diterapkan ke jaringan dengan server DHCP.

Bagaimana cara SSH ke VM?​

Setelah alamat IP dikonfigurasi ke VM, lakukan SSH menggunakan nama pengguna dan kata sandi/kunci privat yang dibagikan oleh Glasswall.

Alamat IP atau URL internet apa yang perlu dimasukkan ke allow list?​

Tidak ada.

Protokol komunikasi apa yang didukung dengan VM?​

Endpoint HTTPS dan HTTP disediakan di dalam VM.

Lisensi​

Apakah saya perlu membeli langganan Red Hat secara terpisah untuk appliance virtual Glasswall Halo saya?​

Ya. Meskipun appliance virtual Glasswall Halo berjalan di atas Red Hat Enterprise Linux (RHEL), langganan RHEL tidak disertakan dengan appliance tersebut. Pelanggan bertanggung jawab untuk memperoleh langganan RHEL yang valid langsung dari Red Hat atau mitra resmi guna memastikan akses ke pembaruan sistem, patch keamanan, dan dukungan. Setiap instance yang diterapkan harus didaftarkan ke Red Hat Subscription Management (RHSM) menggunakan kredensial akun Red Hat Anda sendiri. Tanpa langganan yang valid, appliance Anda mungkin tidak akan menerima pembaruan penting dan tidak akan memenuhi syarat untuk mendapatkan dukungan Red Hat.

Untuk informasi lebih lanjut, kunjungi panduan lisensi RHEL kami.

Apakah perangkat lunak Kubernetes dilisensikan oleh Glasswall?​

Tidak perlu membeli lisensi untuk Kubernetes karena bersifat open source dengan lisensi Apache 2.0.

Apa saja komponen open source utama yang termasuk dalam keseluruhan solusi?​

RKE2 & RabbitMQ adalah komponen open source utama dan software bill of materials (SBOM) lengkap dapat diberikan berdasarkan permintaan.

Bagaimana komponen open source dilisensikan?​

• Cluster Kubernetes RKE2 dilisensikan di bawah lisensi Apache 2.0.
• Operator Kubernetes cluster RabbitMQ dilisensikan di bawah Mozilla public license 2.0.
• Server RabbitMQ dilisensikan di bawah lisensi Apache 2.0.
• Informasi lisensi tambahan dapat diberikan melalui software bill of materials (SBOM) berdasarkan permintaan.