Soalan Lazim VM nod tunggal

Pemvirtualan​

Hypervisor manakah yang anda sokong, termasuk versinya?​

Kami menyokong platform pemvirtualan berikut:

• Microsoft Hyper-V: Windows Server 2019+ dan Windows 10+
• VMware: ESXi 7.0.0+
• VirtualBox: 7.0.8+

Sumber​

Bagaimanakah storan diuruskan dalam VM?​

Pemacu keadaan pepejal (SSD) (untuk I/O dan prestasi yang lebih baik) atau pemacu cakera keras (HDD) boleh dilampirkan pada VM untuk storan.

Apakah bilangan minimum teras maya yang diperlukan?​

16

Apakah saiz cakera minimum bagi VM?​

100 GB

Adakah VM memutar log secara automatik?​

Ya. Log untuk perkhidmatan yang berjalan dalam OS mengikut policy putaran log Red Hat lalai yang dikonfigurasikan dalam /etc/logrotate.conf. Fail ini boleh disesuaikan mengikut keperluan.

Log pod daripada RKE2 mengikut putaran log RKE2 lalai:

• Bilangan maksimum fail log bagi setiap container: 3
• Saiz maksimum bagi setiap fail log: 2 MB

Adakah terdapat manfaat dengan menetapkan lebih banyak vCPU untuk meningkatkan prestasi?​

Tidak. Menambah peruntukan CPU tidak meningkatkan prestasi API segerak Glasswall Halo.

Apakah memori minimum yang diperlukan?​

32 GB

Berapakah saiz imej VM?​

• VMware atau VirtualBox: OVA kira-kira 5.5 GB
• Hyper-V: VHD 64 GB

Keselamatan​

Adakah firewall OS aktif?​

Tidak. Firewall dinyahdayakan untuk mengelakkan konflik dengan rangkaian Kubernetes.

Apakah peraturan firewall yang digunakan?​

Tiada — firewall dinyahdayakan.

Port rangkaian manakah yang kekal terbuka pada VM?​

• 80
• 443
• 22 (SSH)
• 6443 (pelayan API Kubernetes — dihadkan kepada cluster CIDR 10.42.0.0/16 dan service CIDR 10.43.0.0/16)

Adakah terdapat perlindungan untuk percubaan SSH brute-force?​

Ya. Fail2Ban memantau fail log (contohnya, /var/log/auth.log) dan menyekat alamat IP berniat jahat selepas kegagalan berulang.

Bagaimanakah saya memastikan base OS sentiasa ditampal?​

Glasswall menyediakan imej VM yang dikemas kini setiap suku tahun.

Untuk mengemas kini terus daripada mirror Red Hat:

subscription-manager register --username <your_username> --password <your_password> --auto-attach

Bagaimanakah saya mengkonfigurasi sijil SSL organisasi saya dan FQDN pilihan?​

Salin private key dan sijil domain ke VM dan jalankan bash configure_tls.sh dalam VM.

Bagaimanakah saya menguatkuasakan pengesahan sijil sahaja melalui SSH?​

Kemas kini ~/.ssh/authorized_keys dengan public key anda dalam VM - nyahdayakan pengesahan kata laluan:

sudo sed -i "s/passwordauthentication yes/passwordauthentication no/g" /etc/ssh/sshd_config sudo service sshd restart

Adakah nama pengguna dan kata laluan SSH lalai perlu dikemas kini serta-merta?​

Ya, adalah wajib untuk mengemas kini kata laluan. Sebaik sahaja anda log masuk ke VM, anda akan diminta untuk mengemas kini kata laluan.

Apakah tahap pengerasan keselamatan yang telah dilaksanakan?​

• Pengerasan STIG digunakan pada base OS.
• Pengerasan CIS digunakan pada RKE2 (kluster Kubernetes).
• Semua container Glasswall menggunakan imej container yang diperkeras.
• Semua perisian Glasswall diperkeras menggunakan alat SAST, DAST, SCA.

Adakah anda menyediakan hash untuk mengesahkan ketulenan imej VM?​

Ya, Glasswall menyediakan nilai hash MD5 fail yang dikodkan base64. Sahkan sama ada ia sepadan dengan menggunakan arahan ini dengan menggantikan $ova_file_path dengan laluan fail OVA:

openssl dgst -md5 -binary < $ova_file_path | base64

Bagaimanakah saya mengaktifkan penyelesaian anti-virus dalam VM?​

Tiada penyelesaian anti-virus dipasang dalam imej VM. Jika diperlukan, penyelesaian anti-virus boleh dipasang secara berasingan dalam VM.

Adakah penyelesaian anti-virus akan mengganggu atau menyebabkan proses CDR tergantung?​

Penyelesaian anti-virus boleh mengganggu proses CDR dan oleh itu folder dalam VM tempat fail sedang diproses hendaklah dikecualikan daripada pengimbasan anti-virus.

Adakah terdapat sebarang folder yang perlu dikecualikan daripada perlindungan anti-virus?​

Ya, /opt/local-path-provisioner hendaklah dikecualikan daripada pengimbasan anti-virus.

Adakah RKE2 menyokong penyulitan yang disahkan FIPS 140-2?​

Ya, sokongan FIPS 140-2 terbina dalam RKE2 pada peringkat asas. Secara khusus, fungsi yang digunakan dalam RKE2 memenuhi keperluan keselamatan ketat yang digariskan dalam piawaian FIPS 140-2. Ini termasuk algoritma yang digunakan untuk penyulitan dan penyahsulitan, kaedah yang digunakan untuk penjanaan dan pengurusan kunci, serta perlindungan yang disediakan untuk mencegah akses atau penggunaan modul kriptografi tanpa kebenaran.

Dokumentasi tambahan berkenaan pengaktifan FIPS 140-2 boleh didapati di sini.

Adakah penyelesaian anti-virus akan mengganggu atau menyebabkan proses CDR tergantung?​

Penyelesaian anti-virus boleh mengganggu proses CDR dan oleh itu folder dalam VM tempat fail sedang diproses hendaklah dikecualikan daripada pengimbasan anti-virus.

Konfigurasi OS​

Bagaimanakah saya mengkonfigurasi mesej banner sistem apabila saya log masuk ke VM?​

Mesej banner boleh disesuaikan dengan mengemas kini fail /etc/issue dalam VM.

Apakah perkhidmatan peringkat OS yang sedang berjalan pada VM?​

Berikut ialah senarai perkhidmatan peringkat OS yang sedang berjalan pada VM:

Red Hat OS telah melalui proses pengerasan STIG dan sebarang perkhidmatan yang tidak diperlukan telah dibuang serta tiada perkhidmatan yang tidak diperlukan dipasang.

Apakah sistem pengendalian asas, dan versinya?​

Versi OS asas boleh didapati dalam nota keluaran.

Adakah Kubernetes berjalan dalam VM?​

Ya, kluster Kubernetes berjalan dengan Single Node.

Apakah versi Kubernetes yang sedang berjalan?​

Versi Kubernetes boleh didapati dalam nota keluaran.

Pemantauan​

Apakah mesej ralat yang perlu kami pantau secara aktif?​

Kod ralat dan API Glasswall Halo boleh didapati melalui dokumentasi API Glasswall.

Kesihatan kluster Glasswall Halo boleh dipantau menggunakan endpoint kesihatan API.

Sokongan seni bina CPU​

Apakah seni bina CPU yang disokong?​

Pada masa ini pemproses CPU x86-64 disokong. Sokongan ARM akan tersedia dalam keluaran akan datang.

Penggiliran log & pengurusan storan​

Bagaimanakah saya boleh memindahkan/mengagregat log ke lokasi rangkaian pilihan saya?​

VM disertakan dengan syslog yang telah diprakonfigurasi dan ini boleh digunakan untuk menghantar log ke pelayan syslog.

Laluan naik taraf​

Apakah yang berlaku jika saya menggantikan VM ini dengan imej VM lain daripada Glasswall, dan apakah laluan naik taraf penuh untuk mengekalkan operasi langsung?​

• Cipta VM baharu daripada imej baharu daripada Glasswall dengan mengikuti langkah penggunaan.
• Pastikan VM baharu berfungsi seperti yang dijangkakan.
• Tukar rekod DNS daripada alamat IP lama kepada alamat IP baharu VM.

Penampalan​

Bagaimanakah saya mengemas kini perisian Kubernetes dari perspektif keselamatan?​

Kemas kini perisian Kubernetes akan dilakukan dalam imej VM yang disediakan oleh Glasswall. Walau bagaimanapun, adalah disyorkan untuk mengemas kini kluster Kubernetes setiap kali nasihat keselamatan diterbitkan.

Apabila menaik taraf versi Kubernetes bagi sesuatu kluster, kami mengesyorkan agar anda:

• Ambil snapshot.
• Mulakan naik taraf Kubernetes.
• Jika naik taraf gagal, kembalikan kluster kepada versi Kubernetes sebelum naik taraf. Ini dicapai dengan memilih pilihan restore etcd and Kubernetes version. Ini akan mengembalikan kluster anda kepada versi Kubernetes sebelum naik taraf sebelum memulihkan snapshot etcd.
• Operasi pemulihan akan berfungsi pada kluster yang tidak berada dalam keadaan sihat atau aktif.

Rangkaian​

Bagaimanakah saya mengurus tetapan julat DNS / IP?​

Gunakan utiliti baris arahan nmcli atau utiliti nmtui untuk mengkonfigurasi alamat IP, gateway dan pelayan DNS.

Adakah DHCP aktif dalam VM?​

Ya, klien DHCP aktif dalam VM dan boleh memperuntukkan alamat IP apabila digunakan pada rangkaian dengan pelayan DHCP.

Bagaimanakah saya boleh SSH ke dalam VM?​

Setelah alamat IP dikonfigurasikan pada VM, SSH menggunakan nama pengguna dan kata laluan/kunci peribadi yang dikongsi oleh Glasswall.

Apakah alamat IP atau URL internet yang perlu dimasukkan ke dalam allow list?​

Tiada.

Apakah protokol komunikasi yang disokong dengan VM?​

Titik hujung HTTPS dan HTTP disediakan dalam VM.

Pelesenan​

Adakah saya perlu membeli langganan Red Hat secara berasingan untuk perkakas maya Glasswall Halo saya?​

Ya. Walaupun perkakas maya Glasswall Halo berjalan pada Red Hat Enterprise Linux (RHEL), langganan RHEL tidak disertakan bersama perkakas tersebut. Pelanggan bertanggungjawab untuk mendapatkan langganan RHEL yang sah secara terus daripada Red Hat atau rakan kongsi yang diberi kuasa bagi memastikan akses kepada kemas kini sistem, tampalan keselamatan dan sokongan. Setiap instance yang digunakan mesti didaftarkan dengan Red Hat Subscription Management (RHSM) menggunakan kelayakan akaun Red Hat anda sendiri. Tanpa langganan yang sah, perkakas anda mungkin tidak menerima kemas kini kritikal dan tidak akan layak untuk sokongan Red Hat.

Untuk maklumat lanjut, lawati nasihat pelesenan RHEL kami.

Adakah perisian Kubernetes dilesenkan oleh Glasswall?​

Tidak perlu membeli lesen untuk Kubernetes kerana ia adalah sumber terbuka dengan lesen Apache 2.0.

Apakah komponen sumber terbuka utama yang terkandung dalam keseluruhan penyelesaian ini?​

RKE2 & RabbitMQ ialah komponen sumber terbuka utama dan software bill of materials (SBOM) yang lengkap boleh disediakan atas permintaan.

Bagaimanakah komponen sumber terbuka dilesenkan?​

• Kluster Kubernetes RKE2 dilesenkan di bawah lesen Apache 2.0.
• Operator Kubernetes kluster RabbitMQ dilesenkan di bawah Mozilla public license 2.0.
• Pelayan RabbitMQ dilesenkan di bawah lesen Apache 2.0.
• Maklumat pelesenan tambahan boleh disediakan melalui software bill of materials (SBOM) atas permintaan.