คำถามที่พบบ่อยเกี่ยวกับ VM แบบโหนดเดียว

การจำลองเสมือน​

คุณรองรับ hypervisor ใดบ้าง รวมถึงเวอร์ชันใดบ้าง?​

เรารองรับแพลตฟอร์มการจำลองเสมือนต่อไปนี้:

• Microsoft Hyper-V: Windows Server 2019+ และ Windows 10+
• VMware: ESXi 7.0.0+
• VirtualBox: 7.0.8+

ทรัพยากร​

มีการจัดการพื้นที่จัดเก็บข้อมูลใน VM อย่างไร?​

สามารถแนบ solid state drive (SSD) (เพื่อ I/O และประสิทธิภาพที่ดีกว่า) หรือ hard disk drive (HDD) เข้ากับ VM เพื่อใช้เป็นพื้นที่จัดเก็บข้อมูลได้

ต้องใช้จำนวน virtual cores ขั้นต่ำเท่าใด?​

16

ขนาดดิสก์ขั้นต่ำของ VM คือเท่าใด?​

100 GB

VM หมุนเวียน log เองหรือไม่?​

ใช่ log สำหรับบริการที่ทำงานอยู่ใน OS จะเป็นไปตาม policy การหมุนเวียน log เริ่มต้นของ Red Hat ที่กำหนดค่าไว้ใน /etc/logrotate.conf ไฟล์นี้สามารถปรับแต่งได้ตามต้องการ

Pod logs จาก RKE2 เป็นไปตามการหมุนเวียน log เริ่มต้นของ RKE2:

• จำนวนไฟล์ log สูงสุดต่อ container: 3
• ขนาดสูงสุดต่อไฟล์บันทึก: 2 MB

มีประโยชน์หรือไม่ในการกำหนด vCPU เพิ่มขึ้นเพื่อเพิ่มประสิทธิภาพ?​

ไม่มี การเพิ่มการจัดสรร CPU ไม่ ได้ช่วยปรับปรุงประสิทธิภาพของ synchronous API ของ Glasswall Halo

ต้องใช้หน่วยความจำขั้นต่ำเท่าใด?​

32 GB

อิมเมจ VM มีขนาดเท่าใด?​

• VMware หรือ VirtualBox: OVA ประมาณ 5.5 GB
• Hyper-V: VHD 64 GB

ความปลอดภัย​

ไฟร์วอลล์ของ OS เปิดใช้งานอยู่หรือไม่?​

ไม่ ไฟร์วอลล์ถูกปิดใช้งานเพื่อหลีกเลี่ยงความขัดแย้งกับระบบเครือข่ายของ Kubernetes

มีการใช้กฎไฟร์วอลล์ใดบ้าง?​

ไม่มี — ไฟร์วอลล์ถูกปิดใช้งาน

พอร์ตเครือข่ายใดบ้างที่ยังคงเปิดอยู่บน VM?​

• 80
• 443
• 22 (SSH)
• 6443 (Kubernetes API server — จำกัดไว้สำหรับ cluster CIDR 10.42.0.0/16 และ service CIDR 10.43.0.0/16)

มีการป้องกันการพยายามเดารหัสผ่าน SSH แบบ brute-force หรือไม่?​

มี Fail2Ban จะตรวจสอบไฟล์บันทึก (เช่น /var/log/auth.log) และบล็อกที่อยู่ IP ที่เป็นอันตรายหลังจากล้มเหลวซ้ำหลายครั้ง

ฉันจะทำให้ base OS ได้รับแพตช์ล่าสุดอย่างไร?​

Glasswall จัดเตรียมอิมเมจ VM ที่อัปเดตแล้วเป็นรายไตรมาส

หากต้องการอัปเดตโดยตรงจาก Red Hat mirrors:

subscription-manager register --username <your_username> --password <your_password> --auto-attach

ฉันจะกำหนดค่าใบรับรอง SSL ขององค์กรและ FQDN ที่ต้องการได้อย่างไร?​

คัดลอก private key และ certificate ของโดเมนไปยัง VM แล้วรัน bash configure_tls.sh ภายใน VM

ฉันจะบังคับใช้การยืนยันตัวตนผ่าน SSH ด้วย certificate เท่านั้นได้อย่างไร?​

อัปเดต ~/.ssh/authorized_keys ด้วย public key ของคุณใน VM - ปิดใช้งานการยืนยันตัวตนด้วยรหัสผ่าน:

sudo sed -i "s/passwordauthentication yes/passwordauthentication no/g" /etc/ssh/sshd_config sudo service sshd restart

ชื่อผู้ใช้และรหัสผ่าน SSH เริ่มต้นจำเป็นต้องอัปเดตทันทีหรือไม่?​

ใช่ การอัปเดตรหัสผ่านเป็นข้อบังคับ เมื่อคุณเข้าสู่ระบบ VM แล้ว ระบบจะพร้อมท์ให้คุณอัปเดตรหัสผ่าน

มีการทำ security hardening ในระดับใดบ้าง?​

• มีการใช้การ hardening แบบ STIG กับ base OS
• มีการใช้การ hardening แบบ CIS กับ RKE2 (Kubernetes cluster)
• คอนเทนเนอร์ Glasswall ทั้งหมดใช้ container image ที่ผ่านการ harden แล้ว
• ซอฟต์แวร์ Glasswall ทั้งหมดถูก harden โดยใช้เครื่องมือ SAST, DAST, SCA

คุณมีการให้ hash เพื่อยืนยันความถูกต้องแท้จริงของ VM image หรือไม่?​

มี, Glasswall ให้ค่า MD5 hash ของไฟล์ที่เข้ารหัสแบบ base64 ตรวจสอบว่าตรงกันหรือไม่โดยใช้คำสั่งต่อไปนี้ โดยแทนที่ $ova_file_path ด้วยพาธของไฟล์ OVA:

openssl dgst -md5 -binary < $ova_file_path | base64

ฉันจะเปิดใช้งานโซลูชัน anti-virus ใน VM ได้อย่างไร?​

ไม่มีการติดตั้งโซลูชัน anti-virus ไว้ใน VM image หากจำเป็น สามารถติดตั้งโซลูชัน anti-virus แยกต่างหากใน VM ได้

โซลูชัน anti-virus จะขัดขวางหรือทำให้กระบวนการ CDR ค้างหรือไม่?​

โซลูชัน anti-virus อาจรบกวนกระบวนการ CDR ดังนั้นโฟลเดอร์ใน VM ที่ใช้สำหรับไฟล์ที่กำลังถูกประมวลผลควรถูกยกเว้นจากการสแกนของ anti-virus

มีโฟลเดอร์ใดบ้างที่ต้องอยู่นอกขอบเขตการป้องกันของ anti-virus?​

มี, /opt/local-path-provisioner ควรถูกยกเว้นจากการสแกนของ anti-virus

RKE2 รองรับการเข้ารหัสที่ผ่านการรับรอง FIPS 140-2 หรือไม่?​

รองรับ, การรองรับ FIPS 140-2 ถูกสร้างไว้ใน RKE2 ที่ระดับพื้นฐาน โดยเฉพาะอย่างยิ่ง ฟังก์ชันที่ใช้ภายใน RKE2 เป็นไปตามข้อกำหนดด้านความปลอดภัยที่เข้มงวดตามมาตรฐาน FIPS 140-2 ซึ่งรวมถึงอัลกอริทึมที่ใช้สำหรับการเข้ารหัสและถอดรหัส วิธีการที่ใช้สำหรับการสร้างและจัดการคีย์ และการป้องกันที่มีไว้เพื่อป้องกันการเข้าถึงหรือการใช้งานโมดูลการเข้ารหัสโดยไม่ได้รับอนุญาต

สามารถดูเอกสารเพิ่มเติมเกี่ยวกับการเปิดใช้งาน FIPS 140-2 ได้ที่นี่

โซลูชัน anti-virus จะขัดขวางหรือทำให้กระบวนการ CDR ค้างหรือไม่?​

โซลูชัน anti-virus อาจรบกวนกระบวนการ CDR ดังนั้นโฟลเดอร์ใน VM ที่ใช้สำหรับไฟล์ที่กำลังถูกประมวลผลควรถูกยกเว้นจากการสแกนของ anti-virus

การกำหนดค่า OS​

ฉันจะกำหนดค่าข้อความแบนเนอร์ของระบบเมื่อเข้าสู่ระบบ VM ได้อย่างไร?​

ข้อความแบนเนอร์สามารถปรับแต่งได้โดยอัปเดตไฟล์ /etc/issue ใน VM

มีบริการระดับ OS ใดบ้างที่กำลังทำงานอยู่บน VM?​

ต่อไปนี้คือรายการบริการระดับ OS ที่กำลังทำงานอยู่บน VM:

Red Hat OS ได้ผ่านกระบวนการเสริมความมั่นคงปลอดภัยตาม STIG แล้ว และบริการที่ไม่จำเป็นทั้งหมดได้ถูกนำออก รวมถึงไม่มีการติดตั้งบริการที่ไม่จำเป็นเพิ่มเติม

ระบบปฏิบัติการพื้นฐานคืออะไร และเป็นเวอร์ชันใด?​

สามารถดูเวอร์ชันของ OS พื้นฐานได้ในบันทึกประจำรุ่น

Kubernetes ทำงานภายใน VM หรือไม่?​

ใช่ คลัสเตอร์ Kubernetes ทำงานแบบ Single Node

Kubernetes ที่กำลังทำงานเป็นเวอร์ชันใด?​

สามารถดูเวอร์ชันของ Kubernetes ได้ในบันทึกประจำรุ่น

การตรวจสอบระบบ​

ควรเฝ้าติดตามข้อความแสดงข้อผิดพลาดใดอย่างใกล้ชิด?​

สามารถดูรหัสข้อผิดพลาดและ API ของ Glasswall Halo ได้ผ่านเอกสารประกอบ Glasswall API.

สามารถตรวจสอบสถานะความพร้อมใช้งานของคลัสเตอร์ Glasswall Halo ได้โดยใช้ API health endpoint.

การรองรับสถาปัตยกรรม CPU​

รองรับสถาปัตยกรรม CPU ใดบ้าง?​

ปัจจุบันรองรับโปรเซสเซอร์ CPU แบบ x86-64 โดยจะรองรับ ARM ในรีลีสถัดไป.

การหมุนเวียน log และการจัดการพื้นที่จัดเก็บ​

ฉันจะถ่ายโอน/รวม log ไปยังตำแหน่งเครือข่ายที่ต้องการได้อย่างไร?​

VM มาพร้อมกับการตั้งค่า syslog ล่วงหน้า และสามารถใช้ส่ง log ไปยังเซิร์ฟเวอร์ syslog ได้.

เส้นทางการอัปเกรด​

จะเกิดอะไรขึ้นหากฉันแทนที่ VM นี้ด้วยอิมเมจ VM อื่นจาก Glasswall และเส้นทางการอัปเกรดแบบเต็มเพื่อคงการดำเนินงานแบบ live ไว้จะเป็นอย่างไร?​

• สร้าง VM ใหม่จากอิมเมจใหม่จาก Glasswall โดยทำตามขั้นตอนการปรับใช้.
• ตรวจสอบให้แน่ใจว่า VM ใหม่ทำงานได้ตามที่คาดไว้.
• สลับระเบียน DNS จากที่อยู่ IP เดิมไปยังที่อยู่ IP ใหม่ของ VM.

การแพตช์​

ฉันจะอัปเดตซอฟต์แวร์ Kubernetes จากมุมมองด้านความปลอดภัยได้อย่างไร?​

การอัปเดตซอฟต์แวร์ Kubernetes จะดำเนินการในอิมเมจ VM ที่ Glasswall จัดเตรียมไว้ อย่างไรก็ตาม ขอแนะนำให้อัปเดตคลัสเตอร์ Kubernetes ทุกครั้งที่มีการเผยแพร่ประกาศด้านความปลอดภัย

เมื่ออัปเกรดเวอร์ชัน Kubernetes ของคลัสเตอร์ เราขอแนะนำให้คุณ:

• สร้าง snapshot
• เริ่มต้นการอัปเกรด Kubernetes
• หากการอัปเกรดล้มเหลว ให้ย้อนกลับคลัสเตอร์ไปเป็นเวอร์ชัน Kubernetes ก่อนการอัปเกรด โดยทำได้ด้วยการเลือกตัวเลือก restore etcd and Kubernetes version การดำเนินการนี้จะทำให้คลัสเตอร์ของคุณกลับไปเป็นเวอร์ชัน Kubernetes ก่อนการอัปเกรด ก่อนที่จะกู้คืน snapshot ของ etcd
• การดำเนินการกู้คืนจะทำงานได้บนคลัสเตอร์ที่ไม่ได้อยู่ในสถานะสมบูรณ์หรือใช้งานอยู่

เครือข่าย​

ฉันจะจัดการการตั้งค่า DNS / ช่วง IP ได้อย่างไร?​

ใช้ยูทิลิตีบรรทัดคำสั่ง nmcli หรือยูทิลิตี nmtui เพื่อกำหนดค่า IP address, gateway และ DNS server

DHCP ทำงานอยู่ใน VM หรือไม่?​

ใช่ DHCP client ทำงานอยู่ใน VM และสามารถจัดสรร IP address ได้เมื่อปรับใช้กับเครือข่ายที่มี DHCP server

ฉันจะ SSH เข้าไปยัง VM ได้อย่างไร?​

เมื่อกำหนดค่า IP address ให้กับ VM แล้ว ให้ SSH โดยใช้ชื่อผู้ใช้และรหัสผ่าน/คีย์ส่วนตัวที่ Glasswall แชร์ให้

มี IP address หรือ URL อินเทอร์เน็ตใดบ้างที่ต้องเพิ่มใน allow list?​

ไม่มี

VM รองรับโปรโตคอลการสื่อสารใดบ้าง?​

มีการจัดเตรียม endpoint แบบ HTTPS และ HTTP ภายใน VM

การให้สิทธิ์การใช้งาน​

ฉันจำเป็นต้องซื้อการสมัครใช้งาน Red Hat แยกต่างหากสำหรับอุปกรณ์เสมือน Glasswall Halo ของฉันหรือไม่?​

ใช่ แม้ว่าอุปกรณ์เสมือน Glasswall Halo จะทำงานบน Red Hat Enterprise Linux (RHEL) แต่ไม่ได้รวมการสมัครใช้งาน RHELมากับอุปกรณ์ ลูกค้ามีหน้าที่ต้องจัดหาการสมัครใช้งาน RHEL ที่ถูกต้อง โดยตรงจาก Red Hat หรือพาร์ทเนอร์ที่ได้รับอนุญาต เพื่อให้มั่นใจว่าสามารถเข้าถึงการอัปเดตระบบ แพตช์ความปลอดภัย และการสนับสนุนได้ แต่ละอินสแตนซ์ที่ปรับใช้ต้องลงทะเบียนกับ Red Hat Subscription Management (RHSM) โดยใช้ข้อมูลรับรองบัญชี Red Hat ของคุณเอง หากไม่มีการสมัครใช้งานที่ถูกต้อง อุปกรณ์ของคุณอาจไม่ได้รับการอัปเดตที่สำคัญและจะไม่มีสิทธิ์ได้รับการสนับสนุนจาก Red Hat

สำหรับข้อมูลเพิ่มเติม โปรดไปที่ คำแนะนำด้านสิทธิการใช้งาน RHEL ของเรา

ซอฟต์แวร์ Kubernetes ได้รับสิทธิการใช้งานโดย Glasswall หรือไม่?​

ไม่จำเป็นต้องซื้อสิทธิการใช้งานสำหรับ Kubernetes เนื่องจากเป็นโอเพนซอร์สภายใต้Apache 2.0 license

องค์ประกอบโอเพนซอร์สหลักใดบ้างที่รวมอยู่ในโซลูชันโดยรวม?​

RKE2 และ RabbitMQ เป็นองค์ประกอบโอเพนซอร์สหลัก และสามารถจัดเตรียม software bill of materials (SBOM) ฉบับสมบูรณ์ได้เมื่อร้องขอ

องค์ประกอบโอเพนซอร์สได้รับสิทธิการใช้งานอย่างไร?​

• คลัสเตอร์ Kubernetes ของ RKE2 ได้รับสิทธิการใช้งานภายใต้ Apache 2.0 license
• Kubernetes operator สำหรับคลัสเตอร์ RabbitMQ ได้รับสิทธิการใช้งานภายใต้ Mozilla public license 2.0
• เซิร์ฟเวอร์ RabbitMQ ได้รับสิทธิการใช้งานภายใต้ Apache 2.0 license
• สามารถจัดเตรียมข้อมูลสิทธิการใช้งานเพิ่มเติมได้ผ่าน software bill of materials (SBOM) เมื่อร้องขอ