Câu hỏi thường gặp về VM một nút

Ảo hóa​

Bạn hỗ trợ những hypervisor nào, bao gồm cả phiên bản?​

Chúng tôi hỗ trợ các nền tảng ảo hóa sau:

• Microsoft Hyper-V: Windows Server 2019+ và Windows 10+
• VMware: ESXi 7.0.0+
• VirtualBox: 7.0.8+

Tài nguyên​

Dung lượng lưu trữ được quản lý như thế nào trong VM?​

Có thể gắn ổ đĩa thể rắn (SSD) (để có I/O và hiệu năng tốt hơn) hoặc ổ đĩa cứng (HDD) vào VM để lưu trữ.

Số lượng lõi ảo tối thiểu cần thiết là bao nhiêu?​

16

Kích thước đĩa tối thiểu của VM là bao nhiêu?​

100 GB

VM có tự xoay vòng log không?​

Có. Các log cho những dịch vụ chạy trong OS tuân theo policy xoay vòng log mặc định của Red Hat được cấu hình trong /etc/logrotate.conf. Tệp này có thể được tùy chỉnh khi cần.

Log pod từ RKE2 tuân theo cơ chế xoay vòng log mặc định của RKE2:

• Số lượng tệp log tối đa cho mỗi container: 3
• Kích thước tối đa cho mỗi tệp nhật ký: 2 MB

Việc gán thêm vCPU để tăng hiệu năng có mang lại lợi ích không?​

Không. Việc tăng phân bổ CPU không cải thiện hiệu năng của API đồng bộ của Glasswall Halo.

Dung lượng bộ nhớ tối thiểu cần thiết là bao nhiêu?​

32 GB

Kích thước của ảnh VM là bao nhiêu?​

• VMware hoặc VirtualBox: OVA khoảng 5.5 GB
• Hyper-V: VHD 64 GB

Bảo mật​

Tường lửa của OS có đang hoạt động không?​

Không. Tường lửa bị vô hiệu hóa để tránh xung đột với mạng Kubernetes.

Những quy tắc tường lửa nào được áp dụng?​

Không có — tường lửa đã bị vô hiệu hóa.

Những cổng mạng nào vẫn mở trên VM?​

• 80
• 443
• 22 (SSH)
• 6443 (máy chủ Kubernetes API — bị giới hạn ở cluster CIDR 10.42.0.0/16 và service CIDR 10.43.0.0/16)

Có biện pháp bảo vệ trước các nỗ lực SSH brute-force không?​

Có. Fail2Ban giám sát các tệp nhật ký (ví dụ: /var/log/auth.log) và chặn các địa chỉ IP độc hại sau nhiều lần thất bại lặp lại.

Làm cách nào để giữ cho hệ điều hành cơ sở luôn được vá lỗi?​

Glasswall cung cấp các image VM được cập nhật theo quý.

Để cập nhật trực tiếp từ các mirror của Red Hat:

subscription-manager register --username <your_username> --password <your_password> --auto-attach

Làm cách nào để cấu hình chứng chỉ SSL của tổ chức tôi và FQDN ưu tiên?​

Sao chép khóa riêng tư và chứng chỉ của miền vào VM rồi chạy bash configure_tls.sh trong VM.

Làm cách nào để bắt buộc chỉ sử dụng xác thực bằng chứng chỉ qua SSH?​

Cập nhật ~/.ssh/authorized_keys bằng khóa công khai của bạn trong VM - tắt xác thực bằng mật khẩu:

sudo sed -i "s/passwordauthentication yes/passwordauthentication no/g" /etc/ssh/sshd_config sudo service sshd restart

Tên người dùng và mật khẩu SSH mặc định có yêu cầu cập nhật ngay lập tức không?​

Có, việc cập nhật mật khẩu là bắt buộc. Sau khi bạn đăng nhập vào VM, bạn sẽ được nhắc cập nhật mật khẩu.

Đã áp dụng mức độ tăng cường bảo mật nào?​

• Biện pháp hardening STIG được áp dụng cho hệ điều hành cơ sở.
• Biện pháp hardening CIS được áp dụng cho RKE2 (cụm Kubernetes).
• Tất cả các container Glasswall đều sử dụng hardened container images.
• Tất cả phần mềm Glasswall đều được harden bằng các công cụ SAST, DAST, SCA.

Bạn có cung cấp hash để xác thực tính xác thực của VM image không?​

Có, Glasswall cung cấp giá trị hash MD5 được mã hóa base64 của tệp. Xác minh xem giá trị có khớp hay không bằng cách sử dụng lệnh sau, thay thế $ova_file_path bằng đường dẫn tệp OVA:

openssl dgst -md5 -binary < $ova_file_path | base64

Làm cách nào để bật giải pháp anti-virus trong VM?​

Không có giải pháp anti-virus nào được cài đặt trong VM image. Nếu cần, có thể cài đặt riêng một giải pháp anti-virus trong VM.

Giải pháp anti-virus có làm cản trở hoặc treo quy trình CDR không?​

Một giải pháp anti-virus có thể can thiệp vào quy trình CDR và do đó các thư mục trong VM nơi các tệp đang được xử lý cần được loại trừ khỏi quá trình quét anti-virus.

Có thư mục nào cần nằm ngoài phạm vi bảo vệ của anti-virus không?​

Có, /opt/local-path-provisioner cần được loại trừ khỏi quá trình quét anti-virus.

RKE2 có hỗ trợ mã hóa được xác thực theo FIPS 140-2 không?​

Có, hỗ trợ FIPS 140-2 được tích hợp vào RKE2 ở cấp độ nền tảng. Cụ thể, các chức năng được sử dụng trong RKE2 đáp ứng các yêu cầu bảo mật nghiêm ngặt được nêu trong tiêu chuẩn FIPS 140-2. Điều này bao gồm các thuật toán được sử dụng để mã hóa và giải mã, các phương pháp được sử dụng để tạo và quản lý khóa, cũng như các biện pháp bảo vệ được áp dụng để ngăn chặn truy cập hoặc sử dụng trái phép các mô-đun mật mã.

Có thể tìm thấy tài liệu bổ sung về việc kích hoạt FIPS 140-2 tại đây.

Giải pháp anti-virus có làm cản trở hoặc treo quy trình CDR không?​

Một giải pháp anti-virus có thể can thiệp vào quy trình CDR và do đó các thư mục trong VM nơi các tệp đang được xử lý cần được loại trừ khỏi quá trình quét anti-virus.

Cấu hình OS​

Cách cấu hình thông điệp biểu ngữ hệ thống khi tôi đăng nhập vào VM là gì?​

Thông điệp biểu ngữ có thể được tùy chỉnh bằng cách cập nhật tệp /etc/issue trong VM.

Những dịch vụ cấp độ OS nào đang chạy trên VM?​

Đây là danh sách các dịch vụ cấp độ OS đang chạy trên VM:

Hệ điều hành Red Hat đã trải qua quy trình tăng cường bảo mật STIG và mọi dịch vụ không cần thiết đã được gỡ bỏ, đồng thời không có dịch vụ không cần thiết nào được cài đặt.

Hệ điều hành cơ sở là gì và phiên bản nào?​

Có thể tìm thấy phiên bản hệ điều hành cơ sở trong ghi chú phát hành.

Kubernetes có chạy trong VM không?​

Có, cụm Kubernetes chạy với Single Node.

Đang chạy phiên bản Kubernetes nào?​

Có thể tìm thấy phiên bản Kubernetes trong ghi chú phát hành.

Giám sát​

Những thông báo lỗi nào chúng tôi nên chủ động giám sát?​

Có thể tìm thấy mã lỗi và API của Glasswall Halo qua tài liệu API của Glasswall.

Tình trạng của cụm Glasswall Halo có thể được giám sát bằng endpoint kiểm tra tình trạng API.

Hỗ trợ kiến trúc CPU​

Kiến trúc CPU nào được hỗ trợ?​

Hiện tại hỗ trợ bộ xử lý CPU x86-64. Hỗ trợ ARM sẽ có trong các bản phát hành sắp tới.

Quản lý xoay vòng log & lưu trữ​

Làm cách nào để chuyển tải/tổng hợp log đến vị trí mạng ưu tiên của tôi?​

VM đi kèm với syslog được cấu hình sẵn và có thể dùng để gửi log đến máy chủ syslog.

Lộ trình nâng cấp​

Điều gì xảy ra nếu tôi thay thế VM này bằng một image VM khác từ Glasswall, và lộ trình nâng cấp đầy đủ sẽ là gì để duy trì hoạt động liên tục?​

• Tạo một VM mới từ image mới của Glasswall theo các bước triển khai.
• Đảm bảo VM mới hoạt động như mong đợi.
• Chuyển bản ghi DNS từ địa chỉ IP cũ sang địa chỉ IP mới của VM.

Vá lỗi​

Làm cách nào để cập nhật phần mềm Kubernetes từ góc độ bảo mật?​

Các bản cập nhật phần mềm Kubernetes sẽ được thực hiện trong các image VM do Glasswall cung cấp. Tuy nhiên, bạn nên cập nhật cụm Kubernetes bất cứ khi nào có công bố khuyến cáo bảo mật.

Khi nâng cấp phiên bản Kubernetes của một cụm, chúng tôi khuyến nghị bạn:

• Chụp snapshot.
• Khởi tạo nâng cấp Kubernetes.
• Nếu quá trình nâng cấp thất bại, hãy hoàn nguyên cụm về phiên bản Kubernetes trước khi nâng cấp. Việc này được thực hiện bằng cách chọn tùy chọn khôi phục etcd và phiên bản Kubernetes. Thao tác này sẽ đưa cụm của bạn trở về phiên bản Kubernetes trước khi nâng cấp trước khi khôi phục snapshot etcd.
• Thao tác khôi phục sẽ hoạt động trên một cụm không ở trạng thái khỏe mạnh hoặc hoạt động.

Mạng​

Làm cách nào để quản lý cài đặt DNS / dải IP?​

Sử dụng tiện ích dòng lệnh nmcli hoặc tiện ích nmtui để cấu hình địa chỉ IP, gateway và máy chủ DNS.

DHCP có hoạt động trong VM không?​

Có, DHCP client đang hoạt động trong VM và có thể cấp phát địa chỉ IP khi được triển khai vào mạng có DHCP server.

Làm cách nào để SSH vào VM?​

Sau khi một địa chỉ IP được cấu hình cho VM, hãy SSH bằng tên người dùng và mật khẩu/private key do Glasswall chia sẻ.

Những địa chỉ IP hoặc URL internet nào cần được đưa vào allow list?​

Không có.

Những giao thức truyền thông nào được hỗ trợ với VM?​

Các endpoint HTTPS và HTTP được cung cấp trong VM.

Cấp phép​

Tôi có cần mua riêng gói đăng ký Red Hat cho thiết bị ảo Glasswall Halo của mình không?​

Có. Mặc dù các thiết bị ảo Glasswall Halo chạy trên Red Hat Enterprise Linux (RHEL), gói đăng ký RHEL không được bao gồm cùng với thiết bị. Khách hàng có trách nhiệm tự mua gói đăng ký RHEL hợp lệ trực tiếp từ Red Hat hoặc đối tác được ủy quyền để đảm bảo quyền truy cập vào các bản cập nhật hệ thống, bản vá bảo mật và hỗ trợ. Mỗi phiên bản triển khai phải được đăng ký với Red Hat Subscription Management (RHSM) bằng thông tin xác thực tài khoản Red Hat của riêng bạn. Nếu không có gói đăng ký hợp lệ, thiết bị của bạn có thể không nhận được các bản cập nhật quan trọng và sẽ không đủ điều kiện nhận hỗ trợ từ Red Hat.

Để biết thêm thông tin, hãy truy cập khuyến nghị cấp phép RHEL của chúng tôi.

Phần mềm Kubernetes có được Glasswall cấp phép không?​

Không cần mua giấy phép cho Kubernetes vì đây là phần mềm nguồn mở theo giấy phép Apache 2.0.

Các thành phần nguồn mở chính cấu thành nên giải pháp tổng thể là gì?​

RKE2 & RabbitMQ là các thành phần nguồn mở chính và bản danh mục đầy đủ các thành phần phần mềm (SBOM) có thể được cung cấp theo yêu cầu.

Các thành phần nguồn mở được cấp phép như thế nào?​

• Cụm Kubernetes RKE2 được cấp phép theo giấy phép Apache 2.0.
• Toán tử Kubernetes của cụm RabbitMQ được cấp phép theo Mozilla public license 2.0.
• Máy chủ RabbitMQ được cấp phép theo giấy phép Apache 2.0.
• Thông tin cấp phép bổ sung có thể được cung cấp thông qua bản danh mục thành phần phần mềm (SBOM) theo yêu cầu.