本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的基礎設施安全 ROSA
<a name="infrastructure-security"></a>

作為受管服務， Red Hat OpenShift Service on AWS 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊，請參閱[AWS 雲端安全](https://aws.amazon.com/security)。若要使用基礎設施安全最佳實務來設計您的 AWS 環境，請參閱安全支柱中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)：Well-Architected Framework。 * AWS *

您可以使用 AWS 發佈的 API 呼叫， ROSA 透過 AWS 網路存取 。使用者端必須支援下列專案：
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件，例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外，請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者，您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/) (AWS STS) 來產生暫時安全憑證來簽署請求。

## 叢集網路隔離
<a name="infrastructure-security-cluster-network"></a>

Red Hat 網站可靠性工程師 (SREs) 負責叢集和基礎應用程式平台的持續管理和網路安全。如需 之 Red Hat 責任的詳細資訊 ROSA，請參閱 [的責任概觀 ROSA](rosa-responsibilities.md)。

當您建立新的叢集時， ROSA 會提供建立公有 Kubernetes API 伺服器端點和應用程式路由或私有 Kubernetes API 端點和應用程式路由的選項。此連線用於與您的叢集通訊 （使用 OpenShift 管理工具，例如 ROSA CLI 和 OpenShift CLI)。私有連線可讓節點與 API 伺服器之間的所有通訊保持在 VPC 內。如果您啟用 API 伺服器和應用程式路由的私有存取，您必須使用現有的 VPC 和 AWS PrivateLink ，將 VPC 連線至 OpenShift 後端服務。

Kubernetes API 伺服器存取是使用 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制 (RBAC) 的組合進行保護。如需 Kubernetes RBAC 的詳細資訊，請參閱 Kubernetes 文件中的[使用 RBAC 授權](https://kubernetes.io/docs/reference/access-authn-authz/rbac/)。

 ROSA 可讓您使用多種類型的 TLS 終止來建立安全應用程式路由，以將憑證提供給用戶端。如需詳細資訊，請參閱 Red Hat 文件中的[安全路由](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-routes#configuring-default-certificate)。

如果您在現有的 VPC 中建立 ROSA 叢集，您可以指定叢集要使用的 VPC 子網路和可用區域。您也可以定義叢集網路要使用的 CIDR 範圍，並將這些 CIDR 範圍與 VPC 子網路配對。如需詳細資訊，請參閱 Red Hat 文件中的 [CIDR 範圍定義](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/cidr-range-definitions)。

對於使用公有 API 端點的叢集， ROSA 需要您的 VPC 針對您要部署叢集的每個可用區域設定公有和私有子網路。對於使用私有 API 端點的叢集，只需要私有子網路。

如果您使用的是現有的 VPC，您可以將 ROSA 叢集設定為在叢集建立期間或之後使用 HTTP 或 HTTPS 代理伺服器來加密叢集 Web 流量，為您的資料新增另一層安全性。當您啟用代理時，會拒絕核心叢集元件直接存取網際網路。代理不會拒絕使用者工作負載的網際網路存取。如需詳細資訊，請參閱 Red Hat 文件中的[設定整個叢集的代理](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-a-cluster-wide-proxy)。

## Pod 網路隔離
<a name="infrastructure-security-pod-network"></a>

如果您是叢集管理員，您可以在 Pod 層級定義網路政策，將流量限制為 ROSA 叢集中的 Pod。