注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router.openshift.io/r ate-limit- connections.concurrent-tcp 限制通过同一源 IP 地址进行的并 发 TCP 连接数。它接受一个数字 值。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 第 第 15 章 章 配置路由 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router.openshift.io/r ate-limit-connections.rate- tcp 限制具有相同源 IP 地址的客户端 可以进行 TCP 连接的速率。它接 受一个数字值。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router

防止分布式拒绝服务 (DDoS) 攻 击。 第 第 17 章 章 配置路由 配置路由 297 haproxy.router.openshift.io/r ate-limit- connections.concurrent-tcp 限制通过同一源 IP 地址进行的并 发 TCP 连接数。它接受一个数字 值。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router.openshift.io/r ate-limit-connections.rate- tcp 限制具有相同源 IP 地址的客户端 可以进行 TCP 连接的速率。它接 受一个数字值。 注：使用此注解可提供基本保护， 防止分布式拒绝服务 (DDoS) 攻 击。 haproxy.router

Elasticsearch 的集群中，Fluentd 可以进行扩展。(BZ#1849188) 因为在 iframe 中打开 Kibana 的功能没有被拒绝，所以它使 Kibana 打开可能受到攻击，如 clickjacking 攻击。现在，代码已被修改，它会明确设置 x-frame-options:deny，这可以阻断对 iframes 的使用。(BZ#1832783) Machine Config Operator 中不被视为回归。(BZ#1888024) 在 OpenShift Container Platform 4.1 中，匿名用户可以访问发现端点。之后的版本会取消对这端 点的访问，以减少可能的安全漏洞攻击面。一些发现端点被转发到聚合的 API 服务器。但是，升 级的集群中会保留未经身份验证的访问，因此现有用例不会中断。 如果您是一个从 OpenShift Container Platform 4.1 SYS_CHROOT 功能在默认 CRI-O 功能列表中不再可用。 NET_RAW：如果没有保护，此功能可让 Pod 生成可以更改标头字段（如低端口、源 IP 地址 和源 MAC 地址）的数据包。这个功能可能会被恶意攻击者利用。 SYS_CHROOT：一般工作负载不需要 chroot。只有在需要时才应允许对特权操作的访问。 controller.go:114] loading OpenAPI spec for "v1beta1

命令访问本地主机上运行的 容器。另外，也可使用 oc exec 命令或 oc rsh 命令访问 OpenShift Container Platform 集群上运行的容 器。在镜像中安装并运行 sshd 会为安全攻击打开额外通道，因而需要安装安全补丁。 对 对持久性数据使用卷 持久性数据使用卷 镜像应对持久性数据使用卷。这样，OpenShift Container Platform 便可将网络存储挂载至运行容器的节 如果您在 containerRuntimeSearchRegistries 参数下列出公共 registry，您的凭证 会暴露在列表中的所有 registry 中，从而会使网络和 registry 受到攻击。 如果每个公共 registry 需要不同的凭证，且集群不会在全局 pull secret 中列出公共 registry，则无法在 containerRuntimeSearchRegistries

命令访问本地主机上运行的 容器。另外，也可使用 oc exec 命令或 oc rsh 命令访问 OpenShift Container Platform 集群上运行的容 器。在镜像中安装并运行 sshd 会为安全攻击打开额外通道，因而需要安装安全补丁。 对持久性数据使用卷 镜像应对持久性数据使用卷。这样，OpenShift Container Platform 便可将网络存储挂载至运行容器的节 点，如果容器移 如果您在 containerRuntimeSearchRegistries 参数下列出公共 registry，您的凭证 会暴露在列表中的所有 registry 中，从而会使网络和 registry 受到攻击。您应该始终 将完全限定的镜像名称与公共 registry 搭配使用。 Machine Config Operator（MCO）会监控 image.config.openshift.io/cluster

OpenShift Container Platform）所需的 功能，CRI-O 可以提供与不同 Kubernetes 版本兼容的特定功能。与提供更大功能集的容器引擎相 比，CRI-O 对内存的要求更低，且对安全的攻击面更小。目前，CRI-O 仅可用作 OpenShift Container Platform 集群中的容器引擎。 对于诸如构建、复制和以其他方式管理容器的任务，RHCOS 用一组兼容的容器工具来代替

端点前面放置身份验证代理，它会向未经身份验证的非浏 览器用户代理发送 WWW-Authenticate 质询，而不显示交互式登录页面或重定向到交互式登录流程。 注意 注意 为防止浏览器客户端遭受跨站请求伪造 (CSRF) 攻击，当请求中存在 X-CSRF-Token 标头 时，仅发送基本身份验证质询。希望接收基本 WWW-Authenticate 质询的客户端必须将 此标头设置为非空值。 如果身份验证代理不支持 WWW-Authenticate Container Platform 4.13 认证 认证和授 和授权 权 40 1 重要 重要 基本身份验证必须使用 HTTPS 连接到远程服务器，以防止遭受用户 ID 和密码嗅探以及中 间人攻击。 配置了基本身份验证后，用户将其用户名和密码发送到 OpenShift Container Platform，然后通过提出服 务器对服务器请求并将凭证作为基本身份验证标头来传递，针对远程服务器验证这些凭证。这要求用户在

OpenShift Container Platform）所需的功能，CRI-O 可以提供与不同 Kubernetes 版本兼容的 特定功能。与提供更大功能集的容器引擎相比，CRI-O 对内存的要求更低，且对安全的攻击面更 小。目前，CRI-O 仅可用作 OpenShift Container Platform 集群中的容器引擎。 容器工具程序 容器工具程序组 组：对于诸如构建、复制和以其他方式管理容器的任务，RHCOS

OpenShift Container Platform）所需的功能，CRI-O 可以提供与不同 Kubernetes 版本兼容的 特定功能。与提供更大功能集的容器引擎相比，CRI-O 对内存的要求更低，且对安全的攻击面更 小。目前，CRI-O 是 OpenShift Container Platform 集群中唯一可用的引擎。 容器工具程序 容器工具程序组 组：对于诸如构建、复制和以其他方式管理容器的任务，RHCOS

OpenShift Container Platform）所需的功能，CRI-O 可以提供与不同 Kubernetes 版本兼容的 特定功能。与提供更大功能集的容器引擎相比，CRI-O 对内存的要求更低，且对安全的攻击面更 小。目前，CRI-O 是 OpenShift Container Platform 集群中唯一可用的引擎。 容器工具程序 容器工具程序组 组：对于诸如构建、复制和以其他方式管理容器的任务，RHCOS