本页面仅适用于 Azure AKS 部署。FIPS 合规性配置不适用于基于虚拟机的部署。
| 组件 | 标准部署 | 启用 FIPS 的部署 |
|---|
| Redis 版本 | 6.2 或更高 | 仅限 6.2 到 7.0.7 |
| 文件共享类型 | SMB | NFS |
| AKS 节点池 | 标准 | 启用 FIPS |
| 存储访问 | 公共或专用 | 仅限虚拟网络(适用于 NFS) |
为满足 FIPS 合规性要求,Redis 必须使用 6.2 至 7.0.7 版本(不得高于 7.0.7)。7.0.8 及更高版本不支持用于 FIPS 部署。
- NFS 共享的存储帐户配置可以允许从公共 IP 地址进行访问
- 但是,您无法从公共 IP 地址挂载 NFS 共享
- 您只能从存储帐户信任的虚拟网络中的计算机连接到 NFS 共享
在为符合 FIPS 要求的部署创建 Azure 基础架构时,请在 ARM 模板的部署中添加 enableFIPS=true 参数。
az deployment group create --name aks-cluster \
--resource-group <resource_group_name> \
--template-file files/infrastructure/azure/arms/Cluster.Manual.json \
--parameters kubernetesClusterName=<cluster_name> \
--parameters enableFIPS=true
# Get the principal ID of the AKS cluster
export principalId=$(az aks show --name <cluster_name> -g <resource_group_name> \
-o tsv --query identity.principalId)
# Get the subnet scope
export scope=$(az aks show --name <cluster_name> -g <resource_group_name> \
-o tsv --query agentPoolProfiles[*].vnetSubnetId | uniq)
# 为集群创建角色分配以访问存储
az role assignment create --role "Contributor" \
--assignee-principal-type ServicePrincipal \
--assignee-object-id $principalId \
--scope $scope
az deployment group create --name storage \
--resource-group <resource_group_name> \
--template-file files/infrastructure/azure/arms/StorageAccounts.Template.json \
--parameters kubernetesClusterName=<cluster_name> \
--parameters enableFIPS=true
k8s_fips_enabled 后面紧接着添加 s3endpointSuffix Parameter:
k8s_fips_enabled: true
s3endpointSuffix: core.usgovcloudapi.net
仅在部署到 Azure 政府云时才添加 s3endpointSuffix。对于标准的 Azure 商业云部署,请不要包含此参数。
env: vantage
poc: false
domain: yourdomain.gov
product_host: "vantage.{{ domain }}"
loadbalancer:
external_ip: X.X.X.X
container_registry_host: "registry.yourdomain.gov"
container_registry_user: "service"
container_registry_password: "password"
container_registry_name: "{{ container_registry_host }}/vantage"
techcore:
use_gpu_workers: false
use_nn_extraction_training_workers: false
logging:
enabled: true
elasticsearch:
enabled: false
file:
enabled: true
platform_admin_email: admin@yourdomain.gov
smtp:
host: X.X.X.X
login: null
password: ""
port: 587
useSSL: false
mailFrom: noreply@yourdomain.gov
database:
type: sqlserver
host: X.X.X.X
username: login
password: password
encrypt: true # Recommended for FIPS
s3storage:
skills:
accessKey: skills_storage_account_name
secretKey: skills_storage_account_key
processing:
accessKey: processing_storage_account_name
secretKey: processing_storage_account_key
temporary:
accessKey: temporary_storage_account_name
secretKey: temporary_storage_account_key
sharedfolder:
accessKey: sharedfolder_storage_account_name
secretKey: sharedfolder_storage_account_key
resourcegroup: your_resource_group
archive:
accessKey: archive_storage_account_name
secretKey: archive_storage_account_key
# Redis 集群 - FIPS 要求版本为 6.2 至 7.0.7
redis:
ips: ['172.16.10.101', '172.16.10.102', '172.16.10.103', '172.16.10.104', '172.16.10.105', '172.16.10.106']
port: 6379
password: redispassword
ssl: true # Recommended for FIPS
reporting:
enabled: false
id_reading:
enabled: false
# FIPS Configuration
k8s_fips_enabled: true
# Uncomment for Azure Government Cloud only:
# s3endpointSuffix: core.usgovcloudapi.net
# 获取节点信息
kubectl get nodes -o wide
# 检查节点上的 FIPS 状态(首先连接到节点)
cat /proc/sys/crypto/fips_enabled
# 输出: 1 (FIPS 已启用) 或 0 (FIPS 已禁用)
