第 2 章为 Azure 上运行的工作负载部署红帽构建的信任者

为确保机密容器工作负载在不可信基础架构中运行的机密容器工作负载的机密性，您必须在可信环境中部署红帽构建的信任。

不要在云供应商上部署红帽构建的信任者。

您可以通过执行以下步骤部署红帽构建的 Trustee：

安装红帽构建的 Trustee Operator。
创建 HTTPS secret。
创建 attestation 令牌机密。
创建 kbs-config 配置映射。
创建 Reference Value Provider Service (RVPS)配置映射。最初，您可以为引用值创建一个空配置映射。您在创建 KBSConfig 自定义资源(CR)后更新这些值。
创建 attestation 策略配置映射。
重要
在生产环境中，您必须配置 initdata 来覆盖默认的 permissive Kata 代理策略。详情请查看 initdata。
满足最低要求，您必须禁用 ExecProcessRequest，以防止集群管理员通过在机密容器 pod 上运行 oc exec 命令来访问敏感数据。请参阅自定义 Kata 代理策略。
如果您的 TEE 是 Intel Trust Domain Extensions，请创建一个 TDX 配置映射。
可选：为自定义密钥客户端创建一个 secret。
可选：为容器镜像签名验证创建一个 secret。
创建容器镜像签名验证策略。如果您不希望使用容器镜像签名验证，您可以创建允许所有镜像的策略，而无需签名验证。对于生产环境工作负载，您必须使用签名验证来确保容器镜像不会被篡改。
创建资源策略配置映射。
创建 KBSConfig CR。
创建集群路由。
创建身份验证 secret。
使用引用值更新 RVPS 配置映射。
验证红帽构建的 Trustee 配置。

2.1. 先决条件
复制链接

您已在可信环境中安装了最新版本的 Red Hat OpenShift Container Platform。如需更多信息，请参阅在裸机上安装 OpenShift Container Platform。