Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.16. NBDE を使用してクラウド環境用の自動登録可能な仮想マシンイメージをビルドする

自動登録可能な暗号化イメージをクラウド環境にデプロイすると、特有の課題が発生する可能性があります。他の仮想化環境と同様に、LUKS マスター鍵の共有を避けるために、1 つのイメージから起動するインスタンスの数を減らしてください。

ベストプラクティスは、いかなるパブリックリポジトリーでも共有せず、限られた数のインスタンスをデプロイするための基盤となるようなカスタムのイメージを作成することです。作成するインスタンスの数は、デプロイメントのセキュリティーポリシーで定義する必要があります。また、LUKS マスター鍵の攻撃ベクトルに関連するリスク許容度に基づいて決定する必要があります。

LUKS に対応する自動デプロイメントを構築するには、Lorax、virt-install などのシステムとキックスタートファイルを一緒に使用し、イメージ構築プロセス中にマスター鍵の一意性を確保する必要があります。

クラウド環境では、以下に示す 2 つの Tang サーバーのデプロイ方法を使用できます。

  • Tang サーバーは、クラウド環境自体内にデプロイできます。Tang をクラウドにネイティブにデプロイすると、簡単にデプロイできます。しかし、Tang サーバーは他のシステムの暗号文のデータ永続化層とインフラストラクチャーを共有しているため、Tang サーバーの秘密鍵と Clevis メタデータの両方が、同じ物理ディスクに保存される可能性があります。この物理ディスクへのアクセスが可能になれば、暗号文データへの完全な侵害を許すことになります。
  • Tang サーバーは、2 つのインフラストラクチャー間を VPN リンクで接続した状態で、クラウド外部にある独立したインフラストラクチャーにデプロイすることもできます。
重要

データを保存する場所と Tang を実行するシステムを、常に物理的に分離してください。クラウドと Tang サーバーを分離することで、Tang サーバーの秘密鍵が、Clevis メタデータと誤って結合することがないようにします。さらに、これにより、クラウドインフラストラクチャーが危険にさらされている場合に、Tang サーバーのローカル制御を提供します。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る