5.2. Tang 暗号化を有効にする

手順

1. Tang サーバーを設定するか、既存のサーバーにアクセスします。手順については、NBDE (Network-Bound Disk Encryption) を参照してください。複数の Tang サーバーを設定できますが、Assisted Installer はインストール中にすべてのサーバーに接続できる必要があります。

2. Tang サーバーで、tang-show-keys を使用して Tang サーバーのサムプリントを取得します。

   $ tang-show-keys <port>

   オプション: <port> ポート番号に置き換えます。デフォルトのポート番号は 80 です。

   サムプリントの例

   1gYTN_LpU9ZMB35yn5IbADY5OQ0

3. オプション: jose を使用して Tang サーバーのサムプリントを取得します。

   1. jose が Tang サーバーにインストールされていることを確認します。

      $ sudo dnf install jose

   2. Tang サーバーで、jose を使用してサムプリントを取得します。

      $ sudo jose jwk thp -i /var/db/tang/<public_key>.jwk

      <public_key> を Tang サーバーの公開交換キーに置き換えます。

      サムプリントの例

      1gYTN_LpU9ZMB35yn5IbADY5OQ0

4. オプション: ユーザーインターフェイスウィザードの クラスターの詳細 ステップで、コントロールプレーンノード、ワーカー、またはその両方で Tang 暗号化を有効にすることを選択します。Tang サーバーの URL と拇印を入力する必要があります。

5. オプション: API を使用して、ホストの変更手順に従います。

   1. API トークンを更新します。

      $ source refresh-token

   2. disk_encryption.enable_on 設定を all、masters、または worker に設定します。disk_encryption.mode 設定を tang に設定します。disk_encyrption.tang_servers を設定して、1 つ以上の Tang サーバーに関する URL と拇印の詳細を提供します。

      $ curl https://api.openshift.com/api/assisted-install/v2/clusters/${CLUSTER_ID} \
      -X PATCH \
      -H "Authorization: Bearer ${API_TOKEN}" \
      -H "Content-Type: application/json" \
      -d '
      {
        "disk_encryption": {
          "enable_on": "all",
          "mode": "tang",
          "tang_servers": "[{\"url\":\"http://tang.example.com:7500\",\"thumbprint\":\"PLjNyRdGw03zlRoGjQYMahSZGu9\"},{\"url\":\"http://tang2.example.com:7500\",\"thumbprint\":\"XYjNyRdGw03zlRoGjQYMahSZGu3\"}]"
        }
      }
      ' | jq

      enable_on の有効な設定は、all、master、worker、または none です。tang_servers 値内で、オブジェクト内の引用符をコメントアウトします。