第4章 IBM Cloud におけるユーザー管理の暗号化
デフォルトでは、OpenShift Container Platform クラスターのデプロイ時に以下を保護するために、プロバイダー管理の暗号化が使用されます。
- コントロールプレーンおよびコンピュートマシンのルート (ブート) ボリューム
- クラスターのデプロイ後にプロビジョニングされる永続ボリューム (データボリューム)
インストールプロセス中に IBM® Key Protect for IBM Cloud® (Key Protect) のルート鍵を指定することで、デフォルトの動作をオーバーライドできます。
独自のルート鍵を配置する場合、encryptionKey
パラメーターを使用してルート鍵の Cloud Resource Name (CRN) を指定するために、インストール設定ファイル (install-config.yaml
) を変更します。
以下を指定できます。
すべてのクラスターマシンに同じルート鍵を使用します。そのためには、鍵をクラスターのデフォルトのマシン設定の一部として指定します。
デフォルトのマシン設定の一部として指定されると、すべてのマネージドストレージクラスがこの鍵で更新されます。そのため、インストール後にプロビジョニングされるデータボリュームもこの鍵を使用して暗号化されます。
- コントロールプレーンとコンピュートマシンプールには別のルート鍵を使用します。
encryptionKey
パラメーターの詳細は、追加の IBM Cloud 設定パラメーター を参照してください。
Key Protect が IBM Cloud Block Storage サービスと統合されていることを確認してください。詳細は、Key Protect の ドキュメント を参照してください。
4.1. 次のステップ
OpenShift Container Platform クラスターをインストールします。