Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

6.12. IBM Z または IBM& LinuxONE 環境での静的 IP を使用した NBDE の設定

IBM Z® または IBM® LinuxONE 環境で NBDE ディスク暗号化を有効にするには、追加の手順が必要です。このセクションで詳しく説明します。

前提条件

  • 外部 Tang サーバーをセットアップした。手順は、Network-Bound Disk Encryption を参照してください。
  • butane ユーティリティーをインストールした。
  • Butane でマシン設定を作成する手順を確認した。

手順

  1. コントロールプレーンとコンピュートノードの Butane 設定ファイルを作成します。

    次のコントロールプレーンノードの Butane 設定の例では、ディスク暗号化用に master-storage.bu という名前のファイルを作成します。 

    variant: openshift
version: 4.16.0
metadata:
  name: master-storage
  labels:
    machineconfiguration.openshift.io/role: master
storage:
  luks:
    - clevis:
        tang:
          - thumbprint: QcPr_NHFJammnRCA3fFMVdNBwjs
            url: http://clevis.example.com:7500
        options:
    1 
    
           - --cipher
           - aes-cbc-essiv:sha256
      device: /dev/disk/by-partlabel/root
    2 
    
      label: luks-root
      name: root
      wipe_volume: true
  filesystems:
    - device: /dev/mapper/root
      format: xfs
      label: root
      wipe_filesystem: true
openshift:
  fips: true
    3
    Copy to Clipboard Toggle word wrap
    1
    暗号オプションは、FIPS モードが有効な場合にのみ必要です。FIPS が無効になっている場合は、エントリーを省略します。
    2
    DASD タイプのディスクにインストールする場合は、device:/dev/disk/by-label/root に置き換えます。
    3
    FIPS モードを有効または無効にするかどうか。デフォルトでは、FIPS モードは有効にされません。FIPS モードが有効にされている場合、OpenShift Container Platform が実行される Red Hat Enterprise Linux CoreOS (RHCOS) マシンがデフォルトの Kubernetes 暗号スイートをバイパスし、代わりに RHCOS で提供される暗号モジュールを使用します。

  2. 次のコマンドを実行して、マシンを起動するためのカスタマイズされた initramfs ファイルを作成します。 

    $ coreos-installer pxe customize \
    /root/rhcos-bootfiles/rhcos-<release>-live-initramfs.s390x.img \
    --dest-device /dev/disk/by-id/scsi-<serial_number> --dest-karg-append \
    ip=<ip_address>::<gateway_ip>:<subnet_mask>::<network_device>:none \
    --dest-karg-append nameserver=<nameserver_ip> \
    --dest-karg-append rd.neednet=1 -o \
    /root/rhcos-bootfiles/<node_name>-initramfs.s390x.img
    Copy to Clipboard Toggle word wrap
    注記

    最初のブートの前に、クラスター内の各ノードの initramfs をカスタマイズし、PXE カーネルパラメーターを追加する必要があります。

  3. ignition.platform.id=metal および ignition.firstboot を含むパラメーターファイルを作成します。

    コントロールプレーンマシンのカーネルパラメーターファイルの例

    cio_ignore=all,!condev rd.neednet=1 \
console=ttysclp0 \
coreos.inst.install_dev=/dev/<block_device> \
    1 
    
ignition.firstboot ignition.platform.id=metal \
coreos.inst.ignition_url=http://<http_server>/master.ign \
    2 
    
coreos.live.rootfs_url=http://<http_server>/rhcos-<version>-live-rootfs.<architecture>.img \
    3 
    
ip=<ip>::<gateway>:<netmask>:<hostname>::none nameserver=<dns> \
rd.znet=qeth,0.0.bdd0,0.0.bdd1,0.0.bdd2,layer2=1 \
rd.zfcp=0.0.5677,0x600606680g7f0056,0x034F000000000000 \
    4 
    
zfcp.allow_lun_scan=0
    Copy to Clipboard Toggle word wrap

    1
    ブロックデバイスタイプを指定します。DASD タイプのディスクにインストールする場合は、/dev/dasda を指定します。FCP タイプのディスクにインストールする場合は、/dev/sda を指定します。
    2
    Ignition 設定ファイルの場所を指定します。master.ign または worker.ign を使用します。HTTP プロトコルおよび HTTPS プロトコルのみがサポートされます。
    3
    起動する kernelinitramfsrootfs アーティファクトの場所を指定します。HTTP プロトコルおよび HTTPS プロトコルのみがサポートされます。
    4
    DASD タイプのディスクにインストールする場合は、rd.dasd=0.0.xxxx に置き換えて DASD デバイスを指定します。
    注記

    パラメーターファイルのすべてのオプションを 1 行で記述し、改行文字がないことを確認します。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat