5.10. KbsConfig カスタムリソースの作成

手順

1. kbsconfig-cr.yaml マニフェストファイルを作成します。

   apiVersion: confidentialcontainers.org/v1alpha1
   kind: KbsConfig
   metadata:
     labels:
       app.kubernetes.io/name: kbsconfig
       app.kubernetes.io/instance: kbsconfig
       app.kubernetes.io/part-of: trustee-operator
       app.kubernetes.io/managed-by: kustomize
       app.kubernetes.io/created-by: trustee-operator
     name: kbsconfig
     namespace: trustee-operator-system
   spec:
     kbsConfigMapName: kbs-config-cm
     kbsAuthSecretName: kbs-auth-public-key
     kbsDeploymentType: AllInOneDeployment
     kbsRvpsRefValuesConfigMapName: rvps-reference-values
     kbsSecretResources: ["kbsres1", "security-policy", "<type>"] 

   1

   
     kbsResourcePolicyConfigMapName: resource-policy
   # tdxConfigSpec:
   #   kbsTdxConfigMapName: tdx-config 

   2

   
   # kbsAttestationPolicyConfigMapName: attestation-policy 

   3

   
   # kbsServiceType: <service_type> 

   4

   Copy to Clipboard Toggle word wrap

   1

   オプション: シークレットを作成した場合は、コンテナーイメージ署名検証シークレットの type 値 (例: img-sig) を指定します。シークレットを作成していない場合は、kbsSecretResources の値を ["kbsres1", "security-policy"] に設定します。

   2

   Intel Trust Domain Extensions の tdxConfigSpec.kbsTdxConfigMapName: tdx-config をアンコメントします。

   3

   カスタマイズされたアテステーションポリシーを作成する場合は、kbsAttestationPolicyConfigMapName: アテステーション -policy のコメントを解除します。

   4

   デフォルトの ClusterIP サービス以外のサービスタイプを作成して、クラスターの外部トラフィック内のアプリケーションを公開する場合は、kbsServiceType: <service_type> をアンコメントします。NodePort、LoadBalancer、または ExternalName を指定できます。

2. 以下のコマンドを実行して KbsConfig CR を作成します。

   $ oc apply -f kbsconfig-cr.yaml

   Copy to Clipboard Toggle word wrap