Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第8章 IBM Z および IBM LinuxONE への Confidential Containers のデプロイ

OpenShift sandboxed containers をデプロイした後、IBM Z® および IBM® LinuxONE に Confidential Containers をデプロイできます。

重要

IBM Z® および IBM® LinuxONE の Confidential Containers は、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

クラスターの要件

  • Confidential compute attestation Operator をインストールするクラスターに Red Hat OpenShift Container Platform 4.15 以降がインストールされている。

LPAR の要件

  • LinuxONE Emperor 4 がある。
  • 論理パーティション (LPAR) で Secure Unpack Facility を有効化している。これは、IBM Secure Execution に必要です。詳細は、Enabling the KVM host for IBM Secure Execution を参照してください。

次の手順を実行して、Confidential Containers をデプロイします。

  1. Confidential compute attestation Operator をインストールします。
  2. Trustee のルートを作成します。
  3. Confidential Containers フィーチャーゲートを有効にします。
  4. initdata を作成します。
  5. ピア Pod config map を更新します。
  6. オプション: Kata エージェントポリシーをカスタマイズします。
  7. KataConfig カスタムリソース (CR) を削除します。
  8. ピア Pod のシークレットを更新します。
  9. オプション: カスタムピア Pod 仮想マシンイメージを選択します。
  10. KataConfig CR を再作成します。
  11. Trustee 認証シークレットを作成します。
  12. Trustee config map を作成します。
  13. IBM Secure Execution (SE) ヘッダーを取得します。
  14. SE 証明書とキーを設定します。
  15. 永続ストレージコンポーネントを作成します。
  16. Trustee の値、ポリシー、およびシークレットを設定します。
  17. KbsConfig CR を作成します。
  18. Trustee の設定を確認します。
  19. アテステーションプロセスを確認します。

8.1. Confidential compute attestation Operator のインストール

CLI を使用して、IBM Z® および IBM® LinuxONE に Confidential compute attestation Operator をインストールできます。

前提条件

  • OpenShift CLI (oc) がインストールされている。
  • cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。

手順

  1. trustee-namespace.yaml マニフェストファイルを作成します。 

    apiVersion: v1
kind: Namespace
metadata:
  name: trustee-operator-system

  2. 次のコマンドを実行して、trustee-operator-system namespace を作成します。 

    $ oc apply -f trustee-namespace.yaml

  3. trustee-operatorgroup.yaml マニフェストファイルを作成します。 

    apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: trustee-operator-group
  namespace: trustee-operator-system
spec:
  targetNamespaces:
  - trustee-operator-system

  4. 以下のコマンドを実行して Operator グループを作成します。 

    $ oc apply -f trustee-operatorgroup.yaml

  5. trustee-subscription.yaml マニフェストファイルを作成します。 

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: trustee-operator-system
  namespace: trustee-operator-system
spec:
  channel: stable
  installPlanApproval: Automatic
  name: trustee-operator
  source: trustee-operator-catalog
  sourceNamespace: openshift-marketplace

  6. 次のコマンドを実行して、サブスクリプションを作成します。 

    $ oc apply -f trustee-subscription.yaml

  7. 次のコマンドを実行して、Operator が正常にインストールされていることを確認します。 

    $ oc get csv -n trustee-operator-system

    このコマンドが完了するまでに数分かかる場合があります。

  8. 次のコマンドを実行してプロセスを監視します。 

    $ watch oc get csv -n trustee-operator-system

    出力例

    NAME                      DISPLAY                        PHASE
trustee-operator.v0.3.0   Trustee Operator  0.3.0        Succeeded

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.