7.16. アテステーションプロセスの確認

手順

1. verification-pod.yaml マニフェストファイルを作成します。

   apiVersion: v1
   kind: Pod
   metadata:
     name: ocp-cc-pod
     labels:
       app: ocp-cc-pod
     annotations:
       io.katacontainers.config.agent.policy: <base64_encoded_policy> 

   1

   
       io.katacontainers.config.runtime.cc_init_data: <base64_initdata> 

   2

   
   spec:
     runtimeClassName: kata-remote
     containers:
       - name: skr-openshift
         image: registry.access.redhat.com/ubi9/ubi:9.3
         command:
           - sleep
           - "36000"
         securityContext:
           privileged: false
           seccompProfile:
             type: RuntimeDefault

   1

   この Pod アノテーションは、機密データが標準 I/O に書き込まれないようにするデフォルトのエージェントポリシーをオーバーライドします。

   2

   この Pod アノテーションは、ピア Podconfig map でグローバルに設定された initdata.toml ファイルの Base64 エンコード文字列をオーバーライドします。

   エージェントポリシーで io.katacontainers.config.agent.policy アノテーションと io.katacontainers.config.runtime.cc_init_data アノテーションの両方を指定すると、initdata のアノテーションはエージェントポリシーのアノテーションよりも優先されます。

2. 以下のコマンドを実行して Pod を作成します。

   $ oc create -f verification-pod.yaml

3. 次のコマンドを実行して、ocp-cc-pod の Bash シェルに接続します。

   $ oc exec -it ocp-cc-pod -- bash

4. 次のコマンドを実行して Pod シークレットを取得します。

   $ curl http://127.0.0.1:8006/cdh/resource/default/kbsres1/key1

   出力例

   res1val1

   Trustee サーバーは、証明書が成功した場合にのみシークレットを返します。