2.2. 永続ボリュームの暗号化のためのストレージクラス

1. OpenShift Container Platform Web コンソールで、Workloads Secrets に移動します。
2. Create Key/value secret をクリックします。
3. Secret Name に ceph-csi-kms-token と入力します。
4. Key に token と入力します。

5. Value を入力します。

   これは Vault のトークンです。Browse をクリックしてトークンが含まれるファイルを選択し、アップロードするか、テキストボックスにトークンを直接入力します。

6. Create をクリックします。

前提条件

1. KMIP クライアントが存在しない場合は作成します。ユーザーインターフェイスから、KMIP Client Profile Add Profile を選択します。

   1. プロファイルの作成中に、CipherTrust のユーザー名を Common Name フィールドに追加します。
2. KMIP Registration Token New Registration Token に移動してトークンを作成します。次のステップのためにトークンをコピーしておきます。
3. クライアントを登録するために、KMIP Registered Clients Add Client に移動します。Name を指定します。前のステップの Registration Token を貼り付けて、Save をクリックします。
4. Save Private Key と Save Certificate をクリックして、それぞれ秘密鍵とクライアント証明書をダウンロードします。

5. 新しい KMIP インターフェイスを作成するために、Admin Settings Interfaces Add Interface に移動します。

   1. KMIP Key Management Interoperability Protocol を選択し、Next をクリックします。
   2. 空いている Port を選択します。
   3. Network Interface は all を選択します。
   4. Interface Mode は TLS, verify client cert, user name taken from client cert, auth request is optional を選択します。
   5. (オプション) 物理削除を有効にして、鍵が削除されたときにメタデータとマテリアルの両方を削除できます。これはデフォルトでは無効になっています。
   6. 使用する CA を選択し、Save をクリックします。
6. サーバー CA 証明書を取得するために、新しく作成されたインターフェイスの右側にあるアクションメニュー (⋮) をクリックし、Download Certificate をクリックします。

手順

1. storageclass 暗号化のキー暗号化キー (KEK) として機能するキーを作成するには、次の手順に従います。

   1. Keys Add Key に移動します。
   2. Key Name を入力します。
   3. Algorithm と Size をそれぞれ AES と 256 に設定します。
   4. Create a key in Pre-Active state を有効にして、アクティベーションの日時を設定します。
   5. Key Usage で Encrypt と Decrypt が有効になっていることを確認します。
   6. 新しく作成した鍵の ID をコピーして、デプロイメント中に一意の識別子として使用します。

1. 以下の YAML を Openshift クラスターに適用します。

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     name: rbd-csi-vault-token-review
   ---
   kind: ClusterRole
   apiVersion: rbac.authorization.k8s.io/v1
   metadata:
     name: rbd-csi-vault-token-review
   rules:
     - apiGroups: ["authentication.k8s.io"]
       resources: ["tokenreviews"]
       verbs: ["create", "get", "list"]
   
   ---
   kind: ClusterRoleBinding
   apiVersion: rbac.authorization.k8s.io/v1
   metadata:
     name: rbd-csi-vault-token-review
   subjects:
     - kind: ServiceAccount
       name: rbd-csi-vault-token-review
       namespace: openshift-storage
   roleRef:
     kind: ClusterRole
     name: rbd-csi-vault-token-review
     apiGroup: rbac.authorization.k8s.io

2. serviceaccount トークンおよび CA 証明書のシークレットを作成します。

   $ cat <<EOF | oc create -f -
   apiVersion: v1
   kind: Secret
   metadata:
     name: rbd-csi-vault-token-review-token
     namespace: openshift-storage
     annotations:
       kubernetes.io/service-account.name: "rbd-csi-vault-token-review"
   type: kubernetes.io/service-account-token
   data: {}
   EOF

3. シークレットからトークンと CA 証明書を取得します。

   $ SA_JWT_TOKEN=$(oc -n openshift-storage get secret rbd-csi-vault-token-review-token -o jsonpath="{.data['token']}" | base64 --decode; echo)
   $ SA_CA_CRT=$(oc -n openshift-storage get secret rbd-csi-vault-token-review-token -o jsonpath="{.data['ca\.crt']}" | base64 --decode; echo)

4. OpenShift クラスターエンドポイントを取得します。

   $ OCP_HOST=$(oc config view --minify --flatten -o jsonpath="{.clusters[0].cluster.server}")

5. 前の手順で収集した情報を使用して、以下のように Vault で Kubernetes 認証方法を設定します。

   $ vault auth enable kubernetes
   $ vault write auth/kubernetes/config \
             token_reviewer_jwt="$SA_JWT_TOKEN" \
             kubernetes_host="$OCP_HOST" \
             kubernetes_ca_cert="$SA_CA_CRT"

6. テナント namespace の Vault にロールを作成します。

   $ vault write "auth/kubernetes/role/csi-kubernetes" bound_service_account_names="ceph-csi-vault-sa" bound_service_account_namespaces=<tenant_namespace> policies=<policy_name_in_vault>

   csi-kubernetes は、OpenShift Data Foundation が Vault を検索するデフォルトのロール名です。OpenShift Data Foundation クラスターのテナント namespace 内のデフォルトサービスアカウント名は、ceph-csi-vault-sa です。これらのデフォルト値は、テナント namespace に ConfigMap を作成して上書きできます。

   デフォルト名の上書きに関する詳細は、Overriding Vault connection details using tenant ConfigMap を参照してください。