5.2. 永続ボリュームの暗号化のためのストレージクラスの作成
永続ボリューム (PV) 暗号化は、テナント (アプリケーション) の分離および機密性を保証します。PV 暗号化を使用する前に、PV 暗号化のストレージクラスを作成する必要があります。
OpenShift Data Foundation は、HashiCorp Vault での暗号化パスフレーズの保存をサポートします。以下の手順を使用して、永続ボリュームの暗号化用に外部の鍵管理システム (KMS) を使用して暗号化対応のストレージクラスを作成します。永続ボリュームの暗号化は RBD PV の場合にのみ利用できます。KMS へのアクセスを設定するには、以下の 2 つの方法があります。
-
vaulttokens
の使用: ユーザーはトークンを使用して認証できるようにします。 -
vaulttenantsa
(テクノロジープレビュー): ユーザーは serviceaccount を使用して Vault で認証できるようにします。
vaulttenantsa
を使用した KMS へのアクセスはテクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は実稼働環境でこれらを使用することを推奨していません。これらの機能は、近々発表予定の製品機能をリリースに先駆けてご提供することにより、お客様は機能性をテストし、開発プロセス中にフィードバックをお寄せいただくことができます。
詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
ストレージクラスの作成手順を実行する前に、ユースケースに関連する前提条件のセクションを参照してください。
5.2.1. vaulttokens
を使用するための前提条件
-
OpenShift Data Foundation クラスターは
Ready
状態である。 外部の鍵管理システム (KMS) で、以下を実行します。
- トークンのあるポリシーが存在し、Vault のキー値のバックエンドパスが有効にされていることを確認します。詳細は、Enabling key value and policy in Vaultを参照してください。
- Vault サーバーで署名済みの証明書を使用していることを確認します。
以下のようにテナントの namespace にシークレットを作成します。
-
OpenShift Container Platform Web コンソールで、Workloads
Secrets に移動します。 -
Create
Key/value secret をクリックします。 -
Secret Name を
ceph-csi-kms-token
として入力します。 -
Key を
token
として入力します。 - Value を入力します。これは Vault のトークンです。Browse をクリックしてトークンが含まれるファイルを選択し、アップロードするか、またはテキストボックスにトークンを直接入力します。
- Create をクリックします。
-
OpenShift Container Platform Web コンソールで、Workloads
トークンは、ceph-csi-kms-token
を使用するすべての暗号化された PVC が削除された後にのみ削除できます。
次に、「PV 暗号化のストレージクラスを作成する手順」 に記載の手順を実行します。