11.3.2. イメージの署名の確認
イメージの署名に関連する特定の機能が OpenStack で利用可能になりました。Red Hat OpenStack Platform 13 の時点で、Image サービスはこれらの署名済みイメージを検証して、完全な信頼チェーンを提供するために、Compute サービスにはイメージ署名の検証をイメージブートの前に実施するオプションがあります。イメージブート前の署名の検証に成功すると、署名済みイメージが変更されていないことを確認します。この機能を有効にすると、マルウェアやルートキットを含むようにイメージを変更するなど、権限のないイメージの変更を検出できます。
/var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf
ファイルの verify_glance_signatures
フラグを True
に設定して、インスタンス署名の検証を有効にすることができます。有効にすると、Compute サービスは glance から取得された署名済みインスタンスを自動的に検証します。この検証に失敗すると、ブートプロセスは開始しません。
この機能を有効にすると、署名のないイメージ (署名されていないイメージ) も検証に失敗し、ブートプロセスは開始しません。