第7章 glance イメージの検証
Barbican を有効にした後に、Image サービス (glance) を設定して、アップロードしたイメージが改ざんされていないことを確認できます。この実装では、イメージは最初に barbican に保管されるキーで署名されます。その後、イメージは、付随する署名情報と共に glance にアップロードされます。その結果、各使用前にイメージの署名が検証され、署名が一致しない場合、インスタンスのビルドプロセスに失敗しています。
barbican と glance の統合とは、openssl
コマンドを秘密鍵と共に使用してアップロードする前に glance イメージを署名できることを意味します。
7.1. glance イメージ検証の有効化
環境ファイルで、VerifyGlanceSignatures: True
の設定でイメージの検証を有効にします。この設定を有効にするには、openstack overcloud deploy
コマンドを再実行する必要があります。
glance イメージの検証が有効化されていることを確認するには、オーバークラウドのコンピュートノードで以下のコマンドを実行します。
$ sudo crudini --get /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova/nova.conf glance verify_glance_signatures
イメージおよび Compute サービスのバックエンドに Ceph を使用する場合、CoW クローンが作成されます。したがって、イメージ署名の検証は実行できません。