10.4. 信頼できるコンピュートプール
信頼できるコンピュートプールは、Intel Trusted Execution Technology (Intel TXT) に基づくセキュアなクラスターです。信頼できるクラスターは、Intel の OpenAttestation によって検証されるホストのみを許可します。これは、ホワイトリストデータベースに対してホストのハードウェアおよびソフトウェアの整合性を測定します。信頼できるホストおよびそれらで実行されている仮想マシンには、高いレベルでセキュリティーを確保する必要があるタスクを割り当てることができます。Intel TXT、信頼できるシステム、およびテストの詳細は、を参照してください https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide。
信頼できるコンピュートプールを作成するには、以下の手順を行います。
OpenAttestation サーバーのインストール、ホストに OpenAttestation エージェントをインストールし、ホワイトリストデータベースを作成する方法は、を参照してください https://github.com/OpenAttestation/OpenAttestation/wiki。
- Manager が OpenAttestation サーバーと通信するように設定する。
- 信頼できるクラスターを作成して、信頼できるホストだけを実行できるようにする。
- 信頼できるホストを信頼できるクラスターに追加する。OpenAttestation サーバーによって信頼されていることを確認するには、ホストが OpenAttestation エージェントを実行している必要があります。
10.4.1. OpenAttestation サーバーの Manager への接続
信頼されたクラスターを作成する前に、Red Hat Virtualization Manager が OpenAttestation サーバーを認識するように設定する必要があります。engine-config を使用して、OpenAttestation サーバーの FQDN または IP アドレスを追加します。
# engine-config -s AttestationServer=attestationserver.example.com
必要に応じて、以下の設定を変更することもできます。
|
オプション
|
デフォルト値
|
説明
|
|---|---|---|
|
AttestationServer
|
oat-server
|
OpenAttestation サーバーの FQDN または IP アドレス。これは、Manager が OpenAttestation サーバーと通信するように設定する必要があります。
|
|
AttestationPort
|
8443
|
Manager との通信に OpenAttestation サーバーが使用するポート。
|
|
AttestationTruststore
|
TrustStore.jks
|
OpenAttestation サーバーとの通信のセキュリティーを保護するために使用されるトラストストア。
|
|
AttestationTruststorePass
|
password
|
トラストストアのアクセスに使用されるパスワード。
|
|
AttestationFirstStageSize
|
10
|
クイック初期化に使用されます。この値は、適切な理由なしで変更することは推奨されません。
|
|
SecureConnectionWithOATServers
|
true
|
OpenAttestation サーバーとのセキュアな通信を有効または無効にします。
|
|
PollUri
|
AttestationService/resources/PollHosts
|
OpenAttestation サービスへのアクセスに使用される URI。
|
