10.4. 信頼済みコンピュートプール
信頼済みのコンピュートプールは、Intel Trusted Execution Technology (Intel TXT) をベースとするセキュアなクラスターです。信頼済みクラスターは、Intel の OpenAttestation で検証済みのホストのみを許可します。OpenAttestation は、ホストのハードウェアとソフトウェアをホワイトリストデータベースと比較して整合性を評価します。信頼済みのホストと、そのホスト上で実行される仮想マシンには、セキュリティー要件の高いタスクを割り当てることができます。Intel TXT、信頼済みシステム、およびアテステーション (証明) についての詳しい情報は、https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide を参照してください。
信頼済みのコンピュートプールを作成するには、以下のステップを実行します。
OpenAttestation サーバーのインストール、ホスト上での OpenAttestation エージェントのインストール、およびホワイトリストデータベースの作成方法についての説明は、https://github.com/OpenAttestation/OpenAttestation/wiki を参照してください。
- Manager が OpenAttestation サーバーと通信するように設定します。
- 信頼済みのホストのみを実行することが可能な信頼済みクラスターを作成します。
- 信頼済みホストを信頼済みクラスターに追加します。OpenAttestatoin サーバーがホストを検証するには、そのホストが OpenAttestation エージェントを実行している必要があります。
10.4.1. OpenAttestation サーバーを Manager に接続する方法
信頼済みクラスターを作成する前に、Red Hat Virtualization Manager が OpenAttestation サーバーを認識するように設定する必要があります。
engine-config
を使用して、OpenAttestation サーバーの完全修飾ドメイン名または IP アドレスを追加します。
# engine-config -s AttestationServer=attestationserver.example.com
必要な場合には、以下の設定も変更することができます。
オプション
|
デフォルト値
|
説明
|
---|---|---|
AttestationServer
|
oat-server
|
OpenAttestation サーバーの完全修飾ドメイン名または IP アドレス。これは、Manager が OpenAttestation サーバーと通信するために設定する必要があります。
|
AttestationPort
|
8443
|
OpenAttestation サーバーが Manager と通信するために使用するポート
|
AttestationTruststore
|
TrustStore.jks
|
OpenAttestation サーバーとの通信をセキュリティー保護するために使用する信頼ストア
|
AttestationTruststorePass
|
password
|
トラストストアへのアクセスに使用するパスワード
|
AttestationFirstStageSize
|
10
|
簡易初期化に使用します。適切な理由がない場合には、この値は変更しないことを推奨します。
|
SecureConnectionWithOATServers
|
true
|
OpenAttestation サーバーとのセキュアな通信を有効化または無効化します。
|
PollUri
|
AttestationService/resources/PollHosts
|
OpenAttestation サービスへのアクセスに使用する URI
|
10.4.2. 信頼済みクラスターの作成
信頼済みクラスターは、OpenAttestation サーバーと通信して、ホストのセキュリティーを評価します。ホストが信頼済みクラスターに追加されると、OpenAttestation サーバーは、ホストのハードウェアおよびソフトウェアをホワイトリストデータベースと比較します。仮想マシンは、信頼済みクラスター内の信頼済みホストの間で移行できるので、セキュアな環境で高可用性が可能となります。
手順10.9 信頼済みクラスターの作成
- クラスター タブを選択します。
- クラスターの 名前 を入力します。
- Virt サービスを有効にする のラジオボタンを選択します。
- スケジューリングポリシー タブで 信頼済みサービスを有効にする のチェックボックスを選択します。
10.4.3. 信頼済みホストの作成
Red Hat Enterprise Linux ホストを信頼済みクラスターに追加して、OpenAttestationサーバーのホワイトリストデータベースと比較することができます。ホストが OpenAttestation サーバーに信頼されるには、以下の要件を満たす必要があります。
- BIOS で Intel TXT が有効化されていること。
- OpenAttestation エージェントがインストール済みで実行中であること。
- ホスト上で実行中のソフトウェアが OpenAttestation サーバーのホワイトリストデータベースと一致していること。
手順10.10 信頼済みホストの作成
- ホスト タブを選択します。
- ホストクラスター のドロップダウンリストから、信頼済みのクラスターを選択します。
- ホストの 名前 を入力します。
- ホストの アドレス を入力します。
- ホストの root パスワード を入力します
ホストが信頼済みクラスターに追加された後には、OpenAttestation サーバーによって評価されます。ホストが OpenAttestation サーバーに信頼されなかった場合には、ステータスが
Non Operational
となり、信頼済みクラスターから削除する必要があります。