12.9. 信頼できるコンピュートプール
信頼できるコンピュートプールは、Intel Trusted Execution Technology (Intel TXT) に基づくセキュアなクラスターです。信頼できるクラスターは、ホワイトリストデータベースに対してホストのハードウェアとソフトウェアの整合性を測定する Intel の OpenAttestation によって検証されたホストのみを許可します。信頼できるホストおよびそれらで実行されている仮想マシンには、高いレベルでセキュリティーを確保する必要があるタスクを割り当てることができます。Intel TXT、信頼できるシステム、およびテストの詳細は、https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide を参照してください。
信頼できるコンピュートプールを作成するには、以下の手順を行います。
- Manager が OpenAttestation サーバーと通信するように設定する。
- 信頼できるクラスターを作成して、信頼できるホストだけを実行できるようにする。
- 信頼できるホストを信頼できるクラスターに追加する。OpenAttestation サーバーによって信頼されていることを確認するには、ホストが OpenAttestation エージェントを実行している必要があります。
12.9.1. OpenAttestation サーバーの Manager への接続
信頼されたクラスターを作成する前に、Red Hat Virtualization Manager が OpenAttestation サーバーを認識するように設定する必要があります。engine-config を使用して OpenAttestation サーバーの FQDN または IP アドレスを追加します。
# engine-config -s AttestationServer=attestationserver.example.com必要に応じて、以下の設定を変更することもできます。
| オプション | デフォルト値 | 説明 |
|---|---|---|
| AttestationServer | oat-server | OpenAttestation サーバーの FQDN または IP アドレス。これは、Manager が OpenAttestation サーバーと通信するように設定する必要があります。 |
| AttestationPort | 8443 | Manager との通信に OpenAttestation サーバーが使用するポート。 |
| AttestationTruststore | TrustStore.jks | OpenAttestation サーバーとの通信のセキュリティーを保護するために使用されるトラストストア。 |
| AttestationTruststorePass | password | トラストストアのアクセスに使用されるパスワード。 |
| AttestationFirstStageSize | 10 | クイック初期化に使用されます。この値は、適切な理由なしで変更することは推奨されません。 |
| SecureConnectionWithOATServers | true | OpenAttestation サーバーとのセキュアな通信を有効または無効にします。 |
| PollUri | AttestationService/resources/PollHosts | OpenAttestation サービスへのアクセスに使用される URI。 |
