Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

3.11. IBM Z 또는 IBM LinuxONE 환경에서 고정 IP를 사용하여 NBDE 구성

IBM Z® 또는 IBM® LinuxONE 환경에서 NBDE 디스크 암호화를 활성화하려면 이 섹션에 자세히 설명된 추가 단계가 필요합니다.

사전 요구 사항

  • 외부 Tang 서버를 설정했습니다. 자세한 내용은 네트워크 바인딩 디스크 암호화를 참조하십시오.
  • butane 유틸리티가 설치되어 있습니다.
  • Butane을 사용하여 머신 구성을 생성하는 방법에 대한 지침을 검토했습니다.

프로세스

  1. 컨트롤 플레인 및 컴퓨팅 노드에 대한 Butane 구성 파일을 생성합니다.

    컨트롤 플레인 노드에 대한 Butane 구성의 다음 예제에서는 디스크 암호화를 위해 master-storage.bu 라는 파일을 생성합니다. 

    variant: openshift
version: 4.16.0
metadata:
  name: master-storage
  labels:
    machineconfiguration.openshift.io/role: master
storage:
  luks:
    - clevis:
        tang:
          - thumbprint: QcPr_NHFJammnRCA3fFMVdNBwjs
            url: http://clevis.example.com:7500
        options: 1
           - --cipher
           - aes-cbc-essiv:sha256
      device: /dev/disk/by-partlabel/root 2
      label: luks-root
      name: root
      wipe_volume: true
  filesystems:
    - device: /dev/mapper/root
      format: xfs
      label: root
      wipe_filesystem: true
openshift:
  fips: true 3
    1
    암호화 옵션은 FIPS 모드가 활성화된 경우에만 필요합니다. FIPS가 비활성화된 경우 항목을 생략합니다.
    2
    DASD 유형 디스크에 설치하려면 device: /dev/disk/by-label/root 로 바꿉니다.
    3
    FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

  2. 다음 명령을 실행하여 사용자 지정 initramfs 파일을 생성하여 시스템을 부팅합니다. 

    $ coreos-installer pxe customize \
    /root/rhcos-bootfiles/rhcos-<release>-live-initramfs.s390x.img \
    --dest-device /dev/disk/by-id/scsi-<serial_number> --dest-karg-append \
    ip=<ip_address>::<gateway_ip>:<subnet_mask>::<network_device>:none \
    --dest-karg-append nameserver=<nameserver_ip> \
    --dest-karg-append rd.neednet=1 -o \
    /root/rhcos-bootfiles/<node_name>-initramfs.s390x.img
    참고

    처음 부팅하기 전에 클러스터의 각 노드에 대해 initramfs를 사용자 지정하고 PXE 커널 매개 변수를 추가해야 합니다.

  3. ignition.platform.id=metalignition.firstboot 가 포함된 매개변수 파일을 생성합니다.

    컨트롤 플레인 시스템의 커널 매개변수 파일의 예

    cio_ignore=all,!condev rd.neednet=1 \
console=ttysclp0 \
coreos.inst.install_dev=/dev/<block_device> \1
ignition.firstboot ignition.platform.id=metal \
coreos.inst.ignition_url=http://<http_server>/master.ign \2
coreos.live.rootfs_url=http://<http_server>/rhcos-<version>-live-rootfs.<architecture>.img \3
ip=<ip>::<gateway>:<netmask>:<hostname>::none nameserver=<dns> \
rd.znet=qeth,0.0.bdd0,0.0.bdd1,0.0.bdd2,layer2=1 \
rd.zfcp=0.0.5677,0x600606680g7f0056,0x034F000000000000 \4
zfcp.allow_lun_scan=0

    1
    블록 장치 유형을 지정합니다. DASD 유형 디스크에 설치하려면 /dev/dasda 를 지정합니다. FCP 유형 디스크에 설치하려면 /dev/sda 를 지정합니다.
    2
    Ignition 구성 파일의 위치를 지정합니다. master.ign 또는 worker.ign 을 사용합니다. HTTP 및 HTTPS 프로토콜만 지원됩니다.
    3
    부팅하려는 커널initramfsrootfs 아티팩트 위치를 지정합니다. HTTP 및 HTTPS 프로토콜만 지원됩니다.
    4
    DASD 유형 디스크에 설치하는 경우 DASD 장치를 지정하려면 DASD 장치를 rd.dasd=0.0.xxxx 로 바꿉니다.
    참고

    매개 변수 파일의 모든 옵션을 한 줄로 작성하고 줄 바꿈 문자가 없는지 확인합니다.

추가 리소스

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.