지원콘솔개발자평가판 시작연락처

14.2.3. 설치시 디스크 암호화

설치 시 컨트롤 플레인 및 컴퓨팅 노드에서 부팅 디스크에 대한 암호화를 활성화할 수 있습니다. OpenShift Container Platform은 Trusted Platform Module (TPM) v2 및 Tang 암호화 모드를 지원합니다.

  • TPM v2: 기본 모드입니다. TPM v2는 서버에 포함된 보안 암호화 프로세서에 암호를 저장합니다. 이 모드를 사용하여 디스크가 서버에서 제거되면 클러스터 노드의 부팅 디스크 데이터가 암호 해독되지 않도록 할 수 있습니다.
  • Tang: Tang 및 Clevis는 네트워크 바인딩 디스크 암호화(NBDE)를 활성화하는 서버 및 클라이언트 구성 요소입니다. 클러스터 노드의 부팅 디스크 데이터를 Tang 서버에 바인딩할 수 있습니다. 이는 노드가 Tang 서버에 액세스할 수 있는 보안 네트워크에 있지 않는 한 데이터의 암호 해독을 방지합니다. Clevis는 클라이언트 측에서 암호 해독을 구현하는 데 사용되는 자동화된 암호 해독 프레임워크입니다.
중요

Tang 암호화 모드를 사용하여 디스크를 암호화하는 것은 사용자 프로비저닝 인프라의 베어 메탈 및 vSphere 설치에만 지원됩니다.

TPM v2 또는 Tang 암호화 모드가 활성화되면 RHCOS 부팅 디스크는 LUKS2 형식을 사용하여 암호화됩니다.

이는 다음과 같은 기능을 제공합니다:

  • 설치 프로그램 프로비저닝 인프라 및 사용자 프로비저닝 인프라 배포에서 사용 가능
  • RHCOS (Red Hat Enterprise Linux CoreOS) 시스템에서만 지원됨
  • 매니페스트 설치 단계에서 디스크 암호화를 설정하여 첫 번째 부팅부터 디스크에 기록된 모든 데이터를 암호화함
  • 루트 파일 시스템의 데이터만 암호화함 (/에서 / dev / mapper / coreos-luks-root)
  • 사용자 개입없이 암호 제공 가능
  • AES-256-CBC 암호화 사용

클러스터 노드에 디스크 암호화를 사용하려면 다음 두 프로세스 중 하나를 수행하십시오.

14.2.3.1. TPM v2 디스크 암호화 활성화

다음 절차에 따라 OpenShift Container Platform 설치 중에 TPM v2 모드 디스크 암호화를 활성화합니다.

사전 요구 사항

  • 설치 노드에 OpenShift Container Platform 설치 프로그램이 다운로드되어 있습니다.

프로세스

  1. 각 노드의 BIOS에서 TPM v2 암호화를 활성화해야하는지 확인하십시오. 이는 대부분의 Dell 시스템에서 필요합니다. 컴퓨터 설명서를 확인하십시오.

  2. 설치 노드에서 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터에 대한 Kubernetes 매니페스트를 생성합니다. 

    $ ./openshift-install create manifests --dir <installation_directory> 1
    1
    <installation_directory>를 설치 파일을 저장하려는 디렉토리의 경로로 바꿉니다.

  3. TPM v2 암호화 모드를 사용하여 컨트롤 플레인 또는 컴퓨팅 노드의 부팅 디스크를 암호화하도록 머신 구성 파일을 생성합니다.

    • 컨트롤 플레인 노드에서 암호화를 구성하려면 다음 머신 구성 샘플을 <installation_directory>/openshift 디렉터리의 파일에 저장합니다. 예를 들어 파일 이름을 99-openshift-master-tpmv2-encryption.yaml 로 지정합니다. 

      apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfig
metadata:
  name: master-tpm
  labels:
    machineconfiguration.openshift.io/role: master
spec:
  config:
    ignition:
      version: 3.1.0
    storage:
      files:
      - contents:
          source: data:text/plain;base64,e30K
        mode: 420
        overwrite: true
        path: /etc/clevis.json

    • 계산 노드에서 암호화를 구성하려면 다음 머신 구성 샘플을 <installation_directory>/openshift 디렉터리의 파일에 저장합니다. 예를 들어 파일 이름을 99-openshift-worker-tpmv2-encryption.yaml 로 지정합니다. 

      apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfig
metadata:
  name: worker-tpm
  labels:
    machineconfiguration.openshift.io/role: worker
spec:
  config:
    ignition:
      version: 3.1.0
    storage:
      files:
      - contents:
          source: data:text/plain;base64,e30K
        mode: 420
        overwrite: true
        path: /etc/clevis.json
  4. YAML 파일의 백업 사본을 생성합니다. Ignition 구성 파일을 생성할 때 원본 YAML 파일이 사용됩니다.
  5. 나머지 OpenShift Container Platform 설치를 계속합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.