5.10. KbsConfig 사용자 정의 리소스 생성
KbsConfig CR(사용자 정의 리소스)을 생성하여 Trustee를 시작합니다.
그런 다음 Trustee pod 및 pod 로그를 확인하여 구성을 확인합니다.
프로세스
kbsconfig-cr.yaml매니페스트 파일을 생성합니다.apiVersion: confidentialcontainers.org/v1alpha1 kind: KbsConfig metadata: labels: app.kubernetes.io/name: kbsconfig app.kubernetes.io/instance: kbsconfig app.kubernetes.io/part-of: trustee-operator app.kubernetes.io/managed-by: kustomize app.kubernetes.io/created-by: trustee-operator name: kbsconfig namespace: trustee-operator-system spec: kbsConfigMapName: kbs-config-cm kbsAuthSecretName: kbs-auth-public-key kbsDeploymentType: AllInOneDeployment kbsRvpsRefValuesConfigMapName: rvps-reference-values kbsSecretResources: ["kbsres1", "security-policy", "<type>"] 1 kbsResourcePolicyConfigMapName: resource-policy # tdxConfigSpec: # kbsTdxConfigMapName: tdx-config 2 # kbsAttestationPolicyConfigMapName: attestation-policy 3 # kbsServiceType: <service_type> 4- 1
- 선택 사항: 시크릿을 생성한 경우 컨테이너 이미지 서명 확인 보안의
유형값을 지정합니다(예:img-sig). 시크릿을 생성하지 않은 경우kbsSecretResources값을["kbsres1", "security-policy"]로 설정합니다. - 2
- Intel Trust Domain Extensions용
tdxConfigSpec.kbsTdxConfigMapName: tdx-config의 주석 처리를 해제합니다. - 3
- 사용자 지정 인증 정책을 생성하는 경우
kbsAttestationPolicyConfigMapName: attestation-policy의 주석을 제거합니다. - 4
- 기본
ClusterIP서비스 이외의서비스 유형을 생성하여 클러스터 외부 트래픽 내에 애플리케이션을 노출하는 경우 kbsServiceType: <service_type>의 주석을 제거합니다.NodePort,LoadBalancer또는ExternalName을 지정할 수 있습니다.
다음 명령을 실행하여
KbsConfigCR을 생성합니다.$ oc apply -f kbsconfig-cr.yaml
