Red Hat Summit7.10. IBM Secure Execution 인증서 및 키 구성
작업자 노드에 대한 IBM Secure Execution (SE) 인증서 및 키를 구성해야 합니다.
사전 요구 사항
- bastion 노드의 IP 주소가 있습니다.
- 작업자 노드의 내부 IP 주소가 있습니다.
프로세스
다음 단계를 수행하여 인증 정책 필드를 가져옵니다.
다음 명령을 실행하여
GetRvps.sh스크립트를 다운로드할 디렉터리를 만듭니다.$ mkdir -p Rvps-Extraction/다음 명령을 실행하여 스크립트를 다운로드합니다.
$ wget https://github.com/openshift/sandboxed-containers-operator/raw/devel/hack/Rvps-Extraction/GetRvps.sh -O $PWD/GetRvps.sh다음 명령을 실행하여 하위 디렉터리를 생성합니다.
$ mkdir -p Rvps-Extraction/static-files다음 명령을 실행하여
static-files디렉터리로 이동합니다.$ cd Rvps-Extraction/static-files다음 명령을 실행하여
pvextract-hdr툴을 다운로드합니다.$ wget https://github.com/openshift/sandboxed-containers-operator/raw/devel/hack/Rvps-Extraction/static-files/pvextract-hdr -O $PWD/pvextract-hdr다음 명령을 실행하여 툴을 실행 가능하게 만듭니다.
$ chmod +x pvextract-hdr다음 명령을 실행하여
se_parse_hdr.py스크립트를 다운로드합니다.$ wget https://github.com/openshift/sandboxed-containers-operator/raw/devel/hack/Rvps-Extraction/static-files/se_parse_hdr.py -O $PWD/se_parse_hdr.py다음 명령을 실행하여 HKD(Host Key Document) 인증서를
static-files디렉터리에 복사합니다.$ cp ~/path/to/<hkd_cert.crt> .static-files디렉터리에는 다음 파일이 포함되어 있습니다.-
HKD.crt -
pvextract-hdr -
se_parse_hdr.py
-
다음 명령을 실행하여
Rvps-Extraction디렉터리로 이동합니다.$ cd ..다음 명령을 실행하여 NBD(네트워크 블록 장치)를 나열합니다.
$ lsblk출력 예
nbd0 43:0 0 100G 0 disk ├─nbd0p1 43:1 0 255M 0 part ├─nbd0p2 43:2 0 6G 0 part │ └─luks-e23e15fa-9c2a-45a5-9275-aae9d8e709c3 253:2 0 6G 0 crypt └─nbd0p3 43:3 0 12.4G 0 part nbd1 43:32 0 20G 0 disk ├─nbd1p1 43:33 0 255M 0 part ├─nbd1p2 43:34 0 6G 0 part │ └─luks-5a540f7c-c0cb-419b-95e0-487670d91525 253:3 0 6G 0 crypt └─nbd1p3 43:35 0 86.9G 0 part nbd2 43:64 0 0B 0 disk nbd3 43:96 0 0B 0 disk nbd4 43:128 0 0B 0 disk nbd5 43:160 0 0B 0 disk nbd6 43:192 0 0B 0 disk nbd7 43:224 0 0B 0 disk nbd8 43:256 0 0B 0 disk nbd9 43:288 0 0B 0 disk nbd10 43:320 0 0B 0 disk참고nbd0에서nbd15까지 NBD를 사용하여 스크립트를 실행할 수 있습니다. 기본값은nbd3입니다.GetRvps.sh스크립트의 NBD 값을 스크립트를 실행하는 데 사용 중인 값으로 바꿉니다.다음 명령을 실행하여
GetRvps.sh스크립트를 실행 가능하게 만듭니다.$ chmod +x GetRvps.sh스크립트를 실행합니다.
$ ./GetRvps.sh출력 예
***Installing necessary packages for RVPS values extraction *** Updating Subscription Management repositories. Last metadata expiration check: 0:37:12 ago on Mon Nov 18 09:20:29 2024. Package python3-3.9.19-8.el9_5.1.s390x is already installed. Package python3-cryptography-36.0.1-4.el9.s390x is already installed. Package kmod-28-10.el9.s390x is already installed. Dependencies resolved. Nothing to do. Complete! ***Installation Finished *** 1) Generate the RVPS From Local Image from User pc 2) Generate RVPS from Volume 3) Quit Please enter your choice:2를 입력하여 볼륨에서 참조 값 공급자 서비스를 생성합니다.Please enter your choice: 2libvirt 풀 이름에
fa-pp를 입력합니다.Enter the Libvirt Pool Name: fa-pplibvirt 게이트웨이 URI를 입력합니다.
Enter the Libvirt URI Name: <libvirt-uri>1 - 1
- 피어 Pod 시크릿 을 생성하는 데 사용한
LIBVIRT_URI값을 지정합니다.
libvirt 볼륨 이름에
fa-pp-vol을 입력합니다.Enter the Libvirt Volume Name: fa-pp-vol출력 예
Downloading from PODVM Volume... mount: /mnt/myvm: special device /dev/nbd3p1 does not exist. Error: Failed to mount the image. Retrying... Mounting on second attempt passed /dev/nbd3 disconnected SE header found at offset 0x014000 SE header written to '/roothuddleyes/sandboxed-containers-operator/hack/Rvps-Extraction/output-files/hdr.bin' (640 bytes) se.tag: 8ed6bc93307de4a5988a8ce0b80af390 se.image_phkh: 92d0aff6eb86720b6b1ea0cb98d2c99ff2ab693df3efff2158f54112f6961111 provenance = ewogICAgInNlLmF0dGVzdGF0aW9uX3Boa2giOiBbCiAgICAgICAgIjkyZDBhZmY2ZWI4NjcxOWI2YjFlYTBjYjk4ZDJjOTlmZjJlYzY5M2RmM2VmZmYyMTU4ZjU0MTEyZjY5NjE1MDgiCiAgICBdLAogICAgInNlLnRhZyI6IFsKICAgICAgICAiOGVkNmFkOTMzMDdkZTRhNTk4OGE4Y2UwYjgwZmIzOTUiCiAgICBdLAogICAgInNlLmltYWdlX3Boa2giOiBbCiAgICAgICAgIjkyZDBhZmY2ZWI4NjcxOWI2YjFlYTBjYjk4ZDJjOTlmZjJlYzY5M2RmM2VmZmYyMTU4ZjU0MTEyZjY5NjE1MDgiCiAgICBdLAogICAgInNlLnVzZXJfZGF0YSI6IFsKICAgICAgICAiMDAiCiAgICBdLAogICAgInNlLnZlcnNpb24iOiBbCiAgICAgICAgIjI1NiIKICAgIF0KfQo= -rw-r--r--. 1 root root 640 Nov 18 10:01 /root/sandboxed-containers-operator/hack/Rvps-Extraction/output-files/hdr.bin -rw-r--r--. 1 root root 446 Nov 18 10:01 /root/sandboxed-containers-operator/hack/Rvps-Extraction/output-files/ibmse-policy.rego -rw-r--r--. 1 root root 561 Nov 18 10:01 /root/sandboxed-containers-operator/hack/Rvps-Extraction/output-files/se-message
다음 단계를 수행하여 인증서 및 CRL(인증서 취소 목록)을 가져옵니다.
다음 명령을 실행하여 인증서에 대한 임시 디렉터리를 생성합니다.
$ mkdir /tmp/ibmse/certs다음 명령을 실행하여
ibm-z-host-key-signing-gen2.crt인증서를 다운로드합니다.$ wget https://www.ibm.com/support/resourcelink/api/content/public/ibm-z-host-key-signing-gen2.crt -O /tmp/ibmse/certs/ibm-z-host-key-signing-gen2.crt다음 명령을 실행하여 CryostatCert
CA.crt인증서를 다운로드합니다.$ wget https://www.ibm.com/support/resourcelink/api/content/public/DigiCertCA.crt -O /tmp/ibmse/certs/DigiCertCA.crt다음 명령을 실행하여 CRL의 임시 디렉터리를 생성합니다.
$ mkdir /tmp/ibmse/crls다음 명령을 실행하여
ibm-z-host-key-gen2.crl파일을 다운로드합니다.$ wget https://www.ibm.com/support/resourcelink/api/content/public/ibm-z-host-key-gen2.crl -O /tmp/ibmse/crls/ibm-z-host-key-gen2.crl다음 명령을 실행하여 MellanoxCert
TrustedRootG4.crl파일을 다운로드합니다.$ wget http://crl3.digicert.com/DigiCertTrustedRootG4.crl -O /tmp/ibmse/crls/DigiCertTrustedRootG4.crl다음 명령을 실행하여 clevisCert
TrustedG4CodeSigningRSA4096SHA3842021CA1.crl파일을 다운로드합니다.$ wget http://crl3.digicert.com/DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crl -O /tmp/ibmse/crls/DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crl
RSA 키를 생성합니다.
다음 명령을 실행하여 RSA 키 쌍을 생성합니다.
$ openssl genrsa -aes256 -passout pass:<password> -out /tmp/encrypt_key-psw.pem 40961 - 1
- RSA 키 암호를 지정합니다.
다음 명령을 실행하여 RSA 키에 대한 임시 디렉터리를 생성합니다.
$ mkdir /tmp/ibmse/rsa다음 명령을 실행하여
encrypt_key.pub키를 만듭니다.$ openssl rsa -in /tmp/encrypt_key-psw.pem -passin pass:<password> -pubout -out /tmp/ibmse/rsa/encrypt_key.pub다음 명령을 실행하여
encrypt_key.pem키를 생성합니다.$ openssl rsa -in /tmp/encrypt_key-psw.pem -passin pass:<password> -out /tmp/ibmse/rsa/encrypt_key.pem
다음 명령을 실행하여
/tmp/ibmse디렉터리의 구조를 확인합니다.$ tree /tmp/ibmse출력 예
/tmp/ibmse ├── certs │ ├── ibm-z-host-key-signing-gen2.crt | └── DigiCertCA.crt ├── crls │ └── ibm-z-host-key-gen2.crl │ └── DigiCertTrustedRootG4.crl │ └── DigiCertTrustedG4CodeSigningRSA4096SHA3842021CA1.crl ├── hdr │ └── hdr.bin ├── hkds │ └── <hkd_cert.crt> └── rsa ├── encrypt_key.pem └── encrypt_key.pub다음 단계를 수행하여 이러한 파일을 OpenShift Container Platform 작업자 노드에 복사합니다.
다음 명령을 실행하여
/tmp/ibmse디렉토리에서 압축 파일을 생성합니다.$ tar -czf ibmse.tar.gz -C /tmp/ ibmse다음 명령을 실행하여
.tar.gz파일을 클러스터의 bastion 노드에 복사합니다.$ scp /tmp/ibmse.tar.gz root@<ocp_bastion_ip>:/tmp1 - 1
- bastion 노드의 IP 주소를 지정합니다.
다음 명령을 실행하여 SSH를 통해 bastion 노드에 연결합니다.
$ ssh root@<ocp_bastion_ip>다음 명령을 실행하여
.tar.gz파일을 각 작업자 노드에 복사합니다.$ scp /tmp/ibmse.tar.gz core@<worker_node_ip>:/tmp1 - 1
- 작업자 노드의 IP 주소를 지정합니다.
다음 명령을 실행하여 각 작업자 노드에서
.tar.gz를 추출합니다.$ ssh core@<worker_node_ip> 'sudo mkdir -p /opt/confidential-containers/ && sudo tar -xzf /tmp/ibmse.tar.gz -C /opt/confidential-containers/'다음 명령을 실행하여
ibmse폴더 권한을 업데이트합니다.$ ssh core@<worker_node_ip> 'sudo chmod -R 755 /opt/confidential-containers/ibmse/'
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}