7.16. 인증 프로세스 확인

테스트 Pod를 생성하고 시크릿을 검색하여 인증 프로세스를 확인할 수 있습니다.

중요

이 절차는 인증이 작동하는지 확인하는 예입니다. 메모리 덤프를 사용하여 데이터를 캡처할 수 있으므로 표준 I/O에 민감한 데이터를 작성하지 마십시오. 메모리에 기록된 데이터만 암호화됩니다.

기본적으로 Pod VM(가상 머신) 이미지에 포함된 Kata 에이전트 정책은 기밀 컨테이너 포드에 대한 exec 및 로그 API를 비활성화합니다. 이 정책을 사용하면 클러스터 관리자가 Pod 내에서 프로세스를 실행하여 중요한 데이터를 추출하는 동시에 중요한 데이터의 우발적인 쓰기를 표준 I/O로 차단하지 않습니다.

테스트 시나리오에서는 Pod에 정책 주석을 추가하여 런타임에 제한을 덮어쓸 수 있습니다. 기술 프리뷰의 경우 런타임 정책 주석은 원격 테스트에서 확인하지 않습니다.

사전 요구 사항

Trustee 서버와 테스트 Pod가 동일한 클러스터에서 실행되지 않는 경우 경로를 생성했습니다.

프로세스

verification-pod.yaml 매니페스트 파일을 생성합니다.

apiVersion: v1
kind: Pod
metadata:
  name: ocp-cc-pod
  labels:
    app: ocp-cc-pod
  annotations:
    io.katacontainers.config.agent.policy: <base64_encoded_policy>


    io.katacontainers.config.runtime.cc_init_data: <base64_initdata>


spec:
  runtimeClassName: kata-remote
  containers:
    - name: skr-openshift
      image: registry.access.redhat.com/ubi9/ubi:9.3
      command:
        - sleep
        - "36000"
      securityContext:
        privileged: false
        seccompProfile:
          type: RuntimeDefault

1: 이 pod 주석은 민감한 데이터가 표준 I/O에 기록되지 않도록 하는 기본 에이전트 정책을 재정의합니다.
2: 이 pod 주석은 피어 Pod 구성 맵에서 전역적으로 설정된 initdata.toml 파일의 Base64 인코딩 문자열을 덮어씁니다.

에이전트 정책을 사용하여 io.katacontainers.config.agent.policy 주석과 io.katacontainers.config.runtime.cc_init_data 주석을 모두 지정하면 initdata 주석이 에이전트 정책 주석보다 우선합니다.

다음 명령을 실행하여 Pod를 생성합니다.
```
$ oc create -f verification-pod.yaml
```
다음 명령을 실행하여 ocp-cc-pod 의 Bash 쉘에 연결합니다.
```
$ oc exec -it ocp-cc-pod -- bash
```
다음 명령을 실행하여 Pod 시크릿을 가져옵니다.
```
$ curl http://127.0.0.1:8006/cdh/resource/default/kbsres1/key1
```
출력 예
```
res1val1
```
Trustee 서버는 인증에 성공한 경우에만 시크릿을 반환합니다.

7.16. 인증 프로세스 확인

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links