10.15. Tang을 컨테이너로 배포
tang 컨테이너 이미지는 OpenShift Container Platform (OCP) 클러스터 또는 별도의 가상 시스템에서 실행되는 Clevis 클라이언트에 대해 Tang-server 암호 해독 기능을 제공합니다.
사전 요구 사항
-
podman패키지 및 해당 종속 항목은 시스템에 설치됩니다. -
podman login registry.redhat.io명령을 사용하여registry.redhat.io컨테이너 카탈로그에 로그인했습니다. 자세한 내용은 Red Hat Container Registry Authentication을 참조하십시오. - Clevis 클라이언트는 Tang 서버를 사용하여 자동으로 잠금 해제하려는 LUKS 암호화된 볼륨이 포함된 시스템에 설치됩니다.
절차
registry.redhat.io레지스트리에서tang컨테이너 이미지를 가져옵니다.# podman pull registry.redhat.io/rhel8/tang컨테이너를 실행하고 해당 포트를 지정하고 Tang 키의 경로를 지정합니다. 이전 예제에서는
tang컨테이너를 실행하고 포트 7500을 지정하고/var/db/tang디렉터리의 Tang 키의 경로를 나타냅니다.# podman run -d -p 7500:7500 -v tang-keys:/var/db/tang --name tang registry.redhat.io/rhel8/tangTang은 기본적으로 포트 80을 사용하지만 이는 Apache HTTP 서버와 같은 다른 서비스와 충돌할 수 있습니다.
선택 사항: 보안 강화를 위해 Tang 키를 주기적으로 순환합니다.
tangd-rotate-keys스크립트를 사용할 수 있습니다. 예를 들면 다음과 같습니다.# podman run --rm -v tang-keys:/var/db/tang registry.redhat.io/rhel8/tang tangd-rotate-keys -v -d /var/db/tang Rotated key 'rZAMKAseaXBe0rcKXL1hCCIq-DY.jwk' -> .'rZAMKAseaXBe0rcKXL1hCCIq-DY.jwk' Rotated key 'x1AIpc6WmnCU-CabD8_4q18vDuw.jwk' -> .'x1AIpc6WmnCU-CabD8_4q18vDuw.jwk' Created new key GrMMX_WfdqomIU_4RyjpcdlXb0E.jwk Created new key _dTTfn17sZZqVAp80u3ygFDHtjk.jwk Keys rotated successfully.
검증
Tang 서버의 존재로 자동 잠금 해제를 위한 LUKS 암호화된 볼륨이 포함된 시스템에서 Clevis 클라이언트가 Tang을 사용하여 일반 텍스트 메시지를 암호화 및 암호 해독할 수 있는지 확인합니다.
# echo test | clevis encrypt tang '{"url":"http://localhost:7500"}' | clevis decrypt The advertisement contains the following signing keys: x1AIpc6WmnCU-CabD8_4q18vDuw Do you wish to trust these keys? [ynYN] y test위 예제 명령은 localhost URL에서 Tang 서버를 사용할 수 있고 포트 7500 을 통해 통신할 때 출력 끝에
test문자열을 표시합니다.
추가 리소스
-
시스템의
podman(1),clevis(1),tang(8)도움말 페이지
