3.2. OpenStack Key Manager(barbican)와 Thales Luna Network HSM 통합


하드웨어 기반 암호화 처리를 위해 PKCS#11 백엔드를 Thales Luna Network HSM 어플라이언스와 통합하려면 Ansible 역할을 사용하여 컨트롤러에 Thales Luna 클라이언트 소프트웨어를 다운로드 및 설치하고 사전 정의된 HSM IP 및 인증 정보를 포함하는 키 관리자 구성 파일을 만듭니다.

사전 요구 사항

  • Thales Luna Network HSM에 대한 벤더 소프트웨어를 제공하는 암호로 보호된 HTTPS 서버입니다.
  • 이 벤더는 압축된 zip 아카이브에 Luna Network HSM 클라이언트 소프트웨어를 제공했습니다.

절차

  1. director에 ansible-role-lunasa-hsm 역할을 설치합니다.

    sudo dnf install ansible-role-lunasa-hsm
  2. Key Manager(barbican)에 대한 configure-barbican.yaml 환경 파일을 생성하고 해당 환경과 관련된 매개변수를 추가합니다.

    parameter_defaults:
      BarbicanPkcs11CryptoMKEKLabel: "barbican_mkek_0"
      BarbicanPkcs11CryptoHMACLabel: "barbican_hmac_0"
      BarbicanPkcs11CryptoLogin: "$PKCS_11_USER_PIN"
      BarbicanPkcs11CryptoGlobalDefault: true
      LunasaVars:
        lunasa_client_tarball_name: 610-012382-014_SW_Client_HSM_6.2_RevA.tar.zip
        lunasa_client_tarball_location: https://user:$PASSWORD@http-server.example.com/luna_software/610-012382-014_SW_Client_HSM_6.2_RevA.tar.zip
        lunasa_client_installer_path: 610-012382-014_SW_Client_HSM_6.2_RevA/linux/64/install.sh
        lunasa_hsms:
          - hostname: luna-hsm.example.com
            admin_password: "$HSM_ADMIN_PASSWORD"
            partition: myPartition1
            partition_serial: 123456789
    표 3.3. heat 매개변수
    매개변수현재의

    BarbicanSimpleCryptoGlobalDefault

    simplecrypto가 글로벌 기본값인지 여부를 결정하는 부울입니다.

    BarbicanPkcs11GlobalDefault

    PKCS#11이 글로벌 기본값인지 여부를 결정하는 부울입니다.

    BarbicanPkcs11CryptoTokenLabel

    HSM이 하나 있는 경우 매개 변수의 값은 파티션 레이블입니다. 두 개 이상의 파티션 간에 HA를 사용하는 경우 이 레이블은 HA 그룹에 제공하려는 레이블입니다.

    BarbicanPkcs11CryptoLogin

    HSM 관리자가 제공하는 HSM에 로그인하는 데 사용되는 PKCS#11 암호입니다.

    LunasaVar

    lunasa_client_tarball_name

    Luna 소프트웨어 tarball의 이름입니다.

    lunasa_client_tarball_location

    Luna Software tarball의 HTTPS 서버 위치를 지정하는 URL입니다.

    lunasa_client_installer_path

    zipped tarball의 install.sh 스크립트 경로입니다.

    lunasa_client_rotate_cert

    (선택 사항) true로 설정하면 기존 인증서를 교체하기 위해 새 클라이언트 인증서가 생성됩니다. 기본값: false

    lunasa_client_working_dir

    (선택 사항) 컨트롤러 노드의 작업 디렉터리입니다. 기본값: /tmp/lunasa_client_install

    lunasa_hsms

    이름, 호스트 이름, admin_password, 파티션 일련 번호를 지정하는 하나 이상의 HSM 목록입니다. 이 목록에 두 개 이상의 HSM을 포함하는 경우 Barbican은 고가용성을 위해 HSM을 구성합니다.

  3. 배포 명령에 사용자 지정 configure-barbican.yaml 및 Thales 특정 barbican-backend-pkcs11-llunasa.yaml 환경 파일과 배포와 관련된 기타 템플릿을 포함합니다.

    $ openstack overcloud deploy --templates \
      ....
      -e /usr/share/openstack-tripleo-heat-templates/environments/services/barbican.yaml \
      -e /usr/share/openstack-tripleo-heat-templates/environments/barbican-backend-pkcs11-lunasa.yaml \
      -e /home/stack/templates/configure-barbican.yaml \
      --log-file overcloud_deployment_with_luna.log
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.