红帽全球峰会7.3. 在 IBM Z 和 IBM LinuxONE 中配置 IBM Secure Execution 虚拟机
您可以在 IBM Z® 和 IBM® LinuxONE 上配置 IBM® Secure Execution 虚拟机(VM)。
Linux 的 IBM® Secure Execution 是 IBM® z15 和 IBM® LinuxONE III 中引入的 s390x 安全技术。它保护在 KVM 虚拟机中运行的工作负载数据不受服务器环境检查或修改。
特别是,没有硬件管理员、没有 KVM 代码,且 KVM 管理员无法访问作为 IBM Secure Execution 客户机启动的客户端中的数据。
在 IBM Z 和 IBM LinuxONE 上启用 IBM Secure Execution 的 OpenShift Virtualization 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅以下链接:
要在集群的 IBM Z® 和 IBM® LinuxONE 上启用 IBM® Secure Execution 虚拟机(VM),您必须确保满足先决条件并完成以下步骤。
先决条件
- 集群有在 IBM® z15 或更高版本上运行的逻辑分区(LPAR)节点,或 IBM® LinuxONE III 或更高版本。
- 您有可在集群中运行的 IBM® 安全执行工作负载。
-
已安装 OpenShift CLI(
oc)。
流程
要运行 IBM® 安全执行虚拟机,您必须为每个计算节点添加
prot_virt=1内核参数。要启用所有计算节点,请创建一个名为secure-execution.yaml的文件,其中包含以下机器配置清单:apiVersion: machineconfiguration.openshift.io/v1 kind: MachineConfig metadata: name: secure-execution labels: machineconfiguration.openshift.io/role: worker spec: kernelArguments: - prot_virt=1其中:
prot_virt=1- 指定 ultravisor 可以存储内存安全信息。
运行以下命令来应用更改:
$ oc apply -f secure-execution.yamlMachine Config Operator (MCO) 会应用更改,并在受控的推出部署中重启节点。
运行以下命令来编辑
HyperConverged自定义资源 (CR):$ oc edit -n openshift-cnv HyperConverged kubevirt-hyperconverged通过应用以下注解,为 IBM® 安全执行启用功能门:
apiVersion: hco.kubevirt.io/v1beta1 kind: HyperConverged metadata: annotations: kubevirt.kubevirt.io/jsonpatch: |- [ { "op":"add", "path":"/spec/configuration/developerConfiguration/featureGates/-", "value":"SecureExecution" } ]
在 IBM Z® 和 IBM® LinuxONE 上启动 IBM® Secure Execution 虚拟机前,您必须将 launchSecurity 参数添加到虚拟机清单中。否则,虚拟机无法正确引导,因为它无法访问该设备。
流程
将以下
VirtualMachine清单应用到集群:apiVersion: kubevirt.io/v1 kind: VirtualMachine metadata: labels: kubevirt.io/vm: f41-se name: f41-se spec: runStrategy: Always template: metadata: labels: kubevirt.io/vm: f41-se spec: domain: launchSecurity: {} devices: disks: - disk: bus: virtio name: rootfs machine: type: "" resources: requests: memory: 4Gi terminationGracePeriodSeconds: 0 volumes: - name: rootfs dataVolume: name: f41-se要启动 IBM® Secure Execution 虚拟机,您必须在清单中包含以下 YAML:
spec: domain: launchSecurity: {}其余虚拟机清单根据您的设置是变量的。
注意由于虚拟机的内存受到保护,因此 IBM® 安全执行虚拟机不可实时迁移。虚拟机只能离线迁移。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}