Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

8.3. 在 IBM Z 和 IBM LinuxONE 中配置 IBM Secure Execution 虚拟机

您可以在 IBM Z® 和 IBM® LinuxONE 上配置 IBM® Secure Execution 虚拟机(VM)。

Linux 的 IBM® Secure Execution 是 IBM® z15 和 IBM® LinuxONE III 中引入的 s390x 安全技术。它保护在 KVM 虚拟机中运行的工作负载数据不受服务器环境检查或修改。

特别是,没有硬件管理员、没有 KVM 代码,且 KVM 管理员无法访问作为 IBM Secure Execution 客户机启动的客户端中的数据。

要在集群的 IBM Z® 和 IBM® LinuxONE 上启用 IBM® Secure Execution 虚拟机(VM),您必须确保满足先决条件并完成以下步骤。

先决条件

  • 集群有在 IBM® z15 或更高版本上运行的逻辑分区(LPAR)节点,或 IBM® LinuxONE III 或更高版本。
  • 您有可在集群中运行的 IBM® 安全执行工作负载。
  • 已安装 OpenShift CLI(oc)。

流程

  1. 要运行 IBM® 安全执行虚拟机,您必须为每个计算节点添加 prot_virt=1 内核参数。要启用所有计算节点,请创建一个名为 secure-execution.yaml 的文件,其中包含以下机器配置清单: 

    apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfig
metadata:
  name: secure-execution
  labels:
    machineconfiguration.openshift.io/role: worker
spec:
  kernelArguments:
    - prot_virt=1
    Copy to Clipboard Toggle word wrap

    其中:

    prot_virt=1
    指定 ultravisor 可以存储内存安全信息。

  2. 运行以下命令来应用更改: 

    $ oc apply -f secure-execution.yaml
    Copy to Clipboard Toggle word wrap

    Machine Config Operator (MCO)会应用更改,并在受控的推出部署中重启节点。

  3. 运行以下命令来编辑 HyperConverged 自定义资源 (CR): 

    $ oc edit -n openshift-cnv HyperConverged kubevirt-hyperconverged
    Copy to Clipboard Toggle word wrap

  4. 通过应用以下注解,为 IBM® 安全执行启用功能门: 

    apiVersion: hco.kubevirt.io/v1beta1
kind: HyperConverged
metadata:
  annotations:
    kubevirt.kubevirt.io/jsonpatch: |-
     [
      {
       "op":"add",
       "path":"/spec/configuration/developerConfiguration/featureGates/-",
       "value":"SecureExecution"
      }
     ]
    Copy to Clipboard Toggle word wrap

在 IBM Z® 和 IBM® LinuxONE 上启动 IBM® Secure Execution 虚拟机前,您必须将 launchSecurity 参数添加到虚拟机清单中。否则,虚拟机无法正确引导,因为它无法访问该设备。

流程

  • 将以下 VirtualMachine 清单应用到集群: 

    apiVersion: kubevirt.io/v1
kind: VirtualMachine
metadata:
  labels:
    kubevirt.io/vm: f41-se
  name: f41-se
spec:
  runStrategy: Always
  template:
    metadata:
      labels:
        kubevirt.io/vm: f41-se
    spec:
      domain:
        launchSecurity: {}
        devices:
          disks:
          - disk:
              bus: virtio
            name: rootfs
        machine:
          type: ""
        resources:
          requests:
            memory: 4Gi
      terminationGracePeriodSeconds: 0
      volumes:
        - name: rootfs
          dataVolume:
            name: f41-se
    Copy to Clipboard Toggle word wrap

    要启动 IBM® Secure Execution 虚拟机,您必须在清单中包含以下 YAML: 

    spec:
   domain:
     launchSecurity: {}
    Copy to Clipboard Toggle word wrap

    其余虚拟机清单根据您的设置是变量的。

    注意

    由于虚拟机的内存受到保护,因此 IBM® 安全执行虚拟机不可实时迁移。虚拟机只能离线迁移。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat