Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.12. 在 IBM Z 或 IBM LinuxONE 环境中使用静态 IP 配置 NBDE

在 IBM Z® 或 IBM® LinuxONE 环境中启用 NBDE 磁盘加密需要额外的步骤,本节中详细介绍。

先决条件

  • 您已设置了外部 Tang 服务器。具体步骤请查看 网络绑定磁盘加密
  • 您已安装了 with ane 实用程序。
  • 您已查看如何使用 Butane 创建机器配置的说明。

流程

  1. 为 control plane 和计算节点创建 Butane 配置文件。

    以下 control plane 节点的 Butane 配置示例为磁盘加密创建一个名为 master-storage.bu 的文件: 

    variant: openshift
version: 4.14.0
metadata:
  name: master-storage
  labels:
    machineconfiguration.openshift.io/role: master
storage:
  luks:
    - clevis:
        tang:
          - thumbprint: QcPr_NHFJammnRCA3fFMVdNBwjs
            url: http://clevis.example.com:7500
        options:
    1 
    
           - --cipher
           - aes-cbc-essiv:sha256
      device: /dev/disk/by-partlabel/root
    2 
    
      label: luks-root
      name: root
      wipe_volume: true
  filesystems:
    - device: /dev/mapper/root
      format: xfs
      label: root
      wipe_filesystem: true
openshift:
  fips: true
    3
    Copy to Clipboard Toggle word wrap
    1
    只有在启用了 FIPS 模式时才需要 cipher 选项。如果禁用了 FIPS,则省略该条目。
    2
    对于在 DASD 类型磁盘中安装,使用 device: /dev/disk/by-label/root 替换。
    3
    是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式,运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件,并使用由 RHCOS 提供的加密模块。

  2. 运行以下命令,创建自定义 initramfs 文件来引导机器: 

    $ coreos-installer pxe customize \
    /root/rhcos-bootfiles/rhcos-<release>-live-initramfs.s390x.img \
    --dest-device /dev/disk/by-id/scsi-<serial-number> --dest-karg-append \
    ip=<ip-address>::<gateway-ip>:<subnet-mask>::<network-device>:none \
    --dest-karg-append nameserver=<nameserver-ip> \
    --dest-karg-append rd.neednet=1 -o \
    /root/rhcos-bootfiles/<Node-name>-initramfs.s390x.img
    Copy to Clipboard Toggle word wrap
    注意

    首次引导前,您必须为集群中的每个节点自定义 initramfs,并添加 PXE 内核参数。

  3. 创建包含 ignition.platform.id=metalignition.firstboot 的参数文件。

    control plane 机器的内核参数文件示例:

    rd.neednet=1 \
console=ttysclp0 \
coreos.inst.install_dev=/dev/dasda \
    1 
    
ignition.firstboot ignition.platform.id=metal \
coreos.live.rootfs_url=http://10.19.17.25/redhat/ocp/rhcos-413.86.202302201445-0/rhcos-413.86.202302201445-0-live-rootfs.s390x.img \
coreos.inst.ignition_url=http://bastion.ocp-cluster1.example.com:8080/ignition/master.ign \
ip=10.19.17.2::10.19.17.1:255.255.255.0::enbdd0:none nameserver=10.19.17.1 \
zfcp.allow_lun_scan=0 \
    2 
    
rd.znet=qeth,0.0.bdd0,0.0.bdd1,0.0.bdd2,layer2=1 \
rd.zfcp=0.0.5677,0x600606680g7f0056,0x034F000000000000 \
    3 
    
zfcp.allow_lun_scan=0 \
rd.znet=qeth,0.0.bdd0,0.0.bdd1,0.0.bdd2,layer2=1 \
rd.zfcp=0.0.5677,0x600606680g7f0056,0x034F000000000000
    Copy to Clipboard Toggle word wrap

    1
    对于在 DASD 类型磁盘中安装,请添加 coreos.inst.install_dev=/dev/dasda。为 FCP 类型磁盘省略这个值。
    2
    对于在 FCP 类型磁盘中安装,请添加 zfcp.allow_lun_scan=0。为 DASD 类型磁盘省略这个值。
    3
    对于在 DASD 类型磁盘中安装,使用 rd.dasd=0.0.3490 替换来指定 DASD 设备。
    注意

    将参数文件中的所有选项写为一行,并确保您没有换行字符。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat