第 2 章在 Azure 上部署机密容器

您可以在 Microsoft Azure Cloud Computing Services 上的 Red Hat OpenShift Container Platform 集群上部署机密容器。

您可以执行以下步骤来部署机密容器：

配置出站连接。
安装 OpenShift 沙盒容器 Operator。
启用机密容器功能门。
可选：如果您从私有 registry （如 registry.access.redhat.com ）拉取对等 pod 虚拟机镜像，请为对等 pod 配置 pull secret。
创建 initdata 以在运行时初始化具有敏感或特定于工作负载的数据的对等 pod。详情请查看 initdata。
重要
不要在生产环境中使用默认的 permissive Kata Agent 策略。您必须通过创建 initdata 来配置限制策略，最好不要配置。
满足最低要求，您必须禁用 ExecProcessRequest，以防止集群管理员通过在机密容器 pod 上运行 oc exec 命令来访问敏感数据。
创建对等 pod 配置映射。您可以将 initdata 添加到配置映射中，以便为对等 pod 创建默认的全局配置。
可选：将 initdata 添加到 pod 清单，以覆盖您在对等 pod 配置映射中设置的全局 initdata 配置。
创建 KataConfig CR。
验证 attestation 进程。

2.1. 先决条件
复制链接

您已在运行机密容器工作负载的集群中安装了最新版本的 Red Hat OpenShift Container Platform。
您已在可信环境中的 OpenShift Container Platform 集群中部署了红帽构建的 Trustee。如需更多信息，请参阅部署红帽构建信任者。
您已为用于 worker 节点和 pod 虚拟机(VM)的子网中的通信启用了端口 15150 和 9000。端口启用在 worker 节点上运行的 Kata shim 和 pod 虚拟机上运行的 Kata 代理之间的通信。
您已为 pod 虚拟机子网配置了出站连接。