Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

2.6. 为 TDX 工作负载配置 TDX 远程测试基础架构

您可以为机密容器裸机基础架构部署 pod 虚拟机镜像,其中包括以下组件,它们为 Intel Trust Domain Extensions (TDX)提供远程认证:

  • 集群置备证书缓存服务(PCCS)部署
  • 自动每个节点 PCK Cert ID Retrieval 基于工具的平台(re-) registration
  • 每个节点 TDX-QGS quoting 服务

您可以设置部署所需的命名空间、secret、证书和环境变量。

先决条件

  • 已安装 Intel Device Plugins Operator,并创建了 Intel Software Guard Extensions Device Plugin 的实例。详情请参阅 OpenShift Container Platform 文档中的使用 Web 控制台从软件目录安装
  • 部署 PCCS 的节点必须具有互联网访问。

流程

  1. 运行以下命令来创建 intel-dcap 命名空间: 

    $ oc create namespace intel-dcap
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令,切换到 intel-dcap 项目: 

    $ oc project intel-dcap
    Copy to Clipboard Toggle word wrap

  3. 运行以下命令来更新安全性上下文约束: 

    $ oc adm policy add-scc-to-user privileged -z default
    Copy to Clipboard Toggle word wrap

  4. 运行以下命令来切换到 default 项目: 

    $ oc project default
    Copy to Clipboard Toggle word wrap

  5. 运行以下命令设置 PCCS_API_KEY 变量: 

    $ export PCCS_API_KEY="${PCCS_API_KEY:-}"
    Copy to Clipboard Toggle word wrap
    PCCS_API_KEY
    Intel® SGX 和 Intel® TDX 置备认证服务的 API 密钥。导航到 Intel Trusted Services API 门户,登录并订阅 Intel® SGX 和 Intel® TDX 置备认证服务。API 键显示在 Manage Subscriptions 页面中。

  6. 运行以下命令设置 PCCS_USER_TOKEN 变量: 

    $ export PCCS_USER_TOKEN="${PCCS_USER_TOKEN:-mytoken}"
    Copy to Clipboard Toggle word wrap
    PCCS_USER_TOKEN
    指定 PCCS 用户令牌。详情请参阅 Intel® SGX 置备证书缓存服务(Intel® SGX PCCS)的设计指南

  7. 运行以下命令设置 PCCS_ADMIN_TOKEN 变量: 

    $ export PCCS_ADMIN_TOKEN="${PCCS_ADMIN_TOKEN:-mytoken}"
    Copy to Clipboard Toggle word wrap
    PCCS_ADMIN_TOKEN
    指定 PCCS 管理令牌。详情请参阅 Intel® SGX 置备证书缓存服务(Intel® SGX PCCS)的设计指南

  8. 运行以下命令,将 PCCS_NODE 变量的值设置为 control plane 节点的名称: 

    $ export PCCS_NODE=$(oc get nodes \
  -l 'node-role.kubernetes.io/control-plane=,node-role.kubernetes.io/master=' \
  -o jsonpath='{.items[0].metadata.name}')
    Copy to Clipboard Toggle word wrap

  9. 设置集群范围的代理变量:

    • 如果使用集群范围代理,请运行以下命令: 

      $ export CLUSTER_HTTPS_PROXY="$(oc get proxy/cluster \
  -o jsonpath={.spec.httpsProxy})"
      Copy to Clipboard Toggle word wrap

    • 如果没有使用代理,请运行以下命令: 

      $ export CLUSTER_NO_PROXY="$(oc get proxy/cluster \
  -o jsonpath={.spec.noProxy})"
      Copy to Clipboard Toggle word wrap

  10. 运行以下命令,为 PCCS 用户令牌生成 SHA-512 哈希: 

    $ export PCCS_USER_TOKEN_HASH=$(echo -n "$PCCS_USER_TOKEN" | sha512sum | tr -d '[:space:]-')
    Copy to Clipboard Toggle word wrap

  11. 运行以下命令,为 PCCS admin 令牌生成 SHA-512 哈希: 

    $ export PCCS_ADMIN_TOKEN_HASH=$(echo -n "$PCCS_ADMIN_TOKEN" | sha512sum | tr -d '[:space:]-')
    Copy to Clipboard Toggle word wrap

  12. 运行以下命令,为 PCCS 证书和密钥创建一个临时目录: 

    $ PCCS_PEM_CERT_PATH=$(mktemp -d)
    Copy to Clipboard Toggle word wrap

  13. 运行以下命令生成自签名 PCCS 证书和私钥: 

    $ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 \
  -keyout $PCCS_PEM_CERT_PATH/private.pem \
  -out $PCCS_PEM_CERT_PATH/certificate.pem \
  -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com"
    Copy to Clipboard Toggle word wrap

  14. 运行以下命令,将 PCCS_PEM 的值设置为 Base64 编码的 PCCS 私钥: 

    $ export PCCS_PEM=$(cat "$PCCS_PEM_CERT_PATH"/private.pem | base64 | tr -d '\n')
    Copy to Clipboard Toggle word wrap

  15. 运行以下命令,将 PCCS_CERT 的值设置为 Base64 编码的 PCCS 证书: 

    $ export PCCS_CERT=$(cat "$PCCS_PEM_CERT_PATH"/certificate.pem | base64 | tr -d '\n')
    Copy to Clipboard Toggle word wrap

  16. 运行以下命令,为 PCCS 创建通用 secret: 

    $ oc create secret generic pccs-secrets \
    --namespace intel-dcap \
    --from-literal=PCCS_API_KEY="$PCCS_API_KEY" \
    --from-literal=PCCS_USER_TOKEN_HASH="$PCCS_USER_TOKEN_HASH" \
    --from-literal=USER_TOKEN="$PCCS_USER_TOKEN" \
    --from-literal=PCCS_ADMIN_TOKEN_HASH="$PCCS_ADMIN_TOKEN_HASH"
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat