3.6. 创建 initdata

流程

1. 运行以下命令，获取红帽构建的 Trustee URL：

   $ TRUSTEE_URL=$(oc get route kbs-service \
     -n trustee-operator-system -o jsonpath='{.spec.host}') \
     && echo $TRUSTEE_URL

   Copy to Clipboard Toggle word wrap

2. 创建 initdata.toml 文件：

   algorithm = "sha384"
   version = "0.1.0"
   
   [data]
   "aa.toml" = '''
   [token_configs]
   [token_configs.coco_as]
   
   url = '<trustee_url>'
   
   [token_configs.kbs]
   url = '<trustee_url>'
   '''
   
   "cdh.toml" = '''
   socket = 'unix:///run/confidential-containers/cdh.sock'
   credentials = []
   
   [kbc]
   name = 'cc_kbc'
   url = '<trustee_url>'
   kbs_cert = """
   -----BEGIN CERTIFICATE-----
   <kbs_certificate>
   -----END CERTIFICATE-----
   """
   [image]
   image_security_policy_uri = 'kbs:///default/<secret-policy-name>/<key>
   '''
   
   "policy.rego" = '''
   package agent_policy
   
   default AddARPNeighborsRequest := true
   default AddSwapRequest := true
   default CloseStdinRequest := true
   default CopyFileRequest := true
   default CreateContainerRequest := true
   default CreateSandboxRequest := true
   default DestroySandboxRequest := true
   default GetMetricsRequest := true
   default GetOOMEventRequest := true
   default GuestDetailsRequest := true
   default ListInterfacesRequest := true
   default ListRoutesRequest := true
   default MemHotplugByProbeRequest := true
   default OnlineCPUMemRequest := true
   default PauseContainerRequest := true
   default PullImageRequest := true
   default ReadStreamRequest := false
   default RemoveContainerRequest := true
   default RemoveStaleVirtiofsShareMountsRequest := true
   default ReseedRandomDevRequest := true
   default ResumeContainerRequest := true
   default SetGuestDateTimeRequest := true
   default SignalProcessRequest := true
   default StartContainerRequest := true
   default StartTracingRequest := true
   default StatsContainerRequest := true
   default StopTracingRequest := true
   default TtyWinResizeRequest := true
   default UpdateContainerRequest := true
   default UpdateEphemeralMountsRequest := true
   default UpdateInterfaceRequest := true
   default UpdateRoutesRequest := true
   default WaitProcessRequest := true
   default ExecProcessRequest := false
   default SetPolicyRequest := false
   default WriteStreamRequest := false
   
   ExecProcessRequest if {
       input_command = concat(" ", input.process.Args)
       some allowed_command in policy_data.allowed_commands
       input_command == allowed_command
   }
   
   policy_data := {
     "allowed_commands": [
           "curl http://127.0.0.1:8006/cdh/resource/default/attestation-status/status"
     ]
   }
   '''

   Copy to Clipboard Toggle word wrap

   url

   指定红帽构建的 Trustee URL。如果您使用 insecure_http 配置红帽构建的 Trustee 用于测试目的，请使用 HTTP。否则，请使用 HTTPS。对于生产环境系统，请避免使用 insecure_http，除非您将环境配置为外部处理 TLS，例如使用代理。

   <kbs_certificate>

   为 attestation 代理指定 Base64 编码的 TLS 证书。

   kbs_cert

   如果您在红帽构建的 Trustee 的 kbs-config 配置映射中配置 insecure_http = true，请删除 kbs_cert 设置。

   image_security_policy_uri

   可选，只有在启用了容器镜像签名验证策略时。将 <secret-policy-name > 和 <key> 替换为 创建 KbsConfig 自定义资源中指定 的 secret 名称和密钥。

3. 运行以下命令，将 initdata.toml 文件转换为 gzip 格式的 Base64 编码字符串：

   $ cat initdata.toml | gzip | base64 -w0 > initdata.txt

   Copy to Clipboard Toggle word wrap

   记录此字符串，以便在对等 pod 配置映射或对等 pod 清单中使用。

4. 运行以下命令，计算 initdata.toml 文件的 SHA-256 哈希，并将其值分配给 hash 变量：

   $ hash=$(sha256sum initdata.toml | cut -d' ' -f1)

   Copy to Clipboard Toggle word wrap

5. 运行以下命令，将 32 字节 0s 分配给 initial_pcr 变量：

   $ initial_pcr=0000000000000000000000000000000000000000000000000000000000000000

   Copy to Clipboard Toggle word wrap

6. 运行以下命令，计算哈希和 initial_pcr 的 SHA-256 哈希，并将其值分配给 PCR8_HASH 变量：

   $ PCR8_HASH=$(echo -n "$initial_pcr$hash" | xxd -r -p | sha256sum | cut -d' ' -f1) && echo $PCR8_HASH

   Copy to Clipboard Toggle word wrap

   记录 RVPS 配置映射的 PCR8_HASH 值。